2023年下半年全球主要APT攻击活动报告

2023年下半年全球主要APT攻击 活动报告 2024-02 双子座实验室 c目o录ntents P3概述 P4APT组织攻击数据披露 P9重大APT攻击活动 P15总结 P16附录 01概述 2023年下半年，天际友盟持续对APT组织及其活动进行追踪总结，总共披露了全球100个APT组织的195起攻击活动，通过对其中出现的威胁组织及TTP的具体分析，我们总结出2023年下半年APT组织活动攻击特点如下： 地缘政治类攻击活动占据主导地位 全球相互依存性的增加以及信息技术的快速发展使得网络空间成为地缘政治角力的新场所。国家之间利用网络空 间展开斗争，无形之中划分了新的网络战场。2023年下半年，在欧洲持续的俄乌冲突和中东重燃的巴以紧张局势背景下，伴随着东亚朝鲜-韩国、南亚印度-巴基斯坦、中东伊朗等地区国家日积月累的历史政治问题，受政治动因驱动的APT组织能力已转变为全球网络空间竞争的领军要素。 瞄准国内的黑产团伙攻击活动大量涌现 从攻击国家来看，我国在2023年下半年依旧是遭受APT组织攻击最多的国家之一。多个黑产团伙如“谷堕大盗” 等表现尤为突出，他们通过操纵国内流行软件，对我国政府、教育及金融行业设计并实施了一系列的钓鱼攻击。不仅对我国的机密信息构成了威胁，而且还涉及金融诈骗活动。这类团伙在短时间内通过木马病毒（如“银狐”木马）的多次迭代，利用即时通讯工具，在国内大范围传播，影响极为严重。此类黑产团伙的迅速崛起，对我国网络安全领域产生了重大影响。 APT组织加大对软件供应链的攻击力度 从攻击行业来看，在2023年下半年，针对通信和软件信息行业的攻击事件升至新高，超越了政府部门，成为APT攻击的首要目标。比如著名的Lazarus组织，正采取更加精细化的手段利用软件生态系统中的弱点发起攻击。这包括对开源软件仓库或对软件合法官方网站进行恶意代码注入，以及在官方商店推送恶意软件包。这些策略展现了黑客组织正加大力度以在供应链中寻找突破口，利用开源平台和应用市场的普及性来扩散其攻击影响力。 金融领域仍是APT组织活跃的主要战场 2023年下半年，金融领域持续成为网络安全威胁的关键点。银行、金融服务商以及投资机构频繁遭遇来自具有国家支持背景的俄罗斯、伊朗和朝鲜等组织的网络攻击，同时，此领域亦成为了黑灰产组织进行经济犯罪的主要目标。基于金融行业的巨大经济价值，多个国家级APT组织也参与其中，使得金融领域变成了一个涉及间谍活动及高价值资源争夺的热点战场。 02APT组织攻击数据披露 天际友盟根据自有平台RedQueen中记录的195起APT攻击事件（主要涵盖知名组织及有影响力的攻击），对2023年下半年APT组织攻击数据进行披露如下： 2.1Top10活跃组织 2023年下半年TOP10活跃APT组织统计如下： APT29APT-C-35 WhiteElephant APT37 APT34 Kimsuky Turla 图12023年下半年TOP10活跃APT组织 Konni Lazarus 谷堕大盗 图1显示，2023年下半年，臭名昭著的朝鲜APT团伙Lazarus在攻击频率上位居榜首，对国内造成重大影响的谷堕大盗团伙一跃升至第二名，另外一个朝鲜组织Konni超越上半年与Lazarus齐名的Kimsuky，位列第三。较上半年而言，伊朗的APT34组织活动有所增多，上升至第四名。 2.2Top10攻击目标 2023年下半年APT组织攻击的目标国家TOP10统计如下： 巴基斯坦巴西德国波兰中国越南 印度 澳大利亚 韩国 巴基斯坦 美国 以色列 图22023年下半年TOP10APT组织攻击目标 乌克兰 俄罗斯 图2指出，2023年下半年我国仍然是APT攻击的主要目标国，韩国为第二大受害地区，俄罗斯和乌克兰排名并列第三。与此同时，以色列因下半年与哈马斯爆发的巴以冲突而使得APT攻击频率上升，目前排在第四。另外，不难看出APT活动主要集中在亚洲、欧美和中东的几个国家和地区。 2.3Top10攻击行业 2023年下半年APT组织攻击的目标行业TOP10统计如下： 医疗 文体社娱会乐组织运输能源 教育与科研 批发零售 通信及软件信息技术服务 金融 制造业 政府 国防图32023年下半年APT事件攻击行业分布TOP10 根据图3数据发现，涉及通信和软件信息技术行业的攻击事件占比为31.28%，其次政府和国防部门分别占比25.13%和12.82%。相较于2023年上半年，制造业攻击事件有所增加，占比10.77%，略微超过金融行业，升至第四位。 2.4主要攻击手段 2023年下半年APT组织主要攻击手段统计如下： 社会工程学 僵尸网络勒索软件水坑攻击恶意扫描 供应链攻击漏洞利用 鱼叉式网络钓鱼 木马后门 钓鱼攻击 图42023年下半年APT组织主要攻击手段 图4显示，APT组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过，相较上半年而言，供应链攻击和僵尸网络活动明显增多。表1详细列出了2023年下半年APT组织最频繁利用的漏洞，以及它们所针对的厂商和软件产品。 厂商（漏洞数） 针对系统、组件或服务 漏洞号 Microsoft（12） MicrosoftOffice CVE-2017-11882 MicrosoftOutlook CVE-2023-23397 Microsoftwin32k CVE-2019-0803 MicrosoftOfficePublisher CVE-2023-21715 MicrosoftWindowsNDProxy.sys CVE-2013-5065 MicrosoftMSHTML.DLL CVE-2021-40444 MicrosoftExchangeServer CVE-2021-26855CVE-2021-34473CVE-2021-31207CVE-2021-34523 MicrosoftOffice、MicrosoftWindows CVE-2017-0199CVE-2023-36884 厂商（漏洞数） 针对系统、组件或服务 漏洞号 Oracle（5） OracleFusionMiddleware CVE-2020-14750CVE-2020-14882CVE-2017-3506 OracleWebLogicServer CVE-2020-14883 OracleE-BusinessSuite CVE-2016-0545 Fortinet（3） FortinetFortiOS CVE-2022-40684CVE-2022-42475 FortinetFortiNAC CVE-2022-39952 Apache（2） ApacheLog4j CVE-2021-44228 ApacheActiveMQ CVE-2023-46604 Barracuda（2） BarracudaEmailSecurityGateway CVE-2023-2868CVE-2023-7102 Elasticsearch（2） Elasticsearch CVE-2015-1427CVE-2014-3120 Roundcube（2） RoundcubeWebmail CVE-2020-35730CVE-2023-5631 RARLabs（1） WinRAR CVE-2023-38831 OpenSourceMatters（1） Joomla CVE-2023-23752 JetBrains（1） JetBrainsTeamCity CVE-2023-42793 ZOHO（1） ZOHOManageEngine CVE-2022-47966 Intel（1） IntelEthernetdiagnostics CVE-2015-2291 Vmware（1） VmwareVMwareESXi CVE-2021-21974 Linux基金会（1） Linuxkernel CVE-2022-0847 TYPO3协会（1） PHPUnit CVE-2017-9841 Adobe（1） AdobeReader和Acrobat CVE-2013-3346 RedHat（1） RedHatJBossApplicationServer CVE-2017-7504 Zimbra（1） ZimbraCollaborationSuite（ZCS） CVE-2023-37580 CitrixSystems（1） CitrixShareFileStorageZones CVE-2021-22941 厂商（漏洞数） 针对系统、组件或服务 漏洞号 GitLab（1） GitlabCommunityEdition CVE-2021-22205 ProgressSoftwareCorporation（1） ProgressTelerikUIforASP.NETAJAX CVE-2019-18935 Qualys GNUC库/glibc CVE-2023-4911 开源 ForgeRockAM CVE-2021-35464 表12023年下半年APT组织最常用漏洞利用列表 根据表一，可以得知，2023年下半年，各大软件供应链厂商产品中披露的漏洞以及一些零日漏洞成为APT组织入侵的切入点。具体而言，微软公司的办公软件套件和Windows操作系统漏洞最易遭到APT组织的攻击利用。此外，Oracle公司的产品线亦受到APT组织密切的关注。 03重大APT攻击活动 3.1组织地缘政治活动 2023年下半年，在全球网络空间的激烈博弈中，国家级APT攻击是一种日益严重的问题，其不仅威胁着国家安全，也对商业机构和个人隐私构成了巨大风险。这些攻击往往是为了达成一些更为深远的战略目标，如政治影响力的扩增、军事秘密的获取和经济利益的掠夺。这些攻击者通常受到一国或多国的支持，有着充足的资源和强大的攻击能力，能够在无形中穿透国境线进行攻击，使得国家之间的网络空间安全成为了一场没有硝烟的战争。接下来，我们将聚焦亚洲、欧美和中东三大地区，介绍重要国家级的APT攻击概况。 3.1.1亚洲地区 亚洲地区因其技术的快速发展以及复杂的地缘政治状况，成为了APT攻击的高发区域。APT通常采取定向和战略性的网络攻击手段，针对政府部门、关键基础设施以及高科技行业进行攻击，目的是为了获取重要的政治、经济以及技术情报。 3.1.1.1中亚地区 在2023年下半年的中亚地区，我国是APT组织最热衷攻击的目标之一。APT组织常通过钓鱼攻击、木马后门、供应链攻击等方式进行突破，受攻击的目标主要为政府、金融、教育与科研行业等。 其中，对我国攻击最频繁的是黑产团伙——谷堕大盗，该团伙常通过微信、赣政通、闽政通、长政通等即时通讯程序传播恶意钓鱼文件或者通过邮件附件投递诱饵文件，文件以税收、票据、订单等为主题，诱导用户打开文件，从而感染后门木马。目前遭受攻击的目标主要为国内机关单位、金融行业等。 除了谷堕大盗团伙外，印度APT组织白象在国内也十分活跃。7月，印度APT组织白象对我国教育、航空工业、科研单位、军工、政府等关键行业发起攻击。并且在8月，白象组织再次实施攻击活动，以中俄关系为诱饵，试图向国内政府人员投递ORPCBackdoor程序。 10月底至12月初，韩国Higaisa组织对国内用户发起攻击。攻击者将恶意模块与常用软件进行捆绑，通过伪造官方网站或者应用下载网站传播软件。 12月，越南海莲花组织模仿APT29的攻击手段针对国内院士，试图通过白加黑的技术投递后门。此外，X象组织在12月通过社会工程学收集“慧眼行动“信息，针对我国科研机构实施钓鱼攻击，部署后门窃取科研信息与成果。 其它的中亚攻击活动，如12月Kasablanka组织伪装为亚美尼亚共和国国家安全局发送精心构造的诱饵邮件，呼吁相关人员团结一致对抗新的战争威胁，最终目的是部署VenomRAT木马。 3.1.1.2东亚地区 在东亚地区，APT活动