绿盟科技2022年度APT高级威胁报告

绿AP盟T科高技级2威0胁22报年告度 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 01 执行摘要001 02 网络战威胁003 2.1概述004 2.2俄乌网络战时间线004 2.3俄乌网络战参与组织007 2.4俄乌网络战主要攻击类型007 2.5思考013 03 APT威胁015 3.1概述016 3.2总览016 3.3针对我国的APT活动019 3.4本年度确认的新型APT组织021 3.5APT组织对新型漏洞的滥用情况024 3.6重点地区的APT活动025 3.7小结032 04 勒索软件威胁033 4.1本年度勒索软件攻击概况034 4.2本年度的代表性勒索软件家族036 4.3RaaS模式的发展042 4.4思考044 05 附录 高级威胁攻击趋势预测046 A 关于伏影实验室048 0执行1摘要 2022年度APT高级威胁报告 2022年，在全球经济下行、地缘冲突爆发、加密货币市场萎靡等因素影响下，高级威胁事件整体呈现爆发趋势。在活跃组织数量、攻击事件数量、新型攻击工具数量等高级威胁主要指标方面，本年度的数据表现都远超往年。 本年度，绿盟科技伏影实验室对阶段性爆发的网络战威胁、长期持续的APT威胁、以及民间攻击力量主导的勒索软件威胁三个代表性的高级威胁领域进行了持续观测和发掘，发现： 网络攻击能力已经成为一种能够在地缘冲突中发挥重要作用的武器资源。俄乌冲突的各个阶段，俄乌双方在网络空间中进行了以窃密、控制和瘫痪等为目标的各式网络攻击活动，双方网络攻击力量会随着战争局势的变化灵活调整自身定位，帮助达成实体作战目标。 认知混淆和舆论控制已经成为网络战的重要组成部分。俄乌网络战中出现了大量以欺骗认知或诱导舆论为目标的网络攻击事件，此类事件通过控制宣传平台或滥用宣传渠道，用大量假信息或部分错误的信息污染网络信息流，从而构建有利于攻击者一方的言论氛围。 APT攻击更深度地与地缘政治冲突绑定，东欧、南亚、中东等冲突地区与敏感地区的APT活动强度持续增加。本年度保持活跃的区域性APT组织包括Gamaredon、Kimsuky、Lazarus、Patchwork等，反映了在国际局势紧张度增加的背景下，相关国家对冲突地区的关注度也在增加。 本年度我国遭受大量APT攻击与勒索攻击，攻击来源主要为美国、越南与印度。这些APT组织大多以我国高校和大型企业等作为目标，以N-day漏洞利用或社会工程学的方式入侵境内组织或设施目标并窃取情报。 本年度勒索软件领域的RaaS（勒索软件即服务）模式继续高速发展，各大勒索软件团伙开始进入更激烈的恶性竞争阶段。较小的勒索软件团伙不断用攻击大型企业的方式尝试扩大自己的影响力，较大的勒索软件团伙也因为受到同质化竞争的问题而难以维持自己的统治力。勒索软件威胁正在回归早期的混乱而危险的状态。 002 网0络战2威胁 2.1概述 本年度，随着俄乌冲突的爆发，一场激烈程度高、持续时间长的网络战也逐渐被大众所认知。由俄罗斯和乌克兰的网络力量以及援助双方的组织及团体主导，俄乌网络战成为了国家力量、APT组织、勒索软件组织、民间黑客团体、个人攻击者等多方势力共同参与的大型高级威胁事件，在不同程度上影响到了俄乌双方组织机构运行、国际舆论甚至战争走向等方方面面。 绿盟科技伏影实验室在俄乌网络战的准备时期开始便对其保持高度关注，并在持续监控研究过程中独家披露了多起网络战相关的APT攻击、DDoS攻击和民间黑客团体攻击活动，从宏观到微观的不同角度报道和分析了现代网络战的形式和构成123456。 俄乌网络战是俄乌两国热战在网络空间领域的延伸，在这场网络战争中，俄乌双方的网络力量不仅采取了如网络间谍活动、数据擦除攻击、拒绝服务攻击等多种攻击手段，而且随着战局的变化双方都在灵活地调整角色定位，甚至开始担任破坏设施、操纵舆论、制造恐慌等活动的主导者。 俄乌网络战的发生和发展表明，网络战争已经成为一种在地缘冲突中发挥重要作用的战略武器，为世界各国提供了一个重要的网络作战研究案例，并对网络空间作战的概念、方法和地位产生了深远的影响，促使各国不断加强网络安全防御，并加强在网络空间的军事行动能力。 2.2俄乌网络战时间线 2022年2月24日，乌克兰地区的军事冲突爆发，俄罗斯、乌克兰以及各幕后势力之间的较量吸引了全世界的目光。随着事件的发展，这场现实世界中的冲突，史无前例地影响到了网络空间中的各个方面。绿盟科技伏影实验室基于绿盟科技全球威胁狩猎系统和威胁追踪系统的研究成果，梳理了发生在东欧地区的网络冲突，并整理出如下时间线： 1http://blog.nsfocus.net/apt-lorec53-20220216/ 2http://blog.nsfocus.net/cldap-ntp/ 3http://blog.nsfocus.net/itw-privatbank/ 4http://blog.nsfocus.net/it-ddos-31/ 5http://blog.nsfocus.net/atp-whisperga-mbr/ 6http://blog.nsfocus.net/ddos-apt-sec/ 图2.1俄乌网络战争时间线 2021年年底至2022年年初，俄乌局势仍不明朗，这个时期活跃的亲俄APT组织如Lorec53、Gamaredon扮演着网络侦察兵的角色，向乌克兰的军、政、企等领域伸出触角，覆盖范围更加全面，采集目标网络设施的真实网络地址、网络资源情况、网络拓扑结构、敏感信息存放位置、高价值系统的运作机制等信息。 绿盟科技伏影实验室已捕获的事件表明，自2021年4月，Lorec53、Gamaredon等组织开始针对军事单位以外的目标，向乌克兰的政府部门、军事目标、外交部门、媒体等可能持有乌克兰高价值情报的个体进行攻击。很明显，该时期的俄方APT组织专注于广撒网的策略，积极收集一切有利于后续军事行动的情报。俄方APT组织在顿涅茨克、卢甘斯克等乌克兰东部的网络间谍行为，可以看作是俄罗斯方面进行的以窃密为目标的网络特种作战的一部分。 图2.2俄方APT组织在战争初期的作战时间线 在俄乌冲突正式爆发时，隶属俄罗斯的APT组织与隶属乌克兰的网络力量立即转入激烈的攻防对抗活动中，开启以控制为目标的网络特种作战。该阶段的典型案例是俄乌双方通过线上论坛、线下媒体的形式全方位地渲染战争氛围，强调一方对另一方的入侵活动等。通过封锁媒体播放渠道，掌控世界话语权，渲染以强欺弱氛围，将军事活动定义为入侵攻击，占据舆论制高点。通过对舆论掌控，迫使进攻一方放弃战果，实现认知作战的目标，达到干扰、控制舆论的目的。 在俄乌冲突持续阶段，亲俄的APT组织与亲乌的网络力量立即转入激烈的攻防对抗活动中，该阶段的典型案例是俄罗斯方面的数据破坏活动与乌克兰方面的DDoS行动。Lorec53组织开发了名为WhisperGate、WhisperKill、WhiteBlackCrypt等多种数据破坏软件，并主导 了针对乌克兰多个组织的破坏式网络攻击行动。Sandworm组织执行了多起针对电力设施等乌克兰关键设施的数据破坏行动，开发并使用了名为HermeticWiper、HermeticRansom、CaddyWiper、AwfulShred、Industroyer2等多种数据破坏软件，攻击范围涵盖Windows系统、Linux系统以及工控系统。 Gamaredon组织在战争初期也承担了一部分数据破坏任务。一种名为IsaacWiper的数据擦除软件在3月出现，该软件疑似被Gamaredon攻击者用于攻击乌克兰某未公开实体。 另一方面，乌克兰在战争爆发后迅速牵头组建了网络攻击组织ITARMYofUkraine，组织了针对俄罗斯的DDoS攻击行动。组织领导者为该群体提供了一个包含31个俄罗斯关键基础设施目标的针对性清单、多种DDoS攻击工具和对应的教学文档、以及位于俄罗斯境内的DDoS攻击基础设施，从而让参与者能够快速参与对俄罗斯关键网络设施的DDoS攻击活动中。这些DDoS攻击的目标包含俄罗斯政府机构、三家银行和能源、钢铁、冶金等俄罗斯重要产业。 此外，国际黑客组织匿名者（Anonymous）也在战争开始后不久宣布加入乌克兰一方，在短时间内培养和组织了能够发起网络攻击的亲乌黑客群体。匿名者组织通过入侵数据库、屏蔽Telegram站点、劫持流媒体等方式对俄罗斯线上服务进行直接的破坏，以阻止俄罗斯方面言论的传播。 2.3俄乌网络战参与组织 俄乌冲突中的网络战是美国与西方国家联手支持的网络力量，协助乌克兰在网络空间层面与俄罗斯进行的博弈。以Anonymous和ITARMYofUkraine为代表的支持乌克兰的网络力量主要以DDoS为主的攻击手段针对俄罗斯的政府、国防、能源、金融发起以瘫痪为目标的网络特种作战。以Gamaredon、Lorec53（洛瑞熊）、Sandworm、APT29等为代表的支持俄罗斯的网络力量主要以数据擦除攻击、DDoS攻击、勒索攻击、钓鱼攻击等手段针对乌克兰以及支持乌克兰的西方国家发起以窃密、控制、瘫痪为目标的网络特种作战。其他网络力量还包括在战争期间出现的多个民间黑客组织与多个未知威胁行为者。 2.4俄乌网络战主要攻击类型 绿盟科技伏影实验室对俄乌网络战中出现的各种网络攻击类型进行分析后，发现这些攻击活动可以分为窃密、控制与瘫痪三种类型。其中，窃密类网络攻击主要包括由APT组织发起的间谍式攻击活动以及民间黑客组织发起的社交网络钓鱼活动；控制类网络攻击主要包括俄乌双方国家力量与民间力量发起的舆论控制类网络活动；而瘫痪类网络攻击则包括由APT 组织发动的数据擦除攻击和各级黑客组织发动的DDoS类黑客攻击。 2.4.1以窃密为目标的网络特种作战 长期以来，国家级APT组织的主要任务就是长期监控特定目标并持续收集情报，这些APT组织在战争期间担任了对敌方军事目标的窃密工作，通过钓鱼、水坑等方式尽可能收集敌方的军事情报。 俄罗斯方面针对乌克兰窃密攻击的发起者以APT组织Gamaredon、Lorec53等为主。例如，Lorec53组织曾在战争准备阶段发起了以个人经济制裁为诱饵的鱼叉式钓鱼攻击，目标广泛覆盖乌克兰东部地区的政府与国有企业。Lorec53投递的钓鱼文档用于下载对应的间谍木马程序，进而窃取受害者主机上的各类文档类文件。 图2.3Lorec53组织使用的钓鱼文档 战争爆发后，绿盟科技伏影实验室捕获了大量以俄语作战信息或乌克兰语军队调度信息为诱饵的网络攻击活动。这些活动多数来自APT组织Gamaredon，目标为乌克兰东部各州的军队、警察以及地方政府。 图2.4Gamaredon组织使用的钓鱼文档 上述APT活动仅仅是俄乌战争期间海量网络窃密活动中的冰山一角。本年度绿盟科技观测到的活跃APT组织事件中，有超过30%来自东欧地区，这些事件大多以窃密为直接目标。 此外，俄乌网络战期间还有一部分窃密攻击活动通过社交媒体展开，攻击者则多为民间黑客团体或深度伪装的黑客组织。2022年3月1日，绿盟科技全球威胁狩猎系统监控发现，攻击者通过冒充“ITARMYofUkraine”的Tele