2023年度高级威胁研究报告
AI智能总结
中国联合网络通信集团有限公司(简称“中国联通”)在国内 31 个省(自治区、直辖市)和境外多个国家和地区设有分支机构,拥有覆盖全国、通达世界的现代通信网络和全球客户服务体系,在 2023 年《财富》世界 500 强中位列第 267 位。作为支撑党政军系统、各行各业、广大人民群众的基础通信企业,中国联通在国民经济中具有基础性、支柱性、战略性、先导性的基本功能与地位作用,具有技术密集、全程全网、规模经济、服务经济社会与民生的特征与属性。 中国联通坚持扎根网信事业,践行央企使命,全面增强核心功能、提高核心竞争力,更好服务网络强国和数字中国建设、保障国家网络和信息安全,担当数字信息运营服务国家队和数字技术融合创新排头兵,充分发挥科技创新、产业控制、安全支撑作用。 为迈向具有全球竞争力的世界一流科技服务企业,中国联通扎实推进联网通信、算网数智两类主营业务,全面建设广度、厚度、深度行业一流的智能化综合性数字信息基础设施,为经济社会发展畅通信息“大动脉”、构筑数字新底座,以技术领先、高度集成的“全覆盖、全在线、全云化、绿色化、一站式”数字化服务,助力千行百业“上云用数赋智”,促进数字经济发展和信息消费升级,切实增强广大用户对信息通信服务的满意度和获得感,让全社会进一步共享信息通信发展新成果。 “广播电视行业网络安全技术研究实验室”由国家广播电视总局于 2017 年 6 月批复成立 , 在总局领导下 , 积极配合相关部门和各省市自治区广电局的工作要求 , 组织协调多方技术力量 , 开展广播电视和网络视听节目服务的网络安全研究、规划、保障体系、标准和测试技术研究工作 , 为总局的网络安全管理工作提供技术支撑 , 为行业相关单位的网络安全保障提供技术支持和咨询服务。2021 年 4 月 , 实验室正式升级为国家广播电视总局重点实验室。 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000 年 4 月,总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市,证券代码:300369。绿盟科技在国内设有 40 多个分支机构,为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 01执行摘要 1 02 年度 APT 趋势3 2.1APT 攻击数量达到新高42.2APT 攻击活动呈现全年无休的态势52.3地缘冲突推动区域 APT 攻击数量增长62.4活跃组织活动构成 APT 网络攻击主体72.5新 APT 组织数量与未归因 APT 活动数量爆发式增长82.6政府部门与科研机构成为 APT 攻击活动重灾区92.7境外对我 APT 攻击行动激增,攻击源头多样,呈现规模性和长期性的特征10 03 年度新型 APT 组织11 3.1概述123.2双异鼠123.3鬼轮盘153.4渴血鹰18 04 CONTENTS年度重点 APT 事件21 4.1概述224.2对我 APT 攻击事件224.3国际 APT 攻击事件244.4小结28 05 年度新型 APT 武器29 5.1概述305.2CVE-2023-38831305.3CVE-2023-42793315.4BYOVD325.5Rust 木马 ZSkyRAT33 06 总结与预测35 6.1APT 攻击活动将长期与区域冲突争端绑定366.2APT 组织对零日漏洞的应用更加广泛366.3针对公网设备的更大规模 APT 攻击行动将会出现366.4更多 APT 行动将通过间接攻击实现36 01 执行摘要 2023年,受国际政治经济格局变化的影响,经济下行的压力深入至全球各大经济体,国与国之间的冲突也随之愈演愈烈,国际紧张形势催生了创记录的高级持续性威胁(APT)网络攻击事件数量。 地缘冲突成为APT攻击事件的重要催化剂,本年度APT攻击事件集中在东欧、中东、朝鲜半岛以及南亚次大陆等冲突爆发地区或关系紧张地区。 受国际冲突公开化、媒体关注度增加、攻击者归因规范化等因素影响,本年度APT事件的披露较为密集,APT攻击呈现全年无休的态势。 少数已知的活跃APT组织构成本年度APT网络攻击主体,东欧地区的Gamaredon、东亚地区的Kimsuky与Lazarus、南亚地区的Donot与Bitter活跃度最高,多数APT攻击活动以鱼叉式钓鱼和漏洞利用入侵的形式展开。 受俄乌冲突的持续以及巴以冲突爆发的影响,本年度新APT组织数量大幅增加,新APT组织多数活跃在东欧地区或巴勒斯坦地区。 APT组织更加广泛利用公网脆弱设备实现入侵,本年度多个APT组织通过攻击公网安全设备入侵目标内网,开展了大规模网络间谍行动;同时APT组织还广泛使用失陷IoT设备作为攻击跳板,起到隐匿自身真实网络攻击资源的目的。 我国遭受的APT攻击数量达到新高,攻击来源包括北美、南亚、东亚、东南亚、欧洲等地的知名APT组织和新型APT组织,受害面包括政府机关、国有企业、高等院校等关键基础设施,其中造成最严重影响的是由新型APT组织“双异鼠”主导的对我攻击行动。 2024年,网络安全工作者将会面对更多来自APT攻击者的挑战,应对供应链攻击、零日漏洞攻击与公网设备入侵应当成为APT威胁治理的重点工作方向。 年度 APT 趋势 2.1 APT攻击数量达到新高 2023年,绿盟科技伏影实验室观测发现全球APT活动数量达到新高,同比上升明显。 本年度伏影实验室通过全球威胁狩猎系统捕获了81个组织607条APT攻击线索,相比去年增长26.9%。 这些线索在梳理后可以对应至362起APT事件,其中39次事件由伏影实验室通过研究报告或社交媒体首次披露。 总体上,Gamaredon、Donot、Kimsuky、Bitter等老牌APT组织的攻击线索捕获量更多,该现象一方面表明此类组织承担着更多攻击任务,另一方面也表明其攻击武器与活动特征已经被充分研究和识别,更易被捕获发现。 此外,本年度具有民族国家黑客背景的APT组织如Gamaredon、Lazarus等明显受到了更多关注,这些APT组织因为与国家级情报机关实体直接相关,已经成为APT威胁检测领域的重点关注对象。 2.2 APT攻击活动呈现全年无休的态势 2023年全年的APT攻击活动都较为密集,伏影实验室在每个月都能捕获到20起以上的APT攻击事件,并且本年度捕获的APT事件在时间分布上较为平均,其中7月的APT事件数量达到最高的39次,12月的APT事件数量为最低的20次。 这一现象有两方面的成因。一方面由于2023年全球竞争冲突的激烈化和明显化,各国的APT组织普遍提升了网络攻击的密度并且减少了在攻击隐蔽性方面的投入,这使得暴露的APT攻击数量明显增加;另一方面是由于国际形势导致APT网络攻击的受关注程度明显提升,全球范围内的安全研究机构以及媒体机构都提高了对APT领域的关注度,进而推动了APT事件公开报道的密度。 2.3地缘冲突推动区域APT攻击数量增长 2023年,持续不断的地缘冲突带动APT组织攻击数量来到了新的高峰。伏影实验室本年度观测到的APT事件绝大多数都集中在东欧、中东、朝鲜半岛以及南亚次大陆等冲突地区或紧张地区。 本年度,由于印度与其邻国关系持续紧张,南亚方面APT组织活动非常活跃,事件数量占比超过3成(116件);东亚方面受到朝鲜半岛态势升级的影响,APT活动较多,事件数量占比达到26%(91件);而东欧与中东方面由于俄乌冲突的持续以及巴以冲突的爆发,APT事件数量同样居高不下,分别占比21%(74件)与8%(29件);其他APT事件的来源方向还包括东南亚、南美、中亚和西欧和北美。 2.4活跃组织活动构成APT网络攻击主体 伏影实验室观察发现,由已知APT组织发起的攻击活动依然是全球APT攻击事件的最重要组成部分,少数活跃APT组织继续充当跨国网络攻击“领头羊”的角色。 本年度,22个头部APT组织总共发起了284起APT攻击事件,占全部APT组织活动数量的78.5%,其中最活跃的攻击者既包括Gamaredon、Kimsuky、Donot、Bitter等以鱼叉式网络钓鱼为主要攻击手段的组织,也包括Lazarus、APT29等以漏洞利用为主要入侵手段的组织,全年攻击活动达到10起以上的活跃APT组织数量达到12个。 2.5新APT组织数量与未归因APT活动数量爆发式增长 本年度,伏影实验室共计观测到39起独立归因的APT攻击事件,它们分别归属于27个已定名的新APT组织,其中3个组织由伏影实验室独立发现。这些新APT组织多数在东欧与巴勒斯坦地区活动,这一现象与俄乌冲突的持续以及巴以冲突的爆发直接相关。 本年度,除已定名的新APT组织以外,伏影实验室还观测到了多起未归因的APT攻击事件并进行标记和跟踪,这些未定名的新型攻击者的攻击目标包括土耳其、印度尼西亚、阿根廷、乌克兰、德国以及我国,攻击行业涵盖政府机构、执法机关、大型企业以及高校科研机构。 2.6政府部门与科研机构成为APT攻击活动重灾区 受全球局势持续动荡影响,2023年以政治目的为导向的APT攻击活动数量较多,各国政府部门成为受害重灾区;除此之外受攻击较多的领域还包括科研机构、国防军工业、金融机构、通信业、各类企业与基础设施等。 2.7境外对我APT攻击行动激增,攻击源头多样,呈现规模性和长期性的特征2023年,针对我国的APT攻击行动数量进一步增加,关联的APT组织也更为多样。随着捕获数量的增加,这些对我APT攻击活动的特征也更加明显,已经出现同一区域多个 2023年,针对我国的APT攻击行动数量进一步增加,关联的APT组织也更为多样。随着捕获数量的增加,这些对我APT攻击活动的特征也更加明显,已经出现同一区域多个APT组织互相掩护的团体化攻击模式,部分APT组织单次行动的攻击轨迹已经拉长至将近一年。APT组织互相掩护的团体化攻击模式,部分APT组织单次行动的攻击轨迹已经拉长至将近一年。本年度,伏影实验室深度参与了多起境外组织对我APT攻击行动的调查取证工作,涉及 本年度,伏影实验室深度调查了多起境外组织对我APT攻击行动,涉及APT组织包括北美方向的NSA(方程式),南亚方向的Bitter(蔓灵花)、Patchwork(白象)、Donot(肚脑虫),东南亚方向的OceanLotus(海莲花),东亚方向的DarkHotel(黑店),欧洲方向的Shathak(沙塔克),以及疑似来自亚洲的双异鼠组织。这些APT事件绝大多数以间谍式信息窃取为驱动,攻击目标领域涵盖我国的政府机关、国有企业、高等院校等关键基础设施。APT组织包括北美方向的NSA(方程式),南亚方向的Bitter(蔓灵花)、Patchwork(白象)、Donot(肚脑虫),东南亚方向的OceanLotus(海莲花),东亚方向的DarkHotel(暗店),欧洲方向的Shathak(沙塔克),以及疑似来自亚洲的双异鼠组织。这些APT事件绝大多数以间谍式信息窃取为驱动,攻击目标领域涵盖我国的政府机关、国有企业、高等院校等关键基础设施。 有关本年度对我APT攻击行动的更多信息,请参见本报告的3.2节、4.2节与5.5节。有关本年度对我APT攻击行动的更多信息,请参见本报告的3.2节、4.2节与5.5节。 年度新型 APT 组织 3.1概述 本年度,绿盟科技伏影实验室独立捕获了大量APT组织的攻击活动。在对这些APT事件的整理和复盘过程中,伏影实验室剥离并定性了三个新型APT组织,分别为对我国大量公网设备实施饱和式打击的“双异鼠
