2023年度高级威胁研究报告

中国联合网络通信集团有限公司（简称“中国联通”）在国内31个省（自治区、直辖市）和境外多个国家和地区设有分支机构，拥有覆盖全国、通达世界的现代通信网络和全球客户服务体系，在2023年《财富》世界500强中位列第267位。作为支撑党政军系统、各行各业、广大人民群众的基础通信企业，中国联通在国民经济中具有基础性、支柱性、战略性、先导性的基本功能与地位作用，具有技术密集、全程全网、规模经济、服务经济社会与民生的特征与属性。 中国联通坚持扎根网信事业，践行央企使命，全面增强核心功能、提高核心竞争力，更好服务网络强国和数字中国建设、保障国家网络和信息安全，担当数字信息运营服务国家队和数字技术融合创新排头兵，充分发挥科技创新、产业控制、安全支撑作用。 为迈向具有全球竞争力的世界一流科技服务企业，中国联通扎实推进联网通信、算网数智两类主营业务，全面建设广度、厚度、深度行业一流的智能化综合性数字信息基础设施，为经济社会发展畅通信息“大动脉”、构筑数字新底座，以技术领先、高度集成的“全覆盖、全在线、全云化、绿色化、一站式”数字化服务，助力千行百业“上云用数赋智”，促进数字经济发展和信息消费升级，切实增强广大用户对信息通信服务的满意度和获得感，让全社会进一步共享信息通信发展新成果。 “广播电视行业网络安全技术研究实验室”由国家广播电视总局于2017年6月批复成立,在总局领导下,积极配合相关部门和各省市自治区广电局的工作要求,组织协调多方技术力量,开展广播电视和网络视听节目服务的网络安全研究、规划、保障体系、标准和测试技术研究工作,为总局的网络安全管理工作提供技术支撑,为行业相关单位的网络安全保障提供技术支持和咨询服务。2021年4月,实验室正式升级为国家广播电视总局重点实验室。 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 01 执行摘要1 02 年度APT趋势3 2.1APT攻击数量达到新高4 2.2APT攻击活动呈现全年无休的态势5 2.3地缘冲突推动区域APT攻击数量增长6 2.4活跃组织活动构成APT网络攻击主体7 2.5新APT组织数量与未归因APT活动数量爆发式增长8 2.6政府部门与科研机构成为APT攻击活动重灾区9 2.7境外对我APT攻击行动激增，攻击源头多样， 呈现规模性和长期性的特征10 03 年度新型APT组织11 3.1概述12 3.2双异鼠12 3.3鬼轮盘15 3.4渴血鹰18 04 年度重点APT事件21 4.1概述22 4.2对我APT攻击事件22 4.3国际APT攻击事件24 4.4小结28 05 年度新型APT武器29 5.1概述30 5.2CVE-2023-3883130 5.3CVE-2023-4279331 5.4BYOVD32 5.5Rust木马ZSkyRAT33 06 总结与预测35 6.1APT攻击活动将长期与区域冲突争端绑定36 6.2APT组织对零日漏洞的应用更加广泛36 6.3针对公网设备的更大规模APT攻击行动将会出现36 6.4更多APT行动将通过间接攻击实现36 0执行1摘要 2023年，受国际政治经济格局变化的影响，经济下行的压力深入至全球各大经济体，国与国之间的冲突也随之愈演愈烈，国际紧张形势催生了创记录的高级持续性威胁（APT）网络攻击事件数量。 地缘冲突成为APT攻击事件的重要催化剂，本年度APT攻击事件集中在东欧、中东、朝鲜半岛以及南亚次大陆等冲突爆发地区或关系紧张地区。 受国际冲突公开化、媒体关注度增加、攻击者归因规范化等因素影响，本年度APT事件的披露较为密集，APT攻击呈现全年无休的态势。 少数已知的活跃APT组织构成本年度APT网络攻击主体，东欧地区的Gamaredon、东亚地区的Kimsuky与Lazarus、南亚地区的Donot与Bitter活跃度最高，多数APT攻击活动以鱼叉式钓鱼和漏洞利用入侵的形式展开。 受俄乌冲突的持续以及巴以冲突爆发的影响，本年度新APT组织数量大幅增加，新APT 组织多数活跃在东欧地区或巴勒斯坦地区。 APT组织更加广泛利用公网脆弱设备实现入侵，本年度多个APT组织通过攻击公网安全设备入侵目标内网，开展了大规模网络间谍行动；同时APT组织还广泛使用失陷IoT设备作为攻击跳板，起到隐匿自身真实网络攻击资源的目的。 我国遭受的APT攻击数量达到新高，攻击来源包括北美、南亚、东亚、东南亚、欧洲等地的知名APT组织和新型APT组织，受害面包括政府机关、国有企业、高等院校等关键基础设施，其中造成最严重影响的是由新型APT组织“双异鼠”主导的对我攻击行动。 2024年，网络安全工作者将会面对更多来自APT攻击者的挑战，应对供应链攻击、零日漏洞攻击与公网设备入侵应当成为APT威胁治理的重点工作方向。 年度0APT2趋势 2.1APT攻击数量达到新高 2023年，绿盟科技伏影实验室观测发现全球APT活动数量达到新高，同比上升明显。 本年度伏影实验室通过全球威胁狩猎系统捕获了81个组织607条APT攻击线索，相比去年增长26.9%。 这些线索在梳理后可以对应至362起APT事件，其中39次事件由伏影实验室通过研究报告或社交媒体首次披露。 Gamaredon,107 blinndworm,4 SaRomCom,4 deagle,5 er,6 D 2023年 APT攻击活动线索分布统计 Donot,71 APT29,14 DangerousPassword,15 Kimsuky,54 APT37,18 SideWinder,23 Bitter,49 TransparentTribe,29 Confucius,8 arkPink,8 CloudAtlas,8 APT34,7 Lazarus,35 未确认,13 ot,6 eenSp Gr MuddyWat APT28,6 Konni,20 SideCopy,17 Patchwork,17 图2.12023年APT攻击活动线索分布统计 总体上，Gamaredon、Donot、Kimsuky、Bitter等老牌APT组织的攻击线索捕获量更多，该现象一方面表明此类组织承担着更多攻击任务，另一方面也表明其攻击武器与活动特征已经被充分研究和识别，更易被捕获发现。 此外，本年度具有民族国家黑客背景的APT组织如Gamaredon、Lazarus等明显受到了更多关注，这些APT组织因为与国家级情报机关实体直接相关，已经成为APT威胁检测领域的重点关注对象。 2.2APT攻击活动呈现全年无休的态势 2023年全年的APT攻击活动都较为密集，伏影实验室在每个月都能捕获到20起以上的APT攻击事件，并且本年度捕获的APT事件在时间分布上较为平均，其中7月的APT事件数量达到最高的39次，12月的APT事件数量为最低的20次。 这一现象有两方面的成因。一方面由于2023年全球竞争冲突的激烈化和明显化，各国的APT组织普遍提升了网络攻击的密度并且减少了在攻击隐蔽性方面的投入，这使得暴露的 APT攻击数量明显增加；另一方面是由于国际形势导致APT网络攻击的受关注程度明显提升，全球范围内的安全研究机构以及媒体机构都提高了对APT领域的关注度，进而推动了APT事件公开报道的密度。 45 39 3737 34 31 28 28 25 20 23 27 32 40 35 30 25 20汇总 15 10 5 0 图2.22023年APT攻击事件发现时间分布统计 2.3地缘冲突推动区域APT攻击数量增长 2023年，持续不断的地缘冲突带动APT组织攻击数量来到了新的高峰。伏影实验室本年度观测到的APT事件绝大多数都集中在东欧、中东、朝鲜半岛以及南亚次大陆等冲突地区或紧张地区。 本年度，由于印度与其邻国关系持续紧张，南亚方面APT组织活动非常活跃，事件数量占比超过3成（116件）；东亚方面受到朝鲜半岛态势升级的影响，APT活动较多，事件数量占比达到26%（91件）；而东欧与中东方面由于俄乌冲突的持续以及巴以冲突的爆发，APT事件数量同样居高不下，分别占比21%（74件）与8%（29件）；其他APT事件的来源方向还包括东南亚、南美、中亚和西欧和北美。 北美 西欧0.28% 0.28% 中亚 1.11% 南美 1.39% 未确认 8.64% 中东 8.08% 南亚 32.31% 2023年 APT攻击事件区域分布统计 东欧 20.61% 东亚 25.35% 东南亚 1.95% 图2.32023年APT攻击事件区域分布统计 2.4活跃组织活动构成APT网络攻击主体 伏影实验室观察发现，由已知APT组织发起的攻击活动依然是全球APT攻击事件的最重要组成部分，少数活跃APT组织继续充当跨国网络攻击“领头羊”的角色。 本年度，22个头部APT组织总共发起了284起APT攻击事件，占全部APT组织活动数量的78.5%，其中最活跃的攻击者既包括Gamaredon、Kimsuky、Donot、Bitter等以鱼叉式网络钓鱼为主要攻击手段的组织，也包括Lazarus、APT29等以漏洞利用为主要入侵手段的组织，全年攻击活动达到10起以上的活跃APT组织数量达到12个。 ANuTerewPotToraAPiwAsCe8Pnean6hdrmg6aMaunpraitaeogiligmcn1,,,111 UQAuCFa-Is0Na0t8rh5,u,6a0F1m1r,l,il1e11o,1n,1 SBScUltaueNrDXearBC双uCielSaPl9rdathmIr异RacMmeCRrukoSadBy鼠peLasan,abloctdenidtyze,trDtdoSFzuiBirA1acemlralAASseayPolvr,cKvPedgaSdTria13liTt,enpm,1,tr,n31t,,aC151eag31r,gner,u1oi,r1fcswt1,,,1,11 DaTTrAok4Cm7ai3sri,sn1o,,11 UAAPCT-0413iv6,51r,,111 GCAeotllsldaeRsmCWrieuodrmsitse,,1s1,cer,1 uGSshtpoaAacscthrTeeoAPsB4irBl0ao2dture,e,n1,i1n1,1 ChKarmabinlagrlKai,t1te StoTrum猎-n1J者1a3c,3k1al,1 GoT伪ldGemeraPpyTTliinc2gk,,111 DBAaarHkhaHa4gmogtuae,tl,11 GreenSpnokta,,22 Y RomCom,3Sa DangerousPassword,5 APT28,5 MuddyWater,6 APT34,6 DarkPink,6 2023年 APT组织事件数量占比统计 Konni,12 Bitter,22 Sidewinder,12 Patchwork,13 APT37,15 APT29,14SideCopy,14 ndworm,4 AridViper,2 oroTrooper,2 ,2 APT35,2 WinterVivern ,1 n,2 Mo Gamaredon,33 未确认,12 CloudAtlas,