2023年度全球高级持续性威胁（APT）报告

2022年 全球高级持续性威胁 （APT）态势报告 中国信息安全测评中心 2023年4月 说明 互联网的快速发展，将网络空间与政治、经济、文化、社会、军事等国家安全领域紧密联系起来。5G、云计算、物联网、工业互联网等新兴技术发展助推网络攻击的深化泛化。随着网络攻击的发展和国际局势的加剧，组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化，高级持续性威胁（APT）攻击成为网络空间突出风险源。 2013年，网络安全行业发布第一份APT分析报告。至今，APT分析已走过十个年头，APT网络攻击图景也在不断更新迭代。各类APT组织犹如正规网络部队之外的“散兵游勇”，组织结构不断分化重组，攻击手段持续迭代升级，成为网络空间不容忽视的破坏性力量。当前，APT已是网络空间中社会影响最广、防御难度最高、关联地缘博弈最紧密的斗争形态，直接影响现实国家安全，更是国际关系中的重要议题。 中国信息安全测评中心长期跟踪、研究APT态势，此次联合网络安全行业以2022年全球APT活动分析为切入点，基于开源数据和公开报道开展态势评估，研判APT组织发展趋势、攻击手法、演进方向等。由于APT组织及其活动的复杂敏感性，本报告必然存在疏漏，供同行再作补充完善！ 在报告编制过程中，中国信息安全测评中心得到下列专家和机构的鼎力协助，致以诚挚感谢。 指导专家 汪列军（奇安信威胁情报中心）吴铁军（绿盟科技“伏影”实验室）孙岩炜（北邮网络空间安全学院） 周欣（深信服科技股份有限公司）孟召瑞（科来网络技术股份有限公司） 参编单位 奇安信威胁情报中心绿盟科技“伏影”实验室360高级威胁研究院 深信服科技股份有限公司北京微步在线科技有限公司北邮网络空间安全学院 安恒信息技术有限公司 科来网络技术股份有限公司 北京中睿天下信息技术有限公司 《中国信息安全》杂志社 ■版权声明 本报告版权属于中国信息安全测评中心，并受法律保护。转载、摘编或利用其它方式使用本报告中的文字、图片或观点的，应注明来源，违者将被追究法律责任。 目录 说明I 要点6 一、2022年全球APT态势图景8 （一）总体概览8 1.攻击数量增长8 2.目标区域拓展8 3.目标机构泛化9 4.攻击组织多源10 （二）地区热点激化11 1.俄乌冲突激化APT攻击全域展开11 2.东北亚安全局势推动APT组织“高位运转”14 3.印巴冲突刺激APT组织“缠斗”15 4.中东矛盾推动APT攻击军事化16 （三）疫情持续影响17 1.形成疫情属性的社会工程攻击模式18 2.疫情带动的远程办公助推攻击常态化18 3.刺激APT组织转向经济目标19 二、我国是APT主要受害国20 （一）攻击数量持续增加20 1.境内受控IP数量增加21 2.攻击组织来源多样化22 （二）攻击手段日益复杂化23 1.“专门定制”对我网攻工具23 2.检测规避手法日益精进24 3.攻击凭借日益复杂隐蔽24 （三）攻击目标呈现弥散特点25 1.重点攻击政府、科研、金融等关键信息基础设施25 2.经济发达省份和政治中心仍是主要目标地区26 （四）美国对我网攻愈演愈烈27 1.潜伏时间长27 2.“后门”利用多28 3.攻击目标“精”28 4.跳板部署广28 三、典型手法30 （一）传统攻击流程现“新招”30 1.侦察：泄露数据库成为新切入点30 2.入侵：社交媒体钓鱼持续盛行，水坑攻击巧用流量推广31 3.执行：反检测与绕过技术推陈出新，新类型木马大量涌现32 4.横向移动：敏感服务仍为众矢之的，CS工具被逐步替代35 5.命令控制：IoT设备与公共内容平台成为重要跳板36 6.渗出：商业服务与网络代理被广泛使用37 （二）伪装手段盛行38 1.设置假旗（FalseFlag）38 2.利用Web服务隐藏39 3.精准识别受害人身份39 4.开展跨系统、跨平台攻击40 5.滥用合法凭证40 （三）漏洞利用成为重要切入点41 1.零日漏洞利用41 2.在野漏洞利用41 3.供应链漏洞利用42 四、2022年重点组织概览43 （一）传统组织新动向43 1.“毒云藤”改进定向钓鱼43 2.“海莲花”提升免杀技巧43 3.“拉撒路”更新恶意软件感染方式44 4.“迷人小猫”提升社会工程攻击方式44 5.“蔓灵花”增加恶意负载隐蔽性45 6.“摩诃草”更新木马工具45 7.“舒适熊”携新隐藏工具“回归”46 8.Kimsuky提升反溯源技术47 9.“响尾蛇”升级免杀手法47 10.“污水”善用多种恶意软件47 （二）新兴组织新特点48 1.“金刚象”仿冒小众聊天软件攻击安卓平台48 2.Polonium组织善于利用云服务进行命令与控制48 3.HIVE0117传播部署“无文件”恶意软件49 4.“穆伦鲨”擅长多手段对抗49 5.Agrius利用VPN服务进行匿名化50 6.Metador将恶意软件直接部署到内存中50 7.TAC-040利用远程代码执行漏洞部署后门50 8.ModifiedElephant植入伪造的数字证据来实施陷害51 9.DangerousSavanna恶意攻击金融机构51 10.Lyceum利用开源工具执行“DNS劫持”攻击52 五、趋势研判53 （一）APT攻击与国家战略方向同频共振53 1.配合现实军事战争53 2.上升为政治“筹码”53 3.关基仍是重点目标54 （二）APT组织攻防较量更趋复杂54 1.敌对APT组织在攻击手段上对抗化发展54 2.新老组织在攻击目标和手段上交织融合54 3.网络安全企业逐渐成为攻防主体55 （三）供应链成为APT攻击新目标55 1.APT组织持续提高软件供应链攻击能力55 2.针对开源软件的APT的活动增加56 3.边界设备成为实施APT“突破口”56 （四）针对新技术新应用的APT攻击持续增加56 1.区块链APT攻击呈现生态化的特征57 2.云基础设施正在成为APT新战场57 3.空间技术领域成为APT攻击新目标57 （五）APT攻击“勒索化”趋势越来越明显58 1.传统APT组织利用勒索软件获取经济利益58 2.加密货币成为APT重点目标58 3.APT攻击与勒索攻击实现模式融合59 （六）APT事件调查呈现强烈的政治化趋势59 1.国家间APT归因证据渐趋模糊化60 2.用“点名羞辱”曝光APT组织战技法并致失效60 3.针对APT组织实施“精准制裁”61 要点 1.当前世界面临百年未有之大变局，网络空间亦风谲云诡。APT作为网络空间与现实大国博弈关联最为紧密的风险点，成为反映网络空间格局变化的“晴雨表”与“风向标”。俄乌冲突作为2022年最为突出的地缘政治事件，激化APT组织形成持续至今的攻击潮：在时间上，作为主要网络攻击形式早于军事行动，“兵马未动，木马先行”成为新常态；在目标上，持续攻击政府、军事部门以及关键基础设施等高价值目标，攻击方式以窃密、破坏为主，“网络空间精准点穴”发威；在主体上，除交战双方外，来自第三方的黑客组织、网络安全企业或直接或间接参与其中，“网络空间代理人战争”显现；在范围上，影响外溢至其他国家和地区，持续塑造网络空间地缘政治。在网络空间地缘政治中，APT不仅是军事战争和战略竞争“武战”的新形态，而且是政治博弈和外交交锋“文战”的新主题。 2.APT呈现军事化、武器化、组织化、隐匿化等特征：目标上，既聚焦军事、政府、金融、医疗、能源等高价值行业，又关注具有战略意义的数字资产和个人信息等经济目标；组织上，向专业化、组织化转型，APT组织与政府部门进一步深度绑定，“雇佣兵”性质更为凸显，获得国家级情报信息资源和攻击武器支持；战法上，能在目标网络上潜伏数月甚至数年不被发现，零日漏洞、供应链入侵等高水平渗透手段利用呈现常态化的特征。 3.中国是APT主要受害国，不仅面临国家背景的超高能力威胁行为体的现实威胁，还需应对周边地区威胁行为体的常态化挑衅；受害对象涵盖我国政府、军事、经济、教育、科研等重点部门；攻击者手法和目标持续更新升级，目标扩散，攻击深入，尤以美国发动的对华APT攻击最甚。 4.传统APT组织“阳谋”尽显，不断升级战技术，实施新的对抗和反溯源技术；新兴APT组织“阴谋”涌现，攻击危害不容忽视。新老APT组织还利用开源工具、设置假旗、滥用合法凭证等伪装，凭借零日漏洞、在野漏洞、供应链漏洞提升攻击成功率。 5.APT攻防向体系化方向发展，网络空间“对等打击”“相互制约”更趋激烈。围绕APT的政治对抗日益凸显，“模糊归因”“点名羞辱”“精准制裁”等成为美西方网络霸权的新手段，渲染、强化网络空间“丛林法则”。 一、2022年全球APT态势图景 2022年，全球APT攻击数量再创新高，呈现出全域展开、多点迸发的特点，在目标区域、目标机构、攻击主体上均有新变化。 （一）总体概览 1.攻击数量增长 APT是网络空间与地缘政治互动的产物，APT组织活跃趋势与全球热点问题密切相关。受地缘政治热点事件的影响，2022 年全球APT活动进入新一轮活跃期。一是攻击总量增多。根据 国内多家安全厂商的统计显示，2022年的APT攻击总量高于 2021年，其中不仅纯APT攻击类型增多，APT与其他攻击形式融合的混合攻击也在不断增长，直接助推形成新攻击潮。二是攻击烈度增强。2022年，造成重大影响的APT攻击事件频发，既有攻破钢铁厂造成停产，也有攻击卫星通信系统造成“掉线”，还有直接参战影响战争进程的攻击事件，在后果影响面上更为广泛。三是攻击形式多样。2022年，APT组织攻击形式有一个明显的变化就是从原有的“破坏”到“攻心”地拓展，无论是通过攻击宣传部门，还是攻击致泄露大量个人信息，部分APT组织正在增多意图干扰认知、影响民众心理的攻击活动。 2.目标区域拓展 地缘政治目标一直是APT组织任务的核心，热点地缘政治事件持续驱动APT组织行动，2022年尤甚。一是冲突事件致攻 击激增。俄乌冲突作为近年最典型的地缘事件，成为推动2022 年APT攻击走高的导火索，交战双方以及相关国家遭遇的APT攻击数量最为突出。二是热点区域形成攻击“高地”。中东地区、南亚地区、东北亚等热点区域现实冲突不断，网络空间的APT攻击相应配合，相关国家所涉APT攻击“高位运行”，如图1所示。三是非洲国家攻击事件开始增多。随着非洲国家在全球地缘政治中的重要作用不断凸显，针对非洲国家的攻击也开始出现在全球APT攻击版图中。 图1：2022年度APT主要攻击目标国家分布 3.目标机构泛化 近年来，APT攻击目标更趋泛化。在所有的攻击目标中（如图2所示），一是政府和外交机构、国防承包商等“高政治”领域 依然是重点目标，情报数据窃密仍旧猖獗；二是金融部门、博彩 机构等经济组织成为攻击热门，索取经济利益的攻击活动更为频繁。三是针对技术部门的攻击增多，特别是在当前科技博弈日趋严峻的形势下，芯片行业等科技部门成为攻击新领域。 图2：2022年度APT主要攻击目标机构分布 4.攻击组织多源 在APT攻击战场中，传统组织与新兴组织更迭交替，如图3所示。一方面，“拉撒路”、Kimsuky（又名MysteryBaby、BabyCoin、SmokeScreen、BlackBanshe）、“摩诃草”（Patchwork）、“透明 部落”（TransparentTribe）等传统老牌APT组织在2022年持续活跃，不断精进攻击手法，仍然占据APT整体图景的“基本盘”。 另一方面，新兴组织不断涌现。“穆伦鲨”（MurenShark）、Polonium、 Metador均为2022年新披露的组织，在攻击活动中展现了较强的对抗能力，成为新的威胁行为体，加剧形势复杂。 图3：2022年度主要APT攻击组织分布 （二）地区热点激化 2022年，全球政治乱象纷呈，大国博弈趋于白热，APT攻击与热点地缘政治事件同频共振。俄乌冲突爆发，冲突双方的对抗围绕线上线下双战场同步展开；拜登政府布局印太，发布《印太战略》，搅动印太局势；东北亚和南亚APT组织伺机而动；印度与巴基斯坦APT攻击持续高