《天际友盟:2023年上半年全球主要APT攻击活动报告(20页).pdf》由会员分享,可在线阅读,更多相关《天际友盟:2023年上半年全球主要APT攻击活动报告(20页).pdf(20页珍藏版)》请在三个皮匠报告上搜索。
1、双子座实验室 年上半年全球主要 APT 攻击活动报告2023 年上半年全球主要 APT 攻击活动报告P4 概述P5 APT 组织攻击数据披露P9 重大 APT 攻击活动P13 总结P13 附录contents目录3概述012023 年上半年,天际友盟持续对 APT 组织及其活动进行追踪总结,总共披露了全球 100 个 APT 组织的 170 多起攻击活动,通过对其中出现的威胁组织及TTP的具体分析,我们总结出2023年上半年APT组织活动攻击特点如下:地缘政治类攻击活动显著增加我国已成为 APT 的主要攻击目标微软漏洞是入侵软件行业的主要突破口金融领域或将转变为间谍攻击的
2、下一个战场互联网时代的高速发展使得全球网络空间紧密相连。与此同时,随着国际局势的紧张变化和网络博弈的加剧,2023 年上半年,趋于政治因素的各类 APT 攻击活动显著增加。从攻击目标来看,我国已成为 2023 年上半年遭受 APT 组织攻击最多的国家之一,其中来自印度的黑客组织贡献了绝大部分的攻击。这一现象表明,我国综合实力的不断提升也招致了国外黑客力量的入侵尝试。从攻击行业来看,2023 年上半年软件行业已上升为除了政府以外的第二大易受黑客组织攻击的行业。究其原因,主要是由于软件行业产品或服务漏洞的广泛存在。而目前微软作为全球受众群体最为广泛的软件公司,当之无愧成为了供应链攻击的主要入口。从
3、未来发展上看,金融领域作为经济储备最为丰富的市场,不仅是出于经济动机的网络犯罪团伙的绝佳攻击对象,也是各类 APT 组织为实施间谍攻击而争夺资源的下一个网络战场。42023 年上半年全球主要 APT 攻击活动报告APT 组织攻击数据披露02天际友盟根据自有平台 RedQueen 中记录的 170 多起 APT 攻击事件(主要涵盖知名组织及有影响力的攻击),对 2023 年上半年 APT 组织攻击数据进行披露如下:2.1 Top10 活跃组织2023 年上半年 TOP 10 活跃 APT 组织统计如下:KimsukyAPT37SideCopyTransparent TribeBITTER8220
4、 GangSideWinderAPT-C-35GamaredonLazarus图 1 2023 年上半年 TOP 10 活跃 APT 组织图 1 显示,2023 年上半年,朝鲜 APT 组织(Kimsuky、Lazarus)活动最为频繁。来自巴基斯坦的组织(SideCopy、Transparent Tribe)紧随其后,在与印度组织(SideWinder)的网络交锋中表现突出。南亚组织蔓灵花 BITTER 延续以往活跃状态,位列榜单第三。较 2022 年下半年而言,俄罗斯黑客组织 Gamaredon 攻击频率则有所下降,下降至第四位。52.2 Top10 攻击目标2.3 Top10 攻击行业2
5、023 年上半年 APT 组织攻击的目标国家 TOP 10 统计如下:2023 年上半年 APT 组织攻击的目标行业 TOP 10 统计如下:中国政府乌克兰软件和信息技术印度韩国金融军工教育互联网美国巴基斯坦以色列土耳其越南哥伦比亚图 2 2023 年上半年 TOP 10 APT 组织攻击目标图 3 2023 年上半年 APT 事件攻击行业分布 TOP 10图 2 表明,我国显然已成为 2023 年上半年以来 APT 攻击活动的最大受害者,印度和乌克兰也由于地缘政治因素的影响,分别位列易受攻击地区的二三位。通信新能源制造医疗62023 年上半年全球主要 APT 攻击活动报告2.4 主要攻击手段
6、木马后门钓鱼攻击漏洞利用社会工程学水坑攻击勒索软件无文件攻击供应链攻击从图 3 可以看出,政府部门仍是 APT 组织的首要攻击对象,软件和信息技术行业也因为其自身存在的各种弱点和漏洞利用机会,逐渐上升至目标攻击行业的第 2 名,金融行业热度逐渐恢复,超越军工行业,上升至第 3 位。2023 年上半年 APT 组织主要攻击手段统计如下:图 4 2023 年上半年 APT 组织主要攻击手段图 4 显示,木马后门、钓鱼攻击、漏洞利用仍是 APT 组织的三大致胜法宝。其中,鱼叉式网络钓鱼攻击作为提高感染率的关键策略,深受各类 APT 组织的青睐。漏洞利用作为初始渗透的有效手段,依旧发挥着显著的效果。下
7、表列出了 2023 年上半年 APT 组织最常用的漏洞列表及其针对的产商及软件:厂商(漏洞数)针对系统、组件或服务漏洞号微软(7)Microsoft OfficeCVE-2018-0802CVE-2018-0798CVE-2017-11882CVE-2017-0199Microsoft Windows CVE-2022-30190CVE-2015-2291CVE-2017-01447表 1 2023 年上半年 APT 组织最常用漏洞利用列表厂商(漏洞数)针对系统、组件或服务漏洞号开源(6)Roundcube WebmailCVE-2021-44026CVE-2020-12641CVE-2020
8、-35730GitLab CVE-2021-22205Linux PolkitCVE-2021-4034ExifToolCVE-2021-22204Veritas Technologies(3)Veritas Backup ExecCVE-2021-27878CVE-2021-27877CVE-2021-27876Zimbra(2)Zimbra Collaboration(ZCS)CVE-2022-37042CVE-2022-27925Progress Software(1)Progress MOVEit TransferCVE-2023-34362Oracle(1)weblogic wls-
9、wsatCVE-2017-3506Malwarefox(1)Malwarefox Anti-MalwareCVE-2018-5713Veeam Software(1)Veeam Backup&Replication (VBR)CVE-2023-27532Apache Software Foundation(1)Apache Log4jCVE-2021-44228Telerik(1)Telerik UICVE-2019-18935Realtek(1)Realtek rtl81xx SDKCVE-2014-8361SonarSource(1)SonarSource SonarQubeCVE-202
10、0-27986Python Software Foundation(1)Python PILCVE-2017-8291根据表一可以发现,2023 年上半年,微软办公软件和 Windows 操作系统漏洞在全球范围内最易遭到 APT 组织攻击,开源软件市场由于开放性和安全审核的薄弱性特点,位列其后,成为 APT 组织的第二大漏洞利用目标。82023 年上半年全球主要 APT 攻击活动报告重大 APT 攻击活动033.1 地缘政治活动随着数字化程度的提高,大国间的政治博弈已经不止步于物理对抗,越来越多的国家抓住网络空间这个关键的突破口,借助APT等极具实力的组织之手,操控网络空间战争,以此争夺信息优
11、势和战略利益。其中以朝鲜-韩国、印度-巴基斯坦以及俄罗斯-乌克兰的 APT 攻击活动最为突出,以下我们将分别介绍各国间的 APT 攻击概况。3.1.1 朝鲜-韩国根据公开报道的事件,韩国在 2023 年上半年中遭受了来自朝鲜组织的多次网络攻击,其中主要涉及针对政府、媒体行业的攻击,这些攻击通常采用网络钓鱼和社会工程学手段,旨在破坏韩国的网络基础设施、窃取敏感信息。不过,相比朝鲜,韩国 APT 组织被公开披露的攻击事件却乏善可陈,这背后的原因或许是韩国组织拥有着极高的隐匿技术,亦或是韩国雇佣了其它国家的黑客军队,又或是某些国家与韩国之间达成了某种不对外公开的约定也不得而知。总的来说,2023 年
12、上半年,朝鲜的两大知名组织 APT37 和 Kimsuky 交替对韩国发起了一系列的钓鱼攻击。1 月,与朝鲜国家安全部(MSS)相关的 APT37 组织首先恢复活动,针对韩国个人用户开展了网络间谍活动,期间,APT37还破坏了韩国的 BBS 网站以将其变为他们的 C2 基础设施。3 月,专注于窃取机密信息的 Kimsuky 组织通过一个包含恶意脚本的 OneNote 钓鱼文件向高丽大学分发了恶意软件。5 月,APT37 又以韩国的”内政和外交”、”付款申请表”为主题散布钓鱼诱饵文件,部署了 ROKRAT 感染链。随后,Kimsuky 组织通过漏洞利用,在韩国建筑公司的Windows IIS W
13、eb 服务器植入了 Meterpreter 后门。6 月,该组织继续以 生日祝福 诱饵文件散播 Quasar RAT 木马程序。紧接着,APT37 借助 Ably 实时消息服务部署了一个新型窃听恶意软件 FadeStealer。月末,Kimsuky 通过AppleSeed 后门安装了 Chrome 远程桌面程序,进而对韩国的受害主机实现了系统控制。3.1.2 印度-巴基斯坦印度和巴基斯坦之间的网络攻击活动一直是两国关系紧张的一部分。2023 年上半年,双方都被指控进行了多次网络攻击,旨在干扰对方的政府机构、军事设施和关键基础设施。然而从公开报道的事件上来看,印度在这个战场中目前相对处于劣势地位
14、。3.1.2.1 印度针对巴基斯坦2022 年 11 月下旬至 2023 年 3 月,具有强烈的政治背景的印度响尾蛇(SideWinder)组织利用基于服务器的多态性技术针对巴基斯坦政府发起了持续的攻击。期间,由于国家地缘问题而产生的 DoNot 组织也疑似利用鱼叉式钓鱼邮件和社会工程学手段攻击了巴基斯坦国防部门,进而安装了具备窃取用户凭证、键盘记录、远程命令执行等功能的恶意软件。95 月,响尾蛇组织通过构建由 55 个域名和 IP 地址组成的钓鱼网络,猛攻了巴基斯坦境内的金融、政府和执法机构,以及专门从事电子商务和大众传媒的公司。6 月,响尾蛇组织继续以巴基斯坦内阁部门发布的安全文件为饵,引
15、诱目标用户下载了 Cobalt Strike 载荷。3.1.2.2 巴基斯坦针对印度2023 年年初,具有巴基斯坦政府背景的 Transparent Tribe 组织伪装为印度国防部,投递了走私情报相关诱饵邮件。2 月,该组织利用虚假诱饵简历投放了 CrimsonRAT,进而对中招用户进行了持续监控。此后,模仿印度响尾蛇组织的 SideCopy 组织也发起反攻,伪装成安全机构,向印度通信部投递了 ReverseRAT 后门以达到信息窃取及远程控制的目的。3 月,Transparent Tribe 持续发力,不仅对印度的移动端和 PC 端展开了攻击,通过伪装成印度国家奖学金门户、印度陆军福利教育
16、学会的钓鱼页面窃取了特定用户信息,还通过捆绑了木马的 MeetsApp 和 MeetUp 的聊天应用程序部署了 Android CapraRAT 后门,直接影响了多达 150 名具有军事或政治背景的受害者。月末,SideCopy 组织又以“风险及困难津贴的发放”为诱饵,针对印度国防部开展了钓鱼活动。4 月,Transparent Tribe 开始将其目标瞄准印度教育部门,借助具有教育主题内容和名称的网络钓鱼电子邮件分发了武器化的 Microsoft Office 文档,并通过恶意宏或 OLE 嵌入技术最终投递了 Crimson RAT。期间,该组织还借助木马化的 Kavach 身份验证工具在印
17、度政府机构中部署了新的 linux 恶意软件:Poseidon。本月下旬,Sidecopy 组织又向印度组织分发了其开发的新木马 AckRAT。5 月,SideCopy 开始利用印度核武器主题文件作为诱饵针对印度国家军事研究机构进行了鱼叉式钓鱼攻击,最终目的是在受害主机上部署恶意软件。6 月,该组织继续以印度国防、军事领域为目标,通过将恶意样本托管在一家印度翻译公司网站上,下发了新的 C#后门木马:FetaRAT。3.1.3 俄罗斯-乌克兰俄乌冲突爆发以来就一直备受瞩目,就 2023 年上半年而言,双方目前虽在物理战场中你来我往,打得难舍难分,但在网络空间战场中,俄方组织似乎完全占据着主导地位
18、,通过鱼叉式网络钓鱼、DDoS 攻击等手段对乌方的政府、军队等重要机构进行了间谍和破坏攻击。2022 年 9 月-2023 年 1 月,俄罗斯网络间谍组织 Turla 利用其他黑客组织此前通过受感染的 USB 驱动器在乌方系统中植入的 Andromeda 恶意软件,分发了侦察程序 KOPILUWAK 和后门 QUIETCANARY。期间,亲俄黑客组织NoName057(16)也对乌克兰的重要网站发起了 DDoS 攻击。2 月,隶属于俄罗斯主要情报局(GRU)的 74455 军事部队的 Sandworm 组织借助 5 种擦除器攻击了乌克兰的新闻机构 Ukrinform。接着,由俄罗斯国家支持的
19、Gamaredon 组织通过冒充乌克兰外交部、安全局,采用多步骤下载方法执行了间谍软件,对乌克兰的公共机构和关键信息基础设施进行了针对性的网络攻击。期间,与俄罗斯有关的Lorec53 间谍组织还在乌克兰部署了一种新的信息窃取程序:Graphiron。月末,Gamaredon 组织延续最近的间谍活动,伪装为乌克兰政府组织,投递了鱼叉式网络钓鱼电子邮件,植入了一个适用于 Windows 的 Hoaxshell 后门。3 月,一个较少被披露的亲俄 APT 组织 Winter Vivern 开始将其目标已扩展至乌克兰外交部和电信组织,通过创建伪装为合法的政府域来分发恶意软件,以及利用应用程序漏洞来破坏
20、特定目标。4 月,Gamaredon 继续针对乌克兰对外情报局(SZRU)和乌克兰安全局(SSU)等乌克兰政府实体,利用一个公102023 年上半年全球主要 APT 攻击活动报告开暴露的 SMTP 服务器制作和发送了钓鱼邮件。5 月,Sandworm 首先利用未受多因素身份验证保护的受损 VPN 帐户访问了乌克兰国家网络中的关键系统,最终通过脚本运行 WinRAR 归档程序擦除了目前机器的文件。月末,与俄罗斯 GRU 有关的 APT28 利用多种网络钓鱼技术针对乌克兰民间组织。并且,活动中涉及的大多数网络钓鱼网页都针对了在乌克兰地区流行的 UKR.NET 网络邮件服务。6 月,Shuckwor
21、m 被曝长期入侵乌克兰安全部门、军队和政府组织,多次试图访问和窃取敏感信息,例如有关乌克兰军人死亡的报告、敌人交战和空袭的报告、军火库库存报告、训练报告等。月末,APT28 破坏了乌克兰国家的多个组织和政府实体的 Roundcube 电子邮件服务器,进而部署了恶意脚本,以侦察和窃取受害者的 Roundcube地址簿、会话 cookie 以及存储在 Roundcube 数据库中的其他信息。在以上提到的三个网络空间战场中,我们不难看出这些战场的地理位置均与中国接壤或临近,而我国今年上半年也不断的遭受各大 APT 组织的攻击。不管是否为巧合,我们都必须提高警惕,密切关注网络空间的攻击态势。接下来我们
22、将重点介绍国内 APT 攻击概况。3.2 国内攻击概况3.3 重点行业攻击中国作为正在崛起的发展中国家,无论是经济实力还是科研力量都在稳步提升,因此也一直备受各国黑客组织的关注。2023 年上半年,不仅有多个高度专业的知名 APT 组织(响尾蛇、白象、蔓灵花尤为明显)持续入侵了我国政府、能源和科研教育领域,黑产团伙也发起了猛烈的钓鱼攻击,以窃取敏感信息、获得经济利益,对我国安全构成了严重威胁。具有强烈政治背景的印度黑客组织响尾蛇于 2023 年 2 月开始利用疫情题材对我国高校伸出了爪牙,最终执行了侦查和窃密行为。时隔两月,该国的白象组织再次采用鱼叉式网络钓鱼策略对我国高校和科研机构出手,部署
23、了进阶的 BADNEWS 远控程序。5 月,响尾蛇组织又被监测到模仿我国政府、金融组织的域名,诱导用户下载恶意载荷,进一步获取了敏感信息。2023 年 3 月,南亚 APT 组织蔓灵花伪装为吉尔吉斯斯坦大使馆,向我国核能行业的用户投递了包含漏洞利用条件的钓鱼邮件。4 月,蔓灵花又以项目为由,向我国特定机构分发了包含恶意软件的 CHM 文件。除了出于获取政治军事优势的目的,2023 年 4 月至 6 月期间,也不乏有黑产团伙(如主要针对金融领域的谷堕大盗团伙)借助国内流行的社交媒体应用、木马化的办公软件(如企业微信、WPS、钉钉),传播了 gh0st、BigWolf 等后门木马,进而窃取了用户信
24、息以进行售卖。3.3.1 针对政府行业的攻击政府行业作为网络对抗中极其重要的对象,在 2023 年上半年中以约 35%的攻击率继续在 APT 组织重点攻击行业榜单中拔得头筹。这其中的主要贡献力量不外乎是来自朝鲜与韩国、印度与巴基斯坦、俄罗斯与乌克兰以及各国针对我国的四大网络战场。11从攻击策略来看,鱼叉式网络钓鱼是获取政府行业初始访问权限的最常见的方法。从攻击目的来看,针对政府行业的 APT 组织,以窃取敏感信息为主要目的,如俄罗斯 Gamaredon 针对乌克兰对外情报局(SZRU)和安全局(SSU)开展鱼叉式网络钓鱼活动、巴基斯坦 SideCopy 组织向印度国防、军事部门投递 FetaR
25、AT 木马、印度白象组织向我国相关单位投递 BADNEWS 远控木马等;以破坏目标系统为次要目的,如俄罗斯组织 Shuckworm 利用数据擦除器破坏乌克兰国家机构数据、亲俄组织 NoName057(16)对乌克兰政府组织网站发起 DDoS 攻击等。3.3.2 针对软件行业的攻击软件行业由于存在的各种漏洞和供应链安全问题,在 2023 年上半年的 APT 组织重点攻击行业的中以约 15%的攻击率位居榜单的第二位。从攻击策略来看,漏洞利用和供应链攻击是针对政府组织的关键入侵手段。其中,最易被针对的漏洞产品供应商为微软,最常利用的漏洞涉及 CVE-2017-0199、CVE-2017-11882、
26、CVE-2022-30190、CVE-2017-3506、CVE-2021-22205 等。从攻击目的来看,针对软件行业的 APT 组织,以加密货币挖矿为主要目的,如南非黑客组织 Automated Libra利用限时试用的云平台资源进行挖矿攻击、8220 Gang 组织利用 VMware Horizon 服务器上的 Log4Shell 漏洞(CVE-2021-44228)部署 XMRig 挖矿程序;以间谍攻击为次要目的,如 Tonto Team 团伙向 Group-IB 员工的投递自定义后门 Bisonal.DoubleT、FIN7 利用 VBR 漏洞执行 PowerShell 脚本 POW
27、ERTRASH 等。3.3.3 针对金融行业的攻击金融行业作为经济资源最为丰富的市场,每年都是各大 APT 组织竞相攻击的对象,相比 2022 年下半年,2023年上半年数据显示,针对金融行业的攻击活动占比只增不减,成功以约 11%的攻击率进入了易受 APT 组织关注的榜单第三位。从攻击策略来看,鱼叉式网络钓鱼攻击依旧是入侵金融行业的最有效的手段。从攻击目的来看,针对金融行业的APT 组织,大多不再纯粹以获取经济利益为目标,而是同时兼具政治动机实施间谍攻击,如 DEV-0856 组织在攻击欧洲金融和保险部门的活动中开始通过受感染的 USB 驱动器传播新版本的 Raspberry Robin 蠕
28、虫以收集更多的受害者系统数据、以信息窃取为动机的巴基斯坦黑客 Aggah 通过携带漏洞的 Office 诱饵文档向哥伦比亚税务和海关总局、银行、财务部等目标分发远控软件、旨在窃取敏感数据的伊朗组织 Tortoiseshell 针对以色列多个金融服务公司网站发起水坑攻击、经常进行间谍活动的 Alloy Taurus 组织开始利用新型 Linux 变体 PingPull 恶意软件将目标扩展至金融机构等。122023 年上半年全球主要 APT 攻击活动报告总结附录0405国际环境日益复杂的局势下,地缘政治类攻击活动正成为大势所趋,未来或许将会有更多的 APT 组织加入国际政治战场,APT 组织的攻击
29、目的也将趋向复杂化。政府组织作为关键的突破口,会是经久不衰的首要攻击目标。各级政府部门、组织及单位应当关注自身基础设施安全建设,加强重要数据保护,避免机密数据外泄。软件行业因其复杂性和庞大性,将面临各种外来攻击风险,如何做到有效防范漏洞利用和供应链攻击显得尤为重要。金融领域目前作为获取经济利益的主要来源,未来或许也将逐渐转变为黑客组织为积蓄间谍攻击力量的储备资源。天际友盟提醒用户增强安全意识,加强邮件过滤和反欺诈措施,定时更新和维护安全软件,持续关注漏洞动态和安全领域的发展及变化,积极参与信息共享与合作,通过与其他金融机构、安全专家和政府部门的合作,共同应对间谍攻击威胁。时间APT 事件组织名
30、称攻击行业6 月 30 日MuddyWater 间谍组织新型 C2 框架 PhonyC2 揭秘MuddyWater教育6 月 29 日Kimsuky 组织利用 Chrome 远程桌面对韩国发起攻击Kimsuky6 月 29 日Red Wolf 伪造俄罗斯电商网页进行攻击RedCurl互联网6 月 29 日Diicot 挖矿组织已成功入侵 600 余台境内设备Diicot互联网6 月 28 日谷堕大盗团伙借助国内流行工具对企业用户发动水坑攻击谷堕大盗软件和信息技术6 月 27 日Lazarus 组织利用虚假的 ComcastVNC 软件开展钓鱼活动Lazarus6 月 25 日Muddled L
31、ibra 网络犯罪集团持续攻击 BPO 行业Muddled Libra软件和信息技术、互联网、通信、商业表 2 2023 年上半年 APT 组织活动时间表13时间APT 事件组织名称攻击行业6 月 23 日朝鲜组织 APT37 借助 Ably 服务开展间谍活动APT376 月 22 日黑客组织 APT28 入侵乌克兰政府邮件服务器APT28军队、政府6 月 21 日DeepBlueMagic 组织对以色列医疗中心发动勒索攻击DeepBlueMagic医疗6 月 20 日CL-STA-0043:针对中东和非洲政府的黑客组织CL-STA-0043军队、外交机构、政府6 月 20 日DoNot 组织
32、正在 Google Play 商店中部署 Android 间谍软件APT-C-35互联网6 月 19 日Kimsuky 组织使用各种标题的 CHM 文件传播恶意程序Kimsuky互联网、金融6 月 19 日新兴的罗马尼亚黑客组织 Diicot 追踪Diicot互联网6 月 16 日俄罗斯间谍组织 Shuckworm 长期入侵乌克兰Gamaredon军队、政府6 月 16 日ChamelDoH:ChamelGang 组织编写的 DNS-over-HTTPS 通信程序 ChamelGang航空航天、政府、能源6 月 16 日间谍软件 GravityRAT 伪装成通信程序进行分发SpaceCobra
33、通信6 月 12 日Asylum Ambuscade 网络犯罪组织揭秘Asylum Ambuscade金融、政府、互联网6 月 12 日黑客组织利用 Truebot 部署 Cobalt Strike 和 FlawedGrace 进行数据窃取与擦除FIN116 月 9 日Sidecopy 组织近期活动分析SideCopy军队、政府6 月 9 日响尾蛇组织针对巴基斯坦政府的最新攻击动态公开SideWinder政府6 月 9 日RomCom 组织瞄准乌克兰政客以及为在美乌克兰难民提供救助的美国医疗机构Tropical Scorpius医疗、政府6 月 8 日TA505 组织利用 MOVEit 漏洞实
34、行勒索活动TA505软件和信息技术6 月 7 日TAG-71 组织对亚洲国家和美国的金融机构发起攻击TAG-71金融6 月 7 日ITG10 组织疑似针对朝鲜关注的韩国组织和机构ITG10媒体、政府、能源6 月 6 日Kimsuky 组织以 生日祝福 诱饵文件散播 Quasar RAT 木马程序Kimsuky6 月 6 日Silence 组织正在积极投递 TrueBot 程序Silence软件和信息技术6 月 2 日SharpPanda 组织针对 G20 国家开展网络钓鱼攻击活动SharpPanda政府6 月 2 日Camaro Dragon 组织最新自定义后门 TinyNoteCamaro
35、Dragon政府6 月 1 日APT 组织 Dark Pink 卷土重来,影响 5 名新受害者Dark Pink5 月 31 日Void Rabisu 组织伪造知名软件网站部署 RomCom 后门Tropical Scorpius软件和信息技术表 2 2023 年上半年 APT 组织活动时间表142023 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业5 月 29 日黑客组织 RedBeard 活动披露RedBeard金融、工业、通信、商业5 月 26 日Kimsuky 组织再次使用定制工具 RandomQuery 进行间谍攻击Kimsuky社会组织、软件和信息技术5
36、月 26 日伊朗组织 Tortoiseshell 针对以色列多个网站发起水坑攻击Tortoiseshell运输、金融5 月 26 日新 APT 组织 GoldenJackal 攻击中东和南亚地区已超四年时间GoldenJackal政府5 月 25 日Patchwork 组织最新攻击动态追踪WhiteElephant教育5 月 25 日Volt Typhoon 组织瞄准美国关键基础设施Volt Typhoon通信、制造、运输、建筑、政府、软件和信息技术5 月 24 日印尼组织 GUI-vil 利用 AWS 进行盈利性的挖矿活动GUI-vil通信5 月 24 日印度白象组织向我国发起网络钓鱼攻击W
37、hiteElephant军队、政府5 月 23 日ScarCruft 组织借助付款主题的恶意文档投递 RokRat 木马APT375 月 23 日BlueNoroff 组织 RustBucket 恶意软件活动详情披露APT385 月 22 日APT28 利用多种网络钓鱼技术针对乌克兰民间组织APT28社会组织5 月 22 日Kimsuky 组织通过部署 Meterpreter 后门攻击韩国建筑公司Kimsuky建筑5 月 19 日Lazarus 组织近期针对 IIS Web 服务器发起攻击Lazarus软件和信息技术5 月 19 日SideWinder 组织持续攻击中国和巴基斯坦实体SideW
38、inder服务业、互联网、金融、媒体、政府5 月 18 日Hagga 组织近期针对哥伦比亚的攻击活动追踪Aggah金融、服务业、政府5 月 17 日8220 Gang 近期活动披露8220 Gang软件和信息技术5 月 17 日Camaro Dragon 通过在 TP-Link 路由器中部署恶意植入物攻击欧洲外交实体Camaro Dragon政府5 月 16 日黑客正通过易受攻击的服务器窃取韩国制造公司信息Xiaoqiying 和 Dalbit制造5 月 16 日Lancefly 组织使用定制后门 Merdoor 瞄准南亚等地区Lancefly航空航天、教育、运营商、政府5 月 12 日Sid
39、eCopy 新样本披露SideCopy军事、政府5 月 11 日APT 组织 Red Stinger 攻击活动披露Red Stinger军事、交通5 月 9 日黑客组织 APT37 近期活动及其工具 ROKRAT 感染链分析 APT37媒体、政府5 月 9 日UAC-0006 组织正积极分发 SmokeLoader 恶意软件UAC-00065 月 9 日SideWinder 组织针对巴基斯坦政府的最新活动追踪SideWinder政府表 2 2023 年上半年 APT 组织活动时间表15时间APT 事件组织名称攻击行业5 月 6 日SideCopy 利用印度核武器主题文件作为诱饵进行钓鱼攻击Si
40、deCopy军工5 月 6 日疑似黑客组织 TA569 的近期活动分析TA5695 月 6 日1877 Team:一个正在崛起的伊拉克黑客组织1877 Team政府、软件和信息技术、教育、通信、军队5 月 6 日Kimsuky 组织在全球范围内部署新侦察工具 ReconSharkKimsuky教育、政府5 月 5 日Earth Longzhi 组织最新 TTP 追踪Earth Longzhi软件和信息技术、医疗、政府、制造5 月 5 日Dragon Breath 组织使用双重 DLL 侧加载技术逃避检测Dragon Breath5 月 4 日Nomadic Octopus 组织通过入侵塔吉克斯
41、坦电信运营商成功监视 18 个实体Nomadic Octopus公共设施、通信、政府5 月 4 日黑客组织 Sandworm 利用 WinRAR 破坏乌克兰国家机构数据 Sandworm4 月 28 日Charming Kitten 组织近期 BellaCia 恶意软件活动分析Charming Kitten关键基础设施4 月 28 日Evasive Panda 组织针对国内用户投递恶意软件Daggerfly社会组织4 月 27 日Alloy Taurus 间谍组织构建 PingPull Linux 变体Alloy Taurus通信、金融、政府4 月 27 日黑客组织 FIN7 利用 VBR 漏
42、洞攻击服务器FIN7软件和信息技术4 月 26 日Educated Manticore 组织通过部署 PowerLess 后门瞄准以色列Educated Manticore4 月 25 日APT-LY-1007 组织针对俄罗斯军队的攻击活动分析APT-LY-1007军队、运输4 月 25 日BlueNoroff 黑客组织使用 RustBucket 攻击 macOSAPT38软件和信息技术4 月 25 日APT 组织 Tomiris 详情披露Tomiris政府4 月 24 日Lazarus 组织与 3CX 供应链事件存在关联Lazarus软件和信息技术4 月 23 日盲眼鹰组织针对哥伦比亚政府开
43、展网络钓鱼活动APT-C-36政府4 月 23 日Sidecopy 组织新木马行为披露SideCopy军工、政府4 月 23 日南亚 APT 组织 Patchwork 攻击国内高校和科研单位WhiteElephant教育4 月 21 日APT36 通过木马化的 Kavach 工具分发 Poseido 恶意软件Transparent Tribe政府4 月 21 日非洲电信公司遭 APT 组织 Daggerfly 入侵Daggerfly通信4 月 21 日疑似前 Conti 成员和 Fin7 组织联手开发新的 Domino 后门 FIN74 月 20 日伊朗黑客组织 Mint Sandstorm
44、瞄准美国关键基础设施 Charming Kitten关键基础设施、运输、能源表 2 2023 年上半年 APT 组织活动时间表162023 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业4 月 20 日俄罗斯组织 Gamaredon 针对乌克兰政府开展网络钓鱼活动Gamaredon政府4 月 19 日8220 Gang 组织借助 Log4Shell 漏洞部署挖矿程序8220 Gang能源、软件和信息技术4 月 17 日CNC 组织最新攻击动态揭露CNC教育4 月 17 日Transparent Tribe 组织利用 Crimson RAT 攻击印度教育部门Transpa
45、rent Tribe教育4 月 14 日APT 组织 Lazarus 下属活动集群 DeathNote 追踪Lazarus教育、汽车4 月 14 日Bitter 组织传播针对中国机构的 CHM 恶意软件BITTER4 月 12 日谷堕大盗团伙 gh0st 后门再次更新谷堕大盗软件和信息技术4 月 12 日WarSunflower 组织针对 CIS 国家及中亚地区开展间谍活动APT-LY-1006政府、航空航天4 月 11 日Karakurt 组织及 2022 年相关活动详情披露Karakurt4 月 11 日MuddyWater 和 DEV-1084 组织在勒索软件活动幌子下实施破坏性攻击Mu
46、ddyWater软件和信息技术4 月 11 日UNC4466 组织瞄准服务器备份软件以获取初始访问权限UNC4466软件和信息技术4 月 10 日8220 挖矿团伙来袭,多家企业主机已中招8220 Gang4 月 7 日投递 Gh0st 窃密木马的黑产团伙再增一员未知4 月 6 日钓鱼团伙利用 QQ 及微信传播恶意木马未知4 月 6 日网络间谍组织 Mantis 升级恶意软件以攻击巴勒斯坦APT-C-234 月 3 日TA473 组织利用 Zimbra 漏洞入侵欧洲政府 Webmail 门户网站 Winter Vivern政府3 月 31 日双尾蝎组织再次活跃,通过钓鱼网站投递木马程序 APT
47、-C-23软件和信息技术3 月 30 日Kimsuky 组织借助 ADS 隐藏恶意软件 Kimsuky3 月 30 日针对 Linux 服务器的恶意软件植入物 Mlofe 分析 APT413 月 30 日朝鲜新黑客组织 APT43 详情披露APT43教育、金融、政府、制造3 月 29 日Earth Preta 网络间谍组织最新 TTP 追踪Mustang Panda金融、运输、政府、制造、能源3 月 27 日APT 组织 BITTER 针对中国核能行业的钓鱼活动 BITTER核能、能源3 月 24 日中东电信运营商遭遇网络间谍袭击APT41通信3 月 24 日Kimsuky 组织正利用 One
48、Note 文件分发恶意软件Kimsuky教育3 月 24 日Evilnum 组织针对以色列地区的攻击活动分析Evilnum金融、互联网、通信3 月 23 日肚脑虫组织近期攻击手法披露APT-C-35政府表 2 2023 年上半年 APT 组织活动时间表17时间APT 事件组织名称攻击行业3 月 23 日朝鲜 APT37 组织 TTP 揭秘APT373 月 22 日SideCopy 组织针对印度国防部开展钓鱼活动SideCopy军队3 月 21 日DarkPink 组织袭击印度尼西亚外交及菲律宾军事部门Dark Pink军队外交机构3 月 20 日攻击者利用美国政府 IIS 服务器漏洞进行攻击T
49、A1,XE Group政府3 月 17 日亲俄 APT 组织 Winter Vivern 详情披露Winter Vivern通信、政府3 月 16 日Saaiwc 组织向印尼政府发起大规模网络攻击Dark Pink政府3 月 16 日YoroTrooper 间谍组织瞄准独联体国家APT-LY-1006医疗、政府、能源3 月 15 日APT 组织 Tick 攻击东亚 DLP 软件开发商Tick软件和信息技术3 月 14 日Dark Pink 组织利用 KamiKakaBot 袭击东盟国家政府实体Dark Pink政府3 月 13 日8220 Gang 组织利用 ScrubCrypt 加密器开展挖
50、矿活动 8220 Gang软件和信息技术3 月 10 日Transparent Tribe 组 织 通 过 虚 假 聊 天 程 序 植 入 Android CapraRAT 后门 Transparent Tribe政府、互联网3 月 10 日Kasablanka 组织针对中东、中亚等国实施钓鱼攻击Kasablanka政府3 月 10 日UNC4540 组织利用未打补丁的 SonicWall 设备开展间谍活动UNC4540软件和信息技术3 月 9 日RedEyes 组织伪装为金融公司投递 CHM 恶意软件APT37金融3 月 8 日新型僵尸网络犯罪团伙“落叶飞花”剖析落叶飞花3 月 8 日APT
51、-C-56 组织针对印度双平台的攻击组件披露Transparent Tribe军工、政府3 月 8 日疑似 Soul 后门来源于 Sharp Panda 间谍组织SharpPanda政府3 月 3 日Lazarus 组织再次借助某公证软件 0-Day 漏洞破坏韩国公司Lazarus3 月 3 日Mustang Panda 组织新后门 MQsTTang 剖析Mustang Panda政府3 月 2 日Iron Tiger 组织 2022 年活动披露APT27娱乐活动3 月 2 日盲眼鹰组织针对哥伦比亚关键行业发起钓鱼攻击APT-C-36金融、医疗、政府3 月 1 日Blackfly 间谍组织瞄准
52、亚洲材料技术领域Blackfly制造3 月 1 日WinorDLL64 后门疑似来自 Lazarus 组织武器库Lazarus2 月 28 日腾云蛇组织 2022 年攻击活动追踪APT-C-61政府2 月 28 日Kaiji 僵尸网络重现江湖,主导团伙曝光Ares2 月 27 日SideCopy 组织向印度政府投递 ReverseRAT 后门SideCopy政府表 2 2023 年上半年 APT 组织活动时间表182023 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业2 月 24 日新威胁组织 Clasiopa 瞄准亚洲材料研究单位Clasiopa制造业2 月 24
53、日响尾蛇组织利用疫情题材攻击我国高校SideWinder教育、政府2 月 23 日Hydrochasma 组织以亚洲医疗和航运部门为目标Hydrochasma医疗、运输2 月 22 日Gamaredon 组织借助 Hoaxshell 后门再次攻击乌克兰Gamaredon政府2 月 22 日Earth Kitsune 团伙通过水坑攻击植入 WhiskerSpy 后门Earth Kitsune2 月 21 日APT-LY-1006 针对东欧中亚地区的攻击活动披露APT-LY-1006政府2 月 21 日疯狂对华实施数据窃取的 ATW 组织大揭秘AgainstTheWest软件和信息技术、教育、政府
54、2 月 20 日两个 BEC 组织冒充高管对全球公司进行攻击Mandarin CapybaraMidnight Hedgehog2 月 20 日谷堕大盗针对金融、证券业的攻击活动追踪谷堕大盗金融2 月 17 日新 APT 组织 NewsPenguin 攻击巴基斯坦军事单位NewsPenguin军工、政府2 月 17 日WIP26 间谍组织入侵中东地区WIP26通信2 月 16 日APT37 组织通过 Hangul EPS 漏洞传播恶意代码APT372 月 16 日黑客组织 Dalbit 详情披露Dalbit软件和信息技术、建筑、制造业2 月 16 日Group-IB 近期遭遇 Tonto Te
55、am 团伙袭击Tonto Team软件和信息技术2 月 15 日APT-C-56 利用虚假诱饵简历投放 CrimsonRATTransparent Tribe2 月 14 日东南亚新 APT 组织 Saaiwc 持续借多国外交之名进行窃密活动Dark Pink军工、政府2 月 13 日疑似 DoNot 组织借助 Excel 附件攻击巴基斯坦国防部门APT-C-35军工2 月 10 日蔓灵花组织 2023 年初攻击行动与新组件揭秘BITTER2 月 10 日美德地区成为新威胁组织 TA866 长期钓鱼目标TA8662 月 9 日Nodaria 间谍组织在乌克兰部署 Graphiron 信息窃取程
56、序Lorec532 月 9 日黑客组织 Earth Zhulong 近期 TTP 剖析Earth Zhulong2 月 8 日盲眼鹰组织针对厄瓜多尔发起钓鱼攻击APT-C-36政府2 月 8 日APT-C-35 组织近期活动详情披露APT-C-352 月 7 日Lazarus 组织利用 Zimbra 设备漏洞入侵医学研究和技术部门Lazarus教育、军工、医疗、能源2 月 6 日Gamaredon 组织针对乌克兰当局开展间谍活动Gamaredon政府表 2 2023 年上半年 APT 组织活动时间表19时间APT 事件组织名称攻击行业2 月 6 日APT34 部署新恶意软件 MrPerfect
57、Installer 攻击中东组织APT342 月 6 日Mustang Panda 组织利用 PlugX 后门瞄准欧州实体Mustang Panda2 月 3 日Sandworm 组织借助 5 种擦除器攻击乌克兰新闻机构Sandworm新闻出版1 月 31 日UNC2565 组织持续改进 GOOTLOADER 恶意软件UNC25651 月 18 日疑似 Kasablanka 组织针对俄罗斯进行攻击活动Kasablanka政府1 月 17 日新 APT 组织 Saaiwc Group 针对东南亚军事、财政等部门进行攻击Saaiwc Group军工、金融、政府1 月 15 日BITTER 组织借助
58、 Office 组件漏洞对孟加拉国军事机构开展间谍活动BITTER军工1 月 14 日黑客组织 StrongPity 通过木马化 Telegram 程序监视安卓用户StrongPity互联网1 月 14 日Scattered Spider 组织利用 Windows 驱动程序漏洞攻击电信和 BPO 公司Scattered Spider通信、服务业1 月 13 日亲俄黑客组织 NoName057(16)对乌克兰和北约发起 DDoS 攻击NoName057(16)公共设施、金融、政府1 月 13 日APT 组织 MuddyWater 详情披露MuddyWater金融1 月 13 日Lazarus 组
59、织通过加密货币钱包推广信息开展网络钓鱼活动Lazarus互联网1 月 12 日新 APT 组织 Dark Pink 利用自定义恶意软件瞄准亚太地区政府和军方Dark Pink政府、军队、社会组织1 月 11 日Automated Libra 组织利用云平台资源进行挖矿Automated Libra软件和信息技术1 月 9 日俄罗斯间谍组织 Turla 通过 Andromeda 恶意软件攻击乌克兰Turla1 月 6 日Bluebottle 网络犯罪组织瞄准非洲法语国家银行Bluebottle金融1 月 6 日APT 组织盲眼鹰针对厄瓜多尔的近期活动分析APT-C-36金融1 月 4 日Raspberry Robin 蠕虫不断进化以攻击欧洲金融和保险部门DEV-0856金融1 月 3 日黑客组织利用 PureLogs 窃取程序入侵意大利Alibaba2044,PureCoder1 月 3 日APT-C-56 近期针对外贸行业发起网络钓鱼攻击Transparent Tribe服务业表 2 2023 年上半年 APT 组织活动时间表2023 年上半年全球主要 APT 攻击活动报告市场合作:mkttj- 客户服务:servicetj- 合作伙伴:partnertj-400-081-0700www.tj-您身边的数字风险防护专家