1、 安恒云沙箱 https:/ 安恒星图平台 https:/ 2 2023 年全球高级威胁态势研究报告 目 录 引言.6 高级威胁篇.9 2023年全球高级威胁综述.9 新披露的APT组织.12 1.由猎影实验室首次发现并命名.12 2.其他安全厂商披露.17 地缘下的高级威胁.27 1.北美地区.27 2.东欧地区.30 3.�������南亚地区.42 4.东亚地区.48 5.东南亚地区.60 6.中东地区.63 7.其他地区.7�����3 2023年高级威胁活动特点.74 1.以破坏为目的的攻击活动兴起.74 2.邮件服务器成为初始攻击的目标.75 3.面向开发人员的供应链攻击活动增加.76 4.针对加密货币行
2、业的攻击变本加厉.77 5.使用非主流编程语言作为逃避检测手段.77 6.商业服务与合法软件 API 被广泛使用.78 2024年高级威胁活动预测.78 1.借助 AI 的社会工程学攻击活动数量增多.78 2.基于地缘政治的网络间谍活�������动数量增多.79 安恒云沙箱 https:/ 安恒����星图平台 https:/ 3 2023 年全球高级威胁态势研究报告 3.针对移动、可穿戴设备的攻击活动兴起.80 4.针对供应链的攻击活动只增不减.80 5.云基础设施成为新的战场.80 网络犯罪篇.82 2023年网络犯罪团伙综述.82 1.被打击的网络犯罪团伙.82 2.新出现的网络犯罪团伙.86 3.针对我国
3、的黑灰产团伙.90 地缘下的黑客主义行动.104 1.俄乌冲突������.105 2.巴以冲突.110 勒索软件团伙.113 1.新出现的勒索软件团伙.114 2.持续活跃的勒索软件团伙.124 3.黑客雇佣组织.141 2024网络犯罪趋势预测.144 1.勒索赎金支付总金额大幅上升.144 2.勒索团伙的漏洞利用能力增强.145 3.针对云服务的勒索攻击将增加.147 4.出现更多的勒索源代码再利用.148 5.将人工智能应用于网络犯罪.150 6.针对国内的网络犯趋势可能会有所衰退.150 在野 0-day 漏洞篇.152 2023年在野0-da������y漏洞披露情况.152 2023年在野0-day漏洞
4、利用趋势.154 1.苹果设备跃升成为 0-day 漏洞攻击的头号目标.154 安恒云沙箱 https:/ 安恒星图平台 https:/ 4 2023 年全球高级威胁态势研究报告 2.提权 0-day 漏洞������数量继续维持高位.155 3.针对 Chrome 的 0day 攻击继续回落.157 4.操作系统 0day 比例继续上升,浏览器 0day 比例继续下降.158 5.以 Office 为载体的逻辑漏洞持续出现.158 2024年在野0-day漏洞利用预测.159������� 总结.161 安恒云沙箱 https:/ 安恒星图平台 https:/ 5 2023 年全球高级威胁态势研究报告 文档声明 本文
5、档内容是杭州安恒信息技术股份有限公司对 2023 年高级威胁态势研究所编写的文档。文中的资料、说明等相关内容均归杭州安恒信息技术股份有限公司所有。本文中的任何部分未经杭州安恒信息技术股份有限公司许可,不得转印、影印或复印。安恒云沙箱 https:/ ������安恒��������星图平台 https:/ 6 2023 年全球高级威胁态势研究报告 引言引言 2023 年,世界再次置身于巨大而不可预测的变革之中。全球地缘政治局势的演变,特别是一系列新兴威胁的不断涌现,使得网络安全面临着前所未有的挑战。过去一年,我们目睹了地缘政治动荡、科技进步和人类活动的交织,进一步深刻地塑造了数字时代的未来。在此背景下,俄乌、巴以冲突成为
6、焦点,对全球网络环境带来了严重的冲击。网络攻击不再仅仅是技术层面的挑战,更成为国家安全和全球稳定的关键元素。网络威胁的高级持续性表现出与以往不同的特征,其影响远远超越了数字世界的边界,渗透到现实社会的方方面面。安恒研究院猎影实验室根据对 2023 全年的高级威胁攻击事件、网络犯罪团伙的攻击活动以及�������在野 0-day 漏洞的分析,发布2023 年高级威胁态势研究报告。2023年网络空间态势呈现出以下特点:2023 年,安恒研究院猎影实验室首次发现并命名了 4 个 APT 组织:暗石(APT-LY-1005,Saaiwc Group)、暗影蓝鹊(APT-LY-1006,Shadow Blue Mag
7、pie)、机械鹰����(APT-LY-1007,Mechanical Eagle)、骷髅狼(APT-LY-1008,Skeleton Wolf)以及 3 个黑灰产组织:幽谍犬(GRP-LY-1002)、图穷之刃(GRP-LY-1003)、暗钩(GRP-LY-1004)。全球其他厂商共计披露了 37个 APT组织。新披露的 APT 组织如 CloudWizard、MoustachedBouncer、ShroudedSnooper 等在攻击中采用了大量的新型攻击武器,部分新披露组织的攻击地区主要集中在东欧及中东的 安恒云沙箱 https:/ 安恒星图平台 https:/ 7 2023 年全球高级威胁态势
8、研究报告 网络战场,如 Cadet Blizzard、OilAlpha、CL-STA-0043、Sandman、WildCa������rd 等,有些新曝光的 APT 组织在技术战术方向上与既有组织存在重叠,如 APT43、Tomiris、GoldenJackal 等。2023 年,全球最为活跃的 APT 组织依然是来自东亚地区的 Lazarus组织。该组织在全球范围内进行了多次供应链入侵,并持续从事加密货币窃取活动,占据总披露的 12.7%。其次是 Kimsuky、APT37 等主要专注于韩国的东亚 APT组织,分别占比 9.3%和 6.5%。东欧地区的老牌 APT 组织在 2023 年纷纷活跃,例如
9、Trula开发的 Snake 恶意软件感染了全球 50 多个国家;Gamaredon 使用 LitterDrifter 的新型 USB 蠕虫进行大规模情报收集;Sandworm 再次入侵乌克兰电网运营商网�������络,并引发乌克兰停电;APT28 利用 RoundCube 电子邮件服务器漏洞入侵乌克兰政府、军事实体;APT29 滥用 WinRAR 漏洞对欧洲各地大使馆进行攻击,目标包括意大利、希腊、罗马尼亚和阿塞拜疆。南亚地区也�����发展使用非主流编程语言开发的恶意软件,如 Sidewinder使用 Nim 后门针对南亚地区国家不丹、泥泊尔、缅甸等;Patchwork 使用Rust Loader 针对我国能源
10、、政府进行网络间谍活动。中东地区的网络攻击活动主要以监听或破坏基础设施为主,如 Charmi������ng Kitten 监听不同政见的本国公民;Agrius 多次对以色列教育和技术领域进行破坏攻击。2023 年,全球多个网络犯罪组织被绳之以法,包括在 2022 年排名前十的勒索软件家族之一的 Hive,暗网论坛 �����BreachForums以及 Genesis Mar 安恒云沙箱 https:/ 安恒星图平台 https:/ 8 2023 年全球高级威胁态势研究报告 ket,然而,新的勒索软件组织如 Cylance、MalasLocker、ESXiArgs、Money_Message、Akira、RaGr
11、oup、BlackSuit 等也相继涌现。对我国而言,黑灰产团伙往往在最后阶段采用������ Gh0st 远控木马,其钓鱼主题主要涉及发票、税务、财务、政策、证券、薪资、补贴等,对高价值目标还可能实施金融诈骗活动。受地缘冲突影响,俄乌以及巴以地区的 DDoS 攻击几乎没有间断,支持巴勒斯坦的黑客主题团体高达 70 余个,其中不乏在俄乌冲突中活跃的组织,如 Killnet、Anonymous Sudan 等。2023 年,全球各大厂商共披露了 55 个主流厂商的在野 0-day 漏洞,其中 CVE-2023-28252、CVE-2023-36033、CVE-2023-36802 等三个 Windows 内
12、核提权在野 0-day 漏洞由安恒信息捕获并提交。安恒云沙箱 https:/ 安恒星图平台 ht�������tps:/ 9 2023 年全������球高级威胁态势研究报告 高级威胁篇高级威胁篇 2023 年全球高级威胁综述年全球高级威胁综述 2023 年,国内外安全厂商披露了 30 余个新高级持续性威胁(APT)组织,引发了广泛的关注。特别值得关注的是,俄乌、巴以、印巴等地区的网络威胁活动呈现出明显的激增趋势。这一现象可能与这些地区长期存在的政治紧张和冲突密切相关,这些紧张局势可能激发了各方通过网络手段进行各种形式的信息战、网络侦察或报复性攻击。在这些地区,政治紧张和冲突往往不仅仅局限于传统的军事对抗,还扩展到了网
13、络领域。各方可能寻求通过网络攻击手段来获取对方的敏感信息、进行网络侦察,甚至实施报复性的网络攻击。这种情况使得网络空间成为国际竞争和冲突的一个重要战场,各国或组织通过网络手段谋取政治、军事和经济上的优势。2023 年,最为活跃的老牌 APT 组织仍然是 Lazarus,该组织在今年进行了多次����供应链攻击,主要针对全球金融、加密货币行业、IT、医疗等目标,与其有关的组织或子组 Andariel、BlueNoroff、ScarCruft 等也在持续更新攻击武器������。除 Lazarus 外,东亚地区其他 APT 组织 Kimsuky、Konni、APT37 等同样保持高度活跃,这些组织具有地域特点的攻击手
14、法是恶意 CHM、LNK文件的利用。东欧地区较为活跃的组织是 APT28、APT29 以及 RomCom。APT29在 2023 年专注于对外交实体的攻击,攻击目标主要为欧盟及北约国家。安恒云沙箱 https:/ 安恒星图平台 https:/ 10 2023 年全球高级威胁态势研究报告 APT28 主要�������利用电子邮件服务器漏洞入侵乌克兰及欧洲政府组织。RomCom 则实现了从经济动机活动到地缘政治立场的转变,开始在攻击活动中针对亲乌克兰的政府、医院、国防攻击及各种 IT 服务商。南亚地区较为活跃的组织包括 Sidecopy、Sidewinder、Donot、Patchwork 等。其中 Side
15、copy/Transparent Tribe 主要针对印度国防、军事组织,Sidewinder 及 Patchwork 的攻击目标以中国和巴基斯坦为主,Sidewinder创建了大量仿冒政府的域名用于网络钓鱼攻击,Patchwork 主要利用合法服务托管恶意负载及诱饵文件。中东地区随着巴以冲突的升级新增了大量的恶意软件和后门,主要用于窃取/监听目标的机密信息。其他活跃的高级威胁组织占比如下图:2023 年,由于朝鲜地区的威胁组����织高度活跃,因此全球高级威胁活动的目标国家中韩国的占比较高,其次是身处俄乌冲突的乌克兰地区,再其次是印度、美国、中国等地。全球高级威胁活动的目标国家/地区分布如下图:安恒
16、云沙箱 https:/ 安恒星图平台 https:/ 11 2023 年全球高级威胁态势研究报告 2023 年高级威胁活动�������主要专注于攻击政府、国防军事、外交、通信和能源等关键行业。政府机构是攻击的首要目标,因为涉及到国家治理、决策制定和国家安全的核心职能。针对国防军事领域的攻击旨在窃取军事机密、战略计������划和军事技术,对国家的军事优势构成直接威胁。外交领域同样成为网络间谍活动的热门目标,原因在于外交关系涉及到大量国家之间的重要信息交流和协商。此外,针对通信和能源行业的攻击也有所上涨,攻击者试图侵入通信网络,截取敏感通信内容或破坏通信基础设施。其他重点行业目标分布图如下:安恒云沙箱 https:/
17、安恒星图平台 https:/ 12 2023 ������年全球高级威胁态势研究报告 新披露的新披露的 APT 组织组织 1.由由猎影猎影实验室首次发现并命名实验室首次发现并命名 1)暗石(暗石(APT-LY-1005,Saaiwc Group)Saaiwc Group(又名 APT-LY-1005、暗石、Dark Pink)是安恒研究院猎影实验室于 2023 年 1 月披露的 APT 组织,该 APT 组织活动主要针对亚太地区的国家,受害者包括菲律宾军事机构、柬埔寨政府机构以及越南组织。Saaiwc Group 主要通过针对性的鱼叉式网络钓鱼电子邮件获取初始访问权限,然后加载其自定义工具包����,包括 Pow
18、erDism、NetKami、Cucky 和 Ctealer 信息窃取器,最终目的是窃取政府和军事组织的机密文件。其两项恶意软件加载核心技术包括:DLL 侧加载和事件触发执行(执行由文件类型关联触发的恶意内容)。该组织甚至还可以感染连接到受感染计算机的 USB 设备,并且能够访问受感染计算机上的 Messenger。安恒云沙箱 https:/ 安恒星图平台 https:/ 13 2023 年全球高级威胁态势研究报告 图 Saaiwc PowerDism恶意软件感染链 ������图 Saaiwc NetKami 恶意软件感染链 2)暗影蓝鹊(暗影蓝鹊(APT-LY-1006,Shadow Blue Mag
19、pie)暗影蓝鹊(又名 APT-LY-1006,Shadow Blue Magpie、YoroTrooper、战争葵花、WarSunflower)是安恒研究院猎影实验室于 2023 年 2 月披露的 APT 组织,该 APT 组织主要针对东�����欧及东亚地区国家的政府部门进行 安恒云沙箱 https:/ 安恒星图平台 https:/ 14 2023 年全球高级威胁态势研究报告 网络钓鱼攻击,以 ZIP/VHDX+LNK 文件的形式�������作为初始负载,引诱目标点击并下载后续窃密组件。其窃密组件使用多语言(C+、Pascal、Rust)进行开发,与 Kasablanka 组织存在一定的弱关联。图 暗影蓝鹊攻击
20、链 2023 年 3 月,国外安全厂商进一步确定暗影蓝鹊的目标包括欧盟医疗保健机构、世界知识产权组织(WIPO)以及阿塞拜疆和土库曼斯坦等欧洲国家的大使馆,该组织使用基于 Python 的、定制的和开源的信息窃取器,例如通过 Nuitka 框�������架和 PyInstaller 包装到可执行文件中的 Stink 窃取器。对于远程访问,该组织还部署了商用恶意软件,例如 AveMaria/Warzone RAT、LodaRAT 和 Meterpreter。安恒云沙箱 https:/ 安恒星图平台 https:/ 15 �������2023 年全球高级威胁态势研究报告 图 暗影蓝鹊攻击链 2023 年 10 月,该组织
21、被确认来自哈萨克斯坦,在攻击活动中使用假旗伪装成阿塞拜疆来源,并开始越来越多的使用跨平台(Python、Powershell、GoLang 和 Rust 语言编写的)恶意软件。3)机械鹰(机械鹰(APT-LY-1007,Mechanical Eagle)������机械鹰(又名 APT-LY-1007,Mechanical Eagle)是安恒研究院猎影实验室于 2023 年 4 月披露的 APT 组织,该组织的活动目标为俄罗斯国防、铁路部门。安恒云沙箱 https:/ 安恒星图平台 https:/ 16 2023 年全球高级威胁态势研究报告 图 机械鹰攻击链 主要攻击手法是通过�����远程模板注入执行恶意宏代码,
22、宏代码再加载 Javascript 指令释放后续远控木马 Cyrillic RAT。该组织诞生于俄乌网络战时期,主要攻击目的为窃取俄罗斯军事机密,且在半年时间内对攻击武器进行了升级。4)骷髅狼(骷髅狼(APT-LY-1008,Skeleton Wolf)骷髅狼(又名 APT-LY-1008,Skeleton Wolf)是安恒研究院猎影实验室于 2023 年 10 月披露的 APT 组织,该组织主要针对俄罗斯、白俄罗斯政府及国防部门进行网络钓鱼活动。图 骷髅狼攻击链 安恒云沙箱 https:/ 安恒星图平台 https:/ 17 2023 年全球高级威胁态势研究报告 该组织擅长制作精良的诱饵,�����在
23、活动中使用 WinRAR 最新漏洞(CVE-2023-38831)执行恶意指令,还使用基于专业的渗透测试框架的 Athena 后门。A�������thena 是 C#语言开发的后门,拥有 Windows、Linux、macOS 多平台版本,支持 HTTP、Websocket、Slack、Discard、SMB 等协议进行 C2 通信。攻击者可通过 Mythic平台自由配置 Athena支持的命令。2.其他其他安全安全厂商厂商披露披露 1)NewsPenguin NewsPenguin 是国外安全厂商于 2023 年 2 月披露的新 APT 组织,该组织主要针对巴基斯坦进行网络钓鱼活动,活动影响目标包括巴基
24、斯坦军事技术公司、国家机构和军事组织,PIMEC 会议的组织者、参展商和参观者等。下发恶意负载是一种高级间谍工具,能够连接 C2 服务器并根据接收到的攻击者命令,执行收集和发送受害主机的系统信息、运行附加������线程、上传或下载文件等一系列恶意操作。2)WIP26 WIP26 是国外安全厂商于 2023年 2 月披露的新 APT 组织,该组织长期针对中东的电信运营商开展间谍活动,其活动严重依赖公共云基础设施 Microsoft 365 Mail、Microsoft Azure、Google Firebase和 Dropbox 实现恶意软件交付、数据泄露和远控指令下发等目的,试图���������通过此方式使恶意 C2
25、网络流量看起来合法,从而躲避检测。安恒云沙箱 https:/ 安恒星图平台 https:/ 18 2023 年全球高级威胁态势研究报告 WIP26 的活动感染链通常始于包含指向恶意软件加载程序的 Dropbox链接的 WhatsApp 消息,攻击者通过精确定位员工,诱骗其下载和执行,最终在目标系统上部署利用 Microsoft 365 Mail 和 Google Firebase 作为 C2服务器的后门:CMD365 和 CMDEmber。另外,CMD365 ����和 CMDEmber还会通过伪装成例如 PDF 编辑器或浏览器等实用软件进一步诱导用户下载以执行远程命令。3)Clasiopa Clas
26、iopa 是国外安全厂商于 2023 年 2 月披露的新 APT 组织,该组织主要针对亚洲材料研究单位,通过对面向公众的服务器进行暴力攻击以获得访问权限。其工具集包括自制远控木马 Atharvan、开源远控工具 LilithRAT、黑客工具 Thumbsender 以及自定义代理工具等。有互斥体及密码线索表明,攻击者疑似来自印度。4)CloudWizard CloudWizard(此前称 BadMagic)是国外安全厂商于 2023 年 3 月披露的新 APT 组织,针对位于顿涅茨�������������克、卢甘斯克和克里米亚地区的政府、农业和运输组织展开了活跃的攻击。该组织在活动中使用了 PowerMagic后门和
27、 CommonMagic 框架。与 20�����16 年的 Groundbait 活动及 2017 年的 BugDrop 有关,活动可以追溯到 2008 年,在被披露后一直活跃至今。安恒云沙箱 https:/ 安恒星图平台 https:/ 19 2023 年全球高级威胁态势研究报告 5)APT43 APT43 是国外安全厂商于 2023 年 3 月披露的新 APT 组织,该组织支持朝鲜政府利益,具有情报收集和经济利益获取两层动机,主要目标为韩国、美国、日本和欧洲地区,目标行业涵盖政府、教育、研究、政策机构、商业服务和制造等。APT43 主要利用鱼叉式网络������钓鱼邮件和社会工程学等技术展开初始攻击,通过伪装
28、成目标专业领域内的关键人物发送消息以引诱目标用户点击,利用从受感染用户处窃取的联系人列表来识别更多目标以窃取加密货币,进而为其后续间谍活动提供资金。此外,APT43 还借助了大量自定义和开源的恶意软件来实现其攻击目的,例如 BabyShark������、FastFire、Gh0st RAT、Quasar RAT、Amadey等。安恒云沙箱 https:/ 安恒星图平台 https:/ 20 2023 年全球高级威胁态势研究报告 6)Tomiris Tomiris 是国外安全厂商于 2023 年 4 月披露的新 APT 组织,该组织疑似来源于俄罗斯,主要针对独联体国家政府和外交实体。Tomiris 组织使
29、用的初始攻击策略包括:带有恶意内容(如受密码保护的压缩文档、恶意文档、武器化的 LNK 文件等)的鱼叉式网络钓鱼电子邮件、DNS 劫持、ProxyLogon 漏洞利用等。Tomiris 基于多种语言编码的可快速开发的大量恶意软件,如用于部署后门或额外工具的恶意软件下载程序 Telemiris,用于进行侦察、命令 安恒云沙箱 https:/ 安恒星图平台 https:/ 21 20�����23 年全球高级威胁态势研究报告 执行、文件下载和上传操作的后门 JLORAT,用于爬取受害者文件信息的窃取程序 Roopy、JLOGRAB。此外,Tomiris 疑似与 Turla 组织存在关联或两者有合作开展恶意活
30、动的意图,其原因是 Turla 与 Tomiris 共享工具(KopiLuwak)和战术,且两者依赖于同一家供应商。7)OilAlpha OilAlpha 是国外安全厂商于 2023 年 5 月披露的新 APT 组织,该组织主要针对阿拉伯半岛,通过 Wha���tsApp 进行社会工程学攻击,后续下发 njRAT、SpyMax 和 SpyNote 等恶意软件,活动已持续近一年。该组织的大 安恒云沙箱 https:/ 安恒星图平台 https:/ 22 2023 年全球高级威胁态势研究报告 部分基础设施使用与也门政府下的电信公司 PTC有关。8)GoldenJackal GoldenJackal 是国
31、外安全厂商于 2023 年 5 月披露的新 APT 组织,该组织最早活跃于 2019 年 6 月,主要针对阿富汗、阿塞拜疆、伊朗、伊拉克、巴基斯坦和土耳其地区的政府和外交机构进行攻击活动。活动初始感染媒介为木马化的 Skype 安装程序和包含 Follina 漏洞(CVE-2022-30190)利用的恶意 Word文档,后续释放的恶意软件包括 JacklPerInfo:用于收集系统信息,JackalControl:用于远程控制目标计算�����机,JackalWorm:用于感染 USB驱动器并在其它计算机上传播,JackalSteal:用于从目标的所有逻辑驱动器中窃取数据,JackalScreenWat
32、cher:用于在目标设备上截取屏幕截图。此外,GoldenJackal 会将被黑客攻击的 WordPress 网站作为中继,通过注入到网站中的恶意 PHP 文件,将网络请求转发到实际的 C2 服务器。该组织也与 Tur���la 有战术上的重叠。9)Cadet Blizzard Cadet Blizzard 是国外安全厂商于 2023 年 6 月披露的新 APT 组织,疑似在俄罗斯 GRU 下运作。该组织在俄罗斯入侵乌克兰的一个月前,创建并部署����了 WhisperGate 恶意擦除软件,后将目标范围扩大至全球。Cadet Blizzard 主要根据俄罗斯军事或情报要求确定目标优先级,其主要针对乌克兰、
33、欧洲、中亚等地区的政府、��������执法部门、非盈利/非政府 安恒云沙箱 https:/ 安恒星图平台 https:/ 23 2023 年全球高级威胁态势研究报告 组织、IT 服务提供商及紧急服务等。该组织主要通过利用各种漏洞(如Confluence 服务器远程代����码执行漏洞 CVE-2021-26084、Exchange 服务器SSRF 漏洞 CVE-2022-41040)实现初始访问,部署商业 WebShell 或开源框架等实现后续恶意操作。10)CL-STA-0043 CL-STA-0043 是国外安全厂商于 2023 年 6 月披露的新 APT 组织,该组织主要针对中东和非洲政府进行网络间谍活动,主
34、要目标是获取高度机密和敏感信息,特别是与政治家、军事活动和外交部有关的信息。该组织在活动中使用的 TTP 包括:使用内存中的 VBS 植入物作为感染途径,使用 Potato 工具集和 Sticky Keys Attack 技术进行提权,利用新的渗透工具集 Yasso 进行横向移动,滥用 Exchange Management Shell 或 PowerShell脚本窃取电子邮件。11)MoustachedBouncer MoustachedBounce������r 是国外安全厂商于 2023 年 8 月披露的新 APT 组 安恒云沙箱 https:/ 安恒星图平台 https:/ 24 2023 年全球
35、高级威胁态势研究报告 织,该组织自 2014 年开始活跃,主要针对驻白俄罗斯大使馆。自 2020年之后,该组织开始使用合法的拦截系统(如 SORM)进行中间人攻击,将目标重定向至 C2 服务器,并通������过 SMB 交付恶意软件插件。该组织使用的两个独立工具集分别为 NightClub 和 Disco,功能上都��������支持额外插件,包括屏幕截图、音频录制和文件窃取器。12)ShroudedSnooper ShroudedSnooper 是国外安全厂商于 2023 年 9 月披露的新 APT 组织,主要针对中东电信提供商部署恶意软件 HTTPSnoop 和 PipeSnoop。HTTPSnoop 后门采用独特
36、的方法与 Windows 操作系统的 HTTP 内核驱动程序和设备进行交互,监听传入的 HTTP(S)请求,一旦检测到符合条件的 URL 请求,HTTPSnoop 将执行传入请求中包含的内容。PipeSnoop 则通过命名管道接收 Shellcode。这两个后门通常伪装成合法安全软件组件,使用户难以察觉�������。安恒云沙箱 https:/ 安恒星图平台 https:/ 25 2023 年全球高级威胁态势研究报告 13)Sandman Sandman 是国外安全厂商于 2023 年 9 月披露的新 APT 组织,主要针对中东、西欧和南亚次大陆的电信提供商部署基于 LuaJIT 平台的新型模块化后门 Lu
37、aDream。2023 年 8 月,Sandman 通过窃取管理凭据和进行侦察,成功使用 Hash 传递技术在 NTLM认证协议上渗透了特定目标的工作站。在获取访问权限后,攻击者将其活动限制在部署加载和执行 LuaDream 所需的文件和文件夹上,避免采取进一步的行动。最后滥用 DLL 劫�����持来加载 LuaDream,其恶意 DLL 文件伪装成了合法的用户访问日志(UAL)组件。活动中的 LuaDream 样本最早编译时间为 2022 年上半年,主要功能包括窃取系统和用户信息、管理攻击者提供的 LuaDream 扩展插件。14)Grayling Grayling 是国外安全厂商于 2023 年
38、10 月披露的新 APT 组织,主要针对中国台湾的制造、IT 和生物医学领域的公司与机构进������行情报收集活 安恒云沙箱 https:/ �����安恒星图平台 https:/ 26 2023 年全球高级威胁态势研究报告 动。Grayling 通过暴露在公网的服务器来获取初始访问权限,获得初始访问权限后利用漏洞 CVE-2019-0803 提升权限,进行网络扫描并下载后续有效负载:Havoc 框架、Cobalt Strike、Netspy 等。此外,Grayling 近期在攻击活动中还使用了一种独特的 DLL 侧加载技术,该技术使用自定义解密器来部署有效负载。15)WildCard WildCard 是国外安
39、全厂商于 2023 年 11 月披露的新 APT 组织,该组织自 2021 年 4 月开始使用 SysJoker 针对以色列教育部门,在 2022 年使用 DMAdevice 和 A�������ppMessagingRegistrar 恶意软件,2023 年 10 月,该组织开发使用了由 Rust 编写的后门 RustDown,重写了此前 SysJoker恶意软件的功能,仍然支持 Windows、macOS 和 Linux 多平台,同时开始使用OneDrive 而非 GooleDrive 来存储动态 C2 地址。该组织疑似与 Molerats有关,进行符合巴勒斯坦利益的的威胁活动。安恒云沙箱 https:
40、/ 安恒星图平台 https:/ 27 2023 年全球高级威胁态势研究报告 地缘下的高级威胁地缘下的高级威胁 1.北美地区北美地区 1)NS����A NSA 是美国国家安全局(National Security Agency)的缩写,是美国联邦政府负责处理国家安全信息和信号情报的机构。NSA 的主要任务包括收集、分析和解释全球范围内的通信和信号情报,以支持美国国家安全和国防政策。NSA 下属的 TAO(Tailored Access Operations)部门是美国国家安全局负责入侵指定目标的高度机密单位,专注于网络攻击和计算机网络操作。该部门由专业化的网络和计算机安全专家组成,致力于开发定制的网
41、络攻击工具,以执行对手系统的渗透测试和网络间谍活动。TAO 的任务包括全球范围的定制攻击,针对政府机构、军事组织和其他关键基础设施。2023年的主要 NSA活动披露见下表:时间时间 攻击描述攻击描述������� 2023.06 Triangulation 行动:未知恶意软件以 iOS设备为目标 2023.06 方程式组织攻击 iOS系统的历史样本分析 2023.06 漏洞利用后部署的植入程序 TriangleBD 分析 2023.09 网攻西工大的关键间谍软件 SecondDate揭秘 2023.10 Tria�������ngulation 行动出色的隐蔽性 2023.10 如何捕获 Triangulation 行动
42、相关的在野样本 安恒云沙箱 https:/ 安恒星图平台 https:/ 28 2023 年全球高级威胁态势研究报告 2)西北工业大学后续情况披露西北工业大学后续情况披露 作为去年 NSA 攻击西北工业大学大学时间的后续,国家计算机病毒应急处理中心在今年披露了 NSA����在攻击活动中使用的“二次约会”(Seco�����ndDate)间谍软件,“SecondDate”间谍软件主要部署在目标网络边界设备(网关、防火墙、边界路由器等),隐蔽监控网络流量,并根据需要精准选择特定网络会话进行重定向、劫持、篡改。“二次约会”(SecondDate)间谍软件具有服务端和控制端两部分。服务端部署于目标网络边界设备上,通过
43、底层驱动实时监控和过滤所有流量。控制端则通过发送特殊构造的数据包触发激活机制。一旦激活,服务端从激活包中解析回连 IP 地址并主动回连。网络连接采用 UDP 协议,�������全程通信加密,通信端口随机选择。控制端具有远程配置服务端工作模式和劫持目标的能力,可根据需要选择网内的任意目标进行中间人攻击。国家计算机病毒应急处理中心声称,经层层溯源,发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本,并发现被美国国家安全局(NSA)远程控制的跳板服务器,其中多数分布在德国、日本、韩国、印度和中国台湾。并且锁定了对西北工业大学发起网络攻击的美国国家安全局工作人员的真实身份。3)Trian
44、gulation 行动的披露行动的披露 在 2023 年 6月,Kaspersky 和俄罗斯联邦安全局情报和安全机构 FSB先后发布报告,公布了一起涉及 iPhone 的网络攻击事件。根据 Kaspersky 安恒云沙箱 https:/ 安恒星图平台 https:/ 29 2023 年全球高级威胁态势研究报告�������� 的报告,黑客利用了 iOS 漏洞,通过 iMessage 的零点击漏洞成功安装恶意软件。攻击完成后,消息和附件将被擦除,而有效负载将保留在后台并以 root 权限运行,以收集系统和用户信息并执行攻击者发送的命令。Kaspersky 将这次攻击活动命名为“三角测量行动”(Operation
45、 Triangulation),并指出该活动始于 2019 年,目前仍在持续进行中。FSB 发布的公告声称已在数千部苹果 iPhone 上发现了恶意软件感�����染,这些 iPhone 属于俄罗斯政府官员以及以������色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。图 Operation Triangulation的感染链 设备接收恶意 iMessage 附件,启动一系列漏洞利用,其执行最终导致启动 TriangleDB 植入。该攻击框架的核心是一个名为 TriangleDB 的后门,攻击者利用 CVE-2023-32434 获得目标 iOS 设备的 root 权限后部署该后门。感染链除了包含 Trian
46、gleDB 植入的漏洞和组件外,还包括两个验 安恒云沙箱 https:/ 安恒星图平台 https:/ 30 2023 年全球�������高级威胁态势研究报告 证器阶段,即 JavaScript 验证器和二进制验证器。这些验证器会收�����集有关受害设备的各种信息,并将其发送到 C2 服务器。然后,这些信息被用来评估植入 TriangleDB 的 iPhone 或 iPad 是否可以作为研究设备。通过执行这样的检查,攻击者可以确保他们的零日漏洞和植入物不会被摧毁。其中 JavaScript 验证器,除了执行各种不同的算术运算,以及检查组件的可用性外,还通过使用 WebGL 在粉色背景上绘制黄色三角形并计算其校验和
47、以识���������别浏览器指纹,这也是这次行动命名的由来。图 行动命名由来的背景图 Triangulation 活动的攻击者极其谨慎以避免被检测。通过使用未记录的私有 API 来进行攻击,攻击者展现了对 iOS 内部深刻的理解。值得一提的是,攻击者�������还在一些模块中实现了对 8.0 之前 iOS 版本的支持。此外,攻击中使用的一些组件包含的代码可能表明它们也面向 macOS系统。2.东欧地区东欧地区 自 2022 年该地区俄乌冲突爆发以来,今年东欧地区的高级威胁组织在网络领域展开的攻击活动维持了自去年开始的热度。相较于创造了历史新高的 2022 年,攻击活动并未显示任何减缓的迹象,反而上达到了新 安恒云沙箱 h
48、ttps:/ 安恒星图平台 https:/ 31 2023 年全球高级威胁态势研究报告 的高峰。1)针对各类重点目标的�����网络间谍活动针对各类重点目标的网络间谍活动 在俄乌冲突的背景下,该地区的网络间谍活动变得尤为频繁。各类重点目标,包括政府机构、军事基地、媒体组织以及关键基础设施������,都成为网络间谍活动的焦点。网络间谍者在俄乌冲突中采用了高度复杂的技术手段,以获取情报、破坏对手网络、操纵信息传播等目的。这包括 0-day 漏洞的利用、精心设计的社会工程学攻击、网络钓鱼和定向攻击等方式。其目标涵盖了从政治决策到军事计划,再到民间社会的多个层面。众多该地区的 APT 组织,如 Gamaredon、APT
49、28、Sandworm、RomCom等,在今年依然活跃。以获取目标信息为目的,大规模的钓鱼邮件攻击依然是今年该地区攻击的主要方式。a)RomCom RomCom(DEV-0978,Storm-0978)被认为是一个来自俄罗斯的 APT 组织,是一个高度复杂的 APT 组织。该组织自 2022 年 5 月以来参与勒索软件活动,并于 2022 年 10 月开始从事网络间谍活动。入侵行动中利用了经过特洛伊化的软件、钓鱼电子邮件,以及在今年攻击中 RomCom利用了 Microsoft Word 中的 CVE-2023-36884 和 CVE-2023�������-36584 远程代码执行漏洞。2023 年 7
50、月针对乌克兰加入北约的讨论的活动时,研����究人员发现了 安恒云沙箱 https:/ 安恒星图平台 https:/ 32 2023 年全球高级威胁态势研究报告 RomCom 使用了一个绕过 Microsoft 的 Web 标记(MotW)安全功能的新漏洞。该组织使用高度复杂且完善的漏洞利用链,利用 Microsoft Office中名为 CVE-2023-36884 的远程代码执行(RCE)漏洞,用恶意软件感染其目标。图 RomCom 针对北约峰会活动中的诱饵文件 该组织在 2023年的攻击事件时间表如下:时间时间 攻击描述攻击描述 2023.05 Void Rabisu 组织伪造知名软件网站部署
51、RomCom后门 2023.06 Rom������Com 重新浮出水面:针对乌克兰政客和美国医疗保健机构为乌克兰难民提供援助 2023.07 RomCom 利用北约峰会主题文件向乌克兰支持者传 安恒云沙箱 https:/ 安恒星图平台 https:/ 33 2023 年全球高级威胁态势研�����究报告 播木马程序 2023.07 Storm-0978 攻击揭示了经济和间谍动机 2023.07 Storm-0978 组织借助零日漏洞攻击欧洲和北美地区 2023.10 Void Rabisu 组织使用 ROMCOM 新变体针对女性政治领袖 2023.10 Operation HideBear:俄语威胁者将目标瞄准东
52、亚和北美 2023.11 RomCom 利用 CVE-2023-36884 漏洞攻击乌克兰组织 b)Gamaredon Gamaredon组织又名 Shuckworm、Armageddon、Primitive Bear、Actinium,是 Palo AltoNetworks 于 2017 年首次披露的威胁组织,最早的活动可追溯至 2013 年。该组织长期针对各东欧国家尤其是乌克兰的政府部门开展钓鱼攻击活动,常用的工具包括伪装成政府官方文件的各式诱饵、各类脚本程序以及多种自制的木马程序。2021 年 11 月,乌克兰安全局 SSU 将 Gamaredon 组织归因于俄��������罗斯联邦安全局 FSB����,并
53、称该组织自 2013 年以来策划了数千起针对乌克兰组织的攻击。随着俄乌战争局势逐步升级,Gamaredon 组织明显增加了其网络攻击频率,积极使用各种已知手法尝试渗透乌克兰政府、军营、警局等重点机构。今年 Gamaredon 组织相较往年,拓展了������武器库,使用了 Hoaxshell、LitterDrifter 等新开发的武器用于攻击活动。下图为常见的 Gamaredon 组织的钓鱼文档,Gamaredon 组织的诱饵大多是是以通知和文件为主题,此例文档是模仿乌克兰国家警察的文档投递的。安恒云沙箱 https:/ 安恒星图平台 https:/ 34 2023 年全球高级威胁态势研究报告 该组织在
54、2023年的攻击事件时间表如下:时间时间 攻击描述攻击描述 2023.01 Gamaredon组织利用 Telegram 瞄准乌克兰政府部门 2023.02 Gamaredon组织针对乌克兰当局开展间谍活动 2023.02 俄罗斯 APT 组织 Gamaredon 利用 Hoaxshell 攻击乌克兰组织 2023.04 暴露的 Web 面板揭示了 Gamaredon 的自动鱼叉式网络钓鱼活动 2023.08 RNBO调查了 Gamaredon 组织在乌克兰反攻期间的活动 2023.09 揭秘 Gamaredon 的快速通量基础设施��� 2023.11 Gamaredon 组织利用 USB 蠕虫病
55、毒 LitterDrifter 针对乌克兰 安恒云沙箱 https:/ 安恒星图平台 https:/ 35 2023 年全球高级威胁态势研究报告 c)APT28 APT28 是一个被认为与俄罗斯政府有关的网络威胁行动组织,也被称为“沙子熊”(Fancy Bear)或“镰刀熊”(Sofacy Group)。这个组织被认为活�����跃于网络领域,并专注于进行情报搜集、网络侦察和网络攻�������击,其活动范围主要集中在政府机构、军事机构、国际组织以及与俄罗斯政治、军事利益相关的目标。APT28 组织在 2023年主要事件如下表:时间时间 攻击描述攻击描述 2023.04 APT28 利用已知漏洞在思科路由器上进行侦察
56、和部署恶意软件 2023.04 APT28 网络钓鱼邮件攻击:主题为“操作系统更新”2023.05 APT28 利用多种网络钓鱼技术瞄准乌克兰民间社会 2023.06 BlueDelta 利用乌�������克兰政府 Roundcube 邮件服务器支持间谍活动 2023.����06 APT28 在针对乌克兰的威胁活动中采取了威胁漏洞的攻击形式 2023.07 APT28 组织利用网络钓鱼攻击获取公共邮件服务的身份验证数据 2023.07 APT28 入侵了 RoundCube、Zimbra 服务器,以便针对乌克兰、西班牙、印度尼西亚和法国的政府实体进行网络钓鱼活动 2023.09 APT28 组织通过钓鱼邮件进行
�����57、网络攻击 2023.09 APT28 组织发起 Steal-It活动窃取用户信息 2023.10 CVE-202�������3-38831 被亲俄黑客组织利用进行凭证收集行动 d)APT29 APT29,又称为 Cozy Bear 或 The Dukes,是一支源自俄罗斯的高级 安恒云沙箱 https:/ 安恒星图平台 https:/ 36 2023 年全球高级威胁态势研究报告 持续性威胁团队,其主要活动领域包括政府机构、军事机构和大型企业。以高度专业化和长期渗透为特点,APT29 使用先进的攻击技术和工具,包括定制的恶意软件和社交工程手段,旨在窃取敏感信息和进行情报搜集。2021 年,美国政府发布声明,
58、将 APT29 组织(SVR)列为 SolarWinds供应链事件的肇事者,自此 UNC2452、Nobelium 等威胁组织名称均合并至 APT29。该组织在 2023年的攻击活动如下表:时间时间 攻击描述攻击描述 2023.01 BlueBravo 组织使用 Ambassador Lure 部署 GraphicalNeutrino 2023.03 复杂的 APT29活动滥用 Notion API 以欧盟委员会为目标 2023.03 NOBELIUM 利用波兰大使访美的机会瞄准援助乌克兰的欧盟政府 2������023.04 与俄罗斯情报部门有关的间谍活动 2023.04 APT29 近期利用 Coba
59、ltStrike 开展攻击活动 2023.06 揭露 RDStealer 针对东亚基础设施的有针对性的网络攻击 2023.07 APT29 在新的网络活动中冒充挪威大使馆 2023.07 APT29 分发以外交行动为主题的网络钓鱼邮件 2023.07 俄罗斯 APT29组织历史活动披露 2023.07 APT29 近期仿冒德国大使馆下发恶意 PDF文件 2023.07 BlueBravo 利用 GraphicalProton 恶意软件瞄准外交实体 2023.08���������� APT29 借助 Microsoft Teams 服务针对全球组织开展钓鱼活动 2023.08 APT29 组织使用德国大使馆外交内
60、容作为诱饵传播恶意 PDF文件 2023.09 反向渠道外交:APT29 快速发展的外交网络钓鱼操作 2023.11 APT29 利用 CVE-2023-38831 漏洞针对欧洲多国大 安恒云沙箱 https:/ 安恒星图平台 https:/ 3�����7 2023 年全球高级威胁态势研究报告 时间时间 攻击描述攻击描述 使馆 e)Sandworm Sandworm,又被称为 Voodoo Bear 和 BlackEnergy,被 NCSC、CISA和 FBI 归因于俄罗斯国防部情报总局 GRU 下设的特殊技术主要中心 GTsST。该组织������的历史恶意活动包括 2015 年乌克兰电网事件、2016 年再次
61、利用 Indus��������troyer 恶意软件切断乌克兰电力、2017 年利用 NotPetya 针对乌克兰进行勒索软件攻击、2018 年对冬奥会及残奥会的攻击以及 2019 年针对格鲁吉亚的破坏性攻击。在今年 Sandworm也参与了多起针对基础设施的攻击活动,见下表:时间时间 攻击描述攻������击描述 2023.01 对 Ukrinform 信息和通信系统的网络攻击 2023.01 Sandworm组织借助 5 种擦除器攻击乌克兰新闻机构 2023.03 合同确定了俄罗斯公司 NTC Vulkan 的网络运营项目 2023.04 疑似 Sandworm 使用 WinRAR 擦除乌克兰国家机构的数据 202
62、3.08 SBU 揭露俄罗斯情报机构试图渗透武装部队的规划作战系统 2023.08 Inknown Chisel恶意软件分析报告 2023.10 Sandworm入侵乌克兰 11 家电信提供商以部署 PoemGate后门 2023.11 沙�������虫利用针对运营技术的新型攻击破坏了乌克兰的电力 f)Turla Turla 是一支源自俄罗斯的高级持续性威胁(APT)组织,又被称为 安恒云沙箱 https:/ 安恒星图平台 https:/ 38 2023 年全球高级威胁态势研究报告 Waterbug、Venomous Bear 和 Krypton。以高度隐秘和复杂的攻击方式而著称,其活动范围涵盖政府机构、
63、军事组织、外交使团和大型企业。Turla 使用先进的攻击技术,包括零日漏洞利用、自定义恶意软件和精密的钓鱼攻击,致力于长期潜伏于目标网络中,进行持续的情报搜集。多年来,该组织开发并维护了一套庞大的攻击工具。Turla 擅长用被破坏的网络服务器和被劫持的卫星作为其������� C2 基础设施,在活动中不直接与 C2 服务器通信,而是将目标网络中被破坏的主机作为代理,将流量转发至真正的C2 服务器。在今年,Turla 的攻击活动中也使用了更新的武器库,见下表:时间时间 攻击描述攻击描述 2023.01 俄罗斯间谍组织 Turla 通过 Andromeda 恶意软件攻击乌克兰 2023.05 FBI查获 Tur
64、la的 Snake恶意软件并进行大规模清除 2023.07 Secret Blizzard 利用 DeliveryCheck 对乌克兰和东欧的国������防部门进行有针对性的攻击 2023.10 Pensive Ursa 在近期活动中使用 Kazuar 新变种开展攻击活动 g)Winter Vivern Winter Vivern 是一个在今年逐渐崭露头角的 APT 组织,其运作有着俄罗斯官方背景。DomainTools 最初在 2021 年初公开了该组织,命名来源于一个初始的命令������与控制信标 URL 字符串“wintervivern”,该字符串现已不再使用。随后,Lab52 在几个月后分享了额外的分析,
������65、识别了与 Winter Vivern 相关的新活动。自那时以来,该组织一直避免公开曝光,直到今年对乌克兰的攻击,见下表:时间时间 攻击描述攻击描述 安恒云沙箱 https:/ 安恒星图平台 https:/ 39 2023 年全球高级威胁态势研究报告 时间时间 攻击描述攻击描述 2023.02 UAC-0114 针������对乌克兰和波兰政府实体的活动 2023.03 Winter Vivern 全球间谍活动披露 2023.03 Winter Vivern 使用已知的 Zimbra 漏洞来瞄准欧洲与北约结盟的政府的网络邮件门户 2023.08 MoustachedBouncer 组织针对白俄罗斯大使馆进行
66、间谍活动 2023.10 Winter Vivern APT 组织使用 0-day 漏洞破坏了欧洲政府实体的 Roundcube 电子邮件服务器 h)其他组织其他组织 该地区在今年也有可观数量来自其他组织的攻击活动,涉及的组织包含 Ghostwriter、Cadet Blizza������rd、XDSpy、Dark River等,见下表:时间时间 攻击描述攻击描述 2023.02 对 Ghostwriter 集团的深入了解 2023.06 Cadet Blizzard 成为新颖独特的俄罗斯威胁演员 2023.06 APT组织 UAC-0057 传播宏病毒 2023�������.07 乌克兰及波兰成为白俄罗斯组织 U
67、NC1151 长期钓鱼目标 2023.07 XDSpy 针对俄罗斯私营公司与研究机构的攻击活动分析 2023.08 MoustachedBouncer 组织针对白俄罗斯大使馆进行间谍活动 2023.08 GhostWriter(UAC-0057)利用 CobaltStrike 和 PicassoLoader 针对乌克兰的攻击活动分析 2023.09 Dark River 组织针对俄罗斯国防工业部署 MataDoor后门 2023.11 XDSpy������ 组织针对俄罗斯冶金和军工领域公司 其中 Cadet Blizzard 是今年最新披露的攻击组织,是一支由俄罗斯 GRU(俄罗斯联邦武装力量总参谋部情
68、报总局)赞助的威胁组织。微软在2022 年 1 月中旬发生在乌克兰多个政府机构的混乱和破坏事件后开始跟 安恒云沙箱 https:/ 安恒星图平台 https:/ 40 2023 年全球高级威胁态势研究报告 踪该组织。该组织通常会在受影响网络上进行渗透并保持立足点数月之久,通常在进行破坏性行��������动之前窃取数据。Cadet Blizzard 旨在进行破坏、摧毁和信息收集,他们在攻击时会利用任何可用手段。2)对基础设施的攻击持续并升级对基础设施的攻击持续并升级 区别于大多数由地缘政治派生的 APT 组织的目标主要是信息刺探,俄乌冲突的双方为了削弱对方的能力,基础设施已经成为了重要的攻击目标。这其中包括电
69、力系统、通信网络和关键的国家基础设施。12 月 12 日,乌克兰国防情报局(GUR)宣布成功用恶意软件感染并瘫痪了俄罗斯国家税务系统的数千台服务器并破坏了数据库和备份。根据乌克国防情报局的说法,俄罗斯联邦税务局的基础设施已经“被完全摧毁”,“多年来确保俄罗斯税务系统正常运转的配置文件也被销毁”,这导致俄罗斯联邦税务局系统已经连续瘫痪四天。乌克兰国防情报局甚至宣称俄罗斯联邦税务系统至少要瘫痪一个月,而且“永远不会从攻击中完全恢复”。2022 年 11 月,该机构曾宣布对俄罗斯政府民航局遭遇的“一次成功的网络攻击”负责。在今������年的行动中,乌克兰方面大幅度升级了对俄罗斯基础设施的破坏规模。安恒云沙箱
70、https:/ 安恒星图平台 https:/ 41 2023 年全球高级威胁态势研究报告 在乌克兰官方承认攻击不久之后,作为对本次攻击的回应,乌克兰最大的移动运营商 Kyivstar(基辅之星)遭遇严重网络攻击,导致该公司官方网站下线,发生�������全国性的通信和数据服务中断。“基辅之星”拥有 2400 万用户,断网引发了乌全国性移动通信和互联网接入瘫痪,同时乌克兰国家储蓄银行等多家金融机构报告当天遭到网络攻击并出现大范围服务�������终端瘫痪。此外,“基辅之星”断网还导致乌首都 安恒云沙箱 https:/ 安恒星图平台 https:/ 42 2023 年全球高级威胁态势研究报告 基辅市、基辅州、苏梅州、第聂伯罗
71、彼得罗夫斯克州、切尔卡瑟州、利沃夫州等多个州的市政及防空警报系统出现故障。3.南亚地区南亚地区 南亚地区 2023 年活跃的攻击组������织包括 Patchwork 组织,该组织今年针对国内单位发起了多次攻击活动,Sidewinder 依然瞄准巴基斯坦地区,与 Transparent Tribe 存在关联的 Sidecopy 组织今年也进行了多起攻击,Donot,Confucius 组织活跃性下降。1)Patchwork Patchwork 又名白象,摩诃草,是一个来自于南亚地区的 APT 组织。该组织最早由 Norman 安全公司于 2013 年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活
72、动。白象 APT 组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动。相关攻击活动最早可以追溯到 2009 年 11 月,并且历年来攻击十分活跃。在针对国内的攻击中,该����组织主要针对政府、军工、科研教育领域等发起攻击。该组织在 2023 年的攻击事件时间表如下:时间时间 攻击描述攻击描述 2023.04 Patchwork 针对境内教育科研单位发起攻击行动 2023.05 Patchwork 向我国发起网络钓鱼攻击 2023.05 Patchwork 组织最新攻击动态追踪 2023.05 Patchwork 组织新型攻击武器报告-EyeShell 武器披露 2023.06 Patchwor
73、k 盯上国内军工和高校,�������网络攻击持续不断 安恒云沙箱 https:/ 安恒星图平台 https:/ 43 2023 年全球高级威胁态势研究报告 Patchwork 组织 2023 年的主要攻击目标为中国境内的教育科研、军工单位以及政府部门。攻击方式跟去年利用文档相关漏洞加载 Shellcode相比,今年则均使用伪造为文档的 lnk 来执�������行恶意代码。这表明该组织具有将流行的攻击手法快速融入进自己的攻击活动中的能力。该组织在今年不断升级其长期使用的 BADNEWS 木马后门,如 2023年 4 月研究人员披露利用名为“全国妇联 2023 年修订妇女权益保障工作指导意见”、“先进结构与复合材料等 4
74、 个重点专项 2023 年度项目申报指南的通知”、“长江设计集团有限公司 2023 年度招聘公告”的邮件附件来加载新的 BADNEWS 木马。6 月,该组织又利用“国家重点研发计划”、“先进结构与复合材料”等话题下发更新后的 BADNEWS 木马攻击我国军工单位及高校。此外该组织在今年的攻击中使用了多款新型后门。5 月份,安全人员披露新型 C#后门 EyeShell 被用于与 BADNEWS 后门配合使用,随后发现该组织使用名为“Havoc”的开源木马框架。7 月份,该组织利用 WarHawk 后门变种 Spyde������r 对中国、巴基斯坦、尼泊尔警察局、孟加拉国空军进行了攻击。11 月,研究人员发
75、现 Patchwork 组织利用之前披露的 Spyder木马下发 Remcos 后门。12 月,安恒研究院猎影实验室捕获了该组织针对我国的攻击活动。2023.07 Patchwork 利用 WarHawk 后门变种 Spyder 窥伺多国 2023.09 Patchwork BADNEWS新型样本分析 2023.11 Patchwork 组织借助 Spyder下载器投递 Remcos 木马 安恒云沙箱 https:/ 安恒星图平台 https:/ 44 2023 年全球高级威胁态势研究报告 2)Sidewinder Sidewinde�������r 又名响尾蛇、Razor Tiger,是一个具有南亚背景的
76、 APT 组织,该组织长期针对中国和巴基斯坦等亚洲国家的政府,教育,能源,军事,矿产等领域进行敏感信息窃取活动。该组织在 202������3 年的攻击事件时间表如下:Sidewinder 组织今年主要的攻击目标包括巴基斯坦政府、军事、航空等部门以及中国高校。与去年相比,巴基斯坦实体仍然是他们的主要利益目标,但针对中国高校的攻击也从未停止,此外还发现了针对不丹以及土耳其的攻击活动。根据研究人员披露的多篇报告,Sidewinder 组织在 2023 年多次利用巴基斯坦政府官方文件作为诱饵,再精心制作成带有宏的 Office 文档、释放 PDF 的 LNK 文件以投放给攻击目标。该组织在 2023 年针对巴基
77、斯坦的攻击活动可以看做 2022 年攻击活动的������延续,不管是从初始攻击手段,基础设施的特点,还是后续木马的加载基本都与 2022 年的技术手段类似。一直以来,该组织就在针对中国高校发起攻击活动,根据 2 月份研究人员披露的两篇报告,该组织在 2022 年 11 月首先注册目标高校个人邮时间时间 攻击描述攻击描述 2023.01 Sidewinder组织借政府官方文档攻击巴基斯坦 2023.02 Sidewinder组织瞄准国内高校展开钓鱼 2023.02 Sidewinder组织利用疫情题材攻击我国高校 2023.05 Sidewinder组织针对巴基斯坦政府的最新活动追踪 2023.06 Si
78、dewinder组织使用 DLL 劫持攻击巴基斯坦政府 2023.08 Sidewinder组织针对巴基斯坦������航空公司钓鱼活动 2023.11 Sidewinder组织瞄准南亚国家分发 Nim后门 安恒云沙箱 https:/ 安恒星图平台 https:/ 45 2023 年全球高级威胁态势研究报告 箱地址的虚假域名,然后向该高校下属公共管理学院的行政办公室邮箱发送包含恶意附件的鱼叉式钓鱼邮件。邮件附件中包含恶意 LNK 文件,受害者双击 LNK文件后会加载该组织常用的的.NET 木马以窃取信息。图 Sidewinder 使用的政府文件诱饵 3)Sidecopy Sidecopy 是具有南亚某国政
79、府背景的 APT 组织,因模仿南亚地区另一 APT 组织 Sidewinder 的攻击手法而得名。该组织主要围绕印度政府、国防、军事相关人员进行��������网络攻击,下发 CetaRAT、DetaRAT、AllakoreRAT 等多种远控木马以窃取目标主机信息。2022 年,Side�����copy 组织被发现与同地区组织 TransparentTribe 共用基础设施,加之攻击目标相同,二 安恒云沙箱 https:/ 安恒星图平台 https:/ 46 2023 年全球高级威胁态势研究报告 者同属的谜底就此揭开。该组织在 2023 年的攻击事件时间表如下:Sidecopy 组织在 2023 年对印度政府,军事部
80、门进行了多次攻击。2月份该组织使用鱼叉式钓鱼邮件攻击了印度政府;3 月份又利用“风险及困难津贴的发放”的名义向印度国防部发送恶意 LNK 文件并加载木马;4 月份研究人员发现该组织利用“沙特代表团访问印度的名������义”进行钓鱼攻击,并且攻击载荷挂载在印度大型制造商和出口商的官网下,这表明该组织除攻击印度政府军事部门外,也会获取印度大型企业的网络访问权限以部署进一步的攻击;5 月研究人员披露了该组织利用“核导弹”相关诱饵对“印度国防研究与发展组织”进行攻击;6 月安恒中央研究院猎影实验室披露该组织利用新后门 FetaRAT 攻击印度国防,军事部门以窃取信息,同时该组织再次将后门程序托管在一家印度公司网
81、站;7 月以及10 月,研究人员再次捕获到该组织使用 AllaKoreRAT 对印度政府、国������防部门进行攻击。Sidecopy 组织在今年的攻击活动中使用了多款 RAT 以窃取信息,不时间时间 攻击描述攻击描述 2023.01 Sidecopy组织最新攻击武器披露 2�������023.02 Sidecopy组织向印度政府投递 ReverseRAT后门 2023.03 Sidecopy组织针对印度国防部开展钓鱼活动 2023.04 Sidecopy组织使用新木马对印度展开攻击 2023.05 Sidecopy利用洁净室、核导弹为话题的攻击活动 2023.06 Sidecopy 针对印度国防、军事部门下发新后
82、门 FetaRAT 2023.07 Sidecopy组织针对印度政府部门的攻击活动 2023.10 Sidecopy 在针对印度国防部的活动中使用最近的 WinRAR漏洞 安恒云沙箱 https:/ 安恒星图平台 https:/ 47 2023 年全球高级威胁态势研究报告 仅有之前就披露过的 ReverseRAT 以及 AllaKoreRAT 的升级版,根据开源项目修改而来的 Spark RAT,也有首次披露的 FetaRAT、DRAT。除使用Golang 开源项目修改而来的������� Spark RAT,其他 RAT 均使用 C#语言开发生成。图针对印度国防部的诱饵 安恒云沙箱 https:/ 安恒星
83、图平台 https:/ 48 2023 年全球�������高级威胁态势研究报告 图针对印度政府的诱饵 4.东亚地区东亚地区 东亚地区活跃的 APT 组织有 Lazarus、APT37、Kimsuky。Lazarus 仍然是该地区乃至全球攻击频率最�������高,攻击范围最广,攻击技术最复杂的组织。同时,APT37 和 Kimsuky 也是东亚地区的重要威胁,二者对韩国的各行各业进行了多次攻击。1)Lazarus Lazarus 组织又名 APT38,Zinc,被认为是来自朝鲜的 APT 组织。攻击目标遍布全球,最早的活动时间可以追溯至 2007 年,其主要目标包括国防、政府、金融、能源等。早期主要以窃取情报为目的,自
84、 2014 年后 安恒云沙箱 https:/ 安恒星图平台 https:/ 49 2023 年全球高级威胁态势研究报告 进行业务扩张,攻击目标拓展到金融机构、虚拟货币交易所等具有较高经济价值的对象。资料显示,2014 年索尼影业遭黑客攻击事件、2016 年孟加拉国银行数据泄露事件、2017 年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及针对众多国家国防和航空航天公司的攻击等事件皆被认为与此组织有关。该组织在 2023 年的攻击事件时间表如下:时间时间 攻击描述攻击描述 2023.01 Lazarus 组织通过加密货币钱包推广信息开展����网络钓鱼活动 2023.01 Lazarus
85、对 Harmony的 Horizon Bridge 货币盗窃负责 2023.02 Lazarus 组织利用 Zimbra 设备漏洞入侵医学研究和技术部门 2023.02 WinorDLL64 后门疑似来自 Lazarus组织武器库 2023.02 Lazarus 利用公共机构和高校广泛使用的公证软件漏洞 2023.04 Lazarus通过 3CX 供应链攻击部署 Gopuram后门 2023.04 APT组织 L�������azarus 下属活动集群 DeathNote 追踪 2023.04 Linux 恶意软件加强了 Lazarus 与 3CX 供应链攻击之间的联系 2023.04 BlueNoroff
86、 APT 组织使用 RustBucket 恶意软件针对macOS 2023.06 Lazarus Group 可能对价值 3����500 万美元的加密货币盗窃负责 2023.06 Lazarus对 NPM的复杂持续攻击 2023.06 Lazarus 组织利用虚假的 ComcastVNC 软件开展钓鱼活动 2023.06 Lazarus子组 Andariel 新的恶意软件 EarlyRAT 披露 2023.06 KR 国家情报院确认至少 50 个组织受到 Lazarus 零日漏洞攻击 2023.07 Lazarus针对科技公司员工开展社会工程活动 2023.07 Lazarus组织瞄准多平台加密货币
87、业务开发人员 安恒云沙箱 https:/ 安恒星图平台 https:/ 50 2023 年全球高级威胁态势研究报告 纵观 Lazarus 组织 2023 年的大量攻击活动,具有以下三个鲜明的特点:a)对于加密货币的持续窃取对于加密货币的持续窃取 自 2014 年加密货币大热以来该组织持续对加密货币行业进行攻击以窃取虚拟货币,近两年加密货币虽有降温但 Lazarus 组织仍然在持续的对其进行攻击以获取巨额利益。该组织会采取多种方式进行攻击,如伪装为加密货币钱包从来向用户投放恶意 ISO 文件,最终加载该组织常用的时间时间 攻击描述攻击描述 2023.07 Laza�������rus 组织入侵韩国 Windo
88、ws IIS 服务器以分发恶意软件 2023.07 Lazarus借助 JumpCloud 服务袭击美国软件公司 2023.08 Lazarus针对加密货币行业发起开源供应链攻击 2023.08 Lazarus 组织通过 ManageEngine 历史漏洞部署 QuiteRAT 2023.08 Lazarus组织持续开展 VMConnect 供应链攻击活动 202������3.09 Lazarus针对安全研究人员的攻击活动公开 2023.09 Lazarus组织伪装为招聘人员攻击西班牙航空公司 2023.10 Lazarus 组织工具 Volgmer 后门及其加载器 Scout 分析 2023.10 L
89、azar������us 组织利用 TeamCity 服务器漏洞实施软件供应链攻击 2023.10 Lazarus组织瞄准软件供应商部署 SIGNBT 恶意软件 2023.11 Lazarus 试图用新型 macOS 恶意软件感染区块链工程师 2023.11 Lazarus再次发起新的 macOS恶意软件攻击 2023.11 Lazarus子组利用 Apache ActiveMQ 漏洞安装 NukeSped 后门 2023.11 朝鲜黑客组织利用求职流程开展攻击活动 2023.11 Lazarus 组织入侵台湾讯连科技公司以实施供应链攻击 安恒云沙箱 https:/ 安恒星图����平台 https:/ 51 2
90、023 年全球高级威胁态势研究报告 NukeSped 后门;该组织还会利用社会工程学,创建一个或多个虚假角色帐户来冒充开发人员或招聘人员,向目标发送含有恶意 NPM 依赖项的软件;此外研究人员还发现该组织试图冒充区块链社区成员说服工程师安装新型 macOS恶意软件。b)频繁的漏洞利用频繁的漏洞利用 Lazarus 组织在今年的攻击中�������使用了多个漏洞入侵系统,并且这其中包含未公开的 0-day 漏洞。对于这些漏洞的成功利用让该组织入侵了大量的组织及实体,如在 2 月份,研究人员披露 Lazarus 利用 �������Zimbra 设备漏洞成功入侵了目标系统,并将此次事件命名为“No Pineapple”。目前
91、,该恶意活动的目标包括印度的一家医疗保健研究机构、一所领先研究型大学的化学工程系,以及一家能源、研究、国防和医疗保健领域的技术制造商,旨在破坏供应链。2022 年 5 月,Lazarus 第一次利用某公证软件的 0-day 漏洞入侵了韩国一家������企业公司,随后该受害目标已将所有软件都更新到最新版本并继续运行,2022 年 10 月至 11 月,该目标再次被 Lazarus 利用该公证软件中的 0��������-day 漏洞进行了入侵破坏且该公正软件目前已在韩国公共机构和高校中广泛使用。6 月份,韩国国家情报院确认包含公共行业,国防工业,媒体行业等至少 50 个组织的个人电脑受到 Lazarus 0-day 攻击
92、并感染了恶意软件。漏洞编号漏洞编号 是否为是否为 0day 漏洞漏洞 CVE-2022-27925 否 安恒云沙箱 https:/ ����安恒星图平台 https:/ 52 2023 年全球高级威胁态势研究报告 CVE-2022-37042 否 CVE-2021-4034 否 韩国公证软件漏洞 是 CVE-2021-21551 否 韩国安全认证软件漏洞 是 INITECH 漏洞 否 CVE-2022-47966 否 CVE-2023-42793 否 表 Lazarus攻击活动中利用过的漏洞 c)激增的供应链攻击激增的供应链攻击 随着软件系统的防护策略越来越完善健全,想要直接入侵系统变得越来越困难,攻
93、击者开始将目光转向软件系统所依赖的供应链软件的入侵投毒完成对软件系统的间接入侵。在 2023 年,Lazarus 组织无疑是供应链攻击的佼佼者,是多起影响广泛的供应链攻击事件的幕后黑手。�������2023 年 3 月安全人员披露了 Lazarus 针对 3CX 软件的供应链攻击,这次供应链攻击也是第一次由于一次供应链攻击导致另一起供应链攻击的事件。3CX 是一款基于开放标准的企业通信系统,主要用于提供 IP 电话(VoIP)服务和其他统一通信功能,在 Windows、macOS 或 Linux 上均可使用。3CX 软件的客户遍布全球,数十万家企业使用该软件,包括部分国内企业。Lazarus 最初在 Tr
94、ading Technologies 网站上部署恶意软件,3CX 内部一名员工下载了该恶意软件导致 Lazarus 获取到了内部登录凭证,最终导致了 3CX 软件安装包被植入后门。6 月份安全人员又发现该组织针对 NPM 包进行投毒,恶意 NPM 包成对发布,并且需要按特定顺序安装才能下载最终的恶�����意负载。8 月初,安恒云沙箱 https:/ 安恒星图平台 https:/ 53 2023 年全球高级威胁态势研究报告 研究人员披露了被称为“VMConnect”的 python 包投�����毒攻击,活动涉及向 PyPI存储库上传 24 个有害的 Python包,它们伪装为流行的开源 Python 工具如 v
95、Connector、eth-tester 和 quantiumbase,�����目标是寻求虚拟化工具的 IT 专业人员。图 Lazarus伪装为加密货币钱包的恶意 ISO文件 安恒云沙箱 https:/ 安恒星图平台 https:/ 54 2023 年全球高级威胁态势研究报告 图 韩国国家情报局对于 Lazarus 漏洞攻击的警告 安恒云沙箱 https:/ 安恒星图平台 https:/ 55 2023 年全球高级威胁态势研究报告 图 用于供应链攻击的 python 代码 2)APT37 APT37组织又名 Group123、InkySquid、Operation Daybreak、Operation
96、 Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从 2012 年开始活跃,主要针对韩�����国的公共和私营部门。2017 年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023 年,APT37 组织开始针对国内用户进行网络钓鱼,涉及 Windows 和 And������roid 平台。该组织在 2023年的攻击事件时间表如下:时间时间 攻击描述攻击描述 2023.02 APT37 组织通过 Hangul EPS 漏洞传播恶意代码 2023.03 APT37
97、 组织伪装为金融公司投递 CHM恶意软件 安恒云沙箱 https:/ 安恒星图平台 https:/ 56 2023 年全球高级威胁态势研究报告 时间时间 攻击描述攻击描述 2023.04 APT37 针对韩国外交部下发 RokRAT的窃密活动 2023.05 APT37 组织借助付款主题的恶意文档投递 RokRat 木马 2023.06 APT37 针对韩国政府、大学、智库等下发 Ro�����kRAT 2023.06 APT37 借助 Ably服务开展间谍活动 202������3.06 针对韩国 macOS用户的 APT37 攻击 2023.07 针对能源方向投放 Rokrat 后门活动分析 2023.08 疑
98、似 APT37 组织攻陷俄罗斯导弹工程公司 2023.08 APT37 针对韩国金融、高校下发 Chinotto 后门的攻击活动 2023.09 APT37 利用福岛污水排放的话题下发恶意软件 APT37 组织 2023 年的攻击目标基本都在韩国境内,遍布韩国的政府、金融、医药、教育、能源等行业。具体攻击手法包含多类型恶意代码的组合执行,初始诱饵往往为一个 ISO文件或者 LNK 文件,LNK 文件负责释放 HWP 文件或者 PDF 文件,并且会填充大量无用数据以试图绕过安全软件的扫描。LNK 文件会释放 BAT 文件并执行 Powershell 脚本,Powershell 脚����本最终下载 RA
99、T 执行。此外在 8 月份,研究人员还披露了该组织少见的针对俄罗斯的攻击,受害者是一家俄罗斯领先的导弹和军用航天器制造商,在这次攻击活动中研究人员同时发现了 Lazarus 的后门程序特征以及 APT37 的网络基础设施,这表明对于特定的攻击二者会共享网络基础设施与武器库。安恒云沙箱 https:/ 安恒星图平�������台 https:/ 57 2023 年全球高级威胁态势研究报告 图 APT37典型攻击流程图 图 APT37针对韩国外交部的诱饵 3)Kimsuky Kimsuky 又名 Velvet Chollima、Thallium,是被认为具有朝鲜国家背景的威胁组织。卡巴斯基实验室的研究人员发现了
100、针对韩国军事智库的大规模网络间谍活动,并引用恶意代码中的词语“Kimsuky”对其命名。Kimsuky 作为一个十分活跃的 APT 组织,其主要攻击目标为韩国政府,教育,国防及外交等部门,近年来还攻击金融公司和加密货币组织以谋求经济利益。该组织在 2023年的攻击事件时间表如下:安恒云沙箱 https:/ 安恒星图平台 https:/ 58 2023 年全球高级威胁态势研究报告 Kimsuky 今年的重点攻击地区仍然为韩国,但与其他东亚地区的 APT 组织具有明确的攻击目标不同,Kimsuky 组织在今年进行了多次�������大规模的钓鱼攻击,这些攻击活动往往不具有明确的目标,而是通过传播具有“订单”、“
101、指南”,“缴费信息”等关键词的 CHM 文件来进行批量的攻击。下图展示了该组织通过 CHM 文件逐步执行恶意代码最终完成窃取信息的典型流��������程。Kimsuky 组织也在积极利用安卓平台进行攻击,攻击者将恶意软件伪装为用户常用的软件以引诱用户安装后门程序,目前 Kimsuky 使用过的时间时间 攻击描述攻击描述 2023.01 Kimsuky 移动端恶意活动瞄准韩国东亚研究所 2023.03 Kimsuky 组织正利用 OneNote 文件分发恶意软件 2023.03 Kimsuky 最新网络钓鱼攻击披露,韩国主流金融 APP成重灾区 2023.03 Kimsuky 伪装成朝鲜相关问卷的 CHM恶意
102、软件 2023.03 kimsuky 最近针对谷歌浏览器和应用商店服务的网络活动 2023.05 Kimsuky 组织在全球范围内部署新侦察工具 ReconShark 2023.05 Kimsuky 组织再次使用定制工具 RandomQuery 进行间谍攻击 2023.06 Kimsuky 新的社工行动旨在窃取凭证并收集战略情报 2023.07 Kimsuky 组织利用诱饵��������文档攻击投资领域用户 2023.08 Kimsuky 入侵了美韩联合军事演习的个人电子邮件账户 2023.10 Kimsuky 组织使用 RDP服务控制受害主机 2023.10 Kimsuky 移动端恶意软件合并并伪装成合法
103、移动应用程序 2023.11 Kimsuky 组织向韩国研究机构分发恶意钓鱼文件 2023.11 Kimsuky 通过虚假进口申报瞄准韩国研究机构������ 安恒云沙箱 https:/ 安恒星图�������平台 https:/ 59 2023 年全球高级威胁态势研究报告 Android 后门包括 FastFire、FastViewer、FastSpy,此类攻击目前已知的攻击目标包括韩国东亚研究所、韩国金融业人员。此外研究人员披露,Kimsuky 组织利用其新版本的侦察恶意软件 ReconShark 围绕各种正在进行的地缘政治主题在全球范围内开展了网络间谍活动,并且将目光瞄准美国、欧洲和亚洲的政府组织、研究中心、大学
104、和智库。图 Kimsuky典型攻击流程 安恒云沙箱 https:/ 安恒星图平台 https:/ 60 2023 年全球高级威胁态势研究报告 图 Kimsuky伪装为问卷的恶意 CHM 5.东南亚地区东南亚地区 东南亚昔日活跃组织海莲花如今逐渐式微,但新兴 APT 势力 SaaiwcGroup 崭露头角,展现出了其强大的野心与不俗的实力,在整个亚太地区搅��������动了新的风云。其攻击活动表明他们对各种目标的广泛兴趣,包括政府机构、军事组织、企业机构等。这种广泛的攻击范围提示了该组织对不同领域的深刻了解和多样化的攻击手法。1)Saaiwc Group Saaiwc Group 又名暗石、Dark Pink
105、,是一个疑似来自东南亚的 APT组织,为 2023 年新晋 APT 组织。最早�����由安恒中央研究院猎影实验室曝光,安恒云沙箱 https:/ 安恒星图平台 https:/ 61 2023 年全球高级威胁态势研究报告 随后又有其他安全厂商跟进并披露。该组织主要针对亚太地区的国家,其目标包括菲律�������宾、马来西亚、柬埔寨、印度尼西亚等的政府、军事机构,也曾攻击欧洲的一个政府部门。该组织在 2023 年的攻击事件时间表如下:Saaiwc Group 的攻击活动被安恒中央研究院猎影实验室于 2023 年 1月首次披露,报告揭示了该组织针对菲律宾、柬埔寨、越南地区的军事、财政部门的攻击,下图为该组织利用 ISO
106、文件进行初始攻击,最终加载 PowerDism 后门的具体流程。此外,该组织还针对马来西亚地区以及印度尼西亚外交部进行过攻击,此次攻击中该组织通过 ISO 文件下发.N�����ET 后门窃取浏览器凭据。5 月份,研究人员又确认了 5 名新的受害人,这表明该组织的攻击已扩展到泰国、文莱、比利时。而到了 10 月份,该组织又利用大热的 CVE-2023-38831 漏洞并结合 DLL 侧加载技术攻击东南亚国家。Saaiwc Group 作为 2023年新兴的 APT组织,其行动表明该组织专注于针对亚太地区多个国家、政府��������机构和军事部门的攻击。然而,他们的时间时间 攻击描述攻击描述 2023.01 Saaiw
107、c Group 针对东南亚军事、财政等多部门的攻�������击活动 2023.02 Saaiwc Group 组织持续活跃,借多国外交之名进行窃密活动 2023.03 Saaiwc Group 针对印度尼西亚外交部门和菲律宾军事部门 2023.05 Saaiwc Group组织卷土重来,影响 5名新受害者 2023.10 Saaiwc Group针对东南亚国家的攻击活动的�������警告 2023.10 Saaiwc Group组织针对越南与马来西亚政府单位 安恒云沙箱 https:/ 安恒星图平台 https:/ 62 2023 年全球高级威胁态势研究报告 活动范围还扩展到了一些欧洲政府部门,显示出该组织具备相当的
108、技术实力和持续性威胁能力。图 Saaiwc Group 攻击流程图 安恒云沙箱 https:/ 安恒星图平台 https:/ 63 2023 年全球高级威胁态势研究报告 图 Saaiwc Group 针对印度尼西亚外交部的诱饵 6.中东地区������中东地区 1)AvridViper AridViper,也称为 APT-C-23、Molerats、Gaza Cyber Gang 或 Desert Falcon,是一个据称与哈马斯相关的黑客组织,该组织至少从 2012 年开始活跃,于 2015 年 2 月首次曝光,并被多个网络安全部门观察到其针对巴勒斯坦、以色列和中东地区其他国家进行网络间谍活动。主要目标
109、行业为政府、军事、金融、媒体、教育、能源和智库等。A�����������ridViper 主要利用基于 Windows、iOS 和 Android 的恶意软件开展攻击活动,还常通过钓鱼攻击和社会工程学实行攻击活动传播恶意软件。2023 年,AridViper 主要进行以信息窃取为目的的攻击活动,该组织 安恒云沙箱 https:/ 安恒星图平台 https:/ 64 2023 年全球高级威胁态势研究报告 在针对巴勒斯坦实体的攻击中部署了多种编程语言编写的自定义工具,且不同工具存在多个版本,部分木马工具包括:PyMicropsia(Python)、Micropsia(Delphi)、AridGopher(Go)、Ba
110、rbWire(C+)以及 RustyViper(Rust)。其恶意软件具有键盘记录、屏幕截图、搜寻指定后缀文件并进行回传、将 Microsoft Office 文件保存在 RAR存档中以进行后续数据泄露等功能。图 ����AridViper活动中使用的多种诱饵 在移动端的攻击活动种,AridViper 通过 Youtube 等社交媒体进行社工攻击,取得目标信任后发送伪装成社交软件(如 WhatsApp、Signal、Telegram 等)的恶意程序,恶意软件具有多种功能,能够秘密地从受害者的设备收集敏感信息并部署其他可执行文件、检索设备信息、通话录音、窃取短信内容等,恶意软件还会尝试禁用操作系统的系统
111、或安全通知以避免被用户发现异常。安恒云沙箱 https:/ 安恒星图平台 https:/ 65 2023 年全球高级威胁态势研究报告 图 AridViper使用的 Skipp�������ed 程序跳转流程 其移动端恶意软件包括 GnatSpy、FrozenCell、VAMP,以及 SpyC23。新版本的 SpyC23 恶意软件同样伪装成 Telegram或交友软件 Skipped Messenger,在功能方面新增了程序卸载、语言检测以及通话录音。根据该组织近年的攻击活动,安全人员推测 AridViper 由两个小组组成,一个小组针对以色列和中东地区任何可能参与巴勒斯坦事务的实体进行网络间谍活动,第二个小
112、组重点针对巴勒斯坦哈马斯反对派(包括法塔赫竞争对手运动或个人)进行监视活动。2)APT34 APT34,又名 OilRig 或 Helix Kitten,是一个疑似来自伊朗的 APT 组织。该������组织自 2014 年以来保持活跃,主要针对中东各国开展网络间谍和网络破坏行动,主要目标包括金融、政府、能源、化工和电信等多个行业。该组织具备较高的攻击技术水平,能够针对不同类型的目标设计不同的入侵方式,并且具备供应链攻击能力。安恒云沙箱 https:/ 安恒星图平台 https:/ 66 2023 年全球高级威胁态势研究报告 2018 年至 2019,APT34 开展了 DNSpionage 活动,目标是
1�����13、黎巴嫩和阿拉伯联合酋长国;2019 年到 2020 年,APT34 继续开展 HardPass 活动,通过利用 LinkedIn 攻击了中东能源和政府部门;2021 年到 2022 年,APT34 通过入侵合法的以色列网站以将其用作 C2�������� 服务器,然后借助鱼叉式网络钓鱼邮件在目标系统上使用 VBS Droppers 释放了 C#语言编写的第一阶段后门 Solar 与 Mango,以及一个新型下载程序 SampleCheck5000(SC5k),同时还部署了各种用于从 Windows 凭据管理器窃取浏览器数据和凭据的攻击工具。其中,Solar 具有从磁盘读取和写入以及收集信息等基本功能,它另一个
114、 APT34 后门 Shark 均使用具有简单上传和下载方案的 URI 与 C2 服务器进行通信。Mango 后门是对 Solar 的改进,具有显著的变化,包括渗透功能、使用本机 API 以及添加了额外的检测规避代码。SC5k 程序则将使用 Microsoft Office Exchange Web 服务 API�������进行 C2 通信。图 APT34 Outer Space活动攻击流程 安恒云沙箱 https:/ 安恒星图平台 https:/ 67 2023 年全球高级威胁态势研究报告 图 APT34 Juicy Mix 活动攻击流程 2023 年 APT34 对中�������东政府进行了长达八个月的入侵,在十
115、二台主机中部署了 PowerExchange 后门以实时拦截通信,此外,攻击者还使用网络管理工具 Plink 在受感染的机器上配置端口转发规则,从而通过远程桌面协议(RDP)实现远程访问。该组织进行的其他攻击活动还包括使用鱼叉式网络钓鱼邮件针对美国及沙特目标下发 SideTwist 后门以及该后门的 C#变体 Menorah后门。安恒云沙箱 https:/ 安恒星图平台 https:/ 68 2023 年全球高级威����胁态势研究报告 图 APT34针对美国的钓鱼活动诱饵 此外,该组织还开发了基于 IIS 的后门程序 LionTail,该后门通过直接调用������� Windows HTTP 堆栈驱动程序 HT
116、TP.sys 加载驻留在内存中的有效负载,活动主要针对中东政府、军队、电信、IT 服务商、金融机构及非政府组织。3)APT35 APT35,又名������ Charming Kitten、Mint Sandstorm,是一个疑似来自伊朗的 APT 组织,自 2014 年以来一直因针对持不同政见者、记者和抗议压迫政权的个人,专注于利用社会工程学开展鱼叉式网络钓鱼活动。即通过在社交媒体平台上创建定制的虚假角色,并在发送恶意链接之前与目标用户进行持续的对话以建立信任关系进而收集情报。安恒云沙箱 https:/ 安恒星图平台 https:/ 69 2023 年全球高级威胁态势研究报告 2023 年,APT35
117、针对美国关键基础进行网络攻击,攻击目标包括海港、能源公司、运输系统以及美国一家主要的公用事业和天然气公司。该组织利用较旧的漏洞针对未打补丁的设备,入侵后部署自定义 C#后门软件 Drokbk 和 Soldier,并盗取目标数据库内的数据信息。图 APT35对美国关键基础设施的两条攻击链 该组织在今年的攻击活动中部署的其他恶意软件还包括:PowerLess 后门:用于窃取浏览器、Telegram 软件数据、有截屏、录音、键盘记录等功能;BellaCiao:用于针对美国、欧洲、中东(土耳其)和印度等地区国家,主要功能为执行 C2 指令;更新版本的 PowerStar:能�������够远程执行 PowerShe
118、ll 和 C#命令、建立持久性、收集系统信息、下载和执行更多模块以枚举正在运行的进程、捕获屏幕截图、搜索与特定扩展������名匹配的文件等�������;PowerShell 后门 GorjolEcho:通过 LNK 感染链下发,针对中东事 安恒云沙箱 https:/ 安恒星图平台 https:/ 70 2023 年全球高级威胁态势研究报告 务和核安全专家;NokNok:与 GorjolEcho 存在同一攻击活动,用于针对 macOS 系统;Sponsor后门:成功入侵了以色列 32 家公司。4)MuddyWater MuddyWater,又称 Mercury/Mango Sandstorm,隶属于伊朗情报和安全部(
119、MOIS)部门,至少自 2017 年开始活跃,主要针对中东国家(沙��������特、阿联酋、伊拉克、土耳其等)进行网络间谍活动。其擅长使用鱼叉式网络钓鱼部署 Powershell 等脚本后门,曾利用 Log4Shell 漏洞破坏以色列实体。2023 年 4 月,MuddyWater 组织与 DEV-1084 新兴活动集群合作攻击本地和云基础设施,且攻击者试图将活动伪装成标准的勒索软件攻击活动。MuddyWater 疑似利用未打补丁的应用程序漏洞获取初始访问权限,然后将访问权限移交给 DEV-1084,DEV-1084 再继续执行后续广泛的侦察发现、持久性建立、横向移动等操作,最终利用高特权凭据对本地设备进行
120、了加密操作并大规模地删除了云资源。安恒云沙箱 https:/ 安恒星图平台 https:/ 71 2023 年全球高级威胁态势研究报告 图 MuddyWater 针对本地攻击流程 图 MuddyWater 针对云基础设施攻击流程 MuddyWater 组织在 2023 年的其他攻击战术包括:使用新的公共托管服务、利用 LNK 文件启动感染链以及在执行新的远程管理工具时利用中间恶意软件模拟打开目录。此外,该组织使用的两个新的 C2 框架分别为 PhonyC2和 MuddyC2Go。5)Tortoiseshell Tortoiseshell,又称 Y�������ellow Liderc、TA456、Imper
121、ial Kitten,隶属于 安恒云沙箱 https:/ 安恒星图平台 https:/ 72 2023 年全球高级威胁态势研究报告 伊斯兰革命卫队(IRGC),至少自 2018 年开始活跃。主要攻击地区包括中东、�������欧洲、北美和南美以及南亚部分地区,目标行业涉及航空领域、汽车、航空航天和国防、物流、海事和信息技术组织。该组织常通过网络钓鱼、社会工程学等方式发起攻击,部署其自定义或开源的恶意软件,窃取受害主机的敏感信息。2023 年,该组织对至少八个以色列网站进行了水坑攻击,影响行业涉及航运、物流和金融服务公司。活动传播恶意软件 SupplyChainReader,用于收集受害者系统信息、浏览器历史
122、、密码等,并将其发送至攻击者服务器。除 SupplyChainReader 外,Tortoiseshell 还在攻击活动中部署 IMAPLoader以及 StandardKeyboard 恶意������软件,这两种恶意软件均利用电子邮件与C2 服务器进行通信。图 Tortoiseshell IMAPLoader 恶意软件感染链 安恒云沙箱 https:/ 安恒星图平台 https:/ 73 2023 年全球高级威胁态势研究报告 图 Tortoiseshell钓鱼页面 7.其他地区其他地区 1)伪猎者伪猎者 伪猎者,又称 APT-C-60、APT-Q-12,是国内安全厂商于 2021 年披露的 APT 组
123、织。早期活动目标以我国人力资�����源和贸易相关单位为主,攻击活动多使用鱼叉式网络钓鱼邮件,内含伪装成简历的恶意文件。2023 年,该组织攻击目标扩充到军事领域,下发包含 LNK 文件的 VHD 格式的恶意文件,后续载荷调用的路径、文件名、导出函数名、加密参数、字符串等都通过与 C2地址通信获取,并通过 AES解密。2)Kasablanka Kasablanka,是国外安全厂商于 2021 年披露的 APT 组织,该组织在2020 年的活动利用 CVE-2017-11882 下载并运行 AutoIT 编写的 LodaRAT,目标包括南美洲、中美洲及美国。2021 年,该组织使用 �����Gaza007(Lod
124、aR����AT Android版本)针对孟加拉国。2022 年被披露武器库还包括 RedLine、安恒云沙箱 https:/ 安恒星图平台 https:/ 74 2023 年全球高级威胁态势研究报告 Neshta、VenomRAT、NanocoreRAT、njRAT以及 SpyNote。攻击目标也变更为也门政治团体或公益组织。2023 年,该组织开始使用 VHDX+LNK 文件作为初始感染负载,针对俄罗斯下发 WarzoneRAT 和 LodaRAT;并在针对乌兹别克斯坦和阿塞拜疆的政府及外交部门的活动中使用 Python 语言编写的恶意软件,相关恶意软件功能包括反弹 Shell、浏览器密码窃取等。
125、此外,恶意软件还通过 Telegram进行 C2 通信。图 Kasablanka 对俄罗斯攻击活动诱饵 2023 年高级威胁活动特�����点年高级威胁活动特点 1.以破坏为以破坏为目的目的的攻击活动兴起的攻击活动兴起 2023 年,以破坏为目的的攻击活动逐渐升温,构成了网络安全领域的新挑战。这一趋势的崛起反映出网络威胁不仅仅是信息获取的手段,安恒云沙箱 https:/ 安恒星图平台 https:/ 75 2023 年全球高级威胁态势研究报告 更演变成对关键基础设施和组织运营的直接威胁。黑客和恶意行为者不再局限于窃取敏感信息,而是将焦点转向了对系统、服务和数据的破坏性行动。6 月,微软确定了一个新的疑似
126、在俄罗������斯 GRU 下运作的 APT 组织 C������adet Blizzard,该组织在俄罗斯入侵乌克兰的一个月前,创建并部署了 WhisperGate 恶意擦除软件,后将目标范围扩大至全球。其主要通过利用各种漏洞(如 Confluence 服务器远程代码执行漏洞 CVE-2021-26084、Exchange 服务器 SSRF 漏洞 CVE-2022-41040)实现初始访问,部署商业 WebShell 或开源框架等实现后续恶意操作;11 月,Palo Alto 披露了伊朗 APT组织 Agrius 对以色列教育和技术领域进行的多次破坏攻击。该组织在今年 1 月到 10 月期间部署了 MultiLa
127、yer、PartialWasher 以及 BFG Agonizer三款数据擦除器,直接影响目标的正常运营。2.邮件服�����务器成为初始攻击的目标邮件服务器成为初始攻击的目标 2023 年,攻击者逐渐将目光投向企业和个人的邮件系统,利用邮件作为入侵的切入点。邮件服务器作为信息传递的关键枢纽,其安全性直接关系到组织的机密信息和个人隐私。攻击者可能通过钓鱼邮件、恶意附件或链接等手段,试图获取敏感信息、渗透网络或传播恶意软件。8 月,朝鲜 APT 组织 Kimsuky 入侵了美韩联合军事演习的个人电子邮件账户,并在发送给支持韩国军方承包商的电子邮件中冒充国防部人员。UNC4841 通过 Barracuda电
128、子邮件网关入侵了政府、军事、电信和航 安恒云沙箱 https:/ 安恒星图平台 https:/ 76 2023 年全球高级威胁态势研究报告 天等高价值目标;10 月,研究人员披露白俄罗斯组织 Winter Vivern APT组织使用 0-day 漏洞破坏了欧洲政府实体的 Roundcube 电�������子邮件服务器;俄罗斯组织 APT28 也曾利用 0-day 漏洞 CVE-2023-5631 攻击 Roundcube以及 Zimbra电子邮件服务器。3.面向开发人员的供应链攻击活动增加面向开发人员的供应链攻击活动增加 2023 年,攻击者逐渐将目标锁定在软件开发的供应链环节,利用这一薄弱环节渗透到最
129、终产品中。攻击者可能通过篡改第三方库、注入恶意代码、或者操纵开发工具链等手段,将恶意代码植入软件,从而在产品交付后执行攻击。4 月,Lazarus 在 3CX 供应链攻击部署的 Gopuram 后门;������7 月,TraderTraitor 通过在 NPM包中植入恶意代码,入侵了美国云服 安恒云沙箱 https:/ 安恒星图平台 https:/ 77 2023 年全球高级威胁态势研究报告 务提供商 JumpCloud 以实施供应链攻击;8 月,Lazarus 通过在 PyPI 库中植入恶意代码以进行供应链攻击,恶意库仿������冒 VMWare 以及加密货币相关项目。4.针对加密货币行业的攻击变本加厉针对加密
130、货币行业的攻击变本加厉 2023 年,针对加密货币行业的攻击变本加厉,攻击者通过恶意软件、网络钓鱼、勒索攻击等手段,企图直接侵入用户的数字钱包,或者通过渗透交易平台实施大规模攻击。7 月,爱沙尼亚加密货币平台 CoinsPain遭黑客攻击,损失 3730万美元,疑似归咎于 Lazarus;区块链安全公司报告,仅在 2023 上半年,就发生了 185 起安全事件,价值超过 9.22 亿美元的加密货币资产被盗;9 �������月,Lazarus 组织从 CoinEx 加密货币交易所窃取5400万美元。5.使用非主流编程语言作为逃避检测手段使用非主流编程语言作为逃�������避检测手段 2023 年,另一变化趋势是使用非常
131、见的编程语言作为逃避检测的手段。随着安全技术的不断进步,攻击者开始采用非常见的编程语言,以 安恒云沙箱 https:/ 安恒星图平台 https:/ 78 2023 年全球高级威胁态势研究报告 规避传统检测和防御机制。6 月,BlueNoroff 在攻击活动中利用的 macOS后门 RustBucket 为 Rust 语言编译;9 月,新威胁组织 Sandman 使用基于Lua 的恶意软件 LuaDream 针对中东、西欧和南亚电信提供商;未知威胁组织利用与纳戈尔诺-卡拉巴赫军事冲突相关的诱饵针对阿塞拜疆,下发基于 Rust 的新型恶意软件;11 月,������Mudd��������yWater 基于 Go 语言的新
132、 C2 框架 MuddyC2Go 披露;Sidewinder 使用 Nim 后门针对南亚地区国家不丹、泥泊尔、缅甸;12月�������,安恒猎影实验室捕获了 Patchwork使用 Rust Loader针对我国的攻击活动。6.商业服务与合法软件商业服务与合法软件 API 被广泛使用被广泛使用 2023 年,商业服务与合法软件 API 被 APT 组织广泛地应用在多种攻击活动中。利用合法软件的 API 进行负载传递或指令下发,可以有效躲避安全软件的检测。例如 WildCard 使用 OneDrive 来存储动态 C2 地址,APT37 ������从合法云服务 pCloud/Dropbox/Yandex 获取后续负载
133、、Windows 指令执行、云服务令牌信息更新等,Konni、Sidecopy 活动入侵了合法网������站进行恶意负载托管,APT29 使用 Slack、Trello、Notion API 进行 C2 服务器通信。2024 年高级威胁活动预测年高级威胁活动预测 1.借助借助 AI 的社会工程学攻击活动数量增多的社会工程学攻击活动数量增多 随着人工智能的飞速发展,社会工程学攻击活动可能在数量和复杂 安恒云沙箱 https:/ 安恒星图平台 https:/ 79 2023 年全球高级威胁态势研究报告 度上呈现出显著的增长。人工智能技术的广泛运用为攻击者提供了更为智能化和精密的手段,使得社会工程学攻击变得更
134、具欺骗性和危险性。攻击者借助机器学习和自然语言处理等先进技术,能够更精准地分析目标个体的行为、偏好和社交网络信息,从而打造更具说服力的欺诈手段。社会工程学攻击的目标常常是人类的心理和行�����为,通过模仿信任的来源或利用个体的社会互动模式来获得敏感信息。AI 的介入使得攻击者能够更好地个性化欺骗内容,使受害者更难以察觉攻击的真实意图。虚拟助手、自动化邮件回复和语音合成等技术的运用,使得社交工程攻击更具迷惑性,增加攻击的成功概率。2.基于地缘政治的网络间谍活动数量增多基于地缘政治的网络间谍活动数量增多 随着全球地缘政治的动荡与变化,基于地缘政治的����网络活动数量呈现明显上升的趋势。国家之间的紧张关系和地区冲
135、突的升级直接影响了网络�����空间的安全态势。各个国家和地区不仅在实体战场上展开角力,同时也在数字领域开展了更为复杂和隐蔽的网络竞争。地缘政治的网络活动主要体现在网络攻击、信息战、网络间谍等多个方面。政府、军方和非国家行为体之间的网络角逐日益激烈,各方利用先进的技术手段进行网络侵入、信息窃取、网络干扰等活动。这些网络活动的目的可能包括获取战略情报、破坏对手基础设施、影响舆论或干预他国内政。安恒云沙箱 https:/ 安恒星图平台 https:/ 80 2023 年全球高级威胁态势研究报告 3.针对移动、可穿戴设备的攻击活动兴起针对移动、可穿戴设备的攻击活动兴起 由于移动、可穿戴设备中存储了丰富的个人信
136、息和隐私�������数据,攻击者可能通过恶意应用、网络钓鱼等手段来窃取敏感信息,引发身份盗用、金融欺诈等问题。其次,可穿戴设备通常与其他智能设备连接,攻击者可能通过攻击这些设备入侵整个智能家居系统,导致更广泛的安全威胁。此外,对移动设备和可穿戴技术的攻击还可能包括恶意软件的传播、设备远程控制、位置跟踪等活动。由于这些设备的特殊性,其操作系���统和应用生态也可能存在独特的漏洞,成为攻击的薄弱环节。4.针对供应链的攻击活动只增不减针对供应链的攻击活动只增不减 供应链的攻击活动近年来呈现出不断增长的趋势,成为网络安全领域的一项严峻挑战。攻击者已经认识到,通过渗透和利用供应链环节,他们能够更有效地渗透到目标组织,达到
137、其攻击的目的。这种攻击方式涉及到在整个供应链中的制造、物流、软件开发等多个环节,能够最大化其攻击面,影响到整个生产和交付过程,并利用信任关系和合法的交付渠道,使得恶意活动更难被察觉。此外,攻击者可以通过操纵供应链来进行勒索、窃取敏感信息、销售恶意软件等手段获取经济上的利益。5.云基础设施成为新的战场云基础设施成为新的战场 云基础设施的广泛应用使其成为当今数字时代的新战场。随着企业和组织越来越多地将业务和数据迁移到云平台,云基础设施成为攻击者 安恒云沙箱 https:/ 安恒星图平台 https:/ 81 20�������23 年全球高级威胁态势研�������究报告 和防御者之间竞技的焦点。攻击者越来越频繁地将目光投向
138、云环境,寻找机会渗透和滥用云服务。云基础设施的复杂性和全球性使得攻击者能够通过各种手段,如虚假身份认��������证、API 滥用、未经授权的数据访问等,进一步渗透到云平台,对敏感信息和业务数据进行窃取或破坏。安恒云沙箱 https:/ 安恒星图平台 https:/ 82 2023 年全球高级威胁态势研究报告 网络犯罪篇网络犯罪篇 2023 年年网络犯罪团伙网络犯罪团伙综述综述 1.被打击的网络犯罪团伙被打击的网络犯罪团伙 2023 年,我们见证了许多打击网络犯罪行动的案例,包括:Hive 勒索软件被关闭;BreachForums 论坛管理员 Pompompurin 被捕,BreachForums 论坛被关
139、停;Genesis Market 被关闭等。通过全球多个政府机构之间的合作,虽然取得了阶段性胜利,但正所谓百足之虫,至死不僵,Hive的关闭并没有让勒索软件行业放缓,而部分论坛也试图将自己称为新的BreachForums 和 G������enesis Market 论坛。1)Hive Hive 是一个老牌勒索软件组织,是 2022 年十大勒索软件家族之一。已运营数年,在此期间危害了约 1300 名受害者。Hive 使用勒索软件即服务(RaaS)模式运营,其中包括开发人员和附属机构。RaaS 是一种基于订阅的模型,开发人员开发勒索软件并创建易于使用的界面来操作它,然后招募附属机构针对受害者部署勒索软件。附
140、属�����机构确定目标并部署这种现成的恶意软件来攻击受害者,然后从每次成功支付的赎金中赚取一定比例的佣金。2023 年 1 月末,美国司法部通过摧毁并没收 Hive 基础设施来对抗勒索软件,宣布这场战斗取得重大胜利。自 2022 年 7 月下旬以来,FBI 渗 安恒云沙箱 https:/ 安恒星图平台 http�������s:/ 83 2023 年全球高级威胁态势研究报告 透进 Hive 的计算机网络,捕获了其解密密钥 300 多个,并将其提供给世界各地的受害者,使受害者无需支付 1.3 亿美元的赎金。卧底行动持续了六个月后,该组织的领导人怀疑他们的组织中有卧底,此时 FBI 决定关闭服务器并结束整个行动。图 F
141、BI 接管后的 Hive站点访问页面 2)BreachForums B�����reachForums 是一个臭名昭著的暗网论坛,来自世界各地的黑客可以通过该网站发布正在出售的凭证、银行卡和泄露的数据等。在 FBI 关闭了另一个暗网论坛 RaidForums 并拘留了其管理者后,BreachForums 的受欢迎程度在 2022年初夏达到顶峰。今年 3 月 15 日,���联邦调查局(FBI)在纽约逮捕了论坛所有者 Conor Brian Fitzpatrick,BreachForums域名被 FBI接管。安恒云沙箱 https:/ 安恒星图平台 https:/ 84 2023 年全球高级威胁态势研究报告 图
142、 FBI 接管后的 Br������eachForums 论坛访问页面 但是在 2023 年 6 月 12 日,论坛再次被前论坛管理员 Baphomet 和黑客组织 ShinyHunters 合作重新开放。并在短时间内又新增了上万名用户,数千条情报以及数万篇论坛贴。图 ShinyHunters 在重新开放的 BreachForums论坛发表的第一条消息 3)Genesis Market Genesis Market 成立于 2017 年,是一个邀请制网络犯罪论坛,提供了从全球超过 150 万台计算机中窃取的数据,其中包含超过 8000 万条用户帐户的登录详细信息。该网站以其友好的用户界面而闻名,并为用户提
143、供了一种简单的方法来将冒充用户身份,在用户不知情的情况下从目 安恒云沙箱 https:/ 安恒星图平台 https:/ 85 2023 年全球高级威胁态势研究报告 标用户的银行账户中窃取资金。图 Genesis Market标识 2023 年 4 月 4 日������,一项名为“Operation Cookie Monster”国际联合执法行动摧毁了 Genesis Market 并关闭了该团伙运营的域��������名。这项行动由美国联邦调查局(FBI)和荷兰国家警察局牵头,涉及英国、澳大利亚、加拿大、西班牙、意大利、德国、瑞典、波兰、丹麦、罗马尼亚等 17 个国家的警察部队。关闭该网站后,此次行动还逮捕了 119
144、人,并查处了 208项财产。图 FBI 接管后的 Genesis Market 访问页面 安恒云沙箱 https:/ 安恒星图平台 https:/ 86 2023 年全球高级威胁态势研究报告 2.新出现的网络犯罪团伙新出现的网络犯罪团伙 1)TA866 2023 年 2 月,安全研究人员披露了一系列出于经济动机的网络犯罪团伙的攻击活动,称之为“Screentime”。攻击目标地区主要为美国和德国。攻击�������链从包含恶意附件或 URL 的电子邮件开始,释放 WasabiSeed 和Screenshotter 恶意软件,部分情况下,安全研究人员还观察到涉及 AHK Bot 和 Rhadamanthys
145、Stealer 的后利用活动。图 TA866攻击链 如果用户点击钓鱼邮件中的 URL,就会启动攻击链:该 URL 指向 404 流量分配系统(404 TDS),该 TDS 会过滤流量并重定向到 JavaScript 文件的下载。JavaScript 如果由用户运行(如双击),则会下载并运������行 MSI 包,安恒云沙箱 https:/ 安恒星图平台 https:/ 87 2023 年全球高级威胁态势研究报告 即 WasabiSeed 安装器,它执行嵌入的 VBS 脚本 WasabiSeed 并通过在 Windows 启动文件夹中创建自动运行快捷方式来建立持久性。WasabiSeed 脚本将下载并执行
146、包含 Screenshotter,并每 10 秒循环访问一次 URL以下载有效载荷。Screenshotter 具有以不同脚本语言实现的多个变体。Screenshotter的唯一目的是截取受害者屏幕的屏幕截图并将其发攻击者 C2。攻击者可能会在工作时间手动检查受害者的屏幕截图,并通过循环下载请求功能部署额外的有效负载载荷,包括 Screenshotter 和AHK Bot。AHK Bot 每 30 秒进行一次循环,用于轮询并下载其他 AHKBot,目前观察到的 AHK Bot 类��型包括两种:域名分析器:用于收集受害主机的全部活跃域名。窃密程序加载器:下载窃密程序并加载到内存。目前观察到的窃密程
147、序只有 Rhadamant��������hys。2)Clasiopa 2023 年 2 月,安全研究人员发现了一个针对亚洲的材料研究组织的网络犯罪团伙,被命名为 Clasiopa,其特点是使用独特的工具集,其中包括一个自定义恶意软件 Atharvan。目前,尚无确凿证据证明 Clasiopa 的攻击来源。Clasiopa 的初始感染方式尚不明确,但部分证据表明攻击者通过对面 安恒云沙箱 https:/ 安恒星图平台 https:/ 88 2023 年全球高级威胁态势研究报告 向公众的服务器进行暴力破解来获取访问权限。除了使用不同的工具集外,还包括以下攻击特征:攻击者通过访问 hxxps:/ifconfig.
148、me/ip 地址检查正在使用的计算机 IP。尝试通过停止 SepMasterService 来禁用端点防护。使用多个后门来构建文件名列表并进行窃取,这些列表在 Thumb.db 文件或 ZIP压缩包中。使用 wsmprovhost清除 Sysmon 日志。使用 PowerShell 清除全部事件日志。通过创建名为“network service”的服务用于统计文件名。Clasiopa团伙使用的工具包括:Atharvan:定制的远程控制木马。修改版 Lili�������th RAT:公开的远控木马的修改版,具有以下功能:结束/重启进程 修改睡眠时间 卸载自身 执行远程命令或 PowerShell 脚本 Th
149、umbsender:能够枚举计算机中的文件名,保存在 Thumb.db 文件中,然后将该文件发送到攻击者服务器。自定义代理工具。安恒云沙箱 https:/ 安恒星图平台 https:/ 89 2023 年全球高级威胁态势研究报告 3)WIP26 2023 年 2 月,安全研究人员发现一个名为 WIP26 的新网络犯罪团伙,该团伙依赖公共云基础设施隐藏恶意流量,针对中东的电信供应商进行网络攻击。WIP26使用名为 CMD365 和 CMDEmber 的后门,滥用 Micr�������osoft 365 Mail、Google Firebase、Microsoft Azure 和 Dropbox服务用于托管C
150、2 服务器、恶意软件传播和存放窃取的数据。CMD365 后门的主要功能是从 Microsoft 365 邮件服务托管的 C2执行命令,功能包括侦察、权限升级、保存其他恶意软件和泄露的数据。CMDEmber 后门使用 Google Firebase 实时数据库实例作为 C2 服务器,执行时,CMDEmber连接到 Firebase,然后泄露有关受被害主机的信息,包括计算机名称、位数、进程名和进程 ID、CMDEmber 在其上下文中执行的用户名、Ipv4 和 MAC地址等。WIP2�������6 的云基础设施使用图如下:图 WIP26的云基础设施使用 安恒云沙箱 https:/ 安恒星图平台 https:/
151、 90 2023 年全球高级威胁态势研究报告 3.针对我国的黑灰产团伙针对我国的黑灰产团伙 1)银狐威胁体银狐威胁体 2023 年 3 月,研究人员检测到一起黑产团伙伪装成办理业务的客户,通过微信等即时通讯工具向金融、证券、教育等行业投递钓鱼木马的攻击事������件,并将该黑灰产团伙命名为“银狐”。具体分析如下:该团伙前期通过使用 SEO 优化指定相关钓鱼网站排名领先,在有受害者中招后通过操控微信进一步传播;该组织把钓鱼木马伪装成各种常见工具、微信聊天记录或者是金融相关新闻的名称,降低受害者防范意识;用公共服务托管实际恶意执行代码,或者通过白加黑方式进行隐藏恶意木马,防止被安全软件所查杀;最终通过 Gh
15�������2、0st 木马家族对受害机进行控制,大量使用香港 IP 地址进行回连,并可以随时在样本载入阶段更改实际控制载荷的 C2;随后,各个安全厂商相继进行跟进,后续又有安全研究人员证明,“银狐”是一个已经被广泛地去中心化传播的黑产工具,任何攻击者都可以获取和使用。并将“谷堕大盗”、“游蛇”、“红队伪装者”等团伙都归为银狐。证明银狐不是单一的黑灰产团伙的依据如下:银狐相关样本变种之多、变化之快,是单个团伙无法做到的。攻击者资产之广泛和分散,单个黑灰产团伙极难拥有如此庞大而分散的资产集合。安恒云沙箱 https:/ 安恒星图平台 https:/ 91 2023 年全球高级威胁态势研究报告 投递方式非常多样,
153、包括邮件钓鱼、水坑、微信社工投递木马等,水坑攻击中伪造的软件多达数十款。银狐团伙往往将恶意文件伪装成办公软件,安装包,发票、税务、财务、政策、证券、薪资、补贴等相关主题文件,诱导目标执行恶意文件。在恶意文件执行的过程中往往使用加解密、DLL 侧加载、合法签名文件利用等方式以规避杀毒软件检测。攻击者������������在控制目标主机后对目标信息进行分析筛选,筛选出高价值目标(公司高管、老板、财务等人员),通过社交媒体身份伪装或语言诱导的方式对相关人员实施金融诈骗活动。2)落叶飞花落叶飞花 2022 年 1 月初,研究人员捕获到了一批基于 Go 语言开发的 Mediocre(又称 kaiji)僵尸网络木马。该木马大量
154、函����数使用汉语拼音方式命名,主要功能为发起 DDoS 攻击。由于其 C2 域名与多个恶意软件家族有关,经关联分析,其背后的僵尸网络犯罪团伙浮出水面。鉴于该团伙多次使用“luoyefeihua.site”作为其服务器基础设施,研究人员将其命名为“落叶飞花”。“落叶飞花”于 2018 年开始活跃,发展早期主要通过 QQ,论坛������等社交媒介出售 DDoS 攻击工具的方式获利,后期业务趋于多元化,至今已发展成为一个控制着十余类僵尸网络家族,自研能力较高的团伙。该团伙运营着多个平台的恶意软件家族,DDoS 攻击与窃密活动并存。所运 安恒云沙箱 https:/ 安恒星图平台 https:/ 92 2023 年全
155、球高级威胁态势研究报告 营恶意软件既有知名度高的僵尸网络家族,也有小众化个新鲜明的攻击工具。该团伙运营的恶意软件家族中 XorDDoS传播量最广,Nitol 和 DoFloo 下发指令最为频繁,而 Mediocre Botnet 则体现了该团伙原创能力。目前,“落叶飞花”团伙攻击目标以国内为主,欧美地区也有波及,监测数据显示,国内受害者中江苏为重灾区,山东,北京,香港等地也有受到影响。另外,中小型网站安全防护由于建设薄弱,也是该团伙攻击的首选目标。与此同时,该团伙还习惯于攻陷一些小型网站用来存放恶意文件。3)82������20 2023 年 3 月,安恒信息 CERT 团队接到多个行业关于集群大量主机遭
156、受挖矿木马攻击的应急请求。经分析排查,研究人员确定这些攻击行为与臭名昭著的“8220”挖矿团伙有关。“8220”团伙自 2017 年以来持续活跃于加密货币挖矿领域,可针对 Windows 和 Linux 服务器展开攻击。在成功入侵目标服务器后,还会部署僵尸网络程序、挖矿软件和端口扫描工具等恶意工具,最终可实现对受害主机的控制和恶意利用。研究人员总结出 8220 团伙的主要攻击手段和传������播途径如下:入侵方法:擅长利用反序列化和未授权访问等安全漏洞进行入侵,同时也通过 SSH 暴力破解攻击公网服务器;权限提升:当发现仅拥有低权限账户时,通过远程下载并执行提权漏洞脚本以获取管理员权限;安恒云沙箱 ht
157、tps:/ 安恒星图平台 https:/ 93 2023 年全球高级威胁态势研究报告 持久化技术:为确保挖矿进程稳定运行,采用 CRON 计划任务和进程隐藏;多样化后门手段:运用多种持久化后门技术,如利用 FRP 内网隧道添加公钥后门、部署 SSHD 编译后门,甚至直接修改 root 密码。此外,该团伙在使用其常用的 Tsunami IRC僵尸网络基础上,还采用了一种不太常见的 Rootkit 后门 bdvl(全名为 bedevil),该后门可对入侵的服务器实现全面控制。横向扩散:使用订阅式 spirit 暴力破解工具对内网进行横向攻击。除了常见的������密码猜测,还利用后门收集到的密码信息进行尝试。
158、此外,还使用该工具集成的日志清除功能来清除登录日志,以降低被发现的可能性。安恒云沙箱 https:/ 安恒星图平台 https:/ 94 2023 年全球高级威胁态势研究报告 图图 82208220 团伙攻击手段��������及传播方式团伙攻击手段及传播方式 4)幽谍犬幽谍犬 2023 年 7 月,安恒信息中央研究院猎影实验室在日常监测中发现多起以“税务”、“发票”为主题的攻击活动,主要通过伪装为“国家税务总局增值税电子发票公共服务平台”等钓鱼网站或通过社交媒体等方式下发 Gh0st远控木马。经过关联分析发现该黑灰产团伙掌握大量服务器,并长期以税务、发票和软件等主题投递 Gh0st 木马进行恶意窃密,安恒研
159、究院猎影实验室将该团伙命名为“幽谍犬”,内部追踪代号“GRP-LY-1002”。安恒云沙箱 https:/ 安恒星图平台 https:/ 95 2023 年全球高级威�������胁态势研究报告 图幽谍犬团伙钓鱼网站截图 在关联分析中,�����部分样本上传文件名中包含“wx_file”字符,因此推测,幽谍犬团伙可能还通过微信途径传播木马。图部分关联样本上传文件名包含 wx 团伙在初始阶段会向 C2 服务器发送字符串“GETSERVER2.0”以获取 Shellcode,此外,流量特点还包括通过请求特定 URL 获取的主机地理位置。安恒云沙箱 https:/ 安恒星图平台 https:/ 96 2023 年全球高级威
160、胁态势研究报告 图安恒云沙箱流量分析模块 图安恒云沙箱网络行为分析 经过关联分析发现,该团伙曾经投递过不同主题的样本,其中几例如下:安恒云沙箱 https:/ 安恒星图平台 https:/ 97 2023 年全球高级威胁态势研究报告 a)税务新规类税务新规类 文件名文件名 哈希哈希 上传时间上传时间 2023 企业财务出�����纳最新政策规定.exe 383f3fca79e5d50ce3314841e4bf7a28 2023-06-14 13:52:26 UTC 2023 税务最新规定111.exe 383f3fca79e5d50ce3314841e4bf7a28 2023-06-14 13:52:2
161、6 UTC 2023 增值税最新规定.exe f621c109d7f1a46fff5b40fc92addd29 2023-06-08 01:30:49 UTC b)伪装软件类伪装软件类 文件名文件名 哈希哈希 上传时间上传时间 HRUpdate.exe aebd15b3d5c0b7957d52d50d13ccdbb1 2023-06-25 20:03:07 UTC �����系统升级支持.EXE bf9ee936e45c43ab62ee394bca1a885d 2023-05-13 05:00:47 UTC Microsoft圆 Visual Studio e181da114221e1c4d498228
162、7b73d965b 2023-06-06 07:26:49 UTC SamsungPortableSSD 1.0.exe 3fb118a6d0876f82fa904def7ffb1421 2023-06-07 07:13:29 UTC c)系��������统软件类系统软件类 文件名文件名 哈希哈希 上传时间上传时间 rundl123.exe/计算器.EXE e0bd8c524ced6044ff53c7bb2ddb8a3c 2023-06-20 20:43:13 UTC winlogo.exe 2284535f3a87d970b416312bb725987f 2023-06-20 08:36:57 UTC W
163、indos.exe d23169b1b4617d62b1096a011492e2a7 2023-06-03 07:17:01 UTC 5)图穷之刃图穷之刃 2023 �����年 7 月,安恒研究院猎影实验室监测发现黑灰产团伙针对国内用户进行 SEO 投毒攻击,团伙通过购买搜索引擎广告,将多个伪造的软 安恒云沙箱 https:/ 安恒星图平台 https:/ 98 2023 年全球高级威胁态势研究报告 件下载页面置顶于指定关键词的搜索结果中。下载链接对应的文件是恶意软件与正常软件捆绑在一起的 MSI 安装包,安装包运行后在显示正常的安装程序的同时,还会执行恶意软件。经分析发现,该团伙投递的恶意软件回连
164、C2 更新频繁,执行流程复杂,采用多种手法对抗检测和调试,最终将加载 FatalRAT 窃取用户敏感信息。由于该团伙的样本执行过程最终都会通过读取一个图片文件数据得到最终的远控模块,安恒研究院猎影实验室以成语“图穷匕见”之意将该团伙命名为“图穷之刃”,内部追踪代号“GRP-LY-1003”。图穷之刃团伙维护的相关钓鱼网站如下:a)伪造伪造 WPS 安装包下载网站安装包下载网站 图图穷之刃团伙伪造 WPS下载网站 安恒云沙箱 http����s:/ 安恒星图平台 https:/ 99 202�����3 年全球高级威胁态势研究报告 b)伪造伪造 Potato 安装包下载网站安装包下载网站 图图穷之刃团伙伪造 Po
165、tato 下载网站 c)伪造伪造 Skype 安装包下载网站安装包下载网站������ 图图穷之刃团伙伪造 Skype 下载网站 图穷之刃团伙共有三种类型样本,不同类型加载流程分别如下:安恒云沙箱 https:/ 安恒星图平台 https:/ 100 2023 年全球高级威胁态势研究报告 类型一 图图穷之刃团伙类型一样本加载流程 类型二 图图穷之刃团伙类型二样本加载流程 安恒云沙箱 https:/ 安恒星图平台 https:/ 101 2023 年全球高级威胁态势研究报告 类型三 图图穷之刃团伙类型三样本加载流程 通过分析发现,该团伙曾经将木马装������成 OpenVPN GUI、百度网盘、大智慧、财乎、向日葵远
166、控软件、腾讯课堂、驱�������动人生、Telegram 等多款软件进行投递,样本加载流程与近期捕获样本加载流程相似,样本最早上传时间为 2022年 4 月。图图穷之刃团伙伪造过的软件 6)暗钩暗钩 2023 年 8 月,安恒研究院猎影实验室在日常监测中发现黑灰产团伙 安恒云沙箱 https:/ 安恒星图平台 https:/ 102 2023���� 年全球高级威胁态势研究报告 投递虚假的 WPS、Telegram 和 letsvpn 安装包,同时还发现团伙投递的“薪资提成”、“采购订单”为主题的样本。初始样本是通过 Setup Factory Runtime 打包的 EXE,并在打包文件中集成了恶意 Lua 脚
167、本。用户点击后将运行木马加载器,加载器包含多种对抗检测手段,通过白加黑、内存注入、自定义解密等方�����式最终在内存加载 Gh0st 远控木马。经过关联分析发现该团伙至少从 2022 年 8 月开始活跃,期间除了通过钓鱼网站途径之外,还可能通过钓鱼邮件、社交媒体等方式投递木马,由于该团伙的样本具有多种对抗检测手段,甚至 C2 在众多公开沙箱报告中无法被检出,极具隐蔽性,安恒研究院猎影实验室将该团伙命名为“暗钩”,追踪编号“GRP-LY-1004”。暗钩团伙样本执行流程图如下:图暗钩团伙样本执行流程图 样本为 Setup Factory Runtime 生成的 E������XE 安装包,运行后将通过内 安恒云沙箱
1�����68、 https:/ 安恒星图平台 https:/ 103 2023 年全球高级������威胁态势研究报告 置的 Lua 脚本将加密的木马文件和木马加载器释放到主机,并启动木马加载器,木马加载器通过白加黑方式执行 Lua 脚本或 DLL,最终解密出Gh0st 远控木马。该远控木马具有窃取用户密码功能,攻击者清除用户浏览器中保存的自动填充密码,当用户重新输入密码时将被攻击者记录下来。木马中还会检测用户主机中正在登录的 QQ 号,并能够在主机空闲时进入 QQ 窗口进行更多操作,推测该功能可能会以用户的身份在 QQ 好友或 QQ 群组之中进行更为广泛的钓鱼活动。通过样本动态特征捕获到该团伙更多的样本,这批样本最早
169、出现时间为 2022 年 8 月,持续活跃至今,部分样本信息如下:文件名文件名 哈希哈希 可能来源可能来源 上传时间上传时间 升级 Flash Playe 安全控件 2.3.6.exe fb5831e3cb88a6ab���10dd590d320c5ead 钓鱼网站 2022-08-05 全球通后台实时数据.exe 68b4ae910c7e7c056f1d422b6229f159 未知 2022-09-20 LetsVPN 429e4654d84f6054668c011aa2eb3e9f 钓鱼网站 2022-12-18 teIegremX4.7.1.7z 7c5fa71b08f07bfb8384c6
170、984a32742d 钓鱼网站 2023-03-23 23 号采购单.exe 1e74e16f438c9030a65e469ed1d004a2 钓鱼邮件/社交媒体 2023-06-24 7 月提成分红结算报告�������.exe daf4dd90567b700afffaec07ac6ef13a 钓鱼邮件 2023-07-22 WPS_Setup.exe 8b9827f200cbbe350590a88bbc2db51d 钓鱼网站 2023-07-26 安恒云沙箱 https:/ 安恒星图平台 https:/ 104 2023 年全球高级威胁态势研究报告 7)田马田马 2023 年 11 月,安全人员发现了一
171、个频繁使用 CHM 文件对金融行业开展钓鱼������活动的攻击团伙。由于其样本存在tianma等字样,安全人员将该黑客团伙命名为田马。攻击者主要通过邮件、即时通信工具传播包含恶意 CHM 文件的压缩包或 XLS 文件。文件名以国家税务局补贴政策通知作为诱饵,当用户解压诱饵文件后,文件中存在两个文件,其中一个CHM 文件,文件名为打不开点击修复,另一个 BAT 文件名为税务补贴。CHM 文件为实际恶意文件,而 BAT 文件则用于添加启动项,建立持久化。CHM文件运行后,将通过 Base64 解码有效负载,有效负载是一个加载器,可用于加载 Shellcode,Shellcode 执行后,会从云服务器下载白加
172����、黑文件,以执行最终的 Gh0st 木马病毒。当 Gh0st 木马运行成功后,攻击者还会视情况进一步部署远控软件。安全人员持续追踪该团伙后,总结出了该团伙的画像。田马组织主要对中国地区的财务人员、金融从业者、教师等发起攻击,目前只针对Windows 平台,常通过邮件、即时通信工具开展攻击活动,常使用的攻击技术为白加黑、内存加载、图片隐写等,主要使用的软件有 Gh0st 木马、大灰狼、正规远控软件等,常使用国内阿里云平台构建基础服务设施。地缘下的黑客������主义行动地缘下的黑客主义行动 黑客行动主义普遍被定义为通过恶意使用黑客工具来挑起民愤或推动政治议程,本质上属于数字破坏行为。这种行为会削弱和妨碍对手组
173、 安恒云沙箱 https:/ 安恒星图平台 https:/ 105 ������2023 年全球高级威胁态势研究报告 织,极端情况下甚至可能导致信息泄露、数据拦截、资产劫持,甚至组织名誉遭到破坏。近年来,黑客行动主义开始与现实世界中的战斗联动,如俄乌冲突以及巴以冲突的战争。虽然黑客行动主义的影响力在战争时期并不那么突出,但����仍会随着现实世界的冲突有所增加。1.俄乌冲突俄乌冲突 2023 年俄乌冲突仍在持续进行,同时网络战争也在频繁发生,双方通过 DDoS、人肉搜索、勒索以及信息泄露等方式表明立场,操纵信息空间。1)Killnet Killnet 于今年 2022 年 1 月首次出现,初期属于黑客雇佣团伙,主
174、要业务为出售 DDoS 服�������务。2022 年 2 月下旬,随着俄乌战争爆发转变为黑客主义行动主义团伙,成立以来在北美和欧洲制造了许多麻烦。同时 Killnet 也在不断壮大,较去年相比,其下属活跃团伙发生了相应的改变,以�������下为 Killnet 今年活跃的下属组织:安恒云沙箱 https:/ 安恒星图平台 https:/ 106 2023 年全球高级威胁态势研究报告 图 Killnet组织架构 Killnet 在 2023 年的主要事件如下:2023 年 1 月,在德国同意向乌克兰派遣先进的 Leopard 2坦克后,Killnet 对其进行了报复行动。德国政府、银行和机场遭受了 DDoS攻击。20
175、23 年 10 月,红十字国际委员会首次发布了������参与冲突的平民黑客的交战规则。最初 Killnet 对这个规定表示拒绝,但随后便同意遵守这个规则。2023 年 11 月,Gazeta.ru 公布了一名男子的名字,据称��������该男子是 Killnet 的领导人“Killmilk”。2)Noname057(16)Noname057(16)属于亲俄黑客主义行动团伙,于 2022 年 3 月首次宣布成立,声称对乌克兰、美国和欧洲政府机构、媒体和私营公司的网络攻击负责。安恒云沙箱 https:/ 安恒星图平台 https:/ 107 2023 年全球高级威胁态势研究报告 NoName057(16)使用 Teleg
176、ram 频道发布消息,使用 GitHub 托管他们的 DDoS 工具网站和相关存储库。团伙开发了一种名为 DDOSIA 的 DDoS工具,该工具通过向目标站点重复发出网络请求来进行 DDoS攻击。图 Noname057(16)的 Telegram频道 Noname057(16)在本年的主要活动如下:从 2022 年 3 月开始,NoName057(16)组织对乌克兰媒体网站和乌克兰媒体门户网站进行了多次网络攻击,包括 Detector Media、Odesa Online、Competitor。2023 年第一季度,NoName057(16)对�����荷兰多个港口的网站进行了DDOS 攻击。港口当局表
177、示,其内部系统没有受到损害或影响。该组织暗示,此次袭击是对荷兰计划为乌克兰购买瑞士坦克的回应。2023 年 4 月芬兰加入北约后,芬兰议会网站遭到网络攻击,芬兰 安恒云沙箱 https:/ 安恒������星图平台 https:/ 108 2023 年全球高级威胁态势研究报告 记者将该组织列为亲俄组织。2023 年 5 月,在冰岛雷克雅未克举行的欧洲委员会国家元首和政府首脑峰会期间,NoName057(16)组织声称对冰岛政府网站的多起攻击负责。3)乌克兰乌克兰 IT 军(军(ITArmyofUkraine)乌克兰 IT军是一个志愿网络战组织,成立于 2022 年 2 月俄乌战争后,旨在对抗乌克兰网络信息
178、空间的数字入侵。该组织还开展进攻性网络行动,乌克兰国家元首特别通信局局长表示,其招募的黑客只会攻击军事目标。加入该组织的志愿者分为进攻性网络部队和防御性网络部队。进攻性志愿部队将帮助乌克兰军方针对入侵的俄罗斯军队开展数字间谍行动,而防御性部队将用于保卫发电厂和供水系统等基础设施。安恒云沙箱 https:/ 安恒星图平台 https:/ 109 202�������3 年全球高级威胁态势研究报告 图乌克兰 IT 军的 Telegram频道 乌克兰 IT军在今年的主要活动如下:2023 年 2 月乌克兰 IT 军泄露了莫斯科地铁相关支付系统的文件。2023 年 2 月乌克兰 IT 军泄露了俄罗斯一家自来水公司的
179、数据,其中包括 3.8 万名客户的个人数据。2023 年 5 月攻击了一家俄罗斯酒店的预订网站。2023 年 10 月,红十字国际委员会首次发布了参与冲突的平民黑客的交战规则,乌克兰 IT 军的发言人���表示组织�������将“尽最大努力遵守规则”,尽管这可能会对自身不利。2023 年 10 月,乌克兰 IT 军在其 Telegram 频道上发布消息,称将继续以互联网和电信提供商为目标,破坏俄罗斯的通信。随后数字服务运营商 Miranda Media、Krymtelecom 和 MirTelecom 遭到 D 安恒云沙箱 https:/ 安恒星图平台 https:/ 110 2023 年全球高级威胁态势研究报
180、告 DoS攻击。2.巴以冲突巴以冲突 1)黑客组织团体倾向统计黑客组织团体倾向统计 在持续不断的巴以冲突中,黑客活动团体出现了显著的增长,并宣布针对冲突双方的目标进行持续不断的数字攻击。在持续的冲突中,全球格局主要分为两派,北约和西方结盟国家往往倾向于支持以色列,许多亚洲国家倾向于支持巴勒斯坦。根据安全研究人员整理,支持以色列的黑客组织共计 17 个,支持巴勒斯坦的黑客组织共计 70个。以下为亲以色列黑客组织团体:Indian Cyber Force UCC Tea�������m Garuna Ops SilentOne IT ARMY of Ukraine Kerala Cyber Xtractors
181、Termux Israel ICD-Israel Cyber Defense Gaza parking lot crew������ IsrCyberH3ll Anonymous Israel GlorySec Team NWH Security Dark Cyber Warrior Indian Cyber Sanatan����i Indian Darknet Association RedEvils 以下为部分亲巴勒斯坦黑客组织团体:Killnet Anonymous Sudan UserSec Anonymous Russia Ghosts of Palestine Team Azrael Angel o
182、f Death Dark Strom Team Pakistani Leet Hackers Sylhet Gang-SG Team_insane_Pakistan Hacktivism Indonesia Garnesia Team 安恒云沙箱 https:/ 安恒星图平台 https:/ 111 2023 年全球高级威胁态势研究报告 Blackshieldcrew MY Gb Anon 17 Anonymous Morocco Ghost Clain Malaysia Mysterious Team Bangladesh Ganosec team Moroccan B�������lack Cyber
183、Army Muslim ����Cyber Army GhostClan Eagle Cyber Crew YourA������non T13x Team Herox SynixCyberCrimeMY Panoc team 4 Exploitation Team R70 Stucx Team The White Crew Cscrew TYG Team 2)针对以色列的攻击事件针对以色列的攻击事件 根据研究人员监测,针对以色列的一系列攻击活动主要为政府、司法、军事、电力等关基网站。另外,还有邮件服务与 DNS 服务。详细如下:10 月 8 日 4 时、23 时,10 月 9 日 0 时,以色列政府官方网站(w
184、ww.gov.il)受到 D�������DoS 攻击,Killnet 在 10 月 8 日 22 时 59 分宣称攻击该网站并使其瘫痪,与实际情况相符。10 月 9 日 0 时和 12 时,色列国防军电子邮件系统遭受到两次网络攻击,第二次攻击一直持续到 20时,极具针对性攻。10 月 9 日 2 时,有攻击组织使用 UDP 包利用全球节点攻击以色列电力公司 DNS服务(ns1.iec.co.il)。10 月 9 日 1 时,耶路撒冷邮报遭到 DDoS攻击,攻击使用全球 DDoS 反射节点,攻击持续时间超过 24 小时,该网站在 Twitter 官方账号多次说明遭受 DDoS 攻击并停止服务,而匿名者苏丹组
185、织(A 安恒云沙箱 https:/ 安恒星图平台������ https:/ 112 2023 年全球高级威胁态势研究报告 nonymous Sudan)声称为此次攻击负责。10 月 9 日 0 时,以色列银行网站(www�������.boi.org.il)遭到 DDoS 攻击,攻击时长 1 小时 3 分钟,该网站遭受多个黑客组织的攻击,包括 Team Insane Pakistan、SYLHET GANG-SG、ACEH ABOUT HACKED WORLD、Ketapang Greyhat Team 等。10 月 9 日 5 时色列互联网协会网站(register.isoc.org.il)遭受 DDoS攻击,攻击
186、持续 1小时 10分钟。10 月 11 日,AnonGhost 黑客组织入侵了以色列的紧急警报应用程序,并在冲突爆发期间频繁向以色列人发送虚假导弹警报等,扰乱人心。3)针对巴勒斯坦的攻击事件针对巴勒斯坦的攻击事件 根据安全研究人员监测,针对巴勒斯坦的一系列攻击活动的主要目标为政府、电信等行业。10 月 6日,亲伊朗黑客组织 Cyber Av3ngers 对 Noga 电力公司进行攻击,该公司声称本次网络攻击导致了停电。10 月 8 日 5 时、10 月 9 日 0 时,哈马斯组织�����官方网站(hamas.ps)遭到攻击,攻击时间持续 25 分钟。India Cyber Force 宣称对本次攻击负
187、责。10 月 9 日 2 时,巴勒斯坦电信公司网站多个端口受到 India Cyber Force组织攻击。安恒云沙箱 https:/ 安恒星图平台 https:/ 113 2023 年全球高级威胁态势研究报告 勒索软件团伙勒索软件团伙 勒索软件(Ransomware)是一种不断发展的恶意软件,旨在通过加密或其他方式更改系统的组成部分,从而完全阻止受感染系统的访问。勒索软件的主要目的是破坏������目标系统的完整性,�������使其无法正常运行,并有效地锁定重要的数据。一旦系统被勒索软件感染,网络犯罪分子就会要求受害者支付赎金,以恢复系统的功能和访问权限。赎金通常需要以加密货币的形式支付,这使得追踪攻击者和确定他们
188、的身份变得困难。近年来,勒索软件已成为最突出和最具破坏性的恶意软件类型。2023 年共发生 4832 起勒索软件攻击事件,较 2022 年的 2640 起相比,攻击次数整体呈现大幅增长。以�������每月攻击次数的平均值来看,2022 年平均每月攻击次数约为 220 次,而 2023 年则增至约为 402 次,增幅高达约82.73%。图 2023年每月全球勒索攻击次数统计 44458348483������4626208 0222237204005006001月2月3月4月5月6月7月8月9月10月11月12
189、月2023年勒索攻击次数2022年同期攻击次数 安恒云沙箱 https:/ 安恒星图平台 https:/ 114 2023 年全球高级威胁态势研究报告 下文将介绍今年新出现的勒索团伙和活跃的勒索团伙。1.新出现的勒索软件团伙新出现的勒索软件团伙 2023 年勒索攻击迅猛,除了往年活跃的勒索团伙,不断陆续有新的勒索家族出现,来势汹汹。据统计,今年最活跃的前 20 名勒索团伙中半数为新型勒索,侧面表现出勒索系统生态的进一步完善和不断发展的态势。有些新型勒索团伙的影响力惊人,例如������ MalasLocker、Akira,短时间内便拥有了众多的受害者。2023 年,针对 Linux 和 VMware ES
190、Xi 架构系统的勒索家族和变体也明显增加。一方面,出于利润最大化的目的,勒索软件团伙越来越多地开发 Linux 加密器来加密 VMware ESXi 服务器,另一方面,由于 Babuk 勒索组织泄露出的源码,这给众多��������勒索团伙提供了开发模板和思路,不断有类 Babuk 的新勒索软件涌现,尤其助长了以Vmware ESXi为目标的勒索软件开发。例如 Rorschach、RTM Locker、Cylance、Buhti、RaGroup、Rhysida、Abyss Locker 等。以下简要介绍部分今年出现的新型勒索团伙。1)Cylance 2023 年 3 月,安恒研究院猎影实验室在日常监测运营中捕
191、获了一种新型勒索软件 Cylance。勒索软件执行后,将快速加密文件并添加扩展名.Cylance,在目录下放置勒索信文件 CYLANCE_README.txt,并在信中 安恒云沙箱 https:/ 安恒星图平台 https:/ 115 2023 年全球高级威胁态势研究报告 自称 Cylance Ransomware。Cylance勒索信格式与 REvil勒索组织高度相似,并都采用 Curve25519 �������和 salsa20 加密算法组合加密文件的方式,拥有快速加密和全加密两种加密模式。但在整体功能上有������所差异,例如参数配置更为丰富、针对数据库等特殊文件使用了间歇性加密模式,对于静态字符串没有 RE
192、vil 复杂的混淆加密处理,不涉及地区豁免等。随后不久,Cylance Ransomware 的 Linux 变体样本被海外安全厂商发现,根据安全人员分析,Linux �����变体的 Cylance 勒索基于已经泄露的 Babuk 源码改造开发而成,以 VMware ESXi服务器为目标。2)MalasLocker MalasLocker 是一款新型勒索软件,通过入侵 Zimbra 服务器来窃取邮件并加密文件。和一般的勒索组织不同,攻击者并没有要求目标支付赎金,而是要求受害者向指定的非营利慈善机构捐款,以提供解密工具并防止受害者的数据泄露。MalasLocker 勒索软件可能利用����� CVE-2022-2
193、7924(Zimbra memcache命令注入)、CVE-2022-27925(Zimbra 管理目录遍历)、CVE-2022-30333(UnRAR Linux/UNIX 目录遍历)和 CVE-2022-37042(Zimbra 身份验证绕过,远程代码执行)相关的漏洞。主要针对意大利、俄罗斯和美国的商业服务、制造业和零售业。安�����恒云沙箱 https:/ 安恒星图平台 https:/ 116 2023 年全球高级威胁态势研究报告 图 MalasLocker的主页 3)ESXiArgs 2023 年 2 月 3 日,针对 VMwareESXi架构的新勒索软件 ESXiArgs迅速席卷网络。ESX
194、iArgs 使用 2 年前的 ESXi 远程代码执行漏洞(CVE-2021-21974)对未修补的 ESXi 服务器进行攻击,加密了全球 3000 多台暴露在互联网上的 VMware ESXi服务器。该漏�������洞是由 OpenSLP 服务中的堆溢 安恒云沙箱 https:/ 安恒星图平台 https:/ 117 2023 年全球高级威胁态势研究报告 出问题引起的,可以被未经身份验证的攻击者远程利用。勒索软件在受感染的 ESXi 服务器上使用.vmxf、.vmx、.vmdk、.vmsd 和.nvram 扩展名加密文件,并为每个包含元数据(可能需要解密)的����加密文档创建一个.args 文件。加密后,脚本将
195、用赎金票据替换 ESXi index.html 文件和服务器的 motd ����文件。最后,该脚本执行一些清理,删除疑似安装的后门。图 ESXiArgs赎金票据 4)Money_Message 2023年 3月 28 日,一款名为 Money_Message 的勒索软件大肆攻击全球知名企业,窃取数据并索要数百万美元的赎金。该勒索软件采用定向攻击的方式,目标主要针对大型企业实施勒索攻击,窃取和加密数据,包括孟加拉国家航空公司(BimanAirlines),世界知名的计算机硬件提供商微星国际(MSI)等企业。安恒云沙箱 https:/ 安恒星图平台 https:/ 118 2023 年全球高级威胁态势研
196、究报告 5)��Akira Akira 是 2023 年 3 月出现的新勒索软件,6 月底,安全研究人员发现Akira勒索开发出 Linux 变体样本,针对 VMware ESXi服务器。截至 6月,Akira 已经对 60 多家公司进行了攻击。这些公司涉及各个行业,包括教育、金融、房地产、制造业和咨询等。2023 年 8 月,Akira 勒索软件被发现滥用思科自适应安全设备(ASA)和 Firepower 威胁防御(FTD)产品,对许多组织发起勒索软件攻击,后续思科证实上述产品中存在 CVE-2023-20269 漏洞。在 2023 年,遭受 Akira勒索攻击的受害者已经超过 150 名。此前
197、安全研究人员称 AKira勒索与消失的 Conti 之间存在关联,从勒索攻击规模也�����可以看出该勒索的非一般的技术成熟度和运营能力。安恒云沙箱 https:/ 安恒星图平台 https:/ 119 2023 年全球高级威胁态势研究报告 6)RaGroup RaGroup 勒索软件在 2023 年 4 月被首次发现,主要针对美国和韩国的制药、保险、财富管理和制造公司发起攻击,在不到一个月的时间里,已经入侵了美国的三个组织和韩国的一个组织。RaGroup 实施双重勒索,运营着一个数据泄漏站点,若受害者未能在三天内联系,则在泄漏站点公布窃取的数据。该勒索软件基于泄露的 Bab 安恒云沙箱 https:/
198、 安恒星图平台 https:/ 120 2023 年全球高级威胁态势研究报告 �������uk 勒索源码构建,加密扩展名为.GAGUP,勒索信文件 HowToRestoreYourFiles.txt。7)BlackSuit BlackSuit 是 2023 年 5 月出现的新的勒索病毒家族,其拥有 Windows和 Linux/ESXi 版本的变体,采用 RSA 和 AES �����组合加密,加密后更改文件扩展名为.blacksuit,放置勒索信文件 README.BlackSuit.txt。其含多种运行参数,可进入安全模式再进行加密,具有内网扩散功能。针对 Linux 机器的 x64 VMware ESXi 版
199、本的 BlackSuit 与 Royal 勒索软件之间存在明显相似之处,疑似为 Royal 的品牌重塑。在 2023 年下半�������年,该勒索目标主要针对于教育和医疗保健行业。例如,2023 年 10 月,BlackSuit攻击了印第安纳州的德堡大学,造成内部数据泄露。8)INC Ransom IN����C Ransom 是 2023 年出现的新型勒索组织,首次发现于 8 月,最早是通过泄漏网站而被发现,第一个在博客出现的受害者是奥地利酒店。加密文件的后缀名为.INC,勒索信文件为 INC-README.txt 和 INC-README.html,并且更改桌面背景图片,以及还会连接打印机打印勒索信文件,进一
200、步警醒受害者支付赎金。虽然该组织出现时间较短,但在其博客上已经拥有 40 多名受害者,比如雅马哈汽车菲律宾子公司在 11 月遭到 INC Ransom 的勒索攻击,导 安恒云沙箱 https:/ 安恒星图平台 https:/ 121 2023 年全球高级威胁态势研究报告 致包括重要的员工数据、IP、内部电子邮件以及客户信息数据泄露。9�����)Moneybird Moneybird 于 2023 年 5 月初被披露,疑似为伊朗国家支持的威胁行为者 Agrius 所部署,用来加密“F:User Shares”文件夹中������的敏感文件。至少自 2021 年以来,Agrius 一直在以多个别名积极瞄准以色列和中东
�������201、地区的实体,同时在破坏性攻击中部署数据擦除器。10)Rhysida Rhysida 最早在 2023 年 5 月 17 日被披露,其使用双重勒索策略,加密文件后缀为.rhysida。Rhysida 有多种部署方式,包括部署 CobaltStrike或类似的命令和控制(C2)框架,通过网络钓鱼攻击和在受感染的系统上投放有效载荷来破坏目标的网络。Rhysida 的受害者分布在西欧、北美、南美以及澳大利亚的多个国家,主要攻击教育、政府、制造、技术和托管服务提供商行业。Rhysida 勒索 安恒云沙箱 https:/ 安恒星图平台 https:/ 122 2023 年全球高级威胁态势研究报告 软件团伙
202、将自己描述为一个旨在帮助受害者保护其网络的“网络安全团队”。图 Rhysida勒索软������件标志 11)Noescape 最早于 2023 年 5 月被发现。该组织运行勒索软件即服务模式。开发人员为附属公司创建并提供必要的入侵工具,以执行恶意活动,例如数据泄露和加密器(勒索软件)部署。该组织已经成为多个行业的众多组织的受害者,包括政府、能源、医院和诊所。据称 NoEscape 勒索软件组织与现已解散的 Avaddon勒索软件组织有关。安恒云沙箱 https:/ 安恒星图平台 https:/ 123 2023 年全球高级威胁态势研究报告 12)Cactus Cactus 勒索最早在 2023 年 3
203、月开始活动,于 2023年 5月被披露。该勒索使用加密自身的方法试图逃避检测。主要利用 VPN 设备中的漏洞来获得初始访问权限。进入网络后,CACTUS 会尝试枚举本地和网络用户帐户以及可访问的端点,然后创建新的用户帐户并利用自定义脚本通过计划任务自动部署和启动勒索软件加密器。“CACTUS”这个名字来源于赎金票据中提供的文件名 cAcTuS.readme.txt,以及赎金票据本身中自我声明的名称。加密文件附加了.cts1,后面的数字因�������样本而异。目前有 Windows 和 Linux 两个版本的变体,并且拥有自���己的 Tor 博客用于公布泄露数据。安恒云沙箱 https:/ 安恒星图平台 htt
204、ps:/ 124 202�������3 年全球高级威胁态势研究报告 2.持续活跃的勒索软件团伙持续活跃的勒索软件团伙 1������)LockBit LockBit(曾用名为 ABCD 勒索软件)是 2023 年最活跃的勒索软件团伙。自 2020 年 1 月以来,使用 LockBit 的附属公司攻击了一系列关键基础设施领域的不同规模的组织,包括金融服务、食品和农业、教育、能源、政府和紧急服务、医疗保健、制造和物流等。LockBit 勒索软件采用勒索即服务的运营模式,招募附属公司使用 LockBit 勒索软件工具和基础设施进行勒索软件攻击。安恒云沙箱 https:/ 安恒星图平台 https:/ 125 2023 年全
205、球高级威胁态势研究报告 2023 年 1 月,安全研究人员发现 LockBitGreen 变体,分析后确定其结合了来自 Conti 勒索泄漏的源代码。2023 年 4月,安全研究人员在 VirusTotal 上发现了一个 ZIP 存档,其中包含大多数可用的 LockBit 加密器,包括����以前未知的 macOS、ARM、FreeBSD、MIPS 等多种系统架构的加密器,后续分析表示这只是 LockBit 构建的测试版本,尚在开发阶段,未达到真正加密的功能,但这也揭示出该勒索团伙出众的创新开发能力和澎湃的野心。时间时间 受害者受害者 影响影响 1 月 洛杉矶住房管理局(HACLA)系统中断,15TB
206、 的 HACLA 数据库图像被盗。英国皇家邮政 �������迫使国际邮政服务陷入停摆。日本电子产品制造商Fujikura Global 泄露了 718GB 的机密和关键信息。2 月 金融交易服务集团 ION 影响了包括一些全球最大银行、经纪公司和对冲基金在内的客户。全球电源产品制造商Phihong 要求受害者支付 50 万美元���������的赎金。德克萨斯州 White Settlement 学区 2015 年或更早时间的文件被窃取。安恒云沙箱 https:/ 安恒星图平台 https:/ 126 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 3 月 佛罗里达州东北部华盛顿县治安官办公室 影响
207、了部门应用程序,并破坏了财务和监狱网络。奥克������兰市 非紧急系统处于离线状态。零部件制造商 MaximumIndustries 窃取了 SpaceX 工程师开发的约3000个专有原理图。4 月 新泽西州的 Pineland学校 窃����取了 65GB数据的样本。委内瑞拉银行 窃取了部分数据。5 月 Farmalink 处方药销售系统 联网计算机停止工作,管理虚拟机的软件也断开连接。非金融银行公司富乐顿印度公司 泄露了 600GB的数据。印度尼西亚伊斯兰银行 窃取的 5TB个人和财务信息。6 月 印度制药巨头 Granules India 公布了被盗的部分数据。半导体制造商台积电 索要高达 7000万美元
208、的赎金。7 月 日本名古屋港口码头 日本最大的港口名古屋港的所有集装箱码头运营均已中断 8 月 加拿大蒙特利尔电力服务委员会 被迫重建 IT 基础设施 9 月 西班牙塞维利亚市议会 要求的 150 万美元赎金。该事件影响了广泛的城市服务 IT �������基础设施。10 月 全球知名 IT 供应商 CDW 窃取数据索要八千万赎金 11 月 美国波音公司 窃取并公布了 43GB内部数据 12 月 跨国零售商 Aldo 影响了特许经营合作伙伴的系统 2)Clop Clop(Cl0p)于 2019 年 2 月出现,从 CryptoMix 勒索软件变体演变而来,认为与出于经济动机的威胁行为者 FIN11(也称为
209、TA505 和 Snake 安恒云沙箱 https:/ 安恒星图平台 https:/ 127 2023 年全球高级威胁态势研究报告 fly)有关。部署的 Clop 勒索软件变体在其加密的文件中附加新的文件扩展名。2023 年,Clop 勒索团伙利用多个漏洞入侵了全球众多组织,造成了严重的影响。最多的是商业服务,其次是软件和金融。目标地区主要是美国、�������加拿大和英国。亚洲、拉丁美洲、中东和非洲的企业也受到过攻击。1 月下旬,Clop 勒索软件组织利用 GoAnywhere0day ���漏洞(CVE-2023-0669)发起攻击,攻击者利用此漏洞在未修补的 GoAnywhere MFT 实例上执行远程代码
210、,让管理控制台暴露在互联网上。该组织声称在 10 天内攻击了 130 多家公司。4 月,Clop 团伙利用了两个 PaperCut 漏洞������ CVE-2023-27350 和 CVE-2023-27351。Clop 利用该漏洞初步访问公司网�����络,部署 TrueBot 恶意软件和 Cobalt Strike 信标,同时使用 MegaSync 文件共享应用程序窃取数据。6 月,Clop 利用 MOVEit平台中的 SQL注入漏洞 CVE-2023-34362 在服务器上释放特制的 Webshell,从而下载文件并窃取已配置的 Azure Blob存储容器的凭证或密钥。该组织利用 MOVEit 安全文件传
211、输平台中的 0-day 漏洞进行的数据盗窃攻击影响了全球数百家公司。获利 7500 万至 1 亿美元。时间时间 受害者受害者 影响影响 1 月 纽约市酒吧 窃取了 1.8TB数据。3 月 澳大利亚赌博和娱乐公司皇冠度假村 声称从网络窃取了数据。安恒云沙箱 https:/ 安������恒星图����平台 https:/ 128 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 云管理巨头 Rubrik 内部销售信息被窃取,包括客户和合作伙伴名称、业务联系人以及来自分销商的采购订单。Hatch Bank 窃取了 14 万个客户的社会安全号码。6 月 雅诗兰黛 声称已经窃取了超过 131GB 的
212、数据。西门子能源 声称窃取了数据。施耐德电气 声称窃取了数据。7 月 丰田�������纺织欧洲有限公司 声称窃取了数据。11 月 北卡罗来纳中央大学 在线课程受到影响暂停,可能泄露了敏感文件和信息。3)Bla�����ckCat(ALPHV)BlackCat 新型勒索软件于 2021 年 11 月出现,也称为 ALPHV,是第一个基于 Rust 编写的多平台勒索软件,支持在 Windows、Linux 操作系统和 VMWareESXi 系统上执行。BlackCat 使用三重勒索策略,在加密设备之前窃取数据,并且会发起 DDoS 攻击以威胁受害者,直到受害者支付赎金。BlackCat 在 2023 年是最活跃勒索软件
213、家族之一,对全球组织造成严重破坏,其附属公司最近的攻击包括针对医疗保健、政府、教育、制造和酒店业等组织。安恒云沙箱 https:/ 安恒星图平台 https:/ 129 2023 年全球高级威胁态势研究报告 2023 年 2 月,BlackCat 组织发布了其勒索软件的新版本“Sphynx”,具有升级功能,旨在阻止防御措施。Sphynx 与以前的变体有显著的不同之处。例如,命令行参数已重新设计,以前的变体使用access-token �������参数来执行。更新后的勒索软件删除了该参数,并添加了一组更复杂的参数。这使得检测变得�������更加困难。2023 年 12 月 7 日至 12 日,BlackCat 遭受了为
214、期 5 天的中断,其所有基础设施都处于离线状态,包括数据泄露和谈判站点。虽然该�������组织声称是由于硬件原因中断,但外界确认是受到执法部门的影响。时间时间 受害者受害者 影响影响 1 月 印度私人国防承包商Solar Industries Limited 声称已窃取了 2TB的数据。巴西公立教育机构 Instituto Federal Do Par BlackCat 发布了包含文件夹目录的屏幕截图。2 月 美国快餐连锁店 Five Guys 窃取了 2021 年的银行对账单、国际工资数据、招聘信息和审计信息以及其他类型的数据。安恒云沙箱 https:/ 安恒星图平台 https:/ 130 2023
215、年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 爱尔兰蒙斯特理工大学 属于该大学的数据已出现在暗网上。Wawasee 社区学校公司 勒索软件组织在其泄漏网站上泄露了 9.78GB 的文件。华盛顿州皮尔斯县莱克伍德 超过 250GB的数据被盗。美国天然气和石油生产商 Encino Energy 该勒索软件组织泄露了属于该组织的 400GB数据。3 月 �������孟买的制药公司 Sun Pharma 导致某些文件系统遭到破坏,影响了公司和个人数据。安全摄像头公司 Ring 声称窃取了数据。4 月 西部数据 勒索 8 位数的赎金。肯尼亚 Naivas 连锁超������市 声称窃取了超过 1TB的数据。储罐
216、公司 Vopack 边佳兰独立码头站点受到影响。5 月 澳大利亚商业律师事务所 HWL Ebsworth 攻击期间 4TB 数据被泄露。被盗信息包括�����身份证、财务报告、会计数据、客户文件和信用卡详细信息。加拿大多元化软件公司 Constellation Software 声称窃取了超过 1TB的文件。埃森医学协会 声称在攻击期间窃取了总计 2.6TB的数据。6 月 澳大利亚债券经纪商FIIG Securities 385BG 数据被盗。法国企业 Automatic Systems 发布了数百个被盗数据样本,包括保密协议到护照副本。英国 Barts Health NHS Trust 声称窃取了超过
217、 7TB 的敏感数据。7 月 孟加拉国 Krishi 银行 获取了超过 170GB 敏感数据并使其运营瘫痪。8 月 日本手表制造商 Seiko 声称窃取的敏感数据,包括护照扫描和新手表项目文件等。9 月 米高梅酒店集团 宣称窃取了数 TB 的数据,并保 安恒云沙箱 https:/ 安恒星图平台 https:/ 131 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 持对米高梅部分基础设施的访问权限。10 月 ITM 和 ATM 解决方案提供商 QSI Inc 声称�������窃取了 5TB数据。11 月 美国医疗保健巨头 Henry Schein 窃取了数十 TB 的数据,包括工资
218、数据和股东信息。12 月 著名商业咨询和服�����务公司 Advantage Group International 在暗网上泄露 8TB 的数据,数据内容包含可口可乐、宝洁、百事可乐等客户的海量数据集,自世界顶级公司的庞大联系人名单,所有员工的浏览器密码等信息。全球知名服装公司 VF Corp 向美国 SEC(证券交易委员会)提交的表格披露中,VF 通报了 2023 年 12 月 13 日发生的勒索攻击,之后 BlackCat 将其列为受害者。4)Royal Royal 最初被称为“Zeon”,于 2022 年 1 月启动运营,被认为是 Conti 网络犯罪集团的一个分支,在 Conti ��������关闭其业务
219、后崛起。在早�������期的活动中,Roya�����l 部署了 BlackCat 的加密器,后来转向使用自己的加密器,该加密器会发出类似于 Conti的勒索信息。Royal 是 2022 年第四季度最活跃的勒索软件组织之一,针对众多的关键基础设施部门,包括但不限于制造业、通信、医疗保健以及教育等行业。Royal 团伙使用回调钓鱼邮件进行针对性攻击,使用社会工程学手段,引诱受害者安装远程软件,以此获得初始访问的权限,进入系统后,部署 CobaltStrike。安恒云沙箱 https:/ 安恒星图平台 https:/ 132 2023 年全球高级威胁态势研究报告 2023年 2 月,Royal 发布了针对 Linux
220、和 VMwareESXi 系统的勒索软件变种。在 2023 年 7 月以后,Royal 并没有新增发布受害者����,疑似已经进行品牌重塑。5)BianLian BianLian 勒索软件于 2022 年 6 月首次出现,其最初采用双重勒索模式,在从受害者网络中窃取私人数据后加密系统,然后威胁要泄露文件和数据。然而,自 2023 年 1 月以来,当 Avast 发布了勒索软件的解密器时,该组织转向基于数据盗窃的勒索,而无需加密系统。BianLian 使用远程桌面协议(RDP)凭据入侵系统,这些凭据可能是从初始访问代理处购买的或通过网络钓鱼获得,采用����� Go 编写的自定义后门,商业远程访问工具以及命令行和
221、脚本进行网络侦察。最后一个阶段时间时间 受害者受害者 影响影响 1 月 亚利桑那州图森联合学区 关闭了该地区的互联网和网络服务,迫使学校离线工作。3 月 英国怀蒙德姆学院 导致工作人员无法使用计算机资源,学生也无法访问文件。4 月 克拉克县医院 �������包括 PII 在内的个人信息和一些健康信息可能已被未经授权的第三方获取。5 月 蒙大拿州立大学 窃取了超过 100GB的数据。达拉斯市 关闭了一些 IT 系统,包括警察局在内的多个职能领域受到影响。俄勒冈州南部的库里县 导致无法访问任何数字信息。7 月 布伦特里公立学校 窃取了大量内部数据。安恒云沙箱 https:/ 安恒星图平台 https:/ 13
222、3 2023 年全球高级威胁态势研究报告 包括通过文件传输协议(FTP)、Rclone 工具或 Mega 文件托管服务泄露受害者������数据。BianLian 主要针对金融机构、医疗保健、制造、教育、娱乐和能源行业,根据分析受害者所在国家和地区的统计数据,主要针对美国、英国和澳大利亚的组织和机构。时间时间 受害者受害者 影响影响 1 月 韦恩斯伯勒地方政府 窃取了 350G�������B 的文件,据称其中包括文件服务器数据、来自内部警察局文件服务器的文件、公共关系以及各种业务文件、笔记和手册。2 月 Retina&Vitreous 一些个人和受保护的健康信息可能在未经授权的情况下被获取。4 月 克拉克县医院 包括
223、 PII 在内的个人信息和一些健康信息可能已被未经授权的第三方获取。5 月 默弗里斯伯勒医疗诊所 窃取了 �����250GB 的文件,包括人力资源文档、财务数据、业务数据、法律案例和 SQL 数据库。巴塞尔教育部 窃取了约 1.2TB的数据。7 月 美国柯林斯航空航天公司 超过 20GB 的敏感个人数据泄露。9 月 救助儿童会 窃取了 6.8TB的数据。10 月 加拿大航空 窃取了 210GB数据。11 月 印度国家证券交易所信息技术(NSEIT)声称获取了该公司超过 3TB 的数据。12 月 乳制品蛋白制造商 AMCO Proteins 泄露数据大小为 4TB,包含个人资料、会计数据、财务数据、合同
224、数据、SQL 备份等。安恒云沙箱 https:/ 安恒星图平台 https:/ 134 2023 年全球高级威胁态势研究报告 6)BlackBasta BlackBasta 是在 2022 年 4 月新出现的勒索团伙,由于具备在短时间内迅速执行多次攻击的能力�������,因此 BlackBasta 在出现不久后很快就声名鹊起。Black Basta 在短时间内产生的影响表明该组织具有一套经过实践且有效的战术、技术和程序(TTP������),而其数据泄露博客、支付站点、恢复门户、受害者通信以及谈判方法与 Conti 团伙存在相似之处,因此被认为是 Conti 团伙的分支。BlackBasta 的攻击一般从通过网络钓鱼
225、攻击获得的初始访问权限开始,典型的攻击可��������能始于包含 zip 文件中恶意文档的电子邮件,提取后,文档会安装 Qakbot 银行木马以创建后门访问并部署 SystemBC,从而建立与命令和控制服务器的加密连接。之后安装 CobaltStrike 用于网络侦察和分发其他工具。BlackBasta 的大部分受害者位于北美,其次是欧洲和亚太地区。受害者行业包括建筑、服务、零售、保险和制造业等。Black Basta 勒索软件团伙在过去一年半的时间里从 90 多名受害者那里获得了超过 1.07 亿美元的赎金。时间时间 受害者受害者 影响影响 2 月 KFI Engineers 1.1TB的数据被盗,最终支
226、付 30万美元。3 月 英国放大器�����和音箱制造商 Marshall 被添加到 BlackBasta 的泄露网站中。4 月 加拿大目录出版商黄泄露的信息包括与员工有关的身 安恒云沙箱 https:/ 安恒星图平台 https:/ 135 2023 年全球高级威胁态势研究报告 7)Medusa Medusa 勒索于 2021 年 6 月开始,但活动相对较少,受害者很少,然而,在 2023 年,勒索软件团伙的活动却持续有所增加,并推出 tor 博客,用于泄露拒绝支付赎金的受害者的数据。Medusa 勒索软件行动于 2021 年 6 月左右启动,使用 A������ES 和 RSA 加密算法对文件进行加密,加密后的
227、文件扩展名.MEDUSA,并在目录下创建勒索信文件。时间时间 受害者受害者 影响影响 2 月 汤加通信公司 连接新客户、交付账单和管理客时间时间 受害者受害者 影响影响 页集团 份证件和税务文件、销售和购买协议以及公司财务信息。5 月 Buckley King LPA 律师事务所 Black Basta 称有 110GB 的文件。最终受害者同意支付 15 万美元。德国汽车和武器制造商莱茵金属公司 窃取了保密协议、协�����议、技术原理图、护照扫描和采购订单。10 月 多伦多公共图书馆 攻击导致多伦多公共图书馆停电。安恒云沙箱 https:/ 安恒星图平台 https:/ 136 2023 年全球高级威
228、胁态势研究报告 时间时间 受害者受害者 影响影响 户查询的流程受到影响。3 月 Bishop Luffa 学校 被盗数据包含教职员工、学生和家长的个人详细信息。田纳西州立大学 导致该大学的 IT 系统暂时无法访问。4 月 Uniondale Union Free School District 网站上发布的文件包括学生的个人信息以及人事信息。5 月 意大利自来水供应商Alto Calore Servizi spA 被盗数据的样本包括客户数据、合同、报告、扩展文档等。悉尼王妃玛丽癌症中心 10,000 多个文件被窃取。6 月 阿根廷国家安全委员会 窃取了 1.5TB 的财务信息,����并索要 50 万
229、美元的赎金。9 月 菲律宾健康保险公司 近 750GB信息被盗。10 月 德国丰田金融服务公司 窃取敏感数据要求 800 万美元的赎金。11 月 加拿大心理协会 窃取敏感数据要求 20 万美元的赎金。8)8Base 8Base 勒索软件团伙于 2022 年 3 月首次出现,开始时保持相对安静,几乎没有明显的攻击,但在 2023 年 5 月后勒索活动激增,针对各行各业的许多公司并进行双重勒索,截至 12 月,已经有 200 多个组织遭受攻击。通过网络钓鱼电子邮件或使用初始访问代理(IAB),主要目标行业包括但不限于商业服务、金融、制造和信息技术。����安恒云沙箱 https:/ 安恒星图平台 http
230、s:/ 137 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 6 月 堪萨斯医疗中心 个人文件、身份证、健康保险信息、患者 PII、员工信息、内部文件、账户信息和其他财务文件被泄露。ClearMedi Health 被盗文件包括个人文档、患者数据、员工信息、财务文件等。7 月 Ane����sco 能源公司 声称可以访问个人信件、财务报表、包含机密信息的文件等。9 月 福特经销商 COVESA 窃取敏感信息。11 月 西班牙公司 Ingeniera 窃取敏感信息。12 月 西班牙雷乌斯市市政资本 泄露数据包含发票、收据、会计凭证、个人资料、证书、雇佣合同、大量机密信息、保密协
231、议等,导致停车应用程序和市政停车网络的出入口发生故障。9)Qilin Qilin 又名 Agenda 勒索,Windows 版本最早于 2022 年 8 月中旬被发现,2023 年重命名为 Qilin,8 月,国外安全厂商揭露了 Qilin 勒索的 RaaS 策略,并表明 Qilin 拥有构建器可��������以生成针对 Windows 和 ESXi 的样本。安恒云沙箱 https:/ 安恒星图平台 https:/ 138 2023 年全球高级威胁态势研究报告 2023 年 10 月底,安恒研究院猎影实验室捕获�����到 VT检测数为 0的 Qilin勒索 Linux/ESXi 变体。该变体运行时允许配置多个命令行
232、参数来启用和禁用特定������功能,例如快照删除、进程终止等。时间时间 受害者受害者 影响影响 3 月 荷兰的医疗服务提供商 Attent Zorg Behandling 其网络遭遇未经授权的访问,导致其系统、电子邮件和电话无法访问。5 月 哥伦比亚公司 Emtelco 窃取了数百 GB 的数据。包括所有大客户(�������企业)数据、非公开文件等。8 月 电池制造商 Thonburi Energy Storage Systems 针对 TESM 网络攻击的数据转储,窃取了大量内部数据。11 月 汽车零件供应商延锋 影响多家汽车厂商的声称,直接迫使 Stellantis 汽车公司停止其北美工厂的生产。12 月 美国
233、内华达州神经病学中心 窃取了大量敏感数据。安恒云沙箱 https:/ 安恒星图平台 https:/ 139 2023 年全球高级威胁态势研究报告 10)Play Play 勒索软件于 2022 年 6 月被发现,当时受害者在 BleepingComputer 论坛中披露攻击。最初专注于拉丁美洲的组织,尤其是巴西,但之后很快就扩大了目标范围,受害者逐渐转移到了北美和欧洲地区。泄漏站点数据表明,IT 行业是 Play 攻击的最����大目标,其次是运输,其他受影响的组织包括建筑和材料行业的组织以及政府������实体等。Play 勒索软件组织是最活跃的团伙之一,以针对 Microsoft Exchange漏洞获得远程
234、代码执行并渗透受害者网络而闻名。使用许多工具和漏洞来增强其武器库,包括漏洞 ProxyNotShell,OWASSRF 和 Microsoft Exchang������e S�����erver 远程代码执行等。2023 年,该组织开始使用新工具,如 Grixba,这是一种网络扫描工具,用于枚举域中的所有用户和计算机。以及开源 VSS 管理工具 AlphaVSS,它提供了一个用于与 VSS 交互的高级接口。该库通过提供一组受控 API 使.NET 程序更容易与 VSS 交互。开发人员可以使用这些 API 生成、管理和删除卷影副本,以及访问有关现有卷影副本的信息,例如大小和状态。安恒云沙箱 https:/ 安恒星图
235、平台 https:/ 140 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 1 月 英国最大的汽车经销商网络 Arno�������ld Clark Play 勒索软件组织在网上发布了 15GB的客户数据。2 月 网络硬件制造商 A10 Networks 勒索团伙短暂获得了共享驱动器的访问权限以及与人力资源、财务和法律职能相关的数据。3 月 荷兰海运物流公司 Royal Dirkzwager 发布了属于该公司的 5GB 数据。法国宝马 被盗数据包括私人和个人机密数据、合同、财务信息和客户文件。4 月 萨克森州瓦莱州市 被盗数据包括机密、私人和个人数据、财务、人力资源、合同和员工文件
236、。5 月 马萨诸塞州洛厄尔市 该市计算机系统陷入混乱,电话线、电子邮件和其他系统因攻击而瘫痪。德国外贸机构 GTAI ��������攻击了其网站、电子邮件和电话服务。6 月 瑞士 IT 公司 Xplain 使许多政府部门的数据面临风险。西班牙银行 Globalcaja 窃取了私人和个人机密数据,包括客户和员工文件、护照和合同。安恒云沙箱 https:/ 安恒星图平台 https:/ 141 2023 年全球高级威胁态势研究报告 时间时间 受害者受害者 影响影响 法国橄榄球联合会 邮件服务器受到严重攻击。3.黑客雇佣组织黑客雇佣组织 1)Infinity 论坛论坛 2022 年 11 月����,Killnet 团伙
237、成立了 Infinity 论坛,旨在促进亲克里姆林宫的黑客组织以及出于经济动机的黑客之间的合作以及交易网络犯罪工具和窃取数据的市场。图 Infinity 向亲克里姆林宫黑客组织发出邀请 然而,2023������ 年 2 月,Killnet 的领导者 Killmilk 透露,该组织已决定出售 Infinity 论坛。Infinity 论坛运营时对外提供“黑客商店”服务,其中服务页面截图如下:安恒云沙箱 https:/ 安恒星图平台 https:/ 142 2023 年全球高级威胁态势研究报告 图 Infinity 论坛提供的黑客商店服务 经过整理,提供的服务包括以下:黑客教育服务。私人数据/泄露数据 恶意
238、软件日志 转储/数据库泄露/跨站脚本攻击 私人黑客 DDoS服务租赁 渗透测试攻击 信用卡 网络钓鱼 开发编程等 其中网络钓鱼服务的广告内容如下:安恒云沙箱 https:/ 安恒星图平台 https:/ 143 2023 年全球高级威胁态势研究报告 图 Infinity 论坛网�����络钓鱼服务 2)印度雇佣黑客组织:印度雇佣黑客组织:Appin Appin 被认为是印度最早的雇佣黑客组织,至少从 2009 年开始就提供进攻性安全培训计划以及秘密黑客行动,组织在过去几年内不断壮大发展,其成员已经扩散到竞争对手或合作伙伴,甚至其品牌已经延续到国防行业。2023 年 11 月,安全研究人员对 Appin
239、组织进行了深入的分析。目前该组织的目标遍及世界各地,根据统计,受害者的地区或国家包括:美国、加拿大、中国、印度、缅甸、科威特、孟加拉国、阿拉伯联合酋长国、巴基斯坦等地区。安恒云沙箱 https:/������� 安恒星图平台 https:/ 144 2023 年全球高级威胁态势研究报告 Appin 多年来获取和管理基础设施的方法是通过特定的外部承包商来处理的。在当时,这些个体将注册域名根据项目需要设置托管解决方案。Appin 运营商会突出一种服务器类型,包括一些技术要求,以及分配给哪个运营商使用。然后,顾问将购买服务器,按照指示进行设置�����,为操作员和 Appin 领导层提供远程访问凭据,并通过详细说明付款的发
240、票结束交互。请求服务器类型包括以下:数据传输服务器:用于被泄露的数据的传输目的地。C2 服务器:用于发送恶意软件命����令,或托管恶意软件的下�����载。钓鱼站点:用于凭证网络钓鱼的托管网页。诱饵站点:用于吸引目标进行凭证钓鱼或恶意软件传播。VPS 服务器:用于非特定目的访问受害机器和攻击基础设施管理。2024 网络犯罪趋势预测网络犯罪趋势预测 1.勒索赎金支付总金额大幅上升勒索赎金支付总金额大幅上升 2021 年是勒索软件攻击领域迄今为止赎金交易额最高的一年,总支付金额高达 9.399 亿美元。2022 年,全球机构共同努力,采取了坚决的执法行动,有效地打击了勒索软件攻击的蔓延,受害者支付金额显著下降,赎
241、金支付总规模低于 5 亿美元。2023 年,这一趋势并未持续,支付赎金金额再次激增。根据区块链分析公司 Chainalysis 的数据,在 2023 年上半年受害者已向勒索软件团伙支付了 4.491 亿美元。他当时预计 2023 一整年的支付总额可能会达到接 安恒云沙箱 https:/ 安恒星图平台 https:/ 145 2023 年全球高级威胁态势研究报告 近 9 亿美元。2023 年勒索赎金支付规模的增长与勒索团伙提出的极高初始赎金需求直接相关。2023 年针对大型企业的勒索攻击大幅增加,“大型游戏狩�������猎”攻击活动卷土而来,例如在第一季度,45%的勒索攻击初始金额要求超过100 万美元。也
242、就是说,尽管许多受害组织在 2023 年仍然拒绝支付赎金,但这种不付款的������趋势反而会促使攻击者提高初始赎金要求金额,从而从仍愿意支付赎金的公司榨取尽可能多的赎金。据相关机构统计,2023 年,不包括赎金,从勒索软件攻击中恢复的平均成本是 182 万美元,勒索攻击对企业和组织造成的危害正逐步加深。我们预计在 2024 年,勒索软件攻击支付金额随着勒索组织的疯狂而进一步上升,受害组织遭受勒索攻击后的恢复成本也会相应提高。2.勒索团伙的漏洞利用能力增强勒索团伙的漏洞利用能力增强 勒索软件团伙在 2023 年展现出了强大的漏洞利用能力。其中 Clop勒索软件团伙尤为突出,该团伙在半年内利用 GoAnyw
243、here MFT、PaperCut和 MOVEit Transfer 等软件中的漏洞发起了大量攻击,造成了严重影响。2023年 1月下旬,Clop 勒索软件组织利用 0-day 漏洞(现已编为 CV�����E-2023-0669)发起了一场针对 GoAnywhere MFT 平台的活动。攻击者可以利用此漏洞在未修补的 GoAnywhere MFT 实例上执行远程代码,让管理控制台暴露在互联网上,被任意访问。Clop 团伙声称已经可以通过受 安恒云沙箱 https:/ 安������恒星图平台 https:/ 146 2023 年全球高级威胁态势研究报告 害者的网络横向移动,并部署勒索软件载荷来加密系统,但他们决定
244、不加密系统,只窃取存储在受攻击的 GoAnywhere MFT 服务器上的文件。该组织表示,从 GoAnywhere MFT 平台窃取的数据影响大约 130 名受害者。2023 年 4 月,Clop 团伙利用了两个 PaperCut 漏洞传播勒索软������件CVE-2023-27350 和 CVE-2023-27351。攻击者利用 PaperCut 的漏洞,初步访问公司网络。一旦获得了访问服务器的权限,Clop 就会部署 TrueBot 恶意软件和 Cobalt Strike 信标,同时使用 MegaSync文件共享应用程序窃取数据。2023 年 6 月,Clop 利用流行的管理文件传输软件 MOVE
245、it 中的 �����SQL注入 0day 漏洞 CVE-2023-34362 进行攻击。MOVEit Transfer 是广泛使用的托管文件传输软件,通过利用该漏洞,攻击者可以未经授权访问数据库,进而导致远程代码执行和数据泄露。攻击者利用 MOVEit 漏洞在服务器上释放特制的 Webshell,从而允许他们检索存储在服务器上的文件列表、下载文件并窃取已配置的 Azure Blob 存储容器的凭证或密钥。利用 MOVEit 安全文件传输平台中的 0-day 漏洞进行的数据窃取攻击预计将影响全球数百家公司。2023 年 8月,Akira勒索软件利用思科自适应安全设备(ASA)和 Firepower 威胁
246、防御(FTD)产品进行勒索攻击,后续思科证实上述产品中存在漏洞未授权访问漏洞(CVE-2023-20269)。2023 年 10 月起,包括 Citrix Bleed 在内的多个漏洞相继被勒索组织 安恒云沙箱 https:/ 安恒星图平台 https:/ 147 2023 年全球高级威胁态势研究报告 利用,波���音公司等大型企业和机构受到波及。值得注意的是,Clop 团伙在之前也曾经利用 Accellion 文件传输设备和 GoAnywhere MFT 等软件中的漏洞进行攻击。这表明,0-day 漏洞利用攻击对勒索团伙来说是一种有吸引力的作案手法,他们对这类漏洞的关注程度持续增加,且持续加强漏洞武
247、器化的能力。面对勒索团伙漏洞利用能力的增强,各组织和企业应当高度重视网络安全防护措施,及时更新软件补丁,加强漏洞管理,以及备份重要数据,以确保网络和数据的安全。3.针对云服务的勒索攻击将增加针对云服务的勒索攻击将增加 2023 年 2 月初,ESXiArgs 勒索软件破坏了未打补丁的云服务,对全球数千台服务器发起勒索软件攻击。攻击者利用 VMware ESXi 服务器中的已知漏洞,获取访问权限并部署 ESXiArgs ��������勒索软件,对 ESXi 服务器内配置文件进行�������加密并发送赎金票据。其中,受影响最严重的是过去将数据存储在物理服务器上,并仅简单地将数据部署在云端的公司。重要的云服务提供商和云计算基
248、础设施近期成为勒索组织关注的重点目标。随着全球数字化转型的加速,越来越多的服务和数据部署在云端,基础设施即服务(IaaS)作为数字经济的强力支撑,逐渐成为信息基础设施的重要组成部分。勒索组织也注意到云上资产的重要性,针对云系������统量身定制的勒索软件攻击(Cloud Ransomware)成为新型威胁。随着云计算和存储的日益普及,勒索软件攻击者可能会开发针对云 安恒云沙箱 https:/ 安恒星图平台 https:/ 148 2023 年全球高级威胁态势研究报告 服务和工作流程进行优化的新型勒索软件。云环境受到损害可能会导致广泛的损害、业务中断和敏感数据被盗,从而同时影响多个用户或组织。这种可能性凸
249、显了在基于云的环境中需要强大的安全措施和主动防御 4.出现更多的勒索出现更多的勒索源代码源代码再���������利用再利用 自 Conti 团伙解散以来,研究人员发现了多种基于 Conti 勒索软件泄露源代码创建的勒索软件毒株。LockBit 威胁组织也使用了泄的 Conti索软件源代码进攻击,并将该特定变体称为 LockBitGreen。以下是一些已披露的基于 Conti的新型勒索软件:BlueSky:BlueSky 勒索软件最初于 2022 年下半年出现。该勒索软件与 Conti 和 Babuk 勒索软件表现出一些相似之处������和重叠之处。此勒索软件释放的赎金记录名为“#DECRYPT FILES BLUESK
250、Y#.txt”,其中包含解密文件的说明。ScareCrow:ScareCrow 是一种基于 Conti 勒索软件的新勒索变体。执行后,它会加密文件并附加 crow 作为扩展。该勒索软件会释放名为“自述文件.txt”的赎金记录,其中包含三�����个用于联系威胁行为者(TA)的 Telegram(一个跨平台的即时通讯软件)地址。Meow:Meow 变种基于 Conti 勒索软件,加密受害者的文件并附加.meow 作为扩展。它会释放一个名为“readme.txt”的�����赎金记录,其中包含四个电子邮件地址,以及受害者可以用来交互的两个 Telegram地址。Putin Team:Putin Team 作为新出现的
251、勒索软件组织,可能已经更改 安恒云沙箱 https:/ 安恒星图平台 https:/ 149 2023 年全球高级威胁态势研究报告 了 Conti 勒索软件泄露的源代码以生成勒索软件二进制文件。这个团体伪装成来源于俄罗斯,但目前没有有效的证据来证实这一点。2023年 3 月,研究人员首次观察到 Akira勒索软件,该软件主要针对美国和加拿大��������,目标包括教育、金融、房地产、制造业和咨询等多个行业,已经危害了至少 63 名受害者。研究人员认为 Akira 恶意软件开发者受到了泄露的 Conti 源代码的启发。Akira 与 Conti v2 勒索软件的相似之处包括:排除相同的文件类型和目录 Akir
252、a文件尾部的结构与 Co������nti 附加的文件尾部相同 Akira 勒索软件使用的 ChaCha 2008 的实现与 Conti 勒索软件相同。密钥生成代码(两次调用 CryptGenRandom,然后调用 CryptEncrypt)类似于 Conti 的密钥生成函数。此外,Akira 勒索软件交易与 Conti 攻击者之间存在“多次重叠”。区块链分析人员发现,在其观察到的三笔可疑交易中,Akira 勒索软件用户总共向 Conti 附属地址支付了超过 60 万美元。因此研究人员认为,虽然Conti 已经解散,但其前成员可能通过与 Akira 等其他勒索软件即服务组织的活动。除了 Conti,Bab
253、uk 和 HelloKitty 源码也已经泄露,在 2023 年同样出现了大量复用的现象,预测未来会涌现更多代码复用的勒索家族,在 2024 年继续对目标实体造成破坏。安恒云沙箱 https:/ 安恒星图平台 https:/ 150 2023 年全球高级威胁态势研究报告 5.将人工智能应用于网络�������犯罪将人工智能应用于网络犯罪 生成式大模型在 2023 年迅������速发展,该技术随着 ChatGPT 技术的兴起,于 2022 年底首次进入公众意识。人工智能的崛起从攻击方和防护方的角度来看,都对网络安全产生了重大影响。对于网络安全供应商来说,人工智能能够提高检测效率、检测精准度、情报完整性等;同时网络犯罪团
254、伙也在通过人工智能技术进行攻击流程自动化、提高网络钓鱼的欺骗性、加快恶意软件开发、逃避产品检测等操作。随着人工智能以惊人的速度变得更加复杂,2024 年将继续��������看到更复杂、更智能的攻击手法。其范围包括从深度伪造的社会工程,到智能适应以逃避检测的自动化恶意软件。特别是在网络钓鱼方向,生成式人工智能使更多攻击者能够制定更智能、更个性化的钓鱼手法,针对私人订制的深度伪造攻击会变得更为普遍。此外,当被问及人工智能在网络安全威胁中的作用时最令人担忧的问题时,46%的受访者表示人工智能在应用过程中的企业可能会比应�������用人工智能技术之前更容易遭到攻击,此外,39%的受访者表示,人工智能带来的隐私问题将会增加。6.
255、针对国内的网络犯趋势可能会有所衰退针对国内的网络犯趋势可能会有所衰退 针对我国的网络犯罪团伙有相当一部分聚集在缅北等东南亚地区,他们通过 SEO 投毒、钓鱼网站、钓鱼邮件、社������交媒体等方式传播远控木 安恒云沙箱 https:/ 安恒星图平台 https:/ 151 2023 年全球高级威胁态势研究报告 马,窃取受害者的身份信息,利用受害者身份骗取钱财,亦或是通过地下暗网购买泄露的数据库,提供个人隐私查询服务,从中获利。2023 年 8 月,中泰缅老四国警方启动合作打击赌诈集团专项联合行动。截止到 2023 年 11月,我国打击缅北地区涉我国电诈取得了显著的成果,累计 3.1 万����名电信网络诈骗犯罪
256、嫌疑人移交我方,各大诈骗集团头目相继被捕。通过 Telegram 相关信息发现,部分黑灰产团伙服务永久停运。图部分黑灰产团伙服务永久停运 随着针对东南亚地区的诈骗团伙的打击不断地推进,未来针对我国的网络犯罪趋势将不断衰退。安恒云沙箱 https:/ 安恒星图平台 https:/ 152 20�����23 年全球高级威胁态势研究报告 在野在野 0-day 漏洞篇漏洞篇 2023 年在野年在野 0-�����day 漏洞披露情况漏洞披露情况 根据猎影实验室的统计,截止 2023 年 12 月初,全球厂商全年一共披露主流厂商的在野 0-day 漏洞 55 个。其中 CVE-2023-28252、CVE-2023-36
257、033、CVE-2023-36802 这三个 Windows 内核提权在野 0-day 漏洞由安恒信息捕获提交。从下图可以看到,2023 年被披露的在野 0-day 漏洞数量较 202������2 年有明显提升,但总数仍少于 2021 年。忽略 2021 年的异常波动,可以发现近几年披露的在野 0-day漏洞数量整体继续成上升趋势。从在野 0-day 漏洞涉及厂商的分布情况来看,2023 年被披露在野 0-day 漏洞最多的厂商变成了苹果,其次是微软和谷歌。苹果从去年的第三变成了今��������年的第一,这一格局相比前几年有较大变化。500708020
�������258、02120222023在野0day数量 安恒云沙箱 https:/ 安恒星图平台 https:����/ 153 2023 年全球高级威胁态势研究报告 从在野 0-day 漏洞产品类型的分布来看,2023 年最受攻击者青睐的仍然是操作系统 0-day 漏洞,其次是浏览器 0-day 漏洞,这两个类型的比例合计占了 82%。这一趋势和 2022 年保持一致。从在野 0-day 漏洞所属的漏洞类型分布来看,2023 的在野 0-day 漏洞占比最多的是权限提升漏洞,其次是远程代码执行漏洞。这一趋势和 20221131032114各厂商在野0day数量AppleMicrosoftGoogleQualcomm
259、ARMAdobeSamsungOther49%33%5%5%4%2%2%影响产品分布操作系统浏览器GPU办公软件电子邮件压缩软件解决方案 安恒云沙箱 https:/ 安恒星图平台 https:/ 154 2023 年全球高级威胁态势研究报告 2 年相反,可以看出权限提升漏洞占比正在逐渐上升。2023 年在野年在野 0-day 漏洞利用趋势漏洞利用趋势 综合 2�����023 年披露的 55 个在野 0-day 漏������洞,猎影实验室梳理了若干最值得关注的在野 0-day 漏洞利用趋势。1.苹果设备跃升成为苹果设备跃升成为 0-day 漏洞攻击的头号目标漏洞攻击的头号目标 在 2023 年披露的 55 个在野
260、 0-day 漏洞中,苹果占了 21 个,高于微软和谷歌。这一趋势打破了往年的分布常态,表明苹果手机和电脑用户越来越成为 APT 攻击者瞄准的重������要目标。作为对比,谷歌的在野 0-day漏洞披露数量最近三年成逐年下降趋势,这表明谷歌安全团队的努力正在得到回报。48%46%2%2%2%漏洞类型分布权限提升远程代码执行信息泄露安全特性绕过XSS 安恒云沙箱 https:/ 安恒星图平台 https:/ 155 2023 年全球高级威胁态势研究报告 2.提权提权 0-day 漏洞数量继续维持高位漏洞数量继续维持高位 近年来,随着主流操作系统和主流浏览器引入越来越健全的沙箱机制,APT 组织对提权漏洞的
261、需求也随之上升。纵观整个 2023 年,提权 0-day 漏洞在全年在野 0day 中的占比高达 48%,在 2022 的基础上又提高 5个百分点。微软、苹果、谷歌、三星、高通����、ARM 等厂商都出现了提权0-day �����漏洞的攻击案例,以下是我们整理得到的 2023 年所有在野提权 0-day 漏洞的基本信息。CVE 编号编号 厂商厂商 产品产品 提权类型提权类型 CVE-2023-32409 Apple iOS/macOS 操作系统提权 CVE-2023-32434 Apple iOS/macOS 操作系统提权 CVE-2023-38606 Apple iOS/macOS 操作系统提权 CVE-
262、2023-41064 Apple iOS/macOS 操作系统提权 CVE-2023-41990 Apple iOS/macOS 操作系统提权 CVE-2023-28206 Apple iOS/macOS 操作系统提权 CVE-2023-4199������2 Apple iOS 操作系统提权 CVE-2023-42824 Apple iOS 操作系统提权 22382232021-2023 三大主流厂商在野0day数量统计微软谷歌苹果 安恒云沙箱 https:/ 安恒星图平台 https:/ 156 2023 年全球高级威胁态势研究报告 CVE 编号编号 厂商厂
263、商 产品产品 提权类型提权类型 CVE-2023-33063 Qualcomm Android CPU 提权 CVE-2023-33106 Qualcomm Android CPU 提权 CVE-2023-33107 Qualcomm Android CPU 提权 CVE-2023-21492 Samsung Android 操作系统提权 CVE-2023-4211 ARM �������Android GPU提权 CVE-2023-0266 Google Android 操作系统提权 CVE-2023-35674 Google Android 操作系统提权 CVE-2023-21674 Microsoft
264、 Windows 操作系��������统提权 CVE-2023-23376 Microsoft Windows 操作系统提权 CVE-2023-28252 Microsoft Windows 操作系统提权 CVE-2023-29336 Microsoft Windows 操作系统提权 CVE-2023-36036 Microsoft Windows 操作系统提权 CVE-2023-36802 Microsoft Windows 操作系统提权 CVE-2023-36884 Microsoft Windows 操作系统提权 CVE-2023-23397 Microsoft Outlook 应用程序提权 CVE-
265、2023-36874 Microsoft Windows 应用程序提权 CVE-2023-32046 Microsoft Windows 应用程序提权 CVE-2������023-36033 Microsoft Windows 应用程序提权 Windows 提权方面,今年总共出现了 10个 Windows 本地提�������权在野 0-day 漏洞,包括 6 个内核提权 0-day 漏洞和 4 个用户态提权 0-day 漏洞。值得一提的是,有 3 个 Windows 本地提权在野 0-day 漏洞由安恒信息捕获或报送(CVE-2023-28252、CVE-2023-36033、CVE-2023-36802),占此部
266、分比例达 30%��������,全球范围内仅次于微软(50%)。这再次体现出安恒信息在 Windows 本地提权 0-day 漏洞狩猎领域的国际领先水平。CVE 编号编号 漏洞组件漏洞组件 漏洞类型漏洞类型 发现厂商发现厂商 CVE-2023-21674 ALPC 内核��������提权 Avast CVE-2023-23376 CLFS 内核提权 Microsoft CVE-2023-28252 CLFS 内核提权 Kaspersky,Mandiant,安恒信息 CVE-2023-36036 CLDFLT 内核提权 Microsoft 安恒云沙箱 https:/ 安恒星图平台 https:/ 157 2023 年全球高
267������、级威胁态势研究报告 CVE 编号编号 漏洞组件漏洞组件 漏洞类型漏洞类型 发现厂商发现厂商 CVE-2023-36802 MSKSSRV 内核提权 Microsoft,IBM X-Force,安恒信息 CVE-2023-29336 Win32k 内核提权 Avast CVE-2023-32046 MSHTML 用户态提权 Microsoft CVE-2023-36033 DWM 用户态提权 安恒信息����� CVE-2023-23397 Outlook 用户态提权 CERT-UA,Microsoft CVE-2023-36874 WER 用户态提权 Google 3.针对针对 Chrome 的的 0d
268、ay 攻击继续回落攻击继续回落 2023 年一共披露了 7 个 Chrome 在野 0-day 漏洞,这个数字在 2�����022年的基础上又有所减少,造成这个现象的主要原因是:从 2021 年开始,Chrome �����浏览器开发团队和谷歌安全团队持续为 V8 引擎等组件设计开发针对性的漏洞缓解机制。从最近两年的在野 0-day 漏洞统计结果来看,这些缓解机制显著提高了 Chrome 漏洞的利用难度,较大程度上保护了用户的安全。在这里我们为 Chrome浏览器开发团队和谷歌安全团队点赞。02800222023Chrome 0day数量 安恒云
269、沙箱 https:/ 安恒星图平台 https:/ 158 2023 年全球高级威胁态势研�����究报告 4.操作系统操作系统 0day 比例继续上升,浏览器比例继续上升,浏览器 0day 比例继续下降比例继续下降 与 2022 年相比,2023 年的操作系统在野 0-day 漏洞占比又有一定幅度的上升,这主要由两个原因造成:第一个原因是 2023 年浏览器在野 0day 占比有所下降,第二个原因是 2023 年提权在野 0-day 漏洞比例较 2022年又有所增多,而这些提权 0-day 漏洞大多数属于操作系统漏洞。5.以以 Office 为载体的逻辑漏洞持续出现为载体的逻辑漏洞持续出现 和我������们在去
270、年的报告中预测的一致,2023 年,以 Office 为载体的逻辑漏洞再次出现。今年新出现的漏洞(CVE-2023-36884)继续以 Word 文档作为攻击入口,所不同的是这次的漏洞在触发流程上较为复杂,这会降低漏洞的实际触发成功率。然而我们不能据此推测明年不会出现令人惊艳的 Office0-day漏洞攻击。CVE 编号编号 攻击����载体攻击载体 漏洞组件漏洞组件 漏洞类型漏洞类型 29%46%49%45%38%33%20221-2023 操作系统和浏览器在野0day占比操作系统0day占比浏览器0day占比 安恒云沙箱 https:/ 安恒星图平台 https:/ 159
271、 2023 年全球高级威胁态势研究报告 CVE-2023-36884 Word 文档 Office&MSHTML 远程代码执行 2024 年在野年在野 0-day 漏洞利用预测漏洞利用预测 在总结了 2023 年的在野 0-day 漏洞利用趋势后,猎影实验室对 2024年在野 0-day 漏洞利用趋势做如下预测:(1)2024 年全球范围内可能会披露更������多针对 iOS/MacOS/Webkit 的在野 0-day漏洞攻击事件。最近几年的趋势表明,攻击者在针对苹果用户的定向攻击行动中已经开始游刃有余,这意味着相关攻击组织背后有一套成熟的产业链和充足的漏洞储备。即使苹果的安全团队已经意识到这一问题,
272、想要遏制这一趋势也至少需要 1-2 年的时间。(2)Chrome 在野 0-day 漏洞会继续出现,但新漏洞数量会继续趋于平稳。最近两年的趋势表明最新的 Chrome 漏洞缓解机制非常有效。从攻防转换的视角来看,攻击者有一定可能会转向其他厂商的薄弱产品进行 0-day 漏洞攻击。(3)针对操作系统应用程序的提权 0-day 漏洞将会继续出现。关于这块的理解,我们和去年的观点保持一致:随着沙箱机制日益严格,常规的远程代码执行漏洞必须配合提权漏洞来完������成整条利用链,这一需求必定导致本地提权 0-day 漏洞的供给和使用频率继续维持高位。安恒云沙箱 https:/ 安恒星图平台 https:/ 160
273、 2023 年全球高级威胁态势研究报告(4)安全特性绕过型的在野 0-day 漏洞会继续出现。相比于传统内存破坏型在野 0-day 漏洞和逻辑漏洞型在野 0-day 漏洞,安全特性绕过型在野 0-day 漏洞的�������挖掘成本低,使用隐蔽,实战效果好,因此近几年越来越被攻击者所青睐。我们预测明年将保持这一趋势。安�������恒云沙箱 https:/ 安恒星图平台 https:/ 161 2023 年全球高级威胁态势研究报告 总结总结 在 2023 年,全球网络安全领域面临着严峻且不断演变的高级持续性威胁(APT),这对网络安全构成了重大挑战。我们观察到,APT 组织和黑灰产团伙的活动频率明显增加,这不仅加剧了网络
274、安全威胁,同时也揭示了全球互联网空间存在的漏洞和弱点。尤其值得注意的是,随着云基础设施的�����广泛应用,它逐渐成为攻击者的新战场。攻击者利用这一平台进行更加隐蔽和破坏性强的渗透活动。此外,供应链攻击的增加也使网络威胁的影响更为广泛和深远。这种趋势提醒全球网络安全社区,必须采取实际有效的措施加强云安全和供应链安全。面对这些挑战,国际间的合作变得尤为重要。通过信息共享、技术创新和共同研发安全标准,我们可以共同构建一个更加坚固的全球网络安全体系。国内方面,应预先部署各级网络安全防线,专注于关键信息基础设施的保护和能力建设,借鉴国际经验,强化网络安全防御。此外,为有效对抗网络霸权主义和网络恐怖主义威胁,需要积极提升网络空间的威慑和反击能力。这包括全面提升网络空间作战能力,如人才培养、网络武器研发和网络作战模拟训练等。通过这些努力,可以建立一支训练有素、专业性强的网络作战部队,随时准备应对日益复杂和严峻的网络威胁。在全球范围内共同努力下,我们将能够更有效地维护网络安全,确保数字时代的可持续发展。
sgpjbg002
工作日 8:30 - 17:30
报告分类
