1、2022-08双子座实验室2022 年上半年全球主要 APT 攻击活动报告2022 年上半年全球主要 APT 攻击活动报告目录CONTENTS01 APT 组织 2022 上半年全球攻击活动概述 402 APT 组织 2022 上半年攻击数据披露 503 2022 年上半年重大 APT 攻击活动 804 APT 组织上半年全球攻击活动总结 1105 2022 年上半年 APT 组织活动时间表 12342022 年上半年全球主要 APT 攻击活动报告APT 组织 2022 上半年全球攻击活动概述012022 年上半年，天际友盟持续对 APT 威胁组织活动进行追踪总结，总共披露了全球 50 多个

2、APT 组织80 多起攻击活动，结合全球安全机构及厂商对 APT 组织的分析，我们总结出 2022 年上半年 APT 组织活动具有如下特点地缘政治冲突激化网络安全热门高危漏洞迅速武器化勒索软件攻击更为频繁2022 年 2 月开始的俄乌战争把地缘政治冲突推向了顶点。随着战争的推进，网络安全空间冲突不断升级，各方势力相继下场，俄乌双方迅速成为黑客组织攻击的首要目标。在俄乌冲突中，双方都将网络攻击目标瞄准在政府、军事、能源、关键基础设施等领域，在作战力量上，国家力量、黑客组织、民间力量成为俄乌冲突网络作战的主力。而在攻击手段上，双方采用了 DDoS 攻击、钓鱼欺诈、漏洞利用、供应链攻击、木马后门、勒

3、索软件等攻击方式，极大的扩展了网络攻击的杀伤面，造成了严重的影响。APT 组织对 0day 及热门高危漏洞利用步伐大大加快，今年上半年，除了去年 12 月底爆出的 Log4Shell(CVE-2021-44228)漏洞被伊朗黑客 APT35 利用分发新型模块化 PowerShell 后门及 Lazarus 组织利用其传播后门软件 NukeSped 以外，5 月底爆出的 Windows 支持诊断工具(MSDT)远程代码执行漏洞 Follina(CVE-2022-30190)迅速被俄罗斯黑客组织 APT28 和 Sandworm 利用针对乌克兰进行了猛烈攻击，可以看出很多黑客组织已经具有快速利用高

4、危 0day 漏洞的能力，并可以根据攻击目标设定具体的攻击策略。由于 RaaS（勒索软件即服务）的形式已经逐渐成熟化，勒索软件利用的门槛在逐步降低，加之巨大利润的诱惑，越来越多的组织和团伙开始利用勒索软件发起攻击，大多数攻击都具有针对性，如针对市政网络、医疗、IT 等行业基础设施发起攻击，一旦成功，目标系统立即陷入混乱，极有可能支付赎金。这从半年的安全事件来看，全球几乎每天都有公司或政府机构、社会组织被成功攻陷进行勒索的事件发生，而现在的勒索软件攻击，往往都是伴随着数据窃取的双重风险，攻击者即使没有勒索成功，也可以获取受害者的大量机密信息，可以在暗网上进行出售或为二次攻击提供凭证信息。5我们对

5、 2022 上半年活跃的 TOP 10 APT 组织进行统计如下：2022 年上半年有 80 多起 APT 攻击活动（主要统计知名组织及有影响力的攻击），占据榜首的为老牌朝鲜黑客组织 Lazarus，Lazarus 继续针对韩国的金融行业以及区块链公司利用各种恶意软件如 NukeSped 等进行攻击，持续保持其活跃度；而来自南亚的 APT 组织蔓灵花 BITTER 以针对巴基斯坦、孟加拉国等国家的政府和军事机构的多次攻击而位居第二位；俄罗斯黑客组织 Gamaredon 以其针对乌克兰政府的猛烈攻击而跃居第三位。APT 组织 2022 上半年攻击数据披露022.1 TOP 10 APT 组织图表

6、 1 2022 年上半年 TOP 10 APT 组织LazarusAPT41KimsukyTransparent TribeBITTERGamaredonAPT35EvilnumSideWinderTurla62022 年上半年全球主要 APT 攻击活动报告2022 年上半年 APT 组织攻击的目标国家 TOP 10 统计如下：2022 年上半年 APT 组织攻击的目标行业 TOP 10 统计如下：从上图可以看出政府、军队、金融继续保持其热度，位列攻击目标行业的前三名。2.2 TOP 10 攻击目标2.3 TOP 10 攻击行业图表 2 2022 年上半年 TOP 10 APT 组织攻击目标图

7、表 3 2022 年上半年 APT 事件攻击行业分布 TOP 10由于俄乌战争的影响，乌克兰、美国、俄罗斯成为 2022 年上半年以来黑客攻击目标的前三名。乌克兰政府医疗金融军队文教航空航天互联网通信软件和信息技术能源俄罗斯巴勒斯坦印度韩国中国孟加拉国越南以色列美国72022 年上半年 APT 组织 TOP 10 攻击手段统计如下：2.4 TOP 10 攻击手段图表 4 2022 年上半年 APT 组织常见攻击手段图表 5 2022 年上半年 APT 组织常见漏洞利用木马后门钓鱼攻击社会工程学勒索软件无文件攻击水坑攻击漏洞利用从表中可以看出，木马后门、钓鱼攻击、漏洞利用这些常用方式依然位列各大

8、 APT 组织攻击手段的前三。漏洞利用作为第三大攻击手段，尤其是 0day 漏洞的利用极大的增强了 APT 组织的攻击能力，下表列出了 2022 年上半年最常用的漏洞列表及其针对的系统或软件：CVE-2017-11882CVE-2018-0798CVE-2012-0158CVE-2014-1761Microsoft officeMicrosoft Office Equation EditorMicrosoft officeMicrosoft Word RTFCVE-2017-0199CVE-2021-44228CVE-2015-1641CVE-2015-7450Microsoft office

9、Apache Log4jMicrosoft officeWebSphere CollectionsCVE-2017-0213CVE-2018-0802CVE-2018-13379CVE-2021-26855Windows COMMicrosoft OfficeFortinet FortiOSMicrosoft Exchange ServerCVE-2021-26858CVE-2021-27065CVE-2021-40539CVE-2022-30190Microsoft Exchange ServerMicrosoft Exchange ServerZOHO ManageEngine ADSel

10、fService PlusMicrosoft Windows MSDT2022 年上半年 APT 组织常见漏洞利用82022 年上半年全球主要 APT 攻击活动报告3.1 俄乌冲突相关攻击2022 年上半年重大 APT 攻击活动03俄乌冲突爆发后，俄罗斯和乌克兰之间的紧张局势再度升级。俄罗斯 APT 组织 Gamaredon（又名原始熊）是针对乌克兰的现有的最活跃的 APT 组织之一，该 APT 组织最早在 2015 年被发现，其活动可以追溯至 2013 年，主要针对乌克兰政府和军事组织进行网络攻击活动。2022 年 1 月开始，乌克兰政府就成为破坏性恶意软件 WhisperGate 的目标，

11、多个乌克兰政府网站遭到攻击。研究人员发现了 Gamaredon 组织用于不同网络钓鱼和恶意软件的基础设施，这些基础设施与 700 多个恶意域名、200多个 IP 地址和 100 多个恶意软件样本相连，可见此组织攻击范围之广泛。从 2022 年 1 月到 4 月，Gamaredon 组织持续对乌克兰发起钓鱼攻击，传播各类恶意软件，例如使用 Wiper 恶意软件 Hermetic 进行袭击，涉及金融、国防、航空和 IT 服务行业。据分析，攻击者在数月前就通过其他恶意活动入侵目标环境，窃取凭证、部署后门，此时发动Wiper 和其他勒索软件攻击，其目的就是破坏数据和造成业务中断。3 月，疑似具有东欧国

12、家背景的 APT 组织 UNC1151 对乌克兰发起攻击。本次使用的攻击手法与 UNC1151 之前被披露的攻击手法有些不同。该样本中包含一个压缩包，压缩包内部是一个 dovidka.chm 文件，chm 文件内嵌 html代码，最终释放的 DLL 文件会解密后门程序加载并执行。4 月黑客组织 Sandworm 使用 Industroyer2 攻击乌克兰能源公司，该攻击使用了针对 ICS 系统的恶意软件Industroyer2 和针对 Windows、Linux 和 Solaris 操作系统的磁盘擦除器 CaddyWiper、Linux wiper 和 Solaris wiper。经分析，In

13、dustroyer2 是新版本的 Industroyer，该恶意软件于 2016 年用于切断乌克兰的电力供应。攻击者使用擦除器旨在阻碍系统恢复过程并防止能源公司运营商重新获得对 ICS 的控制权，同时掩盖攻击踪迹。6 月知名俄罗斯组织 APT28 利用核战争主题针对乌克兰传播 Follina 恶意文档，目标是使用恶意软件窃取浏览器中存储的凭据的用户。这次攻击中利用 Follina(CVE-2022-30190)漏洞下载并执行新的.Net 窃取程序。这也是0day 漏洞在攻击中快速使用的典型例子。6 月还发现俄罗斯黑客利用 Follina 漏洞攻击乌克兰媒体组织的恶意钓鱼活动，研究人员认为此次恶

14、意活动相关的攻击者为黑客组织 Sandworm。俄罗斯对乌克兰发起特别军事行动后，一些国家的黑客频繁对俄罗斯关键机构发动网络攻击，其中最为知名就是全球最大的黑客组织“匿名者”对俄罗斯宣战，并发起了大规模 DDoS 攻击，造成俄罗斯克里姆林宫、国防部、外交部等多个政府网站完全无法访问，3 月“匿名者”还发推文称其先后攻击了俄罗斯多家主流媒体网站、航天局，并宣已称切断俄方对间谍卫星的控制。除了“匿名者”以外，多个黑客组织也对俄罗斯展开了攻击。自2022年2月下旬以来，一个未知的APT组织针对俄罗斯政府实体发起了至少四次独立的鱼叉式网络钓鱼活动，最终攻击载荷为远程访问木马(RAT)。这四个攻击活动概

15、述如下：1.分发自定义恶意软件 interactive_map_UA.exe，伪装为乌克兰的交互式地图。2.分发 Patch_Log4j.tar.gz，伪装为 Log4j 漏洞的修复。3.分发 build_rosteh4.exe，伪装为 Rostec 的软件。4.使用虚假招聘广告，诱饵为沙特阿美公司“战略与增长分析师”。最终载荷使用了随机休眠等方式对抗静态和动态分析。5 月出现的黑客组织 Space Pirates 攻击活动，主要攻击目标为俄罗斯的政府机构和 IT 部门，以及航空航天和93.2 国内攻击情况3.3 重点行业攻击电力企业。其中俄罗斯至少有五个组织受到攻击，黑客组织 Space P

16、irates 至少于 2017 年开始活动。该组织的主要目标是进行间谍活动和盗窃机密信息。Space Pirates 的定制工具包括以下下载器和后门：MyKLoadClient、BH_A006、Deed RAT。此外，攻击者还使用了以下公开的工具：PlugX、ShadowPad、Poison Ivy、PcShare 的修改版本和开源 shell 工具 ReVBShell 和 p2p 通信工具 dog-tunnel。2022 年上半年，研究人员发现多起针对我国的 APT 攻击活动。这些攻击活动的目标主要集中在高科技企业、科研单位、政企组织等行业中。与 2021 年下半年针对国内的攻击活动相比，攻

17、击范围有所收敛，但是通过钓鱼邮件、僵尸网络等传播窃密木马及挖矿软件，也造成了比较严重的影响。4 月，国内研究人员发现一个未知黑客组织针对我国新兴科技企业进行窃密活动，经分析，该组织比较倾向于先攻下一些海运类公司并窃取这些公司邮箱凭证，然后以这些公司的名义对其真实的目标发起攻击，攻击的对象以新兴的科技企业为主，受害国家包括中国、伊朗、韩国和阿联酋。国内研究人员把此组织命名为“海黄蜂”。这次攻击活动主要以携带有窃密木马的钓鱼邮件为主，窃密使用了“Agent Tesla”，木马采用 C#编写并经过层层加密保护，为了不留痕迹采用了不落地执行，窃密数据包含目标设备上的 FTP 账户凭证、邮箱账户凭证、V

18、PN 账户凭证、远程管理软件凭证以及浏览器中存储的各类账户凭证信息。5 月，CNCERT 发现挖矿团伙“8220”在互联网上较为活跃，持续通过 Tsunami 僵尸网络进行控制感染，且其掌握的挖矿木马也在持续迭代，不断增强其恶意挖矿的能力。“8220”团伙是自 2017 年以来持续活跃的挖矿组织，该团伙擅长利用反序列化、未授权访问等漏洞攻击 Windows 和 Linux 服务器，随后通过下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。根据监测，该团伙渗透了 4 千台左右的设备并传播挖矿木马。针对不同操作系统，“8220”团伙会执行相应的程序模块。目前该团伙控制的 Tsun

19、ami 僵尸网络受控主机 IP 数量已超过千台，因此 8220 团伙除恶意挖矿外，也可发起 DDoS 攻击，已不单纯是开展恶意挖矿的黑客团伙。暗象组织（DarkElephant Group）是一个疑似来自印度的 APT 攻击组织，自 2012 年以来，该组织针对印度境内的目标，以及包括中国在内的印度周边的目标，发动了长达十年的网络攻击活动。暗象组织使用的窃密程序，大多是成熟的商用远控工具如 NetWire、DarkComet、ParallaxRAT 等，并没有开发自身专用的窃密软件。6月研究人员发现了暗象组织针对中国的重要单位的网络攻击活动。国内某重要单位收到了一封可疑的电子邮件，邮件正文中提

20、供了可供下载的网盘链接。下载压缩包解压后的文件包含 4 个木马程序（Pollard.exe、Sexton.exe、Beltran.exe 和 Wilcox.exe），加载器 Nevaeh.exe、配置文件 Nevaeh.cfg 以及功能脚本 Meredith.vbs。最终 4 个木马程序会解密远控木马的载荷，将载荷注入系统的进程内存中运行。经分析发现四个木马程序都具备对抗分析的能力，除此以外，暗象还使用了如填充无用字节形成数百兆大体积文件以对抗云查杀等手段。3.3.1 针对金融行业的攻击金融业一直以来都是 APT 组织最为青睐的目标行业之一，上半年的攻击活动中最为活跃的以获取经济利益为目的的组

21、织当属 Evilnum。Evilnum 是一个在 2018 年被发现的 APT 组织，活跃于英国和欧盟国家，主要攻击目标为金融科技公司。Evilnum 攻击者在 1 月的钓鱼活动中构建了新型攻击流程，并通过 NSIS 包装、签名、隐写术等操作实现免杀，102022 年上半年全球主要 APT 攻击活动报告最终投递一种新型木马程序 AgentVX，展现了较高的技术水平。后来，研究人员又捕获了一系列 Evilnum 针对欧洲国家的网络钓鱼活动，这些活动主要针对线上赌博平台，窃取服务商和消费者的交易凭据，进而获取非法收益。Evilnum 攻击者在本次活动中使用了更多样的攻击流程与复杂的攻击组件，并启用

22、了两种新型木马程序 DarkMe 与PikoloRAT，研究人员将该起活动命名为 DarkCasino。本次活动的受害者主要分布于地中海区域的欧洲国家以及加拿大、新加坡、菲律宾等相关国家。6 月，Evilnum 组织在攻击中使用了更多技术手段，包括覆写式侧加载恶意文件、多种 Shellcode 框架复用、ntdll 文件映射、X64call 调用关键 API、图片隐写、套接字窗口通信、COM 组件执行等。今年 1 月还出现了一个专门针对拉丁美洲的金融和商业部门的 APT 组织。研究人员称此组织为“象甲虫(Elephant Beetle)”。该组织使用超过 80 种独特的工具和脚本，并在很长一段

23、时间内耐心执行攻击，试图完全融入目标，并且不被发现，同时悄悄窃取资金。该组织非常精通基于 Java 的攻击，在许多情况下，他们的目标是运行在 Linux 机器上的传统 Java 应用程序。该组织将恶意欺诈隐藏在正常活动中，最终窃取了数百万美金。3.3.2 针对能源行业的攻击黑客组织 Lyceum 是上半年最为活跃的主要针对能源行业的 APT 组织，Lyceum 疑似具有中东地区国家背景，以针对能源和电信领域而闻名，并且主要依赖基于.NET 的恶意软件。Lyceum 早在 2018 年 4 月就已经活跃，其目标是中东地区的石油和天然气公司。Zscaler 观察到了该组织上半年的攻击新活动，攻击者

24、利用开源工具开发和定制了基于.NET 的新恶意软件。该恶意软件利用“DNS 劫持”技术，用攻击者控制的 DNS 服务器操纵 DNS 查询的响应，并根据恶意要求进行解析。该组织多年来不断发展其武器库，将其使用的恶意软件从先前使用的.NET 版本逐渐转移到用 C+编写的新版本。6 月，安全公司捕获了该组织针对能源行业新的攻击样本，根据捕获的攻击样本托管网址推测，初始攻击入口可能是鱼叉式钓鱼邮件，诱骗受害者点击下载伪装的SCR屏幕保护程序。SCR攻击样本实际为带有密码保护的SFX文件，SFX 解压得到的释放器从伪装的 jpg 图片文件中提取出后门和诱饵释放器的可执行文件数据。2022 年 2 月 1

25、 日，Unit 42 观察到 UAC-0056 组织针对乌克兰一家能源组织的网络攻击。这次攻击使用了鱼叉式网络钓鱼邮件，并附带了一个 Word 文档，其中包含一个恶意 JavaScript 文件，可以下载并安装名为 SaintBot 和OutSteel 的有效负载。据分析，当前攻击可以追溯到 2021 年 3 月的一场大规模攻击活动，其目标是乌克兰的一个西方政府组织和几个乌克兰政府组织。3.3.3 针对工控行业的攻击针对工业控制行业的黑客组织 CHERNOVITE 开发了第七个已知的用于特定工业控制系统(ICS)的恶意软件PIPEDREAM。PIPEDREAM 是一个模块化的 ICS 攻击框架

26、，攻击者可以利用该恶意软件对目标和环境造成破坏，还可以执行 38%的 MITRE ATT&CK 用于工控系统的攻击技术和 83%的已知攻击策略。PIPEDREAM 具 体 指 的 是 一 个 完 整 的 工 具 集 合，包 括 EVILSCHOLAR、BADOMEN、MOUSEHOLE、DUSTTUNNEL、LAZYCARGO 等工具。此外，PIPEDREAM 还可以操纵各种工业控制可编程逻辑控制器(PLC)和工业软件，包括 Omron 和 Schneider Electric 控制器，并且可以针对普遍存在的工业技术，包括 CODESYS、Modbus和开放平台通信统一架构(OPC UA)。目

27、前，IPEDREAM 虽没有利用 Schneider 或 Omron 的漏洞，但依然影响全球相当大比例的工业资产。11APT 组织上半年全球攻击活动总结043.4 勒索软件攻击勒索软件继续成为2022年上半年最具有破坏力的威胁软件之一，黑客组织除了利用勒索软件获取经济利益以外，一些 APT 组织开始使用勒索软件以达到窃取数据而非勒索的目的。2022 年初，新型勒索软件 White Rabbit 广泛传播，疑似与 FIN8 组织有关。FIN8 是一个出于经济动机的威胁组织，多年来一直以金融组织为目标发起攻击。2022 年 1 月有报道称“White Rabbit”的新勒索软件家族攻击了美国当地的

28、一家银行。勒索软件程序本身并不复杂，White Rabbit 会扫描设备上的所有文件夹并加密目标文件，并为加密的每个文件创建一个赎金记录“.scrypt.txt”。在勒索软件执行之前，还会终止多个进程和服务，尤其是与防病毒相关的进程和服务。在此次活动中 White Rabbit 使用了新的 Badhatch 版本，这是一个与 FIN8 相关的后门。Moses Staff 是一个于 2021 年 10 月首次被发现的伊朗黑客组织，主要攻击目标为以色列，Moses Staff 还攻击意大利、印度、德国、智利、土耳其、阿联酋和美国，针对多个行业，其中包括政府、金融、旅游、能源、制造和公共事业。202

29、2 年 2 月，Moses Staff 的武器库中的新远控木马 StrifeWater 被发现，StrifeWater 主要用于攻击的初始阶段，在成功渗透目标环境后，Moses Staff 会部署勒索软件，与使用勒索软件获取赎金的网络犯罪组织不同，Moses Staff 只泄露敏感信息造成损失，因此研究人员判定其是具有一定政治性质的黑客组织。2022 年 5 月起，伊朗 COBALT MIRAGE 威胁组织被发现利用勒索软件针对多国开展勒索攻击，该组织至少从2020 年 6 月开始运作，与伊朗 COBALT ILLUSION 组织（又称 APT35）有关联，主要针对以色列、美国、欧洲和澳大利亚

30、。该组织主要使用持续性网络钓鱼攻击活动来获得初始访问权限。经研究发现，本次攻击者使用了两种不同的入侵方式，其中一种利用 BitLocker 和 DiskCryptor 进行勒索攻击，以获取经济利益；另一种更具针对性，主要目的是获取访问权限和收集情报，但有时也会使用勒索软件。从 2022 上半年的 APT 组织活动可以看出，地缘政治冲突仍然是 APT 发展的主要驱动因素之一。围绕俄乌战争的展开，我们已经看到了黑客组织攻击活动的激增，从专业的黑客组织到民间组织，从 DDoS 攻击到破坏性软件，让人们见识到了网络战争的巨大威力。而其它网络黑客组织和团伙也在寻求利用这场战争相关主题作为诱饵，引诱潜在受

31、害者以达成其目地。以勒索软件为代表的威胁网络资源可用性攻击，因利用成本低、技术难度低在以经济利益为攻击目的的案例中曝光度持续增加。而经济收益仍然是 APT 攻击背后的高动机之一。2022 年上半年，针对金融目标进行犯罪活动的APT组织Evilnum异常活跃，不断更新其攻击方式，通过鱼叉式钓鱼攻击针对金融实体。由于加密货币价格的巨大波动，还有一些 APT 组织如 Lazarus 持续针对加密货币公司或投资平台展开攻击。综上，2022 年上半年，地缘政治、经济利益是网络攻击的根本动机，以仿冒技术为基础的社会工程为切入点、以破坏受害者的网络可用性为手段的攻击方式增长迅速。天际友盟提醒网络安全人员针对

32、性的部署防御、检测和响应方案，以应对日渐恶化的网络安全环境。122022 年上半年全球主要 APT 攻击活动报告2022 年上半年 APT 组织活动时间表05时间APT 事件组织名称攻击行业6 月 28 日APT 组织 Evilnum 更新攻击手段，针对金融服务实体Evilnum金融、政府6 月 27 日基于 LNK 文件的构建器 Quantum 可能与 Lazarus 组织有关Lazarus金融6 月 23 日Lyceum 组织以军事热点事件为诱饵针对中东地区Lyceum能源6 月 22 日APT 组织 ToddyCat，针对 Microsoft Exchange 服务器ToddyCat政府

33、、军事6 月 22 日俄罗斯组织 APT28 利用核战争主题针对乌克兰传播 Follina 恶意文档APT28军事6 月 20 日暗象组织针对中国的网络攻击披露DarkElephant Group政府、军事6 月 20 日Kimsuky 组织近期针对韩国的钓鱼活动分析Kimsuky政府、军事、教育、能源6 月 17 日伊朗鱼叉式网络钓鱼行动针对以色列和美国前高级官员APT35政府、军事、教育6 月 15 日俄罗斯黑客利用 Follina 漏洞攻击乌克兰媒体组织Sandworm媒体6 月 15 日响尾蛇组织利用 Google Play 传播恶意 Android 软件SideWinder6 月 1

34、4 日GALLIUM 组织使用新木马 PingPull 针对电信、政府和金融部门GALLIUM金融、政府、运营商6 月 8 日APT 组织 Kimsuky 利用 BabyShark 组件进行攻击活动Kimsuky政府、教育6 月 6 日Microsoft 揭露针对以色列的黑客组织 Polonium 攻击活动Polonium政府、软件和信息技术、制造6 月 1 日APT 组织 Evilnum 近期针对欧洲国家的钓鱼活动分析Evilnum金融5 月 26 日俄罗斯 APT 组织 Turla 针对北约的侦察活动Turla军事、国际组织5 月 25 日未知 APT 组织多次针对俄罗斯实体5 月 24

35、日Lazarus 组织利用 Log4Shell 漏洞传播后门软件 NukeSpedLazarus5 月 23 日黑客组织 Space Pirates，针对俄罗斯航空航天实体Space Pirates政府、航空航天、电网5 月 20 日挖矿团伙“8220”近期活动报告82205 月 19 日APT-C-24 响尾蛇最新攻击活动简报APT-C-245 月 17 日针对博彩行业的 APT 组织活动披露GoldenEyeDog博彩5 月 17 日COBALT MIRAGE 组织针对多国开展勒索攻击COBALT MIRAGE5 月 13 日APT 组织蔓灵花利用新木马 ZxxZ 针对孟加拉国政府BITT

36、ER政府、能源13时间APT 事件组织名称攻击行业5 月 11 日黑客组织 APT34 使用新后门 Saitama，针对约旦外交部人员APT34政府5 月 10 日黑客组织 APT-Q-29 攻击活动概述APT-Q-29金融、医药、媒体、区块链5 月 7 日Google 发布近期针对东欧的攻击活动报告APT28、Turla 等5 月 7 日APT 组织 Transparent Tribe 针对印度的最新活动分析Transparent Tribe政府、军队5 月 6 日新黑客组织 UNC3524 利用后门软件 QUIETEXIT 窃取目标电子邮件UNC35245 月 5 日Winnti 组织技术

37、分析Winnti4 月 29 日APT-C-36(盲眼鹰)针对哥伦比亚开展钓鱼攻击APT-C-36政府4 月 29 日黑客组织“海黄蜂”针对我国新兴科技企业的窃密活动深度分析海黄蜂物流、科研4 月 29 日APT 组织 Bitter 利用巴基斯坦邮箱攻击孟加拉国BITTER政府、军队4 月 28 日Lazarus 组织下属团伙 Andariel 攻击样本分析Lazarus金融4 月 27 日LemonDuck 瞄准 Docker 进行加密货币挖掘LemonDuck软件和信息技术4 月 20 日TraderTraitor 分析：APT 组织 Lazarus 攻击区块链科技公司Lazarus金融、

38、区块链4 月 18 日PIPEDREAM：CHERNOVITE 组织针对工业控制系统的新兴恶意软件CHERNOVITE工控4 月 15 日Lazarus 组织针对韩国化工行业Lazarus化学制造4 月 13 日黑客组织 Sandworm 使用 Industroyer2 攻击乌克兰能源公司Sandworm能源、工控4 月 12 日疑似 APT 组织 Lazarus 针对韩国企业进行攻击Lazarus采矿业、医疗4 月 8 日黑客组织 Cicada 攻击活动分析：针对政府组织和非政府组织APT10政府、社会组织4 月 7 日APT-C-23 攻击活动 Bearded Barbie，针对以色列公民

39、APT-C-234 月 7 日俄罗斯黑客组织 Armageddon 对乌克兰政府发起钓鱼攻击Armageddon政府、外交3 月 31 日来自南亚的 APT 组织金刚象最新攻击活动披露VajraEleph军队3 月 25 日APT 组织 Mustang Panda 利用新后门 Hodur 进行攻击Mustang Panda科研、运营商、外交机构、互联网3 月 24 日黑客组织 UAC-0035 使用鱼叉式钓鱼攻击乌克兰国家组织UAC-0035政府3 月 16 日海莲花组织攻击文件深度分析，针对越南地区OceanLotus3 月 15 日俄罗斯勒索团伙利用其他 APT 组织武器展开攻击游戏3 月

40、 14 日APT 组织 UNC1151 针对乌克兰等国展开攻击UNC11513 月 11 日APT41 针对美国州政府展开攻击APT41政府3 月 8 日TA416 组织针对欧洲政府展开攻击TA416政府142022 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业3 月 4 日APT 组织 Turla 新型 Penquin 样本分析Turla2 月 28 日UAC-0056 组织针对乌克兰传播 OutSteel 和 SaintBot 恶意软件UAC-0056政府、能源2 月 25 日针对乌克兰的网络攻击再次活跃Gamaredon金融、软件和信息技术、航空航天2 月 24

41、 日Gorgon Group 针对外贸行业发动攻击Gorgon外贸2 月 21 日APT 组织 SideWinder 近期活动分析SideWinder政府2 月 18 日俄罗斯 APT 组织 Gamaredon 针对乌克兰发起网络攻击Gamaredon政府2 月 17 日Arid Viper 以巴勒斯坦为目标，发起了新一轮网络钓鱼和恶意软件攻击APT-C-23非政府组织2 月 16 日TA2541 组织近期活动分析TA2541航空航天2 月 15 日伊朗 APT 组织 Moses Staff 使用新木马 StrifeWaterMoses Staff政府、金融、旅游、能源、制造2 月 14 日T

42、A402 针对中东实体进行间谍活动TA402政府、外交机构、航空航天2 月 11 日针对印度的 APT 组织 ModifiedElephant 浮出水面ModifiedElephant人权组织、记者2 月 9 日APT 组织 Phosphorus 更新武器库，新增 PowerShell 后门APT35科研机构、医疗1 月 27 日BfV 警告 APT27 利用木马 HyperBro 攻击德国商业组织APT271 月 25 日APT36 组织攻击链和恶意软件武器库分析Transparent Tribe军事、外交1 月 25 日MoonBounce 恶意软件被 APT41 用于针对性攻击APT41

43、交通1 月 24 日Molerats APT 针对中东发起间谍活动Molerats人权组织、银行、媒体1 月 21 日APT 组织 Donot 针对南亚政府和军事组织展开持续攻击Donot政府、军队1 月 21 日攻击者利用 Glitch 平台分发恶意软件，疑似与海莲花组织有关OceanLotus1 月 20 日APT 组织响尾蛇近期攻击事件分析SideWinder政府、电信1 月 20 日新型勒索软件 White Rabbit 传播，疑似与 FIN8 组织有关FIN8金融1 月 17 日APT 组织 BlueNoroff 攻击加密货币初创公司Lazarus金融、区块链1 月 13 日APT3

44、5 利用 Log4j 漏洞分发新型模块化 PowerShell 后门APT351 月 13 日APT 组织 MuddyWater 近期活动分析MuddyWater1 月 12 日APT 组织蔓灵花针对巴基斯坦航空综合部门发起攻击BITTER政府、军队、能源、航空航天1 月 11 日安全人员披露 APT-C-08 近期攻击活动APT-C-08军事1 月 10 日NOBELIUM 组织 EnvyScout 恶意文件感染链分析NOBELIUM政府、军队、软件和信息技术1 月 10 日Patchwork 利用钓鱼攻击投放 BADNEWS 木马新变种APT-C-0915时间APT 事件组织名称攻击行业1 月 7 日APT33 新型恶意软件 LittleLooter 分析APT33社交1 月 6 日APT 组织 Elephant Beetle 针对拉丁美洲展开金融盗窃活动Elephant Beetle金融1 月 5 日Konni 组织近期针对俄罗斯的攻击活动分析Konni外交机构1 月 5 日APT 组织 EVILNUM 新型攻击活动分析Evilnum金融