全球高级持续性威胁二零二二年研究报告 004/2022年高级可持续性威胁概览目录006/2022年活跃A PT组织 009 北美012 南亚022 东亚-朝鲜半岛031 东亚-其他地区035 东南亚037 东欧044 其他0102CONTENTS 03048/2022年A PT攻击态势总结049 TOP20 ATT&CK技战术051 利用0day漏洞的攻击活动增长势头放缓，但仍处高位0 5 6 A PT组织针对移动平台私有化武器趋势显露058 针对我国重点行业目标的攻击活动依然保持高热度059 涉及网络经济犯罪的A PT攻击活动持续披露061/关键威胁形势分析062 俄乌冲突爆发，A PT攻击急剧增加064 保障国家网络空间安全，需时刻保持战时状态065 从“技术对抗”逐渐扩展到“舆论对抗”0 6 6 A PT攻击瞄准我国自主可控领域0 67 数字化转型面临更加复杂多样的网络威胁04068/附录05 2022年高级可持续性威胁概览2022 / PART.01 RESEARCH REPORT005在经历了新冠肺炎疫情肆虐，当今世界正处在大发展大变革时期。2022年俄乌冲突爆发、全球经济衰退加之国际间各种力量的较量，使得国际局势日益错综复杂。2022年全球高 级 持 续 性 威 胁（A PT）形 势 依 然 严峻。全 年全 球 网 络安 全 厂 商公 开发布的A PT报告累计742篇，报 告 中 披 露 的 攻击 活 动 涉及A PT组织141个，其中首次 披 露 的A PT组织54个，均比2021年明显增加。全球范围内A PT攻击活动依然紧跟政治、经济等时事热点，攻击目标集中分布于政府、国防军工、教育、金融等行业领域。依 托自身“ 看见”的 能 力，360已累计发现了51个境外A PT组 织，监 测 到5800多起针对中国的网络渗透攻击。2022年，360高级威胁研究院捕获到境外新组织：A PT- C - 6 3（沙鹰），另外在全球范围内率先监测到A PT- C - 0 6（DarkHotel）组 织利 用Firefox浏览器的2个在野0day漏 洞（CVE-2022-26485、CVE-2022-26486）[1]针对特定目标进行水 坑 攻击。这也是2022年国内唯一一家捕获A PT攻击活动中利用0day漏洞的安全厂商。2022年全球A PT组织利用0day漏洞展开攻击活动的增长趋势放缓，但仍处高位。2022年2月24日俄乌冲突爆发，成为全球关注的焦点。俄乌冲突期间，与俄乌冲突相关的A PT攻击、大 规 模DDoS攻击、黑客组织网络攻击、网络信息舆论对抗等一系列网络攻击和对抗活动，将网络空间战争形态展现在了世人面前。网络空间已经成为俄乌间冲突对抗的重要战场，在军事冲突之外产生着愈发深刻的影响。2022年是我国“十四五”规划的第二年，在全面建设社会主义现代化国家新征程中，一批5G、工业互联网等新基建项目扎实推进，为数字经济发展开拓新空间、增添新动能。新基建的背后是产业、经济、政府、社会的全面数字化，而数字化安全将成为发展数字经济、建设数字中国的底座，成为新基建的安全基建。通过2022年全球高级持续性威胁态势分析看，我国数字化转型和自主可控领域的发展面临更加严峻和复杂的网络威胁形势。需要网络安全从业者保持网络空间常态实战化的状态应对网络空间的攻防对抗，不断提升我国网络安全和数据安全保护能力，保障国家网络空间安全。2022年高级可持续性威胁概览Advanced Persistent ThreatPA R T.01 RESEARCH REPORT0062022年活跃A PT组织2022 / PA R T.02 RESEARCH REPORT0072022年活跃APT组织2022年，俄乌冲突爆发和全球经济衰退对地缘政治乃至世界格局的演变产生了深远影响，使得国际局势日益错综复杂。与此同时，全球A PT组织的攻击活动在地缘政治冲突热点事件的影响下，保持着高活跃度。2022年，全 球 网 络 安 全 厂 商 公 开发 布 的A PT报告累计742篇，报 告 中 披 露 的 攻击活动涉及A PT组织141个，其中首次 披 露 的A PT组织54个，攻击活 动 涉及A PT组织数量和首次披露的A PT组 织 数 量，均比2021年大幅增加。北美热度A PT- C - 4 0（NSA）★★★A PT- C -3 9（CIA）★东欧热度APT-C-53(Gamaredon) ★★★APT-C-13(SandWorm)★★★A PT- C -2 5 (A PT 2 9)★★★A PT- C -2 0 (A PT 2 8)★★A PT- C -2 9 (Tu r l a)★★南亚热度A PT- C - 0 8（蔓灵花）★★★A PT- C - 4 8（CNC）★★★A PT- C -24（响尾蛇）★★★A PT- C - 0 9 (摩诃草) ★★★APT-C-56(透明部落)★★★A PT- C -3 5 (肚脑虫) ★★A PT- C - 61 (腾云蛇)★★2022年全球典型A PT组织分布东南亚热度A PT- C - 0 0（海莲花）★★★★南美热度A PT- C -3 6（盲眼鹰）★中东热度A PT- C -2 3（双尾蝎）★★A PT- C - 49（OilRig）★东亚热度A PT- C - 01（毒云藤）★★★★A PT- C -2 8（ScarCruft）★★★★A PT- C -26（Lazarus）★★★A PT- C - 5 5（Kimsuky）★★★A PT- C - 0 6（DarkHotel）★★★东欧北美南美中东南亚东亚东南亚Advanced Persistent ThreatPA R T.02 RESEARCH REPORT008排名 组织名称主要影响行业领域TO P1A PT- C - 01（毒云藤）政 府、教 育、科 研 等TO P 2A PT- C - 0 0（海莲花）政 府、信 息 技 术 、国 防 军 工 等TO P3A PT- C - 0 8（蔓灵花）政府、教育、国防军工等TO P4APT-C-12（蓝宝菇）交通运输、政府、国防军工等TO P 5A PT- C - 4 8（CNC）教 育、科 研 等TO P6A PT- C - 0 6（DarkHotel）贸易、教 育 等TO P7A PT- C - 6 0（伪猎者）贸易、教 育 等TO P 8A PT- C - 0 9（摩诃草）教 育、科 研 等TO P 9A PT- C - 24（响尾蛇）医疗卫生、政 府等TO P10A PT- C - 2 8（ScarCruft）政 府、媒体等360高级威胁研究院对360全网数字安全大脑中A PT威胁监测数据进行统计：2022年对中国发起的A PT攻击 活 动，涉及14个A PT组织，主要的攻击活动分布于政府、教育、信息技术、科研和国防军工等15个行业领域。基于A PT组织攻击频次、被攻击单位数量、受影响设备数量、技战术迭代频次等多个指标，我们对2022年对中国发起攻击活动的A PT组织活跃程度进行评估，得出下表。 RESEARCH REPORT009APT-C-40（NSA）2022年，360高级威胁研究院陆续公开披露了《 网络战序幕：美国国安局NSA（A PT- C - 4 0）对 全球 发 起 长 达 十 余 年 无 差 别 攻 击 》 、《Quantum（ 量子）攻击系 统–美 国 国 家安 全 局“A PT- C - 4 0”黑客组织高端网络攻击武器技术分析报告（一）》、《关于西北工业大学发现美国NSA网络攻击调查报告（ 之 一 ）》 、《 西 北 工 业 大 学 发 现 美 国NSA网络攻击调查报告（之二）》等多篇有关NSA组织攻击活动及技术细节报告。北美发布时间发布机构披露内容2022年2月23日奇安盘古实验室B v p 47-美国NSA方程式组织的顶级后门[2]2022年3月2日360高级威胁研究院网络战序幕：美国国安局NSA（A PT- C - 4 0）对 全 球发起长达十余年无差别攻击[3]2022年3月14日国家计算机病毒应急处理中心“NOPEN”远 控木马分析报告[4]2022年3月15日安天CERT从“NOPEN”远控木马浮出水面看美方网络攻击装备体系[5]2022年3月22日360高级威胁研究院Quantum（ 量子）攻击系 统–美国国家安全局“A PT- C - 4 0”黑客组织高端网络攻击武器技术分析报 告（一）[6]2022年6月29日国家计算机病毒应急处理中心美 国 国 家 安 全 局（NSA）“酸狐狸”漏洞攻击武器平台技术分析报告[7]2022年6月29日360高级威胁研究院“ 验 证 器 ”（Validator）— 美国国家安全局NSA（A PT—C—40）的木马尖兵[8]2022年9月05日360高级威胁研究院关于西北工业大学发现美国NSA网络攻击调查报告（之一）[9]2022年9月27日360高级威胁研究院西北工业大学遭受美国NSA网络攻击调 查 报 告（ 之 二）[10]Advanced Persistent Threat RESEARCH REPORT010A PT- C - 4 0（NSA）组织持续对中国和全球多个国家地区展开网络攻击活动，给全球互联网安全带来了严峻的风险和挑战。在披露的NSA组织对西北工业大学的一系列网络攻击活动中，美国国 家 安 全 局（NSA）“ 特 定 入 侵 行 动 办 公 室 ”（TAO）使 用了40余种不同的NSA专属网络攻击武器，持续对西北工业大学开发起多轮持续性的网络攻击和窃密行动。一直以来，美国国家安全局（NSA）针对我国各行业龙头企业、政府、科研机构甚至关乎国计民生的核心基础设施运维单位长期进行黑客攻击活动，对我国的国防安全、关键基础设施安全、社会安全、生产安全以及公民个人信息安全造成严重危害。A PT- C - 4 0组织针对中国境内目标攻击中使用了其最具代表性的Quantum（ 量子）攻击系统。该系统针对国家级网络通信进行中间劫持，以实施漏洞利用、通信操控、情报窃取等一系列复杂网络攻击。360全网数字安全大脑对Quantum（量子）系统进行了长期的跟踪研究，并对Quantum（量子）系统的九种先进网络攻击能力模块进行了总结。 Quantum（ 量子）攻击系 统 示意 RESEARCH REPORT011当前 全 球 不 稳 定 因 素 增 多，国 际 势力 间 的 对 抗 增 加，在 此 大 背 景下，大 国 间 的 网 络 对 抗 势 必 将 会 持续进行，面对国家级背景的强大对手，我们需要长期的关注和防范以A PT- C - 4 0（NSA）为 代 表的北美A PT组 织 通 过网 络空间，对 我 国重 点行业领域 的 攻击活 动 。Quantum（量子）攻击系统网络攻击能力模块 RESEARCH REPORT012● A PT- C - 0 8（蔓灵花）2022年A PT- C - 0 8（蔓灵花）组织依旧延续使用之前的攻击技战术，主要使用恶意文档作为与目标人群接触的切入点，通过文档中携带的宏代码、公式编辑器漏洞、chm包含的内嵌脚本等方式来完成代码的执行，通过执行的代码在设备中留下计划任务，用以周期性的与服务器进行连接，通过计划任务调用curl.exe或msiexec.exe向服务器请求文件数据，最终完成落地。攻击流程简要示意图较以往有所不同的是，在msi文件中，部分文件中包含VBS文件。VBS文件的功能多为重命名并执行一同被释放的组件程序，在这些VBS文 件 中，会 以"explorer.exe"代理启动指定应用程序。恶意文档攻击组织程序计划任务创建释放，运 行调用mskexec.execurl.exe南亚2022年，南 亚 地 区A PT组织相关攻击活动依然针对南亚、东南亚等地区，围绕国防军工、政府、能源、科 研 等 关 键 行 业 领 域 。在2022年，南亚地区的部分A P