全球高级持续性威胁（APT）2022年中报告

主要观点 /全球高级持续性威胁（APT）2022 年中报告2022 上半年全球范围内，国防军事相关的攻击事件占比达到 21%，成为继政府之后的第二大攻击目标。另外，金融、能源行业相关攻击事件也增长较多，占比分别为 13%、11%。 俄乌冲突使得该地区成为 APT 攻击的重灾区，数据擦除软件攻击不断出现。随着冲突的升级，全球黑客也各自选边站队，卷入乱局。网络信息舆论战也成为网络战中的重要一环。针对我国国内的攻击主要来自周边地区的 APT 组织，攻击主要集中在 5、6 月份。从受害行业来看，针对金融和互联网科技的攻击较去年有所增长。2022 上半年以来，0day 漏洞仍是攻击者喜好的一大攻击武器；在经济利益的驱使下，针对金融行业的攻击加剧；受俄乌冲突影响，国防军事目标也成为攻击热点。2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年的0day 在野漏洞攻击依然有所增加。以浏览器为核心的漏洞攻击向量仍然是主流趋势，其中大部分为沙箱逃逸漏洞，主要源自之前漏洞补丁绕过的变种。全球高级持续性威胁（APT）2022 年中报告主要观点MAIN POINTS 全球高级持续性威胁（APT）2022 年中报告摘要 /全球高级持续性威胁（APT）2022 年中报告奇安信威胁情报中心使用奇安信威胁雷达对 2022 上半年境内的 APT 攻击活动进行了全方位遥感测绘。数据表明，河南是上半年以来 APT 组织的重点目标地区，经济发达的北京、广东及上海地区依然位为前列，其次是江苏、福建、山东等沿海地区。针对我国目标进行高频攻击的 APT 组织主要为海莲花、APT-Q-12、金眼狗等。攻击者主要针对我国政府机构、金融、互联网科技等行业进行攻击。2022 上半年内，奇安信威胁情报中心收录了高级持续性威胁相关公开报告总共 181 篇。其中，提及率最高的 5 个 APT 组织分别是：Gamaredon 6.8%，Lazarus 6.2%，Kimsuky 5.7%，C-Major 4.6%，海莲花 4%。涉及政府的攻击事件占比为 27%，其次国防军事相关事件占比为 21%，金融占比 13%、能源占比 11%。俄乌冲突中，多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景 APT组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。在俄乌冲突背景下的网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目的的 APT 攻击，以及网络信息舆论战。2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年却有所上升。奇安信威胁情报中心梳理发现，以浏览器为核心的漏洞攻击向量依然是主流趋势。其中Chrome，Firefox，Safari 及对应平台下 Windows，MacOS，IOS 的沙箱逃逸漏洞占所有漏洞近 7 成，这里面近 5 成漏洞源自之前漏洞补丁绕过的变种。摘 要ABSTRACT 邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com摘要 /全球高级持续性威胁（APT）2022 年中报告关键字：俄乌冲突、高级持续性威胁、APT、0day、军事 第一章 俄乌冲突背景下的网络战 一、奇安信威胁雷达境内遥测分析 二、网络战特点 三、由俄乌冲突引发的其他 APT 攻击事件第二章 中国境内高级持续性威胁综述 一、奇安信威胁雷达境内遥测分析 二、2022 上半年针对我国的活跃组织 三、2022 上半年境内受害行业分析 第三章 全球高级持续性威胁综述 一、全球高级威胁研究情况 二、受害目标的行业与地域 三、活跃高级威胁组织情况 四、2022 上半年高级威胁活动特点第四章 APT 攻击中的漏洞利用 一、新兴的浏览器巨头：Lazarus 二、进击的向日葵 三、IoT 路由沦为 APT 团伙攻击的前哨站 四、Driftingcloud：新兴的 0day 团伙 五、传承：CVE-2022-30190全球高级持续性威胁（APT）2022 年中报告目录 /全球高级持续性威胁（APT）2022 年中报告目 录01010507080811161717181819222323242425CATALOGUE 第五章 地缘下的 APT 组织、活动和趋势 一、东亚地区 二、东南亚地区 三、南亚地区 四、东欧地区 五、中东地区 六、其他地区附表 1 俄乌冲突下的 APT 攻击概要附表 2 俄乌冲突下的黑客组织概要附录 1 全球主要 APT 组织列表附录 2 奇安信威胁情报中心附录 3 红雨滴团队 (Red Drip Team)附录 4 参考链接26273133374145485052565859邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com目录 /全球高级持续性威胁（APT）2022 年中报告 全球高级持续性威胁（APT）2022 年中报告1此次网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目的的 APT 攻击，以及网络信息舆论战。俄乌冲突期间多款数据擦除型恶意软件被发现，这些恶意软件清除磁盘特定数据，或导致重要文件数据损毁，或直接使系统无法启动，本章后面内容会对这些恶意软件进行具体说明。DDoS 攻击是一种门槛低但效果明显的网络攻击手段，在各方势力参与的网络战中，针对俄乌两国的 DDoS 攻击频繁发生。在国家对抗的背景下，不乏 APT 组织的活动踪迹，APT 攻击以亲俄背景组织为主，这些组织除了被发现与某些数据擦除恶意软件有关，还不断通过定向的网络钓鱼攻击开展情报收集活动，奇安信根据公开报告以及内部数据整理了俄乌冲突背景下的 APT 攻击活动（见附表 1）。网络信息舆论战，有别于直接的网第一章 俄乌冲突背景下的网络战 /全球高级持续性威胁（APT）2022 年中报告第一章 俄乌冲突背景下的网络战今年上半年 2 月 24 日俄乌战争打响，俄乌冲突与其他战争最显著的不同在于全球众多身处物理战场之外的群体通过网络也参与到对抗之中。战前乌克兰就遭受了一系列针对性的网络攻击，冲突爆发后针对性网络攻击更是常伴随军方的行动发生，网络层面和物理层面的攻击呈现出配合的态势。针对乌克兰的定向网络攻击除了有利用木马后门进行信息窃取与情报收集，还包括借助数据擦除软件瘫痪和破坏特定信息系统。而乌克兰在欧美支持下取得全球范围内网络信息舆论战的优势，吸引了众多黑客团体为其站队。这些黑客团体在开战后频繁向俄罗斯重要组织机构发起攻击，并将攻击得手后获取的内部数据在网上公开。多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景 APT 组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。本章将对这场网络战演进过程进行简单梳理，并总结此次网络战呈现的一些特点。一、网络战演进过程奇安信威胁情报中心根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据分析，网络空间的交锋早于战争率先开始，在正式进入军事冲突后，双方的网络行动则以破坏性攻击活动为主、网络信息战为辅。随着乌克兰局势的不断升级，多国围绕乌克兰问题的博弈也延伸到网络领域，以美国为首的各国表面上并未参与实际的网络战，却利用自身的互联网优势引导全球黑客选边站队卷入乱局，导致网络战线全面拉开。（一）网络战攻击手段与大事件 邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com2络攻击，是传统舆论战心理战的升级版，通过网络空间发布有利于己方和不利于对方的虚实信息，混淆视听，或震慑对方心理，或影响判断认知，达到在全球范围内收割同情和支持的目的。俄乌战争爆发前后涉及两国的网络冲突重大事件如下图所示。图 1.1 俄乌冲突背景的网络战大事件 全球高级持续性威胁（APT）2022 年中报告3第一章 俄乌冲突背景下的网络战 /全球高级持续性威胁（APT）2022 年中报告图 1.2 WhisperGate 损毁目标计算机的文件类型列表在俄罗斯特别军事行动之前，乌克兰便爆发了针对其政府机构等关键部门的数据擦除恶意软件攻击和大规模分布式拒绝服务（DDoS）攻击。2022 年 1 月 13 日，数据擦除恶意软件 WhisperGate 出现在乌克兰多个组织的计算机系统中。2022 年 1 月，约 70 个乌克兰政府网站由于遭到 DDoS 攻击而暂时下线。2 月 14 日起，乌克兰的军事、政府、金融等部门的网络系统再次遭到大规模 DDoS 攻击。（三）战争爆发时的网络攻击（二）战前网络行动在俄乌两国局势紧张期间，乌克兰除了遭受网络攻击，还受到多起网络信息战行动的影响。2022 年 1月 13 日，乌克兰政府网站遭到篡改，修改后的网站页面发布了旨在散播恐慌的虚假信息。2 月 15 日，部分乌克兰 Privatbank 银行用户收到银行 ATM 机无法使用的虚假消息。乌克兰有关部门还查封了一个拥有超过 18 万个社交媒体账号、用来散布假新闻的僵尸网络。在俄乌战争爆发的时间点附近，又有两种数据擦除恶意软件出现在乌克兰重要组织机构的信息系统中。2022 年 2 月 23 日，俄乌战争爆发前一天，一款被称为 HermeticWiper 的新型数据擦除恶意软件感染了至少五个乌克兰组织的数百台计算机。2 月 24 日，针对乌克兰政府组织的第三种数据擦除恶意软件IsaacWiper 在新一轮网络攻击中出现，值得注意的是，IsaacWiper 出现在未受 HermeticWiper 影响的乌克兰政府组织中。与此同时，亲俄背景的 APT 组织也继续利用网络钓鱼攻击进行情报刺探。比如，乌克兰国家特殊通信和信息保护局于 2 月 25 日披露了与 UNC1151 APT 组织相关的网络钓鱼邮件，邮件内容中涉及到 2 月 24 邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com4图 1.3 乌克兰官方披露的网络钓鱼邮件以美国为首的西方国家开始下场支持乌克兰，乌克兰方面对俄发动网络攻击，网络战进入拉锯相持阶段。在网络信息舆论战方面，美国和乌克兰政客鼓动黑客对俄罗斯发起网络攻击，比如乌克兰在战争打响后不久开始筹建 IT 志愿者大军。同时，欧美的主流信息渠道禁言俄罗斯。2 月 27 日，欧盟宣布禁止俄罗斯官方媒体“今日俄罗斯”（RT）和俄罗斯卫星通讯社（Sputnik）在欧盟境内传播信息，随后，主流社交平台和跨国信息科技公司纷纷跟进。西方国家尤其是美国利用自己对全球主流媒体、社交平台的掌控，以及诞生于美国的一批跨国信息科技公司在互联网世界的资源主导权，不断对俄罗斯的舆论发声渠道进行围追堵截。这一系列限制措施导致俄罗斯官方媒体被封而难以发声，对俄罗斯的不利舆论呈一边倒趋势，俄罗斯在全球舆论战场上已落于下风。在西方国家对国际舆论主导权的加持之下，美乌政客对网络攻击行为的鼓动引起更多黑客组织卷入俄乌纷争，尤其是支持乌克兰一方的组织数量大增。不过根据持续追踪发现，3 月中旬以后各黑客组织公布（四）西方国家下场，网络战拉锯相持日这个日期。 全球高级持续性威胁（APT）2022 年中报告5第一章 俄乌冲突背景下的网络战 /全球高级持续性威胁（APT）2022 年中报告的消息逐渐减少。原因是一些黑客为蹭热度而公布的数据“虚有其表”，导致其公信力下降。奇安信总结了自俄乌冲突升级后，各黑客组织参与网络混战的具体情况，详情请参阅附表 2。开战以后，针对俄