2023年下半年全球主要APT攻击活动报告

活动报告 contents目录 概述01 2023 年下半年，天际友盟持续对 APT 组织及其活动进行追踪总结，总共披露了全球 100 个 APT 组织的 195 起攻击活动，通过对其中出现的威胁组织及 TTP 的具体分析，我们总结出 2023 年下半年 APT 组织活动攻击特点如下： 地缘政治类攻击活动占据主导地位 全球相互依存性的增加以及信息技术的快速发展使得网络空间成为地缘政治角力的新场所。国家之间利用网络空间展开斗争，无形之中划分了新的网络战场。2023 年下半年，在欧洲持续的俄乌冲突和中东重燃的巴以紧张局势背景下，伴随着东亚朝鲜 - 韩国、南亚印度 - 巴基斯坦、中东伊朗等地区国家日积月累的历史政治问题，受政治动因驱动的 APT 组织能力已转变为全球网络空间竞争的领军要素。 瞄准国内的黑产团伙攻击活动大量涌现 从攻击国家来看，我国在 2023 年下半年依旧是遭受 APT 组织攻击最多的国家之一。多个黑产团伙如“谷堕大盗”等表现尤为突出，他们通过操纵国内流行软件，对我国政府、教育及金融行业设计并实施了一系列的钓鱼攻击。不仅对我国的机密信息构成了威胁，而且还涉及金融诈骗活动。这类团伙在短时间内通过木马病毒（如“银狐”木马）的多次迭代，利用即时通讯工具，在国内大范围传播，影响极为严重。此类黑产团伙的迅速崛起，对我国网络安全领域产生了重大影响。 APT 组织加大对软件供应链的攻击力度 从攻击行业来看，在 2023 年下半年，针对通信和软件信息行业的攻击事件升至新高，超越了政府部门，成为APT 攻击的首要目标。比如著名的 Lazarus 组织，正采取更加精细化的手段利用软件生态系统中的弱点发起攻击。这包括对开源软件仓库或对软件合法官方网站进行恶意代码注入，以及在官方商店推送恶意软件包。这些策略展现了黑客组织正加大力度以在供应链中寻找突破口，利用开源平台和应用市场的普及性来扩散其攻击影响力。 金融领域仍是 APT 组织活跃的主要战场 2023 年下半年，金融领域持续成为网络安全威胁的关键点。银行、金融服务商以及投资机构频繁遭遇来自具有国家支持背景的俄罗斯、伊朗和朝鲜等组织的网络攻击，同时，此领域亦成为了黑灰产组织进行经济犯罪的主要目标。基于金融行业的巨大经济价值，多个国家级 APT 组织也参与其中，使得金融领域变成了一个涉及间谍活动及高价值资源争夺的热点战场。 APT 组织攻击数据披露02 天际友盟根据自有平台 RedQueen 中记录的 195 起 APT 攻击事件（主要涵盖知名组织及有影响力的攻击），对2023 年下半年 APT 组织攻击数据进行披露如下： 2.1 Top10活跃组织 2023 年下半年 TOP 10 活跃 APT 组织统计如下： 图 1 显示，2023 年下半年，臭名昭著的朝鲜 APT 团伙 Lazarus 在攻击频率上位居榜首，对国内造成重大影响的谷堕大盗团伙一跃升至第二名，另外一个朝鲜组织 Konni 超越上半年与 Lazarus 齐名的 Kimsuky，位列第三。较上半年而言，伊朗的 APT34 组织活动有所增多，上升至第四名。 2.2 Top10攻击目标 2023 年下半年 APT 组织攻击的目标国家 TOP 10 统计如下： 图 2 指出，2023 年下半年我国仍然是 APT 攻击的主要目标国，韩国为第二大受害地区，俄罗斯和乌克兰排名并列第三。与此同时，以色列因下半年与哈马斯爆发的巴以冲突而使得 APT 攻击频率上升，目前排在第四。另外，不难看出 APT 活动主要集中在亚洲、欧美和中东的几个国家和地区。 2.3 Top10攻击行业 2023 年下半年 APT 组织攻击的目标行业 TOP 10 统计如下： 根据图 3 数据发现，涉及通信和软件信息技术行业的攻击事件占比为 31.28%，其次政府和国防部门分别占比25.13% 和 12.82%。相较于 2023 年上半年，制造业攻击事件有所增加，占比 10.77%，略微超过金融行业，升至第四位。 2.4主要攻击手段 2023 年下半年 APT 组织主要攻击手段统计如下： 图 4 显示，APT 组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过，相较上半年而言，供应链攻击和僵尸网络活动明显增多。表 1 详细列出了 2023 年下半年 APT 组织最频繁利用的漏洞，以及它们所针对的厂商和软件产品。 2023 䎃♴⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 根据表一，可以得知，2023 年下半年，各大软件供应链厂商产品中披露的漏洞以及一些零日漏洞成为 APT 组织入侵的切入点。具体而言，微软公司的办公软件套件和 Windows 操作系统漏洞最易遭到 APT 组织的攻击利用。此外，Oracle 公司的产品线亦受到 APT 组织密切的关注。 重大 APT 攻击活动03 3.1组织地缘政治活动 2023 年下半年，在全球网络空间的激烈博弈中，国家级 APT 攻击是一种日益严重的问题，其不仅威胁着国家安全，也对商业机构和个人隐私构成了巨大风险。这些攻击往往是为了达成一些更为深远的战略目标，如政治影响力的扩增、军事秘密的获取和经济利益的掠夺。这些攻击者通常受到一国或多国的支持，有着充足的资源和强大的攻击能力，能够在无形中穿透国境线进行攻击，使得国家之间的网络空间安全成为了一场没有硝烟的战争。接下来，我们将聚焦亚洲、欧美和中东三大地区，介绍重要国家级的 APT 攻击概况。 3.1.1 亚洲地区 亚洲地区因其技术的快速发展以及复杂的地缘政治状况，成为了 APT 攻击的高发区域。APT 通常采取定向和战略性的网络攻击手段，针对政府部门、关键基础设施以及高科技行业进行攻击，目的是为了获取重要的政治、经济以及技术情报。 3.1.1.1 中亚地区 在 2023 年下半年的中亚地区，我国是 APT 组织最热衷攻击的目标之一。APT 组织常通过钓鱼攻击、木马后门、供应链攻击等方式进行突破，受攻击的目标主要为政府、金融、教育与科研行业等。 其中，对我国攻击最频繁的是黑产团伙——谷堕大盗， 该团伙常通过微信、赣政通、闽政通、长政通等即时通讯程序传播恶意钓鱼文件或者通过邮件附件投递诱饵文件，文件以税收、票据、订单等为主题，诱导用户打开文件，从而感染后门木马。目前遭受攻击的目标主要为国内机关单位、金融行业等。 除了谷堕大盗团伙外，印度 APT 组织白象在国内也十分活跃。7 月，印度 APT 组织白象对我国教育、航空工业、科研单位、军工、政府等关键行业发起攻击。并且在 8 月，白象组织再次实施攻击活动，以中俄关系为诱饵，试图向国内政府人员投递 ORPCBackdoor 程序。 10 月底至 12 月初，韩国 Higaisa 组织对国内用户发起攻击。攻击者将恶意模块与常用软件进行捆绑，通过伪造官方网站或者应用下载网站传播软件。 12 月，越南海莲花组织模仿 APT29 的攻击手段针对国内院士，试图通过白加黑的技术投递后门。此外，X 象组织在 12 月通过社会工程学收集“慧眼行动“信息，针对我国科研机构实施钓鱼攻击，部署后门窃取科研信息与成果。 其它的中亚攻击活动，如 12 月 Kasablanka 组织伪装为亚美尼亚共和国国家安全局发送精心构造的诱饵邮件，呼吁相关人员团结一致对抗新的战争威胁，最终目的是部署 VenomRAT 木马。 3.1.1.2 东亚地区 在东亚地区，APT 活动主要表现为朝鲜与韩国之间的网络对抗。这些参与攻击的 APT 组织通常受到朝鲜政府的资助和指导。其网络攻击行为涉及多个领域，包括对个人用户进行监控，收集政治和军事情报，开展经济间谍行动，以及窃取科学研究相关的信息。 2023 䎃♴⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 7 月，与朝鲜政府相关的 APT37 组织使用包含与首尔空军酒店会议、朝鲜动向、朝鲜政权相关诱饵邮件主题的韩国流行 hwp 文档投递 RokRAT 木马。由朝鲜国家资助的 Lazarus 组织攻陷韩国 IIS 服务器，通过利用 INITECH 漏洞和水坑攻击手法，将其用作恶意软件分发服务器。具有朝鲜国家背景的 Konni 组织通过向韩国企业目投递与税务相关的 ZIP 文件实施钓鱼攻击。 8 月，韩美联合军演期间，APT37 和 Konni 组织活动频繁，轮番对韩方进行了大范围无差别的信息收集工作。 9 月，Lazarus 组织借助 Skype 聊天工具对韩国用户投递了伪装成 Microsoft 信息的文档，以释放 EarlyRat，旨在窃取用户信息并执行恶意命令。APT37 组织以国内政治和社会问题为诱饵散布钓鱼文件，旨在收集和传输信息以及下载执行其他有效负载，并以 " 韩国国家情报学会 2023 年夏季学术会议 " 为主题，利用超大 LNK 文件向韩国研究大学朝鲜研究所客座研究员传播 RokRAT。 11 月，Lazarus 附 属 Andariel 组 织 利 用 韩 国 企 业 的 Apache ActiveMQ 漏 洞 安 装 了 NukeSped 后 门。 朝 鲜Kimsuky 组织针对韩国研究机构分发伪装成进口申报内容的恶意 JSE 钓鱼文件。 12 月，APT37 构造诱饵文件向韩文用户投递 Chinotto 木马。朝鲜 Konni 组织以邮件安全检查手册为诱饵对韩国地区开展窃密行动。 3.1.1.3 南亚地区 南亚国家之间关系错综复杂，网络攻击行为在这些国家之间不时发生。其中，印度和巴基斯坦之间存在长期的政治竞争和领土争端，尤其是克什米尔地区问题，网络攻击和信息战更是成为双方之间斗争的一部分。此外，南亚地区的多个 APT 组织之间存在千丝万缕的联系，包括但不限于基础设施、攻击手法与战术、相似样本等，使得攻击者之间能够进行协调行动，针对特定国家、组织或利益进行联合攻击，从而造成更大的破坏和不稳定。 3.1.1.3.1 印度 - 巴基斯坦 7 月，印度 WhiteElephant 间谍组织针对巴基斯坦发起钓鱼攻击，利用伪装为 Word、Excel、PDF 等图标的钓鱼样本，投递 WarHawk 后门的变种 Spyder，而 WarHawk 被认为是另一个具有强烈的政治背景的印度 Sidewinder组织的攻击武器。 10 月，由印度资助的 Confucius 间谍组织针对巴基斯坦包括政府、能源、军事和宗教在内的多个领域投递了伪装成来自巴基斯坦电信管理局发布的安全上网指南的诱饵 PDF 文件，以传播 C# 文件窃取器 River Stealer。 11 月，由于国家地缘问题而产生的印度 APT-C-35 组织利用新型 Android 恶意软件监视克什米尔地区居民，并使用带漏洞的 inp 文档和恶意 lnk 文件向巴基斯坦地区投递了 RemcosRAT 木马，且捕获到的 RemcosRAT 加载器样本与 WhiteElephant 组织历史样本相似，侧面印证了这两个组织在资源方面存在一定的共享使用的情况。SideWinder 组织在 11 月采用中英双语内容的钓鱼文件，以“国际货币基金组织《世界经济展望报告》发布会邀请函”为主题对巴基斯坦伊斯兰共和国驻华大使馆商务部等相关部门进行钓鱼攻击。 3.1.1.3.2 巴基斯坦 - 印度 9 月，具有巴基斯坦政府背景的 APT36 组织仿造印度国家中心的登录门户构造钓鱼网站试图窃取印度政府官员的登录凭据，同时使用了新的 Linux 网络间谍实用程序以加大针对 Linux 系统的攻击力度，原因包括：Linux 操作系统在印度政府部门广泛使用；印度政府最近推出了一种基于 Debian Linux 的操作系统 Maya OS。 10 月，巴基斯坦 Sidecopy 组织以全印度非宪报官员协会、沙特医疗代表团和印度国防部武装部队等名义，向印度政府、国防部相关人员发送以印度和平抗议方案为主题的钓鱼诱饵内容，并利用 WinRAR CVE-2023-38831 漏洞部署 Allakore R