2023年度全球高级持续性威胁(APT)报告
AI智能总结
说明 互联网的快速发展,将网络空间与政治、经济、文化、社会、军事等国家安全领域紧密联系起来。5G、云计算、物联网、工业互联网等新兴技术发展助推网络攻击的深化泛化。随着网络攻击的发展和国际局势的加剧,组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化,高级持续性威胁(APT)攻击成为网络空间突出风险源。 2013年,网络安全行业发布第一份APT分析报告。至今,APT分析已走过十个年头,APT网络攻击图景也在不断更新迭代。各类APT组织犹如正规网络部队之外的“散兵游勇”,组织结构不断分化重组,攻击手段持续迭代升级,成为网络空间不容忽视的破坏性力量。当前,APT已是网络空间中社会影响最广、防御难度最高、关联地缘博弈最紧密的斗争形态,直接影响现实国家安全,更是国际关系中的重要议题。 中国信息安全测评中心长期跟踪、研究APT态势,此次联合网络安全行业以2022年全球APT活动分析为切入点,基于开源数据和公开报道开展态势评估,研判APT组织发展趋势、攻击手法、演进方向等。由于APT组织及其活动的复杂敏感性,本报告必然存在疏漏,供同行再作补充完善! 在报告编制过程中,中国信息安全测评中心得到下列专家和机构的鼎力协助,致以诚挚感谢。 指导专家 汪列军(奇安信威胁情报中心)吴铁军(绿盟科技“伏影”实验室)孙岩炜(北邮网络空间安全学院)周欣(深信服科技股份有限公司)孟召瑞(科来网络技术股份有限公司) 参编单位 奇安信威胁情报中心绿盟科技“伏影”实验室360高级威胁研究院深信服科技股份有限公司北京微步在线科技有限公司北邮网络空间安全学院安恒信息技术有限公司科来网络技术股份有限公司北京中睿天下信息技术有限公司《中国信息安全》杂志社 ■版权声明 本报告版权属于中国信息安全测评中心,并受法律保护。转载、摘编或利用其它方式使用本报告中的文字、图片或观点的,应注明来源,违者将被追究法律责任。 目录 说明......................................................................................................................I 一、2022年全球APT态势图景.......................................................8 (一)总体概览.........................................................................................8 1.攻击数量增长..................................................................................................82.目标区域拓展..................................................................................................83.目标机构泛化..................................................................................................94.攻击组织多源................................................................................................10 (二)地区热点激化...................................................................11 1.俄乌冲突激化APT攻击全域展开...............................................................112.东北亚安全局势推动APT组织“高位运转”.................................................143.印巴冲突刺激APT组织“缠斗”.....................................................................154.中东矛盾推动APT攻击军事化.....................................................................16 (三)疫情持续影响...................................................................17 1.形成疫情属性的社会工程攻击模式..............................................................182.疫情带动的远程办公助推攻击常态化..........................................................183.刺激APT组织转向经济目标.........................................................................19 二、我国是APT主要受害国........................................................20 (一)攻击数量持续增加...........................................................20 1.境内受控IP数量增加.....................................................................................212.攻击组织来源多样化......................................................................................22 (二)攻击手段日益复杂化......................................................23 1.“专门定制”对我网攻工具...............................................................................232.检测规避手法日益精进..................................................................................243.攻击凭借日益复杂隐蔽..................................................................................24 (三)攻击目标呈现弥散特点..................................................25 1.重点攻击政府、科研、金融等关键信息基础设施......................................252.经济发达省份和政治中心仍是主要目标地区..............................................26 (四)美国对我网攻愈演愈烈..................................................27 1.潜伏时间长......................................................................................................272.“后门”利用多...................................................................................................283.攻击目标“精”...................................................................................................284.跳板部署广......................................................................................................28 三、典型手法...................................................................................30 (一)传统攻击流程现“新招”...................................................30 1.侦察:泄露数据库成为新切入点................................................................302.入侵:社交媒体钓鱼持续盛行,水坑攻击巧用流量推广........................313.执行:反检测与绕过技术推陈出新,新类型木马大量涌现....................324.横向移动:敏感服务仍为众矢之的,CS工具被逐步替代.......................355.命令控制:IoT设备与公共内容平台成为重要跳板..................................366.渗出:商业服务与网络代理被广泛使用....................................................37 (二)伪装手段盛行...................................................................38 1.设置假旗(FalseFlag)..................................................................................382.利用Web服务隐藏.........................................................................................393.精准识别受害人身份......................................................................................394.开展跨系统、跨平台攻击..............................................................................405.滥用合法凭证..................................................................................................40 (三)漏洞利用成为重要切入点..............................................41 1.零日漏洞利用..................................................................................................412.在野漏洞利用.....
