深信服科技-2023上半年網(wǎng)絡(luò)安全行業(yè)觀察報(bào)告

售前咨詢：400-806-6868售后服務(wù)：400-630-6430郵編：518055郵箱：market@工業(yè)和信息化部電子第五研究所95%以上被利用漏洞是2023年以前漏洞。釣魚郵件攻擊增長(zhǎng)135%。生安全事件60次，造成損失2.64億美元，占所有損失金額的56%。●惡意軟件態(tài)勢(shì)小結(jié)●安全漏洞治理現(xiàn)狀國(guó)外安全漏洞治理現(xiàn)狀我國(guó)安全漏洞治理現(xiàn)狀●安全漏洞態(tài)勢(shì)漏洞公開披露情況漏洞利用情況●關(guān)鍵漏洞分析●安全漏洞態(tài)勢(shì)小結(jié)●惡意軟件態(tài)勢(shì)惡意軟件攻擊總體情況惡意軟件類型分布惡意軟件攻擊行業(yè)分布惡意軟件攻擊地區(qū)分布活躍惡意軟件家族情況●惡意軟件家族分析挖礦病毒家族勒索病毒家族僵尸網(wǎng)絡(luò)家族遠(yuǎn)控木馬家族●惡意軟件攻擊動(dòng)態(tài)攻擊者利用ChatGPT技術(shù)進(jìn)行攻擊攻擊者利用弱口令爆破和開源工具進(jìn)行挖礦攻擊者利用信創(chuàng)系統(tǒng)漏洞進(jìn)行勒索攻擊●數(shù)據(jù)安全治理情況國(guó)外數(shù)據(jù)安全治理動(dòng)向我國(guó)數(shù)據(jù)安全治理動(dòng)向●數(shù)據(jù)交易監(jiān)控情況黑灰產(chǎn)交易類型分布重要數(shù)據(jù)泄露發(fā)現(xiàn)渠道分布重要數(shù)據(jù)泄露影響行業(yè)分布●重點(diǎn)數(shù)據(jù)泄露事件分析大量個(gè)人地址泄露接口濫用導(dǎo)致敏感數(shù)據(jù)泄露黑客論壇中的數(shù)據(jù)泄露●數(shù)據(jù)泄露黑客論壇情況黑客論壇發(fā)展態(tài)勢(shì)流行黑客論壇新增黑客論壇●勒索團(tuán)伙數(shù)據(jù)泄露情況勒索團(tuán)伙數(shù)據(jù)泄露數(shù)量趨勢(shì)多重勒索軟件團(tuán)伙活躍排行新活躍多重勒索團(tuán)伙●數(shù)據(jù)安全態(tài)勢(shì)小結(jié)APT組織攻擊總體態(tài)勢(shì)南亞活躍APT組織態(tài)勢(shì)東亞活躍APT組織態(tài)勢(shì)東歐活躍APT組織態(tài)勢(shì)●APT攻擊流行技術(shù)趨勢(shì)軟件供應(yīng)鏈攻擊獲取APT攻擊初始權(quán)限開源組件二次開發(fā)以降低APT攻擊成本BYOVD濫用過(guò)時(shí)驅(qū)動(dòng)以對(duì)抗殺軟●典型APT攻擊事件某高校高新行業(yè)實(shí)驗(yàn)室被高精準(zhǔn)社工魚叉攻擊蔓靈花利用開源遠(yuǎn)控組件攻擊某政府機(jī)關(guān)單位UNC4736組織利用雙重供應(yīng)鏈攻擊3CX公司美國(guó)情報(bào)機(jī)構(gòu)針對(duì)iOS設(shè)備的移動(dòng)端APT活動(dòng)Web3安全事件總體態(tài)勢(shì)Web3安全事件損失情況Web3安全事件趨勢(shì)●Web3合約安全情況Web3安全攻擊手段總覽Web3合約安全風(fēng)險(xiǎn)分析Web3合約安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略Web3典型合約安全事件剖析國(guó)家政策對(duì)Web3安全產(chǎn)業(yè)的支持標(biāo)準(zhǔn)組織對(duì)Web3安全產(chǎn)業(yè)的引領(lǐng)資本市場(chǎng)對(duì)Web3安全產(chǎn)業(yè)的推動(dòng)企業(yè)應(yīng)用在Web3安全產(chǎn)業(yè)的探索●安全漏洞態(tài)勢(shì)和“共享”一直是美國(guó)網(wǎng)絡(luò)安全戰(zhàn)略的主旋律，2021年5月拜登政府簽署《改善國(guó)家網(wǎng)絡(luò)安全的行政命令》,明確提基礎(chǔ)設(shè)施漏洞威脅的及時(shí)發(fā)現(xiàn)和消控，加強(qiáng)漏洞管控統(tǒng)籌協(xié)調(diào)，提升漏洞資源共享共治水平，強(qiáng)化美國(guó)國(guó)家級(jí)網(wǎng)絡(luò)安強(qiáng)防御國(guó)家級(jí)威脅的能力。2022年9月，CISA發(fā)布“2023-2025年戰(zhàn)略計(jì)劃”,本計(jì)劃是CISA自2018年成立以來(lái)第一個(gè)全面的戰(zhàn)略計(jì)劃。計(jì)劃指出國(guó)家努力的重點(diǎn)是確定哪些系統(tǒng)和資產(chǎn)對(duì)國(guó)家真正至關(guān)重要，發(fā)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性，并采取行動(dòng)管理來(lái)降低其風(fēng)險(xiǎn)。計(jì)劃的首要目標(biāo)就是建立國(guó)家級(jí)防御網(wǎng)絡(luò)攻擊并從中恢復(fù)的能力，CISA22-01,降低已知利用漏洞的重大風(fēng)險(xiǎn)》,要求所有聯(lián)邦民事行政部門(FCEB)機(jī)構(gòu)都必須在規(guī)定的時(shí)間內(nèi)修復(fù)已知被 根據(jù)《網(wǎng)絡(luò)安全法》關(guān)于漏洞管理有關(guān)要求，工業(yè)和信修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn) 漏洞公開披露情況截止2023年6月10日，國(guó)家信息安全漏洞庫(kù)(CNNVD)共收錄2023年漏洞信息12361條，近10年漏洞收錄情況如圖1-1所示，可以看出，漏洞收錄數(shù)量逐年增長(zhǎng)，超危漏洞占比整體呈上升趨勢(shì)，超危漏洞占比峰值比16.7%),按照往年超危漏洞占比趨勢(shì)推測(cè)，2023年下半年超危漏洞占比會(huì)進(jìn)一步增長(zhǎng)。2023年1月-6月，根據(jù)國(guó)家信息安全漏洞庫(kù)(CNNVD)收錄情況，從漏洞危害程度來(lái)看，2023年上半年，超危漏洞占比15.2%,高危漏洞占比35.7%,高危和超危漏洞占比超過(guò)50%,漏洞危害程度趨向高危化，極易被病毒、木馬、■圖1-22023年上半年CNNVD收錄漏洞危害等級(jí)分布2023年1月-6月，根據(jù)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)統(tǒng)計(jì)數(shù)據(jù)顯示，上半年漏洞引發(fā)威脅情況如圖1-3所示，由漏洞引發(fā)的最主要威脅是未授權(quán)信息泄露，未授權(quán)信息泄露可能會(huì)導(dǎo)致個(gè)人隱私受到侵犯，造成財(cái)務(wù)損失，破壞商業(yè)信譽(yù)，甚至可能導(dǎo)致法律訴訟。未授權(quán)信息泄露還有可能是黑客攻擊的前置條件，秘鑰、token等敏感信息泄露可以被惡意攻擊者進(jìn)一步利用，訪問(wèn)受保護(hù)的資源或執(zhí)行未經(jīng)授權(quán)的操作。其次，漏洞引發(fā)的威脅是管理員訪問(wèn)權(quán)限獲取，獲取了管理員權(quán)限就擁有了完全控制權(quán)，攻擊者可以訪問(wèn)系統(tǒng)中的敏感數(shù)據(jù)，更改系統(tǒng)設(shè)置，控制整個(gè)系統(tǒng)，以及進(jìn)行其他惡意活動(dòng)。黑客攻擊手段通常可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料；破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。從漏洞引發(fā)威脅的角度來(lái)看，我國(guó)上半年網(wǎng)絡(luò)攻擊趨向于破壞性攻擊，這種攻擊可能會(huì)導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失、服務(wù)中斷等嚴(yán)重后果，對(duì)受害者造成極大的損失。其它0.3%其它0.3%未知0.1%■圖1-32023年上半年漏洞引發(fā)威脅情況1近十年總體情況已知被利用漏洞(KEV)目錄是為了美國(guó)國(guó)家安全和網(wǎng)絡(luò)防御者的利益而創(chuàng)建，自創(chuàng)建以來(lái)持續(xù)更新，是已知被利用漏洞的權(quán)威來(lái)源。該目錄當(dāng)前維護(hù)了近1000個(gè)已知被利用漏洞。已知被利用漏洞(KEV)目錄收錄的三個(gè)標(biāo)準(zhǔn)是：漏洞已分配CVE編號(hào)、有可靠證據(jù)表明該漏洞在真實(shí)攻擊中已被積極利用、漏洞已有明確的補(bǔ)救措施。未修補(bǔ)的漏洞依然是黑客利用的最主要攻擊載體。針對(duì)已知被利用漏洞(KEV)進(jìn)行分析，近10年真實(shí)漏洞利用數(shù)量總體呈現(xiàn)上升趨勢(shì)，2021年漏洞利用數(shù)量達(dá)到峰值179個(gè)。對(duì)比去年數(shù)據(jù)，2023上半年新添加漏洞利用情況如圖1-4黃色圖例所示，今年添加各個(gè)年份漏洞數(shù)量總體來(lái)看相差不大，排除2023年數(shù)據(jù)，添加年份為2022年的漏洞數(shù)量最多。從統(tǒng)計(jì)圖來(lái)看，不僅近兩年漏洞被添加到該目錄，甚至十年前的漏洞今年仍有被添加，側(cè)面反應(yīng)出未及時(shí)進(jìn)行補(bǔ)丁安裝導(dǎo)致惡意攻擊者利用漏洞入侵系統(tǒng)情況廣泛存在。圖1-4KEV目錄近十年漏洞利用情況1被利用漏洞主要廠商及產(chǎn)品情況根據(jù)已知被利用漏洞(KEV)目錄進(jìn)行統(tǒng)計(jì)分析，已知被利用漏洞廠商分布與廠商漏洞增長(zhǎng)情況如圖1-5所示，廠商漏洞排名靠前的有Microsoft(259個(gè))、Cisco(64個(gè))和Adobe(60個(gè))。對(duì)比去年數(shù)據(jù)，各廠商已知被利用漏洞增長(zhǎng)情況如黃色折線所示，增速較高的是Apple、Google、Oracle等廠商，按照增長(zhǎng)率推算，預(yù)計(jì)下半年Apple、Google、Oracle等廠商將有較多已知被利用漏洞披露?！鰣D1-5已知被利用漏洞廠商漏洞分布與漏洞增長(zhǎng)情況■圖1-6已知被利用漏洞產(chǎn)品分布情況0day■圖1-6已知被利用漏洞產(chǎn)品分布情況0day漏洞利用數(shù)量明顯攀升，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。根據(jù)谷歌團(tuán)隊(duì)跟蹤的Oday被利用漏洞情況進(jìn)行分析，近10年0day漏洞利用發(fā)現(xiàn)情況如下圖所示，可以看出，Oday漏洞利用平均發(fā)現(xiàn)天數(shù)整體呈現(xiàn)下降趨勢(shì)，2023年上半年，0day漏洞利用平均發(fā)現(xiàn)天數(shù)已經(jīng)縮短為2014年的四分之一，說(shuō)明被利用Oday漏洞數(shù)量在逐年上升。2021年0day漏洞利用平均發(fā)現(xiàn)天數(shù)最小，平均而言，每5.3天就會(huì)發(fā)現(xiàn)一個(gè)新的被利用Oday漏洞，但實(shí)際上，這些漏洞通常聚集在同一天發(fā)現(xiàn)的漏洞鏈中。被利用Oday漏洞數(shù)量之所以攀升如此明顯，最主要原因是黑客利用Oday漏洞進(jìn)行攻擊能夠更高概率的躲避現(xiàn)有安全體系的防御措施，提高攻擊成功率。關(guān)鍵被利用Oday漏洞盤點(diǎn)本地提權(quán)漏洞是上半年實(shí)際網(wǎng)絡(luò)攻擊中最主要利用的漏洞類型。根據(jù)深信服千里目安全技術(shù)中心以及谷歌跟蹤Oday漏洞利用情況綜合分析，2023年上半年被利用關(guān)鍵被利用Oday漏洞盤點(diǎn)本地提權(quán)漏洞是上半年實(shí)際網(wǎng)絡(luò)攻擊中最主要利用的漏洞類型。根據(jù)深信服千里目安全技術(shù)中心以及谷歌跟蹤Oday漏洞利用情況綜合分析，2023年上半年被利用Oday漏洞Top10如表1-1所示。關(guān)鍵Oday漏洞的發(fā)現(xiàn)時(shí)間主要集中在1月和4月，微軟的6個(gè)漏洞發(fā)現(xiàn)時(shí)間集中在第一季度，涉及多個(gè)產(chǎn)品，幾乎都是本地提權(quán)漏洞，對(duì)權(quán)限要求均比較低，無(wú)需與用戶交互。攻擊者利用特權(quán)提升漏洞可以執(zhí)行更多的操作，包括但不限于修改系統(tǒng)配置、讀取敏感數(shù)據(jù)、執(zhí)行惡意代碼等。攻擊者還可以利用這些權(quán)限來(lái)控制整個(gè)系統(tǒng)，甚至是整個(gè)網(wǎng)絡(luò)。瀏覽器漏洞的危害一直不容小覷，上半年Chrome關(guān)鍵被利用Oday漏洞主要以類型混淆和整數(shù)溢出為主。其中，危害等級(jí)最為嚴(yán)重的是GoogleChromeSkia整數(shù)溢出漏洞(CVE-2023-2136),由于Skia中存在缺陷，當(dāng)算術(shù)運(yùn)算導(dǎo)致值超過(guò)整數(shù)類型的最大限制時(shí)，會(huì)發(fā)生整數(shù)溢出。攻擊者通過(guò)誘導(dǎo)用戶打開特制的HTML頁(yè)面來(lái)觸發(fā)該漏洞，最終導(dǎo)系統(tǒng)是目前應(yīng)用最廣泛的操作系統(tǒng)之一，其用戶遍布全球。根據(jù)深信服千里目安全技術(shù)中心數(shù)據(jù)顯示，Windows全球公網(wǎng)資產(chǎn)超過(guò)1.2億，中國(guó)公網(wǎng)資產(chǎn)超過(guò)2200萬(wàn)，其影響之大可見一斑。建議國(guó)內(nèi)用戶重點(diǎn)針對(duì)Windows操作系統(tǒng)進(jìn)行漏洞評(píng)估，及時(shí)修補(bǔ)漏洞，以保障系統(tǒng)的安全性。排名第二的產(chǎn)品是InternetExplorer,占比3.3%,漏洞類型主要以遠(yuǎn)程代碼執(zhí)行和內(nèi)存損壞為主。瀏覽器漏洞的危害性是非常大的，黑客可以利用漏洞來(lái)執(zhí)行惡意代碼、竊取用戶的敏感信息等。利用釣魚鏈接觸發(fā)瀏覽器漏洞獲取權(quán)限是APT組織和黑灰產(chǎn)團(tuán)伙常見攻擊手段之一，這種攻擊手法隱蔽性更高，用戶往往難以察覺(jué)攻擊的存在，而且攻擊者可以通過(guò)不斷改變攻擊方式和手段來(lái)規(guī)避安全防護(hù)措施。致在目標(biāo)系統(tǒng)上任意執(zhí)行代碼。被利用0day漏洞名稱發(fā)現(xiàn)時(shí)間出漏洞(CVE-2023-2136)整數(shù)溢出網(wǎng)絡(luò)無(wú)需要GoogleChromeV8類型混淆漏洞(CVE-2023-2033)高危網(wǎng)絡(luò)無(wú)需要GoogleChrome類型混淆漏洞(CVE-2023-3079)未知未知未知未知MicrosoftOutlook特權(quán)提升漏洞(CVE-2023-23397)網(wǎng)絡(luò)無(wú)無(wú)WindowsALPC特權(quán)提升漏洞(CVE-2023-21674)高危低無(wú)Windows圖形組件權(quán)限提升漏洞(CVE-2023-21823)高危低無(wú)WindowsCLFS驅(qū)動(dòng)程序提升權(quán)限漏洞(CVE-2023-高危低無(wú)WinSock特權(quán)提升漏洞高危低無(wú)WindowsCLFS驅(qū)動(dòng)程序權(quán)限提升漏洞(CVE-2023-高危低無(wú)資源管理錯(cuò)誤高危低無(wú)■圖1-70漏洞利用發(fā)現(xiàn)情況■表1-■圖1-70漏洞利用發(fā)現(xiàn)情況2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告 關(guān)鍵漏洞分析關(guān)鍵漏洞分析MicrosoftWindows,是微軟以圖形用戶界面為主推出的一系列專有商業(yè)軟件操作系統(tǒng)。它于1985年問(wèn)世，WindowsServer2012,超過(guò)490萬(wàn)。WindowsServer2012,超過(guò)490萬(wàn)。7中國(guó)公網(wǎng)資產(chǎn)超過(guò)270萬(wàn)，占全球比例高達(dá)40.1%。雖然Windows7和Windows10已經(jīng)發(fā)布了很長(zhǎng)時(shí)間，但它們產(chǎn)品真實(shí)利用真實(shí)利用易被利用2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告 產(chǎn)品真實(shí)利用真實(shí)利用易被利用易被利用易被利用MSHTML平臺(tái)易被利用2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告產(chǎn)品易被利用易被利用不太可能利用序不太可能利用不太可能利用2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告區(qū)域有北京市(9673)和浙江省(8692),其次是廣東省(5304)和上海市(4993)。中國(guó)大陸公網(wǎng)資產(chǎn)近5萬(wàn)，區(qū)域有北京市(9673)和浙江省(8692),其次是廣東省(5304)和上海市(4993)。中國(guó)大陸公網(wǎng)資產(chǎn)近5萬(wàn)，漏洞介紹WebLogicServer遠(yuǎn)程代碼執(zhí)行漏洞未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)T3/IIOP協(xié)議網(wǎng)絡(luò)訪問(wèn)并破壞易受攻擊的WebLogic服務(wù)器，成功利用此漏洞可能導(dǎo)致OracleWebLogic服務(wù)器被接管或敏感信息泄露。真實(shí)利用WebLogicServer拒絕服務(wù)漏洞未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)HTTP進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危害OracleWebLogicServer。成功利用此漏洞會(huì)導(dǎo)致OracleWebLogicServer掛起或頻繁重復(fù)崩潰，造成拒絕服務(wù)攻擊。未知WebLogicServer拒絕服務(wù)漏洞未經(jīng)身份驗(yàn)證的攻擊者通過(guò)T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危及OracleWebLogicServer。成功攻擊此漏洞可能導(dǎo)致未經(jīng)授權(quán)的OracleWebLogicServer掛起或頻繁重復(fù)崩潰(完全DOS)。未知WebLogicServer拒絕服務(wù)漏洞未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)T3進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危害OracleWebLogicServer。成功利用此漏洞會(huì)導(dǎo)致OracleWebLogicServer掛起或頻繁重復(fù)崩潰，造成拒絕服務(wù)未知WebLogicServer信息泄露漏洞未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)T3進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危害OracleWebLogicServer。此漏洞的成功攻擊可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)或?qū)λ蠴racleWebLogicServer可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)。未知2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告漏洞介紹WebLogicServer信息泄露漏洞未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過(guò)T3進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危害OracleWebLogicServer。此漏洞的成功攻擊可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的訪問(wèn)或?qū)λ蠴racleWebLogicServer可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)。未知WebLogicServer信息泄露漏洞未經(jīng)身份驗(yàn)證的攻擊者通過(guò)HTTP進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危及OracleWebLogicServer。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ蠴racleWebLogicServer可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)未知WebLogicServer信息泄露漏洞未經(jīng)身份驗(yàn)證的攻擊者通過(guò)IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危及OracleWebLogicServer。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ蠴racleWebLogicServer可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)未知WebLogicServer信息泄露漏洞未經(jīng)身份驗(yàn)證的攻擊者通過(guò)T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問(wèn)，從而危及OracleWebLogicServer。成功攻擊此漏洞可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問(wèn)或?qū)λ蠴racleWebLogicServer可訪問(wèn)數(shù)據(jù)的完全訪問(wèn)未知■表1-32023年上半年WebLogic關(guān)鍵漏洞盤點(diǎn)5000萬(wàn)，占全球比例8.5%。StatCounter的5月研究報(bào)告顯示，Chrome瀏覽器憑借62.85%的全球份額穩(wěn)居第一，受影響軟件整數(shù)溢出真實(shí)利用真實(shí)利用真實(shí)利用 受影響軟件未知10000美元未知釋放后重用待決定未知釋放后重用待決定未知釋放后重用未知釋放后重用13000美元未知釋放后重用16000美元未知釋放后重用待決定未知15000美元未知17500美元未知資源管理錯(cuò)誤10000美元未知資源管理錯(cuò)誤15000美元未知■表1-42023年上半年GoogleChrome關(guān)鍵漏洞盤點(diǎn)金額超過(guò)10000美元的Chrome漏洞有12個(gè)，最高金額為31000美元，2023上半年谷歌公司為Chrome中的69個(gè)漏洞支付賞金總計(jì)近40萬(wàn)美元，2022年谷歌公司為Chrome中473個(gè)漏洞支付賞金總計(jì)400萬(wàn)美元。對(duì)比2022年限管理不當(dāng)漏洞權(quán)限管理不當(dāng)漏洞名稱F5BIG-IPAPM虛擬服務(wù)器開放重定向漏洞F5BIG-IPEdgeClientforWin-dows命令執(zhí)行漏洞務(wù)漏洞F5BIG-IPDNS配置文件拒絕服務(wù)漏洞F5HTTP配置文件拒絕服務(wù)漏洞F5BIG-IPSIP配置文件拒絕服務(wù)漏洞F5BIG-IPSIP配置文件拒絕服務(wù)漏洞F5BIG-IPAWAF和ASM拒絕服務(wù)漏洞F5BIG-IPHTTP/2配置文件拒絕服務(wù)漏洞F5BIG-IPAPMOauth拒絕服務(wù)F5BIG-IPAFM拒絕服務(wù)漏洞F5BIG-IPSSLOCSP認(rèn)證配置文件拒絕服務(wù)漏洞F5BIG-IPWindowsEdgeClient客戶端DLL劫持漏洞F5iControlSOAP權(quán)限提升漏洞■表1-52023年上半年F5BIG-IP關(guān)鍵漏洞盤點(diǎn)安全漏洞態(tài)勢(shì)小結(jié)安全漏洞態(tài)勢(shì)小結(jié)結(jié)，從國(guó)家級(jí)漏洞庫(kù)披露漏洞情況可以觀察得出，高危和超危漏洞占比超過(guò)50%,漏洞危害程度趨0day漏洞利用數(shù)量明顯攀升，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻。根據(jù)谷歌團(tuán)隊(duì)近10年跟蹤的Oday漏洞利用情況進(jìn)行分析，2023年上半年，0day漏洞利用平均發(fā)現(xiàn)天數(shù)已經(jīng)縮短為2014年的四分之一，未修補(bǔ)的漏洞依然是黑客利用的最主要攻擊載體。根據(jù)已知被利用漏洞(KEV)目錄收錄標(biāo)及近10年已知被漏洞利用情況分析總結(jié)，95%以上被利用漏洞是2023年以前漏洞，并且均已發(fā)布補(bǔ)丁。本地提取漏洞是2023上半年實(shí)際網(wǎng)絡(luò)攻擊中最常利用的漏洞類型。根據(jù)深信服千里目安全技04術(shù)中心以及谷歌跟蹤Oday漏洞利用情況綜合分析，2023年上半年0day漏洞利用Top10,微軟的6個(gè)漏洞涉及多個(gè)產(chǎn)品，幾乎都是本地提權(quán)漏洞，且多個(gè)重要漏洞幾乎影響全版本。預(yù)計(jì)2023年下半年，Chrome漏洞數(shù)量和漏洞平均賞金將會(huì)進(jìn)一步增長(zhǎng)。2023上半年谷歌公司為Chrome中的69個(gè)漏洞支付賞金總計(jì)近40萬(wàn)美元，2022年谷歌公司為Chrome中473個(gè)漏洞支付賞金總計(jì)400萬(wàn)美元。就目前披露情況來(lái)看，漏洞數(shù)量和漏洞平均賞金總體低于去年和前年。從F5官網(wǎng)發(fā)布補(bǔ)丁信息可知，今年上半年F5BIG-IP漏洞類型主要為拒絕服務(wù)漏洞，多個(gè)漏洞影響F5BIG-IP所從漏洞引發(fā)威脅的角度來(lái)看，網(wǎng)絡(luò)攻擊趨向于破壞性攻擊。根據(jù)2023年上半年CNVD收錄漏洞進(jìn)行分析，由漏洞引發(fā)的主要威脅有未授權(quán)的信息泄露和管理員訪問(wèn)權(quán)限獲取。網(wǎng)絡(luò)攻擊趨向于破壞性攻擊，這種攻擊可能會(huì)導(dǎo)致系統(tǒng)崩潰、數(shù)據(jù)丟失、服務(wù)中斷等嚴(yán)重后果，對(duì)受害者造成極大的損失。惡意軟件態(tài)勢(shì)●惡意軟件攻擊動(dòng)態(tài)25.0026.5821.5720.654月2023年政府15%企業(yè)35%科研教育18%醫(yī)療25% 活躍惡意軟件家族情況政府15%企業(yè)35%科研教育18%醫(yī)療25% 活躍惡意軟件家族情況2023年蠕蟲，7.0%2023年2022年蠕蟲，7.7%2022年挖礦，40.5%2023年挖礦，42.9%2022年■圖2-22023年和2022年1月-6月惡意軟件攻擊類型分布麗惡意軟件攻擊行業(yè)分布根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，2023年1月-6月惡意軟件攻擊行業(yè)分布如圖2-3所示。2023年上半年受惡意軟件影響較為嚴(yán)重的行業(yè)主要是企業(yè)、醫(yī)療、科研教育和政府等行業(yè)，攻擊占比超過(guò)80%。其次，能源、電信和媒體等行業(yè)也受到一定影響。針對(duì)受惡意軟件影響較嚴(yán)重行業(yè)，建議采取適當(dāng)?shù)陌踩胧﹣?lái)保護(hù)其計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)，做好安全合規(guī)，以免有被監(jiān)管通報(bào)風(fēng)險(xiǎn)，以安全合規(guī)為根本，建設(shè)安全合規(guī)管理體系，才能不斷提高企業(yè)安全水平。媒體1%電信2%媒體1%其他1%能源3%■圖2-32023年1月-6月惡意軟件攻擊行業(yè)分布 惡意軟件攻擊地區(qū)分布根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，2023年1月-6月惡意軟件攻擊省份TOP10情況如圖2-4所示。受惡意軟件攻擊最為嚴(yán)重的區(qū)域有廣東省、浙江省和上海市，攻擊次數(shù)均超過(guò)10億，分別為22.2億次，13.2億次和11.3億次。江蘇省、山東省、北京市和河北省也是受影響較為嚴(yán)重地區(qū)，攻擊次數(shù)均在6億次以上，均為互聯(lián)網(wǎng)較為發(fā)達(dá)地區(qū)。廣東省、浙江省和上海市，攻擊次數(shù)均超過(guò)10億，分別為22.2億次，13.2億次和11.3億次?！鰣D2-42023年1月-6月惡意軟件攻擊區(qū)域分布根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，2022年和2023年1月至6月活躍惡意軟件家族情況如圖2-5所示。遠(yuǎn)控木馬Gamarue家族連續(xù)兩年蟬聯(lián)第一，攻擊次數(shù)較去年有小幅度上升。和去年一樣，排在第二名的是挖礦病毒W(wǎng)annaMine家族，今年上半年攻擊次數(shù)有移動(dòng)成度下降。挖礦病毒TeamTNT和蠕蟲病毒Xred代替蠕蟲病毒Conficker和挖礦病毒StartMiner成為2023年上半年活躍惡意軟件TOP5家族。■圖2-52022年和2023年1月-6月活躍惡意軟件家族昆挖礦病毒家族根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)來(lái)看，如圖2-6所示，2023年上半年我國(guó)挖礦病毒活躍家族TOP5分別PwerGhost是從2018年被發(fā)現(xiàn)使用powershell無(wú)文件方式進(jìn)行攻擊感染的挖礦病毒，其感染方式利用了永恒之■圖2-62022年和2022年1月-6月挖礦病毒活躍家族TOP52023年1月至6月挖礦病毒攻擊省份TOP10情況如圖2-7所示。攻擊量排名第一的是廣東省，攻擊次數(shù)為5.7億次，其次是浙江省、江蘇省、北京市和山東省。今年上半年挖礦病毒供給量排名前十的省份攻擊次數(shù)均超過(guò)了1億次，■圖2-7挖礦病毒活躍地區(qū)TOP102023年1月-6月挖礦病毒主要攻擊的行業(yè)有企業(yè)、教育、醫(yī)療、政府和能源等行業(yè)，占比分別為40.5%、19.6%、17.5%、15.7%和4.4%。這些行業(yè)擁有大量的計(jì)算資源，而挖礦病毒在挖礦過(guò)程中需要消耗大量計(jì)算資源，受利益驅(qū)使，以“挖礦”產(chǎn)生的虛擬貨幣促使了網(wǎng)絡(luò)黑產(chǎn)快速升級(jí)，變相滋Hoze挖礦木馬于2023年被國(guó)內(nèi)安全廠商發(fā)現(xiàn)用于挖取門羅幣，主要是利用SSH弱口令暴力破解對(duì)Linux平臺(tái)進(jìn)Hoze挖礦木馬主動(dòng)掃描22端口，利用SSH遠(yuǎn)程訪問(wèn)進(jìn)行初始訪問(wèn)，并執(zhí)行shell腳本。它通過(guò)創(chuàng)建賬戶、添加SSH密鑰、計(jì)劃任務(wù)等方式在內(nèi)部實(shí)現(xiàn)持久化。為了規(guī)避防御，利用shc工具混淆文件、修改文件和目錄權(quán)限、刪除攻擊腳本。通過(guò)修改系統(tǒng)用戶口令以獲取憑據(jù)訪CPU2023年安全廠商Morphisec研究人員發(fā)現(xiàn)新惡意程序ProxyShellMiner企圖濫用ExchangeServer的攻擊者先通過(guò)漏洞獲得對(duì)組織網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，再將.NET惡意軟件負(fù)載放入域控制器的NETLOGON文件夾創(chuàng)建一個(gè)適用于所有Windows防火墻配置文件的規(guī)則來(lái)阻止所有傳出流量。I挖礦病毒小結(jié)2023年上半年對(duì)比去年上半年，挖礦病毒活躍家族整體無(wú)太大變化。2023年上半年我國(guó)挖礦病毒活躍家族TOP5分別是WannaMine、TeamTNT、StartMiner、DriveLife和LemonDuck。TeamTNT挖礦家族代替PowerGhost挖受挖礦病毒影響較大的區(qū)域有廣東省、浙江省、江蘇省、北京市和山東省。上半年以上幾個(gè)區(qū)域遭受挖礦攻擊的次數(shù)均超過(guò)了2.5億次，廣東省受挖礦攻擊最為嚴(yán)重，攻擊次數(shù)高達(dá)5.7億次。今年上半年挖礦病毒供給量排名前十的省份攻擊次數(shù)均超過(guò)了1億次，挖礦攻擊形勢(shì)不容樂(lè)觀。2023年1月至6月挖礦病毒主要攻擊的行業(yè)有企業(yè)、教育、醫(yī)療、政府和能源等行業(yè)，占比分別為40.5%、19.6%、17.5%、15.7%和4.4%。這些行業(yè)擁有大量的計(jì)算資源，而挖礦病毒在挖礦過(guò)程中需要消耗大量計(jì)算資源，1勒索病毒態(tài)勢(shì)根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，2023年1月-6月我國(guó)勒索軟件應(yīng)急響應(yīng)事件TOP10家族如圖2-8所示，Mallox和Tellyouthepass勒索家族并列第一，應(yīng)急響應(yīng)事件11起。Phobos、BeijingCrypt、Lockbit3.0和Trigona等勒索家族也較為活躍，上半年應(yīng)急響應(yīng)事件均為3起以上。對(duì)比去年上半年我國(guó)勒索軟件應(yīng)急響應(yīng)事件TOP10家族圖2-8勒索軟件病毒活躍家族TOP102023年1月-6月勒索軟件病毒攻擊省份TOP10情況如圖2-9所示。攻擊量排名第一的省份是攻擊次數(shù)分別為5200萬(wàn)次、860萬(wàn)次。其余省市攻擊量相差不大，上半年受勒索軟件攻擊次數(shù)均超過(guò)100萬(wàn)次?！鰣D2-9勒索軟件病毒攻擊地區(qū)TOP102023年1月-6月共計(jì)響應(yīng)勒索攻擊事件46起，針對(duì)響應(yīng)勒索攻擊事件進(jìn)行分析，制造業(yè)、科技和醫(yī)療等行業(yè)受勒索軟件影響最為嚴(yán)重，分別占比35%、24%和13%。教育和政府也較為頻繁的受勒索軟件攻擊?！鰣D2-102023年1月-6月勒索軟件病毒攻擊行業(yè)分布據(jù)不完全統(tǒng)計(jì)，2023年1月-6月新增了32個(gè)家族，如MoneyMessage、RAGroup。MoneyMessage主要攻擊MoneyMessage勒索軟件于2023年3月首次被Cyble研究人員發(fā)現(xiàn)，受害者來(lái)自不同行業(yè)。因其對(duì)知名計(jì)算機(jī)硬件供應(yīng)商MSI(微星國(guó)際)的攻擊而受到媒體關(guān)注，在此次事件中該勒索軟件組織竊取了大約1.5TB數(shù)據(jù)，并要求支付400萬(wàn)美元的贖金。MoneyMessage能夠加密網(wǎng)絡(luò)共享，主要針對(duì)Windows和Linux操作系統(tǒng)。MoneyMessage勒索采用ECDH和ChaCha20組合的方式加密目標(biāo)系統(tǒng)上的文件，并嵌入json格式的配置文件以便于設(shè)置加密策略。此外，MoneyRAGroup勒索軟件于2023年4月被CiscoTalos研究人員發(fā)現(xiàn)，該組織已侵入3個(gè)美國(guó)組織和1個(gè)韓國(guó)組織，1勒索病毒小結(jié)2023年上半年活躍勒索家族主要有Mallox、Tellyouthepass、PhobosBeijingCryptMallox和Tellyouthepass勒索家族并列第一，應(yīng)急響應(yīng)事件11起。對(duì)比去年上半年我國(guó)勒索軟件應(yīng)急響應(yīng)事件上半年勒索病毒攻擊量排名第一的省份是廣東省，其次是浙江省，攻擊次數(shù)分別為5200萬(wàn)次、860萬(wàn)次。其余省市攻擊量相差不大，上半年受勒索軟件攻擊次數(shù)均超過(guò)100萬(wàn)次。2023年上半年我國(guó)制造業(yè)、科技和醫(yī)療等行業(yè)受勒索軟件影響最為嚴(yán)重，勒索軟件攻擊占比別為35%、24%和13%。教育和政府等行業(yè)也較為頻繁的受到勒索軟件攻擊。僵尸網(wǎng)絡(luò)家族根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)來(lái)看，2022年和2023年1月-6月活躍僵尸網(wǎng)絡(luò)家族如圖2-11所示，2022年上半年我國(guó)受到僵尸網(wǎng)絡(luò)攻擊總次數(shù)超過(guò)22億次，2023年上半年我國(guó)受到僵尸網(wǎng)絡(luò)攻擊總次數(shù)超過(guò)10億次，攻擊規(guī)模大幅度下降。整體來(lái)看，2023年上半年和2022年上半年我國(guó)僵尸網(wǎng)絡(luò)攻擊仍以老牌僵尸網(wǎng)絡(luò)DorkBot為主，2022年上半年DorkBot僵尸網(wǎng)絡(luò)占所有僵尸網(wǎng)絡(luò)攻擊的9.1%,2023年上半年占比20.0%。對(duì)比2022年上半年，今年上半年僵尸網(wǎng)絡(luò)ShelIBot攻擊上升較為明顯，攻擊次數(shù)超過(guò)9千萬(wàn)次，ShellBot僵尸網(wǎng)絡(luò)于2018年被趨勢(shì)科技安全研究人員首次披露，ShellBot僵尸網(wǎng)絡(luò)由Ooulaw組織發(fā)布，用Perl語(yǔ)言編寫，可以■圖2-112022年和2023年1月-6月活躍僵尸網(wǎng)絡(luò)家族2023年1月-6月僵尸網(wǎng)絡(luò)病毒攻擊省份TOP10情況如圖2-12所示。2023年上半年有5個(gè)省市僵尸網(wǎng)絡(luò)攻擊次數(shù)超過(guò)1億次，攻擊量排名第一的是廣東省，攻擊次數(shù)高達(dá)3.64億次，其次是四川省、山東省、河北省和北京市。受到僵尸網(wǎng)絡(luò)攻擊的主要行業(yè)有教育、企業(yè)、政府、醫(yī)療、能源等，占比分別為26.9%、24.7%、23.6%、18.9%和3.84%。針對(duì)受到僵尸網(wǎng)絡(luò)攻擊較為嚴(yán)重行業(yè)和區(qū)域，需加強(qiáng)僵尸網(wǎng)絡(luò)防御工作。■圖2-122023年1月-6月僵尸網(wǎng)絡(luò)病毒攻擊地區(qū)TOP10在商業(yè)化惡意代碼競(jìng)爭(zhēng)激烈的環(huán)境下，網(wǎng)絡(luò)犯罪分子將建立一個(gè)大型僵尸計(jì)算機(jī)網(wǎng)絡(luò)，然后將僵尸網(wǎng)絡(luò)的訪問(wèn)權(quán)限以出租或直接出售的形式賣給其他犯罪分子，僵尸網(wǎng)絡(luò)攻擊平均成本和技術(shù)門檻持續(xù)降低，給網(wǎng)絡(luò)安全行業(yè)帶來(lái)更嚴(yán)峻的挑戰(zhàn)。提升主機(jī)安全防護(hù)能力、提高網(wǎng)絡(luò)安全防護(hù)意識(shí)、加強(qiáng)應(yīng)急響應(yīng)處置能力，可以據(jù)不完全統(tǒng)計(jì)，2023年1月至6月新增了8個(gè)家族，如HinataBot僵尸網(wǎng)絡(luò)、AndoryuBot僵尸網(wǎng)絡(luò)。新增僵尸HinataBot是基于Go語(yǔ)言編寫的DDOS僵尸網(wǎng)絡(luò)，在2023年1月中旬首次出現(xiàn)，HinataBot僵尸網(wǎng)絡(luò)最高可發(fā)起3.3Tbps大規(guī)模DDoS攻擊。該僵尸網(wǎng)絡(luò)通過(guò)利用已知漏洞來(lái)攻擊路由器和服務(wù)器，支持多種通信方法，包括撥出UDP兩種攻擊模式。即使只有兩種攻擊模式，該僵尸網(wǎng)絡(luò)依然進(jìn)行大規(guī)模的分布式拒絕服務(wù)攻擊。HinataBot運(yùn)營(yíng)者正在積極更新，專注于開發(fā)逃避檢測(cè)技術(shù)，以規(guī)避現(xiàn)有安全體系的防御措施AndoryuBot僵尸網(wǎng)絡(luò)于2023年2月被Fortinet研究人員發(fā)現(xiàn)，它主要是通過(guò)Ruckus無(wú)線管理遠(yuǎn)程代碼執(zhí)行漏AndoryuBot僵尸網(wǎng)絡(luò)支持12種DDoS攻擊模式，可以進(jìn)行大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊，包含針對(duì)不同協(xié)議的DDoS攻擊模式，并使用SOCKS5代理協(xié)議與命令和控制服務(wù)器通信，通過(guò)惡意HTTP的GET請(qǐng)求感染易受攻I僵尸網(wǎng)絡(luò)小結(jié)對(duì)比2022年上半年，2023年上半年我國(guó)僵尸網(wǎng)絡(luò)攻擊規(guī)模大幅度下降。2022年上半年我國(guó)受到僵尸網(wǎng)絡(luò)攻擊總次數(shù)超過(guò)22億次，2023年上半年我國(guó)受到僵尸網(wǎng)絡(luò)攻擊總次數(shù)超過(guò)10億次，整體來(lái)看，2023年上半年和2022年上2023年上半年有5個(gè)省市僵尸網(wǎng)絡(luò)攻擊次數(shù)超過(guò)1億次，攻擊量排名第一的是廣東省，攻擊次數(shù)高達(dá)3.64億次，新增僵尸網(wǎng)絡(luò)DDoS攻擊模式更加多樣化。據(jù)不完全統(tǒng)計(jì)，2023年1月-6月新增了8個(gè)家族，如HinataBot和AndoryuBotHinataBotHTTPUDPTCPICMPDDo生遠(yuǎn)控木馬家族I遠(yuǎn)控木馬態(tài)勢(shì)隨著互聯(lián)網(wǎng)的不斷發(fā)展，遠(yuǎn)控木馬的數(shù)量和種類也在不斷增加和變化。根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)來(lái)看，2022年和2023年1月至6月活躍遠(yuǎn)控木馬情況如圖2-13所示，連續(xù)兩年比較活躍的遠(yuǎn)控木馬有Gamarue、■■2023年■2022年■圖2-132022年和2023年1月-6月活躍遠(yuǎn)控木馬2023年1月至6月遠(yuǎn)控木馬攻擊省份TOP10情況如圖2-14所示。其中，遠(yuǎn)控木馬攻擊量排名第一的是廣東省，攻擊次數(shù)為8.9億次，其次是湖北省和山東省，分別為3.0億次和2.5億次。10個(gè)省份上半年攻擊次數(shù)均超過(guò)1.0億次。2023年1月至6月遠(yuǎn)控木馬攻擊主要行業(yè)有企業(yè)、教育、醫(yī)療、政府和能源，占比分別為49.0%、17.8%、15.3%、12.9%和2.9%。針對(duì)上述行業(yè)建議加強(qiáng)遠(yuǎn)控木馬檢測(cè)，使用安全軟件及時(shí)查殺。1遠(yuǎn)控木馬新增家族據(jù)不完全統(tǒng)計(jì)，2023年1月至6月新增了12個(gè)家族，如Pikabot和SeroXen。Pikabot家族利用反分析技術(shù)來(lái)Pikabot于2023年ZscalerPikabot一旦Pikabot感染受害者主機(jī)后，攻擊者就可通過(guò)Pikabot來(lái)遠(yuǎn)程訪問(wèn)受害主機(jī)，Pikabot還可以接收C2服務(wù)器命令實(shí)現(xiàn)進(jìn)程注入、命令執(zhí)行、分發(fā)其他惡意程序等操作，其主要特征為利用加載程序/核心組件拆分，使用SeroXen于2022年底被AT&T發(fā)現(xiàn)，并在2023年變得越來(lái)越流行。SeroXen主要通過(guò)游戲進(jìn)行傳播，目前大多了一種難以在靜態(tài)和動(dòng)態(tài)分析中檢測(cè)到的RAT,該惡意軟件通過(guò)無(wú)文件攻擊駐留內(nèi)存中，導(dǎo)致一些殺毒軟件無(wú)法檢測(cè)2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告 2023年上半年遠(yuǎn)控木馬攻擊量排名第一的是廣東省，攻擊次數(shù)為8.9億次，其次是湖北省和山東省，分別為3.0億次和2.5億次。10個(gè)省份上半年攻擊次數(shù)均超過(guò)1.0億次。2023年上半年遠(yuǎn)控木馬攻擊主要行業(yè)有企業(yè)、教育、醫(yī)療、政府和能源，占比分別為49.0%、17.8%、15.3%、12.9%和2.9%。針對(duì)上述行業(yè)建議加強(qiáng)遠(yuǎn)控木馬檢測(cè)，使用安全軟件及時(shí)查殺。新增遠(yuǎn)控木馬規(guī)避安全檢測(cè)技術(shù)提升，遠(yuǎn)控木馬變得更難檢測(cè)。Pikabot使用C/C++編寫，利用避檢測(cè)，SeroXen開發(fā)者利用免費(fèi)資源開發(fā)了一種難以在靜態(tài)和動(dòng)態(tài)分析中檢測(cè)到的RAT,該惡意軟件通過(guò)無(wú)文件攻 攻擊者利用ChatGPT技術(shù)進(jìn)行攻擊攻擊者使用ChatGPT生成惡意代碼，由于技術(shù)門檻降低，使得網(wǎng)絡(luò)攻擊變得更快更容易。攻擊者使用ChatGPT經(jīng)發(fā)現(xiàn)了1500多條關(guān)于如何使用ChatGPT進(jìn)行惡意軟件開發(fā)的資料，其中包括如何利用開源庫(kù)惡意代碼對(duì)ChatGPT勢(shì)，ChatGPT可以模仿人類書寫方式，可以幫助相關(guān)語(yǔ)言寫作能力不足的攻擊者編寫更加符合語(yǔ)言表達(dá)的釣魚郵件內(nèi)容。根據(jù)網(wǎng)絡(luò)安全公司Darktrace公布的最新研究報(bào)告，攻擊者使用ChatGPT等生成式Al,使網(wǎng)絡(luò)釣魚郵135%。過(guò)去6個(gè)月，詐騙電子郵件和短信的頻率增加了70%,并且79%的公司垃圾郵件過(guò)濾器錯(cuò)誤地阻止了重要的 攻擊者利用弱口令爆破和開源工具進(jìn)行挖礦2023年1月，RapperBot僵尸網(wǎng)絡(luò)被發(fā)SSH2023年3月，Hoze挖礦病毒被發(fā)現(xiàn)用于門羅幣挖礦。Hoze挖礦病毒主要利用SSH弱口令暴力破解來(lái)對(duì)Linux2023年4月，韓國(guó)網(wǎng)絡(luò)安全公司ASEC研究人員發(fā)現(xiàn)，攻擊者利用SHC編譯惡意軟件進(jìn)行挖礦，通過(guò)Linux弱口令爆破傳播。當(dāng)SHC下載器被執(zhí)行時(shí)，將連接C2端下載獲取2023年4月，8220團(tuán)伙被發(fā)現(xiàn)利用開源工具進(jìn)行門羅幣挖礦，其主要采用開源工具bdvl(Rootkit)進(jìn)行輔助攻擊， 攻擊者利用信創(chuàng)系統(tǒng)漏洞進(jìn)行勒索攻擊2023年5月，Tellyouthepass利用信創(chuàng)系統(tǒng)漏洞發(fā)起了兩次大規(guī)模勒索攻擊，嚴(yán)重威脅用戶數(shù)據(jù)安全與財(cái)產(chǎn)安全。用友NC服務(wù)器勒索攻擊事件：5月，深信服千里目安全技術(shù)中心發(fā)現(xiàn)國(guó)內(nèi)大量主機(jī)遭受到了Tellyouthepass勒索攻擊。攻擊者利用用友NC文件上傳漏洞和用友NC任意代碼執(zhí)行漏洞進(jìn)行勒索攻擊。該事件從確定受害主機(jī)到執(zhí)行加密操作的時(shí)間間隔較短，且并無(wú)明顯上傳掃描、信息收集等黑客攻擊的痕跡，勒索事件并無(wú)橫向及敏感數(shù)據(jù)外發(fā)的跡象。億賽通文檔安全管理系統(tǒng)攻擊事件：5月，攻擊者利用億賽通高危漏洞上傳WebShell,通過(guò)在受害者機(jī)器上部署的WebShell直接下發(fā)并加載勒索模塊，最終，勒索軟件宿主進(jìn)程就是Web應(yīng)用服務(wù)的主程序。此類攻擊方法的“優(yōu)是能夠避開很多傳統(tǒng)安全軟件的檢測(cè)，提高其攻RSAAES2023年上半年惡意軟件各月攻擊次數(shù)較2022年上半年各月攻擊次數(shù)均有小幅度增長(zhǎng)，惡意軟件類型分布情況沒(méi)有太大變化。2023上半年我國(guó)遭受惡意軟件攻擊總次數(shù)達(dá)147.67億次，比去年同時(shí)段的138.54億次有小幅度上升，今年和去年的攻擊高峰期均在5月。挖礦和遠(yuǎn)控木馬攻擊占比有小幅度上升，挖礦占比由40.5%上升到42.9%,遠(yuǎn)控木馬占比由23.4%上升到26.2%。2023年上半年受惡意軟件影響較大行業(yè)有醫(yī)療、科研教育和政府等行業(yè)，影響較大區(qū)域有廣東浙江省和上海市受惡意軟件攻擊均超過(guò)10億次。攻擊者使用ChatGPT生成惡意代碼，由于技術(shù)門檻降低，使網(wǎng)絡(luò)攻擊變得更快更容易。RecordedFuture研究人員在地下黑客論壇上已經(jīng)發(fā)現(xiàn)了1500多條關(guān)于如何使用ChatGPT進(jìn)行惡成式Al,使網(wǎng)絡(luò)釣魚郵件攻擊增長(zhǎng)135%。我國(guó)信創(chuàng)軟件安全問(wèn)題日益凸顯，使勒索病毒傳播加劇。2023年5月，深信服千里目安全技術(shù)數(shù)據(jù)安全治理情況●●數(shù)據(jù)安全治理情況●數(shù)據(jù)交易監(jiān)控情況●重點(diǎn)數(shù)據(jù)泄露事件分析●數(shù)據(jù)泄露黑客論壇情況●勒索團(tuán)伙數(shù)據(jù)泄露情況●數(shù)據(jù)安全態(tài)勢(shì)小結(jié)2023年2月21日，中國(guó)正式發(fā)布《全球安全倡議概念文件》,文件闡釋了全球安全倡議的核心理念與原則，并國(guó)-阿拉伯聯(lián)盟數(shù)據(jù)安全合作倡議》和《“中國(guó)+中亞五國(guó)”數(shù)據(jù)安全合2023年1月13日，工業(yè)和信息化等十六部門聯(lián)合發(fā)布《關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》,制定了到(三)行業(yè)監(jiān)管大力推動(dòng)各地方數(shù)據(jù)安全管理落地，開展建設(shè)典型案例已見成效2023年1月1日，《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》正式實(shí)施，重點(diǎn)解決行業(yè)內(nèi)數(shù)據(jù)安全監(jiān)管責(zé)任和機(jī)制，以數(shù)據(jù)分級(jí)分類為原則，要求加強(qiáng)各級(jí)別數(shù)據(jù)的不同稍微安全管理和重點(diǎn)保護(hù)。2023年2月27日，工業(yè)和信息化部辦公廳公布工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)典型案例和成效突出地區(qū)，確定29個(gè)工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)典型案例和5個(gè)試點(diǎn)成效突出地區(qū)，以推動(dòng)全國(guó)各地區(qū)數(shù)據(jù)安全管理工作。2023年3月，證監(jiān)會(huì)發(fā)布《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》,對(duì)網(wǎng)絡(luò)和信息安全管理提出規(guī)范要求，明確提出建立健全投資者個(gè)人信息保護(hù)體系和管理機(jī)制。2023年7月24日，為加強(qiáng)中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理，央行發(fā)布《中國(guó)人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》),并向社會(huì)公開征求意見。工業(yè)和信息化領(lǐng)域和金融領(lǐng)域作為率先推動(dòng)數(shù)據(jù)安全管理工作的行業(yè)，為其他行業(yè)的數(shù)據(jù)安全管理工作推動(dòng)起著積極的影響作用。(四)我國(guó)數(shù)據(jù)跨境安全治理體系持續(xù)完善，數(shù)據(jù)出境安全評(píng)估制度已成功落地2023年2月24日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》,自2023年6月1日起施行。該辦法為個(gè)人信息處理者向境外提供個(gè)人信息的活動(dòng)提供了規(guī)范指引，對(duì)《個(gè)人信息保護(hù)法》中“個(gè)人信息跨境提供規(guī)則”進(jìn)行細(xì)化落實(shí)，成為數(shù)據(jù)跨境安全治理體系中的重要一環(huán)。為為了指導(dǎo)和幫助個(gè)人信息處理者規(guī)范、有序備案?jìng)€(gè)人信息出境標(biāo)準(zhǔn)合同，國(guó)家互聯(lián)網(wǎng)信息辦公室編制了《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南(第一版)》,對(duì)個(gè)人信息出境標(biāo)準(zhǔn)合同備案方式、備案流程、備案材料等具體要求作出了說(shuō)明。在數(shù)據(jù)出境安全評(píng)估方面，自《數(shù)據(jù)出境安全評(píng)估辦法》施行，各地區(qū)快速開展數(shù)據(jù)出境安全評(píng)估工作。2023年1月18日，北京市首都醫(yī)科大學(xué)附屬北京友誼醫(yī)院與荷蘭阿姆斯特丹大學(xué)醫(yī)學(xué)中心合作研究項(xiàng)目取得數(shù)據(jù)合規(guī)出境重要突破，完成全國(guó)首個(gè)數(shù)據(jù)合規(guī)出境案例，而后多地多個(gè)行業(yè)的案例陸續(xù)落地，為后續(xù)的數(shù)據(jù)出境安全評(píng)估工作打下了有力基礎(chǔ)。山數(shù)據(jù)交易監(jiān)控情況山數(shù)據(jù)交易監(jiān)控情況Tor、Freenet、ZeroNet等地下網(wǎng)絡(luò)空間，以及BTC、XMR等加密貨幣的匿名性改變了黑客地下市場(chǎng)生態(tài)。這些技術(shù)的匿名性為黑客提供了天然的保護(hù)傘，讓黑客可以在更靈活和安全的平臺(tái)環(huán)境下交流與合作。從監(jiān)控?cái)?shù)據(jù)來(lái)看，黑客市場(chǎng)非法交易規(guī)模逐年增大。隨著數(shù)字經(jīng)濟(jì)推動(dòng)和加密貨幣的發(fā)展，越來(lái)越多的黑客在利益驅(qū)動(dòng)下實(shí)施非法交易。在我國(guó)的網(wǎng)絡(luò)監(jiān)管打擊下，網(wǎng)絡(luò)非法交易場(chǎng)所主要轉(zhuǎn)移到了境外社交平臺(tái)、境外黑客論壇市場(chǎng)以及暗網(wǎng)交易市場(chǎng)中。其它類別21.05%惡意軟件0.22%技術(shù)知識(shí)18.95%黑客服務(wù)0.30%—圖3-1黑灰產(chǎn)交易情報(bào)類型分布深信服千里目安全技術(shù)中心對(duì)黑灰產(chǎn)交易市場(chǎng)(包括境外社交平臺(tái)、黑客論壇市場(chǎng)以及暗網(wǎng)市場(chǎng))進(jìn)行監(jiān)控發(fā)現(xiàn)，2023年1至5月新增約89753條涉及我國(guó)的交易情報(bào)，這些情報(bào)的交易類型分布如圖3-1所示，其中數(shù)據(jù)權(quán)限的交易類型占比高達(dá)58.61%,是黑灰產(chǎn)市場(chǎng)中最主要的交易內(nèi)容，其中主要包括重要賬號(hào)憑證、API接口權(quán)限、網(wǎng)絡(luò)訪問(wèn)權(quán)限、個(gè)人敏感信息、企業(yè)隱私數(shù)據(jù)等等，該類型情報(bào)具有明顯的高價(jià)值特點(diǎn)，是黑客進(jìn)行數(shù)據(jù)竊取的主要原因。 重要數(shù)據(jù)泄露發(fā)現(xiàn)渠道分布深信服千里目安全技術(shù)中心持續(xù)監(jiān)控黑灰產(chǎn)交易市場(chǎng)，對(duì)其中高價(jià)值情報(bào)進(jìn)行快速發(fā)現(xiàn)和分析，2023年上半年累計(jì)發(fā)現(xiàn)涉及我國(guó)的重要數(shù)據(jù)泄露事件一百多起，針對(duì)其中事件發(fā)現(xiàn)渠道進(jìn)行統(tǒng)計(jì)分析，如圖3-2所示，境外黑客論壇泄露數(shù)量占比高達(dá)43%,主要是BreachedForums論壇；中文暗網(wǎng)交易市場(chǎng)以售賣我國(guó)歷史泄露數(shù)據(jù)為主，上半年在預(yù)警事件中的來(lái)源占比為41%;Telegram頻道中主要以傳播以上兩個(gè)渠道已泄露的數(shù)據(jù)居多，首發(fā)來(lái)源于Telegram的數(shù)量偏少，但價(jià)值會(huì)普遍偏高。從泄露數(shù)據(jù)影響程度和真實(shí)性綜合評(píng)估來(lái)看，三個(gè)來(lái)源的情報(bào)重要性呈現(xiàn)趨勢(shì)為，黑客論壇>=Telegram>中文暗網(wǎng)交易市場(chǎng)。圖3-2我國(guó)重要數(shù)據(jù)泄露事件發(fā)現(xiàn)渠道分布88重要數(shù)據(jù)泄露影響行業(yè)分布根據(jù)深信服千里目安全技術(shù)中心2023年上半年監(jiān)測(cè)發(fā)現(xiàn)，重要數(shù)據(jù)泄露事件影響行業(yè)分布占比由高到低分別為政府、企業(yè)、教育、醫(yī)療和運(yùn)營(yíng)商，如圖3-3所示，政府和教育行業(yè)一直是數(shù)據(jù)泄露的重災(zāi)區(qū)，2023年上半年這兩個(gè)行業(yè)數(shù)據(jù)泄露占比高達(dá)60%?！鰣D3-3我國(guó)重要數(shù)據(jù)泄露事件影響行業(yè)分布重點(diǎn)數(shù)據(jù)泄露事件分析重點(diǎn)數(shù)據(jù)泄露事件分析大量個(gè)人地址泄露個(gè)人信息是最具價(jià)值的數(shù)據(jù)，也是當(dāng)前泄漏最嚴(yán)重的數(shù)據(jù)類型。其中，今年個(gè)人地址泄露事件引發(fā)廣泛關(guān)注，涉及大量地址數(shù)據(jù)的快遞物流行業(yè)的數(shù)據(jù)安全問(wèn)題引起重視，其信息查詢的上下游供應(yīng)鏈復(fù)雜，安全能力參差不齊，使得數(shù)據(jù)安全的保障難上加難。 接口濫用導(dǎo)致敏感數(shù)據(jù)泄露API接口濫用是當(dāng)前各行業(yè)數(shù)據(jù)泄露的最主要原因。在上半年觀察到多起黑客利用開放接口提供非法數(shù)據(jù)查詢服務(wù)或非法爬取數(shù)據(jù)進(jìn)行售賣的數(shù)據(jù)泄露事件。大量黑客緊盯政務(wù)、醫(yī)療、教育等公共服務(wù)行業(yè)對(duì)外提供的服務(wù)接口，通過(guò)利用API接口的安全漏洞，編寫調(diào)用程序和爬取程序獲取接口返回?cái)?shù)據(jù)達(dá)到獲取敏感數(shù)據(jù)的目的。 黑客論壇中的數(shù)據(jù)泄露黑客論壇是黑客活動(dòng)和交流的主要根據(jù)地，黑客在攻擊目標(biāo)單位并竊取數(shù)據(jù)之后往往會(huì)將成果掛在黑客論壇中進(jìn)行售賣，在獲取經(jīng)濟(jì)利益的同時(shí)還能通過(guò)此行為在黑客論壇中打造名氣和排名，形成了一個(gè)黑客活動(dòng)社群。今年據(jù)觀察發(fā)現(xiàn)，黑灰產(chǎn)市場(chǎng)的動(dòng)蕩影響著數(shù)據(jù)泄漏事件的發(fā)生，論壇運(yùn)營(yíng)者通過(guò)公開泄露黑客們關(guān)注的數(shù)據(jù)來(lái)進(jìn)行宣傳和競(jìng)爭(zhēng)，使得泄露數(shù)據(jù)的事件頻繁發(fā)生，其中多次泄露數(shù)量高達(dá)上億條。黑客論壇發(fā)展態(tài)勢(shì)黑客論壇發(fā)展態(tài)勢(shì)BreachForums是2022至2023年期間的頂級(jí)黑客論壇。2022年3月，在RaidForums下線三周后，在BreachForums是2022至2023年期間的頂級(jí)黑客論壇。2022年3月，在RaidForums下線三周后，在 流行黑客論壇流行黑客論壇2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告該論壇為2023年4月成立的一個(gè)新的黑客論壇，其名稱類似于2022年4月關(guān)閉的RaidForums論壇，但沒(méi)有跡分。自2023年4月9日上線以來(lái)，截至目前，論壇已累計(jì)會(huì)員1725人。該論壇于2023年6月12日出現(xiàn)，其名稱類似于2023年3月關(guān)閉的BreachForums網(wǎng)站并且其架構(gòu)也一模2022年的活MalaslockCLOPPLAYBBASEMedusaTOP 勒索團(tuán)伙數(shù)據(jù)泄露數(shù)量趨勢(shì)的共31起，2023年上半年勒索團(tuán)伙數(shù)據(jù)泄露數(shù)量趨勢(shì)如圖3-4,其總量與2022年同比增長(zhǎng)約62.5%。 新活躍多重勒索團(tuán)伙CLOP勒索軟件于2019年初出現(xiàn)，與TA505威脅組織相關(guān)。2021年6月，烏克蘭、韓國(guó)和美國(guó)執(zhí)法機(jī)構(gòu)聯(lián)手逮2023年上半年網(wǎng)絡(luò)安全觀察報(bào)告2023年5月，8BASE勒索團(tuán)伙密集泄露67名受害者數(shù)據(jù)，體現(xiàn)出較為突出的高活躍度，在2023上半年總共攻數(shù)據(jù)安全態(tài)勢(shì)小結(jié)●APT●APT攻擊活動(dòng)態(tài)勢(shì)●APT攻擊流行技術(shù)趨勢(shì)●典型APT攻擊事件●APT攻擊態(tài)勢(shì)小結(jié)CoCoAPT攻擊活動(dòng)態(tài)勢(shì)APT組織攻擊總體態(tài)勢(shì)2023年上半年，根據(jù)深信服千里目安全技術(shù)中心檢測(cè)發(fā)現(xiàn)南亞、東亞、東歐地區(qū)的APT組織尤為活躍。南亞地區(qū)APT組織以CNC、BITTER(蔓靈花)、Patchwork(白象)、Conficius(摩羅杪)、SideWinder(響Donot(肚腦蟲)為代表持續(xù)對(duì)中國(guó)、巴基斯坦等南亞周邊國(guó)家進(jìn)行長(zhǎng)期竊密的攻擊活動(dòng)。其中CNC、BITTER、Patchwork組織活動(dòng)在2023年上半年尤為頻繁猖獗，這幾個(gè)APT組織很多方面信息存在著交叉，包括但不限于基礎(chǔ)設(shè)施、攻擊手法與戰(zhàn)術(shù)、相似樣本等，不排除這些組織背后存在一定關(guān)聯(lián)性。其目標(biāo)行業(yè)主要集中在教育、航空工業(yè)、科研單位、軍工、政府等行業(yè)。東亞地區(qū)以地緣政治為主要因素的綠斑是活躍APT組織代表，其保持長(zhǎng)期對(duì)我國(guó)進(jìn)行定向釣魚攻擊，持續(xù)對(duì)我國(guó)軍工、科研教育、航空航海等技術(shù)情報(bào)進(jìn)行竊取。除此之外，Lazarus和Kimsuky對(duì)我國(guó)的攻擊傾向較弱，其重點(diǎn)目標(biāo)在美國(guó)、日本、韓國(guó)等地。東歐地區(qū)持續(xù)受俄烏戰(zhàn)爭(zhēng)影響，APT攻擊一直保持高度活躍狀態(tài)。俄羅斯背景的APT組織持續(xù)對(duì)烏克蘭地區(qū)的關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行打擊，在情報(bào)竊取上，重點(diǎn)傾向在外交情報(bào)上。除以上三個(gè)地區(qū)外，來(lái)自北美的APT攻擊一直保持對(duì)全球范圍的攻擊，在今年上半年俄羅斯披露美國(guó)情報(bào)機(jī)構(gòu)利用蘋果設(shè)備對(duì)其俄羅斯境內(nèi)數(shù)千部手機(jī)進(jìn)行情報(bào)竊取，其中還包括俄羅斯外交官員，此外包括以色列、敘利亞和中國(guó)都在此次監(jiān)控范圍內(nèi)。2023年上半年，深信服千里目安全技術(shù)中心監(jiān)測(cè)到了大量疑似南亞地區(qū)APT組織的相關(guān)攻擊活動(dòng)，活躍組織包括CNC、BITTER(蔓靈花)、Patchwork(白象)、Conficius(摩羅杪)、SideWinder(響尾蛇)、Donot(肚腦蟲)等，其中CNC、BITTER、Patchwork組織活動(dòng)尤為頻繁猖獗，這幾個(gè)APT組織很多方面信息存在著交叉，包括但不限于基礎(chǔ)設(shè)施、攻擊手法與戰(zhàn)術(shù)、相似樣本等，不排除這些組織背后存在一定關(guān)聯(lián)性。其目標(biāo)行業(yè)主要集中在教育、航空工業(yè)、科研單位、軍工、政府等行業(yè)，各個(gè)活躍組織側(cè)重目標(biāo)稍有不同。值得注意的是近期高度活躍的南亞APT組織活動(dòng)均出于竊密動(dòng)機(jī)，表4-1是2023上半年南亞高度活躍APT的組織基本信息。目標(biāo)平臺(tái)航空航天、水利、中國(guó)、巴基斯坦、菲律賓、印度尼西亞間諜行為、數(shù)據(jù)竊取白象政府、外交、軍事、電力中國(guó)、巴基斯坦間諜行為、數(shù)據(jù)竊取目標(biāo)平臺(tái)政府，航空航天，科研機(jī)構(gòu)，軍隊(duì)，國(guó)防，核工業(yè)，海運(yùn)，中國(guó)、巴基斯坦、孟加拉國(guó)、沙特阿拉伯、新加坡、馬來(lái)西亞、斯里蘭卡、尼泊爾間諜行為、數(shù)據(jù)竊取■表4-12023上半年南亞活躍APT組織信息CNC組織最早于2019年被發(fā)現(xiàn)，因其使用的遠(yuǎn)程控制木馬的PDB路徑信息中包含的"cncclient",該組織被命名為CNC。該組織主要針對(duì)軍工、教育、科研機(jī)構(gòu)及航空航天等行業(yè)進(jìn)行攻擊，竊取該類單位的高新技術(shù)研究資料或規(guī)劃信息等，并且該組織疑似與南亞APT組織Patchwork(摩訶草、白象)存在一定關(guān)聯(lián)。2023年上半年，在攻擊目標(biāo)上，CNC頻繁向境內(nèi)科研院所、航空航天、教育行業(yè)發(fā)起攻擊，其中包括某具有一流科學(xué)家和科技隊(duì)伍的國(guó)立科研機(jī)構(gòu)、重點(diǎn)實(shí)驗(yàn)室、國(guó)家級(jí)別工程研究中心，以及某雙一流大學(xué)的高新科技專業(yè)實(shí)驗(yàn)室。攻擊載荷上，攻擊者至少使用“學(xué)術(shù)交流”、“科學(xué)研究”或“文章出版”等四種偽裝程度極高的郵件話術(shù)進(jìn)行魚叉式釣魚郵件攻擊，受害者運(yùn)行攻擊者提供的程序后，下載后續(xù)階段遠(yuǎn)控、反彈shell、瀏覽器竊密、文件竊密、U盤擺渡木馬等惡意程序，攻擊者最終可成功竊取、并持續(xù)監(jiān)控受害者機(jī)器上的文檔文件。攻擊手法上，CNC組織在初始打點(diǎn)階段常使用高度定制的魚叉式釣魚攻擊，在代碼執(zhí)行和持久化階段也有諸如反自動(dòng)化分析、證書偽造等大量防御對(duì)抗技巧。白象最早由國(guó)外安全廠商N(yùn)orman披露并命名為Hangover,在2015年的攻擊行動(dòng)被國(guó)外安全廠商Cymmetria披露為Patchwork,2016年其他廠商后續(xù)披露了該組織的詳細(xì)報(bào)告，在國(guó)內(nèi)有“白象”稱呼。其主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊，同時(shí)也會(huì)針對(duì)Android、MacOS系統(tǒng)進(jìn)行攻擊。以魚叉攻擊為主，以少量水坑攻擊為輔，針對(duì)目標(biāo)國(guó)家的政府、軍事、電力、工業(yè)、外交和經(jīng)濟(jì)進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)。2023上半年，白象組織活動(dòng)大多集中在我國(guó)境內(nèi)中部地區(qū)，攻擊目標(biāo)上，對(duì)多個(gè)涉及水利、航空等專業(yè)的高等院校發(fā)起魚叉式釣魚攻擊。攻擊者疑似先攻擊了某大型水利集團(tuán)，竊取了其內(nèi)部相關(guān)信息和物料，然后再使用包括招聘信息、職場(chǎng)性騷擾事件通報(bào)、年度專項(xiàng)項(xiàng)目申報(bào)在內(nèi)的多個(gè)主題的釣魚郵件，向高校內(nèi)投遞了大量釣魚郵件。除此之外該組織還對(duì)某政府氣象機(jī)關(guān)單位發(fā)起攻擊，竊取了大量相關(guān)數(shù)據(jù)。攻擊手法和工具上，白象常使用魚叉攻擊對(duì)目標(biāo)進(jìn)行打點(diǎn)攻擊，在近期監(jiān)控到的攻擊活動(dòng)中發(fā)現(xiàn)有大量針對(duì)中國(guó)的定制化攻擊工具，同時(shí)該組織對(duì)以往披露的BADNEWS攻擊組件也有一定程度的更新，不斷加強(qiáng)其竊密、反分析及反取證能力。BITTER組織，又被稱“蔓靈花”、“APT-C-08”、“T-APT-17”以及“苦象”,是一個(gè)針對(duì)中國(guó)、巴基斯坦以及孟加拉等國(guó)家的APT組織。最早由國(guó)外安全廠商Forcepoint于2016年披露其針對(duì)巴基斯坦官員進(jìn)行網(wǎng)絡(luò)間諜攻擊，通過(guò)進(jìn)一步分析，發(fā)現(xiàn)該組織于更早的時(shí)間2013年就開始進(jìn)行了網(wǎng)絡(luò)攻擊，各個(gè)安全公司以及安全團(tuán)隊(duì)分析得出其為印度背景的APT組織。在此后多年，BITTER組織常對(duì)中國(guó)、巴基斯坦等國(guó)家發(fā)起網(wǎng)絡(luò)攻擊，常針對(duì)政府(外交、國(guó)防)、核工業(yè)、國(guó)防、軍工、船舶工業(yè)、航空工業(yè)以及海運(yùn)等行業(yè)進(jìn)行攻擊。該組織的歷史活動(dòng)在2016年至2020年都十分活躍，自2020年初COVID-19病毒流行起來(lái)，該組織的活躍程度有所降低，但2021年至2023年該組織頻繁活動(dòng)又有死灰復(fù)燃之勢(shì)。攻擊手法上，自2021年以來(lái)，該組織的攻擊手法一直都沒(méi)有發(fā)生大的變化，其攻擊活動(dòng)基本依賴于社會(huì)工程學(xué)，通過(guò)魚叉攻擊投遞惡意載荷或者進(jìn)行憑證釣魚(主要是郵箱),其針對(duì)國(guó)內(nèi)的魚叉攻擊使用的郵箱賬號(hào)多為竊取或購(gòu)買的126、163郵箱，針對(duì)國(guó)外機(jī)構(gòu)多使用竊取的政府郵箱或gmail郵箱，基本上都是通過(guò)其投遞惡意chm文件，誘導(dǎo)目標(biāo)執(zhí)行該文件創(chuàng)建惡意計(jì)劃任務(wù)下載第二階段載荷，命令行使用字符“A”進(jìn)行混淆，創(chuàng)建計(jì)劃任務(wù)下載執(zhí)行第二階段載荷。攻擊載荷上，該組織投遞的惡意載荷種類較多，存在使用chm文件、遠(yuǎn)程模板注入文檔、Ink文件以及winrar自解壓程序等多種方式。惡意載荷通常使用msi部署或直接下載該組織特有下載器，再通過(guò)下載器下載其他功能組件包括但不限于遠(yuǎn)控、文件竊密組件以及鍵盤記錄器等黑客工具，雖然其攻擊方式依賴社會(huì)工程學(xué)，但還是發(fā)現(xiàn)許多組織或企業(yè)被攻擊成功。2023上半年蔓靈花組織的攻擊目標(biāo)涵蓋政府、航天、核工業(yè)、軍工、船舶、外貿(mào)、教育，涉獵十分廣泛，國(guó)外也有多家廠商對(duì)其攻擊活動(dòng)進(jìn)行了披露。在最新的攻擊活動(dòng)中，監(jiān)測(cè)到其使用新的組件進(jìn)行攻擊，該組織利用DarkAgent開源項(xiàng)目對(duì)遠(yuǎn)控組件進(jìn)行二次修改開發(fā)和混淆，還發(fā)現(xiàn)該組織將開源項(xiàng)目“Lilith”與以往的下載器結(jié)合，以不斷增強(qiáng)攻擊組件的反分析能力。此外，上半年在蔓靈花對(duì)巴基斯坦的攻擊中發(fā)現(xiàn)，其攻陷的載荷托管點(diǎn)都為WordPress站點(diǎn)，由此預(yù)測(cè)接下來(lái)蔓靈花組織將會(huì)長(zhǎng)期攻陷目標(biāo)境內(nèi)WordPress站點(diǎn)以部署載荷托管中心。東亞活躍東亞活躍APT組織態(tài)勢(shì)東亞地區(qū)以地緣政治為主要因素以綠斑為活躍代表保持長(zhǎng)期對(duì)我國(guó)的定向釣魚，持續(xù)對(duì)我國(guó)軍工、教育科研、航空航海等技術(shù)情報(bào)進(jìn)行竊取，其手法常年保持釣魚網(wǎng)頁(yè)和郵件攻擊。Lazarus和Kimsuky公認(rèn)具備東北亞政府背景，其對(duì)我國(guó)的攻擊傾向較弱，其攻擊目標(biāo)重點(diǎn)在于美國(guó)、日本、韓國(guó)等地。目標(biāo)平臺(tái)美國(guó)，韓國(guó)，墨西哥，巴西，智利，尼日利亞，加蓬，印度，中國(guó)臺(tái)灣，馬來(lái)西亞間諜行為，網(wǎng)絡(luò)經(jīng)濟(jì)聯(lián)邦，越南，中國(guó)間諜行為政府，航空航天，媒體，醫(yī)療，科研機(jī)舶，能源，外交，軍工，智庫(kù)中國(guó)間諜行為，數(shù)據(jù)竊取，系統(tǒng)破壞■表4-22023上半年南亞活躍APT組織信息Lazarus被公開情報(bào)普遍認(rèn)為具有東亞某國(guó)政府背景，其作為該地區(qū)的一個(gè)龐大APT組織集團(tuán)，其下還存在多個(gè)子組織，進(jìn)行分工協(xié)作。其攻擊目標(biāo)遍及全球，攻擊行業(yè)多種多樣，包括但不限于數(shù)字貨幣、金融機(jī)構(gòu)、IT公司、政府機(jī)構(gòu)以及軍事機(jī)構(gòu)等，其“初始打點(diǎn)”階段主要利用社會(huì)工程技術(shù)，通過(guò)郵件、推特、領(lǐng)英、臉書以及whatsapp等社交媒體向目標(biāo)發(fā)送惡意文件或鏈接，誘導(dǎo)目標(biāo)執(zhí)行惡意文件或引導(dǎo)目標(biāo)至漏洞網(wǎng)站、虛假網(wǎng)站觸發(fā)對(duì)應(yīng)的漏洞利用實(shí)現(xiàn)惡意文件植入。在披露的攻擊活動(dòng)中，Lazarus組織在漏洞積累以及利用方面一直展現(xiàn)出較為先進(jìn)的研究能力，曾利用chrome遠(yuǎn)程代碼執(zhí)行漏洞子“CVE-2022-0609”對(duì)多國(guó)的新聞媒體、IT基礎(chǔ)設(shè)施服務(wù)商進(jìn)行攻擊。在2023年的攻擊活動(dòng)中發(fā)現(xiàn)除了先前被利用的INISAFECrossWebEX和MagicLine4NX之外，還新確認(rèn)了VestCert和TCO!Stream的Oday漏洞被利用，且利用BYOVD技術(shù)進(jìn)行橫向移動(dòng)。除此之外，該組織近年來(lái)緊盯供應(yīng)商，多次利用供應(yīng)鏈攻擊進(jìn)行活動(dòng)，2021年LazarusAPT組織通過(guò)在VS項(xiàng)目中設(shè)置預(yù)構(gòu)建事件命令，進(jìn)行基于軟件開發(fā)工具相關(guān)的供應(yīng)鏈攻擊，目的是為了定向盜取安全研究人員的Oday漏洞等。2023年4月，Mandiant將3CX雙重供應(yīng)鏈攻擊活動(dòng)被歸因?yàn)閁NC4736組織并認(rèn)為該組織與北韓有聯(lián)系，該組織隸屬于Lazarus。2023年7月，GitHub發(fā)現(xiàn)Lazarus利用包含惡意npm依賴項(xiàng)的軟件的GitHub存儲(chǔ)庫(kù)以攻擊加密貨幣、在線賭博和網(wǎng)絡(luò)安全行業(yè)的開發(fā)人員。Lazarus可能會(huì)越來(lái)越多地使用供應(yīng)鏈攻擊以獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限。該組織是比較活躍的東亞組織之一，其又名MysteryBaby、Baby可能為從2012年開始活動(dòng)與東亞某國(guó)政府有關(guān)的APT組織，其與Konni有太大的變化，主要還是采取發(fā)送攜帶“外交”、“安全”、“國(guó)防”、Coin、SmokeScreen、BabySahrk,據(jù)分析其組織疑似存在聯(lián)系，該組織的攻擊手法并沒(méi)“朝鮮核問(wèn)題”以及“統(tǒng)一部”等關(guān)鍵字的惡意附件對(duì)目標(biāo)發(fā)起魚叉攻擊。自2022年10月，該組織被發(fā)現(xiàn)使用移動(dòng)惡意軟件來(lái)攻擊Android設(shè)備并不斷對(duì)移動(dòng)設(shè)備進(jìn)行攻擊，以竊取目標(biāo)信息，并嘗試通過(guò)修改開源RATAndrospy來(lái)避免檢測(cè)，與FastViewer類似的復(fù)雜攻擊向量用于攻擊指定目標(biāo)，并利用現(xiàn)有的開源代碼來(lái)產(chǎn)生高性能變體，Kimsuky組織的移動(dòng)端的攻擊技巧變得越來(lái)越精進(jìn)，因此對(duì)針對(duì)Android智能手機(jī)或設(shè)備的復(fù)雜攻擊保持謹(jǐn)慎非常重要。在2023年5月，Kimsuky組織利用ReconShark新惡意軟件組件開展全球范圍的間諜活動(dòng)繼續(xù)圍繞各種正在進(jìn)行的地緣政治主題。例如，最新的重點(diǎn)關(guān)注中國(guó)和朝鮮之間的核議程。該活動(dòng)主要利用包含指向托管在MicrosoftOneDrive上的惡意文檔鏈接的魚叉式網(wǎng)絡(luò)釣魚電子郵件，分發(fā)ReconShark惡意軟件以感染其目標(biāo)主機(jī)。此外，攻擊者還使用了兩種隱蔽的惡意載荷部署方式，以保持持久性。第一種方法的有效載荷部署涉及編輯與Chrome、Outlook、Firefox或Edge等流行應(yīng)用程序關(guān)聯(lián)的Windows快捷方式文件(LNK)。另一種方法則是通過(guò)將默認(rèn)的MicrosoftOffice模板Normal.dotm替換為托管在C2服務(wù)器上的惡意版本，以便在用戶啟動(dòng)MicrosoftWord時(shí)加載惡意代碼。綠斑，是一個(gè)長(zhǎng)期針對(duì)國(guó)內(nèi)國(guó)防、政府、科技和教育領(lǐng)域的重要機(jī)構(gòu)實(shí)施網(wǎng)絡(luò)間諜攻擊活動(dòng)的APT團(tuán)伙，最早可以追溯到2007年。該組織慣用魚叉式釣魚網(wǎng)絡(luò)攻擊，會(huì)選取與攻擊目標(biāo)貼合的誘餌內(nèi)容進(jìn)行攻擊活動(dòng)，相關(guān)領(lǐng)域包括：海洋(南海、東海、測(cè)繪)、軍工、涉臺(tái)問(wèn)題(兩岸關(guān)系)、中美關(guān)系，慣用的主題包括通知、會(huì)議材料、研究報(bào)告等或是采用攻擊時(shí)間段時(shí)事主題。除了附件投遞木馬外，綠斑還慣用釣魚網(wǎng)站釣魚，竊取目標(biāo)的賬戶密碼，進(jìn)而獲得更多綠斑在初始攻擊環(huán)節(jié)主要采用魚叉式釣魚郵件攻擊，在進(jìn)行攻擊之前，其會(huì)對(duì)目標(biāo)進(jìn)行深入調(diào)研，開展信息搜集。 軟件供應(yīng)鏈攻擊獲取APT攻擊初始權(quán)限 軟件供應(yīng)鏈攻擊獲取APT攻擊初始權(quán)限通過(guò)分析搜集信息，仿冒國(guó)內(nèi)最常使用的社交軟件、郵箱系統(tǒng)(126、163郵箱)、政府機(jī)構(gòu)網(wǎng)站、軍工網(wǎng)站、高等院校等網(wǎng)站等進(jìn)行大規(guī)模釣魚，以此獲取定向群體的精確情報(bào)。在2023年，該組織活躍度對(duì)比2022年稍有減弱，但還是持續(xù)保持著對(duì)我國(guó)的攻擊，通過(guò)持續(xù)購(gòu)買國(guó)內(nèi)郵箱賬號(hào)，從中篩選出具有一定價(jià)值的郵箱賬號(hào)，進(jìn)行擴(kuò)散式釣魚。對(duì)我國(guó)航天、海事、軍隊(duì)、教育、政府機(jī)構(gòu)、多行業(yè)領(lǐng)域?qū)＜页掷m(xù)進(jìn)行郵件釣魚活動(dòng)。東歐活躍東歐活躍APT組織態(tài)勢(shì)2023年上半年，東歐地區(qū)的APT攻擊持續(xù)受俄烏戰(zhàn)爭(zhēng)影響，體現(xiàn)出高強(qiáng)度的攻擊態(tài)勢(shì)。以APT29和Gamaredon為代表的老牌俄羅斯背景APT組織對(duì)烏克蘭方以及支持國(guó)家表現(xiàn)出持續(xù)的攻擊活動(dòng)，表4-3中為2023年上半年?yáng)|歐地區(qū)攻擊活躍APT組織基本信息。目標(biāo)平臺(tái)(戰(zhàn)爭(zhēng)葵花)東歐及中亞地區(qū)間諜行為、數(shù)據(jù)竊取軍事、國(guó)防、教育烏克蘭、美國(guó)、英國(guó)、北約間諜行為，數(shù)據(jù)竊取政府、教育美國(guó)、東歐、北約間諜行為，數(shù)據(jù)竊取■表4-32023上半年?yáng)|歐活躍APT組織信息WarSunflower(戰(zhàn)爭(zhēng)葵花),別名有“APT-LY-1006”、“YoroTrooper”。該組織是在2022及2023年期間出現(xiàn)的新組織，主要針對(duì)東歐及中東、中亞部分國(guó)家進(jìn)行攻擊行動(dòng)，該組織最早攻擊行動(dòng)可追溯到2022年3月份，該時(shí)間接近俄烏戰(zhàn)爭(zhēng)開始時(shí)間(2022年2月),并結(jié)合其攻擊目標(biāo)分析，可初步判斷該組織是由于俄烏戰(zhàn)爭(zhēng)而催生出的網(wǎng)絡(luò)間諜組織。該組織主要活躍于東歐及中亞地區(qū)，將其命名為WarSunflower(戰(zhàn)爭(zhēng)葵花)以代表其產(chǎn)生來(lái)源于俄烏戰(zhàn)爭(zhēng)。2023年上半年該組織主要針對(duì)阿富汗、烏茲別克食堂、哈薩克斯坦的政府部門進(jìn)行釣魚攻擊。在攻擊手法上，除了通過(guò)釣魚竊取郵箱憑證外，該組織還投遞多種木馬對(duì)目標(biāo)進(jìn)行攻擊(主要投遞的載荷為vhdx文件，并且vhdx里包含后門組件或LNK文件下載器及誘餌文件等)。攻擊目的上，該組織可基本確定誕生于俄烏戰(zhàn)爭(zhēng)期間，地緣政治以及戰(zhàn)爭(zhēng)是催生網(wǎng)絡(luò)間諜組織的最主要力量，該組織目的為收集CIS國(guó)家的相關(guān)政府情報(bào)。并且通過(guò)分析該組織的各種組件發(fā)現(xiàn)，在利用工具上，該組織擅長(zhǎng)對(duì)開源項(xiàng)目進(jìn)行改造利用，并未發(fā)現(xiàn)技術(shù)能力較高的自研組件，且其主要打點(diǎn)方式為魚叉攻擊，暫時(shí)未發(fā)現(xiàn)較高水平的打點(diǎn)方式，可初步判定該組織的技術(shù)水平屬于中低水平組織。通過(guò)分析其攻擊目標(biāo)地域、行業(yè)信息以及活躍時(shí)區(qū)以及語(yǔ)言習(xí)慣等，可初步判定該組織活躍在UTC+2至UTC+4區(qū)域，該地域?qū)儆跂|歐及中亞地區(qū)。也被稱為PrimitiveBear組織，該APT組織疑似具有東歐背景，其最早的攻擊活動(dòng)可以追溯到2013年，主要針對(duì)烏克蘭、北約國(guó)家(特別是美國(guó)和英國(guó)),長(zhǎng)時(shí)間以相同組織為目標(biāo)，其行業(yè)目標(biāo)主要集中在國(guó)防和情報(bào)咨詢公司、非政府組織(NGO)和政府間組織(IGO)、智囊團(tuán)和高等教育等，以竊取情報(bào)為目的。在俄烏戰(zhàn)爭(zhēng)中，該組織持續(xù)對(duì)烏克蘭的公共機(jī)構(gòu)和關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了針對(duì)性的網(wǎng)絡(luò)攻擊。其攻擊手法主要是通過(guò)電子郵件、社交媒體和Linkedln帳戶創(chuàng)建偽造身份，并用虛假身份聯(lián)系感興趣的人來(lái)建立融洽的關(guān)系，從而實(shí)施釣魚攻擊。Gamaredon還利用受感染域名，動(dòng)態(tài)DNS提供商，俄羅斯和烏克蘭國(guó)家代碼頂級(jí)域名(ccTLD)以及俄羅斯托管服務(wù)提供商來(lái)分發(fā)其定制的惡意軟件。在2023年上半年，Gamaredon組織頻繁被披露針對(duì)烏克蘭的間諜活動(dòng)，在這些活動(dòng)中觀察到以下幾方面特點(diǎn)，在攻擊目標(biāo)上，其活動(dòng)針對(duì)于國(guó)家安全、軍事和政府組織，攻擊手法上，被觀察到的攻擊手段為網(wǎng)絡(luò)釣魚郵件和仿冒釣魚頁(yè)面來(lái)分發(fā)惡意軟件，并還利用USB的擺渡攻擊來(lái)進(jìn)一步傳播惡意軟件。攻擊工具上，在今年上半年還多次更新工具包，不斷更新基礎(chǔ)設(shè)施，還利用合法服務(wù)作為C2服務(wù)器，如telegram消息服務(wù)。該組織目前歸因于俄羅斯政府情報(bào)組織，APT29至少?gòu)?008年開始運(yùn)作，具有YTTRIUM、TheDukes、CozyDuke、CozyBear、OfficeMonkeys等別名，主要針對(duì)美國(guó)、東歐和北約成員國(guó)的政府、研究機(jī)構(gòu)和智庫(kù)。APT29—直是東歐地區(qū)APT組織中能力較為頂尖的，無(wú)論從微軟報(bào)告的Nobelium事件或SolarWinds事件，該組織一直保持著較高的攻擊能力。2023年4月，APT29針對(duì)北約和歐盟成員國(guó)的外交部門開展了間諜活動(dòng)，活動(dòng)涉及利用了之前未被發(fā)現(xiàn)的惡意軟件，APT29主要通過(guò)向外交職位的特定人員發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件獲取初始訪問(wèn)權(quán)限；2023年4月中旬，APT29攔截了波蘭外交部向各個(gè)大使館發(fā)出的一份宣傳出售位于基輔的二手寶馬轎車的合法傳單，通過(guò)將其嵌入惡意軟件，分發(fā)給了在基輔工作的數(shù)十名外交官。2023年6月，APT29針對(duì)入駐烏克蘭大使館的眾多外交官發(fā)起了網(wǎng)絡(luò)間諜攻擊，這一活動(dòng)直接瞄準(zhǔn)了烏克蘭首都基輔約80個(gè)外國(guó)使團(tuán)中的至少22個(gè)外交官。2023年7月，APT29冒充挪威大使館，分發(fā)了以"邀請(qǐng)-圣盧西亞慶典"為主題的網(wǎng)絡(luò)釣魚電子郵件，且該組織使用了更高級(jí)的策略，包括使用SVGDropper、DLL實(shí)現(xiàn)感染和進(jìn)行C2行為。供應(yīng)鏈攻擊技術(shù)是APT攻擊組織常用的攻擊技術(shù)之一，也是最近一些年APT攻擊組織使用最多的攻擊方式之一，這種攻擊方式主要針對(duì)特定的企業(yè)和用戶進(jìn)行定向攻擊活動(dòng)，并且使用多種多樣的攻擊方式，其中最主流的是軟件供應(yīng)鏈攻擊。軟件供應(yīng)鏈攻擊可以分為基于軟件源代碼、開源軟件第三方包和軟件開發(fā)工具相關(guān)的攻擊方式。其中，基于軟件源代碼的攻擊方式最為隱蔽、危害最大，也是技術(shù)難度最高的一種攻擊方式。而基于開源軟件第三方包和基于軟件開發(fā)工具相關(guān)的攻擊方式相對(duì)容易實(shí)現(xiàn)。近年來(lái)發(fā)現(xiàn)，軟件供應(yīng)鏈攻擊在APT攻擊活動(dòng)中越發(fā)普遍。 開源組件二次開發(fā)以降低APT攻擊成本 BYOVD濫用過(guò)時(shí)驅(qū)動(dòng)以對(duì)抗殺軟確在22年11月的勒索攻擊BackstabBYOVDSpyBoyUNC4736組織利用雙重供應(yīng)鏈攻擊3CX公司2022年UNC4736組織利用雙重供應(yīng)鏈攻擊3CX公司2022年UNC4736組織對(duì)TradingTechnologies公司開發(fā)的X