奇安信：2023年度全球高級(jí)持續(xù)性威脅（APT）報(bào)告

20222022年高級(jí)持續(xù)性威脅APT）態(tài)勢(shì)報(bào)I軍事等國(guó)家安全領(lǐng)域緊密聯(lián)系起來(lái)。5G、云計(jì)算、物聯(lián)網(wǎng)、工2013年，網(wǎng)絡(luò)安全行業(yè)發(fā)布第一份APT分析報(bào)告。至今，APT分析已走過(guò)十個(gè)年頭，APT網(wǎng)絡(luò)攻擊圖景也在不斷更新迭代。各類APT組織猶如正規(guī)網(wǎng)絡(luò)部隊(duì)之外的“散兵游勇”，組織中國(guó)信息安全測(cè)評(píng)中心長(zhǎng)期跟蹤、研究APT態(tài)勢(shì)，此次聯(lián)源數(shù)據(jù)和公開(kāi)報(bào)道開(kāi)展態(tài)勢(shì)評(píng)估，研判APT組織發(fā)展趨勢(shì)、攻 8 9 20 2.入侵：社交媒體釣魚(yú)持續(xù)盛行，水坑攻 4.橫向移動(dòng)：敏感服務(wù)仍為眾矢之的，CS工 35 36 38 43 44 44 45 47 48 482.Polonium組織善于利用云服務(wù)進(jìn) 48V 50 51 53 54 55 59 6反映網(wǎng)絡(luò)空間格局變化的“晴雨表”與“風(fēng)向標(biāo)”。俄烏沖突作為2022年最為突出的地緣政治事件，激化APT組織形成持續(xù)至今馬未動(dòng)，木馬先行”成為新常態(tài)；在目標(biāo)上，持續(xù)攻擊政府、軍絡(luò)空間代理人戰(zhàn)爭(zhēng)”顯現(xiàn)；在范圍上，影響外溢至其他國(guó)家和地7抗和反溯源技術(shù)；新興APT組織“陰謀”涌現(xiàn)，攻擊危害不容忽視。新老APT組織還利用開(kāi)源工具、設(shè)置假旗、濫用合法憑證5.APT攻防向體系化方向發(fā)展，網(wǎng)絡(luò)空間“對(duì)等打擊”“相互名羞辱”“精準(zhǔn)制裁”等成為美西方網(wǎng)絡(luò)霸權(quán)的新手段，渲染、強(qiáng)8一、2022年全球APT態(tài)勢(shì)圖景2022年，全球APT攻擊數(shù)量再創(chuàng)新高，呈現(xiàn)出全域展開(kāi)、APT是網(wǎng)絡(luò)空間與地緣政治互動(dòng)的產(chǎn)物，APT組織活躍趨年全球APT活動(dòng)進(jìn)入新一輪活躍期。一是攻擊總量增多。根據(jù)國(guó)內(nèi)多家安全廠商的統(tǒng)計(jì)顯示，2022年的APT攻擊總量高于泛。三是攻擊形式多樣。2022年，APT組織攻擊形式有一個(gè)明宣傳部門，還是攻擊致泄露大量個(gè)人信息，部分APT組織正在地緣政治目標(biāo)一直是APT組織任務(wù)的核心，熱點(diǎn)地緣政治9擊激增。俄烏沖突作為近年最典型的地緣事件，成為推動(dòng)2022南亞地區(qū)、東北亞等熱點(diǎn)區(qū)域現(xiàn)實(shí)沖突不斷，網(wǎng)絡(luò)空間的APT攻擊相應(yīng)配合，相關(guān)國(guó)家所涉APT攻擊“高位運(yùn)行”，如圖1所圖1：2022年度APT主要攻擊目標(biāo)國(guó)家分布），圖2：2022年度APT主要攻擊目標(biāo)機(jī)構(gòu)分布部落”（TransparentTribe）等傳統(tǒng)老牌APT組織在2022年持續(xù)圖3：2022年度主要APT攻擊組織分布2022年，全球政治亂象紛呈，大國(guó)博弈趨于白熱，APT攻太戰(zhàn)略》，攪動(dòng)印太局勢(shì)；東北亞和南亞APT組織伺機(jī)而動(dòng)；印度與巴基斯坦APT攻擊持續(xù)高漲；伊朗和以色列之間APT攻俄烏沖突作為2022年最為突出的地緣政治事件，激化APT演著戰(zhàn)場(chǎng)“偵察兵”角色。早至2021年下半年，雙方能源和通信頻低烈”的行動(dòng)增多，攻心為上，以影響對(duì)方輿論場(chǎng)的信息戰(zhàn)行APT攻擊從最早聚焦于軍事目標(biāo)以及關(guān)鍵基礎(chǔ)設(shè)施到后來(lái)拓展國(guó)防部、軍事通信部門以及國(guó)防承包商等涉軍機(jī)構(gòu)成為APT攻斯天然氣、礦業(yè)、金融等重要信息系統(tǒng)等均遭到嚴(yán)重攻擊，“北溪2號(hào)”天然氣管道運(yùn)營(yíng)商就曾因網(wǎng)攻暫時(shí)關(guān)閉網(wǎng)站。此外，俄大信息泄露事件。如，12萬(wàn)參戰(zhàn)俄羅斯軍人個(gè)人信息、俄羅斯銀行1TB的數(shù)據(jù)等。泄露個(gè)人信息是國(guó)家級(jí)沖突影響普通個(gè)體引發(fā)全球關(guān)注，除來(lái)自俄烏兩國(guó)的APT組織，域外國(guó)家、組織甚至個(gè)人或直接或間接參與到?jīng)_突中，現(xiàn)實(shí)國(guó)際關(guān)系中的“區(qū)域戰(zhàn)”演變?yōu)樘摂M網(wǎng)絡(luò)空間的“全體戰(zhàn)”。一方面，國(guó)際性黑客組織對(duì)俄羅斯發(fā)起網(wǎng)絡(luò)攻擊，各類國(guó)際黑客組織相繼發(fā)表立場(chǎng)聲明，意圖“渾水摸魚(yú)”擴(kuò)大聲勢(shì)。如，“匿名者”向俄方宣戰(zhàn)，針對(duì)俄政壓力較大，攻擊數(shù)量多難以追蹤溯源，許多域外國(guó)家APT組織思科、ESET等網(wǎng)絡(luò)安全企業(yè)利用先進(jìn)的遙測(cè)技術(shù)遠(yuǎn)程“勘探”戰(zhàn)場(chǎng)，充當(dāng)網(wǎng)絡(luò)攻防的“軍師”，向?yàn)蹩颂m提出應(yīng)對(duì)措施和建議，并公開(kāi)發(fā)布網(wǎng)絡(luò)安全報(bào)告，持續(xù)披露來(lái)自俄羅斯網(wǎng)絡(luò)攻擊的策略、造俄羅斯在網(wǎng)絡(luò)空間“恃強(qiáng)凌弱”的形象，激發(fā)更多立場(chǎng)傾向明顯四是范圍上，APT影響外溢其他國(guó)家和地區(qū)。隨著隊(duì)”國(guó)家或組織進(jìn)行攻擊。如，俄烏沖突爆發(fā)后，支持烏克蘭的2.東北亞安全局勢(shì)推動(dòng)APT組織“高位運(yùn)轉(zhuǎn)”“半島爭(zhēng)端”由來(lái)已久，朝韓兩國(guó)的APT攻擊淵源頗深，在韓總統(tǒng)尹錫悅改變前任的溫和政策，積極參與“印太經(jīng)濟(jì)框架”事威懾并強(qiáng)化制裁等強(qiáng)硬舉措，直接加劇了東北亞局勢(shì)緊張。為代表的典型APT組織的高活躍度正是對(duì)于該地區(qū)局勢(shì)趨緊的一是半島政治問(wèn)題是熱點(diǎn)誘餌。APT組織一直善于利用能將目標(biāo)延伸至化工和信息技術(shù)相關(guān)部門，以實(shí)疑似來(lái)自韓國(guó)的APT組織“黑店”2利用新的火狐瀏覽器的零日漏印巴沖突持續(xù)數(shù)十年，早已從現(xiàn)實(shí)沖突延伸到網(wǎng)絡(luò)空間。2022年，美國(guó)轉(zhuǎn)向“印太”，明確印度作為“四邊安全對(duì)話”“印太經(jīng)濟(jì)框架”等機(jī)制的重要成員，積極拉攏孟加拉國(guó)略”圈，系列舉動(dòng)打破地區(qū)平衡，刺激巴基斯坦逐漸回歸與印度對(duì)抗的傳統(tǒng)政策?；诖耍绊懳采摺保⊿ideWinder）、“蔓靈花”/apt-trends-report-q2-2022/106995/觀點(diǎn)來(lái)自俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基分析“肚腦蟲(chóng)”（DoNot）至少?gòu)?016年開(kāi)始活躍，主要針對(duì)巴基斯坦、斯里蘭卡、孟加拉國(guó)和一是軍情部門是眾矢之的。在南亞地區(qū)的APT組織中，軍“透明部落”針對(duì)印度軍事人員，“摩訶草”針對(duì)巴基斯坦國(guó)防部，“金剛象”針對(duì)巴基斯坦軍方，均發(fā)起有組織、有政策也會(huì)招致外部APT組織的干擾。如，2022年下半年，巴基斯坦在反恐方面的高調(diào)表現(xiàn)引發(fā)了印度APT組織“摩羅桫”（Confucius）4的關(guān)注，針對(duì)巴基斯坦木爾坦地區(qū)的武裝力量發(fā)起攻擊。二是重要群體成攻擊熱門。為擴(kuò)大攻擊效果，許多APT組間跳板，并選取在特別時(shí)機(jī)開(kāi)展攻擊。如，“蔓靈花”在2022年錯(cuò)綜復(fù)雜的政治局勢(shì)使得中東地區(qū)一直都是APT攻擊的高發(fā)區(qū)，從“震網(wǎng)”到Duqu，網(wǎng)絡(luò)戰(zhàn)在中東儼然成為常態(tài)，在軍事Confucius疑似由印度資助，從2013年開(kāi)始執(zhí)行網(wǎng)絡(luò)攻擊活動(dòng)，戰(zhàn)中的地位越來(lái)越凸顯。中東地區(qū)活躍的APT組織主要包括司展開(kāi)攻擊。重點(diǎn)實(shí)體也逐漸成為主要攻擊目標(biāo)二是直接配合軍事行動(dòng)。2022年，伊朗和以色列沖突多烈病毒（又稱為iLOBleed）正針對(duì)惠普企業(yè)服務(wù)器展開(kāi)攻擊，可從遠(yuǎn)程感染設(shè)施并擦除數(shù)據(jù)。2022年6月，疑似來(lái)自以色列的的APT組織對(duì)伊朗多家鋼鐵制造商實(shí)施三起大規(guī)模攻擊，造成/sophisticated-ilobleed-rootkit-targets-hp-servers/倆”。雖然新冠疫情在全球已近結(jié)束，但是許多APT組織仍在利用公眾恐慌來(lái)開(kāi)發(fā)各種惡意軟件變體，形成獨(dú)具風(fēng)格的“后疫情類攻擊鏈條中，使用帶有新冠疫情主題的電子郵件或惡意鏈接，攻擊維持高位。受疫情影響，部分經(jīng)濟(jì)目標(biāo)導(dǎo)向的APT組織將取錢財(cái)。如，朝鮮黑客組織利用Maui勒索軟件攻擊醫(yī)療保健和/cn/zh/pages/risk/articles/threat-advisory-cybercriminal-activity-織利用Exchange郵件服務(wù)器零日漏洞發(fā)起攻擊；較多公司在疫情期間所使用的AtlassianConfluence軟件被檢測(cè)到漏洞利用情傳統(tǒng)的APT攻擊主要集中于政府、軍工、電力、能源、外當(dāng)一部分對(duì)于經(jīng)濟(jì)訴求較為明顯的APT組織活動(dòng)更趨頻繁，逐標(biāo)，“不僅尋求信息，還追求金錢”7成為當(dāng)前APT組織復(fù)雜性的表現(xiàn)之一。2022年，涉及挖礦軟件、勒索攻擊、竊取加密貨幣勒索加密實(shí)施真實(shí)攻擊的掩護(hù)，也包含APT組織本身以牟利為/about/press-releases/2022_low-level-implants-crypt-geopolitical-attacks-what-apt-actors-g二、我國(guó)是APT主要受害國(guó)我國(guó)面臨的APT網(wǎng)絡(luò)攻擊威脅是全方位的，風(fēng)險(xiǎn)源既有國(guó)家背景的超高能力威脅行為體，如，美國(guó)國(guó)家安全局網(wǎng)攻組織圖4：2022年度受害目標(biāo)涉及中國(guó)的公開(kāi)報(bào)告數(shù)量月度分布2022年針對(duì)中國(guó)的APT攻擊呈現(xiàn)持續(xù)高發(fā)狀態(tài)，國(guó)內(nèi)安全公司公開(kāi)發(fā)布的受害目標(biāo)涉及中國(guó)的活躍組織分析報(bào)告22份，攻擊事件遠(yuǎn)高于公開(kāi)披露數(shù)據(jù)，僅對(duì)我攻擊的APT組織就達(dá)數(shù)表1：針對(duì)我國(guó)的部分APT組織“方程式”隸屬于NSA，其用于針對(duì)我國(guó)內(nèi)目標(biāo)的頂級(jí)后門“Bvp47”、“酸狐貍”漏洞攻擊武器平臺(tái)、“驗(yàn)證器”（Validator）木馬程序、“飲茶”（Suctionchar_Agent）木馬程序等攻擊武器先后被披露BlueNoroff“黑店”“蔓靈花”“海蓮花”“摩訶草”Patchinfecter木馬、Infectedloader“暗象”2022年，我國(guó)大量IP與多個(gè)境外APT組織C2服務(wù)器（Command&ControlServer，遠(yuǎn)控服務(wù)器）發(fā)生通信行為，攻著高于其他時(shí)期，6月份境內(nèi)疑似受控的IP數(shù)量甚至達(dá)到了12月的2倍，如圖5所示。圖5：2022年中國(guó)境內(nèi)疑似受控IP數(shù)量月度分布圖6：2022年每月受控IP數(shù)量與2021年同期對(duì)比圖7：2022年APT組織控制境內(nèi)IP數(shù)量占比及C2服務(wù)器數(shù)量分布非法連接，主要發(fā)起攻擊的APT組織具體占比情況如圖7所示。絡(luò)攻擊，憑借其復(fù)雜的技術(shù)手段，難以窺其全貌。2022年曝光的美國(guó)安局所屬的“方程式”對(duì)我國(guó)內(nèi)重要基礎(chǔ)設(shè)施發(fā)起多起大各APT組織在長(zhǎng)期針對(duì)我國(guó)網(wǎng)絡(luò)攻擊中逐漸“摸清”我重要年5月針對(duì)我國(guó)產(chǎn)化系統(tǒng)的定向攻擊中專門基于我國(guó)產(chǎn)化系統(tǒng)木馬程序8?！澳υX草”在對(duì)我攻擊活動(dòng)中所使用的后門程序在連AgainstTheWest（ATW）黑客組織早期主要針對(duì)SonarQube代碼質(zhì)量管理平臺(tái)進(jìn)行攻擊，在2022年初其攻擊目標(biāo)又?jǐn)U大到我部分APT組織為實(shí)現(xiàn)更深層次的控制和隱蔽，不斷更新迭規(guī)避、繞過(guò)網(wǎng)絡(luò)、主機(jī)等層面檢測(cè)。如，“摩訶草”在2022年的流量層面的隱藏；攻擊載荷中增加對(duì)重點(diǎn)API到我國(guó)目標(biāo)系統(tǒng)的攻擊事件高發(fā)。Log4j作為近兩年來(lái)?yè)?jù)統(tǒng)計(jì)，僅2022年上半年，我國(guó)內(nèi)遭受利用Log4j漏洞的攻擊資料來(lái)源于奇安信威脅情報(bào)中心/s/BXjZ6fE/s/IwcxY3T涉華APT組織重點(diǎn)關(guān)注政府、科研、金融等關(guān)鍵信息基礎(chǔ)圖8：2022年高級(jí)威脅事件涉及境內(nèi)行業(yè)分布情況涉華APT組織在長(zhǎng)期攻擊活動(dòng)中形成一定的行業(yè)傾向，如/news/216220/sonicwall-2022-cyber-threat-report表2：針對(duì)我國(guó)境內(nèi)目標(biāo)的活躍APT組織及其關(guān)注的行業(yè)領(lǐng)域“海蓮花”“毒云藤”“金眼狗”“蔓靈花”“摩耶象”“摩訶草”2022年，中國(guó)境內(nèi)疑似連接過(guò)境外APT組織C2服務(wù)器的IP地址數(shù)量較多的前10個(gè)省份地域如圖9所示?？梢钥闯觯?jīng)濟(jì)發(fā)達(dá)省份和政治中心是境外APT組織重點(diǎn)攻擊的主要目標(biāo)地區(qū)，其中，北京市是APT組織的重點(diǎn)目標(biāo)地區(qū)，其次是廣東、圖9：2022年中國(guó)境內(nèi)疑似受控IP地域分布針對(duì)北京市進(jìn)行攻擊的境外APT組織依然主要來(lái)自我國(guó)周表3：攻擊北京市內(nèi)目標(biāo)的境外APT組織排名1“海蓮花”5“肚腦蟲(chóng)”2“毒云藤”6“金眼狗”37“響尾蛇”4“拉撒路”8“摩訶草”后門部署、網(wǎng)絡(luò)攻擊等活動(dòng)，其中APT是重要手段。2022年曝光的美國(guó)對(duì)我APT攻擊事件中，顯示美對(duì)我開(kāi)展大規(guī)模、長(zhǎng)時(shí)隸屬于美國(guó)的APT組織技術(shù)復(fù)雜、溯源難度大，在針對(duì)目均是潛伏多年的老練APT組織，APT-C-40針對(duì)系列行業(yè)龍頭企業(yè)長(zhǎng)達(dá)十余年時(shí)間的攻擊活動(dòng)12就是美對(duì)我長(zhǎng)期開(kāi)展網(wǎng)絡(luò)情報(bào)刺3.攻擊目標(biāo)“精”要技術(shù)領(lǐng)域，2022年3月份曝光的美國(guó)國(guó)家安全局（NSA）針更加聚焦的攻擊目標(biāo)以及更高級(jí)的手段運(yùn)用也是美國(guó)區(qū)別于其中，美國(guó)各級(jí)別的盟友在攻擊鏈中占據(jù)關(guān)鍵節(jié)點(diǎn)。2022年6月代理服務(wù)器，廣泛分布在日本、韓國(guó)、瑞典、波蘭、烏克蘭等17個(gè)國(guó)家，其中70%位于中國(guó)周邊國(guó)家14?？梢钥闯觯拔逖勐?lián)盟”此類在傳統(tǒng)地緣中結(jié)成的聯(lián)盟在網(wǎng)絡(luò)空間依然聯(lián)結(jié)緊密。美/head/zhaiyao/news202209三、典型手法圖10：APT攻擊流程圖2022年度，APT組織在入侵、執(zhí)行、橫向移動(dòng)、命令控制一方面，大量個(gè)人數(shù)據(jù)泄露成為APT組織開(kāi)展目標(biāo)偵察的不斷增多，預(yù)計(jì)類似上述通過(guò)清洗數(shù)據(jù)確認(rèn)攻擊目標(biāo)的APT偵另一方面，APT組織更為主動(dòng)挖掘目標(biāo)信息。并不滿足于如，有APT組織會(huì)主動(dòng)購(gòu)買商業(yè)化的威脅情報(bào)類數(shù)據(jù)，通過(guò)搜一是借助社交媒體搜索“目標(biāo)獵物”。推特、領(lǐng)英、Discord件，竊取受害者設(shè)備的信息15。此外，攻擊者更為頻繁地滲透特件入侵的手段。如，Phosphorous組織在發(fā)送惡意郵件前，會(huì)首三是巧用流量推廣開(kāi)展水坑攻擊。APT組織正在提高水坑釣魚(yú)的攻擊效率。如，“透明部落”在2022年下半年一次針對(duì)印度政府的活動(dòng)中，搭建一個(gè)偽造Kavach應(yīng)用程序下載頁(yè)面的水/en-us/security/blog/2022/09/29/zinc-weaponizing-open-/research/notice&report/research_report/20221223.html/2022/check-point-research-exposes-an-iranian-phisheting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industr其在反檢測(cè)與繞過(guò)（Bypass）方面的能力。2022年度，APT組一是繞過(guò)技術(shù)創(chuàng)新。繞過(guò)技術(shù)是體現(xiàn)APT組織技術(shù)能力的重要方面。如，“拉撒路”組織使用BYOVD（BringYourOwn區(qū)域18。其他繞過(guò)及代碼執(zhí)行技術(shù)包括：HTML夾帶19、盜取證書簽名等20、鼠標(biāo)懸停觸發(fā)21。另外，側(cè)加載技術(shù)作為一種普遍使用的繞過(guò)攻擊技術(shù)在2022年利用更廣泛，如“響尾蛇”擊者并未將原始python39.dll文件移除替換，而是直接對(duì)該口處，使惡意代碼可以被原始python程序調(diào)用運(yùn)行24。/en/38993//cloaked-ursa-online-storage-services-campaigns//s/K1uBLGqD8kgsIp1yTyYBfwhttps://cluster25.io/2022/05/13/cozy-smuggl/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-gra/s/qsGxZIiTsuI7o-_XmiHLHg/brute-ratel-c4-tool//darkcasino-apt-evilnum/而獲得強(qiáng)大的終端及網(wǎng)絡(luò)檢測(cè)系統(tǒng)的繞過(guò)能力與反檢測(cè)能力。的免殺功能26；“拉撒路”組織也開(kāi)始使用一種由Go語(yǔ)言開(kāi)發(fā)的其強(qiáng)大的運(yùn)行效率和跨平臺(tái)能力，成為HIVE、ALPHV等黑客運(yùn)行的惡意程序。其他新語(yǔ)言木馬還包括：使用Nim語(yǔ)言編寫擬磁盤映像）文件樣本在VT平臺(tái)實(shí)現(xiàn)了免于被查殺的效果/apt-retrospection-lorec53-an-active-russian-hack-group-launched-phishing-attacks-against-geor/blog/threat-intelligence/2022/04/new-uac-0056-activity-theres-a-ghttps://blogs.jpcert.or.jp/en/2022/07/yamabot.html/s/U9LIfVVP5kHBFFt0LN0Q-A/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-old-dogs-new-tric/s/nnLqUBPX8xZ3hCr5u-iSjQ/apt-trends-report-q2-2022/106995/文件”攻擊包括：Kimsuky使用PowerShell執(zhí)行來(lái)自互聯(lián)網(wǎng)的可到寫入文件目的35，該組織還會(huì)通過(guò)SFTP、端口轉(zhuǎn)發(fā)、RDP等方式，利用多憑證實(shí)現(xiàn)多鏈路跳板橫移36。此外，某些情況下受另一方面，CS工具或被逐步替代。長(zhǎng)期以來(lái)，后滲透框架一直是各APT組織在橫向移動(dòng)階段最常用的工具之一。然而，組織開(kāi)始探索該工具的替代品。包括“舒適熊”、FIN12、TA551/s/JEQT3Lv1xoAe0nO7SkrgAA/s/XU2QPzp7weLrrrHCh1XM_A/s/jX8D8d-4q46pKHS0AIVgjw/resources/blog/apt29-windows-credential-roaming/blog/observations-from-the-stellarparticle-campaign//en_us/research/22/a/investigating-apt36-or-earth-karkadda植入定制化木馬程序的方式，使用獨(dú)立的SliverC2服務(wù)器控制的具有較高流程構(gòu)建能力的APT組織開(kāi)始探索將IoT設(shè)備作為跳板的新型攻擊流程。攻擊者首先通過(guò)名為“雙頭龍”和Buni的IoT木馬程序控制大量IoT設(shè)備，再通過(guò)這些IoT設(shè)備進(jìn)行流量轉(zhuǎn)發(fā)，使其成為木馬程序與真實(shí)C2之間的跳板節(jié)點(diǎn)40，被利用年使用了一種將OneDrive作為跳板的KimAPosT木馬程序，能夠通過(guò)讀取指定OneDrive鏈接中的內(nèi)容，決定后續(xù)攻擊方式或/en-us/security/blog/2022/08/24/looking-for-the-sliver-lininerging-command-and-control-/brute-ratel-c4-tool//research/notice&report/research_report/20221202.html者使用的一種名為Graphite的木馬程序可以與指定號(hào)連接，接收該賬號(hào)目錄中的控制指令并返滲出的數(shù)據(jù)。如，DarkPink在其2022年的網(wǎng)絡(luò)攻擊活動(dòng)中廣泛的文件合并為壓縮包，再通過(guò)Telegram接口發(fā)送給攻擊者控制避免在數(shù)據(jù)泄露過(guò)程中遭遇“不可能旅行”（impossibletravel,一種基于通信雙方地理位置判斷異常通信的檢測(cè)技術(shù)）類檢測(cè)。務(wù)器中搭建了NordVPN作為出口，從而使竊密工具能夠連接與/apt-kimsuky-3//en-us/about/newsroom/stories/research/prime-ministers-office-compromise/about/press-releases/2022_low-level-implants/blog/dark-pink-apt/信45。通信信道構(gòu)建方面，“舒適熊”曾利用團(tuán)隊(duì)協(xié)作通信服務(wù)Slack46、Dropbox47等作為C2信道；另外，DNS劫持48、DNS克、波蘭等國(guó)家的網(wǎng)絡(luò)竊密行動(dòng)中使用了朝鮮背景ScarCruft組織的慣用竊密木馬“Konni”，但同時(shí)活動(dòng)中使用的IP地址、服務(wù)運(yùn)營(yíng)商、甚至主機(jī)名均與APT28組織存在歷史數(shù)據(jù)關(guān)聯(lián)情況，使得最終的溯源結(jié)論依然成迷50。另外，印巴雙方網(wǎng)絡(luò)戰(zhàn)持續(xù)焦/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeons-for-data-exfiltration-and-de.it/news/il-malware-envyscout-apt29-e-stato-veicolato-anche-in-italia//cloaked-ursa-online-storage-services-campaigns//blogs/security-research/lyceum-net-dns-backdoor/threat-intelligence/2022/05/apt34-targets-jordan-gove/blog/stiffbizon-detection-new-attack-campaign-observed/2.利用Web服務(wù)隱藏通過(guò)合法Web服務(wù)進(jìn)行雙向通信，利用Web服務(wù)向受感染的系向通信，通過(guò)Web服務(wù)僅向受感染系統(tǒng)發(fā)送命令，而不接收響應(yīng)。Web服務(wù)通常使用SSL/TLS加密，為攻擊者提供更高級(jí)別確保攻擊武器投向真正目標(biāo)用戶。如，Kimsuky在2022年8月），/2022/02/whats-with-shared-vba-code.html合法憑證濫用是APT攻擊中最常用的技術(shù)手段之一，通常/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-al/s/jdMsvLamCD/s/cW2Evf6Nqb3fhQ7ntnKHsA/s/2RluW4O56UWiNSQB2hQtGA各APT組織不僅追求穩(wěn)定、高效的漏洞利用技術(shù)，在漏洞2022年雖與2021年同期披露的APT攻擊利用的零日漏洞的數(shù)量有所減少，但利用數(shù)量仍處于高位。一些攻擊能力較高的組織越來(lái)越多地利用在野漏洞作為初始攻擊媒介。2022年，雖為歷史漏洞，但由于其影響因素及危害程度，仍然是APT組/news/security/hackers-exploit-three-year-old-telerik-flaws-to-APT組織利用的有力工具。2022年上半年曝光的Spring4Shell漏洞依舊是網(wǎng)絡(luò)安全事件的“策源地”，越來(lái)越多的APT組織對(duì)年初檢測(cè)到“迷人小貓”組織正在利用Log4j漏洞進(jìn)行攻擊并在水”使用SysAid應(yīng)用程序中的Log4j2漏洞攻擊以色列組織58。/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular/news/muddywater-targets-log4j-sysaid/四、2022年重點(diǎn)組織概覽擴(kuò)大攻擊面，升級(jí)技術(shù)手段，形成不容忽視的件，以此對(duì)抗安全探測(cè)，增加攻擊活動(dòng)溯源難“海蓮花”61社會(huì)工程學(xué)技巧嫻熟，常用魚(yú)叉攻擊水坑攻擊，擊的APT組織，活動(dòng)可追溯到2007年。分析來(lái)自360高級(jí)威脅研究院相關(guān)重要領(lǐng)域展開(kāi)有組織、有計(jì)劃、不間斷的網(wǎng)絡(luò)攻擊，后擴(kuò)展至柬埔寨、泰國(guó)、老撾、歐CobaltStrikeBeacon的載荷，以此做到免殺62。二是注重同安全特馬作為流量隱藏和跳板長(zhǎng)期控制IoT設(shè)備63。是更新攻擊加密貨幣與區(qū)塊鏈相關(guān)領(lǐng)域的技術(shù)，采用MSI文件力，在其使用的網(wǎng)絡(luò)間諜工具框架META中不斷更新供應(yīng)鏈攻“迷人小貓”66以政治動(dòng)機(jī)和社會(huì)工程學(xué)攻擊而著稱，經(jīng)常將分析來(lái)自知道創(chuàng)宇A(yù)PT威脅情報(bào)團(tuán)隊(duì)分析來(lái)自微步在線APT威脅情報(bào)團(tuán)隊(duì)/apt-trends-report-q2-2022/106995/活動(dòng)可追溯至2012年，攻擊目標(biāo)聚焦于伊朗專家、人權(quán)活動(dòng)人士和媒體人員。網(wǎng)絡(luò)釣魚(yú)用作攻擊媒介。2022年，該組織使用啟用宏的模板文虎和微軟Outlook收件箱67。該組織還被捕獲心理學(xué)原理，將其社會(huì)工程提升到一個(gè)新的水平68?！奥`花”69擅長(zhǎng)利用魚(yú)叉郵件以及系統(tǒng)漏洞網(wǎng)絡(luò)間諜行動(dòng)中分發(fā)安卓間諜軟件Dracarys71。三是增加惡意負(fù)2022年活動(dòng)中的CHM樣本可將同目錄下的PE文件進(jìn)行自復(fù)制實(shí)現(xiàn)持久化并且偽裝成系統(tǒng)文件72，更具隱https://therecord.media/google-says-iranian-group-using-tool-to-download-gmail-yahoo-outlook/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capita/2022/05/bitter-apt-adds-bangladesh-to-their.html/2022/08/09/bitter-apt-group-using-dracarys-android-spyware//dy/article/GTD4AUVO0538B1YX.html會(huì)成為新的受控者。二是Infectedloader木馬，該木馬利用微軟的APT組織。三是Ragnatela木馬，“摩訶草”建立了Ragnatela7.“舒適熊”攜新隱藏工具“回歸”“舒適熊”75擁有出色的滲透能力，在2022年被發(fā)現(xiàn)76在其攻的合法DLL替換為惡意版本,以操縱用戶身份驗(yàn)證證書并修改來(lái)自知道創(chuàng)宇A(yù)PT威脅情報(bào)團(tuán)隊(duì)成員國(guó)的政府部門，常用工具包括各種Windows平/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-tKimsuky77擁有功能完善的惡意代碼武器庫(kù)，慣用社會(huì)工程“響尾蛇”79慣常采用魚(yú)叉攻擊的方式，2022年主要在免殺手組織構(gòu)建的釣魚(yú)網(wǎng)站中會(huì)根據(jù)IP篩選目標(biāo)群體，針對(duì)非目標(biāo)群“污水”80慣常采用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、已知漏洞利用以及多種/kimsukys-golddragon-cluster-and-its-c2-operations/107258/最早于2012年披露，主要針對(duì)巴基斯坦、中國(guó)及其他東南亞國(guó)家的政府、軍事目標(biāo)。Powerstats的變種以及新家族SmallSieve。2022年，“污水”在TTPs上的新動(dòng)向主要是利用“金絲雀令牌”81跟蹤目標(biāo)是否成功“金剛象”（VajraEleph）82是2021年開(kāi)始活動(dòng)的具有印度背 景的APT組織，最初主要以巴基斯坦軍方人員為目標(biāo)開(kāi)展有組并優(yōu)化攻擊武器83?！敖饎傁蟆惫艋顒?dòng)的顯著特點(diǎn)是主要針對(duì)安 Polonium是2022年6月由微軟首次公開(kāi)披露84的APT組織。金絲雀令牌是honey令牌的一個(gè)子集，當(dāng)使用時(shí)，會(huì)觸發(fā)假永遠(yuǎn)不會(huì)被合法的工作人員使用，因此任何使用金絲雀令牌訪問(wèn)資源的嘗/s/xKKr5UV26npohwvyv79U0w/s/103MfZHdQ9lWlM6rSLfqcA/en-us/security/blog/2022/06/02/exposing-polonium-activite-targeting-israeli-orga2022年期間入侵了20余家以色列組織。Polonium在攻擊活動(dòng)中OneDrive賬戶和Dropbox賬戶，分別利用其提供的云計(jì)算資源和云存儲(chǔ)資源，對(duì)受害者執(zhí)行命令和控制，并2022年4月，IBM發(fā)布報(bào)告稱，在東歐發(fā)現(xiàn)了一系列新的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，傳播部署“無(wú)文件”惡意軟件DarkWatchMan。用域生成算法(DGA)來(lái)識(shí)別C2基礎(chǔ)設(shè)施，并用于“無(wú)文件”持新方法。IBM將實(shí)施該網(wǎng)絡(luò)攻擊活動(dòng)的組織命名為Hive0117，“穆倫鯊”是一個(gè)活躍于中東地區(qū)的新型威脅/posts/hive00117-fileless-malware-delivery-eastern-europe/5.Agrius利用VPN服務(wù)進(jìn)行匿名化Agrius組織是2021年5月披露的新組織86，主要利用ProtonVPN匿名訪問(wèn)受害者的系統(tǒng)并部署WebShell，使用的WebShell大多是開(kāi)源惡意軟件ASPXSpy變體。這些WebShell Metador旨在繞過(guò)本地安全解決方案，同時(shí)將MetaMain和/from-wiper-to-ransomware-the-evolution-of-agrius//labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-境，隨后會(huì)在受害者的服務(wù)器上部署新的永久化后門Ljl。它能實(shí)現(xiàn)收集文件和用戶帳戶、加載任意.NET有效負(fù)載、收集系統(tǒng)月新披露的一個(gè)活躍長(zhǎng)達(dá)的十年的威脅組織89。該組織主要針對(duì)其近十年來(lái)一直逃避偵查，用過(guò)時(shí)的鍵盤記錄器和現(xiàn)成的RATDangerousSavanna90是近兩年新出現(xiàn)的針對(duì)非洲法語(yǔ)區(qū)金融機(jī)構(gòu)的APT組織。攻擊者主要使用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)作為初始感/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence//dangerous-savanna-campaign-attacked-african-financial-institutions/染手段，使用Gmail和Hotmail服務(wù)向至少五個(gè)不同法語(yǔ)國(guó)家的DangerousSavanna在受感染的環(huán)境中安裝自有工具，工具基于外，攻擊者善于使用PDF文件引誘用戶下載并手動(dòng)執(zhí)行），露91，其目標(biāo)是中東地區(qū)的石油和天然氣公司。Lyceum曾使用/blogs/security-research/lyceum-net-dns-backdoor五、趨勢(shì)研判俄烏沖突中，多個(gè)國(guó)家級(jí)APT組織在網(wǎng)絡(luò)空間層面扮演了2.上升為政治“籌碼”對(duì)APT攻擊的歸因、調(diào)查、披露等行為的政治意味日益突將更為明顯。未來(lái)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的APT攻在長(zhǎng)期地緣沖突中，APT組織之間、APT組織與安全企業(yè)近年來(lái)，隨著攻擊量不斷增長(zhǎng)，部分APT組織吸收融合其需求。如，活動(dòng)于南亞地區(qū)的Sidecopy組織主要是為對(duì)抗來(lái)自印度的“響尾蛇”（Sidewinder）組織而成立疑似針對(duì)印度國(guó)防部開(kāi)展攻擊，樣本攻擊流程仍然以模仿“響尾共享基礎(chǔ)設(shè)施、惡意軟件編碼、武器庫(kù)在APT組織中日益溯源，還直接參與到APT攻擊的攻防對(duì)抗。如，微軟禁用用于監(jiān)視、網(wǎng)絡(luò)釣魚(yú)和電子郵件收集的帳戶以破壞俄羅斯黑客組織參與到現(xiàn)實(shí)軍事沖突以及APT組織之間的沖突，其自身也正在成為APT組織攻擊的新目標(biāo)，APT組織以攻擊網(wǎng)絡(luò)安全企業(yè)作通過(guò)入侵軟件供應(yīng)商并污染上游軟件代