2023年上半年全球主要APT攻擊活動報告

雙子座實驗室contents互聯(lián)網時代的高速發(fā)展使得全球網絡空間緊密相連。與此同時，隨著國際局勢的緊張變化和網絡博弈的加劇，343年上半年全球主要APT攻擊活動報告__________________________），BITTERTransparentTribe)緊隨其后，在與印度組織(SideWind5圖2表明，我國顯然已成為2023年上半年以來APT攻擊活動的最大受害者，印度和烏克蘭也由于地緣政治因6從圖3可以看出，政府部門仍是APT組織的首要攻擊對象，軟件和信息技術行業(yè)也因為其自身存在的各種弱點圖4顯示，木馬后門、釣魚攻擊、漏洞利用仍是APT組織的三大致勝法寶。其中，魚叉式網絡釣魚攻擊作為提高感染率的關鍵策略，深受各類APT組織的青睞。漏洞利用作為初始滲透的有效手段，依舊發(fā)揮著顯著的效果。下783年上半年全球主要APT攻擊活動報告__________________________3.1地緣政治活動隨著數字化程度的提高，大國間的政治博弈已經不止步于物理對抗，越根據公開報道的事件，韓國在2023年上半年中遭受了來自朝鮮組織與朝鮮國家安全部(MSS)相關的APT37組織首先恢復活動，針還破壞了韓國的BBS網站以將其變?yōu)樗麄兊腃2基礎設施。3月，專注于竊取機密信息的Kimsuky組織通過一個包印度和巴基斯坦之間的網絡攻擊活動一直是兩國關系緊張的一部分。2023年上半年，雙方都被指控進行了多次2022年11月下旬至2023年3月，具有強烈的政治背景的多態(tài)性技術針對巴基斯坦政府發(fā)起了持續(xù)的攻擊。期間，由于國家地緣問題而產生的DoNot組織也疑似利用魚叉式釣魚郵件和社會工程學手段攻擊了巴基斯坦國防部門，進而安裝了具備竊取用戶憑證、鍵盤記錄、遠程命令9構，以及專門從事電子商務和大眾傳媒的公司。6月，響尾蛇組織繼續(xù)以巴基斯坦內閣部門發(fā)布的安全文件為餌，引2023年年初，具有巴基斯坦政府背景的TransparentTribe組織偽裝為印度國防部，投遞了走私情報相關誘餌郵件。2月，該組織利用虛假誘餌簡歷投放了CrimsonRAT，進而對印度陸軍福利教育學會的釣魚頁面竊取了特定用戶信息，還通過捆綁4月，TransparentTribe開始將其目標瞄準印度教育部門，借助具有教育主題內容和名稱的網絡釣魚電子郵件分發(fā)了武器化的MicrosoftOffice文檔，并通過惡意宏或OLE嵌入技術最終投遞了CrimsonRAT。期間，該組織還借助木馬化的Kavach身份驗證工具在印度政府機構中部署了新的linux惡意軟件：Poseidon。本月下旬，5月，SideCopy開始利用印度核武器主題文件作為誘餌針對印度國家軍事研究機構進行了魚叉式釣魚攻擊，最終目的是在受害主機上部署惡意軟件。6月，該組織繼續(xù)以印度國防、軍事領域為目標，通過將惡意樣本托管在一家但在網絡空間戰(zhàn)場中，俄方組織似乎完全占據著主導地位，通過魚叉式網絡釣魚、DDoS攻擊等手段聞機構Ukrinform。接著，由俄羅斯國家支持的Gamaredon組織通過冒充烏克蘭外交部、安全局，采用多步驟下載方法執(zhí)行了間諜軟件，對烏克蘭的公共機構和關鍵信息基礎設施進行了針對性的網絡攻擊。期間Lorec53間諜組織還在烏克蘭部署了一種新的信息竊取程序：Graphiron。月末，Gamaredon組織延續(xù)最近的間諜4月，Gamaredon繼續(xù)針對烏克蘭對外情報局(SZRU)和烏克蘭安全局(SSU)等烏克蘭政府實體，利用一個公3年上半年全球主要APT攻擊活動報告__________________________5月，Sandworm首先利用未受多因素身份驗證保護的受損VPN帳戶訪問了烏克蘭國家終通過腳本運行WinRAR歸檔程序擦除了目前機器的文件。月末，與俄羅斯GRU有關的APT28利用多種網絡釣魚技術針對烏克蘭民間組織。并且，活動中涉及的大多數網絡釣魚網頁都針對了在烏克蘭地區(qū)流行的UKR.NET網絡郵6月，Shuckworm被曝長期入侵烏克蘭安全部門、軍隊和政府組織，多次試圖訪問和竊取敏感信息，例如有關烏克蘭軍人死亡的報告、敵人交戰(zhàn)和空襲的報告、軍火庫庫存報告、訓練報告等。月末，APT28破壞了烏克蘭國家的多個組織和政府實體的Roundcube電子郵件服務器，進而部署了惡意在以上提到的三個網絡空間戰(zhàn)場中，我們不難看出這些戰(zhàn)場的地理位置均與中國接壤或也不斷的遭受各大APT組織的攻擊。不管是否為巧合，我們都必須提高警惕，密切關注網絡空間的攻擊態(tài)勢。接下中國作為正在崛起的發(fā)展中國家，無論是經濟實力還是科研力量都在穩(wěn)步提升，因此能源和科研教育領域，黑產團伙也發(fā)起了猛烈的釣魚偵查和竊密行為。時隔兩月，該國的白象組織再次采用魚叉式網絡釣魚策略對我國高校和科研機構出手，部署除了出于獲取政治軍事優(yōu)勢的目的，2023年4月至6月期間，也不乏有黑產團伙（如主要針對金融領域的谷墮大盜團伙）借助國內流行的社交媒體應用、木馬化的辦公軟件（如企業(yè)微信、WPS、釘釘），傳播了gh0st、政府行業(yè)作為網絡對抗中極其重要的對象，在2023年上半年中以約35%的攻擊率繼業(yè)榜單中拔得頭籌。這其中的主要貢獻力量不外乎是來自朝鮮與韓國、印度與巴基斯坦、俄羅從攻擊策略來看，魚叉式網絡釣魚是獲取政府行業(yè)初始訪問權限的最常見的方法。從攻開展魚叉式網絡釣魚活動、巴基斯坦SideCopy組織向印度國防、軍事部門投遞FetaRAT木馬、印度白象組織向我國相關單位投遞BADNEWS遠控木馬等；以破壞目標系統(tǒng)為次要目的，如俄羅斯組織Shuckworm利用數據擦除器軟件行業(yè)由于存在的各種漏洞和供應鏈安全問題，在2023年上半年的APT組織重點攻擊行業(yè)的中以約15%的從攻擊策略來看，漏洞利用和供應鏈攻擊是針對政府組織的關鍵入侵手段。其中從攻擊目的來看，針對軟件行業(yè)的APT組織，以加密貨幣挖礦為主要目的，如南非黑客組織AutomatedLibra金融行業(yè)作為經濟資源最為豐富的市場，每年都是各大APT組織競相攻擊的對象，相比2022年下半年，2023從攻擊策略來看，魚叉式網絡釣魚攻擊依舊是入侵金融行業(yè)的最有效的手段洲金融和保險部門的活動中開始通過受感染的USB驅動器傳播新版本的系統(tǒng)數據、以信息竊取為動機的巴基斯坦黑客Aggah銀行、財務部等目標分發(fā)遠控軟件、旨在竊取敏感數據的伊朗組織Tortoiseshell針對以色列多個金融服務公司網站國際環(huán)境日益復雜的局勢下，地緣政治類攻擊活動正成為大勢所趨，未來或許將會有更多的APT組織加入國際政府部門、組織及單位應當關注自身基礎設施安全建設，加強重要數據保護，避免機密數據外泄。軟件行業(yè)因性和龐大性，將面臨各種外來攻擊風險，如何做到有效防范漏洞利用和供應鏈攻擊顯得尤為重要。金融領域目獲取經濟利益的主要來源，未來或許也將逐漸轉變?yōu)楹诳徒M織為積蓄間諜攻擊力量的儲備資源。天際友盟提醒Kimsuky組織以"生日祝福"誘社會組織、軟件和信息技術GoldenJackal服務業(yè)、互聯(lián)網、金融、政府、軟件和信息技術、軟件和信息技術、醫(yī)療、EducatedManticore組織通過部署PowerL列關鍵基礎設施、運輸、能源BITTERBITTERTick軟件和信息技術、教育、軟件和信息技術、建筑、BITTER新APT組織SaaiwcGroup針對東南亞軍事、財BITTER組織借助Office組件漏洞對孟