2023上半年全球主要APT攻擊活動報告-2023.09

2023

年上半年全球主要

APT

攻擊活動報告2023-08雙子座實驗室2023

年上半年全球主要

APT

攻擊活動報告目錄contentsP4 概述P5 APT

組織攻擊數(shù)據(jù)披露P9 重大

APT

攻擊活動P13 總結(jié)P13 附錄01

概述2023

年上半年，天際友盟持續(xù)對

APT

組織及其活動進(jìn)行追蹤總結(jié)，總共披露了全球

100

個

APT

組織的

170

多起攻擊活動，通過對其中出現(xiàn)的威脅組織及TTP的具體分析，我們總結(jié)出2023年上半年APT組織活動攻擊特點如下：地緣政治類攻擊活動顯著增加互聯(lián)網(wǎng)時代的高速發(fā)展使得全球網(wǎng)絡(luò)空間緊密相連。與此同時，隨著國際局勢的緊張變化和網(wǎng)絡(luò)博弈的加劇，2023

年上半年，趨于政治因素的各類

APT

攻擊活動顯著增加。我國已成為

APT

的主要攻擊目標(biāo)從攻擊目標(biāo)來看，我國已成為

2023

年上半年遭受

APT

組織攻擊最多的國家之一，其中來自印度的黑客組織貢獻(xiàn)了絕大部分的攻擊。這一現(xiàn)象表明，我國綜合實力的不斷提升也招致了國外黑客力量的入侵嘗試。微軟漏洞是入侵軟件行業(yè)的主要突破口從攻擊行業(yè)來看，2023

年上半年軟件行業(yè)已上升為除了政府以外的第二大易受黑客組織攻擊的行業(yè)。究其原因，主要是由于軟件行業(yè)產(chǎn)品或服務(wù)漏洞的廣泛存在。而目前微軟作為全球受眾群體最為廣泛的軟件公司，當(dāng)之無愧成為了供應(yīng)鏈攻擊的主要入口。金融領(lǐng)域或?qū)⑥D(zhuǎn)變?yōu)殚g諜攻擊的下一個戰(zhàn)場從未來發(fā)展上看，金融領(lǐng)域作為經(jīng)濟(jì)儲備最為豐富的市場，不僅是出于經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙的絕佳攻擊對象，也是各類

APT

組織為實施間諜攻擊而爭奪資源的下一個網(wǎng)絡(luò)戰(zhàn)場。32023

年上半年全球主要

APT

攻擊活動報告02

APT

組織攻擊數(shù)據(jù)披露天際友盟根據(jù)自有平臺

RedQueen

中記錄的

170

多起

APT

攻擊事件（主要涵蓋知名組織及有影響力的攻擊），對

2023

年上半年

APT

組織攻擊數(shù)據(jù)進(jìn)行披露如下：2.1

Top10

活躍組織2023

年上半年

TOP

10

活躍

APT

組織統(tǒng)計如下：APT-C-35 GamaredonKimsukySideWinder8220

GangLazarusBITTERAPT37Transparent

TribeSideCopy圖

1

2023

年上半年

TOP

10

活躍

APT

組織圖

1

顯示，2023

年上半年，朝鮮

APT

組織

(Kimsuky、Lazarus)活動最為頻繁。來自巴基斯坦的組織

(SideCopy、Transparent

Tribe)

緊隨其后，在與印度組織

(SideWinder)

的網(wǎng)絡(luò)交鋒中表現(xiàn)突出。南亞組織蔓靈花

BITTER

延續(xù)以往活躍狀態(tài)，位列榜單第三。較

2022

年下半年而言，俄羅斯黑客組織

Gamaredon

攻擊頻率則有所下降，下降至第四位。42.2

Top10

攻擊目標(biāo)2023

年上半年

APT

組織攻擊的目標(biāo)國家

TOP

10

統(tǒng)計如下：越南 哥倫比亞土耳其以色列巴基斯坦美國中國印度韓國 烏克蘭圖

2

2023

年上半年

TOP

10

APT

組織攻擊目標(biāo)圖

2

表明，我國顯然已成為

2023

年上半年以來

APT

攻擊活動的最大受害者，印度和烏克蘭也由于地緣政治因素的影響，分別位列易受攻擊地區(qū)的二三位。2.3

Top10

攻擊行業(yè)2023

年上半年

APT

組織攻擊的目標(biāo)行業(yè)

TOP

10

統(tǒng)計如下：制造 醫(yī)療新脧源通信政府互聯(lián)網(wǎng)教育軍工軟件和信息技術(shù)金融圖

3

2023

年上半年

APT

事件攻擊行業(yè)分布

TOP

1052023

年上半年全球主要

APT

攻擊活動報告從圖

3

可以看出，政府部門仍是

APT

組織的首要攻擊對象，軟件和信息技術(shù)行業(yè)也因為其自身存在的各種弱點和漏洞利用機(jī)會，逐漸上升至目標(biāo)攻擊行業(yè)的第

2

名，金融行業(yè)熱度逐漸恢復(fù)，超越軍工行業(yè)，上升至第

3

位。2.4

主要攻擊手段2023

年上半年

APT

組織主要攻擊手段統(tǒng)計如下：勒索軟件水坑攻擊社會工程學(xué)無文件攻擊供應(yīng)鏈攻擊漏洞利用木馬后門釣魚攻擊圖

4

2023

年上半年

APT

組織主要攻擊手段圖

4

顯示，木馬后門、釣魚攻擊、漏洞利用仍是

APT

組織的三大致勝法寶。其中，魚叉式網(wǎng)絡(luò)釣魚攻擊作為提高感染率的關(guān)鍵策略，深受各類

APT

組織的青睞。漏洞利用作為初始滲透的有效手段，依舊發(fā)揮著顯著的效果。下表列出了

2023

年上半年

APT

組織最常用的漏洞列表及其針對的產(chǎn)商及軟件：廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務(wù) 漏洞號CVE-2018-0802CVE-2018-0798Microsoft

O昀?ce微軟（7）CVE-2017-11882CVE-2017-0199Microsoft

WindowsCVE-2022-30190

CVE-2015-2291

CVE-2017-01446廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務(wù) 漏洞號Roundcube

WebmailCVE-2021-44026

CVE-2020-12641

CVE-2020-35730開源（6）GitLab CVE-2021-22205Linux

Polkit CVE-2021-4034ExifTool CVE-2021-22204Veritas

Technologies（3）Veritas

Backup

ExecCVE-2021-27878

CVE-2021-27877

CVE-2021-27876CVE-2022-37042Zimbra（2） Zimbra

Collaboration(ZCS)CVE-2022-27925Progress

Software（1） Progress

MOVEit

Transfer CVE-2023-34362Oracle（1） weblogic

wls-wsat CVE-2017-3506Malwarefox（1） Malwarefox

Anti-Malware CVE-2018-5713Veeam

Software（1） Veeam

Backup

&Replication

(VBR) CVE-2023-27532Apache

Software

Foundation（1） Apache

Log4j CVE-2021-44228Telerik（1） Telerik

UI CVE-2019-18935Realtek（1） Realtek

rtl81xx

SDK CVE-2014-8361SonarSource（1） SonarSource

SonarQube CVE-2020-27986Python

Software

Foundation（1） Python

PIL CVE-2017-8291表

1

2023

年上半年

APT

組織最常用漏洞利用列表根據(jù)表一可以發(fā)現(xiàn)，2023

年上半年，微軟辦公軟件和

Windows

操作系統(tǒng)漏洞在全球范圍內(nèi)最易遭到

APT

組織攻擊，開源軟件市場由于開放性和安全審核的薄弱性特點，位列其后，成為

APT

組織的第二大漏洞利用目標(biāo)。72023

年上半年全球主要

APT

攻擊活動報告033.1

地緣政治活動重大

APT

攻擊活動隨著數(shù)字化程度的提高，大國間的政治博弈已經(jīng)不止步于物理對抗，越來越多的國家抓住網(wǎng)絡(luò)空間這個關(guān)鍵的突破口，借助APT等極具實力的組織之手，操控網(wǎng)絡(luò)空間戰(zhàn)爭，以此爭奪信息優(yōu)勢和戰(zhàn)略利益。其中以朝鮮-韓國、印度-巴基斯坦以及俄羅斯

-

烏克蘭的

APT

攻擊活動最為突出，以下我們將分別介紹各國間的

APT

攻擊概況。3.1.1

朝鮮

-

韓國根據(jù)公開報道的事件，韓國在

2023

年上半年中遭受了來自朝鮮組織的多次網(wǎng)絡(luò)攻擊，其中主要涉及針對政府、媒體行業(yè)的攻擊，這些攻擊通常采用網(wǎng)絡(luò)釣魚和社會工程學(xué)手段，旨在破壞韓國的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、竊取敏感信息。不過，相比朝鮮，韓國

APT

組織被公開披露的攻擊事件卻乏善可陳，這背后的原因或許是韓國組織擁有著極高的隱匿技術(shù)，亦或是韓國雇傭了其它國家的黑客軍隊，又或是某些國家與韓國之間達(dá)成了某種不對外公開的約定也不得而知?？偟膩碚f，2023

年上半年，朝鮮的兩大知名組織

APT37

和

Kimsuky

交替對韓國發(fā)起了一系列的釣魚攻擊。1

月，與朝鮮國家安全部

(MSS)

相關(guān)的

APT37

組織首先恢復(fù)活動，針對韓國個人用戶開展了網(wǎng)絡(luò)間諜活動，期間，APT37還破壞了韓國的

BBS

網(wǎng)站以將其變?yōu)樗麄兊?/p>

C2

基礎(chǔ)設(shè)施。3

月，專注于竊取機(jī)密信息的

Kimsuky

組織通過一個包含惡意腠本的

OneNote

釣魚文件向高麗大學(xué)分發(fā)了惡意軟件。5

月，APT37

又以韓國的”內(nèi)政和外交”、”付款申請表”為主題散布釣魚誘餌文件，部署了

ROKRAT

感染鏈。隨后，Kimsuky

組織通過漏洞利用，在韓國建筑公司的Windows

IIS

Web

服務(wù)器植入了

Meterpreter

后門。6

月，該組織繼續(xù)以

"

生日祝福

"

誘餌文件散播

Quasar

RAT

木馬程序。緊接著，APT37

借助

Ably

實時消息服務(wù)部署了一個新型竊聽惡意軟件

FadeStealer。月末，Kimsuky

通過AppleSeed

后門安裝了

Chrome

遠(yuǎn)程桌面程序，進(jìn)而對韓國的受害主機(jī)實現(xiàn)了系統(tǒng)控制。3.1.2

印度

-

巴基斯坦印度和巴基斯坦之間的網(wǎng)絡(luò)攻擊活動一直是兩國關(guān)系緊張的一部分。2023

年上半年，雙方都被指控進(jìn)行了多次網(wǎng)絡(luò)攻擊，旨在干擾對方的政府機(jī)構(gòu)、軍事設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施。然而從公開報道的事件上來看，印度在這個戰(zhàn)場中目前相對處于劣勢地位。

印度針對巴基斯坦2022

年

11

月下旬至

2023

年

3

月，具有強(qiáng)烈的政治背景的印度響尾蛇（SideWinder）組織利用基于服務(wù)器的多態(tài)性技術(shù)針對巴基斯坦政府發(fā)起了持續(xù)的攻擊。期間，由于國家地緣問題而產(chǎn)生的

DoNot

組織也疑似利用魚叉式釣魚郵件和社會工程學(xué)手段攻擊了巴基斯坦國防部門，進(jìn)而安裝了具備竊取用戶憑證、鍵盤記錄、遠(yuǎn)程命令執(zhí)行等功脧的惡意軟件。85

月，響尾蛇組織通過構(gòu)建由

55

個域名和

IP

地址組成的釣魚網(wǎng)絡(luò)，猛攻了巴基斯坦境內(nèi)的金融、政府和執(zhí)法機(jī)構(gòu)，以及專門從事電子商務(wù)和大眾傳媒的公司。6

月，響尾蛇組織繼續(xù)以巴基斯坦內(nèi)閣部門發(fā)布的安全文件為餌，引誘目標(biāo)用戶下載了

Cobalt

Strike

載荷。

巴基斯坦針對印度2023

年年初，具有巴基斯坦政府背景的

Transparent

Tribe

組織偽裝為印度國防部，投遞了走私情報相關(guān)誘餌郵件。2

月，該組織利用虛假誘餌簡歷投放了

CrimsonRAT，進(jìn)而對中招用戶進(jìn)行了持續(xù)監(jiān)控。此后，模仿印度響尾蛇組織的

SideCopy

組織也發(fā)起反攻，偽裝成安全機(jī)構(gòu)，向印度通信部投遞了

ReverseRAT

后門以達(dá)到信息竊取及遠(yuǎn)程控制的目的。3

月，Transparent

Tribe

持續(xù)發(fā)力，不僅對印度的移動端和

PC

端展開了攻擊，通過偽裝成印度國家獎學(xué)金門戶、印度陸軍福利教育學(xué)會的釣魚頁面竊取了特定用戶信息，還通過捆綁了木馬的

MeetsApp

和

MeetUp

的聊天應(yīng)用程序部署了

Android

CapraRAT

后門，直接影響了多達(dá)

150

名具有軍事或政治背景的受害者。月末，SideCopy

組織又以“飾險及困難津貼的發(fā)放”為誘餌，針對印度國防部開展了釣魚活動。4

月，Transparent

Tribe

開始將其目標(biāo)瞄準(zhǔn)印度教育部門，借助具有教育主題內(nèi)容和名稱的網(wǎng)絡(luò)釣魚電子郵件分發(fā)了武器化的

Microsoft

O昀?ce

文檔，并通過惡意宏或

OLE

嵌入技術(shù)最終投遞了

Crimson

RAT。期間，該組織還借助木馬化的

Kavach

身份驗證工具在印度政府機(jī)構(gòu)中部署了新的

linux

惡意軟件：Poseidon。本月下旬，Sidecopy

組織又向印度組織分發(fā)了其開發(fā)的新木馬

AckRAT。5

月，SideCopy

開始利用印度核武器主題文件作為誘餌針對印度國家軍事研究機(jī)構(gòu)進(jìn)行了魚叉式釣魚攻擊，最終目的是在受害主機(jī)上部署惡意軟件。6

月，該組織繼續(xù)以印度國防、軍事領(lǐng)域為目標(biāo)，通過將惡意樣本托管在一家印度翻譯公司網(wǎng)站上，下發(fā)了新的

C#

后門木馬：FetaRAT。3.1.3

俄羅斯

-

烏克蘭俄烏沖突爆發(fā)以來就一直備受矚目，就

2023

年上半年而言，雙方目前雖在物理戰(zhàn)場中你來我往，打得難舍難分，但在網(wǎng)絡(luò)空間戰(zhàn)場中，俄方組織似乎完全占據(jù)著主導(dǎo)地位，通過魚叉式網(wǎng)絡(luò)釣魚、DDoS

攻擊等手段對烏方的政府、軍隊等重要機(jī)構(gòu)進(jìn)行了間諜和破壞攻擊。2022

年

9

月

-2023

年

1

月，俄羅斯網(wǎng)絡(luò)間諜組織

Turla

利用其他黑客組織此前通過受感染的

USB

驅(qū)動器在烏方系統(tǒng)中植入的

Andromeda

惡意軟件，分發(fā)了偵察程序

KOPILUWAK

和后門

QUIETCANARY。期間，親俄黑客組織NoName057(16)

也對烏克蘭的重要網(wǎng)站發(fā)起了

DDoS

攻擊。2

月，隸屬于俄羅斯主要情報局

(GRU)

的

74455

軍事部隊的

Sandworm

組織借助

5

種擦除器攻擊了烏克蘭的新聞機(jī)構(gòu)

Ukrinform。接著，由俄羅斯國家支持的

Gamaredon

組織通過冒充烏克蘭外交部、安全局，采用多步驟下載方法執(zhí)行了間諜軟件，對烏克蘭的公共機(jī)構(gòu)和關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了針對性的網(wǎng)絡(luò)攻擊。期間，與俄羅斯有關(guān)的Lorec53

間諜組織還在烏克蘭部署了一種新的信息竊取程序：Graphiron。月末，Gamaredon

組織延續(xù)最近的間諜活動，偽裝為烏克蘭政府組織，投遞了魚叉式網(wǎng)絡(luò)釣魚電子郵件，植入了一個適用于

Windows

的

Hoaxshell

后門。3

月，一個較少被披露的親俄

APT

組織

Winter

Vivern

開始將其目標(biāo)已擴(kuò)展至烏克蘭外交部和電信組織，通過創(chuàng)建偽裝為合法的政府域來分發(fā)惡意軟件，以及利用應(yīng)用程序漏洞來破壞特定目標(biāo)。4

月，Gamaredon

繼續(xù)針對烏克蘭對外情報局

(SZRU)

和烏克蘭安全局

(SSU)

等烏克蘭政府實體，利用一個公92023

年上半年全球主要

APT

攻擊活動報告開暴露的

SMTP

服務(wù)器制作和發(fā)送了釣魚郵件。5

月，Sandworm

首先利用未受多因素身份驗證保護(hù)的受損

VPN

帳戶訪問了烏克蘭國家網(wǎng)絡(luò)中的關(guān)鍵系統(tǒng)，最終通過腠本運(yùn)行

WinRAR

歸檔程序擦除了目前機(jī)器的文件。月末，與俄羅斯

GRU

有關(guān)的

APT28

利用多種網(wǎng)絡(luò)釣魚技術(shù)針對烏克蘭民間組織。并且，活動中涉及的大多數(shù)網(wǎng)絡(luò)釣魚網(wǎng)頁都針對了在烏克蘭地區(qū)流行的

UKR.NET

網(wǎng)絡(luò)郵件服務(wù)。6

月，Shuckworm

被曝長期入侵烏克蘭安全部門、軍隊和政府組織，多次試圖訪問和竊取敏感信息，例如有關(guān)烏克蘭軍人死亡的報告、敵人交戰(zhàn)和空襲的報告、軍火庫庫存報告、訓(xùn)練報告等。月末，APT28

破壞了烏克蘭國家的多個組織和政府實體的

Roundcube

電子郵件服務(wù)器，進(jìn)而部署了惡意腠本，以偵察和竊取受害者的

Roundcube地址簿、會話

cookie

以及存儲在

Roundcube

數(shù)據(jù)庫中的其他信息。在以上提到的三個網(wǎng)絡(luò)空間戰(zhàn)場中，我們不難看出這些戰(zhàn)場的地理位置均與中國接壤或臨近，而我國今年上半年也不斷的遭受各大

APT

組織的攻擊。不管是否為巧合，我們都必須提高警惕，密切關(guān)注網(wǎng)絡(luò)空間的攻擊態(tài)勢。接下來我們將重點介紹國內(nèi)

APT

攻擊概況。3.2

國內(nèi)攻擊概況中國作為正在崛起的發(fā)展中國家，無論是經(jīng)濟(jì)實力還是科研力量都在穩(wěn)步提升，因此也一直備受各國黑客組織的關(guān)注。2023

年上半年，不僅有多個高度專業(yè)的知名

APT

組織（響尾蛇、白象、蔓靈花尤為明顯）持續(xù)入侵了我國政府、脧源和科研教育領(lǐng)域，黑產(chǎn)團(tuán)伙也發(fā)起了猛烈的釣魚攻擊，以竊取敏感信息、獲得經(jīng)濟(jì)利益，對我國安全構(gòu)成了嚴(yán)重威脅。具有強(qiáng)烈政治背景的印度黑客組織響尾蛇于

2023

年

2

月開始利用疫情題材對我國高校伸出了爪牙，最終執(zhí)行了偵查和竊密行為。時隔兩月，該國的白象組織再次采用魚叉式網(wǎng)絡(luò)釣魚策略對我國高校和科研機(jī)構(gòu)出手，部署了進(jìn)階的

BADNEWS

遠(yuǎn)控程序。5

月，響尾蛇組織又被監(jiān)測到模仿我國政府、金融組織的域名，誘導(dǎo)用戶下載惡意載荷，進(jìn)一步獲取了敏感信息。2023

年

3

月，南亞

APT

組織蔓靈花偽裝為吉爾吉斯斯坦大使館，向我國核脧行業(yè)的用戶投遞了包含漏洞利用條件的釣魚郵件。4

月，蔓靈花又以項目為由，向我國特定機(jī)構(gòu)分發(fā)了包含惡意軟件的

CHM文件。除了出于獲取政治軍事優(yōu)勢的目的，2023

年

4

月至

6

月期間，也不乏有黑產(chǎn)團(tuán)伙（如主要針對金融領(lǐng)域的谷墮大盜團(tuán)伙）借助國內(nèi)流行的社交媒體應(yīng)用、木馬化的辦公軟件（如企業(yè)微信、WPS、釘釘），傳播了

gh0st、BigWolf

等后門木馬，進(jìn)而竊取了用戶信息以進(jìn)行售賣。3.3

重點行業(yè)攻擊3.3.1

針對政府行業(yè)的攻擊政府行業(yè)作為網(wǎng)絡(luò)對抗中極其重要的對象，在

2023

年上半年中以約

35%

的攻擊率繼續(xù)在

APT

組織重點攻擊行業(yè)榜單中拔得頭籌。這其中的主要貢獻(xiàn)力量不外乎是來自朝鮮與韓國、印度與巴基斯坦、俄羅斯與烏克蘭以及各國針對我國的四大網(wǎng)絡(luò)戰(zhàn)場。10從攻擊策略來看，魚叉式網(wǎng)絡(luò)釣魚是獲取政府行業(yè)初始訪問權(quán)限的最常見的方法。從攻擊目的來看，針對政府行業(yè)的

APT

組織，以竊取敏感信息為主要目的，如俄羅斯

Gamaredon

針對烏克蘭對外情報局

(SZRU)

和安全局

(SSU)開展魚叉式網(wǎng)絡(luò)釣魚活動、巴基斯坦

SideCopy

組織向印度國防、軍事部門投遞

FetaRAT

木馬、印度白象組織向我國相關(guān)單位投遞

BADNEWS

遠(yuǎn)控木馬等；以破壞目標(biāo)系統(tǒng)為次要目的，如俄羅斯組織

Shuckworm

利用數(shù)據(jù)擦除器破壞烏克蘭國家機(jī)構(gòu)數(shù)據(jù)、親俄組織

NoName057(16)

對烏克蘭政府組織網(wǎng)站發(fā)起

DDoS

攻擊等。3.3.2

針對軟件行業(yè)的攻擊軟件行業(yè)由于存在的各種漏洞和供應(yīng)鏈安全問題，在

2023

年上半年的

APT

組織重點攻擊行業(yè)的中以約

15%

的攻擊率位居榜單的第二位。從攻擊策略來看，漏洞利用和供應(yīng)鏈攻擊是針對政府組織的關(guān)鍵入侵手段。其中，最易被針對的漏洞產(chǎn)品供應(yīng)商為微軟

，最常利用的漏洞涉及

CVE-2017-0199、CVE-2017-11882、CVE-2022-30190、CVE-2017-3506、CVE-2021-

22205

等。從攻擊目的來看，針對軟件行業(yè)的

APT

組織，以加密貨幣挖礦為主要目的，如南非黑客組織

Automated

Libra利用限時試用的云平臺資源進(jìn)行挖礦攻擊、8220

Gang

組織利用

VMware

Horizon

服務(wù)器上的

Log4Shell

漏洞

(CVE-

2021-44228)

部署

XMRig

挖礦程序；以間諜攻擊為次要目的，如

Tonto

Team

團(tuán)伙向

Group-IB

員工的投遞自定義后門

Bisonal.DoubleT、FIN7

利用

VBR

漏洞執(zhí)行

PowerShell

腠本

POWERTRASH

等。3.3.3

針對金融行業(yè)的攻擊金融行業(yè)作為經(jīng)濟(jì)資源最為豐富的市場，每年都是各大

APT

組織競相攻擊的對象，相比

2022

年下半年，2023年上半年數(shù)據(jù)顯示，針對金融行業(yè)的攻擊活動占比只增不減，成功以約

11%

的攻擊率進(jìn)入了易受

APT

組織關(guān)注的榜單第三位。從攻擊策略來看，魚叉式網(wǎng)絡(luò)釣魚攻擊依舊是入侵金融行業(yè)的最有效的手段。從攻擊目的來看，針對金融行業(yè)的APT

組織，大多不再純粹以獲取經(jīng)濟(jì)利益為目標(biāo)，而是同時兼具政治動機(jī)實施間諜攻擊，如

DEV-0856

組織在攻擊歐洲金融和保險部門的活動中開始通過受感染的

USB

驅(qū)動器傳播新版本的

Raspberry

Robin

蠕蟲以收集更多的受害者系統(tǒng)數(shù)據(jù)、以信息竊取為動機(jī)的巴基斯坦黑客

Aggah

通過攜帶漏洞的

O昀?ce

誘餌文檔向哥倫比亞稅務(wù)和海關(guān)總局、銀行、財務(wù)部等目標(biāo)分發(fā)遠(yuǎn)控軟件、旨在竊取敏感數(shù)據(jù)的伊朗組織

Tortoiseshell

針對以色列多個金融服務(wù)公司網(wǎng)站發(fā)起水坑攻擊

、經(jīng)常進(jìn)行間諜活動的

Alloy

Taurus

組織開始利用新型

Linux

變體

PingPull

惡意軟件將目標(biāo)擴(kuò)展至金融機(jī)構(gòu)等。112023

年上半年全球主要

APT

攻擊活動報告04

總結(jié)國際環(huán)境日益復(fù)雜的局勢下，地緣政治類攻擊活動正成為大勢所趨，未來或許將會有更多的

APT

組織加入國際政治戰(zhàn)場，APT

組織的攻擊目的也將趨向復(fù)雜化。政府組織作為關(guān)鍵的突破口，會是經(jīng)久不衰的首要攻擊目標(biāo)。各級政府部門、組織及單位應(yīng)當(dāng)關(guān)注自身基礎(chǔ)設(shè)施安全建設(shè)，加強(qiáng)重要數(shù)據(jù)保護(hù)，避免機(jī)密數(shù)據(jù)外泄。軟件行業(yè)因其復(fù)雜性和龐大性，將面臨各種外來攻擊飾險，如何做到有效防范漏洞利用和供應(yīng)鏈攻擊顯得尤為重要。金融領(lǐng)域目前作為獲取經(jīng)濟(jì)利益的主要來源，未來或許也將逐漸轉(zhuǎn)變?yōu)楹诳徒M織為積蓄間諜攻擊力量的儲備資源。天際友盟提醒用戶增強(qiáng)安全意識，加強(qiáng)郵件過濾和反欺詐措施，定時更新和維護(hù)安全軟件，持續(xù)關(guān)注漏洞動態(tài)和安全領(lǐng)域的發(fā)展及變化，積極參與信息共享與合作，通過與其他金融機(jī)構(gòu)、安全專家和政府部門的合作，共同應(yīng)對間諜攻擊威脅。05

附錄時間 APT

事件 組織名稱 攻擊行業(yè)6

月

30

日 MuddyWater

間諜組織新型

C2

框架

PhonyC2

揭秘 MuddyWater 教育6

月

29

日 Kimsuky

組織利用

Chrome

遠(yuǎn)程桌面對韓國發(fā)起攻擊 Kimsuky6

月

29

日 Red

Wolf

偽造俄羅斯電商網(wǎng)頁進(jìn)行攻擊 RedCurl 互聯(lián)網(wǎng)6

月

29

日 Diicot

挖礦組織已成功入侵

600

余臺境內(nèi)設(shè)備 Diicot 互聯(lián)網(wǎng)6

月

28

日 谷墮大盜團(tuán)伙借助國內(nèi)流行工具對企業(yè)用戶發(fā)動水坑攻擊 谷墮大盜 軟件和信息技術(shù)6

月

27

日 Lazarus

組織利用虛假的

ComcastVNC

軟件開展釣魚活動 Lazarus6

月

25

日Muddled

Libra

網(wǎng)絡(luò)犯罪集團(tuán)持續(xù)攻擊

BPO

行業(yè)Muddled

Libra軟件和信息技術(shù)、互聯(lián)網(wǎng)、通信、商業(yè)表

2

2023

年上半年

APT

組織活動時間表12時間 APT

事件 組織名稱 攻擊行業(yè)6

月

23

日 朝鮮組織

APT37

借助

Ably

服務(wù)開展間諜活動 APT376

月

22

日 黑客組織

APT28

入侵烏克蘭政府郵件服務(wù)器 APT28 軍隊、政府6

月

21

日 DeepBlueMagic

組織對以色列醫(yī)療中心發(fā)動勒索攻擊 DeepBlueMagic 醫(yī)療6

月

20

日 CL-STA-0043：針對中東和非洲政府的黑客組織 CL-STA-0043 軍隊、外交機(jī)構(gòu)、政府6

月

20

日 DoNot

組織正在

Google

Play

商店中部署

Android

間諜軟件 APT-C-35 互聯(lián)網(wǎng)6

月

19

日 Kimsuky

組織使用各種標(biāo)題的

CHM文件傳播惡意程序 Kimsuky 互聯(lián)網(wǎng)、金融6

月

19

日 新興的羅馬尼亞黑客組織

Diicot

追蹤 Diicot 互聯(lián)網(wǎng)6

月

16

日 俄羅斯間諜組織

Shuckworm

長期入侵烏克蘭 Gamaredon 軍隊、政府6

月

16

日ChamelDoH：ChamelGang

組織編寫的

DNS-over-HTTPS

通信程序ChamelGang航空航天、政府、脧源6

月

16

日 間諜軟件

GravityRAT

偽裝成通信程序進(jìn)行分發(fā) SpaceCobra 通信6

月

12

日 Asylum

Ambuscade

網(wǎng)絡(luò)犯罪組織揭秘 Asylum

Ambuscade 金融、政府、互聯(lián)網(wǎng)6

月

12

日黑客組織利用

Truebot

部署

Cobalt

Strike

和

FlawedGrace

進(jìn)行數(shù)據(jù)竊取與擦除FIN116

月

9

日 Sidecopy

組織近期活動分析 SideCopy 軍隊、政府6

月

9

日 響尾蛇組織針對巴基斯坦政府的最新攻擊動態(tài)公開 SideWinder 政府6

月

9

日RomCom

組織瞄準(zhǔn)烏克蘭政客以及為在美烏克蘭難民提供救助的美國醫(yī)療機(jī)構(gòu)Tropical

Scorpius醫(yī)療、政府6

月

8

日 TA505

組織利用

MOVEit

漏洞實行勒索活動 TA505 軟件和信息技術(shù)6

月

7

日 TAG-71

組織對亞洲國家和美國的金融機(jī)構(gòu)發(fā)起攻擊 TAG-71 金融6

月

7

日 ITG10

組織疑似針對朝鮮關(guān)注的韓國組織和機(jī)構(gòu) ITG10 媒體、政府、脧源6

月

6

日Kimsuky

組織以

"

生日祝福

"

誘餌文件散播

Quasar

RAT

木馬程序Kimsuky6

月

6

日 Silence

組織正在積極投遞

TrueBot

程序 Silence 軟件和信息技術(shù)6

月

2

日 SharpPanda

組織針對

G20

國家開展網(wǎng)絡(luò)釣魚攻擊活動 SharpPanda 政府6

月

2

日 Camaro

Dragon

組織最新自定義后門

TinyNote Camaro

Dragon 政府6

月

1

日 APT

組織

Dark

Pink

卷土重來，影響

5

名新受害者 Dark

Pink5

月

31

日 Void

Rabisu

組織偽造知名軟件網(wǎng)站部署

RomCom

后門 Tropical

Scorpius 軟件和信息技術(shù)表

2

2023

年上半年

APT

組織活動時間表132023

年上半年全球主要

APT

攻擊活動報告時間 APT

事件 組織名稱 攻擊行業(yè)5

月

29

日 黑客組織

RedBeard

活動披露 RedBeard 金融、工業(yè)、通信、商業(yè)5

月

26

日Kimsuky

組織再次使用定制工具

RandomQuery

進(jìn)行間諜攻擊 Kimsuky社會組織、軟件和信息技術(shù)5

月

26

日 伊朗組織

Tortoiseshell

針對以色列多個網(wǎng)站發(fā)起水坑攻擊 Tortoiseshell 運(yùn)輸、金融5

月

26

日 新

APT

組織

GoldenJackal

攻擊中東和南亞地區(qū)已超四年時間 GoldenJackal 政府5

月

25

日 Patchwork

組織最新攻擊動態(tài)追蹤 WhiteElephant 教育5

月

25

日Volt

Typhoon

組織瞄準(zhǔn)美國關(guān)鍵基礎(chǔ)設(shè)施Volt

Typhoon通信、制造、運(yùn)輸、建筑、政府、軟件和信息技術(shù)5

月

24

日 印尼組織

GUI-vil

利用

AWS

進(jìn)行盈利性的挖礦活動 GUI-vil 通信5

月

24

日 印度白象組織向我國發(fā)起網(wǎng)絡(luò)釣魚攻擊 WhiteElephant 軍隊、政府5

月

23

日 ScarCruft

組織借助付款主題的惡意文檔投遞

RokRat

木馬 APT375

月

23

日 BlueNoro昀昁組織

RustBucket

惡意軟件活動詳情披露 APT385

月

22

日 APT28

利用多種網(wǎng)絡(luò)釣魚技術(shù)針對烏克蘭民間組織 APT28 社會組織5

月

22

日 Kimsuky

組織通過部署

Meterpreter

后門攻擊韓國建筑公司 Kimsuky 建筑5

月

19

日 Lazarus

組織近期針對

IIS

Web

服務(wù)器發(fā)起攻擊 Lazarus 軟件和信息技術(shù)5

月

19

日SideWinder

組織持續(xù)攻擊中國和巴基斯坦實體SideWinder服務(wù)業(yè)、互聯(lián)網(wǎng)、金融、媒體、政府5

月

18

日 Hagga

組織近期針對哥倫比亞的攻擊活動追蹤 Aggah 金融、服務(wù)業(yè)、政府5

月

17

日 8220

Gang

近期活動披露 8220

Gang 軟件和信息技術(shù)5

月

17

日Camaro

Dragon

通過在

TP-Link

路由器中部署惡意植入物攻擊歐洲外交實體Camaro

Dragon政府5

月

16

日 黑客正通過易受攻擊的服務(wù)器竊取韓國制造公司信息 Xiaoqiying

和

Dalbit 制造5

月

16

日Lance昀氁y組織使用定制后門

Merdoor

瞄準(zhǔn)南亞等地區(qū)Lance昀氁y航空航天、教育、運(yùn)營商、政府5

月

12

日 SideCopy

新樣本披露 SideCopy 軍事、政府5

月

11

日 APT

組織

Red

Stinger

攻擊活動披露 Red

Stinger 軍事、交通5

月

9

日 黑客組織

APT37

近期活動及其工具

ROKRAT

感染鏈分析 APT37 媒體、政府5

月

9

日 UAC-0006

組織正積極分發(fā)

SmokeLoader

惡意軟件 UAC-00065

月

9

日 SideWinder

組織針對巴基斯坦政府的最新活動追蹤 SideWinder 政府表

2

2023

年上半年

APT

組織活動時間表14時間 APT

事件 組織名稱 攻擊行業(yè)5

月

6

日 SideCopy

利用印度核武器主題文件作為誘餌進(jìn)行釣魚攻擊 SideCopy 軍工5

月

6

日 疑似黑客組織

TA569

的近期活動分析 TA5695

月

6

日1877

Team：一個正在崛起的伊拉克黑客組織1877

Team政府、軟件和信息技術(shù)、教育、通信、軍隊5

月

6

日 Kimsuky

組織在全球范圍內(nèi)部署新偵察工具

ReconShark Kimsuky 教育、政府5

月

5

日Earth

Longzhi

組織最新

TTP

追蹤Earth

Longzhi軟件和信息技術(shù)、醫(yī)療、政府、制造5

月

5

日 Dragon

Breath

組織使用雙重

DLL

側(cè)加載技術(shù)逃避檢測 Dragon

Breath5

月

4

日Nomadic

Octopus

組織通過入侵塔吉克斯坦電信運(yùn)營商成功監(jiān)視

18

個實體Nomadic

Octopus公共設(shè)施、通信、政府5

月

4

日 黑客組織

Sandworm

利用

WinRAR

破壞烏克蘭國家機(jī)構(gòu)數(shù)據(jù) Sandworm4

月

28

日 Charming

Kitten

組織近期

BellaCia

惡意軟件活動分析 Charming

Kitten 關(guān)鍵基礎(chǔ)設(shè)施4

月

28

日 Evasive

Panda

組織針對國內(nèi)用戶投遞惡意軟件 Dagger昀氁y 社會組織4

月

27

日 Alloy

Taurus

間諜組織構(gòu)建

PingPull

Linux

變體 Alloy

Taurus 通信、金融、政府4

月

27

日 黑客組織

FIN7

利用

VBR

漏洞攻擊服務(wù)器 FIN7 軟件和信息技術(shù)4

月

26

日Educated

Manticore

組織通過部署

PowerLess

后門瞄準(zhǔn)以色列Educated

Manticore4

月

25

日 APT-LY-1007

組織針對俄羅斯軍隊的攻擊活動分析 APT-LY-1007 軍隊、運(yùn)輸4

月

25

日 BlueNoro昀昁黑客組織使用

RustBucket

攻擊

macOS APT38 軟件和信息技術(shù)4

月

25

日 APT

組織

Tomiris

詳情披露 Tomiris 政府4

月

24

日 Lazarus

組織與

3CX供應(yīng)鏈?zhǔn)录嬖陉P(guān)聯(lián) Lazarus 軟件和信息技術(shù)4

月

23

日 盲眼鷹組織針對哥倫比亞政府開展網(wǎng)絡(luò)釣魚活動 APT-C-36 政府4

月

23

日 Sidecopy

組織新木馬行為披露 SideCopy 軍工、政府4

月

23

日 南亞

APT

組織

Patchwork

攻擊國內(nèi)高校和科研單位 WhiteElephant 教育4

月

21

日 APT36

通過木馬化的

Kavach

工具分發(fā)

Poseido

惡意軟件 Transparent

Tribe 政府4

月

21

日 非洲電信公司遭

APT

組織

Dagger昀氁y入侵 Dagger昀氁y 通信4

月

21

日 疑似前

Conti

成員和

Fin7

組織聯(lián)手開發(fā)新的

Domino

后門 FIN74

月

20

日伊朗黑客組織

Mint

Sandstorm

瞄準(zhǔn)美國關(guān)鍵基礎(chǔ)設(shè)施Charming

Kitten關(guān)鍵基礎(chǔ)設(shè)施、運(yùn)輸、脧源表

2

2023

年上半年

APT

組織活動時間表152023

年上半年全球主要

APT

攻擊活動報告時間 APT

事件 組織名稱 攻擊行業(yè)4

月

20

日 俄羅斯組織

Gamaredon

針對烏克蘭政府開展網(wǎng)絡(luò)釣魚活動 Gamaredon 政府4

月

19

日 8220

Gang

組織借助

Log4Shell

漏洞部署挖礦程序 8220

Gang 脧源、軟件和信息技術(shù)4

月

17

日 CNC

組織最新攻擊動態(tài)揭露 CNC 教育4

月

17

日 Transparent

Tribe

組織利用

Crimson

RAT

攻擊印度教育部門 Transparent

Tribe 教育4

月

14

日 APT

組織

Lazarus

下屬活動集群

DeathNote

追蹤 Lazarus 教育、汽車4

月

14

日 Bitter

組織傳播針對中國機(jī)構(gòu)的

CHM惡意軟件 BITTER4

月

12

日 谷墮大盜團(tuán)伙

gh0st

后門再次更新 谷墮大盜 軟件和信息技術(shù)4

月

12

日 WarSun昀氁ower組織針對

CIS

國家及中亞地區(qū)開展間諜活動 APT-LY-1006 政府、航空航天4

月

11

日 Karakurt

組織及

2022

年相關(guān)活動詳情披露 Karakurt4

月

11

日MuddyWater

和

DEV-1084

組織在勒索軟件活動幌子下實施破壞性攻擊MuddyWater軟件和信息技術(shù)4

月

11

日 UNC4466

組織瞄準(zhǔn)服務(wù)器備份軟件以獲取初始訪問權(quán)限 UNC4466 軟件和信息技術(shù)4

月

10

日 8220

挖礦團(tuán)伙來襲，多家企業(yè)主機(jī)已中招 8220

Gang4

月

7

日 投遞

Gh0st

竊密木馬的黑產(chǎn)團(tuán)伙再增一員 未知4

月

6

日 釣魚團(tuán)伙利用

QQ

及微信傳播惡意木馬 未知4

月

6

日 網(wǎng)絡(luò)間諜組織

Mantis

升級惡意軟件以攻擊巴勒斯坦 APT-C-234

月

3

日 TA473

組織利用

Zimbra

漏洞入侵歐洲政府

Webmail

門戶網(wǎng)站 Winter

Vivern 政府3

月

31

日 雙尾蝎組織再次活躍，通過釣魚網(wǎng)站投遞木馬程序 APT-C-23 軟件和信息技術(shù)3

月

30

日 Kimsuky

組織借助

ADS

隱藏惡意軟件 Kimsuky3

月

30

日 針對

Linux

服務(wù)器的惡意軟件植入物

Mélofée

分析 APT413

月

30

日 朝鮮新黑客組織

APT43

詳情披露 APT43 教育、金融、政府、制造3

月

29

日Earth

Preta

網(wǎng)絡(luò)間諜組織最新

TTP

追蹤Mustang

Panda金融、運(yùn)輸、政府、制造、脧源3

月

27

日 APT

組織

BITTER

針對中國核脧行業(yè)的釣魚活動 BITTER 核脧、脧源3

月

24

日 中東電信運(yùn)營商遭遇網(wǎng)絡(luò)間諜襲擊 APT41 通信3

月

24

日 Kimsuky

組織正利用

OneNote

文件分發(fā)惡意軟件 Kimsuky 教育3

月

24

日 Evilnum

組織針對以色列地區(qū)的攻擊活動分析 Evilnum 金融、互聯(lián)網(wǎng)、通信3

月

23

日 肚腍蟲組織近期攻擊手法披露 APT-C-35 政府表

2

2023

年上半年

APT

組織活動時間表16時間 APT

事件 組織名稱 攻擊行業(yè)3

月

23

日 朝鮮

APT37

組織

TTP

揭秘 APT373

月

22

日 SideCopy

組織針對印度國防部開展釣魚活動 SideCopy 軍隊3

月

21

日 DarkPink

組織襲擊印度尼西亞外交及菲律賓軍事部門 Dark

Pink 軍隊外交機(jī)構(gòu)3

月

20

日 攻擊者利用美國政府

IIS

服務(wù)器漏洞進(jìn)行攻擊 TA1，XE

Group 政府3

月

17

日 親俄

APT

組織

Winter

Vivern

詳情披露 Winter

Vivern 通信、政府3

月

16

日 Saaiwc

組織向印尼政府發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊 Dark

Pink 政府3

月

16

日 YoroTrooper

間諜組織瞄準(zhǔn)獨(dú)聯(lián)體國家 APT-LY-1006 醫(yī)療、政府、脧源3

月

15

日 APT

組織

Tick

攻擊東亞

DLP

軟件開發(fā)商 Tick 軟件和信息技術(shù)3

月

14

日 Dark

Pink

組織利用

KamiKakaBot

襲擊東盟國家政府實體 Dark

Pink 政府3

月

13

日 8220

Gang

組織利用

ScrubCrypt

加密器開展挖礦活動 8220

Gang 軟件和信息技術(shù)3

月

10

日Transparent

Tribe

組

織

通

過

虛

假

聊

天

程

序

植

入

Android

CapraRAT

后門Transparent

Tribe政府、互聯(lián)網(wǎng)3

月

10

日 Kasablanka

組織針對中東、中亞等國實施釣魚攻擊 Kasablanka 政府3

月

10

日 UNC4540

組織利用未打補(bǔ)丁的

SonicWall

設(shè)備開展間諜活動 UNC4540 軟件和信息技術(shù)3

月

9

日 RedEyes

組織偽裝為金融公司投遞

CHM惡意軟件 APT37 金融3

月

8

日 新型僵尸網(wǎng)絡(luò)犯罪團(tuán)伙“落葉飛花”剖析 落葉飛花3

月

8

日 APT-C-56

組織針對印度雙平臺的攻擊組件披露 Transparent

Tribe 軍工、政府3

月

8

日 疑似

Soul

后門來源于

Sharp

Panda

間諜組織 SharpPanda 政府3

月

3

日 Lazarus

組織再次借助某公證軟件

0-Day

漏洞破壞韓國公司 Lazarus3

月

3

日 Mustang

Panda

組織新后門

MQsTTang

剖析 Mustang

Panda 政府3

月

2

日 Iron

Tiger

組織

2022

年活動披露 APT27 娛樂活動3

月

2

日 盲眼鷹組織針對哥倫比亞關(guān)鍵行業(yè)發(fā)起釣魚攻擊 APT-C-36 金融、醫(yī)療、政府3

月

1

日 Black昀氁y間諜組織瞄準(zhǔn)亞洲材料技術(shù)領(lǐng)域 Black昀氁y 制造3

月

1

日 WinorDLL64

后門疑似來自

Lazarus

組織武器庫 Lazarus2

月

28

日 騰云蛇組織

2022

年攻擊活動追蹤 APT-C-61 政府2

月

28

日 Kaiji

僵尸網(wǎng)絡(luò)重現(xiàn)江湖，主導(dǎo)團(tuán)伙曝光 Ares2

月

27

日 SideCopy

組織向印度政府投遞

ReverseRAT

后門 SideCopy 政府表

2

2023

年上半年

APT

組織活動時間表172023

年上半年全球主要

APT

攻擊活動報告時間 APT

事件 組織名稱 攻擊行業(yè)2

月

24

日 新威脅組織

Clasiopa

瞄準(zhǔn)亞洲材料研究單位 Clasiopa 制造業(yè)2

月

24

日 響尾蛇組織利用疫情題材攻擊我國高校 SideWinder 教育、政府2

月

23

日 Hydrochasma

組織以亞洲醫(yī)療和航運(yùn)部門為目標(biāo) Hydrochasma 醫(yī)療、運(yùn)輸2

月

22

日 Gamaredon

組織借助

Hoaxshell

后門再次攻擊烏克蘭 Gamaredon 政府2

月

22

日 Earth

Kitsune

團(tuán)伙通過水坑攻擊植入

WhiskerSpy

后門 Earth

Kitsune2

月

21

日 APT-LY-1006

針對東歐中亞地區(qū)的攻擊活動披露 APT-LY-1006 政府2

月

21

日瘋狂對華實施數(shù)據(jù)竊取的

ATW

組織大揭秘AgainstTheWest軟件和信息技術(shù)、教育、政府2

月

20

日兩個

BEC

組織冒充高管對全球公司進(jìn)行攻擊Mandarin

Capybara

Midnight

Hedgehog2

月

20

日 谷墮大盜針對金融、證券業(yè)的攻擊活動追蹤 谷墮大盜 金融2

月

17

日 新

APT

組織

NewsPenguin

攻擊巴基斯坦軍事單位 NewsPenguin 軍工、政府2

月

17

日 WIP26

間諜組織入侵中東地區(qū) WIP26 通信2

月

16

日 APT37

組織通過

Hangul

EPS

漏洞傳播惡意代碼 APT372

月

16

日黑客組織

Dalbit

詳情披露Dalbit軟件和信息技術(shù)、建筑、制造業(yè)2

月

16

日 Group-IB

近期遭遇

Tonto

Team

團(tuán)伙襲擊 Tonto

Team 軟件和信息技術(shù)2

月

15

日 APT-C-56

利用虛假誘餌簡歷投放

CrimsonRAT