瑞星-2023中國網(wǎng)絡(luò)安全報告

北京瑞星網(wǎng)安技術(shù)股份有限公司北京瑞星網(wǎng)安技術(shù)股份有限公司北京瑞星網(wǎng)安技術(shù)股份有限公司有差異，請使用方自行辨別，瑞星公司不承擔北京瑞星網(wǎng)安技術(shù)股份有限公司一、惡意軟件與惡意網(wǎng)址 2（一）惡意軟件 2（二）惡意網(wǎng)址 7二、移動安全 8（一）2023年手機病毒概述 8（二）2023年1至12月手機病毒Top5 9（三）2023年手機漏洞Top5 三、企業(yè)安全 （一）2023年重大企業(yè)網(wǎng)絡(luò)安全事件 （二）2023年漏洞分析 26（三）2023年全球APT攻擊事件解讀 31四、勒索軟件 （一）Lockbit 40（二）Medusa 44（三）BlackCat 46（四）Akira/Megazord 48（五）Mimic （六）Qilin/Agenda 五、2024年網(wǎng)絡(luò)安全趨勢預(yù)測 52（一）APT攻擊仍將保持活躍，網(wǎng)絡(luò)釣魚依舊是其主流攻擊方式 52（二）勒索組織開始主攻高價值目標 （三）人工智能技術(shù)的濫用將引發(fā)更多安全問題 （四）攻擊者開始積極利用較新的安全漏洞 （五）針對個人以及企業(yè)內(nèi)特殊崗位的員工的攻擊將會加劇 （六）個人用戶受影響的類“供應(yīng)鏈投毒”事件開始冒頭 專題：人工智能在網(wǎng)絡(luò)安全領(lǐng)域的風險和機遇 一、人工智能帶來的社會問題 二、在網(wǎng)絡(luò)安全領(lǐng)域的風險和機遇 三、總結(jié) 66附：2023年國內(nèi)重大網(wǎng)絡(luò)安全政策法規(guī) 66北京瑞星網(wǎng)安技術(shù)股份有限公司1.2023年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量8,456萬個，病毒感染次數(shù)9,052萬次，病毒總體數(shù)量比2022年同期增長了14.98%。廣東省病毒感染人次為916.36萬次，位列全國第一，其次為山東省及江蘇省，分別為705.18萬次及622.59萬次。.2023年瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本65.59萬個，比2022年上漲了13.24%，感染次數(shù)為19.68萬次；挖礦病毒樣本總體數(shù)量為315.24萬個，比2022年增長了20.78%，感染次數(shù)為21.62萬次。勒索軟件感染人次按地域分析，北京市排名第一，為5.13萬次；挖礦病毒感染人次按地域分析，北京市以3.8萬次位列第一。.2023年瑞星“云安全”系統(tǒng)在全球范圍內(nèi)共截獲惡意網(wǎng)址（URL）總量1.76億個，比2022年增長了88.24%，其中掛馬類網(wǎng)站1.14億個，釣魚類網(wǎng)站6,206萬個。在中國范圍內(nèi)排名第一位為河南省，總量為114.67萬個，其次為香港和江蘇省，分別為98.18萬個和68.21萬個。.2023年瑞星“云安全”系統(tǒng)共截獲手機病毒樣本100.43萬個，比2022年下降了33.95%，病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其中信息竊取類病毒占比35.82%，位居第一。.2023年重大企業(yè)安全事件（26起），其中包括：亞洲兩大數(shù)據(jù)中心遭入侵，國內(nèi)多家頭部企業(yè)數(shù)據(jù)被泄露；知名臺企微星疑遭勒索攻擊，被索要2750萬元巨額贖金；瑞星捕獲疑似國內(nèi)黑客組織傳播病毒證據(jù)；國內(nèi)企業(yè)遭遇竊密木馬釣魚攻擊；美國核研究實驗室遭黑客入侵，數(shù)十萬個人數(shù)據(jù)泄漏等。.2023年CVE漏洞利用率Top10包CVE-2017-17215HG532遠程命令執(zhí)行漏洞；CVE-2017-0147WindowsSMB協(xié)議漏洞MS17-010等；年度最熱漏洞有CVE-2023-38831WinRAR遠程代碼執(zhí)行漏洞；CVE-2023-21768WindowsAncillaryFunctionDriverforWinSock權(quán)限提升漏洞；CVE-2023-32243WordPress插件特權(quán)提升漏洞等。威脅組織BlindEagle；威脅組織Saaiwc；威脅組織SideWinder和威脅組織Patchwork。.2023年勒索軟件分析：在全球范圍內(nèi)，多個知名企業(yè)均遭受過LockBit等勒索組織的攻擊，受害企業(yè)涉及廣泛，涵蓋金融服務(wù)、科技、能源、醫(yī)療、運輸?shù)榷鄠€產(chǎn)業(yè)。瑞星根據(jù)勒索組織的破壞性、威脅性，以及企業(yè)的損失程度，評選出2023年六大勒索軟件，并詳細介紹這些勒索軟件的技術(shù)手段、攻擊手法及相關(guān)勒索事件。.趨勢展望：APT攻擊仍將保持活躍，網(wǎng)絡(luò)釣魚依舊是其主流攻擊方式；勒索組織開始主攻高價值目標；攻擊者開始積極利用較新的安全漏洞；人工智能技術(shù)的濫用將引發(fā)更多安全問題；針對個人以及企業(yè)內(nèi)特殊崗位的員工的攻擊將會加??；個人用戶受影響的類“供應(yīng)鏈投毒”事件開始冒頭。北京瑞星網(wǎng)安技術(shù)股份有限公司2一、惡意軟件與惡意網(wǎng)址（一）惡意軟件1.2023年病毒概述2023年瑞星“云安全”系統(tǒng)共截獲病毒樣本總量8,456萬個，病毒感染次數(shù)9,052萬次，病毒總體數(shù)量比2022年同期增長了14.98%。報告期內(nèi)，新增木馬病毒5,312萬個，為第一大種類病毒，占到總體數(shù)量的62.81%；排名第二的為蠕蟲病毒，數(shù)量為1,577萬個，占總體數(shù)量的18.65%；后門、灰色軟件、感染型病毒分別占到總體數(shù)量的10.15%、6.36%和1.18%，位列第三、第四和第五，除此以外還包括漏洞攻擊和其他類型病毒。圖：2023年病毒類型統(tǒng)計根據(jù)瑞星“云安全”系統(tǒng)顯示，2023年病毒感染次數(shù)比2022年下降了27.03%，8月份至12月份為病毒感染高發(fā)期，均在800萬次以上。北京瑞星網(wǎng)安技術(shù)股份有限公司3圖：2023年病毒樣本數(shù)量及感染次數(shù)報告期內(nèi)，廣東省病毒感染人次為916.36萬次，位列全國第一，其次為山東省及江蘇省，分別為705.18萬次及622.59萬次。圖：2023年病毒感染地域分布Top1042.2023年病毒Top10根據(jù)病毒感染人數(shù)、變種數(shù)量和代表性綜合評估，瑞星評選出2023年1至12月病毒Top10：3.勒索軟件和挖礦病毒勒索軟件和挖礦病毒在2023年依舊活躍，報告期內(nèi)瑞星“云安全”系統(tǒng)共截獲勒索軟件樣本65.59萬個，比2022年上漲了13.24%；感染次數(shù)為19.68萬次，與2022年相比，上漲了0.95%。瑞星通過對捕獲的勒索軟件樣本進行分析后發(fā)現(xiàn)，PornoAsset家族占比38.04%，成為第一大類勒索軟件，其次是Agent家族，占到總量的20.34%，第三是Blocker家族，占到總量的19.79%。5圖：2023年勒索軟件家族分類勒索軟件感染人次按地域分析，北京市排名第一，為5.13萬次，第二為廣東省2.66萬次，第三為山東省1.56萬次。圖：2023年勒索軟件感染地域分布Top10挖礦病毒樣本總體數(shù)量為315.24萬個，比2022年增長了20.78%；感染次數(shù)為21.62萬次，與2022年同期相比，下降了72.89%。6挖礦病毒依然是企業(yè)網(wǎng)絡(luò)安全的主要威脅，瑞星根據(jù)病毒行為進行統(tǒng)計，評出2023年挖礦病毒Top10：挖礦病毒感染人次按地域分析，北京市以3.8萬次位列第一，江蘇省和廣東省分別位列二、三位，為2.61萬次和1.22萬次。圖：2023年挖礦病毒感染地域分布Top10北京瑞星網(wǎng)安技術(shù)股份有限公司7（二）惡意網(wǎng)址1.2023年全球惡意網(wǎng)址概述2023年瑞星“云安全”系統(tǒng)在全球范圍內(nèi)共截獲惡意網(wǎng)址（URL）總量1.76億個，比2022年增長了88.24%，其中掛馬類網(wǎng)站1.14億個，釣魚類網(wǎng)站6,206萬個。美國惡意URL總量為7,193萬個，位列全球第一，其次是日本840.79萬個和法國718.81萬個，分別排在第二、三位，中國排在第四位，為606.57萬個。圖：2023年全球惡意URL地域分布Top102.2023年中國惡意網(wǎng)址概述報告期內(nèi)，瑞星“云安全”系統(tǒng)所截獲的惡意網(wǎng)址（URL）在中國范圍內(nèi)排名，第一位為河南省，總量為114.67萬個，其次為香港和江蘇省，分別為98.18萬個和68.21萬個。北京瑞星網(wǎng)安技術(shù)股份有限公司8圖：2023年中國惡意URL地域分布Top10二、移動安全（一）2023年手機病毒概述2023年瑞星“云安全”系統(tǒng)共截獲手機病毒樣本100.43萬個，比2022年下降了33.95%。病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其中信息竊取類病毒占比35.82%，位居第一；其次是遠程控制類病毒占比27.27%，第三名是惡意扣費類病毒占比19.61%。9圖：2023年手機病毒類型比例（二）2023年1至12月手機病毒Top5北京瑞星網(wǎng)安技術(shù)股份有限公司（三）2023年手機漏洞Top5三、企業(yè)安全（一）2023年重大企業(yè)網(wǎng)絡(luò)安全事件2023年，國內(nèi)外重大網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)攻擊威脅著政府、能源、航空、金融等各個領(lǐng)域，眾多國家的政府部門及國際知名企業(yè)均遭到勒索入侵、漏洞利用、數(shù)據(jù)泄露等多種攻擊，引發(fā)了不同程度的損失。這些威脅不僅影響著各國的關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)和經(jīng)濟民生，也給企業(yè)帶來了嚴重的經(jīng)濟損失和聲譽影響。同時，由于俄烏沖突的僵持，巴以沖突的升級，導致眾多網(wǎng)絡(luò)攻擊組織參與到政治戰(zhàn)爭中，利用新型武器、新型手法向?qū)α⒎降恼⒙毮軝C構(gòu)及關(guān)鍵基礎(chǔ)設(shè)施發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊。因此，2023年全球網(wǎng)絡(luò)安全形勢極其嚴峻，各國對于網(wǎng)絡(luò)空間威脅都面臨著極大的挑戰(zhàn)。瑞星根據(jù)行業(yè)特性、威脅影響及損失程度，列舉出在2023年發(fā)生的26起重大網(wǎng)絡(luò)攻擊事件：1.全球最大船級社遭勒索攻擊，千艘船舶運營受影響2023年1月19日，全球最大海事組織之一DNV發(fā)布聲明稱，該企業(yè)于1月7日晚間遭勒索軟北京瑞星網(wǎng)安技術(shù)股份有限公司件攻擊，ShipManager軟件系統(tǒng)相關(guān)的IT服務(wù)器已經(jīng)被迫關(guān)閉。其中寫道，“DNV正與總計70家受到影響的客戶開展每日溝通，向其更新正在進行的取證調(diào)查結(jié)果。約1000艘船舶受到影響?！盌NV是世界上最大的船級社，即管理船舶與海上結(jié)構(gòu)物建造與運營技術(shù)認證的組織。DNV目前為超過13175艘船舶及移動海上裝置提供服務(wù)，2021年收入超20億美元。圖：DNV公司發(fā)布的聲明來源：/articles/512802.網(wǎng)電全面中斷！百慕大地區(qū)關(guān)基設(shè)施突發(fā)“嚴重事故”2023年2月3日，百慕大地區(qū)發(fā)生大面積停電，導致該島的互聯(lián)網(wǎng)與電話服務(wù)無法正常使用。當?shù)卣Q，問題根源是百慕大唯一電力供應(yīng)商Belco遭遇“嚴重事故”，并建議客戶“拔掉所有敏感的電氣設(shè)備”，避免工作人員的連夜搶修造成用電器損壞?；ヂ?lián)網(wǎng)狀態(tài)監(jiān)測組織NetBlocks證實，在斷電之后數(shù)小時，島上互聯(lián)網(wǎng)連接已降至正常水平的30%左右。截至百慕大當?shù)貢r間2月3日晚8點30分，Belco公司已經(jīng)為約90%的客戶恢復(fù)了供電，到晚間9點45分所有線路均已恢復(fù)。來源：/articles/516173.匿名者組織泄露俄羅斯運營商128GB數(shù)據(jù)，內(nèi)含F(xiàn)SB監(jiān)控計劃2023年2月初，匿名者組織發(fā)布了128GB的文件，據(jù)稱這些文件是從俄羅斯互聯(lián)網(wǎng)服務(wù)提供商Convex竊取的。被盜文件包含情報部門FSB進行的天羅地網(wǎng)監(jiān)視活動的證據(jù)。據(jù)稱，這種監(jiān)視活動被歸類為未經(jīng)授權(quán)的竊聽、間諜活動和對平民的無證監(jiān)視，這些都是違反該國法律的。匿名者組織表示數(shù)據(jù)是從Convex竊取的，該公司一直在運行一個名為GreenAtom的項目，該項目涉及安裝和維護監(jiān)控設(shè)備以監(jiān)控俄羅斯公民和私營公司的在線活動。通過綠色原子計劃，政府可以執(zhí)行廣泛的監(jiān)視活動，使用Convex的設(shè)備來監(jiān)視他們的進出流量。圖：匿名者組織發(fā)布的消息來源：/articles/517134.亞洲兩大數(shù)據(jù)中心遭入侵，國內(nèi)多家頭部企業(yè)數(shù)據(jù)被泄露2023年2月21日，據(jù)報道稱，黑客入侵了位于亞洲的兩個數(shù)據(jù)中心，竊取了蘋果、優(yōu)步、微軟、三星、阿里巴巴等科技公司的登錄憑證，并遠程訪問了這些組織的監(jiān)控攝像頭。網(wǎng)絡(luò)安全公司Resecurity最初在2021年9月確定了數(shù)據(jù)泄露；但是，直到2023年2月20日才向媒體透露了詳細信息。這些登錄信息是由一個名為“Minimalman”的威脅行為者在Breachforums論壇上泄露的。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：黑客泄露的被盜登錄憑據(jù)來源：/articles/web/358910.html5.宏碁再次遭遇數(shù)據(jù)泄露，黑客出售160GB敏感數(shù)據(jù)2023年3月7日，網(wǎng)絡(luò)犯罪論壇BreachForums上一個化名為Kernelware的黑客發(fā)布帖子，稱自己有從宏碁竊取的“各種機密資料”，共計160GB，包括655個目錄和2,869個文件，打算通過中間人出售。資料包括機密幻燈片和演示文稿、員工技術(shù)手冊、Windows鏡像格式文件、二進制文件、后端基礎(chǔ)設(shè)施數(shù)據(jù)、機密產(chǎn)品文檔、替換數(shù)字產(chǎn)品密鑰、ISO文件、Windows系統(tǒng)部署映像文件、BIOS組件和ROM文件。而后宏碁證實，其一臺內(nèi)部服務(wù)器存在安全漏洞，其中包含本應(yīng)提供給維修技術(shù)人員的公司機密數(shù)據(jù)。此前，宏碁在2021年2月成為REvil勒索軟件的受害者，要求支付5000萬美元的贖金。圖：黑客在論壇上發(fā)布的帖子來源：/articles/52549北京瑞星網(wǎng)安技術(shù)股份有限公司6.知名臺企微星疑遭勒索攻擊，被索要2750萬元巨額贖金2023年4月5日，中國臺灣電腦零部件制造商微星（MSI）疑似遭到勒索軟件團伙MoneyMessage攻擊，該團伙在其數(shù)據(jù)泄露網(wǎng)站上掛出了微星名字，并宣稱從微星的系統(tǒng)中竊取到1.5TB數(shù)據(jù)，包括軟件源代碼、私鑰、BIOS固件文件和數(shù)據(jù)庫，并要求受害者支付400萬美元贖金（約合人民幣2750萬元）。MoneyMessage威脅微星如果不滿足其要求，將在約五天內(nèi)公布這些據(jù)稱被盜的文件。圖：微星被列入MoneyMessage團伙的勒索網(wǎng)站來源：/articles/535097.英國政府承包商Capita遭黑客攻擊損失額達2000萬英鎊2023年5月10日，據(jù)英國《衛(wèi)報》報道，為英國政府機構(gòu)提供服務(wù)的IT外包公司Capita透露，因黑客攻擊該公司損失總額達1500萬至2000萬英鎊。Capita公司此前宣布，2023年3月末曾遭黑客攻擊，事件造成客戶、工作人員和供應(yīng)商的數(shù)據(jù)泄露。該公司沒有透露黑客具體竊取到多少GB數(shù)據(jù)，也沒有公開受到影響的客戶、供應(yīng)商和內(nèi)部員工數(shù)量。Capita的股價已經(jīng)從3月30日（首次披露攻擊事件的前一天）的高位38.64英鎊下跌超17%，下探至昨天收盤的32.98英鎊。來源：/article/4CqAEXWZE5Z北京瑞星網(wǎng)安技術(shù)股份有限公司8.意國防部、參議院等官網(wǎng)遭黑，俄羅斯黑客組織首次宣布負責！2023年5月11日，意大利數(shù)個官方網(wǎng)站遭到黑客大規(guī)模DDoS服務(wù)器攻擊癱瘓，包括意大利參議院、意大利國防部，意大利國家衛(wèi)生所等7家重要機構(gòu)官網(wǎng)臨時宕機，整整4個小時的時間內(nèi)，用戶無法訪問。隨后，俄羅斯黑客組織Killnet宣布對整起網(wǎng)絡(luò)攻擊事件負責，并公布了一份黑掉的意大利網(wǎng)站名單。Killnet黑客組織明確將這次網(wǎng)絡(luò)攻擊稱為“襲擊意大利”行動。圖：Killnet公布被黑的意大利網(wǎng)站名單來源：/dy/article/H778C93H0525SGMA.html9.全球最大航空公司遭遇供應(yīng)鏈攻擊，大量飛行員敏感數(shù)據(jù)泄露2023年6月23日，全球最大的兩家航空公司美國航空(AmericanAirlines)和西南航空PilotCredentials在4月30日遭遇了黑客入侵，并竊取了飛行員申請人及飛行員學員招聘過程中提供的個人信息文件。美國航空公司表示，此次事件導致至少5745名飛行員和申請人的數(shù)據(jù)被泄露，西南航空公司報告的數(shù)據(jù)泄露總數(shù)為3009人。泄露的數(shù)據(jù)涉及到了一些個人信息，例如姓名、社保號碼、駕駛執(zhí)照號碼、護照號碼、出生日期、飛行員證書號碼以及其他政府頒發(fā)的身份證號等。來源：/articles/55951北京瑞星網(wǎng)安技術(shù)股份有限公司10.西門子能源遭遇勒索軟件攻擊，大量數(shù)據(jù)被盜！2023年6月27日，Clop在其數(shù)據(jù)泄露網(wǎng)站上列出了西門子能源公司，并表示盜取了該公司的數(shù)據(jù)。西門子能源公司的一位發(fā)言人證實Clop勒索軟件利用CVE-2023-34362的MOVEit傳輸零日漏洞入侵了西門子。不過西門子能源公司表示，目前暫時還沒有關(guān)鍵的數(shù)據(jù)被盜，業(yè)務(wù)運營也沒有受到影響，他們在得知這一事件后也立即采取了行動。除了西門子能源公司，Clop還聲稱利用MOVEit傳輸系統(tǒng)盜取了工業(yè)巨頭施耐德電氣的數(shù)據(jù)。圖：Clop聲稱盜取了西門子能源和施耐德電氣數(shù)據(jù)來源：/news/370492.html11.針對北約峰會的高危漏洞來襲不參會的也需防范2023年7月11日，微軟披露了一個高危0day漏洞，編號為CVE-2023-36884，該漏洞存在于多個Windows系統(tǒng)和Office產(chǎn)品中。微軟發(fā)布緊急公告稱，已發(fā)現(xiàn)有俄方背景的APT組織正在利用該漏洞以北約峰會名義對北美及歐洲國家的國防和政府部門發(fā)起攻擊。攻擊者會利用CVE-2023-36884漏洞來構(gòu)造惡意的Office文檔，并通過郵件等方式進行傳播，以誘導受害者打開郵件并下載文檔。一旦文檔被打開，會立刻執(zhí)行其中的惡意代碼，受害者將被遠程攻擊。瑞星已經(jīng)為該漏洞利用代碼創(chuàng)建了病毒簽名，相關(guān)的惡意文檔都已經(jīng)可以被檢測。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：瑞星產(chǎn)品已可檢測并查殺相關(guān)病毒來源：/anquan/20023.html12.武漢地震監(jiān)測中心遭網(wǎng)絡(luò)攻擊！黑手疑來自美國2023年7月24日，武漢市應(yīng)急管理局發(fā)布聲明稱，該局所屬武漢市地震監(jiān)測中心遭受境外組織的網(wǎng)絡(luò)攻擊。這是繼2022年6月份西北工業(yè)大學遭受境外網(wǎng)絡(luò)攻擊后又一具體案例。國家計算機病毒應(yīng)急處理中心和360公司組成的專家組發(fā)現(xiàn)，此次網(wǎng)絡(luò)攻擊行為由境外具有政府背景的黑客組織和不法分子發(fā)起，初步證據(jù)顯示對武漢市地震監(jiān)測中心實施的網(wǎng)絡(luò)攻擊來自美國。來源：/articles/5708813.“大頭”勒索軟件三宗罪：偽裝Windows更新、勒索、開后門7月27日，瑞星威脅情報中心捕獲名為“大頭”的勒索軟件并發(fā)布免費解密工具。通過分析發(fā)現(xiàn)，“大頭”勒索軟件疑似偽裝成虛假的Windows更新或Word安裝程序，誘導受害者下載并進行傳播，其不僅會加密用戶磁盤文件，還會安裝開源的竊密后門——WorldWindStealer，收集受害者電腦內(nèi)文件、圖片、音頻、主機軟硬件版本、瀏覽器等各類信息，回傳給攻擊者。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：被勒索軟件修改后的屏幕壁紙來源：/anquan/20027.html14.瑞星捕獲疑似國內(nèi)黑客組織傳播病毒證據(jù)8月2日，瑞星威脅情報中心通過瑞星HFS服務(wù)器監(jiān)控平臺發(fā)現(xiàn)，疑似國內(nèi)病毒團伙利用HFS服務(wù)器傳播病毒，該團伙利用的IP地址為：119.91.152.xxx:4442，在這個HFS服務(wù)器下，存有多遠控木馬，對受害主機進行控制桌面、記錄鍵盤、截取屏幕、盜取文件及其他遠程控制等操作。圖：病毒團伙IP地址下的多個惡意文件來源：/anquan/20031.html北京瑞星網(wǎng)安技術(shù)股份有限公司15.普華永道踩坑MOVEit漏洞，泄露銀行8萬名儲戶的信息2023年8月14日，波多黎各自治區(qū)最大的銀行——人民銀行向緬因州司法部長提交了一份客戶信息泄露報告。該報告指出，由于供應(yīng)商普華永道使用的MOVEit軟件存在安全漏洞，導致銀行82217名儲戶的個人信息被泄露。MoveIt作為軟件公司ProgressSoftware旗下一款產(chǎn)品，是被多國企業(yè)和政府客戶廣泛使用的文件共享工具。由于其產(chǎn)品本身存在漏洞，被俄羅斯勒索軟件組織Clop發(fā)現(xiàn)并進行攻擊，引發(fā)多個企業(yè)出現(xiàn)數(shù)據(jù)泄露的危機。圖：波多黎各人民銀行向用戶發(fā)送的通知來源：/news/375127.html16.香港數(shù)碼港遭勒索攻擊：400GB數(shù)據(jù)泄露，科技中心受打擊2023年9月初，香港科創(chuàng)中心數(shù)碼港已就網(wǎng)絡(luò)安全漏洞向警方和香港隱私監(jiān)管機構(gòu)上報。勒索軟件組織Trigona聲稱，已從數(shù)碼港竊取超過400GB數(shù)據(jù)，要求支付30萬美元（約合港幣235萬元）才能歸還。數(shù)碼港表示，他們在8月中旬發(fā)現(xiàn)一些計算機文件已被鎖定，懷疑一名未經(jīng)授權(quán)的第三方已入侵了他們的計算機系統(tǒng)。香港網(wǎng)絡(luò)安全專家稱被竊數(shù)據(jù)包括數(shù)碼港高管的個人信息，比如身份證復(fù)印件、簡歷、銀行賬戶詳細信息和結(jié)婚證，同時專家表示，數(shù)碼港此次遭受攻擊有三種可能的形式——釣魚郵件、數(shù)據(jù)庫漏洞和遠程桌面訪問。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：香港數(shù)碼數(shù)據(jù)泄露事件被披露來源：/articles/5862917.酒店巨頭米高梅遭受勒索軟件攻擊（MGMResrtsInternational）遭到勒索軟件攻擊，其網(wǎng)站、預(yù)訂系統(tǒng)和酒店電子鑰匙卡系統(tǒng)受到嚴重影響。從惡意軟件存儲庫vx-underground發(fā)布的推文來看，此次攻擊活動幕后黑手是ALPPV勒索軟件集團。安全研究人員稱針對米高梅使用的攻擊技術(shù)是網(wǎng)絡(luò)釣魚。雖然每中斷一分鐘，米高梅就會損失一分錢，但美高梅集團似乎已經(jīng)決定將其所有系統(tǒng)暫時下線。再加上預(yù)訂及其網(wǎng)站仍然處于癱瘓狀態(tài)，美高梅會蒙受巨大的經(jīng)濟損失。圖：米高梅國際酒店集團發(fā)布的公告來源：/news/378051.html18.馬自達服務(wù)器遭入侵，超10萬份個人信息可能被泄露2023年9月15日，汽車公司馬自達表示，該公司內(nèi)部系統(tǒng)服務(wù)器遭到外部入侵，導致公司員工及合作方人員的姓名及電話號碼共計約104732份信息可能被泄露。馬自達公司稱，截至目前沒有北京瑞星網(wǎng)安技術(shù)股份有限公司發(fā)現(xiàn)個人信息遭到濫用的情況，可能被泄露的信息中不包含顧客信息。馬自達已就此事向警方報案，并向個人信息保護委員會進行了必要的報告。馬自達表示，將采取一切可能的措施防止事件再次發(fā)圖：馬自達汽車公司發(fā)布的公告來源：/0/719/721.htm19.黑客組織CyberAv3ngers宣稱關(guān)閉200個以色列加油站2023年10月15日，據(jù)據(jù)伊朗塔斯尼姆通訊社(Tasnim)新聞社報道，黑客組織CyberAv3ngers聲稱對以色列著名加油站控制解決方案提供商ORPAKSystems的大規(guī)模網(wǎng)絡(luò)攻擊負責。攻擊者在他們的Telegram頻道上發(fā)布了被盜的數(shù)據(jù)庫。據(jù)報道，網(wǎng)絡(luò)攻擊導致以色列200個汽油泵關(guān)閉，進而使得特拉維夫和海法等地多個加油站關(guān)閉。CyberAv3ngers還在其Telegram頻道上發(fā)布了一些加油站閉路電視攝像機的文件和錄音。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：攻擊者發(fā)布的加油站安全攝像頭圖像來源：/articles/5970120.國內(nèi)企業(yè)遭遇竊密木馬釣魚攻擊2023年10月20日，瑞星威脅情報中心捕獲到國內(nèi)企業(yè)被投遞竊密木馬的釣魚攻擊活動，通過分析發(fā)現(xiàn)，攻擊者偽造了虛假的法律訴訟文件和采購訂單，發(fā)送給目標企業(yè)的多位高管人員，以此來吸引目標點擊釣魚郵件附件。附件中嵌入了目前非常流行的一種商業(yè)竊密木馬，為FormBook4.1版本，能夠竊取瀏覽器、郵箱等敏感信息，同時具備遠程控制功能，具有很強的威脅性。圖：偽裝成法律訴訟文件的釣魚郵件來源：/s/yPsz2j-qmvgvHA3JzlBd0A21.微信群中傳播的“薪資補貼政策”確診為木馬病毒2023年11月9日，瑞星威脅情報中心捕獲到一起“銀狐”木馬團伙利用微信群傳播病毒的事件。通過分析發(fā)現(xiàn)，此次傳播的木馬病毒偽裝成《10月新政財會人員薪資補貼調(diào)整新政策》文件壓縮包，通過微信群傳播，誘惑性較強，一旦有人使用電腦登錄微信并打開了該壓縮包，就會面臨病毒入侵的風險。圖：微信群中傳播的病毒文件來源：/s/T9l3Fkd-1Jf2sO4lEC89dw22.新型勒索軟件“Enmity”——即使擁有密鑰也無法解密2023年11月29日，瑞星威脅情報中心捕獲到一個名為“Enmity”的勒索軟件，其不僅使用了復(fù)雜的加密方式，并且讓受害者在拿到了密鑰的情況下，也無法解鎖文件。同時，攻擊者會讓受害者先提供一個小于1或2MB的文件進行解密測試，從心理上對受害者施壓，讓他們相信只要支付贖金就能恢復(fù)文件。一旦中招，該勒索軟件就會加密電腦內(nèi)文檔、照片、檔案、數(shù)據(jù)庫、PDF等各類文件。圖：攻擊者發(fā)送的勒索信來源：/s/bNKxdww7sw8o-vGGAu0ABg23.美國核研究實驗室遭黑客入侵，數(shù)十萬個人數(shù)據(jù)泄漏2023年11月22日，美國能源部運營的核研究中心、愛達荷國家實驗室(INL)確認遭受網(wǎng)絡(luò)攻擊，11月20日黑客組織SiegedSec宣布已獲得INL數(shù)據(jù)的訪問權(quán)限，其中包括“數(shù)十萬”員工、系統(tǒng)用戶和公民的詳細信息。SiegedSec在Telegram上公布了INL內(nèi)部用于文檔訪問和公告創(chuàng)建的工具屏幕截圖，作為攻擊得手的證據(jù)，同時還展示了在INL系統(tǒng)上發(fā)布的自定義公告，以便讓INL的每個人都知道此次網(wǎng)絡(luò)攻擊。圖：SiegedSec在黑客論壇上發(fā)布的公告來源：/news/14957.html24.斯洛文尼亞最大電力公司HSE遭勒索軟件攻擊2023年11月22日，斯洛文尼亞電力公司（HSE）遭受勒索軟件攻擊，其系統(tǒng)和加密文件遭到破壞，該事件并未影響電力生產(chǎn)。HSE于27日表示：“主要電站運營和交易系統(tǒng)已投入運行，與國家電網(wǎng)運營商的連接已恢復(fù)，整個通信和IT基礎(chǔ)設(shè)施將恢復(fù)平穩(wěn)運行，不會產(chǎn)生重大負面后果，前景良好?！眻蟮婪Q，HSE將密碼存儲在“云”中，攻擊者從那里收集密碼并鎖定訪問權(quán)限。根據(jù)最新的信息，此次攻擊的幕后黑手是與外國有聯(lián)系的攻擊者，并使用了Rhysida勒索軟件病毒。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：HSE公司收到的勒索信來源：/articles/6115025.美國知名基因測試公司被黑，或泄露30萬華人血緣數(shù)據(jù)2023年12月4日，美國基因測試公司23andMe宣布，黑客利用客戶的舊密碼，侵入了大約1.4萬個23andMe用戶帳戶，成功獲取了大約690萬份用戶檔案的個人信息。一名黑客在地下論壇發(fā)帖稱，他們獲取了23andMe用戶的檔案信息。帖子公布了約100萬猶太裔和30萬華裔的樣例用戶數(shù)據(jù)，并對外報價1-10美元單個賬號數(shù)據(jù)進行售賣。圖：23andMe數(shù)據(jù)首次泄露來源：/articles/6146526.瑞星EDR人工智能技術(shù)還原“Mimic”勒索軟件攻擊全過程2023年12月15日，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，其不僅利用了合法文件搜索工具Everything的API，來快速搜索想要加密的目標文件，還使用了已經(jīng)泄露的Conti勒索軟件源代碼，在其基礎(chǔ)上增加了訪問共享與端口掃描等功能，提高了勒索軟件開發(fā)效率，并保證了加密的成功機率和穩(wěn)定性。同時，“Mimic”勒索還具有關(guān)閉防火墻、防止用戶關(guān)閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。瑞星EDR將整個攻擊過程進行了溯源和梳理。圖：被“Mimic”勒索軟件攻擊后的勒索信來源：/s/nEGi2z5cGodUAf1PxCtPFw（二）2023年漏洞分析1.2023年CVE漏洞利用率Top10報告期內(nèi)，從收集到的病毒樣本分析來看，微軟office漏洞依然穩(wěn)居首位。長久以來CVE-2017-11882、CVE-2018-0802以漏洞穩(wěn)定性、易用性和用戶群體廣泛性一直是釣魚郵件攻擊者首選的利用漏洞，這也從側(cè)面印證了釣魚攻擊一直以來被作為網(wǎng)絡(luò)攻擊中的主要手段之一。近兩年物聯(lián)網(wǎng)應(yīng)用發(fā)展勢態(tài)較強，致使物聯(lián)網(wǎng)設(shè)備漏洞備受關(guān)注，其中CVE-2017-17215漏洞長期位居前列為IOT僵尸網(wǎng)絡(luò)病毒青睞,曾在2018年黑客利用該漏洞在一天之內(nèi)建立了18000臺設(shè)備構(gòu)成的僵尸網(wǎng)路。Mirai、Satori、Brickerbot、Moz至今仍將該漏洞作為傳播利用的一種方式。CVE-2017-0147windowsSM協(xié)議漏洞(MS17-010永恒之藍漏洞)在2017年爆發(fā)，至今已經(jīng)過去6年時間，然而它仍是目前被病毒利用最多的安全漏洞之一。該漏洞之所以有著居高不下的利用率，是由于在大多數(shù)企業(yè)內(nèi)網(wǎng)環(huán)境中依然存在大量的終端設(shè)備尚未修復(fù)該漏洞，進入內(nèi)網(wǎng)環(huán)境的病毒程序仍可透過該漏洞輕松地在內(nèi)網(wǎng)環(huán)境中傳播。2023年全球共披露26447個漏洞，相比去年增長5.2%,其中不乏已被廣泛利用的漏洞。如:CVE-2023-23397，這是一個值得注意的特權(quán)提升漏洞，其適用于Windows的MicrosoftOutlook電子郵件客戶端的所有受支持版本，允許攻擊者繞過身份驗證措施，對機密數(shù)據(jù)進行未經(jīng)授權(quán)訪問，攻擊者只需發(fā)送一封電子郵件即可啟動它，目前已被APT28在內(nèi)的多個攻擊組織應(yīng)用。瑞星根據(jù)漏洞被黑客利用程度進行分析，評選出2023年1至12月份漏洞Top10：1.1CVE-2017-11882Offic又稱公式編輯器漏洞，為Office內(nèi)存破壞漏洞，影響目前流行的所有Office版本，攻擊者可利用該漏洞以當前登錄的用戶身份執(zhí)行任意命令。漏洞出現(xiàn)在模塊EQNEDT32.EXE中，該模塊為公式編輯器，在Office的安裝過程中被默認安裝，該模塊以O(shè)LE技術(shù)將公式嵌入在Office文檔內(nèi)。由于該模塊對于輸入的公式未作正確的處理，攻擊者可以通過刻意構(gòu)造的數(shù)據(jù)內(nèi)容覆蓋掉棧上的函數(shù)地址，從而劫持程序流程，在登錄用戶的上下文環(huán)境中執(zhí)行任意命令。1.2CVE-2017-17215HG5322017年11月份CheckPoint團隊報告了國內(nèi)某產(chǎn)品的遠程命令執(zhí)行漏洞(CVE-2017-17215),漏洞原理是利用upnp服務(wù)器中的注入漏洞來實現(xiàn)遠程執(zhí)行任意代碼，已發(fā)現(xiàn)的針對該漏洞的攻擊利用北京瑞星網(wǎng)安技術(shù)股份有限公司是Mirai的升級變種。1.3CVE-2017-0147WindowsSMB協(xié)議漏洞MS17-02017年5月份ShadowBrokers公布了他們從EquationGroup竊取的黑客工具，其中包含“永恒之藍”等多個MS17-010漏洞利用工具。MS17-010對應(yīng)CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多個SMB漏洞。這份工具的泄露直接導致了后來WannaCry病毒的全球爆發(fā)，包括中國在內(nèi)的至少150多個國家，30多萬用戶中招，并且金融、能源、醫(yī)療等眾多行業(yè)皆受影響，據(jù)統(tǒng)計其造成損失高達80億美元。此后各種利用MS17-010漏洞的病毒瘋狂增長，影響深遠。該漏洞與它的上一代CVE-2017-11882一脈相承，同屬于MicrosoftOffice中的EQNEDT32.EXE公式編輯器的漏洞。該漏洞又被稱為“噩夢公式”,源于對象在內(nèi)存中的處理不當（微軟Office內(nèi)存破壞漏洞當用戶打開特制的嵌有公式編輯器對象的Office文檔時會直接觸發(fā)漏洞導致任意代碼執(zhí)行。該漏洞為AdobeReader和AcrobatTIFF圖像處理緩沖區(qū)溢出漏洞，Adobe在解析TIFF圖像文件的時候，使用了開源庫代碼(libtiff)存在堆棧溢出的bug，漏洞出在對DotRange屬性的解析上。該漏洞被多個APT組織在攻擊行動中所使用。該漏洞是AdobeAcrobat和Reader沒有正確地處理PDF文檔中所包含的惡意JavaScript，如果向Collab對象的getIcon()方式提供了特制參數(shù)，就可以觸發(fā)棧溢出。黑客可以成功利用這個漏洞允許以當前登錄用戶的權(quán)限完全控制受影響的機器。1.7CVE-2010-2568Windows該漏洞影響WindowsXPSP3、Server2003SP2、VistaSP1和SP2、Server2008SP2和R2及Windows7。北京瑞星網(wǎng)安技術(shù)股份有限公司W(wǎng)indows沒有正確地處理LNK文件，特制的LNK文件可能導致Windows自動執(zhí)行快捷方式文件所指定的代碼。1.8CVE-2006-0003RDS.Dataspace遠程代碼執(zhí)行該漏洞為RDS.DataspaceActiveX控件中存在未指明的漏洞，它包含在ActiveX數(shù)據(jù)對象(ADO)中，并分布在Microsoft數(shù)據(jù)訪問組件(MDAC)2.7和2.8中，該漏洞允許遠程攻擊者通過未知的攻擊媒介執(zhí)行任意代碼。該漏洞影響iOS16.2以下的版本未越獄的設(shè)備，利用該漏洞無需越獄也能夠修改系統(tǒng)字體。當前未被證實有其他安全危險，而在IOS16.2以后已經(jīng)被官方更新并修復(fù)。該漏洞是由于Windows的win32k.sys模塊存在對用戶層參數(shù)驗證不完全，導致其存在窗口處理函數(shù)的空指針解引用(NullPointerDereference)異常問題。如果對漏洞有效利用，攻擊者可以實現(xiàn)權(quán)限提升。2.2023年最熱漏洞分析2.1CVE-2023-38831WinRAR遠程代碼執(zhí)行漏洞該漏洞是由于打開壓縮包查看其中的文件時，WinRAR沒有驗證同名文件夾的文件類型，這將導致自動執(zhí)行文件夾內(nèi)的批處理腳本。攻擊者可利用該漏洞構(gòu)造惡意的壓縮文件，通過誘導用戶打開壓縮文件中的帶有payload的惡意文件遠程，從而執(zhí)行任意代碼，允許攻擊者創(chuàng)建惡意.RAR和.ZIP存檔。2.2CVE-2023-21768WindowsAncillaryFunctionDriverforWinSock權(quán)限提AncillaryFunctionDriverforWinSock(簡稱afd)是Windows系統(tǒng)網(wǎng)絡(luò)部分的核心工具，該漏洞北京瑞星網(wǎng)安技術(shù)股份有限公司是由于應(yīng)用程序沒有正確地在WindowsAncillaryFunctionDriverforWinSock中施加安全限制，從而導致本地攻擊者可以繞過安全限制，將權(quán)限提升至SYSTEM。2.3CVE-2023-32243WordPress插件特權(quán)提升漏洞WordPress博客平臺上一款名為“EssentialAddonsforElementor”的插件被Patchstack的網(wǎng)絡(luò)安全專家曝出安全漏洞。攻擊者可以通過該漏洞在得知用戶名的情況下重置任何用戶的密碼，從而獲得對任意用戶的未經(jīng)授權(quán)訪問，包括具有管理權(quán)限的用戶。2.4CVE-2023-23397MICROSOFTOUTLOOK權(quán)限提升漏洞該漏洞可以讓未經(jīng)身份驗證的攻擊者通過發(fā)送特制的電子郵件，導致受害者連接到攻擊者控制的外部UNC位置，造成受害者的Net-NTLMv2散列泄露給攻擊者。被竊的NTLM哈希值可以被用于執(zhí)行NTLM中繼攻擊，最終實現(xiàn)權(quán)限提升以訪問其他內(nèi)部網(wǎng)絡(luò)。2.5CVE-2023-21752WindowsBackupService權(quán)限提升漏洞該漏洞是微軟在2023年1月份修復(fù)的一個WindowsBackupService任意文件刪除漏洞。WindowsBackupService為計算機提供備份和還原的功能。由于Windows備份引擎在文件夾權(quán)限驗證時處理不當，攻擊者可構(gòu)造惡意代碼實現(xiàn)任意文件刪除，進而導致特權(quán)提升。2.6CVE-2023-22515AtlassianConfluence權(quán)限提升漏洞Confuence是一個專業(yè)的企業(yè)知識管理與協(xié)同軟件，也可以用于構(gòu)建企業(yè)wiki。由于AtlassianConfluenceDataCenter和ConfluenceServer存在權(quán)限提升漏洞，而該漏洞由于屬性覆蓋，因此會導致未經(jīng)身份驗證的遠程攻擊者，可以重新執(zhí)行Confluence安裝流程，并增加管理員賬戶，從而訪問Confluence實例。2.7CVE-2023-21716MicrosoftWord遠程代碼執(zhí)行漏洞該漏洞是MicrosoftWord的RTF解析器（wwlib）中的一個遠程代碼執(zhí)行漏洞。攻擊者可以通過制作包含大量字體表項的RTF文檔，向目標用戶發(fā)送郵件，通過電子郵件、即時消息等方式，誘導用戶打開郵件中包含的惡意RTF文檔。成功利用此漏洞，可使攻擊者獲得在目標系統(tǒng)上以當前用戶的權(quán)限執(zhí)行任意代碼的能力。北京瑞星網(wǎng)安技術(shù)股份有限公司2.8CVE-2023-36884OfficeandWindowsHTML代碼執(zhí)行漏洞該漏洞允許遠程攻擊者在目標系統(tǒng)上執(zhí)行任意代碼。由于在處理跨協(xié)議文件導航時對用戶提供的輸入驗證不足，導致遠程攻擊者可以通過誘騙受害者打開特制文件而觸發(fā)漏洞，并在系統(tǒng)上執(zhí)行任意代碼。2.9CVE-2023-23376Windows通用日志文件系統(tǒng)驅(qū)動程序特權(quán)提升漏洞該漏洞存在于Windows通用日志文件系統(tǒng)驅(qū)動程序中，是一個特權(quán)提升漏洞。經(jīng)過身份認證的攻擊者可通過執(zhí)行特制程序來利用此漏洞，從而在目標系統(tǒng)上以SYSTEM權(quán)限執(zhí)行任意代碼。該漏洞可與RCE漏洞鏈接在一起，以傳播惡意軟件或勒索軟件。2.10CVE-2023-4863GoogleChrome堆緩沖區(qū)溢出漏洞WebP是由Google開發(fā)的一種圖像格式，可為網(wǎng)絡(luò)圖像提供有損和無損壓縮。該漏洞是由于WebP模塊存在缺陷，攻擊者通過誘導用戶訪問惡意網(wǎng)站來觸發(fā)該漏洞，最終導致在目標系統(tǒng)上任意執(zhí)行代碼。（三）2023年全球APT攻擊事件解讀2023年，全球各國政府部門仍是APT攻擊的首要目標，大多數(shù)APT組織都具有政府背景，以遠程控制、分發(fā)惡意軟件、竊取機密信息為目的，參與到地緣政治沖突中，同時這些攻擊組織常常利用魚叉式網(wǎng)絡(luò)釣魚郵件來攻擊受害者，有目的地針對政府部門、國防、軍工、能源等國家重要領(lǐng)域。另外，經(jīng)濟利益也是驅(qū)使APT組織發(fā)動攻擊的主要動力，尤其以加密貨幣為主要目標。瑞星在2023年就捕獲了多起針對各國政府部門的APT攻擊事件，其中包括針對我國能源行業(yè)的定向攻擊。在此，瑞星將從組織背景、攻擊方式、攻擊事件等多方面出發(fā)，詳細介紹七個APT攻擊組織。1.威脅組織SideCopySideCopy組織疑似來自于巴基斯坦，至少從2019年就開始展開網(wǎng)絡(luò)攻擊活動，主要針對南亞國家，特別是印度和阿富汗的政府部門。由于該組織的攻擊方式試圖模仿SideWinder（疑似來自印北京瑞星網(wǎng)安技術(shù)股份有限公司度的攻擊組織，中文名響尾蛇）APT組織，故得名SideCopy。另外，據(jù)相關(guān)研究披露該組織疑似與TransparentTribe(APT36，中文名透明部落)有相似之處，可能是該組織的一個分支。2023年2月和5月，瑞星威脅情報平臺捕獲到該組織針對印度政府部門和國防部門的攻擊行動?！癈yberAdvisory2023.docm”的文檔發(fā)送給印度政府部門，該文檔偽裝成安全機構(gòu)提供安全研究報告，主題為《Android系統(tǒng)的威脅和預(yù)防措施》，以此誘騙受害者點擊，從而啟動其中內(nèi)嵌的宏代碼，下載并運行存儲于遠程服務(wù)器上的ReverseRAT遠控木馬。該木馬通過與C2服務(wù)器通信，竊取本地敏感信息并接收相關(guān)指令，以實現(xiàn)其惡意功能。圖：偽裝成安全研究報告的誘餌文檔攻擊事件2：在5月份的攻擊事件中，攻擊者使用了Performa'sfeedbacAsigmadated22May23.pdf.lnk和pessonalpic.png.lnk多個快捷方式作為初始攻擊武器，將它們偽裝成不同主題的文檔，誘騙用戶點擊執(zhí)行。而后從遠程服務(wù)器下載并執(zhí)行hta腳本程序，從而啟動攻擊行動。hta腳本負責從遠程服務(wù)器下載惡意程序并加載執(zhí)行，其中一個惡意程序是名為ReverseRAT的遠程控制木馬，負責與服務(wù)器進行通信，最終實現(xiàn)對受害者主機的信息竊取和遠程控制。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：攻擊者所使用的誘餌文檔2.威脅組織KimsukyKimsuky組織疑似來自于朝鮮，最早于2013年被公開披露并命名。該組織主要攻擊目標為韓國、日本等國家，涉及國防、教育、能源、政府、醫(yī)療以及智庫等領(lǐng)域，以機密信息竊取為主。通常使用社會工程學、魚叉郵件、水坑攻擊等手段投遞惡意軟件，擁有功能完善的惡意代碼武器庫。自被發(fā)現(xiàn)以來，該組織一直處于活躍狀態(tài)，開展了多起攻擊活動。2023年3月，瑞星威脅情報平臺捕獲到該組織針對韓國用戶的最新攻擊行動。在此次攻擊事件中，攻擊者使用DOCM格式的誘餌文檔，將其偽裝成韓國法院電子信訪中心提供的離婚確認申請書，并在其內(nèi)部嵌入了惡意的宏代碼。然后通過網(wǎng)絡(luò)釣魚、垃圾郵件等社工方式進行投遞，誘騙用戶啟用宏代碼，從而啟動攻擊行動。此次事件的感染鏈中，攻擊者將不同階段使用到的惡意載荷托管在合法的網(wǎng)絡(luò)云盤中，以此躲避本地安全檢測機制，而最后階段使用到的惡意載荷是名為xRAT的木馬程序。該工具是以知名的QuasarRAT開源工具為基礎(chǔ)改進而來，可幫助攻擊者實現(xiàn)信息竊取及長期控制等行為。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：攻擊流程圖3.威脅組織APT-37APT37疑似為朝鮮資助的攻擊組織，也稱為ScarCruft、Reaper、RedEye、RicochetChollima。該組織自2012年活躍至今，攻擊目標主要是韓國的公共組織和私有企業(yè)。2017年，APT37組織將攻擊目標范圍擴大到日本、越南、中東等地的化學、電子、制造業(yè)、航空工業(yè)、汽車和醫(yī)療等行業(yè)。2023年7月份，瑞星威脅情報中心捕獲到兩起與該組織相關(guān)的攻擊事件。在這兩次攻擊中，APT37組織分別使用了兩份不同的誘餌文檔進行攻擊，一份以美國與韓國在四月下旬發(fā)表的《華盛頓宣言》為背景，由韓國JeongSeongjang撰寫的文章；另一份為首爾空軍酒店舉辦會議的活動日歷表，內(nèi)容包括演講的時間、順序以及人員(韓國的重要官員和著名學者)。雖然兩份誘餌文檔不同，但攻擊方式一模一樣。攻擊者均利用釣魚郵件方式，向受害者投遞一個含有快捷方式的壓縮包，該快捷方式有50MB大小，內(nèi)置了PowerShell命令，當受害者雙擊快捷方式文件時，便會執(zhí)行該命令，在Temp目錄下釋放誘餌文檔與一個名為230509.bat的腳本，而該腳本則會從上下載RokRat遠控后門加載到主機中，導致受害者中招。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：攻擊者所使用的誘餌文檔4.威脅組織BlindEagleBlindEagle（APT-C-36）是一個疑似來自南美洲的APT組織，主要攻擊目標為哥倫比亞境內(nèi)，以及南美一些地區(qū)。該組織自2018年以來一直活躍，攻擊范圍主要針對哥倫比亞政府機構(gòu)、金融部門、石油工業(yè)和專業(yè)制造業(yè)等重要企業(yè)。2023年8月份，瑞星威脅情報中心捕獲到該組織相關(guān)的攻擊事件。在此次攻擊事件中，BlindEagle組織使用釣魚郵件作為攻擊武器，向目標用戶發(fā)送了一封參加相關(guān)聽證會的通知郵件。其中附件是一個加密后的壓縮包，攻擊者通過構(gòu)造郵件內(nèi)容，誘騙用戶解壓并執(zhí)行壓縮包內(nèi)的同名JS腳本，從而啟動攻擊行動。JS腳本負責下載執(zhí)行攻擊行動中第一階段DLL文件，同時將該DLL文件做了本地持久化處理。而動態(tài)執(zhí)行的DLL程序?qū)⒃俅螐倪h程服務(wù)器下載第二階段DLL文件和一個名為AsyncRAT的遠程控制木馬。該木馬需要通過下載的第二階段DLL程序?qū)⑵渥⑷氲秸５南到y(tǒng)程序中執(zhí)行，最終實現(xiàn)對受害者主機進行鍵盤記錄、回傳文件、遠程控制等惡意功能。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：偽裝成法外調(diào)解聽證會通知的釣魚郵件5.威脅組織SaaiwcSaaiwc組織也被稱為DarkPink，是一個主要針對于東南亞地區(qū)進行攻擊的APT組織，其攻擊方向包括軍事機構(gòu)、政府、宗教組織和非盈利組織，主要目的是竊取機密文件，進行企業(yè)間諜活動。該組織最早被發(fā)現(xiàn)于2021年，曾在2022年期間發(fā)起多個攻擊事件，主要攻擊手段是通過魚叉式網(wǎng)絡(luò)釣魚發(fā)送電子郵件，構(gòu)造虛假信息誘導目標打開附件。在2023年8月，瑞星威脅情報平臺報告了該組織針對菲律賓的攻擊活動。在此次攻擊事件中，Saaiwc組織依然采用了釣魚郵件的攻擊方式，利用偽造的菲律賓武裝部隊會議通知迷惑其政府行政部門人員，誘導受害者點擊郵件附件，而郵件附件則為ISO文件（光盤鏡像文件），內(nèi)含三個文件，以白加黑方式加載了惡意的DLL程序。不僅如此，Saaiwc組織還通過創(chuàng)建隱藏屬性的快捷方式，并設(shè)置相應(yīng)的快捷鍵來觸發(fā)遠控后門程序，不僅會竊取受害者主機IP地址、系統(tǒng)版本及其他各類信息，還會將所有收集到的信息回傳給攻擊者，接收更多控制指令。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：假冒菲律賓武裝部隊會議通知的釣魚郵件6.威脅組織SideWinderSideWinder是一個至少從2012年就開始進行網(wǎng)絡(luò)攻擊的威脅組織，疑似來自印度。該APT組織又被稱為“響尾蛇”、T-APT-04、Rattlesnake和APT-C-17，是現(xiàn)今最活躍的組織之一，主要是從事信息竊取和間諜活動。該組織的大多數(shù)活動集中在中國、巴基斯坦、阿富汗等國家，涉及的目標行業(yè)多為醫(yī)療、國防、政府和科技公司等。在2023年12月，瑞星捕獲了該組織針對尼泊爾政府的攻擊事件。在本次攻擊事件中，攻擊者將仿造的“尼泊爾總理普什帕·卡邁勒·達哈爾行程信息”通過郵件發(fā)送給尼泊爾政府機構(gòu)，以騙取相關(guān)人員的信任。一旦點擊郵件附件，就會啟動其中的惡意宏代北京瑞星網(wǎng)安技術(shù)股份有限公司碼，而后釋放出后門病毒和腳本文件。當后門病毒被腳本啟動后，就會通過HTTP協(xié)議與服務(wù)器進行通信，接收由攻擊者發(fā)來的指令，對受害者電腦進行遠程控制，盜取所有的機密信息與數(shù)據(jù)。圖：仿造成尼泊爾總理行程信息的誘餌文檔7.威脅組織PatchworkPatchwork組織又名摩訶草、白象、APT-Q-36、DroppingElephant，是一個疑似具有南亞政府背景的APT組織，其最早攻擊活動可追溯到2009年，至今依然活躍。該組織主要針對中國、巴基斯坦、孟加拉國等亞洲地區(qū)國家，以政府、軍事、電力、工業(yè)、科研教育、外交和經(jīng)濟等高價值機構(gòu)為攻擊目標。在2023年12月，瑞星捕獲了該組織針對中國的攻擊事件。此次攻擊事件中，Patchwork組織通過釣魚郵件等方式向目標投遞名為《某集團與廣東省陽江市座談》的PDF文檔，而這個文檔實際是一個.lnk的快捷方式，攻擊者故意將其偽裝成PDF格式，就是為了誘導目標去點擊。一旦有受害者點擊了這個快捷方式，就會下載與文檔同名的新聞稿和惡北京瑞星網(wǎng)安技術(shù)股份有限公司意程序，從而激活名為NorthStarC2的遠控后門程序，被攻擊者遠程控制并盜取電腦內(nèi)所有的資料和信息。圖：Patchwork組織在攻擊中投遞的誘餌文檔四、勒索軟件在2023年，由勒索軟件所引發(fā)的網(wǎng)絡(luò)攻擊事件頻發(fā)，根據(jù)Zscaler發(fā)布的《2023年全球勒索軟件報告》，全球勒索軟件攻擊數(shù)量同比增長37.75%，勒索軟件的有效攻擊載荷激增了57.50%。（ZsCaler鏈接：zs-threatlabz-ransomware-report-2023）勒索軟件攻擊正變得越來越復(fù)雜，攻擊者會使用網(wǎng)絡(luò)釣魚、社工原理和漏洞利用等多種技術(shù)來攻擊目標。同時，雙重勒索已是常態(tài)化攻擊模式，攻擊者不再僅專注于對受害者文件進行加密，而是更加傾向于通過泄露敏感數(shù)據(jù)的方式作為敲詐勒索的籌碼，這給政府或企業(yè)受害者帶了更大的壓力。受害者即使通過文件恢復(fù)的方式來解密數(shù)據(jù)，也很難承受敏感數(shù)據(jù)泄露帶來的重大風險和代價。2023年，Lockbit組織占據(jù)了勒索攻擊事件的榜首位置，在全球范圍內(nèi)，多個知名企業(yè)均遭受過LockBit組織的攻擊，受害企業(yè)涉及廣泛，涵蓋金融服務(wù)、科技、能源、醫(yī)療、運輸?shù)榷鄠€產(chǎn)業(yè)。瑞星根據(jù)勒索組織的破壞性、威脅性，以及企業(yè)的損失程度，評選出2023年六大勒索軟件，并詳細介紹這些勒索軟件的技術(shù)手段、攻擊手法及相關(guān)勒索事件。北京瑞星網(wǎng)安技術(shù)股份有限公司（一）LockbitLockBit最早出現(xiàn)在2019年下半年，使用Raas商業(yè)模式推廣勒索，在LockBit2.0使用StealBit竊密木馬進行數(shù)據(jù)竊取，建立屬于自己的數(shù)據(jù)泄露網(wǎng)站，最快可從受感染的主機20分鐘下載近100GB數(shù)據(jù)。LockBit3.0中提高了對抗安全軟件的能力，后期又采用“雙重勒索”的策略來敲詐受害者。2.攻擊方式LockBit通常使用RDP弱口令爆破的方式進行入侵，通過釣魚郵件以及程序漏洞進行攻擊。該勒索病毒工作在命令行窗口模式下，在初始運行階段執(zhí)行了隱藏窗口，設(shè)置窗口標題為LockBitRansom，并且通過注冊控制臺窗口例程阻止進程的Console窗口被關(guān)閉。在2022年9月由于Lockbit雇傭開發(fā)人員對領(lǐng)導層不滿，泄露并公布了LockBit3.0生成器。這一工具的泄露導致LockBit勒索軟件變種層出不窮，網(wǎng)絡(luò)犯罪分子通過簡單的參數(shù)配置和細微的改動就能將自己生成的樣本包裝成全新的勒索軟件。LockBit3.0生成器可以配置加密模式，指定跳過的文件夾、加密的文件后綴格式、結(jié)束的進程名、橫向傳播以及勒索信內(nèi)容等。3.攻擊事件2023年1月份，英國皇家郵政遭勒索組織攻擊，致使包裹和信件的國際運輸陷入停頓。2月份皇家郵政被列入到LockBit數(shù)據(jù)泄露網(wǎng)站，LockBit向其索要高達8000萬美元贖金。其網(wǎng)站顯示，如果不能在2月9日之前繳納贖金，英國皇家郵政被盜數(shù)據(jù)將會公開發(fā)布。有報道顯示，勒索軟件加密了用于國際運輸?shù)脑O(shè)備，并在用于海關(guān)備案的打印機上打印勒索贖金票據(jù)。圖：LockBit數(shù)據(jù)泄露網(wǎng)站將英國皇家郵政加入其中來源：/news/356916.html2023年7月份，臺積電向國外科技媒體TechCrunch證實，公司遭到了網(wǎng)絡(luò)攻擊，部分數(shù)據(jù)泄露。臺積電發(fā)言人表示，本次網(wǎng)絡(luò)安全事件導致“與服務(wù)器初始設(shè)置和配置相關(guān)”的數(shù)據(jù)泄露，但臺積電客戶信息并未受到影響。勒索集團LockBit宣稱對本次安全事件負責，官方在其網(wǎng)站上列出了相關(guān)數(shù)據(jù)，并索要7000萬美元贖金。LockBit表示，如果臺積電不付款，它還將發(fā)布密碼和登錄信息。LockBit表示相關(guān)數(shù)據(jù)是從KinmaxTechnology竊取的，該公司為臺積電提供網(wǎng)絡(luò)、云計算、存儲和數(shù)據(jù)庫管理等IT服務(wù)。圖：勒索集團LockBit將臺積電列入其網(wǎng)站來源：/it/2023-07-01/2929614.shtml北京瑞星網(wǎng)安技術(shù)股份有限公司2023年7月份，黑客團隊LockBit針對日本名古屋港發(fā)動攻擊，導致該港口的貨柜調(diào)度系統(tǒng)NUTS出現(xiàn)嚴重系統(tǒng)故障，導致裝卸貨柜的業(yè)務(wù)中斷，現(xiàn)場出現(xiàn)貨車滯留的現(xiàn)象。這次事件影響約260家船運公司，名古屋港運協(xié)會電腦被加密，大約100臺印表機也遭到劫持，以英語打印出系統(tǒng)感染勒索軟件的通知，要求協(xié)會支付贖金。由于該港口是豐田（Toyota）汽車主要進出口的樞紐，Toyota也證實零部件運輸受到影響。圖：日本時報報道了此次攻擊事件來源：/0/704/291.htm2023年10月份，勒索軟件團伙Lockbit聲稱入侵了技術(shù)服務(wù)巨頭CDW，索要8000萬美元贖金，但該組織聲稱對方只支付了100萬美元。Lockbit表示，一家價值200億美元的納斯達克上市企業(yè)僅支付100萬美元贖金，對他們來說具有侮辱性，并稱如果對方不繼續(xù)支付足額贖金，將在倒計時期限結(jié)束后公布所竊取的數(shù)據(jù)，且不再進行任何談判。隨著最后期限已過，Lockbit在其泄露網(wǎng)站上發(fā)布了2篇包含CDW數(shù)據(jù)的帖子，泄露數(shù)據(jù)涉及員工徽章、審計、傭金支付數(shù)據(jù)和其他帳戶相關(guān)信息。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：Lockbit組織在其泄露網(wǎng)站上公布CDW數(shù)據(jù)來源：/news/380865.html布內(nèi)部資料”2023年10月份，黑客團隊Lockbit在暗網(wǎng)論壇發(fā)布公告，聲稱他們已經(jīng)成功入侵波音公司，并獲得了大量內(nèi)部資料，揚言拿不到贖金就將公布相關(guān)內(nèi)容。據(jù)悉，Lockbit團隊給予了波音公司6天時間與其聯(lián)系，在期限之前不會公開內(nèi)部資料，但若波音遲遲未主動聯(lián)系，黑客就會將相關(guān)內(nèi)容公開放出。Lockbit團隊表示，他們使用一個未公布的零日漏洞入侵了波音，但并未披露相關(guān)漏洞細節(jié)，而波音官方則表示正在評估確認LockBit的說法。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：Lockbit組織在暗網(wǎng)論壇發(fā)布的公告來源：/0/729/055.htm(6)中國工商銀行美國分行遭LockBit黑客團隊攻擊，因未及時封堵2023年11月份，中國工商銀行（ICBC）美國分行ICBCFS證實遭到了黑客組織LockBit攻擊，導致部分金融服務(wù)系統(tǒng)中斷，并在發(fā)現(xiàn)之后馬上切斷并隔離了受到影響的系統(tǒng)以控制災(zāi)害，展開了一系列調(diào)查及復(fù)原工作。隨后LockBit勒索組織在Tox（加密通信軟件）上公開承認其入侵ICBCFS的行為。據(jù)悉，黑客組織LockBit之所以能夠攻入工商銀行美國分行，是因為美國分行未修補CitrixNetScaler設(shè)備的漏洞CitrixBleed（CVE-2023-4966）。圖：中國工商銀行（ICBC）美國分行ICBCFS的公告來源：/0/733/725.htm（二）Medusa在過去的兩年中，Medusa作為老牌勒索家族，相比于其他主流勒索家族表現(xiàn)頗為低調(diào)，而今年表現(xiàn)十分活躍，針對全球范圍內(nèi)的多個企業(yè)組織發(fā)起攻擊，并索要數(shù)百萬美元贖金。2023年，受其他勒索家族影響Medusa推出了自己的“博客”，用于泄露那些拒絕支付贖金的受害者數(shù)據(jù)。2.攻擊方式Medusa啟動時通過一個外殼程序創(chuàng)建傀儡進程執(zhí)行加密，隨之刪除系統(tǒng)備份和還原文件，使用RSA+AES主流的加密模式，同時感染本地磁盤和網(wǎng)絡(luò)共享磁盤，目前該病毒在東南亞諸多國家以及國內(nèi)部分企業(yè)均有感染案例。3.攻擊事件2023年2月份，Medusa勒索組織在其暗網(wǎng)數(shù)據(jù)泄露站點的受害者名單中添加了中國石油（印尼公司），并索要其40萬美元用以刪除數(shù)據(jù)，或是用40萬美元下載數(shù)據(jù)，支付1萬美元可以延期1圖：Medusa勒索組織在受害者名單中添加了中國石油（印尼公司）來源：/medusa-claims-petrochina-ransomware2023年11月份，Medusa勒索軟件組織在其暗網(wǎng)數(shù)據(jù)泄漏站點的受害者名單中添加了豐田金融服務(wù)公司，要求后者支付800萬美元贖金來刪除泄漏數(shù)據(jù)。豐田金融服務(wù)公司證實遭遇Medusa勒索軟件組織的攻擊，該公司在歐洲和非洲的系統(tǒng)上檢測到未經(jīng)授權(quán)的訪問。為了證明攻擊成果，Medusa發(fā)布了豐田金融的樣本數(shù)據(jù)，其中包括財務(wù)文件、電子表格、采購發(fā)票、哈希帳戶密碼、明文用戶ID和密碼、協(xié)議、護照掃描、內(nèi)部組織結(jié)構(gòu)圖、財務(wù)績效報告、員工電子郵件地址等。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：Medusa勒索組織在受害者名單中添加了豐田金融服務(wù)公司來源：/news/14934.html（三）BlackCatBlackCat于2021年11月首次被發(fā)現(xiàn)，該勒索病毒曾在俄語黑客論壇進行過公開推廣。使用RaaS商業(yè)模式進行分發(fā)，同時使用“雙重勒索”的敲詐手法，該勒索軟件通過命令行調(diào)用，可靈活配置絕大部分參數(shù)。除了針對Windows平臺的攻擊，也同時具有對LinuxVMwareESXi加密的能力。2.攻擊方式BackCat通常使用RDP弱口令爆破的方式以及程序漏洞進行入侵。該勒索軟件提供命令行參數(shù)選項以實現(xiàn)個性化的勒索攻擊，支持2種文件加密算法以及4種加密模式，將根據(jù)目標硬件情況動態(tài)選擇。勒索采用RSA+AES/ChaCha20的方式加密磁盤文件，在未獲得密鑰的情況下暫時無法解密。北京瑞星網(wǎng)安技術(shù)股份有限公司3.攻擊事件2023年4月份，支付巨頭NCR公司用于酒店服務(wù)的產(chǎn)品AlohaPOS平臺發(fā)生故障，經(jīng)過多天仍無法供客戶正常使用。幾日后NCR對外披露稱，為AlohaPOS平臺提供支持的數(shù)據(jù)中心遭受到勒索軟件攻擊。有安全人員發(fā)現(xiàn)，在BlackCat/ALPHV勒索軟件團伙的數(shù)據(jù)泄露網(wǎng)站上短暫發(fā)現(xiàn)過一篇帖子，宣稱對此次事件負責。帖子里還包含一名NCR代表與勒索軟件團伙間的談判對話片段。BlackCat宣稱竊取了NCR客戶的憑證，并表示如不支付贖金則將憑證公之于眾，隨后從數(shù)據(jù)泄露網(wǎng)站上刪除了NCR的帖子，可能是希望對方愿意通過談判接受贖金要求。圖：BlackCat數(shù)據(jù)泄露網(wǎng)站上發(fā)布的NCR攻擊帖（現(xiàn)已刪）來源：/articles/538182023年11月28日，勒索軟件組織BlackCat（ALPHV）將臺灣中國石化添加到其Tor泄露網(wǎng)站的受害者名單中，從公布的數(shù)據(jù)來看，本次泄露的數(shù)據(jù)大小為41.9GB。BlackCat采用勒索軟件即服務(wù)（RaaS）商業(yè)模式，在已知的網(wǎng)絡(luò)犯罪論壇中招攬生意，允許合作的黑客組織使用勒索軟件并自留80-90%的贖金。此次泄露的數(shù)據(jù)包含了其內(nèi)部通訊錄、銀行賬戶、收入支出等財務(wù)狀況和高管交接資料等。圖：BlackCat將臺灣中國石化添加到受害者名單中來源：/post/id/291568（四）Akira/Megazord多家企業(yè)遭遇該勒索攻擊，GreenDiamond(林業(yè)公司)、DatawatchSystems(數(shù)據(jù)公司)和Boon(軟件公司)等美國企業(yè)的數(shù)據(jù)被放置在黑客組織自制網(wǎng)站上供人下載。2.攻擊方式加密方式是RSA+AES結(jié)合對文件進行加密。最新的樣本使用Rust語言編寫，其加密方式很新穎，用了以往不常見的curve25519橢圓曲線非對稱加密算法和sosemanuk對稱加密算法的組合來進行加密，加密后的文件的后綴名為.powerranges，還會在每個文件夾下釋放一個勒索文檔。3.攻擊事件2023年9月份，瑞星威脅情報中心捕獲到一款新型勒索軟件，名為“Megazord”，是Akira勒索軟件新的變種，其獨特之處在于采用了curve25519橢圓曲線非對稱加密算法和sosemanuk對稱加密算法的組合來進行加密，并需要輸入一個特定的參數(shù)運行，以此提高攻擊效率，增加分析難度。北京瑞星網(wǎng)安技術(shù)股份有限公司瑞星發(fā)現(xiàn)，已有多家企業(yè)遭遇該勒索攻擊，GreenDiamond（林業(yè)公司）、DatawatchSystems（數(shù)據(jù)公司）和Boson（軟件公司）等美國企業(yè)的數(shù)據(jù)被放置在黑客組織自制網(wǎng)站上供人下載。圖：存放勒索企業(yè)數(shù)據(jù)的黑客網(wǎng)站來源：/anquan/20047.html2023年12月份，Akira勒索軟件團伙在其泄漏博客上添加了一個新的“受害者”，并表示其成員從日產(chǎn)汽車制造商的內(nèi)部網(wǎng)絡(luò)系統(tǒng)中竊取了約100GB的文件資料。勒索軟件組織宣稱鑒于日產(chǎn)汽車公司拒絕支付贖金，接下來會陸續(xù)把盜取的敏感業(yè)務(wù)和客戶數(shù)據(jù)泄露到網(wǎng)上，這其中包含其員工個人信息的文檔，以及NDA、項目、客戶和合作伙伴信息等。圖：日產(chǎn)汽車數(shù)據(jù)遭泄露來源：/articles/387640.html北京瑞星網(wǎng)安技術(shù)股份有限公司（五）MimicMimic勒索最早發(fā)現(xiàn)于2022年6月，其特點是利用了合法的文件搜索工具Everything提供的API，通過Everything32.dll中的函數(shù)可以實現(xiàn)文件快速檢索，獲得指定后綴格式文件的路徑，從而大大提高文件加密的效率。Mimic勒索中還使用了泄露的Conti勒索軟件代碼實現(xiàn)訪問共享與端口掃描，使用CryptoPP庫提供的加密算法。不僅如此，Mimic勒索開發(fā)者添加了許多額外的功能來保證順利完成加密。2.攻擊方式Mimic勒索通過一個自解壓的可執(zhí)行程序，在運行后釋放其他惡意文件，包含自刪除程序、加密程序、防火墻靜默關(guān)閉程序等。加密前將創(chuàng)建自啟動項，終止特定的運行中進程和服務(wù)，修改電加.datenklause0@.blue后綴格式。3.攻擊事件2023年12月份，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，其不僅利用了合法文件搜索工具Everything的API，來快速搜索想要加密的目標文件，還使用了已經(jīng)泄露的Conti勒索軟件源代碼，在其基礎(chǔ)上增加了訪問共享與端口掃描等功能，提高了勒索軟件開發(fā)效率，并保證了加密的成功機率和穩(wěn)定性。同時，“Mimic”勒索還具有關(guān)閉防火墻、防止用戶關(guān)閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。瑞星EDR將整個攻擊過程進行了溯源和梳理。北京瑞星網(wǎng)安技術(shù)股份有限公司圖：被“Mimic”勒索軟件攻擊后的勒索信來源：/s/nEGi2z5cGodUAf1PxCtPFw（六）Qilin/Agenda麒麟勒索軟件組織，也稱為“Agenda“，該組織于2022年首次被發(fā)現(xiàn)，常利用網(wǎng)絡(luò)釣魚電子郵件來攻擊其受害者。此外麒麟通過RaaS分發(fā)定制惡意軟件構(gòu)建器，可獨立并個性化修改勒索軟件信息包括贖金內(nèi)容、密鑰、文件排除、后綴名稱等。2.攻擊方式Qilin勒索在運行后可以通過注入DLL的方式來提升權(quán)限，枚舉網(wǎng)絡(luò)驅(qū)動器以及終止指定的進程和服務(wù)，采用RSA+AES組合的加密方式，在運行時接受指定的參數(shù)提供針對性的攻擊。3.攻擊事件麒麟勒索病毒聲稱攻擊汽車巨頭延鋒2023年11月份，Qilin勒索軟件組織聲稱對全球最大的汽車零部件供應(yīng)商之一延鋒汽車內(nèi)飾進北京瑞星網(wǎng)安技術(shù)股份有限公司行了攻擊，并將其添加到Tor數(shù)據(jù)泄露勒索網(wǎng)站中。攻擊者發(fā)布了多個樣本，以證明他們涉嫌訪問延鋒系統(tǒng)和文件，包括財務(wù)文件、保密協(xié)議、報價文件、技術(shù)數(shù)據(jù)表和內(nèi)部報告。麒麟還威脅稱，要在未來幾天內(nèi)公布他們擁有的所有數(shù)據(jù)。該組織于2022年首次被發(fā)現(xiàn)，經(jīng)常利用網(wǎng)絡(luò)釣魚電子郵件來攻擊其受害者。圖：延鋒汽車被列入麒麟勒索門戶網(wǎng)站來源：/post/id/291533五、2024年網(wǎng)絡(luò)安全趨勢預(yù)測（一）APT攻擊仍將保持活躍，網(wǎng)絡(luò)釣魚依舊是其主流攻擊方式2023年依然是APT組織活動頻繁的一年，包括瑞星在內(nèi)的眾多安全廠商披露了多起攻擊事件，其中也包括不少針對中國的攻擊。根據(jù)對去年攻擊事件的分析可知，地緣政治依然是APT組織發(fā)起攻擊活動的主要驅(qū)動力。除此之外，以經(jīng)濟利益為目標的攻擊活動也在持續(xù)增加中，其中以加密貨幣為主，2023年9月份加密貨幣交易所CoinEx被盜事件，據(jù)分析就是知名APT組織Lazarus所為，涉及金額高達五千多萬美元。而在技術(shù)層面，隨著Go、Rust等編程語言的興起，APT組織也在利用這些語言開發(fā)新武器，以提高攻擊成功率。比如在2023年12月披露的Patchwork組織針對中國的攻擊事件中，攻擊者就使用了Rust語言編寫的惡意程序作為攻擊武器。2024年，國際局勢依然不容樂觀，瑞星有理由相信APT組織仍將持續(xù)活躍，其中傳統(tǒng)的網(wǎng)絡(luò)釣魚依舊是主要的攻擊手段。雖然網(wǎng)絡(luò)釣魚無法保證成功率，但靠著其成本低、欺騙性強等特點，依然為大多數(shù)APT組織所喜愛。網(wǎng)絡(luò)安全作為國家安全的重要一環(huán)，各政府機關(guān)仍應(yīng)對此保持高度重視。除了加強各個層面的安全防護之外，還應(yīng)積極展開安全意識相關(guān)的培訓，降低入侵成功率。北京瑞星網(wǎng)安技術(shù)股份有限公司（二）勒索組織開始主攻高價值目標勒索組織在2023年的活躍度相比2022年有了較大提升，同時2023年也出現(xiàn)了幾起影響較大的事件。如：臺積電、波音公司、中國工商銀行美國分行等均在2023年遭遇了LockBit勒索組織的攻擊；像Medusa這樣的老牌勒索組織也開始活躍，在2023年對中國石油（印尼公司）和豐田公司都發(fā)起了勒索攻擊。這些勒索組織不僅要求贖金巨大，而且很多都以泄露數(shù)據(jù)作為要挾，增加了勒索的成功幾率，同時勒索組織發(fā)起的攻擊也開始逐步向APT攻擊靠攏，運用新型技術(shù)和手法，定性攻擊具有高價值的目標。2024年，勒索組織針對政府或大型企業(yè)的攻擊次數(shù)可能會更多，因此，政企用戶須采用全面的零信任安全策略，以對抗日益復(fù)雜的勒索軟件攻擊。這種方法需要實現(xiàn)強大的措施，如零信任網(wǎng)絡(luò)訪問(ZTNA)架構(gòu)、細粒度分割、瀏覽器隔離、高級沙箱、數(shù)據(jù)丟失防護、欺騙技術(shù)和云訪問安全代理(CASB)解決方案。（三）人工智能技術(shù)的濫用將引發(fā)更多安全問題近年來隨著人工智能技術(shù)的發(fā)展和逐步成熟，深度學習、大語言模型、多模態(tài)模型等技術(shù)的不斷發(fā)展，使得人工智能應(yīng)用在近些年有了質(zhì)的飛躍，以Deepfake、ChatGPT、DALL·E為代表的應(yīng)用向我們展示了其強大的威力。人工智能技術(shù)在解放和提高生產(chǎn)力的同時，也為犯罪分子提供了更多、更好的技術(shù)手段，這將引發(fā)一系列新的網(wǎng)絡(luò)安全問題，例如：.越來越逼真的“釣魚”郵件。以ChatGPT為代表自然語言生成模型，可以模仿特定人員的書寫和用詞習慣，根據(jù)特定的意圖為網(wǎng)絡(luò)犯罪者生成內(nèi)容更為流暢和逼真的釣魚郵件，相比當前大多數(shù)以人工書寫的模板、單調(diào)乏味的釣魚郵件，前者的識別難度將大大提升。以“AI對抗AI”將成為未來主要的網(wǎng)絡(luò)攻防場景。.不再可信的多媒體內(nèi)容。圖像、視頻和音頻中搭載著人類日常生活中識別和區(qū)分不同人員的主要生物特征，但在“深度偽造”技術(shù)泛濫后，將變得無法再輕易信任。目前，在各類視頻網(wǎng)站、社交網(wǎng)站上都充斥著以“娛樂”目的為主大量的換臉視頻，可以看出“換臉”技術(shù)的應(yīng)用已經(jīng)相當普遍。近幾年利用“換臉”技術(shù)偽造明星、名人來騙取財物的新型電信詐騙事件也陸續(xù)出現(xiàn)，防不勝防。“深度偽造”技術(shù)的識別將成為未來網(wǎng)絡(luò)內(nèi)容安全中非常重要的一個環(huán)節(jié)。.更低成本的網(wǎng)絡(luò)攻擊。以“ChatGPT”為代表的大語言模型應(yīng)用能夠根據(jù)用戶意圖編寫代碼，在不加限制的情況下，它可以幫助攻擊者生成攻擊代碼、混淆攻擊代碼，極大降