奇安信：2023年度全球高級持續(xù)性威脅（APT）報告

20222022年高級持續(xù)性威脅APT）態(tài)勢報I軍事等國家安全領(lǐng)域緊密聯(lián)系起來。5G、云計算、物聯(lián)網(wǎng)、工2013年，網(wǎng)絡(luò)安全行業(yè)發(fā)布第一份APT分析報告。至今，APT分析已走過十個年頭，APT網(wǎng)絡(luò)攻擊圖景也在不斷更新迭代。各類APT組織猶如正規(guī)網(wǎng)絡(luò)部隊之外的“散兵游勇”，組織中國信息安全測評中心長期跟蹤、研究APT態(tài)勢，此次聯(lián)源數(shù)據(jù)和公開報道開展態(tài)勢評估，研判APT組織發(fā)展趨勢、攻 8 9 20 2.入侵：社交媒體釣魚持續(xù)盛行，水坑攻 4.橫向移動：敏感服務(wù)仍為眾矢之的，CS工 35 36 38 43 44 44 45 47 48 482.Polonium組織善于利用云服務(wù)進 48V 50 51 53 54 55 59 6反映網(wǎng)絡(luò)空間格局變化的“晴雨表”與“風(fēng)向標”。俄烏沖突作為2022年最為突出的地緣政治事件，激化APT組織形成持續(xù)至今馬未動，木馬先行”成為新常態(tài)；在目標上，持續(xù)攻擊政府、軍絡(luò)空間代理人戰(zhàn)爭”顯現(xiàn)；在范圍上，影響外溢至其他國家和地7抗和反溯源技術(shù)；新興APT組織“陰謀”涌現(xiàn)，攻擊危害不容忽視。新老APT組織還利用開源工具、設(shè)置假旗、濫用合法憑證5.APT攻防向體系化方向發(fā)展，網(wǎng)絡(luò)空間“對等打擊”“相互名羞辱”“精準制裁”等成為美西方網(wǎng)絡(luò)霸權(quán)的新手段，渲染、強8一、2022年全球APT態(tài)勢圖景2022年，全球APT攻擊數(shù)量再創(chuàng)新高，呈現(xiàn)出全域展開、APT是網(wǎng)絡(luò)空間與地緣政治互動的產(chǎn)物，APT組織活躍趨年全球APT活動進入新一輪活躍期。一是攻擊總量增多。根據(jù)國內(nèi)多家安全廠商的統(tǒng)計顯示，2022年的APT攻擊總量高于泛。三是攻擊形式多樣。2022年，APT組織攻擊形式有一個明宣傳部門，還是攻擊致泄露大量個人信息，部分APT組織正在地緣政治目標一直是APT組織任務(wù)的核心，熱點地緣政治9擊激增。俄烏沖突作為近年最典型的地緣事件，成為推動2022南亞地區(qū)、東北亞等熱點區(qū)域現(xiàn)實沖突不斷，網(wǎng)絡(luò)空間的APT攻擊相應(yīng)配合，相關(guān)國家所涉APT攻擊“高位運行”，如圖1所圖1：2022年度APT主要攻擊目標國家分布），圖2：2022年度APT主要攻擊目標機構(gòu)分布部落”（TransparentTribe）等傳統(tǒng)老牌APT組織在2022年持續(xù)圖3：2022年度主要APT攻擊組織分布2022年，全球政治亂象紛呈，大國博弈趨于白熱，APT攻太戰(zhàn)略》，攪動印太局勢；東北亞和南亞APT組織伺機而動；印度與巴基斯坦APT攻擊持續(xù)高漲；伊朗和以色列之間APT攻俄烏沖突作為2022年最為突出的地緣政治事件，激化APT演著戰(zhàn)場“偵察兵”角色。早至2021年下半年，雙方能源和通信頻低烈”的行動增多，攻心為上，以影響對方輿論場的信息戰(zhàn)行APT攻擊從最早聚焦于軍事目標以及關(guān)鍵基礎(chǔ)設(shè)施到后來拓展國防部、軍事通信部門以及國防承包商等涉軍機構(gòu)成為APT攻斯天然氣、礦業(yè)、金融等重要信息系統(tǒng)等均遭到嚴重攻擊，“北溪2號”天然氣管道運營商就曾因網(wǎng)攻暫時關(guān)閉網(wǎng)站。此外，俄大信息泄露事件。如，12萬參戰(zhàn)俄羅斯軍人個人信息、俄羅斯銀行1TB的數(shù)據(jù)等。泄露個人信息是國家級沖突影響普通個體引發(fā)全球關(guān)注，除來自俄烏兩國的APT組織，域外國家、組織甚至個人或直接或間接參與到?jīng)_突中，現(xiàn)實國際關(guān)系中的“區(qū)域戰(zhàn)”演變?yōu)樘摂M網(wǎng)絡(luò)空間的“全體戰(zhàn)”。一方面，國際性黑客組織對俄羅斯發(fā)起網(wǎng)絡(luò)攻擊，各類國際黑客組織相繼發(fā)表立場聲明，意圖“渾水摸魚”擴大聲勢。如，“匿名者”向俄方宣戰(zhàn)，針對俄政壓力較大，攻擊數(shù)量多難以追蹤溯源，許多域外國家APT組織思科、ESET等網(wǎng)絡(luò)安全企業(yè)利用先進的遙測技術(shù)遠程“勘探”戰(zhàn)場，充當網(wǎng)絡(luò)攻防的“軍師”，向烏克蘭提出應(yīng)對措施和建議，并公開發(fā)布網(wǎng)絡(luò)安全報告，持續(xù)披露來自俄羅斯網(wǎng)絡(luò)攻擊的策略、造俄羅斯在網(wǎng)絡(luò)空間“恃強凌弱”的形象，激發(fā)更多立場傾向明顯四是范圍上，APT影響外溢其他國家和地區(qū)。隨著隊”國家或組織進行攻擊。如，俄烏沖突爆發(fā)后，支持烏克蘭的2.東北亞安全局勢推動APT組織“高位運轉(zhuǎn)”“半島爭端”由來已久，朝韓兩國的APT攻擊淵源頗深，在韓總統(tǒng)尹錫悅改變前任的溫和政策，積極參與“印太經(jīng)濟框架”事威懾并強化制裁等強硬舉措，直接加劇了東北亞局勢緊張。為代表的典型APT組織的高活躍度正是對于該地區(qū)局勢趨緊的一是半島政治問題是熱點誘餌。APT組織一直善于利用能將目標延伸至化工和信息技術(shù)相關(guān)部門，以實疑似來自韓國的APT組織“黑店”2利用新的火狐瀏覽器的零日漏印巴沖突持續(xù)數(shù)十年，早已從現(xiàn)實沖突延伸到網(wǎng)絡(luò)空間。2022年，美國轉(zhuǎn)向“印太”，明確印度作為“四邊安全對話”“印太經(jīng)濟框架”等機制的重要成員，積極拉攏孟加拉國略”圈，系列舉動打破地區(qū)平衡，刺激巴基斯坦逐漸回歸與印度對抗的傳統(tǒng)政策?；诖?，“響尾蛇”（SideWinder）、“蔓靈花”/apt-trends-report-q2-2022/106995/觀點來自俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基分析“肚腦蟲”（DoNot）至少從2016年開始活躍，主要針對巴基斯坦、斯里蘭卡、孟加拉國和一是軍情部門是眾矢之的。在南亞地區(qū)的APT組織中，軍“透明部落”針對印度軍事人員，“摩訶草”針對巴基斯坦國防部，“金剛象”針對巴基斯坦軍方，均發(fā)起有組織、有政策也會招致外部APT組織的干擾。如，2022年下半年，巴基斯坦在反恐方面的高調(diào)表現(xiàn)引發(fā)了印度APT組織“摩羅桫”（Confucius）4的關(guān)注，針對巴基斯坦木爾坦地區(qū)的武裝力量發(fā)起攻擊。二是重要群體成攻擊熱門。為擴大攻擊效果，許多APT組間跳板，并選取在特別時機開展攻擊。如，“蔓靈花”在2022年錯綜復(fù)雜的政治局勢使得中東地區(qū)一直都是APT攻擊的高發(fā)區(qū)，從“震網(wǎng)”到Duqu，網(wǎng)絡(luò)戰(zhàn)在中東儼然成為常態(tài)，在軍事Confucius疑似由印度資助，從2013年開始執(zhí)行網(wǎng)絡(luò)攻擊活動，戰(zhàn)中的地位越來越凸顯。中東地區(qū)活躍的APT組織主要包括司展開攻擊。重點實體也逐漸成為主要攻擊目標二是直接配合軍事行動。2022年，伊朗和以色列沖突多烈病毒（又稱為iLOBleed）正針對惠普企業(yè)服務(wù)器展開攻擊，可從遠程感染設(shè)施并擦除數(shù)據(jù)。2022年6月，疑似來自以色列的的APT組織對伊朗多家鋼鐵制造商實施三起大規(guī)模攻擊，造成/sophisticated-ilobleed-rootkit-targets-hp-servers/倆”。雖然新冠疫情在全球已近結(jié)束，但是許多APT組織仍在利用公眾恐慌來開發(fā)各種惡意軟件變體，形成獨具風(fēng)格的“后疫情類攻擊鏈條中，使用帶有新冠疫情主題的電子郵件或惡意鏈接，攻擊維持高位。受疫情影響，部分經(jīng)濟目標導(dǎo)向的APT組織將取錢財。如，朝鮮黑客組織利用Maui勒索軟件攻擊醫(yī)療保健和/cn/zh/pages/risk/articles/threat-advisory-cybercriminal-activity-織利用Exchange郵件服務(wù)器零日漏洞發(fā)起攻擊；較多公司在疫情期間所使用的AtlassianConfluence軟件被檢測到漏洞利用情傳統(tǒng)的APT攻擊主要集中于政府、軍工、電力、能源、外當一部分對于經(jīng)濟訴求較為明顯的APT組織活動更趨頻繁，逐標，“不僅尋求信息，還追求金錢”7成為當前APT組織復(fù)雜性的表現(xiàn)之一。2022年，涉及挖礦軟件、勒索攻擊、竊取加密貨幣勒索加密實施真實攻擊的掩護，也包含APT組織本身以牟利為/about/press-releases/2022_low-level-implants-crypt-geopolitical-attacks-what-apt-actors-g二、我國是APT主要受害國我國面臨的APT網(wǎng)絡(luò)攻擊威脅是全方位的，風(fēng)險源既有國家背景的超高能力威脅行為體，如，美國國家安全局網(wǎng)攻組織圖4：2022年度受害目標涉及中國的公開報告數(shù)量月度分布2022年針對中國的APT攻擊呈現(xiàn)持續(xù)高發(fā)狀態(tài)，國內(nèi)安全公司公開發(fā)布的受害目標涉及中國的活躍組織分析報告22份，攻擊事件遠高于公開披露數(shù)據(jù)，僅對我攻擊的APT組織就達數(shù)表1：針對我國的部分APT組織“方程式”隸屬于NSA，其用于針對我國內(nèi)目標的頂級后門“Bvp47”、“酸狐貍”漏洞攻擊武器平臺、“驗證器”（Validator）木馬程序、“飲茶”（Suctionchar_Agent）木馬程序等攻擊武器先后被披露BlueNoroff“黑店”“蔓靈花”“海蓮花”“摩訶草”Patchinfecter木馬、Infectedloader“暗象”2022年，我國大量IP與多個境外APT組織C2服務(wù)器（Command&ControlServer，遠控服務(wù)器）發(fā)生通信行為，攻著高于其他時期，6月份境內(nèi)疑似受控的IP數(shù)量甚至達到了12月的2倍，如圖5所示。圖5：2022年中國境內(nèi)疑似受控IP數(shù)量月度分布圖6：2022年每月受控IP數(shù)量與2021年同期對比圖7：2022年APT組織控制境內(nèi)IP數(shù)量占比及C2服務(wù)器數(shù)量分布非法連接，主要發(fā)起攻擊的APT組織具體占比情況如圖7所示。絡(luò)攻擊，憑借其復(fù)雜的技術(shù)手段，難以窺其全貌。2022年曝光的美國安局所屬的“方程式”對我國內(nèi)重要基礎(chǔ)設(shè)施發(fā)起多起大各APT組織在長期針對我國網(wǎng)絡(luò)攻擊中逐漸“摸清”我重要年5月針對我國產(chǎn)化系統(tǒng)的定向攻擊中專門基于我國產(chǎn)化系統(tǒng)木馬程序8?！澳υX草”在對我攻擊活動中所使用的后門程序在連AgainstTheWest（ATW）黑客組織早期主要針對SonarQube代碼質(zhì)量管理平臺進行攻擊，在2022年初其攻擊目標又擴大到我部分APT組織為實現(xiàn)更深層次的控制和隱蔽，不斷更新迭規(guī)避、繞過網(wǎng)絡(luò)、主機等層面檢測。如，“摩訶草”在2022年的流量層面的隱藏；攻擊載荷中增加對重點API到我國目標系統(tǒng)的攻擊事件高發(fā)。Log4j作為近兩年來據(jù)統(tǒng)計，僅2022年上半年，我國內(nèi)遭受利用Log4j漏洞的攻擊資料來源于奇安信威脅情報中心/s/BXjZ6fE/s/IwcxY3T涉華APT組織重點關(guān)注政府、科研、金融等關(guān)鍵信息基礎(chǔ)圖8：2022年高級威脅事件涉及境內(nèi)行業(yè)分布情況涉華APT組織在長期攻擊活動中形成一定的行業(yè)傾向，如/news/216220/sonicwall-2022-cyber-threat-report表2：針對我國境內(nèi)目標的活躍APT組織及其關(guān)注的行業(yè)領(lǐng)域“海蓮花”“毒云藤”“金眼狗”“蔓靈花”“摩耶象”“摩訶草”2022年，中國境內(nèi)疑似連接過境外APT組織C2服務(wù)器的IP地址數(shù)量較多的前10個省份地域如圖9所示?？梢钥闯?，經(jīng)濟發(fā)達省份和政治中心是境外APT組織重點攻擊的主要目標地區(qū)，其中，北京市是APT組織的重點目標地區(qū)，其次是廣東、圖9：2022年中國境內(nèi)疑似受控IP地域分布針對北京市進行攻擊的境外APT組織依然主要來自我國周表3：攻擊北京市內(nèi)目標的境外APT組織排名1“海蓮花”5“肚腦蟲”2“毒云藤”6“金眼狗”37“響尾蛇”4“拉撒路”8“摩訶草”后門部署、網(wǎng)絡(luò)攻擊等活動，其中APT是重要手段。2022年曝光的美國對我APT攻擊事件中，顯示美對我開展大規(guī)模、長時隸屬于美國的APT組織技術(shù)復(fù)雜、溯源難度大，在針對目均是潛伏多年的老練APT組織，APT-C-40針對系列行業(yè)龍頭企業(yè)長達十余年時間的攻擊活動12就是美對我長期開展網(wǎng)絡(luò)情報刺3.攻擊目標“精”要技術(shù)領(lǐng)域，2022年3月份曝光的美國國家安全局（NSA）針更加聚焦的攻擊目標以及更高級的手段運用也是美國區(qū)別于其中，美國各級別的盟友在攻擊鏈中占據(jù)關(guān)鍵節(jié)點。2022年6月代理服務(wù)器，廣泛分布在日本、韓國、瑞典、波蘭、烏克蘭等17個國家，其中70%位于中國周邊國家14?？梢钥闯?，“五眼聯(lián)盟”此類在傳統(tǒng)地緣中結(jié)成的聯(lián)盟在網(wǎng)絡(luò)空間依然聯(lián)結(jié)緊密。美/head/zhaiyao/news202209三、典型手法圖10：APT攻擊流程圖2022年度，APT組織在入侵、執(zhí)行、橫向移動、命令控制一方面，大量個人數(shù)據(jù)泄露成為APT組織開展目標偵察的不斷增多，預(yù)計類似上述通過清洗數(shù)據(jù)確認攻擊目標的APT偵另一方面，APT組織更為主動挖掘目標信息。并不滿足于如，有APT組織會主動購買商業(yè)化的威脅情報類數(shù)據(jù)，通過搜一是借助社交媒體搜索“目標獵物”。推特、領(lǐng)英、Discord件，竊取受害者設(shè)備的信息15。此外，攻擊者更為頻繁地滲透特件入侵的手段。如，Phosphorous組織在發(fā)送惡意郵件前，會首三是巧用流量推廣開展水坑攻擊。APT組織正在提高水坑釣魚的攻擊效率。如，“透明部落”在2022年下半年一次針對印度政府的活動中，搭建一個偽造Kavach應(yīng)用程序下載頁面的水/en-us/security/blog/2022/09/29/zinc-weaponizing-open-/research/notice&report/research_report/20221223.html/2022/check-point-research-exposes-an-iranian-phisheting-former-israeli-foreign-minister-former-us-ambassador-idf-general-and-defense-industr其在反檢測與繞過（Bypass）方面的能力。2022年度，APT組一是繞過技術(shù)創(chuàng)新。繞過技術(shù)是體現(xiàn)APT組織技術(shù)能力的重要方面。如，“拉撒路”組織使用BYOVD（BringYourOwn區(qū)域18。其他繞過及代碼執(zhí)行技術(shù)包括：HTML夾帶19、盜取證書簽名等20、鼠標懸停觸發(fā)21。另外，側(cè)加載技術(shù)作為一種普遍使用的繞過攻擊技術(shù)在2022年利用更廣泛，如“響尾蛇”擊者并未將原始python39.dll文件移除替換，而是直接對該口處，使惡意代碼可以被原始python程序調(diào)用運行24。/en/38993//cloaked-ursa-online-storage-services-campaigns//s/K1uBLGqD8kgsIp1yTyYBfwhttps://cluster25.io/2022/05/13/cozy-smuggl/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-gra/s/qsGxZIiTsuI7o-_XmiHLHg/brute-ratel-c4-tool//darkcasino-apt-evilnum/而獲得強大的終端及網(wǎng)絡(luò)檢測系統(tǒng)的繞過能力與反檢測能力。的免殺功能26；“拉撒路”組織也開始使用一種由Go語言開發(fā)的其強大的運行效率和跨平臺能力，成為HIVE、ALPHV等黑客運行的惡意程序。其他新語言木馬還包括：使用Nim語言編寫擬磁盤映像）文件樣本在VT平臺實現(xiàn)了免于被查殺的效果/apt-retrospection-lorec53-an-active-russian-hack-group-launched-phishing-attacks-against-geor/blog/threat-intelligence/2022/04/new-uac-0056-activity-theres-a-ghttps://blogs.jpcert.or.jp/en/2022/07/yamabot.html/s/U9LIfVVP5kHBFFt0LN0Q-A/us/en/pdfviewer?file=/content/dam/blackberry-com/asset/enterprise/pdf/direct/report-old-dogs-new-tric/s/nnLqUBPX8xZ3hCr5u-iSjQ/apt-trends-report-q2-2022/106995/文件”攻擊包括：Kimsuky使用PowerShell執(zhí)行來自互聯(lián)網(wǎng)的可到寫入文件目的35，該組織還會通過SFTP、端口轉(zhuǎn)發(fā)、RDP等方式，利用多憑證實現(xiàn)多鏈路跳板橫移36。此外，某些情況下受另一方面，CS工具或被逐步替代。長期以來，后滲透框架一直是各APT組織在橫向移動階段最常用的工具之一。然而，組織開始探索該工具的替代品。包括“舒適熊”、FIN12、TA551/s/JEQT3Lv1xoAe0nO7SkrgAA/s/XU2QPzp7weLrrrHCh1XM_A/s/jX8D8d-4q46pKHS0AIVgjw/resources/blog/apt29-windows-credential-roaming/blog/observations-from-the-stellarparticle-campaign//en_us/research/22/a/investigating-apt36-or-earth-karkadda植入定制化木馬程序的方式，使用獨立的SliverC2服務(wù)器控制的具有較高流程構(gòu)建能力的APT組織開始探索將IoT設(shè)備作為跳板的新型攻擊流程。攻擊者首先通過名為“雙頭龍”和Buni的IoT木馬程序控制大量IoT設(shè)備，再通過這些IoT設(shè)備進行流量轉(zhuǎn)發(fā)，使其成為木馬程序與真實C2之間的跳板節(jié)點40，被利用年使用了一種將OneDrive作為跳板的KimAPosT木馬程序，能夠通過讀取指定OneDrive鏈接中的內(nèi)容，決定后續(xù)攻擊方式或/en-us/security/blog/2022/08/24/looking-for-the-sliver-lininerging-command-and-control-/brute-ratel-c4-tool//research/notice&report/research_report/20221202.html者使用的一種名為Graphite的木馬程序可以與指定號連接，接收該賬號目錄中的控制指令并返滲出的數(shù)據(jù)。如，DarkPink在其2022年的網(wǎng)絡(luò)攻擊活動中廣泛的文件合并為壓縮包，再通過Telegram接口發(fā)送給攻擊者控制避免在數(shù)據(jù)泄露過程中遭遇“不可能旅行”（impossibletravel,一種基于通信雙方地理位置判斷異常通信的檢測技術(shù)）類檢測。務(wù)器中搭建了NordVPN作為出口，從而使竊密工具能夠連接與/apt-kimsuky-3//en-us/about/newsroom/stories/research/prime-ministers-office-compromise/about/press-releases/2022_low-level-implants/blog/dark-pink-apt/信45。通信信道構(gòu)建方面，“舒適熊”曾利用團隊協(xié)作通信服務(wù)Slack46、Dropbox47等作為C2信道；另外，DNS劫持48、DNS克、波蘭等國家的網(wǎng)絡(luò)竊密行動中使用了朝鮮背景ScarCruft組織的慣用竊密木馬“Konni”，但同時活動中使用的IP地址、服務(wù)運營商、甚至主機名均與APT28組織存在歷史數(shù)據(jù)關(guān)聯(lián)情況，使得最終的溯源結(jié)論依然成迷50。另外，印巴雙方網(wǎng)絡(luò)戰(zhàn)持續(xù)焦/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeons-for-data-exfiltration-and-de.it/news/il-malware-envyscout-apt29-e-stato-veicolato-anche-in-italia//cloaked-ursa-online-storage-services-campaigns//blogs/security-research/lyceum-net-dns-backdoor/threat-intelligence/2022/05/apt34-targets-jordan-gove/blog/stiffbizon-detection-new-attack-campaign-observed/2.利用Web服務(wù)隱藏通過合法Web服務(wù)進行雙向通信，利用Web服務(wù)向受感染的系向通信，通過Web服務(wù)僅向受感染系統(tǒng)發(fā)送命令，而不接收響應(yīng)。Web服務(wù)通常使用SSL/TLS加密，為攻擊者提供更高級別確保攻擊武器投向真正目標用戶。如，Kimsuky在2022年8月），/2022/02/whats-with-shared-vba-code.html合法憑證濫用是APT攻擊中最常用的技術(shù)手段之一，通常/us/blog/threat-insight/ugg-boots-4-sale-tale-palestinian-al/s/jdMsvLamCD/s/cW2Evf6Nqb3fhQ7ntnKHsA/s/2RluW4O56UWiNSQB2hQtGA各APT組織不僅追求穩(wěn)定、高效的漏洞利用技術(shù)，在漏洞2022年雖與2021年同期披露的APT攻擊利用的零日漏洞的數(shù)量有所減少，但利用數(shù)量仍處于高位。一些攻擊能力較高的組織越來越多地利用在野漏洞作為初始攻擊媒介。2022年，雖為歷史漏洞，但由于其影響因素及危害程度，仍然是APT組/news/security/hackers-exploit-three-year-old-telerik-flaws-to-APT組織利用的有力工具。2022年上半年曝光的Spring4Shell漏洞依舊是網(wǎng)絡(luò)安全事件的“策源地”，越來越多的APT組織對年初檢測到“迷人小貓”組織正在利用Log4j漏洞進行攻擊并在水”使用SysAid應(yīng)用程序中的Log4j2漏洞攻擊以色列組織58。/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular/news/muddywater-targets-log4j-sysaid/四、2022年重點組織概覽擴大攻擊面，升級技術(shù)手段，形成不容忽視的件，以此對抗安全探測，增加攻擊活動溯源難“海蓮花”61社會工程學(xué)技巧嫻熟，常用魚叉攻擊水坑攻擊，擊的APT組織，活動可追溯到2007年。分析來自360高級威脅研究院相關(guān)重要領(lǐng)域展開有組織、有計劃、不間斷的網(wǎng)絡(luò)攻擊，后擴展至柬埔寨、泰國、老撾、歐CobaltStrikeBeacon的載荷，以此做到免殺62。二是注重同安全特馬作為流量隱藏和跳板長期控制IoT設(shè)備63。是更新攻擊加密貨幣與區(qū)塊鏈相關(guān)領(lǐng)域的技術(shù)，采用MSI文件力，在其使用的網(wǎng)絡(luò)間諜工具框架META中不斷更新供應(yīng)鏈攻“迷人小貓”66以政治動機和社會工程學(xué)攻擊而著稱，經(jīng)常將分析來自知道創(chuàng)宇A(yù)PT威脅情報團隊分析來自微步在線APT威脅情報團隊/apt-trends-report-q2-2022/106995/活動可追溯至2012年，攻擊目標聚焦于伊朗專家、人權(quán)活動人士和媒體人員。網(wǎng)絡(luò)釣魚用作攻擊媒介。2022年，該組織使用啟用宏的模板文虎和微軟Outlook收件箱67。該組織還被捕獲心理學(xué)原理，將其社會工程提升到一個新的水平68?！奥`花”69擅長利用魚叉郵件以及系統(tǒng)漏洞網(wǎng)絡(luò)間諜行動中分發(fā)安卓間諜軟件Dracarys71。三是增加惡意負2022年活動中的CHM樣本可將同目錄下的PE文件進行自復(fù)制實現(xiàn)持久化并且偽裝成系統(tǒng)文件72，更具隱https://therecord.media/google-says-iranian-group-using-tool-to-download-gmail-yahoo-outlook/us/blog/threat-insight/ta453-uses-multi-persona-impersonation-capita/2022/05/bitter-apt-adds-bangladesh-to-their.html/2022/08/09/bitter-apt-group-using-dracarys-android-spyware//dy/article/GTD4AUVO0538B1YX.html會成為新的受控者。二是Infectedloader木馬，該木馬利用微軟的APT組織。三是Ragnatela木馬，“摩訶草”建立了Ragnatela7.“舒適熊”攜新隱藏工具“回歸”“舒適熊”75擁有出色的滲透能力，在2022年被發(fā)現(xiàn)76在其攻的合法DLL替換為惡意版本,以操縱用戶身份驗證證書并修改來自知道創(chuàng)宇A(yù)PT威脅情報團隊成員國的政府部門，常用工具包括各種Windows平/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-tKimsuky77擁有功能完善的惡意代碼武器庫，慣用社會工程“響尾蛇”79慣常采用魚叉攻擊的方式，2022年主要在免殺手組織構(gòu)建的釣魚網(wǎng)站中會根據(jù)IP篩選目標群體，針對非目標群“污水”80慣常采用魚叉式網(wǎng)絡(luò)釣魚、已知漏洞利用以及多種/kimsukys-golddragon-cluster-and-its-c2-operations/107258/最早于2012年披露，主要針對巴基斯坦、中國及其他東南亞國家的政府、軍事目標。Powerstats的變種以及新家族SmallSieve。2022年，“污水”在TTPs上的新動向主要是利用“金絲雀令牌”81跟蹤目標是否成功“金剛象”（VajraEleph）82是2021年開始活動的具有印度背 景的APT組織，最初主要以巴基斯坦軍方人員為目標開展有組并優(yōu)化攻擊武器83。“金剛象”攻擊活動的顯著特點是主要針對安 Polonium是2022年6月由微軟首次公開披露84的APT組織。金絲雀令牌是honey令牌的一個子集，當使用時，會觸發(fā)假永遠不會被合法的工作人員使用，因此任何使用金絲雀令牌訪問資源的嘗/s/xKKr5UV26npohwvyv79U0w/s/103MfZHdQ9lWlM6rSLfqcA/en-us/security/blog/2022/06/02/exposing-polonium-activite-targeting-israeli-orga2022年期間入侵了20余家以色列組織。Polonium在攻擊活動中OneDrive賬戶和Dropbox賬戶，分別利用其提供的云計算資源和云存儲資源，對受害者執(zhí)行命令和控制，并2022年4月，IBM發(fā)布報告稱，在東歐發(fā)現(xiàn)了一系列新的網(wǎng)絡(luò)釣魚活動，傳播部署“無文件”惡意軟件DarkWatchMan。用域生成算法(DGA)來識別C2基礎(chǔ)設(shè)施，并用于“無文件”持新方法。IBM將實施該網(wǎng)絡(luò)攻擊活動的組織命名為Hive0117，“穆倫鯊”是一個活躍于中東地區(qū)的新型威脅/posts/hive00117-fileless-malware-delivery-eastern-europe/5.Agrius利用VPN服務(wù)進行匿名化Agrius組織是2021年5月披露的新組織86，主要利用ProtonVPN匿名訪問受害者的系統(tǒng)并部署WebShell，使用的WebShell大多是開源惡意軟件ASPXSpy變體。這些WebShell Metador旨在繞過本地安全解決方案，同時將MetaMain和/from-wiper-to-ransomware-the-evolution-of-agrius//labs/the-mystery-of-metador-an-unattributed-threat-hiding-in-telcos/labs/deepwatch-ati-detects-and-responds-to-never-before-discovered-backdoor-deployed-using-confluence-vulnerability-for-suspected-境，隨后會在受害者的服務(wù)器上部署新的永久化后門Ljl。它能實現(xiàn)收集文件和用戶帳戶、加載任意.NET有效負載、收集系統(tǒng)月新披露的一個活躍長達的十年的威脅組織89。該組織主要針對其近十年來一直逃避偵查，用過時的鍵盤記錄器和現(xiàn)成的RATDangerousSavanna90是近兩年新出現(xiàn)的針對非洲法語區(qū)金融機構(gòu)的APT組織。攻擊者主要使用魚叉式網(wǎng)絡(luò)釣魚作為初始感/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence//dangerous-savanna-campaign-attacked-african-financial-institutions/染手段，使用Gmail和Hotmail服務(wù)向至少五個不同法語國家的DangerousSavanna在受感染的環(huán)境中安裝自有工具，工具基于外，攻擊者善于使用PDF文件引誘用戶下載并手動執(zhí)行），露91，其目標是中東地區(qū)的石油和天然氣公司。Lyceum曾使用/blogs/security-research/lyceum-net-dns-backdoor五、趨勢研判俄烏沖突中，多個國家級APT組織在網(wǎng)絡(luò)空間層面扮演了2.上升為政治“籌碼”對APT攻擊的歸因、調(diào)查、披露等行為的政治意味日益突將更為明顯。未來針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的APT攻在長期地緣沖突中，APT組織之間、APT組織與安全企業(yè)近年來，隨著攻擊量不斷增長，部分APT組織吸收融合其需求。如，活動于南亞地區(qū)的Sidecopy組織主要是為對抗來自印度的“響尾蛇”（Sidewinder）組織而成立疑似針對印度國防部開展攻擊，樣本攻擊流程仍然以模仿“響尾共享基礎(chǔ)設(shè)施、惡意軟件編碼、武器庫在APT組織中日益溯源，還直接參與到APT攻擊的攻防對抗。如，微軟禁用用于監(jiān)視、網(wǎng)絡(luò)釣魚和電子郵件收集的帳戶以破壞俄羅斯黑客組織參與到現(xiàn)實軍事沖突以及APT組織之間的沖突，其自身也正在成為APT組織攻擊的新目標，APT組織以攻擊網(wǎng)絡(luò)安全企業(yè)作通過入侵軟件供應(yīng)商并污染上游軟件代