绿盟科技2022年度APT高级威胁报告_第1页
绿盟科技2022年度APT高级威胁报告_第2页
绿盟科技2022年度APT高级威胁报告_第3页
绿盟科技2022年度APT高级威胁报告_第4页
绿盟科技2022年度APT高级威胁报告_第5页
已阅读5页,还剩89页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

绿盟科技2022年度2022年度APT高级威胁报告2022年度APT高级威胁报告绿盟科技集团股份有限公司(以下简称绿盟科技),成立于20002执行摘要0010032.1概述0042.2俄乌网络战时间线0042.3俄乌网络战参与组织007俄乌网络战主要攻击类型007执行摘要0010032.1概述0042.2俄乌网络战时间线0042.3俄乌网络战参与组织007俄乌网络战主要攻击类型0072.5思考013APT0153.1概述0163.2总览0163.3针对我国的APT活动019本年度确认的新型APT组织0213.5APT组织对新型漏洞的滥用情况0243.6重点地区的APT活动0253.7小结0324.1本年度勒索软件攻击概况4.2本年度的代表性勒索软件家族4.3RaaS模式的发展4.4思考2022年度APT高级威胁报告0022022年,在全球经济下行、地缘冲突爆发、加密货币市场萎靡等因素影响下,高级威胁事件整体呈现爆发趋势。在活跃组织数量、攻击事件数量、新型攻击工具数量等高级威胁主本年度,绿盟科技伏影实验室对阶段性爆发的网络战威胁、长期持续的APT威胁、以及网络攻击能力已经成为一种能够在地缘冲突中发挥重要作用的武器资源。俄乌冲突的各个阶段,俄乌双方在网络空间中进行了以窃密、控制和瘫痪等为目标的各式网络攻击活动,认知混淆和舆论控制已经成为网络战的重要组成部分。俄乌网络战中出现了大量以欺骗认知或诱导舆论为目标的网络攻击事件,此类事件通过控制宣传平台或滥用宣传渠道,用大APT攻击更深度地与地缘政治冲突绑定,东欧、南亚、中东等冲突地区与敏感地区的APT活动强度持续增加。本年度保持活跃的区域性APT组织包括Gamaredon、Kimsuky、LazarusPatchwork景下,相关国家对冲突地区的关本年度我国遭受大量APT攻击与勒索攻击,攻击来源主要为美国、越南与印度。这些APT组织大多以我国高校和大型企业等作为目标,以N-day漏洞利用或社会工程学的方式入本年度勒索软件领域的RaaS(勒索软件即服务)模式继续高速发展,各大勒索软件团伙开始进入更激烈的恶性竞争阶段。较小的勒索软件团伙不断用攻击大型企业的方式尝试扩大。0042022年度APT高级威胁报告2.1概述本年度,随着俄乌冲突的爆发,一场激烈程度高、持续时间长的网络战也逐渐被大众所认知。由俄罗斯和乌克兰的网络力量以及援助双方的组织及团体主导,俄乌网络战成为了国家力量、APT组织、勒索软件组织、民间黑客团体、个人攻击者等多方势力共同参与的大型高级威胁事件,在不同程度上影响到了俄乌双方组织机构运行、国际舆论甚至战争走向等方绿盟科技伏影实验室在俄乌网络战的准备时期开始便对其保持高度关注,并在持续监控S道和分析了现代网络战的形式和构成123456。俄乌网络战是俄乌两国热战在网络空间领域的延伸,在这场网络战争中,俄乌双方的网络力量不仅采取了如网络间谍活动、数据擦除攻击、拒绝服务攻击等多种攻击手段,而且随着战局的变化双方都在灵活地调整角色定位,甚至开始担任破坏设施、操纵舆论、制造恐慌俄乌网络战的发生和发展表明,网络战争已经成为一种在地缘冲突中发挥重要作用的战略武器,为世界各国提供了一个重要的网络作战研究案例,并对网络空间作战的概念、方法和地位产生了深远的影响,促使各国不断加强网络安全防御,并加强在网络空间的军事行动2.2俄乌网络战时间线2022年2月24日,乌克兰地区的军事冲突爆发,俄罗斯、乌克兰以及各幕后势力之间的较量吸引了全世界的目光。随着事件的发展,这场现实世界中的冲突,史无前例地影响到了网络空间中的各个方面。绿盟科技伏影实验室基于绿盟科技全球威胁狩猎系统和威胁追踪1/apt-lorec53-20220216/2/cldap-ntp/3/itw-privatbank/4/it-ddos-31/5/atp-whisperga-mbr/6/ddos-apt-sec/网络战威胁005图2.1俄乌网络战争时间线2021年年底至2022年年初,俄乌局势仍不明朗,这个时期活跃的亲俄APT组织如Lorec53、Gamaredon扮演着网络侦察兵的角色,向乌克兰的军、政、企等领域伸出触角,覆盖范围更加全面,采集目标网络设施的真实网络地址、网络资源情况、网络拓扑结构、敏。开始针对军事单位以外的目标,向乌克兰的政府部门、军事目标、外交部门、媒体等可能持行动的情报。俄方APT组织在顿涅茨克、卢甘斯克等乌克兰东0062022年度APT高级威胁报告APT织在战争初期的作战时间线在俄乌冲突正式爆发时,隶属俄罗斯的APT组织与隶属乌克兰的网络力量立即转入激烈的攻防对抗活动中,开启以控制为目标的网络特种作战。该阶段的典型案例是俄乌双方通过线上论坛、线下媒体的形式全方位地渲染战争氛围,强调一方对另一方的入侵活动等。通过封锁媒体播放渠道,掌控世界话语权,渲染以强欺弱氛围,将军事活动定义为入侵攻击,占在俄乌冲突持续阶段,亲俄的APT组织与亲乌的网络力量立即转入激烈的攻防对抗活动,该阶段的典型案例是俄罗斯方面的数据破坏活动与乌克兰方面的DDoS行动。Lorec53007网络战威胁了针对乌克兰多个组织的破坏式网络攻击行动。Sandworm组织执行了多起针对电力设施等乌克兰关键设施的数据破坏行动,开发并使用了名为HermeticWiper、HermeticRansom、Gamaredon组织在战争初期也承担了一部分数据破坏任务。一种名为IsaacWiper的数了针对俄罗斯的DDoS攻击行动。组织领导者为该群体提供了一个包含31个俄罗斯关键基础设施目标的针对性清单、多种DDoS攻击工具和对应的教学文档、以及位于俄罗斯境内的此外,国际黑客组织匿名者(Anonymous)也在战争开始后不久宣布加入乌克兰一方,在短时间内培养和组织了能够发起网络攻击的亲乌黑客群体。匿名者组织通过入侵数据库、屏蔽Telegram站点、劫持流媒体等方式对俄罗斯线上服务进行直接的破坏,以阻止俄罗斯2.3俄乌网络战参与组织俄乌冲突中的网络战是美国与西方国家联手支持的网络力量,协助乌克兰在网络空间层面与俄罗斯进行的博弈。以Anonymous和ITARMYofUkraine为代表的支持乌克兰的网络力量主要以DDoS为主的攻击手段针对俄罗斯的政府、国防、能源、金融发起以瘫痪为目标的网络特种作战。以Gamaredon、Lorec53(洛瑞熊)、Sandworm、APT29等为代表的支持俄罗斯的网络力量主要以数据擦除攻击、DDoS攻击、勒索攻击、钓鱼攻击等手段针对乌克兰以及支持乌克兰的西方国家发起以窃密、控制、瘫痪为目标的网络特种作战。其他网络2.4俄乌网络战主要攻击类型绿盟科技伏影实验室对俄乌网络战中出现的各种网络攻击类型进行分析后,发现这些攻控制与瘫痪三种类型。其中,窃密类网络攻击主要包括由APT组织发起的间谍式攻击活动以及民间黑客组织发起的社交网络钓鱼活动;控制类网络攻击主要包括俄乌双方国家力量与民间力量发起的舆论控制类网络活动;而瘫痪类网络攻击则包括由APT0082022年度APT高级威胁报告S长期以来,国家级APT组织的主要任务就是长期监控特定目标并持续收集情报,这些APT组织在战争期间担任了对敌方军事目标的窃密工作,通过钓鱼、水坑等方式尽可能收集Lorec了以个人经济制裁为诱饵的鱼叉式钓鱼攻击,目标广泛覆盖乌克兰东部地区的政府与国有企业。Lorec53投递的钓鱼文档用于下载对应的间谍战争爆发后,绿盟科技伏影实验室捕获了大量以俄语作战信息或乌克兰语军队调度信息为诱饵的网络攻击活动。这些活动多数来自APT组织Gamaredon,目标为乌克兰东部各州网络战威胁009上述APT活动仅仅是俄乌战争期间海量网络窃密活动中的冰山一角。本年度绿盟科技观此外,俄乌网络战期间还有一部分窃密攻击活动通过社交媒体展开,攻击者则多为民间文件。组织者在群组内发布了多个黑客工具,包括一个名为“ddos-reaper.zip”的文件。发布者通过宣传该工具的DDoS攻击功能,诱导组群组内成员使用。经分析,该工具实际上是一个窃密软件,当使用者运行该工具后,自身信息就会被泄露给攻击者,可谓是“螳螂捕蝉2022年度APT高级威胁报告0亲俄组织舆论控制在俄乌网络战中,由俄罗斯方面民间力量与上级组织者构成的部分亲俄组织,通过各种渠道发起针对乌克兰及其盟友的舆论控制攻击活动。这些亲俄组织一方面通过攻击反俄言论攻击平台,抑制对俄不利消息传播;另一方面通过发起舆论攻势,包括在社交平台发布每日俄方前线战况、辟谣反俄言论、公布叛军信息等措施来进行信息混淆与舆论操作,引导舆论011网络战威胁亲乌组织舆论控制绿盟科技在对俄乌网络冲突的持续监测中发现,亲乌组织在对俄发动大规模DDoS攻击之后,及时利用俄罗斯网络基础设施无法及时对外通信的空档期进行舆论控制攻击。这些组对外宣称其已窃取大量俄方机密资料,并在互联网上大肆泄露文件,营造一种俄罗斯IT基在上述攻击后,亲乌组织搭建民众可自由参与的反俄言论攻击平台,使用窃取的俄罗斯公民个人电话、邮箱、WhatsApp账户等个人凭证,通过社交平台对俄罗斯民众大量散布反俄言论,制造对俄罗斯不利的社会舆论氛围,试图通过这种攻击方式制造俄罗斯国内和国际0122022年度APT高级威胁报告数据擦除式瘫痪攻击WisperGate木马植入到了多个乌克兰政府和信息技术相关组织目标的主机中。绿盟科技伏影实验室对WisperGate木马进行分析发现,虽然该木马会在运行后显示勒索和赎金相关信息,但木马的实际功能为直接覆盖受害主机中所有文件的内容,是典型的数据破坏型木马。WhisperGate目标指向乌克兰的政府、非营利组织和信息技术实体。WhisperGate实际上是另一种被称为HermeticRansom的勒索软件被用在俄乌战争爆发后,俄罗斯方面HermeticRansomAES密文件内容并在受害者主机桌面留下勒索信。已有分析表明,这种勒索软件可能被攻击者用于制造麻烦,使乌除以上木马外,俄乌网络战期间还出现了IsaacRansom、IsaacWiper、Industroyer2等多种数据破坏类木马程序。这些木马程序的开发水平参差不齐,实现效果各有侧重,说明网拒绝服务式瘫痪攻击013网络战威胁的攻击,致使银行无法正常提供服务。2月15日,国外媒体攻击者首先在2月14日的凌晨4点针对乌克兰国家公务员事务局(.ua)与乌2月16日,监测系统又监测到了针对Privatbank(乌克兰最大的银行)的攻击事件,连续攻性。上述DDoS攻击的主要目的为在一定时间内瘫痪攻击目标的线上服务,从而为其他类型DDoS出现在俄乌网络战的爆发阶段,已经成为一种瘫痪目2.5思考当下网络特种作战的主要形式包括网络间谍活动、网络破坏、认知作战等,目的是通过对敌方网络进行侵入式攻击,实现对敌方信息和通信系统的控制,削弱敌方的军事实力,进而实现军事战略目标。随着网络作战攻击者在技术能力、组织能力等方面的发展,未来网络络战为代表,可以看到当下国家级网络攻击力量构成仍然以APT活动为主。在区域性网络战已经出现,大规模网络战爆发风险大幅增加的当下,APT组织一方面充当网络间谍的角色,通过利用更高级的技术手段,更有效地攻击和控制目标网络,窃取敌方军事、政治、科技、民生等领域对决策者有利的高价值情报信息;另一方面充当破坏者的角色,在地缘冲突爆发时期,通过数据破坏攻击远程瘫痪敌方关键基础设施,达到战场支援、网络震慑等目的;APT组织甚至会在战争爆发至相持阶段进行舆论控制,利用消息差对敌进行“认颁布的《网络空间作战》联合条令提出了网络空间作战在指挥控制、情报、火力、机动部署、保障、防护六个环节融入联合作战的措施,建立了网络空间联合作战规划间作战融入联合作战迈入正轨。2018年美军在一次网络研2022年度APT高级威胁报告014讨会上提出,网络战可以在瞬间、同时、全球和连续地发生。要想在这一领域取得成功,就书记曾在网络安全和信息化工作座谈会上强调,网络安全的本质在对抗,对抗的本质在攻防两端能力较量。因此,在国际关系紧张的大环境下,应对可能到来的网络战,防御 (1)加强国家网络安全体系建设,提升网络安全能力,防范和应对网络特种作战的攻击 (2)加强网络军事演练和演习,提高军队网络作战能力,为应对敌方网络特种作战提供 (3)加强与盟友的合作,形成联合作战能力,在网络特种作战中发挥集体优势和作用; (4)加强军民融合业务,建立完善的网络安全军民融合业务政策制度,促进政府和市场 (6)完善网络安全综合应急预案,在网络特种作战事件发生时,采取快速和有效的应急 (7)建立网络安全情报分析机制,实时监测网络安全威胁,及时发现异常行为,并采取 (8)完善网络安全法律制度,规范网络特种作战活动,保障网络安全公共利益; (9)加强国际网络安全合作,在国际舞台上开展网络特种作战演练,提供针对性的解决 (10)增加研究开发力度,探索新的网络安全技术和方法,为应对新型网络特种作战提2022年度APT高级威胁报告0163.1概述本年度绿盟科技捕获或处置的境内APT事件中,最终确认来自海莲花组织的事件占比最高。海莲花组织在调整攻击策略后,开始更加主动地对我国展开网络攻击,严重危害国内企APT发起针对国内高校的攻击,其中以NSA-TAO组织攻击事件最为严重;勒索黑客组织也将我国大型企业作为攻击目标,本年度来自企业侧的境外APT组织活动方面,东欧、南亚、朝鲜半岛以及中东地区的组织表现活跃。受俄乌APT从年初至今始终保持攻击状态,在战争前期的侦察和破坏行APT织延续了从去年年底开始的攻势,对巴基斯坦军事动作以及APT组织除延续以本国利益为出发点的网络间谍活动以的攻击密度;中东方面的APT活动依然集中在地中海东岸本年度,绿盟科技发现了一个新型APT组织穆伦鲨(MurenShark),该组织活跃在土耳其与北塞浦路斯地区,从21年开始持续攻击土耳其研究所、军工产业以及高校;另一个新TEvilnum的黑客小组,针对地中海周边国家和东南亚国家的线上交易平台发起长期的窃密攻击;绿盟科技还标记了多个未确认来源的攻击者,这些攻击者分别向俄罗斯、白俄罗斯、日本、塞浦3.2总览017APT威胁2022年绿盟科技APT线索发现数量统计 绿盟科技APT线索发现数量统计图APT察阶段的行为,而4月至5月出现的线索则大多来自俄乌双方黑客在网络攻防对抗阶段中的TPT018gWGamdmedonyuuddyWrdeanspedSideWinor210aGamk2022年度APT高级威胁报告gWGamdmedonyuuddyWrdeanspedSideWinor210aGamk2022年绿盟科技APT活动捕获时间线 MachetesswordderKimsukyDanActor220318MuddyWaterMuddyWatererousPaEEvilnumTopyopyKimsuKimsukKimsukymsukySideWinderSideWinderonGamaredonasasDwoDwoordord KimsukyK KimsukyKKimsukyGaKimsukyGaGamaredonGonon Cf Cfus TransparentTribeonchworkSideinderSideWinar D DasswordLorec53 K KionnonnusPKiKimsusueCopyeCopyateSirDaeDaeusnCo ConfuciusnComGamDoDConfHaggaciusHaggangsPaswfuciusfuciusDerouDerouonssPasswordGamaronamGamctorAc2Ac2331arerGamarLoreLoreGamaroeGamaroKimsmsuKmsuMkyMony SideCopy Dan DanousPassworhetec5c53msukyBiBitter msukyer msukyAct Kimsuky4 KimsukydeCopyu e3u e3EvilnumMMurenSharkedon numedonPaPatc3Ki3KimsukyCmsukyConfuciusKimsuSiaredonGamarKimslorec53KimsukKimsukyukyLLorec5orec5nn3 SideWinderGaredonDanordord Actor220331ge Actor220331gerousPasswusPasswordusPassword绿盟科技APT活动捕获时间线从时间线分布图可以看出,与俄罗斯国家利益密切相关的Gamaredon组织在2022年全年处于活跃状态,其他与俄罗斯有关的组织如Lorec53也在上半年频繁行动;朝鲜方面的Kimsuky组织与DangerousPassword组织同样长期活跃,分别以韩国政府和虚拟货币产业019KonniBitterActor220318CNCMurenSharkActor210714gga2%MuddyWater2%Patchwork3%SideWinder7%lorec537%Actor220923Machete2%Donot2%Actor2203312%APT威胁KonniBitterActor220318CNCMurenSharkActor210714gga2%MuddyWater2%Patchwork3%SideWinder7%lorec537%Actor220923Machete2%Donot2%Actor2203312%2022年绿盟科技捕获APT活动归属组织统计KimsukyTrTransparentTribe3%EvilnumEvilnum3%Gamaredon7%SideCopSideCopy6%Kimsuky 20% ConfuciusKimsuky 20% Confucius6%GamaredonDangerousPasswordlorec53SideWinderConfuciusSideCopyPatchworkEvilnumTransparentTribeMacheteDonotMuddyWaterActor220331HaggaActor220923MurenSharkCNCActor220318BitterActor210714Konni绿盟科技捕获APT活动归属组织统计图3.3针对我国的APT活动2022年6月22日,西北工业大学发布一则公开声明,表示该校遭受境外网络攻击。处置单位对该事件的调查显示,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)美国国家安全局是已知APT组织方程式(Equation)对应的实体组织,而特定入侵行动办公室则是具体的攻击工具开发者与攻击活动实施者。已披露的信息显示,在本次对西北工业大学的攻击中,TAO通过边界设备漏洞利用、鱼叉攻击等方式获取驻足点后,在目标网络中投放了饮茶(SUCTIONCHAR)、NOPEN等已知方程式组织APT攻击工具来收集域内网NSA能可O0202022年度APT高级威胁报告3.3.2来自海莲花的攻击事件本年度,绿盟科技捕获到多起海莲花组织针对国内企业或机构的攻击事件。海莲花攻击者在这一系列事件中使用了多种不同的入侵手段,积极尝试使用软件供应链攻击、边界设备漏洞利用、泄露凭证利用、网络钓鱼等手段获取目标网络内的驻足点,再通过窃取初始访问节点中的凭证信息进入目标单位内网,最终通过散播商业木马或自制木马窃取目标域内设备上述海莲花攻击模式并非在本年度首次出现,绿盟科技在去年就已监控到使用该模式的多次攻击行为。虽然攻击者的具体实施路线会根据目标网络的状态进行调整,但这些事件依然暴露了可供辨识的一致攻击特征。海莲花攻击者在这些攻击过程中保持了高度的警觉性,能够察觉防御方和处置方的调查行为并进行实时响应。这些事件也反映出海莲花组织对我国企业或组织内常见网络环境的高度理解,该组织可能已构建应用于此类攻击活动的完整对抗3.3.3来自其他APT组织的攻击事件T都通过邮件钓鱼展开,攻击者往往通过构建可信度极高的邮件内容,诱骗高校教授等受害者访问伪装成邮箱登录页面、学术会议网页或论文提交页面的水坑站点,再通过进一步的社会工程学技术使受害者下载运行木马程序。此类攻击的最终目标皆为窃取受害者主机中的高价获到多种能够关联至已知APT组织的窃密木马程序,表明此类活动4.上传受害者信息5.下载恶5.下载恶意程序鱼邮件3.打开恶意链接,填写信息7.用户主机被7.用户主机被感染6.执行下载恶意程序发送钓鱼邮件高校的APT攻击的典型流程021APT威胁3.3.4来自勒索软件组织的攻击事件包括Conti、Hive、Lapsus$在内的多个主流勒索黑客组织在本年度积极招募攻击手并拓展攻击面,并开始将目光投向我国大型企业。已处置的勒索受RaaS模式影响,当前针对我国的勒索软件攻击在入侵形式上具有多样性,取决于具体攻击手的攻击思路。但绿盟科技发现,本年度勒索事件中有较多入侵是通过已泄露的登录凭证或边界设备漏洞完成的。勒索组织的攻击手开始将注意力集中在近几年频发的企业数据泄露事件上,他们通过分析已泄露数据中包含的人员信息,将登录凭证类信息与工作单位类信息相联系,进而尝试进入企业暴露在公网上的登录入口,获取访问企业内网的渠道。勒索组织攻击者还开始关注近年频发的云桌面、远程桌面等远程办公工具的漏洞,通过漏洞扫描3.4本年度确认的新型APT组织2022年第二季度,绿盟科技伏影实验室监测到了一系列针对土耳其的网络攻击活动。基于该威胁实体的活动区域与近期攻击目标(土耳其海军项目“MÜREN”),伏影实验室将其命名为穆伦鲨(MurenShark)1。。已暴露的攻击资源和欺骗手法表明,该组织已经在针对高校和研究所的网络间谍行动中达成穆伦鲨的主要攻击手法包括投递钓鱼文档与攻击线上服务,主要攻击工具包括一种名为工具Donut制作的加载器木马UniversalDonut。该组织的直接目的包括扩充攻击资源、渗透穆伦鲨攻击者擅长隐藏攻击特征,通过劫持合法站点的方式,将攻击流量伪装成访问该站点的正常流量;同时通过拆分攻击组件的方式,保证各阶段载荷在非受控状态下不产生攻1/murenshark/0222022年度APT高级威胁报告Render调查显示,已暴露的攻击活动只是该组织行动的冰山一角,攻击目标与攻击组件方面不2022年第二季度,绿盟科技伏影实验室捕获了一起大规模的APT攻击行动DarkCasino。该行动主要针对线上赌博平台,目标为通过攻击此类服务背后的活跃的线上交DarkCasino系列活动持续时间长、攻击频度高,受害者广泛分布于地中海沿岸国家以及东南亚多个国家。攻击者为该系列活动进行了长时间的准备,对主要攻击流程与核心木马程序进行长期迭代,并储备了用于批量生成shellcode与隐写图片的制作工具,保证攻击活动DarkCasino开发者对攻击流程构建比较重视,他们使用一种覆写式侧加载的技巧直接将dll建为带有恶意代码的侧加载程序;使用一种经典的VB套接字窗口逻辑设计木023APT威胁用了Evilnum的标志性攻击流程和开发思路,一方面持续迭代自制的木马程序与攻击技术,no3.4.3疑似来自黎巴嫩的PoloniumPolonium会尝试攻击位于供应链上游的IT公司,通过劫持供应链的方式入侵位于供应该组织在攻击活动中展现了较强的对抗能力,其主要后门程序CreepyDrive能够使用3.4.4针对中东和非洲的Metador0242022年度APT高级威胁报告aMainMafalda为Cryshell的内网穿透程序。Metador使用的木马程序以框架的模式构建,攻击者可以根据目标主机状态灵活切换运行模式和攻击方式,能够配合实现特殊的执行和持久化方法,展现了较高的攻击技术水平。Metador在攻击活动中大量使用代码混淆、通信验证、延迟执行等。3.5APT组织对新型漏洞的滥用情况T洞则包括造成了巨大影响的Log4Shell漏洞等。受部分高危N-day漏洞出现的影响,本年度PTCharmingKitten组织早在一月初就开始进行Log4Shell漏洞扫描活动,配合一种公开的漏洞利用工具对带有该漏洞的公网设备进行入侵;Lazarus组织在今年2月开始的一系列攻025APT威胁由于该漏洞具备高可用性和形式特殊性,多个以网络钓鱼为主的APT组织迅速开始构建基于该漏洞的攻击链。在该漏洞的0-day利用期间,绿盟科技观测到被标记为Actor220603的组织就开始使用该漏洞攻击白俄罗斯民间组织和个人;漏洞公开后,TA570等组织也开始但由于攻击者通常需要针对此漏洞单独开发攻击组件,多数钓鱼文档无法被关联至已知APT3.6重点地区的APT活动本年度,东欧区域的多个主要APT组织都参与到了俄乌战争的网络对抗当中。俄罗斯APT组织Gamaredon在俄乌战争的准备阶段至相持阶段持续活跃,扮演侦察兵的角色对乌克兰方面军事调动进行持续监控;Sandworm组织则以攻击手的身份参与到俄乌战争的爆发阶段,使用多种数据擦除类木马进行以破坏和瘫痪敌方关键设施为目标的网络攻击;新兴APTLorec争的不同阶段实施网络侦察、数据破坏、同时,俄乌战争还催生了大量未确认攻击者身份的网络攻击事件,例如绿盟科技标记的一个名为Actor220331的未知威胁行为者在战争爆发阶段发动了多起针对俄罗斯政府传播部的攻击活动;另一个被国外安全公司标记的未知组织则在战争爆发至4月中旬的时间段内发起多次针对俄罗斯政府国防部和传播部等关键设施的网络攻击。这些未知威胁行为者都掌握绿盟科技推断它们有可能是由不便暴露身份的已知APT组织演.1.1Gamaredon亲俄黑客团体Gamaredon是一个持续活跃的APT组织。该组织在俄乌战争的准备阶段担任收集情报的职责,并且明显增加了活动频率。已捕获的事件表明,该组织从2021年下半年开始对乌克兰东部地区的政府部门、警方设施、军事人员乃至大型企业进行了广泛的攻人员、地方公务人员等各类可能持有高价值情报的人群。很明显,该时期的Gamaredon组织专注于广撒网的策略,积极收集一切有利于后续军事行动的情报。该组织在顿涅茨克、卢2022年度APT高级威胁报告026aacWiperedon动持续至第三季度,证明俄罗斯方面的APT力量已将APT该组织可以看作APT组织在战争初期主动进行角色切换的代表。俄乌战争爆发之前,该组织表现出与Gamaredon组织类似的活动特征,以钓鱼邮件和水坑站点为主要手段,大规027APT威胁战争爆发后,Lorec53组织暂时停止了网络间谍行动,开发了名为WhisperGate、ypt3月下旬开始,Lorec53同样开始扮演监视者的角色,频繁使用一组名为GrimPlant和GraphSteel攻击工具可以帮助Lorec53攻击者Lorec53组织在俄乌战争爆发至今的整个历程中,很好地担当了多种网络攻击角色,帮相比出现一定的缓和,但两国的APT力量一直没有降低APTConfucius攻击。上巴基斯坦方面的主要APT组织TransparentTribe(透明部落)在本年度同样保持活跃,对包括印度政府、军队、教育机构甚至个人的广泛目标进行以网络钓鱼为主的行动;另一APT组织SideCopy也在今年上半年积极实施对印度军队的各种钓鱼攻击,这些攻击皆遵循0282022年度APT高级威胁报告APT组织。Patchwork的本轮行动从去年年底开始持续到22年年初,在短暂休整后重新开Patchwork本年度捕获的一起Patchwork攻击事件中,绿盟科技发现该组织开始开发使用一种新的BADNEWS变种木马。与旧版本木马相比,新版本程序增加了伪装用地址,简化了旧版本中Confucius029block1block2try{...block1rowcatch{...block2block3rowcatch{...block4APT威胁block1block2try{...block1rowcatch{...block2block3rowcatch{...block4本年度Confucius的活动周期从2月开始持续至年底,该组织攻击者通过伪造各类带有巴基。相比其他印度方面的APT威胁行为者,Confucius在攻击手法和攻击流程设计方面更有创造性。本年度Confucius攻击者开始使用合法网盘作为攻击载荷中转平台,并在使用的主要木马程序中加入各种主流对抗技术进行反识别和反分析。本年度绿盟科技捕获的一起Confucius行动中,攻击者投递了一个该组织自制C++木马的新版本,该版本修改了之前版本木马程序暴露的特征点,并开始使用控制流混淆来尝试保护主要功能代码,展示了VSC+block1->block2block1->block2block1->block3->block4trytry{...block1block2block2VSC+异常处理图3.10Confucius在本年度使用的新型混淆思路巴基斯坦方面的APT组织TransparentTribe(透明部落)延续了去年的活跃状态,持续地向范围广泛的目标群体发起网络攻击。本年度TransparentTribe继续使用CrimsonRAT和ObliqueRAT两种标志性攻击组件实施攻击行动,其钓鱼诱饵体裁则非常广泛,包括军方PPT演讲稿、调查表格、照片等能容易让受害者误操作的文件。攻击目标方面,尽管本年度TransparentTribe的目标群体广泛分布于各行业领域,该组织的主要目标仍为收集印度各重0302022年度APT高级威胁报告3.6.3朝鲜半岛本年度,受经济形式下行与无法缓和的朝韩关系影响,朝鲜方面再度提升了其在APT行这样的高频活动暴露了朝鲜方面APT的更多细节。研究发现,朝鲜主要APT组织之间的界限正在变得模糊,多个组织出现共享攻击资源和攻击目标的行为。继2019年朝鲜方面两大老牌组织Reaper与Kimsuky显示关联关系(https://blog.alyac.co.kr/2347)后,本年度Kimsuky被发现展开了针对加密货币的直接攻击,这使得其与另一知名朝鲜APT组织Lazarus在行为动机方面产生了交集。这一现象也说明,朝鲜方面的APT组织越来越重视在加密货币方面的攻势,他们寄希望于在加密货币渠道仍具有较高获利能力的区间内,通过网本年度Kimsuky组织依旧保持极高的活跃度,对韩国政府与其他可能对朝鲜方面造成威绿盟科技在本年度观测到的Kimsuky活动主要包括两种攻击流程,一种流程以该组织常BabyShark为核心,另一种流程则融入了合法网盘地址与一种被绿盟Kimsuky基于KimAPosT的代表性流程APT威胁031Kimsuky组织在2021年便开始测试和使用这种基于KimAPosT的攻击流程,并在今年s该组织频繁的攻击。关联事件显示,Lazarus内部为本轮攻击活动进行了分工,有一个或多个小组频繁使用既有攻击工具维持高频度的网络钓鱼攻击,而另一小组则积极开发使用新式本年度Lazarus的开发小组开始制作完善一种基于M1架构的Mach-O可执行文件木马攻击流程,以方便该组织同时对多个平台的加密货币用户展开攻击。该流程包括一种能够编译为多个平台版本的释放器木马、根据目标制作的pdf钓鱼文件、后续的加载器木马和下载本年度,中东方面的APT攻击依然集中于地中海沿岸和美索不达米亚平原周边地区,受绿盟科技发现,本年度土耳其与伊朗同时成为APT攻击发起者与受害者。疑似具有土耳其背景的APT组织StrongPity在21年底开始再次活跃,策划了多起针对巴勒斯坦等邻国的水坑钓鱼攻击,而未知来源的威胁行为者MurenShark则在今年针对土耳其海军展开了一次本年度继续攻击约旦等邻国,而该国也承受了一次本年度最严重的工控网络攻击事件,导致针对商业的APT组织活动也使中东地区的多个国家饱受其扰。绿盟科技发现的名为DarkCasino的APT行动中,攻击者将地中海沿岸国家的线上现金流作为主要目标,其中包括土耳其、以色列等国的线上交易平台与在线娱乐平台;绿盟科技还观测到一个标记为Actor220923的未知来源攻击者,在第三季度发起了针对塞浦路斯证券交易所用户的网络钓2022年度APT高级威胁报告032本年度中东方面的APT组织CharmingKitten(APT35)格外活跃,活动重心依然是通过规模网络窃密获取敌对势力情报。CharmingKitten的主要攻击途径为鱼叉式网络钓鱼,但与其他APT组织不同的是,本年度CharmingKitten获取对受害者主机的初始访问后,通常CharmingKitten在本年度的攻击活动依然以凭证窃取和信息窃取为主要目的,该组织在essCharmingKittenNday。CharmingKitten是最早尝试使用Log4Shell漏洞进行大规模扫描的APT组织之一,在22年1月就开始了对该3.7小结地缘冲突永远是国家级APT组织的根本驱动力。本年度大量出现的由地缘冲突驱动的级的重要手段。俄乌网络战的事实也告诉我们,当地缘关系恶化导致实体冲突爆发时,APT。T2022年度APT高级威胁报告0344.1本年度勒索软件攻击概况根据绿盟科技伏影实验室的长期观测,2022年活跃勒索软件攻击事件,大部分来自LockBit、Conti、BlackByte、Hive、BlackCat等大型勒索软件组织,另一部分则来自近年来图4.12022活跃勒索软件词云绿盟科技伏影实验室对本年度活跃的勒索软件木马数量进行了统计,发现这些木马较多035勒索软件威胁图4.2勒索软件月度活跃分布在受害者国家分布方面可以看出,欧美国家为勒索软件的重灾区,其中美国占比高达 在勒索软件受害者行业分布方面,政企、医疗、能源、交通、教育行业占据前50%,以0362022年度APT高级威胁报告彩妆游戏传媒造业1%1%企% 航空航天 % % 导体%% 运营商%基础设施售 联网% %彩妆游戏传媒制造业航空航天建筑体育半导体运营商基础设施零售互联网教育交通政企%图4.4勒索软件受害者行业分布4.2本年度的代表性勒索软件家族然后窃取目标公司敏感数据以获取经济效益为目的的黑客组织。因为Lapsus$组织成员在该组织创建的Telegram频道中经常使用葡萄牙语和英语宣布他们的攻击目标以及攻击战况,037勒索软件威胁Lapsus$组织主要通过社会工程学手法收集有关目标组织业务运营的相关信息,使用各种方法获取目标组织的初始访问权限,例如部署密码窃取程序、非法论坛购买登录凭据、收Lapsus$组织使用多种策略来发现其他凭据或入侵点以扩展其访问权限,例如利用内部可访问服务器(包括JIRA、Gitlab和Confluence)上的未修补漏洞、搜索代码存储库和协作Lapsus$组织还利用专门的IT基础设施对目标组织的敏感数据进行远程下载以供将来勒4.2.2ContiConti是一个俄罗斯勒索软件团伙,作为Ryuk的继任者于2020年夏季开始勒索活动。Conti团伙制造了多起攻击事件,诸如攻陷并加密芯片制造商Advantech的重要数据,并要迫使该市关闭其网络,其在线账单支付系统、公用事业账单和电子邮件等服务停摆。该市的网站、议会、警察部队等均受到影响。然而,Conti团伙性质最为恶劣的攻击莫过于针对爱尔兰卫生部HSE的攻击,此次攻击令其80%的医疗系统处于被加密状态,此期间医疗保健2022年度APT高级威胁报告0382022年3月,有安全研究人员披露了Conti勒索软件的源代码。通过解读泄露文件,能s图4.6一部分Conti组织泄露的文件列表039勒索软件威胁图4.7一部分Conti组织泄露的源代码,Conti的组织结构与普通软件公司无异,都有着培训团队,编码工图4.8Conti组织泄露的聊天记录图4.9Conti组织聊天记录中与办公和运营相关的内容2022年度APT高级威胁报告040布他们将全力支持俄罗斯政府对乌克兰的攻击。他们还警告说,如果有人组织了针对俄罗斯图4.10Conti组织发布的警告信息tLockBit勒索软件于2019年9月首次被观察到。经过迭代更新的发展,于2021年出现LockBit重勒索模式以要求支付赎金的方式令受害者恢复被加密的文件,继而通过会部署第一阶段恶意软件或以其他方式获取目标组织基础设施内的访问权限。然后他们将该LockBit了第一个由勒索软件团伙提供的漏洞赏金计划,通过安全研究人员提交漏洞报告的严重程度,以获取1000到100万美元不等的奖励。这也进勒索软件的思路或想法提供赏金。目前,LockBit的赏金类别涵盖各平台漏洞、自身软件勒索软件威胁041Hive勒索软件于2021年6月首次被发现。根据通报,它已发展成为勒索软件即服务运行效率以及对抗能力大幅提升。在Rust版本的Hive软件程序中,开发者修改了自制的加Hive室e0422022年度APT高级威胁报告勒索软件领域的RaaS(勒索软件即服务)模式是一种通过合作分成的方式运营勒索软件早期的RaaS模式主要通过出售勒索软件使用权、雇佣传播者等方式实现,勒索软件运营者与使用者之间的关系接近于交易或雇佣关系。这一时期的RaaS模式还将数据窃取和披他们还会在自己的网站中披露在攻击活动中获取到的部分关键数据,并威胁受害者缴纳一笔S式。在“双重勒索”的基础上,勒索软件运营者不再贩卖软件的使用权,而是将自身从具体的攻击业务中完全剥离,以合作分成的形式招收渗透攻击者加入勒索攻击活动中。这些渗透攻击者可以使用自己的手段和资源入侵高价值的目标,在目标设备上投放勒索软件运营者制作的勒索软件完成攻击。成功的勒索活动产生的赎金将由勒索软件运营者与攻击者以一定比043勒索软件威胁本年度,绿盟科技伏影实验室观测到RaaS模式在技术、模式、系统等多个方面出现了4.3.1勒索软件运营模式更加商业化勒索软件的运营已由简单的团伙化逐渐发展为公司化,在Conti

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论