绿盟科技2022年度APT高级威胁报告

N2.4俄乌网络战主要攻击类型N2.4俄乌网络战主要攻击类型0022022年，在全球经济下行、地缘冲突爆发、加密货币市场萎靡等因素影响下，高级威胁事件整体呈现爆发趋势。在活跃组织数量、攻击事件数量、新型攻击工具数量等高级威胁主本年度，绿盟科技伏影实验室对阶段性爆发的网络战威胁、长期持续的APT威胁、以及网络攻击能力已经成为一种能够在地缘冲突中发挥重要作用的武器资源。俄乌冲突的各个阶段，俄乌双方在网络空间中进行了以窃密、控制和瘫痪等为目标的各式网络攻击活动，认知混淆和舆论控制已经成为网络战的重要组成部分。俄乌网络战中出现了大量以欺骗认知或诱导舆论为目标的网络攻击事件，此类事件通过控制宣传平台或滥用宣传渠道，用大APT攻击更深度地与地缘政治冲突绑定，东欧、南亚、中东等冲突地区与敏感地区的APT活动强度持续增加。本年度保持活跃的区域性APT组织包括Gamaredon、Kimsuky、Lazarus、Patchwork等，反映了在国际局势紧本年度我国遭受大量APT攻击与勒索攻击，攻击来源主要为美国、越南与印度。这些APT组织大多以我国高校和大型企业等作为目标，以N-da开始进入更激烈的恶性竞争阶段。较小的勒索软件团伙不断用攻击大型企业的方式尝试扩大004本年度，随着俄乌冲突的爆发，一场激烈程度高、持续时间长的网络战也逐渐被大众所认知。由俄罗斯和乌克兰的网络力量以及援助双方的组织及团体主导，俄乌网络战成为了国家力量、APT组织、勒索软件组织、民间黑客团体、个人攻击者等多方势力共同参与的大型高级威胁事件，在不同程度上影响到了俄乌双方组织机构运行、国际舆论甚至战争走向等方绿盟科技伏影实验室在俄乌网络战的准备时期开始便对其保持高度关注，并在持续监控从宏观到微观的不同角度报道和分析了现代网俄乌网络战是俄乌两国热战在网络空间领域的延伸，在这场网络战争中，俄乌双方的网络力量不仅采取了如网络间谍活动、数据擦除攻击、拒绝服务攻击等多种攻击手段，而且随着战局的变化双方都在灵活地调整角色定位，甚至开始担任破坏设施、操纵舆论、制造恐慌俄乌网络战的发生和发展表明，网络战争已经成为一种在地缘冲突中发挥重要作用的战略武器，为世界各国提供了一个重要的网络作战研究案例，并对网络空间作战的概念、方法和地位产生了深远的影响，促使各国不断加强网络安全防御，并加强在网络空间的军事行动2022年2月24日，乌克兰地区的军事冲突爆发，俄罗斯、乌克兰以及各幕后势力之间的较量吸引了全世界的目光。随着事件的发展，这场现实世界中的冲突，史无前例地影响到了网络空间中的各个方面。绿盟科技伏影实验室基于绿盟科技全球威胁狩猎系统和威胁追踪1/apt-lorec53-20220216/2/cldap-ntp/3/itw-privatbank/4/it-ddos-31/5/atp-whisperga-mbr/6/ddos-apt-sec/0052021年年底至2022年年初，俄乌局势仍不明朗，这个时期活跃的亲俄APT组织如Lorec53、Gamaredon扮演着网络侦察兵的角色，向乌克兰的军、政、企等领域伸出触角，覆盖范围更加全面，采集目标网络设施的真实网络地址、网络资源情况、网络拓扑结构、敏开始针对军事单位以外的目标，向乌克兰的政府部门、军事目标、外交部门、媒体等可能持积极收集一切有利于后续军事行动的情报。俄方APT组织在006在俄乌冲突正式爆发时，隶属俄罗斯的APT组织与隶属乌克兰的网络力量立即转入激烈的攻防对抗活动中，开启以控制为目标的网络特种作战。该阶段的典型案例是俄乌双方通过线上论坛、线下媒体的形式全方位地渲染战争氛围，强调一方对另一方的入侵活动等。通过封锁媒体播放渠道，掌控世界话语权，渲染以强欺弱氛围，将军事活动定义为入侵攻击，占在俄乌冲突持续阶段，亲俄的APT组织与亲乌的网络力量立即转入激烈的攻防对抗活动中，该阶段的典型案例是俄罗斯方面的数据破坏活动与乌克兰方面的DDoS行动。Lorec53007了针对乌克兰多个组织的破坏式网络攻击行动。Sandworm组织执行了多起针对电力设施等乌克兰关键设施的数据破坏行动，开发并使用了名为HermeticWiper、HermeticRansom、Gamaredon组织在战争初期也承担了一部分数据破坏任务。一种名为IsaacWiper的数了针对俄罗斯的DDoS攻击行动。组织领导者为该群体提供了一个包含31个俄罗斯关键基础设施目标的针对性清单、多种DDoS攻击工具和对应的教学文档此外，国际黑客组织匿名者（Anonymous）也在战争开始后不久宣布加入乌克兰一方，在短时间内培养和组织了能够发起网络攻击的亲乌黑客群体。匿名者组织通过入侵数据库、屏蔽Telegram站点、劫持流媒体等方式对俄罗斯线上服务进行直接的破坏，以阻止俄罗斯俄乌冲突中的网络战是美国与西方国家联手支持的网络力量，协助乌克兰在网络空间层面与俄罗斯进行的博弈。以Anonymous和ITARMYofUkrai力量主要以DDoS为主的攻击手段针对俄罗斯的政府、国防、能源、金融发起以瘫痪为目标的网络特种作战。以Gamaredon、Lorec53（洛瑞熊）、Sandworm持俄罗斯的网络力量主要以数据擦除攻击、DDoS攻击、勒索攻击、钓鱼攻击等手段针对乌克兰以及支持乌克兰的西方国家发起以窃密、控制、瘫痪为目标的网络特种作战。其他网络绿盟科技伏影实验室对俄乌网络战中出现的各种网络攻击类型进行分析后，发现这些攻起的间谍式攻击活动以及民间黑客组织发起的社交网络钓鱼活动；控制类网络攻击主要包括俄乌双方国家力量与民间力量发起的舆论控制类网络活动；而瘫痪类网络攻击则包括由APT008长期以来，国家级APT组织的主要任务就是长期监控特定目标并持续收集情报，这些APT组织在战争期间担任了对敌方军事目标的窃密工作，通过钓鱼、水坑等方式尽可能收集如，Lorec53组织曾在战争准备阶段发起了以个人经济制裁为诱饵的鱼叉式钓鱼攻击，目标广泛覆盖乌克兰东部地区的政府与国有企业。Lorec53投递的钓鱼文档用于下载对应的间谍战争爆发后，绿盟科技伏影实验室捕获了大量以俄语作战信息或乌克兰语军队调度信息为诱饵的网络攻击活动。这些活动多数来自APT组织Gamaredon，目标为乌克兰东部各州009上述APT活动仅仅是俄乌战争期间海量网络窃密活动中的冰山一角。本年度绿盟科技观此外，俄乌网络战期间还有一部分窃密攻击活动通过社交媒体展开，攻击者则多为民间文件。组织者在群组内发布了多个黑客工具，包括一个名为“ddos-reaper.zip”的文件。发布者通过宣传该工具的DDoS攻击功能，诱导组群组内成员使用。经分析，该工具实际上是一个窃密软件，当使用者运行该工具后，自身信息就会被泄露给攻击者，可谓是“螳螂捕蝉010亲俄组织舆论控制在俄乌网络战中，由俄罗斯方面民间力量与上级组织者构成的部分亲俄组织，通过各种渠道发起针对乌克兰及其盟友的舆论控制攻击活动。这些亲俄组织一方面通过攻击反俄言论攻击平台，抑制对俄不利消息传播；另一方面通过发起舆论攻势，包括在社交平台发布每日俄方前线战况、辟谣反俄言论、公布叛军信息等措施来进行信息混淆与舆论操作，引导舆论011亲乌组织舆论控制绿盟科技在对俄乌网络冲突的持续监测中发现，亲乌组织在对俄发动大规模DDoS攻击之后，及时利用俄罗斯网络基础设施无法及时对外通信的空档期进行舆论控制攻击。这些组织对外宣称其已窃取大量俄方机密资料，并在互联网上大肆泄露文件，营造一种俄罗斯在上述攻击后，亲乌组织搭建民众可自由参与的反俄言论攻击平台，使用窃取的俄罗斯公民个人电话、邮箱、WhatsApp账户等个人凭证，通过社交平台对俄罗斯民众大量散布反俄言论，制造对俄罗斯不利的社会舆论氛围，试图通过这种攻击方式制造俄罗斯国内和国际012数据擦除式瘫痪攻击WisperGate木马植入到了多个乌克兰政府和信息技术相关组织目标的主机中。绿盟科技伏影实验室对WisperGate木马进行分析发现，虽然该木马会在运行后显示勒索和赎金相关信息，但木马的实际功能为直接覆盖受害主机中所有文件的内容，是典型的数据破坏型木马。WhisperGate目标指向乌克兰的政府、非营利组织和信息技术实体。WhisperGate实际另一种被称为HermeticRansom的勒索软件被用在俄乌战争爆发后，俄罗斯方面害者主机桌面留下勒索信。已有分析表明，这种勒索软件可能被攻击者用于制造麻烦，使乌除以上木马外，俄乌网络战期间还出现了IsaacRansom、IsaacWiper、In多种数据破坏类木马程序。这些木马程序的开发水平参差不齐，实现效果各有侧重，说明网拒绝服务式瘫痪攻击013攻击者首先在2月14日的凌晨4点针对乌克兰国家公务员事上述DDoS攻击的主要目的为在一定时间内瘫痪攻击目标的线上服务，从而为其他类型的网络攻击制造窗口。DDoS攻击大量出现在俄乌网络战的爆发阶段，已经成为一种瘫痪目当下网络特种作战的主要形式包括网络间谍活动、网络破坏、认知作战等，目的是通过对敌方网络进行侵入式攻击，实现对敌方信息和通信系统的控制，削弱敌方的军事实力，进而实现军事战略目标。随着网络作战攻击者在技术能力、组织能力等方面的发展，未来网络以俄乌网络战为代表，可以看到当下国家级网络攻击力量构成仍然以APT活区域性网络战已经出现，大规模网络战爆发风险大幅增加的当下，APT组织一方面充当网络间谍的角色，通过利用更高级的技术手段，更有效地攻击和控制目标网络，窃取敌方军事、政治、科技、民生等领域对决策者有利的高价值情报信息；另一方面充当破坏者的角色，在地缘冲突爆发时期，通过数据破坏攻击远程瘫痪敌方关键基础设施，达到战场支援、网络震慑等目的；APT组织甚至会在战争爆发至相持阶段进行舆论控制，利用消息差对敌进行“认2014年美军颁布的《网络空间作战》联合条令提出了网络空间作战火力、机动部署、保障、防护六个环节融入联合作战的措施，建立了网络空间联合作战规划与协调的方法与要点，推动网络空间作战融入联合作战迈入正014讨会上提出，网络战可以在瞬间、同时、全球和连续地发生。要想在这一领域取得成功，就习总书记曾在网络安全和信息化工作座谈会上强调，网络安全的本质在对抗，对抗的本质在攻防两端能力较量。因此，在国际关系紧张的大环境下，应对可能到来的网络战，防御（10）增加研究开发力度，探索新的网络安全技术和方法，为应对新型网络特种作战提016本年度绿盟科技捕获或处置的境内APT事件中，最终确认来自海莲花组织的事件占比最高。海莲花组织在调整攻击策略后，开始更加主动地对我国展开网络攻击，严重危害国内企织攻击事件最为严重；勒索黑客组织也将我国大型企业作为攻击目标，本年度来自企业侧的境外APT组织活动方面，东欧、南亚、朝鲜半岛以及中东地区的组织表现活跃。受俄乌战争影响，东欧方面的APT组织从年初至今始终保持攻击为尤其频繁；印度方面的APT组织延续了从去年年底开始中巴合作项目表现出强烈兴趣；朝鲜APT组织除延外，重点强化了针对加密货币行业的攻击密度；中东方面的其与北塞浦路斯地区，从21年开始持续攻击土耳其研究所、军工产业以及高校；另一个新的黑客小组，针对地中海周边国家和东南亚国家的线上交易平台发起长期的窃密攻击；绿盟科技还标记了多个未确认来源的攻击者，这些攻击者分别向俄罗斯、白俄罗斯、日本、塞浦0172022年绿盟科技APT线索发现数量统计可以看到，本年度大量APT线索发现于上半年的2月、4月和5月三个月份，这一现象察阶段的行为，而4月至5月出现的线索则大多来自俄乌双方黑客在网络攻防对抗阶段中的018rGKimsuky Gamedo TransparentTribeCNCDAc2sKimKnrGKimsuky Gamedo TransparentTribeCNCDAc2sKimKn2022年绿盟科技APT活动捕获时间线der。KimsukyMuddyWateMuddyWateActor220318Actor22 EvilnumSideWinderaaimsukyopyimsukytTribePatchworkiiKimsukyKimsukymsukyGamaredonDDordordKKamaredonamaredonCC PatchworkSideWinnDassLorDassLoronnonnusPsusueCopyMaterSiderDaeDaeuccnotnotHagHaggagaciussPasswordsPasswordGamaronGc53aredonareareLLGamaroGamaronspnspKimukyrr。SideCopyMMachetedacheteoreorec53c53sukyinderinderimsukyimsukyimsukyimsukyAct714deCopyKKuKimsu vilnum vilnumchwork DonotmsukyConfucKimsuiusKimsuSiEEuky Kimsuky。lorec53uky KimsukyamamLararoredoedoec5n3n3 SideWindermaredonDangerousPasswgerousPasswordordActor220331Actor220331从时间线分布图可以看出，与俄罗斯国家利益密切相关的Gamaredon组织在2022年全年处于活跃状态，其他与俄罗斯有关的组织如Lorec53也在上半年频繁行动；朝鲜方面的Kimsuky组织与DangerousPassword组织同样长期活跃，分别以韩国政府和虚拟货币产业为目标进行持续活动；印度方面的SideWinder、Patchwork、Confucius等多个A019KonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinderKonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinder7%lorec537%Kimsuky2022年绿盟科技捕获APT活动归属组织统计groupKimsukyKimsukyKimsuky20% GamaredonDangerousPasswordlorec53SideWinderConfuciusSideCopyPatchworkEvilnumTransparentTribeMacheteDonotMuddyWaterActor220331HaggaActor220923MurenSharkCNCActor220318BitterActor210714Konni2022年6月22日，西北工业大学发布一则公开声明，表示该校遭受境外网络攻击。处置单位对该事件的调查显示，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）美国国家安全局是已知APT组织方程式办公室则是具体的攻击工具开发者与攻击活动实施者。已披露的信息显示，在本次对西北工业大学的攻击中，TAO通过边界设备漏洞利用、鱼叉攻击等方式获取驻足点后，在目标网络020本年度，绿盟科技捕获到多起海莲花组织针对国内企业或机构的攻击事件。海莲花攻击者在这一系列事件中使用了多种不同的入侵手段，积极尝试使用软件供应链攻击、边界设备漏洞利用、泄露凭证利用、网络钓鱼等手段获取目标网络内的驻足点，再通过窃取初始访问节点中的凭证信息进入目标单位内网，最终通过散播商业木马或自制木马窃取目标域内设备上述海莲花攻击模式并非在本年度首次出现，绿盟科技在去年就已监控到使用该模式的多次攻击行为。虽然攻击者的具体实施路线会根据目标网络的状态进行调整，但这些事件依然暴露了可供辨识的一致攻击特征。海莲花攻击者在这些攻击过程中保持了高度的警觉性，能够察觉防御方和处置方的调查行为并进行实时响应。这些事件也反映出海莲花组织对我国企业或组织内常见网络环境的高度理解，该组织可能已构建应用于此类攻击活动的完整对抗都通过邮件钓鱼展开，攻击者往往通过构建可信度极高的邮件内容，诱骗高校教授等受害者访问伪装成邮箱登录页面、学术会议网页或论文提交页面的水坑站点，再通过进一步的社会工程学技术使受害者下载运行木马程序。此类攻击的最终目标皆为窃取受害者主机中的高价值文件，绿盟科技已经捕获到多种能够关联至已知APT组织的窃4.上传受害者信息5.下载恶5.下载恶意程序鱼邮件3.打开恶意链接，填写信息7.用户主机被感染7.用户主机被感染2.向目标发送钓鱼邮件意程序021受勒索组织竞争白热化的影响，包括Conti、Hive、Lapsu织在本年度积极招募攻击手并拓展攻击面，并开始将目光投向我国大型企业。已处置的勒索受RaaS模式影响，当前针对我国的勒索软件攻击在入侵形式上具有多样性，取决于具体攻击手的攻击思路。但绿盟科技发现，本年度勒索事件中有较多入侵是通过已泄露的登录凭证或边界设备漏洞完成的。勒索组织的攻击手开始将注意力集中在近几年频发的企业数据泄露事件上，他们通过分析已泄露数据中包含的人员信息，将登录凭证类信息与工作单位类信息相联系，进而尝试进入企业暴露在公网上的登录入口，获取访问企业内网的渠道。勒索组织攻击者还开始关注近年频发的云桌面、远程桌面等远程办公工具的漏洞，通过漏洞扫描2022年第二季度，绿盟科技伏影实验室监测到了一系列针对土耳其的网络攻击活动。基穆伦鲨组织的可观测活动出现于2021年已暴露的攻击资源和欺骗手法表明，该组织已经在针对高校和研究所的网络间谍行动中达成穆伦鲨的主要攻击手法包括投递钓鱼文档与攻击线上服务，主要攻击工具包括一种名为工具Donut制作的加载器木马UniversalDonut。该组织的直接目的包括扩充攻击资源、渗透穆伦鲨攻击者擅长隐藏攻击特征，通过劫持合法站点的方式，将攻击流量伪装成访问该站点的正常流量；同时通过拆分攻击组件的方式，保证各阶段载荷在非受控状态下不产生攻1/murenshark/022调查显示，已暴露的攻击活动只是该组织行动的冰山一角，攻击目标与攻击组件方面不2022年第二季度，绿盟科技伏影实验室捕获了一起大规模的APT攻击行动DarkCasino。该行动主要针对线上赌博平台，目标为通过攻击此类服务背后的活跃的线上交DarkCasino系列活动持续时间长、攻击频度高，受害者广泛分布于地中海沿岸国家以及东南亚多个国家。攻击者为该系列活动进行了长时间的准备，对主要攻击流程与核心木马程序进行长期迭代，并储备了用于批量生成shellcode与隐写图片的制作工具，保证攻击活动DarkCasino开发者对攻击流程构建比较重视，他们使用一种覆写式侧加载的技巧直接将合法dll文件构建为带有恶意代码的侧加载程序；使用一种经典的VB套接023用了Evilnum的标志性攻击流程和开发思路，一方面持续迭代自制的木马程序与攻击技术，Polonium会尝试攻击位于供应链上游的IT公司，通过劫持供应链的方式入侵位于供应该组织在攻击活动中展现了较强的对抗能力，其主要后门程序CreepyDrive能够使用024已披露的活动中，Metador使用了名为metaMain和Mafalda的木马程序，以及一种名为Cryshell的内网穿透程序。Metador使用的木马程序以框架的模式构建，攻击者可以根据目标主机状态灵活切换运行模式和攻击方式，能够配合实现特殊的执行和持久化方法，展现了较高的攻击技术水平。Metador在攻击活动中大量使用代码混淆、通信验证、延迟执行等洞则包括造成了巨大影响的Log4Shell漏洞等。受部分高危N-day漏洞出现的影响，本年度），CharmingKitten组织早在一月初就开始进行Log4Shell漏洞扫描活动，配合一种公开的漏洞利用工具对带有该漏洞的公网设备进行入侵；Lazarus组织在今年2月开始的一系列攻2022年5月，安全社区曝出一个新型Microsoftoffice0025由于该漏洞具备高可用性和形式特殊性，多个以网络钓鱼为主的APT组织迅速开始构建基于该漏洞的攻击链。在该漏洞的0-day利用期间，绿盟科技观测到被标记为Actor220603的组织就开始使用该漏洞攻击白俄罗斯民间组织和个人；漏洞公开后，TA570等组织也开始但由于攻击者通常需要针对此漏洞单独开发攻击组件，多数钓鱼文档无法被关联至已知APT本年度，东欧区域的多个主要APT组织都参与到了俄乌战争的网络对抗当中。俄罗斯APT组织Gamaredon在俄乌战争的准备阶段至相持阶段持续活跃，扮演侦察兵的角色对乌克兰方面军事调动进行持续监控；Sandworm组织则以攻击手的身份参与到俄乌战争的爆发阶段，使用多种数据擦除类木马进行以破坏和瘫痪敌方关键设施为目标的网络攻击；新兴APT组织Lorec53则灵活切换攻击角色，在俄乌战争的不同阶段实施网络侦察、数据破坏、同时，俄乌战争还催生了大量未确认攻击者身份的网络攻击事件，例如绿盟科技标记的一个名为Actor220331的未知威胁行为者在战争爆发阶段发动了多起针对俄罗斯政府传播部的攻击活动；另一个被国外安全公司标记的未知组织则在战争爆发至4月中旬的时间段内发起多次针对俄罗斯政府国防部和传播部等关键设施的网络攻击。这些未知威胁行为者都掌握亲俄黑客团体Gamaredon是一个持续活跃的APT组织。该组织在俄乌战争的准备阶段担任收集情报的职责，并且明显增加了活动频率。已捕获的事件表明，该组织从2021年下半年开始对乌克兰东部地区的政府部门、警方设施、军事人员乃至大型企业进行了广泛的攻人员、地方公务人员等各类可能持有高价值情报的人群。很明显，该时期的Gamaredon组织专注于广撒网的策略，积极收集一切有利于后续军事行动的情报。该组织在顿涅茨克、卢026面在该时期的军事信息。这样的攻击行动持续至第三该组织可以看作APT组织在战争初期主动进行角色切换的代表。俄乌战组织表现出与Gamaredon组织类似的活动特征，以钓鱼邮件和水坑站点为主要手段，大规027战争爆发后，Lorec53组织暂时停止了网络间谍行动，开发了名为WhisperGate、3月下旬开始，Lorec53同样开始扮演监视者的角色，频繁使用一组名为GrimPlant和Lorec53组织在俄乌战争爆发至今的整个历程中，很好地担当了多种网络攻击角色，帮尽管印巴两国关系较以往的危险状态相比出现一定的缓和，巴基斯坦方面的主要APT组织TransparentTribe（透明部落）在本年度同样保持活跃，对包括印度政府、军队、教育机构甚至个人的广泛目标进行以网络钓鱼为主的行动；另一APT组织SideCopy也在今年上半年积极实施对印度军队的各种钓鱼攻击，这些攻击皆遵循028APT组织。Patchwork的本轮行动从去年年底开始持续到22年年初，在短暂休整后重新开启了一波从5月至年底的攻击浪潮。本轮活动中，Patchwork攻击者依然大量使用该组织的本年度捕获的一起Patchwork攻击事件中，绿盟科技发现该组织开始开发使用一种新的BADNEWS变种木马。与旧版本木马相比，新版本程序增加了伪装用地址，029try{...block1catch{...block2block3block4catch{...try{...block1catch{...block2block3block4catch{...本年度Confucius的活动周期从2月开始持续至年底，该组织攻击者通过伪造各类带有巴基相比其他印度方面的APT威胁行为者，Confucius在攻击手法和攻击流程设计方面更有创造性。本年度Confucius攻击者开始使用合法网盘作为攻击载荷中转平台，并在使用的主要木马程序中加入各种主流对抗技术进行反识别和反分析。本年度绿盟科技捕获的一起Confucius行动中，攻击者投递了一个该组织自制C++木马的新版本，该版本修改了之前版本木马程序暴露的特征点，并开始使用控制流混淆来尝试保护主要功能代码，展示了block1->block2block1block1block2block2block1->block2block1->block3->block4trytry{...block1block2block2巴基斯坦方面的APT组织TransparentTribe（透明部落）延续了去年的活跃状态，持续地向范围广泛的目标群体发起网络攻击。本年度TransparentTribe继续使用CrimsonRAT和obliqueRAT两种标志性攻击组件实施攻击行动，其钓鱼诱饵体裁则非常广泛，包括军方PPT演讲稿、调查表格、照片等能容易让受害者误操作的文件。攻击目标方面，尽管本年度TransparentTribe的目标群体广泛分布于各行业领域，该组织的主要目标仍为收集印度各重030本年度，受经济形式下行与无法缓和的朝韩关系影响，朝鲜方面再度提升了其在APT行这样的高频活动暴露了朝鲜方面APT的更多细节。研究发现，朝鲜主要APT组织之间的界限正在变得模糊，多个组织出现共享攻击资源和攻击目标的行为。继2019年朝鲜方面两大老牌组织Reaper与Kimsuky显示关联关系（https://blog.alyac.co.kr/2347）后，本年度Kimsuky被发现展开了针对加密货币的直接攻击，这使得其与另一知名朝鲜APT组织Lazarus在行为动机方面产生了交集。这一现象也说明，朝鲜方面的APT组织越来越重视在加密货币方面的攻势，他们寄希望于在加密货币渠道仍具有较高获利能力的区间内，通过网本年度Kimsuky组织依旧保持极高的活跃度，对韩国政府与其他可能对朝鲜方面造成威绿盟科技在本年度观测到的Kimsuky活动主要包括两种攻击流程，一种流程以该组织常用的恶意宏文档与BabyShark木马为核心，另一种流程则融入了合法网盘地址与一种被031Kimsuky组织在2021年便开始测试和使用这种基于KimAPosT的攻击流程，并在今年该组织频繁的攻击。关联事件显示，Lazarus内部为本轮攻击活动进行了分工，有一个或多个小组频繁使用既有攻击工具维持高频度的网络钓鱼攻击，而另一小组则积极开发使用新式本年度Lazarus的开发小组开始制作完善一种基于M1架构的Mach-O可执行文件木马攻击流程，以方便该组织同时对多个平台的加密货币用户展开攻击。该流程包括一种能够编译为多个平台版本的释放器木马、根据目标制作的pdf钓鱼文件、后续的加载器木马和下载本年度，中东方面的APT攻击依然集中于地中海沿岸和美索不达米亚平原周边地区，受绿盟科技发现，本年度土耳其与伊朗同时成为APT攻击发起者与受害者。疑似具其背景的APT组织StrongPity在21年底开始再次活跃，策划了多起针对巴勒斯坦等邻国的水坑钓鱼攻击，而未知来源的威胁行为者MurenShark则在今年针对土耳其海军展开了一次本年度继续攻击约旦等邻国，而该国也承受了一次本年度最严重的工控网络攻击事件，导致针对商业的APT组织活动也使中东地区的多个国家饱受其扰。绿盟科技发现的名为DarkCasino的APT行动中，攻击者将地中海沿岸国家的线上现金流作为主要目标，其中包括土耳其、以色列等国的线上交易平台与在线娱乐平台；绿盟科技还观测到一个标记为Actor220923的未知来源攻击者，在第三季度发起了针对塞浦路斯证券交易所用户的网络钓032与其他APT组织不同的是，本年度CharmingKitten获取对受害者主机会通过收集到的凭证，登录受害者的Gmail、oCharmingKitten在本年度的攻击活动依然以凭证窃取和信息窃取为主CharmingKitten还会积极尝试使用N-day漏洞，强化其攻击能力。CharmingKitten是最早尝试使用Log4Shell漏洞进行大规模扫描的APT组织之一，在22年1月就开始了对该地缘冲突永远是国家级APT组织的根本驱动力。本年度大量出现的由地缘冲突驱动的级的重要手段。俄乌网络战的事实也告诉我们，当地缘关系恶化导致实体冲突爆发时，APT034根据绿盟科技伏影实验室的长期观测，2022年活跃勒索软件攻击事件，大部分来自绿盟科技伏影实验室对本年度活跃的勒索软件木马数量进行了统计，发现这些木马较多035在受害者国家分布方面可以看出，欧美国家为勒索软件的重灾区，其中美国占比高达在勒索软件受害者行业分布方面，政企、医疗、能源、交通、教育行业占据前50%，以036彩妆航空航天基础设施政企基础设施彩妆航空航天基础设施政企基础设施然后窃取目标公司敏感数据以获取经济效益为目的的黑客组织。因为Lap组织创建的Telegram频道中经常使用葡萄牙语和英语宣布他们的攻击目标以及攻击战况，037Lapsus$组织主要通过社会工程学手法收集有关目标组织业务运营的相关信息，使用各种方法获取目标组织的初始访问权限，例如部署密码窃取程序、非法论坛购买登录凭据、收Lapsus$组织使用多种策略来发现其他凭据或入侵点以扩展其访问权限，例如利用内部Lapsus$组织还利用专门的IT基础设施对目标组织的敏感数据进行远程下载以供将来勒Conti是一个俄罗斯勒索软件团伙，作为Ryuk的继任者于2020年夏季开始勒索活动。Conti团伙制造了多起攻击事件，诸如攻陷并加密芯片制造商Advantech的重要数据，并要迫使该市关闭其网络，其在线账单支付系统、公用事业账单和电子邮件等服务停摆。该市的网站、议会、警察部队等均受到影响。然而，Conti团伙性质最为恶劣的攻击莫过于针对爱尔兰卫生部HSE的攻击，此次攻击令其80%的医疗系统处于被加密状态，此期间医疗保健0382022年3月，有安全研究人员披露了Con039040布他们将全力支持俄罗斯政府对乌克兰的攻击。他们还警告说，如果有人组织了针对俄罗斯LOckBit勒索软件于2019年9月首次被观察到。经过迭代更新的发展，会部署第一阶段恶意软件或以其他方式获取目标组织基础设施内的访问权限。然后他们将该通过安全研究人员提交漏洞报告的严重程度，以获取1000到100万美元不等的奖励。这也进勒索软件的思路或想法提供赏金。目前，LOckBit的赏金类别涵盖各平台漏洞、自身软件041Hive勒索软件于2021年6月首次被发现。根据通报，它已发展成为勒索软件即服务运行效率以及对抗能力大幅提升。在Rust版本的Hive软件程序中，开发者042早期的RaaS模式主要通过出售勒索软件使用权、雇佣传播者等方式实现，勒索软件运营者与使用者之间的关系接近于交易或雇佣关系。这一时期的RaaS模式还将数据窃取和披他们还会在自己的网站中披露在攻击活动中获取到的部分关键数据，并威胁受害者缴纳一笔式。在“双重勒索”的基础上，勒索软件运营者不再贩卖软件的使用权，而是将自身从具体的攻击业务中完全剥离，以合作分成的形式招收渗透攻击者加入勒索攻击活动中。这些渗透攻击者可以使用自己的手段和资源入侵高价值的目标，在目标设备上投放勒索软件运营者制作的勒索软件完成攻击。成功的勒索活动产生的赎金将由勒索软件运营者与攻击者以一定比043本年度，绿盟科技伏影实验室观测到RaaS模式在技术、模式、系统等多个方面出现了勒索软件的运营已由简单的团伙化逐渐发展为公司化，在Conti的泄露资料中不难发现伴随LockBit3.0的问世，其运营者推通过安全研究人员提交漏洞报告的严重程度，以获取1000到100万美元不等的奖励。这也勒索软件团伙也在赎金支付方面谋求变化。勒索软件团伙目前的选择的支付方式依然以加密货币为主，但支付加密货币追踪公司和相关执法部门表示比特币是可以追踪的，此外虽然门罗币是一种隐私币，但美国绝大多数加密货币交易所并不出售它。因此勒索团伙开始选择将Zcash作为额外的支付选项，相当于增加一层资金保障。Zcash是一种隐私币，具有难追踪的属性，并且它目前仍在美国最受欢