2023上半年全球主要APT攻击活动报告-2023.09

2023

年上半年全球主要

APT

攻击活动报告2023-08双子座实验室2023

年上半年全球主要

APT

攻击活动报告目录contentsP4 概述P5 APT

组织攻击数据披露P9 重大

APT

攻击活动P13 总结P13 附录01

概述2023

年上半年，天际友盟持续对

APT

组织及其活动进行追踪总结，总共披露了全球

100

个

APT

组织的

170

多起攻击活动，通过对其中出现的威胁组织及TTP的具体分析，我们总结出2023年上半年APT组织活动攻击特点如下：地缘政治类攻击活动显著增加互联网时代的高速发展使得全球网络空间紧密相连。与此同时，随着国际局势的紧张变化和网络博弈的加剧，2023

年上半年，趋于政治因素的各类

APT

攻击活动显著增加。我国已成为

APT

的主要攻击目标从攻击目标来看，我国已成为

2023

年上半年遭受

APT

组织攻击最多的国家之一，其中来自印度的黑客组织贡献了绝大部分的攻击。这一现象表明，我国综合实力的不断提升也招致了国外黑客力量的入侵尝试。微软漏洞是入侵软件行业的主要突破口从攻击行业来看，2023

年上半年软件行业已上升为除了政府以外的第二大易受黑客组织攻击的行业。究其原因，主要是由于软件行业产品或服务漏洞的广泛存在。而目前微软作为全球受众群体最为广泛的软件公司，当之无愧成为了供应链攻击的主要入口。金融领域或将转变为间谍攻击的下一个战场从未来发展上看，金融领域作为经济储备最为丰富的市场，不仅是出于经济动机的网络犯罪团伙的绝佳攻击对象，也是各类

APT

组织为实施间谍攻击而争夺资源的下一个网络战场。32023

年上半年全球主要

APT

攻击活动报告02

APT

组织攻击数据披露天际友盟根据自有平台

RedQueen

中记录的

170

多起

APT

攻击事件（主要涵盖知名组织及有影响力的攻击），对

2023

年上半年

APT

组织攻击数据进行披露如下：2.1

Top10

活跃组织2023

年上半年

TOP

10

活跃

APT

组织统计如下：APT-C-35 GamaredonKimsukySideWinder8220

GangLazarusBITTERAPT37Transparent

TribeSideCopy图

1

2023

年上半年

TOP

10

活跃

APT

组织图

1

显示，2023

年上半年，朝鲜

APT

组织

(Kimsuky、Lazarus)活动最为频繁。来自巴基斯坦的组织

(SideCopy、Transparent

Tribe)

紧随其后，在与印度组织

(SideWinder)

的网络交锋中表现突出。南亚组织蔓灵花

BITTER

延续以往活跃状态，位列榜单第三。较

2022

年下半年而言，俄罗斯黑客组织

Gamaredon

攻击频率则有所下降，下降至第四位。42.2

Top10

攻击目标2023

年上半年

APT

组织攻击的目标国家

TOP

10

统计如下：越南 哥伦比亚土耳其以色列巴基斯坦美国中国印度韩国 乌克兰图

2

2023

年上半年

TOP

10

APT

组织攻击目标图

2

表明，我国显然已成为

2023

年上半年以来

APT

攻击活动的最大受害者，印度和乌克兰也由于地缘政治因素的影响，分别位列易受攻击地区的二三位。2.3

Top10

攻击行业2023

年上半年

APT

组织攻击的目标行业

TOP

10

统计如下：制造 医疗新脧源通信政府互联网教育军工软件和信息技术金融图

3

2023

年上半年

APT

事件攻击行业分布

TOP

1052023

年上半年全球主要

APT

攻击活动报告从图

3

可以看出，政府部门仍是

APT

组织的首要攻击对象，软件和信息技术行业也因为其自身存在的各种弱点和漏洞利用机会，逐渐上升至目标攻击行业的第

2

名，金融行业热度逐渐恢复，超越军工行业，上升至第

3

位。2.4

主要攻击手段2023

年上半年

APT

组织主要攻击手段统计如下：勒索软件水坑攻击社会工程学无文件攻击供应链攻击漏洞利用木马后门钓鱼攻击图

4

2023

年上半年

APT

组织主要攻击手段图

4

显示，木马后门、钓鱼攻击、漏洞利用仍是

APT

组织的三大致胜法宝。其中，鱼叉式网络钓鱼攻击作为提高感染率的关键策略，深受各类

APT

组织的青睐。漏洞利用作为初始渗透的有效手段，依旧发挥着显著的效果。下表列出了

2023

年上半年

APT

组织最常用的漏洞列表及其针对的产商及软件：厂商（漏洞数） 针对系统、组件或服务 漏洞号CVE-2018-0802CVE-2018-0798Microsoft

O昀켁ce微软（7）CVE-2017-11882CVE-2017-0199Microsoft

WindowsCVE-2022-30190

CVE-2015-2291

CVE-2017-01446厂商（漏洞数） 针对系统、组件或服务 漏洞号Roundcube

WebmailCVE-2021-44026

CVE-2020-12641

CVE-2020-35730开源（6）GitLab CVE-2021-22205Linux

Polkit CVE-2021-4034ExifTool CVE-2021-22204Veritas

Technologies（3）Veritas

Backup

ExecCVE-2021-27878

CVE-2021-27877

CVE-2021-27876CVE-2022-37042Zimbra（2） Zimbra

Collaboration(ZCS)CVE-2022-27925Progress

Software（1） Progress

MOVEit

Transfer CVE-2023-34362Oracle（1） weblogic

wls-wsat CVE-2017-3506Malwarefox（1） Malwarefox

Anti-Malware CVE-2018-5713Veeam

Software（1） Veeam

Backup

&Replication

(VBR) CVE-2023-27532Apache

Software

Foundation（1） Apache

Log4j CVE-2021-44228Telerik（1） Telerik

UI CVE-2019-18935Realtek（1） Realtek

rtl81xx

SDK CVE-2014-8361SonarSource（1） SonarSource

SonarQube CVE-2020-27986Python

Software

Foundation（1） Python

PIL CVE-2017-8291表

1

2023

年上半年

APT

组织最常用漏洞利用列表根据表一可以发现，2023

年上半年，微软办公软件和

Windows

操作系统漏洞在全球范围内最易遭到

APT

组织攻击，开源软件市场由于开放性和安全审核的薄弱性特点，位列其后，成为

APT

组织的第二大漏洞利用目标。72023

年上半年全球主要

APT

攻击活动报告033.1

地缘政治活动重大

APT

攻击活动随着数字化程度的提高，大国间的政治博弈已经不止步于物理对抗，越来越多的国家抓住网络空间这个关键的突破口，借助APT等极具实力的组织之手，操控网络空间战争，以此争夺信息优势和战略利益。其中以朝鲜-韩国、印度-巴基斯坦以及俄罗斯

-

乌克兰的

APT

攻击活动最为突出，以下我们将分别介绍各国间的

APT

攻击概况。3.1.1

朝鲜

-

韩国根据公开报道的事件，韩国在

2023

年上半年中遭受了来自朝鲜组织的多次网络攻击，其中主要涉及针对政府、媒体行业的攻击，这些攻击通常采用网络钓鱼和社会工程学手段，旨在破坏韩国的网络基础设施、窃取敏感信息。不过，相比朝鲜，韩国

APT

组织被公开披露的攻击事件却乏善可陈，这背后的原因或许是韩国组织拥有着极高的隐匿技术，亦或是韩国雇佣了其它国家的黑客军队，又或是某些国家与韩国之间达成了某种不对外公开的约定也不得而知。总的来说，2023

年上半年，朝鲜的两大知名组织

APT37

和

Kimsuky

交替对韩国发起了一系列的钓鱼攻击。1

月，与朝鲜国家安全部

(MSS)

相关的

APT37

组织首先恢复活动，针对韩国个人用户开展了网络间谍活动，期间，APT37还破坏了韩国的

BBS

网站以将其变为他们的

C2

基础设施。3

月，专注于窃取机密信息的

Kimsuky

组织通过一个包含恶意腠本的

OneNote

钓鱼文件向高丽大学分发了恶意软件。5

月，APT37

又以韩国的”内政和外交”、”付款申请表”为主题散布钓鱼诱饵文件，部署了

ROKRAT

感染链。随后，Kimsuky

组织通过漏洞利用，在韩国建筑公司的Windows

IIS

Web

服务器植入了

Meterpreter

后门。6

月，该组织继续以

"

生日祝福

"

诱饵文件散播

Quasar

RAT

木马程序。紧接着，APT37

借助

Ably

实时消息服务部署了一个新型窃听恶意软件

FadeStealer。月末，Kimsuky

通过AppleSeed

后门安装了

Chrome

远程桌面程序，进而对韩国的受害主机实现了系统控制。3.1.2

印度

-

巴基斯坦印度和巴基斯坦之间的网络攻击活动一直是两国关系紧张的一部分。2023

年上半年，双方都被指控进行了多次网络攻击，旨在干扰对方的政府机构、军事设施和关键基础设施。然而从公开报道的事件上来看，印度在这个战场中目前相对处于劣势地位。

印度针对巴基斯坦2022

年

11

月下旬至

2023

年

3

月，具有强烈的政治背景的印度响尾蛇（SideWinder）组织利用基于服务器的多态性技术针对巴基斯坦政府发起了持续的攻击。期间，由于国家地缘问题而产生的

DoNot

组织也疑似利用鱼叉式钓鱼邮件和社会工程学手段攻击了巴基斯坦国防部门，进而安装了具备窃取用户凭证、键盘记录、远程命令执行等功脧的恶意软件。85

月，响尾蛇组织通过构建由

55

个域名和

IP

地址组成的钓鱼网络，猛攻了巴基斯坦境内的金融、政府和执法机构，以及专门从事电子商务和大众传媒的公司。6

月，响尾蛇组织继续以巴基斯坦内阁部门发布的安全文件为饵，引诱目标用户下载了

Cobalt

Strike

载荷。

巴基斯坦针对印度2023

年年初，具有巴基斯坦政府背景的

Transparent

Tribe

组织伪装为印度国防部，投递了走私情报相关诱饵邮件。2

月，该组织利用虚假诱饵简历投放了

CrimsonRAT，进而对中招用户进行了持续监控。此后，模仿印度响尾蛇组织的

SideCopy

组织也发起反攻，伪装成安全机构，向印度通信部投递了

ReverseRAT

后门以达到信息窃取及远程控制的目的。3

月，Transparent

Tribe

持续发力，不仅对印度的移动端和

PC

端展开了攻击，通过伪装成印度国家奖学金门户、印度陆军福利教育学会的钓鱼页面窃取了特定用户信息，还通过捆绑了木马的

MeetsApp

和

MeetUp

的聊天应用程序部署了

Android

CapraRAT

后门，直接影响了多达

150

名具有军事或政治背景的受害者。月末，SideCopy

组织又以“飾险及困难津贴的发放”为诱饵，针对印度国防部开展了钓鱼活动。4

月，Transparent

Tribe

开始将其目标瞄准印度教育部门，借助具有教育主题内容和名称的网络钓鱼电子邮件分发了武器化的

Microsoft

O昀켁ce

文档，并通过恶意宏或

OLE

嵌入技术最终投递了

Crimson

RAT。期间，该组织还借助木马化的

Kavach

身份验证工具在印度政府机构中部署了新的

linux

恶意软件：Poseidon。本月下旬，Sidecopy

组织又向印度组织分发了其开发的新木马

AckRAT。5

月，SideCopy

开始利用印度核武器主题文件作为诱饵针对印度国家军事研究机构进行了鱼叉式钓鱼攻击，最终目的是在受害主机上部署恶意软件。6

月，该组织继续以印度国防、军事领域为目标，通过将恶意样本托管在一家印度翻译公司网站上，下发了新的

C#

后门木马：FetaRAT。3.1.3

俄罗斯

-

乌克兰俄乌冲突爆发以来就一直备受瞩目，就

2023

年上半年而言，双方目前虽在物理战场中你来我往，打得难舍难分，但在网络空间战场中，俄方组织似乎完全占据着主导地位，通过鱼叉式网络钓鱼、DDoS

攻击等手段对乌方的政府、军队等重要机构进行了间谍和破坏攻击。2022

年

9

月

-2023

年

1

月，俄罗斯网络间谍组织

Turla

利用其他黑客组织此前通过受感染的

USB

驱动器在乌方系统中植入的

Andromeda

恶意软件，分发了侦察程序

KOPILUWAK

和后门

QUIETCANARY。期间，亲俄黑客组织NoName057(16)

也对乌克兰的重要网站发起了

DDoS

攻击。2

月，隶属于俄罗斯主要情报局

(GRU)

的

74455

军事部队的

Sandworm

组织借助

5

种擦除器攻击了乌克兰的新闻机构

Ukrinform。接着，由俄罗斯国家支持的

Gamaredon

组织通过冒充乌克兰外交部、安全局，采用多步骤下载方法执行了间谍软件，对乌克兰的公共机构和关键信息基础设施进行了针对性的网络攻击。期间，与俄罗斯有关的Lorec53

间谍组织还在乌克兰部署了一种新的信息窃取程序：Graphiron。月末，Gamaredon

组织延续最近的间谍活动，伪装为乌克兰政府组织，投递了鱼叉式网络钓鱼电子邮件，植入了一个适用于

Windows

的

Hoaxshell

后门。3

月，一个较少被披露的亲俄

APT

组织

Winter

Vivern

开始将其目标已扩展至乌克兰外交部和电信组织，通过创建伪装为合法的政府域来分发恶意软件，以及利用应用程序漏洞来破坏特定目标。4

月，Gamaredon

继续针对乌克兰对外情报局

(SZRU)

和乌克兰安全局

(SSU)

等乌克兰政府实体，利用一个公92023

年上半年全球主要

APT

攻击活动报告开暴露的

SMTP

服务器制作和发送了钓鱼邮件。5

月，Sandworm

首先利用未受多因素身份验证保护的受损

VPN

帐户访问了乌克兰国家网络中的关键系统，最终通过腠本运行

WinRAR

归档程序擦除了目前机器的文件。月末，与俄罗斯

GRU

有关的

APT28

利用多种网络钓鱼技术针对乌克兰民间组织。并且，活动中涉及的大多数网络钓鱼网页都针对了在乌克兰地区流行的

UKR.NET

网络邮件服务。6

月，Shuckworm

被曝长期入侵乌克兰安全部门、军队和政府组织，多次试图访问和窃取敏感信息，例如有关乌克兰军人死亡的报告、敌人交战和空袭的报告、军火库库存报告、训练报告等。月末，APT28

破坏了乌克兰国家的多个组织和政府实体的

Roundcube

电子邮件服务器，进而部署了恶意腠本，以侦察和窃取受害者的

Roundcube地址簿、会话

cookie

以及存储在

Roundcube

数据库中的其他信息。在以上提到的三个网络空间战场中，我们不难看出这些战场的地理位置均与中国接壤或临近，而我国今年上半年也不断的遭受各大

APT

组织的攻击。不管是否为巧合，我们都必须提高警惕，密切关注网络空间的攻击态势。接下来我们将重点介绍国内

APT

攻击概况。3.2

国内攻击概况中国作为正在崛起的发展中国家，无论是经济实力还是科研力量都在稳步提升，因此也一直备受各国黑客组织的关注。2023

年上半年，不仅有多个高度专业的知名

APT

组织（响尾蛇、白象、蔓灵花尤为明显）持续入侵了我国政府、脧源和科研教育领域，黑产团伙也发起了猛烈的钓鱼攻击，以窃取敏感信息、获得经济利益，对我国安全构成了严重威胁。具有强烈政治背景的印度黑客组织响尾蛇于

2023

年

2

月开始利用疫情题材对我国高校伸出了爪牙，最终执行了侦查和窃密行为。时隔两月，该国的白象组织再次采用鱼叉式网络钓鱼策略对我国高校和科研机构出手，部署了进阶的

BADNEWS

远控程序。5

月，响尾蛇组织又被监测到模仿我国政府、金融组织的域名，诱导用户下载恶意载荷，进一步获取了敏感信息。2023

年

3

月，南亚

APT

组织蔓灵花伪装为吉尔吉斯斯坦大使馆，向我国核脧行业的用户投递了包含漏洞利用条件的钓鱼邮件。4

月，蔓灵花又以项目为由，向我国特定机构分发了包含恶意软件的

CHM文件。除了出于获取政治军事优势的目的，2023

年

4

月至

6

月期间，也不乏有黑产团伙（如主要针对金融领域的谷堕大盗团伙）借助国内流行的社交媒体应用、木马化的办公软件（如企业微信、WPS、钉钉），传播了

gh0st、BigWolf

等后门木马，进而窃取了用户信息以进行售卖。3.3

重点行业攻击3.3.1

针对政府行业的攻击政府行业作为网络对抗中极其重要的对象，在

2023

年上半年中以约

35%

的攻击率继续在

APT

组织重点攻击行业榜单中拔得头筹。这其中的主要贡献力量不外乎是来自朝鲜与韩国、印度与巴基斯坦、俄罗斯与乌克兰以及各国针对我国的四大网络战场。10从攻击策略来看，鱼叉式网络钓鱼是获取政府行业初始访问权限的最常见的方法。从攻击目的来看，针对政府行业的

APT

组织，以窃取敏感信息为主要目的，如俄罗斯

Gamaredon

针对乌克兰对外情报局

(SZRU)

和安全局

(SSU)开展鱼叉式网络钓鱼活动、巴基斯坦

SideCopy

组织向印度国防、军事部门投递

FetaRAT

木马、印度白象组织向我国相关单位投递

BADNEWS

远控木马等；以破坏目标系统为次要目的，如俄罗斯组织

Shuckworm

利用数据擦除器破坏乌克兰国家机构数据、亲俄组织

NoName057(16)

对乌克兰政府组织网站发起

DDoS

攻击等。3.3.2

针对软件行业的攻击软件行业由于存在的各种漏洞和供应链安全问题，在

2023

年上半年的

APT

组织重点攻击行业的中以约

15%

的攻击率位居榜单的第二位。从攻击策略来看，漏洞利用和供应链攻击是针对政府组织的关键入侵手段。其中，最易被针对的漏洞产品供应商为微软

，最常利用的漏洞涉及

CVE-2017-0199、CVE-2017-11882、CVE-2022-30190、CVE-2017-3506、CVE-2021-

22205

等。从攻击目的来看，针对软件行业的

APT

组织，以加密货币挖矿为主要目的，如南非黑客组织

Automated

Libra利用限时试用的云平台资源进行挖矿攻击、8220

Gang

组织利用

VMware

Horizon

服务器上的

Log4Shell

漏洞

(CVE-

2021-44228)

部署

XMRig

挖矿程序；以间谍攻击为次要目的，如

Tonto

Team

团伙向

Group-IB

员工的投递自定义后门

Bisonal.DoubleT、FIN7

利用

VBR

漏洞执行

PowerShell

腠本

POWERTRASH

等。3.3.3

针对金融行业的攻击金融行业作为经济资源最为丰富的市场，每年都是各大

APT

组织竞相攻击的对象，相比

2022

年下半年，2023年上半年数据显示，针对金融行业的攻击活动占比只增不减，成功以约

11%

的攻击率进入了易受

APT

组织关注的榜单第三位。从攻击策略来看，鱼叉式网络钓鱼攻击依旧是入侵金融行业的最有效的手段。从攻击目的来看，针对金融行业的APT

组织，大多不再纯粹以获取经济利益为目标，而是同时兼具政治动机实施间谍攻击，如

DEV-0856

组织在攻击欧洲金融和保险部门的活动中开始通过受感染的

USB

驱动器传播新版本的

Raspberry

Robin

蠕虫以收集更多的受害者系统数据、以信息窃取为动机的巴基斯坦黑客

Aggah

通过携带漏洞的

O昀켁ce

诱饵文档向哥伦比亚税务和海关总局、银行、财务部等目标分发远控软件、旨在窃取敏感数据的伊朗组织

Tortoiseshell

针对以色列多个金融服务公司网站发起水坑攻击

、经常进行间谍活动的

Alloy

Taurus

组织开始利用新型

Linux

变体

PingPull

恶意软件将目标扩展至金融机构等。112023

年上半年全球主要

APT

攻击活动报告04

总结国际环境日益复杂的局势下，地缘政治类攻击活动正成为大势所趋，未来或许将会有更多的

APT

组织加入国际政治战场，APT

组织的攻击目的也将趋向复杂化。政府组织作为关键的突破口，会是经久不衰的首要攻击目标。各级政府部门、组织及单位应当关注自身基础设施安全建设，加强重要数据保护，避免机密数据外泄。软件行业因其复杂性和庞大性，将面临各种外来攻击飾险，如何做到有效防范漏洞利用和供应链攻击显得尤为重要。金融领域目前作为获取经济利益的主要来源，未来或许也将逐渐转变为黑客组织为积蓄间谍攻击力量的储备资源。天际友盟提醒用户增强安全意识，加强邮件过滤和反欺诈措施，定时更新和维护安全软件，持续关注漏洞动态和安全领域的发展及变化，积极参与信息共享与合作，通过与其他金融机构、安全专家和政府部门的合作，共同应对间谍攻击威胁。05

附录时间 APT

事件 组织名称 攻击行业6

月

30

日 MuddyWater

间谍组织新型

C2

框架

PhonyC2

揭秘 MuddyWater 教育6

月

29

日 Kimsuky

组织利用

Chrome

远程桌面对韩国发起攻击 Kimsuky6

月

29

日 Red

Wolf

伪造俄罗斯电商网页进行攻击 RedCurl 互联网6

月

29

日 Diicot

挖矿组织已成功入侵

600

余台境内设备 Diicot 互联网6

月

28

日 谷堕大盗团伙借助国内流行工具对企业用户发动水坑攻击 谷堕大盗 软件和信息技术6

月

27

日 Lazarus

组织利用虚假的

ComcastVNC

软件开展钓鱼活动 Lazarus6

月

25

日Muddled

Libra

网络犯罪集团持续攻击

BPO

行业Muddled

Libra软件和信息技术、互联网、通信、商业表

2

2023

年上半年

APT

组织活动时间表12时间 APT

事件 组织名称 攻击行业6

月

23

日 朝鲜组织

APT37

借助

Ably

服务开展间谍活动 APT376

月

22

日 黑客组织

APT28

入侵乌克兰政府邮件服务器 APT28 军队、政府6

月

21

日 DeepBlueMagic

组织对以色列医疗中心发动勒索攻击 DeepBlueMagic 医疗6

月

20

日 CL-STA-0043：针对中东和非洲政府的黑客组织 CL-STA-0043 军队、外交机构、政府6

月

20

日 DoNot

组织正在

Google

Play

商店中部署

Android

间谍软件 APT-C-35 互联网6

月

19

日 Kimsuky

组织使用各种标题的

CHM文件传播恶意程序 Kimsuky 互联网、金融6

月

19

日 新兴的罗马尼亚黑客组织

Diicot

追踪 Diicot 互联网6

月

16

日 俄罗斯间谍组织

Shuckworm

长期入侵乌克兰 Gamaredon 军队、政府6

月

16

日ChamelDoH：ChamelGang

组织编写的

DNS-over-HTTPS

通信程序ChamelGang航空航天、政府、脧源6

月

16

日 间谍软件

GravityRAT

伪装成通信程序进行分发 SpaceCobra 通信6

月

12

日 Asylum

Ambuscade

网络犯罪组织揭秘 Asylum

Ambuscade 金融、政府、互联网6

月

12

日黑客组织利用

Truebot

部署

Cobalt

Strike

和

FlawedGrace

进行数据窃取与擦除FIN116

月

9

日 Sidecopy

组织近期活动分析 SideCopy 军队、政府6

月

9

日 响尾蛇组织针对巴基斯坦政府的最新攻击动态公开 SideWinder 政府6

月

9

日RomCom

组织瞄准乌克兰政客以及为在美乌克兰难民提供救助的美国医疗机构Tropical

Scorpius医疗、政府6

月

8

日 TA505

组织利用

MOVEit

漏洞实行勒索活动 TA505 软件和信息技术6

月

7

日 TAG-71

组织对亚洲国家和美国的金融机构发起攻击 TAG-71 金融6

月

7

日 ITG10

组织疑似针对朝鲜关注的韩国组织和机构 ITG10 媒体、政府、脧源6

月

6

日Kimsuky

组织以

"

生日祝福

"

诱饵文件散播

Quasar

RAT

木马程序Kimsuky6

月

6

日 Silence

组织正在积极投递

TrueBot

程序 Silence 软件和信息技术6

月

2

日 SharpPanda

组织针对

G20

国家开展网络钓鱼攻击活动 SharpPanda 政府6

月

2

日 Camaro

Dragon

组织最新自定义后门

TinyNote Camaro

Dragon 政府6

月

1

日 APT

组织

Dark

Pink

卷土重来，影响

5

名新受害者 Dark

Pink5

月

31

日 Void

Rabisu

组织伪造知名软件网站部署

RomCom

后门 Tropical

Scorpius 软件和信息技术表

2

2023

年上半年

APT

组织活动时间表132023

年上半年全球主要

APT

攻击活动报告时间 APT

事件 组织名称 攻击行业5

月

29

日 黑客组织

RedBeard

活动披露 RedBeard 金融、工业、通信、商业5

月

26

日Kimsuky

组织再次使用定制工具

RandomQuery

进行间谍攻击 Kimsuky社会组织、软件和信息技术5

月

26

日 伊朗组织

Tortoiseshell

针对以色列多个网站发起水坑攻击 Tortoiseshell 运输、金融5

月

26

日 新

APT

组织

GoldenJackal

攻击中东和南亚地区已超四年时间 GoldenJackal 政府5

月

25

日 Patchwork

组织最新攻击动态追踪 WhiteElephant 教育5

月

25

日Volt

Typhoon

组织瞄准美国关键基础设施Volt

Typhoon通信、制造、运输、建筑、政府、软件和信息技术5

月

24

日 印尼组织

GUI-vil

利用

AWS

进行盈利性的挖矿活动 GUI-vil 通信5

月

24

日 印度白象组织向我国发起网络钓鱼攻击 WhiteElephant 军队、政府5

月

23

日 ScarCruft

组织借助付款主题的恶意文档投递

RokRat

木马 APT375

月

23

日 BlueNoro昀昁组织

RustBucket

恶意软件活动详情披露 APT385

月

22

日 APT28

利用多种网络钓鱼技术针对乌克兰民间组织 APT28 社会组织5

月

22

日 Kimsuky

组织通过部署

Meterpreter

后门攻击韩国建筑公司 Kimsuky 建筑5

月

19

日 Lazarus

组织近期针对

IIS

Web

服务器发起攻击 Lazarus 软件和信息技术5

月

19

日SideWinder

组织持续攻击中国和巴基斯坦实体SideWinder服务业、互联网、金融、媒体、政府5

月

18

日 Hagga

组织近期针对哥伦比亚的攻击活动追踪 Aggah 金融、服务业、政府5

月

17

日 8220

Gang

近期活动披露 8220

Gang 软件和信息技术5

月

17

日Camaro

Dragon

通过在

TP-Link

路由器中部署恶意植入物攻击欧洲外交实体Camaro

Dragon政府5

月

16

日 黑客正通过易受攻击的服务器窃取韩国制造公司信息 Xiaoqiying

和

Dalbit 制造5

月

16

日Lance昀氁y组织使用定制后门

Merdoor

瞄准南亚等地区Lance昀氁y航空航天、教育、运营商、政府5

月

12

日 SideCopy

新样本披露 SideCopy 军事、政府5

月

11

日 APT

组织

Red

Stinger

攻击活动披露 Red

Stinger 军事、交通5

月

9

日 黑客组织

APT37

近期活动及其工具

ROKRAT

感染链分析 APT37 媒体、政府5

月

9

日 UAC-0006

组织正积极分发

SmokeLoader

恶意软件 UAC-00065

月

9

日 SideWinder

组织针对巴基斯坦政府的最新活动追踪 SideWinder 政府表

2

2023

年上半年

APT

组织活动时间表14时间 APT

事件 组织名称 攻击行业5

月

6

日 SideCopy

利用印度核武器主题文件作为诱饵进行钓鱼攻击 SideCopy 军工5

月

6

日 疑似黑客组织

TA569

的近期活动分析 TA5695

月

6

日1877

Team：一个正在崛起的伊拉克黑客组织1877

Team政府、软件和信息技术、教育、通信、军队5

月

6

日 Kimsuky

组织在全球范围内部署新侦察工具

ReconShark Kimsuky 教育、政府5

月

5

日Earth

Longzhi

组织最新

TTP

追踪Earth

Longzhi软件和信息技术、医疗、政府、制造5

月

5

日 Dragon

Breath

组织使用双重

DLL

侧加载技术逃避检测 Dragon

Breath5

月

4

日Nomadic

Octopus

组织通过入侵塔吉克斯坦电信运营商成功监视

18

个实体Nomadic

Octopus公共设施、通信、政府5

月

4

日 黑客组织

Sandworm

利用

WinRAR

破坏乌克兰国家机构数据 Sandworm4

月

28

日 Charming

Kitten

组织近期

BellaCia

恶意软件活动分析 Charming

Kitten 关键基础设施4

月

28

日 Evasive

Panda

组织针对国内用户投递恶意软件 Dagger昀氁y 社会组织4

月

27

日 Alloy

Taurus

间谍组织构建

PingPull

Linux

变体 Alloy

Taurus 通信、金融、政府4

月

27

日 黑客组织

FIN7

利用

VBR

漏洞攻击服务器 FIN7 软件和信息技术4

月

26

日Educated

Manticore

组织通过部署

PowerLess

后门瞄准以色列Educated

Manticore4

月

25

日 APT-LY-1007

组织针对俄罗斯军队的攻击活动分析 APT-LY-1007 军队、运输4

月

25

日 BlueNoro昀昁黑客组织使用

RustBucket

攻击

macOS APT38 软件和信息技术4

月

25

日 APT

组织

Tomiris

详情披露 Tomiris 政府4

月

24

日 Lazarus

组织与

3CX供应链事件存在关联 Lazarus 软件和信息技术4

月

23

日 盲眼鹰组织针对哥伦比亚政府开展网络钓鱼活动 APT-C-36 政府4

月

23

日 Sidecopy

组织新木马行为披露 SideCopy 军工、政府4

月

23

日 南亚

APT

组织

Patchwork

攻击国内高校和科研单位 WhiteElephant 教育4

月

21

日 APT36

通过木马化的

Kavach

工具分发

Poseido

恶意软件 Transparent

Tribe 政府4

月

21

日 非洲电信公司遭

APT

组织

Dagger昀氁y入侵 Dagger昀氁y 通信4

月

21

日 疑似前

Conti

成员和

Fin7

组织联手开发新的

Domino

后门 FIN74

月

20

日伊朗黑客组织

Mint

Sandstorm

瞄准美国关键基础设施Charming

Kitten关键基础设施、运输、脧源表

2

2023

年上半年

APT

组织活动时间表152023

年上半年全球主要

APT

攻击活动报告时间 APT

事件 组织名称 攻击行业4

月

20

日 俄罗斯组织

Gamaredon

针对乌克兰政府开展网络钓鱼活动 Gamaredon 政府4

月

19

日 8220

Gang

组织借助

Log4Shell

漏洞部署挖矿程序 8220

Gang 脧源、软件和信息技术4

月

17

日 CNC

组织最新攻击动态揭露 CNC 教育4

月

17

日 Transparent

Tribe

组织利用

Crimson

RAT

攻击印度教育部门 Transparent

Tribe 教育4

月

14

日 APT

组织

Lazarus

下属活动集群

DeathNote

追踪 Lazarus 教育、汽车4

月

14

日 Bitter

组织传播针对中国机构的

CHM恶意软件 BITTER4

月

12

日 谷堕大盗团伙

gh0st

后门再次更新 谷堕大盗 软件和信息技术4

月

12

日 WarSun昀氁ower组织针对

CIS

国家及中亚地区开展间谍活动 APT-LY-1006 政府、航空航天4

月

11

日 Karakurt

组织及

2022

年相关活动详情披露 Karakurt4

月

11

日MuddyWater

和

DEV-1084

组织在勒索软件活动幌子下实施破坏性攻击MuddyWater软件和信息技术4

月

11

日 UNC4466

组织瞄准服务器备份软件以获取初始访问权限 UNC4466 软件和信息技术4

月

10

日 8220

挖矿团伙来袭，多家企业主机已中招 8220

Gang4

月

7

日 投递

Gh0st

窃密木马的黑产团伙再增一员 未知4

月

6

日 钓鱼团伙利用

QQ

及微信传播恶意木马 未知4

月

6

日 网络间谍组织

Mantis

升级恶意软件以攻击巴勒斯坦 APT-C-234

月

3

日 TA473

组织利用

Zimbra

漏洞入侵欧洲政府

Webmail

门户网站 Winter

Vivern 政府3

月

31

日 双尾蝎组织再次活跃，通过钓鱼网站投递木马程序 APT-C-23 软件和信息技术3

月

30

日 Kimsuky

组织借助

ADS

隐藏恶意软件 Kimsuky3

月

30

日 针对

Linux

服务器的恶意软件植入物

Mélofée

分析 APT413

月

30

日 朝鲜新黑客组织

APT43

详情披露 APT43 教育、金融、政府、制造3

月

29

日Earth

Preta

网络间谍组织最新

TTP

追踪Mustang

Panda金融、运输、政府、制造、脧源3

月

27

日 APT

组织

BITTER

针对中国核脧行业的钓鱼活动 BITTER 核脧、脧源3

月

24

日 中东电信运营商遭遇网络间谍袭击 APT41 通信3

月

24

日 Kimsuky

组织正利用

OneNote

文件分发恶意软件 Kimsuky 教育3

月

24

日 Evilnum

组织针对以色列地区的攻击活动分析 Evilnum 金融、互联网、通信3

月

23

日 肚腍虫组织近期攻击手法披露 APT-C-35 政府表

2

2023

年上半年

APT

组织活动时间表16时间 APT

事件 组织名称 攻击行业3

月

23

日 朝鲜

APT37

组织

TTP

揭秘 APT373

月

22

日 SideCopy

组织针对印度国防部开展钓鱼活动 SideCopy 军队3

月

21

日 DarkPink

组织袭击印度尼西亚外交及菲律宾军事部门 Dark

Pink 军队外交机构3

月

20

日 攻击者利用美国政府

IIS

服务器漏洞进行攻击 TA1，XE

Group 政府3

月

17

日 亲俄

APT

组织

Winter

Vivern

详情披露 Winter

Vivern 通信、政府3

月

16

日 Saaiwc

组织向印尼政府发起大规模网络攻击 Dark

Pink 政府3

月

16

日 YoroTrooper

间谍组织瞄准独联体国家 APT-LY-1006 医疗、政府、脧源3

月

15

日 APT

组织

Tick

攻击东亚

DLP

软件开发商 Tick 软件和信息技术3

月

14

日 Dark

Pink

组织利用

KamiKakaBot

袭击东盟国家政府实体 Dark

Pink 政府3

月

13

日 8220

Gang

组织利用

ScrubCrypt

加密器开展挖矿活动 8220

Gang 软件和信息技术3

月

10

日Transparent

Tribe

组

织

通

过

虚

假

聊

天

程

序

植

入

Android

CapraRAT

后门Transparent

Tribe政府、互联网3

月

10

日 Kasablanka

组织针对中东、中亚等国实施钓鱼攻击 Kasablanka 政府3

月

10

日 UNC4540

组织利用未打补丁的

SonicWall

设备开展间谍活动 UNC4540 软件和信息技术3

月

9

日 RedEyes

组织伪装为金融公司投递

CHM恶意软件 APT37 金融3

月

8

日 新型僵尸网络犯罪团伙“落叶飞花”剖析 落叶飞花3

月

8

日 APT-C-56

组织针对印度双平台的攻击组件披露 Transparent

Tribe 军工、政府3

月

8

日 疑似

Soul

后门来源于

Sharp

Panda

间谍组织 SharpPanda 政府3

月

3

日 Lazarus

组织再次借助某公证软件

0-Day

漏洞破坏韩国公司 Lazarus3

月

3

日 Mustang

Panda

组织新后门

MQsTTang

剖析 Mustang

Panda 政府3

月

2

日 Iron

Tiger

组织

2022

年活动披露 APT27 娱乐活动3

月

2

日 盲眼鹰组织针对哥伦比亚关键行业发起钓鱼攻击 APT-C-36 金融、医疗、政府3

月

1

日 Black昀氁y间谍组织瞄准亚洲材料技术领域 Black昀氁y 制造3

月

1

日 WinorDLL64

后门疑似来自

Lazarus

组织武器库 Lazarus2

月

28

日 腾云蛇组织

2022

年攻击活动追踪 APT-C-61 政府2

月

28

日 Kaiji

僵尸网络重现江湖，主导团伙曝光 Ares2

月

27

日 SideCopy

组织向印度政府投递

ReverseRAT

后门 SideCopy 政府表

2

2023

年上半年

APT

组织活动时间表172023

年上半年全球主要

APT

攻击活动报告时间 APT

事件 组织名称 攻击行业2

月

24

日 新威胁组织

Clasiopa

瞄准亚洲材料研究单位 Clasiopa 制造业2

月

24

日 响尾蛇组织利用疫情题材攻击我国高校 SideWinder 教育、政府2

月

23

日 Hydrochasma

组织以亚洲医疗和航运部门为目标 Hydrochasma 医疗、运输2

月

22

日 Gamaredon

组织借助

Hoaxshell

后门再次攻击乌克兰 Gamaredon 政府2

月

22

日 Earth

Kitsune

团伙通过水坑攻击植入

WhiskerSpy

后门 Earth

Kitsune2

月

21

日 APT-LY-1006

针对东欧中亚地区的攻击活动披露 APT-LY-1006 政府2

月

21

日疯狂对华实施数据窃取的

ATW

组织大揭秘AgainstTheWest软件和信息技术、教育、政府2

月

20

日两个

BEC

组织冒充高管对全球公司进行攻击Mandarin

Capybara

Midnight

Hedgehog2

月

20

日 谷堕大盗针对金融、证券业的攻击活动追踪 谷堕大盗 金融2

月

17

日 新

APT

组织

NewsPenguin

攻击巴基斯坦军事单位 NewsPenguin 军工、政府2

月

17

日 WIP26

间谍组织入侵中东地区 WIP26 通信2

月

16

日 APT37

组织通过

Hangul

EPS

漏洞传播恶意代码 APT372

月

16

日黑客组织

Dalbit

详情披露Dalbit软件和信息技术、建筑、制造业2

月

16

日 Group-IB

近期遭遇

Tonto

Team

团伙袭击 Tonto

Team 软件和信息技术2

月

15

日 APT-C-56

利用虚假诱饵简历投放

CrimsonRAT