2023年全球高级威胁态势研究报告

亚奥理事会官方合作伙伴2 6高级威胁篇 92023年全球高级威胁综述 9新披露的APT组织 121.由猎影实验室首次发现并命名 122.其他安全厂商披露 17地缘下的高级威胁 271.北美地区 272.东欧地区 303.南亚地区 424.东亚地区 485.东南亚地区 606.中东地区 637.其他地区 732023年高级威胁活动特点 741.以破坏为目的的攻击活动兴起 742.邮件服务器成为初始攻击的目标 753.面向开发人员的供应链攻击活动增加 764.针对加密货币行业的攻击变本加厉 775.使用非主流编程语言作为逃避检测手段 776.商业服务与合法软件API被广泛使用 782024年高级威胁活动预测 781.借助AI的社会工程学攻击活动数量增多 782.基于地缘政治的网络间谍活动数量增多 7933.针对移动、可穿戴设备的攻击活动兴起 804.针对供应链的攻击活动只增不减 805.云基础设施成为新的战场 80网络犯罪篇 822023年网络犯罪团伙综述 821.被打击的网络犯罪团伙 822.新出现的网络犯罪团伙 863.针对我国的黑灰产团伙 90地缘下的黑客主义行动 1041.俄乌冲突 1052.巴以冲突 110勒索软件团伙 1131.新出现的勒索软件团伙 1142.持续活跃的勒索软件团伙 1243.黑客雇佣组织 1412024网络犯罪趋势预测 1441.勒索赎金支付总金额大幅上升 1442.勒索团伙的漏洞利用能力增强 1453.针对云服务的勒索攻击将增加 1474.出现更多的勒索源代码再利用 1485.将人工智能应用于网络犯罪 1506.针对国内的网络犯趋势可能会有所衰退 150在野0-day漏洞篇 1522023年在野0-day漏洞披露情况 1522023年在野0-day漏洞利用趋势 1541.苹果设备跃升成为0-day漏洞攻击的头号目标 154亚奥理事会官方合作伙伴42.提权0-day漏洞数量继续维持高位 1553.针对Chrome的0day攻击继续回落 1574.操作系统0day比例继续上升，浏览器0day比例继续下降 1585.以Office为载体的逻辑漏洞持续出现 1582024年在野0-day漏洞利用预测 159总结 161亚奥理事会官方合作伙伴5等相关内容均归杭州安恒信息技术股份有限公司所有。本文中的任何部分未经杭州安恒信息技术股份有限公司62023年，世界再次置身于巨大而不可预测的变革之中。全球地缘政治局势的演变，特别是一系列新兴威胁的不断涌现，使得网络安全面临着前所未有的挑战。过去一年，我们目睹了地缘政治动荡、科技进步和在此背景下，俄乌、巴以冲突成为焦点，对全球网络环境带来了严重的冲击。网络攻击不再仅仅是技术层面的挑战，更成为国家安全和全球稳定的关键元素。网络威胁的高级持续性表现出与以往不同的特征，犯罪团伙的攻击活动以及在野0-day漏洞的分析，发布《2023年高级威7组织。该组织在全球范围内进行了多次供应链入侵，并持续从事加密货型USB蠕虫进行大规模情报收集；Sandworm再次入侵乌克兰电网运营中东地区的网络攻击活动主要以监听或破坏基础设施为主，如Char亚奥理事会官方合作伙伴8票、税务、财务、政策、证券、薪资、补贴等，对高价值目标还可能实受地缘冲突影响，俄乌以及巴以地区的DDoS攻击几乎没有间断，亚奥理事会官方合作伙伴9高级威胁篇2023年全球高级威胁综述组织，引发了广泛的关注。特别值得关注的是，俄乌、巴以、印巴等地区的网络威胁活动呈现出明显的激增趋势。这一现象可能与这些地区长期存在的政治紧张和冲突密切相关，这些紧张局势可能激发在这些地区，政治紧张和冲突往往不仅仅局限于传统的军事对抗，还扩展到了网络领域。各方可能寻求通过网络攻击手段来获取对方的敏感信息、进行网络侦察，甚至实施报复性的网络攻击。这种情况使得网络空间成为国际竞争和冲突的一个重要战场，各国或组织通过网络手段进行了多次供应链攻击，主要针对全球金融、加密货币行业、IT、医疗服务托管恶意负载及诱饵文件。中东地区随着巴以冲突的升级新增了大2023年，由于朝鲜地区的威胁组织高度活跃，因此全球高级威胁活动的目标国家中韩国的占比较高，其次是身处俄乌冲突的乌克兰地区，2023年高级威胁活动主要专注于攻击政府、国防军事、外交、通信和能源等关键行业。政府机构是攻击的首要目标，因为涉及到国家治理、决策制定和国家安全的核心职能。针对国防军事领域的攻击旨在窃取军外交领域同样成为网络间谍活动的热门目标，原因在于外交关系涉及到大量国家之间的重要信息交流和协商。此外，针对通信和能源行业的攻击也有所上涨，攻击者试图侵入通信网络，截取敏感通信内容或破新披露的APT组织亚太地区的国家，受害者包括菲律宾军事机构其两项恶意软件加载核心技术包括：DLL侧加载和事件触发执行受感染计算机的USB设备，并且能够访问受感染计算机上的Messenger。2)暗影蓝鹊（APT-LY-1006，ShadowBlue点击并下载后续窃密组件。其窃密组件使用多语言（C++、Pascal、Rust）疗保健机构、世界知识产权组织（WIPO）以及阿塞拜疆和土库曼斯坦等欧洲国家的大使馆，该组织使用基于Python的、定制的和开源的信息窃3)机械鹰（APT-LY-1007，Mech时期，主要攻击目的为窃取俄罗斯军事机密，且在半年时间内对攻击武4)骷髅狼（APT-LY-1008，SkeletonWolf）E-2023-38831）执行恶意指令，还使用基于专业的渗透测试框架的Athen2.其他安全厂商披露组织主要针对巴基斯坦进行网络钓鱼活动，活动影响目标包括巴基斯坦军事技术公司、国家机构和军事组织，PIMEC会议的组织者、参展商和据接收到的攻击者命令，执行收集和发送受害主机的系统信息、运行附2)WIP26期针对中东的电信运营商开展间谍活动，其活动严重依赖公共云基础设恶意软件交付、数据泄露和远控指令下发等目的，试图通过此方式使恶还会通过伪装成例如PDF编辑器或浏览器等实用软件进一步诱导用户下3)Clasiopa主要针对亚洲材料研究单位，通过对面向公众的服务器进行暴力攻击以获得访问权限。其工具集包括自制远控木马Atharva4)CloudWizard农业和运输组织展开了活跃的攻击。该组织在活动中使用了PowerMagic5)APT43韩国、美国、日本和欧洲地区，目标行业涵盖政府、教育、研究、政策APT43主要利用鱼叉式网络钓鱼邮件和社会工程学等技术展开初始攻击，通过伪装成目标专业领域内的关键人物发送消息以引诱目标用户点击，利用从受感染用户处窃取的联系人列表来识别更多目标以窃取加自定义和开源的恶意软件来实现其攻击目的，例如BabyShark、FastFire、6)Tomiris使用的初始攻击策略包括：带有恶意内容（如受密码保护的压缩文档、Tomiris基于多种语言编码的可快速开发的大量恶意软件，如用于部署后门或额外工具的恶意软件下载程序Telemiris，用于进行侦察、命令7)OilAlpha8)GoldenJackal活动初始感染媒介为木马化的Skype安装程序和包含Follina漏洞用于从目标的所有逻辑驱动器中窃取数据，JackalScreenWatcher：用于在9)CadetBlizzardCadetBlizzard主要根据俄罗斯军事或情报要求确定目标优先级，其主要针对乌克兰、欧洲、中亚等地区的政府、执法部门、非盈利/非政府组织主要针对中东和非洲政府进行网络间谍活动，主要目标是获取高度织，该组织自2014年开始活跃，主要针对驻白俄罗斯大使馆。自2020年之后，该组织开始使用合法的拦截系统（如SORM）进行中间人攻击，名管道接收Shellcode。这两个后门通常伪装成合法安全软件组件，使用对中东、西欧和南亚次大陆的电信提供商部署基针对中国台湾的制造、IT和生物医学领域的公司与机构进行情报收集活问权限后利用漏洞CVE-2019-0803提升权限，进行网络扫描并下载后续地缘下的高级威胁NSA是美国国家安全局（Nation联邦政府负责处理国家安全信息和信号情报的机构。NSA的主要任务包括收集、分析和解释全球范围内的通信和信号情报，以支持美国国家安局负责入侵指定目标的高度机密单位，专注于网络攻击和计算机网络操作。该部门由专业化的网络和计算机安全专家组成，致力于开发定制的网络攻击工具，以执行对手系统的渗透测试和网络间谍活动。TAO的任务包括全球范围的定制攻击，针对政府机构、军事组织和其他关键基础2)西北工业大学后续情况披露），“二次约会”（SecondDate）间谍软件具有服务端和控制端两部分。服务端部署于目标网络边界设备上，通过底层驱动实时监控和流量。控制端则通过发送特殊构造的数据包触发激活机制。一旦激活，全程通信加密，通信端口随机选择。控制端具有远程配置服务端工作模式和劫持目标的能力，可根据需要选择网内的任意目标进行中间人攻击。国家计算机病毒应急处理中心声称，经层层溯源，发现了上千台遍布各国的网络设备中仍在隐蔽运行“二次约会”间谍软件及其衍生版本，并发现被美国国家安全局（NSA）远程控制的跳板服务器，其中多数分布在德国、日本、韩国、印度和中国台湾。并且锁定了对西北工业大学3)Triangulation行动的披露意软件。攻击完成后，消息和附件将被擦除，而有效负载将保留在后台于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆这样的检查，攻击者可以确保他们的零日漏洞和植入物不会被摧毁。其在网络领域展开的攻击活动维持了自去年开始的热度。相较于创造了历在俄乌冲突的背景下，该地区的网络间谍活动变得尤为频繁。各类重点目标，包括政府机构、军事基地、媒体组织以及关键基础设施，都成为网络间谍活动的焦点。网络间谍者在俄乌冲突中采用了高度复杂的-day漏洞的利用、精心设计的社会工程学攻击、网络钓鱼和定向攻击等方式。其目标涵盖了从政治决策到军事计划，再到民间社会的多个层面。等，在今年依然活跃。以获取目标信息为目的，大规模的钓鱼邮件攻击用了经过特洛伊化的软件、钓鱼电子邮件，以及在今年攻击中RomCom漏洞。该组织使用高度复杂且完善的漏洞利用链，利用MicrosoftOfficeVoidRabisu组织伪造知名软件网站部署RomComRomCom重新浮出水面：针对乌克兰政客和美国医RomCom利用北约峰会主题文件向乌克兰支持者传OperationHideBear：俄语威胁者将目标瞄准东亚和RomCom利用CVE-2023-36884漏洞攻击织开展钓鱼攻击活动，常用的工具包括伪装成政府官方文件的各式诱饵、络攻击频率，积极使用各种已知手法尝试渗透乌克兰政府、军营、警局下图为常见的Gamaredon组织的钓鱼文档，Gamaredon组织大多是是以通知和文件为主题，此例文档是模仿乌克兰国家警察的文档动APT28是一个被认为与俄罗斯政府有关的网络威胁行动组织，也被活跃于网络领域，并专注于进行情报搜集、网络侦察和网络动范围主要集中在政府机构、军事机构、国际组织以及与俄罗斯政治、APT28利用已知漏洞在思科路由器上进行侦察和部APT28网络钓鱼邮件攻击：主题为“操作系统更新”APT28在针对乌克兰的威胁活动中采取了威胁漏洞APT28组织利用网络钓鱼攻击获取公共邮件服务的对乌克兰、西班牙、印度尼西亚和法国的政府实体持续性威胁团队，其主要活动领域包括政府机构、军事机构和大型企业。包括定制的恶意软件和社交工程手段，旨在窃取敏感信息和进行情报搜NeutrinoNOBELIUM利用波兰大使访美的机会瞄准援助乌克揭露RDStealer针对东亚基础设施的有针对性的网BlueBravo利用GraphicalProton恶意软件瞄准外交APT29组织使用德国大使馆外交内容作为诱饵传播作APT29利用CVE-2023-38831漏洞针对合同确定了俄罗斯公司NTCVulkan的网络运营项目SBU揭露俄罗斯情报机构试图渗透武装部队的规划沙虫利用针对运营技术的新型攻击破坏了乌克兰的Turla是一支源自俄罗斯的高级持续性威胁（APT）组织，又被称为鱼攻击，致力于长期潜伏于目标网络中，进行持续的情报搜集。多年来，通信，而是将目标网络中被破坏的主机作为代理，将流量转发至真正的源于一个初始的命令与控制信标URL字符串“wintervivern该字符串现MoustachedBouncer组织针对白俄罗斯大使该地区在今年也有可观数量来自其他组织的攻击活动，涉及的组织乌克兰及波兰成为白俄罗斯组织UNC1151长期钓XDSpy针对俄罗斯私营公司与研究机构的攻击活动MoustachedBouncer组织针对白俄罗斯大使RU（俄罗斯联邦武装力量总参谋部情报总局）赞助的威胁组织。微软在踪该组织。该组织通常会在受影响网络上进行渗透并保持立足点数月之2)对基础设施的攻击持续并升级俄乌冲突的双方为了削弱对方的能力，基础设施已经成为了重要的攻击瘫痪了俄罗斯国家税务系统的数千台服务器并破坏了数据库和备份。根据乌克国防情报局的说法，俄罗斯联邦税务局的基础设施已经“被完全摧毁“多年来确保俄罗斯税务系统正常运转的配置文件也被销毁”，这导致俄罗斯联邦税务局系统已经连续瘫痪四天。乌克兰国防情报局甚至宣称俄罗斯联邦税务系统至少要瘫痪一个月，而且“永远不会从攻击中完全恢的网络攻击”负责。在今年的行动中，乌克兰方面大幅度升级了对俄罗斯在乌克兰官方承认攻击不久之后，作为对本次攻击的回应，乌克兰“基辅之星”拥有2400万用户，断网引发了乌全国性移动通信和互联基辅市、基辅州、苏梅州、第聂伯罗彼得罗夫斯克州、切尔卡瑟州、利Patchwork组织新型攻击武器报告-EyeShell武器披露Patchwork组织2023年的主要攻击目标为中国境内的教育科研、军工单位以及政府部门。攻击方式跟去年利用文档相关漏洞加载Shellcode2)Sidewinder益目标，但针对中国高校的攻击也从未停止，此外还发现了针对不丹以巴基斯坦政府官方文件作为诱饵，再精心制作成带有宏的Office文档、一直以来，该组织就在针对中国高校发起攻击活动，根据2月份研箱地址的虚假域名，然后向该高校下属公共管理学院的行政办公室邮箱3)SidecopySidecopy针对印度国防、军事部门下发新后门FetaSidecopy组织在2023年对印度政府，军事部门进行了多次攻击。2攻击，并且攻击载荷挂载在印度大型制造商和出口商的官网下，这表明该组织除攻击印度政府军事部门外，也会获取印度大型企业的网络访问然是该地区乃至全球攻击频率最高，攻击范围最广，攻击技术最复杂的进行业务扩张，攻击目标拓展到金融机构、虚拟货币交易所等具有较高孟加拉国银行数据泄露事件、2017年美国国防承包商和能源部门、同年英韩等国比特币交易所攻击事件以及针对众多国家国防和航空航天公司洞析击其进行攻击以获取巨额利益。该组织会采取多种方式进行攻击，如伪装为加密货币钱包从来向用户投放恶意ISO文件，最终加载该组织常用的件；此外研究人员还发现该组织试图冒充区块链社区成员说服工程师安Lazarus组织在今年的攻击中使用了多个漏洞入侵系统，并且这其中恶意活动的目标包括印度的一家医疗保健研究机构、一所领先研究型大国一家企业公司，随后该受害目标已将所有软件都更新到最新版本并继否否否是否是否否否随着软件系统的防护策略越来越完善健全，想要直接入侵系统变得越来越困难，攻击者开始将目光转向软件系统所依赖的供应链软件的入这次供应链攻击也是第一次由于一次供应链攻击导致另一起供应链攻击研究人员披露了被称为“VMConnect”的python包投毒攻击，活动涉及2)APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括化学、电子、制造、航空航天、汽车和医疗保健实APT37组织借助付款主题的恶意文档投递RokRat木马金融、医药、教育、能源等行业。具体攻击手法包含多类型恶意代码的少见的针对俄罗斯的攻击，受害者是一家俄罗斯领先的导弹和军用航天征以及APT37的网络基础设施，这表明对于特定的攻击二者会共享网络3)Kimsuky景的威胁组织。卡巴斯基实验室的研究人员发现了针对韩国军事智库的大规模网络间谍活动，并引用恶意代码中的词语“Kimsuky”对其命名。Ki育，国防及外交等部门，近年来还攻击金融公司和加密货币组织以谋求kimsuky最近针对谷歌浏览器和应用商店服务的网harkKimsuky新的社工行动旨在窃取凭证并收集战略情报Kimsuky入侵了美韩联合军事演习的个人电子邮件Kimsuky移动端恶意软件合并并伪装成合法移动应的钓鱼攻击，这些攻击活动往往不具有明确的目标，而是通过传播具有Kimsuky组织也在积极利用安卓平台进装为用户常用的软件以引诱用户安装后门程序，目前Kimsuky使用过的地缘政治主题在全球范围内开展了网络间谍活动，并且将目光瞄准美国、搅动了新的风云。其攻击活动表明他们对各种目标的广泛兴趣，包括政府机构、军事组织、企业机构等。这种广泛的攻击范围提示了该组织对随后又有其他安全厂商跟进并披露。该组织主要针对亚太地区的国家，其目标包括菲律宾、马来西亚、柬埔寨、印度尼西亚等的政府、军事机SaaiwcGroup针对东南亚军事、财政等多部门的攻SaaiwcGroup组织持续活跃，借多国外交之名进行SaaiwcGroup针对印度尼西亚外交部门和菲律宾军月首次披露，报告揭示了该组织针对菲律宾、柬埔寨、越南地区的军事、owerDism后门的具体流程。此外，该组织还针对马来西亚地区以及印度于针对亚太地区多个国家、政府机构和军事部门的攻击。然而，他们的活动范围还扩展到了一些欧洲政府部门，显示出该组织具备相当的技术Falcon，是一个据称与哈马斯相关的黑客组织，该组织至少从2012年开巴勒斯坦、以色列和中东地区其他国家进行网络间谍活动。主要目标行在针对巴勒斯坦实体的攻击中部署了多种编程语言编写的自定义工具，er（Rust）。其恶意软件具有键盘记录、屏幕截图、搜寻指定后缀文件并的设备收集敏感信息并部署其他可执行文件、检索设备信息、通话录音、窃取短信内容等，恶意软件还会尝试禁用操作系统的系统或安全成，一个小组针对以色列和中东地区任何可能参与巴勒斯坦事务的实体进行网络间谍活动，第二个小组重点针对巴勒斯坦哈马斯反对派（包括2)APT34网络破坏行动，主要目标包括金融、政府、能源、化工和电信等多个行业。该组织具备较高的攻击技术水平，能够针对不同类型的目标设计不中部署了PowerExchange后门以实时拦截通信，此外，攻击者还使用网面协议（RDP）实现远程访问。该组织进行的其他攻击活动还包括使用负载，活动主要针对中东政府、军队、电信、IT服务商、金融机构及非3)APT35迫政权的个人，专注于利用社会工程学开展鱼叉式网络钓鱼活动。即通过在社交媒体平台上创建定制的虚假角色，并在发送恶意链接之前与目港、能源公司、运输系统以及美国一家主要的公用事业和天然气公司。立持久性、收集系统信息、下载和执行更多模块以枚举正在运行4)MuddyWater全部（MOIS）部门，至少自2017年开始活跃，主要针对中东国家（沙特、阿联酋、伊拉克、土耳其等）进行网络间谍活动。其擅长使用鱼叉本地和云基础设施，且攻击者试图将活动伪装成标准的勒索软件攻击活察发现、持久性建立、横向移动等操作，最终利用高特权凭据对本地设MuddyWater组织在2023年的其他攻击战术包括：使用新的公共托5)Tortoiseshell中东、欧洲、北美和南美以及南亚部分地区，目标行业涉及航空领域、汽车、航空航天和国防、物流、海事和信息技术组织。该组织常通过网络钓鱼、社会工程学等方式发起攻击，部署其自定义或开源的恶意软件，2023年，该组织对至少八个以色列网站进行了水坑攻击，影响行业涉及航运、物流和金融服务公司。活动传播恶意软件SupplyChainReader，用于收集受害者系统信息、浏览器历史、密码等，并将其发送至攻击者HD格式的恶意文件，后续载荷调用的路径、文件名、2)Kasablanka拜疆的政府及外交部门的活动中使用Python语言编写的恶意软件，相关2023年高级威胁活动特点2023年，以破坏为目的的攻击活动逐渐升温，构成了网络安全领域的新挑战。这一趋势的崛起反映出网络威胁不仅仅是信息获取的手段，更演变成对关键基础设施和组织运营的直接威胁。黑客和恶意行为者不再局限于窃取敏感信息，而是将焦点转向了对系统、服务和数据的破坏adetBlizzard，该组织在俄罗斯入侵乌克兰的一个月前，创hisperGate恶意擦除软件，后将目标范围扩大至全球。其主要通过利用各组织Agrius对以色列教育和技术领域进行的多次破坏攻击。该组织在今2.邮件服务器成为初始攻击的目标2023年，攻击者逐渐将目光投向企业和个人的邮件系统，利用邮件作为入侵的切入点。邮件服务器作为信息传递的关键枢纽，其安全性直接关系到组织的机密信息和个人隐私。攻击者可能通过钓鱼邮件、恶意邮件账户，并在发送给支持韩国军方承包商的电子邮件中冒充国防部人3.面向开发人员的供应链攻击活动增加2023年，攻击者逐渐将目标锁定在软件开发的供应链环节，利用这一薄弱环节渗透到最终产品中。攻击者可能通过篡改第三方库、注入恶意代码、或者操纵开发工具链等手段，将恶意代码植入软件，从而在产4.针对加密货币行业的攻击变本加厉2023年，针对加密货币行业的攻击变本加厉，攻击者通过恶意软件、网络钓鱼、勒索攻击等手段，企图直接侵入用户的数字钱包，或者通过5.使用非主流编程语言作为逃避检测手段2023年，另一变化趋势是使用非常见的编程语言作为逃避检测的手段。随着安全技术的不断进步，攻击者开始采用非常见的编程语言，以组织利用与纳戈尔诺-卡拉巴赫军事冲突相关的诱饵针对阿塞拜疆，下发击活动中。利用合法软件的API进行负载传递或指令下发，可以有效躲令执行、云服务令牌信息更新等，Konni、Sidecopy活动入侵了合法网站2024年高级威胁活动预测1.借助AI的社会工程学攻击活动数量增多随着人工智能的飞速发展，社会工程学攻击活动可能在数量和复杂度上呈现出显著的增长。人工智能技术的广泛运用为攻击者提供了更为智能化和精密的手段，使得社会工程学攻击变得更具欺骗性和危险性。攻击者借助机器学习和自然语言处理等先进技术，能够更精准地分析目标个体的行为、偏好和社交网络信息，从而打造更具说服力的欺诈手段。社会工程学攻击的目标常常是人类的心理和行为，通过模仿信任的来源或利用个体的社会互动模式来获得敏感信息。AI的介入使得攻击者能够更好地个性化欺骗内容，使受害者更难以察觉攻击的真实意图。虚拟助手、自动化邮件回复和语音合成等技术的运用，使得社交工程攻击2.基于地缘政治的网络间谍活动数量增多随着全球地缘政治的动荡与变化，基于地缘政治的网络活动数量呈现明显上升的趋势。国家之间的紧张关系和地区冲突的升级直接影响了网络空间的安全态势。各个国家和地区不仅在实体战场上展开角力，同地缘政治的网络活动主要体现在网络攻击、信息战、网络间谍等多个方面。政府、军方和非国家行为体之间的网络角逐日益激烈，各方利用先进的技术手段进行网络侵入、信息窃取、网络干扰等活动。这些网络活动的目的可能包括获取战略情报、破坏对手基础设施、影响舆论或3.针对移动、可穿戴设备的攻击活动兴起由于移动、可穿戴设备中存储了丰富的个人信息和隐私数据，攻击者可能通过恶意应用、网络钓鱼等手段来窃取敏感信息，引发身份盗用、金融欺诈等问题。其次，可穿戴设备通常与其他智能设备连接，攻击者可能通过攻击这些设备入侵整个智能家居系统，导致更广泛的安全威胁。此外，对移动设备和可穿戴技术的攻击还可能包括恶意软件的传播、设备远程控制、位置跟踪等活动。由于这些设备的特殊性，其操作系统4.针对供应链的攻击活动只增不减供应链的攻击活动近年来呈现出不断增长的趋势，成为网络安全领域的一项严峻挑战。攻击者已经认识到，通过渗透和利用供应链环节，涉及到在整个供应链中的制造、物流、软件开发等多个环节，能够最大化其攻击面，影响到整个生产和交付过程，并利用信任关系和合法的交付渠道，使得恶意活动更难被察觉。此外，攻击者可以通过操纵供应链5.云基础设施成为新的战场云基础设施的广泛应用使其成为当今数字时代的新战场。随着企业和组织越来越多地将业务和数据迁移到云平台，云基础设施成为攻击者和防御者之间竞技的焦点。攻击者越来越频繁地将目光投向云环境，寻找机会渗透和滥用云服务。云基础设施的复杂性和全球性使得攻击者能网络犯罪篇2023年网络犯罪团伙综述的关闭并没有让勒索软件行业放缓，而部分论坛也试图将自己称为新的务(RaaS)模式运营，其中包括开发人员和附属机构。RaaS是一种基于订阅的模型，开发人员开发勒索软件并创建易于使用的界面来操作它，然后招募附属机构针对受害者部署勒索软件。附属机构确定目标并部署这种现成的恶意软件来攻击受害者，然后从每次成功支付的赎金中赚取一六个月后，该组织的领导人怀疑他们的组织中有卧底，此时FBI决定关2)BreachForumsBreachForums是一个臭名昭著的暗网论坛，来自世界各地的黑客可以通过该网站发布正在出售的凭证、银行卡和泄露的数据等。在FBI关客组织ShinyHunters合作重新开放。并在短时间内又新增了上万名用户，3)GenesisMarket户帐户的登录详细信息。该网站以其友好的用户界面而闻名，并为用户提供了一种简单的方法来将冒充用户身份，在用户不知情的情况下从目国联邦调查局（FBI）和荷兰国家警察局牵头，涉及英国、澳大利亚、加2.新出现的网络犯罪团伙团伙的攻击活动，称之为“Screentime”。攻击目标地区主要为美国和德Screenshotter恶意软件，部分情况下，安全研究人员还观察到涉及A），环下载请求功能部署额外的有效负载载荷，包括Screenshotter和AHKBot。2)Clasiopa向公众的服务器进行暴力破解来获取访问权限。除了使用不同的工具集Thumbsender：能够枚举计算机中的文件名，保存在Thumb.db文件3)WIP26该团伙依赖公共云基础设施隐藏恶意流量，针对中东的电信供应商进行3.针对我国的黑灰产团伙通过微信等即时通讯工具向金融、证券、教育等行业投递钓鱼木马的攻址进行回连，并可以随时在样本载入阶段更改实际控制载荷的C2；随后，各个安全厂商相继进行跟进，后续又有安全研究人员证明，“银狐”是一个已经被广泛地去中心化传播的黑产工具，任何攻击者都银狐团伙往往将恶意文件伪装成办公软件，安装包，发票、税务、财务、政策、证券、薪资、补贴等相关主题文件，诱导目标执行恶意文件。在恶意文件执行的过程中往往使用加解密、DLL侧加载、合法签名攻击者在控制目标主机后对目标信息进行分析筛选，筛选出高价值），2)落叶飞花e（又称kaiji）僵尸网络木马。该木马大量函数使用汉语拼音方式命名，经关联分析，其背后的僵尸网络犯罪团伙浮出水面。鉴于该团伙多次使用“luoyefeihua.site”作为其服务器基础设施，研究人员将其命名为“落社交媒介出售DDoS攻击工具的方式获利，后期业务趋于多元化，至今已发展成为一个控制着十余类僵尸网络家族，自研能力较高的团伙。该营恶意软件既有知名度高的僵尸网络家族，也有小众化个新鲜明的攻击监测数据显示，国内受害者中江苏为重灾区，山东，北京，香港等地也有受到影响。另外，中小型网站安全防护由于建设薄弱，也是该团伙攻击的首选目标。与此同时，该团伙还习惯于攻陷一些小型网站用来存放3)8220遭受挖矿木马攻击的应急请求。经分析排查，研究人员确定这些攻击行在成功入侵目标服务器后，还会部署僵尸网络程序、挖矿软件和端口扫除了常见的密码猜测，还利用后门收集到的密码信息进行尝试。此外，还使用该工具集成的日志清除功能来清除登录日志，以降4)幽谍犬总局增值税电子发票公共服务平台”等钓鱼网站或通过社交媒体等方式经过关联分析发现该黑灰产团伙掌握大量服务器，并长期以税务、在关联分析中，部分样本上传文件名中包含“wx_file”字符，因此推经过关联分析发现，该团伙曾经投递过不同主题的样本，其中几例2023企业财务出纳383f3fca79e5d50ce33142023税务最新规定383f3fca79e5d50ce33142023增值税最新规f621c109d7f1a46fff5b402023-06-080aebd15b3d5c0b7957d52d2023-06-252bf9ee936e45c43ab62ee32023-05-130e181da114221e1c4d49822023-06-0603fb118a6d0876f82fa9042023-06-070rundl123.exe/计算器.e0bd8c524ced6044ff53c2023-06-202winlogo.exe2284535f3a87d970b41632023-06-200d23169b1b4617d62b1092023-06-0305)图穷之刃件下载页面置顶于指定关键词的搜索结果中。下载链接对应的文件是恶由于该团伙的样本执行过程最终都会通过读取一个图片文件数据得到最终的远控模块，安恒研究院猎影实验室以成语“图穷匕见”之意将类型一大智慧、财乎、向日葵远控软件、腾讯课堂、驱动人生、Telegram等多款软件进行投递，样本加载流程与近期捕获样本加载流程相似，样本最6)暗钩time打包的EXE，并在打包文件中集成了恶意运行木马加载器，加载器包含多种对抗检测手段，通过白加黑、内存注过钓鱼网站途径之外，还可能通过钓鱼邮件、社交媒体等方式投递木马，中无法被检出，极具隐蔽性，安恒研究院猎影实验室将该团伙命名为“暗置的Lua脚本将加密的木马文件和木马加载器释放到主机，并启动木马该远控木马具有窃取用户密码功能，攻击者清除用户浏览器中保存通过样本动态特征捕获到该团伙更多的样本，这批样本最早出现时fb5831e3cb88a6ab1全球通后台实68b4ae910c7e7c056429e4654d84f6054668c011aa2eb3e9fteIegremX4.7.1.7c5fa71b08f07bfb823号采购单.exe1e74e16f438c9030adaf4dd90567b700af8b9827f200cbbe3507)田马开展钓鱼活动的攻击团伙。由于其样本存在"tianma"等字样，安全人员将该黑客团伙命名为田马。攻击者主要通过邮件、即时通信工具传播包含知"作为诱饵，当用户解压诱饵文件后，文件中存在两个文件，其中一个安全人员持续追踪该团伙后，总结出了该团伙的画像。田马组织主要对中国地区的财务人员、金融从业者、教师等发起攻击，目前只针对Windows平台，常通过邮件、即时通信工具开展攻击活动，常使用的攻地缘下的黑客主义行动黑客行动主义普遍被定义为通过恶意使用黑客工具来挑起民愤或推动政治议程，本质上属于数字破坏行为。这种行为会削弱和妨碍对手组织，极端情况下甚至可能导致信息泄露、数据拦截、资产劫持，甚至组近年来，黑客行动主义开始与现实世界中的战斗联动，如俄乌冲突以及巴以冲突的战争。虽然黑客行动主义的影响力在战争时期并不那么2023年俄乌冲突仍在持续进行，同时网络战争也在频繁发生，双方客主义行动主义团伙，成立以来在北美和欧洲制造了许多net也在不断壮大，较去年相比，其下属活跃团伙发生了相应的改变，以Killnet对其进行了报复行动。德国政府2)Noname057(16)布成立，声称对乌克兰、美国和欧洲政府机构、媒体和私营公司的网络Noname057(16)在本年的主要活动如下：DDOS攻击。港口当局表示，其内部系统没有受到损害或影响。该组织暗示，此次袭击是对荷兰计划为乌克兰购买瑞士坦克的回3)乌克兰IT军（ITArmyofUkra旨在对抗乌克兰网络信息空间的数字入侵。该组织还开展进攻性网络行动，乌克兰国家元首特别通信局局长表示，其招募的黑客只会攻击军事加入该组织的志愿者分为进攻性网络部队和防御性网络部队。进攻性志愿部队将帮助乌克兰军方针对入侵的俄罗斯军队开展数字间谍行动，继续以互联网和电信提供商为目标，破坏俄罗斯的通信。随后数在持续不断的巴以冲突中，黑客活动团体出现了显著的增长，并宣布针对冲突双方的目标进行持续不断的数字攻击。在持续的冲突中，全球格局主要分为两派，北约和西方结盟国家往往倾向于支持以色列，许UCCTeamITARMYofUkraineICD-IsraelCyberDwyniIndianDarknetAssoUserSecGhostsofPalestineofDeathTeam_insane_PakistaBlackshieldcrewMYoaMysteriousTeamBberArmyMuslimCyberArmySynixCyberCrimeMY2)针对以色列的攻击事件根据研究人员监测，针对以色列的一系列攻击活动主要为政府、司序，并在冲突爆发期间频繁向以色列人发送虚假导弹警报等，扰s)针对巴勒斯坦的攻击事件根据安全研究人员监测，针对巴勒斯坦的一系列攻击活动的主要目勒索软件团伙勒索软件（Ransomware）是一种不断发展的恶意软件，旨在通过加勒索软件的主要目的是破坏目标系统的完整性，使其无法正常运行，并一旦系统被勒索软件感染，网络犯罪分子就会要求受害者支付赎金，以恢复系统的功能和访问权限。赎金通常需要以加密货币的形式支付，这使得追踪攻击者和确定他们的身份变得困难。近年来，勒索软件已成攻击次数整体呈现大幅增长。以每月攻击次数的平均值来看，2022年平0514483462458478483462458 404443441432 404 348222215 245267266241240222215197208189183154175——2023年勒索攻击次数—2022年同期攻击次数2023年勒索攻击迅猛，除了往年活跃的勒索团伙，不断陆续有新的数为新型勒索，侧面表现出勒索系统生态的进一步完善和不断发展的态统的勒索家族和变体也明显增加。一方面，出于利润最大化的目的，勒另一方面，由于Babuk勒索组织泄露出的源码，这给众多勒索团伙提供了开发模板和思路，不断有类Babuk的新勒索软件涌现，尤其助长了以Cylance，在目录下放置勒索信文件CYLANCE_README.txt，并在信中快速加密和全加密两种加密模式。但在整体功能上有所差异，例如参数配置更为丰富、针对数据库等特殊文件使用了间歇性加密模式，对于静件并加密文件。和一般的勒索组织不同，攻击者并没有要求目标支付赎金，而是要求受害者向指定的非营利慈善机构捐款，以提供解密工具并绕过，远程代码执行）相关的漏洞。主要针对意大利、俄罗斯和美国的tml文件和服务器的motd文件。最后，该脚本执行一些清理，删除疑似球知名企业，窃取数据并索要数百万美元的赎金。该勒索软件采用定向攻击的方式，目标主要针对大型企业实施勒索攻击，窃取和加密数据，包括孟加拉国家航空公司（BimanAirlines世界知名的计算机硬件提供Akira已经对60多家公司进行了攻击。这些公司涉及各个行业，包括教的制药、保险、财富管理和制造公司发起攻击，在不到一个月的时间里，件扩展名为.blacksuit，放置勒索信文件READ是通过泄漏网站而被发现，第一个在博客出现的受害者是奥地利酒店。DME.html，并且更改桌面背景图片，以及还会连接打印机打印勒索信文密文件后缀为.rhysida。Rhysida有多种部署方式，包括部署CobaltStrike或类似的命令和控制（C2）框架，通过网络钓鱼攻击和在受感染的系统Rhysida的受害者分布在西欧、北美、南美主要攻击教育、政府、制造、技术和托管服务提供商行业。Rhysida勒索软件团伙将自己描述为一个旨在帮助受害者保护其网络的“网络安全团人员为附属公司创建并提供必要的入侵工具，以执行恶意活动，例如数据泄露和加密器（勒索软件）部署。该组织已经成为多个行业的众多组获得初始访问权限。进入网络后，CACTUS会尝试枚举本地和网络用户帐户以及可访问的端点，然后创建新的用户帐户并利用自定义脚本通过赎金票据中提供的文件名cAcTuS.readme.txt，以及赎金票据本身中自我2.持续活跃的勒索软件团伙基础设施领域的不同规模的组织，包括金融服务、食品和农业、教育、到真正加密的功能，但这也揭示出该勒索团伙出众的创新开发能力和澎日本电子产品制造商泄露了718GB的机密和关键信N经纪公司和对冲基金在内的客全球电源产品制造商2015年或更早时间的文件被窃佛罗里达州东北部华零部件制造商MaximumIndustries新泽西州的Pineland非金融银行公司富乐印度尼西亚伊斯兰银行加拿大蒙特利尔电力西班牙塞维利亚市议会影响了广泛的城市服务IT基础严重的影响。最多的是商业服务，其次是软件和金融。目标地区主要是美国、加拿大和英国。亚洲、拉丁美洲、中东和非洲的企业也受到过攻澳大利亚赌博和娱乐丰田纺织欧洲有限公司备之前窃取数据，并且会发起DDoS攻击以威胁受害者，直到受害者支重破坏，其附属公司最近的攻击包括针对医疗保健、政府、教育、制造具有升级功能，旨在阻止防御措施。Sphynx与以前的变体有显著的不同数来执行。更新后的勒索软件删除了该参数，并添加了一组更复杂的参有基础设施都处于离线状态，包括数据泄露和谈判站点。虽然该组织声印度私人国防承包商d爱尔兰蒙斯特理工大学Wawasee社区学校公司华盛顿州皮尔斯县莱美国天然气和石油生孟买的制药公司Sun市澳大利亚商业律师事攻击期间4TB数据被泄露。被加拿大多元化软件公声称在攻击期间窃取了总计2.6澳大利亚债券经纪商ystems声称窃取了超过7TB的敏感数著名商业咨询和服务International在暗网上泄露8TB的数据，数世界顶级公司的庞大联系人名向美国SEC（证券交易委员会）提交的表格披露中，VF通勒索攻击，之后BlackCat将其关键基础设施部门，包括但不限于制造业、通信、医疗保健以及教育等段，引诱受害者安装远程软件，以此获得初始访问的权限，进入系统后，亚利桑那州图森联合局在内的多个职能领域受到影俄勒冈州南部的库里县式，在从受害者网络中窃取私人数据后加密系统，然后威胁要泄露文件门，商业远程访问工具以及命令行和脚本进行网络侦察。最后一个阶段BianLian主要针对金融机构、医疗保健、制造、教育、娱乐和能源行业，根据分析受害者所在国家和地区的统计数据，主要针对美国、英窃取了350GB的文件，据称其默弗里斯伯勒医疗诊所窃取了250GB的文件，包括人美国柯林斯航空航天超过20GB的敏感个人数据泄印度国家证券交易所声称获取了该公司超过3TB的乳制品蛋白制造商A泄露数据大小为4TB，包含个内迅速执行多次攻击的能力，因此BlackBasta在出现不久后很快就声名鹊起。BlackBasta在短时间内产生的影响表明该组织具有一套经过实践且有效的战术、技术和程序（TTP而其数据泄露博客、支付站点、恢会安装Qakbot银行木马以创建后门访问并部署Syst者行业包括建筑、服务、零售、保险和制造业等。BlackBasta勒索软件英国放大器和音箱制加拿大目录出版商黄BlackBasta称有110GB的文德国汽车和武器制造攻击导致多伦多公共图书馆停密算法对文件进行加密，加密后的文件扩展名.MEDUSA，并在目录下创导致该大学的IT系统暂时无法UniondaleUnionFree意大利自来水供应商A悉尼王妃玛丽癌症中心阿根廷国家安全委员会德国丰田金融服务公司通过网络钓鱼电子邮件或使用初始访问代理（IAB主要目标行业包括息、患者PII、员工信息、内部西班牙公司Ingenier西班牙雷乌斯市市政同、大量机密信息、保密协议索Linux/ESXi变体。该变体运荷兰的医疗服务提供哥伦比亚公司Emtelcos针对TESM网络攻击的数据转迫使Stellantis汽车公司停止其美国内华达州神经病er论坛中披露攻击。最初专注于拉丁美洲的组织，尤其是巴西，但之后很快就扩大了目标范围，受害者逐渐转移到了北美和欧洲地区。泄漏站漏洞获得远程代码执行并渗透受害者网络而闻名。使用许多工具和漏洞a，这是一种网络扫描工具，用于枚举域中的所有用户和计算机。以及开以使用这些API生成、管理和删除卷影副本，以及访问有关现有卷影副英国最大的汽车经销NetworksyalDirkzwager发布了属于该公司的5GB数据、合同、财务信息和客户文使许多政府部门的数据面临风西班牙银行Globalcaja括客户和员工文件、护照和合林宫的黑客组织以及出于经济动机的黑客之间的合作以及交易网络犯罪供进攻性安全培训计划以及秘密黑客行动，组织在过去几年内不断壮大发展，其成员已经扩散到竞争对手或合作伙伴，甚至其品牌已经延续到该组织的目标遍及世界各地，根据统计，受害者的地区或国家包括：美国、加拿大、中国、印度、缅甸、科威特、孟加拉国、阿拉伯联合酋长处理的。在当时，这些个体将注册域名根据项目需要设置托管解决方案。个运营商使用。然后，顾问将购买服务器，按照指示进行设置，为操作员和Appin领导层提供远程访问凭据，并通过详细说明付款的发票结束2024网络犯罪趋势预测1.勒索赎金支付总金额大幅上升2021年是勒索软件攻击领域迄今为止赎金交易额最高的一年，总支执法行动，有效地打击了勒索软件攻击的蔓延，受害者支付金额显著下2023年，这一趋势并未持续，支付赎金金额再次激增。根据区块链2023年勒索赎金支付规模的增长与勒索团伙提出的极高初始赎金需攻击活动卷土而来，例如在第一季度，45%的勒索攻击初始金额要求超过不付款的趋势反而会促使攻击者提高初始赎金要求金额，从而从仍愿意支付赎金的公司榨取尽可能多的赎金。据相关机构统计，2023年，不包括赎金，从勒索软件攻击中恢复的平均成本是182万美元，勒索攻击对支付金额随着勒索组织的疯狂而进一步上升，受害组织遭受勒索攻击后2.勒索团伙的漏洞利用能力增强以利用此漏洞在未修补的GoAnywhereMFT实例上执行远程代码，让管理控制台暴露在互联网上，被任意访问。Clop团伙声称已经可以通过受害者的网络横向移动，并部署勒索软件载荷来加密系统，但他们决定不恶意软件和CobaltStrike信标，同时使用MegaSync文件共享应用程的托管文件传输软件，通过利用该漏洞，攻击者可以未经授权访问数据库，进而导致远程代码执行和数据泄露。攻击者利用MOVEit漏洞在服务器上释放特制的Webshell，从而允许他们检索存储在服务器上的文件列表、下载文件并窃取已配置的AzureBlob存储容器的凭证或密钥。利repower威胁防御（FTD）产品进行勒索攻击，后续思科证实上述产品中攻击对勒索团伙来说是一种有吸引力的作案手法，他们对这类漏洞的关注程度持续增加，且持续加强漏洞武器化的能力。面对勒索团伙漏洞利用能力的增强，各组织和企业应当高度重视网络安全防护措施，及时更新软件补丁，加强漏洞管理，以及备份重要数据，以确保网络和数据的3.针对云服