2023网络安全深度洞察及2024年趋势研判

深信服千里sangforDeepNsight深信服智安全深信服千里sangforDeepNsight深信服智安全2023网络安全深度洞察及2024年趋势研判 DEEPINSIGHTINTONETWORKSECURITYIN2023ANDTRENDANALYSISIN20242023年，生成式人工智能和各种大模型迅速应用在网络攻击与对抗中，带来了新型攻防场全威胁。漏洞利用链组合攻击实现攻击效果加成，在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞，对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现，个人2023年网络安全呈现出哪些演变趋势？本报告将重点围绕安全漏洞、恶意软件、数据安全和APT低CONT摘要安全漏洞治理情况安全漏洞治理情况01国外安全漏洞治理动向01我国安全漏洞治理动向02安全漏洞总体情况03漏洞公开披露情况03漏洞利用情况050day漏洞利用发现情况07关键被利用0day漏洞盘点08关键漏洞分析09Windows09WebLogic13Chrome17安全漏洞态势小结21恶意软件治理情况22国外恶意软件治理动向22国内恶意软件治理动向23恶意软件攻击总体情况24恶意软件攻击情况24恶意软件类型分布25恶意软件攻击行业分布25恶意软件攻击地区分布26恶意软件活跃组织27恶意软件活跃组织分析恶意软件活跃组织分析28勒索软件活跃团伙28远控木马活跃组织32僵尸网络活跃团伙35挖矿病毒活跃团伙37恶意软件典型攻击事件40某国有银行美国子公司遭Lockbit3.0勒索软件攻击40国内某综合安防管理平台勒索事件40银狐集合体大肆对国内开展恶意网络攻击41恶意软件态势小结42数据安全治理情况43国外数据安全治理动向43我国数据安全治理动向44数据泄露总体情况46重要数据泄露事件情况46非法交易情报中数据泄露情况48勒索团伙数据泄露情况50我国重点数据泄露事件分析52接口滥用导致政务敏感数据泄露事件52多个黑客论坛泄露我国数据合集事件53某高校因3万余条师生个人信息数据泄露被罚款80万元54重点数据泄露事件分析小结54数据安全态势小结55 录:oAPT攻击活动态势56APT组织攻击总体态势56南亚活跃APT组织态势57东亚活跃APT组织态势60东南亚活跃APT组织态势62东欧活跃APT组织态势63APT攻击流行技术趋势65软件供应链攻击获取APT攻击初始权限65开源组件二次开发以降低APT攻击成本66BYOVD滥用过时驱动以对抗杀软66网络钓鱼战术升级加大迷惑性67典型APT攻击事件68某高校高新行业实验室被高精准社工鱼叉攻击68蔓灵花利用开源远控组件攻击某政府机关单位68UNC4736组织利用双重供应链攻击3CX公司69美国情报机构针对iOS设备的移动端APT活动69蔓灵花组织利用国产办公软件WPS开展钓鱼攻击70APT攻击态势小结70五、2024年重点关注趋势附录APT组织攻击动态报告信息76CNTENTS当今世界正处于百年未有之大变局，网络空间日益成为全球治理的重要领域，深刻影响着各国政治、经济和社会等各个到网络上的历史漏洞，都是数字化发展中的薄弱环节。一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而纵观国际，美国在漏洞治理领域具有先发优势。经过多年发展，已建立了完善的漏洞治理体系。其中，美国国土安全部（DHS）及其下属的网络安全和基础设施安全局（CISA）在漏洞的发现、收集、验证、评估、修复、披露和跟踪等方面发挥了关键的统筹协调作用。因此，以CISA为例研究美国漏洞治理体系的历史沿革、主要内容和实施效果，对于加强我国漏洞治理政策具有一定的借鉴意义。实现了对关键基础设施漏洞威胁的及时发现和消控，加强了漏洞管控统筹协调，提升了漏洞资源共享共治水平，强化了美0101出国家努力的重点是确定哪些系统和资产对国家真正至关重要，发现关键信息基础设施的脆弱性，并采取行动管理来降低其风险。计划的首要目标就是建立国家级防御网络攻击并从中恢复的能力，CISA作为美国的网络防御机构，将与全球建(FCEB)机构都必须在规定的时间内修复已知被利用漏洞（KEV）目录中的漏洞。CISA强烈建议所有利益相关者将已知被根据《网络安全法》关于漏洞管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》，主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体二是完善了相关工作机制，建立健全漏洞评估、发布、通报等重要环节的工作机制，明确了漏洞收集平台备案方式和报送三是加强了工业和信息化部网络安全威胁和漏洞信息共享平台建设，做好与其他漏洞平台、等法律法规，以及正在编写的相关国产升级漏洞国家标准，持续推动国产升级漏洞管理工作的制度化、规范化、法治化，0202回漏洞公开披露情况00年年年年年年年年年年Web应用漏洞主要是由于缺乏安全意识、不当应用程序漏洞主要是由于应用程序结构复杂、新技术不断涌现以及编码问题等因素产生。近年来，互联网的快速发展和0303由漏洞引发的最主要威胁是未授权信息泄露，可能导致个人隐私被侵犯、财务损失、商业信誉受损甚至法律诉讼。未授权信息泄露也为黑客攻击提供了前置条件，泄露的敏感信息如秘钥、token等可被恶意攻击者利用，访问受保护的资源或执其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行0404始下降。CISA将漏洞治理作为重要任务，并通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步特别值得注意的是，2021年后被勒索软件利用漏洞的数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相02702705050117.9%漏洞数量增长率目前应用最广泛的操作系统之一，其用户遍布全球。根据深信服千里目安全技术中心数据显示，Windows全球公网资产是非常大的，黑客可以利用漏洞来执行恶意代码、窃取用户敏织和黑灰产团伙常见攻击手段之一，这种攻击手法隐蔽性更高，用户往往难以察觉攻击的存在，而且攻击者可以通过不断八____·Office2.3%八____·Office2.3%Office0606经缩短为2014年的五分之一，说明被利用0day漏洞而言，每5.3天就会发现一个新的被利用0day漏洞，但实际上，这些漏洞通常聚集在同一天发现的漏洞链中。50系列107070808作系统在中国大陆使用量来看，WindowsServer各个版本使用量主要分布在北京市、广东省和浙江省，其次使用量较高的是上海市和山东省。Windows服务器操作系统在中国大陆公网的资产超过880万，其中资产数量最多的版本是桌面操作系统Windows中国大陆使用量主要分布在北京市、广东省和浙江省，其次是上海市和江苏省。12月，操作系统的中国大陆市场份额被其他桌面操作系统瓜分，不利用名单的榜首，是漏洞利用数量最多的产品。Windows操作系统漏洞对我国的潜在安全影响是非常严重的，由于Windows操作系统在我国的计算机市场占有率较高，其漏洞可能会影响大量的计算机和用户。这些漏洞可能会导致计算0909001010Service1111的被利用漏洞多以特权提升为主，在真实攻击中，恶意攻击者利用漏洞进行权限提升是非常普遍的，往往需要通过漏洞去发布之初相对来说还不够成熟，出现安全问题几率相1212基于JAVAEE架构的中间件。它提供了一个环境来开发、部署和管理Java应用程序，支持JSP、EJB、JMS、JDBC等。WebLogic还提供了高可用性、可伸缩性和安全性等特性，使其成为企业级应用程序的首选001313未经身份验证的攻击者通过T3、IIOP进行网络访问未经身份验证的攻击者通过T3、IIOP进行网络访问未经身份验证的攻击者通过T3、IIOP进行网络访问未经身份验证的远程攻击者通过T3进行网络访问，会导致OracleWebLogicServer挂起或频繁重复崩1414未经身份验证的远程攻击者通过T3进行网络访问，击可能导致对关键数据的未经授权的访问或对所有未经身份验证的远程攻击者通过T3进行网络访问，击可能导致对关键数据的未经授权的访问或对所有能导致对关键数据的未授权访问或对所有Oracle未经身份验证的攻击者通过IIOP进行网络访问，从能导致对关键数据的未授权访问或对所有Oracle可能导致对关键数据的未授权访问或对所有Oracle具有高权限的远程攻击者可通过多种协议来利用此漏洞，成功利用此漏洞的攻击可能导致对关键数据或所1515漏洞类型多以拒绝服务、信息泄露和远程代码执行为主。其中，上半年漏洞类型多为信息泄露和远程代码执行，下半年漏WebLogicServer内核漏洞可能会导致攻击者远程执行任意代码、绕过安全限制、泄露敏感信息等安全问题。1616Chrome是由Google开发的一款设计简单、高效的Web浏览工具，特点是简洁、快速。它支持多种操作系统，包括能和安全性能。Chrome还支持多个标签页，可以同时浏览多个网页，并且可以通过Google账户同步书签、历史记录和其他设置。Chrome也支持多种语言，包括中文。此外，Chrome基于更强大的JavaScriptV8引擎，提升浏览器的万的区域有浙江省、北京市、广东省、上海市和山东省，多为互联网发达地区。中国大陆公网资产超过6000万，占全球比例8.1%，对比6月全球比例下降0.4%，中国大陆各省份资产相较6月整体呈增长趋势。StatCounter的5月研究报告显示，Chrome浏览器凭借62.85%的全球份额稳居第一，由于Chrome使用范围广泛，因此其漏洞利用会影响01717截止11月30日，已知被利用漏洞（KEV）目录检测到Chrome的5个被利用漏洞有2个为类型混淆漏洞，2个为越1818■影响分布负载均衡、应用程序交付、安全等方面，以提高内部应用程序的可用性和性能。在外网中，F5BIG-IP可以用于应用程序交付、安全、DDoS防护等方面，以保护面向互联网的应用程001919根据深信服千里目安全技术中心公网资产测绘数据情况来看，天漏洞多为高危漏洞，目前已经有漏洞被真实利用，并且多个漏洞组合使用进行攻击，将造成严重后果，建议上述区域企业2020研究表明，漏洞利用链组合攻击在APT攻击中是一种常见手段，2023年披露了多起APT事件在攻击中使用多个漏洞组在通过协同漏洞披露（CVD）、漏洞披露策略（VDP）、相关约束性操作指令（BOD）等一系列措施后2121针对勒索软件的集体抵御能力，合作削弱勒索软件的生存能力，打击支撑勒索软件生态系统的非法资金，与私营部门合作防御勒索软件攻击，并继续与针对勒索软件威胁的所有方面开展国际合作。本次会议主旨是重点发展打击勒索软件攻击者体以及联邦政府机构之间的网络事件信息共享。该法案有助于联邦政府及时获取关键基础设施实体遭受网络事件和勒索软各行各业经常受到勒索软件事件的影响，许多事件是勒索软件利用已知漏洞实施的，通过紧急修复这些漏洞，可以显著降2222导。近年来，勒索软件、数据泄露等威胁对各行各业造成巨大影响，网络安全技术和产品虽可防范大部分风险，但仍需网络安全保险转移残余风险，《意见》是我国网络安全保险领域的首份政策文件，旨在加快推动网络安全产业和金融服务融与信息安全信息通报中心协办的第四届国际反病毒大会在津召开。在网络空间命运共同体理念的指引下，亚洲反病毒研究者协会、俄罗斯卡巴斯基、美国欧普思安、深信服等境内外研究机构以“构建数字安全屏障，助力全球经济发展”为主题发表演讲，以推动进一步加强与国际网络安全领域的交流合作，积极参与全球网络空间治理工作，构建全球网络安全智23232023年恶意软件攻击总体呈增长趋势。根据深信服千里目安全技术中心统计数据，恶意软件攻击趋势如图2-1所示，2424挖矿、木马远控和僵尸网络连续两年排名前三。根据深信服千里目安全技术中心统计数据，恶意软件攻击类型分布如图连续两年受恶意软件影响较严重行业有企业、医疗、教育和政府。根据深信服千里目安全技术中心统计数据，恶意软件攻17.9%和15.1%。其次，能源、电信和媒体等行业也受到2525年排名前三的省份有广东省、浙江省和江苏省，攻击次数分别为40.6亿次，005262612345/67892727为提高收益不断创新，与其他RaaS团伙不总数的23%；2022年，美国勒索软件事件中有16%被确定为Lockbit攻击；2023年中国多起勒索软件攻击事件由Lockbit多使用免费软件和开源工具，多利用老旧漏洞。根40款，Lockbit使用免费软件和开源工具主要功能有网络服28282929Tellyouthepass勒索病毒于2019等地区实施攻击，同年4月在国内被首次发现，近年来在国内广为流行。图2-5是Tellyouthepass在国内发动大规模攻利用某远OA文件上传漏洞对国内发动大规模利用某远OA文件上传漏洞对国内发动大规模借助某通T+前台远程命令执行漏洞对国内实施借助某通T+任意文件上传0day漏洞多国内发动借助某友NC反序列化漏洞及某赛通高危漏洞对借助某云企业管理软件命令执行漏洞对国内实借助国内知名综合安防管理平台任意文件上传Tellyouthepass多利用国产化漏洞3030年3月，他们开始使用伪装成图片格式的msi文件进行勒索攻击。随后，他们开始利用后门病毒模块或系统漏洞上传3131、远控木马活跃组织3232而是一个去中心化传播的工具，任何攻击者都可以获取和使用。银狐的源码在黑灰产市场上被称为winos，目前该源码已更新到5.26版本。目前银狐的变现方式，除了制作肉鸡和窃取贩卖信息，还会通过远控木马操控受害机器上登录的微信++333303434基础设施，并在全球范围内发现了超过700，000台受感染的计算机，其中超过200，000台位于美国，本次行动还从3535其他恶意行为。根据深信服千里目安全技术中心的2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月0尸网络前10名省份攻击次数均超过1000万次。排名前三的省份是003636击行业情况如图2-14所示，医疗行业是受Dorkbot僵尸网络影响最大行业，占比26.1%，其次是教育行业，占比语言开发，旨在针对容器化环境挖掘加密货币。最早活跃在2019年底和2020年初，因利用Log4Shell等众所周知的漏Kinsing挖矿团伙擅长使用远程代码执行漏洞进行攻击。下表总结了近年来Kinsing挖矿团伙常利用漏洞，可以看出，利执行漏洞（CVE-2023-46604）进行比特币挖矿，202SaltStack远程命令执行漏洞Openfire身份认证绕过漏洞Confluence远程代码执行漏洞37375.0%5.0%.3838随着公共安全等传统行业的数字化转型，我国挖矿活动明显增长。根据深信服千里目安全技术中心统计数据，2023年化转型计算资源也随之增长，且转型初期安全建设还不够完善，挖矿病毒一般因为疏于安全防护而感染，导致公共安全行媒体3939■某国有银行美国子公司遭Lockbit3.0勒索软件攻击中断。发现事件后，FS立即断开并隔离受影响系统以控制事件，并在信息安全专家执法部门报告了此次事件。被攻击的业务和电子邮件系统是独立运营的，该国有银行集团总行及其他附属机构和纽约分行2023年11月，深信服千里目安全技术中心收到了来自境内外多家单位的勒索应急求助。经过排查，发现本轮攻击为Tellyouthepass勒索家族利用了国内某知名视频监控厂商综合安防管理平台任意文件上传漏此次Tellyouthepass勒索事件涉及的漏洞为历史已知漏洞，且相关漏洞利用代码已在互联网公开，某知名视频监控厂商4040该团伙主要使用虚假下载站、即时通信工具等向目标投递exe文该团伙常使用虚假下载站托管虚假安装包去诱骗用户执行恶意文件，执行时本体只下载执行shellcode，shellcode中反该团伙主要使用虚假下载站、即时通信工具等向目标4141根据深信服千里目安全技术中心、CISA和Coverware的统计数据显示，Tellyouthepass和Mallox是国内最活索软件家族，而Coverware披露国外前三季度最活跃的勒索组织为BlackCat和BlackBasta。此外，银狐组织是今年国内最为活跃的远控木马组织，而国外最为活跃的远控木马家族是DarkGate。在挖矿领域，国内最活跃的团伙为Warmup和LemonDuck，而国BlackCat采取了一种新的策略，他们在互联网上创建了数据泄露网站，而不是在暗网上发布被盗数据，这使得对受害组根据2023年深信服千里目安全技术中心的多项数据显示，银狐组织4242当前，人工智能，尤其是生成式人工智能的数据安全和隐私保护问题引发各国的高度关注，多个国家已提出加强数据安全政府更新《人工智能和数据法》配套文件；国际标准组织已发布人工智能风险管理指南；新西兰隐私保护机构发布指南，在数字时代，数据已成为国家竞争的关键战略资源，数据跨境流动的重要性日益凸显。各国都开始关注数据跨境流动安全问题，因为这不仅是保护国家基础性战略资源，也是关乎国家安全的重要措施。在此背景下，欧美国家已建立了较完善的案的意见》，旨在促进大西洋两岸数据的安全流动，确保欧盟向美国公司转移数据的充分保护。东盟于同年正式启动《东盟数字经济框架协议》谈判，其中数据跨境流通是核心议题之一。英国与新加坡达成新战略伙伴关系，共同探索促进跨境数据流动的机制。此外，欧盟与日本签署了跨境数据流动协议，旨在禁止保护主义性质的限制，同时允许当局介入网络安4343全球各个国家仍在推进各国立法、执法、司法以应对当前数据安全新形势。瑞士新修订的《联邦数据保护法》及实施条例数据安全倡议》，希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则，共同持续推进落实《中国－阿拉伯联安全实力明显提升和到2035年进入繁荣成熟期的发展目标，提出了以工业和信息化和金融作为率先推动数据安全管理工作的行业，为其他行业的数据安全管理工作推动起着积极的影响作用。4444提供个人信息的活动提供了规范指引，成为数据跨境安全治理体系中的重要一环。为了指导和帮助个人信息处理者规范、息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。在数据出境安全评估方面，自《数据出境安全评兰阿姆斯特丹大学医学中心合作研究项目取得数据合规出境重要突破，完成全国首个数据合规出境案例，而后多地多个行数据权属是推动数据安全治理的重要问题，明晰的权属和有序的流动，是生产要素的本质要求和前提条件。而在数据权属上我国还面临很大的挑战，数据权属混乱是当前数据安全治理的主要障碍。根据十四届全国人大常委会立法规划公布信息4545■重要数据泄露事件类型分布深信服千里目安全技术中心依托分布式多源情报采集系统形成暗0资产暴露在数据泄露事件中占比最多，其主要由于安全配置不当导致，是黑客攻击成本最低的方式。资产暴露中包括未授资产失陷主要是由于感染恶意软件被窃取大量凭据，是黑灰产的常用获取权限手法，其中77%的受害单位为科研教育单位，泄露了大量学生的账号密码，包括浏览器中登录凭证、系统信息、地理位置、硬件配置和已安装的安全软件等等详细暗网情报来自于暗网交易市场和黑客论坛，暗网交易市场和黑客论坛中的交易市场为黑产交易提供了正式的匿名交易平台，其中数据类交易为市场中主要的交易内容。以经济利益为目的的黑客往往在获取受害单位数据后会前往交易市场发布售卖帖子，监控交易市场情报是快速获取外部数据泄露情报的4646黑产舆情包括黑客社交媒体和社区中进行传播和非法交易的数据泄露情报，黑客之间通常会对泄露数据内容和交易构建交值得注意的是，2023年下半年在我国大陆地区发现多起双重勒索事件导致的数据泄露，由于我国互联网环境特性，境外代码泄露和敏感文件暴露主要是发现在互联网中的代码托管平台以及文件托管平台中泄露的敏感数据事件，如境内外代码根据深信服千里目安全技术中心2023年监测发现的高价值事件受影响 4747随着数字经济推动和加密货币的发展，越来越多的黑客在利益驱动下实施非法交易。在我国的网络监管打击下，网络非法交易场所主要转移到了境外社交平台、境外黑客论坛市场以及暗网交易市场中。对境外数据非法交易场所的监控和跟踪是快速掌握我国数据泄露事件发生的有效手段，深信服千里目安全技术中心对黑灰产交易市场（包括境外社交平台、黑客论随着数据的价值快速上涨，在黑灰产交易中逐渐成为了数据交易为主导的局面，以经济利益出发的黑灰产组织或是个人黑4848从情报发现渠道的维度对2023年监控发现的高价值数据泄露事件进针对境外非法交易市场中数据泄露渠道进行分析统计如图3-4所示，其中黑客论坛泄露数量占比高达43%，主要来源于BreachForums在其管理员Pompompurin（真名Conor此后，在BreachForums的用户开始向新的论坛转移，一是向本就存在的其他流行黑客论坛转移，例如XSS、Exploit、使用门槛和宣传门槛较高，导致黑客们积极寻求新论坛扎根的现象更多。在这一现象的驱动下，不乏有想要成为新一代顶4949勒索软件已是全球数据泄露的头号威胁，2022年全球范围内遭到勒索软件团伙公开泄露数据的组织共2861家，其中多重勒索团伙数据泄露逐年趋势0为勒索团伙带来的经济上的保障，就算受害者不交付赎金，售卖获取的数据也能达到其经济目的。近三年，以数据泄露进5050对多重勒索软件团伙活跃情况统计如图3-5所示，2023年以数据泄露实行多重勒索的勒索软件团伙TOP10依次为Lockbit、BlackCat(ALPHV)、CL0P、PLAY、8BASE、Malaslock、BianLian、BlackBasta、Akira、0自双重勒索流行以来，我国几乎不受此勒索模式影响，呈现出境内和境外勒索态势的明显区别。境外勒索主要为定向勒索模式，由勒索团伙及其附属组织对目标组织发起持续定向的攻击。而境内主要以无差别攻击为主，通常为黑灰产团伙或者多为工业、制造业和能源行业，从单位地区来看为江浙沪和广东经济发达一带。由此预测勒索组织驱动的双重勒索攻击可5151回接口滥用导致政务敏感数据泄露事件接口滥用问题一直是我国各行业数据泄露的最主要原因。在2023年观察到取的数据泄露事件。在境外社交平台，有大量黑灰产团伙对我国公共服务接口进行非这些接口多为一些为内部人员提供查询服务的中间接口，而这些接口未设置权限管理并意外暴露于互联网中，被黑客扫描被利用接口接口功能未经过任何身份校验即可通过输入身份证号得到身通过输入姓名和身份证号即可查询社保卡信息、人员档案信息及社保卡银行卡查询接口通过输入当地地区身份证即可返回其银行卡办理情况份证号已经随意泛滥，而这些接口给不法分子提供了进一步敏感的图片凭证信息和细节信息，使得非法活动变得更加容易。值得一提的是，除了敏感数据的泄露，其中身份证和社保卡中的人脸照片在目前似乎是更为敏感的信息，其为不法分5252回多个黑客论坛泄露我国数据合集事件黑客论坛作为黑客活动和交流的主要根据地，黑客在攻击目标单位并窃取数据之后往往会将成果挂在黑客论坛中进行售然而，过于猖獗的黑客们在持续的非法活动中也引得各国监管的不满和打击，最初知名的黑客论坛RaidForms相关运营引发了大量黑客组织开始蠢蠢欲动争锋成为顶级论坛。在BreachForums关闭的这三个月以来，已经观察到名为Pwnedforums、Exposed、LeakBase、BreachForums（新）等多个新论坛的出现。观察发现，论坛运营者往往通过公开泄露黑客们关注的数据来进行宣传和竞争，而其中涉及多次泄露我国历史数据合集的事件发生，其数量级均达到亿级，PwnedForums著名俄罗斯黑客论坛的中泄露了中国6.3亿公民数据，字段包括姓名、电话、身份证号、出生日期、地址、性别和银行卡号。该LeakBase传其运营的数据泄露论坛。这份合集包含了公安、医护人员以及BreachForums论坛的替代论坛，此举动吸引了大批黑客前往，而不久后，该论坛运营者称无力运营并意图转手该论坛，随即该5353回某高校因3万余条师生个人信息数据泄露被罚款80万元该高校在数据处理活动中未建立全流程数据安全管理制度，未采取技术措施保障数据安全，也未履行数据安全保护义务。这导致了该校存储的教职工信息、学生信息和缴费信息等超过3000万条数据遭到黑客非法入侵，其中包括3万余条敏感回重点数据泄露事件分析小结亿个人地址数据。快递物流行业的供应链复杂，安全能力参差不齐，导致数据安全的保障变得愈发困难。各行业虽然在加强本身的数据安全建设，但往往忽视了数据流向外部时可能出现的安全问题。API接口滥用是导致我国各行业数据在2023年，多起利用政务接口提供非法数据查询和数据爬取的泄露的证件图片和细节信息，进一步便利了非法活动。特别值得注意的是，除了敏感数据的泄露，身份证和社保卡中的人脸照目前仍有单位未建立全流程的数据安全管理制度，未采取技术措施来保障数据安全，也未履行数据安全保护的义务。随着5454们惊叹的能力，随即该项技术被快速应用于各企业中。然而在与人工智能进行交互的过程中敏感数据和隐私内容传输所带来的数据安全风险也成为了新技术场景下需要重点关注和治理的问题。目前多个国家已着手针对此问题进行研究并推出了政务、医疗、教育行业的数字化数据接口的利用既不需要获取系统最终权限，也不需要复杂的攻击绕过，只需要通过发现已存在的系统暴露接口，编写可利用程序即可调用该接口获取敏感数据。2023年我国已经发生多起利用接口导致的泄（三）随着数据的价值快速上涨，在黑灰产交易中逐渐成为了数据交易为主导的局面，黑客论坛之间的竞争导致数据泄露以经济利益出发的黑灰产组织或是个人黑客都以数据为核心目标来进行攻击布局，使得数据的获取成为黑客间热议话题。2023年已持续观测到多个新论坛中发布我国大量历史已泄露数据合集来吸引对我国关注的黑客，而该行为将持续加大数重勒索事件呈逐年双倍递增的趋势。2023年观测发现我国发生多起双重勒索事件，预示着勒索组织可能逐步向大陆地区5555根据深信服千里目安全技术中心的检测结果显示，2023年南亚、东亚和尾蛇）、Donot（肚脑虫）等，持续对中国、巴基斯坦及南亚周边国家进行长期窃密攻击。特别是在2023年，CNC、BITTER和Patchwork组织的活动尤为频繁，这些组织在很多方面存在信息交叉，可能有一定关联性。它们主要针对教育、航空工业、科研单位、军工和政府等行业。东亚地区的主要APT组织是绿斑，地缘政治是其攻击的主要因素，主要进行定向钓鱼攻击，窃取军工、科研教育、航空航海等技术情报。另外，Lazarus和Kimsuky的攻击目标更倾向于美国、日本和韩国。东南亚地区主要由海莲花组织活跃，利用Nday漏洞攻击边界安全设备，然后针对科研教育机构展开攻击。56562023年，深信服千里目安全技术中心监测到了大量疑似南亚地区APT组织的相关攻击活动，活跃组织包括CNC、CNC组织最早于2019年被发现，因其使用的远程控制木马的PDB路径信息中包含的"cnc在运行攻击者提供的程序后，下载后续阶段远控、反弹shell、浏览器窃密、文件窃密、U盘摆渡木马等恶意程序，最终123457572023年，白象组织活动大多集中在我国境内中部地区，攻击目标上，对多个涉及水利、航空等专业的高等院校发起鱼叉式钓鱼攻击。在针对某大型水利集团的攻击活动中，其窃取了单位内部相关信息和物料，然后再使用包括招聘信息、职场骚扰事件通报、年度专项项目申报在内的多个主题的钓鱼邮件，向高校内投递了大量钓鱼邮件。除此之外该组织还对某政攻击手法和工具上，白象常使用鱼叉攻击对目标进行打点攻击，在近期监控到的攻击活动中发现有大量针对中国的定制化123455858叉攻击投递恶意载荷或者进行凭证钓鱼（主要是邮箱其针对国内的鱼叉攻击使用的邮箱账号多为窃取或购买的126、序等多种方式。恶意载荷通常使用msi部署或直远控、文件窃密组件以及键盘记录器等黑客工具，虽然其攻击方式依赖社会工程学，但还是开源项目对远控组件进行二次修改开发和混淆，还发现该组织将开源项目“Lilith”与以往的下载器结合，以不断增强攻12345959东亚地区以地缘政治为主要因素，以绿斑为活跃代表保持长期对我国的定向钓鱼，持续对我国军工、教育科研、航空航海等技术情报进行窃取，其手法常年保持钓鱼网页和邮件攻击。Lazarus和KiLazarus被公开情报普遍认为具有东亚某国政府背景，其作为该地区的一个庞大APT行分工协作。其攻击目标遍及全球，攻击行业多种多样，包括但不限于数字货币、金融机构、IT6060接的ReconShark恶意软件，以感染目标主机。此外，攻击者还使用了两种隐蔽的恶意载荷部署方式，包括编辑与6161绿斑，是一个长期针对国内国防、政府、科技和教育领域的重要段时事主题。除了附件投递木马外，绿斑还惯用钓鱼网站钓鱼，窃取目标的账户密码，进而获得更多重要信息。别名：穷绿斑在初始攻击环节主要采用鱼叉式钓鱼邮件攻击，在进行攻击之前，其会对目标进行深入调研，开展信息搜集。通过分筛选出具有一定价值的邮箱账号，进行扩散式钓鱼。对我国航天、海事、军队、教育、政府机构、多行业领域专家持续进目前该组织活动在攻击行动中常模仿其他组织的攻击战术，为了方便对该组织进行跟踪，因此将该组织命名为战术模仿者此处暂将其放在海莲花下。漏洞进行打点，获得对大量公网安全设备的持续控制权限，展开针对科研教育机构的攻击活动，在攻击活动中还观察到其126262WarSunflower（战争葵花）主要活跃于东欧及中亚地区，将其命名为WarSunflower（战争葵花）以代表其产生来源于俄乌战争。2023年该组织主要针对阿富汗、乌兹别克斯坦、哈萨克斯坦的政府部门进行钓鱼攻击。在攻击手法上，除了通过钓鱼窃取邮箱凭证外，该组织还投递多种木马对目标进行攻击（主要投递的载荷为vhdx文件，并且vhdx里包含后门组件或LNK文件下载器及诱饵文件等）。攻击目的上该组织擅长对开源项目进行改造利用，并未发现技术能力较高的自研组件，且其主要打点方式为鱼叉攻击，暂时未发现较高水平的打点方式，可初步判定该组织的技术水平属于中低水平组织。通过分析其攻击目标地域、行业信息以及活跃时区表4-10WarSunflower组织公开披露重点事件1WarSunflower（战争葵花）组织针对CIS国家及中亚地区的最新攻击行动分析6363持续对乌克兰的公共机构和关键信息基础设施进行了有针对性的网络国家安全、军事和政府组织；攻击手法包括网络钓鱼邮件和仿冒钓鱼页面来传播恶意软件，还利用USB的摆渡攻击来进1234目前，该组织被归因于俄罗斯政府情报组织，名为APT29，自2008年起开始运作。他们还使用了多个别名，如研究机构和智库进行攻击。作为东欧地区APT组织中实力强大的一员，APT29在微软报告的Nobelium事件和一份宣传合法传单，其中包含出售位于基辅的二手宝马轿车的信息。他们将恶意软件嵌入其中，然后分发给了在基辅工作1236464软件供应链攻击可以分为基于软件源代码、开源软件第三方包和软件开发工具相关的攻击方式。其中，基于软件源代码的攻击方式最为隐蔽、危害最大，也是技术难度最高的一种攻击方式。而基于开源软件第三方包和基于软件开发工具相关的APT攻击组织攻陷软件供应商之后，将恶意代码直接嵌入到软件供应商的软件代码当中，通Lazarus有关的UNC4736组织利用3CX桌面应用程序实施了双重供应链攻击，该事件是由于2022年该组织针对APT攻击组织利用伪造的包含恶意软件的软件开发工具或者被感染了恶意代码的软件开发工开发人员安装或使用这些软件开发工具和工程项目文件，安装木马后门进行下一步的攻击活动，LazarusAPT攻击组织就曾利用这种攻击方式，通过感染了恶意代码的软件开发工具未来随着全球云计算虚拟化等平台的高速发展，基于软件供应链攻击的活动6565在2023年监测到的APT攻击活动中，越来越多的组织开始利用开源组件二次开发的攻击组件，尤其开源组件的二次开发极大地降低了APT组织在攻击成本上的消耗，同时要体现在反调试、反分析，以及目标识别等方面。这些快速迭代的对抗技巧为复杂和激烈，溯源归因难度也越来越高。在2023年，发现南亚多个组织利用了多种开源组件开展攻击活动，包括有在最近的一次攻击活动中，Patchwork组织投递的恶意lnk文件用于下载第二阶段的BADNEWS远控，其中使用了此外，我们还捕捉到Patchwork组织使洞利用获得内核权限以杀死/致盲终端安全软件等，该项技术主要应着一些未被记录的或仅被攻击者所掌握的可用于攻击活动的合法驱动程序，这意味着攻击者拥有一个充足的库来发起关闭/开启PPL保护，和关闭/开启强制签名校验等多种高级攻这项技术最初主要被如Turla和方程式这样的顶级APT组织所6666鱼邮件和网站更加逼真，增加了用户识别的难度。同时，社会工程攻击也在不断演变，利用新的社交平台和通讯工具进行钓鱼攻击，使得防范变得更加复杂。总之，2023年钓鱼攻击的手法、社会工程、组合利用上都体现出了精心的设计，展为了达到钓鱼攻击以假乱真的效果，在攻击之前攻击者需要针对受害者进行社会工程学的调查，对受害者的个人信息、工作环境、接触人群等社会关系进行信息收集，充分了解受害者某个密码等等，再通过基本信息的社会工程学打点后，伪装为受害者本人，与其账号中的联系人进行正常沟通，并钓鱼攻击的关键之处就在于邮件话术和诱饵的逼真程度，越真实、越符合正常业务和沟通逻辑的钓鱼邮件可以使攻击者在遭受攻击后几乎无法感知，不仅能保障钓鱼攻击的成功率还能使其攻击行为持续潜伏。随着国家对反诈知识的宣传，人们对于钓鱼邮件的警惕与防范大大提高。与此同时，攻击者也不断提高其在钓鱼攻击上的迷惑性，来提高钓鱼攻击成功率。在2023年针对我国科研教育行业的钓鱼攻击中，论文的作者投递进行“论文校对”或“论文确认”的钓鱼邮件，其中邮件内容除链S更加定向性的鱼叉式网络钓鱼在针对国内科研教育的攻击中，攻击者首先通过其他渠道获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者在适当的时间，模拟期刊方，向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。而在论文投递后的论文作者将会密切关注其论文投递中流通，降低了攻击者制作商业电子邮件的门槛，帮助攻击者能够轻易制作更加逼真的攻击话术和诱饵。根据SlashNextThreatLabsintelligence观察发现，2023年在ChatGPT发布之后，恶意钓鱼邮件数量增加了6767此次攻击中，攻击者疑似首先在暗网获取了大量受害者信息，包括基本信息、邮箱账密等等，对受害者信息了如指掌。在获取到受害者邮箱权限后，攻击者监控到了能够编写定向钓鱼邮件的邮件主题和语料，包含顶会邀请、论文校对等等，使其伪造的钓鱼邮件十分逼真，引发大量受害者点击。攻击者甚至伪装为与教授私交甚好的他国高校教授与受害者进行长达还原攻击过程为攻击者向受害者投递恶意邮件后，受害者点击恶意邮件中的附件，执行chm恶意附件导致创建恶意计划本次攻击者对该远控进行了混淆，该远控组件由开源远控DarkAgent项目修改而成，其参考的开源项目地址为/ilikenwf/DarkAgent。通过进一步分析，确认该下载cert.msi文件的远程地址“rusjamystarapp在终端取证中发现该终端还存在异常启动项ceve.exe，根据启动项定位文件位置，发现该文件创建时间为1月4日报中已经被披露归因为蔓灵花APT组织。攻击者还多次尝试使用了远控工具anyde开源组件利用在APT攻击中越发常见，开源组件6868（称为VEILEDSIGNAL）投放在软件官网上，该恶意程序允许攻击者获得软件使用者的计算机访问权限并窃取网络凭据。以及另外两个涉及金融交易的企业。织注入恶意程序，并投放在官方下载渠道传播。经过调查发根据Mandiant对3CX公司受攻击情况调查发现，由于3CX员工意外下载被污染的X_TRADER应用程序，从而被该事件是首次发现的软件供应链攻击事件导致的软件供应链攻击，被广泛称为“双重供应链”攻击事件。双重供应链攻击将其传播范围广的特性再次放大，将两条软件供应链上下游给串联起来，实现难以察觉的连环攻击，并保持长期存在的攻击效果。该事件的攻击效果为黑客组织提供了攻击新思路，可能将吸引更多黑客组织转向使用该手段，从攻击目标源头供俄罗斯本国以及外国公民，受监控的群体还包括一些国家的在俄外交官。总部位于俄罗斯首都莫斯科的著名网络安全公司在后续的调查跟进中发现，该植入程序被卡巴斯基命名为TriangleDB，是在攻击者利用内核漏洞获得目标iOS设备的root权限后部署的。它部署在内存中，这意味着当设备重新启动时，植入物的所有痕迹都会丢失。因此，如果受害者重新启动设备，攻击者必须通过发送带有恶意附件的iMessage来重新感染设备，从而再次启动整个漏洞利用链。如果没有重在iPhone上部署三角测量行动间谍软件的零点击漏洞链的一部分。此次修美国针对全球无差别的情报监控已陆续被各国发现，俄罗6969在最新的攻击行动中发现，此批恶意PPT文档的恶意利用流程如下，通过在PPT中插入图片，并设置该图片“鼠标单击”件供应商的高度攻击态势；根据深信服千里目安全技术中心监测数据来看，针对我国开展频繁攻击的以东南亚和南亚地区随着大众对钓鱼攻击和诈骗信息的防范性逐渐提高，APT中，APT组织体现精细的前期打点工作，其通过多种渠道的社工手段将3CX