綠盟科技2022年度APT高級威脅報告

N2.4俄烏網(wǎng)絡戰(zhàn)主要攻擊類型N2.4俄烏網(wǎng)絡戰(zhàn)主要攻擊類型0022022年，在全球經(jīng)濟下行、地緣沖突爆發(fā)、加密貨幣市場萎靡等因素影響下，高級威脅事件整體呈現(xiàn)爆發(fā)趨勢。在活躍組織數(shù)量、攻擊事件數(shù)量、新型攻擊工具數(shù)量等高級威脅主本年度，綠盟科技伏影實驗室對階段性爆發(fā)的網(wǎng)絡戰(zhàn)威脅、長期持續(xù)的APT威脅、以及網(wǎng)絡攻擊能力已經(jīng)成為一種能夠在地緣沖突中發(fā)揮重要作用的武器資源。俄烏沖突的各個階段，俄烏雙方在網(wǎng)絡空間中進行了以竊密、控制和癱瘓等為目標的各式網(wǎng)絡攻擊活動，認知混淆和輿論控制已經(jīng)成為網(wǎng)絡戰(zhàn)的重要組成部分。俄烏網(wǎng)絡戰(zhàn)中出現(xiàn)了大量以欺騙認知或誘導輿論為目標的網(wǎng)絡攻擊事件，此類事件通過控制宣傳平臺或濫用宣傳渠道，用大APT攻擊更深度地與地緣政治沖突綁定，東歐、南亞、中東等沖突地區(qū)與敏感地區(qū)的APT活動強度持續(xù)增加。本年度保持活躍的區(qū)域性APT組織包括Gamaredon、Kimsuky、Lazarus、Patchwork等，反映了在國際局勢緊本年度我國遭受大量APT攻擊與勒索攻擊，攻擊來源主要為美國、越南與印度。這些APT組織大多以我國高校和大型企業(yè)等作為目標，以N-da開始進入更激烈的惡性競爭階段。較小的勒索軟件團伙不斷用攻擊大型企業(yè)的方式嘗試擴大004本年度，隨著俄烏沖突的爆發(fā)，一場激烈程度高、持續(xù)時間長的網(wǎng)絡戰(zhàn)也逐漸被大眾所認知。由俄羅斯和烏克蘭的網(wǎng)絡力量以及援助雙方的組織及團體主導，俄烏網(wǎng)絡戰(zhàn)成為了國家力量、APT組織、勒索軟件組織、民間黑客團體、個人攻擊者等多方勢力共同參與的大型高級威脅事件，在不同程度上影響到了俄烏雙方組織機構運行、國際輿論甚至戰(zhàn)爭走向等方綠盟科技伏影實驗室在俄烏網(wǎng)絡戰(zhàn)的準備時期開始便對其保持高度關注，并在持續(xù)監(jiān)控從宏觀到微觀的不同角度報道和分析了現(xiàn)代網(wǎng)俄烏網(wǎng)絡戰(zhàn)是俄烏兩國熱戰(zhàn)在網(wǎng)絡空間領域的延伸，在這場網(wǎng)絡戰(zhàn)爭中，俄烏雙方的網(wǎng)絡力量不僅采取了如網(wǎng)絡間諜活動、數(shù)據(jù)擦除攻擊、拒絕服務攻擊等多種攻擊手段，而且隨著戰(zhàn)局的變化雙方都在靈活地調(diào)整角色定位，甚至開始擔任破壞設施、操縱輿論、制造恐慌俄烏網(wǎng)絡戰(zhàn)的發(fā)生和發(fā)展表明，網(wǎng)絡戰(zhàn)爭已經(jīng)成為一種在地緣沖突中發(fā)揮重要作用的戰(zhàn)略武器，為世界各國提供了一個重要的網(wǎng)絡作戰(zhàn)研究案例，并對網(wǎng)絡空間作戰(zhàn)的概念、方法和地位產(chǎn)生了深遠的影響，促使各國不斷加強網(wǎng)絡安全防御，并加強在網(wǎng)絡空間的軍事行動2022年2月24日，烏克蘭地區(qū)的軍事沖突爆發(fā)，俄羅斯、烏克蘭以及各幕后勢力之間的較量吸引了全世界的目光。隨著事件的發(fā)展，這場現(xiàn)實世界中的沖突，史無前例地影響到了網(wǎng)絡空間中的各個方面。綠盟科技伏影實驗室基于綠盟科技全球威脅狩獵系統(tǒng)和威脅追蹤1/apt-lorec53-20220216/2/cldap-ntp/3/itw-privatbank/4/it-ddos-31/5/atp-whisperga-mbr/6/ddos-apt-sec/0052021年年底至2022年年初，俄烏局勢仍不明朗，這個時期活躍的親俄APT組織如Lorec53、Gamaredon扮演著網(wǎng)絡偵察兵的角色，向烏克蘭的軍、政、企等領域伸出觸角，覆蓋范圍更加全面，采集目標網(wǎng)絡設施的真實網(wǎng)絡地址、網(wǎng)絡資源情況、網(wǎng)絡拓撲結構、敏開始針對軍事單位以外的目標，向烏克蘭的政府部門、軍事目標、外交部門、媒體等可能持積極收集一切有利于后續(xù)軍事行動的情報。俄方APT組織在006在俄烏沖突正式爆發(fā)時，隸屬俄羅斯的APT組織與隸屬烏克蘭的網(wǎng)絡力量立即轉(zhuǎn)入激烈的攻防對抗活動中，開啟以控制為目標的網(wǎng)絡特種作戰(zhàn)。該階段的典型案例是俄烏雙方通過線上論壇、線下媒體的形式全方位地渲染戰(zhàn)爭氛圍，強調(diào)一方對另一方的入侵活動等。通過封鎖媒體播放渠道，掌控世界話語權，渲染以強欺弱氛圍，將軍事活動定義為入侵攻擊，占在俄烏沖突持續(xù)階段，親俄的APT組織與親烏的網(wǎng)絡力量立即轉(zhuǎn)入激烈的攻防對抗活動中，該階段的典型案例是俄羅斯方面的數(shù)據(jù)破壞活動與烏克蘭方面的DDoS行動。Lorec53007了針對烏克蘭多個組織的破壞式網(wǎng)絡攻擊行動。Sandworm組織執(zhí)行了多起針對電力設施等烏克蘭關鍵設施的數(shù)據(jù)破壞行動，開發(fā)并使用了名為HermeticWiper、HermeticRansom、Gamaredon組織在戰(zhàn)爭初期也承擔了一部分數(shù)據(jù)破壞任務。一種名為IsaacWiper的數(shù)了針對俄羅斯的DDoS攻擊行動。組織領導者為該群體提供了一個包含31個俄羅斯關鍵基礎設施目標的針對性清單、多種DDoS攻擊工具和對應的教學文檔此外，國際黑客組織匿名者（Anonymous）也在戰(zhàn)爭開始后不久宣布加入烏克蘭一方，在短時間內(nèi)培養(yǎng)和組織了能夠發(fā)起網(wǎng)絡攻擊的親烏黑客群體。匿名者組織通過入侵數(shù)據(jù)庫、屏蔽Telegram站點、劫持流媒體等方式對俄羅斯線上服務進行直接的破壞，以阻止俄羅斯俄烏沖突中的網(wǎng)絡戰(zhàn)是美國與西方國家聯(lián)手支持的網(wǎng)絡力量，協(xié)助烏克蘭在網(wǎng)絡空間層面與俄羅斯進行的博弈。以Anonymous和ITARMYofUkrai力量主要以DDoS為主的攻擊手段針對俄羅斯的政府、國防、能源、金融發(fā)起以癱瘓為目標的網(wǎng)絡特種作戰(zhàn)。以Gamaredon、Lorec53（洛瑞熊）、Sandworm持俄羅斯的網(wǎng)絡力量主要以數(shù)據(jù)擦除攻擊、DDoS攻擊、勒索攻擊、釣魚攻擊等手段針對烏克蘭以及支持烏克蘭的西方國家發(fā)起以竊密、控制、癱瘓為目標的網(wǎng)絡特種作戰(zhàn)。其他網(wǎng)絡綠盟科技伏影實驗室對俄烏網(wǎng)絡戰(zhàn)中出現(xiàn)的各種網(wǎng)絡攻擊類型進行分析后，發(fā)現(xiàn)這些攻起的間諜式攻擊活動以及民間黑客組織發(fā)起的社交網(wǎng)絡釣魚活動；控制類網(wǎng)絡攻擊主要包括俄烏雙方國家力量與民間力量發(fā)起的輿論控制類網(wǎng)絡活動；而癱瘓類網(wǎng)絡攻擊則包括由APT008長期以來，國家級APT組織的主要任務就是長期監(jiān)控特定目標并持續(xù)收集情報，這些APT組織在戰(zhàn)爭期間擔任了對敵方軍事目標的竊密工作，通過釣魚、水坑等方式盡可能收集如，Lorec53組織曾在戰(zhàn)爭準備階段發(fā)起了以個人經(jīng)濟制裁為誘餌的魚叉式釣魚攻擊，目標廣泛覆蓋烏克蘭東部地區(qū)的政府與國有企業(yè)。Lorec53投遞的釣魚文檔用于下載對應的間諜戰(zhàn)爭爆發(fā)后，綠盟科技伏影實驗室捕獲了大量以俄語作戰(zhàn)信息或烏克蘭語軍隊調(diào)度信息為誘餌的網(wǎng)絡攻擊活動。這些活動多數(shù)來自APT組織Gamaredon，目標為烏克蘭東部各州009上述APT活動僅僅是俄烏戰(zhàn)爭期間海量網(wǎng)絡竊密活動中的冰山一角。本年度綠盟科技觀此外，俄烏網(wǎng)絡戰(zhàn)期間還有一部分竊密攻擊活動通過社交媒體展開，攻擊者則多為民間文件。組織者在群組內(nèi)發(fā)布了多個黑客工具，包括一個名為“ddos-reaper.zip”的文件。發(fā)布者通過宣傳該工具的DDoS攻擊功能，誘導組群組內(nèi)成員使用。經(jīng)分析，該工具實際上是一個竊密軟件，當使用者運行該工具后，自身信息就會被泄露給攻擊者，可謂是“螳螂捕蟬010親俄組織輿論控制在俄烏網(wǎng)絡戰(zhàn)中，由俄羅斯方面民間力量與上級組織者構成的部分親俄組織，通過各種渠道發(fā)起針對烏克蘭及其盟友的輿論控制攻擊活動。這些親俄組織一方面通過攻擊反俄言論攻擊平臺，抑制對俄不利消息傳播；另一方面通過發(fā)起輿論攻勢，包括在社交平臺發(fā)布每日俄方前線戰(zhàn)況、辟謠反俄言論、公布叛軍信息等措施來進行信息混淆與輿論操作，引導輿論011親烏組織輿論控制綠盟科技在對俄烏網(wǎng)絡沖突的持續(xù)監(jiān)測中發(fā)現(xiàn)，親烏組織在對俄發(fā)動大規(guī)模DDoS攻擊之后，及時利用俄羅斯網(wǎng)絡基礎設施無法及時對外通信的空檔期進行輿論控制攻擊。這些組織對外宣稱其已竊取大量俄方機密資料，并在互聯(lián)網(wǎng)上大肆泄露文件，營造一種俄羅斯在上述攻擊后，親烏組織搭建民眾可自由參與的反俄言論攻擊平臺，使用竊取的俄羅斯公民個人電話、郵箱、WhatsApp賬戶等個人憑證，通過社交平臺對俄羅斯民眾大量散布反俄言論，制造對俄羅斯不利的社會輿論氛圍，試圖通過這種攻擊方式制造俄羅斯國內(nèi)和國際012數(shù)據(jù)擦除式癱瘓攻擊WisperGate木馬植入到了多個烏克蘭政府和信息技術相關組織目標的主機中。綠盟科技伏影實驗室對WisperGate木馬進行分析發(fā)現(xiàn)，雖然該木馬會在運行后顯示勒索和贖金相關信息，但木馬的實際功能為直接覆蓋受害主機中所有文件的內(nèi)容，是典型的數(shù)據(jù)破壞型木馬。WhisperGate目標指向烏克蘭的政府、非營利組織和信息技術實體。WhisperGate實際另一種被稱為HermeticRansom的勒索軟件被用在俄烏戰(zhàn)爭爆發(fā)后，俄羅斯方面害者主機桌面留下勒索信。已有分析表明，這種勒索軟件可能被攻擊者用于制造麻煩，使烏除以上木馬外，俄烏網(wǎng)絡戰(zhàn)期間還出現(xiàn)了IsaacRansom、IsaacWiper、In多種數(shù)據(jù)破壞類木馬程序。這些木馬程序的開發(fā)水平參差不齊，實現(xiàn)效果各有側(cè)重，說明網(wǎng)拒絕服務式癱瘓攻擊013攻擊者首先在2月14日的凌晨4點針對烏克蘭國家公務員事上述DDoS攻擊的主要目的為在一定時間內(nèi)癱瘓攻擊目標的線上服務，從而為其他類型的網(wǎng)絡攻擊制造窗口。DDoS攻擊大量出現(xiàn)在俄烏網(wǎng)絡戰(zhàn)的爆發(fā)階段，已經(jīng)成為一種癱瘓目當下網(wǎng)絡特種作戰(zhàn)的主要形式包括網(wǎng)絡間諜活動、網(wǎng)絡破壞、認知作戰(zhàn)等，目的是通過對敵方網(wǎng)絡進行侵入式攻擊，實現(xiàn)對敵方信息和通信系統(tǒng)的控制，削弱敵方的軍事實力，進而實現(xiàn)軍事戰(zhàn)略目標。隨著網(wǎng)絡作戰(zhàn)攻擊者在技術能力、組織能力等方面的發(fā)展，未來網(wǎng)絡以俄烏網(wǎng)絡戰(zhàn)為代表，可以看到當下國家級網(wǎng)絡攻擊力量構成仍然以APT活區(qū)域性網(wǎng)絡戰(zhàn)已經(jīng)出現(xiàn)，大規(guī)模網(wǎng)絡戰(zhàn)爆發(fā)風險大幅增加的當下，APT組織一方面充當網(wǎng)絡間諜的角色，通過利用更高級的技術手段，更有效地攻擊和控制目標網(wǎng)絡，竊取敵方軍事、政治、科技、民生等領域?qū)Q策者有利的高價值情報信息；另一方面充當破壞者的角色，在地緣沖突爆發(fā)時期，通過數(shù)據(jù)破壞攻擊遠程癱瘓敵方關鍵基礎設施，達到戰(zhàn)場支援、網(wǎng)絡震懾等目的；APT組織甚至會在戰(zhàn)爭爆發(fā)至相持階段進行輿論控制，利用消息差對敵進行“認2014年美軍頒布的《網(wǎng)絡空間作戰(zhàn)》聯(lián)合條令提出了網(wǎng)絡空間作戰(zhàn)火力、機動部署、保障、防護六個環(huán)節(jié)融入聯(lián)合作戰(zhàn)的措施，建立了網(wǎng)絡空間聯(lián)合作戰(zhàn)規(guī)劃與協(xié)調(diào)的方法與要點，推動網(wǎng)絡空間作戰(zhàn)融入聯(lián)合作戰(zhàn)邁入正014討會上提出，網(wǎng)絡戰(zhàn)可以在瞬間、同時、全球和連續(xù)地發(fā)生。要想在這一領域取得成功，就習總書記曾在網(wǎng)絡安全和信息化工作座談會上強調(diào)，網(wǎng)絡安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量。因此，在國際關系緊張的大環(huán)境下，應對可能到來的網(wǎng)絡戰(zhàn)，防御（10）增加研究開發(fā)力度，探索新的網(wǎng)絡安全技術和方法，為應對新型網(wǎng)絡特種作戰(zhàn)提016本年度綠盟科技捕獲或處置的境內(nèi)APT事件中，最終確認來自海蓮花組織的事件占比最高。海蓮花組織在調(diào)整攻擊策略后，開始更加主動地對我國展開網(wǎng)絡攻擊，嚴重危害國內(nèi)企織攻擊事件最為嚴重；勒索黑客組織也將我國大型企業(yè)作為攻擊目標，本年度來自企業(yè)側(cè)的境外APT組織活動方面，東歐、南亞、朝鮮半島以及中東地區(qū)的組織表現(xiàn)活躍。受俄烏戰(zhàn)爭影響，東歐方面的APT組織從年初至今始終保持攻擊為尤其頻繁；印度方面的APT組織延續(xù)了從去年年底開始中巴合作項目表現(xiàn)出強烈興趣；朝鮮APT組織除延外，重點強化了針對加密貨幣行業(yè)的攻擊密度；中東方面的其與北塞浦路斯地區(qū)，從21年開始持續(xù)攻擊土耳其研究所、軍工產(chǎn)業(yè)以及高校；另一個新的黑客小組，針對地中海周邊國家和東南亞國家的線上交易平臺發(fā)起長期的竊密攻擊；綠盟科技還標記了多個未確認來源的攻擊者，這些攻擊者分別向俄羅斯、白俄羅斯、日本、塞浦0172022年綠盟科技APT線索發(fā)現(xiàn)數(shù)量統(tǒng)計可以看到，本年度大量APT線索發(fā)現(xiàn)于上半年的2月、4月和5月三個月份，這一現(xiàn)象察階段的行為，而4月至5月出現(xiàn)的線索則大多來自俄烏雙方黑客在網(wǎng)絡攻防對抗階段中的018rGKimsuky Gamedo TransparentTribeCNCDAc2sKimKnrGKimsuky Gamedo TransparentTribeCNCDAc2sKimKn2022年綠盟科技APT活動捕獲時間線der。KimsukyMuddyWateMuddyWateActor220318Actor22 EvilnumSideWinderaaimsukyopyimsukytTribePatchworkiiKimsukyKimsukymsukyGamaredonDDordordKKamaredonamaredonCC PatchworkSideWinnDassLorDassLoronnonnusPsusueCopyMaterSiderDaeDaeuccnotnotHagHaggagaciussPasswordsPasswordGamaronGc53aredonareareLLGamaroGamaronspnspKimukyrr。SideCopyMMachetedacheteoreorec53c53sukyinderinderimsukyimsukyimsukyimsukyAct714deCopyKKuKimsu vilnum vilnumchwork DonotmsukyConfucKimsuiusKimsuSiEEuky Kimsuky。lorec53uky KimsukyamamLararoredoedoec5n3n3 SideWindermaredonDangerousPasswgerousPasswordordActor220331Actor220331從時間線分布圖可以看出，與俄羅斯國家利益密切相關的Gamaredon組織在2022年全年處于活躍狀態(tài)，其他與俄羅斯有關的組織如Lorec53也在上半年頻繁行動；朝鮮方面的Kimsuky組織與DangerousPassword組織同樣長期活躍，分別以韓國政府和虛擬貨幣產(chǎn)業(yè)為目標進行持續(xù)活動；印度方面的SideWinder、Patchwork、Confucius等多個A019KonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinderKonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinder7%lorec537%Kimsuky2022年綠盟科技捕獲APT活動歸屬組織統(tǒng)計groupKimsukyKimsukyKimsuky20% GamaredonDangerousPasswordlorec53SideWinderConfuciusSideCopyPatchworkEvilnumTransparentTribeMacheteDonotMuddyWaterActor220331HaggaActor220923MurenSharkCNCActor220318BitterActor210714Konni2022年6月22日，西北工業(yè)大學發(fā)布一則公開聲明，表示該校遭受境外網(wǎng)絡攻擊。處置單位對該事件的調(diào)查顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）美國國家安全局是已知APT組織方程式辦公室則是具體的攻擊工具開發(fā)者與攻擊活動實施者。已披露的信息顯示，在本次對西北工業(yè)大學的攻擊中，TAO通過邊界設備漏洞利用、魚叉攻擊等方式獲取駐足點后，在目標網(wǎng)絡020本年度，綠盟科技捕獲到多起海蓮花組織針對國內(nèi)企業(yè)或機構的攻擊事件。海蓮花攻擊者在這一系列事件中使用了多種不同的入侵手段，積極嘗試使用軟件供應鏈攻擊、邊界設備漏洞利用、泄露憑證利用、網(wǎng)絡釣魚等手段獲取目標網(wǎng)絡內(nèi)的駐足點，再通過竊取初始訪問節(jié)點中的憑證信息進入目標單位內(nèi)網(wǎng)，最終通過散播商業(yè)木馬或自制木馬竊取目標域內(nèi)設備上述海蓮花攻擊模式并非在本年度首次出現(xiàn)，綠盟科技在去年就已監(jiān)控到使用該模式的多次攻擊行為。雖然攻擊者的具體實施路線會根據(jù)目標網(wǎng)絡的狀態(tài)進行調(diào)整，但這些事件依然暴露了可供辨識的一致攻擊特征。海蓮花攻擊者在這些攻擊過程中保持了高度的警覺性，能夠察覺防御方和處置方的調(diào)查行為并進行實時響應。這些事件也反映出海蓮花組織對我國企業(yè)或組織內(nèi)常見網(wǎng)絡環(huán)境的高度理解，該組織可能已構建應用于此類攻擊活動的完整對抗都通過郵件釣魚展開，攻擊者往往通過構建可信度極高的郵件內(nèi)容，誘騙高校教授等受害者訪問偽裝成郵箱登錄頁面、學術會議網(wǎng)頁或論文提交頁面的水坑站點，再通過進一步的社會工程學技術使受害者下載運行木馬程序。此類攻擊的最終目標皆為竊取受害者主機中的高價值文件，綠盟科技已經(jīng)捕獲到多種能夠關聯(lián)至已知APT組織的竊4.上傳受害者信息5.下載惡5.下載惡意程序魚郵件3.打開惡意鏈接，填寫信息7.用戶主機被感染7.用戶主機被感染2.向目標發(fā)送釣魚郵件意程序021受勒索組織競爭白熱化的影響，包括Conti、Hive、Lapsu織在本年度積極招募攻擊手并拓展攻擊面，并開始將目光投向我國大型企業(yè)。已處置的勒索受RaaS模式影響，當前針對我國的勒索軟件攻擊在入侵形式上具有多樣性，取決于具體攻擊手的攻擊思路。但綠盟科技發(fā)現(xiàn)，本年度勒索事件中有較多入侵是通過已泄露的登錄憑證或邊界設備漏洞完成的。勒索組織的攻擊手開始將注意力集中在近幾年頻發(fā)的企業(yè)數(shù)據(jù)泄露事件上，他們通過分析已泄露數(shù)據(jù)中包含的人員信息，將登錄憑證類信息與工作單位類信息相聯(lián)系，進而嘗試進入企業(yè)暴露在公網(wǎng)上的登錄入口，獲取訪問企業(yè)內(nèi)網(wǎng)的渠道。勒索組織攻擊者還開始關注近年頻發(fā)的云桌面、遠程桌面等遠程辦公工具的漏洞，通過漏洞掃描2022年第二季度，綠盟科技伏影實驗室監(jiān)測到了一系列針對土耳其的網(wǎng)絡攻擊活動?；聜愼徑M織的可觀測活動出現(xiàn)于2021年已暴露的攻擊資源和欺騙手法表明，該組織已經(jīng)在針對高校和研究所的網(wǎng)絡間諜行動中達成穆倫鯊的主要攻擊手法包括投遞釣魚文檔與攻擊線上服務，主要攻擊工具包括一種名為工具Donut制作的加載器木馬UniversalDonut。該組織的直接目的包括擴充攻擊資源、滲透穆倫鯊攻擊者擅長隱藏攻擊特征，通過劫持合法站點的方式，將攻擊流量偽裝成訪問該站點的正常流量；同時通過拆分攻擊組件的方式，保證各階段載荷在非受控狀態(tài)下不產(chǎn)生攻1/murenshark/022調(diào)查顯示，已暴露的攻擊活動只是該組織行動的冰山一角，攻擊目標與攻擊組件方面不2022年第二季度，綠盟科技伏影實驗室捕獲了一起大規(guī)模的APT攻擊行動DarkCasino。該行動主要針對線上賭博平臺，目標為通過攻擊此類服務背后的活躍的線上交DarkCasino系列活動持續(xù)時間長、攻擊頻度高，受害者廣泛分布于地中海沿岸國家以及東南亞多個國家。攻擊者為該系列活動進行了長時間的準備，對主要攻擊流程與核心木馬程序進行長期迭代，并儲備了用于批量生成shellcode與隱寫圖片的制作工具，保證攻擊活動DarkCasino開發(fā)者對攻擊流程構建比較重視，他們使用一種覆寫式側(cè)加載的技巧直接將合法dll文件構建為帶有惡意代碼的側(cè)加載程序；使用一種經(jīng)典的VB套接023用了Evilnum的標志性攻擊流程和開發(fā)思路，一方面持續(xù)迭代自制的木馬程序與攻擊技術，Polonium會嘗試攻擊位于供應鏈上游的IT公司，通過劫持供應鏈的方式入侵位于供應該組織在攻擊活動中展現(xiàn)了較強的對抗能力，其主要后門程序CreepyDrive能夠使用024已披露的活動中，Metador使用了名為metaMain和Mafalda的木馬程序，以及一種名為Cryshell的內(nèi)網(wǎng)穿透程序。Metador使用的木馬程序以框架的模式構建，攻擊者可以根據(jù)目標主機狀態(tài)靈活切換運行模式和攻擊方式，能夠配合實現(xiàn)特殊的執(zhí)行和持久化方法，展現(xiàn)了較高的攻擊技術水平。Metador在攻擊活動中大量使用代碼混淆、通信驗證、延遲執(zhí)行等洞則包括造成了巨大影響的Log4Shell漏洞等。受部分高危N-day漏洞出現(xiàn)的影響，本年度），CharmingKitten組織早在一月初就開始進行Log4Shell漏洞掃描活動，配合一種公開的漏洞利用工具對帶有該漏洞的公網(wǎng)設備進行入侵；Lazarus組織在今年2月開始的一系列攻2022年5月，安全社區(qū)曝出一個新型Microsoftoffice0025由于該漏洞具備高可用性和形式特殊性，多個以網(wǎng)絡釣魚為主的APT組織迅速開始構建基于該漏洞的攻擊鏈。在該漏洞的0-day利用期間，綠盟科技觀測到被標記為Actor220603的組織就開始使用該漏洞攻擊白俄羅斯民間組織和個人；漏洞公開后，TA570等組織也開始但由于攻擊者通常需要針對此漏洞單獨開發(fā)攻擊組件，多數(shù)釣魚文檔無法被關聯(lián)至已知APT本年度，東歐區(qū)域的多個主要APT組織都參與到了俄烏戰(zhàn)爭的網(wǎng)絡對抗當中。俄羅斯APT組織Gamaredon在俄烏戰(zhàn)爭的準備階段至相持階段持續(xù)活躍，扮演偵察兵的角色對烏克蘭方面軍事調(diào)動進行持續(xù)監(jiān)控；Sandworm組織則以攻擊手的身份參與到俄烏戰(zhàn)爭的爆發(fā)階段，使用多種數(shù)據(jù)擦除類木馬進行以破壞和癱瘓敵方關鍵設施為目標的網(wǎng)絡攻擊；新興APT組織Lorec53則靈活切換攻擊角色，在俄烏戰(zhàn)爭的不同階段實施網(wǎng)絡偵察、數(shù)據(jù)破壞、同時，俄烏戰(zhàn)爭還催生了大量未確認攻擊者身份的網(wǎng)絡攻擊事件，例如綠盟科技標記的一個名為Actor220331的未知威脅行為者在戰(zhàn)爭爆發(fā)階段發(fā)動了多起針對俄羅斯政府傳播部的攻擊活動；另一個被國外安全公司標記的未知組織則在戰(zhàn)爭爆發(fā)至4月中旬的時間段內(nèi)發(fā)起多次針對俄羅斯政府國防部和傳播部等關鍵設施的網(wǎng)絡攻擊。這些未知威脅行為者都掌握親俄黑客團體Gamaredon是一個持續(xù)活躍的APT組織。該組織在俄烏戰(zhàn)爭的準備階段擔任收集情報的職責，并且明顯增加了活動頻率。已捕獲的事件表明，該組織從2021年下半年開始對烏克蘭東部地區(qū)的政府部門、警方設施、軍事人員乃至大型企業(yè)進行了廣泛的攻人員、地方公務人員等各類可能持有高價值情報的人群。很明顯，該時期的Gamaredon組織專注于廣撒網(wǎng)的策略，積極收集一切有利于后續(xù)軍事行動的情報。該組織在頓涅茨克、盧026面在該時期的軍事信息。這樣的攻擊行動持續(xù)至第三該組織可以看作APT組織在戰(zhàn)爭初期主動進行角色切換的代表。俄烏戰(zhàn)組織表現(xiàn)出與Gamaredon組織類似的活動特征，以釣魚郵件和水坑站點為主要手段，大規(guī)027戰(zhàn)爭爆發(fā)后，Lorec53組織暫時停止了網(wǎng)絡間諜行動，開發(fā)了名為WhisperGate、3月下旬開始，Lorec53同樣開始扮演監(jiān)視者的角色，頻繁使用一組名為GrimPlant和Lorec53組織在俄烏戰(zhàn)爭爆發(fā)至今的整個歷程中，很好地擔當了多種網(wǎng)絡攻擊角色，幫盡管印巴兩國關系較以往的危險狀態(tài)相比出現(xiàn)一定的緩和，巴基斯坦方面的主要APT組織TransparentTribe（透明部落）在本年度同樣保持活躍，對包括印度政府、軍隊、教育機構甚至個人的廣泛目標進行以網(wǎng)絡釣魚為主的行動；另一APT組織SideCopy也在今年上半年積極實施對印度軍隊的各種釣魚攻擊，這些攻擊皆遵循028APT組織。Patchwork的本輪行動從去年年底開始持續(xù)到22年年初，在短暫休整后重新開啟了一波從5月至年底的攻擊浪潮。本輪活動中，Patchwork攻擊者依然大量使用該組織的本年度捕獲的一起Patchwork攻擊事件中，綠盟科技發(fā)現(xiàn)該組織開始開發(fā)使用一種新的BADNEWS變種木馬。與舊版本木馬相比，新版本程序增加了偽裝用地址，029try{...block1catch{...block2block3block4catch{...try{...block1catch{...block2block3block4catch{...本年度Confucius的活動周期從2月開始持續(xù)至年底，該組織攻擊者通過偽造各類帶有巴基相比其他印度方面的APT威脅行為者，Confucius在攻擊手法和攻擊流程設計方面更有創(chuàng)造性。本年度Confucius攻擊者開始使用合法網(wǎng)盤作為攻擊載荷中轉(zhuǎn)平臺，并在使用的主要木馬程序中加入各種主流對抗技術進行反識別和反分析。本年度綠盟科技捕獲的一起Confucius行動中，攻擊者投遞了一個該組織自制C++木馬的新版本，該版本修改了之前版本木馬程序暴露的特征點，并開始使用控制流混淆來嘗試保護主要功能代碼，展示了block1->block2block1block1block2block2block1->block2block1->block3->block4trytry{...block1block2block2巴基斯坦方面的APT組織TransparentTribe（透明部落）延續(xù)了去年的活躍狀態(tài)，持續(xù)地向范圍廣泛的目標群體發(fā)起網(wǎng)絡攻擊。本年度TransparentTribe繼續(xù)使用CrimsonRAT和obliqueRAT兩種標志性攻擊組件實施攻擊行動，其釣魚誘餌體裁則非常廣泛，包括軍方PPT演講稿、調(diào)查表格、照片等能容易讓受害者誤操作的文件。攻擊目標方面，盡管本年度TransparentTribe的目標群體廣泛分布于各行業(yè)領域，該組織的主要目標仍為收集印度各重030本年度，受經(jīng)濟形式下行與無法緩和的朝韓關系影響，朝鮮方面再度提升了其在APT行這樣的高頻活動暴露了朝鮮方面APT的更多細節(jié)。研究發(fā)現(xiàn)，朝鮮主要APT組織之間的界限正在變得模糊，多個組織出現(xiàn)共享攻擊資源和攻擊目標的行為。繼2019年朝鮮方面兩大老牌組織Reaper與Kimsuky顯示關聯(lián)關系（https://blog.alyac.co.kr/2347）后，本年度Kimsuky被發(fā)現(xiàn)展開了針對加密貨幣的直接攻擊，這使得其與另一知名朝鮮APT組織Lazarus在行為動機方面產(chǎn)生了交集。這一現(xiàn)象也說明，朝鮮方面的APT組織越來越重視在加密貨幣方面的攻勢，他們寄希望于在加密貨幣渠道仍具有較高獲利能力的區(qū)間內(nèi)，通過網(wǎng)本年度Kimsuky組織依舊保持極高的活躍度，對韓國政府與其他可能對朝鮮方面造成威綠盟科技在本年度觀測到的Kimsuky活動主要包括兩種攻擊流程，一種流程以該組織常用的惡意宏文檔與BabyShark木馬為核心，另一種流程則融入了合法網(wǎng)盤地址與一種被031Kimsuky組織在2021年便開始測試和使用這種基于KimAPosT的攻擊流程，并在今年該組織頻繁的攻擊。關聯(lián)事件顯示，Lazarus內(nèi)部為本輪攻擊活動進行了分工，有一個或多個小組頻繁使用既有攻擊工具維持高頻度的網(wǎng)絡釣魚攻擊，而另一小組則積極開發(fā)使用新式本年度Lazarus的開發(fā)小組開始制作完善一種基于M1架構的Mach-O可執(zhí)行文件木馬攻擊流程，以方便該組織同時對多個平臺的加密貨幣用戶展開攻擊。該流程包括一種能夠編譯為多個平臺版本的釋放器木馬、根據(jù)目標制作的pdf釣魚文件、后續(xù)的加載器木馬和下載本年度，中東方面的APT攻擊依然集中于地中海沿岸和美索不達米亞平原周邊地區(qū)，受綠盟科技發(fā)現(xiàn)，本年度土耳其與伊朗同時成為APT攻擊發(fā)起者與受害者。疑似具其背景的APT組織StrongPity在21年底開始再次活躍，策劃了多起針對巴勒斯坦等鄰國的水坑釣魚攻擊，而未知來源的威脅行為者MurenShark則在今年針對土耳其海軍展開了一次本年度繼續(xù)攻擊約旦等鄰國，而該國也承受了一次本年度最嚴重的工控網(wǎng)絡攻擊事件，導致針對商業(yè)的APT組織活動也使中東地區(qū)的多個國家飽受其擾。綠盟科技發(fā)現(xiàn)的名為DarkCasino的APT行動中，攻擊者將地中海沿岸國家的線上現(xiàn)金流作為主要目標，其中包括土耳其、以色列等國的線上交易平臺與在線娛樂平臺；綠盟科技還觀測到一個標記為Actor220923的未知來源攻擊者，在第三季度發(fā)起了針對塞浦路斯證券交易所用戶的網(wǎng)絡釣032與其他APT組織不同的是，本年度CharmingKitten獲取對受害者主機會通過收集到的憑證，登錄受害者的Gmail、oCharmingKitten在本年度的攻擊活動依然以憑證竊取和信息竊取為主CharmingKitten還會積極嘗試使用N-day漏洞，強化其攻擊能力。CharmingKitten是最早嘗試使用Log4Shell漏洞進行大規(guī)模掃描的APT組織之一，在22年1月就開始了對該地緣沖突永遠是國家級APT組織的根本驅(qū)動力。本年度大量出現(xiàn)的由地緣沖突驅(qū)動的級的重要手段。俄烏網(wǎng)絡戰(zhàn)的事實也告訴我們，當?shù)鼐夑P系惡化導致實體沖突爆發(fā)時，APT034根據(jù)綠盟科技伏影實驗室的長期觀測，2022年活躍勒索軟件攻擊事件，大部分來自綠盟科技伏影實驗室對本年度活躍的勒索軟件木馬數(shù)量進行了統(tǒng)計，發(fā)現(xiàn)這些木馬較多035在受害者國家分布方面可以看出，歐美國家為勒索軟件的重災區(qū)，其中美國占比高達在勒索軟件受害者行業(yè)分布方面，政企、醫(yī)療、能源、交通、教育行業(yè)占據(jù)前50%，以036彩妝航空航天基礎設施政企基礎設施彩妝航空航天基礎設施政企基礎設施然后竊取目標公司敏感數(shù)據(jù)以獲取經(jīng)濟效益為目的的黑客組織。因為Lap組織創(chuàng)建的Telegram頻道中經(jīng)常使用葡萄牙語和英語宣布他們的攻擊目標以及攻擊戰(zhàn)況，037Lapsus$組織主要通過社會工程學手法收集有關目標組織業(yè)務運營的相關信息，使用各種方法獲取目標組織的初始訪問權限，例如部署密碼竊取程序、非法論壇購買登錄憑據(jù)、收Lapsus$組織使用多種策略來發(fā)現(xiàn)其他憑據(jù)或入侵點以擴展其訪問權限，例如利用內(nèi)部Lapsus$組織還利用專門的IT基礎設施對目標組織的敏感數(shù)據(jù)進行遠程下載以供將來勒Conti是一個俄羅斯勒索軟件團伙，作為Ryuk的繼任者于2020年夏季開始勒索活動。Conti團伙制造了多起攻擊事件，諸如攻陷并加密芯片制造商Advantech的重要數(shù)據(jù)，并要迫使該市關閉其網(wǎng)絡，其在線賬單支付系統(tǒng)、公用事業(yè)賬單和電子郵件等服務停擺。該市的網(wǎng)站、議會、警察部隊等均受到影響。然而，Conti團伙性質(zhì)最為惡劣的攻擊莫過于針對愛爾蘭衛(wèi)生部HSE的攻擊，此次攻擊令其80%的醫(yī)療系統(tǒng)處于被加密狀態(tài)，此期間醫(yī)療保健0382022年3月，有安全研究人員披露了Con039040布他們將全力支持俄羅斯政府對烏克蘭的攻擊。他們還警告說，如果有人組織了針對俄羅斯LOckBit勒索軟件于2019年9月首次被觀察到。經(jīng)過迭代更新的發(fā)展，會部署第一階段惡意軟件或以其他方式獲取目標組織基礎設施內(nèi)的訪問權限。然后他們將該通過安全研究人員提交漏洞報告的嚴重程度，以獲取1000到100萬美元不等的獎勵。這也進勒索軟件的思路或想法提供賞金。目前，LOckBit的賞金類別涵蓋各平臺漏洞、自身軟件041Hive勒索軟件于2021年6月首次被發(fā)現(xiàn)。根據(jù)通報，它已發(fā)展成為勒索軟件即服務運行效率以及對抗能力大幅提升。在Rust版本的Hive軟件程序中，開發(fā)者042早期的RaaS模式主要通過出售勒索軟件使用權、雇傭傳播者等方式實現(xiàn)，勒索軟件運營者與使用者之間的關系接近于交易或雇傭關系。這一時期的RaaS模式還將數(shù)據(jù)竊取和披他們還會在自己的網(wǎng)站中披露在攻擊活動中獲取到的部分關鍵數(shù)據(jù)，并威脅受害者繳納一筆式。在“雙重勒索”的基礎上，勒索軟件運營者不再販賣軟件的使用權，而是將自身從具體的攻擊業(yè)務中完全剝離，以合作分成的形式招收滲透攻擊者加入勒索攻擊活動中。這些滲透攻擊者可以使用自己的手段和資源入侵高價值的目標，在目標設備上投放勒索軟件運營者制作的勒索軟件完成攻擊。成功的勒索活動產(chǎn)生的贖金將由勒索軟件運營者與攻擊者以一定比043本年度，綠盟科技伏影實驗室觀測到RaaS模式在技術、模式、系統(tǒng)等多個方面出現(xiàn)了勒索軟件的運營已由簡單的團伙化逐漸發(fā)展為公司化，在Conti的泄露資料中不難發(fā)現(xiàn)伴隨LockBit3.0的問世，其運營者推通過安全研究人員提交漏洞報告的嚴重程度，以獲取1000到100萬美元不等的獎勵。這也勒索軟件團伙也在贖金支付方面謀求變化。勒索軟件團伙目前的選擇的支付方式依然以加密貨幣為主，但支付加密貨幣追蹤公司和相關執(zhí)法部門表示比特幣是可以追蹤的，此外雖然門羅幣是一種隱私幣，但美國絕大多數(shù)加密貨幣交易所并不出售它。因此勒索團伙開始選擇將Zcash作為額外的支付選項，相當于增加一層資金保障。Zcash是一種隱私幣，具有難追蹤的屬性，并且它目前仍在美國最受歡