綠盟科技2022年度APT高級(jí)威脅報(bào)告

N2.4俄烏網(wǎng)絡(luò)戰(zhàn)主要攻擊類(lèi)型N2.4俄烏網(wǎng)絡(luò)戰(zhàn)主要攻擊類(lèi)型0022022年，在全球經(jīng)濟(jì)下行、地緣沖突爆發(fā)、加密貨幣市場(chǎng)萎靡等因素影響下，高級(jí)威脅事件整體呈現(xiàn)爆發(fā)趨勢(shì)。在活躍組織數(shù)量、攻擊事件數(shù)量、新型攻擊工具數(shù)量等高級(jí)威脅主本年度，綠盟科技伏影實(shí)驗(yàn)室對(duì)階段性爆發(fā)的網(wǎng)絡(luò)戰(zhàn)威脅、長(zhǎng)期持續(xù)的APT威脅、以及網(wǎng)絡(luò)攻擊能力已經(jīng)成為一種能夠在地緣沖突中發(fā)揮重要作用的武器資源。俄烏沖突的各個(gè)階段，俄烏雙方在網(wǎng)絡(luò)空間中進(jìn)行了以竊密、控制和癱瘓等為目標(biāo)的各式網(wǎng)絡(luò)攻擊活動(dòng)，認(rèn)知混淆和輿論控制已經(jīng)成為網(wǎng)絡(luò)戰(zhàn)的重要組成部分。俄烏網(wǎng)絡(luò)戰(zhàn)中出現(xiàn)了大量以欺騙認(rèn)知或誘導(dǎo)輿論為目標(biāo)的網(wǎng)絡(luò)攻擊事件，此類(lèi)事件通過(guò)控制宣傳平臺(tái)或?yàn)E用宣傳渠道，用大APT攻擊更深度地與地緣政治沖突綁定，東歐、南亞、中東等沖突地區(qū)與敏感地區(qū)的APT活動(dòng)強(qiáng)度持續(xù)增加。本年度保持活躍的區(qū)域性APT組織包括Gamaredon、Kimsuky、Lazarus、Patchwork等，反映了在國(guó)際局勢(shì)緊本年度我國(guó)遭受大量APT攻擊與勒索攻擊，攻擊來(lái)源主要為美國(guó)、越南與印度。這些APT組織大多以我國(guó)高校和大型企業(yè)等作為目標(biāo)，以N-da開(kāi)始進(jìn)入更激烈的惡性競(jìng)爭(zhēng)階段。較小的勒索軟件團(tuán)伙不斷用攻擊大型企業(yè)的方式嘗試擴(kuò)大004本年度，隨著俄烏沖突的爆發(fā)，一場(chǎng)激烈程度高、持續(xù)時(shí)間長(zhǎng)的網(wǎng)絡(luò)戰(zhàn)也逐漸被大眾所認(rèn)知。由俄羅斯和烏克蘭的網(wǎng)絡(luò)力量以及援助雙方的組織及團(tuán)體主導(dǎo)，俄烏網(wǎng)絡(luò)戰(zhàn)成為了國(guó)家力量、APT組織、勒索軟件組織、民間黑客團(tuán)體、個(gè)人攻擊者等多方勢(shì)力共同參與的大型高級(jí)威脅事件，在不同程度上影響到了俄烏雙方組織機(jī)構(gòu)運(yùn)行、國(guó)際輿論甚至戰(zhàn)爭(zhēng)走向等方綠盟科技伏影實(shí)驗(yàn)室在俄烏網(wǎng)絡(luò)戰(zhàn)的準(zhǔn)備時(shí)期開(kāi)始便對(duì)其保持高度關(guān)注，并在持續(xù)監(jiān)控從宏觀到微觀的不同角度報(bào)道和分析了現(xiàn)代網(wǎng)俄烏網(wǎng)絡(luò)戰(zhàn)是俄烏兩國(guó)熱戰(zhàn)在網(wǎng)絡(luò)空間領(lǐng)域的延伸，在這場(chǎng)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)中，俄烏雙方的網(wǎng)絡(luò)力量不僅采取了如網(wǎng)絡(luò)間諜活動(dòng)、數(shù)據(jù)擦除攻擊、拒絕服務(wù)攻擊等多種攻擊手段，而且隨著戰(zhàn)局的變化雙方都在靈活地調(diào)整角色定位，甚至開(kāi)始擔(dān)任破壞設(shè)施、操縱輿論、制造恐慌俄烏網(wǎng)絡(luò)戰(zhàn)的發(fā)生和發(fā)展表明，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)已經(jīng)成為一種在地緣沖突中發(fā)揮重要作用的戰(zhàn)略武器，為世界各國(guó)提供了一個(gè)重要的網(wǎng)絡(luò)作戰(zhàn)研究案例，并對(duì)網(wǎng)絡(luò)空間作戰(zhàn)的概念、方法和地位產(chǎn)生了深遠(yuǎn)的影響，促使各國(guó)不斷加強(qiáng)網(wǎng)絡(luò)安全防御，并加強(qiáng)在網(wǎng)絡(luò)空間的軍事行動(dòng)2022年2月24日，烏克蘭地區(qū)的軍事沖突爆發(fā)，俄羅斯、烏克蘭以及各幕后勢(shì)力之間的較量吸引了全世界的目光。隨著事件的發(fā)展，這場(chǎng)現(xiàn)實(shí)世界中的沖突，史無(wú)前例地影響到了網(wǎng)絡(luò)空間中的各個(gè)方面。綠盟科技伏影實(shí)驗(yàn)室基于綠盟科技全球威脅狩獵系統(tǒng)和威脅追蹤1/apt-lorec53-20220216/2/cldap-ntp/3/itw-privatbank/4/it-ddos-31/5/atp-whisperga-mbr/6/ddos-apt-sec/0052021年年底至2022年年初，俄烏局勢(shì)仍不明朗，這個(gè)時(shí)期活躍的親俄APT組織如Lorec53、Gamaredon扮演著網(wǎng)絡(luò)偵察兵的角色，向?yàn)蹩颂m的軍、政、企等領(lǐng)域伸出觸角，覆蓋范圍更加全面，采集目標(biāo)網(wǎng)絡(luò)設(shè)施的真實(shí)網(wǎng)絡(luò)地址、網(wǎng)絡(luò)資源情況、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、敏開(kāi)始針對(duì)軍事單位以外的目標(biāo)，向?yàn)蹩颂m的政府部門(mén)、軍事目標(biāo)、外交部門(mén)、媒體等可能持積極收集一切有利于后續(xù)軍事行動(dòng)的情報(bào)。俄方APT組織在006在俄烏沖突正式爆發(fā)時(shí)，隸屬俄羅斯的APT組織與隸屬烏克蘭的網(wǎng)絡(luò)力量立即轉(zhuǎn)入激烈的攻防對(duì)抗活動(dòng)中，開(kāi)啟以控制為目標(biāo)的網(wǎng)絡(luò)特種作戰(zhàn)。該階段的典型案例是俄烏雙方通過(guò)線上論壇、線下媒體的形式全方位地渲染戰(zhàn)爭(zhēng)氛圍，強(qiáng)調(diào)一方對(duì)另一方的入侵活動(dòng)等。通過(guò)封鎖媒體播放渠道，掌控世界話語(yǔ)權(quán)，渲染以強(qiáng)欺弱氛圍，將軍事活動(dòng)定義為入侵攻擊，占在俄烏沖突持續(xù)階段，親俄的APT組織與親烏的網(wǎng)絡(luò)力量立即轉(zhuǎn)入激烈的攻防對(duì)抗活動(dòng)中，該階段的典型案例是俄羅斯方面的數(shù)據(jù)破壞活動(dòng)與烏克蘭方面的DDoS行動(dòng)。Lorec53007了針對(duì)烏克蘭多個(gè)組織的破壞式網(wǎng)絡(luò)攻擊行動(dòng)。Sandworm組織執(zhí)行了多起針對(duì)電力設(shè)施等烏克蘭關(guān)鍵設(shè)施的數(shù)據(jù)破壞行動(dòng)，開(kāi)發(fā)并使用了名為HermeticWiper、HermeticRansom、Gamaredon組織在戰(zhàn)爭(zhēng)初期也承擔(dān)了一部分?jǐn)?shù)據(jù)破壞任務(wù)。一種名為IsaacWiper的數(shù)了針對(duì)俄羅斯的DDoS攻擊行動(dòng)。組織領(lǐng)導(dǎo)者為該群體提供了一個(gè)包含31個(gè)俄羅斯關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)的針對(duì)性清單、多種DDoS攻擊工具和對(duì)應(yīng)的教學(xué)文檔此外，國(guó)際黑客組織匿名者（Anonymous）也在戰(zhàn)爭(zhēng)開(kāi)始后不久宣布加入烏克蘭一方，在短時(shí)間內(nèi)培養(yǎng)和組織了能夠發(fā)起網(wǎng)絡(luò)攻擊的親烏黑客群體。匿名者組織通過(guò)入侵?jǐn)?shù)據(jù)庫(kù)、屏蔽Telegram站點(diǎn)、劫持流媒體等方式對(duì)俄羅斯線上服務(wù)進(jìn)行直接的破壞，以阻止俄羅斯俄烏沖突中的網(wǎng)絡(luò)戰(zhàn)是美國(guó)與西方國(guó)家聯(lián)手支持的網(wǎng)絡(luò)力量，協(xié)助烏克蘭在網(wǎng)絡(luò)空間層面與俄羅斯進(jìn)行的博弈。以Anonymous和ITARMYofUkrai力量主要以DDoS為主的攻擊手段針對(duì)俄羅斯的政府、國(guó)防、能源、金融發(fā)起以癱瘓為目標(biāo)的網(wǎng)絡(luò)特種作戰(zhàn)。以Gamaredon、Lorec53（洛瑞熊）、Sandworm持俄羅斯的網(wǎng)絡(luò)力量主要以數(shù)據(jù)擦除攻擊、DDoS攻擊、勒索攻擊、釣魚(yú)攻擊等手段針對(duì)烏克蘭以及支持烏克蘭的西方國(guó)家發(fā)起以竊密、控制、癱瘓為目標(biāo)的網(wǎng)絡(luò)特種作戰(zhàn)。其他網(wǎng)絡(luò)綠盟科技伏影實(shí)驗(yàn)室對(duì)俄烏網(wǎng)絡(luò)戰(zhàn)中出現(xiàn)的各種網(wǎng)絡(luò)攻擊類(lèi)型進(jìn)行分析后，發(fā)現(xiàn)這些攻起的間諜式攻擊活動(dòng)以及民間黑客組織發(fā)起的社交網(wǎng)絡(luò)釣魚(yú)活動(dòng)；控制類(lèi)網(wǎng)絡(luò)攻擊主要包括俄烏雙方國(guó)家力量與民間力量發(fā)起的輿論控制類(lèi)網(wǎng)絡(luò)活動(dòng)；而癱瘓類(lèi)網(wǎng)絡(luò)攻擊則包括由APT008長(zhǎng)期以來(lái)，國(guó)家級(jí)APT組織的主要任務(wù)就是長(zhǎng)期監(jiān)控特定目標(biāo)并持續(xù)收集情報(bào)，這些APT組織在戰(zhàn)爭(zhēng)期間擔(dān)任了對(duì)敵方軍事目標(biāo)的竊密工作，通過(guò)釣魚(yú)、水坑等方式盡可能收集如，Lorec53組織曾在戰(zhàn)爭(zhēng)準(zhǔn)備階段發(fā)起了以個(gè)人經(jīng)濟(jì)制裁為誘餌的魚(yú)叉式釣魚(yú)攻擊，目標(biāo)廣泛覆蓋烏克蘭東部地區(qū)的政府與國(guó)有企業(yè)。Lorec53投遞的釣魚(yú)文檔用于下載對(duì)應(yīng)的間諜戰(zhàn)爭(zhēng)爆發(fā)后，綠盟科技伏影實(shí)驗(yàn)室捕獲了大量以俄語(yǔ)作戰(zhàn)信息或?yàn)蹩颂m語(yǔ)軍隊(duì)調(diào)度信息為誘餌的網(wǎng)絡(luò)攻擊活動(dòng)。這些活動(dòng)多數(shù)來(lái)自APT組織Gamaredon，目標(biāo)為烏克蘭東部各州009上述APT活動(dòng)僅僅是俄烏戰(zhàn)爭(zhēng)期間海量網(wǎng)絡(luò)竊密活動(dòng)中的冰山一角。本年度綠盟科技觀此外，俄烏網(wǎng)絡(luò)戰(zhàn)期間還有一部分竊密攻擊活動(dòng)通過(guò)社交媒體展開(kāi)，攻擊者則多為民間文件。組織者在群組內(nèi)發(fā)布了多個(gè)黑客工具，包括一個(gè)名為“ddos-reaper.zip”的文件。發(fā)布者通過(guò)宣傳該工具的DDoS攻擊功能，誘導(dǎo)組群組內(nèi)成員使用。經(jīng)分析，該工具實(shí)際上是一個(gè)竊密軟件，當(dāng)使用者運(yùn)行該工具后，自身信息就會(huì)被泄露給攻擊者，可謂是“螳螂捕蟬010親俄組織輿論控制在俄烏網(wǎng)絡(luò)戰(zhàn)中，由俄羅斯方面民間力量與上級(jí)組織者構(gòu)成的部分親俄組織，通過(guò)各種渠道發(fā)起針對(duì)烏克蘭及其盟友的輿論控制攻擊活動(dòng)。這些親俄組織一方面通過(guò)攻擊反俄言論攻擊平臺(tái)，抑制對(duì)俄不利消息傳播；另一方面通過(guò)發(fā)起輿論攻勢(shì)，包括在社交平臺(tái)發(fā)布每日俄方前線戰(zhàn)況、辟謠反俄言論、公布叛軍信息等措施來(lái)進(jìn)行信息混淆與輿論操作，引導(dǎo)輿論011親烏組織輿論控制綠盟科技在對(duì)俄烏網(wǎng)絡(luò)沖突的持續(xù)監(jiān)測(cè)中發(fā)現(xiàn)，親烏組織在對(duì)俄發(fā)動(dòng)大規(guī)模DDoS攻擊之后，及時(shí)利用俄羅斯網(wǎng)絡(luò)基礎(chǔ)設(shè)施無(wú)法及時(shí)對(duì)外通信的空檔期進(jìn)行輿論控制攻擊。這些組織對(duì)外宣稱(chēng)其已竊取大量俄方機(jī)密資料，并在互聯(lián)網(wǎng)上大肆泄露文件，營(yíng)造一種俄羅斯在上述攻擊后，親烏組織搭建民眾可自由參與的反俄言論攻擊平臺(tái)，使用竊取的俄羅斯公民個(gè)人電話、郵箱、WhatsApp賬戶(hù)等個(gè)人憑證，通過(guò)社交平臺(tái)對(duì)俄羅斯民眾大量散布反俄言論，制造對(duì)俄羅斯不利的社會(huì)輿論氛圍，試圖通過(guò)這種攻擊方式制造俄羅斯國(guó)內(nèi)和國(guó)際012數(shù)據(jù)擦除式癱瘓攻擊WisperGate木馬植入到了多個(gè)烏克蘭政府和信息技術(shù)相關(guān)組織目標(biāo)的主機(jī)中。綠盟科技伏影實(shí)驗(yàn)室對(duì)WisperGate木馬進(jìn)行分析發(fā)現(xiàn)，雖然該木馬會(huì)在運(yùn)行后顯示勒索和贖金相關(guān)信息，但木馬的實(shí)際功能為直接覆蓋受害主機(jī)中所有文件的內(nèi)容，是典型的數(shù)據(jù)破壞型木馬。WhisperGate目標(biāo)指向?yàn)蹩颂m的政府、非營(yíng)利組織和信息技術(shù)實(shí)體。WhisperGate實(shí)際另一種被稱(chēng)為HermeticRansom的勒索軟件被用在俄烏戰(zhàn)爭(zhēng)爆發(fā)后，俄羅斯方面害者主機(jī)桌面留下勒索信。已有分析表明，這種勒索軟件可能被攻擊者用于制造麻煩，使烏除以上木馬外，俄烏網(wǎng)絡(luò)戰(zhàn)期間還出現(xiàn)了IsaacRansom、IsaacWiper、In多種數(shù)據(jù)破壞類(lèi)木馬程序。這些木馬程序的開(kāi)發(fā)水平參差不齊，實(shí)現(xiàn)效果各有側(cè)重，說(shuō)明網(wǎng)拒絕服務(wù)式癱瘓攻擊013攻擊者首先在2月14日的凌晨4點(diǎn)針對(duì)烏克蘭國(guó)家公務(wù)員事上述DDoS攻擊的主要目的為在一定時(shí)間內(nèi)癱瘓攻擊目標(biāo)的線上服務(wù)，從而為其他類(lèi)型的網(wǎng)絡(luò)攻擊制造窗口。DDoS攻擊大量出現(xiàn)在俄烏網(wǎng)絡(luò)戰(zhàn)的爆發(fā)階段，已經(jīng)成為一種癱瘓目當(dāng)下網(wǎng)絡(luò)特種作戰(zhàn)的主要形式包括網(wǎng)絡(luò)間諜活動(dòng)、網(wǎng)絡(luò)破壞、認(rèn)知作戰(zhàn)等，目的是通過(guò)對(duì)敵方網(wǎng)絡(luò)進(jìn)行侵入式攻擊，實(shí)現(xiàn)對(duì)敵方信息和通信系統(tǒng)的控制，削弱敵方的軍事實(shí)力，進(jìn)而實(shí)現(xiàn)軍事戰(zhàn)略目標(biāo)。隨著網(wǎng)絡(luò)作戰(zhàn)攻擊者在技術(shù)能力、組織能力等方面的發(fā)展，未來(lái)網(wǎng)絡(luò)以俄烏網(wǎng)絡(luò)戰(zhàn)為代表，可以看到當(dāng)下國(guó)家級(jí)網(wǎng)絡(luò)攻擊力量構(gòu)成仍然以APT活區(qū)域性網(wǎng)絡(luò)戰(zhàn)已經(jīng)出現(xiàn)，大規(guī)模網(wǎng)絡(luò)戰(zhàn)爆發(fā)風(fēng)險(xiǎn)大幅增加的當(dāng)下，APT組織一方面充當(dāng)網(wǎng)絡(luò)間諜的角色，通過(guò)利用更高級(jí)的技術(shù)手段，更有效地攻擊和控制目標(biāo)網(wǎng)絡(luò)，竊取敵方軍事、政治、科技、民生等領(lǐng)域?qū)Q策者有利的高價(jià)值情報(bào)信息；另一方面充當(dāng)破壞者的角色，在地緣沖突爆發(fā)時(shí)期，通過(guò)數(shù)據(jù)破壞攻擊遠(yuǎn)程癱瘓敵方關(guān)鍵基礎(chǔ)設(shè)施，達(dá)到戰(zhàn)場(chǎng)支援、網(wǎng)絡(luò)震懾等目的；APT組織甚至?xí)趹?zhàn)爭(zhēng)爆發(fā)至相持階段進(jìn)行輿論控制，利用消息差對(duì)敵進(jìn)行“認(rèn)2014年美軍頒布的《網(wǎng)絡(luò)空間作戰(zhàn)》聯(lián)合條令提出了網(wǎng)絡(luò)空間作戰(zhàn)火力、機(jī)動(dòng)部署、保障、防護(hù)六個(gè)環(huán)節(jié)融入聯(lián)合作戰(zhàn)的措施，建立了網(wǎng)絡(luò)空間聯(lián)合作戰(zhàn)規(guī)劃與協(xié)調(diào)的方法與要點(diǎn)，推動(dòng)網(wǎng)絡(luò)空間作戰(zhàn)融入聯(lián)合作戰(zhàn)邁入正014討會(huì)上提出，網(wǎng)絡(luò)戰(zhàn)可以在瞬間、同時(shí)、全球和連續(xù)地發(fā)生。要想在這一領(lǐng)域取得成功，就習(xí)總書(shū)記曾在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào)，網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量。因此，在國(guó)際關(guān)系緊張的大環(huán)境下，應(yīng)對(duì)可能到來(lái)的網(wǎng)絡(luò)戰(zhàn)，防御（10）增加研究開(kāi)發(fā)力度，探索新的網(wǎng)絡(luò)安全技術(shù)和方法，為應(yīng)對(duì)新型網(wǎng)絡(luò)特種作戰(zhàn)提016本年度綠盟科技捕獲或處置的境內(nèi)APT事件中，最終確認(rèn)來(lái)自海蓮花組織的事件占比最高。海蓮花組織在調(diào)整攻擊策略后，開(kāi)始更加主動(dòng)地對(duì)我國(guó)展開(kāi)網(wǎng)絡(luò)攻擊，嚴(yán)重危害國(guó)內(nèi)企織攻擊事件最為嚴(yán)重；勒索黑客組織也將我國(guó)大型企業(yè)作為攻擊目標(biāo)，本年度來(lái)自企業(yè)側(cè)的境外APT組織活動(dòng)方面，東歐、南亞、朝鮮半島以及中東地區(qū)的組織表現(xiàn)活躍。受俄烏戰(zhàn)爭(zhēng)影響，東歐方面的APT組織從年初至今始終保持攻擊為尤其頻繁；印度方面的APT組織延續(xù)了從去年年底開(kāi)始中巴合作項(xiàng)目表現(xiàn)出強(qiáng)烈興趣；朝鮮APT組織除延外，重點(diǎn)強(qiáng)化了針對(duì)加密貨幣行業(yè)的攻擊密度；中東方面的其與北塞浦路斯地區(qū)，從21年開(kāi)始持續(xù)攻擊土耳其研究所、軍工產(chǎn)業(yè)以及高校；另一個(gè)新的黑客小組，針對(duì)地中海周邊國(guó)家和東南亞國(guó)家的線上交易平臺(tái)發(fā)起長(zhǎng)期的竊密攻擊；綠盟科技還標(biāo)記了多個(gè)未確認(rèn)來(lái)源的攻擊者，這些攻擊者分別向俄羅斯、白俄羅斯、日本、塞浦0172022年綠盟科技APT線索發(fā)現(xiàn)數(shù)量統(tǒng)計(jì)可以看到，本年度大量APT線索發(fā)現(xiàn)于上半年的2月、4月和5月三個(gè)月份，這一現(xiàn)象察階段的行為，而4月至5月出現(xiàn)的線索則大多來(lái)自俄烏雙方黑客在網(wǎng)絡(luò)攻防對(duì)抗階段中的018rGKimsuky Gamedo TransparentTribeCNCDAc2sKimKnrGKimsuky Gamedo TransparentTribeCNCDAc2sKimKn2022年綠盟科技APT活動(dòng)捕獲時(shí)間線der。KimsukyMuddyWateMuddyWateActor220318Actor22 EvilnumSideWinderaaimsukyopyimsukytTribePatchworkiiKimsukyKimsukymsukyGamaredonDDordordKKamaredonamaredonCC PatchworkSideWinnDassLorDassLoronnonnusPsusueCopyMaterSiderDaeDaeuccnotnotHagHaggagaciussPasswordsPasswordGamaronGc53aredonareareLLGamaroGamaronspnspKimukyrr。SideCopyMMachetedacheteoreorec53c53sukyinderinderimsukyimsukyimsukyimsukyAct714deCopyKKuKimsu vilnum vilnumchwork DonotmsukyConfucKimsuiusKimsuSiEEuky Kimsuky。lorec53uky KimsukyamamLararoredoedoec5n3n3 SideWindermaredonDangerousPasswgerousPasswordordActor220331Actor220331從時(shí)間線分布圖可以看出，與俄羅斯國(guó)家利益密切相關(guān)的Gamaredon組織在2022年全年處于活躍狀態(tài)，其他與俄羅斯有關(guān)的組織如Lorec53也在上半年頻繁行動(dòng)；朝鮮方面的Kimsuky組織與DangerousPassword組織同樣長(zhǎng)期活躍，分別以韓國(guó)政府和虛擬貨幣產(chǎn)業(yè)為目標(biāo)進(jìn)行持續(xù)活動(dòng)；印度方面的SideWinder、Patchwork、Confucius等多個(gè)A019KonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinderKonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinder7%lorec537%Kimsuky2022年綠盟科技捕獲APT活動(dòng)歸屬組織統(tǒng)計(jì)groupKimsukyKimsukyKimsuky20% GamaredonDangerousPasswordlorec53SideWinderConfuciusSideCopyPatchworkEvilnumTransparentTribeMacheteDonotMuddyWaterActor220331HaggaActor220923MurenSharkCNCActor220318BitterActor210714Konni2022年6月22日，西北工業(yè)大學(xué)發(fā)布一則公開(kāi)聲明，表示該校遭受境外網(wǎng)絡(luò)攻擊。處置單位對(duì)該事件的調(diào)查顯示，美國(guó)國(guó)家安全局（NSA）下屬的特定入侵行動(dòng)辦公室（TAO）美國(guó)國(guó)家安全局是已知APT組織方程式辦公室則是具體的攻擊工具開(kāi)發(fā)者與攻擊活動(dòng)實(shí)施者。已披露的信息顯示，在本次對(duì)西北工業(yè)大學(xué)的攻擊中，TAO通過(guò)邊界設(shè)備漏洞利用、魚(yú)叉攻擊等方式獲取駐足點(diǎn)后，在目標(biāo)網(wǎng)絡(luò)020本年度，綠盟科技捕獲到多起海蓮花組織針對(duì)國(guó)內(nèi)企業(yè)或機(jī)構(gòu)的攻擊事件。海蓮花攻擊者在這一系列事件中使用了多種不同的入侵手段，積極嘗試使用軟件供應(yīng)鏈攻擊、邊界設(shè)備漏洞利用、泄露憑證利用、網(wǎng)絡(luò)釣魚(yú)等手段獲取目標(biāo)網(wǎng)絡(luò)內(nèi)的駐足點(diǎn)，再通過(guò)竊取初始訪問(wèn)節(jié)點(diǎn)中的憑證信息進(jìn)入目標(biāo)單位內(nèi)網(wǎng)，最終通過(guò)散播商業(yè)木馬或自制木馬竊取目標(biāo)域內(nèi)設(shè)備上述海蓮花攻擊模式并非在本年度首次出現(xiàn)，綠盟科技在去年就已監(jiān)控到使用該模式的多次攻擊行為。雖然攻擊者的具體實(shí)施路線會(huì)根據(jù)目標(biāo)網(wǎng)絡(luò)的狀態(tài)進(jìn)行調(diào)整，但這些事件依然暴露了可供辨識(shí)的一致攻擊特征。海蓮花攻擊者在這些攻擊過(guò)程中保持了高度的警覺(jué)性，能夠察覺(jué)防御方和處置方的調(diào)查行為并進(jìn)行實(shí)時(shí)響應(yīng)。這些事件也反映出海蓮花組織對(duì)我國(guó)企業(yè)或組織內(nèi)常見(jiàn)網(wǎng)絡(luò)環(huán)境的高度理解，該組織可能已構(gòu)建應(yīng)用于此類(lèi)攻擊活動(dòng)的完整對(duì)抗都通過(guò)郵件釣魚(yú)展開(kāi)，攻擊者往往通過(guò)構(gòu)建可信度極高的郵件內(nèi)容，誘騙高校教授等受害者訪問(wèn)偽裝成郵箱登錄頁(yè)面、學(xué)術(shù)會(huì)議網(wǎng)頁(yè)或論文提交頁(yè)面的水坑站點(diǎn)，再通過(guò)進(jìn)一步的社會(huì)工程學(xué)技術(shù)使受害者下載運(yùn)行木馬程序。此類(lèi)攻擊的最終目標(biāo)皆為竊取受害者主機(jī)中的高價(jià)值文件，綠盟科技已經(jīng)捕獲到多種能夠關(guān)聯(lián)至已知APT組織的竊4.上傳受害者信息5.下載惡5.下載惡意程序魚(yú)郵件3.打開(kāi)惡意鏈接，填寫(xiě)信息7.用戶(hù)主機(jī)被感染7.用戶(hù)主機(jī)被感染2.向目標(biāo)發(fā)送釣魚(yú)郵件意程序021受勒索組織競(jìng)爭(zhēng)白熱化的影響，包括Conti、Hive、Lapsu織在本年度積極招募攻擊手并拓展攻擊面，并開(kāi)始將目光投向我國(guó)大型企業(yè)。已處置的勒索受RaaS模式影響，當(dāng)前針對(duì)我國(guó)的勒索軟件攻擊在入侵形式上具有多樣性，取決于具體攻擊手的攻擊思路。但綠盟科技發(fā)現(xiàn)，本年度勒索事件中有較多入侵是通過(guò)已泄露的登錄憑證或邊界設(shè)備漏洞完成的。勒索組織的攻擊手開(kāi)始將注意力集中在近幾年頻發(fā)的企業(yè)數(shù)據(jù)泄露事件上，他們通過(guò)分析已泄露數(shù)據(jù)中包含的人員信息，將登錄憑證類(lèi)信息與工作單位類(lèi)信息相聯(lián)系，進(jìn)而嘗試進(jìn)入企業(yè)暴露在公網(wǎng)上的登錄入口，獲取訪問(wèn)企業(yè)內(nèi)網(wǎng)的渠道。勒索組織攻擊者還開(kāi)始關(guān)注近年頻發(fā)的云桌面、遠(yuǎn)程桌面等遠(yuǎn)程辦公工具的漏洞，通過(guò)漏洞掃描2022年第二季度，綠盟科技伏影實(shí)驗(yàn)室監(jiān)測(cè)到了一系列針對(duì)土耳其的網(wǎng)絡(luò)攻擊活動(dòng)?；聜愼徑M織的可觀測(cè)活動(dòng)出現(xiàn)于2021年已暴露的攻擊資源和欺騙手法表明，該組織已經(jīng)在針對(duì)高校和研究所的網(wǎng)絡(luò)間諜行動(dòng)中達(dá)成穆倫鯊的主要攻擊手法包括投遞釣魚(yú)文檔與攻擊線上服務(wù)，主要攻擊工具包括一種名為工具Donut制作的加載器木馬UniversalDonut。該組織的直接目的包括擴(kuò)充攻擊資源、滲透穆倫鯊攻擊者擅長(zhǎng)隱藏攻擊特征，通過(guò)劫持合法站點(diǎn)的方式，將攻擊流量偽裝成訪問(wèn)該站點(diǎn)的正常流量；同時(shí)通過(guò)拆分攻擊組件的方式，保證各階段載荷在非受控狀態(tài)下不產(chǎn)生攻1/murenshark/022調(diào)查顯示，已暴露的攻擊活動(dòng)只是該組織行動(dòng)的冰山一角，攻擊目標(biāo)與攻擊組件方面不2022年第二季度，綠盟科技伏影實(shí)驗(yàn)室捕獲了一起大規(guī)模的APT攻擊行動(dòng)DarkCasino。該行動(dòng)主要針對(duì)線上賭博平臺(tái)，目標(biāo)為通過(guò)攻擊此類(lèi)服務(wù)背后的活躍的線上交DarkCasino系列活動(dòng)持續(xù)時(shí)間長(zhǎng)、攻擊頻度高，受害者廣泛分布于地中海沿岸國(guó)家以及東南亞多個(gè)國(guó)家。攻擊者為該系列活動(dòng)進(jìn)行了長(zhǎng)時(shí)間的準(zhǔn)備，對(duì)主要攻擊流程與核心木馬程序進(jìn)行長(zhǎng)期迭代，并儲(chǔ)備了用于批量生成shellcode與隱寫(xiě)圖片的制作工具，保證攻擊活動(dòng)DarkCasino開(kāi)發(fā)者對(duì)攻擊流程構(gòu)建比較重視，他們使用一種覆寫(xiě)式側(cè)加載的技巧直接將合法dll文件構(gòu)建為帶有惡意代碼的側(cè)加載程序；使用一種經(jīng)典的VB套接023用了Evilnum的標(biāo)志性攻擊流程和開(kāi)發(fā)思路，一方面持續(xù)迭代自制的木馬程序與攻擊技術(shù)，Polonium會(huì)嘗試攻擊位于供應(yīng)鏈上游的IT公司，通過(guò)劫持供應(yīng)鏈的方式入侵位于供應(yīng)該組織在攻擊活動(dòng)中展現(xiàn)了較強(qiáng)的對(duì)抗能力，其主要后門(mén)程序CreepyDrive能夠使用024已披露的活動(dòng)中，Metador使用了名為metaMain和Mafalda的木馬程序，以及一種名為Cryshell的內(nèi)網(wǎng)穿透程序。Metador使用的木馬程序以框架的模式構(gòu)建，攻擊者可以根據(jù)目標(biāo)主機(jī)狀態(tài)靈活切換運(yùn)行模式和攻擊方式，能夠配合實(shí)現(xiàn)特殊的執(zhí)行和持久化方法，展現(xiàn)了較高的攻擊技術(shù)水平。Metador在攻擊活動(dòng)中大量使用代碼混淆、通信驗(yàn)證、延遲執(zhí)行等洞則包括造成了巨大影響的Log4Shell漏洞等。受部分高危N-day漏洞出現(xiàn)的影響，本年度），CharmingKitten組織早在一月初就開(kāi)始進(jìn)行Log4Shell漏洞掃描活動(dòng)，配合一種公開(kāi)的漏洞利用工具對(duì)帶有該漏洞的公網(wǎng)設(shè)備進(jìn)行入侵；Lazarus組織在今年2月開(kāi)始的一系列攻2022年5月，安全社區(qū)曝出一個(gè)新型Microsoftoffice0025由于該漏洞具備高可用性和形式特殊性，多個(gè)以網(wǎng)絡(luò)釣魚(yú)為主的APT組織迅速開(kāi)始構(gòu)建基于該漏洞的攻擊鏈。在該漏洞的0-day利用期間，綠盟科技觀測(cè)到被標(biāo)記為Actor220603的組織就開(kāi)始使用該漏洞攻擊白俄羅斯民間組織和個(gè)人；漏洞公開(kāi)后，TA570等組織也開(kāi)始但由于攻擊者通常需要針對(duì)此漏洞單獨(dú)開(kāi)發(fā)攻擊組件，多數(shù)釣魚(yú)文檔無(wú)法被關(guān)聯(lián)至已知APT本年度，東歐區(qū)域的多個(gè)主要APT組織都參與到了俄烏戰(zhàn)爭(zhēng)的網(wǎng)絡(luò)對(duì)抗當(dāng)中。俄羅斯APT組織Gamaredon在俄烏戰(zhàn)爭(zhēng)的準(zhǔn)備階段至相持階段持續(xù)活躍，扮演偵察兵的角色對(duì)烏克蘭方面軍事調(diào)動(dòng)進(jìn)行持續(xù)監(jiān)控；Sandworm組織則以攻擊手的身份參與到俄烏戰(zhàn)爭(zhēng)的爆發(fā)階段，使用多種數(shù)據(jù)擦除類(lèi)木馬進(jìn)行以破壞和癱瘓敵方關(guān)鍵設(shè)施為目標(biāo)的網(wǎng)絡(luò)攻擊；新興APT組織Lorec53則靈活切換攻擊角色，在俄烏戰(zhàn)爭(zhēng)的不同階段實(shí)施網(wǎng)絡(luò)偵察、數(shù)據(jù)破壞、同時(shí)，俄烏戰(zhàn)爭(zhēng)還催生了大量未確認(rèn)攻擊者身份的網(wǎng)絡(luò)攻擊事件，例如綠盟科技標(biāo)記的一個(gè)名為Actor220331的未知威脅行為者在戰(zhàn)爭(zhēng)爆發(fā)階段發(fā)動(dòng)了多起針對(duì)俄羅斯政府傳播部的攻擊活動(dòng)；另一個(gè)被國(guó)外安全公司標(biāo)記的未知組織則在戰(zhàn)爭(zhēng)爆發(fā)至4月中旬的時(shí)間段內(nèi)發(fā)起多次針對(duì)俄羅斯政府國(guó)防部和傳播部等關(guān)鍵設(shè)施的網(wǎng)絡(luò)攻擊。這些未知威脅行為者都掌握親俄黑客團(tuán)體Gamaredon是一個(gè)持續(xù)活躍的APT組織。該組織在俄烏戰(zhàn)爭(zhēng)的準(zhǔn)備階段擔(dān)任收集情報(bào)的職責(zé)，并且明顯增加了活動(dòng)頻率。已捕獲的事件表明，該組織從2021年下半年開(kāi)始對(duì)烏克蘭東部地區(qū)的政府部門(mén)、警方設(shè)施、軍事人員乃至大型企業(yè)進(jìn)行了廣泛的攻人員、地方公務(wù)人員等各類(lèi)可能持有高價(jià)值情報(bào)的人群。很明顯，該時(shí)期的Gamaredon組織專(zhuān)注于廣撒網(wǎng)的策略，積極收集一切有利于后續(xù)軍事行動(dòng)的情報(bào)。該組織在頓涅茨克、盧026面在該時(shí)期的軍事信息。這樣的攻擊行動(dòng)持續(xù)至第三該組織可以看作APT組織在戰(zhàn)爭(zhēng)初期主動(dòng)進(jìn)行角色切換的代表。俄烏戰(zhàn)組織表現(xiàn)出與Gamaredon組織類(lèi)似的活動(dòng)特征，以釣魚(yú)郵件和水坑站點(diǎn)為主要手段，大規(guī)027戰(zhàn)爭(zhēng)爆發(fā)后，Lorec53組織暫時(shí)停止了網(wǎng)絡(luò)間諜行動(dòng)，開(kāi)發(fā)了名為WhisperGate、3月下旬開(kāi)始，Lorec53同樣開(kāi)始扮演監(jiān)視者的角色，頻繁使用一組名為GrimPlant和Lorec53組織在俄烏戰(zhàn)爭(zhēng)爆發(fā)至今的整個(gè)歷程中，很好地?fù)?dān)當(dāng)了多種網(wǎng)絡(luò)攻擊角色，幫盡管印巴兩國(guó)關(guān)系較以往的危險(xiǎn)狀態(tài)相比出現(xiàn)一定的緩和，巴基斯坦方面的主要APT組織TransparentTribe（透明部落）在本年度同樣保持活躍，對(duì)包括印度政府、軍隊(duì)、教育機(jī)構(gòu)甚至個(gè)人的廣泛目標(biāo)進(jìn)行以網(wǎng)絡(luò)釣魚(yú)為主的行動(dòng)；另一APT組織SideCopy也在今年上半年積極實(shí)施對(duì)印度軍隊(duì)的各種釣魚(yú)攻擊，這些攻擊皆遵循028APT組織。Patchwork的本輪行動(dòng)從去年年底開(kāi)始持續(xù)到22年年初，在短暫休整后重新開(kāi)啟了一波從5月至年底的攻擊浪潮。本輪活動(dòng)中，Patchwork攻擊者依然大量使用該組織的本年度捕獲的一起Patchwork攻擊事件中，綠盟科技發(fā)現(xiàn)該組織開(kāi)始開(kāi)發(fā)使用一種新的BADNEWS變種木馬。與舊版本木馬相比，新版本程序增加了偽裝用地址，029try{...block1catch{...block2block3block4catch{...try{...block1catch{...block2block3block4catch{...本年度Confucius的活動(dòng)周期從2月開(kāi)始持續(xù)至年底，該組織攻擊者通過(guò)偽造各類(lèi)帶有巴基相比其他印度方面的APT威脅行為者，Confucius在攻擊手法和攻擊流程設(shè)計(jì)方面更有創(chuàng)造性。本年度Confucius攻擊者開(kāi)始使用合法網(wǎng)盤(pán)作為攻擊載荷中轉(zhuǎn)平臺(tái)，并在使用的主要木馬程序中加入各種主流對(duì)抗技術(shù)進(jìn)行反識(shí)別和反分析。本年度綠盟科技捕獲的一起Confucius行動(dòng)中，攻擊者投遞了一個(gè)該組織自制C++木馬的新版本，該版本修改了之前版本木馬程序暴露的特征點(diǎn)，并開(kāi)始使用控制流混淆來(lái)嘗試保護(hù)主要功能代碼，展示了block1->block2block1block1block2block2block1->block2block1->block3->block4trytry{...block1block2block2巴基斯坦方面的APT組織TransparentTribe（透明部落）延續(xù)了去年的活躍狀態(tài)，持續(xù)地向范圍廣泛的目標(biāo)群體發(fā)起網(wǎng)絡(luò)攻擊。本年度TransparentTribe繼續(xù)使用CrimsonRAT和obliqueRAT兩種標(biāo)志性攻擊組件實(shí)施攻擊行動(dòng)，其釣魚(yú)誘餌體裁則非常廣泛，包括軍方PPT演講稿、調(diào)查表格、照片等能容易讓受害者誤操作的文件。攻擊目標(biāo)方面，盡管本年度TransparentTribe的目標(biāo)群體廣泛分布于各行業(yè)領(lǐng)域，該組織的主要目標(biāo)仍為收集印度各重030本年度，受經(jīng)濟(jì)形式下行與無(wú)法緩和的朝韓關(guān)系影響，朝鮮方面再度提升了其在APT行這樣的高頻活動(dòng)暴露了朝鮮方面APT的更多細(xì)節(jié)。研究發(fā)現(xiàn)，朝鮮主要APT組織之間的界限正在變得模糊，多個(gè)組織出現(xiàn)共享攻擊資源和攻擊目標(biāo)的行為。繼2019年朝鮮方面兩大老牌組織Reaper與Kimsuky顯示關(guān)聯(lián)關(guān)系（https://blog.alyac.co.kr/2347）后，本年度Kimsuky被發(fā)現(xiàn)展開(kāi)了針對(duì)加密貨幣的直接攻擊，這使得其與另一知名朝鮮APT組織Lazarus在行為動(dòng)機(jī)方面產(chǎn)生了交集。這一現(xiàn)象也說(shuō)明，朝鮮方面的APT組織越來(lái)越重視在加密貨幣方面的攻勢(shì)，他們寄希望于在加密貨幣渠道仍具有較高獲利能力的區(qū)間內(nèi)，通過(guò)網(wǎng)本年度Kimsuky組織依舊保持極高的活躍度，對(duì)韓國(guó)政府與其他可能對(duì)朝鮮方面造成威綠盟科技在本年度觀測(cè)到的Kimsuky活動(dòng)主要包括兩種攻擊流程，一種流程以該組織常用的惡意宏文檔與BabyShark木馬為核心，另一種流程則融入了合法網(wǎng)盤(pán)地址與一種被031Kimsuky組織在2021年便開(kāi)始測(cè)試和使用這種基于KimAPosT的攻擊流程，并在今年該組織頻繁的攻擊。關(guān)聯(lián)事件顯示，Lazarus內(nèi)部為本輪攻擊活動(dòng)進(jìn)行了分工，有一個(gè)或多個(gè)小組頻繁使用既有攻擊工具維持高頻度的網(wǎng)絡(luò)釣魚(yú)攻擊，而另一小組則積極開(kāi)發(fā)使用新式本年度Lazarus的開(kāi)發(fā)小組開(kāi)始制作完善一種基于M1架構(gòu)的Mach-O可執(zhí)行文件木馬攻擊流程，以方便該組織同時(shí)對(duì)多個(gè)平臺(tái)的加密貨幣用戶(hù)展開(kāi)攻擊。該流程包括一種能夠編譯為多個(gè)平臺(tái)版本的釋放器木馬、根據(jù)目標(biāo)制作的pdf釣魚(yú)文件、后續(xù)的加載器木馬和下載本年度，中東方面的APT攻擊依然集中于地中海沿岸和美索不達(dá)米亞平原周邊地區(qū)，受綠盟科技發(fā)現(xiàn)，本年度土耳其與伊朗同時(shí)成為APT攻擊發(fā)起者與受害者。疑似具其背景的APT組織StrongPity在21年底開(kāi)始再次活躍，策劃了多起針對(duì)巴勒斯坦等鄰國(guó)的水坑釣魚(yú)攻擊，而未知來(lái)源的威脅行為者M(jìn)urenShark則在今年針對(duì)土耳其海軍展開(kāi)了一次本年度繼續(xù)攻擊約旦等鄰國(guó)，而該國(guó)也承受了一次本年度最嚴(yán)重的工控網(wǎng)絡(luò)攻擊事件，導(dǎo)致針對(duì)商業(yè)的APT組織活動(dòng)也使中東地區(qū)的多個(gè)國(guó)家飽受其擾。綠盟科技發(fā)現(xiàn)的名為DarkCasino的APT行動(dòng)中，攻擊者將地中海沿岸國(guó)家的線上現(xiàn)金流作為主要目標(biāo)，其中包括土耳其、以色列等國(guó)的線上交易平臺(tái)與在線娛樂(lè)平臺(tái)；綠盟科技還觀測(cè)到一個(gè)標(biāo)記為Actor220923的未知來(lái)源攻擊者，在第三季度發(fā)起了針對(duì)塞浦路斯證券交易所用戶(hù)的網(wǎng)絡(luò)釣032與其他APT組織不同的是，本年度CharmingKitten獲取對(duì)受害者主機(jī)會(huì)通過(guò)收集到的憑證，登錄受害者的Gmail、oCharmingKitten在本年度的攻擊活動(dòng)依然以憑證竊取和信息竊取為主CharmingKitten還會(huì)積極嘗試使用N-day漏洞，強(qiáng)化其攻擊能力。CharmingKitten是最早嘗試使用Log4Shell漏洞進(jìn)行大規(guī)模掃描的APT組織之一，在22年1月就開(kāi)始了對(duì)該地緣沖突永遠(yuǎn)是國(guó)家級(jí)APT組織的根本驅(qū)動(dòng)力。本年度大量出現(xiàn)的由地緣沖突驅(qū)動(dòng)的級(jí)的重要手段。俄烏網(wǎng)絡(luò)戰(zhàn)的事實(shí)也告訴我們，當(dāng)?shù)鼐夑P(guān)系惡化導(dǎo)致實(shí)體沖突爆發(fā)時(shí)，APT034根據(jù)綠盟科技伏影實(shí)驗(yàn)室的長(zhǎng)期觀測(cè)，2022年活躍勒索軟件攻擊事件，大部分來(lái)自綠盟科技伏影實(shí)驗(yàn)室對(duì)本年度活躍的勒索軟件木馬數(shù)量進(jìn)行了統(tǒng)計(jì)，發(fā)現(xiàn)這些木馬較多035在受害者國(guó)家分布方面可以看出，歐美國(guó)家為勒索軟件的重災(zāi)區(qū)，其中美國(guó)占比高達(dá)在勒索軟件受害者行業(yè)分布方面，政企、醫(yī)療、能源、交通、教育行業(yè)占據(jù)前50%，以036彩妝航空航天基礎(chǔ)設(shè)施政企基礎(chǔ)設(shè)施彩妝航空航天基礎(chǔ)設(shè)施政企基礎(chǔ)設(shè)施然后竊取目標(biāo)公司敏感數(shù)據(jù)以獲取經(jīng)濟(jì)效益為目的的黑客組織。因?yàn)長(zhǎng)ap組織創(chuàng)建的Telegram頻道中經(jīng)常使用葡萄牙語(yǔ)和英語(yǔ)宣布他們的攻擊目標(biāo)以及攻擊戰(zhàn)況，037Lapsus$組織主要通過(guò)社會(huì)工程學(xué)手法收集有關(guān)目標(biāo)組織業(yè)務(wù)運(yùn)營(yíng)的相關(guān)信息，使用各種方法獲取目標(biāo)組織的初始訪問(wèn)權(quán)限，例如部署密碼竊取程序、非法論壇購(gòu)買(mǎi)登錄憑據(jù)、收Lapsus$組織使用多種策略來(lái)發(fā)現(xiàn)其他憑據(jù)或入侵點(diǎn)以擴(kuò)展其訪問(wèn)權(quán)限，例如利用內(nèi)部Lapsus$組織還利用專(zhuān)門(mén)的IT基礎(chǔ)設(shè)施對(duì)目標(biāo)組織的敏感數(shù)據(jù)進(jìn)行遠(yuǎn)程下載以供將來(lái)勒Conti是一個(gè)俄羅斯勒索軟件團(tuán)伙，作為Ryuk的繼任者于2020年夏季開(kāi)始勒索活動(dòng)。Conti團(tuán)伙制造了多起攻擊事件，諸如攻陷并加密芯片制造商Advantech的重要數(shù)據(jù)，并要迫使該市關(guān)閉其網(wǎng)絡(luò)，其在線賬單支付系統(tǒng)、公用事業(yè)賬單和電子郵件等服務(wù)停擺。該市的網(wǎng)站、議會(huì)、警察部隊(duì)等均受到影響。然而，Conti團(tuán)伙性質(zhì)最為惡劣的攻擊莫過(guò)于針對(duì)愛(ài)爾蘭衛(wèi)生部HSE的攻擊，此次攻擊令其80%的醫(yī)療系統(tǒng)處于被加密狀態(tài)，此期間醫(yī)療保健0382022年3月，有安全研究人員披露了Con039040布他們將全力支持俄羅斯政府對(duì)烏克蘭的攻擊。他們還警告說(shuō)，如果有人組織了針對(duì)俄羅斯LOckBit勒索軟件于2019年9月首次被觀察到。經(jīng)過(guò)迭代更新的發(fā)展，會(huì)部署第一階段惡意軟件或以其他方式獲取目標(biāo)組織基礎(chǔ)設(shè)施內(nèi)的訪問(wèn)權(quán)限。然后他們將該通過(guò)安全研究人員提交漏洞報(bào)告的嚴(yán)重程度，以獲取1000到100萬(wàn)美元不等的獎(jiǎng)勵(lì)。這也進(jìn)勒索軟件的思路或想法提供賞金。目前，LOckBit的賞金類(lèi)別涵蓋各平臺(tái)漏洞、自身軟件041Hive勒索軟件于2021年6月首次被發(fā)現(xiàn)。根據(jù)通報(bào)，它已發(fā)展成為勒索軟件即服務(wù)運(yùn)行效率以及對(duì)抗能力大幅提升。在Rust版本的Hive軟件程序中，開(kāi)發(fā)者042早期的RaaS模式主要通過(guò)出售勒索軟件使用權(quán)、雇傭傳播者等方式實(shí)現(xiàn)，勒索軟件運(yùn)營(yíng)者與使用者之間的關(guān)系接近于交易或雇傭關(guān)系。這一時(shí)期的RaaS模式還將數(shù)據(jù)竊取和披他們還會(huì)在自己的網(wǎng)站中披露在攻擊活動(dòng)中獲取到的部分關(guān)鍵數(shù)據(jù)，并威脅受害者繳納一筆式。在“雙重勒索”的基礎(chǔ)上，勒索軟件運(yùn)營(yíng)者不再販賣(mài)軟件的使用權(quán)，而是將自身從具體的攻擊業(yè)務(wù)中完全剝離，以合作分成的形式招收滲透攻擊者加入勒索攻擊活動(dòng)中。這些滲透攻擊者可以使用自己的手段和資源入侵高價(jià)值的目標(biāo)，在目標(biāo)設(shè)備上投放勒索軟件運(yùn)營(yíng)者制作的勒索軟件完成攻擊。成功的勒索活動(dòng)產(chǎn)生的贖金將由勒索軟件運(yùn)營(yíng)者與攻擊者以一定比043本年度，綠盟科技伏影實(shí)驗(yàn)室觀測(cè)到RaaS模式在技術(shù)、模式、系統(tǒng)等多個(gè)方面出現(xiàn)了勒索軟件的運(yùn)營(yíng)已由簡(jiǎn)單的團(tuán)伙化逐漸發(fā)展為公司化，在Conti的泄露資料中不難發(fā)現(xiàn)伴隨LockBit3.0的問(wèn)世，其運(yùn)營(yíng)者推通過(guò)安全研究人員提交漏洞報(bào)告的嚴(yán)重程度，以獲取1000到100萬(wàn)美元不等的獎(jiǎng)勵(lì)。這也勒索軟件團(tuán)伙也在贖金支付方面謀求變化。勒索軟件團(tuán)伙目前的選擇的支付方式依然以加密貨幣為主，但支付加密貨幣追蹤公司和相關(guān)執(zhí)法部門(mén)表示比特幣是可以追蹤的，此外雖然門(mén)羅幣是一種隱私幣，但美國(guó)絕大多數(shù)加密貨幣交易所并不出售它。因此勒索團(tuán)伙開(kāi)始選擇將Zcash作為額外的支付選項(xiàng)，相當(dāng)于增加一層資金保障。Zcash是一種隱私幣，具有難追蹤的屬性，并且它目前仍在美國(guó)最受歡