2023年全球高级持续性威胁（APT）分析报告-培训课件.pdfVIP

主要观点 / 全球高级持续性威胁（APT）2023年中报告 主要观点 M A I N P O I N T S 2023 年上半年全球范围内，政府部门仍是 APT 攻击的首要目标，相关攻击事件占比为 30%，其次 是国防军事领域，相关事件占比 16%。与去年同期相比，教育、科研领域相关的攻击事件比例增高，占 比分别为 11% 和 9%。 2023 年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、 国防、卫生医疗等领域。 2023 年上半年，全球高级威胁活动呈现出以下特点：针对移动平台 iOS/Android 的 0day 攻击逐渐 增多，相关攻击团伙的技术实力积累雄厚或者背靠国家机器；路由器、防火墙等网络边界设备成为 APT 组织攻击的主要目标之一，如海莲花、APT28 通常会攻击一些存在漏洞的网络边界设备。被攻陷的网络 设备一方面可以作为 C2 的转发器，用于隐藏攻击者的真实 IP，另一方面也可以作为攻击入口进行更深 入的横向移动。 上半年内，我们观察到境外黑客组织在针对中国的 APT 攻击活动中大量使用了 0day 以及 Nday 漏洞。 6 月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用 iOS 系统中 iMessage 信息服务的 0-Click 0day 漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖 的国家级 APT 攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于 2019 年，且涉及国 内大量受害者。 2023 年上半年，在野 0day 漏洞的利用情况同比 2022 年有所上升，漏洞数量接近 30 个左右。在漏 洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势 微的情况，今年三家厂商在曝出的在野 0day 漏洞数量上呈现出真正意义上的三足鼎立。 全球高级持续性威胁（APT）2023 年中报告 摘要 / 全球高级持续性威胁（APT）2023年中报告 摘 要 ABSTRACT 2023 上半年， 威胁情报中心使用 威胁 对境内的 APT 攻击活动进行了全方位遥感 测绘。监测到国内大量 IP 地址与数十个境外 APT 组织产生过高危通信行为，疑似被攻击。广东省受境 外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地 区也存在一定数量的受害目标。 基于 威胁 的测绘分析，海莲花、毒云藤、Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus 等组织在 2023 上半年对我国攻击频率最高。我国境内疑似受其控制的 IP 地址比例分别为：毒云藤 27%，海莲花 15%，Winnti 14%，蔓灵花 8%，APT-Q-27 7%，响尾蛇 6%，Lazarus 6%。 本次报告通过综合分析 威胁 测绘数据、 红雨滴团队对客户现场的 APT 攻击线索排 查情况以及 威胁情报支持的全线产品告警数据，得出以下结论：2023 上半年，我国政府部门、能源、 科研教育行业遭受高级威胁攻击情况突出，受影响行业中排名前五的分别是：政府 33%，能源 15%， 科研教育 12%，金融商贸 11%，科技 7%。 2023 上半年 威胁情报中心收录了 177 篇高级威胁类公开报告，涉及 64 个已命名的攻击组织 或攻击行动。其中，提及率最高的五个 APT 组织分别是： Kimsuky 8.8%，Lazarus 8.0%，Group123 7.4%， SideCopy 5.6%，Gamaredon 4.3%。 2023 上半年全球 APT 活动的首要目标仍是政府部门和国防军事行业，相关攻击事件占比分别为 30% 和 16%，紧随其后的热点攻击行业是教育、科研、金融、医疗、通信等领域。 2023 上半年的在野漏洞利用中，以浏览器为攻击向量依然是主流趋势，Chrome、Safari 浏览器与 对应平台 Windows、macOS、iOS 下的提权逃逸漏洞占所有漏洞近 8 成。0day 漏洞利用逐渐成为勒索 团伙武器库的备选项。 威胁情报中心在多起利用重要漏洞的攻击行动披露后第一时间跟进调查， 发现有些攻击发起时间比预