《瑞星：2023中國網絡安全報告（81頁）.pdf》由會員分享，可在線閱讀，更多相關《瑞星：2023中國網絡安全報告（81頁）.pdf（81頁珍藏版）》請在三個皮匠報告上搜索。

1、北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司免責聲明免責聲明本報告由北京瑞星網安技術股份有限公司發布，綜合星核（能力和創新平臺）的數據及資料進行收集和整理，針對中國 2023 年 1 至 12 月的網絡安全現狀與趨勢進行統計、研究和分析。部分企業網絡安全事件援引互聯網媒體報道。本報告提供給媒體、公眾和相關政府及行業機構作為互聯網網絡安全狀況的介紹和研究資料，請相關單位酌情使用。如若本報告闡述之狀況、數據與其他機構研究結果有差異，請使用方自行辨別，瑞星公司不承擔與此相關的一切法律責任。北京瑞星網安技術股份有限公司北京瑞星網安技術

2、股份有限公司目錄一、惡意軟件與惡意網址.2（一）惡意軟件.2（二）惡意網址.7二、移動安全.8（一）2023 年手機病毒概述.8（二）2023 年 1 至 12 月手機病毒 Top5.9（三）2023 年手機漏洞 Top5.10三、企業安全.10（一）2023 年重大企業網絡安全事件.10（二）2023 年漏洞分析.26（三）2023 年全球 APT 攻擊事件解讀.31四、勒索軟件.39（一）Lockbit.40（二）Medusa.44（三）BlackCat.46（四）Akira/Megazord.48（五）Mimic.50（六）Qilin/Agenda.51五、2024 年網絡安全趨勢預測.

3、52（一）APT 攻擊仍將保持活躍，網絡釣魚依舊是其主流攻擊方式.52（二）勒索組織開始主攻高價值目標.53（三）人工智能技術的濫用將引發更多安全問題.53（四）攻擊者開始積極利用較新的安全漏洞.53（五）針對個人以及企業內特殊崗位的員工的攻擊將會加劇.54（六）個人用戶受影響的類“供應鏈投毒”事件開始冒頭.54專題：人工智能在網絡安全領域的風險和機遇.55一、人工智能帶來的社會問題.55二、在網絡安全領域的風險和機遇.58三、總結.66附：2023 年國內重大網絡安全政策法規.66北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司1報告摘要2023 年瑞星“星核”平臺共截獲病毒樣本總量

4、 8,456 萬個，病毒感染次數 9,052 萬次，病毒總體數量比 2022 年同期增長了 14.98%。廣東省病毒感染人次為 916.36 萬次，位列全國第一，其次為山東省及江蘇省，分別為 705.18 萬次及 622.59 萬次。2023 年瑞星“星核”平臺共截獲勒索軟件樣本 65.59 萬個，比 2022 年上漲了 13.24%，感染次數為 19.68 萬次；挖礦病毒樣本總體數量為 315.24 萬個，比 2022 年增長了 20.78%，感染次數為 21.62 萬次。勒索軟件感染人次按地域分析，北京市排名第一，為 5.13 萬次；挖礦病毒感染人次按地域分析，北京市以 3.8 萬次位列第

5、一。2023 年瑞星“星核”平臺在全球范圍內共截獲惡意網址（URL）總量 1.76 億個，比 2022 年增長了 88.24%，其中掛馬類網站 1.14 億個，釣魚類網站 6,206 萬個。在中國范圍內排名第一位為河南省，總量為 114.67 萬個，其次為香港和江蘇省，分別為 98.18 萬個和 68.21 萬個。2023 年瑞星“星核”平臺共截獲手機病毒樣本 100.43 萬個，比 2022 年下降了 33.95%，病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其中信息竊取類病毒占比 35.82%，位居第一。2023 年重大企業安全事件（26 起），其中包括：亞洲兩大數據中心遭

6、入侵，國內多家頭部企業數據被泄露；知名臺企微星疑遭勒索攻擊，被索要 2750 萬元巨額贖金；瑞星捕獲疑似國內黑客組織傳播病毒證據；國內企業遭遇竊密木馬釣魚攻擊；美國核研究實驗室遭黑客入侵，數十萬個人數據泄漏等。2023 年 CVE 漏 洞 利 用 率 Top10 包 括：CVE-2017-11882Office 遠 程 代 碼 執 行 漏 洞；CVE-2017-17215HG532 遠程命令執行漏洞；CVE-2017-0147WindowsSMB 協議漏洞 MS17-010 等；年 度最 熱漏 洞有CVE-2023-38831WinRAR遠 程代 碼執 行漏 洞；CVE-2023-21768W

7、indowsAncillaryFunctionDriverforWinSock權限提升漏洞；CVE-2023-32243WordPress 插件特權提升漏洞等。2023 年全球 APT 攻擊事件解讀（7 個）：威脅組織 SideCopy；威脅組織 Kimsuky；威脅組織 APT-37；威脅組織 BlindEagle；威脅組織 Saaiwc；威脅組織 SideWinder 和威脅組織 Patchwork。2023 年勒索軟件分析：在全球范圍內，多個知名企業均遭受過 LockBit 等勒索組織的攻擊，受害企業涉及廣泛，涵蓋金融服務、科技、能源、醫療、運輸等多個產業。瑞星根據勒索組織的破壞性、威脅

8、性，以及企業的損失程度，評選出 2023 年六大勒索軟件，并詳細介紹這些勒索軟件的技術手段、攻擊手法及相關勒索事件。趨勢展望：APT 攻擊仍將保持活躍，網絡釣魚依舊是其主流攻擊方式；勒索組織開始主攻高價值目標；攻擊者開始積極利用較新的安全漏洞；人工智能技術的濫用將引發更多安全問題；針對個人以及企業內特殊崗位的員工的攻擊將會加??；個人用戶受影響的類“供應鏈投毒”事件開始冒頭。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司2一、惡意軟件與惡意網址一、惡意軟件與惡意網址（一）惡意軟件1.2023 年病毒概述（一）惡意軟件1.2023 年病毒概述1.1 病毒總體概述1.1 病毒總體概述202

9、3 年瑞星“星核”平臺共截獲病毒樣本總量 8,456 萬個，病毒感染次數 9,052 萬次，病毒總體數量比 2022 年同期增長了 14.98%。報告期內，新增木馬病毒 5,312 萬個，為第一大種類病毒，占到總體數量的 62.81%；排名第二的為蠕蟲病毒，數量為 1,577 萬個，占總體數量的 18.65%；后門、灰色軟件、感染型病毒分別占到總體數量的 10.15%、6.36%和 1.18%，位列第三、第四和第五，除此以外還包括漏洞攻擊和其他類型病毒。圖：2023 年病毒類型統計根據瑞星“星核”平臺顯示，2023 年病毒感染次數比 2022 年下降了 27.03%，8 月份至 12 月份為病

10、毒感染高發期，均在 800 萬次以上。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司3圖：2023 年病毒樣本數量及感染次數1.2 病毒感染地域分析1.2 病毒感染地域分析報告期內，廣東省病毒感染人次為 916.36 萬次，位列全國第一，其次為山東省及江蘇省，分別為 705.18 萬次及 622.59 萬次。圖：2023 年病毒感染地域分布 Top10北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司42.2023 年病毒 Top102.2023 年病毒 Top10根據病毒感染人數、變種數量和代表性綜合評估，瑞星評選出 2023 年 1 至 12 月病毒 Top10：3.勒索軟

11、件和挖礦病毒3.勒索軟件和挖礦病毒勒索軟件和挖礦病毒在 2023 年依舊活躍，報告期內瑞星“星核”平臺共截獲勒索軟件樣本 65.59萬個，比 2022 年上漲了 13.24%；感染次數為 19.68 萬次，與 2022 年相比，上漲了 0.95%。瑞星通過對捕獲的勒索軟件樣本進行分析后發現，PornoAsset 家族占比 38.04%，成為第一大類勒索軟件，其次是 Agent 家族，占到總量的 20.34%，第三是 Blocker 家族，占到總量的 19.79%。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司5圖：2023 年勒索軟件家族分類勒索軟件感染人次按地域分析，北京市排名第一

12、，為 5.13 萬次，第二為廣東省 2.66 萬次，第三為山東省 1.56 萬次。圖：2023 年勒索軟件感染地域分布 Top10挖礦病毒樣本總體數量為 315.24 萬個，比 2022 年增長了 20.78%；感染次數為 21.62 萬次，與2022 年同期相比，下降了 72.89%。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司6挖礦病毒依然是企業網絡安全的主要威脅，瑞星根據病毒行為進行統計，評出 2023 年挖礦病毒Top10：挖礦病毒感染人次按地域分析，北京市以 3.8 萬次位列第一，江蘇省和廣東省分別位列二、三位，為 2.61 萬次和 1.22 萬次。圖：2023 年挖礦病

13、毒感染地域分布 Top10北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司7（二）惡意網址1.2023 年全球惡意網址概述（二）惡意網址1.2023 年全球惡意網址概述2023 年瑞星“星核”平臺在全球范圍內共截獲惡意網址（URL）總量 1.76 億個，比 2022 年增長了 88.24%，其中掛馬類網站 1.14 億個，釣魚類網站 6,206 萬個。美國惡意 URL 總量為 7,193 萬個，位列全球第一，其次是日本 840.79 萬個和法國 718.81 萬個，分別排在第二、三位，中國排在第四位，為 606.57 萬個。圖：2023 年全球惡意 URL 地域分布 Top102.20

14、23 年中國惡意網址概述2.2023 年中國惡意網址概述報告期內，瑞星“星核”平臺所截獲的惡意網址（URL）在中國范圍內排名，第一位為河南省，總量為 114.67 萬個，其次為香港和江蘇省，分別為 98.18 萬個和 68.21 萬個。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司8圖：2023 年中國惡意 URL 地域分布 Top10二、移動安全二、移動安全（一）2023 年手機病毒概述（一）2023 年手機病毒概述2023 年瑞星“星核”平臺共截獲手機病毒樣本 100.43 萬個，比 2022 年下降了 33.95%。病毒類型以信息竊取、遠程控制、惡意扣費、資費消耗等類型為主，其

15、中信息竊取類病毒占比 35.82%，位居第一；其次是遠程控制類病毒占比 27.27%，第三名是惡意扣費類病毒占比 19.61%。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司9圖：2023 年手機病毒類型比例（二）2023 年 1 至 12 月手機病毒 Top5（二）2023 年 1 至 12 月手機病毒 Top5北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司10（三）2023 年手機漏洞 Top5（三）2023 年手機漏洞 Top5三、企業安全三、企業安全（一）2023 年重大企業網絡安全事件（一）2023 年重大企業網絡安全事件2023 年，國內外重大網絡安全事件頻發，

16、網絡攻擊威脅著政府、能源、航空、金融等各個領域，眾多國家的政府部門及國際知名企業均遭到勒索入侵、漏洞利用、數據泄露等多種攻擊，引發了不同程度的損失。這些威脅不僅影響著各國的關鍵信息基礎設施建設和經濟民生，也給企業帶來了嚴重的經濟損失和聲譽影響。同時，由于俄烏沖突的僵持，巴以沖突的升級，導致眾多網絡攻擊組織參與到政治戰爭中，利用新型武器、新型手法向對立方的政府、職能機構及關鍵基礎設施發起大規模網絡攻擊。因此，2023年全球網絡安全形勢極其嚴峻，各國對于網絡空間威脅都面臨著極大的挑戰。瑞星根據行業特性、威脅影響及損失程度，列舉出在 2023 年發生的 26 起重大網絡攻擊事件：1.全球最大船級社遭

17、勒索攻擊，千艘船舶運營受影響1.全球最大船級社遭勒索攻擊，千艘船舶運營受影響2023 年 1 月 19 日，全球最大海事組織之一 DNV 發布聲明稱，該企業于 1 月 7 日晚間遭勒索軟北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司11件攻擊，ShipManager 軟件系統相關的 IT 服務器已經被迫關閉。其中寫道，“DNV 正與總計 70 家受到影響的客戶開展每日溝通，向其更新正在進行的取證調查結果。約 1000 艘船舶受到影響?！盌NV是世界上最大的船級社，即管理船舶與海上結構物建造與運營技術認證的組織。DNV 目前為超過13175 艘船舶及移動海上裝置提供服務，2021 年收

18、入超 20 億美元。圖：DNV 公司發布的聲明來源：https:/ 年 2 月 3 日，百慕大地區發生大面積停電，導致該島的互聯網與電話服務無法正常使用。當地政府稱，問題根源是百慕大唯一電力供應商 Belco 遭遇“嚴重事故”，并建議客戶“拔掉所有敏感的電氣設備”，避免工作人員的連夜搶修造成用電器損壞?；ヂ摼W狀態監測組織 NetBlocks 證實，在斷電之后數小時，島上互聯網連接已降至正常水平的 30%左右。截至百慕大當地時間 2 月 3日晚 8 點 30 分，Belco 公司已經為約 90%的客戶恢復了供電，到晚間 9 點 45 分所有線路均已恢復。圖：百慕大地區政府部門發布的通告來源：ht

19、tps:/ 128GB 數據，內含 FSB 監控計劃3.匿名者組織泄露俄羅斯運營商 128GB 數據，內含 FSB 監控計劃2023 年 2 月初，匿名者組織發布了 128GB 的文件，據稱這些文件是從俄羅斯互聯網服務提供商Convex 竊取的。被盜文件包含情報部門 FSB 進行的天羅地網監視活動的證據。據稱，這種監視活動被歸類為未經授權的竊聽、間諜活動和對平民的無證監視，這些都是違反該國法律的。匿名者組織表示數據是從 Convex 竊取的，該公司一直在運行一個名為 GreenAtom 的項目，該項目涉及安裝和維護監控設備以監控俄羅斯公民和私營公司的在線活動。通過綠色原子計劃，政府可以執行廣泛

20、的監視活動，使用 Convex 的設備來監視他們的進出流量。圖：匿名者組織發布的消息來源：https:/ 年 2 月 21 日，據報道稱，黑客入侵了位于亞洲的兩個數據中心，竊取了蘋果、優步、微軟、三星、阿里巴巴等科技公司的登錄憑證，并遠程訪問了這些組織的監控攝像頭。網絡安全公司Resecurity 最初在 2021 年 9 月確定了數據泄露；但是，直到 2023 年 2 月 20 日才向媒體透露了詳細信息。這些登錄信息是由一個名為“Minimalman”的威脅行為者在 Breachforums 論壇上泄露的。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司13圖：黑客泄露的被盜登錄憑據

21、來源：https:/ 160GB 敏感數據5.宏碁再次遭遇數據泄露，黑客出售 160GB 敏感數據2023 年 3 月 7 日，網絡犯罪論壇 BreachForums 上一個化名為 Kernelware 的黑客發布帖子，稱自己有從宏碁竊取的“各種機密資料”，共計 160GB，包括 655 個目錄和 2,869 個文件，打算通過中間人出售。資料包括機密幻燈片和演示文稿、員工技術手冊、Windows 鏡像格式文件、二進制文件、后端基礎設施數據、機密產品文檔、替換數字產品密鑰、ISO 文件、Windows 系統部署映像文件、BIOS 組件和 ROM 文件。而后宏碁證實，其一臺內部服務器存在安全漏洞，

22、其中包含本應提供給維修技術人員的公司機密數據。此前，宏碁在 2021 年 2 月成為 REvil 勒索軟件的受害者，要求支付 5000萬美元的贖金。圖：黑客在論壇上發布的帖子來源：https:/ 2750 萬元巨額贖金6.知名臺企微星疑遭勒索攻擊，被索要 2750 萬元巨額贖金2023 年 4 月 5 日，中國臺灣電腦零部件制造商微星（MSI）疑似遭到勒索軟件團伙 MoneyMessage攻擊，該團伙在其數據泄露網站上掛出了微星名字，并宣稱從微星的系統中竊取到 1.5TB 數據，包括軟件源代碼、私鑰、BIOS 固件文件和數據庫，并要求受害者支付 400 萬美元贖金（約合人民幣 2750萬元）。

23、MoneyMessage 威脅微星如果不滿足其要求，將在約五天內公布這些據稱被盜的文件。圖：微星被列入 MoneyMessage 團伙的勒索網站來源：https:/ Capita 遭黑客攻擊損失額達 2000 萬英鎊7.英國政府承包商 Capita 遭黑客攻擊損失額達 2000 萬英鎊2023 年 5 月 10 日，據英國衛報報道，為英國政府機構提供服務的 IT 外包公司 Capita 透露，因黑客攻擊該公司損失總額達 1500 萬至 2000 萬英鎊。Capita 公司此前宣布，2023 年 3 月末曾遭黑客攻擊，事件造成客戶、工作人員和供應商的數據泄露。該公司沒有透露黑客具體竊取到多少GB

24、 數據，也沒有公開受到影響的客戶、供應商和內部員工數量。Capita 的股價已經從 3 月 30 日（首次披露攻擊事件的前一天）的高位 38.64 英鎊下跌超 17%，下探至昨天收盤的 32.98 英鎊。來源：https:/ 年 5 月 11 日，意大利數個官方網站遭到黑客大規模 DDoS 服務器攻擊癱瘓，包括意大利參議院、意大利國防部，意大利國家衛生所等 7 家重要機構官網臨時宕機，整整 4 個小時的時間內，用戶無法訪問。隨后，俄羅斯黑客組織 Killnet 宣布對整起網絡攻擊事件負責，并公布了一份黑掉的意大利網站名單。Killnet 黑客組織明確將這次網絡攻擊稱為“襲擊意大利”行動。圖：K

25、illnet 公布被黑的意大利網站名單來源：https:/ 年 6 月 23 日，全球最大的兩家航空公司美國航空(AmericanAirlines)和西南航空(SouthwestAirlines)披 露 了 一 起 數 據 泄 露 事 件。泄 露 原 因 是 航 空 飛 行 員 管 理 招 聘 平 臺PilotCredentials 在 4 月 30 日遭遇了黑客入侵，并竊取了飛行員申請人及飛行員學員招聘過程中提供的個人信息文件。美國航空公司表示，此次事件導致至少 5745 名飛行員和申請人的數據被泄露，西南航空公司報告的數據泄露總數為 3009 人。泄露的數據涉及到了一些個人信息，例如姓名、

26、社保號碼、駕駛執照號碼、護照號碼、出生日期、飛行員證書號碼以及其他政府頒發的身份證號等。來源：https:/ 年 6 月 27 日，Clop 在其數據泄露網站上列出了西門子能源公司，并表示盜取了該公司的數據。西門子能源公司的一位發言人證實 Clop 勒索軟件利用 CVE-2023-34362 的 MOVEit 傳輸零日漏洞入侵了西門子。不過西門子能源公司表示，目前暫時還沒有關鍵的數據被盜，業務運營也沒有受到影響，他們在得知這一事件后也立即采取了行動。除了西門子能源公司，Clop 還聲稱利用 MOVEit傳輸系統盜取了工業巨頭施耐德電氣的數據。圖：Clop 聲稱盜取了西門子能源和施耐德電氣數據來

27、源：https:/ 年 7 月 11 日，微軟披露了一個高危 0day 漏洞，編號為 CVE-2023-36884，該漏洞存在于多個 Windows 系統和 Office 產品中。微軟發布緊急公告稱，已發現有俄方背景的 APT 組織正在利用該漏洞以北約峰會名義對北美及歐洲國家的國防和政府部門發起攻擊。攻擊者會利用 CVE-2023-36884漏洞來構造惡意的 Office 文檔，并通過郵件等方式進行傳播，以誘導受害者打開郵件并下載文檔。一旦文檔被打開，會立刻執行其中的惡意代碼，受害者將被遠程攻擊。瑞星已經為該漏洞利用代碼創建了病毒簽名，相關的惡意文檔都已經可以被檢測。北京瑞星網安技術股份有限公

28、司北京瑞星網安技術股份有限公司17圖：瑞星產品已可檢測并查殺相關病毒來源：http:/ 年 7 月 24 日，武漢市應急管理局發布聲明稱，該局所屬武漢市地震監測中心遭受境外組織的網絡攻擊。這是繼 2022 年 6 月份西北工業大學遭受境外網絡攻擊后又一具體案例。國家計算機病毒應急處理中心和 360 公司組成的專家組發現，此次網絡攻擊行為由境外具有政府背景的黑客組織和不法分子發起，初步證據顯示對武漢市地震監測中心實施的網絡攻擊來自美國。來源：https:/ Windows 更新、勒索、開后門13.“大頭”勒索軟件三宗罪：偽裝 Windows 更新、勒索、開后門7 月 27 日，瑞星威脅情報中心捕

29、獲名為“大頭”的勒索軟件并發布免費解密工具。通過分析發現，“大頭”勒索軟件疑似偽裝成虛假的 Windows 更新或 Word 安裝程序，誘導受害者下載并進行傳播，其不僅會加密用戶磁盤文件，還會安裝開源的竊密后門WorldWindStealer，收集受害者電腦內文件、圖片、音頻、主機軟硬件版本、瀏覽器等各類信息，回傳給攻擊者。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司18圖：被勒索軟件修改后的屏幕壁紙來源：http:/ 月 2 日，瑞星威脅情報中心通過瑞星 HFS 服務器監控平臺發現，疑似國內病毒團伙利用 HFS服務器傳播病毒，該團伙利用的 IP 地址為：119.91.152.xx

30、x:4442，在這個 HFS 服務器下，存有多個惡意文件，其中“srys.exe”文件的點擊量已經過萬，不止釋放 Farfli 后門程序，還釋放 DarkKomet遠控木馬，對受害主機進行控制桌面、記錄鍵盤、截取屏幕、盜取文件及其他遠程控制等操作。圖：病毒團伙 IP 地址下的多個惡意文件來源：http:/ MOVEit 漏洞，泄露銀行 8 萬名儲戶的信息15.普華永道踩坑 MOVEit 漏洞，泄露銀行 8 萬名儲戶的信息2023 年 8 月 14 日，波多黎各自治區最大的銀行人民銀行向緬因州司法部長提交了一份客戶信息泄露報告。該報告指出，由于供應商普華永道使用的 MOVEit 軟件存在安全漏洞

31、，導致銀行82217 名儲戶的個人信息被泄露。MoveIt 作為軟件公司 ProgressSoftware 旗下一款產品，是被多國企業和政府客戶廣泛使用的文件共享工具。由于其產品本身存在漏洞，被俄羅斯勒索軟件組織 Clop發現并進行攻擊，引發多個企業出現數據泄露的危機。圖：波多黎各人民銀行向用戶發送的通知來源：https:/ 數據泄露，科技中心受打擊16.香港數碼港遭勒索攻擊：400GB 數據泄露，科技中心受打擊2023 年 9 月初，香港科創中心數碼港已就網絡安全漏洞向警方和香港隱私監管機構上報。勒索軟件組織 Trigona 聲稱，已從數碼港竊取超過 400GB 數據，要求支付 30 萬美元

32、（約合港幣 235 萬元）才能歸還。數碼港表示，他們在 8 月中旬發現一些計算機文件已被鎖定，懷疑一名未經授權的第三方已入侵了他們的計算機系統。香港網絡安全專家稱被竊數據包括數碼港高管的個人信息，比如身份證復印件、簡歷、銀行賬戶詳細信息和結婚證，同時專家表示，數碼港此次遭受攻擊有三種可能的形式釣魚郵件、數據庫漏洞和遠程桌面訪問。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司20圖：香港數碼數據泄露事件被披露來源：https:/ 年 9 月初，HackRead 網站披露，全 球娛樂和酒店業巨頭米 高梅國際酒店集團（MGMResrtsInternational）遭到勒索軟件攻擊，其網站、

33、預訂系統和酒店電子鑰匙卡系統受到嚴重影響。從惡意軟件存儲庫 vx-underground 發布的推文來看，此次攻擊活動幕后黑手是 ALPPV 勒索軟件集團。安全研究人員稱針對米高梅使用的攻擊技術是網絡釣魚。雖然每中斷一分鐘，米高梅就會損失一分錢，但美高梅集團似乎已經決定將其所有系統暫時下線。再加上預訂及其網站仍然處于癱瘓狀態，美高梅會蒙受巨大的經濟損失。圖：米高梅國際酒店集團發布的公告來源：https:/ 10 萬份個人信息可能被泄露18.馬自達服務器遭入侵，超 10 萬份個人信息可能被泄露2023 年 9 月 15 日，汽車公司馬自達表示，該公司內部系統服務器遭到外部入侵，導致公司員工及合作

34、方人員的姓名及電話號碼共計約 104732 份信息可能被泄露。馬自達公司稱，截至目前沒有北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司21發現個人信息遭到濫用的情況，可能被泄露的信息中不包含顧客信息。馬自達已就此事向警方報案，并向個人信息保護委員會進行了必要的報告。馬自達表示，將采取一切可能的措施防止事件再次發生。圖：馬自達汽車公司發布的公告來源：https:/ CyberAv3ngers 宣稱關閉 200 個以色列加油站19.黑客組織 CyberAv3ngers 宣稱關閉 200 個以色列加油站2023 年 10 月 15 日，據據伊朗塔斯尼姆通訊社(Tasnim)新聞社報道，黑客

35、組織 CyberAv3ngers聲稱對以色列著名加油站控制解決方案提供商 ORPAKSystems 的大規模網絡攻擊負責。攻擊者在他們的 Telegram 頻道上發布了被盜的數據庫。據報道，網絡攻擊導致以色列 200 個汽油泵關閉，進而使得特拉維夫和海法等地多個加油站關閉。CyberAv3ngers 還在其 Telegram 頻道上發布了一些加油站閉路電視攝像機的文件和錄音。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司22圖：攻擊者發布的加油站安全攝像頭圖像來源：https:/ 年 10 月 20 日，瑞星威脅情報中心捕獲到國內企業被投遞竊密木馬的釣魚攻擊活動，通過分析發現，攻擊者

36、偽造了虛假的法律訴訟文件和采購訂單，發送給目標企業的多位高管人員，以此來吸引目標點擊釣魚郵件附件。附件中嵌入了目前非常流行的一種商業竊密木馬，為 FormBook4.1版本，能夠竊取瀏覽器、郵箱等敏感信息，同時具備遠程控制功能，具有很強的威脅性。圖：偽裝成法律訴訟文件的釣魚郵件來源：https:/ 年 11 月 9 日，瑞星威脅情報中心捕獲到一起“銀狐”木馬團伙利用微信群傳播病毒的事件。通過分析發現，此次傳播的木馬病毒偽裝成10 月新政財會人員薪資補貼調整新政策文件壓縮包，通過微信群傳播，誘惑性較強，一旦有人使用電腦登錄微信并打開了該壓縮包，就會面臨病毒入侵的風險。圖：微信群中傳播的病毒文件來

37、源：https:/ 年 11 月 29 日，瑞星威脅情報中心捕獲到一個名為“Enmity”的勒索軟件，其不僅使用了復雜的加密方式，并且讓受害者在拿到了密鑰的情況下，也無法解鎖文件。同時，攻擊者會讓受害者先提供一個小于 1 或 2MB 的文件進行解密測試，從心理上對受害者施壓，讓他們相信只要支付贖金就能恢復文件。一旦中招，該勒索軟件就會加密電腦內文檔、照片、檔案、數據庫、PDF 等各類文件。圖：攻擊者發送的勒索信來源：https:/ 年 11 月 22 日，美國能源部運營的核研究中心、愛達荷國家實驗室(INL)確認遭受網絡攻擊，11 月 20 日黑客組織 SiegedSec 宣布已獲得 INL

38、數據的訪問權限，其中包括“數十萬”員工、系統用戶和公民的詳細信息。SiegedSec 在 Telegram 上公布了 INL 內部用于文檔訪問和公告創建的工具屏幕截圖，作為攻擊得手的證據，同時還展示了在 INL 系統上發布的自定義公告，以便讓 INL的每個人都知道此次網絡攻擊。圖：SiegedSec 在黑客論壇上發布的公告來源：https:/ HSE 遭勒索軟件攻擊24.斯洛文尼亞最大電力公司 HSE 遭勒索軟件攻擊2023 年 11 月 22 日，斯洛文尼亞電力公司（HSE）遭受勒索軟件攻擊，其系統和加密文件遭到破壞，該事件并未影響電力生產。HSE 于 27 日表示：“主要電站運營和交易系統

39、已投入運行，與國家電網運營商的連接已恢復，整個通信和 IT 基礎設施將恢復平穩運行，不會產生重大負面后果，前景良好?！眻蟮婪Q，HSE 將密碼存儲在“云”中，攻擊者從那里收集密碼并鎖定訪問權限。根據最新的信息，此次攻擊的幕后黑手是與外國有聯系的攻擊者，并使用了 Rhysida 勒索軟件病毒。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司25圖：HSE 公司收到的勒索信來源：https:/ 30 萬華人血緣數據25.美國知名基因測試公司被黑，或泄露 30 萬華人血緣數據2023 年 12 月 4 日，美國基因測試公司 23andMe 宣布，黑客利用客戶的舊密碼，侵入了大約 1.4萬個 2

40、3andMe 用戶帳戶，成功獲取了大約 690 萬份用戶檔案的個人信息。一名黑客在地下論壇發帖稱，他們獲取了 23andMe 用戶的檔案信息。帖子公布了約 100 萬猶太裔和 30 萬華裔的樣例用戶數據，并對外報價 1-10 美元單個賬號數據進行售賣。圖：23andMe 數據首次泄露來源：https:/ EDR 人工智能技術還原“Mimic”勒索軟件攻擊全過程26.瑞星 EDR 人工智能技術還原“Mimic”勒索軟件攻擊全過程2023 年 12 月 15 日，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，其不僅利用了合法文件搜索工具 Everything 的 API，來快速搜索想

41、要加密的目標文件，還使用了已經泄露的Conti 勒索軟件源代碼，在其基礎上增加了訪問共享與端口掃描等功能，提高了勒索軟件開發效率，并保證了加密的成功機率和穩定性。同時，“Mimic”勒索還具有關閉防火墻、防止用戶關閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。瑞星 EDR 將整個攻擊過程進行了溯源和梳理。圖：被“Mimic”勒索軟件攻擊后的勒索信來源：https:/ 年漏洞分析1.2023 年 CVE 漏洞利用率 Top10（二）2023 年漏洞分析1.2023 年 CVE 漏洞利用率 Top10報告期內，從收集到的病毒樣本分析來看，微軟 office 漏洞依然穩居首位。長久以來CVE-2

42、017-11882、CVE-2018-0802 以漏洞穩定性、易用性和用戶群體廣泛性一直是釣魚郵件攻擊者首選的利用漏洞，這也從側面印證了釣魚攻擊一直以來被作為網絡攻擊中的主要手段之一。近兩年物聯網應用發展勢態較強，致使物聯網設備漏洞備受關注，其中 CVE-2017-17215 漏洞長期位居前列為 IOT 僵尸網絡病毒青睞,曾在 2018 年黑客利用該漏洞在一天之內建立了 18000 臺設備構成的僵尸網路。Mirai、Satori、Brickerbot、Moz 至今仍將該漏洞作為傳播利用的一種方式。CVE-2017-0147windowsSM 協議漏洞(MS17-010 永恒之藍漏洞)在 201

43、7 年爆發，至今已經過去 6北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司27年時間，然而它仍是目前被病毒利用最多的安全漏洞之一。該漏洞之所以有著居高不下的利用率，是由于在大多數企業內網環境中依然存在大量的終端設備尚未修復該漏洞，進入內網環境的病毒程序仍可透過該漏洞輕松地在內網環境中傳播。2023 年全球共披露 26447 個漏洞，相比去年增長 5.2%,其中不乏已被廣泛利用的漏洞。如:CVE-2023-23397，這是一個值得注意的特權提升漏洞，其適用于 Windows 的 MicrosoftOutlook電子郵件客戶端的所有受支持版本，允許攻擊者繞過身份驗證措施，對機密數據進行未

44、經授權訪問，攻擊者只需發送一封電子郵件即可啟動它，目前已被 APT28 在內的多個攻擊組織應用。瑞星根據漏洞被黑客利用程度進行分析，評選出 2023 年 1 至 12 月份漏洞 Top10：1.1CVE-2017-11882Office 遠程代碼執行漏洞1.1CVE-2017-11882Office 遠程代碼執行漏洞又稱公式編輯器漏洞，為 Office 內存破壞漏洞，影響目前流行的所有 Office 版本，攻擊者可利用該漏洞以當前登錄的用戶身份執行任意命令。漏洞出現在模塊 EQNEDT32.EXE 中，該模塊為公式編輯器，在 Office 的安裝過程中被默認安裝，該模塊以 OLE 技術將公式嵌

45、入在 Office 文檔內。由于該模塊對于輸入的公式未作正確的處理，攻擊者可以通過刻意構造的數據內容覆蓋掉棧上的函數地址，從而劫持程序流程，在登錄用戶的上下文環境中執行任意命令。1.2CVE-2017-17215HG532 遠程命令執行漏洞1.2CVE-2017-17215HG532 遠程命令執行漏洞2017 年 11 月份 CheckPoint 團隊報告了國內某產品的遠程命令執行漏洞(CVE-2017-17215),漏洞原理是利用 upnp 服務器中的注入漏洞來實現遠程執行任意代碼，已發現的針對該漏洞的攻擊利用北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司28是 Mirai 的升級

46、變種。1.3CVE-2017-0147WindowsSMB 協議漏洞 MS17-0101.3CVE-2017-0147WindowsSMB 協議漏洞 MS17-0102017 年 5 月份 ShadowBrokers 公布了他們從 EquationGroup 竊取的黑客工具，其中包含“永恒之藍”等多個 MS17-010 漏洞利用工具。MS17-010 對應 CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 等多個 SMB 漏洞。這份工具的泄露直接導致了后來 WannaCry 病

47、毒的全球爆發，包括中國在內的至少 150 多個國家，30 多萬用戶中招，并且金融、能源、醫療等眾多行業皆受影響，據統計其造成損失高達 80 億美元。此后各種利用 MS17-010 漏洞的病毒瘋狂增長，影響深遠。1.4CVE-2018-0802 公式編輯器漏洞1.4CVE-2018-0802 公式編輯器漏洞該漏洞與它的上一代 CVE-2017-11882 一脈相承，同屬于 MicrosoftOffice 中的 EQNEDT32.EXE公式編輯器的漏洞。該漏洞又被稱為“噩夢公式”,源于對象在內存中的處理不當（微軟 Office 內存破壞漏洞），當用戶打開特制的嵌有公式編輯器對象的 Office 文

48、檔時會直接觸發漏洞導致任意代碼執行。1.5CVE-2010-0188TIFF 圖像處理緩沖區溢出漏洞1.5CVE-2010-0188TIFF 圖像處理緩沖區溢出漏洞該漏洞為 AdobeReader 和 AcrobatTIFF 圖像處理緩沖區溢出漏洞，Adobe 在解析 TIFF 圖像文件的時候，使用了開源庫代碼(libtiff)存在堆棧溢出的 bug，漏洞出在對 DotRange 屬性的解析上。該漏洞被多個 APT 組織在攻擊行動中所使用。1.6CVE-2009-0927AdobeAcrobat 和 ReaderCollabgetIcon()JavaScript 方式棧溢出漏洞1.6CVE-2

49、009-0927AdobeAcrobat 和 ReaderCollabgetIcon()JavaScript 方式棧溢出漏洞該漏洞是 AdobeAcrobat 和 Reader 沒有正確地處理 PDF 文檔中所包含的惡意 JavaScript，如果向 Collab 對象的 getIcon()方式提供了特制參數，就可以觸發棧溢出。黑客可以成功利用這個漏洞允許以當前登錄用戶的權限完全控制受影響的機器。1.7CVE-2010-2568WindowsLNK 快捷方式漏洞1.7CVE-2010-2568WindowsLNK 快捷方式漏洞該漏洞影響 WindowsXPSP3、Server2003SP2、V

50、istaSP1 和 SP2、Server2008SP2 和 R2 及 Windows7。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司29Windows 沒有正確地處理 LNK 文件，特制的 LNK 文件可能導致 Windows 自動執行快捷方式文件所指定的代碼。1.8CVE-2006-0003RDS.Dataspace 遠程代碼執行漏洞1.8CVE-2006-0003RDS.Dataspace 遠程代碼執行漏洞該漏洞為 RDS.DataspaceActiveX 控件中存在未指明的漏洞，它包含在 ActiveX 數據對象(ADO)中，并分布在 Microsoft 數據訪問組件(MDA

51、C)2.7 和 2.8 中，該漏洞允許遠程攻擊者通過未知的攻擊媒介執行任意代碼。1.9CVE-2022-46689IOS16 系統字體漏洞1.9CVE-2022-46689IOS16 系統字體漏洞該漏洞影響 iOS16.2 以下的版本未越獄的設備，利用該漏洞無需越獄也能夠修改系統字體。當前未被證實有其他安全危險，而在 IOS16.2 以后已經被官方更新并修復。1.10CVE-2015-0003Win32k 提權漏洞1.10CVE-2015-0003Win32k 提權漏洞該漏洞是由于 Windows 的 win32k.sys 模塊存在對用戶層參數驗證不完全，導致其存在窗口處理函數的空指針解引用(

52、NullPointerDereference)異常問題。如果對漏洞有效利用，攻擊者可以實現權限提升。2.2023 年最熱漏洞分析2.2023 年最熱漏洞分析2.1CVE-2023-38831 WinRAR 遠程代碼執行漏洞2.1CVE-2023-38831 WinRAR 遠程代碼執行漏洞該漏洞是由于打開壓縮包查看其中的文件時，WinRAR 沒有驗證同名文件夾的文件類型，這將導致自動執行文件夾內的批處理腳本。攻擊者可利用該漏洞構造惡意的壓縮文件，通過誘導用戶打開壓縮文件中的帶有 payload 的惡意文件遠程，從而執行任意代碼，允許攻擊者創建惡意.RAR 和.ZIP存檔。2.2CVE-2023-

53、21768WindowsAncillaryFunctionDriverforWinSock 權限提升漏洞2.2CVE-2023-21768WindowsAncillaryFunctionDriverforWinSock 權限提升漏洞AncillaryFunctionDriverforWinSock(簡稱 afd)是 Windows 系統網絡部分的核心工具，該漏洞北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司30是由于應用程序沒有正確地在 WindowsAncillaryFunctionDriverforWinSock 中施加安全限制，從而導致本地攻擊者可以繞過安全限制，將權限提升至

54、SYSTEM。2.3CVE-2023-32243WordPress 插件特權提升漏洞2.3CVE-2023-32243WordPress 插件特權提升漏洞WordPress 博客平臺上一款名為“EssentialAddonsforElementor”的插件被 Patchstack 的網絡安全專家曝出安全漏洞。攻擊者可以通過該漏洞在得知用戶名的情況下重置任何用戶的密碼，從而獲得對任意用戶的未經授權訪問，包括具有管理權限的用戶。2.4CVE-2023-23397MICROSOFTOUTLOOK 權限提升漏洞2.4CVE-2023-23397MICROSOFTOUTLOOK 權限提升漏洞該漏洞可以讓

55、未經身份驗證的攻擊者通過發送特制的電子郵件，導致受害者連接到攻擊者控制的外部 UNC 位置，造成受害者的 Net-NTLMv2 散列泄露給攻擊者。被竊的 NTLM 哈希值可以被用于執行 NTLM 中繼攻擊，最終實現權限提升以訪問其他內部網絡。2.5CVE-2023-21752WindowsBackupService 權限提升漏洞2.5CVE-2023-21752WindowsBackupService 權限提升漏洞該漏洞是微軟在 2023 年 1 月份修復的一個 WindowsBackupService 任意文件刪除漏洞。WindowsBackupService 為計算機提供備份和還原的功能。

56、由于 Windows 備份引擎在文件夾權限驗證時處理不當，攻擊者可構造惡意代碼實現任意文件刪除，進而導致特權提升。2.6CVE-2023-22515AtlassianConfluence 權限提升漏洞2.6CVE-2023-22515AtlassianConfluence 權限提升漏洞Confuence 是一個專業的企業知識管理與協同軟件，也可以用于構建企業 wiki。由于AtlassianConfluenceDataCenter 和 ConfluenceServer 存在權限提升漏洞，而該漏洞由于屬性覆蓋，因此會導致未經身份驗證的遠程攻擊者，可以重新執行 Confluence 安裝流程，并增

57、加管理員賬戶，從而訪問 Confluence 實例。2.7CVE-2023-21716MicrosoftWord 遠程代碼執行漏洞2.7CVE-2023-21716MicrosoftWord 遠程代碼執行漏洞該漏洞是 MicrosoftWord 的 RTF 解析器（wwlib）中的一個遠程代碼執行漏洞。攻擊者可以通過制作包含大量字體表項的 RTF 文檔，向目標用戶發送郵件，通過電子郵件、即時消息等方式，誘導用戶打開郵件中包含的惡意 RTF 文檔。成功利用此漏洞，可使攻擊者獲得在目標系統上以當前用戶的權限執行任意代碼的能力。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司312.8CVE

58、-2023-36884OfficeandWindowsHTML 代碼執行漏洞2.8CVE-2023-36884OfficeandWindowsHTML 代碼執行漏洞該漏洞允許遠程攻擊者在目標系統上執行任意代碼。由于在處理跨協議文件導航時對用戶提供的輸入驗證不足，導致遠程攻擊者可以通過誘騙受害者打開特制文件而觸發漏洞，并在系統上執行任意代碼。2.9CVE-2023-23376Windows 通用日志文件系統驅動程序特權提升漏洞2.9CVE-2023-23376Windows 通用日志文件系統驅動程序特權提升漏洞該漏洞存在于 Windows 通用日志文件系統驅動程序中，是一個特權提升漏洞。經過身份

59、認證的攻擊者可通過執行特制程序來利用此漏洞，從而在目標系統上以 SYSTEM 權限執行任意代碼。該漏洞可與 RCE 漏洞鏈接在一起，以傳播惡意軟件或勒索軟件。2.10CVE-2023-4863GoogleChrome 堆緩沖區溢出漏洞2.10CVE-2023-4863GoogleChrome 堆緩沖區溢出漏洞WebP 是由 Google 開發的一種圖像格式，可為網絡圖像提供有損和無損壓縮。該漏洞是由于 WebP模塊存在缺陷，攻擊者通過誘導用戶訪問惡意網站來觸發該漏洞，最終導致在目標系統上任意執行代碼。（三）2023 年全球 APT 攻擊事件解讀（三）2023 年全球 APT 攻擊事件解讀202

60、3 年，全球各國政府部門仍是 APT 攻擊的首要目標，大多數 APT 組織都具有政府背景，以遠程控制、分發惡意軟件、竊取機密信息為目的，參與到地緣政治沖突中，同時這些攻擊組織常常利用魚叉式網絡釣魚郵件來攻擊受害者，有目的地針對政府部門、國防、軍工、能源等國家重要領域。另外，經濟利益也是驅使 APT 組織發動攻擊的主要動力，尤其以加密貨幣為主要目標。瑞星在 2023 年就捕獲了多起針對各國政府部門的 APT 攻擊事件，其中包括針對我國能源行業的定向攻擊。在此，瑞星將從組織背景、攻擊方式、攻擊事件等多方面出發，詳細介紹七個 APT 攻擊組織。1.威脅組織 SideCopy1.威脅組織 SideCo

61、py1.1 介紹1.1 介紹SideCopy 組織疑似來自于巴基斯坦，至少從 2019 年就開始展開網絡攻擊活動，主要針對南亞國家，特別是印度和阿富汗的政府部門。由于該組織的攻擊方式試圖模仿 SideWinder（疑似來自印北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司32度的攻擊組織，中文名響尾蛇）APT 組織，故得名 SideCopy。另外，據相關研究披露該組織疑似與TransparentTribe(APT36，中文名透明部落)有相似之處，可能是該組織的一個分支。2023 年 2 月和 5 月，瑞星威脅情報平臺捕獲到該組織針對印度政府部門和國防部門的攻擊行動。1.2 攻擊事件1.

62、2 攻擊事件攻 擊 事 件 1：在 2 月 份 的 攻 擊 事 件 中，攻 擊 者 通 過 釣 魚 郵 件 等 手 段，將 名 為“CyberAdvisory2023.docm”的文檔發送給印度政府部門，該文檔偽裝成安全機構提供安全研究報告，主題為Android 系統的威脅和預防措施，以此誘騙受害者點擊，從而啟動其中內嵌的宏代碼，下載并運行存儲于遠程服務器上的 ReverseRAT 遠控木馬。該木馬通過與 C2 服務器通信，竊取本地敏感信息并接收相關指令，以實現其惡意功能。圖：偽裝成安全研究報告的誘餌文檔攻擊事件 2：在 5 月份的攻擊事件中，攻擊者使用了 Performasfeedback.

63、docx.lnk、Asigmadated22May23.pdf.lnk 和 pessonalpic.png.lnk 多個快捷方式作為初始攻擊武器，將它們偽裝成不同主題的文檔，誘騙用戶點擊執行。而后從遠程服務器下載并執行 hta 腳本程序，從而啟動攻擊行動。hta 腳本負責從遠程服務器下載惡意程序并加載執行，其中一個惡意程序是名為ReverseRAT 的遠程控制木馬，負責與服務器進行通信，最終實現對受害者主機的信息竊取和遠程控制。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司33圖：攻擊者所使用的誘餌文檔2.威脅組織 Kimsuky2.威脅組織 Kimsuky2.1 介紹2.1 介紹K

64、imsuky 組織疑似來自于朝鮮，最早于 2013 年被公開披露并命名。該組織主要攻擊目標為韓國、日本等國家，涉及國防、教育、能源、政府、醫療以及智庫等領域，以機密信息竊取為主。通常使用社會工程學、魚叉郵件、水坑攻擊等手段投遞惡意軟件，擁有功能完善的惡意代碼武器庫。自被發現以來，該組織一直處于活躍狀態，開展了多起攻擊活動。2023 年 3 月，瑞星威脅情報平臺捕獲到該組織針對韓國用戶的最新攻擊行動。2.2 攻擊事件2.2 攻擊事件在此次攻擊事件中，攻擊者使用 DOCM 格式的誘餌文檔，將其偽裝成韓國法院電子信訪中心提供的離婚確認申請書，并在其內部嵌入了惡意的宏代碼。然后通過網絡釣魚、垃圾郵件等

65、社工方式進行投遞，誘騙用戶啟用宏代碼，從而啟動攻擊行動。此次事件的感染鏈中，攻擊者將不同階段使用到的惡意載荷托管在合法的網絡云盤中，以此躲避本地安全檢測機制，而最后階段使用到的惡意載荷是名為 xRAT 的木馬程序。該工具是以知名的 QuasarRAT 開源工具為基礎改進而來，可幫助攻擊者實現信息竊取及長期控制等行為。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司34圖：攻擊流程圖3.威脅組織 APT-373.威脅組織 APT-373.1 介紹3.1 介紹APT37 疑似為朝鮮資助的攻擊組織，也稱為 ScarCruft、Reaper、RedEye、RicochetChollima。該組

66、織自 2012 年活躍至今，攻擊目標主要是韓國的公共組織和私有企業。2017 年，APT37 組織將攻擊目標范圍擴大到日本、越南、中東等地的化學、電子、制造業、航空工業、汽車和醫療等行業。2023 年 7 月份，瑞星威脅情報中心捕獲到兩起與該組織相關的攻擊事件。3.2 攻擊事件3.2 攻擊事件在這兩次攻擊中，APT37 組織分別使用了兩份不同的誘餌文檔進行攻擊，一份以美國與韓國在四月下旬發表的華盛頓宣言為背景，由韓國 JeongSeongjang 撰寫的文章；另一份為首爾空軍酒店舉辦會議的活動日歷表，內容包括演講的時間、順序以及人員(韓國的重要官員和著名學者)。雖然兩份誘餌文檔不同，但攻擊方式

67、一模一樣。攻擊者均利用釣魚郵件方式，向受害者投遞一個含有快捷方式的壓縮包，該快捷方式有 50MB 大小，內置了 PowerShell 命令，當受害者雙擊快捷方式文件時，便會執行該命令，在 Temp 目錄下釋放誘餌文檔與一個名為 230509.bat 的腳本，而該腳本則會從 上下載 RokRat 遠控后門加載到主機中，導致受害者中招。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司35圖：攻擊者所使用的誘餌文檔4.威脅組織 BlindEagle4.威脅組織 BlindEagle4.1 介紹4.1 介紹BlindEagle（APT-C-36）是一個疑似來自南美洲的 APT 組織，主要攻擊目

68、標為哥倫比亞境內，以及南美一些地區。該組織自 2018 年以來一直活躍，攻擊范圍主要針對哥倫比亞政府機構、金融部門、石油工業和專業制造業等重要企業。2023 年 8 月份，瑞星威脅情報中心捕獲到該組織相關的攻擊事件。4.2 攻擊事件4.2 攻擊事件在此次攻擊事件中，BlindEagle 組織使用釣魚郵件作為攻擊武器，向目標用戶發送了一封參加相關聽證會的通知郵件。其中附件是一個加密后的壓縮包，攻擊者通過構造郵件內容，誘騙用戶解壓并執行壓縮包內的同名 JS 腳本，從而啟動攻擊行動。JS 腳本負責下載執行攻擊行動中第一階段DLL 文件，同時將該 DLL 文件做了本地持久化處理。而動態執行的 DLL

69、程序將再次從遠程服務器下載第二階段 DLL 文件和一個名為 AsyncRAT 的遠程控制木馬。該木馬需要通過下載的第二階段 DLL 程序將其注入到正常的系統程序中執行，最終實現對受害者主機進行鍵盤記錄、回傳文件、遠程控制等惡意功能。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司36圖：偽裝成法外調解聽證會通知的釣魚郵件5.威脅組織 Saaiwc5.威脅組織 Saaiwc5.1 介紹5.1 介紹Saaiwc 組織也被稱為 DarkPink，是一個主要針對于東南亞地區進行攻擊的 APT 組織，其攻擊方向包括軍事機構、政府、宗教組織和非盈利組織，主要目的是竊取機密文件，進行企業間諜活動。該

70、組織最早被發現于 2021 年，曾在 2022 年期間發起多個攻擊事件，主要攻擊手段是通過魚叉式網絡釣魚發送電子郵件，構造虛假信息誘導目標打開附件。在 2023 年 8 月，瑞星威脅情報平臺報告了該組織針對菲律賓的攻擊活動。5.2 攻擊事件5.2 攻擊事件在此次攻擊事件中，Saaiwc 組織依然采用了釣魚郵件的攻擊方式，利用偽造的菲律賓武裝部隊會議通知迷惑其政府行政部門人員，誘導受害者點擊郵件附件，而郵件附件則為 ISO 文件（光盤鏡像文件），內含三個文件，以白加黑方式加載了惡意的 DLL 程序。不僅如此，Saaiwc 組織還通過創建隱藏屬性的快捷方式，并設置相應的快捷鍵來觸發遠控后門程序，不

71、僅會竊取受害者主機 IP 地址、系統版本及其他各類信息，還會將所有收集到的信息回傳給攻擊者，接收更多控制指令。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司37圖：假冒菲律賓武裝部隊會議通知的釣魚郵件6.威脅組織 SideWinder6.威脅組織 SideWinder6.1 介紹6.1 介紹SideWinder 是一個至少從 2012 年就開始進行網絡攻擊的威脅組織，疑似來自印度。該 APT 組織又被稱為“響尾蛇”、T-APT-04、Rattlesnake 和 APT-C-17，是現今最活躍的組織之一，主要是從事信息竊取和間諜活動。該組織的大多數活動集中在中國、巴基斯坦、阿富汗等國家

72、，涉及的目標行業多為醫療、國防、政府和科技公司等。在 2023 年 12 月，瑞星捕獲了該組織針對尼泊爾政府的攻擊事件。6.2 攻擊事件6.2 攻擊事件在本次攻擊事件中，攻擊者將仿造的“尼泊爾總理普什帕卡邁勒達哈爾行程信息”通過郵件發送給尼泊爾政府機構，以騙取相關人員的信任。一旦點擊郵件附件，就會啟動其中的惡意宏代北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司38碼，而后釋放出后門病毒和腳本文件。當后門病毒被腳本啟動后，就會通過 HTTP 協議與服務器進行通信，接收由攻擊者發來的指令，對受害者電腦進行遠程控制，盜取所有的機密信息與數據。圖：仿造成尼泊爾總理行程信息的誘餌文檔7.威脅組

73、織 Patchwork7.威脅組織 Patchwork7.1 介紹7.1 介紹Patchwork 組織又名摩訶草、白象、APT-Q-36、DroppingElephant，是一個疑似具有南亞政府背景的 APT 組織，其最早攻擊活動可追溯到 2009 年，至今依然活躍。該組織主要針對中國、巴基斯坦、孟加拉國等亞洲地區國家，以政府、軍事、電力、工業、科研教育、外交和經濟等高價值機構為攻擊目標。在 2023 年 12 月，瑞星捕獲了該組織針對中國的攻擊事件。7.2 攻擊事件7.2 攻擊事件此次攻擊事件中，Patchwork 組織通過釣魚郵件等方式向目標投遞名為某集團與廣東省陽江市座談的 PDF 文檔

74、，而這個文檔實際是一個.lnk 的快捷方式，攻擊者故意將其偽裝成 PDF 格式，就是為了誘導目標去點擊。一旦有受害者點擊了這個快捷方式，就會下載與文檔同名的新聞稿和惡北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司39意程序，從而激活名為 NorthStarC2 的遠控后門程序，被攻擊者遠程控制并盜取電腦內所有的資料和信息。圖：Patchwork 組織在攻擊中投遞的誘餌文檔四、勒索軟件四、勒索軟件在 2023 年，由勒索軟件所引發的網絡攻擊事件頻發，根據 Zscaler 發布的2023 年全球勒索軟件報告，全球勒索軟件攻擊數量同比增長 37.75%，勒索軟件的有效攻擊載荷激增了 57.

75、50%。（ZsCaler 鏈接：zs-threatlabz-ransomware-report-2023）勒索軟件攻擊正變得越來越復雜，攻擊者會使用網絡釣魚、社工原理和漏洞利用等多種技術來攻擊目標。同時，雙重勒索已是常態化攻擊模式，攻擊者不再僅專注于對受害者文件進行加密，而是更加傾向于通過泄露敏感數據的方式作為敲詐勒索的籌碼，這給政府或企業受害者帶了更大的壓力。受害者即使通過文件恢復的方式來解密數據，也很難承受敏感數據泄露帶來的重大風險和代價。2023 年，Lockbit 組織占據了勒索攻擊事件的榜首位置，在全球范圍內，多個知名企業均遭受過 LockBit 組織的攻擊，受害企業涉及廣泛，涵蓋金

76、融服務、科技、能源、醫療、運輸等多個產業。瑞星根據勒索組織的破壞性、威脅性，以及企業的損失程度，評選出 2023 年六大勒索軟件，并詳細介紹這些勒索軟件的技術手段、攻擊手法及相關勒索事件。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司40（一）Lockbit1.介紹（一）Lockbit1.介紹LockBit 最早出現在 2019 年下半年，使用 Raas 商業模式推廣勒索，在 LockBit2.0 使用 StealBit竊密木馬進行數據竊取，建立屬于自己的數據泄露網站，最快可從受感染的主機 20 分鐘下載近 100GB數據。LockBit3.0 中提高了對抗安全軟件的能力，后期又采用

77、“雙重勒索”的策略來敲詐受害者。2.攻擊方式2.攻擊方式LockBit 通常使用 RDP 弱口令爆破的方式進行入侵，通過釣魚郵件以及程序漏洞進行攻擊。該勒索病毒工作在命令行窗口模式下，在初始運行階段執行了隱藏窗口，設置窗口標題為LockBitRansom，并且通過注冊控制臺窗口例程阻止進程的 Console 窗口被關閉。在 2022 年 9 月由于 Lockbit 雇傭開發人員對領導層不滿，泄露并公布了 LockBit3.0 生成器。這一工具的泄露導致 LockBit 勒索軟件變種層出不窮，網絡犯罪分子通過簡單的參數配置和細微的改動就能將自己生成的樣本包裝成全新的勒索軟件。LockBit3.0

78、 生成器可以配置加密模式，指定跳過的文件夾、加密的文件后綴格式、結束的進程名、橫向傳播以及勒索信內容等。3.攻擊事件3.攻擊事件(1)英國皇家郵政遭 LockBit 勒索組織攻擊(1)英國皇家郵政遭 LockBit 勒索組織攻擊2023 年 1 月份，英國皇家郵政遭勒索組織攻擊，致使包裹和信件的國際運輸陷入停頓。2 月份皇家郵政被列入到 LockBit 數據泄露網站，LockBit 向其索要高達 8000 萬美元贖金。其網站顯示，如果不能在 2 月 9 日之前繳納贖金，英國皇家郵政被盜數據將會公開發布。有報道顯示，勒索軟件加密了用于國際運輸的設備，并在用于海關備案的打印機上打印勒索贖金票據。北

79、京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司41圖：LockBit 數據泄露網站將英國皇家郵政加入其中來源：https:/ 7000 萬美元贖金(2)臺積電遭攻擊，黑客用數據威脅索要 7000 萬美元贖金2023 年 7 月份，臺積電向國外科技媒體 TechCrunch 證實，公司遭到了網絡攻擊，部分數據泄露。臺積電發言人表示，本次網絡安全事件導致“與服務器初始設置和配置相關”的數據泄露，但臺積電客戶信息并未受到影響。勒索集團 LockBit 宣稱對本次安全事件負責，官方在其網站上列出了相關數據，并索要 7000 萬美元贖金。LockBit 表示，如果臺積電不付款，它還將發布密碼和登

80、錄信息。LockBit 表示相關數據是從 KinmaxTechnology 竊取的，該公司為臺積電提供網絡、云計算、存儲和數據庫管理等 IT 服務。圖：勒索集團 LockBit 將臺積電列入其網站來源：http:/ LockBit3.0 攻擊而停擺一天(3)日本名古屋港遭勒索軟件 LockBit3.0 攻擊而停擺一天2023 年 7 月份，黑客團隊 LockBit 針對日本名古屋港發動攻擊，導致該港口的貨柜調度系統 NUTS出現嚴重系統故障，導致裝卸貨柜的業務中斷，現場出現貨車滯留的現象。這次事件影響約 260 家船運公司，名古屋港運協會電腦被加密，大約 100 臺印表機也遭到劫持，以英語打印

81、出系統感染勒索軟件的通知，要求協會支付贖金。由于該港口是豐田（Toyota）汽車主要進出口的樞紐，Toyota也證實零部件運輸受到影響。圖：日本時報報道了此次攻擊事件來源：https:/ 100 萬美元“侮辱性”贖金，Lockbit 泄露經銷商巨頭 CDW 內部數據(4)因收到 100 萬美元“侮辱性”贖金，Lockbit 泄露經銷商巨頭 CDW 內部數據2023 年 10 月份，勒索軟件團伙 Lockbit 聲稱入侵了技術服務巨頭 CDW，索要 8000 萬美元贖金，但該組織聲稱對方只支付了 100 萬美元。Lockbit 表示，一家價值 200 億美元的納斯達克上市企業僅支付 100 萬美

82、元贖金，對他們來說具有侮辱性，并稱如果對方不繼續支付足額贖金，將在倒計時期限結束后公布所竊取的數據，且不再進行任何談判。隨著最后期限已過，Lockbit 在其泄露網站上發布了 2 篇包含 CDW 數據的帖子，泄露數據涉及員工徽章、審計、傭金支付數據和其他帳戶相關信息。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司43圖：Lockbit 組織在其泄露網站上公布 CDW 數據來源：https:/ 黑客團隊宣稱已入侵波音公司，揚言“六天內拿不到贖金將公布內部資料”(5)LockBit 黑客團隊宣稱已入侵波音公司，揚言“六天內拿不到贖金將公布內部資料”2023 年 10 月份，黑客團隊 Lo

83、ckbit 在暗網論壇發布公告，聲稱他們已經成功入侵波音公司，并獲得了大量內部資料，揚言拿不到贖金就將公布相關內容。據悉，Lockbit 團隊給予了波音公司 6天時間與其聯系，在期限之前不會公開內部資料，但若波音遲遲未主動聯系，黑客就會將相關內容公開放出。Lockbit 團隊表示，他們使用一個未公布的零日漏洞入侵了波音，但并未披露相關漏洞細節，而波音官方則表示正在評估確認 LockBit 的說法。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司44圖：Lockbit 組織在暗網論壇發布的公告來源：https:/ LockBit 黑客團隊攻擊，因未及時封堵CitrixBleed 漏洞導致

84、(6)中國工商銀行美國分行遭 LockBit 黑客團隊攻擊，因未及時封堵CitrixBleed 漏洞導致2023 年 11 月份，中國工商銀行（ICBC）美國分行 ICBCFS 證實遭到了黑客組織 LockBit 攻擊，導致部分金融服務系統中斷，并在發現之后馬上切斷并隔離了受到影響的系統以控制災害，展開了一系列調查及復原工作。隨后 LockBit 勒索組織在 Tox（加密通信軟件）上公開承認其入侵 ICBCFS的行為。據悉，黑客組織 LockBit 之所以能夠攻入工商銀行美國分行，是因為美國分行未修補CitrixNetScaler 設備的漏洞 CitrixBleed（CVE-2023-4966

85、）。圖：中國工商銀行（ICBC）美國分行 ICBCFS 的公告來源：https:/ 作為老牌勒索家族，相比于其他主流勒索家族表現頗為低調，而今年表現十分活躍，針對全球范圍內的多個企業組織發起攻擊，并索要數百萬美元贖金。2023 年，受其他勒索家族影響 Medusa 推出了自己的“博客”，用于泄露那些拒絕支付贖金的受害者數據。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司452.攻擊方式2.攻擊方式Medusa 啟動時通過一個外殼程序創建傀儡進程執行加密，隨之刪除系統備份和還原文件，使用RSA+AES 主流的加密模式，同時感染本地磁盤和網絡共享磁盤，目前該病毒在東南亞諸多國家以及國內部

86、分企業均有感染案例。3.攻擊事件3.攻擊事件(1)中國石油（印尼公司）遭受 Medusa 勒索組織攻擊(1)中國石油（印尼公司）遭受 Medusa 勒索組織攻擊2023 年 2 月份，Medusa 勒索組織在其暗網數據泄露站點的受害者名單中添加了中國石油（印尼公司），并索要其 40 萬美元用以刪除數據，或是用 40 萬美元下載數據，支付 1 萬美元可以延期 1天。圖：Medusa 勒索組織在受害者名單中添加了中國石油（印尼公司）來源：https:/ 年 11 月份，Medusa 勒索軟件組織在其暗網數據泄漏站點的受害者名單中添加了豐田金融服務公司，要求后者支付 800 萬美元贖金來刪除泄漏數據

87、。豐田金融服務公司證實遭遇 Medusa 勒索軟件組織的攻擊，該公司在歐洲和非洲的系統上檢測到未經授權的訪問。為了證明攻擊成果，Medusa發布了豐田金融的樣本數據，其中包括財務文件、電子表格、采購發票、哈希帳戶密碼、明文用戶ID 和密碼、協議、護照掃描、內部組織結構圖、財務績效報告、員工電子郵件地址等。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司46圖：Medusa 勒索組織在受害者名單中添加了豐田金融服務公司來源：https:/ 于 2021 年 11 月首次被發現，該勒索病毒曾在俄語黑客論壇進行過公開推廣。使用 RaaS商業模式進行分發，同時使用“雙重勒索”的敲詐手法，該勒索

88、軟件通過命令行調用，可靈活配置絕大部分參數。除了針對 Windows 平臺的攻擊，也同時具有對 LinuxVMwareESXi 加密的能力。2.攻擊方式2.攻擊方式BackCat 通常使用 RDP 弱口令爆破的方式以及程序漏洞進行入侵。該勒索軟件提供命令行參數選項以實現個性化的勒索攻擊，支持 2 種文件加密算法以及 4 種加密模式，將根據目標硬件情況動態選擇。勒索采用 RSA+AES/ChaCha20 的方式加密磁盤文件，在未獲得密鑰的情況下暫時無法解密。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司473.攻擊事件3.攻擊事件(1)國際支付巨頭 NCR 遭勒索攻擊：POS 機服務已

89、中斷多天(1)國際支付巨頭 NCR 遭勒索攻擊：POS 機服務已中斷多天2023 年 4 月份，支付巨頭 NCR 公司用于酒店服務的產品 AlohaPOS 平臺發生故障，經過多天仍無法供客戶正常使用。幾日后 NCR 對外披露稱，為 AlohaPOS 平臺提供支持的數據中心遭受到勒索軟件攻擊。有安全人員發現，在 BlackCat/ALPHV 勒索軟件團伙的數據泄露網站上短暫發現過一篇帖子，宣稱對此次事件負責。帖子里還包含一名 NCR 代表與勒索軟件團伙間的談判對話片段。BlackCat 宣稱竊取了 NCR 客戶的憑證，并表示如不支付贖金則將憑證公之于眾，隨后從數據泄露網站上刪除了NCR 的帖子，

90、可能是希望對方愿意通過談判接受贖金要求。圖：BlackCat 數據泄露網站上發布的 NCR 攻擊帖（現已刪）來源：https:/ 聲稱攻擊了臺灣中國石化(2)BlackCat 聲稱攻擊了臺灣中國石化2023 年 11 月 28 日，勒索軟件組織 BlackCat（ALPHV）將臺灣中國石化添加到其 Tor 泄露網站的受害者名單中，從公布的數據來看，本次泄露的數據大小為 41.9GB。BlackCat 采用勒索軟件即服務（RaaS）商業模式，在已知的網絡犯罪論壇中招攬生意，允許合作的黑客組織使用勒索軟件并自留 80-90%的贖金。此次泄露的數據包含了其內部通訊錄、銀行賬戶、收入支出等財務狀況和高

91、管交接資料等。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司48圖：BlackCat 將臺灣中國石化添加到受害者名單中來源：https:/ 勒索軟件于 2023 年 3 月出現，在 6 月的時候出現了 Linux 版本，目前已有多家企業遭遇該勒索攻擊，GreenDiamond(林業公司)、DatawatchSystems(數據公司)和 Boon(軟件公司)等美國企業的數據被放置在黑客組織自制網站上供人下載。2.攻擊方式2.攻擊方式加密方式是 RSA+AES 結合對文件進行加密。最新的樣本使用 Rust 語言編寫，其加密方式很新穎，用了以往不常見的curve25519橢圓曲線非對稱加密

92、算法和sosemanuk對稱加密算法的組合來進行加密，加密后的文件的后綴名為.powerranges，還會在每個文件夾下釋放一個勒索文檔。3.攻擊事件3.攻擊事件(1)新型勒索“Megazord”肆虐三家美國企業數據可隨意下載(1)新型勒索“Megazord”肆虐三家美國企業數據可隨意下載2023 年 9 月份，瑞星威脅情報中心捕獲到一款新型勒索軟件，名為“Megazord”，是 Akira 勒索軟件新的變種，其獨特之處在于采用了 curve25519 橢圓曲線非對稱加密算法和 sosemanuk 對稱加密算法的組合來進行加密，并需要輸入一個特定的參數運行，以此提高攻擊效率，增加分析難度。北京

93、瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司49瑞星發現，已有多家企業遭遇該勒索攻擊，GreenDiamond（林業公司）、DatawatchSystems（數據公司）和 Boson（軟件公司）等美國企業的數據被放置在黑客組織自制網站上供人下載。圖：存放勒索企業數據的黑客網站來源：http:/ 100GB 數據，日產汽車遭勒索組織“撕票”(2)公開 100GB 數據，日產汽車遭勒索組織“撕票”2023 年 12 月份，Akira 勒索軟件團伙在其泄漏博客上添加了一個新的“受害者”，并表示其成員從日產汽車制造商的內部網絡系統中竊取了約 100GB 的文件資料。勒索軟件組織宣稱鑒于日產汽車

94、公司拒絕支付贖金，接下來會陸續把盜取的敏感業務和客戶數據泄露到網上，這其中包含其員工個人信息的文檔，以及 NDA、項目、客戶和合作伙伴信息等。圖：日產汽車數據遭泄露來源：https:/ 勒索最早發現于 2022 年 6 月，其特點是利用了合法的文件搜索工具 Everything 提供的API，通過 Everything32.dll 中的函數可以實現文件快速檢索，獲得指定后綴格式文件的路徑，從而大大提高文件加密的效率。Mimic 勒索中還使用了泄露的 Conti 勒索軟件代碼實現訪問共享與端口掃描，使用 CryptoPP 庫提供的加密算法。不僅如此，Mimic 勒索開發者添加了許多額外的功能來保

95、證順利完成加密。2.攻擊方式2.攻擊方式Mimic 勒索通過一個自解壓的可執行程序，在運行后釋放其他惡意文件，包含自刪除程序、加密程序、防火墻靜默關閉程序等。加密前將創建自啟動項，終止特定的運行中進程和服務，修改電源 管 理 項 以 提 高 加 密 效 率。采 用 RSA 和 AES 加 密 組 合，在 被 加 密 的 文 件 末 尾 添加.blue 后綴格式。3.攻擊事件3.攻擊事件瑞星 EDR 人工智能技術還原“Mimic”勒索軟件攻擊全過程瑞星 EDR 人工智能技術還原“Mimic”勒索軟件攻擊全過程2023 年 12 月份，瑞星威脅情報中心捕獲到一個名為“Mimic”的新型勒索軟件，其

96、不僅利用了合法文件搜索工具 Everything 的 API，來快速搜索想要加密的目標文件，還使用了已經泄露的 Conti勒索軟件源代碼，在其基礎上增加了訪問共享與端口掃描等功能，提高了勒索軟件開發效率，并保證了加密的成功機率和穩定性。同時，“Mimic”勒索還具有關閉防火墻、防止用戶關閉或重啟計算機、清空所有磁盤回收站等諸多惡意功能。瑞星 EDR 將整個攻擊過程進行了溯源和梳理。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司51圖：被“Mimic”勒索軟件攻擊后的勒索信來源：https:/ 2022 年首次被發現，常利用網絡釣魚電子郵件來攻擊其受害者。此外麒麟通過 RaaS 分發定

97、制惡意軟件構建器，可獨立并個性化修改勒索軟件信息包括贖金內容、密鑰、文件排除、后綴名稱等。2.攻擊方式2.攻擊方式Qilin 勒索在運行后可以通過注入 DLL 的方式來提升權限，枚舉網絡驅動器以及終止指定的進程和服務，采用 RSA+AES 組合的加密方式，在運行時接受指定的參數提供針對性的攻擊。3.攻擊事件3.攻擊事件麒麟勒索病毒聲稱攻擊汽車巨頭延鋒麒麟勒索病毒聲稱攻擊汽車巨頭延鋒2023 年 11 月份，Qilin 勒索軟件組織聲稱對全球最大的汽車零部件供應商之一延鋒汽車內飾進北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司52行了攻擊，并將其添加到 Tor 數據泄露勒索網站中。攻擊

98、者發布了多個樣本，以證明他們涉嫌訪問延鋒系統和文件，包括財務文件、保密協議、報價文件、技術數據表和內部報告。麒麟還威脅稱，要在未來幾天內公布他們擁有的所有數據。該組織于 2022 年首次被發現，經常利用網絡釣魚電子郵件來攻擊其受害者。圖：延鋒汽車被列入麒麟勒索門戶網站來源：https:/ 年網絡安全趨勢預測五、2024 年網絡安全趨勢預測（一）APT 攻擊仍將保持活躍，網絡釣魚依舊是其主流攻擊方式（一）APT 攻擊仍將保持活躍，網絡釣魚依舊是其主流攻擊方式2023 年依然是 APT 組織活動頻繁的一年，包括瑞星在內的眾多安全廠商披露了多起攻擊事件，其中也包括不少針對中國的攻擊。根據對去年攻擊事

99、件的分析可知，地緣政治依然是 APT 組織發起攻擊活動的主要驅動力。除此之外，以經濟利益為目標的攻擊活動也在持續增加中，其中以加密貨幣為主，2023 年 9 月份加密貨幣交易所 CoinEx 被盜事件，據分析就是知名 APT 組織 Lazarus 所為，涉及金額高達五千多萬美元。而在技術層面，隨著 Go、Rust 等編程語言的興起，APT 組織也在利用這些語言開發新武器，以提高攻擊成功率。比如在 2023 年 12 月披露的 Patchwork 組織針對中國的攻擊事件中，攻擊者就使用了 Rust 語言編寫的惡意程序作為攻擊武器。2024 年，國際局勢依然不容樂觀，瑞星有理由相信 APT 組織仍

100、將持續活躍，其中傳統的網絡釣魚依舊是主要的攻擊手段。雖然網絡釣魚無法保證成功率，但靠著其成本低、欺騙性強等特點，依然為大多數 APT 組織所喜愛。網絡安全作為國家安全的重要一環，各政府機關仍應對此保持高度重視。除了加強各個層面的安全防護之外，還應積極展開安全意識相關的培訓，降低入侵成功率。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司53（二）勒索組織開始主攻高價值目標（二）勒索組織開始主攻高價值目標勒索組織在 2023 年的活躍度相比 2022 年有了較大提升，同時 2023 年也出現了幾起影響較大的事件。如：臺積電、波音公司、中國工商銀行美國分行等均在 2023 年遭遇了 Loc

101、kBit 勒索組織的攻擊；像 Medusa 這樣的老牌勒索組織也開始活躍，在 2023 年對中國石油（印尼公司）和豐田公司都發起了勒索攻擊。這些勒索組織不僅要求贖金巨大，而且很多都以泄露數據作為要挾，增加了勒索的成功幾率，同時勒索組織發起的攻擊也開始逐步向 APT 攻擊靠攏，運用新型技術和手法，定性攻擊具有高價值的目標。2024 年，勒索組織針對政府或大型企業的攻擊次數可能會更多，因此，政企用戶須采用全面的零信任安全策略，以對抗日益復雜的勒索軟件攻擊。這種方法需要實現強大的措施，如零信任網絡訪問(ZTNA)架構、細粒度分割、瀏覽器隔離、高級沙箱、數據丟失防護、欺騙技術和云訪問安全代理(CASB

102、)解決方案。（三）人工智能技術的濫用將引發更多安全問題（三）人工智能技術的濫用將引發更多安全問題近年來隨著人工智能技術的發展和逐步成熟，深度學習、大語言模型、多模態模型等技術的不斷發展，使得人工智能應用在近些年有了質的飛躍，以 Deepfake、ChatGPT、DALLE 為代表的應用向我們展示了其強大的威力。人工智能技術在解放和提高生產力的同時，也為犯罪分子提供了更多、更好的技術手段，這將引發一系列新的網絡安全問題，例如：越來越逼真的“釣魚”郵件。以 ChatGPT 為代表自然語言生成模型，可以模仿特定人員的書寫和用詞習慣，根據特定的意圖為網絡犯罪者生成內容更為流暢和逼真的釣魚郵件，相比當前

103、大多數以人工書寫的模板、單調乏味的釣魚郵件，前者的識別難度將大大提升。以“AI 對抗 AI”將成為未來主要的網絡攻防場景。不再可信的多媒體內容。圖像、視頻和音頻中搭載著人類日常生活中識別和區分不同人員的主要生物特征，但在“深度偽造”技術泛濫后，將變得無法再輕易信任。目前，在各類視頻網站、社交網站上都充斥著以“娛樂”目的為主大量的換臉視頻，可以看出“換臉”技術的應用已經相當普遍。近幾年利用“換臉”技術偽造明星、名人來騙取財物的新型電信詐騙事件也陸續出現，防不勝防?！吧疃葌卧臁奔夹g的識別將成為未來網絡內容安全中非常重要的一個環節。更低成本的網絡攻擊。以“ChatGPT”為代表的大語言模型應用能夠根

104、據用戶意圖編寫代碼，在不加限制的情況下，它可以幫助攻擊者生成攻擊代碼、混淆攻擊代碼，極大降低攻擊者的攻擊成本，更高效地同網絡安全公司進行對抗。（四）攻擊者開始積極利用較新的安全漏洞（四）攻擊者開始積極利用較新的安全漏洞2023年出現了一些利用難度低且危害較大的漏洞在漏洞詳情披露后不久即遭到攻擊者利用的事件，比如漏洞 CVE-2023-38831，瑞星在 8 月時就發布了關于該漏洞的預警通知，提醒用戶及時進行北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司54軟件更新，但是在 10 月份有安全廠商發現 APT 組織 Saaiwc 使用此漏洞對越南以及馬來西亞的政府目標進行攻擊?？梢姴徽撌?/p>

105、企業還是個人，都應及時安裝系統補丁或應用相關緩解措施，對于受影響的軟件也應第一時間更新，以減少此類攻擊造成的影響。利用已披露的 nday 漏洞展開攻擊，對于攻擊者來說成本低廉，可極大地提高攻擊效率，未來相應的攻擊活動將會持續增加。（五）針對個人以及企業內特殊崗位的員工的攻擊將會加?。ㄎ澹┽槍€人以及企業內特殊崗位的員工的攻擊將會加劇2023 年，“銀狐”木馬的活躍度有了顯著提升，主要的攻擊目標是企業內的財稅人員，同時也有部分普通用戶受到影響。此外，利用 SEO 使得仿冒站點在搜索結果內優先展示，誘導用戶下載被篡改的軟件安裝程序的現象也顯著增多。個人用戶也應提升安全意識，避免運行郵件內的不明附件

106、或者是即時通訊軟件的群內的不明文件。（六）個人用戶受影響的類“供應鏈投毒”事件開始冒頭（六）個人用戶受影響的類“供應鏈投毒”事件開始冒頭2023 年發生了多起個人用戶也受影響的類“供應鏈投毒”事件，攻擊者的最終目標以竊取隱私信息和植入后門為主。因此個人用戶也應提升安全意識，保持安全軟件開啟并及時更新病毒庫，以減輕此類事件造成的影響。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司55專題：人工智能在網絡安全領域的風險和機遇專題：人工智能在網絡安全領域的風險和機遇2022 年末，隨著 GPT3 的橫空出世，大語言模型給整個社會帶來了巨大的驚喜，它所展示出的知識的深度、廣度、推理能力，都讓

107、人們紛紛感嘆人工智能已經突破了“統計學”的枷鎖，進入到“真智能”時代，眾多科技界大佬也指出“未來不會使用 GPT 的人將被淘汰”。2023 年，國內外科技巨頭紛紛投入大語言模型研發中，各類大語言模型層出不窮、百花齊放。以大語言模型為核心的多模態模型也進入了高速發展階段，具備多種感官能力的通用人工智能體也初現雛形?？梢哉f，大語言模型引發了人工智能在社會各界廣泛應用的現象。而這種爆炸式的應用，也讓我們重新總結和思考人工智能技術對我們的社會和行業帶來的影響。一、人工智能帶來的社會問題一、人工智能帶來的社會問題目前人工智能技術的快速發展和爆發式應用，勢必會給人類社會帶來新的安全風險。我們知道，人類作為

108、智能體，一直重復著“從數據中獲取信息，從信息中提煉知識，而知識又指導我們分析信息，最后做出決策，表現出行為”，簡單來說就是“信息+知識=決策”。所以，當人類獲取信息的真實性、知識的傾向性受到影響時，勢必會帶來較為嚴重的社會問題。下面從“信息偽造”和“知識依賴”簡單闡述下人工智能帶來的社會問題。1.信息偽造帶來的感知安全問題1.信息偽造帶來的感知安全問題我們知道，人類通過感官（視覺、聽覺等）來認識我們的世界，人類幾乎所有的活動，都取決于擁有什么知識、獲得什么信息。一個不良的偽造的信息，往往會對社會或個人造成不良的后果。1.1 深度偽造多媒體內容1.1 深度偽造多媒體內容深度偽造技術（Deepfa

109、ke）是指利用人工智能、機器學習、神經網絡等方法來偽造圖片、音頻及視頻等內容的一種技術手段。深度偽造技術是人工智能技術發展過程中衍生技術的一種，其核心原理是利用生成對抗網絡或者卷積神經網絡等算法對語音、圖像、文字等信息內容進行修改。以假亂真的例子不勝枚舉，除去那些惡搞為目的的視頻，有大量的“深偽”其實是制造了更多的混亂，其導致的一個最直接的惡果就是：人們在本就難以分辨是非的互聯網平臺上更加難以辨別真偽。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司56圖：2022 年偽造的烏克蘭總統弗拉基米爾澤連斯基（VolodymyrZelensky）呼吁烏克蘭士兵放下武器的視頻圖：2022 年偽

110、造的馬斯克推廣 BitVex 比特幣詐騙平臺項目的視頻北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司571.2 深度偽造人際溝通1.2 深度偽造人際溝通大語言模型具備強大的對話能力，當它和深度偽造多媒體內容結合創造出“虛擬”角色，甚至虛擬真實存在的名人、專家，同我們完成長時間的、雙向的、互動的溝通，將讓我們無法完全無法辨別真偽。相較于單向的深度偽造的多媒體內容，雙向的溝通更容易讓人們相信“眼見為實”。下圖中 George 是一個 Graphika 創造的人工智能角色名，看起來像一位經驗豐富的商業高管，擁有灰白的頭發，穿著藍色西裝外套和淺藍色襯衫。當這樣的專業的形象出現在視頻溝通中時，

111、我們很難不相信它所說的“事實”和給出的“建議”。深度偽造技術勢必會被網絡詐騙廣泛應用，那么未來，對深度偽造內容的識別，將是安全公司面臨的必須要去解決的問題。2.知識依賴帶來的認知安全問題2.知識依賴帶來的認知安全問題大語言模型可以視為是一個知識聚合體，相信很多人已經開始借助大語言模型來學習新的知識，“遇到問題先問問大語言模型”將成為新時代的“百度一下，你就知道”。由此可以推斷，在不久的將來，我們將陷入到對大語言模型的知識依賴中，也就是說，未來人類的知識體系構成、人格塑造、世界觀和價值觀形成很大程度上會依賴大語言模型。習近平總書記在 2018 年就講過“切實解決好世界觀、人生觀、價值觀這個總開關

112、問題”。隨著大語言模型的出現，未來人類的世界觀、人生觀、價值觀的塑造將開辟新的戰場，具備自主可控，對齊社會主流價值觀、世界觀的大語言模型，是社會穩定和國家安全的必要保證。這幾年，國產大語言模型的百花齊放，取得了飛速的發展，同時生成式人工智能服務管理暫行辦法也快速落地，這讓我們對未來自主可控的、符合我國社會情況的人工智能技術的構建和應用充滿信心。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司58二、在網絡安全領域的風險和機遇二、在網絡安全領域的風險和機遇作為一名網絡安全從業者，在關注人工智能發展對未來人類社會的正面和負面影響的同時，也更關心當下人工智能技術對網絡安全攻防兩方帶來的變革。

113、1.人工智能助力網絡攻擊1.人工智能助力網絡攻擊和人工智能產生的以“信息和知識混亂最終造成認知混亂”的社會性風險不同，人工智能在網絡安全上帶來的影響，主要還是使得網絡攻擊的實施變得更加輕松和有效，主要的具有代表的攻擊平臺有：FraudGPT、WormGPT、DeepExploit。這些平臺或工具將前期偵察、工具開發、滲透測試、負載投遞等網絡攻擊任務自動化和規?；?，用較低成本獲取高收益。1.1 協助攻擊者調查攻擊目標1.1 協助攻擊者調查攻擊目標人工智能可代驅動特定的工具完成對攻擊目標的背景調查、環境偵察，根據工具的不同收集不同的信息，偵察目標可以是特定的組織、人員，或者是計算機網絡，這將給攻擊

114、者帶來非常明顯的情報優勢。前期偵察原本是一項繁瑣和復雜的過程，在 MITREATTCK 矩陣中有專門的描述，包含了：主動掃描、收集受害者主機信息、收集受害者身份信息、收集受害者網絡信息、網絡釣魚獲取信息、搜索閉源數據、搜索開放數據、搜索站點和域名、搜索受害者相關站點等多種技術手段。除了這些基本的信息收集之外，從收集到的數據中歸納整理出攻擊目標的有效情報，也是個復雜的過程。而大語言模型則可以幫助攻擊者梳理這些收集到的原始信息，從中提煉出信息中的實體和相關信息，甚至還可以展開推理，選取最容易攻擊成功的目標。這一切都基于大語言模型強大的自然語言、代碼的理解能力、巨大的知識量和推理能力。1.2 深度偽

115、造加持的社工攻擊1.2 深度偽造加持的社工攻擊利用深度偽造技術，生成更為逼真的釣魚郵件。目前的釣魚郵件通常為一次性的投遞，郵件內容也通常由模板產生，完全是“姜太公釣魚愿者上鉤”。通過深度偽造技術，釣魚郵件可以更為豐富生動，可信性將大大提高，依次帶來更高的“釣魚”成功率。另外，通過大語言模型的加持，“釣魚攻擊”可以從原來一次性的郵件投遞或信息發送，變成長時間的溝通會話。以 2019 年瑞星發現的來自尼日利亞的詐騙團伙為例，他們偽裝成海外企業人員與目標企業的財務人員進行長時間的溝通，受害者難以察覺任何異常，詐騙成功率相當之高。如果通過大語言模型或智能虛擬人物，代替人類同受害者進行長時間情景化的溝通

116、，那么犯罪分子的詐騙效率將大大提升，一個團隊同時詐騙數百個目標都能成為可能。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司591.3WEB 驗證機制破解1.3WEB 驗證機制破解為了防止基于 WEB 攻擊，驗證碼是第一道安全關卡，目前多數網站采用了以特型文字、圖像、音頻、知識問答等為基礎的高級驗證機制。這些驗證機制為了適應不同認知程度的人群，通常不會過于復雜。隨著大語言模型和多模態模型的成熟，這些驗證機制將會變得脆弱不堪。圖像、音頻、特型文字的識別本就是計算機視覺、聽覺的強項，知識問答如今也能被大語言模型輕松破解，驗證碼危機的來臨將不可避免。1.4 編寫和“免殺”攻擊代碼1.4 編寫

117、和“免殺”攻擊代碼眾所周知，大語言模型可以根據意圖編寫相應的程序代碼。目前的大語言模型都會執行向外對齊（即同人類正向的價值觀對齊），以防止輸出有害內容。目前的研究表明，針對大語言模型的越獄攻擊和提示注入攻擊，都有可能讓大語言模型忽略對齊機制，掙開道德和法律的限制。同時，犯罪分子也可能訓練專用于黑產產業的“黑色 GPT”，不進行向外對齊。由此，編寫具備攻擊性質的程序代碼完全成為可能。在代碼變換和重寫方面，大語言模型也相當在行。原先攻擊者需要人為編寫策略對原始惡意代碼進行變換或混淆，往往一種策略會使用一段較長的時間，借助于大語言模型，可以輕松生成多種策略，不間斷地產生惡意代碼外殼，消除安全軟件賴以

118、識別的“特征”，達到“免殺”的目的。1.5 自動化滲透測試1.5 自動化滲透測試DeepExploit 是一種基于強化學習的自動化滲透框架，由日本的一家名為 MBSD 的公司研發，在自動化滲透方向為大眾所熟知，其開發人員曾在很多知名大會上介紹過該工具，如：DEFCON2018，BlackHat2018 等，這些演講進一步拓展了該工具的知名度。DeepExploit 底層使用 Metasploit 進行滲透，使用強化學習技術來提升滲透效率，可以達到“給定目標 IP，輸出反彈 shell”的效果，除了“權限維持”功能外，其他步驟均已實現全自動。它具有以下特點：高效滲透、深度滲透、自學習、學習時間快

119、、強大的情報收集能力。2.人工智能助力網絡防御2.人工智能助力網絡防御2.1 提升檢測能力2.1 提升檢測能力網絡安全防御的核心技術在于對各類數據的識別。人工智能可以很好地幫助防御方在以下幾點增強識別能力：惡意代碼識別：利用傳統機器學習和大語言模型等人工智能技術，對惡意代碼的靜態內容進行北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司60分 析 識 別。以 瑞 星 為 例，以 傳 統 機 器 學 習 技 術 構 建 的 專 用 模 型，用 來 識 別WinPE/SWF/MSIL/VBA/PDF 等形式內容的惡意代碼，同時也使用以大語言模型自動分析各類腳本代碼，例如：PHP/JSP/AS

120、PX/JavaScript，找出這些代碼中的不良意圖，自動抽取關鍵惡意代碼片段，形成全自動化的惡意腳本運營過程。欺詐內容識別：以識別釣魚郵件為主的欺詐內容識別是人工智能應用的主要場景。隨著人工智能被應用于欺詐（深度偽造），人工智能 VS 人工智能的對抗場景會變得越來越多?！吧疃葌卧臁眱热莸淖R別本身就是一個較為熱門的話題，隨著大語言模型升溫，OpenAI 官方也推出了 AI 生成內容的識別器，用來緩解大語言模型帶來的內容真實性問題。入侵行為識別：在傳統的 HIDS/NIDS 技術的基礎上，使用人工智能技術，尤其是大語言模型，對日志序列、主機性能指標、網絡流量指標進行綜合分析，推理并發現潛在的主機

121、和網絡入侵行為。這也將大大提高網絡安全分析調查人員的工作效率，提高防御方發現未知入侵的能力。2.2 提升運營體驗2.2 提升運營體驗代碼分析：對大多數文本內容的代碼（含命令行、WMI 語句、JS、Powershell、PHP）進行深度分析。在瑞星 EDR 中，可以隨時呼出人工智能助手，對 EDR 中的進程對象、WMI 對象、Powershell對象進行分析，助手會將分析結果以通俗的語言展示出來，并給出相關的建議。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司61情報錄入：大語言模型能夠非常輕松地從自然語言中提取 IOC，并以結構化數據輸出。結合特定工具函數，可以自動將 IOC 錄入到

122、威脅運營系統中。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司62處置腳本：根據識別到的不當配置、漏洞、惡意軟件行為，自動化產生處置腳本，結合相關的運營系統，自動化處理發現的問題。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司63識別規則：大語言模型可以按需求編寫主流的網絡安全領域的檢測規則，例如：SNORT、YARA、SIGMA，通過特定的訓練，還能書寫私有領域的檢測規則。這將大大幫助網絡安全工程師快速響應最新的網絡安全威脅。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司64北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司65分析和調查安全事件：以微軟的

123、安全副駕為例，大語言模型幫助 SOC/SIEM 完成安全事件的調查和分析，減少安全事件調查中人工參與的力度。瑞星 EDR 中，則使用大語言模型梳理安全告警事件、調查威脅展開過程，產生處置建議。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司66三、總結三、總結隨著人工智能大規模的應用，我們的社會又將迎來一個階段性的生產力解放，但同時也會帶來新的社會問題，如何能夠自主可控地發展和應用人工智能是未來迫切需要解決的技術和監管問題。用人工智能識別人工智能產生的偽造信息、垃圾信息，會是減少“深度偽造”技術所帶來危害的重要手段。另外，隨著人工智能技術與網絡安全攻防的融合，網絡安全領域正在全面、深刻

124、地改變。對于攻擊者而言，在人工智能技術的幫助下完成規?；?、精細化的情報挖掘，自動化、智能化的網絡武器制備和攻擊滲透。對于防御方來說，如何利用人工智能技術與攻擊者進行安全對抗，保障網絡安全，愈發成為網絡空間中攻防雙方角力的重點。大語言模型技術將進一步推動網絡安全攻防的變革，誰能搶先找到相關技術與網絡安全攻防的最佳結合點，就會掌握在網絡安全攻防博弈的主動權。因此，推動人工智能技術在網絡安全攻防場景中不斷走向實際應用，提升網絡防御能力，對于網絡安全智能不斷走向成熟具有重大意義。附：2023 年國內重大網絡安全政策法規附：2023 年國內重大網絡安全政策法規1.十六部門聯合促進數據安全產業發展1.十六

125、部門聯合促進數據安全產業發展2023 年 1 月 13 日，工業和信息化部、國家發展和改革委員會、教育部等 16 部門聯合印發關于促進數據安全產業發展的指導意見，提出到 2025 年，我國數據安全產業規模超過 1500 億元，年復合增長率超過 30%，建成 5 個省部級及以上數據安全重點實驗室，攻關一批數據安全重點技術和產品，數據安全產業基礎能力和綜合實力明顯增強。意見指出要深度分析工業、電信、交通、金融、衛生健康、知識產權等領域數據安全需求，梳理典型應用場景，分類制定數據安全技術產品應用指南，促進數據處理各環節深度應用。相關鏈接：https:/ 年 2 月 21 日，“全球安全倡議：破解安全

126、困境的中國方案”藍廳論壇在北京舉行。論壇期間，中方正式發布全球安全倡議概念文件，文件闡釋了全球安全倡議的核心理念與原則，明確了重點合作方向以及合作平臺和機制，在國際社會引發強烈反響。國際輿論普遍認為，全球安全倡議概念文件展現了中方對維護世界和平的責任擔當、對守護全球安全的堅定決心，為解決全球安全難題提供了更系統的思路、更可行的舉措。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司67相關鏈接：http:/ 年 2 月 24 日，國家互聯網信息辦公室公布個人信息出境標準合同辦法。辦法規定了個人信息出境標準合同的適用范圍、訂立條件和備案要求，明確了標準合同范本，為向境外提供個人信息提供了具

127、體指引，將于 2023 年 6 月 1 日起施行。辦法提出，通過訂立標準合同的方式開展個人信息出境活動，應當堅持自主締約與備案管理相結合、保護權益與防范風險相結合，保障個人信息跨境安全、自由流動。相關鏈接：http:/ 年 2 月 27 日，中共中央、國務院印發了數字中國建設整體布局規劃，規劃強調，要堅持以習近平新時代中國特色社會主義思想特別是習近平總書記關于網絡強國的重要思想為指導，深入貫徹黨的二十大精神，堅持穩中求進工作總基調，完整、準確、全面貫徹新發展理念，加快構建新發展格局，著力推動高質量發展，統籌發展和安全，強化系統觀念和底線思維，加強整體布局，按照夯實基礎、賦能全局、強化能力、優化

128、環境的戰略路徑，全面提升數字中國建設的整體性、系統性、協同性，促進數字經濟和實體經濟深度融合，以數字化驅動生產生活和治理方式變革，為以中國式現代化全面推進中華民族偉大復興注入強大動力。相關鏈接：http:/ 年 3 月 4 日，證監會發布證券期貨業網絡和信息安全管理辦法，以取代 2012 年發布的證券期貨業信息安全保障管理辦法，更好地維護資本市場安全平穩高效運行。辦法共八章七十五條，對證券期貨業網絡和信息安全監督管理體系、網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護、網絡和信息安全促進與發展等諸多方面提出了要求。辦法自 2023 年 5 月 1 日起

129、施行。相關鏈接：http:/ 關于做好 2023 年信息通信業安全生產工作的通知6.工信部印發 關于做好 2023 年信息通信業安全生產工作的通知2023 年 3 月 15 日，工業和信息化部發布關于做好 2023 年信息通信業安全生產工作的通知，通知提出，適應形勢發展變化，修訂電信網絡運行監督管理辦法，加強基礎電信企業和增北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司68值電信企業安全生產管理，健全電信和互聯網安全生產管理體系。持續壓實屬地責任和安全生產主體責任。各企業要嚴格落實安全生產主體責任，建立健全全員安全生產責任制，持續推進企業安全生產標準化和信息化建設?；A電信企業要切實

130、加強網絡建設和運行安全協調管理工作。相關鏈接：https:/ 年 4 月 17 日，國家互聯網信息辦公室、工業和信息化部、公安部、財政部、國家認證認可監督管理委員會共同發布關于調整網絡安全專用產品安全管理有關事項的公告（以下簡稱公告）。公告顯示，自 2023 年 7 月 1 日起，列入網絡關鍵設備和網絡安全專用產品目錄的網絡安全專用產品應當按照信息安全技術網絡安全專用產品安全技術要求等相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。相關鏈接：http:/ 年 4 月 26 日，十四屆全國人大常委會第二次會議表決通過反間諜法修訂草案。新修訂的反間諜

131、法自 2023 年 7 月 1 日起施行。新修訂的反間諜法完善間諜行為的定義，將“投靠間諜組織及其代理人”“針對國家機關、涉密單位或者關鍵信息基礎設施等實施網絡攻擊等行為”明確為間諜行為?，F行反間諜法前身是 1993 年制定的國家安全法，主要規定國家安全機關履行的職責特別是反間諜方面的職責。2014 年，反間諜法在原國家安全法的基礎上修訂出臺。相關鏈接：http:/ 深入推進 IPv6規模部署和應用 2023年工作安排9.中央網信辦等三部門印發 深入推進 IPv6規模部署和應用 2023年工作安排2023 年 4 月 27 日，中央網信辦、國家發展改革委、工業和信息化部聯合印發深入推進 IPv

132、6規模部署和應用 2023 年工作安排（以下簡稱工作安排）。工作安排明確了 2023 年工作目標：到 2023 年末，IPv6 活躍用戶數達到 7.5 億，物聯網 IPv6 連接數達到 3 億，固定網絡 IPv6北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司69流量占比達到 15%，移動網絡 IPv6 流量占比達到 55%。網絡、應用基礎設施承載能力和服務質量均優于 IPv4，云平臺和內容分發網絡 IPv6 服務覆蓋范圍持續拓展。相關鏈接：http:/ 公路水路關鍵信息基礎設施安全保護管理辦法10.交通運輸部公布 公路水路關鍵信息基礎設施安全保護管理辦法2023 年 5 月 6 日，

133、交通運輸部公布公路水路關鍵信息基礎設施安全保護管理辦法，自 2023年 6 月 1 日起施行，切實保障公路水路關鍵信息基礎設施安全，維護網絡安全。管理辦法包括總則、公路水路關鍵信息基礎設施認定、運營者責任義務、保障和監督、法律責任、附則。主要內容包括明確關基設施管理體制、建立關基設施認定機制、壓實運營者主體責任、加強對關基設施風險隱患的應急處置以及強化事前事中事后監管。相關鏈接：https:/ 網絡安全標準實踐指南網絡數據安全風險評估實施指引11.信安標委發布 網絡安全標準實踐指南網絡數據安全風險評估實施指引2023 年 5 月 29 日，全國信安標委發布網絡安全標準實踐指南網絡數據安全風險評

134、估實施指引，該實踐指南給出了網絡數據安全風險評估的評估思路、工作流程和評估內容，提出從數據安全管理、數據處理活動、數據安全技術、個人信息保護等方面評估安全風險。其中指出，網絡數據安全風險評估，主要圍繞數據和數據處理活動，聚焦可能影響數據的保密性、完整性、可用性和數據處理合理性的安全風險。相關鏈接：https:/ 2023 年度立法工作計劃12.國務院辦公廳發布國務院 2023 年度立法工作計劃2023 年 6 月 6 日，國務院辦公廳發布關于印發國務院 2023 年度立法工作計劃的通知，公布 2023 年度我國立法工作計劃。其中提出：在完善國家安全法治體系、維護國家安全和社會穩定方面，提請全國

135、人大常委會審議糧食安全保障法草案、保守國家秘密法修訂草案。制定網絡數據安全管理條例、煤礦安全生產條例、領事保護與協助條例、無人駕駛航空器飛行管理暫行條例。相關鏈接：https:/ 年 6 月 6 日，國家互聯網信息辦公室就近距離自組網信息服務管理規定（征求意見稿）公開征求意見。其中提出，近距離自組網信息服務使用者不得利用該服務發布、轉發違法信息；應當采取措施，防范和抵制制作、復制、發布不良信息；接收到違法和不良信息的，不得轉發，有權向網信等有關主管部門投訴、舉報。相關鏈接：http:/ 年 7 月 17 日，工業和信息化部與國家金融監督管理總局聯合印發了關于促進網絡安全保險規范健康發展的意見（

136、以下簡稱意見）。意見作為我國網絡安全保險領域的首份政策文件，立足我國網絡安全保險發展現狀和亟待解決的問題，以促進網絡安全保險規范健康發展為目標，圍繞完善政策標準、創新產品服務、強化技術支持、促進需求釋放、培育產業生態等提出 5方面 10 條意見。相關鏈接：https:/ 鐵路關鍵信息基礎設施安全保護管理辦法（征求意見稿）15.國家鐵路局發布 鐵路關鍵信息基礎設施安全保護管理辦法（征求意見稿）2023 年 7 月 18 日，為了保障鐵路關鍵信息基礎設施安全，維護網絡安全，根據中華人民共和國網絡安全法 關鍵信息基礎設施安全保護條例等法律、行政法規，國家鐵路局起草形成鐵路關鍵信息基礎設施安全保護管理

137、辦法（征求意見稿），系統解決鐵路關基設施安全保護實踐中存在的問題，以全面保障鐵路關基設施的安全運行。鐵路關鍵信息基礎設施龐大而復雜，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生和公共利益。相關鏈接：https:/ 中國人民銀行業務領域數據安全管理辦法（征求意見稿）16.中國人民銀行發布 中國人民銀行業務領域數據安全管理辦法（征求意見稿）2023 年 7 月 24 日，中國人民銀行業務領域數據安全管理辦法（征求意見稿）（以下簡稱辦法）面向社會公開征求意見。中國人民銀行研究起草辦法，指導督促相關數據處理者依法依規開展中國人民銀行業務領域數據處理活動，履行數據安全保護義務。主要

138、內容包括：一是規范數據分類分級要求，二是提出數據安全保護總體要求，三是壓實數據處理活動全流程安全合規底線，四是細化風險監測、評估審計、事件處置等合規要求，五是明確中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查，以及數據處理者違反規定時對應的法律責任。相關鏈接：http:/ 版）17.兩部門聯合發布國家車聯網產業標準體系建設指南（智能網聯汽車）（2023 版）2023 年 7 月 26 日，工業和信息化部、國家標準化管理委員會聯合修訂印發國家車聯網產業標準體系建設指南（智能網聯汽車）（2023 版）（以下簡稱指南 2023），旨在為車聯網產業提供框架更完善、內容更全面

139、、邏輯更清晰的標準體系建設指南。作為國家車聯網產業標準體系建設指南（智能網聯汽車）（2018 版）的繼承、延伸與完善，指南 2023充分考慮智能網聯汽車技術深度融合和跨領域協同的發展特點，設計了“三橫二縱”的技術邏輯架構，針對智能網聯汽車通用規范、核心技術與關鍵產品應用，構建包括智能網聯汽車基礎、技術、產品、試驗標準等在內的智能網聯汽車標準體系。相關鏈接：https:/ 網絡安全標準實踐指南生成式人工智能服務內容標識方法18.信安標委發布 網絡安全標準實踐指南生成式人工智能服務內容標識方法2023 年 8 月 25 日，為貫徹落實生成式人工智能服務管理暫行辦法中對生成內容進行標識的要求，指導生

140、成式人工智能服務提供者等有關單位做好內容標識工作，全國信息安全標準化技術委員會秘書處組織編制了網絡安全標準實踐指南生成式人工智能服務內容標識方法。本實踐指南圍繞文本、圖片、音頻、視頻四類生成內容給出了內容標識方法，可用于指導生成式人工智能服務提供者提高安全管理水平。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司72相關鏈接：https:/ 等 4 項國家標準公開征求意見19.信息安全技術重要數據處理安全要求 等 4 項國家標準公開征求意見2023 年 8 月 25 日，全國信息安全標準化技術委員會歸口的信息安全技術重要數據處理安全要求等 4 項國家標準現已形成標準征求意見稿。重要數據

141、處理安全要求標準文件系依據國家有關數據安全的法律法規制定，體現了國家對于數據安全的重視，該標準的制定與實施，也有助于應對來自國際網絡與數據安全的挑戰。相關鏈接：https:/ 3項國家標準公開征求意見20.信息安全技術網絡攻擊和網絡攻擊事件判定準則等 3項國家標準公開征求意見2023 年 8 月 25 日，全國信息安全標準化技術委員會歸口的信息安全技術網絡攻擊和網絡攻擊事件判定準則等 3 項國家標準現已形成標準征求意見稿。信息安全技術網絡攻擊和網絡攻擊事件判定準則要求，應在網絡攻擊和網絡攻擊事件判定、態勢信息共享工作中，對各類網絡攻擊（事件）的識別、判定技術指標、該如何開展各類網絡攻擊（事件）

142、的統計、比較等方面，形成符合當前主流業內實踐的、切實可操作的統一認識，切實解決目前攻擊檢測、安全態勢感知能力建設過程中的實際問題，制定具有通用性的規范。相關鏈接：https:/ 等四項網絡安全國家標準獲批發布21.信息安全技術網絡安全服務能力要求 等四項網絡安全國家標準獲批發布9 月 7 日，國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2023 年第 9 號），全國信息安全標準化技術委員會歸口的 4 項國家標準正式發布。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司73信息安全技術網絡安全服務能力要求規定了網絡安全服務機構提供網絡安全服務應具備的能力。

143、適用于指導網絡安全服務機構開展網絡安全服務，以及評價網絡安全服務機構的能力水平，也可為網絡安全服務需求方選擇網絡安全服務機構時提供參考。相關鏈接：https:/ 年 9 月 13 日，全國信安標委日前發布了國家標準信息安全技術網絡安全保險應用指南征求意見稿（以下簡稱指南），作為首個該領域的國家標準，從網絡安全保險的實際應用過程出發，切實解決投保企業對于網絡安全保險缺乏統一理解，對網絡安全風險和保險保障范圍認知差異較大，以及網絡安全保險應用中的基本方法等問題。相關鏈接：https:/ 關于進一步加強網絡侵權信息舉報工作的指導意見23.中央網信辦印發 關于進一步加強網絡侵權信息舉報工作的指導意見2

144、023 年 9 月 15 日，中央網信辦印發關于進一步加強網絡侵權信息舉報工作的指導意見（以下簡稱指導意見），對網絡侵權信息舉報工作進行系統謀劃和整體安排，旨在維護保障廣大網民網絡合法權益。中央網信辦有關負責人指出，制定出臺指導意見，對推動網絡生態治理，更好維護保障廣大網民網絡合法權益具有重要意義。指導意見明確網絡侵權信息舉報工作兩大任務。一是切實保護公民個人網絡合法權益，二是切實維護企業網絡合法權益。北京瑞星網安技術股份有限公司北京瑞星網安技術股份有限公司74相關鏈接：http:/ 規范和促進數據跨境流動規定（征求意見稿）公開征求意見的通知24.國家互聯網信息辦公室關于 規范和促進數據跨境流

145、動規定（征求意見稿）公開征求意見的通知2023 年 9 月 28 日，為保障國家數據安全，保護個人信息權益，進一步規范和促進數據依法有序自由流動，國家互聯網信息辦公室 28 日就規范和促進數據跨境流動規定（征求意見稿）公開征求意見。征求意見稿提出，向境外提供 100 萬人以上個人信息的，應當申報數據出境安全評估。征求意見稿指出，國際貿易、學術合作、跨國生產制造和市場營銷等活動中產生的數據出境，不包含個人信息或者重要數據的，不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。相關鏈接：http:/ 算力基礎設施高質量發展行動計劃的通知25.工業和信息化部等六部門關于印發

146、算力基礎設施高質量發展行動計劃的通知2023 年 10 月 8 日，工信部和信息化部、中央網信辦、教育部、國家衛生健康委、中國人民銀行、國務院國資委六部門聯合印發算力基礎設施高質量發展行動計劃，在該項政策文件中提出到 2025 年，算力在計算力、運載力、存儲力、應用賦能等層面將有巨大突破，能夠充分推動數字經濟發展，助力中國數字產業轉型升級。相關鏈接：https:/ 年 10 月 16 日，國務院總理李強簽署第 766 號國務院令，公布未成年人網絡保護條例（以下簡稱條例），自 2024 年 1 月 1 日起施行。黨中央、國務院高度重視未成年人網絡保護工作。近年來，互聯網的飛速發展拓展了未成年人學

147、習、生活空間，同時也引發了全社會對未成年人網絡保護問題的關注。條例旨在營造有利于未成年人身心健康的網絡環境，保障未成年人合法權益，為未成年人網絡保護提供有力的法治保障。相關鏈接：https:/ 年 10 月 24 日，為加快建立健全工業互聯網安全管理制度體系，深入實施工業互聯網安全分類分級管理，工信部公開征求對工業互聯網安全分類分級管理辦法（公開征求意見稿）的意見。意見稿指出，工業互聯網企業應當按照工業互聯網安全定級相關標準規范，結合企業規模、業務范圍、應用工業互聯網的程度、運營重要系統的程度、掌握重要數據的程度、對行業發展和產業鏈供應鏈安全的重要程度以及發生網絡安全事件的影響后果等要素，開展

148、自主定級。工業互聯網企業級別由高到低分為三級、二級、一級。相關鏈接：https:/ 年 11 月 1 日，全國信息安全標準化技術委員會發布網絡安全標準實踐指南粵港澳大灣區跨境個人信息保護要求（征求意見稿）。文件規定了粵港澳大灣區跨境處理個人信息應遵循的基本原則和保護要求，為實施粵港澳大灣區個人信息保護認證提供了認證依據，也為大灣區個人信息處理者規范個人信息跨境處理活動提供參考。相關鏈接：https:/ 年 11 月 13 日，為貫徹落實數據安全法、網絡安全法等相關法律的要求，加強會計師事務所數據安全管理，規范會計師事務所數據處理活動，財政部、國家網信辦聯合起草了會計師事務所數據安全管理暫行辦法

149、（征求意見稿）(以下簡稱辦法）。辦法對數據傳輸、數據加密、數據備份等事項作出具體規定，對數據管理技術手段、數據存儲方式、日志管理等提出具體要求。會計師事務所應當綜合采取網絡隔離、用戶認證、訪問控制、數據加密、病毒防范、非法入侵檢測等技術手段加強數據管理，相關數據應當存儲中國境內。相關鏈接：http:/ 年 11 月 23 日，工業和信息化部網絡安全管理局發布工業和信息化領域數據安全行政處罰裁量指引（試行）（征求意見稿）。旨在貫徹落實數據安全法工業和信息化領域數據安全管理辦法（試行），推動工業和信息化領域數據安全行政處罰工作制度化、規范化開展。裁量指引作為我國數據安全法的配套文件，對工業和信息化

150、領域的數據安全處罰裁量基準和裁量尺度進行了細化，同時也明確了工業和信息化領域數據處理者的數據安全保護義務，為構建數據安全體系提供了合規建設指引。相關鏈接：https:/ 網絡安全標準實踐指南網絡安全產品互聯互通資產信息格式（征求意見稿）31.全國信安標委發布 網絡安全標準實踐指南網絡安全產品互聯互通資產信息格式（征求意見稿）2023 年 11 月 28 日，為促進網絡安全產品互聯互通資產信息有效互通和整合，指導網絡安全產品互聯互通功能的設計、開發、應用和測試，全國信息安全標準化技術委員會秘書處發布網絡安全標準實踐指南網絡安全產品互聯互通資產信息格式（征求意見稿）。實踐指南規范了網絡安全產品互聯

151、互通資產信息的描述格式，適用于網絡安全產品互聯互通的設計、開發、應用和測試。相關鏈接：https:/ 網絡安全標準實踐指南網絡安全產品互聯互通告警信息格式32.全國信安標委發布 網絡安全標準實踐指南網絡安全產品互聯互通告警信息格式2023 年 11 月 28 日，為促進網絡安全產品互聯互通告警信息有效互通和整合，全國信息安全標準化技術委員會發布了網絡安全標準實踐指南網絡安全產品互聯互通告警信息格式。實踐指南規范了網絡安全產品互聯互通告警信息的描述格式，從不同網絡安全產品告警信息有效互通和整合的角度出發，將網絡安全產品告警信息類型分為惡意程序告警、網絡攻擊告警、數據安全告警、異常行為告警和其他告

152、警 5 類，并細分為 21 個子類，規范了各類告警信息的通用信息和專有信息格式，并給出對應的字段表，包括字段名稱、字段說明、字段類型以及是否必填等字段。相關鏈接：https:/ 年 12 月 8 日，為了規范網絡安全事件的報告，減少網絡安全事件造成的損失和危害，維護國家網絡安全，依據中華人民共和國網絡安全法等法律法規，國家互聯網信息辦公室起草了網絡安全事件報告管理辦法（征求意見稿）。征求意見稿指出，網絡安全事件是指由于人為原因、軟硬件缺陷或故障、自然災害等，對網絡和信息系統或其中的數據造成危害，對社會造成負面影響的事件。在發生網絡安全事件時，運營者應當及時啟動應急預案進行處置。按照網絡安全事件

153、分級指南，屬于較大、重大或特別重大網絡安全事件的，應當于 1 小時內進行報告。相關鏈接：http:/ 年 12 月 10 日，為落實中華人民共和國國家互聯網信息辦公室與香港特別行政區政府創新科技及工業局關于促進粵港澳大灣區數據跨境流動的合作備忘錄關于“共同制定粵港澳大灣區個人信息跨境標準合同并組織實施，加強個人信息跨境標準合同備案管理”的合作措施，國家互聯網信息辦公室與香港創新科技及工業局共同制定粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引。相關鏈接：http:/ 年 12 月 14 日，為貫徹落實 數據安全法 工業和信息化領域數據安全管理辦法（試行），推動工業和信息化領域數據安全應急處置工作制度化、規范化開展，工業和信息化部網絡安全管理局研究起草了工業和信息化領域數據安全事件應急預案（試行），并向全社會發布征求意見稿。應急預案提出，數據安全事件應急工作應當堅持統一領導、分級負責。堅持統一指揮、密切協同、快速反應、科學處置。堅持“誰管業務、誰管業務數據、誰管數據安全”，落實數據處理者的數據安全主體責任。相關鏈接：https:/