《深信服:2023網絡安全深度洞察及2024年趨勢研判(86頁).pdf》由會員分享,可在線閱讀,更多相關《深信服:2023網絡安全深度洞察及2024年趨勢研判(86頁).pdf(86頁珍藏版)》請在三個皮匠報告上搜索。
1、2023網絡安全深度洞察及2024年趨勢研判DEEP INSIGHT INTO NETWORK SECURITY IN 2023AND TREND ANALYSIS IN 2024引言2023 年,生成式人工智能和各種大模型迅速應用在網絡攻擊與對抗中,帶來了新型攻防場景和安全威脅。漏洞利用鏈組合攻擊實現攻擊效果加成,在國家級對抗中頻繁使用。勒索團伙廣泛利用多個信創系統漏洞,對企業數據安全與財產安全造成了嚴重威脅。數據泄露問題頻頻出現,個人信息泄露成為了關注的焦點;同時,境外網絡攻擊勢力不斷刺探,APT 攻擊技術不斷更新。2023 年網絡安全呈現出哪些演變趨勢?本報告將重點圍繞安全漏洞、惡意軟件
2、、數據安全和 APT 攻擊四個領域展開觀察,并對 2024 年網絡安全需重點關注的方向進行深入思考。摘要0day 漏洞利用平均發現天數逐年縮短01漏洞利用鏈組合攻擊在 APT 攻擊中廣泛流行022023 年國內外活躍惡意軟件組織有較大差異03勒索團伙采取多種新型方式提高贖金繳納率04銀狐遠控木馬在國內橫行肆虐,Qakbot 僵尸網絡影響遍布全球05人工智能技術安全風險成為全球關注熱點06數據泄露已成為影響數據安全的主要事件07海蓮花、蔓靈花、摩柯草為代表的東南亞和南亞地區 APT 組織對我國表現出高度活躍的攻擊態勢08BYOVD 攻擊技術得到快速普及、使用門檻降低09供應鏈攻擊成為 APT 組
3、織獲取初始權限的流行方式10目錄引言摘要一、安全漏洞態勢安全漏洞治理情況國外安全漏洞治理動向我國安全漏洞治理動向安全漏洞總體情況漏洞公開披露情況漏洞利用情況0day漏洞利用發現情況關鍵被利用0day漏洞盤點關鍵漏洞分析WindowsWebLogicChromeF5 BIG-IP安全漏洞態勢小結二、惡意軟件態勢惡意軟件治理情況國外惡意軟件治理動向國內惡意軟件治理動向惡意軟件攻擊總體情況惡意軟件攻擊情況惡意軟件類型分布惡意軟件攻擊行業分布惡意軟件攻擊地區分布惡意軟件活躍組織01010102030305070809091317192122222223242425252627惡意軟件活躍組織分析勒索軟
4、件活躍團伙遠控木馬活躍組織僵尸網絡活躍團伙挖礦病毒活躍團伙惡意軟件典型攻擊事件某國有銀行美國子公司遭Lockbit3.0勒索軟件攻擊國內某綜合安防管理平臺勒索事件銀狐集合體大肆對國內開展惡意網絡攻擊惡意軟件態勢小結三、數據安全態勢數據安全治理情況國外數據安全治理動向我國數據安全治理動向數據泄露總體情況重要數據泄露事件情況非法交易情報中數據泄露情況勒索團伙數據泄露情況我國重點數據泄露事件分析接口濫用導致政務敏感數據泄露事件多個黑客論壇泄露我國數據合集事件某高校因3萬余條師生個人信息數據泄露被罰款80萬元重點數據泄露事件分析小結數據安全態勢小結282832353740404041424343434
5、446464850525253545455目錄四、APT攻擊態勢APT攻擊活動態勢APT組織攻擊總體態勢南亞活躍APT組織態勢東亞活躍APT組織態勢東南亞活躍APT組織態勢東歐活躍APT組織態勢APT攻擊流行技術趨勢軟件供應鏈攻擊獲取APT攻擊初始權限開源組件二次開發以降低APT攻擊成本BYOVD濫用過時驅動以對抗殺軟網絡釣魚戰術升級加大迷惑性典型APT攻擊事件某高校高新行業實驗室被高精準社工魚叉攻擊蔓靈花利用開源遠控組件攻擊某政府機關單位UNC4736組織利用雙重供應鏈攻擊3CX公司美國情報機構針對iOS設備的移動端APT活動蔓靈花組織利用國產辦公軟件WPS開展釣魚攻擊APT攻擊態勢小結五、
6、2024年重點關注趨勢六、參考鏈接附錄 APT組織攻擊動態報告信息56565657606263656566666768686869697070717376安全漏洞態勢安全漏洞治理情況當今世界正處于百年未有之大變局,網絡空間日益成為全球治理的重要領域,深刻影響著各國政治、經濟和社會等各個方面。安全漏洞是網絡空間系統建設中不可避免的問題,也是全球網絡安全事件的主要原因。從重要系統中的“零日漏洞”到網絡上的歷史漏洞,都是數字化發展中的薄弱環節。一旦被惡意主體利用攻擊,就會對信息系統安全造成損害,進而對國家、社會和公眾造成重大損失??v觀國際,美國在漏洞治理領域具有先發優勢。經過多年發展,已建立了完善的
7、漏洞治理體系。其中,美國國土安全部(DHS)及其下屬的網絡安全和基礎設施安全局(CISA)在漏洞的發現、收集、驗證、評估、修復、披露和跟蹤等方面發揮了關鍵的統籌協調作用。因此,以 CISA 為例研究美國漏洞治理體系的歷史沿革、主要內容和實施效果,對于加強我國漏洞治理政策具有一定的借鑒意義。(一)美國通過制定政策提升漏洞共享能力,強化國家級網絡安全綜合治理能力。觀察美國網絡安全戰略,“協調”和“共享”一直是其網絡安全戰略的主旋律,2021 年 5 月拜登政府簽署改善國家網絡安全的行政命令,明確提出消除政府和私營部門之間威脅信息共享的障礙。CISA 將統籌漏洞治理作為重要任務,通過協同漏洞披露(C
8、VD)、漏洞披露策略(VDP)、相關約束性操作指令(BOD)等措施加強了聯邦政府和私營部門的協調和合作,實現了對關鍵基礎設施漏洞威脅的及時發現和消控,加強了漏洞管控統籌協調,提升了漏洞資源共享共治水平,強化了美國國家級網絡安全漏洞綜合治理能力。國外安全漏洞治理動向012023網絡安全深度洞察及2024年趨勢研判(二)CISA 新戰略計劃降低關鍵信息基礎設施風險,增強國家級威脅防御能力。2022 年 9 月,CISA 發布“2023-2025 年戰略計劃”,本計劃是 CISA 自 2018 年成立以來第一個全面的戰略計劃。計劃指出國家努力的重點是確定哪些系統和資產對國家真正至關重要,發現關鍵信息
9、基礎設施的脆弱性,并采取行動管理來降低其風險。計劃的首要目標就是建立國家級防御網絡攻擊并從中恢復的能力,CISA 作為美國的網絡防御機構,將與全球建立全面戰略伙伴關系,共建國家級威脅防御能力。(三)CISA 頒布指令加強漏洞修復,降低被利用風險。2021 年 11 月,CISA 頒布約束性操作指令(BOD)22-01,降低已知利用漏洞的重大風險,要求所有聯邦民事行政部門(FCEB)機構都必須在規定的時間內修復已知被利用漏洞(KEV)目錄中的漏洞。CISA 強烈建議所有利益相關者將已知被 利用漏洞(KEV)目錄的漏洞納入其漏洞管理計劃的一部分,通過優先修復目錄中列出的漏洞來增強其安全性和恢復能力
10、。(一)我國漏洞政策出臺旨在維護國家網絡安全和保障網絡產品穩定運行。根據網絡安全法關于漏洞管理有關要求,工業和信息化部、國家互聯網信息辦公室、公安部聯合制定網絡產品安全漏洞管理規定,主要目的是維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行,規范漏洞發現、報告、修補和發布等行為,明確網絡產品提供者、網絡運營者、以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務;鼓勵各類主體發揮各自技術和機制優勢開展漏洞發現、收集、發布等相關工作。(二)我國持續推進網絡產品安全漏洞管理規定落實工作,從政策宣貫、機制完善、平臺建設多方面抓好落實。一是加強了政策宣貫,做好對相關企業機構的
11、政策咨詢和工作指導,引導漏洞收集平臺依法依規開展漏洞收集和發布。二是完善了相關工作機制,建立健全漏洞評估、發布、通報等重要環節的工作機制,明確了漏洞收集平臺備案方式和報送內容。三是加強了工業和信息化部網絡安全威脅和漏洞信息共享平臺建設,做好與其他漏洞平臺、漏洞庫的信息共享,提升平臺技術支撐能力。(三)我國安全建設持續加碼,相關政策法規的出臺推動了國產漏洞管理工作制度化、規范化、法治化。隨著我國國產升級持續加碼,安全問題也隨之全方位凸顯。我國相繼出臺網絡安全法、網絡產品安全漏洞管理規定等法律法規,以及正在編寫的相關國產升級漏洞國家標準,持續推動國產升級漏洞管理工作的制度化、規范化、法治化,進一步
12、提高相關主體漏洞的管理水平,為國家的數字化建設筑牢安全基底。我國安全漏洞治理動向022023網絡安全深度洞察及2024年趨勢研判安全漏洞總體情況漏洞收錄數量逐年增長,超危漏洞占比整體呈上升趨勢。截止 2023 年 11 月 30 日,國家信息安全漏洞庫(CNNVD)共收錄 2023 年漏洞信息 25748 條,近 10 年漏洞收錄情況如圖 1-1 所示,可以看出,漏洞收錄數量逐年增長,超危漏洞占比整體呈上升趨勢,超危漏洞占比峰值為 2022 年(占比 16.7%),按照歷年收錄漏洞數量及超危漏洞占比趨勢推測,預計明年漏洞收錄數量和超危漏洞占比將進一步增長。漏洞公開披露情況近十年漏洞收錄情況根據
13、國家信息安全漏洞共享平臺(CNVD)統計數據顯示,截至 2023 年 11 月 30 日,近 5 年來漏洞影響對象占比情況如圖 1-2 所示。Web 應用漏洞占比逐年上升,而應用程序漏洞占比逐年下降。網絡設備漏洞占比呈小幅上升趨勢,操作系統漏洞占比呈小幅下降趨勢。Web 應用漏洞主要是由于缺乏安全意識、不當的輸入驗證、不正確的訪問控制、不安全的編碼等因素產生。隨著互聯網的飛速發展和 Web 應用程序的廣泛使用,Web 應用漏洞占比逐年上升。應用程序漏洞主要是由于應用程序結構復雜、新技術不斷涌現以及編碼問題等因素產生。近年來,互聯網的快速發展和Web 應用程序的廣泛應用,導致應用程序漏洞占比逐年
14、下降。漏洞影響對象情況圖1-1 CNNVD近十年漏洞收錄情況CNNVD近十年漏洞收錄情況30000250002000015000100005000018.0%16.0%14.0%12.0%10.0%2.0%4.0%6.0%8.0%0.0%2014年2015年2016年2017年2018年2019年2020年2021年2022年2023年82208.6%總數超危占比77359.1%862212.5%1467115.2%1630714.3%1783314.3%1904813.8%2082713.1%2492116.7%2574815.4%032023網絡安全深度洞察及2024年趨勢研判根據國家信息
15、安全漏洞共享平臺(CNVD)統計數據顯示,2023 年 1 月至 11 月,網絡攻擊主要趨向于破壞性攻擊。其中,由漏洞引發的最主要威脅是未授權信息泄露,可能導致個人隱私被侵犯、財務損失、商業信譽受損甚至法律訴訟。未授權信息泄露也為黑客攻擊提供了前置條件,泄露的敏感信息如秘鑰、token 等可被惡意攻擊者利用,訪問受保護的資源或執行未經授權的操作。其次是管理員訪問權限獲取,一旦獲得管理員權限,攻擊者便能完全控制系統,訪問敏感數據、更改系統設置、甚至進行其他惡意活動。黑客攻擊手段通??煞譃榉瞧茐男怨艉推茐男怨魞深?。非破壞性攻擊旨在擾亂系統運行,而破壞性攻擊則以入侵系統、盜取機密信息、破壞數據為
16、目的。我國網絡攻擊以破壞性攻擊為主,可能導致系統崩潰、數據丟失、服務中斷等嚴重后果,對受害者造成極大損失。CNVD近5年漏洞影響對象類型占比情況圖1-2 CNVD近5年漏洞影響對象類型占比情況操作系統智能設備應用程序Web應用安全產品數據庫網絡設備50.0%40.0%30.0%20.0%60.0%10.0%0.0%2019年2020年2021年2022年2023年2023年漏洞引發威脅情況圖1-3 2023年漏洞引發威脅情況管理員訪問權限獲取未授權信息泄露普通用戶訪問權限獲取其他未知拒絕服務未授權信息修改管理員訪問權限獲取 27.3%未知0.1%其他0.3%拒絕服務11.0%未授權信息修改 6
17、.8%普通用戶訪問權限獲取 0.1%未授權信息泄露54.4%漏洞引發威脅情況042023網絡安全深度洞察及2024年趨勢研判近 10 年來,已知被利用漏洞(KEV)目錄持續更新,目前包含超過 1000 個已知被利用漏洞。該目錄的收錄標準包括漏洞已分配 CVE 編號、有可靠證據表明該漏洞在真實攻擊中已被積極利用、漏洞已有明確的補救措施。針對已知被利用漏洞(KEV)的分析顯示,近 10 年真實漏洞利用數量總體呈現先上升后下降的趨勢。2021 年漏洞利用總數和被勒索軟件利用數量分別達到了 118 個和 54 個的峰值。2021 年以前,漏洞利用總數呈上升趨勢,但在 2021 年后開始下降。CISA
18、將漏洞治理作為重要任務,并通過協同漏洞披露、漏洞披露策略、相關約束性操作指令等措施取得了初步成效。特別值得注意的是,2021 年后被勒索軟件利用漏洞的數量也呈下降趨勢,這與西方國家開展的打擊勒索軟件活動密切相關。許多勒索軟件事件是攻擊者利用已知漏洞實施的,因此漏洞治理的成功對于減少勒索軟件攻擊具有重要意義。漏洞利用情況近十年漏洞利用情況KEV目錄近十年漏洞利用情況圖1-4 KEV目錄近十年漏洞利用情況CVE總數被勒索軟件利用數量CVE-2014CVE-2015CVE-2016CVE-2017CVE-2018CVE-2019CVE-2020CVE-2021CVE-2022CVE-20230432
19、55780188131108341311318854115251091528052023網絡安全深度洞察及2024年趨勢研判根據已知被利用漏洞(KEV)目錄進行統計分析,已知被利用漏洞廠商分布與廠商漏洞增長情況如圖 1-5 所示,廠商漏洞排名靠前的有 Microsoft(275 個)、Cisco(68 個)和 Apple(68 個)。對比 2022 年數據,各廠商已知被利用漏洞增長情況如折線所示,增速較高的是 Apache、Apple、Google、Oracle 等廠商,按照增長率推算,預計明年 Apache、Apple、Google、Oracle 等廠商的已知被利用漏洞數量將增長明顯。圖 1
20、-6 為已知被利用漏洞產品分布情況,Windows 操作系統是受影響最嚴重的產品,占比 10.4%。Windows 操作系統是目前應用最廣泛的操作系統之一,其用戶遍布全球。根據深信服千里目安全技術中心數據顯示,Windows 全球公網資產超過 1.2 億,中國公網資產超過 2200 萬,其影響之大可見一斑。建議國內用戶重點針對 Windows 操作系統進行漏洞評估,及時修補漏洞,以保障系統的安全性。排名第二的產品是 Internet Explorer,占比 3.0%,漏洞類型主要以遠程代碼執行和內存損壞為主。瀏覽器漏洞的危害性是非常大的,黑客可以利用漏洞來執行惡意代碼、竊取用戶敏感信息等。利用
21、釣魚鏈接觸發瀏覽器漏洞獲取權限是 APT 組織和黑灰產團伙常見攻擊手段之一,這種攻擊手法隱蔽性更高,用戶往往難以察覺攻擊的存在,而且攻擊者可以通過不斷改變攻擊方式和手段來規避安全防護措施。被利用漏洞主要廠商及產品情況被利用漏洞主要廠商漏洞分布與增長情況圖1-5 已知被利用漏洞廠商漏洞分布與漏洞增長情況漏洞數量增長率250503330200150100300500MicrosoftCiscoAdobeAppleGoogleOracleApache25.0%20.0%15.0%10.0%5.0%0.0%11.3%11.5%10.2%18.8%17.9%19.0%20.0%275656868KEV目
22、錄被利用漏洞產品分布情況圖1-6 已知被利用漏洞產品分布情況Internet ExplorerFlash PlayerOfficeIOS and IOS XE SoftwareExchange ServerWin32KChromium V8 EngineWindows其他KernelWindows 10.4%其他 72.7%Internet Explorer 3%Flash Player 2.8%Chromium V8 Engine 2.4%Office 2.3%Win32K 2.4%Exchange Server 1.3%IOS and IOS XE Software 1.3%Kernel
23、1.3%062023網絡安全深度洞察及2024年趨勢研判0day 漏洞利用平均發現天數逐年縮短。根據谷歌團隊跟蹤的 0day 被利用漏洞情況進行分析,近 10 年 0day 漏洞利用發現情況如下圖所示,可以看出,0day 漏洞利用平均發現天數整體呈現下降趨勢,2023 年 0day 漏洞利用平均發現天數已經縮短為 2014 年的五分之一,說明被利用 0day 漏洞數量在逐年上升。2021 年 0day 漏洞利用平均發現天數最小,平均而言,每 5.3 天就會發現一個新的被利用 0day 漏洞,但實際上,這些漏洞通常聚集在同一天發現的漏洞鏈中。被利用 0day 漏洞數量之所以攀升如此明顯,最主要原
24、因是黑客利用 0day 漏洞進行攻擊能夠更高概率的躲避現有安全體系的防御措施,提高攻擊成功率。0day漏洞利用發現情況0day在野利用漏洞平均發現天數(單位:天)圖1-7 漏洞利用發現情況352530201510502014年2015年2016年2017年2018年2019年2020年2021年2022年2023年33.213.014.616.630.418.314.65.39.15.9系列1072023網絡安全深度洞察及2024年趨勢研判關鍵被利用0day漏洞盤點表1-1 2023年關鍵0day漏洞利用盤點Microsoft Outlook 特權提升漏洞(CVE-2023-23397)Win
25、dows CLFS 驅動程序權限提升漏洞(CVE-2023-28252)Zimbra Collaboration Suite 跨站腳本漏洞(CVE-2023-37580)MOVEit Transfer HTTP SQL注入漏洞(CVE-2023-34362)Windows Search遠程代碼執行漏洞(CVE-2023-36884)WinRAR 代碼執行漏洞(CVE-2023-38831)Adobe Acrobat PDF Reader遠程代碼執行漏洞(CVE-2023-26369)Atlassian Confluence Data Center and Server權限提升漏洞(CVE-20
26、23-22515)Apache ActiveMQ遠程代碼執行漏洞(CVE-2023-46604)Google Chrome整數溢出漏洞(CVE-2023-6345)0day在野利用漏洞名稱漏洞類型危害級別利用場景發現時間權限提升超危APT3月權限提升高危勒索4月跨站腳本中危APT6月SQL注入超危勒索6月代碼執行高危APT、勒索7月代碼執行高危APT7月代碼執行高危APT9月權限提升超危APT、勒索10月代碼執行超危勒索、挖礦10月整數溢出超危APT11月082023網絡安全深度洞察及2024年趨勢研判關鍵漏洞分析Microsoft Windows,是微軟以圖形用戶界面為主推出的一系列專有商業
27、軟件操作系統。它于 1985 年問世,起初為運行于 MS-DOS 之下的桌面環境,其后續版本逐漸發展成為主要為個人電腦和服務器用戶設計的操作系統,Windows 以超過90%的市場份額占領了全球個人計算機市場,并最終獲得了世界個人電腦操作系統的壟斷地位。Windows產品介紹根據深信服千里目安全技術中心數據顯示,Windows 操作系統流行版本全網使用量分布情況如圖 1-8 所示,從服務器操作系統在中國大陸使用量來看,Windows Server 各個版本使用量主要分布在北京市、廣東省和浙江省,其次使用量較高的是上海市和山東省。Windows 服務器操作系統在中國大陸公網的資產超過 880 萬
28、,其中資產數量最多的版本是Windows Server 2012,超過 480 萬。桌面操作系統 Windows 中國大陸使用量主要分布在北京市、廣東省和浙江省,其次是上海市和江蘇省。12 月,Windows 主流桌面系統各個版本中國公網資產超過 660 萬,對比 6 月公網資產減少 53 萬,12 月對比 6 月 Windows 主流桌面系統中國大陸占比全球整體呈下降趨勢,而數據顯示 Windows 全球公網資產呈上升趨勢,可能是 Windows 桌面操作系統的中國大陸市場份額被其他桌面操作系統瓜分,不過 Windows 桌面操作系統目前依然是市場主流操作系統。雖然 Windows 7 和
29、Windows 10 已經發布了很長時間,但它們仍然是當前最流行的桌面操作系統。根據表 1-2,對 2023 年 Windows 關鍵漏洞進行盤點,幾乎每個關鍵漏洞都影響了 Windows 操作系統各個流行版本,并且多個漏洞已被發現真實利用情況,數據顯示,Windows 系統漏洞是已知被利用漏洞(KEV)目錄和谷歌跟蹤 0day 漏洞利用名單的榜首,是漏洞利用數量最多的產品。Windows 操作系統漏洞對我國的潛在安全影響是非常嚴重的,由于Windows 操作系統在我國的計算機市場占有率較高,其漏洞可能會影響大量的計算機和用戶。這些漏洞可能會導致計算機系統被黑客攻擊,造成數據泄露、系統癱瘓、網
30、絡癱瘓等問題,給我國的經濟和社會帶來嚴重的損失。影響分布092023網絡安全深度洞察及2024年趨勢研判圖1-8 Windows主流操作系統分布情況表1-2 2023年Windows操作系統關鍵漏洞盤點Windows Server2012Windows Server2016Windows Server2019Windows Server2022Windows 7Windows 10Windows 11北京廣東上海浙江山東12月大陸占比全球6月大陸占比全球050,000100,000150,000200,000250,000300,000350,000400,000450,00005%10%15
31、%20%25%30%35%40%45%涉及漏洞WindowsALPCCVE-2023-21674CVE-2023-29336CVE-2023-21823WindowsWin32KWindowsGraphics產品嚴重等級CVE編號利用情況重要受影響的軟件Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Windows 8.1Windows 10Server 2016Server 2012 R2Server 2012Windows 11 22H2Window
32、s 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Server 2012Office UniversalOffice Android真實利用真實利用真實利用遠程代碼執行漏洞影響特權提升重要特權提升重要102023網絡安全深度洞察及2024年趨勢研判CVE-2023-32046WindowsMSHTML平臺CVE-2023-23376CVE-2023-28252WindowsCLFSWindowsErrorReportingServiceWindowsDWMCoreLibrary產品嚴重等級CVE編
33、號受影響的軟件利用情況Server 2022Server 2019Server 2012Server 2008Server 2016Windows 10Windows 11Server 2012Server 2008Server 2016Server 2022Server 2019Windows 10Windows 11Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Server 2012Windows 11 Windows 10Windows Serv
34、er 2008 Windows Server 2012 R2Windows Server 2012Windows Server 2016Windows Server 2022Server 2022Server 2019Server 2012Server 2008Server 2016Server 2012 R2Windows 10Windows 11Server 2019Server 2022Windows 11Windows 10Windows 11Windows 10Server 2022Server 2019真實利用真實利用真實利用真實利用真實利用真實利用真實利用CVE-2023-368
35、74CVE-2023-36802CVE-2023-36033CVE-2023-36036漏洞影響特權提升重要特權提升重要權限提升重要特權提升重要特權提升重要特權提升重要特權提升重要112023網絡安全深度洞察及2024年趨勢研判Windows 系統漏洞是已知被利用漏洞(KEV)目錄和谷歌跟蹤 0day 漏洞利用名單的榜首。根據已知被利用漏洞(KEV)目錄和谷歌跟蹤 0day 漏洞利用名單,2023 年被利用漏洞數量最多的產品是 Windows,截止 11 月 30 日,已知被利用漏洞(KEV)目錄收錄“CVE-2023”Windows 漏洞 18 個,谷歌跟蹤 0day 漏洞利用名單收錄“CV
36、E-2023”Windows 漏洞 12 個。由于 Windows 操作系統在我國的計算機市場占有率較高,其漏洞影響非常之大。Windows 操作系統 2023 年漏洞類型主要以特權提升和代碼執行為主,且多個重要漏洞幾乎影響全版本。2023 年已發現的被利用漏洞多以特權提升為主,在真實攻擊中,惡意攻擊者利用漏洞進行權限提升是非常普遍的,往往需要通過漏洞去執行惡意代碼或者訪問受限資源,從而控制系統或者獲取更多的敏感信息。12 月相較 6 月,Windows 全球公網資產增多,而中國大陸公網資產占比下降。這可能是因為 Windows 操作系統中國大陸市場份額被其他操作系統瓜分,不過 Windows
37、 桌面操作系統目前依然是市場主流操作系統。在列出的關鍵漏洞中已被利用的漏洞并非是等級為“嚴重”的,說明實際漏洞利用情況與 CVSS 評估情況存在一定差異。在評估漏洞時,需要考慮到實際環境中的因素,以確定漏洞的真實威脅程度。Windows 11 和 Windows Server 2022 是近一兩年發布的,目前相較 Windows 其他版本市場占有率偏低,并且新系統在發布之初相對來說還不夠成熟,出現安全問題幾率相對較大,預計未來兩年新發布操作系統的漏洞將進一步增多。Windows小結CVE-2023-24880WindowsSmartScreenCVE-2023-32049WindowsOLEW
38、indowsDHCPWindowsKernel產品嚴重等級CVE編號受影響的軟件利用情況Windows 10 Version 21H2Windows 11 version 21H2Windows 10 Version 20H2Windows Server 2022Windows Server 2019Windows 10 Version 1809Windows Server 2016Windows 10 Version 1607Windows 10 Version 22H2Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019W
39、indows 10Server 2016Server 2012 R2Server 2012Windows 10Windows 11Windows Server 2019 Windows Server 2022真實利用真實利用易被利用易被利用易被利用CVE-2023-29325嚴重CVE-2023-28231CVE-2023-24949重要重要重要Server 2022Server 2019Server 2016Windows 10Windows 11Server 2022Server 2019Server 2016Server 2012 R2Server 2012安全功能繞過重要安全功能繞過漏
40、洞影響遠程代碼執行遠程代碼執行特權提升122023網絡安全深度洞察及2024年趨勢研判WebLogic 是美國 Oracle 公司出品的一個 application server,WebLogic 是一種 Java EE 應用服務器,確切的說是一個基于 JAVAEE 架構的中間件。它提供了一個環境來開發、部署和管理 Java 應用程序,支持 Java EE 規范,如 Servlet、JSP、EJB、JMS、JDBC 等。WebLogic 還提供了高可用性、可伸縮性和安全性等特性,使其成為企業級應用程序的首選平臺之一。WebLogic 還提供了一些管理工具,如 WebLogic Server 控
41、制臺和 WebLogic Scripting Tool,以便管理員可以輕松地管理和監控 WebLogic 服務器。WebLogic產品介紹根據深信服千里目安全技術中心數據顯示,WebLogic 中國大陸公網使用量分布情況如圖 1-9 所示,排名靠前的區域有北京市(10611)和浙江?。?656),其次是廣東?。?955)和上海市(5065)。12 月中國大陸公網資產超過 5 萬,對比 6月中國大陸公網使用量增長超過 7000,各區域 WebLogic 資產也均呈增長趨勢。由于 WebLogic 部署在內網居多,其實際使用量遠超公網測繪資產量。圖1-9 WebLogic中國大陸使用量分布情況We
42、bLogic組件中國大陸使用量分布情況12月資產數量6月資產數量12,00010,0008,0006,0004,0002,0000北京10,6119,673浙江9,6568,692廣東69555,304上海5,0654,993山東2,2922,055四川1,4211,144湖南1,186445寧夏774166福建439393江蘇27122812月資產數量6月資產數量影響分布132023網絡安全深度洞察及2024年趨勢研判表1-3 2023年WebLogic關鍵漏洞盤點CVE-2023-21839CVE-2023-22069漏洞介紹CVE編號嚴重等級受影響軟件版本WebLogic Server1
43、2.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要嚴重WebLogic Server 遠程代碼執行漏洞未經身份驗證的遠程攻擊者通過 T3/IIOP 協議網絡訪問并破壞易受攻擊的 WebLogic 服務器,成功利用此漏洞可能導致 Oracle WebLogic 服務器被接管或敏感信息泄露。WebLogic Server 遠程代碼執行漏洞未經身份驗證的攻擊者通過 T3、IIOP 進行網絡訪問來破壞 O
44、racle WebLogic Server。成功利用此漏洞可能會導致 Oracle WebLogic Server 被接管。CVE-2023-22072Oracle WebLogicServer 12.2.1.3.0嚴重WebLogic Server 遠程代碼執行漏洞未經身份驗證的攻擊者通過 T3、IIOP 進行網絡訪問來破壞 Oracle WebLogic Server。成功利用此漏洞可能會導致 Oracle WebLogic Server 被接管。CVE-2023-22089Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1
45、.1.0.0嚴重WebLogic Server 遠程代碼執行漏洞未經身份驗證的攻擊者通過 T3、IIOP 進行網絡訪問來破壞 Oracle WebLogic Server。成功利用此漏洞可能會導致 Oracle WebLogic Server 被接管。CVE-2023-21838WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0重要WebLogic Server 拒絕服務漏洞未經身份驗證的攻擊者通過 T3、IIOP 進行網絡訪問,從而危及 Oracle WebLogic Server。成功攻擊此
46、漏洞可能導致未經授權的 Oracle WebLogic Server 掛起或頻繁重復崩潰(完全 DOS)。CVE-2023-21964WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0重要WebLogic Server 拒絕服務漏洞未經身份驗證的遠程攻擊者通過 T3 進行網絡訪問,從而危害 Oracle WebLogic Server。成功利用此漏洞會導致 Oracle WebLogic Server 掛起或頻繁重復崩潰,造成拒絕服務攻擊。CVE-2023-21996WebLogic Serve
47、r12.2.1.3.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要WebLogic Server 拒絕服務漏洞未經身份驗證的遠程攻擊者通過HTTP進行網絡訪問,從而危害 Oracle WebLogic Server。成功利用此漏洞會導致 Oracle WebLogic Server 掛起或頻繁重復崩潰,造成拒絕服務攻擊。涉及漏洞披露時間1月10月10月10月4月4月1月142023網絡安全深度洞察及2024年趨勢研判CVE-2023-21931CVE-2023-21979漏洞介紹CVE編號嚴重等級受影響軟件
48、版本WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server12.2.1.3.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要WebLogic Server 信息泄露漏洞未經身份驗證的遠程攻擊者通過 T3 進行網絡訪問,從而危害 Oracle WebLogic Server。此漏洞的成功攻擊可能導致對關鍵數據的未經授權的訪問或對所有Oracle WebLogic Server 可訪問數據
49、的完全訪問。WebLogic Server 信息泄露漏洞未經身份驗證的遠程攻擊者通過 T3 進行網絡訪問,從而危害 Oracle WebLogic Server。此漏洞的成功攻擊可能導致對關鍵數據的未經授權的訪問或對所有Oracle WebLogic Server 可訪問數據的完全訪問。CVE-2023-21842WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server 信息泄露漏洞未經身份驗證的攻擊者通過 HTTP 進行網絡訪問,從而危及 Oracle WebLogic
50、 Server。成功攻擊此漏洞可能導致對關鍵數據的未授權訪問或對所有 Oracle WebLogic Server 可訪問數據的完全訪問。CVE-2023-21837WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server 信息泄露漏洞未經身份驗證的攻擊者通過 IIOP 進行網絡訪問,從而危及 Oracle WebLogic Server。成功攻擊此漏洞可能導致對關鍵數據的未授權訪問或對所有 Oracle WebLogic Server 可訪問數據的完全訪問。CVE-20
51、23-22040Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0WebLogic Server 安全特性繞過漏洞具有高權限的遠程攻擊者可通過多種協議來利用此漏洞,成功利用此漏洞的攻擊可能導致對關鍵數據或所有可訪問的 Oracle WebLogic Server 數據的創建、刪除或修改,同時可能利用此漏洞造成拒絕服務。CVE-2023-21841WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Ser
52、ver 信息泄露漏洞未經身份驗證的攻擊者通過 T3、IIOP 進行網絡訪問,從而危及 Oracle WebLogic Server。成功攻擊此漏洞可能導致對關鍵數據的未授權訪問或對所有 Oracle WebLogic Server 可訪問數據的完全訪問。披露時間4月重要4月重要1月重要1月重要1月重要7月152023網絡安全深度洞察及2024年趨勢研判2023 年 WebLogic 漏洞多為 WebLogic Server 內核問題。從 2023 年 Oracle 官網發布補丁情況來看,2023 年 WebLogic漏洞類型多以拒絕服務、信息泄露和遠程代碼執行為主。其中,上半年漏洞類型多為信息
53、泄露和遠程代碼執行,下半年漏洞多為遠程代碼執行。對比 2022 年來看,2022 年下半年 WebLogic 漏洞多為第三方組件引入問題,2023 年漏洞多為WebLogic Server 內核問題。各區域 WebLogic 公網資產呈增長趨勢。排名靠前的區域有北京市(10611)和浙江?。?656),其次是廣東?。?955)和上海市(5065)。12 月中國大陸公網資產超過 5 萬,對比 6 月中國大陸公網使用量增長超過 7000。WebLogic Server 內核漏洞可能會導致攻擊者遠程執行任意代碼、繞過安全限制、泄露敏感信息等安全問題。CVE-2023-21839 是 2023 年的一
54、個典型 WebLogic Server 內核漏洞,未經身份驗證的遠程攻擊者通過 T3/IIOP 協議網絡訪問并破壞易受攻擊的 WebLogic 服務器,成功利用此漏洞可能導致 Oracle WebLogic 服務器被接管或敏感信息泄露。WebLogic 已經穩定運行了多年,是較為成熟的產品,根據近兩年 Oracle 發布漏洞數據來看,預計明年漏洞類型不會有明顯變化,或將在內核方面出現更多漏洞。WebLogic小結162023網絡安全深度洞察及2024年趨勢研判Chrome 是由 Google 開發的一款設計簡單、高效的 Web 瀏覽工具,特點是簡潔、快速。它支持多種操作系統,包括Windows
55、、MacOS、Linux 和 Android 等。Chrome 的特點包括快速的頁面加載速度、簡潔的用戶界面、強大的擴展功能和安全性能。Chrome 還支持多個標簽頁,可以同時瀏覽多個網頁,并且可以通過 Google 賬戶同步書簽、歷史記錄和其他設置。Chrome 也支持多種語言,包括中文。此外,Chrome 基于更強大的 JavaScriptV8 引擎,提升瀏覽器的處理速度。Chrome產品介紹根據深信服千里目安全技術中心數據,Chrome 瀏覽器中國大陸公網使用量分布情況如圖 1-10 所示,公網資產超過 100萬的區域有浙江省、北京市、廣東省、上海市和山東省,多為互聯網發達地區。中國大陸
56、公網資產超過 6000 萬,占全球比例 8.1%,對比 6 月全球比例下降 0.4%,中國大陸各省份資產相較 6 月整體呈增長趨勢。StatCounter 的 5 月研究報告顯示,Chrome 瀏覽器憑借 62.85%的全球份額穩居第一,由于 Chrome 使用范圍廣泛,因此其漏洞利用會影響大量用戶。圖1-10 Google Chrome瀏覽器中國大陸使用量分布情況Chrome瀏覽器中國大陸使用量分布情況12月公網資產數量6月公網資產數量6,000,0007,000,0005,000,0004,000,0003,000,0002,000,0001,000,0000浙江6,598,65,502,
57、6北京5,301,74,999,0廣東4,445,93,971,6上海2,640,02,444,8山東1,422,01,222,4江蘇1,081,8849,733福建706,336596,267四川612,100444,879湖南546,493442,637安徽459,200431,87112月公網資產數量6月公網資產數量影響分布172023網絡安全深度洞察及2024年趨勢研判從 Google Chrome 官網發布補丁情況來看,2023 年 Chrome 漏洞類型主要以類型混淆、釋放后重用、越界寫入為主。截止 11 月 30 日,已知被利用漏洞(KEV)目錄檢測到 Chrome 的 5 個被
58、利用漏洞有 2 個為類型混淆漏洞,2 個為越界寫入漏洞。根據谷歌團隊跟蹤的 0day 被利用情況顯示,2023 年跟蹤 7 個 0day 被利用漏洞中,3 個為類型混淆漏洞,2 個為越界寫入漏洞。2023 年漏洞數量和獎金總額偏低。根據 Google Chrome 官網披露數據,漏洞賞金金額最高的漏洞售價為 31000 美元,危害等級為重要,漏洞類型為類型混淆。Google Chrome 漏洞獎勵的金額一般從 500 美元到數萬美元不等,據不完全統計,2023 年 Chrome 單個漏洞金額超過 10000 美元的 Chrome 漏洞有 26 個,最高金額為 31000 美元,2023 年谷歌
59、公司為Chrome中的144個漏洞支付賞金總計近78萬美元,2022年谷歌公司為Chrome中473個漏洞支付賞金總計400萬美元。對比 2022 年賞金數據,2023 年漏洞數量和獎金總額偏低,有可能 Google 官網未給出 2023 年全量數據,但就目前披露情況來看,總體低于 2022 年。對比 6 月中國大陸公網資產占全球比例下降 0.4%,中國大陸各省份資產相較 6 月整體呈增長趨勢。2023 年 12 月,中國大陸公網資產超過 6000 萬,占全球比例 8.1%,公網資產超過 100 萬的區域有浙江省、北京市、廣東省、上海市、山東省和江蘇省,多為互聯網發達地區。Chrome小結表1
60、-4 2023年Google Chrome關鍵漏洞盤點漏洞類型漏洞價格CVE編號嚴重等級受影響軟件CVE-2023-2136整數溢出N/AGoogle Chrome112.0.5615.137重要CVE-2023-2033類型混淆N/AGoogle Chrome112.0.5615.121CVE-2023-3079類型混淆N/AGoogle Chrome114.0.5735.110CVE-2023-4762類型混淆待決定Google Chrome116.0.5845.179CVE-2023-4863越界寫入10000美元Google Chrome116.0.5845.187CVE-2023-5
61、217越界寫入N/AGoogle Chrome117.0.5938.132CVE-2023-6345整數溢出N/AGoogle Chrome119.0.6045.199嚴重嚴重CVE-2023-2457越界寫入17500 美元Google Chrome113.0.5672.114CVE-2023-2312釋放后重用30000 美元Google Chrome116.0.5845.96CVE-2023-1213資源管理錯誤15000 美元Google Chrome111.0.5563.64CVE-2023-4069類型混淆21000 美元Google Chrome115.0.5790.170CVE
62、-2023-0941釋放后重用待決定Google Chrome110.0.5481.177CVE-2023-0927釋放后重用31000 美元Google Chrome110.0.5481.177CVE-2023-3420類型混淆20000 美元Google Chrome114.0.5735.198CVE-2023-0471釋放后重用16000 美元Google Chrome=Telegram 暗網交易市場。非法數據交易的渠道分布從 2021 年起,RaidForums 黑客論壇的崛起,使利用黑客論壇泄露我國數據的情況大幅度增多,尤其是以 AgainstTheW-est 為代表的黑客組織在攻擊
63、我國大量單位并竊取數據后,使用黑客論壇公布成果并售賣數據以增加影響力。除了針對我國的數據泄露,黑客論壇還涉及全球各國黑灰產交易,各國監管持續打擊并逮捕了 RaidForums 黑客論壇運營者,之后出現BreachedForums 以替代 RaidForums 黑客論壇,成為 2022 至 2023 年的頂級黑客論壇,2023 年 3 月 BreachedForums也被 FBI 打擊并關閉。此后,我們陸續觀測到多個黑客論壇的出現和頻繁活動,意圖頂替 BreachedForums 論壇成為新一代頂級論壇,而這一現象促使 2023 年的數據泄露事件持續增多。對黑客論壇的跟蹤和監控是快速掌握我國數據
64、泄露事件發生的有效手段,以下將圍繞 2023 年數據泄露相關黑客論壇的發展情況和詳細信息盤點。BreachForums 是 2022 至 2023 年期間的頂級黑客論壇。2022 年 3 月,在 RaidForums 下線三周后,在 RaidForums 上非?;钴S的黑客 Pompompurin 決定用替代論壇 BreachForums 取代 RaidForums 黑客論壇。在成立的半年內,BreachForums 再次發展成為最受歡迎的黑客討論平臺之一,泄露數據的交易是該論壇的主要內容。2023 年 3 月 20 日,BreachForums 在其管理員 Pompompurin(真名 Con
65、or Brian Fitzpatrick)被捕后關閉,隨后另一管理員 Baphomet聲稱執法部門已經獲得了對論壇服務器的訪問權限,并最終決定關閉該論壇。此后,在 BreachForums 的用戶開始向新的論壇轉移,一是向本就存在的其他流行黑客論壇轉移,例如 XSS、Exploit、Cracked、Nulled 等;二是涌入新出現的意圖替代 BreachedForums 的新論壇。而現有論壇大多有較為嚴格的會員制度,使用門檻和宣傳門檻較高,導致黑客們積極尋求新論壇扎根的現象更多。在這一現象的驅動下,不乏有想要成為新一代頂級黑客論壇的運營組織,目前已觀測到多個類似于 BreachedForums
66、 的新論壇出現。黑客論壇詳細介紹可見附錄。數據交易的黑客論壇情況境外非法交易市場中數據泄露渠道圖3-4 我國重要數據泄露事件發現渠道分布暗網交易市場Telegram境外黑客論壇Telegram 16%境外黑客論壇 43%暗網交易市場 41%492023網絡安全深度洞察及2024年趨勢研判勒索團伙數據泄露情況勒索軟件已是全球數據泄露的頭號威脅,2022 年全球范圍內遭到勒索軟件團伙公開泄露數據的組織共 2861 家,其中TOP10 的 勒 索 軟 件 依 次 為 Lockbit、BlackCat(ALPHV)、BlackBasta、Conti、karakurt、Hive、ViceSociety、
67、BianLian、Royal、Quantum。而 2023 年隨著國際上監管對勒索軟件團伙的打擊,勒索軟件團伙的活躍度不斷變化,曾經活躍團伙銷聲匿跡,新的勒索團伙持續涌現。2023 年 1 月至 11 月期間,深信服千里目安全技術中心累計發現 4370 起被公開泄露數據的受害組織,其中大陸地區的 11起,截止 2023 年 12 月勒索團伙數據泄露逐年趨勢如圖 3-5 所示。自 2020 年以數據泄露要挾受害者繳納贖金的雙重加密方式開始出現,此種攻擊模式快速在全球蔓延開來。此種勒索手段為勒索團伙帶來的經濟上的保障,就算受害者不交付贖金,售賣獲取的數據也能達到其經濟目的。近三年,以數據泄露進行雙
68、重勒索的事件增長趨勢逐年呈雙倍遞增。勒索團伙數據泄露數量趨勢多重勒索團伙數據泄露逐年趨勢圖3-5 多重勒索團伙數據泄露逐年趨勢50003500450040003000250020001500500100002020年2021年2022年2023年(0111月)26167528784370502023網絡安全深度洞察及2024年趨勢研判對多重勒索軟件團伙活躍情況統計如圖 3-5 所示,2023 年以數據泄露實行多重勒索的勒索軟件團伙 TOP10 依次為Lockbit、BlackCat(ALPHV)、CL0P、PLAY、8BASE、Malaslock、BianLian、BlackBasta、Aki
69、ra、Medusa。與 2022年的活躍排名對比,Malaslock、CL0P、PLAY、8BASE、Medusa 這 5 個團伙為 2023 年新上 TOP10 的活躍團伙,其中Malaslock、8BASE 是 2023 年首次出現的新勒索軟件團伙,首次出現并伴隨著密集的攻擊活動,躋身于多重勒索軟件團伙活躍度 TOP10 之中。多重勒索軟件團伙活躍排行自雙重勒索流行以來,我國幾乎不受此勒索模式影響,呈現出境內和境外勒索態勢的明顯區別。境外勒索主要為定向勒索模式,由勒索團伙及其附屬組織對目標組織發起持續定向的攻擊。而境內主要以無差別攻擊為主,通常為黑灰產團伙或者黑客廣泛投放勒索軟件,導致隨機
70、受害者中招。與往年不同的是,2023 年觀測到涉及我國的多起雙重勒索事件,累計發生 11 起,且在 11 月密集發生。從影響行業來看多為工業、制造業和能源行業,從單位地區來看為江浙滬和廣東經濟發達一帶。由此預測勒索組織驅動的雙重勒索攻擊可能逐步向大陸地區滲透,加大數據泄露事件發生幾率。針對我國的雙重勒索組織和事件多重勒索軟件團伙活躍排行TOP10圖3-6 2023年多重勒索軟件團伙活躍排行TOP1010008006004002003005007009001000LockbitBlackCat(ALPHV)CL0PPLAY8BASEMalaslockBianLian BlackBastaAkir
71、aMedusa時間2023 年 11 月 25 日2023 年 11 月 28 日2023 年 09 月 06 日2023 年 11 月 25 日2023 年 08 月 31 日2023 年 08 月 31 日2023 年 06 月 15 日2023 年 05 月 17 日2023 年 03 月 27 日2023 年 02 月 16 日2023 年 01 月 05 日Lockbit 勒索組織Qilin 勒索組織Rhysida 勒索組織Trigona 勒索組織NoEscape 勒索組織8Base 勒索組織ransomhouse 勒索組織Lockbit 勒索組織Play 勒索組織Blackcat
72、勒索組織Royal 勒索組織勒索組織醫療汽車能源教育科研能源工業礦業制造業制造業綜合性企業江蘇上海廣東廣東浙江上海上海浙江福建廣東江蘇受害單位行業地區表3-1 2023年中國大陸地區雙重勒索事件512023網絡安全深度洞察及2024年趨勢研判我國重點數據泄露事件分析接口濫用問題一直是我國各行業數據泄露的最主要原因。在 2023 年觀察到多起利用政務接口提供非法數據查詢和數據爬取的數據泄露事件。在境外社交平臺,有大量黑灰產團伙對我國公共服務接口進行非法測試。他們通過利用 API 接口的安全漏洞,編寫調用程序和爬取程序獲取接口返回數據達到獲取敏感數據的目的。2023年發現海南、湖北、福建、河南、陜
73、西、安徽、上海、新疆等多地政務系統接口被利用提供查詢身份證正反面及社??ㄐ畔?,這些接口多為一些為內部人員提供查詢服務的中間接口,而這些接口未設置權限管理并意外暴露于互聯網中,被黑客掃描發現并利用。如表 3-2 所示,被利用接口主要包含以上三種,雖然這些政務接口需要通過身份證號進行查詢數據,但在黑灰產市場中身份證號已經隨意泛濫,而這些接口給不法分子提供了進一步敏感的圖片憑證信息和細節信息,使得非法活動變得更加容易。值得一提的是,除了敏感數據的泄露,其中身份證和社??ㄖ械娜四樥掌谀壳八坪跏歉鼮槊舾械男畔?,其為不法分子并實施 AI 詐騙和人臉識別繞過提供了面部識別數據。接口濫用導致政務敏感數據泄露
74、事件表3-2 被利用接口及其功能情況被利用接口身份證圖片接口社保查詢接口銀行卡查詢接口未經過任何身份校驗即可通過輸入身份證號得到身份證正反面圖片通過輸入姓名和身份證號即可查詢社??ㄐ畔?、人員檔案信息及社??P聯銀行賬戶信息通過輸入當地地區身份證即可返回其銀行卡辦理情況接口功能522023網絡安全深度洞察及2024年趨勢研判黑客論壇作為黑客活動和交流的主要根據地,黑客在攻擊目標單位并竊取數據之后往往會將成果掛在黑客論壇中進行售賣,在獲取經濟利益的同時還能通過此行為在黑客論壇中打造名氣和排名,形成了一個黑客活動社群。然而,過于猖獗的黑客們在持續的非法活動中也引得各國監管的不滿和打擊,最初知名的黑客
75、論壇 RaidForms 相關運營者 2021 年被逮捕從而論壇關閉,而后其替代論壇 BreachForums 也于 2023 年 3 月被打擊關閉。兩個頂級論壇的下線,引發了大量黑客組織開始蠢蠢欲動爭鋒成為頂級論壇。在 BreachForums 關閉的這三個月以來,已經觀察到名為Pwnedforums、Exposed、LeakBase、BreachForums(新)等多個新論壇的出現。觀察發現,論壇運營者往往通過公開泄露黑客們關注的數據來進行宣傳和競爭,而其中涉及多次泄露我國歷史數據合集的事件發生,其數量級均達到億級,相關事件如表 3-3 所示。多個黑客論壇泄露我國數據合集事件表3-3 多個
76、黑客論壇泄露我國數據事件表黑客論壇PwnedForumsramp4uLeakBaseExposedBreachForums(新)相關事件2023 年 03 月 31 日2023 年 04 月2023 年 05 月 24 日2023 年 05 月 24 日2023 年 06 月 12 日時間在 BreachForums 下線后迅速籌備上線,并在 Telegram 中大肆宣傳。在上線不久后,其中便出現大量涉及我國的數據泄露帖子。著名俄羅斯黑客論壇的中泄露了中國 6.3 億公民數據,字段包括姓名、電話、身份證號、出生日期、地址、性別和銀行卡號。該事件隨機被國外新聞媒體 Cybernews 報道,吸引
77、了大量關注。ARES 組織發布了一份包含我國十幾億歷史泄露數據的合集,以宣傳其運營的數據泄露論壇。這份合集包含了公安、醫護人員以及與疫情相關的數據。Exposed 論壇下線后,一個 BreachForums 同名新論壇出現。隨后 6 月 15 日,該黑客論壇中發布多起我國數據售賣事件,涉及多家公司的 MySQL 數據庫信息。泄露我國 1.98 億數據集合,包括多地銀行、教育系統、學生家長等 數 據。該 黑 客 論 壇 運 營 者 公 開 宣 傳 其 論 壇 為 已 關 閉 的BreachForums 論壇的替代論壇,此舉動吸引了大批黑客前往,而不久后,該論壇運營者稱無力運營并意圖轉手該論壇,隨
78、即該論壇關閉。532023網絡安全深度洞察及2024年趨勢研判個人信息是最具價值的數據,也是當前泄漏最嚴重的數據類型。我國在 2023 年經歷了規模最大的數據泄露事件,涉及 45億個人地址數據??爝f物流行業的供應鏈復雜,安全能力參差不齊,導致數據安全的保障變得愈發困難。各行業雖然在加強本身的數據安全建設,但往往忽視了數據流向外部時可能出現的安全問題。API 接口濫用是導致我國各行業數據泄露的主要原因。在 2023 年,多起利用政務接口提供非法數據查詢和數據爬取的泄露事件引起了關注。這些接口向不法分子提供了更敏感的證件圖片和細節信息,進一步便利了非法活動。特別值得注意的是,除了敏感數據的泄露,身
79、份證和社??ㄖ械娜四樥掌诋斍八坪醺用舾?,為不法分子實施 AI 詐騙和繞過人臉識別提供了面部識別數據。黑灰產市場的動蕩也在影響著數據泄漏事件的發生。2023 年,因黑客論壇之間的競爭,我國歷史數據多次泄露,每次泄露的數據量都達到億級以上。目前仍有單位未建立全流程的數據安全管理制度,未采取技術措施來保障數據安全,也未履行數據安全保護的義務。隨著數據安全強監管時代的到來,數據泄露、未經授權的數據訪問以及數據安全措施不力將面臨嚴厲處罰。2023 年 3 月,國內某高校遭到黑客攻擊,黑客將被盜數據和系統權限掛在境外黑客論壇中出售。經過有關部門調查發現,該高校在數據處理活動中未建立全流程數據安全管理制
80、度,未采取技術措施保障數據安全,也未履行數據安全保護義務。這導致了該校存儲的教職工信息、學生信息和繳費信息等超過 3000 萬條數據遭到黑客非法入侵,其中包括 3 萬余條敏感個人信息被非法兜售。根據 中華人民共和國數據安全法 第四十五條的規定,當地公安網安部門對該學校做出責令改正、警告并處以 80 萬元人民幣罰款的處罰,對主要責任人處以 5 萬元人民幣罰款。某高校因3萬余條師生個人信息數據泄露被罰款80萬元重點數據泄露事件分析小結542023網絡安全深度洞察及2024年趨勢研判數據安全態勢小結(一)人工智能技術帶來的數據安全風險問題成為全球關注新熱點。以 ChatGPT 為代表的人工智能技術在
81、 2023 年爆火,生成式人工智能在數據處理、代碼審閱、材料生成上都體現出了讓人們驚嘆的能力,隨即該項技術被快速應用于各企業中。然而在與人工智能進行交互的過程中敏感數據和隱私內容傳輸所帶來的數據安全風險也成為了新技術場景下需要重點關注和治理的問題。目前多個國家已著手針對此問題進行研究并推出了多項政策進行治理。(二)數據接口的安全問題是當前導致數據泄露最主要的原因,我國個人地址信息泄露引發廣泛關注。政務、醫療、教育行業的數字化數據接口的利用既不需要獲取系統最終權限,也不需要復雜的攻擊繞過,只需要通過發現已存在的系統暴露接口,編寫可利用程序即可調用該接口獲取敏感數據。2023 年我國已經發生多起利
82、用接口導致的泄露事件。(三)隨著數據的價值快速上漲,在黑灰產交易中逐漸成為了數據交易為主導的局面,黑客論壇之間的競爭導致數據泄露事件增加,歷史已泄露數據再次遭到泄露。以經濟利益出發的黑灰產組織或是個人黑客都以數據為核心目標來進行攻擊布局,使得數據的獲取成為黑客間熱議話題。2023 年已持續觀測到多個新論壇中發布我國大量歷史已泄露數據合集來吸引對我國關注的黑客,而該行為將持續加大數據泄露的風險。(四)勒索軟件導致的數據泄露呈快速增長趨勢,持續加大對數據安全的威脅。自 2020 年以來,以數據泄露為要挾,要求受害者繳納贖金的雙重加密方式在全球迅速蔓延。近三年來,每年數據泄露雙重勒索事件呈逐年雙倍遞
83、增的趨勢。2023 年觀測發現我國發生多起雙重勒索事件,預示著勒索組織可能逐步向大陸地區滲透,進一步增加數據泄露事件發生的可能性。552023網絡安全深度洞察及2024年趨勢研判APT攻擊態勢APT攻擊活動態勢根據深信服千里目安全技術中心的檢測結果顯示,2023 年南亞、東亞和東歐地區的 APT 組織特別活躍。在南亞地區,APT 組織包括 CNC、BITTER(蔓 靈 花)、Patchwork(白 象)、Conficius(摩 羅 桫)、SideWinder(響 尾 蛇)、Donot(肚 腦 蟲)等,持續對中國、巴基斯坦及南亞周邊國家進行長期竊密攻擊。特別是在 2023 年,CNC、BITTE
84、R 和 Patchwork 組織的活動尤為頻繁,這些組織在很多方面存在信息交叉,可能有一定關聯性。它們主要針對教育、航空工業、科研單位、軍工和政府等行業。東亞地區的主要 APT 組織是綠斑,地緣政治是其攻擊的主要因素,主要進行定向釣魚攻擊,竊取軍工、科研教育、航空航海等技術情報。另外,Lazarus 和 Kimsuky 的攻擊目標更傾向于美國、日本和韓國。東南亞地區主要由海蓮花組織活躍,利用 Nday 漏洞攻擊邊界安全設備,然后針對科研教育機構展開攻擊。東歐地區受俄烏戰爭影響,APT 攻擊一直很活躍。另外,北美的 APT 攻擊持續對全球進行攻擊。APT組織攻擊總體態勢562023網絡安全深度洞
85、察及2024年趨勢研判2023 年,深信服千里目安全技術中心監測到了大量疑似南亞地區 APT 組織的相關攻擊活動,活躍組織包括 CNC、BITTER(蔓靈花)、Patchwork(白象)、Conficius(摩羅桫)、SideWinder(響尾蛇)、Donot(肚腦蟲)等,其中CNC、BITTER、Patchwork 組織活動尤為頻繁猖獗,這幾個 APT 組織很多方面信息存在著交叉,包括但不限于基礎設施、攻擊手法與戰術、相似樣本等,不排除這些組織背后存在一定關聯性。其目標行業主要集中在教育、航空工業、科研單位、軍工、政府等行業,各個活躍組織側重目標稍有不同。值得注意的是近期高度活躍的南亞 AP
86、T 組織活動均出于竊密動機,表 4-1 是 2023 年南亞高度活躍 APT 的組織基本信息。南亞活躍APT組織態勢CNC 組織最早于 2019 年被發現,因其使用的遠程控制木馬的 PDB 路徑信息中包含的 cnc_client,該組織被命名為CNC。該組織主要針對軍工、教育、科研機構及航空航天等行業進行攻擊,竊取該類單位的高新技術研究資料或規劃信息等。此外,該組織疑似與南亞 APT 組織 Patchwork(摩訶草、白象)存在一定關聯。2023 年,在攻擊目標上,CNC 頻繁向境內科研院所、航空航天、教育行業發起攻擊,其中包括某具有一流科學家和科技隊伍的國立科研機構、重點實驗室、國家級別工程
87、研究中心以及某雙一流大學的高新科技專業實驗室。攻擊手法上,CNC 組織在初始打點階段常使用高度定制的魚叉式釣魚攻擊,在代碼執行和持久化階段也有諸如反自動化分析、證書偽造等大量防御對抗技巧。攻擊載荷上,攻擊者使用“學術交流”、“科學研究”或“文章出版”等四種偽裝程度極高的郵件話術進行魚叉式釣魚郵件攻擊,在運行攻擊者提供的程序后,下載后續階段遠控、反彈 shell、瀏覽器竊密、文件竊密、U 盤擺渡木馬等惡意程序,最終可成功竊取、并持續監控受害者機器上的文檔文件。CNC組織名稱CNC白象蔓靈花航空航天、水利、教育、軍工政府、外交、軍事、電力政府、航空航天、科研機構、軍隊、國防、核工業、海運、船舶目標
88、行業中國、巴基斯坦、孟加拉國、沙特阿拉伯、新加坡、馬來西亞、斯里蘭卡、尼泊爾中國、巴基斯坦間諜行為數據竊取間諜行為數據竊取間諜行為數據竊取WindowsWindowsAndroidWindowsAndroid目標國家攻擊動機目標平臺中國、巴基斯坦、菲律賓、印度尼西亞表4-1 2023年南亞活躍APT組織信息表4-2 CNC組織公開披露重點事件序號1234攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 08 月 10 日2023 年 07 月 07 日2023 年 04 月 14 日2023 年 04 月 12 日披露時間國內航空航天領域近期正面臨 APT 竊密攻擊風險關于近期南亞 APT
89、 組織在境內高度活躍報告疑似 CNC 組織最新攻擊動態分析,AI 模型驗證歸因關于 CNC 組織對境內高??蒲袉挝粚嵤?APT 攻擊事件通告572023網絡安全深度洞察及2024年趨勢研判Patchwork 組織,又稱“摩訶草”、“白象”等等,最早由國外安全廠商 Norman 披露并命名為 Hangover,在 2015 年的攻擊行動被國外安全廠商 Cymmetria 披露為 Patchwork,而在國內有“白象”的稱呼。2023 年,白象組織活動大多集中在我國境內中部地區,攻擊目標上,對多個涉及水利、航空等專業的高等院校發起魚叉式釣魚攻擊。在針對某大型水利集團的攻擊活動中,其竊取了單位內部相
90、關信息和物料,然后再使用包括招聘信息、職場騷擾事件通報、年度專項項目申報在內的多個主題的釣魚郵件,向高校內投遞了大量釣魚郵件。除此之外該組織還對某政府氣象機關單位發起攻擊,竊取了大量相關數據。攻擊手法和工具上,白象常使用魚叉攻擊對目標進行打點攻擊,在近期監控到的攻擊活動中發現有大量針對中國的定制化攻擊工具,同時該組織對以往披露的 BADNEWS 攻擊組件也有一定程度的更新,不斷加強其竊密、反取證能力。Patchwork(摩訶草、白象)序號12345摩訶草組織(APT-Q-36)借 Spyder 下載器投遞 Remcos 木馬關于近期南亞 APT 組織在境內高度活躍報告疑似摩訶草組織利用 War
91、Hawk 后門變種 Spyder 窺伺多國對開源項目情有獨鐘的 Patchwork 組織Patchwork 組織更新技術卷土重來,針對境內教育科研單位再次發起攻擊行動攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 11 月 28 日2023 年 07 月 07 日2023 年 07 月 04 日2023 年 05 月 24 日2023 年 04 月 20 日披露時間表4-3 Patchwork組織公開披露重點事件582023網絡安全深度洞察及2024年趨勢研判BITTER 組織,又被稱“蔓靈花”、“APT-C-08”、“T-APT-17”以及“苦象”,是一個針對中國、巴基斯坦以及孟加拉等
92、國家的 APT 組織。最早由國外安全廠商 Forcepoint 于 2016 年披露,發現該組織于 2013 年就開始進行了網絡攻擊。在此后多年,BITTER 組織常對中國、巴基斯坦等國家發起網絡攻擊,主要針對政府(外交、國防)、核工業、國防、軍工、船舶工業、航空工業以及海運等行業。該組織在 2016 年至 2020 年期間十分活躍,自 2020 年初 COVID-19 病毒流行起來,該組織的活躍程度有所降低,但 2021 年至 2023 年該組織頻繁活動又有死灰復燃之勢。攻擊手法上,自 2021 年以來,該組織的攻擊手法一直都沒有發生大的變化,其攻擊活動基本依賴于社會工程學,通過魚叉攻擊投遞
93、惡意載荷或者進行憑證釣魚(主要是郵箱),其針對國內的魚叉攻擊使用的郵箱賬號多為竊取或購買的 126、163 郵箱,針對國外機構多使用竊取的政府郵箱或 gmail 郵箱,基本上都是通過其投遞惡意 chm 文件,誘導目標執行該文件創建惡意計劃任務下載第二階段載荷,命令行使用字符“”進行混淆,創建計劃任務下載執行第二階段載荷。攻擊載荷上,該組織投遞的惡意載荷種類較多,存在使用 chm 文件、遠程模板注入文檔、lnk 文件以及 winrar 自解壓程序等多種方式。惡意載荷通常使用 msi 部署或直接下載該組織特有下載器,再通過下載器下載其他功能組件包括但不限于遠控、文件竊密組件以及鍵盤記錄器等黑客工具
94、,雖然其攻擊方式依賴社會工程學,但還是發現許多組織或企業被攻擊成功。2023 年蔓靈花組織的攻擊目標涵蓋政府、航天、核工業、軍工、船舶、外貿、教育,涉獵十分廣泛,國外 也有多家廠商對其攻擊活動進行了披露。在最新的攻擊活動中,監測到其使用新的組件進行攻擊,該組織利用 DarkAgent開源項目對遠控組件進行二次修改開發和混淆,還發現該組織將開源項目“Lilith”與以往的下載器結合,以不斷增強攻擊組件的反分析能力。在 2023 年 9 月發現該組織開始利用國內辦公軟件 WPS 執行惡意命令,并利用 WinRAR 壓縮軟件漏洞進行魚叉攻擊,揭露出該組織正嘗試分析國內相關軟件特性、軟件漏洞并加以利用
95、的攻擊趨勢。蔓靈花表4-4 蔓靈花組織公開披露重點事件序號1234蔓靈花組織投向國產辦公軟件的目光與 winrar 漏洞之觸Bitter 組織傳播針對中國機構的 CHM 惡意軟件APT 組織 BITTER 針對中國核能行業的釣魚活動蔓靈花組織 2023 年初攻擊行動匯總與新組件分析攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 11 月 21 日2023 年 04 月 04 日2023 年 03 月 24 日2023 年 02 月 09 日披露時間592023網絡安全深度洞察及2024年趨勢研判Lazarus 被公開情報普遍認為具有東亞某國政府背景,其作為該地區的一個龐大 APT 組織集
96、團,其下還存在多個子組織進行分工協作。其攻擊目標遍及全球,攻擊行業多種多樣,包括但不限于數字貨幣、金融機構、IT 公司、政府機構以及軍事機構等。在披露的攻擊活動中,Lazarus 組織在漏洞積累以及利用方面一直展現出較為先進的研究能力,曾利用 chrome 遠程代碼執行漏洞“CVE-2022-0609”對多國的新聞媒體、IT 基礎設施服務商進行攻擊。在 2023 年的攻擊活動中發現除了先前被利用的 INISAFE CrossWeb EX 和 MagicLine4NX 之外,還新確認了 VestCert 和 TCO!Stream 的 0day 漏洞被利用,且利用 BYOVD 技術進行橫向移動。除
97、此之外,該組織近年來緊盯供應商,多次利用供應鏈攻擊進行活動,2021 年 Lazarus APT 組織通過在 VS 項目中設置預構建事件命令,進行基于軟件開發工具相關的供應鏈攻擊,目的是為了定向盜取安全研究人員的 0day 漏洞等。2023 年 4月,Mandiant 將 3CX 雙重供應鏈攻擊活動歸因為 UNC4736 組織并認為該組織與北韓有聯系,該組織隸屬于 Lazarus。2023 年 7 月,GitHub 發現 Lazarus 利用包含惡意 npm 依賴項的軟件的 GitHub 存儲庫以攻擊加密貨幣、在線賭博和網絡安全行業的開發人員。2023 年 10 月 20 日,Lazarus
98、入侵了臺灣省多媒體軟件公司訊連科技,并將訊連科技的合法安裝程序篡改,插入包含下載、解密和加載惡意代碼,影響全球多個國家地區的 100 多臺設備,包括日本、中國臺灣省、加拿大和美國。2023 年上半年預測 Lazarus 可能會越來越多地使用供應鏈攻擊以獲得對目標網絡的初始訪問權限這一趨勢得到印證,在2023 年下半年 Lazarus 持續對軟件供應商發起攻擊活動。Lazarus東亞地區以地緣政治為主要因素,以綠斑為活躍代表保持長期對我國的定向釣魚,持續對我國軍工、教育科研、航空航海等技術情報進行竊取,其手法常年保持釣魚網頁和郵件攻擊。Lazarus 和 Kimsuky 公認具備東亞政府背景,其
99、對我國的攻擊傾向較弱,其攻擊目標重點在于美國、日本、韓國等地。東亞活躍APT組織態勢表4-5 2023年南亞活躍APT組織信息組織名稱LazarusKimsuky綠斑政府、媒體、商貿機構、軍隊、金融政府政府、航空航天、媒體、醫療、科研機構、金融、國防、船舶、能源、外交、軍工、智庫目標行業美國、韓國、墨西哥、巴西、智利、尼日利亞、加蓬、印度、中國臺灣省、馬來西亞中國韓國、日本俄羅斯聯邦、越南、中國間諜行為、網絡經濟犯罪間諜行為間諜行為、數據竊取、系統破壞WindowsAndroidWindowsAndroidWindowsAndroid目標國家攻擊動機目標平臺602023網絡安全深度洞察及202
100、4年趨勢研判Kimsuky 組織是東亞活躍的 APT 組織之一,也被稱為 Mystery Baby、Baby Coin、Smoke Screen 和 BabySahrk。據分析,自 2012 年起,該組織與某東亞國家政府有關,并可能與 Konni 組織有聯系。他們主要通過發送帶有“外交”、“安全”、“國防”、“朝鮮核問題”和“統一部”等關鍵詞的惡意附件進行魚叉攻擊,攻擊手法并沒有太大變化。自 2022 年 10 月起,Kimsuky 組織開始利用移動惡意軟件攻擊 Android 設備,以竊取信息并嘗試修改開源 RAT Androspy來規避檢測。他們采用類似 FastViewer 的復雜攻擊向
101、量,利用開源代碼生成高性能變體,對 Android 智能手機進行精密攻擊。因此,對于針對 Android 設備的復雜攻擊需要保持高度警惕。到了 2023 年 5 月,Kimsuky 組織使用 ReconShark 新惡意軟件組件進行全球間諜活動,重點關注正在進行的地緣政治主題,如中國和朝鮮之間的核議程。他們通過魚叉式網絡釣魚郵件分發帶有指向托管在 Microsoft OneDrive 上的惡意文檔鏈接的 ReconShark 惡意軟件,以感染目標主機。此外,攻擊者還使用了兩種隱蔽的惡意載荷部署方式,包括編輯與Chrome、Outlook、Firefox 或 Edge 等應用程序關聯的 Wind
102、ows 快捷方式文件(LNK)以及替換默認的 Microsoft Office 模板 Normal.dotm 為托管在 C2 服務器上的惡意版本,以在用戶啟動 Microsoft Word 時加載惡意代碼。Kimsuky表4-6 Lazarus組織公開披露重點事件序號01020304050607080910疑似 Lazarus(APT-Q-1)涉及 npm 包供應鏈的攻擊樣本分析Lazarus 組織入侵臺灣省訊連科技公司以實施供應鏈攻擊Lazarus 組織瞄準軟件供應商部署 SIGNBT 惡意軟件Lazarus 組織利用 TeamCity 服務器漏洞實施軟件供應鏈攻擊Lazarus 組織工具
103、Volgmer 后門及其加載器 Scout 分析Lazarus 組織持續開展 VMConnect 供應鏈攻擊活動Lazarus 組織通過 ManageEngine 歷史漏洞部署 QuiteRATLazarus 組織重用其基礎設施傳播新工具 CollectionRATLazarus 利用惡意 npm 依賴軟件的 GitHub 存儲庫開展攻擊疑似 3CX 供應鏈攻擊組織相關聯的 Linux 樣本分析攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 12 月 08 日2023 年 11 月 22 日2023 年 10 月 27 日2023 年 10 月 18 日2023 年 10 月 04 日2
104、023 年 08 月 31 日2023 年 08 月 24 日2023 年 08 月 24 日2023 年 07 月 18 日2023 年 04 月 24 日披露時間表4-7 Kimsuky組織公開披露重點事件序號01020304050607Kimsuky 組織向韓國研究機構分發惡意釣魚文件Kimsuky 組織使用 RDP 服務控制受害主機Kimsuky 組織利用代幣兌換和投資相關誘餌文檔攻擊投資領域用戶Kimsuky 組織再次使用定制工具 RandomQuery 進行間諜攻擊Kimsuky 組織在全球范圍內部署新偵察工具 ReconSharkKimsuky 組織借助 ADS 隱藏惡意軟件Ki
105、msuky 組織正利用 OneNote 文件分發惡意軟件攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 11 月 21 日2023 年 10 月 16 日2023 年 07 月 31 日2023 年 05 月 23 日2023 年 05 月 04 日2023 年 03 月 29 日2023 年 03 月 17 日披露時間612023網絡安全深度洞察及2024年趨勢研判綠斑,是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網絡間諜攻擊活動的 APT 團伙,最早可以追溯到2007年。該組織慣用魚叉式釣魚網絡攻擊,會選取與攻擊目標貼合的誘餌內容進行攻擊活動,相關領域包括:海洋(南海、
106、東海、測繪)、軍工、涉臺問題(兩岸關系)、中美關系,慣用的主題包括通知、會議材料、研究報告等或是采用攻擊時間段時事主題。除了附件投遞木馬外,綠斑還慣用釣魚網站釣魚,竊取目標的賬戶密碼,進而獲得更多重要信息。別名:窮奇、PoisonVine、APT-Q-20、APT-C-01、綠斑、GreenSpot、白海豚、毒云藤。綠斑在初始攻擊環節主要采用魚叉式釣魚郵件攻擊,在進行攻擊之前,其會對目標進行深入調研,開展信息搜集。通過分析搜集信息,仿冒國內最常使用的社交軟件、郵箱系統(126、163 郵箱)、政府機構網站、軍工網站、高等院校等網站等進行大規模釣魚,以此獲取定向群體的精確情報。在 2023 年,
107、該組織活躍度對比 2022 年稍有減弱,但還是持續保持著對我國的攻擊,通過持續購買國內郵箱賬號,從中篩選出具有一定價值的郵箱賬號,進行擴散式釣魚。對我國航天、海事、軍隊、教育、政府機構、多行業領域專家持續進行郵件釣魚活動。在 2023 年下半年其利用釣魚郵件對我國科研教育機構重點人員實施攻擊,多達三百多個郵箱遭受攻擊。綠斑東南亞活躍APT組織態勢海蓮花(OceanLotus)是一個長期針對中國和東南亞地區國家政府、科研機構、海運企業等領域開展定向攻擊的 APT 組織。該組織自 2022 年到 2023 年針對我國的能源、高校、科研機構及軍工等行業進行攻擊,主要采取魚叉、Nday 等方式進行打點
108、。其魚叉攻擊分別投遞過 chm、iso(img)及 lnk 等格式的載荷,在受害者成功執行該惡意附件后,在第一階段時其會加載 cobaltstrike 并建立穩定連接,在第二階段通過 cobaltstrike 加載其自定義木馬。目前該組織活動在攻擊行動中常模仿其他組織的攻擊戰術,為了方便對該組織進行跟蹤,因此將該組織命名為戰術模仿者(Timitator-Tatic imitator),其他友商也將其稱為apt-q-77、變異鼠,部分廠商認為該組織為海蓮花,因該組織歸因混亂,此處暫將其放在海蓮花下。在 2023 年發現該組織與 APT29 的攻擊特征存在重疊,疑似模仿 APT29 開展攻擊,重點
109、利用我國邊界安全設備的 Nday漏洞進行打點,獲得對大量公網安全設備的持續控制權限,展開針對科研教育機構的攻擊活動,在攻擊活動中還觀察到其利用白加黑的手法攻擊 Windows 系統。海蓮花表4-8 海蓮花組織公開披露重點事件序號12新型 APT 組織“雙異鼠”針對我國的大規模網絡攻擊行動境外 APT 團伙連續兩年在攻防演練活動中渾水摸魚2023 年 10 月 26 日2023 年 09 月 14 日攻擊動態(公開報告附錄 2 中查看鏈接)披露時間622023網絡安全深度洞察及2024年趨勢研判東歐活躍APT組織態勢2023 年,東歐地區的 APT 攻擊持續受俄烏戰爭影響,體現出高強度的攻擊態勢
110、。以 APT29 和 Gamaredon 為代表的老牌俄羅斯背景 APT 組織對烏克蘭方以及支持國家表現出持續的攻擊活動,表 4-3 中為 2023 年東歐地區攻擊活躍 APT 組織基本信息。WarSunflower(戰爭葵花),別名有“APT-LY-1006”、“YoroTrooper”。該組織是在 2022 及 2023 年期間出現的新組織,主要針對東歐及中東、中亞部分國家進行攻擊行動,該組織最早攻擊行動可追溯到 2022 年 3 月份,該時間接近俄烏戰爭開始時間(2022 年 2 月),并結合其攻擊目標分析,可初步判斷該組織是由于俄烏戰爭而催生出的網絡間諜組織。該組織主要活躍于東歐及中亞
111、地區,將其命名為 WarSunflower(戰爭葵花)以代表其產生來源于俄烏戰爭。2023 年該組織主要針對阿富汗、烏茲別克斯坦、哈薩克斯坦的政府部門進行釣魚攻擊。在攻擊手法上,除了通過釣魚竊取郵箱憑證外,該組織還投遞多種木馬對目標進行攻擊(主要投遞的載荷為 vhdx 文件,并且 vhdx 里包含后門組件或LNK 文件下載器及誘餌文件等)。攻擊目的上,該組織可基本確定誕生于俄烏戰爭期間,地緣政治以及戰爭是催生網絡間諜組織的最主要力量,該組織目的為收集 CIS 國家的相關政府情報。并且通過分析該組織的各種組件發現,在利用工具上,該組織擅長對開源項目進行改造利用,并未發現技術能力較高的自研組件,且
112、其主要打點方式為魚叉攻擊,暫時未發現較高水平的打點方式,可初步判定該組織的技術水平屬于中低水平組織。通過分析其攻擊目標地域、行業信息以及活躍時區以及語言習慣等,可初步判定該組織活躍在 UTC+2 至 UTC+4 區域,該地域屬于東歐及中亞地區。WarSunflower(戰爭葵花)表4-9 2023年東歐活躍APT組織信息表4-10 WarSunflower組織公開披露重點事件組織名稱WarSunflower(戰爭葵花)GamaredonAPT29政府軍事、國防、教育政府、教育目標行業東歐及中亞地區美國、東歐、北約烏克蘭、美國、英國、北約間諜行為、數據竊取間諜行為、數據竊取間諜行為、數據竊取Wi
113、ndowsWindowsWindows目標國家攻擊動機目標平臺序號1WarSunflower(戰爭葵花)組織針對 CIS 國家及中亞地區的最新攻擊行動分析攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 04 月 11 日披露時間632023網絡安全深度洞察及2024年趨勢研判Gameradon,也被稱為 Primitive Bear 組織,是一個疑似具有東歐背景的 APT 組織。該組織最早的攻擊活動可以追溯到2013 年,主要針對烏克蘭、北約國家(尤其是美國和英國)。他們長期以來一直以相同的組織為目標,主要攻擊國防和情報咨詢公司、非政府組織(NGO)、政府間組織(IGO)、智囊團和高等教
114、育等,以竊取情報為目的。在俄烏戰爭中,他們持續對烏克蘭的公共機構和關鍵信息基礎設施進行了有針對性的網絡攻擊。他們主要通過電子郵件、社交媒體和 LinkedIn帳戶創建虛假身份,與感興趣的人建立聯系,并進行釣魚攻擊。Gamaredon 還利用受感染域名、動態 DNS 提供商、俄羅斯和烏克蘭國家代碼頂級域名(ccTLD)以及俄羅斯托管服務提供商來分發他們定制的惡意軟件。在 2023 年,Gamaredon 組織頻繁被曝光針對烏克蘭的間諜活動。在這些活動中觀察到以下幾個特點:攻擊目標主要是國家安全、軍事和政府組織;攻擊手法包括網絡釣魚郵件和仿冒釣魚頁面來傳播惡意軟件,還利用 USB 的擺渡攻擊來進一
115、步傳播惡意軟件;攻擊工具不斷更新,基礎設施也在持續更新,同時還利用合法服務作為 C2 服務器,比如 telegram 消息服務。Gameradon表4-11 Gamaredon組織公開披露重點事件序號1234Gamaredon 組織利用 USB 蠕蟲病毒 LitterDrifter 針對烏克蘭俄羅斯間諜組織 Shuckworm 長期入侵烏克蘭俄羅斯 APT29 組織歷史活動軌跡詳情披露Gamaredon 組織利用 Telegram 瞄準烏克蘭政府部門攻擊動態(公開報告附錄 2 中查看鏈接)2023 年 11 月 17 日2023 年 06 月 15 日2023 年 02 月 01 日2023
116、年 01 月 19 日披露時間目前,該組織被歸因于俄羅斯政府情報組織,名為 APT29,自 2008 年起開始運作。他們還使用了多個別名,如YTTRIUM、The Dukes、Cozy Duke、Cozy Bear 和 Office Monkeys。APT29 主要針對美國、東歐和北約成員國的政府、研究機構和智庫進行攻擊。作為東歐地區 APT 組織中實力強大的一員,APT29 在微軟報告的 Nobelium 事件和SolarWinds 事件中展示了高超的攻擊能力。在 2023 年 4 月,APT29 對北約和歐盟成員國的外交部門展開了間諜活動,利用了之前未被發現的惡意軟件。他們通過向特定外交職
117、位的人員發送魚叉式網絡釣魚電子郵件獲取初始訪問權限。同年 4 月中旬,APT29 截取了波蘭外交部發出的一份宣傳合法傳單,其中包含出售位于基輔的二手寶馬轎車的信息。他們將惡意軟件嵌入其中,然后分發給了在基輔工作的數十名外交官。隨后在 2023 年 6 月,APT29 對入駐烏克蘭大使館的外交官發起了網絡間諜攻擊,直接瞄準了基輔 80 個外國使團中的至少 22 個外交官。而在 2023 年 7 月,APT29 冒充挪威大使館,分發了以 邀請-圣盧西亞慶典 為主題的網絡釣魚電子郵件。為了實施攻擊,他們采用了更高級的策略,包括使用 SVG Dropper、DLL 實現感染和進行 C2 行為。APT2
118、9表4-12 Gamaredon組織公開披露重點事件序號攻擊動態(公開報告附錄 2 中查看鏈接)披露時間123疑似 APT29 組織使用德國大使館外交內容作為誘餌傳播惡意 PDF 文件APT29 借助 Microsoft Teams 服務針對全球組織開展釣魚活動俄羅斯 APT29 組織歷史活動軌跡詳情披露2023 年 08 月 10 日2023 年 08 月 02 日2023 年 07 月 25 日642023網絡安全深度洞察及2024年趨勢研判APT攻擊流行技術趨勢軟件供應鏈攻擊獲取APT攻擊初始權限供應鏈攻擊技術是 APT 攻擊組織常用的攻擊技術之一,也是最近一些年 APT 攻擊組織使用最
119、多的攻擊方式之一,這種攻擊方式主要針對特定的企業和用戶進行定向攻擊活動,并且使用多種多樣的攻擊方式,其中最主流的是軟件供應鏈攻擊。軟件供應鏈攻擊可以分為基于軟件源代碼、開源軟件第三方包和軟件開發工具相關的攻擊方式。其中,基于軟件源代碼的攻擊方式最為隱蔽、危害最大,也是技術難度最高的一種攻擊方式。而基于開源軟件第三方包和基于軟件開發工具相關的攻擊方式相對容易實現。近年來發現,軟件供應鏈攻擊在 APT 攻擊活動中越發普遍。1、基于軟件源代碼的攻擊方式APT 攻擊組織攻陷軟件供應商之后,將惡意代碼直接嵌入到軟件供應商的軟件代碼當中,通過軟件供應商將包含有惡意代碼的軟件分發給該軟件供應商的企業客戶,導
120、致所有使用該軟件的企業客戶感染惡意代碼,這種供應鏈攻擊方式非常隱蔽,也是危害最大的一種攻擊方式,此前 SolarWinds 供應鏈攻擊事件就是一種基于軟件源代碼的攻擊方式。2023 年 4 月,Lazarus 有關的 UNC4736 組織利用 3CX 桌面應用程序實施了雙重供應鏈攻擊,該事件是由于 2022 年該組織針對 X_TRADER 的軟件供應鏈攻擊事件導致的,其通過植入惡意代碼的 X_TRADER 軟件竊取 3CX 公司使用者網絡登錄憑據,以實施對 3CX 網絡的攻擊活動,并對 3CX 桌面應用程序使用了同樣的惡意注入,持續擴大攻擊范圍。2、基于開源軟件第三方包的攻擊方式APT 攻擊組
121、織利用 PyPI、NPM 等第三方包進行供應鏈攻擊,這種攻擊方式主要目的是定向攻擊大型企業的開發人員,通過竊取這些開發人員的登錄憑證等信息之后,滲透到企業內網,進行更隱蔽的 APT 攻擊活動。2023 年 1 月,某攻擊者針對一款流行機器學習框架 PyTorch 進行了供應鏈攻擊活動,攻擊者在這些第三方包中插入惡意程序,使開發人員下載軟件包并使用后,將在其開發環境主機的 runtime 目錄下插入惡意腳本和惡意程序,在通過開發程序的 _init_.py 初始化腳本運行后,將啟動 runtime 目錄下的 triton 惡意程序。PyTorch 開源軟件當前下載量約 1.8 億次,若被污染的軟件
122、包被大量使用在開發程序中,將引發很大安全風險。3、基于軟件開發工具相關的攻擊方式APT 攻擊組織利用偽造的包含惡意軟件的軟件開發工具或者被感染了惡意代碼的軟件開發工具的工程項目文件,誘騙企業開發人員安裝或使用這些軟件開發工具和工程項目文件,安裝木馬后門進行下一步的攻擊活動,Lazarus APT 攻擊組織就曾利用這種攻擊方式,通過感染了惡意代碼的軟件開發工具的工程項目文件,定向攻擊安全研究人員,此前 XCodeGhost供應鏈攻擊事件也是這種基于軟件開發工具的攻擊方式。未來隨著全球云計算虛擬化等平臺的高速發展,基于軟件供應鏈攻擊的活動越來越多,APT 組織越來越多地瞄準軟件供應商來實施定向攻擊
123、,這種以更加快速有效的方式獲取目標組織的網絡訪問權限將成為 APT 攻擊的一大趨勢。652023網絡安全深度洞察及2024年趨勢研判開源組件二次開發以降低APT攻擊成本在 2023 年監測到的 APT 攻擊活動中,越來越多的組織開始利用開源組件二次開發的攻擊組件,尤其集中在遠控組件上。開源組件的二次開發極大地降低了 APT 組織在攻擊成本上的消耗,同時具備快速迭代更新以保持不斷變化的攻擊能力。主要體現在反調試、反分析,以及目標識別等方面。這些快速迭代的對抗技巧也使得 APT 組織和安全企業之間的攻防較量更為復雜和激烈,溯源歸因難度也越來越高。在 2023 年,發現南亞多個組織利用了多種開源組件
124、開展攻擊活動,包括有 Patchwork 和 Bitter 組織。在最近的一次攻擊活動中,Patchwork 組織投遞的惡意 lnk 文件用于下載第二階段的 BADNEWS 遠控,其中使用了 hiiresloader 加載器,該加載器存在特殊字符 hii 并將載荷存儲于資源數據進行加載。通過分析該文件為開源遠控。此外,我們還捕捉到 Patchwork 組織使用另一種開源加載器加載開源遠控“NorthStarC2”進行攻擊。通過分析該加載器為開源加載器,該加載器使用 AES-GCM-256 加密載荷并使用 base64 編碼存儲,解密后內存加載的載荷為開源遠控。BYOVD濫用過時驅動以對抗殺軟B
125、YOVD,全稱為 Bring your own vulnerable driver,即攻擊者向目標環境植入一個帶有漏洞的合法驅動程序,再通過漏洞利用獲得內核權限以殺死/致盲終端安全軟件等,該項技術主要應用于攻擊者獲得系統權限后的提權操作,利用合法驅動的安全漏洞執行內核級權限操作以關閉殺毒軟件,實現長期潛伏并竊取情報的惡意操作。在 BYOVD 利用工具的選擇上,攻擊者可能會進行自主開發或利用開源項目,而部分自主開發的工具也是基于開源項目進行改進的,如在 2023 年的攻擊活動中 APT 組織 UNC2970 和勒索組織 Lockbit 分別使用了自己的 BYOVD 利用工具LIGHTSHOW 和
126、 AuKill,其中 AuKill 與開源 BYOVD 利用項目 Backstab 存在相似性。另一方面,Lockbit 的確在 2022 年11 月的勒索攻擊中直接合入了 Backstab 開源工具,同樣被勒索組織合入的 BYOVD 利用工具還有 SpyBoy Terminator,該工具于 5 月下旬在網上公開售賣,后被 BlackCat 用于真實的勒索攻擊。在 BYOVD 利用成本上,LOLDrivers 項目記錄在案的,可供攻擊者濫用的合法驅動程序數量在 700+,除此之外,還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動的合法驅動程序,這意味著攻擊者擁有一個充足的庫來發起BY
127、OVD 攻擊。此外,在 Github 上進行檢索可以發現一系列 BYOVD 利用工具,它們分別包括摘除殺軟回調、Kill 殺軟進程、關閉/開啟 PPL 保護,和關閉/開啟強制簽名校驗等多種高級攻擊技巧,這些利用工具涵蓋的功能幾乎滿足了攻擊者的所有需求,攻擊者也可以基于此系列項目記錄的驅動漏洞利用原理,挖掘和開發未知的驅動利用。這項技術最初主要被如 Turla 和方程式這樣的頂級 APT 組織所使用,而隨著攻擊成本的降低,其它攻擊組織也逐漸開始使用這項技術,以BYOVD為標簽進行檢索可以發現在更早些時候就已經有不同的攻擊組織在真實攻擊活動中使用此項技術。目前,BYOVD 技術從最初被頂尖 APT
128、 組織所使用,發展到如今越來越廣泛的利用在 APT 攻擊當中。662023網絡安全深度洞察及2024年趨勢研判網絡釣魚戰術升級加大迷惑性在 2023 年的 APT 和黑灰產組織的攻擊活動中發現,攻擊者在網絡釣魚上的投入增加,通過不斷改變策略和手段,使得釣魚郵件和網站更加逼真,增加了用戶識別的難度。同時,社會工程攻擊也在不斷演變,利用新的社交平臺和通訊工具進行釣魚攻擊,使得防范變得更加復雜??傊?,2023 年釣魚攻擊的手法、社會工程、組合利用上都體現出了精心的設計,展現出以下幾個方面特點。精細化的社會工程學打點為了達到釣魚攻擊以假亂真的效果,在攻擊之前攻擊者需要針對受害者進行社會工程學的調查,對
129、受害者的個人信息、工作環境、接觸人群等社會關系進行信息收集,充分了解受害者某個領域中的慣性行為。在 2023 年發現針對我國的航空航天領域的攻擊中,CNC 組織在暗網中收集得到了某受害者被泄露的個人信息和郵箱賬號密碼等等,再通過基本信息的社會工程學打點后,偽裝為受害者本人,與其賬號中的聯系人進行正常溝通,并在正常的對話中投遞釣魚郵件,難以被察覺。更加定向性的魚叉式網絡釣魚攻擊者提高攻擊成本,使用更加定向性的魚叉式釣魚攻擊,將受害者近期郵箱活動與攻擊行動結合,真假難辨。在針對國內科研教育的攻擊中,攻擊者首先通過其他渠道獲得多個研究人員個人郵箱,監控其中的論文投遞情況,當出現近期投遞的論文,攻擊者
130、在適當的時間,模擬期刊方,向幾位文章作者發送“論文校對”郵件,郵件包含該論文的編號、投遞時間、在線發表地址等信息。而在論文投遞后的論文作者將會密切關注其論文投遞后的狀態變更,使作者通常會無防備的點擊該郵件中的鏈接。生成式人工智能加劇網絡釣魚自 ChatGPT 推出以來,電子郵件網絡釣魚大幅增加,WormGPT、FraudGPT 等多個惡意的大模型在暗網市場中流通,降低了攻擊者制作商業電子郵件的門檻,幫助攻擊者能夠輕易制作更加逼真的攻擊話術和誘餌。根據SlashNext Threat Labs intelligence 觀察發現,2023 年在 ChatGPT 發布之后,惡意釣魚郵件數量增加了1
131、265%,呈指數級增長趨勢。巧妙的話術和高度偽裝的誘餌釣魚攻擊的關鍵之處就在于郵件話術和誘餌的逼真程度,越真實、越符合正常業務和溝通邏輯的釣魚郵件可以使攻擊者在遭受攻擊后幾乎無法感知,不僅能保障釣魚攻擊的成功率還能使其攻擊行為持續潛伏。隨著國家對反詐知識的宣傳,人們對于釣魚郵件的警惕與防范大大提高。與此同時,攻擊者也不斷提高其在釣魚攻擊上的迷惑性,來提高釣魚攻擊成功率。在 2023 年針對我國科研教育行業的釣魚攻擊中,發現存在針對于即將發表論文的作者投遞進行“論文校對”或“論文確認”的釣魚郵件,其中郵件內容除鏈接外,均與真實郵件完全相同,難以辨認,且及其貼合目標近期的正常業務活動,攻擊成功率極
132、高。672023網絡安全深度洞察及2024年趨勢研判典型APT攻擊事件某高校高新行業實驗室被高精準社工魚叉攻擊2023 年 2 月至 4 月,境內某高校與國內高新產業相關的近百名教職工、學生遭到境外以竊取情報為目的的定向網絡攻擊,已知至少 3 名教師,2 名學生的個人主機被植入竊密木馬,至少 4 臺主機被竊取文件。攻擊者使用“faculty-confirmation”、“GENO2185234 論文校對”、“APCATS 等會議 Co-chair 邀請”三種偽裝程度極高的郵件話術進行釣魚郵件攻擊,受害者運行攻擊者提供的程序后,下載后續階段遠控、反彈 shell、瀏覽器竊密、文件竊密、U 盤擺渡
133、木馬等惡意程序,其最終目的是竊取并持續監控受害者機器上的文檔文件。此次攻擊中,攻擊者疑似首先在暗網獲取了大量受害者信息,包括基本信息、郵箱賬密等等,對受害者信息了如指掌。在獲取到受害者郵箱權限后,攻擊者監控到了能夠編寫定向釣魚郵件的郵件主題和語料,包含頂會邀請、論文校對等等,使其偽造的釣魚郵件十分逼真,引發大量受害者點擊。攻擊者甚至偽裝為與教授私交甚好的他國高校教授與受害者進行長達十幾封的郵件往來交流也沒有被識破身份,極具迷惑性。在 2023 年實際對我國的 APT 釣魚攻擊事件中發現,APT 組織在對目標組織和目標受害者的社工程度比以往更深,其具備高精準的社工思維和技巧制作大量難辨真偽的誘餌
134、,并通過長期的潛伏偽裝讓受害者防不勝防。蔓靈花利用開源遠控組件攻擊某政府機關單位2023 年 1 月 11 日,根據深信服千里目安全技術中心監控發現某政府機關單位某終端主機與 APT 組織基礎設施存在通信行為。根據進一步排查發現,該終端在1月4日點擊釣魚郵件中的惡意域名并下載了攻擊載荷文件。還原攻擊過程為攻擊者向受害者投遞惡意郵件后,受害者點擊惡意郵件中的附件,執行 chm 惡意附件導致創建惡意計劃任務,從而被 APT 組織控制。郵件中投遞的件 chm 惡意附件在點擊后將會創建計劃任務“AdobeUpdater”并調用 msiexec 遠程下載 cert.msi 文件作為攻擊載荷并執行,從而釋
135、放了遠控組件 scroll_.exe,經過分析,確認該文件為蔓靈花組織一直在使用的 DarkRAT 遠控,本次攻擊者對該遠控進行了混淆,該遠控組件由開源遠控 DarkAgent 項目修改而成,其參考的開源項目地址為https:/ cert.msi 文件的遠程地址“”為印度 APT 組織蔓靈花的 C2 服務器。在終端取證中發現該終端還存在異常啟動項 ceve.exe,根據啟動項定位文件位置,發現該文件創建時間為 1 月 4 日15:45:40,通過深信服專用 APT 沙箱平臺分析發現該程序為遠控木馬,關聯域名 ,而該域名在開源情報中已經被披露歸因為蔓靈花 APT 組織。攻擊者還多次嘗試使用了遠控
136、工具 anydesk,但因為單位策略設置拒絕訪問未成功連接。研究員上機取證后,第一時間對失陷終端中的駐留項和惡意文件進行了清除。開源組件利用在 APT 攻擊中越發常見,開源組件二次開發形成惡意組件的方式極大地減少了一些攻擊能力較弱的組織的研發成本,并使得攻擊溯源更加困難。682023網絡安全深度洞察及2024年趨勢研判UNC4736組織利用雙重供應鏈攻擊3CX公司2022 年 UNC4736 組織對 Trading Technologies 公司開發的 X_TRADER 交易軟件進行篡改,在其源代碼中插入惡意程序(稱為 VEILEDSIGNAL)投放在軟件官網上,該惡意程序允許攻擊者獲得軟件使
137、用者的計算機訪問權限并竊取網絡憑據。2022 年 9 月至 11 月期間,UNC4736 利用木馬化的 X_TRADER 應用程序入侵了電力和能源領域的兩個關鍵基礎設施組織以及另外兩個涉及金融交易的企業。2023 年 3 月,大型企業級電話管理系統供應商 3CX 遭受嚴重供應鏈攻擊,該公司 3CX 桌面應用程序軟件被 UNC4736 組織注入惡意程序,并投放在官方下載渠道傳播。經過調查發現,此次事件是由 2022 年 X_TRADER 交易軟件的供應鏈攻擊事件導致。根據 Mandiant 對 3CX 公司受攻擊情況調查發現,由于 3CX 員工意外下載被污染的 X_TRADER 應用程序,從而被
138、UNC4736 竊取了 3CX 公司的辦公環境的網絡登錄憑據,UNC4736 使用同樣的源代碼污染方式在 3CX 桌面應用程序植入惡意代碼,并將其投放在官方下載渠道中。此次攻擊所涉及該軟件的Windows、Linux 和 MacOS版本,據3CX官網顯示,目前,3CX 的產品和服務已經覆蓋全球 160 多個國家,并且已經擁有超過 60 萬企業用戶,日活躍用戶超過 1200 萬,此事件影響面極大。根據 Mandiant 的調查將此次事件高度歸因于 UNC4736 組織,并與東亞某國家有聯系,根據公開情報發現 UNC4736 隸屬于 Lazarus 組織。此事件后,在 2023 年 Lazarus
139、 開始瞄準軟件供應商開展持續的攻擊部署,并利用第三方開發工具的供應鏈攻擊。該事件是首次發現的軟件供應鏈攻擊事件導致的軟件供應鏈攻擊,被廣泛稱為“雙重供應鏈”攻擊事件。雙重供應鏈攻擊將其傳播范圍廣的特性再次放大,將兩條軟件供應鏈上下游給串聯起來,實現難以察覺的連環攻擊,并保持長期存在的攻擊效果。該事件的攻擊效果為黑客組織提供了攻擊新思路,可能將吸引更多黑客組織轉向使用該手段,從攻擊目標源頭供應商入手,部署更加復雜的軟件供應鏈攻擊。美國情報機構針對iOS設備的移動端APT活動俄羅斯聯邦安全局(FSB)發現了美國政府新的“監控證據”,俄方確信美國政府正通過入侵數千部 iPhone 手機,來監控俄羅斯
140、本國以及外國公民,受監控的群體還包括一些國家的在俄外交官??偛课挥诙砹_斯首都莫斯科的著名網絡安全公司卡巴斯基實驗室也表示,該公司有數十名員工的個人電子設備在美國政府的間諜活動中遭到破壞。2023 年 6 月 1 日,卡巴斯基發布了一篇報告表示,公司高層和中層管理人員的 iPhone 數據被盜,這是代號為“三角測量行動”的 APT 攻擊的一部分。三角測量行動的第一批痕跡可以追溯到 2019 年,此次攻擊行動利用的是零點擊漏洞,因此不需要用戶進行任何交互,通過iMessage收到受感染的消息后,設備將被感染,并在受感染的iPhone中部署APT工具包。在后續的調查跟進中發現,該植入程序被卡巴斯基命
141、名為 TriangleDB,是在攻擊者利用內核漏洞獲得目標 iOS 設備的 root 權限后部署的。它部署在內存中,這意味著當設備重新啟動時,植入物的所有痕跡都會丟失。因此,如果受害者重新啟動設備,攻擊者必須通過發送帶有惡意附件的 iMessage 來重新感染設備,從而再次啟動整個漏洞利用鏈。如果沒有重新啟動,植入程序將在 30 天后自行卸載,除非攻擊者延長此期限。一旦植入程序啟動,它就會開始與 C2 服務器通信,使用 Protobuf 庫交換數據。蘋果在 7 月 24 日再次發布了安全更新通告,以解決針對 iPhone、Mac 和 iPad 的攻擊中被利用的零日漏洞,該漏洞被追蹤為 CVE-
142、2023-38606。據卡巴斯基 GReAT 首席安全研究員 Boris Larin 稱,CVE-2023-38606 是用于通過 iMessage 漏洞在 iPhone 上部署三角測量行動間諜軟件的零點擊漏洞鏈的一部分。此次修復的漏洞影響的設備列表相當廣泛,包括各種iPhone 和 iPad 機型,以及運行 macOS Big Sur、Monterey 和 Ventura 的 Mac。美國針對全球無差別的情報監控已陸續被各國發現,俄羅斯安全廠商卡巴斯基披露了美國利用 Apple 漏洞一系列的攻擊行為,除俄羅斯外,包括以色列、敘利亞和中國都在此次監控范圍內。692023年網絡安全狀況特點及20
143、24年趨勢研判UNC4736組織利用雙重供應鏈攻擊3CX公司2022 年 UNC4736 組織對 Trading Technologies 公司開發的 X_TRADER 交易軟件進行篡改,在其源代碼中插入惡意程序(稱為 VEILEDSIGNAL)投放在軟件官網上,該惡意程序允許攻擊者獲得軟件使用者的計算機訪問權限并竊取網絡憑據。2022 年 9 月至 11 月期間,UNC4736 利用木馬化的 X_TRADER 應用程序入侵了電力和能源領域的兩個關鍵基礎設施組織以及另外兩個涉及金融交易的企業。2023 年 3 月,大型企業級電話管理系統供應商 3CX 遭受嚴重供應鏈攻擊,該公司 3CX 桌面應
144、用程序軟件被 UNC4736 組織注入惡意程序,并投放在官方下載渠道傳播。經過調查發現,此次事件是由 2022 年 X_TRADER 交易軟件的供應鏈攻擊事件導致。根據 Mandiant 對 3CX 公司受攻擊情況調查發現,由于 3CX 員工意外下載被污染的 X_TRADER 應用程序,從而被UNC4736 竊取了 3CX 公司的辦公環境的網絡登錄憑據,UNC4736 使用同樣的源代碼污染方式在 3CX 桌面應用程序植入惡意代碼,并將其投放在官方下載渠道中。此次攻擊所涉及該軟件的Windows、Linux 和 MacOS版本,據3CX官網顯示,目前,3CX 的產品和服務已經覆蓋全球 160 多
145、個國家,并且已經擁有超過 60 萬企業用戶,日活躍用戶超過 1200 萬,此事件影響面極大。根據 Mandiant 的調查將此次事件高度歸因于 UNC4736 組織,并與東亞某國家有聯系,根據公開情報發現 UNC4736 隸屬于 Lazarus 組織。此事件后,在 2023 年 Lazarus 開始瞄準軟件供應商開展持續的攻擊部署,并利用第三方開發工具的供應鏈攻擊。該事件是首次發現的軟件供應鏈攻擊事件導致的軟件供應鏈攻擊,被廣泛稱為“雙重供應鏈”攻擊事件。雙重供應鏈攻擊將其傳播范圍廣的特性再次放大,將兩條軟件供應鏈上下游給串聯起來,實現難以察覺的連環攻擊,并保持長期存在的攻擊效果。該事件的攻擊
146、效果為黑客組織提供了攻擊新思路,可能將吸引更多黑客組織轉向使用該手段,從攻擊目標源頭供應商入手,部署更加復雜的軟件供應鏈攻擊。美國情報機構針對iOS設備的移動端APT活動俄羅斯聯邦安全局(FSB)發現了美國政府新的“監控證據”,俄方確信美國政府正通過入侵數千部 iPhone 手機,來監控俄羅斯本國以及外國公民,受監控的群體還包括一些國家的在俄外交官??偛课挥诙砹_斯首都莫斯科的著名網絡安全公司卡巴斯基實驗室也表示,該公司有數十名員工的個人電子設備在美國政府的間諜活動中遭到破壞。2023 年 6 月 1 日,卡巴斯基發布了一篇報告表示,公司高層和中層管理人員的 iPhone 數據被盜,這是代號為“
147、三角測量行動”的 APT 攻擊的一部分。三角測量行動的第一批痕跡可以追溯到 2019 年,此次攻擊行動利用的是零點擊漏洞,因此不需要用戶進行任何交互,通過iMessage收到受感染的消息后,設備將被感染,并在受感染的iPhone中部署APT工具包。在后續的調查跟進中發現,該植入程序被卡巴斯基命名為 TriangleDB,是在攻擊者利用內核漏洞獲得目標 iOS 設備的 root 權限后部署的。它部署在內存中,這意味著當設備重新啟動時,植入物的所有痕跡都會丟失。因此,如果受害者重新啟動設備,攻擊者必須通過發送帶有惡意附件的 iMessage 來重新感染設備,從而再次啟動整個漏洞利用鏈。如果沒有重新
148、啟動,植入程序將在 30 天后自行卸載,除非攻擊者延長此期限。一旦植入程序啟動,它就會開始與 C2 服務器通信,使用 Protobuf 庫交換數據。蘋果在 7 月 24 日再次發布了安全更新通告,以解決針對 iPhone、Mac 和 iPad 的攻擊中被利用的零日漏洞,該漏洞被追蹤為 CVE-2023-38606。據卡巴斯基 GReAT 首席安全研究員 Boris Larin 稱,CVE-2023-38606 是用于通過 iMessage 漏洞在 iPhone 上部署三角測量行動間諜軟件的零點擊漏洞鏈的一部分。此次修復的漏洞影響的設備列表相當廣泛,包括各種iPhone 和 iPad 機型,以及
149、運行 macOS Big Sur、Monterey 和 Ventura 的 Mac。美國針對全球無差別的情報監控已陸續被各國發現,俄羅斯安全廠商卡巴斯基披露了美國利用 Apple 漏洞一系列的攻擊行為,除俄羅斯外,包括以色列、敘利亞和中國都在此次監控范圍內。692023網絡安全深度洞察及2024年趨勢研判蔓靈花組織利用國產辦公軟件開展釣魚攻擊2023 年 8 月,深信服千里目安全技術中心發現,蔓靈花組織開始投遞國內相關文檔辦公軟件制作的惡意 PPT 文檔,其投遞的惡意文檔,誘導目標執行該文件創建惡意計劃任務下載第二階段載荷,該攻擊手法沒有發生較大變化。在最新的攻擊行動中發現,此批惡意 PPT
150、文檔的惡意利用流程如下,通過在 PPT 中插入圖片,并設置該圖片“鼠標單擊”與“鼠標懸?!钡葎幼?,在動作設置中選擇動作觸發運行程序,并在運行程序中設置惡意命令,以啟動 CMD 命令創建惡意任務計劃“AudioDg”。使得受害者打開 PPT 瀏覽時鼠標滑過或者點擊到圖片將執行惡意命令,執行惡意操作,而其中的惡意命令是專門針對某國產辦公軟件構造的,該軟件會解析該命令并彈出操作框誘導用戶進行下一步點擊操作。本次事件揭露該組織正在嘗試分析國內相關軟件特性及軟件漏洞并加以利用,對我國開展更加定向性的攻擊活動。APT攻擊態勢小結(一)2023 年國家間攻擊對抗持續加劇,政治沖突推動網絡攻擊更為激烈。根據公
151、開披露的活動頻率來看,東亞地區的 Lazarus 組織的活躍程度最高,該組織目標遍布全球,在 2023 年表現出對軟件供應商的高度攻擊態勢;根據深信服千里目安全技術中心監測數據來看,針對我國開展頻繁攻擊的以東南亞和南亞地區APT 組織為主,其中海蓮花、蔓靈花、摩柯草對我國表現出高度活躍的攻擊趨勢。(二)APT 組織在釣魚攻擊的社工上越發精細,所制作的誘餌越發具有迷惑性。隨著大眾對釣魚攻擊和詐騙信息的防范性逐漸提高,APT 組織的釣魚誘餌制作采取了更加定向性的社會工程學分析并與竊取的真實文件相結合,制作出難以辨別真偽的釣魚郵件信息,使得受害者防不勝防,在 2023 年實際捕獲的 APT 攻擊事件
152、中,APT 組織體現精細的前期打點工作,其通過多種渠道的社工手段將受害者信息和釣魚背景全面掌握,制造出與受害者日常工作內容幾乎一致的釣魚誘餌,使得其攻擊具有極高成功率。(三)供應鏈攻擊成為 APT 組織獲取初始權限的流行方式。自影響全球的 SolarWinds 供應鏈攻擊事件爆發以來,越來越多的 APT 組織開始瞄準目標上游供應商,2023 年上半年的3CX 雙重供應鏈攻擊事件影響力尤為突出,雙重供應鏈攻擊將其傳播范圍廣的特性再次放大,將持續吸引更多組織利用該攻擊手法。(四)開源組件在 APT 攻擊中廣泛使用,以降低攻擊成本和攻擊反溯源效果。在 2023 年檢測到的 APT 攻擊活動中,越來越
153、多的組織開始利用開源組件二次開發的攻擊組件,尤其集中在遠控組件上。開源組件的二次開發利用極大的減少了 APT 組織在攻擊成本上的消耗,且具備能夠快速迭代更新以保持不斷變化的攻擊能力,這些快速迭代的對抗技巧也使得 APT 組織和安全企業之間的攻防較量更為復雜和激烈,溯源歸因難度也越來越高。(五)BYOVD 技術正廣泛應用于各大 APT 攻擊活動中。BYOVD 技術從最初被頂尖 APT 組織所使用,發展到如今被越來越廣泛的利用在各種網絡攻擊當中,未來這項技術的使用頻率可能會進一步增加,且更加自動化。702023網絡安全深度洞察及2024年趨勢研判2024年重點關注趨勢2023 年以 ChatGPT
154、 為代表的生成式人工智能給各行業帶來了生產力變革,人工智能的快速落地的同時也帶來了新的網絡安全威脅,一方面 AI 可以為網絡攻擊提供便利,帶來內容安全和數據安全方面的風險,如釣魚郵件制作、惡意代碼生成、虛假信息制造、非法數據處理等等,甚至能幫助攻擊者快速識別系統漏洞和創造更復雜的利用條件,增強網絡攻擊的能力和效率。另一方面 AI 自身面臨的安全問題需加強重視,包括 AI 的過度濫用帶來的隱私安全問題、數據中毒為代表的對抗性攻擊以及算法的偏差利用等等。2023 年各行業大模型涌現,然而,快速的推動大模型落地往往會使人們沉浸在 AI 的強大特性中,從而忽視掉 AI 本身存在的各種安全問題,若不加以
155、處置和預防,使之被攻擊者利用,將可能導致 AI 模型“中毒”,生產出有危害內容。生成式 AI 加強的網絡攻擊活動需重點關注,同時 AI 技術自身安全問題也不容忽視2023 年針對軟件供應鏈的網絡攻擊在 APT 攻擊中頻繁發生,主要表現為針對開源組件項目中插入惡意軟件依賴包和針對軟件供應商的攻擊以篡改合法程序。然而當前這兩種主要的供應鏈安全威脅在國內外都還無法有效的杜絕,如何及時發現污染并快速遏制影響仍舊是主要的軟件供應鏈安全問題。2024 年攻擊團伙針對軟件供應鏈的黑灰產業鏈規模將不斷擴大,供應鏈攻擊即服務將為攻擊者提供有效的軟件供應鏈攻擊利用包和潛在受害者群體,將降低供應鏈攻擊使用門檻。軟件
156、供應鏈攻擊的影響規模不可忽視,且其已成為國家級對抗攻擊的常用手段,在當前攻擊威脅不斷擴大的情況下,如何加強治理以應對威脅還需要持續關注和思考。軟件供應鏈安全風險將持續加大,需重點關注相關治理方法以應對不斷增長的攻擊威脅隨著邊緣計算技術的快速發展,智慧城市、智慧家居、智慧醫療自動駕駛等新概念逐漸應用于人們的實際生活當中,物聯網、車聯網設備接入網絡中,實現在采集端側的快速邊緣計算。而這項技術快速發展應用同樣吸引了網絡攻擊者目光,在2023 年 7 月武漢市應急管理局發布聲明稱,武漢市地震監測中心遭受境外有政府背景的黑客組織的網絡攻擊,并在前端采集設備中發現能夠非法控制并竊取地震數據的木馬程序。此外
157、,在網絡戰爭中頻頻發現針對網絡攝像頭、大屏顯示器的攻擊行為。未來網絡攻擊者將可能針對智慧城市、數字孿生等新概念場景中滲透,將監視范圍擴展到物聯網采集設備、智慧大屏、聯網汽車系統等設備中。針對邊緣計算的攻擊將越來越流行,物聯網、車聯網、智慧城市等新技術安全需重點關注712023網絡安全深度洞察及2024年趨勢研判2021 年以色列 NSO 集團的 Pegasus 飛馬間諜軟件監聽多國元首和政界要員事件成為國際焦點。此事曝光后,針對于移動設備的情報間諜活動引起了廣泛關注。2023 年,俄羅斯卡巴斯基曝光了針對 iOS 設備的新型隱秘式間諜活動,稱為“三角測量行動”,利用此次行動美國通過移動設備對全
158、球進行無差別網絡攻擊。根據俄羅斯聯邦安全局聲明稱,俄羅斯境內發現數千臺蘋果手機被植入未知惡意軟件,還發現了其他國家號碼和使用在俄羅斯注冊的外交機構和大使館的 SIM 卡的用戶也受到感染,包括北約成員國、后蘇聯地區國家以及以色列、南非和中國。針對移動設備的攻擊已成為情報竊取的一大趨勢,未來可能將會看到向隨身智能設備擴展的網絡攻擊,包括智能芯片、操作系統等等。隨著 AI 的應用,將進一步幫助攻擊者分析移動設備中采集的數據形成用戶畫像,加劇網絡間諜活動。擴展到移動終端的高級威脅攻擊,針對移動設備的情報竊取將成為間諜活動的攻擊趨勢數據跨境流動已是國際經濟發展的要素,大國針對跨境數據流動規則主導權的爭奪
159、將成為數字經濟發展中的常態,2023年各國積極構建數據跨境多邊規則達成合作共識,以促進盟友間的數據跨境流動規則??深A見的是,今后數據跨境流動規則將形成多邊博弈的趨勢,形成復雜的數據流動圈層。而西方國家主導的一貫的排華舉措來看,將可能形成不利于我國數據跨境流動的規則。如何有效促進我國數據跨境的有效流動,加強多邊合作,防止別國對我國數據跨境流動進行限制和孤立以遏制我國的數字化經濟發展,保障我國數據流動權益等是仍需持續關注的重點方向。數據跨境流動越發復雜,國際數據跨境流動的發展形勢需重點關注722023網絡安全深度洞察及2024年趨勢研判參考鏈接CNVD 安全公告https:/ 漏洞通告https:
160、/ 年戰略計劃”https:/www.cisa.gov/strategic-plan美國網絡安全和基礎設施安全局漏洞披露策略(VDP)https:/www.cisa.gov/resources-tools/resources/vulnerability-disclosure-policy-vdp-platform-fact-sheet美國網絡安全和基礎設施安全局約束性操作指令(BOD)22-01https:/www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulner
161、abilities谷歌零號計劃https:/ 年關鍵基礎設施網絡事件報告法案(CIRCIA)https:/www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia美國網絡安全和基礎設施安全局勒索軟件漏洞警告試點(RVWP)https:/www.cisa.gov/stopransomware/Ransomware-Vulnerability-Warning-Pilot國家互聯網信息辦公室關
162、于網絡安全事件報告管理辦法(征求意見稿)公開征求意見的通知http:/ 國家金融監督管理總局關于促進網絡安全保險規范健康發展的意見https:/ 惡意軟件在國際網絡攻擊中遭到破壞https:/www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedownzscaler 關于 DarkGate 惡意軟件攻擊活動和趨勢分析https:/ Top Russian Dark Web Forumhttps:/webz.io/dwp/xss-the-top-russian-dark-web-forum/8
163、Base ransomware group leaks data of 67 victim organizationshttps:/ Cybercrime Forums to Monitor in 2023https:/flare.io/learn/resources/blog/top-cybercrime-forums/韓國 PIPC 發布 2023 年工作計劃,將跨境數據傳輸作為重點領域之一https:/www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8550EDPB 發布
164、關于歐盟-美國數據隱私框架充分性決定草案的意見https:/edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_enUAC-0114(Winter Vivern)組織與烏克蘭和波蘭國家機構相關的活動(CERT-UA#5909)https:/cert.gov.ua/article/3761023Shuckworm APT IOChttps:/1275.ru/ioc/2192/shuckworm-apt-iocs/俄羅斯 APT29 的
165、演變新的攻擊和技術被發現https:/ the LIGHTSHOW(Part Two)LIGHTSHIFT and LIGHTSHOWhttps:/ BYOVD 的 Sliver 惡意軟件https:/ SPIDER 利用 Windows 安全缺陷,通過自帶易受攻擊的驅動程序策略來嘗試繞過端點安全https:/ BlackCat 的入口媒介,演員還利用 SpyBoy Terminatorhttps:/ 殺手惡意軟件濫用 Process Explorer 驅動程序https:/ 虛擬化在惡意廣告攻擊中蓬勃發展https:/ 防御規避工具在線廣告https:/ 年十大網絡安全趨勢和預測https:
166、/ 設備被以前未知的惡意軟件攻擊https:/ 年高級威脅預測https:/ 年犯罪軟件和金融網絡威脅https:/ APT竊密攻擊風險關于近期南亞 APT 組織在境內高度活躍報告疑似 CNC 組織最新攻擊動態分析,AI 模型驗證歸因關于 CNC 組織對境內高??蒲袉挝粚嵤?APT 攻擊事件通告摩訶草組織(APT-Q-36)借 Spyder下載器投遞 Remcos 木馬關于近期南亞 APT 組織在境內高度活躍報告疑似摩訶草組織利用 WarHawk 后門變種 Spyder 窺伺多國對開源項目情有獨鐘的 Patchwork組織Patchwork組織更新技術卷土重來,針對境內教育科研單位再次發起攻擊
167、行動https:/ APT組織攻擊動態報告信息762023網絡安全深度洞察及2024年趨勢研判攻擊動態鏈接披露廠商組織披露時間蔓靈花2023年03月24日2023年04月04日2023年11月21日深信服ASECIntezer蔓靈花組織投向國產辦公軟件的目光與 winrar 漏洞之觸Bitter 組織傳播針對中國機構的CHM 惡意軟件APT 組織 BITTER 針對中國核能行業的釣魚活動https:/ 2023 年初攻擊行動匯總與新組件分析https:/ Lazarus(APT-Q-1)涉及 npm包供應鏈的攻擊樣本分析https:/ winrar 漏洞之觸Bitter 組織傳播針對中國機構的
168、CHM 惡意軟件APT 組織 BITTER 針對中國核能行業的釣魚活動https:/ 2023 年初攻擊行動匯總與新組件分析https:/ Lazarus(APT-Q-1)涉及 npm包供應鏈的攻擊樣本分析https:/ 組織入侵臺灣省訊連科技公司以實施供應鏈攻擊Lazarus 組織瞄準軟件供應商部署SIGNBT 惡意軟件https:/ 組織利用 TeamCity 服務器漏洞實施軟件供應鏈攻擊https:/ 組織工具 Volgmer 后門及其加載器 Scout 分析https:/ 組織持續開展 VMConnect供應鏈攻擊活動h t t p s:/w w w.r e v e r s i n g
169、- 組織在全球范圍內部署新偵察工具 ReconShark2023年08月24日2023年08月24日2023年07月18日思科思科GitHubLazarus 組織通過 ManageEngine歷史漏洞部署 QuiteRATLazarus 組織重用其基礎設施傳播新工具 CollectionRATLazarus 利用惡意 npm 依賴軟件的GitHub 存儲庫開展攻擊h tt p s:/b l o g.ta l o s i n te l l i- tt p s:/b l o g.ta l o s i n te l l i- 3CX 供應鏈攻擊組織相關聯的Linux 樣本分析https:/ 組織向韓
170、國研究機構分發惡意釣魚文件Kimsuky 組織使用 RDP 服務控制受害主機https:/ 組織利用代幣兌換和投資相關誘餌文檔攻擊投資領域用戶Kimsuky 組織再次使用定制工具RandomQuery 進行間諜攻擊https:/ 組織借助 ADS 隱藏惡意軟件Kimsuky 組織正利用 OneNote 文件分發惡意軟件https:/ APT 組織“雙異鼠”針對我國的大規模網絡攻擊行動https:/ APT 團伙連續兩年在攻防演練活動中渾水摸魚https:/ pointWarSunflower(戰爭葵花)組織針對 CIS 國家及中亞地區的最新攻擊行動分析Gamaredon 組織利用 USB 蠕蟲
171、病毒 LitterDrifter 針對烏克蘭https:/ Shuckworm 長期入侵烏克蘭h t t p s:/s y m a n t e c-e n t e r-prise- 組織針對烏克蘭當局開展間諜活動Gamaredon 組織利用 Telegram 瞄準烏克蘭政府部門https:/cert.gov.ua/article/3761023https:/ a n-e m b a s s y-l u r e-l i k e-ly-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs2023年08月10日EclecticIQ疑似 APT29 組織使用德國大使館外交內容作為誘餌傳播惡意 PDF 文件https:/ 借助 Microsoft Teams 服務針對全球組織開展釣魚活動2023年07月25日Avertium俄羅斯 APT29 組織歷史活動軌跡詳情披露https:/ o u r c e/e v o l u t i o n-o f-r u s-sian-apt29-new-attacks-and-techniques-uncovered792023網絡安全深度洞察及2024年趨勢研判