《深信服：2023APT趨勢洞察分析報告（80頁）.pdf》由會員分享，可在線閱讀，更多相關《深信服：2023APT趨勢洞察分析報告（80頁）.pdf（80頁珍藏版）》請在三個皮匠報告上搜索。

1、2023APT趨勢洞察報告2023 APT TRENDS INSIGHT REPORTS千里目-深瞻情報實驗室目錄前言主要觀點摘要漏洞利用視角0day漏洞利用趨勢已披露的各APT組織0day漏洞利用情況攻擊技巧視角BYOVD等驅動濫用的相關攻擊技巧高隱藏型內核態Rootkit白宿主進程惡意代碼執行供應鏈投毒攻擊AI引入的增強網絡攻擊攻擊事件視角：無孔不入的APT高?？蒲行袠I定向釣魚“卷王”銀狐日新月異的攻擊手法瞄準高性能集群進行的定向計算資源竊取供應鏈投毒事件頻發，淪為“肉雞”防不勝防邊界設備成為攻擊者青睞的攻擊入口隱蔽的移動設備攻擊戰線0102020304060910131618192021

2、2830313536地緣視角下的全球APT組織南亞東亞歐洲中東北美未知APT防御視角：如何構建可靠的防御體系APT防御體系框架人員安全意識培訓資產管理和保護網域管理與安全設施部署建立研發供應鏈安全機制建立安全運營中心，完善取證和響應機制附1:深信服智安全風險監測平臺APT組織畫像平臺附2:深信服千里目安全技術中心深瞻情報實驗室38394650545660626366676869717375前言2023 年，深信服千里目安全技術中心深瞻情報實驗室（以下簡稱“深瞻情報實驗室”）對全球范圍內的多個 APT 組織和網絡犯罪團伙進行了長期跟蹤和分析。從中，我們見證了 APT 組織攻擊手段的持續迭代升級、

3、攻擊圖景的不斷擴張以及組織結構的不斷分化重組。當前，APT 已是網絡空間中社會影響最廣、防御難度最高的斗爭形態，其危害性不容忽視。政治和經濟形勢的變化正在推動 APT 威脅快速演變。與此同時，網絡黑產犯罪團伙大行其道，高級技術層出不窮，與 APT 的技術界限逐漸模糊。據監測，已經發生多起針對大型計算資源的定向挖礦以及目標明確的定向勒索，攻擊者使用的手法和技巧與一些常規 APT 組織幾乎無異。然而，企業或組織的安全建設往往難以應對這種高水平的網絡攻擊威脅。高級的網絡攻擊不再遙不可及，經濟、科技、民生發展行業建立起有效的 APT 防御體系迫在眉睫。在 APT 組織利用 0day 漏洞方面，我們監測

4、到的 0day 漏洞數量達到了歷史最高，其中移動端漏洞比例大幅增加，但 PC 端漏洞比重仍然位居第一，隨著移動互聯網已經滲透到人們生活、工作的各個領域，攻擊者的目光也開始轉向移動互聯網，個人也將更直接地面向復雜危險的網絡惡意活動。APT 組織和網絡犯罪團伙對社區前沿攻擊技術的變化十分敏感，擅長在短時間內將最新技術或工具應用在攻擊行動上。近年來，DLL 劫持、高隱藏 Rootkit、BYOVD 等攻擊技術在實戰中越來越常見。與此同時，針對安全防護軟件的繞過或致盲也大幅增加，安全產品的自身防護和有效性也面臨前所未有的挑戰?；仡?2023 年披露的 APT 事件，國家背景的竊密攻擊和滲透仍然在 AP

5、T 事件中占據最大比重。以經濟為目的的定向勒索也開始涉及新的行業和地區。與此同時，一些以大型計算資源為攻擊目的的攻擊者也非?；钴S，通過濫用計算資源從中牟取暴利。一些網絡犯罪團伙也將網絡攻擊和詐騙結合，通過高欺騙性的手法造成大量受害者中招和傳播，高級的網絡攻擊逐漸和個人息息相關?；?2023 年跟蹤的 APT 組織動向以及事件響應溯源，深瞻情報實驗室將從漏洞利用視角、攻擊技巧視角、攻擊事件視角、全球 APT 組織視角以及 APT 攻擊防御視角五個視角詳細闡述本年度 APT趨勢洞察。本報告除明確注明來源以外，數據均來自深信服千里目安全技術中心深瞻情報實驗室，目的僅為幫助客戶及時了解中國或其他地區

6、 APT 威脅的最新動態和發展，僅供參考。本報告中所含內容乃一般性信息，不應被視為任何意義上的決策意見或依據，任何深信服科技股份有限公司的關聯機構、附屬機構（統稱為“深信服股份”）并不因此構成提供任何專業建議或服務。012023APT趨勢洞察報告主要觀點摘要APT 組織攻擊手段的正持續迭代升級、攻擊圖景不斷擴張、組織結構不斷分化重組；網絡黑產犯罪團伙大行其道，高級技術層出不窮，與 APT 的技術界限逐漸模糊；APT 組織利用 0day 漏洞數量達到了歷史最高，其中移動端漏洞激增；APT 組織和網絡犯罪團伙對社區前沿攻擊技術的變化十分敏感，擅長在短時間內將最新技術或工具應用在攻擊行動上；國家背景

7、的竊密攻擊和滲透仍然在 APT 事件中占據最大比重，但以經濟為目的的定向勒索也開始涉及新的行業和地區。012023 年，深瞻情報實驗室監測到的在野 0day 漏洞數量數達到 2015 年以來最高值，達 53 個。這些漏洞對各種組件和系統產生普遍影響，特別是瀏覽器 0day 漏洞攻擊成為 APT 攻擊常見入口，且受到“三角行動”的影響，移動設備漏洞呈激增趨勢。02BYOVD、Rootkit、DLL 劫持等攻擊技術被攻擊者大肆改造濫用，網絡犯罪團伙也在新攻擊技術上展現出敏銳嗅覺，快速迭代其武器庫，供應鏈投毒和 AI 引入的增強網絡攻擊給安全防護帶來前所未有的挑戰。03無孔不入的 APT 組織對國內

8、多個行業發起定向攻擊，手段包括魚叉式釣魚、供應鏈投毒、安全設備定向繞過等等，多起攻擊事件被深瞻情報實驗室監測溯源到。04根據對攻擊技巧及 APT 組織的長期跟蹤分析，深瞻情報實驗室針對 APT 防御體系框架、人員安全意識培訓、資產管理、安全設施管理等安全建設提出針對性建議和策略。022023APT趨勢洞察報告漏洞利用視角032023APT趨勢洞察報告2023 年我們監測到多個 APT 組織利用多個平臺以及應用的 0day 漏洞開展攻擊。2023 年，深瞻情報實驗室監測到的在野0day 漏洞數量達到了 53 個，創下自 2015 年以來的最高紀錄。從整體趨勢來看，這些 0day 漏洞對各種組件和

9、系統的影響日益普遍，0day 攻擊對網絡空間的威脅程度也在逐年上升。0day漏洞利用趨勢01020304050602015292623132126392253201620172018單位：個20192015-2023 年在野 0day 漏洞攻擊監測數量2020202120222023數量042023APT趨勢洞察報告Apple21（11.23%）其中 2023 年監測到的 0day 漏洞涉及瀏覽器漏洞、Win/Linux/iOS 等操作系統漏洞、網絡設備漏洞、應用程序漏洞等多種類型。我們通過對 2015 年以來的在野 0day 攻擊漏洞所屬平臺進行定量分析，可以看出 PC 端操作系統和瀏覽器

10、0day 漏洞攻擊數量較多，占據主要部分。其中瀏覽器 0day 漏洞（配合 PC 端操作系統本地提權）是 APT 攻擊的常見入口。從攻擊難度和攻擊效益來看，瀏覽器 0day 漏洞攻擊實施復雜度低、攻擊效率高，攻擊者只需要誘導用戶訪問一個 URL 即可獲取受害者主機權限，這仍然是眾多黑客或 APT 組織追逐的理想攻擊方式。與此同時。23 年移動端和 PC 端漏洞數量激增，這主要來自于Apple 2023 年爆出的大量同時影響 iOS、MacOS 和 iPadOS 多種平臺的危險漏洞。（“三角行動”帶來了多個 0-click 蘋果移動設備漏洞異軍突起，使移動設備漏洞成為攻擊中最突出的問題。）與以往

11、不同的是，2023 年微軟和谷歌操作系統漏洞以及瀏覽器漏洞所占比例不再最大。單位：個2015-2023 年各平臺在野 0day 攻擊數量1522 年合計23 年新增其他96（51.34%）Linux3（1.61%）Cisco7（3.74%）Microsoft27（14.44%）Samsung8（4.28%）Google7（3.74%）VMware2（1.07%）Adobe6（3.21%）Apache5（2.67%）Oracle5（2.67%）MicrosoftAppleSamsungGoogleVMwareAdobeApacheCiscoOracleLinux其他2023 年已知在野被利用漏洞

12、涉及廠商010203040506070移動端PC 端Web 端瀏覽器客戶端12256031707012227052023APT趨勢洞察報告“三角行動”是一項專門針對蘋果 iPhone 設備的間諜軟件活動，利用了四個 0day 漏洞。這些漏洞被聯合使用形成一個零點擊漏洞利用鏈，使攻擊者能夠在零點擊的情況下遠程提升特權并執行代碼。構成這個高度復雜漏洞鏈的四個漏洞適用于 iOS 16.2 以下的所有 iOS 版本：攻擊始于向目標發送的惡意 iMessage 附件，整個攻擊鏈是零點擊的，這意味著它不需要用戶互動，也不會留下明顯的痕跡或跡象?？ò退够谄鋬炔烤W絡中發現了這次攻擊，而俄羅斯情報部門（FSB

13、）隨即指責蘋果向美國國家安全局提供了用于攻擊俄羅斯政府和大使館人員的后門。已披露的各APT組織0day漏洞利用情況方程式組織（EQUATION GROUP）使用復雜0day漏洞攻擊鏈攻擊Apple設備CVE-2023-41990：涉及 ADJUST TrueType 字體指令的漏洞，允許通過惡意 iMessage 附件執行遠程代碼。CVE-2023-32434：涉及 XNU 內存映射系統調用的整數溢出問題，使攻擊者能夠對設備的物理內存進行廣泛的讀/寫訪問。CVE-2023-32435：涉及 Safari 漏洞，用于執行 shellcode，作為多階段攻擊的一部分。CVE-2023-38606：

14、涉及使用硬件 MMIO 寄存器繞過頁面保護層（PPL）的漏洞，以覆蓋基于硬件的安全保護。Attack chainAttackersiMessageaccountPDF fileTrueTypefont exploitCVE-2023-41990ROP/JOPNSExpressionbplistNSExpressionsKernel exploit(JavaScript)DollarVMPAC bypassCVE-2023-32434CVE-2023-38606SafariImagent(cleaner)ValidatorSafariexploitCVE-2023-32435Kernel exp

15、loit(Binary)CVE-2023-32434CVE-2023-38606ValidatorMalware062023APT趨勢洞察報告2023年初，烏克蘭網絡安全研究人員發現，APT 28利用一個Microsoft Outlook的0day漏洞（現被稱為CVE-2023-23397），這個漏洞無需用戶交互即可被攻擊者利用，遠程執行惡意代碼。據觀測該組織在過去的 20 個月里一直在使用CVE-2023-23397，針對至少 30 個組織進行攻擊，這些組織分布在 14 個可能對俄羅斯政府及其軍方具有戰略情報價值的國家。在此期間，APT 28 進行了至少兩次使用此漏洞的攻擊活動，第一次發生在

16、 2022 年 3 月至 12 月之間，第二次發生在 2023年 3 月。在 2023 年 9 月至 10 月之間，Unit 42 的研究人員發現了第三次最近活躍的攻擊活動，APT 28 在這次活動中同樣利用了這個漏洞，目標至少包括了七個國家的九個組織。在這三次活動中共有 14 個被攻擊的國家，除了烏克蘭、約旦和阿拉伯聯合酋長國的幾個機構外，其余所有受影響的組織都屬于北約成員國。這些組織的關鍵詞如下：攻擊者在發送的郵件中附加特殊的 MAPI 屬性，將觸發 Outlook 郵件服務器解析帶有以上屬性的郵件時，向攻擊郵件中設置的由攻擊者控制的服務器 UNC 路徑發起基于 SMB 的 NTLM 認證

17、請求，從而導致 NTLM 憑證泄露。該漏洞共享托管在攻擊者控制的服務器上，無論收件人是否看到該消息，該漏洞都會被利用。攻擊者遠程發送由.msg（Outlook 中提醒的消息格式）表示的惡意日歷邀請，以使用“PidLidReminderFileParameter”觸發易受攻擊的 API 端點 PlayReminderSound。當受害者連接到攻擊者的 SMB 服務器時，與遠程服務器的連接會自動發送用戶的 NTLM 協商消息，攻擊者可以使用該消息對支持 NTLM 身份驗證的其他系統進行身份驗證，從而繞過安全防護。APT 28(亦稱 FANCY BEAR)，被西方網絡安全情報社區認為和俄羅斯軍方存在

18、聯系。APT 28使用Outlook 0day漏洞攻擊至少30個組織能源生產和分配管道運營物資、人員和空運國防部外交部內政部經濟部ATTACKERTARGETOutlook.MSG fileSends calendar itemto email recipientAttacker utilizes an extendedMessage Application Programlnterface(MAPl)property totransmit a message to the targetCalendar item(.msg file)goes to mail serverCustomer ac

19、cessesthe.MSG in the formof a reminder ofcalendar inviteTarget A/B initiates connectionfor NTLM Auth(SMB)WebDAV HTTP communication/resposnses from the attackerAttacker target share(SMB)Outlook email server(Target A)Outlook email client(Target B)Attacker WebDAV server(HTTP)NTLM Authentication(SMB)Web

20、DAV Communication(HTTP)132a2b4072023APT趨勢洞察報告烏克蘭國家安全與國防委員會(NDSC)報告稱，APT 29（亦稱 COZY BEA）在 11 月發現的攻擊活動中一直在利用 WinRAR 中的 0day 漏洞 CVE-2023-38831。據監測，這個 APT 組織使用了特制的 ZIP 存檔，該存檔在后臺運行腳本以顯示 PDF 誘餌，同時下載 PowerShell 代碼以獲取并執行有效負載。該組織針對多個歐洲國家，包括阿塞拜疆、希臘、羅馬尼亞和意大利。攻擊者使用了一份誘餌文件（名為“DIPLOMATIC-CAR-FOR-SALE-BMW.pdf”），其中

21、包含了可供出售給外交實體的寶馬汽車的圖像。這份武器化文檔嵌入了利用 WinRAR 漏洞的惡意內容。此漏洞產生的根本原因在于對 ZIP 壓縮文檔的錯誤處理。在用戶打開無害文件的過程中，系統會無意中處理具有匹配名稱的文件夾中隱藏的惡意內容，從而能夠執行任意代碼。值得注意的是，攻擊者引入了一種新技術，該技術允許與惡意服務器進行通信，使用 Ngrok 免費靜態域來訪問托管在 Ngrok 實例上的服務器。APT 29 在本次攻擊中采用寶馬汽車待售的誘惑主題，這種策略在過去就已經出現過。然而，CVE-2023-38831 WinRAR 漏洞的部署是一種新穎的方法，揭示了它們對不斷變化的威脅形勢的適應性。A

22、PT 29利用0day漏洞和誘餌文件發起攻擊082023APT趨勢洞察報告攻擊技巧視角092023APT趨勢洞察報告發展歷程BYOVD，全稱為 Bring your own vulnerable driver，指的是攻擊者向目標環境植入一個帶有漏洞的合法驅動程序，通過漏洞利用獲取內核權限以殺死/致盲終端安全軟件等。一旦終端安全防護被攻破，入侵者將能夠自由地開展惡意行動。最初，這項技術主要由頂級 APT 組織如 Turla 和方程式使用，隨著攻擊成本的降低，其它攻擊組織也開始采用這項技術。在過去的一年，BYOVD 威脅事件頻繁發生。根據對本年度的 BYOVD 場景的追蹤，我們可以明顯地觀測到該場

23、景已經從APT/勒索組織逐漸下沉，被黑灰產技術所采用。這一轉變也驗證了深瞻情報實驗室針對該場景的預設。BYOVD等驅動濫用的相關攻擊技巧BYOVD 威脅事件(2023)UNC2970BYOVD 攻擊組件:ene.sysSCATTERED SPIDERBYOVD 攻擊組件:iqvw64.sysAgonizing SerpensLockbitBYOVD 攻擊組件:procexp.sysBlackCatBYOVD 攻擊組件:zam64.sysCubaBYOVD 攻擊組件:aswarpot.sysAPT勒索VulnDriver 公開庫建立BYOVD 開源演示項目增多BYOVD 工具公開/私密售賣其他銀

24、狐BYOVD 攻擊組件:mhyport2.sys黑灰產BYOVD 攻擊組件:gmer64.sys102023APT趨勢洞察報告利用方式分析利用成本分析在 BYOVD 利用工具的選擇上，攻擊者可能會進行自主開發或合入開源項目，而部分自主開發的工具也是基于開源項目的改進，如在 23 年上半年的攻擊活動中 APT 組織 UNC2970 和勒索組織 Lockbit 分別使用了自己的 BYOVD 利用工具LIGHTSHOW 和 AuKill，其中 AuKill 與開源 BYOVD 利用項目 Backstab 存在相似性，下圖展示了 Backstab 與 AuKill 的一些相似函數。LOLDrivers

25、 項目記錄在案的，可供攻擊者濫用的合法驅動程序數量約 700+，而除此之外，還存在著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動的合法驅動程序，這意味著攻擊者擁有一個充足的庫來發起 BYOVD 攻擊。另一方面，LockBit 在 2022 年 11 月的勒索攻擊中直接合入了 Backstab 開源工具，同樣被勒索組織合入的 BYOVD 利用工具還有 SpyBoy Terminator，該工具于 5 月下旬在網上公開售賣，后先后被勒索和 APT 組織投入真實攻擊活動。112023APT趨勢洞察報告此外，在 Github 上進行檢索可以發現一系列 BYOVD 利用工具，它們分別包括摘除殺軟回調

26、、Kill 殺軟進程、關閉/開啟PPL 保護，和關閉/開啟強制簽名校驗等多種高級攻擊技巧，這些利用工具涵蓋的功能幾乎滿足了攻擊者的所有需求，攻擊者也可以基于此系列項目掌握驅動漏洞的利用原理，挖掘和開發未知的驅動利用。BYOVD威脅防護為了加強 BYOVD 場景的威脅防護能力，深瞻情報實驗室與 aES 團隊開展了密切合作，并在深信服 EDR 的勒索防護模塊和SAVE 引擎中，新增了該場景的自動化防護功能，當此攻擊發生時，深信服 EDR 將自動攔截，并將關聯的攻擊信息同步到云端以進一步觸發威脅事件告警或威脅事件響應等?；诖朔雷o功能，深瞻情報實驗室監控到國內政企市場占有率高的某廠商引入了高危驅動，

27、同時監控到客戶側大量的其它VulnDriver 安裝行為，這些 VulnDriver 多為用戶使用含漏洞的舊版軟件或久不更新的開源項目而引入。此類用戶環境對攻擊者極其有利，攻擊者可通過用戶已預裝載的 VulnDriver 直接開展攻擊，這將減少攻擊環節和隱藏攻擊痕跡。KDUBackstabEDRSandblastMhyprot2DrvControlevil 一 mhyprot-cliBlackoutTerminatorKillWithLo1DriverSharpTerminatorKi1lersCYBERSEC2023-BYOVD-Demo 開源.https:/ 開源,https:/ 開源,h

28、ttps:/ 開源,https:/ 開源,https:/ 開源,https:l/ 開源,https:/ 開源,https:/ 開源,https:/ 開源,https:/ 開源,https:/ 年 11 月，深瞻情報實驗室在捕獲的銀狐樣本中首次發現了 BYOVD 攻擊技術的引入，從而驗證了該場景從 APT/勒索組織，到常規黑灰產的技術下沉，這也意味著該場景的威脅事件可能會持續增多。122023APT趨勢洞察報告發展歷程在 90 年代初期，Rootkit 技術 主要用于攻擊 Unix 系統，以獲取最大權限并以 root 用戶身份執行命令，并因此得名。Rootkit 的主要任務是隱藏并在感染機器上長

29、期駐留，從事各類惡意活動，以實現高度隱蔽和持久化的目的。Rootkit 技術由來已久，并且不斷演化和發展，呈現從簡單到復雜、高層向低層的趨勢，其技術演化的核心思想是劫持。在 Linux 平臺上，安全研究員圍繞著劫持對象和劫持方式，提出了許多的底層 Rootkit 技術。下圖展示了 Linux Rootkit常見的劫持對象與劫持技術。高隱藏型內核態Rootkit程序替換root 后門內核模塊隱藏文件隱藏端口隱藏進程隱藏網絡連接隱藏Ring3VFS HookNetfilter HookeBPF創建新的命名空間VFS HookVFS HookHook filldir64/readdir 函數，過濾/

30、proc/PID 文件目錄Hook tcp4_seq_show 函數，過濾/proc/net/tcp 目錄特定內容Hook Sys_getdents/sys_getdents64 系統調用函數，過濾/proc/PID 目錄kprobes/uprobes/tracepoint 等事件類型 HookHook Netfilter callback Function RegisterHook tcp4_seq_show 函數，過濾/proc/net/tcp 目錄特定內容直接替換原始程序LD_PRELOADkprobes/uprobes/tracepoint 等事件類型 HookHook socket

31、內核層，過濾特定連接Netfilter HookHook Netfilter Callback Function RegisterSyscall Hook端口敲門VFS HookeBPFeBPF創建新的命名空間Syscall HookVFS Hook刪除內核模塊鏈表/對象內核態反向 socket 連接，將進程的權限描述符設置為 0 進行提權Hook filldir64/readdir 函數，過濾/proc/module 目錄特定內容本質讀取/proc/module，調用 list_del_init 函數后斷鏈通過 kernel module 枚舉 struct module-list,調用 l

32、ist_del_init 函數后斷鏈通過 kernel module 枚舉 struct module-mkobj-kobj-entry，調用 kobject_del 函數刪除節點通過 kernel module 枚舉 module-mkobj-kobj-kset，調用 kobject_del 函數刪除節點在內核函數中設置 kprobes/uprobes 跟蹤點，過濾特定內容Hook filldir64/readdir 函數，過濾特定文件目錄特定內容Hook Sys_getdents/sys_getdents64 系統調用函數，過濾特定文件目錄特定內容tracepoint 事件類型 Hook，

33、過濾/替換特定內容Hook XDP、TC、socket 等內核層，過濾數據包，控制鏈路eBPFeBPFeBPF創建新的命名空間創建新的命名空間Linux Rootkit132023APT趨勢洞察報告利用分析根據 Linux Rootkit 在運行時的權限級別，可以分為用戶態和內核態兩種。Linux 用戶態 Rootkit 所需的前置知識和復雜度更低，開發起來更簡單，更容易實施大范圍攻擊。它所涉及的技術簡單且成熟，可以攔截系統調用并替換 API 或劫持應用程序返回的值，以獲得對設備的控制。而 Linux 內核態 Rootkit 具有與操作系統相同的權限，在內核級別運行，通常作為設備驅動程序或可加

34、載模塊加載到目標設備中。內核態 Rootkit 的開發較為困難，因為源代碼中的任何錯誤都會影響目標系統的穩定性，這將直接暴露惡意程序的存在。近兩年來，深瞻情報實驗室對黑產組織攻擊事件進行了獵捕與監測分析，并發現越來越多的黑產組織開始轉戰 Linux 平臺。他們利用某些開源 Linux 內核態 Rootkit 結合用戶態惡意程序，從事網絡犯罪活動。在 2023 年，我們監控到了 SkidMap 挖礦家族使用的 Rootkit 實施新的挖礦竊密事件。這次 Skidmap 組織 Rootkit 攻擊事件的攻擊路徑和方式相較于以前更加復雜。攻擊者通過植入內核態 Rootkit 來隱藏文件和進程等。同時

35、還通過用戶態替換 tty、agetty、umount、PAM 動態鏈接庫等方式，阻止 busybox、unhide、csysdig 等監控和取證工具執行、阻止新的內核模塊加載等方式，對抗取證調查。當用戶登錄并使用命令進行排查時，新的惡意進程會再次啟動，內核態 Rootkit 也會重新加載，繼續執行惡意活動。在這次攻擊事件中，攻擊者不僅植入 Rootkit 隱藏文件和進程，而且大部分惡意文件都在執行后刪除，以盡可能地做到“無文件攻擊”。142023APT趨勢洞察報告威脅防護經過事件調查，深瞻情報實驗室發現，Skidmap 組織攻擊目的不僅僅限于挖礦，還包含竊取密碼以便于持久化控制，用于間諜活動。

36、Linux Rootkit攻擊事件通常具有極高的隱藏性和持久性。由于業內對內核態Rootkit的檢測和處置能力較低，攻擊者可以“肆無忌憚”地開展各種惡意活動。一款制作精良的 Rootkit 可以在受害主機長期駐留穩定運行，歷史上被披露的 Linux Rootkit 攻擊事件，大多數是由于攻擊者的疏忽和貪心，以至于用戶態的痕跡未能全部隱藏，比如，配置文件遺漏、特定目錄遺漏、連接黑域名等痕跡，從而暴露惡意活動。不過，常規 Rootkit 檢測方式也存在明顯的局限性。比如，用戶態痕跡 yara 規則檢測或視圖交叉對比檢測，攻擊者可以用很低的成本繞過其檢測。當前 Linux 內核態 Rootkit 的

37、數量正在逐漸增多，Rootkit 攻擊也呈現上升趨勢，而長期以來業內缺乏對 Linux 內核態 Rootkit 的檢測、取證、處置的有效手段。當安全分析師響應 Linux Rootkit 攻擊事件時，一旦攻擊者使用 Rootkit 技術針對性對抗取證調查，即使發現了主機異常，往往也是束手無策，最后無奈重裝服務器。深瞻情報實驗室與終端安全團隊合作研發 LinuxAR（Linux AnitRootkit）系列引擎支持已知與未知的內核態 Rootkit檢測，并且已經作為 MSS 服務的工具發布，能夠支持 Rootkit 取證與處置，實現導出內核內存數據，方便取證分析，處置常見的 Rootkit，恢復

38、惡意隱藏行為，讓安全分析師響應內核態 Rootkit 攻擊事件時不會無從下手，從而快速應對，順利完成事件取證調查。152023APT趨勢洞察報告白宿主進程惡意代碼執行該場景是基于傳統白加黑(DLL 劫持)攻擊場景的擴展，深瞻情報實驗室在 2023 年度捕獲的攻擊樣本中還發現了大量的白加黑 Lua 腳本劫持攻擊，這兩類白加黑攻擊技術在攻擊表現上極為相似，除此之外，進程注入場景也與白加黑場景存在一些共性?；诖?，這兩類場景被統一擴展為白宿主進程惡意代碼執行場景，以更加準確和有效地分析白進程因被劫持或被注入進而被濫用于惡意代碼執行時的檢出可能性。DLL劫持攻擊DLL 劫持是一種常見的攻擊技術，該技術

39、長期活躍在各類攻擊活動中，包括但不限于 APT、勒索以及黑灰產等。2023 年上半年，深瞻情報實驗室捕獲了針對國內高校的釣魚攻擊，該攻擊活動通過 ISO 投遞白加黑 DLL 劫持攻擊組件。2023 年下半年，深瞻情報實驗室還捕獲到了 DLL 劫持與 BYOVD 攻擊的組合利用案例，根據該案例中攻擊鏈路可推測出該用戶正常下載了某軟件，隨后該軟件正常進行驅動安裝，也體現 DLL 劫持在痕跡隱藏上的影響，下圖展示了此案例的攻擊日志。Lua腳本劫持攻擊下圖展示了 2023 年捕獲樣本中攻擊者通過 Lua 腳本劫持白進程的攻擊案例，此技巧與 DLL 劫持攻擊非常類似，但不會引入可疑 DLL 加載，在一定

40、程度上更為隱蔽，此類技巧或成為攻擊者更為青睞的白加黑技術。162023APT趨勢洞察報告進程注入攻擊白進程可以很好地掩蓋攻擊者的惡意行為，這也使得進程注入技術得到持續關注和發展。時至今日，無論是傳統的遠程線程注入技術還是近年來出現的進程鏤空技術等，都已有了相應的檢測方案，但進程注入的研究并未結束。Black Hat Europe 2023|Briefings Schedule 公開了一種全新的進程注入技術，通過在原語上執行創新繞過了主流 EDR的檢測。但實際上，進程注入場景與白加黑非常類似，因此，深瞻情報實驗室將該場景與白加黑場景統一歸納到了白宿主進程惡意代碼執行場景中進行統一分析，并在擴展場

41、景的分析中發現了一些因分配原語和寫入原語在內存方面、以及因執行原語在線程方面產生的共性異常等。172023APT趨勢洞察報告供應鏈投毒攻擊供應鏈投毒攻擊是指黑客利用供應鏈中的軟件、硬件或服務等環節，通過植入惡意代碼或篡改產品，從而影響最終用戶的安全的一種攻擊手段。這種攻擊方式具有隱蔽性強、影響范圍廣的特點，一旦成功，可能對整個產業鏈造成嚴重影響。面對供應鏈攻擊，企業和個人都需要高度警惕。企業應加強對供應鏈各環節的監控和審查，確保產品的安全可控；個人在使用產品或服務時，也要留意官方渠道獲取產品，謹慎使用開源部署工具，避免使用來源不明的軟件或設備。為了防范仿冒頁面和運維類部署工具供應鏈攻擊，運維人

42、員需要時刻保持警惕，并采取一系列措施來確保系統的安全。防范仿冒頁面攻擊驗證官方渠道：在獲取運維類部署工具時，務必通過官方渠道下載，避免使用來源不明的第三方網站或鏈接。檢查網址和證書：在訪問運維工具的網站時，仔細核對網址，確保是正確的官方網站，并驗證網站的SSL證書是否有效。謹慎對待郵件和鏈接：避免點擊來歷不明的郵件附件和鏈接，尤其是涉及到運維工具的下載和更新。防范供應鏈攻擊驗證軟件來源：在部署新的運維工具或更新時，確保從官方可信賴的渠道獲取軟件，避免使用來路不明的軟件包。簽名驗證：對于軟件包和更新，驗證數字簽名以確保其完整性和真實性，避免被篡改的惡意軟件。安全審計：定期對運維工具和軟件進行安全

43、審計，及時發現潛在的安全隱患和惡意代碼。供應商信任：與可信賴的供應商建立長期合作關系，了解其安全實踐和供應鏈管理措施。182023APT趨勢洞察報告2023 年，AI 狂飆了一整年，各家公司生成式 AI 大模型百花齊放，在當今技術先進的世界中，人工智能無疑已經徹底改變了各個行業。然而，每一次突破都會帶來潛在的黑暗面。AI 在自動化、內容理解上的準確性、攻防知識的全面性等方面展現出來驚人的特性，使之能夠成為攻擊者得心應手的輔助武器，為高級攻擊者提供了大量協助和效率提升，也讓很多低級攻擊手法的門檻再次降低。AI引入的增強網絡攻擊AI增強的釣魚攻擊網絡釣魚攻擊一直是數字領域內普遍存在的威脅。據預測，

44、2023 年將有 3300 萬條數據記錄因網絡釣魚攻擊而受損。盡管傳統的網絡釣魚攻擊主要依賴社會工程技術，通過欺騙個人來獲取敏感信息，但隨著人工智能的引入，網絡犯罪分子在釣魚惡意活動中獲得了巨大的優勢。通過利用機器學習算法，攻擊者可以分析大量特定行業數據，制作出繞過傳統安全措施的個性化和令人信服的消息。這些消息通常似乎來自值得信賴的來源，如銀行或有信譽的組織，這使得它們比常規釣魚郵件更具欺騙性。除此之外，利用人工智能驅動的自然語言生成（NLG）技術，網絡犯罪分子能夠創造出具有說服力和上下文相關性的內容，模擬人類交流。與翻譯軟件生硬的內容翻譯相比，NLG 生成的內容更貼近母語者交流的語氣和方式，

45、常常使得受害者放松警惕。NLG 的運用使得他們能夠定制網絡釣魚電子郵件和消息，利用特定漏洞或當前事件，提高欺騙目標的成功幾率。通過深度偽造，攻擊者甚至能夠制作出逼真的模擬個人或組織的音頻和視頻內容。這種操縱技術能夠欺騙最為警覺的個體，造成信任破壞，從而大大提升網絡釣魚的成功率。先進的惡意軟件和定向攻擊AI 使黑客能夠創建規避傳統基于簽名的檢測系統的先進惡意軟件。機器學習算法使黑客能夠開發不斷演變和適應對策的惡意軟件。這些由人工智能生成的惡意軟件變種甚至可以利用 0day 漏洞，并在長時間內不被察覺，對目標系統和網絡造成嚴重破壞。在定向攻擊方面，AI 算法可以迅速識別并利用系統、軟件和網絡中的漏

46、洞。黑客利用人工智能驅動的掃描工具自動識別弱點并發起有針對性的攻擊。他們還可以利用人工智能驅動的利用方式，利用新出現的漏洞，始終領先于安全補丁和更新。這種動態的環境為那些努力防御這些經過人工智能增強的攻擊的組織帶來了重大挑戰。192023APT趨勢洞察報告攻擊事件視角：無孔不入的APT202023APT趨勢洞察報告高?？蒲行袠I定向釣魚CNC組織針對某高新科技產業發起定向釣魚2023 年 2 月至 4 月，一所國內高校的近百名教職工和學生遭到境外定向網絡攻擊，攻擊旨在竊取情報。已確認多名教職工和學生的個人電腦被植入竊密木馬，并且多臺主機的文件被竊取。攻擊者使用了高度偽裝的釣魚郵件，其中至少有三種

47、偽裝程度極高的話術，包括“faculty-confirmation”、“論文校對”、“頂級會議 Co-chair 邀請”。受害者在運行攻擊者提供的程序后，下載了后續階段遠控、反彈 shell、瀏覽器竊密、文件竊密、U 盤擺渡木馬等惡意程序，最終目的是竊取并持續監控受害者機器上的文檔文件。此次攻擊中，攻擊者疑似首先在暗網獲取了大量受害者信息，包括基本信息、郵箱賬戶密碼等，對受害者信息了如指掌。在獲得受害者的郵箱權限后，攻擊者監控到了能夠編寫定向釣魚郵件的主題和內容，包含頂級會議邀請和論文校對等。因此，偽造的釣魚郵件十分逼真，引發大量點擊。攻擊者甚至偽裝為與教授私交甚好的他國高校教授與受害者進行長

48、達十幾封的郵件往來，也沒有被識破身份，極具迷惑性。后續的 U 盤擺渡木馬也進一步擴散了惡意文件感染范圍。212023APT趨勢洞察報告2023 年 4 月 10 日，我們在國內某 APT 事件（非此次事件）響應中獲得樣本 imagedrvhost.exe，并在 VirusTotal 中發現了相關樣本。通過對動態特性與歷史樣本的分析，判斷樣本屬于 CNC 組織使用的樣本，其還存在仿冒國內常用軟件的特征。在 4 月 20 日根據前置事件樣本分析中獲得的 IoC 情報，在深信服云端進行全網狩獵，結果發現了該高校存在與外聯惡意IP 相關的流量。4 月 23 日，APT 研究員介入調查，并通過 APT

49、專用取證工具和數據分析平臺，對學校內的主機進行了調查取證和分析。最終，在 5 月 5 日完成事件還原及處置加固以及事件完整調查報告。2022 年 12 月以來，南亞 APT 組織 CNC 一直在針對國內多個軍工和科研相關單位開展攻擊。該組織最早于 2019 年被發現，由于其使用的遠控木馬的 PDB 路徑信息中包含了 cnc_client，因而將該組織命名為 CNC。該組織主要針對軍工和教育行業進行攻擊，曾在 2021 年 6 月中旬針對我國航空航天領域相的重點單位進行了集中攻擊。雖然該組織疑似與南亞 APT 組織 PATCHWORK（白象）存在關聯，但攻擊手法和目標存在些許差異，疑似同一團隊的

50、不同行動小組。自 2023 年年初以來，我們監測到大量來自南亞地區的 APT 組織針對我國科研院所發起的定向竊密攻擊。這些攻擊主要集中于航空航天領域，已有數所國內的科研單位和高校遭受了攻擊。郵箱賬號密碼疑似已在暗網流通教授 A.攻擊者竊取內容，用作魚叉釣魚郵件的文案模擬論文校對魚叉釣魚攻擊模擬會議邀請魚叉釣魚攻擊學生 C(學生 B 室友)使用B 的 U 盤被擺渡木馬攻擊學生 B、論文作者收到釣魚論文校對郵件，被植入惡意木馬到主機及 U 盤教授 A、論文作者收到釣魚論文校對郵件，未點擊教授 D 收到釣魚會議邀請郵件，向真實他國教授確認，但因回復不及時，也下載惡意軟件教授 E 收到釣魚會議邀請郵件

51、，下載惡意軟件并與攻擊者有郵件交互教授 F 收到釣魚會議邀請郵件，下載惡意軟件，并與攻擊者有十幾輪郵件交互教授 G 收到釣魚會議邀請鏈接，經教授 A 確認后下載惡意軟件并有多輪郵件交互收到某雜志發來的真實論文確認郵件收到某他國教授發來的真實學術會議邀請郵件222023APT趨勢洞察報告歷年來我們對來自南亞地區的 APT 組織的認識一直是他們廣泛使用釣魚郵件作為攻擊手段，這些釣魚郵件通常會利用社會新聞熱點，例如疫情和招聘話題等，來誘騙受害者點擊惡意鏈接。而在近期 CNC 組織針對某學校的攻擊活動中，攻擊者結合目標的特點，使用了更加定向的投遞方式，即僅向近期即將發表論文的作者發送“論文校對”或“論

52、文確認”郵件，郵件內容除鏈接外，均與真實郵件完全相同。該特征在不同目標中多次出現，具有穩定性，攻擊成功率極高。我們推測攻擊者首先通過其他渠道，獲得了多位研究人員的個人郵箱，監控其中的論文投遞情況，當出現近期投遞的論文，攻擊者會在適當的時機，冒充期刊方，向幾位文章作者發送“論文校對”郵件。郵件中包含論文編號、投遞時間和在線發表地址等真實信息。由于論文作者都會關注其論文投遞后的狀態變化，并且發件人刻意模仿期刊方，包括保密信息如文章編號等，作者通常會無防備的點擊該郵件中的鏈接，哪怕惡意超鏈接以明文形式展示，也會有受害者點擊。同時，由于發送的校對郵件極真實，不排除國際上多個航空航天相關期刊的郵箱也遭到

53、竊取，攻擊者從此處獲得某期刊論文校對郵件模板。在 CNC 組織針對另一學校的攻擊中，我們看到以“論文確認”為主題的釣魚郵件，該論文同樣為受害者近期在投的文章。調查中，由于攻擊者配置錯誤，我們在攻擊者托管下階段惡意樣本分發的服務器中看到了其他期刊的相關載荷，如下表，充分印證了攻擊者正積極采用這種手法進行攻擊。偽裝境外學術期刊釣魚名稱Journalx_kjdbaippublishingaipscitationapcats2023eg2.novatechsethindawicentralJournalx_yhxbsciencedirectasmesocietysprintnature組織科技導報美國

54、物理聯合會出版社美國物理聯合會出版社航空航天技術與科學亞太會議Nova Techset 電子出版Hindawi 出版社宇航學報sciencedirect 期刊美國機械工程師學會施普林格 自然出版社組織網站https:/ U 盤進行大范圍傳播的惡意樣本，此類惡意樣本通過不間斷地監控目標主機是否有新的移動設備或存儲設備接入，當檢測到新的設備接入時，將自身復制到新設備中并進行偽裝。此類樣本不僅具有跨網段傳播的功能，還下載后續階段的其他樣本進行駐留。這種意圖跨越隔離網絡，多種傳播方式共用的方式，充分契合高?？蒲袑嶒炇揖W絡架構。特別是，惡意樣本將自身復制到 U 盤后，偽裝成圖片，并以“私人圖片.png”

55、的名字保存，這樣的偽裝引誘了其他使用該 U 盤的受害者點擊。雖然在事件調查過程中，已經多次提醒不要打開未知文件，仍有受害者出于好奇打開“私人圖片”，使樣本在內網進一步傳播?？缇W段的U盤傳播模式CNC 組織針對高校的攻擊手法如下圖，經過多階段的惡意程序下載釋放，最終主機中會落地文檔竊取程序。攻擊者通過釣魚郵件成功攻陷主機后進行信息收集，后續對文檔竊取程序進行定制化開發，竊取攻擊者感興趣的目標，例如在某校發現的樣本中存在硬編碼的最近文檔路徑，在另一發現的樣本中存在硬編碼的微信聊天文件路徑和雜項路徑。高度定制化木馬，明確的竊密目標攻擊者發送的釣魚郵件受害者點擊惡意鏈接附件下載下載加密壓縮包解壓縮誘餌

56、文檔下載下載下載PE加載器，加載遠控木馬遠控組件瀏覽器/郵箱憑據竊取組件devcopyer-擺渡木馬，可通過 U 盤進行傳播docldocxxls/xlsx/ppt/txt等文件竊密組件cmd 反彈 shell 組件內存加載執行惡意載荷downloader242023APT趨勢洞察報告綠斑針對院士的魚叉式釣魚攻擊綠斑組織長期針對國內國防、政府、科技和教育領域的重要機構實施網絡間諜攻擊活動，最早可以追溯到 2007 年。該組織慣用魚叉式釣魚網絡攻擊，會選取與攻擊目標貼合的誘餌內容進行攻擊活動，慣用的主題包括通知、會議材料、研究。2023 年 9 月，深瞻情報實驗室捕獲以關于規范院士兼職的通知為主

57、題，針對國內多個科研單位實施郵件釣魚攻擊活動。郵件正文中夾帶有一個釣魚鏈接（鏈接為 http:/caecn.info/inurl1212.php?a=xxx）。當用戶點擊該鏈接后，鏈接會跳轉至仿冒 163 網易郵件附件下載系統的釣魚頁面（鏈接為 http:/caecn.info/inde16/-club.php），誘騙訪問者輸入郵箱賬號密碼，以竊取郵箱信息。252023APT趨勢洞察報告釣魚網站域名 caecn.info 于 2023-08-14 06:16:41 在域名服務商 NameCheap,Inc.公司處注冊，解析 IP 地址為95.179.255.216，位于德國，黑森州 Riede

58、rwald。釣魚網站源代碼存在多處繁體中文注釋。262023APT趨勢洞察報告域名 caecn.info 結構，偽造中國工程院官方網站域名 ，且 URL 結構與中國臺灣背景黑客組織“綠斑”歷史網絡資產相同。深瞻情報實驗室研判認為，此次釣魚郵件由中國臺灣背景黑客組織“綠斑”制作和投遞。后續通過溯源手段，獲取到此次釣魚攻擊活動相關的目標郵箱賬號近 400 個，經過開源情報分析得知，這些郵箱均為科研單位院士、科研管理人員等。272023APT趨勢洞察報告“卷王”銀狐日新月異的攻擊手法據深瞻情報實驗室監測，自 2023 年初以來，東南亞地區的中文黑灰產圈通過微信、QQ 等即時通信工具、郵件以及偽造工具

59、網站的方式，對境內金融、教育、電商、貨運、設計等行業進行了大規模的釣魚攻擊。這些攻擊主要針對相關公司的財務或信息人員，旨在竊取資金或獲取其他敏感數據。在一年的監測過程中，我們發現銀狐使用的技戰法包括但不限于DLL 側加載、白+黑 DLL 劫持、BYOVD 技術、BypassUAC 等，銀狐技戰法的快速迭代，使其與更高級的網絡犯罪團伙甚至 APT 組織間的界限逐漸模糊。最初，友商根據某些活動將這些行動的背后團伙稱為“銀狐”、“谷墮”等組織。但隨著深入跟蹤發現，該類型的網絡攻擊詐騙行動囊括了大量的黑產團伙，且攻擊頻率相當之快。其中大部分團伙使用“winos”這款由 ghost 遠控修改而來的變種作

60、為控制軟件，攻擊技戰術也基本相同，使用“銀狐”、“谷墮”作為組織名稱已經造成安全圈一定的分析、歸因混亂。所以我們將該類型的網絡攻擊詐騙行動背后的黑產團伙合并為“銀狐”集合體，針對其中的每個團伙分類追蹤。根據過個團伙的分析結果，整理出該類型攻擊的整體攻擊鏈，相關信息如下圖。在“銀狐集合體-團伙三”的最新樣本中發現，攻擊者大量使用沙箱檢測和代碼混淆，并引入了 BYOVD 技術，通過濫用米哈游反作弊驅動 mhyprot.sys 獲取內核權限中發現，終結反病毒程序的運行，從而順利進行后續行動。另外，攻擊者還在初始釣魚文件中添加了偽造的數字簽名和文件信息，以增強免殺效果并降低用戶警惕，種種行為的目的都是

61、為了提高攻擊的成功率。在 12 月發現的攻擊活動中，銀狐攻擊者通過白加黑 DLL 劫持的方式致使合法應用程序惡意代碼執行，這使得惡意代碼執行和 VulnDriver 安裝都由合法應用程序完成。攻擊鏈路看起來就好像是用戶正常下載了某軟件，隨后該軟件正常進行驅動安裝。這與團隊此前預設的攻擊者通過正常軟件安裝，或用戶使用舊版軟件或久不更新的開源工具等引入 VulnDriver 的場景極為類似。攻擊者正大肆通過聊天軟件、釣魚等方式對境內全行業進行攻擊。他們將惡意文件偽裝成辦公軟件(釘釘、微信、wps)、工具安裝包、發票、稅收、財務、保險、證券、方案、設計等相關行業文件，誘導目標執行惡意文件以實現對其的

62、控制。我們觀察到，在惡意文件執行的過程中，攻擊者使用各種云服務(主要是云存儲服務 OSS)作為第二階段載荷的投遞介質，通過動態加解密、DLL 側加載、BypassUAC、第三方合法軟件惡意利用等方式以規避殺毒軟件檢測，鞏固其控制質量。攻擊者在控制目標主機后對目標信息進行分析篩選，篩選出高價值目標（公司高管、老板、財務等人員），通過身份偽裝或語言誘導的方式對相關人員實施金融詐騙活動。在我們觀察到的案例中，當詐騙人員詐騙行動失敗后，其可能會控制目標社交賬號發送色情、虛假政治等方面信息，造成目標社會性死亡。SEO 廣告投放惡意文件黑產團伙 xxx惡意郵件聊天群/私聊發送惡意文件被攻擊目標搜索工具等下

63、載惡意文件虛假網站偽裝的惡意文件通過云存儲服務（OSS）下載其他載荷云函數/云服務交流/偽造人員溝通進行詐騙等活動尋找價值人員尋找價值人員給聯系人發送惡意文件實現擴散財務控制價值人員社交賬號組織高管聯系人282023APT趨勢洞察報告該類型攻擊活動在 2023 年呈現高頻率、持久性長的特點，其技術之強悍、傳播之廣泛、影響之深遠，值得安全人員高度關注。292023APT趨勢洞察報告瞄準高性能集群進行的定向計算資源竊取2023年10月，深瞻情報實驗室監測到了一起國內高性能集群定向挖礦攻擊事件。2023年9月初，代號為BANDY的攻擊組織，在受害者安全收斂前獲取內網權限，10 月初，獲取 GPU 集

64、群訪問權限，植入多個后門程序組建隧道通信。10 月，發起多輪攻擊與安全人員對抗，通過針對超算 GPU 集群與安全軟件特點更新，替換 NVIDIA GPU 監控程序、挖礦程序替換為充分利用 GPU 的挖礦程序、對抗 EDR 自保護進程以及修改 Rootkit 特征規避檢測等手段，不擇手段地達到攻擊目的。11 月，深瞻情報實驗室通過溯源手段獲取惡意文件服務器權限，并印證攻擊者在第一波攻擊是在嘗試 2020 年的常規挖礦攻擊套件（不包含 Rootkit），后續攻擊者針對超算集群更新了技術棧，發起定向 Rootkit 挖礦攻擊。通過持續監控攻擊者資產，發現攻擊者再次更新了攻擊套件，預測其企圖發起新一輪

65、攻擊。隨后不久，攻擊者發起新一輪攻擊，但由于我們提前獲取到 TTPs 情報，在攻擊伊始下發處置命令，成功遏制第三波攻擊，同時獲得隧道關鍵節點的訪問權限，找到隱藏進程，并阻斷攻擊者隧道連接。深瞻情報實驗室通過關聯分析獲知攻擊者常用IRC頻道和中置信度Github賬號，最終根據攻擊者行為、常用假名、常用頻道，將攻擊者命名為 BANDY，最終完成整個定向 Rootkit 挖礦攻擊事件調查。梳理出的 BANDY 組織攻擊流程，如下圖：GPU 挖礦程序cron安全軟件內核態 DiamorphineRootkit用戶態 bedevilRootkit編譯 Rootkitsshd 后門Tsunami 僵尸網絡

66、Scan.spiritroot 賬號權限持久化控制階段初始訪問階段EDR攻擊者下載攻擊套件（持久化/挖礦)ssh 爆破 web 漏洞解壓并釋放計劃任務隱藏挖礦進程網絡連接惡意文件設置后門賬號竊取密碼竊取文件部署 Rootkit高性能服務器集群CVE-2021-4043Polkit 漏洞提權對抗 EDR 進程替換 sshd 程序部署僵尸網絡利用竊取賬號和密碼進行橫向移動執行挖礦程序302023APT趨勢洞察報告供應鏈投毒事件頻發，淪為“肉雞”防不勝防2023 年 4 月，深信服安全運營中心（MSS）安服應急響應團隊和深瞻情報實驗室發現了一起供應鏈投毒攻擊事件，目標是 PHP/JAVA 部署工具

67、OneinStack。同月，深瞻情報實驗室還發現 LNMP 供應鏈投毒事件，隨后在 9 月和 10 月又發現兩起供應鏈投毒事件，分別涉及 LNMP 和 Oneinstack。根據該團伙常用 C2 服務器特征，高度懷疑這四起供應鏈投毒事件均出自一個黑產團伙之手。經過關聯分析，深瞻情報實驗室發現四起事件的 TTPs 存在高度一致性，且溯源分析發現該團伙使用了多個以 結尾的域名實施惡意活動，包括供應鏈投毒攻擊以及動態鏈接庫遠控后門。2023 上半年至今，這個黑產組織利用多種攻擊手段，包括仿冒頁面（AMH、寶塔、Xshell、Navicat）、供應鏈投毒（LNMP、OneinStack）和公開 web

68、 漏洞等，有針對性地對運維人員進行攻擊。運維人員從仿冒頁面或官方平臺下載并執行含有惡意代碼的部署工具，與攻擊者 C2 服務器建立 DNS 隧道連接。該黑產組織通過定向投毒運維部署工具供應鏈，長期遠控低價值主機作為肉雞，擇機選擇高價值目標進行深度控制。隨后他們會下發 Rootkit 和代理工具，伺機從事各類黑產活動，給用戶造成實際損失。BANDY 組織攻擊目標具有強定向性，此次事件中使用的私有挖礦域名，在公網 DNS 服務器上，同時綁定內網 IP 地址與公共礦池 IP 地址的 A 記錄，用于此次攻擊建立內網隧道和挖礦攻擊。后續通過威脅獵捕發現 BANDY 組織專門針對具有高性能計算集群的高校單位

69、，發起挖礦攻擊，具有很強的行業定向性。近年來，隨著大規模計算集群的廣泛應用，很多超高性能計算集群建成投入使用，網絡攻擊呈現出一種新的趨勢，黑產團伙也開始覬覦其龐大的算力資源，來支持攻擊者執行更復雜、計算密集型的攻擊，如密碼破解、加密貨幣挖礦等。這種攻擊方式不僅對集群所在組織構成直接威脅，還可能對整個網絡生態系統造成影響。312023APT趨勢洞察報告供應鏈投毒事件時間線2023 年 10 月，在某次異常定時 DNS 請求攻擊事件調查中發現該團伙通過供應鏈投毒控制 RedHat 服務器肉雞后，選擇出高價值目標后，植入動態鏈接庫、Rootkit、惡意 crond 服務等持久化手段長期控制主機，伺機

70、發起各類黑產攻擊活動。因為該團伙用于供應鏈攻擊的惡意域名 與此事件其中一個遠控后門外連域名相同，深瞻情報實驗室將該團伙命名為 AMDC6766 黑產組織。攻擊者可以通過 DNS 請求下發控制命令。如，獲取系統版本信息、執行命令、獲取文件、執行 socks5 代理工具等。此次攻擊事件的完整攻擊流程，如下圖：AMDC6766團伙深度控制高價值目標2023 年 4 月OneinStackoneinstack/include/openssl.sh2023 年 4 月LNMPlnmp2.0/include/init.sh2023 年 9 月LNMPlnmp2.0/include/init.sh、lnmp

71、.sh2023 年 10 月OneinStack/src/pcre-8.45.tar.gz/pcre-8.45/configure時間軟件名被篡改的文件目錄atdC2 服務器內核態 RootkitEuCed.ko供應鏈投毒/web 漏洞建立 DNS 隧道連接/etc/.update.d/etc/.update.d攻擊者網站服務器33libxm2.s0.2.9.2pasccrondsrc.jpginstall編譯 Rootkitlinux-x86-64.so.2持久化控制階段初始訪問階段下載攻擊套件云端解壓并釋放全局動態鏈接庫劫持設置后門密碼 360bss3200189部署 Rootkit云端解

72、壓釋放云端解壓釋放記錄 ssh/sul/sudolscp 進程命令竊取密碼定時請求 域建立 DNS 隧道連接sock 代理流量部署反向代理工具322023APT趨勢洞察報告根據此次攻擊事件的分析發現與上半年監測到的多起供應鏈投毒的 TTPs 具有較高相似性。由此可以推斷“AMDC6766”團伙與這次異常定時 DNS 請求攻擊事件高度相關。四起供應鏈投毒事件的核心攻擊手法相同：經深瞻情報實驗室對可疑域名 進行關聯分析后，獲得以下子域名，該域名常用于供應鏈投毒攻擊以及動態鏈接庫遠控后門的外連域名?；诖?，內部將該組織命名為 AMDC6766 黑產組織。2023 年 4 月，監測發現可疑 域名仿冒

73、AMH 面板官網。針對運維部署工具網站進行的投毒惡意文件偽裝為 jpg加載器的參數相似 linuxQWE 或 linhkkngfQWEinstall 執行參數相同 linuxQWE利用 crond 服務實現持久化執行 crond 程序加載惡意動態鏈接庫建立 DNS 隧道連接域名攻擊活動遠控后門外連域名遠控后門外連域名遠控后門外連域名遠控后門外連域名遠控后門外連域名Xshell 供應鏈投毒攻擊Navicat 供應鏈投毒攻擊Navicat 供應鏈投毒攻擊Xshell 供應鏈投毒攻擊LNMP 供應鏈投毒攻擊332023APT趨勢洞察報告根據惡意文件和網空特征關聯到多個仿冒運維部署工具的網站。AMDC

74、6766 黑產組織長期利用仿冒頁面、供應鏈投毒、公開 web 漏洞等攻擊方式，針對運維人員常用軟件 Navicat、Xshell、LNMP、AMH、OneinStack、寶塔等開展定向攻擊活動，選擇出高價值目標后，植入動態鏈接庫、Rootkit、惡意 crond 服務等持久化手段長期控制主機，伺機發起各類黑產攻擊活動。bixwinner.ccbiosoft.cclightsoft.cchighthost.cclukesoft.ccamhplus.ccdownload.amh.tw可疑域名AMH 面板仿冒頁面AMH 面板仿冒頁面Navicat 仿冒頁面Navicat 仿冒頁面Xshell 仿冒頁

75、面LNMP 仿冒頁面惡意 Xshell 下載地址惡意 LNMP 下載地址惡意寶塔面板下載地址惡意 Xshell 下載地址惡意 Navicat 下載地址惡意 AMH 面板下載地址惡意 AMH 面板下載地址攻擊活動342023APT趨勢洞察報告邊界設備成為攻擊者青睞的攻擊入口自 2020 年以來，邊界設備成為紅隊、國家背景黑客組織以及部分黑客組織的主要攻擊目標之一。這些攻擊目標包括但不限于路由器、VPN、網關、防火墻、郵件系統等。針對該類設備進行攻擊時，攻擊者多利用 Nday 或 0day 漏洞進行攻擊。被攻陷的設備通常被攻擊者用作 C2 跳板，以隱藏攻擊者真實基礎設施的地址，或者用于攻擊入口點，

76、以對目標進行更深層次的內網滲透。因此，設備廠商與用戶應加強對該類設備的安全監控。在 2023 年 10 月 10 日，CITRIX 發布了一份安全公告，披露了影響 NetScaler ADC 和 NetScaler Gateway 設備的敏感信息泄露漏洞（CVE-2023-4966）。Mandiant 在 2023 年 8 月底發現了對這一 0day 漏洞的利用活動，并且在 CITRIX 發布公告后還發現了 Nday 利用的情況。截止報告發布日期已有多個成功利用 CVE-2023-4966 的案例，該漏洞的成功利用可以導致對 NetScaler ADC 和 Gateway設備上合法用戶會話的接

77、管，繞過了密碼和多因素認證。該漏洞通過制作 HTTP 主機標頭大于特定長度的 HTTP GET 請求，易受攻擊的設備將返回系統內存的內容。內存內容可以包括有效的 Netscaler AAA 會話 cookie，該 cookie 在身份驗證后發出，其中可以包括多因素身份驗證檢查。攻擊者獲取有效的 cookie 后，可以在不知道用戶名、密碼或訪問多因素身份驗證令牌或設備的情況下建立與 NetScaler 設備的經過身份驗證的會話。調查利用 CVE-2023-4966 攻擊的挑戰在于，易受攻擊的設備上運行的 Web 服務器不會記錄對易受攻擊端點的請求（或錯誤），這也是在多起邊界設備被攻擊事件中遇到的

78、共性問題，攻擊流量和日志難以被捕獲或記錄。為此，受害者組織將需要依賴 Web 應用程序防火墻(WAF)或其他網絡設備來記錄針對 NetScaler ADC 或網關設備的 HTTP/S 請求。為了識別 CVE-2023-4966 的潛在利用和后續會話劫持，Mandiant 采用了多種方法，包括以下技術：調查從 WAF 向易受攻擊的 HTTP/S 端點發出的請求、根據 NetScaler 日志識別可疑登錄模式、識別可疑的虛擬桌面代理 Windows 注冊表項、以及內存核心轉儲文件分析等手段。https:/ APT 組織在針對攻擊目標攻擊時主要采取的是釣魚、軟件偽造、供應鏈及 0day 漏洞。202

79、3 年國外安全廠商卡巴斯基披露了名為“Operation Triangulation(三角行動)”的攻擊活動。根據分析，卡巴斯基的員工 iPhone 手機從 2019 年開始被感染，直到 2023 年 6 月才被披露。該攻擊行動使用 IOS 系統中的 iMessage 信息服務的 0-Click 0day 漏洞進行攻擊，技術實力強悍，行動具有極高的隱蔽性、復雜性，被稱為史上最復雜的攻擊鏈。2023 年 6 月，卡巴斯基、俄羅斯 CERT 以及俄羅斯情報機構 FSB 相繼發布了報告，指蘋果公司故意向 NSA 提供了Message 后門的行為。據報告稱，這個后門為使用“零點擊漏洞”進行間諜軟件投放

80、提供了機會，從而感染 iPhone 手機。惡意軟件的 payload 將在后臺以 root 權限運行，收集系統和用戶信息，包括麥克風和地理位置信息，并執行攻擊者的指令?？ò退够瑫r公布了檢測方法，并將此次行動命名為“三角行動”（Operation Triangulation）。在隨后的幾個月里，卡巴斯基共發布 5 篇詳細披露惡意程序 TriangleDB、JavaScript 驗證器和二進制驗證器的文章。而在 10 月份的卡巴斯基安全分析師大會 SAS 上，他們分享了題為 Operation Triangulation:Connecting the Dots 的議題，公開了他們對“三角行動”調

81、查的過程。研究員的報告指出，“三角行動”整個攻擊鏈利用了 5 個漏洞，其中 4 個是此前未知的 0day 漏洞（CVE-2023-32434、CVE-2023-32435、CVE-2023-38606 和 CVE-2023-41990）。這些漏洞影響了廣泛的蘋果產品，包括 iPhone、iPod、iPad、macOS 設備、Apple TV 和 Apple Watch。攻擊的入口是通過一封帶有惡意 iMessage 附件的電子郵件，攻擊者通過投遞一份包含 CVE-2023-41990 惡意載荷的 PDF 文件，成功利用了位于 fnt_ADJUST 中的 TrueType 字體指令數組越界漏洞。

82、蘋果公司對此漏洞的描述是“處理字體文件可能導致任意代碼執行”。三角行動iMessageattachmentJavaScriptvalidatorWebkitexploitKermelexploitBinaryvalidatorSQL-modulesLocationMicrophoneKeychainTriangleDBimplant362023APT趨勢洞察報告具體而言，該漏洞使攻擊者能夠通過特定的 TrueType 字體指令越界訪問數組并執行任意代碼。這種攻擊方式的巧妙之處在于，它利用了 PDF 文件格式中的字體處理部分，并且應用程序會在不向用戶顯示任何跡象的情況下處理該附件，從而觸發漏洞。

83、本次事件熱度迅速上升的一個重要原因是攻擊者繞過了 iPhone 設備中的內存保護機制?？ò退够踩芯咳藛T表示，他們本次揭示了 Apple A12-A16 SoC 中一個不起眼的調試功能的細節。該功能通過向一些未知的 MMIO 寄存器寫入數據、目標地址、數據哈希等信息，觸發一個未知的硬件特性，從而執行 DMA 操作，來繞過蘋果芯片中的硬件保護層（Page Protection Layer,PPL），直接修改內核內存中的敏感數據，例如頁表項或代碼段。自 2022 年 4 月以來，思科 TALOS 一直在跟蹤 ARID VIPER 高級持續威脅（APT）組織對阿拉伯語 Android 用戶發起的惡

84、意活動。在這次活動中，攻擊者利用自定義移動惡意軟件（APK）從目標收集敏感信息，并在受感染的設備上部署其他惡意軟件。盡管據稱 ARID VIPER 組織的攻擊者位于加沙地區，但 TALOS 并未發現與以色列-哈馬斯戰爭有關的證據。在該活動中使用的移動惡意軟件與非惡意在線約會應用程序 Skipped 有相似之處，甚至在應用程序的開發平臺上使用相同的名稱和共享項目。這種重疊可能表明 ARID VIPER 操作員與 Skipped 的開發人員有聯系，或者以某種方式非法訪問了共享項目的數據庫。TALOS 發現一系列與 Skipped 相關的模擬約會應用程序，這使他們認為 ARID VIPER 可能在未

85、來的惡意活動中尋求利用這些額外的應用程序。ARID VIPER 的惡意軟件被命名為“Skipped_Messenger”，似乎是在參考 Skipped。該惡意軟件使用 Google 的Firebase 消息傳遞系統作為 C2 通道，而非惡意的 Skipped 應用程序則使用它來推送通知。Talos 注意到，雖然 Arid Viper 的 Firebase 項目與 Skipped 的項目有關，但它們使用不同的憑據，這表明惡意軟件開發人員可能訪問了 Skipped的 Firebase 項目并生成了自己的一組憑據。為了迫使用戶下載其移動惡意軟件，ARID VIPER 運營商共享偽裝成約會應用程序更新

86、的惡意鏈接。ARID VIPER 的Android 惡意軟件具有多種功能，包括竊取文件、讀取通話記錄、記錄聯系人、訪問相機拍照和錄制視頻、禁用安全通知、收集用戶的敏感信息以及在受感染的設備上部署其他惡意應用程序等等復雜功能。據近年來的監測趨勢，移動平臺 Android/iOS 或其他系統，將成為 APT 組織的攻擊重點，安全人員應加強該方向的分析及取證研究。ARID VIPER組織針對Android用戶發起的移動設備攻擊https:/ 年，南亞 APT 組織處于較為活躍的狀態，主要活動地點集中在巴基斯坦與印度。這些組織包括 BITTER、PATCHWORK、CNC、SIDEWINDER、DON

87、OT 與 SIDECOPY、TRANSPARENT TRIBE 等，其中前五個組織于很多方面都存在信息交叉，包括但不限于基礎設施、攻擊手法與戰術、樣本等，不排除這多個組織背后存在一定關聯性。該部分的 APT 組織主要目標為亞洲地域的中國、新加坡、蒙古、巴基斯坦、孟加拉國、尼泊爾、斯里蘭卡、印度尼西亞和阿富汗等國家的政府（外交、國防）和軍隊等等國家重要行業單位。這些組織主要使用魚叉攻擊作為攻擊手法，并且根據實際觀測，他們的攻擊效果很出色，成功率非常之高。該組織擁有多個別名，如BITTER、APT-C-08、T-APT-17及苦象。他們的主要目標是亞洲地域國家，主要針對政府（外交、國防）、軍工、核

88、工業、航空工業、船舶工業以及海運等行業開展攻擊，竊取敏感資料。根據初步分析，該組織疑似為南亞次大陸某國政府背景的 APT 組織，其攻擊流程如下圖所示：蔓靈花南亞392023APT趨勢洞察報告該組織在 2023 年對中國和巴基斯坦發起了多起魚叉攻擊，攻擊目標涉及政府、外交、國防、軍隊、通信、航空航天、通信和船舶工業等行業。盡管整體的攻擊技戰術并沒有發生較大的變化，但其部分載荷增加了國產辦公軟件特性、winrar 漏洞的利用。其主要通過向目標發送 chm、lnk、pps 及惡意壓縮包等文件，引導目標執行實現控制，下圖展示了該組織發送的部分魚叉郵件載荷。在對 C2 域名進行分析時，我們發現疑似來自印

89、度/加爾各答地區的攻擊者登錄并放置了惡意載荷 update.msi 文件。CMDwinrar 自解壓文檔漏洞文檔(inp、遠程模板注入)其余組件(0day 提權、mimikatz、putty、關機組件)鍵盤記錄器日志文件chm 文檔快捷方式文件釣魚鏈接Download鍵盤記錄器文件竊取組件魚叉攻擊釋放上傳用戶基本信息(用戶名、機器名等)釋放或下載下載執行下載執行命令執行竊取文件上傳遠程下載執行竊取賬號深度釣魚C&C 服務器釣魚服務器文件服務器遠控 MYRat、DarkRAT、CATClientRAT402023APT趨勢洞察報告摩訶草該組織的其他名稱包括 APT-C-09、APT-Q-36、白

90、象、PATCHWORK、ANGOVER、VICEROY TIGER、THE DROPPING ELEPHANT 等，在 2023 年該組織針對中國、巴基斯坦、孟加拉國、尼泊爾等國家的活動非?；钴S，其主要針對政府、國防、科研機構、高校和工程建設等行業進行攻擊，2023 年其主要采取釣魚與投遞惡意 LNK 文件的方式攻擊目標，并且在對目標控制的過程中大量使用開源工具包括但不限于開源加載器與開源遠控等。下圖為該組織在 2023 年針對我國相關攻擊行動的釣魚郵件信息，其利用多種目標相關話題誘導目標執行惡意文件。412023APT趨勢洞察報告在部分活動中還觀察到該組織對我國多個單位的釣魚域名，相關信息如

91、下表。除此之外，在對該組織部分惡意文件進行分析的時候，我們發現攻擊者將疑似目標的相關名稱及對應的郵箱寫入配置，可以看到其針對尼泊爾、孟加拉國、巴基斯坦及阿富汗的政府、外交、軍隊及警察等部門進行攻擊。釣魚域名目標單位mail.smu-edu.ccmail.ustc-edu-cn.ccmail.fmmu-edu-cn.ccmail.ccccltd.ccmail.cennavi.ccmail.hrbeu-edu-cn.ccmail.tsinghua-edu.ccmail.hhu-edu.ccmail.csrc-prc.orgmail.xjtu.ccmail.cust-edu.ccmail.zj-go

92、v.ccmail.hit-edu.ccmail.fudan-edu-cn.ccmail.whu-edu.orgmail.buaa-edu.org南方醫科大學中國科學技術大學中國人民解放軍空軍軍醫大學中國交建北京世紀高通科技有限公司哈爾濱工程大學清華大學江蘇河海大學中國證券監督管理委員會西安交通大學長春理工大學/哈爾濱工業大學上海復旦大學武漢大學北京航空航天大學422023APT趨勢洞察報告CNCCNC 組織是一個已知的網絡攻擊組織，最早于 2019 年被發現。該組織主要針對軍工、教育、科研機構及航空航天等行業進行攻擊，目的是竊取該些單位的高新技術研究資料和規劃信息等。據推測，該組織與南亞APT

93、組織PATCHWORK（摩訶草、白象）以及 GROUPA21 等存在一定關聯，下圖展示了該組織的攻擊路徑。該組織采用多種自定義加載器、遠控組件、信息竊密組件及 USB 擺渡木馬等工具來竊取目標信息。此外，該組織常使用github 作為載荷與加密 C2 信息的放置介質，初步判斷該組織具有一定的技術自研能力。與南亞地區其他組織相比，該組織在進行魚叉攻擊時更加的仔細與謹慎。他們會利用竊取的郵件內容或偽造相關出版社的信息來欺騙目標。攻擊者發送的釣魚郵件受害者點擊惡意鏈接加密壓縮包附件解壓縮內存加載執行誘餌文檔PE 加載器，加載遠控木馬docldocx/xls/xlsx/ppt/txt等文件竊密組件de

94、vcopyer-擺渡木馬，可通過 U 盤進行傳播瀏覽器/郵箱憑據竊取組件cmd 反彈 shell 組件遠控組件downloader惡意載荷下載下載下載下載下載432023APT趨勢洞察報告響尾蛇該組織又被稱為 SIDEWINDER，是一個疑似具有南亞次大陸某國政府背景的 APT 組織。該組織主要目標為巴基斯坦和東南亞國家，以竊取政府、能源、軍事等領域的機密信息為主要目的。該組織一直將攻擊重點聚焦于巴基斯坦，在 2023 年其通過“通告”、“信件”、“負面報道”、“發布會”相關話題文件對東亞及南亞地區多個國家的的政府機構、外交、軍事、電力、通信等部門進行魚叉攻擊，下圖為該組織使用的魚叉誘餌文檔之

95、一。該組織網絡釣魚域名的分布非常廣泛，一般會模仿教育、新聞、政府和軍隊部門中的各種組織，2023 年使用的部分釣魚域名如下表。域名模仿對象sarabanmithnavy.tni-mofa-gov-slpa.mod-孟加拉海軍印尼海軍巴基斯坦外交部斯里蘭卡港務局阿里云中國進出口商品交易會&中國船舶集團四川大學442023APT趨勢洞察報告SIDECOPYSIDECOPY 是一個疑似具有南亞次大陸某國政府背景的 APT 組織，因模仿另一 APT 組織 SIDEWINDER 的攻擊手法而得名，且在基礎設施方面與透明部落 APT 組織存在重疊。該組織主要圍繞印度政府、國防、軍事相關人員進行網絡攻擊，以

96、竊取憑證和機密數據為主，使用多種攻擊武器包括 CETARAT、REVERSERAT、MARGULASRAT、ALLAKORERAT、ACTIONRAT 等，還擅于使用網絡上開源的代碼及工具。在 2023 年，SIDECOPY 組織仍積極對印度的國防、軍事等部門投遞魚叉式釣魚電子郵件，以郵件中附帶的 ZIP 壓縮包或DOC 文件分發惡意軟件，在攻擊過程中還使用了新開發的后門工具 FETARAT 和 ACKRAT，以及 WINRAR 的代碼執行漏洞CVE-2023-38831。該組織以高度活躍的狀態不斷更新組件，使用新型的攻擊技術，攻擊范圍包括 WINDOWS 和 LINUX 的機器。并且在新的一

97、年發現該組織更新了惡意代碼添加對抗技術和改變通信使用的 url 特征，漏洞利用后執行的 javascript 腳本不再落地為文件，改為網絡下載后在內存中執行，使得攻擊行動更難被發現，說明該組織正持續升級發展。https:/ Tribe、APT-C-56、APT36、ProjectM、C-Major。在2023年，他們主要針對印度等周邊國家頻繁發動網絡攻擊，善于運用社會工程學進行魚叉攻擊，通過投遞帶宏的 doc、ppam 和xls 等類型誘餌文檔來攻擊目標用戶，最終加載專屬木馬 CrimsonRAT 等工具。此外，在 2023 年初，透明部落與 SIDECOPY 被發現利用相同的基礎設施，并使用

98、相同主題針對相似目標行動。他們利用走私情報相關的誘餌，以及偽裝印度國防部郵件的方式發起針對印度頻頻發起攻擊。東亞從收集的公開數據分析來看，2023 年該地區的 APT 組織更是空前活躍。公開情報認為該組織具有東亞某國政府背景，其攻擊目標遍及全球，涉及多個行業，包括但不限于數字貨幣、金融機構、IT 公司、政府機構以及軍事機構等。該組織的攻擊力極高，在 2023 年采用了多種攻擊方式。其“初始打點”階段主要利用社會工程技術，通過郵件、推特、領英、臉書以及 whatsapp 等社交媒體向目標發送惡意文件或鏈接，誘導目標執行惡意文件或訪問漏洞網站、虛假網站以觸發對應的漏洞利用，實現惡意文件植入。另外其

99、還積極使用Nday、0day、供應鏈等多種方式對目標進行攻擊，攻擊方式多種多樣，對目標的威脅性極大，下圖為其針對某軟件供應商的攻擊時間線。LAZARUShttps:/ 是一家位于朝鮮的 APT 組織，卡巴斯基實驗室的研究人員發現了針對韓國軍事智庫的大規模網絡間諜活動，并引用惡意代碼中詞語“KIMSUKY”對其命名。KIMSUKY 作為一個十分活躍的 APT 組織，其針對韓國的活動次數愈來愈多，主要針對韓國政府機構、世宗研究所、韓國外交部門、韓國國防分析研究所（KIDA）、韓國統一部、朝鮮相關研究領域，同時該組織不斷的使用 hwp 文件、Lnk 文件、CHM 文件、可執行文件和惡意宏文檔等方式對

100、目標進行攻擊。該組織與有相同背景的 LAZARUS 組織和 KONNI 組織有一定的相似之處。他們通過發送稅務、金融交易、數字貨幣、合同等關惡意文件誘導目標執行攻擊。該組織的整體攻擊鏈與 KONNI 組織相差不大，主要使用 js 腳本等進行信息收集與下載后續載荷，在觀察到的相關后滲透活動中，該組織使用了自定義木馬與開源黑客工具進行滲透活動，其相關魚叉誘餌信息如下。KIMSUKY圖片來源于互聯網:new targetmid-2022early-2023mid-2023sw vendor A:Developed theexploited s/w1st waveSIGNBT created2nd w

101、aveAdditional activitiesincluding SIGNBTDelivered malware using vulnerabilityof company As softwareSoftware ofcompany Asw vendor B472023APT趨勢洞察報告KONNI是一種木馬病毒，后被發現與東亞的APT組織存在一定的關系。2018年，PALO ALTO發現該類惡意軟件與APT37（別名 REAPER、GROUP123、SCARCRUFT）有關的木馬 NOKKI 存在一些關聯。2019 年起，韓國安全廠商 ESTSECURITY將 KONNI 作為疑似具有東亞背

102、景的 APT 組織單獨進行報告和披露，并發現該組織與 KIMSUKY 有一定聯系。此外，該組織還通過仿制 APP 對移動平臺用戶發起攻擊。在 2023 年，該組織持續保持活躍。該組織在 2023 年主要通過目標發送偽裝 hwp 文檔的惡意 lnk 文件和偽裝成 word 文檔的 exe 文件，誘導目標執行惡意文件。這些惡意文件會釋放 vbs、bat 組件，收集目標主機信息并下載后續載荷，下圖為其相關魚叉郵件。KONNIhttps:/ APT-Q-12、APT-C-60，是一個來自于東亞地區的境外 APT 組織，該組織主要針對中國、朝鮮半島、日本及新加坡等亞洲地區國家進行網絡間諜活動，其中以竊取

103、敏感信息為主，針對政治、外交、軍事、高校、貿易、人力資源等領域進行攻擊。相關攻擊活動最早可以追溯到 2018 年，至今仍非?；钴S，該組織常使用魚叉以及瀏覽器 0day 對目標進行攻擊。我們曾觀察到該組織使用軍事相關的惡意 vhd 文件進行攻擊，vhd 文件中包含誘餌文檔與惡意 lnk 文件，lnk 文件執行自身包含的 js 代碼以獲取下一階段載荷，相關信息如下：通過加解密獲取到攻擊者的后續載荷，其中包括遠控程序、竊密程序以及痕跡清理組件，在這期間通過 COM 劫持、DLL側加載等技術實現惡意組件的運行與主流，部分載荷 PDB 信息如下，其中包含著半島地區韓語的路徑。偽獵者492023APT趨勢

104、洞察報告APT37 是一個疑似來自朝鮮的網絡間諜組織，也被稱為 GROUP123、SCARCRUFT 至少從 2012 年開始就已經活躍，該組織主要針對韓國、日本、越南、俄羅斯、尼泊爾、中國、印度、羅馬尼亞、科威特和中東等國家或地區進行攻擊，主要目標為外貿公司、在華外企高管、政府部門、高校、國防軍事等行業。2023 年，APT37 組織非?；钴S。該組織常采用釣魚郵件作為入口點，采用 CHM、HTA、HWP、XLL、LNK 以及宏文檔等進行攻擊。在部分場景中其還使用 ISO 作為載荷投遞介質。在誘導目標執行惡意文件后，下載后續載荷進行控制，其主要使用的組件為 ROKRAT、Chinottol 等

105、，其部分攻擊鏈如下：APT37該 APT 組織被稱為 PRIMITIVE BEAR，疑似具有東歐背景。其最早的攻擊活動可以追溯到 2013 年，主要針對烏克蘭政府機構官員、反對黨成員和新聞工作者，以竊取情報為目的。GAMAREDON在2023年的攻擊活動主要集中在上半年，利用與“俄烏沖突”相關的惡意sxf自解壓文件、html附件、lnk文件、遠程模板文件釣魚郵件對烏克蘭的軍事和政府單位進行攻擊。GAMAREDON歐洲釣魚郵件存儲惡意文檔惡意文檔LNK文件提取誘餌及bat執行內置powershell命令從遠程加載后續載荷存儲加密載荷云存儲服務用作木馬C2黑客執行不同命令RokRAT誘餌pdf文件

106、502023APT趨勢洞察報告根據收集到的魚叉式釣魚文檔文章題目來分析該組織的攻擊目標，下表是我們收集到的部分樣本。文檔 hash翻譯后的文章題目f7a6ae1b3a866b7e031f60d5d22d218f99edfe754ef262f449ed3271d630619228746b8010329eaefd2d815732f8f111ba45e3774ead290ea42f5ce68a996837根據 2022 年 022 號房間活動期間的成本核算文章“用于技術目的的燃料和能源”計算 1 小時服務的成本關于將簽署向 Poliska 領土社區的自然人支付賠償金信息的人員的信息0b50546d3

107、eb0387a7f3cbf4e92d7fca5ac9e3c8358a41ad606ba3ec6546c9c9d關于根據 202_ 月結果進行的勞動專業（教育機構全稱）人員培訓13aa44122e2e6d99a40a47c870142ac95dc250c3169c1cfab95ba9c6fe33f542基輔地區法斯蒂夫地區軍事行政232b55aabd3301e6afa02df3a062c760f1105a0716047a582c1e714da9f0406d烏克蘭國防部命令軍事單位指揮官 A4350572650c06d09715b17ba78db89fd323845c00133c483d7fc57

108、1ebe3e7b824bfe致軍事單位醫療服務負責人 A4689a207059404bfea094d3c07ee456107f26e83fee9e235a84e8e23bb9db64eee6b為反恐行動的參與者提供基于烏克蘭沒有的最新技術和制造技術的增強功能產品的程序b4b01e62f864da7615a151b88fe08ae4add43ffb994c8d71eebf797ead6ba60e在基輔市提供免費二級法律援助的區域中心d68335308ec2e58bb8cf1fb63381fdd55b6338241a82a59517cb3211770e6036戰術醫學簡報評估表dcbb432efd

109、5f958e5a3881109c942c75514d0692b5bc1e712e910d220313ac66BrAG 軍事單位 A0281 自行火炮師師長指揮排人事記錄簿e0ca68717b92594cf3a0b265b846a491a38037e5f1af76479aa5a6e78ca9488b2d831996a9a719e14d6b700c1324b0a7571aa36638174f10190c2474d16905ea根據烏克蘭經濟發展和貿易部的命令進行更改和補充烏克蘭國防部命令軍事單位指揮官 A702031e60a361509b60e7157756d6899058213140c3b116

110、a7e91207248e5f41a096b公共非商業企業“提供精神科援助的市政機構”512023APT趨勢洞察報告疑似具有東歐背景的 APT 組織，也常被稱為 APT28、FIGHTING URSA、SOFACY GROUP，其主要攻擊目標為政府、軍隊和外交等，以竊取戰略情報為主。除常見的釣魚攻擊外，該組織還具備 0day 漏洞打擊能力，2023 年初烏克蘭網絡安全研究人員發現了該組織對 Microsoft Outlook0day 漏洞(CVE-2023-23397)的濫用行為。根據 UNIT42 12 月的公開報告顯示，該組織至少利用此漏洞開展了三次攻擊活動，分別始于 22 年的 3 月、2

111、3 年的 3 月和 23 年的 8 月，最后一次觀察到該組織對此漏洞的濫用是 23 年 10 月11 日一封發送到黑山國防部賬戶的消息。除0day漏洞外，該組織在23年中也通過思科路由器的已知漏洞(CVE-2017-6742)開展攻擊，雖然此漏洞已是公開的老漏洞，但仍存在許多未打補丁的思科路由器設備可被攻擊。FANCY BEARhttps:/ APT 組織，也常被稱為 APT29、NOBELIUM，與 APT28 一樣，其主要攻擊目標也為政府、軍隊和外交等，以竊取戰略情報為主。根據近期的攻擊活動表現來看，該組織非常擅長使用 ISO/IMG 映像文件進行釣魚攻擊。他們通過映像文件中具有隱藏屬性的

112、白宿主進程與惡意 DLL 等，完成惡意代碼執行。這種類型的攻擊鏈可分為以下三個步驟：此外，該組織同樣具備 0day 漏洞打擊能力，在 23 年的攻擊中，該組織濫用 Winrar 的 0day 漏洞(CVE-2023-38831)對多國的大使館發起了攻擊。COZY BEAR投遞 IMG/ISO 誘餌文件，其中包含一個可見的 lnk 文件，和多個具有隱藏屬性的 PE 文件以及payload 等，當 lnk 文件被點擊時，白宿主進程隨即啟動。白宿主進程會正常加載一個合法 DLL，隨后該合法 DLL 正常加載另一個合法 DLL，但第二次加載的合法 DLL 的導入表被攻擊者所修改，通過被篡改的合法 DL

113、L 引入惡意 DLL 加載，惡意 DLL 通常為偽裝的系統 DLL，隨后惡意 DLL 加載映像文件中的加密 payload 并完成解密。偽造的 doc 文檔被打開，同時惡意代碼開始執行。值得注意的是，攻擊鏈中的第部分，該組織通過篡改合法 DLL 導入表來劫持白宿主進程，這與常見的 DLL 劫持攻擊有所區別，這種利用方式在其它攻擊組織中也很少見。payload532023APT趨勢洞察報告MUDDYWATER該地區的 APT 組織常利用網絡釣魚等社會工程學手段和其他攻擊技術，針對土耳其、以色列、伊拉克、阿聯酋和巴基斯坦的政府機構、商業企業、學術機構和關鍵基礎設施發起網絡攻擊，以竊取敏感數據和機密

114、信息。中東MUDDYWATER，也被稱為污水、STATIC KITTEN，UNC3313 或 MERCURY，是一支疑似具有伊朗背景的 APT 組織，主要活躍于中東地區，攻擊與伊朗政治對立國家的國防、教育、能源、金融、政府等，幾乎涉及各個行業，攻擊目的以竊取機密數據為主。該組織通常利用魚叉式網絡釣魚，并試圖欺騙受害者打開文件共享服務中托管的惡意文檔，擁有多個攻擊組件 PowGoop、Small Sieve、Canopy、Mori、POWERSTATS。2023 年 MuddyWater 依舊在中東地區積極開展活動，不斷維護武器庫，在攻擊活動中使用新的 C2 框架 MuddyC2Go、Phony

115、C2，下圖為部分魚叉郵件誘餌。根據公開情報，我們收集了 MUDDYWATER 2023 年的主要攻擊活動，具體內容如下表。文章名稱披露時間披露機構文章鏈接Dark Web Profile:MuddyWater APT GroupMERCURY and DEV-1084:Destructive attack on hybrid environmentSimpleHarm:Tracking MuddyWaters infrastructureAPT groups muddying the waters for MSPsPhonyC2:Revealing a New Malicious Comman

116、d&Control Framework by MuddyWaterMuddyC2Go Latest C2 Framework Used by Iranian APT MuddyWater Spotted in Israelhttps:/socradar.io/dark-web-profile-muddywater-apt-group/https:/ insinct2023-11-09Deep insinct542023APT趨勢洞察報告APT-C-23（雙尾蝎），又被稱為 MANTIS、ARID VIPER、MICROPSIA、FROZEN CELL、DESERT FALCON，攻擊范圍主要為

117、中東地區相關國家的教育機構、軍事機構等重要領域，行動目的以竊取敏感信息為主，攻擊載荷涉及 Windows 和Android 兩個平臺。在 2023 年，該組織持續活躍在中東地區，疑似會攻擊與哈馬斯政見不合的對手或者與巴勒斯坦對立的國家，使用魚叉式網絡釣魚電子郵件和虛假社交媒體資料來引誘目標在其設備上安裝惡意軟件。在保持活躍的同時，該組織進一步升級武器庫，使用自定義的 Micropsia 和 Arid Gopher 后門的更新版本來竊取機密數據，相比于 Windwos，雙尾蝎在移動端的攻擊更為頻繁，偽裝成合法的應用程序誘騙用戶安裝和駐留在手機上，執行 SpyC23 間諜軟件。雙尾蝎https:/

118、 OILRIG、ATK40、COBALT GYPSY，是一個疑似有伊朗國家背景的組織。他們主要針對中東地區國家的金融、能源和政府組織實施魚叉式釣魚攻擊。在 2023 年，該組織以竊取用戶的憑據為目的（即使在密碼重置或更改的情況下，惡意軟件也能夠將新憑據發送給攻擊者），通過魚叉式釣魚郵件分發 Solar 和 Mango 后門程序。其次，還利用已失陷郵箱從內部郵箱傳輸竊取數據到攻擊者外部郵箱。北美2009 年美國創立了美國網絡司令部（USCYBERCOM），在奧巴馬政府的推動下，其于 2018 年升級為獨立的作戰指揮部，由情報機構國家安全局（NSA）局長兼任領導，這種打通情報與戰略性網絡行動之間界

119、限的任命方式使全球網絡空間軍事化程度進一步加深。2023 年 12 月 19 日，美參議院正式確認了拜登政府提名的新一屆美國網絡司令部和國家安全局領導人人選蒂莫西 霍。據報道，蒂莫西 霍多次領導網絡防御、情報探測及網絡攻擊活動，還在 2018 年美國網絡司令部升級為獨立作戰指揮部的過程中發揮重要作用。https:/ 年 4 月，推特 CEO 埃隆 馬斯克在接受?？怂剐侣劜稍L時表示，美國政府機構可以“完全訪問”推特的平臺數據，包括用戶私信。馬斯克此番言論在美引起軒然大波，再次證實美國利用科技公司收集個人信息，對外國政府、企業、甚至本國公民個人實施著大規模、有組織、無差別的網絡竊密、監控和攻擊。據

120、路透社2023 年 7 月的特別報道，一家總部位于美國新澤西州的海底電纜公司 SUBCOM，雖然明面上為全球多家電信公司以及谷歌、亞馬遜、微軟和 META PLATFORMS 等科技巨頭提供服務，但實際上其脫胎于冷戰時期偵察、監視蘇聯潛艇的秘密項目，是美國軍方的獨家海底電纜承包商，在全球范圍內為美國軍方鋪設海底互聯網和監控電纜。2023 年 4 月起，兩套美國機密文件在社交媒體上流傳。紐約時報 華盛頓郵報等媒體均報道“泄露的五角大樓機密文件暴露了美國同時對對手和盟友進行間諜活動”。這批泄露的機密文件有 100 多份，主要為關于俄烏沖突的情報，以及美國對中東、朝鮮半島、印太國家和地區等的情報和文

121、件。泄密事件引發了美國與五眼聯盟之間的外交危機。從“前出狩獵”到“遠征網絡空間作戰”“前出狩獵”行動框架是由美國網絡司令部于 2018 年推出的一項行動計劃。該計劃由司令部旗下的網絡任務部隊（CNMF）執行，其主要目的是支持他國進行“防御性網絡行動及情報行動”，同時獲取對手的信息、技術、惡意程序和意圖。根據網絡任務部隊指揮官威廉 2023 年 6 月接受媒體采訪時表示，從 2021 年 12 月初到次年 2 月底，他們在烏克蘭部署了一支“前出狩獵”行動小隊。而在 2022 年 2 月初，美方反復聲稱俄軍將向烏進攻，中旬美、英、澳、日等國通知撤僑（俄烏戰爭開始于 2 月 24 日）。這似乎暗示美

122、國通過“前出狩獵”行動獲取了相關情報。根據法國媒體世界報2023 年 1 月的報道，法國網絡防御司令部指揮官在參與議會質詢時曾表示，“前出狩獵”行動頻次不斷增加，這種“相對激進”的行動已引起歐洲盟友的不安，盟友們一致認為“前出狩獵”行動“過于兇狠急切”，且背后可能存在美國在歐洲實施網絡間諜活動的煙霧彈，因為網絡任務部隊在任務中毫無疑問有機會接觸到合作方最敏感的數據和網絡。在 2023 年 7 月份美參議院提名確認聽證會上，蒂莫西 霍對自己未來的工作立場進行了表態。他表示，除了繼續推行現任領導人保羅 中曾根的“提前防御”和“持續交戰”戰略外，還將加強遠征網絡部隊的建設，以支持“遠征網絡空間作戰”

123、。這種作戰手段即在無法或不適宜獲取目標的遠程訪問權限時，利用遠征網絡部隊近距離接觸目標。這種物理空間與網絡作戰相結合的攻擊手段，將使網絡軍備競賽持續加深。572023APT趨勢洞察報告“三角行動”2023 年 6 月，卡巴斯基、俄羅斯 CERT 和俄羅斯情報機構 FSB 先后發布報告，聲稱蘋果公司故意向 NSA 提供了一個iMessage 后門，使其可以用“零點擊漏洞”投放間諜軟件，感染 iPhone 手機，該惡意軟件的 payload 會駐留后臺，以 root 權限運行，收集系統和用戶信息（包括麥克風和地理位置信息）并執行攻擊者的命令?？ò退够瑫r公布了檢測方法，并將此次行動命名為“三角行動

124、”（Operation Triangulation）。隨后的幾個月里，卡巴斯基先后共發布 5 篇文章，詳細披露他們發現的惡意程序 TriangleDB、JavaScript 驗證器和二進制驗證器，并在 10 月舉辦的卡巴斯基安全分析師大會 SAS 上分享議題Operation Triangulation:Connecting the Dots，公開他們對“三角行動”的調查過程。據研究員的報告，“三角行動”整個攻擊鏈會利用 5 個漏洞，其中 4 個是此前未知的 0day 漏洞，（CVE-2023-32434、CVE-2023-32435、CVE-2023-38606 和 CVE-2023-419

125、90）。這些漏洞影響了廣泛的蘋果產品，包括 iPhone、iPod、iPad、macOS 設備、Apple TV 和 Apple Watch。iMessageattachmentJavaScriptvalidatorWebkitexploitKermelexploitBinaryvalidatorSQL-modulesLocationMicrophoneKeychainTriangleDBimplant582023APT趨勢洞察報告地震局事件2023 年 7 月 25 日，武漢市公安局江岸分局發布警情通報，證實武漢市應急管理局地震監測中心發現部分地震速報數據前端臺站采集點網絡設備被植入后門程序

126、，該行為對國家安全構成嚴重威脅，武漢警方已對此正式立案調查。國家計算機病毒應急處理中心和國內安全廠商組成的專家組發現，此次網絡攻擊行為由境外具有政府背景的黑客組織和不法分子發起，此次案件的真兇與西工大事件攻擊者為同一團伙，即美國國家安全局特定入侵行動辦公室（TAO）。分析稱，被植入的木馬程序能非法控制并竊取地震速報前端臺站采集的地震烈度數據，“地震烈度數據與國家安全息息相關，比如一些軍事防御設施就需要考慮到烈度等因素?！北泵赖貐^頂級 APT 組織的活動有以下特點：擁有領先的攻擊技術和極強的攻擊能力。具有國家情報機構背景的 APT 組織與網絡軍火商、國防承包商、海底光纜公司以及其他國家情報機構進

127、行合作，使用定制化的工具集完成針對特定目標的網絡竊聽和攻擊。具有高隱蔽的特征。從“三角行動”來看，這些 APT 組織掌握大量 0day 漏洞，行動時遵循完善的 OpSec 指南，目前發現的入侵活動都可以追溯至數年前，可以推測還有大量未被披露的網絡攻擊正在發生。中國一直都是其攻擊目標。除了地震局事件和西工大事件之外，2017 年曝光的 Vault7 中包含多個“Panda”相關的項目，這些項目以華為路由器等中國廠商的設備為攻擊目標。2020 年由某國內安全廠商發布的報告詳細說明了與 CIA 有關的APT 組織對中國進行至少長達 11 年的秘密滲透。https:/www.cybercom.mil/

128、Media/News/Article/3218642/cyber-101-hunt-forward-operations/https:/therecord.media/maj-gen-william-hartman-interview-ukraine-russia-click-herehttps:/www.lemonde.fr/en/international/article/2023/01/15/france-s-cyber-defense-force-questions-the-role-of-us-support-in-europe_6011684_4.htmlhttps:/ 2022

129、年到 2023 年針對我國的能源、高校、科研機構及軍工等行業進行攻擊，他們在攻擊行動中常模仿其他組織的攻擊戰術。為了方便對該組織進行跟蹤，我們將該組織命名為戰術模仿者(Timitator-Tatic imitator)，該組織其他友商也將其稱為 APT-Q-77、變異鼠，部分廠商認為該組織為海蓮花。戰術模仿者主要采取魚叉、Nday（尤其擅長對邊界設備進行攻擊）等方式進行打點。其魚叉攻擊分別投遞過 chm、iso(img)及 lnk 等格式的載荷，在受害者成功執行該惡意附件后，在第一階段時其會加載 cobaltstrike 并建立穩定連接，在第二階段通過 cobaltstrike 加載其自定義特

130、馬，部分魚叉郵件信息如下。602023APT趨勢洞察報告https:/ cobaltstrike、開源工具 fscan、chisel 及自定義木馬進行滲透活動，部分信息描述如下表。通過對該組織的活動時間統計分析與部分基礎設施溯源，我們判斷該組織比較熟悉東歐地區的相關內容，下圖為部分魚叉郵箱其注冊手機號與注冊地。組件名稱說明使用率cobaltstrikefscanchisel/自定義 golang 木馬網絡掃描工具商業遠控自定義信息收集器+加載器自定義加載器漏洞利用開源內網穿透工具“https:/ APT 攻擊事件的分析，發現攻擊者獲得初始落腳點的關鍵環節主要包括三大類，分別是：內部員工失陷管理

131、疏忽的數字資產非預期篡改的依賴組件內部員工失陷對應的攻擊場景和攻擊后果：內部員工失陷攻陷市場或服務人員 PC攻陷技術人員 PC攻陷研發人員 PC.泄露敏感客戶聯系數據泄露技術人員聯系方式泄露研發人員聯系方式泄露客戶聯系方式、技術方案或 IT 資產的訪問憑證泄露核心資產訪問憑證泄露研發人員聯系方式泄露研發環境拓撲 登錄地址和訪問憑證(如 Teamviewer)攻擊者以研發人員 PC 為跳板，竊取研發敏感數據(如源碼、代碼簽名證書等)攻擊者以研發人員 PC 為跳板，獲取產品編譯環境權限，嵌入后門審計源碼，從而發現 0day基于竊取的數字證書，為惡意代碼簽名，繞過殺軟632023APT趨勢洞察報告管

132、理疏忽的數字資產對應的攻擊場景和攻擊后果：非預期篡改的依賴組件對應的攻擊場景和攻擊后果：內網安全設備審計到某主機/服務器的異常流量/主機行為，卻無法定位該資產的所有者及業務詳情內網安全設備審計到某主機/服務器的異常流量/主機行為，卻無法定位該資產的所有者及業務詳情有 Web 漏洞的 HTTPS 業務，卻缺乏對請求和響應的內容審計（無加密數據的 HTTPS 卸載）有 Web 漏洞的 HTTPS 業務，卻缺乏對請求和響應的內容審計（無加密數據的 HTTPS 卸載）公網暴露 RDP 端口的 Win 服務器（3389 爆破隱患.）公網暴露 RDP 端口的 Win 服務器（3389 爆破隱患.）暴露公網

133、的權限管理混亂的云端存儲放置敏感數據的泄密隱患(各類公共云盤、私有云盤等.)暴露公網的權限管理混亂的云端存儲放置敏感數據的泄密隱患(各類公共云盤、私有云盤等.)脫離企業終端管控的 PC 設備從公網直接穿透(TeamViewer/Sunlogin)訪問內網敏感業務/數據脫離企業終端管控的 PC 設備從公網直接穿透(TeamViewer/Sunlogin)訪問內網敏感業務/數據Github 敏感研發數據泄露Github 敏感研發數據泄露個人私搭的 WIFI 熱點或供應商私搭的隧道個人私搭的 WIFI 熱點或供應商私搭的隧道數字資產管理疏忽的開源組件代碼污染導致向上感染自身生產環境被定制的惡意代碼篡

134、改自身編譯環境被攻陷導致產品被植入惡意代碼如多次 Pip/Docker 污染源代碼庫被污染如 Linux hypocrite commits”案例、2023 年 oneinstack 供應鏈投毒事件攻陷源碼管理平臺如 Git，注入惡意代碼攻擊者篡改編譯基礎設施引入非受控環境的(受攻擊者控制的)外部惡意代碼如：引入惡意的依賴庫，并在后續產品運營期間更新依賴，持續引入惡意代碼篡改編譯環境：如 SolarWinds 自身編譯環境被 APT 組織篡改基于 Orion 向 SolarWinds 的客戶散播 TearDrop(CS)針對更新模塊的企業級證書的 MD5 碰撞攻擊如針對補丁服務器的定向攻擊對應

135、用發布服務器的定向攻擊，替換發布版本軟件包中間人攻擊鏡像服務器例如：Stuxnet-定制 U 盤中包含的針對離心機操控系統的定制惡意代碼例如：XCodeGhost 事件中的受害開發商例如：SolarWinds 事件中的受害者FireEye上傳非合規 CI/CD 流程生產的組件到官方庫，導致用戶誤下載，引入代碼后續被篡改，卻由于非合規流程導致無法及時發現攻擊者攻陷軟件包的發布或補丁更新環節例如：各種針對工控 PLC 的定向攻擊.供應商失陷導致后門向上感染依賴組件非預期篡改的642023APT趨勢洞察報告基于對上述三大類 APT 攻擊關鍵落腳點的分析，深瞻情報實驗室認為，一個在 IT 建設時考慮應

136、對 APT 攻擊的組織需開展的安全建設應包括：人員意識安全、資產管理和保護、網域管理與安全設施部署、建立研發供應鏈安全機制、建立企業級安全運營和事件響應中心等，總體框架和各個模塊的使命如下圖：人員意識安全資產管理和保護網域管理與安全設施部署使命：對不同崗位人員尤其各部門高管、核心數據/資產持有人等，定期進行定向釣魚模擬，持續提升人員安全意識使命推動產品線安全架構體系化設計及軟件供應鏈安全管理流程落地，實現產品從源代碼到編譯構建，再到發布上線運營的全生命周期的安全可控使命:建立針對所在組織 IT 基礎設施及人員定向攻擊事件的持續挖掘及快速響應機制，保證對所在組織的網絡攻擊風險的可視、可控使命：持

137、續管理資產-人員-業務-脆弱性的對應關系，基于零信任理念原則設定資產安全隔離和準入策略，推動漏洞緩解/修復閉環，并對高權限賬號持續梳理，并對其行為動態持續跟蹤審計建立研發供應鏈安全機制建立安全運營和事件響應中心APT防御體系框架使命深度防御，有效隔離，為安全事件溯源提供原始日志數據支撐652023APT趨勢洞察報告從 2023 年監控到的教育、科研行業成為 APT 攻擊的重災區情況來看，攻擊目標人員的安全意識弱點是初始落腳點中最被攻擊者重視的環節之一，有相當一部分攻擊目標人員的個人 PC 或相關憑證是在組織建立的安全防護體系之外的，并且對于高定向性的魚叉式釣魚分辨能力較差，缺乏相應的主動上報核

138、查能力。這使得針對這些人員的定向攻擊成功率非常高。提高組織內人員的安全意識，是投入產出比很高的防御策略。在此，人員安全意識培訓和核查的使命在于：對不同崗位人員以及各部門高管，定期進行定向釣魚模擬，持續提升人員安全意識。人員安全意識培訓學習金融行業經驗：通過針對受試內部員工開展隨機釣魚模擬，并將評估得分合入考評機制，提升相關人員的安全意識需求：針對角色的定制化釣魚模板(話術)、通 道(媒 介-如 外 網 郵 箱、微 信、qq，twitter,whatapp、甚至內部 IM 軟件)等使用商業釣魚模擬產品基于開源或自行開發確保員工意識到中招后該找誰處理（聯系安全應急響應部門）？中招后應該如何“自救”

139、？確保安全響應人員知曉處置流程和關鍵注意事項明確到人避 免 破 壞 現場，如內存及時斷網在應急響應部門完成取證后，應.如何確?；謴蜐崈魻顟B？該重置哪些賬號的密碼？如何重置所有密碼并確保添加二次認證機制？培訓：什么是針對受害者工作角色特性的釣魚？需要結合已經披露的案例不斷豐富案例庫，例如：培訓：員工意識到中招后的事后的自查、請求安全處置的機制核查：安全意識測試“釣魚模擬演練”針對市場或售前人員的解決方案支持請求釣魚針對研發人員/安全研究人員的技術分享材料釣魚仿冒成需求或招標文件的惡意文檔針對 HR 的簡歷釣魚針對供應商的回款通知釣魚.假冒的安全研究成果/漏洞利用工具分享假冒的代碼工程假冒的設計文

140、檔假冒的開發效能工具針對內部審計部門的舉報信釣魚仿冒成甲方仿冒成求職者人員和內容選擇對不同崗位人員以及各部門高管，定期進行定向釣魚模擬，持續提升人員安全意識人員：經常接收外部文件郵件的人群如技術服務人員、售后人員、銷售人員、供應鏈合怍伙伴、HR、采購、各部門高管等，核心資產核心數據負責人或擁有權限相關人員如科研單位實驗室人員、數據中心運維人員內容：針對工作角色，策劃更強定向性的安全培訓內容和釣魚模擬考評策略，包括釣魚模擬的話術模板及payload，開展安全意識考試+隨機釣魚測評弱密碼是否存在通用密碼？是否存在常用成員密碼？.培訓：傳遞密碼安全策略知識核查：建立具有組織特色的弱密碼字典庫，并在注

141、冊賬號時予以自動檢查引入雙因子認證機制，如 U2F，或適度結合易用性采用居中方案，如：短信驗證碼所在組織是否有自身特色的弱密碼？如何避免弱密碼？人員安全意識(培訓+核查)釣魚培訓和核查662023APT趨勢洞察報告資產管理和保護的關鍵目標在于實現對資產、人員、業務、脆弱性的持續管理。通過采用零信任理念，建立資產安全隔離和準入策略，推動漏洞緩解/修復閉環。此外，持續梳理高權限賬號，并對其行為進行動態跟蹤審計，以確保全面的安全控制和防御。資產管理和保護持續管理資產-人員-業務-脆弱性的對應關系，基于零信任理念設定資產安全隔離和準入策略，推動漏洞緩解/修復閉環，并對高權限賬號持續梳理，并對其行為動態

142、持續跟蹤審計高權限賬號行為的梳理及例行審計高權限賬號梳理高權限賬號行為例行審計離職人員高權限賬號管理資產隔離、準入和安全保護目標：基于零信任機制確保 IT/數據資產的安全隔離和有效的訪問控制及審計終端微隔離和惡意軟件檢測權限集中管控：堡壘機.服務器微隔離和惡意軟件檢測IP/Mac/APP/登錄憑證信息/所在位置信息.資產管理資產上運行的業務(或重要數據)資產的依賴關系資產的責任人資產詳細信息技術要素：資產管理系統資產管理和保護資產漏洞管理和修復閉環資產漏洞掃描(分網段)資產漏洞持續修復/緩解閉環補丁管理漏洞緩解漏洞未及時修復的告警和考評機制672023APT趨勢洞察報告網域管理與安全設施部署的

143、使命是建立深度防御和有效隔離的機制，為安全事件溯源提供原始日志數據支撐。同時，由于近年來攻擊者呈現出直接攻擊安全設備的趨勢，因此定期巡檢安全設備及策略，確保安全設備正常運行且策略有效也顯得尤為重要，安全設備也應建立與時俱進的自保護機制，否則在安全設備失效的情況下，任何安全建設都將變得毫無意義。網域管理與安全設施部署安全設施部署考慮物理和邏輯拓撲深度防御，有效隔離，為安全事件溯源提供原始日志數據支撐與資產管理系統關聯持續更新區域劃分如離線 CA哪些位置 Netflow？哪些位置全流量？TAP 還是 SPAN？HTTPS 卸載和內容審計？內網辦公區離線區外網辦公區區域間訪問策略和基線要求DMZ 區

144、核心區網域管理與安全設施部署安全設備自保護設備自身自保護機制、入侵檢測機制(IDS/IPS)定期巡檢確保安全策略有效性，定期更新和維護，尤其針對安全性發布的更新啟用詳細的審計和日志記錄功能，以便監視安全設備的活動。定期審查日志以檢測異常行為修改安全設備的默認設置，并根據實際需要進行配置。關閉不必要的服務和端口，啟用必要的安全功能，限制不必要的訪問。確保使用強密碼，并定期更改密碼將安全設備放置在網絡中的安全區域，并實施網絡隔離和分段。限制對安全設備的直接訪問，并使用網絡設備(如防火墻)進行流量過濾和監控定期進行漏洞管理和風險評估，識別并解決可能影響安全設備的漏洞。評估整個網絡中的威脅，并采取相應

145、的預防措施682023APT趨勢洞察報告在 SLSA 框架中，對不同層次的安全級別定義如下：建立研發供應鏈安全機制的目標：推動產品線安全架構體系化設計及軟件供應鏈安全管理流程落地，實現產品從代碼研發到上線運營全生命周期的安全可控。2021 年 6 月，Google 基于自身供應鏈安全管理實踐，發布了 SLSA 框架(Supply chain Levels for Software Artifacts)。SLSA 框架源于 Google 內部基于容器化基礎架構的 Borg 二進制授權(BinaryAuthorization)。其基本思想在于關注DevOps 場景中各個研發環節(SCMsource

146、-CI/CDBuild-DistributionPackage)的完整性和可追溯性。建立研發供應鏈安全機制圖 SLSA流程SLSA1構建過程完全自動化，并生成出處。出處是關于如何構建中間件的元數據，包括構建過程、頂級源代碼和依賴關系?；趯Ξa品出處的理解，可以讓軟件用戶做出合理安全決策。SLSA1 不能防篡改，但提供了基本的源代碼識別，并有助于漏洞管理。SLSA2使用版本控制，并在構建階段生成經過身份驗證的出處(譯注：基于經過驗證的依賴完成編譯)。從而讓消費者提升對軟件來源的信心。在編譯環節可信的前提下，該層次能達到防篡改的效果。SLSA2 還提供了到 SLSA3 的簡便升級路徑。Source

147、 lntegritySubmitbad code(A)DeveloperSCMCI/CDDistributionCompromisesource control(B)Modifycode(C)Use baddependency(E)Compromisebuild platform(D)BypassCI/CD(F)Compromisepackage repository(G)use badpackage(H)ArtifactProcessPlatformBuild lntegritySourceBuildPackageUseDependency692023APT趨勢洞察報告SLSA3 保證源代碼

148、可審計性和完整性的一系列要求。SLSA3 通過防止特定類型的威脅（如交叉構建污染），提供了比前兩個級別更強大的防篡改保護。SLSA4需有兩人對所有變更進行審查，且需提供一個密封、可復制的構建過程。雙人評審是行業最佳實踐，可發現錯誤并阻止不良行為。封閉性的構建保證源代碼依賴列表的完整性?？蓮椭茦嫿?，雖不必須，但提供了可審計性和可靠性。SLSA4 確保用戶的高信任。然而對于提供的產品或服務非容器化基礎架構的場景，則需要考慮對產品架構開展分層的安全設計和管理，降低產品開發運營的技術債，從而有效提高攻擊成本，建議的技術框架請見下圖：服務交付的安全運營(Operational Security)通過體系

149、化的安全架構設計和管理，降低產品開發運營的技術債，有效提高攻擊成本入侵檢測 RedTeam 審計與入侵檢測機制驗證內部員工風險管理(Insider Threat)用戶身份驗證(User Identity)服務交付網絡通信安全(Internet Communication)員工認證設備/憑證安全管理 硬件基礎設施(Hardware Infrastrusture)軟件安全開發流程 數據安全(Storage Services)安全的服務部署(Service Deployment)基于中央源代碼控制的 SDLC自動化審核/掃描工具人工審查 漏洞獎勵計劃(Bug Bounty)開源及依賴組件的漏洞挖掘二

150、次認證訪問權限濫用的防護前置安全機制(如 CDN)DoS 防護靜態加密數據銷毀流程思想:基礎架構上自有服務間“零信任”最終用戶的訪問權限管理服務間通信加密服務間訪問權限管理服務身份標識，完整性和隔離Secure Boot Stack 和硬件身份可追溯硬件設計、來源及安全性證明物理環境安全密鑰管理 密鑰與用戶關聯 各類服務可調用 服務白名單 API 層自動訪問控制機制 中央 ACL 清單查詢數據清除 物理銷毀 服務身份標識應用層加密驗證和授權 代碼庫歷史版本可審核任意修改提交的審核和二次批準機制隔離-普通的 Linux 用戶分離、基于語言和內核的沙盒、硬件虛擬化RPC 自動加密 加密硬件加速 產

151、品架構分層安全設計702023APT趨勢洞察報告APT 防御的技術基礎是多階段遞進的，參考威脅獵捕能力成熟度模型，將基礎設施和威脅獵捕能力層次分為如下多個階段：建立安全運營中心，完善取證和響應機制可見數據痕跡的存留和數據檢索能力的構建，是 APT 獵捕能力建設的基礎。建立安全運營和事件響應中心的目標就是推動組織逐步構建上述 Step4 階段的能力，實現針對所在組織 IT 基礎設施及人員、產品或服務的定向攻擊事件持續挖掘及快速響應機制，確保對所在組織的網絡攻擊風險的可視、可控。APT能力的演進過程建立檢測和溯源未知注:圖中“痕跡”字眼，包括網絡通信流量（含正常和異常的網絡流量數據上下文）、主機行

152、為痕跡（如文件、注冊表、驅動、服務、進程等）、外部情報數據（如 PDNS、ICP、Whois、GeolP 等）具備記錄 APT 攻擊相關痕跡，并對痕跡進行回溯搜索的能力APT 攻擊者犯錯，某時間點觸發安全告警，此時安全設備和人都不知道它關聯著一次 APT 攻擊有經驗的專家介入，基于 Step1 的數據，開展事件分析并成功溯源，并披露此攻擊來自某 APT 組織自動學習、自動預警和發現未知 APT 的未知攻擊手法，預計近未來不會發生將專家經驗沉淀為自動化的檢測算法或獵捕流程,形成產品能力，但對于未知的 APT 組織的未知攻擊手法仍需專家基于 Step1 的能力來發現?712023APT趨勢洞察報告

153、建立公司級 SOC并投入專人運營事件響應中心建立安全運營和使命已知 APT 威脅情報運營機制建立針對所在組織 IT 基礎設施及人員定向攻擊事件的持續挖掘及快速響應機制，保證對所在組織的網絡攻擊風險的可視、可控已知 APT 組織 IoC 與本地安全設備的聯動運營本地安全設備運行狀態和完整性的持續監控員工接入管控機制員工接入內網前的主機威脅檢測自有可信的公共DNS 服務器DNS 可疑請求數據運營隔離告警處置員工 PC 統一使用該 DNS公司對外網絡通信的全流量存儲,并導入所在組織的日志匯總 SOC 體系各類認證設備日志導入 SOC,如 Wi-Fi 認證日志等全部市場及售前、研發、技服及售后等，全體

154、系 PC 終端日志、SERVER 日志接入 SOC 并開展持續運營公司網絡安全設備云端目志獨立運營制定安全事件處置優先級策略-被攻擊后(包括釣魚演練)的處置結果與被攻擊者個人績效關聯惡意軟件事件響應的自動化處置策略針對組織的未知定向攻擊事件挖掘(Threat Hunting)終端安全監測機制，并與威脅情報聯動722023APT趨勢洞察報告深瞻情報實驗室正式推出 APT 組織畫像平臺（體驗網址 https:/ 40 個 APT 組織，無論是企業安全從業者、網絡安全研究人員，還是對 APT 組織感興趣的個人用戶，APT 組織畫像平臺將為您帶來全新的視角和深度洞察力。通過詳實的組織畫像數據，帶您了解

155、這些 APT 組織的背后故事、行動方式和策略，洞悉它們的弱點和攻擊手段。附1:深信服智安全風險監測平臺APT組織畫像平臺THREAT ANALYSISPLATFORM平臺首頁:按區域劃分展現全球 APT 組織組織列表：支持多種活躍排序方式732023APT趨勢洞察報告對組織的畫像刻畫涵蓋組織基本信息、組織架構、技術畫像、基礎設施、近期活躍度、國內外活躍度等等關鍵數據，幫助用戶深度了解組織細節。深瞻情報實驗室專家團隊將定期發布原創分析文章，深入解讀每個組織的特點、趨勢和演化，以專業視角剖析 APT 組織每一次攻擊，助您深入了解 APT 組織的本質。組織活動頁面：按時間軸展現 APT 大事記技術分

156、析頁面:深入前沿 APT 技術分析742023APT趨勢洞察報告752023APT趨勢洞察報告深瞻情報實驗室專注于高級威脅攻防、APT 事件響應及取證溯源技術研究，團隊由多名高級威脅情報分析、惡意樣本分析、紅隊技術研究專家構成。附2：深信服千里目安全技術中心深瞻情報實驗室762023APT趨勢洞察報告762023APT趨勢洞察報告微信公眾號：深信服千里目安全技術中心-技術研究-高級持續威脅追蹤(公眾號截圖如下)深信服深瞻情報實驗室持續緊跟國內外高級威脅事件，從中篩選出能給客戶帶來威脅的事件，第一時間推送解決方案，持續提供可感知的安全感。在這場永不停歇的攻防戰爭中，深信服深瞻情報實驗室掌握一手威脅情報，堅持“千里之外，洞悉風險”，與各大網絡安全廠商一同維護網絡安全，構建平衡、和諧的網絡生態系統。關注深信服千里目安全技術中心微信公眾號，第一時間了解更多安全情報和技術動態。深信服千里目安全技術中心