全球及国内APT攻击活动梳理

以下将分别介绍各国间的 APT 攻击概况。

1.朝鲜 - 韩国

根据公开报道的事件，韩国在 2023 年上半年中遭受了来自朝鲜组织的多次网络攻击，其中主要涉及针对政府、 媒体行业的攻击，这些攻击通常采用网络钓鱼和社会工程学手段，旨在破坏韩国的网络基础设施、窃取敏感信息。不过， 相比朝鲜，韩国 APT 组织被公开披露的攻击事件却乏善可陈，这背后的原因或许是韩国组织拥有着极高的隐匿技术， 亦或是韩国雇佣了其它国家的黑客军队，又或是某些国家与韩国之间达成了某种不对外公开的约定也不得而知。

总的来说，2023 年上半年，朝鲜的两大知名组织 APT37 和 Kimsuky 交替对韩国发起了一系列的钓鱼攻击。1 月， 与朝鲜国家安全部 (MSS) 相关的 APT37 组织首先恢复活动，针对韩国个人用户开展了网络间谍活动，期间，APT37 还破坏了韩国的 BBS 网站以将其变为他们的 C2 基础设施。3 月，专注于窃取机密信息的 Kimsuky 组织通过一个包 含恶意脚本的 OneNote 钓鱼文件向高丽大学分发了恶意软件。5 月，APT37 又以韩国的”内政和外交”、”付款申 请表”为主题散布钓鱼诱饵文件，部署了 ROKRAT 感染链。随后，Kimsuky 组织通过漏洞利用，在韩国建筑公司的 Windows IIS Web 服务器植入了 Meterpreter 后门。6 月，该组织继续以 " 生日祝福 " 诱饵文件散播 Quasar RAT 木 马程序。紧接着，APT37 借助 Ably 实时消息服务部署了一个新型窃听恶意软件 FadeStealer。月末，Kimsuky 通过 AppleSeed 后门安装了 Chrome 远程桌面程序，进而对韩国的受害主机实现了系统控制。

2.印度 - 巴基斯坦

印度和巴基斯坦之间的网络攻击活动一直是两国关系紧张的一部分。2023 年上半年，双方都被指控进行了多次 网络攻击，旨在干扰对方的政府机构、军事设施和关键基础设施。然而从公开报道的事件上来看，印度在这个战场中 目前相对处于劣势地位。

2.1 印度针对巴基斯坦

2022 年 11 月下旬至 2023 年 3 月，具有强烈的政治背景的印度响尾蛇（SideWinder）组织利用基于服务器的 多态性技术针对巴基斯坦政府发起了持续的攻击。期间，由于国家地缘问题而产生的 DoNot 组织也疑似利用鱼叉式 钓鱼邮件和社会工程学手段攻击了巴基斯坦国防部门，进而安装了具备窃取用户凭证、键盘记录、远程命令执行等功 能的恶意软件。

5 月，响尾蛇组织通过构建由 55 个域名和 IP 地址组成的钓鱼网络，猛攻了巴基斯坦境内的金融、政府和执法机 构，以及专门从事电子商务和大众传媒的公司。6 月，响尾蛇组织继续以巴基斯坦内阁部门发布的安全文件为饵，引 诱目标用户下载了 Cobalt Strike 载荷。

2.2 巴基斯坦针对印度

2023 年年初，具有巴基斯坦政府背景的 Transparent Tribe 组织伪装为印度国防部，投递了走私情报相关诱饵 邮件。2 月，该组织利用虚假诱饵简历投放了 CrimsonRAT，进而对中招用户进行了持续监控。此后，模仿印度响尾 蛇组织的 SideCopy 组织也发起反攻，伪装成安全机构，向印度通信部投递了 ReverseRAT 后门以达到信息窃取及远 程控制的目的。 3 月，Transparent Tribe 持续发力，不仅对印度的移动端和 PC 端展开了攻击，通过伪装成印度国家奖学金门户、 印度陆军福利教育学会的钓鱼页面窃取了特定用户信息，还通过捆绑了木马的 MeetsApp 和 MeetUp 的聊天应用程 序部署了 Android CapraRAT 后门，直接影响了多达 150 名具有军事或政治背景的受害者。月末，SideCopy 组织又 以“风险及困难津贴的发放”为诱饵，针对印度国防部开展了钓鱼活动。

4 月，Transparent Tribe 开始将其目标瞄准印度教育部门，借助具有教育主题内容和名称的网络钓鱼电子邮 件分发了武器化的 Microsoft Office 文档，并通过恶意宏或 OLE 嵌入技术最终投递了 Crimson RAT。期间，该组 织还借助木马化的 Kavach 身份验证工具在印度政府机构中部署了新的 linux 恶意软件：Poseidon。本月下旬， Sidecopy 组织又向印度组织分发了其开发的新木马 AckRAT。 5 月，SideCopy 开始利用印度核武器主题文件作为诱饵针对印度国家军事研究机构进行了鱼叉式钓鱼攻击，最 终目的是在受害主机上部署恶意软件。6 月，该组织继续以印度国防、军事领域为目标，通过将恶意样本托管在一家 印度翻译公司网站上，下发了新的 C# 后门木马：FetaRAT。

3.俄罗斯 - 乌克兰

俄乌冲突爆发以来就一直备受瞩目，就 2023 年上半年而言，双方目前虽在物理战场中你来我往，打得难舍难分， 但在网络空间战场中，俄方组织似乎完全占据着主导地位，通过鱼叉式网络钓鱼、DDoS 攻击等手段对乌方的政府、 军队等重要机构进行了间谍和破坏攻击。 2022 年 9 月 -2023 年 1 月，俄罗斯网络间谍组织 Turla 利用其他黑客组织此前通过受感染的 USB 驱动器在乌方 系统中植入的 Andromeda 恶意软件，分发了侦察程序 KOPILUWAK 和后门 QUIETCANARY。期间，亲俄黑客组织 NoName057(16) 也对乌克兰的重要网站发起了 DDoS 攻击。

2 月，隶属于俄罗斯主要情报局 (GRU) 的 74455 军事部队的 Sandworm 组织借助 5 种擦除器攻击了乌克兰的新 闻机构 Ukrinform。接着，由俄罗斯国家支持的 Gamaredon 组织通过冒充乌克兰外交部、安全局，采用多步骤下 载方法执行了间谍软件，对乌克兰的公共机构和关键信息基础设施进行了针对性的网络攻击。期间，与俄罗斯有关的 Lorec53 间谍组织还在乌克兰部署了一种新的信息窃取程序：Graphiron。月末，Gamaredon 组织延续最近的间谍 活动，伪装为乌克兰政府组织，投递了鱼叉式网络钓鱼电子邮件，植入了一个适用于 Windows 的 Hoaxshell 后门。 3 月，一个较少被披露的亲俄 APT 组织 Winter Vivern 开始将其目标已扩展至乌克兰外交部和电信组织，通过创 建伪装为合法的政府域来分发恶意软件，以及利用应用程序漏洞来破坏特定目标。 4 月，Gamaredon 继续针对乌克兰对外情报局 (SZRU) 和乌克兰安全局 (SSU) 等乌克兰政府实体，利用一个公开暴露的 SMTP 服务器制作和发送了钓鱼邮件。

5 月，Sandworm 首先利用未受多因素身份验证保护的受损 VPN 帐户访问了乌克兰国家网络中的关键系统，最 终通过脚本运行 WinRAR 归档程序擦除了目前机器的文件。月末，与俄罗斯 GRU 有关的 APT28 利用多种网络钓鱼 技术针对乌克兰民间组织。并且，活动中涉及的大多数网络钓鱼网页都针对了在乌克兰地区流行的 UKR.NET 网络邮 件服务。 6 月，Shuckworm 被曝长期入侵乌克兰安全部门、军队和政府组织，多次试图访问和窃取敏感信息，例如有关 乌克兰军人死亡的报告、敌人交战和空袭的报告、军火库库存报告、训练报告等。月末，APT28 破坏了乌克兰国家 的多个组织和政府实体的 Roundcube 电子邮件服务器，进而部署了恶意脚本，以侦察和窃取受害者的 Roundcube 地址簿、会话 cookie 以及存储在 Roundcube 数据库中的其他信息。 在以上提到的三个网络空间战场中，我们不难看出这些战场的地理位置均与中国接壤或临近，而我国今年上半年 也不断的遭受各大 APT 组织的攻击。不管是否为巧合，我们都必须提高警惕，密切关注网络空间的攻击态势。接下 来我们将重点介绍国内 APT 攻击概况。

2.国内攻击概况

中国作为正在崛起的发展中国家，无论是经济实力还是科研力量都在稳步提升，因此也一直备受各国黑客组织的 关注。2023 年上半年，不仅有多个高度专业的知名 APT 组织（响尾蛇、白象、蔓灵花尤为明显）持续入侵了我国政府、 能源和科研教育领域，黑产团伙也发起了猛烈的钓鱼攻击，以窃取敏感信息、获得经济利益，对我国安全构成了严重 威胁。 具有强烈政治背景的印度黑客组织响尾蛇于 2023 年 2 月开始利用疫情题材对我国高校伸出了爪牙，最终执行了 侦查和窃密行为。时隔两月，该国的白象组织再次采用鱼叉式网络钓鱼策略对我国高校和科研机构出手，部署了进阶 的 BADNEWS 远控程序。5 月，响尾蛇组织又被监测到模仿我国政府、金融组织的域名，诱导用户下载恶意载荷，进 一步获取了敏感信息。

2023 年 3 月，南亚 APT 组织蔓灵花伪装为吉尔吉斯斯坦大使馆，向我国核能行业的用户投递了包含漏洞利用条 件的钓鱼邮件。4 月，蔓灵花又以项目为由，向我国特定机构分发了包含恶意软件的 CHM 文件。 除了出于获取政治军事优势的目的，2023 年 4 月至 6 月期间，也不乏有黑产团伙（如主要针对金融领域的谷 堕大盗团伙）借助国内流行的社交媒体应用、木马化的办公软件（如企业微信、WPS、钉钉），传播了 gh0st、 BigWolf 等后门木马，进而窃取了用户信息以进行售卖。