APT威胁趋势及活动复盘

APT 活动受害目标方面，受全球局势持续动荡影响，2023 年以政治目的为导向的 APT 攻击活动数量较多，各国政府部门成为受害重灾区。

1.本年度 APT 威胁趋势总览

2023 年，绿盟科技伏影实验室观测发现全球 APT 活动数量达到新高，同比上升明显。 本年度伏影实验室通过全球威胁狩猎系统捕获了 81 个组织 607 条 APT 攻击线索，相比 去年增长 26.9%。这些线索在梳理后可以对应至 362 起 APT 事件，其中 39 起事件由伏影实 验室通过研究报告或社交媒体首次披露。

本年度伏影实验室 APT 情报库共收录 APT 活动报告 163 篇，分别关联至 72 个已知的 APT 组织，其中包括 27 个全年活动数量超过 2 次的活跃 APT 组织。

本年度，由于印度与其邻国关系持续紧张，南亚方面 APT 组织活动非常活跃，事件数量 占比超过三成（116 件）；东亚方面受到朝鲜半岛态势升级的影响，APT 活动较多，事件数 量占比达到 26%（91 件）；而东欧与中东方面由于俄乌冲突的持续以及巴以冲突的爆发， APT 事件数量同样居高不下，分别占比 21%（74 件）与 8%（29 件）；其他 APT 事件的来 源方向还包括东南亚、南美、中亚和西欧和北美。

APT 活动受害目标方面，受全球局势持续动荡影响，2023 年以政治目的为导向的 APT 攻击活动数量较多，各国政府部门成为受害重灾区；除此之外受攻击较多的领域还包括科研 机构、国防军工业、金融机构、通信业、各类企业与基础设施等。

2.重点地区的 APT 活动 

2.1 针对我国的 APT 活动

2023 年，针对我国的 APT 攻击行动数量进一步增加，关联的 APT 组织也更为多样。 本年度，伏影实验室深度参与了多起境外组织对我 APT 攻击行动的调查取证工作，涉及 APT 组织包括北美方向的 NSA（方程式），南亚方向的 Bitter（蔓灵花）、Patchwork（白象）、 Donot（肚脑虫），东南亚方向的 OceanLotus（海莲花），东亚方向的 DarkHotel（暗店）， 欧洲方向的 Shathak（沙塔克），以及疑似来自亚洲的双异鼠组织。这些 APT 事件绝大多数 以间谍式信息窃取为驱动，攻击目标领域涵盖我国的政府机关、国有企业、高等院校等关键 基础设施。

2.2 东亚区域的 APT 活动

受朝韩关系持续恶化影响，本年度东亚地区朝鲜半岛方面的 APT 活动数量极多。 朝鲜 APT 组织 Konni 与 Kimsuky 针对韩国的媒体、政府国防部、政府外交部、企业等发 起数次钓鱼攻击行动，使用的诱饵包括“华盛顿宣言对朝核威胁的帮助”、“朝鲜人权组织 活动的困难与激活他们的措施”等，与朝韩关系直接相关。Konni 组织还频繁使用一种通过 chm 文件投递木马程序的攻击手法，对韩国金融企业、互联网企业以及民众进行钓鱼攻击。 另一朝鲜 APT 组织 Lazarus 在本年度发动了多起大型 APT 行动，包括迄今以来影响范 围最大的供应链攻击行动――3CX 供应链攻击事件、针对 Windows IIS Web 服务器的网络 攻击行动、针对欧洲制造业的“梦想工作行动”后续行动、针对俄罗斯导弹工程公司 NPO Mashinostroyeniya 的网络入侵活动、MagicLine4NX 零日漏洞供应链攻击行动、针对韩国军 人的钓鱼攻击行动等。

2.3 南亚区域的 APT 活动

本年度，印巴两国的主要 APT 组织依旧保持活跃。 印度 APT 组织 Donot（肚脑虫）在本年度广泛使用一种基于恶意远程模板文档和 .buzz 域名的鱼叉式钓鱼攻击策略，攻击目标包括巴基斯坦政府外交部门。 另一印度 APT 组织 SideWinder（响尾蛇）也发起了针对巴基斯坦海军的邮件钓鱼攻击， 该组织在 2023 年的攻击目标还包括不丹和尼泊尔等国的政府。 另一印度 APT 组织 Patchwork 在 2023 年下半年开始通过 discord CDN 等途径传播该组织的专有木马 Spyder，再通过该木马下载商业远控木马 Remcos，实现对受害者主机的长期 控制。 巴基斯坦方面的 APT 组织 TransparentTribe（透明部落）实施了大量针对印度的攻击行动， 主要目标为印度的政府部门、军队、高校和各种民间组织，典型事件为针对印度量子计算领 域科研机构的攻击行动。 另一巴基斯坦 APT 组织 SideCopy 在 12 月开始尝试使用 WinRAR 漏洞 CVE-2023-38831 来部署 AllaKore RAT、Drat、Ares RAT 等木马程序，主要目标为印度军事机构。

2.4 东欧区域的 APT 活动

受长期持续的俄乌冲突的影响，俄罗斯FSB下属APT组织Gamaredon保持对乌克兰军队、 政府、警察、基础设施等的活跃攻势。Gamaredon 奉行基于域名池的大规模鱼叉式钓鱼邮件 策略，并不注重网络攻击活动的隐蔽性，这也是该组织 APT 活动数量占比较多的主要原因。 7 月，一个从 2022 年开始活动的俄罗斯 APT 组织 RomCom 在本月上旬使用 Office 0 day 漏洞 CVE-2023-36884 发起了针对欧盟峰会参与人员的钓鱼攻击活动。 APT29 在 2023 年第二季度至第三季度策划了一轮针对 Microsoft Teams 服务使用者的 社交媒体钓鱼攻击，主要目标为全球各政府组织或重要基础设施的工作人员。此外该组织还 利用了团队协作服务器 TeamCity 的零日漏洞 CVE-2023-42793，发起了针对全球多个目标的 大型公网设备入侵行动。该组织还在 9 月发起了一起规模较大的鱼叉邮件钓鱼活动，目标为 包括乌克兰阿塞拜疆、希腊、罗马尼亚和意大利在内的多国大使馆和国际组织。 APT28 在 2023 年年底的一次网络攻击活动中，使用零日漏洞 CVE-2023-23397 来窃取 Microsoft Exchange 账户的 NTLM 哈希值，从而实现针对特定目标的钓鱼邮件攻击。 另一方面，活跃在东欧与地中海区域的 APT 组织 CloudAtlas 发动了针对俄罗斯民众的网 络攻击行为，表明乌克兰及其盟友方面也在持续进行针对俄罗斯的 APT 攻击行动。

2.5 中东区域的 APT 活动

2023 年，受区域国家民族矛盾激化与巴以冲突爆发等因素影响，中东区域的 APT 网络 攻击活动数量激增。 12 月中旬，疑似受以色列资助的黑客组织 Predatory Sparrow 对伊朗全国的加油站系统 进行了网络攻击，导致伊朗境内 70% 的加油站被迫转为手动操作。Predatory Sparrow 在该行动中攻陷了加油站系统的中央服务器，并窃取了加油站的各类信息以及支付系统的详细信 息。 伊朗黑客组织 APT34 在 2023 年发起了针对美国企业的活动，并在活动中使用了一种 SideTwist 木马的变体。 另一伊朗 APT 组织 CharmingKitten（APT35）则在最近发现的一起大型 APT 行动中，使 用一种名为 Sponsor 的新型后门攻击巴西、以色列和阿联酋等国家。 此外，包括 Imperial Kitten、MuddyWater 等在内的多个伊朗 APT 组织在巴以冲突爆发 后发动了针对以色列的网络攻击行动，目标涵盖以色列的交通、物流和技术部门。 疑似来源于阿联酋的 StealthFalcon 使用了一种新型木马 Deadglyph，对中东地区多个目 标进行攻击。 未知来源的新 APT 组织 Sandman 开发了一种基于 LuaJIT 平台（Lua 语言）的模块化后 门 LuaDream，借此攻击中东、西欧和南亚的电信提供商。 另一个新型组织 Scarred Manticore 对中东的金融、政府、军事和电信部门发动了复杂的 网络间谍活动，此次行动的受害者遍布沙特阿拉伯、阿拉伯联合酋长国、约旦、科威特、阿曼、 伊拉克和以色列等多个国家。

2.6 北美区域的 APT 活动

2023 年 9 月，由绿盟科技伏影实验室发现的未知来源 APT 组织渴血鹰（AtlasCross）发 动了针对美国红十字会及其关联组织的网络攻击行动，该组织在入侵目标组织的外部设备后， 再通过构建针对特定目标钓鱼文档的方式实现内网渗透与远程控制。 11 月底，美国 CISA 称该国的水务系统使用的 Unitronics PLC（可编程逻辑控制器）受到 黑客攻击，并称攻击源很可能是来自伊朗的黑客组织 Cyber Av3ngers。这起攻击有可能是因 为 Unitronics Vision 系列 PLC 在安全管理上的混乱导致的，黑客通过公网搜索或暴力破解等 方式获取了该系统的密码，进而对其进行控制和利用。