主要观点 / 全球高级持续性威胁（APT）2022 年中报告 2022 上半年全球范围内，国防军事相关的攻击事件占比达到 21%，成为继政府之后的第二大攻击 目标。另外，金融、能源行业相关攻击事件也增长较多，占比分别为 13%、11%。 俄乌冲突使得该地区成为 APT 攻击的重灾区，数据擦除软件攻击不断出现。随着冲突的升级，全球 黑客也各自选边站队，卷入乱局。网络信息舆论战也成为网络战中的重要一环。 针对我国国内的攻击主要来自周边地区的 APT 组织，攻击主要集中在 5、6 月份。从受害行业来看， 针对金融和互联网科技的攻击较去年有所增长。 2022 上半年以来，0day 漏洞仍是攻击者喜好的一大攻击武器；在经济利益的驱使下，针对金融行 业的攻击加剧；受俄乌冲突影响，国防军事目标也成为攻击热点。 2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年的 0day 在野漏洞攻击依然有所增加。以浏览器为核心的漏洞攻击向量仍然是主流趋势，其中大部分为沙 箱逃逸漏洞，主要源自之前漏洞补丁绕过的变种。 全球高级持续性威胁（APT） 2022 年中报告主要观点 MAIN POINTS全球高级持续性威胁（APT） 2022 年中报告摘要 /全球高级持续性威胁（APT）2022 年中报告 奇安信威胁情报中心使用奇安信威胁雷达对 2022 上半年境内的 APT 攻击活动进行了全方位遥感测 绘。数据表明，河南是上半年以来 APT 组织的重点目标地区，经济发达的北京、广东及上海地区依然位 为前列，其次是江苏、福建、山东等沿海地区。 针对我国目标进行高频攻击的 APT 组织主要为海莲花、APT-Q-12、金眼狗等。攻击者主要针对我国 政府机构、金融、互联网科技等行业进行攻击。 2022 上半年内，奇安信威胁情报中心收录了高级持续性威胁相关公开报告总共 181 篇。其中，提及 率最高的 5 个 APT 组织分别是：Gamaredon 6.8%，Lazarus 6.2%，Kimsuky 5.7%，C-Major 4.6%， 海莲花 4%。涉及政府的攻击事件占比为 27%，其次国防军事相关事件占比为 21%，金融占比 13%、 能源占比 11%。 俄乌冲突中，多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景 APT 组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。 在俄乌冲突背景下的网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、 以信息窃取为目的的 APT 攻击，以及网络信息舆论战。 2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年 却有所上升。奇安信威胁情报中心梳理发现，以浏览器为核心的漏洞攻击向量依然是主流趋势。其中 Chrome，Firefox，Safari 及对应平台下 Windows，MacOS，IOS 的沙箱逃逸漏洞占所有漏洞近 7 成， 这里面近 5 成漏洞源自之前漏洞补丁绕过的变种。摘 要 ABSTRACT邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com摘要 /全球高级持续性威胁（APT）2022 年中报告 关键字：俄乌冲突、高级持续性威胁、APT、0day、军事第一章 俄乌冲突背景下的网络战 一、奇安信威胁雷达境内遥测分析 二、网络战特点 三、由俄乌冲突引发的其他 APT 攻击事件 第二章 中国境内高级持续性威胁综述 一、奇安信威胁雷达境内遥测分析 二、2022 上半年针对我国的活跃组织 三、2022 上半年境内受害行业分析 第三章 全球高级持续性威胁综述 一、全球高级威胁研究情况 二、受害目标的行业与地域 三、活跃高级威胁组织情况 四、2022 上半年高级威胁活动特点 第四章 APT 攻击中的漏洞利用 一、新兴的浏览器巨头：Lazarus 二、进击的向日葵 三、IoT 路由沦为 APT 团伙攻击的前哨站 四、Driftingcloud：新兴的 0day 团伙 五、传承：CVE-2022-30190 全球高级持续性威胁（APT） 2022 年中报告目录 /全球高级持续性威胁（APT）2022 年中报告 目 录 01 01 05 07 08 08 11 16 17 17 18 18 19 22 23 23 24 24 25 CATALOGUE第五章 地缘下的 APT 组织、活动和趋势 一、东亚地区 二、东南亚地区 三、南亚地区 四、东欧地区 五、中东地区 六、其他地区 附表 1 俄乌冲突下的 APT 攻击概要 附表 2 俄乌冲突下的黑客组织概要 附录 1 全球主要 APT 组织列表 附录 2 奇安信威胁情报中心 附录 3 红雨滴团队 (Red Drip Team) 附录 4 参考链接26 27 31 33 37 41 45 48 50 52 56 58 59 邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com目录 /全球高级持续性威胁（APT）2022 年中报告 全球高级持续性威胁（APT） 2022 年中报告1此次网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目 的的 APT 攻击，以及网络信息舆论战。 俄乌冲突期间多款数据擦除型恶意软件被发现，这些恶意软件清除磁盘特定数据，或导致重要文件数据 损毁，或直接使系统无法启动，本章后面内容会对这些恶意软件进行具体说明。DDoS 攻击是一种门槛 低但效果明显的网络攻击手段，在各方势力参与的网络战中，针对俄乌两国的 DDoS 攻击频繁发生。在 国家对抗的背景下，不乏 APT 组织的活动踪迹，APT 攻击以亲俄背景组织为主，这些组织除了被发现与 某些数据擦除恶意软件有关，还不断通过定向的网络钓鱼攻击开展情报收集活动，奇安信根据公开报告 以及内部数据整理了俄乌冲突背景下的 APT 攻击活动（见附表 1）。网络信息舆论战，有别于直接的网 第一章 俄乌冲突背景下的网络战 / 全球高级持续性威胁（APT）2022 年中报告 第一章 俄乌冲突背景下的网络战 今年上半年 2 月 24 日俄乌战争打响，俄乌冲突与其他战争最显著的不同在于全球众多身处物理战场之 外的群体通过网络也参与到对抗之中。战前乌克兰就遭受了一系列针对性的网络攻击，冲突爆发后针对 性网络攻击更是常伴随军方的行动发生，网络层面和物理层面的攻击呈现出配合的态势。针对乌克兰的 定向网络攻击除了有利用木马后门进行信息窃取与情报收集，还包括借助数据擦除软件瘫痪和破坏特定 信息系统。而乌克兰在欧美支持下取得全球范围内网络信息舆论战的优势，吸引了众多黑客团体为其站 队。这些黑客团体在开战后频繁向俄罗斯重要组织机构发起攻击，并将攻击得手后获取的内部数据在网 上公开。 多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景 APT 组织的踪迹，也有 普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。本章将对这场网络战演进过程进行简 单梳理，并总结此次网络战呈现的一些特点。 一、网络战演进过程 奇安信威胁情报中心根据奇安信内部数据视野及互联网公开渠道收集的网络攻击数据分析，网络空间的 交锋早于战争率先开始，在正式进入军事冲突后，双方的网络行动则以破坏性攻击活动为主、网络信息 战为辅。随着乌克兰局势的不断升级，多国围绕乌克兰问题的博弈也延伸到网络领域，以美国为首的各 国表面上并未参与实际的网络战，却利用自身的互联网优势引导全球黑客选边站队卷入乱局，导致网络 战线全面拉开。 （一） 网络战攻击手段与大事件 邮箱：ti_support@qianxin.com 电话：95015 官网：https://ti.qianxin.com2 络攻击，是传统舆论战心理战的升级版，通过网络空间发布有利于己方和不利于对方的虚实信息，混淆 视听，或震慑对方心理，或影响判断认知，达到在全球范围内收割同情和支持的目的。 俄乌战争爆发前后涉及两国的网络冲突重大事件如下图所示。 图 1.1 俄乌冲突背景的网络战大事件 全球高级持续性威胁（APT） 2022 年中报告3第一章 俄乌冲突背景下的网络战 / 全球高级持续性威胁（APT）2022 年中报告 图 1.2 WhisperGate 损毁目标计算机的文件类型列表在俄罗斯特别军事行动之前，乌克兰便爆发了针对其政府机构等关键部门的数据擦除恶意软件攻击和大 规模分布式拒绝服务（DDoS）攻击。2022 年 1 月 13 日，数据擦除恶意软件 WhisperGate 出现在乌克 兰多个组织的计算机系统中。2022 年 1 月，约 70 个乌克兰政府网站由于遭到 DDoS 攻击而暂时下线。 2 月 14 日起，乌克兰的军事、政府、金融等部门的网络系统再次遭到大规模 DDoS 攻击。 （三） 战争爆发时的网络攻击 （二） 战前网络行动 在俄乌两国局势紧张期间，乌克兰除了遭受网络攻击，还受到多起网络信息战行动的影响。2022 年 1 月 13 日，乌克兰政府网站遭到