全球高级 持续性威胁二零二二年 研究报告004/2022 年高级可持续性威胁概览目 录 006/2022 年活跃 APT组织 009 北美 012 南亚 022 东亚-朝鲜半岛 031 东亚-其他地区 035 东南亚 037 东欧 044 其他01 02CONTENTS03 048/2022 年APT攻击态势总结 049 TOP20 ATT&CK 技战术 051 利用0day漏洞的攻击活动增长势头放缓， 但仍处高位 056 APT 组织针对移动平台私有化武器趋势显露 058 针对我国重点行业目标的攻击活动依然保持高热度 059 涉及网络经济犯罪的 APT攻击活动持续披露 061/关键威胁形势分析 062 俄乌冲突爆发， APT攻击急剧增加 064 保障国家网络空间安全， 需时刻保持战时状态 065 从 “技术对抗” 逐渐扩展到 “舆论对抗” 066 APT 攻击瞄准我国自主可控领域 067 数字化转型面临更加复杂多样的网络威胁04 068/附录052022年高级可持续性威胁概览2022 / PART.01RESEARCH REPORT005 在经历了新冠肺炎疫情肆虐， 当今世界正处在大发展大变革时期。 2022年俄乌冲突爆发、 全球经济衰退加之国际间各种力量的较量， 使得国际局势日益错综复杂。 2022年全球 高 级 持 续 性 威 胁（ APT）形 势 依 然 严 峻 。全 年 全 球 网 络 安 全 厂 商 公 开发 布 的 APT报告累计 742篇 ，报 告 中 披 露 的 攻 击 活 动 涉及 APT组织141个，其 中 首 次 披 露 的 APT组织54个，均 比 2021年明显增加。 全球范围内 APT攻击活动依然紧跟政治、 经济等时事热点， 攻击目标集 中分布于政府、 国防军工、 教育、 金融等行业领域。 依 托 自 身“ 看 见 ”的 能 力 ， 360已累计发现了 51个境外 APT组 织 ，监 测 到 5800多起针对中 国的网络渗透攻击。 2022年，360高级威胁研究院捕获到境外新组织： APT- C- 63 （沙 鹰） ， 另外在全球范围内率先监测到 APT- C- 06 （DarkHotel ）组 织 利 用 Firefox 浏览器 的2个在野 0day漏 洞（ CVE-2022-26485 、CVE-2022-26486 ）[1]针对特定目标进行 水 坑 攻 击 。这也 是 2022年国内唯一一家捕获 APT攻击活动中利用 0day漏洞的安全厂商。 2022年全球 APT组织利用 0day漏洞展开攻击活动的增长趋势放缓， 但仍处高位。 2022年2月24日俄乌冲突爆发， 成为全球关注的焦点。 俄乌冲突期间， 与俄乌冲突相关的 APT攻 击、大 规 模 DDoS攻击、 黑客组织网络攻击、 网络信息舆论对抗等一系列网络攻击和 对抗活动， 将网络空间战争形态展现在了世人面前。 网络空间已经成为俄乌间冲突对抗的 重要战场， 在军事冲突之外产生着愈发深刻的影响。 2022年是我国“十四五” 规划的第二年， 在全面建设社会主义现代化国家新征程中， 一批 5G、 工业互联网等新基建项目扎实推进， 为数字经济发展开拓新空间、 增添新动能。 新基 建的背后是产业、经济、 政府、 社会的全面数字化， 而数字化安全将成为发展数字经济、建设 数字中国的底座， 成为新基建的安全基建。 通过2022年全球高级持续性威胁态势分析看， 我国数字化转型和自主可控领域的发展面 临更加严峻和复杂的网络威胁形势。 需要网络安全从业者保持网络空间常态实战化的状态 应对网络空间的攻防对抗， 不断提升我国网络安全和数据安全保护能力， 保障国家网络空 间安全。2022年高级可持续性威胁概览 Advanced Persistent ThreatPART.01RESEARCH REPORT006 2022年活跃 APT组织2022 / PART.02RESEARCH REPORT007 2022年活跃APT组织 2022年， 俄乌冲突爆发和全球经济衰退对地缘政治乃至世界格局的演变产生了深远影响， 使得国 际局势日益错综复杂。与此同时， 全球 APT组织的攻击活动在地缘政治冲突热点事件的影响下， 保 持着高活跃度。 2022年 ，全 球 网 络 安 全 厂 商 公 开 发 布 的 APT报告累计 742篇 ，报 告 中 披 露 的 攻 击 活动涉及 APT组织141个，其 中 首 次 披 露 的 APT组织54个，攻 击 活 动 涉及 APT组织数量和首次披 露的APT组 织 数 量 ，均 比 2021年大幅增加。 北美 热度 APT-C-40 （NSA） ★★★ APT-C-39 （CIA） ★东欧 热度 APT-C-53(Gamaredon) ★★★ APT-C-13(SandWorm) ★★★ APT-C-25(APT29) ★★★ APT-C-20(APT28) ★★ APT-C-29(Turla) ★★南亚 热度 APT-C-08 （蔓灵花） ★★★ APT-C-48 （CNC） ★★★ APT-C-24 （响尾蛇） ★★★ APT-C-09( 摩诃草 ) ★★★ APT-C-56( 透明部落 ) ★★★ APT-C-35( 肚脑虫 ) ★★ APT-C-61( 腾云蛇 ) ★★ 2022年全球典型 APT组织分布东南亚 热度 APT-C-00 （海莲花） ★★★★ 南美 热度 APT-C-36 （盲眼鹰） ★中东 热度 APT-C-23 （双尾蝎） ★★ APT-C-49 （OilRig） ★东亚 热度 APT-C-01 （毒云藤） ★★★★ APT-C-28 （ScarCruft ） ★★★★ APT-C-26 （Lazarus ） ★★★ APT-C-55 （Kimsuky ） ★★★ APT-C-06 （DarkHotel ） ★★★ 东欧 北美 南美 中东 南亚 东亚 东南亚 Advanced Persistent ThreatPART.02RESEARCH REPORT008 排名 组织名称 主要影响行业领域 TOP1 APT-C- 01 （毒云藤） 政 府 、教 育 、科 研 等 TOP2 APT-C- 00 （海莲花） 政 府 、信 息 技 术 、国 防 军 工 等 TOP3 APT-C- 08 （蔓灵花） 政府、 教育、 国防军工等 TOP4 APT-C-12 （蓝宝菇） 交通运输、 政府、 国防军工等 TOP5 APT-C-48 （CNC） 教 育 、科 研 等 TOP6 APT-C- 06 （DarkHotel ） 贸 易 、教 育 等 TO P7 APT-C- 60 （伪猎者） 贸 易 、教 育 等 TOP8 APT-C- 09 （摩诃草） 教 育 、科 研 等 TOP9 APT-C-24 （响尾蛇） 医 疗 卫 生、政 府 等 TOP10 APT-C-28 （ScarCruft ） 政 府、媒体 等360高级威胁研究院对 360全网数字安全大脑中 APT威胁监测数据进行统计： 2022年对中国发起 的APT攻 击 活 动 ，涉及 14个APT组织， 主要的攻击活动分布于政府、 教育、 信息技术、 科研和国防军 工等15个行业领域。 基于APT组织攻击频次、 被攻击单位数量、 受影响设备数量、 技战术迭代频次等多个指标， 我们对 2022年对中国发起攻击活动的 APT组织活跃程度进行评估， 得出下表。RESEARCH REPORT009 AP T-C-40 （NSA） 2022年，360高级威胁研究院陆续公开披露了 《 网络战序幕： 美国国安局 NSA（APT- C-40 ）对 全 球 发 起 长 达 十 余 年 无 差 别 攻 击 》 、《 Quantum （ 量 子）攻 击 系 统 –美 国 国 家 安 全 局“ APT- C-40 ”黑 客组织高端网络攻击武器技术分析报告 （一） 》 、 《关于西北工业大学发现美国 NSA网络攻击调查报告 （ 之 一 ） 》 、《 西 北 工 业 大 学 发 现 美 国 NSA网络攻击调查报告 （之二） 》等多篇有关 NSA组织攻击活动 及技术细节报告。北美 发布时间 发布机构 披露内容 2022年2月23日奇安盘古实验室 Bvp47- 美国NSA方程式组织的顶级后门[2] 2022年3月2日 360高级威胁研究院网络战序幕： 美国国安局 NSA（APT- C-40 ）对 全 球 发起长达十余年无差别攻击[3] 2022年3月14日国家计算机病毒应急 处理中心“NOPEN ”远 控 木 马 分 析 报 告[4] 2022年3月15日 安天CERT从“NOPEN ” 远控木马浮出水面看美方网络攻击装 备体系[5] 2022年3月22日 360高级威胁研究院Quantum （ 量 子）攻 击 系 统 –美国国家安全局 “APT- C-40 ” 黑客组织高端网络攻击武器技术分 析 报 告（一）[6] 2022年6月29日国家计算机病毒应急 处理中心美 国 国 家 安 全 局（ NSA） “酸狐狸” 漏洞攻击武器平 台技术分析报告[7] 2022年6月29日 360高级威胁研究院“ 验 证 器 ”（ Validator ）— 美 国 国 家 安 全 局 NSA （APT—C—40） 的木马尖兵[8] 2022年9月05日 360高级威胁研究院关于西北工业大学发现美国 NSA网络攻击调查报告 （之一）[9] 2022年9月27日 360高级威胁研究院西北工业大学遭受美国 NSA网络攻击 调 查 报