近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2023年度报告》,该报告通过分析奇安信威胁雷达对 2023 年境内的 APT 攻击活动的全方位遥感测绘数据,展示了我国境内 APT 攻击活动及高级持续性威胁发展趋势,并结合开源情报分析了全球范围内高级持续性威胁发展变化及特点,发现同2022年一样,政府部门、国防军事仍是2023年全球APT攻击活动的重灾区。此外,科研教育、信息技术也是2023年APT威胁的主要行业目标。
涉及我国政府机构、科研教育、信息技术、金融商贸、能源行业的高级威胁事件占主要部分,其次为国防军事、新闻媒体、医疗卫生等领域。根据观察,针对中国的攻击组织有的继续沿用以往的攻击模式,而有的攻击手法特点则呈现出一定的变化,但总体来看,鱼叉邮件仍是主要的初始入侵手段,个别APT组织还会通过社工、Web层面的0day/Nday漏洞作为攻击入口。
漏洞利用方面,以浏览器为攻击向量依然是主趋势流,大量以移动端为目标的攻击成为今年APT的首选,网络军火商在其中的参与度愈加提高,这也导致移动端漏洞的地下交易市场价格飙升。攻防两端的角力进入白热化,严重1day漏洞的在野攻击投放速度加快,攻击者能以更快的速度利用最新的漏洞发起攻击。
按照以往惯例,本报告还从地域空间的角度详细介绍了各地区的活跃 APT 组织及热点 APT 攻击事件。
摘要
-
奇安信威胁情报中心使用奇安信威胁雷达对2023年境内的APT攻击活动进行了全方位遥感测绘。监测发现,2023年针对境内目标的APT攻击主要集中在下半年内;从地域分布来看,境内疑似受控IP多集中在沿海省份广东、江苏、上海、浙江等地区。攻击目标主要涉及我国政府机构、科研教育、信息技术、金融商贸、能源等行业。
-
2023年,奇安信威胁情报中心通过梳理奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件,结合使用威胁情报的全线产品告警数据,观察到多个APT组织频繁针对国内重点目标。其中,FaceduckGroup是我们今年首次发现针对国内的攻击团伙;APT-Q-77开始将目标转向芯片领域;APT-Q-15是我们自2022年开始持续跟踪的新组织,主要攻击朝鲜和中国大陆。
-
基于奇安信威胁雷达的测绘分析,2023年对我国攻击频率最高的APT组织为:APT-Q-27 (GoldenEyeDog)、APT-Q-29 (Winnti)、APT-Q-1 (Lazarus)、APT-Q-31 (海莲花)、APT-Q-36 (Patchwork)、APT-Q-20 (毒云藤)、APT-Q-12 (伪猎者)等,这些组织疑似控制我国境内IP地址的比例分别为:24.2%,11.6%,9.7%,7.8%,7.7%,7.5%,5.6%。
-
本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据,得出以下结论:2023年,我国政府机构、科研教育、信息技术、金融商贸、能源行业遭受高级威胁攻击情况突出,占比分别是:20.4%,18.4%,17.3%,12.2%,10.2%。
-
奇安信威胁情报中心在2023年监测到的高级持续性威胁相关公开报告总共369篇,总共涉及95个命名的攻击组织或攻击行动。其中,提及率最高的5个APT组织分别是:Lazarus 9.2%,Group123 7.5%,Kimsuky 6.4%,SideCopy 3.9%,APT28 3.4%。其中,Lazarus、Kimsuky两个组织已连续3年跻身于年度公开报告提及率Top 5列表内。
-
奇安信威胁情报中心在2023年监测到的高级持续性威胁相关公开报告总共369篇。根据开源情报监测显示,在2023年全球至少有80个国家遭遇过APT攻击,披露的大部分APT攻击活动集中在韩国、乌克兰、印度、中国、巴基斯坦、以色列和美国等地。同时报告总共涉及全球95个攻击组织,其中提及率最高的5个APT组织分别是:Lazarus,Group123,Kimsuky,SideCopy,APT28。
-
2023年奇安信威胁情报中心关注到重点在野0day漏洞共59个。在野0day的利用数量相较2022年有所上升,趋势上逼近作为历年峰值的2021年。微软、谷歌、苹果三家的产品漏洞依然占主要部分,而与往年有所不同的是,苹果产品的漏洞在数量上稳压了微软、谷歌一头。
关键字:全球高级持续性威胁、APT、威胁雷达、0day、iOS、地缘政治
点击下方“阅读原文”获取完整报告
原文始发于微信公众号(奇安信威胁情报中心):全球高级持续性威胁(APT)2023年度报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论