2024年网络安全趋势研判

引203全威胁。漏洞利用链组合攻击实现攻击效果加成，在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞，对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现，个人信息泄露成为了关注的焦点；同时，境外网络攻击势力不断刺探，AT20232024 0day APT 0day APT 2023 银狐远控木马在国内横行肆虐，Qakbot APT BYOVD APT 引言 摘 一安全漏洞态势 01安全漏洞治理情况 国外安全漏洞治理动 我国安全漏洞治理动 安全漏洞总体情况 漏洞公开披露情 漏洞利用情 0day漏洞利用发现情 关键被利用0day漏洞盘 关键漏洞分析 F5BIG- 安全漏洞态势小结 二恶意软件态势 22恶意软件治理情况 国外恶意软件治理动 国内恶意软件治理动 恶意软件攻击总体情况 恶意软件攻击情 恶意软件类型分 恶意软件攻击行业分 恶意软件攻击地区分 恶意软件活跃组 恶意软件活跃组织分勒索软件活跃团 远控木马活跃组 僵尸网络活跃团 挖矿病毒活跃团 恶意软件典型攻击事 某国有银行美国子公司遭Lockbit3.0勒索软件攻 国内某综合安防管理平台勒索事 银狐集合体大肆对国内开展恶意网络攻 恶意软件态势小 三数据安全态势 43数据安全治理情 国外数据安全治理动 我国数据安全治理动 数据泄露总体情 重要数据泄露事件情 非法交易情报中数据泄露情 勒索团伙数据泄露情 我国重点数据泄露事件分 接口滥用导致政务敏感数据泄露事 多个黑客论坛泄露我国数据合集事 某高校因3万余条师生个人信息数据泄露被罚款80万 四APT攻击态 APT攻击活动态势 APT组织攻击总体态 南亚活跃APT组织态 东亚活跃APT组织态 东南亚活跃APT组织态 东欧活跃APT组织态 APT攻击流行技术趋势 软件供应链攻击获取APT攻击初始权 开源组件二次开发以降低APT攻击成 BYOVD滥用过时驱动以对抗杀 网络钓鱼战术升级加大迷惑 典型APT攻击事件 某高校高新行业实验室被高精准社工鱼叉攻 蔓灵花利用开源远控组件攻击某政府机关单 UNC4736组织利用双重供应链攻击3CX公 美国情报机构针对iOS设备的移动端APT活 蔓灵花组织利用国产办公软件WPS开展钓鱼攻 APT攻击态势小结 五2024年重点关注趋 六参考链接 73 附录APT组织攻击动态报告信息 76当今世界正处于百年未有之大变局，网络空间日益成为全球治理的重要领域，深刻影响着各国政治、经济和社会等各个到网络上的历史漏洞，都是数字化发展中的薄弱环节。一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而对国家、社会和公众造成重大损失。（DHS）及其下属的网络安全和基础设施安全局（CISA）在漏洞的发现、收集、验证、评估、修复、披露和跟踪等方面发CISA（一）0215CIA（VD（VDP（BOD实现了对关键基础设施漏洞威胁的及时发现和消控，加强了漏洞管控统筹协调，提升了漏洞资源共享共治水平，强化了美国国家级网络安全漏洞综合治理能力。2023网络安全深度洞察及2024年趋势研2023网络安全深度洞察及2024年趋势研 022023网络安全深度洞察及2024022023网络安全深度洞察及2024032023网络安全深度洞察及2024032023网络安全深度洞察及2024（二）CISA其风险。计划的首要目标就是建立国家级防御网络攻击并从中恢复的能力，CISA作为美国的网络防御机构，将与全球建（三）CISA202111月，CISA(BOD)22-01，降CEB)（KEV）目录中的漏洞。CISA利用漏洞（KEV）（一）根据《网络安全法》关于漏洞管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。（二）二是完善了相关工作机制，建立健全漏洞评估、发布、通报等重要环节的工作机制，明确了漏洞收集平台备案方式和报送内容。（三）等法律法规，以及正在编写的相关国产升级漏洞国家标准，持续推动国产升级漏洞管理工作的制度化、规范化、法治化，进一步提高相关主体漏洞的管理水平，为国家的数字化建设筑牢安全基底。近十年漏洞收录情况20231130（CNNVD）图1-1CNNVD漏洞影响对象情况根据国家信息安全漏洞共享平台（CNVD）202311305Web应用漏洞主要是由于缺乏安全意识、不当的输入验证、不正确的访问控制、不安全的编码等因素产生。随着互联网的Web，WebWeb应用程序的广泛应用，导致应用程序漏洞占比逐年下降。042023网络安全深度洞察及2024042023网络安全深度洞察及2024052023网络安全深度洞察及2024052023网络安全深度洞察及202420192020202120222023图1-2CNVD近5漏洞引发威胁情况根据国家信息安全漏洞共享平台（CNVD）2023111由漏洞引发的最主要威胁是未授权信息泄露，可能导致个人隐私被侵犯、财务损失、商业信誉受损甚至法律诉讼。未授权信息泄露也为黑客攻击提供了前置条件，泄露的敏感信息如秘钥、oen其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。图1-32023CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-CVE-近十年漏洞利用情况10（KEV）1000CVE针对已知被利用漏洞（KEV）的分析显示，近10年真实漏洞利用数量总体呈现先上升后下降的趋势。2021年漏洞利用总1185420212021始下降。CISA将漏洞治理作为重要任务，并通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步KEVCVE图1-4KEVKEVCVE图1-4KEV062023网络安全深度洞察及2024062023网络安全深度洞察及2024072023网络安全深度洞察及2024072023网络安全深度洞察及2024被利用漏洞主要厂商及产品情况根据已知被利用漏洞（KEV）目录进行统计分析，已知被利用漏洞厂商分布与厂商漏洞增长情况如图1-5所示，厂商漏洞Microsoft（275、Cisco（68）Apple（682022情况如折线所示，增速较高的是Apache、Apple、Google、Oracle等厂商，按照增长率推算，预计明年Apache、Apple、Google、Oracle 图1-6为已知被利用漏洞产品分布情况，Windows操作系统是受影响最严重的产品，占比10.4%。Windows操作系统是目前应用最广泛的操作系统之一，其用户遍布全球。根据深信服千里目安全技术中心数据显示，Windows全球公网资产超1.22200Windows排名第二的产品是Inrntxploer，占比30%AT织和黑灰产团伙常见攻击手段之一，这种攻击手法隐蔽性更高，用户往往难以察觉攻击的存在，而且攻击者可以通过不断改变攻击方式和手段来规避安全防护措施。KEVKEVWindowsFlashPlayer2.8%ChromiumV8Engine2.4%OfficeKernelIOSandIOSXESoftwareExchangeServerWin32KInternetExplorerFlashPlayerChromiumV8EngineExchangeServerIOSandIOSXESoftware0day0day100day现情况如下图所示，可以看出，0day漏洞利用平均发现天数整体呈现下降趋势，2023年0day漏洞利用平均发现天数已20140day20210day5.30day2014201520162017201820192020202120222023系列082023网络安全深度洞察及2024082023网络安全深度洞察及2024092023网络安全深度洞察及2024092023网络安全深度洞察及2024表1-12023年关键0day0dayMicrosoftOutlook（CVE-2023-3WindowsCLFS驱动程序权限提升漏洞（CVE-2023-4ZimbraCollaborationSuite6MOVEitTransferHTTPSQL（CVE-2023-SQL6WindowsSearch（CVE-2023-APT7WinRAR（CVE-2023-7AdobeAcrobatPDFReader远程代码9AtlassianConfluenceDataCenterandServerAPT10ApacheActiveMQ（CVE-2023-10GoogleChrome整数溢出漏洞11产品介绍MicrosoftWindows，是微软以图形用户界面为主推出的一系列专有商业软件操作系统。它于1985年问世，起初为运行于MS-DOS之下的桌面环境，其后续版本逐渐发展成为主要为个人电脑和服务器用户设计的操作系统，Windows以超过90%影响分布根据深信服千里目安全技术中心数据显示，Windows操作系统流行版本全网使用量分布情况如图1-8所示，从服务器操作系统在中国大陆使用量来看，WindowsServer各个版本使用量主要分布在北京市、广东省和浙江省，其次使用量较高的是上海市和山东省。Windows服务器操作系统在中国大陆公网的资产超过880万，其中资产数量最多的版本是WindowsServer2012，480桌面操作系统Windows中国大陆使用量主要分布在北京市、广东省和浙江省，其次是上海市和江苏省。12月，Windows660万，对比6月公网资产减少53万，12月对比6月Windows流桌面系统中国大陆占比全球整体呈下降趋势，而数据显示Windows全球公网资产呈上升趋势，可能是Windows桌面操作系统的中国大陆市场份额被其他桌面操作系统瓜分，不过Windows桌面操作系统目前依然是市场主流操作系统。虽Windows7Windows101-2，对2023WindwsWindwsws系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪0day利用名单的榜首，是漏洞利用数量最多的产品。indws操作系统漏洞对我国的潜在安全影响是非常严重的，由于Widws操作系统在我国的计算机市场占有率较高，其漏洞可能会影响大量的计算机和用户。这些漏洞可能会导致计算机系统被黑客攻击，造成数据泄露、系统瘫痪、网络瘫痪等问题，给我国的经济和社会带来严重的损失。2023网络安全深度洞察及20242023网络安全深度洞察及2024 北 12 6图1-8WindowsWindowsWindowsWindowsWindowsWindowsWindowsWindows表1-22023年WindowsCVE-2023-Windows1122H2Windows11version21H2Server2022ServerWindowsServerServer2012WindowsCVE-2023-Windows Server2012Server ServerCVE-2023-Windows1122H2Windows11version21H2Server2022ServerWindowsServerServer2012Server2012OfficeUniversalOfficeAndroidCVE-2023-ServerServerWindowsServerWindowsServerServerCVE-2023-Windows1122H2Windows11version21H2Server2022ServerWindowsServerServer2012ServerCVE-2023-WindowsWindowsWindowsServer2008WindowsServer2012R2WindowsServer2012WindowsServerWindowsServerCVE-2023-ServerServerServerServerServerServer2012WindowsWindowsCVE-2023-ServerServerWindowsWindowsCVE-2023-WindowsWindowsServerServerCVE-2023-ServerServerWindowsServerWindowsServerServerCVE-2023-Windows10Version21H2Windows11version21H2Windows10Version20H2WindowsServer2022WindowsServerWindowsServerWindows10Version1607CVE-2023-ServerWindowsServerWindowsServerCVE-2023-Windows1122H2Windows11version21H2Server2022 Server Server2012Windows ServerCVE-2023-ServerServer2012ServerServerServerCVE-2023-Windows WindowsWindowsServerWindowsServerWindows系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪0day漏洞利用名单的榜首。根据已知被利用漏洞（KEV）0day，2023Windows，1130（KEV）CVE-2023”Windows180dayCVE-2023”Windows12WindowsWindws2023年漏洞类型主要以特权提升和代码执行为主，且多个重要漏洞几乎影响全版本。2023的被利用漏洞多以特权提升为主，在真实攻击中，恶意攻击者利用漏洞进行权限提升是非常普遍的，往往需要通过漏洞去执行恶意代码或者访问受限资源，从而控制系统或者获取更多的敏感信息。12月相较6月，Windows全球公网资产增多，而中国大陆公网资产占比下降。这可能是因为Windows操作系统中国大Windows在列出的关键漏洞中已被利用的漏洞并非是等级为“严重”的，说明实际漏洞利用情况与CVSS评估情况存在一定差异。Windows11和WindowsServer2022是近一两年发布的，目前相较Windows其他版本市场占有率偏低，并且新系统在产品介绍WebLogicOracleapplicationserver，WebLogicJavaEEJAVAEEJavaJavaEEServlet、JSP、EJB、JMS、JDBC等。WebLogic还提供了高可用性、可伸缩性和安全性等特性，使其成为企业级应用程序的首选平台之一。WebLogic还提供了一些管理工具，如WebLogicServer控制台和WebLogicScriptingTool，以便管理员可以WebLogic影响分布根据深信服千里目安全技术中心数据显示，WebLogic中国大陆公网使用量分布情况如图1-9所示，排名靠前的区域有北京市（10611）和浙江省（9656），其次是广东省（6955）和上海市（5065）。1256月中国大陆公网使用量增长超过7000，各区域WebLogic资产也均呈增长趋势。由于WebLogic部署在内网居多，其实北 浙 广 上 山 四 湖 宁 福 江12月资产数 6 126图1-9WebLogic涉及漏洞表1-32023年WebLogicCVE-2023-WebLogicServerT3/IIOP问并破坏易受攻击的WebLogic服务器，成功利用此OracleWebLogic1WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer未经身份验证的攻击者通过T3、IIOP进行网络访问OracleWebLogicServer。成功利用此漏洞可OracleWebLogicServer10OracleWebLogicServer.0OracleWebLogicServerCVE-2023-WebLogicServer未经身份验证的攻击者通过T3、IIOP进行网络访问OracleWebLogicServer。成功利用此漏洞可OracleWebLogicServer10OracleWebLogicServerCVE-2023-WebLogicServer未经身份验证的攻击者通过T3、IIOP进行网络访问OracleWebLogicServer。成功利用此漏洞可OracleWebLogicServer10OracleWebLogicServer.0OracleWebLogicServerCVE-2023-WebLogicServer未经身份验证的远程攻击者通过HTTP进行网络访问，OracleWebLogicServer挂起或频繁重复崩4WebLogicServerOracleWebLogicServer.0OracleWebLogicServerCVE-2023-WebLogicServerOracleWebLogicServer。成功攻击此漏洞可能导致未经授权的OracleWebLogicServer挂起或频繁重复崩溃（DOS）。1WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer未经身份验证的远程攻击者通过T3进行网络访问，OracleWebLogicServer。成功利用此漏洞OracleWebLogicServer挂起或频繁重复崩4WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer未经身份验证的远程攻击者通过T3进行网络访问，OracleWebLogicServer。此漏洞的成功攻OracleWebLogicServer4WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer未经身份验证的远程攻击者通过T3进行网络访问，OracleWebLogicServer。此漏洞的成功攻OracleWebLogicServer4WebLogicServerOracleWebLogicServer.0OracleWebLogicServerCVE-2023-WebLogicServer未经身份验证的攻击者通过HTTP进行网络访问，从OracleWebLogicServer。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有OracleWebLogicServer1WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer未经身份验证的攻击者通过IIOP进行网络访问，从OracleWebLogicServer。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有OracleWebLogicServer1WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServerOracleWebLogicServer。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有OracleWebLogicServer1WebLogicServerWebLogicServerWebLogicServerCVE-2023-WebLogicServer有可访问的OracleWebLogicServer数据的创建、7OracleWebLogicServer.0OracleWebLogicServer2023WebogicWebogicSerer2023Oacle官网发布补丁情况来看，2023Webogic漏洞类型多以拒绝服务、信息泄露和远程代码执行为主。其中，上半年漏洞类型多为信息泄露和远程代码执行，下半年漏洞多为远程代码执行。对比202年来看，2022年下半年Webogic漏洞多为第三方组件引入问题，203年漏洞多为WebogicSerer各区域WebLogic公网资产呈增长趋势。排名靠前的区域有北京市（10611）和浙江省（9656），其次是广东省（6955）和上海市（5065）。12567000。WebLogicServer内核漏洞可能会导致攻击者远程执行任意代码、绕过安全限制、泄露敏感信息等安全问题。CVE-2023-218392023WebLogicServerT3/IIOPWebLogicOracleWebLogicWebLogicOracle 2023网络安全深度洞察及20242023网络安全深度洞察及20242023网络安全深度洞察及2024产品介绍Chome是由Gogle开发的一款设计简单、高效的Webws、MacOS、LinuxAndoid等。ChomeChromeGooglerome也支持多种语言，包括中文。此外，ChromeJavaScriptV8影响分布根据深信服千里目安全技术中心数据，Chrome浏览器中国大陆公网使用量分布情况如图1-10所示，公网资产超过60008.1%，对比60.4%，中国大陆各省份资产相较6月整体呈增长趋势。tatCounter5rome62.85%Chrome使用范围广泛，因此其漏洞利用会影响大量用户。ChromeChrome浙 北 广 上 山 江 福 四 湖 安126，598，65,301,74,445,92,640,01，422,01,081，8706,336612，100546,4936月公网资产数 5，502,64,999，03,971,62,444,81,222,4849,733596，267444,879442,637126图1-10GoogleChrome表1-42023年GoogleChromeCVE-2023-GoogleCVE-2023-GoogleCVE-2023-GoogleCVE-2023-GoogleCVE-2023-10000GoogleCVE-2023-GoogleCVE-2023-GoogleCVE-2023-17500GoogleCVE-2023-30000GoogleCVE-2023-15000GoogleCVE-2023-21000GoogleCVE-2023-GoogleCVE-2023-31000GoogleCVE-2023-20000GoogleCVE-2023-16000GoogleChrome小结从GoogleChrome官网发布补丁情况来看，2023年Chrome漏洞类型主要以类型混淆、释放后重用、越界写入为主。截止11月30日，已知被利用漏洞（KEV）目录检测到Chrome的5个被利用漏洞有2个为类型混淆漏洞，2个为越0day，202370day，322023年漏洞数量和奖金总额偏低。根据GoogleChrome官网披露数据，漏洞赏金金额最高的漏洞售价为31000美元，GoogleChrome5002023Chrome10000Chrome2631000，2023Chrome中的144782022年谷歌公司为Chrome中4734002022，2023Google2023202260.4%，6202312大陆公网资产超过6000万，占全球比例8.1%，公网资产超过100万的区域有浙江省、北京市、广东省、上海市、山东F5F5BIG-产品介绍F5BIG-IP（ADC），它是一种网络设备，它可以帮助组织管理和优化其应用程序交付。它提供了负HTTP、HTTPS、TCP、UDP、SSL、TLS、IPSecAPI以便与其他系统和工具集成。F5BIG-IPADC影响分布可以用于负载均衡、应用程序交付、安全等方面，以提高内部应用程序的可用性和性能。在外网中，F5BIG-IP可以用于应用程序交付、安全、DDoS天津市和上海市。其次是河北省和广东省，12F5BIG-IP用量远超公网资产数量。F5BIG-IP，12377.4%，638F5F5BIG-IP6 12月公网资 612图1-11F5BIG-IP表1-52023年F5BIG-IPCVE-2023-BIG-IP配置实用程序经过身份验证的SQLCVE-2023-CVE-2023-F5BIG-IPAPMBIG-CVE-2023-F5BIG-IPEdgeClientforWindowsCVE-2023-CVE-2023-F5BIG-IPSIPCVE-2023-F5BIG-IPHTTP/2CVE-2023-F5BIG-IPAPMOauthBIG-CVE-2023-F5BIG-IPSSLOCSPCVE-2023-F5BIG-IPWindowsEdgeClient客户端DLLCVE-2023-F5iControlSOAPCVE-2023-CVE-2023-F5BIG-IPCVE-2023-F5BIG-IPCVE-2023-F5BIG-IPF5BIG-IP小结F5F5BIG-IPF5，202310，F5BIG-IP爆出2个已知被利用漏洞，CVE-2023-46748和CVE-2023-46747。据F5称，在真实攻击中，观察到攻击者将CVE-2023-46748CVE-2023-46747CVE-2023-46748：BIG-IP配置实用程序中发现了一个经过身份验证的SQL注入漏洞。此漏洞允许经过身份验证的攻击者CVE-2023-46747：BIG-IP配置实用程序中已发现一个经过身份验证的远程代码执行漏洞。此漏洞允许经过身份验证的攻根据深信服千里目安全技术中心公网资产测绘数据情况来看，天津市、上海市、河北省和广东省等区域使用量较大，12377.4%，相较638万有所下降，但其影响依然较大。2023F5BIG-漏洞多为高危漏洞，目前已经有漏洞被真实利用，并且多个漏洞组合使用进行攻击，将造成严重后果，建议上述区域企业用户加强漏洞扫描和安全评估，及时发现和修复漏洞。（一）0day根据对谷歌团队跟踪的0day被利用漏洞情况进行分析，0day漏洞利用平均发现天数整体呈现下降趋势，2023年0day0day（二）APT研究表明，漏洞利用链组合攻击在APT攻击中是一种常见手段，2023年披露了多起APT事件在攻击中使用多个漏洞组APTStorm-0978CVE-2023-36884CVE-2023-3658420237（三）102021（四）Windows系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪0day根据已知被利用漏洞（KEV）目录和谷歌跟踪0day漏洞利用名单，2023年被利用漏洞数量最多的产品是Windows，截止11月30日，已知被利用漏洞（KEV）目录收录为“CVE-2023”的Windows漏洞共18个，谷歌跟踪0day漏洞利用名单收录“CVE-2023”的Windows122023网络安全深度洞察及2024年趋势研2023网络安全深度洞察及2024年趋势研 2023网络安全深度洞察及20242023网络安全深度洞察及2024（一）202310(CRI)CRI针对勒索软件的集体抵御能力，合作削弱勒索软件的生存能力，打击支撑勒索软件生态系统的非法资金，与私营部门合作（二）《222体以及联邦政府机构之间的网络事件信息共享。该法案有助于联邦政府及时获取关键基础设施实体遭受网络事件和勒索软件攻击的情况，以便及时给予响应，确保美国政府对关键基础设施网络安全态势的及时感知。（三）通过勒索软件漏洞警告试点计划（RVWP）各行各业经常受到勒索软件事件的影响，许多事件是勒索软件利用已知漏洞实施的，通过紧急修复这些漏洞，可以显著降低遭遇勒索软件事件的可能性。20231月，CISA宣布根据《2022软件漏洞警告试点计划（RVWP，该计划采取新措施，并在已知被利用漏洞（KEV）目录中标记勒索软件利用漏洞以配合相关措施，来警告关键基础设施实体其系统暴露了可能被勒索软件利用漏洞。导。近年来，勒索软件、数据泄露等威胁对各行各业造成巨大影响，网络安全技术和产品虽可防范大部分风险，但仍需网合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态。（三）223年8与信息安全信息通报中心协办的第四届国际反病毒大会在津召开。在网络空间命运共同体理念的指引下，亚洲反病毒研究者协会、俄罗斯卡巴斯基、美国欧普思安、深信服等境内外研究机构以“构建数字安全屏障，助力全球经济发展”为主题库，提升我国在网络安全领域的凝聚力和影响力。2023网络安全深度洞察及20242023网络安全深度洞察及20242023年恶意软件攻击总体呈增长趋势。根据深信服千里目安全技术中心统计数据，恶意软件攻击趋势如图2-1所示，2023281.42022246.314.3%。整体来看，202320222023202320222023图2-12022年和2023202220232-2202320222022差不多，挖矿、木马远控和僵尸网络连续两年排名前三。2023202227.2%。僵尸20226.5%。此外，2023图2-22022年和2023连续两年受恶意软件影响较严重行业有企业、医疗、教育和政府。根据深信服千里目安全技术中心统计数据，恶意软件攻2-3202390%。20232022202333.1%17.9%15.1%企 医 教 政2022 2023 20222023图2-32022年和20232023年和2022年恶意软件攻击省份和排名略有差异。根据深信服千里目安全技术中心统计数据，2022年和2023年11TOP102-42022恶意软件攻击区域广 浙 江 上恶意软件攻击区域广 浙 江 上 山 2022202320222023图2-42022年2023国内外活跃恶意软件组织有较大差异。根据深信服千里目安全技术中心、CISA和Coverware统计数据，2023年国内外2-1TellyouthepassMallox29.6%18.0%，Coverware索组织为BlackCat和BlackBasta，市场份额均超过10%。国内最活跃挖矿团伙是Warmup和LemonDuck，国外最活Kinsing。2023QakBot20238QakBot，QakBot700,000银狐组织是2023年国内最为活跃的远控木马组织，我国境内感染省份和地区超过30个，其中20个省份攻击次数超过1000DarkGate、RemcosRATAsyncRAT表2-12023BlackRaspberryLockbit团伙为提高收益不断创新，与其他RaaS团伙不同的是，Lockbit允许附属机构在向核心集团发送提成之前接收赎金，并通过在线论坛中贬低其他RaaS团体、策划引起公众关注的特技活动和公开招募其他RaaS团伙成员等方式来吸引附属机构，LockbitFBI，20201700Lockbit勒索软件攻击事件。CISA2022420233Lockbit的18%；2022年，加拿大22%的勒索软件事件是由Lockbit造成的；2022年，Lockbit占新西兰报告的勒索软件事件23%；202216Lockbit2023Lockbit多使用免费软件和开源工具，多利用老旧漏洞。根据CISA官方数据显示，Lockbit使用免费软件和开原工具近40LockbitLocbit2019年9首次观察到ABCD（Lockbit前身2020年12021年62021年102022年32022年92023年1LockbitGreenConti2023年4VirusTotal上发现针对macOS的LockbitLocbitCVE-2023-GoAnywhereMFTCVE-2023-PaperCutMF/NGCVE-2023-NetScalerADC&NetScalerGatewayCVE-2021-F5BIG-IPCVE-2021-ApacheLog4j2CVE-2020-NetLogonCVE-2019-CVE-2018-表2-42023年Lockbit2023年12023年1铁路巨头Wabtec披露Lockbit2023年22023年3(HACLA)2023年52023年52023年670002023年844GB2023年1043GB2023年11Tellyouthepass团伙42-5TellyouthepassTellyouthepass借助某通T+任意文件上传0day漏洞多国内发动攻击借助某友NC反序列化漏洞及某赛通高危漏洞对国内实施大规模攻击借助某云企业管理软件命令执行漏洞对国内实施大规模攻击

利用某远OA文件上传漏洞对国内发动大规模借助某远OANC反序列化漏洞对国内发动攻击借助某通T+前台远程命令执行漏洞对国内实施大规模攻击借助国内知名综合安防管理平台任意文件上传图2-5TellyouthepassApacheLog4j2 Tomcat弱口令爆破 OA某通T+任意文件上传ApacheLog4j2 Tomcat弱口令爆破 OA某通T+任意文件上传 NC某赛通高危漏 OA某云企业管理软件远程命令执行漏 图2-6Tellyouthepass20193WindowsTellyouthepass202112TellyouthepassLinuxLinuxSSH2022年3月，他们开始使用伪装成图片格式的msi文件进行勒索攻击。随后，他们开始利用后门病毒模块或系统漏洞上传WebshellTellyouthepass2023.67w3wp.exemshta.exe142412jspwebshellmshta.exe图2-7TellyouthepassDarkGate家族Web浏览器敏感数据和允许攻击者远程控制受感染主机。在RastaFarEye等网络犯罪论坛上以恶意软件即服务（MaaS）2023年，DarkGate在国外非常活跃，被多个APT组织利用进行恶意活动。据TrendMicro称，DarkGate在过去几年中2023TA577DucktailDarkGateDarkGateDarkGate9月底和1020231010DarkGate图2-8图2-8DarkGate(C2)（银狐组织而是一个去中心化传播的工具，任何攻击者都可以获取和使用。银狐的源码在黑灰产市场上被称为winos，目前该源码已5.26/QQSEO广告投放SEO广告投放 寻找 组织高 联系 控制价值人员黑产团伙通过云存储服务图2-9根据深信服千里目安全技术中心统计数据，20232-1040.0%，9、102023图2-102023根据深信服千里目安全技术中心统计数据，20231-118000，20100020238664118983064551401983933606874534128674江苏 广东 山东 陕西 江西 四川 河北 山西 浙江 贵州2023年1-11QakBot团伙QakBot，又称为QbotQuackbotPinkslipbotTA570，是全球数千个恶意软件感染的元凶，深入全球网络犯罪供应链。2008年首次被发现时主要用作银行木马，通常通过网络钓鱼活动传播。如今，QakBot已经演变成一种多功能僵尸网络，表2-5Qakbot2008Qakbot2015推出更新版本，Qakbot获得了新动力2020Qakbot2021JBS11002023年6CheckPoint，Qakbot52023年8美率多国联合围剿，FBIQakBotQakBot与全球多个勒索组织有着密切联系，造成数亿美元损失。合作勒索组织包括Conti、ProLock、Egregor、REvil、MegaCortexBlackBasta、Royal和PwndLockerQakBot与全球至少40起勒索软件攻击事件有关，造成了数亿美元的损失，202110202345800QakBotFBI（称为“DuckHunt”）20238，FBIQakBot基础设施，并在全球范围内发现了超过700，000台受感染的计算机，其中超过200，000台位于美国，本次行动还从QakBot网络犯罪组织中扣押了近900万美元的加密货币，这是美国主导的有史以来最大规模的针对僵尸网络的执法行动图2-11图2-11QakBot的分层C2（图2-122023年DorkbotDorkbot2011图2-122023年Dorkbot河北 四川 广东 山东 辽宁 江西 云南 河南 陕西 福建系列 河北 四川 广东 山东 辽宁 江西 云南 河南 陕西 福建系列 图2-132023年Dorkbot僵尸网络攻击省份2023年12023年22023年32023年42023年52023年62023年72023年82023年92023年102023年11医疗行业是受Dorkbot僵尸网络影响最为严重的行业。根据深信服千里目安全技术中心统计数据，Dorkbot僵尸网络攻击行业情况如图2-14所示，医疗行业是受Dorkbot僵尸网络影响最大行业，占比26.1%，其次是教育行业，占比图2-142023年DorkbotKinsing团伙20192020Log4ShellKinsingKinsing用漏洞类型多为远程代码执行漏洞。202311TrendMicroKinsingApacheActiveMQ执行漏洞（CVE-2023-46604）进行比特币挖矿，2020年11月，深信服千里目安全技术中心披露Kinsing挖矿团伙利用执行漏洞（CVE-2019-3396）、ApacheSolr远程命令执行漏洞（CVE-2019-0193）和Weblogic管理控制台未授权远程命KinsingKinsingCVE-2023-CVE-2020-WeblogicCVE-2023-ApacheActiveMQCVE-2020-CVE-2023-OpenfireCVE-2020-WordPressFileManagerCVE-2022-SpringCloudGatewayCVE-2019-ApacheSolrCVE-2021-Apchelog4jCVE-2019-Confluence根据深信服千里目安全技术中心统计数据，2023年Warmup挖矿团伙应急响应事件情况如图2-15所示，Warmup位居2920.1%，2023Warmup图2-15Warmup根据深信服千里目安全技术中心统计数据，2023Warmup2-16Warmup挖矿病毒排名较为靠前的山东省、河北省、浙江省和四川省，占比为别为17.2%、13.8%、13.8%和10.3%。此外，河南省、 系列 图2-162023年Warmup随着公共安全等传统行业的数字化转型，我国挖矿活动明显增长。根据深信服千里目安全技术中心统计数据，2023armup2-17armup2023730%化转型计算资源也随之增长，且转型初期安全建设还不够完善，挖矿病毒一般因为疏于安全防护而感染，导致公共安全行业遭受较为严重感染。此外，政府和企业等行业也受到一定程度感染。图2-172023年Warmup某国有银行美国子公司遭Lockbit3.0某国有银行美国子公司遭Lockbit3.0203119（）中断。发现事件后，S执法部门报告了此次事件。被攻击的业务和电子邮件系统是独立运营的，该国有银行集团总行及其他附属机构和纽约分行的系统未受影响。CitrixNetScaler202311经过排查，发现本轮攻击为Tellyouthepass勒索家族利用了国内某知名视频监控厂商综合安防管理平台任意文件上传漏此次Tellyouthepass勒索事件涉及的漏洞为历史已知漏洞，且相关漏洞利用代码已在互联网公开，某知名视频监控厂商locked1。该事件引起了广泛关注，成为年度备受瞩目安全事件。2023exeexegh0stwinos。该团伙常使用虚假下载站托管虚假安装包去诱骗用户执行恶意文件，执行时本体只下载执行shellcode，shellcode中反exechmchmGhostTinaMa。（四）银狐远控木马在国内横行肆虐，Qakbot（四）银狐远控木马在国内横行肆虐，Qakbot根据2023年深信服千里目安全技术中心的多项数据显示，银狐组织是国内最为活跃的远控木马组织。在深信服响应的远控木马事件中，银狐远控木马事件数量最多，占总数的40.0%。银狐远控木马已在我国30多个省份和地区广泛传播，其201000，Qakbot20238ReliaQuest，QakBotFBI8Qakbot5800 2023网络安全深度洞察及2024（一）2023根据深信服千里目安全技术中心的统计数据显示，2023281.42022246.314.3%。整体来看，2023出总体增长的趋势。20231133.8202219.1142022，2023（二）2023根据深信服千里目安全技术中心、CISA和Coverware的统计数据显示，Tellyouthepass和Mallox是国内最活跃的勒索软件家族，而Coverware披露国外前三季度最活跃的勒索组织为BlackCat和BlackBasta。此外，银狐组织是今年国内最为活跃的远控木马组织，而国外最为活跃的远控木马家族是DarkGate。在挖矿领域，国内最活跃的团伙为WarmupLemonDuck，而国外最活跃的挖矿团伙是Kinsing。（三）BlackCat采取了一种新的策略，他们在互联网上创建了数据泄露网站，而不是在暗网上发布被盗数据，这使得对受害组RaaS2023网络安全深度洞察及20242023网络安全深度洞察及2024（一）2023年ChatGPT为代表的人工智能模型爆火，各大行业领域加快对人工智能在工作和生活中的应用。与此同时，人工智331隐私为由，将ChatGPT禁用了一个月之久。2023年下半年，OpenAI作为ChatGPT的开发者，在欧美多次被指控存在数ENISAICO（二）问题，因为这不仅是保护国家基础性战略资源，也是关乎国家安全的重要措施。在此背景下，欧美国家已建立了较完善的数据跨境管理制度，并开始展开国际合作研究。20232月，EDPB-全或个人隐私等问题。（三）国政府发布题为《2023GDPR（一）2023221519-+共同预防和管控潜在安全风险。（二）20231132025安全实力明显提升和到20357（三）202311分级分类为原则，要求加强各级别数据的不同安全管理和重点保护。2023227以推动全国各地区数据安全管理工作。20233安全管理提出规范要求，明确提出建立健全投资者个人信息保护体系和管理机制。2023724行业务领域数据安全管理，央行发布《中国人民银行业务领域数据安全管理办法（征求意见稿20231113（征求意见稿数据处理活动。2023网络安全深度洞察及20242023网络安全深度洞察及2024（四）202361提供个人信息的活动提供了规范指引，成为数据跨境安全治理体系中的重要一环。为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，国家互联网信息办公室编制了《个人信息出境标准合同备案指南（第一版估办法》施行，各地区快速开展数据出境安全评估工作。2023118兰阿姆斯特丹大学医学中心合作研究项目取得数据合规出境重要突破，完成全国首个数据合规出境案例，而后多地多个行业的案例陆续落地，为后续的数据出境安全评估工作打下了有力基础。2023928于《规范和促进数据跨境流动的规定（征求意见稿进一步规范和促进数据依法有序自由流动。202311安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求（征求意见稿个城市完善个人信息跨境传输及处理的安全指引，推进粤港澳大湾区数据跨境流动。（五）数据权属是推动数据安全治理的重要问题，明晰的权属和有序的流动，是生产要素的本质要求和前提条件。而在数据权属重要数据泄露事件类型分布图3-1资产暴露在数据泄露事件中占比最多，其主要由于安全配置不当导致，是黑客攻击成本最低的方式。资产暴露中包括未授FTPAache导致敏感数据泄露，甚至被投递勒索软件、蠕虫病毒等。77%的受害单位为科研教育单信息。暗网情报来自于暗网交易市场和黑客论坛，暗网交易市场和黑客论坛中的交易市场为黑产交易提供了正式的匿名交易平台，其中数据类交易为市场中主要的交易内容。以经济利益为目的的黑客往往在获取受害单位数据后会前往交易市场发布售卖帖子，监控交易市场情报是快速获取外部数据泄露情报的有效方法之一。黑产舆情包括黑客社交媒体和社区中进行传播和非法交易的数据泄露情报，黑客之间通常会对泄露数据内容和交易构建交elgam、o值得注意的是，2023年下半年在我国大陆地区发现多起双重勒索事件导致的数据泄露，由于我国互联网环境特性，境外代码泄露和敏感文件暴露主要是发现在互联网中的代码托管平台以及文件托管平台中泄露的敏感数据事件，如境内外代码托管平台、网盘文件和各种文库文件。重要数据泄露影响行业分布根据深信服千里目安全技术中心20233-23%1%图3-2非法交易情报类型分布随着数字经济推动和加密货币的发展，越来越多的黑客在利益驱动下实施非法交易。在我国的网络监管打击下，网络非法交易场所主要转移到了境外社交平台、境外黑客论坛市场以及暗网交易市场中。对境外数据非法交易场所的监控和跟踪是快速掌握我国数据泄露事件发生的有效手段，深信服千里目安全技术中心对黑灰产交易市场（包括境外社交平台、黑客论坛市场以及暗网市场）2023121179756CVVCVV图3-363.25%，其占比呈持续增长趋势。其中主要包括重要账号凭证、API随着数据的价值快速上涨，在黑灰产交易中逐渐成为了数据交易为主导的局面，以经济利益出发的黑灰产组织或是个人黑客都以数据为核心目标来进行攻击布局，使得数据的获取成为黑客间热议话题。非法数据交易的渠道分布从情报发现渠道的维度对2023年监控发现的高价值数据泄露事件进行分析，其中敏感文件、资产暴露以及代码泄露类为针对境外非法交易市场中数据泄露渠道进行分析统计如图3-4所示，其中黑客论坛泄露数量占比高达43%，主要来源于BreachedForums论坛；中文暗网交易市场以售卖我国历史泄露数据为主，在预警事件中的来源占比为41%；Telegram频道中主要以传播已泄露的数据居多，虽然首发来源于Telegram的数量偏少，但价值会普遍偏高。从泄露数据影响程度和Telegram>图3-4数据交易的黑客论坛情况从2021年起，RaidForums黑客论坛的崛起，使利用黑客论坛泄露我国数据的情况大幅度增多，尤其是以AgainstTheW-的数据泄露，黑客论坛还涉及全球各国黑灰产交易，各国监管持续打击并逮捕了RaidForums黑客论坛运营者，之后出现BreachedForums以替代RaidForums黑客论坛，成为2022至2023年的顶级黑客论坛，2023年3月BreachedForumsFBIBreachedForums20232023BreachForums2022202320223RaidForumsRaidForums非常活跃的黑客Pompompurin决定用替代论坛BreachForums取代RaidForums黑客论坛。在成立的半年内，BreachForums2023320BreachForumsPompompurin（真名ConorBrianFitzpatrick）BaphometBachorums、xploit、Caced、NulledBachedorums使用门槛和宣传门槛较高，导致黑客们积极寻求新论坛扎根的现象更多。在这一现象的驱动下，不乏有想要成为新一代顶Bachedorums勒索软件已是全球数据泄露的头号威胁，2022年全球范围内遭到勒索软件团伙公开泄露数据的组织共2861家，其中TOP10的勒索软件依次为Lockbit、BlackCat（ALPHV）、BlackBasta、Conti、karakurt、Hive、ViceSociety、BianLian、Royal、Quantum。而2023年随着国际上监管对勒索软件团伙的打击，勒索软件团伙的活跃度不断变化，曾勒索团伙数据泄露数量趋势202311143702023123-52020202120222023年(01—11月自220年以数据泄露要挟受害者缴纳赎金的双重加密方式开始出现，此种攻击模式快速在全球蔓延开来。此种勒索手段为勒索团伙带来的经济上的保障，就算受害者不交付赎金，售卖获取的数据也能达到其经济目的。近三年，以数据泄露进行双重勒索的事件增长趋势逐年呈双倍递增。多重勒索软件团伙活跃排行对多重勒索软件团伙活跃情况统计如图3-5所示，2023年以数据泄露实行多重勒索的勒索软件团伙TOP10依次为Lockbit、BlackCat(ALPHV)、CL0P、PLAY、8BASE、Malaslock、BianLian、BlackBasta、Akira、Medusa。与2022年的活跃排名对比，Malaslock、CL0P、PLAY、8BASE、Medusa52023TOP10Malaslock、8BASE是2023年首次出现的新勒索软件团伙，首次出现并伴随着密集的攻击活动，跻身于多重勒索软件团TOP10多重勒索软件团伙活跃排行多重勒索软件团伙活跃排行 MalaslockBianLian 图3-62023年多重勒索软件团伙活跃排行针对我国的双重勒索组织和事件自双重勒索流行以来，我国几乎不受此勒索模式影响，呈现出境内和境外勒索态势的明显区别。境外勒索主要为定向勒索模式，由勒索团伙及其附属组织对目标组织发起持续定向的攻击。而境内主要以无差别攻击为主，通常为黑灰产团伙或者黑客广泛投放勒索软件，导致随机受害者中招。与往年不同的是，20231111多为工业、制造业和能源行业，从单位地区来看为江浙沪和广东经济发达一带。由此预测勒索组织驱动的双重勒索攻击可能逐步向大陆地区渗透，加大数据泄露事件发生几率。表3-12023Qilin2023112520230906TrigonaNoEscape202308318Baseransomhouse勒索组织20230517Play20230216Royal接口滥用问题一直是我国各行业数据泄露的最主要原因。在2023年观察到多起利用政务接口提供非法数据查询和数据爬API2023这些接口多为一些为内部人员提供查询服务的中间接口，而这些接口未设置权限管理并意外暴露于互联网中，被黑客扫描发现并利用。3-2份证号已经随意泛滥，而这些接口给不法分子提供了进一步敏感的图片凭证信息和细节信息，使得非法活动变得更加容易。值得一提的是，除了敏感数据的泄露，其中身份证和社保卡中的人脸照片在目前似乎是更为敏感的信息，其为不法分AI黑客论坛作为黑客活动和交流的主要根据地，黑客在攻击目标单位并窃取数据之后往往会将成果挂在黑客论坛中进行售然而，过于猖獗的黑客们在持续的非法活动中也引得各国监管的不满和打击，最初知名的黑客论坛aidorms相关运营2021Bachorums20233引发了大量黑客组织开始蠢蠢欲动争锋成为顶级论坛。在Bachorums关闭的这三个月以来，已经观察到名为Pwnedorums、xposed、akBase、Bachorums（新）等多个新论坛的出现。观察发现，论坛运营者往往通过公开泄露黑客们关注的数据来进行宣传和竞争，而其中涉及多次泄露我国历史数据合集的事件发生，其数量级均达到亿级，3-3在BreachForumsTelegram中大肆20230331著名俄罗斯黑客论坛的中泄露了中国6.3ybernews202304ARES传其运营的数据泄露论坛。这份合集包含了公安、医护人员以及与疫情相关的数据。202305241.98等数据。该黑客论坛运营者公开宣传其论坛为已关闭的Bachorums论坛的替代论坛，此举动吸引了大批黑客前往，而不久后，该论坛运营者称无力运营并意图转手该论坛，随即该论坛关闭。20230524Exposed论坛下线后，一个BreachForums同名新论坛出现。随615MySQL20230612 2023网络安全深度洞察及202420233该高校在数据处理活动中未建立全流程数据安全管理制度，未采取技术措施保障数据安全，也未履行数据安全保护义务。30038052023API接口滥用是导致我国各行业数据泄露的主要原因。在223年，多起利用政务接口提供非法数据查询和数据爬取的泄露事件引起了关注。这些接口向不法分子提供了更敏感的证件图片和细节信息，进一步便利了非法活动。特别值得注意的是，除了敏感数据的泄露，身份证和社保卡中的人脸照AI泄漏事件的发生。2023目前仍有单位未建立全流程的数据安全管理制度，未采取技术措施来保障数据安全，也未履行数据安全保护的义务。随着数据安全强监管时代的到来，数据泄露、未经授权的数据访问以及数据安全措施不力将面临严厉处罚。2023网络安全深度洞察及2024年趋势研2023网络安全深度洞察及2024年趋势研 （一）ChtGT2023们惊叹的能力，随即该项技术被快速应用于各企业中。然而在与人工智能进行交互的过程中敏感数据和隐私内容传输所带来的数据安全风险也成为了新技术场景下需要重点关注和治理的问题。目前多个国家已着手针对此问题进行研究并推出了多项政策进行治理。（二）政务、医疗、教育行业的数字化数据接口的利用既不需要获取系统最终权限，也不需要复杂的攻击绕过，只需要通过发现已存在的系统暴露接口，编写可利用程序即可调用该接口获取敏感数据。2023（三）随着数据的价值快速上涨，在黑灰产交易中逐渐成为了数据交易为主导的局面，黑客论坛之间的竞争导致数据泄露事件增加，历史已泄露数据再次遭到泄露。2023年已持续观测到多个新论坛中发布我国大量历史已泄露数据合集来吸引对我国关注的黑客，而该行为将持续加大数（四）自2020年以来，以数据泄露为要挟，要求受害者缴纳赎金的双重加密方式在全球迅速蔓延。近三年来，每年数据泄露双重勒索事件呈逐年双倍递增的趋势。2023年观测发现我国发生多起双重勒索事件，预示着勒索组织可能逐步向大陆地区 2023网络安全深度洞察及2024APT根据深信服千里目安全技术中心的检测结果显示，2023APT在南亚地区，APT组织包括CNC、BITTER（蔓灵花、Patchwork（白象、Conficius（摩罗桫、SideWinder（响尾蛇、Donot（肚脑虫）等，持续对中国、巴基斯坦及南亚周边国家进行长期窃密攻击。特别是在2023年，CNC、BITTER和Patchwork组织的活动尤为频繁，这些组织在很多方面存在信息交叉，可能有一定关联性。它们主要针对教东亚地区的主要APT组织是绿斑，地缘政治是其攻击的主要因素，主要进行定向钓鱼攻击，窃取军工、科研教育、航空航海等技术情报。另外，LazarusKimsuky东南亚地区主要由海莲花组织活跃，利用Nday漏洞攻击边界安全设备，然后针对科研教育机构展开攻击。东欧地区受俄乌战争影响，APTAPT2023年，深信服千里目安全技术中心监测到了大量疑似南亚地区APT组织的相关攻击活动，活跃组织包括CNC、BITTER（蔓灵花、Patchwork（白象、Conficius（摩罗桫、SideWinder（响尾蛇、Donot（肚脑虫）等，其中CNC、BITTER、Patchwork组织活动尤为频繁猖獗，这几个APT组织很多方面信息存在着交叉，包括但不限于基础设施、APT表4-1是2023年南亚高度活跃APT的组织基本信息。表4-12023年南亚活跃APTCNCCNC组织最早于2019年被发现，因其使用的远程控制木马的PDB路径信息中包含的"cnc_client"，该组织被命名为APTPatchwork（摩诃草、白象）存在一定关联。2023年，在攻击目标上，CNC频繁向境内科研院所、航空航天、教育行业发起攻击，其中包括某具有一流科学家和科技攻击手法上，CNC组织在初始打点阶段常使用高度定制的鱼叉式钓鱼攻击，在代码执行和持久化阶段也有诸如反自动化分在运行攻击者提供的程序后，下载后续阶段远控、反弹shell、浏览器窃密、文件窃密、U盘摆渡木马等恶意程序，最终表4-2CNC攻击动态（2APT20230810APT20230707CNC组织最新攻击动态分析，AI20230414CNCAPT202304122023网络安全深度洞察及2024年趋势研2023网络安全深度洞察及2024年趋势研 2023网络安全深度洞察及2024PatchworkNorman披露并命名为Hangover，在2015年的CymmetriaPatchwork，而在国内有“白象”的称呼。223年，白象组织活动大多集中在我国境内中部地区，攻击目标上，对多个涉及水利、航空等专业的高等院校发起鱼叉式钓鱼攻击。在针对某大型水利集团的攻击活动中，其窃取了单位内部相关信息和物料，然后再使用包括招聘信息、职场骚扰事件通报、年度专项项目申报在内的多个主题的钓鱼邮件，向高校内投递了大量钓鱼邮件。除此之外该组织还对某政府气象机关单位发起攻击，窃取了大量相关数据。攻击手法和工具上，白象常使用鱼叉攻击对目标进行打点攻击，在近期监控到的攻击活动中发现有大量针对中国的定制化BADNES表4-3Patchwork攻击动态（2摩诃草组织（APT-Q-36）借SpyderRemcos20231128APT20230707疑似摩诃草组织利用WarHawk后门变种Spyder20230704Patchwork20230524Patchwork202304202023网络安全深度洞察及2024年趋势研2023网络安全深度洞察及2024年趋势研 蔓灵花201620202020COVID-1920212023攻击手法上，自2021年以来，该组织的攻击手法一直都没有发生大的变化，其攻击活动基本依赖于社会工程学，通过鱼叉攻击投递恶意载荷或者进行凭证钓鱼（主要是邮箱），其针对国内的鱼叉攻击使用的邮箱账号多为窃取或购买的126、163邮箱，针对国外机构多使用窃取的政府邮箱或gmailchmchm文件、远程模板注入文档、lnkwinrarmsi2023DarkAent开源项目对远控组件进行二次修改开发和混淆，还发现该组织将开源项目“ilith20239WSWinAR表4-4攻击动态（220231121BitterCHM20230404APTBITTER202303242023202302092023网络安全深度洞察及20242023网络安全深度洞察及2024东亚地区以地缘政治为主要因素，以绿斑为活跃代表保持长期对我国的定向钓鱼，持续对我国军工、教育科研、航空航海等技术情报进行窃取，其手法常年保持钓鱼网页和邮件攻击。LaarusKimsuky击倾向较弱，其攻击目标重点在于美国、日本、韩国等地。表4-52023年南亚活跃APTLazarusLazarusAPT在披露的攻击活动中，Lazarus组织在漏洞积累以及利用方面一直展现出较为先进的研究能力，曾利用chrome远程代码执行漏洞“CVE-2022-0609”对多国的新闻媒体、IT基础设施服务商进行攻击。在2023年的攻击活动中发现除了先前被INISAFECrossWebEXMagicLine4NXVestCertTCO!Stream0dayBYOVD除此之外，该组织近年来紧盯供应商，多次利用供应链攻击进行活动，2021LazarusAPTVS0day20234月，Mandiant将3CX双重供应链攻击活动归因为UNC4736组织并认为该组织与北韩有联系，该组织隶属于Lazarus。20237，GitHubLazarusnpmGitHub络安全行业的开发人员。20231020，Lazarus1002023年上半年预测Lazarus2023Lazarus表4-6Lazarus攻击动态（2疑似Lazarus（APT-Q-1）涉及npm20231208Lazarus20231122LazarusSIGNBT20231027LazarusTeamCity20231018LazarusVolgmerScout20231004Lazarus组织持续开展VMConnect20230831LazarusManageEngine20230824Lazarus20230824LazarusnpmGitHub202307183CXLinux20230424KimsukyKimsukyATMyeryBay、BayCoin、SmoeSceenBaySahrk据分2012onni202210KimsukyAndroidRATAndrospyAndroid20235KimsukyReconShark接的ReconShark恶意软件，以感染目标主机。此外，攻击者还使用了两种隐蔽的恶意载荷部署方式，包括编辑与ChromeOutlookFirefoxEdgeWindows（LNK）MicrosoftOfficeNormal.dotmC2MicrosoftWord表4-7Kimsuky攻击动态（2Kimsuky20231121Kimsuky组织使用RDP20231016Kimsuky20230731KimsukyRandomQuery20230523Kimsuky20230504KimsukyADS20230329Kimsuky组织正利用OneNote20230317绿斑AT（东海、测绘（两岸关系、中美关系，惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间oisoVine、A-Q-20、A--01、绿斑、GeenSpt、白海豚、毒云藤。绿斑在初始攻击环节主要采用鱼叉式钓鱼邮件攻击，在进行攻击之前，其会对目标进行深入调研，开展信息搜集。通过分（26、63邮箱、政府机构网站、军工网站、高等院校等网站等进行大规模钓鱼，以此获取定向群体的精确情报。202320222023海莲花chm、iso（img）及lnkcobaltstrikecobaltstrike在2023年发现该组织与APT29的攻击特征存在重叠，疑似模仿APT29开展攻击，重点利用我国边界安全设备的NdayWindows表4-8攻击动态（2APT20231026APT202309142023年，东欧地区的APT攻击持续受俄乌战争影响，体现出高强度的攻击态势。以APT29和Gamaredon为代表的老牌表4-92023年东欧活跃APTWarSunflower（战争葵花20223WarSunflower（战争葵花）以代表其产生来源于俄乌战争。223取邮箱凭证外，该组织还投递多种木马对目标进行攻击（主要投递的载荷为vhdx文件，并且vhdx里包含后门组件或LNK文件下载器及诱饵文件等。攻击目的上，该组织可基本确定诞生于俄乌战争期间，地缘政治以及战争是催生网络间CIS该组织擅长对开源项目进行改造利用，并未发现技术能力较高的自研组件，且其主要打点方式为鱼叉攻击，暂时未发现较高水平的打点方式，可初步判定该组织的技术水平属于中低水平组织。通过分析其攻击目标地域、行业信息以及活跃时区UC+2UC+4表4-10WarSunflower攻击动态（2WarSunflower（战争葵花）组织针对CIS2023