《深信服：2023网络安全深度洞察及2024年趋势研判（86页）.pdf》由会员分享，可在线阅读，更多相关《深信服：2023网络安全深度洞察及2024年趋势研判（86页）.pdf（86页珍藏版）》请在三个皮匠报告上搜索。

1、2023网络安全深度洞察及2024年趋势研判DEEP INSIGHT INTO NETWORK SECURITY IN 2023AND TREND ANALYSIS IN 2024引言2023 年，生成式人工智能和各种大模型迅速应用在网络攻击与对抗中，带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实现攻击效果加成，在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞，对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现，个人信息泄露成为了关注的焦点；同时，境外网络攻击势力不断刺探，APT 攻击技术不断更新。2023 年网络安全呈现出哪些演变趋势？本报告将重点围绕安全漏洞、恶意软件

2、、数据安全和 APT 攻击四个领域展开观察，并对 2024 年网络安全需重点关注的方向进行深入思考。摘要0day 漏洞利用平均发现天数逐年缩短01漏洞利用链组合攻击在 APT 攻击中广泛流行022023 年国内外活跃恶意软件组织有较大差异03勒索团伙采取多种新型方式提高赎金缴纳率04银狐远控木马在国内横行肆虐，Qakbot 僵尸网络影响遍布全球05人工智能技术安全风险成为全球关注热点06数据泄露已成为影响数据安全的主要事件07海莲花、蔓灵花、摩柯草为代表的东南亚和南亚地区 APT 组织对我国表现出高度活跃的攻击态势08BYOVD 攻击技术得到快速普及、使用门槛降低09供应链攻击成为 APT 组

3、织获取初始权限的流行方式10目录引言摘要一、安全漏洞态势安全漏洞治理情况国外安全漏洞治理动向我国安全漏洞治理动向安全漏洞总体情况漏洞公开披露情况漏洞利用情况0day漏洞利用发现情况关键被利用0day漏洞盘点关键漏洞分析WindowsWebLogicChromeF5 BIG-IP安全漏洞态势小结二、恶意软件态势恶意软件治理情况国外恶意软件治理动向国内恶意软件治理动向恶意软件攻击总体情况恶意软件攻击情况恶意软件类型分布恶意软件攻击行业分布恶意软件攻击地区分布恶意软件活跃组织01010102030305070809091317192122222223242425252627恶意软件活跃组织分析勒索软

4、件活跃团伙远控木马活跃组织僵尸网络活跃团伙挖矿病毒活跃团伙恶意软件典型攻击事件某国有银行美国子公司遭Lockbit3.0勒索软件攻击国内某综合安防管理平台勒索事件银狐集合体大肆对国内开展恶意网络攻击恶意软件态势小结三、数据安全态势数据安全治理情况国外数据安全治理动向我国数据安全治理动向数据泄露总体情况重要数据泄露事件情况非法交易情报中数据泄露情况勒索团伙数据泄露情况我国重点数据泄露事件分析接口滥用导致政务敏感数据泄露事件多个黑客论坛泄露我国数据合集事件某高校因3万余条师生个人信息数据泄露被罚款80万元重点数据泄露事件分析小结数据安全态势小结282832353740404041424343434

5、446464850525253545455目录四、APT攻击态势APT攻击活动态势APT组织攻击总体态势南亚活跃APT组织态势东亚活跃APT组织态势东南亚活跃APT组织态势东欧活跃APT组织态势APT攻击流行技术趋势软件供应链攻击获取APT攻击初始权限开源组件二次开发以降低APT攻击成本BYOVD滥用过时驱动以对抗杀软网络钓鱼战术升级加大迷惑性典型APT攻击事件某高校高新行业实验室被高精准社工鱼叉攻击蔓灵花利用开源远控组件攻击某政府机关单位UNC4736组织利用双重供应链攻击3CX公司美国情报机构针对iOS设备的移动端APT活动蔓灵花组织利用国产办公软件WPS开展钓鱼攻击APT攻击态势小结五、

6、2024年重点关注趋势六、参考链接附录 APT组织攻击动态报告信息56565657606263656566666768686869697070717376安全漏洞态势安全漏洞治理情况当今世界正处于百年未有之大变局，网络空间日益成为全球治理的重要领域，深刻影响着各国政治、经济和社会等各个方面。安全漏洞是网络空间系统建设中不可避免的问题，也是全球网络安全事件的主要原因。从重要系统中的“零日漏洞”到网络上的历史漏洞，都是数字化发展中的薄弱环节。一旦被恶意主体利用攻击，就会对信息系统安全造成损害，进而对国家、社会和公众造成重大损失。纵观国际，美国在漏洞治理领域具有先发优势。经过多年发展，已建立了完善的

7、漏洞治理体系。其中，美国国土安全部（DHS）及其下属的网络安全和基础设施安全局（CISA）在漏洞的发现、收集、验证、评估、修复、披露和跟踪等方面发挥了关键的统筹协调作用。因此，以 CISA 为例研究美国漏洞治理体系的历史沿革、主要内容和实施效果，对于加强我国漏洞治理政策具有一定的借鉴意义。（一）美国通过制定政策提升漏洞共享能力，强化国家级网络安全综合治理能力。观察美国网络安全战略，“协调”和“共享”一直是其网络安全战略的主旋律，2021 年 5 月拜登政府签署改善国家网络安全的行政命令，明确提出消除政府和私营部门之间威胁信息共享的障碍。CISA 将统筹漏洞治理作为重要任务，通过协同漏洞披露（C

8、VD）、漏洞披露策略（VDP）、相关约束性操作指令（BOD）等措施加强了联邦政府和私营部门的协调和合作，实现了对关键基础设施漏洞威胁的及时发现和消控，加强了漏洞管控统筹协调，提升了漏洞资源共享共治水平，强化了美国国家级网络安全漏洞综合治理能力。国外安全漏洞治理动向012023网络安全深度洞察及2024年趋势研判（二）CISA 新战略计划降低关键信息基础设施风险，增强国家级威胁防御能力。2022 年 9 月，CISA 发布“2023-2025 年战略计划”，本计划是 CISA 自 2018 年成立以来第一个全面的战略计划。计划指出国家努力的重点是确定哪些系统和资产对国家真正至关重要，发现关键信息

9、基础设施的脆弱性，并采取行动管理来降低其风险。计划的首要目标就是建立国家级防御网络攻击并从中恢复的能力，CISA 作为美国的网络防御机构，将与全球建立全面战略伙伴关系，共建国家级威胁防御能力。（三）CISA 颁布指令加强漏洞修复，降低被利用风险。2021 年 11 月，CISA 颁布约束性操作指令(BOD)22-01，降低已知利用漏洞的重大风险，要求所有联邦民事行政部门(FCEB)机构都必须在规定的时间内修复已知被利用漏洞（KEV）目录中的漏洞。CISA 强烈建议所有利益相关者将已知被 利用漏洞（KEV）目录的漏洞纳入其漏洞管理计划的一部分，通过优先修复目录中列出的漏洞来增强其安全性和恢复能力

10、。（一）我国漏洞政策出台旨在维护国家网络安全和保障网络产品稳定运行。根据网络安全法关于漏洞管理有关要求，工业和信息化部、国家互联网信息办公室、公安部联合制定网络产品安全漏洞管理规定，主要目的是维护国家网络安全，保护网络产品和重要网络系统的安全稳定运行，规范漏洞发现、报告、修补和发布等行为，明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务；鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。（二）我国持续推进网络产品安全漏洞管理规定落实工作，从政策宣贯、机制完善、平台建设多方面抓好落实。一是加强了政策宣贯，做好对相关企业机构的

11、政策咨询和工作指导，引导漏洞收集平台依法依规开展漏洞收集和发布。二是完善了相关工作机制，建立健全漏洞评估、发布、通报等重要环节的工作机制，明确了漏洞收集平台备案方式和报送内容。三是加强了工业和信息化部网络安全威胁和漏洞信息共享平台建设，做好与其他漏洞平台、漏洞库的信息共享，提升平台技术支撑能力。（三）我国安全建设持续加码，相关政策法规的出台推动了国产漏洞管理工作制度化、规范化、法治化。随着我国国产升级持续加码，安全问题也随之全方位凸显。我国相继出台网络安全法、网络产品安全漏洞管理规定等法律法规，以及正在编写的相关国产升级漏洞国家标准，持续推动国产升级漏洞管理工作的制度化、规范化、法治化，进一步

12、提高相关主体漏洞的管理水平，为国家的数字化建设筑牢安全基底。我国安全漏洞治理动向022023网络安全深度洞察及2024年趋势研判安全漏洞总体情况漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势。截止 2023 年 11 月 30 日，国家信息安全漏洞库（CNNVD）共收录 2023 年漏洞信息 25748 条，近 10 年漏洞收录情况如图 1-1 所示，可以看出，漏洞收录数量逐年增长，超危漏洞占比整体呈上升趋势，超危漏洞占比峰值为 2022 年（占比 16.7%），按照历年收录漏洞数量及超危漏洞占比趋势推测，预计明年漏洞收录数量和超危漏洞占比将进一步增长。漏洞公开披露情况近十年漏洞收录情况根据

13、国家信息安全漏洞共享平台（CNVD）统计数据显示，截至 2023 年 11 月 30 日，近 5 年来漏洞影响对象占比情况如图 1-2 所示。Web 应用漏洞占比逐年上升，而应用程序漏洞占比逐年下降。网络设备漏洞占比呈小幅上升趋势，操作系统漏洞占比呈小幅下降趋势。Web 应用漏洞主要是由于缺乏安全意识、不当的输入验证、不正确的访问控制、不安全的编码等因素产生。随着互联网的飞速发展和 Web 应用程序的广泛使用，Web 应用漏洞占比逐年上升。应用程序漏洞主要是由于应用程序结构复杂、新技术不断涌现以及编码问题等因素产生。近年来，互联网的快速发展和Web 应用程序的广泛应用，导致应用程序漏洞占比逐年

14、下降。漏洞影响对象情况图1-1 CNNVD近十年漏洞收录情况CNNVD近十年漏洞收录情况30000250002000015000100005000018.0%16.0%14.0%12.0%10.0%2.0%4.0%6.0%8.0%0.0%2014年2015年2016年2017年2018年2019年2020年2021年2022年2023年82208.6%总数超危占比77359.1%862212.5%1467115.2%1630714.3%1783314.3%1904813.8%2082713.1%2492116.7%2574815.4%032023网络安全深度洞察及2024年趋势研判根据国家信息

15、安全漏洞共享平台（CNVD）统计数据显示，2023 年 1 月至 11 月，网络攻击主要趋向于破坏性攻击。其中，由漏洞引发的最主要威胁是未授权信息泄露，可能导致个人隐私被侵犯、财务损失、商业信誉受损甚至法律诉讼。未授权信息泄露也为黑客攻击提供了前置条件，泄露的敏感信息如秘钥、token 等可被恶意攻击者利用，访问受保护的资源或执行未经授权的操作。其次是管理员访问权限获取，一旦获得管理员权限，攻击者便能完全控制系统，访问敏感数据、更改系统设置、甚至进行其他恶意活动。黑客攻击手段通常可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击旨在扰乱系统运行，而破坏性攻击则以入侵系统、盗取机密信息、破坏数据为

16、目的。我国网络攻击以破坏性攻击为主，可能导致系统崩溃、数据丢失、服务中断等严重后果，对受害者造成极大损失。CNVD近5年漏洞影响对象类型占比情况图1-2 CNVD近5年漏洞影响对象类型占比情况操作系统智能设备应用程序Web应用安全产品数据库网络设备50.0%40.0%30.0%20.0%60.0%10.0%0.0%2019年2020年2021年2022年2023年2023年漏洞引发威胁情况图1-3 2023年漏洞引发威胁情况管理员访问权限获取未授权信息泄露普通用户访问权限获取其他未知拒绝服务未授权信息修改管理员访问权限获取 27.3%未知0.1%其他0.3%拒绝服务11.0%未授权信息修改 6

17、.8%普通用户访问权限获取 0.1%未授权信息泄露54.4%漏洞引发威胁情况042023网络安全深度洞察及2024年趋势研判近 10 年来，已知被利用漏洞（KEV）目录持续更新，目前包含超过 1000 个已知被利用漏洞。该目录的收录标准包括漏洞已分配 CVE 编号、有可靠证据表明该漏洞在真实攻击中已被积极利用、漏洞已有明确的补救措施。针对已知被利用漏洞（KEV）的分析显示，近 10 年真实漏洞利用数量总体呈现先上升后下降的趋势。2021 年漏洞利用总数和被勒索软件利用数量分别达到了 118 个和 54 个的峰值。2021 年以前，漏洞利用总数呈上升趋势，但在 2021 年后开始下降。CISA

18、将漏洞治理作为重要任务，并通过协同漏洞披露、漏洞披露策略、相关约束性操作指令等措施取得了初步成效。特别值得注意的是，2021 年后被勒索软件利用漏洞的数量也呈下降趋势，这与西方国家开展的打击勒索软件活动密切相关。许多勒索软件事件是攻击者利用已知漏洞实施的，因此漏洞治理的成功对于减少勒索软件攻击具有重要意义。漏洞利用情况近十年漏洞利用情况KEV目录近十年漏洞利用情况图1-4 KEV目录近十年漏洞利用情况CVE总数被勒索软件利用数量CVE-2014CVE-2015CVE-2016CVE-2017CVE-2018CVE-2019CVE-2020CVE-2021CVE-2022CVE-20230432

19、55780188131108341311318854115251091528052023网络安全深度洞察及2024年趋势研判根据已知被利用漏洞（KEV）目录进行统计分析，已知被利用漏洞厂商分布与厂商漏洞增长情况如图 1-5 所示，厂商漏洞排名靠前的有 Microsoft（275 个）、Cisco（68 个）和 Apple（68 个）。对比 2022 年数据，各厂商已知被利用漏洞增长情况如折线所示，增速较高的是 Apache、Apple、Google、Oracle 等厂商，按照增长率推算，预计明年 Apache、Apple、Google、Oracle 等厂商的已知被利用漏洞数量将增长明显。图 1

20、-6 为已知被利用漏洞产品分布情况，Windows 操作系统是受影响最严重的产品，占比 10.4%。Windows 操作系统是目前应用最广泛的操作系统之一，其用户遍布全球。根据深信服千里目安全技术中心数据显示，Windows 全球公网资产超过 1.2 亿，中国公网资产超过 2200 万，其影响之大可见一斑。建议国内用户重点针对 Windows 操作系统进行漏洞评估，及时修补漏洞，以保障系统的安全性。排名第二的产品是 Internet Explorer，占比 3.0%，漏洞类型主要以远程代码执行和内存损坏为主。浏览器漏洞的危害性是非常大的，黑客可以利用漏洞来执行恶意代码、窃取用户敏感信息等。利用

21、钓鱼链接触发浏览器漏洞获取权限是 APT 组织和黑灰产团伙常见攻击手段之一，这种攻击手法隐蔽性更高，用户往往难以察觉攻击的存在，而且攻击者可以通过不断改变攻击方式和手段来规避安全防护措施。被利用漏洞主要厂商及产品情况被利用漏洞主要厂商漏洞分布与增长情况图1-5 已知被利用漏洞厂商漏洞分布与漏洞增长情况漏洞数量增长率250503330200150100300500MicrosoftCiscoAdobeAppleGoogleOracleApache25.0%20.0%15.0%10.0%5.0%0.0%11.3%11.5%10.2%18.8%17.9%19.0%20.0%275656868KEV目

22、录被利用漏洞产品分布情况图1-6 已知被利用漏洞产品分布情况Internet ExplorerFlash PlayerOfficeIOS and IOS XE SoftwareExchange ServerWin32KChromium V8 EngineWindows其他KernelWindows 10.4%其他 72.7%Internet Explorer 3%Flash Player 2.8%Chromium V8 Engine 2.4%Office 2.3%Win32K 2.4%Exchange Server 1.3%IOS and IOS XE Software 1.3%Kernel

23、1.3%062023网络安全深度洞察及2024年趋势研判0day 漏洞利用平均发现天数逐年缩短。根据谷歌团队跟踪的 0day 被利用漏洞情况进行分析，近 10 年 0day 漏洞利用发现情况如下图所示，可以看出，0day 漏洞利用平均发现天数整体呈现下降趋势，2023 年 0day 漏洞利用平均发现天数已经缩短为 2014 年的五分之一，说明被利用 0day 漏洞数量在逐年上升。2021 年 0day 漏洞利用平均发现天数最小，平均而言，每 5.3 天就会发现一个新的被利用 0day 漏洞，但实际上，这些漏洞通常聚集在同一天发现的漏洞链中。被利用 0day 漏洞数量之所以攀升如此明显，最主要原

24、因是黑客利用 0day 漏洞进行攻击能够更高概率的躲避现有安全体系的防御措施，提高攻击成功率。0day漏洞利用发现情况0day在野利用漏洞平均发现天数（单位：天）图1-7 漏洞利用发现情况352530201510502014年2015年2016年2017年2018年2019年2020年2021年2022年2023年33.213.014.616.630.418.314.65.39.15.9系列1072023网络安全深度洞察及2024年趋势研判关键被利用0day漏洞盘点表1-1 2023年关键0day漏洞利用盘点Microsoft Outlook 特权提升漏洞（CVE-2023-23397）Win

25、dows CLFS 驱动程序权限提升漏洞（CVE-2023-28252）Zimbra Collaboration Suite 跨站脚本漏洞(CVE-2023-37580)MOVEit Transfer HTTP SQL注入漏洞（CVE-2023-34362）Windows Search远程代码执行漏洞（CVE-2023-36884）WinRAR 代码执行漏洞（CVE-2023-38831）Adobe Acrobat PDF Reader远程代码执行漏洞（CVE-2023-26369）Atlassian Confluence Data Center and Server权限提升漏洞（CVE-20

26、23-22515）Apache ActiveMQ远程代码执行漏洞（CVE-2023-46604）Google Chrome整数溢出漏洞(CVE-2023-6345)0day在野利用漏洞名称漏洞类型危害级别利用场景发现时间权限提升超危APT3月权限提升高危勒索4月跨站脚本中危APT6月SQL注入超危勒索6月代码执行高危APT、勒索7月代码执行高危APT7月代码执行高危APT9月权限提升超危APT、勒索10月代码执行超危勒索、挖矿10月整数溢出超危APT11月082023网络安全深度洞察及2024年趋势研判关键漏洞分析Microsoft Windows，是微软以图形用户界面为主推出的一系列专有商业

27、软件操作系统。它于 1985 年问世，起初为运行于 MS-DOS 之下的桌面环境，其后续版本逐渐发展成为主要为个人电脑和服务器用户设计的操作系统，Windows 以超过90%的市场份额占领了全球个人计算机市场，并最终获得了世界个人电脑操作系统的垄断地位。Windows产品介绍根据深信服千里目安全技术中心数据显示，Windows 操作系统流行版本全网使用量分布情况如图 1-8 所示，从服务器操作系统在中国大陆使用量来看，Windows Server 各个版本使用量主要分布在北京市、广东省和浙江省，其次使用量较高的是上海市和山东省。Windows 服务器操作系统在中国大陆公网的资产超过 880 万

28、，其中资产数量最多的版本是Windows Server 2012，超过 480 万。桌面操作系统 Windows 中国大陆使用量主要分布在北京市、广东省和浙江省，其次是上海市和江苏省。12 月，Windows 主流桌面系统各个版本中国公网资产超过 660 万，对比 6 月公网资产减少 53 万，12 月对比 6 月 Windows 主流桌面系统中国大陆占比全球整体呈下降趋势，而数据显示 Windows 全球公网资产呈上升趋势，可能是 Windows 桌面操作系统的中国大陆市场份额被其他桌面操作系统瓜分，不过 Windows 桌面操作系统目前依然是市场主流操作系统。虽然 Windows 7 和

29、Windows 10 已经发布了很长时间，但它们仍然是当前最流行的桌面操作系统。根据表 1-2，对 2023 年 Windows 关键漏洞进行盘点，几乎每个关键漏洞都影响了 Windows 操作系统各个流行版本，并且多个漏洞已被发现真实利用情况，数据显示，Windows 系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪 0day 漏洞利用名单的榜首，是漏洞利用数量最多的产品。Windows 操作系统漏洞对我国的潜在安全影响是非常严重的，由于Windows 操作系统在我国的计算机市场占有率较高，其漏洞可能会影响大量的计算机和用户。这些漏洞可能会导致计算机系统被黑客攻击，造成数据泄露、系统瘫痪、网

30、络瘫痪等问题，给我国的经济和社会带来严重的损失。影响分布092023网络安全深度洞察及2024年趋势研判图1-8 Windows主流操作系统分布情况表1-2 2023年Windows操作系统关键漏洞盘点Windows Server2012Windows Server2016Windows Server2019Windows Server2022Windows 7Windows 10Windows 11北京广东上海浙江山东12月大陆占比全球6月大陆占比全球050，000100,000150,000200,000250,000300,000350,000400,000450，00005%10%15

31、%20%25%30%35%40%45%涉及漏洞WindowsALPCCVE-2023-21674CVE-2023-29336CVE-2023-21823WindowsWin32KWindowsGraphics产品严重等级CVE编号利用情况重要受影响的软件Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Windows 8.1Windows 10Server 2016Server 2012 R2Server 2012Windows 11 22H2Window

32、s 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Server 2012Office UniversalOffice Android真实利用真实利用真实利用远程代码执行漏洞影响特权提升重要特权提升重要102023网络安全深度洞察及2024年趋势研判CVE-2023-32046WindowsMSHTML平台CVE-2023-23376CVE-2023-28252WindowsCLFSWindowsErrorReportingServiceWindowsDWMCoreLibrary产品严重等级CVE编

33、号受影响的软件利用情况Server 2022Server 2019Server 2012Server 2008Server 2016Windows 10Windows 11Server 2012Server 2008Server 2016Server 2022Server 2019Windows 10Windows 11Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019Windows 10Server 2016Server 2012 R2Server 2012Windows 11 Windows 10Windows Serv

34、er 2008 Windows Server 2012 R2Windows Server 2012Windows Server 2016Windows Server 2022Server 2022Server 2019Server 2012Server 2008Server 2016Server 2012 R2Windows 10Windows 11Server 2019Server 2022Windows 11Windows 10Windows 11Windows 10Server 2022Server 2019真实利用真实利用真实利用真实利用真实利用真实利用真实利用CVE-2023-368

35、74CVE-2023-36802CVE-2023-36033CVE-2023-36036漏洞影响特权提升重要特权提升重要权限提升重要特权提升重要特权提升重要特权提升重要特权提升重要112023网络安全深度洞察及2024年趋势研判Windows 系统漏洞是已知被利用漏洞（KEV）目录和谷歌跟踪 0day 漏洞利用名单的榜首。根据已知被利用漏洞（KEV）目录和谷歌跟踪 0day 漏洞利用名单，2023 年被利用漏洞数量最多的产品是 Windows，截止 11 月 30 日，已知被利用漏洞（KEV）目录收录“CVE-2023”Windows 漏洞 18 个，谷歌跟踪 0day 漏洞利用名单收录“CV

36、E-2023”Windows 漏洞 12 个。由于 Windows 操作系统在我国的计算机市场占有率较高，其漏洞影响非常之大。Windows 操作系统 2023 年漏洞类型主要以特权提升和代码执行为主，且多个重要漏洞几乎影响全版本。2023 年已发现的被利用漏洞多以特权提升为主，在真实攻击中，恶意攻击者利用漏洞进行权限提升是非常普遍的，往往需要通过漏洞去执行恶意代码或者访问受限资源，从而控制系统或者获取更多的敏感信息。12 月相较 6 月，Windows 全球公网资产增多，而中国大陆公网资产占比下降。这可能是因为 Windows 操作系统中国大陆市场份额被其他操作系统瓜分，不过 Windows

37、 桌面操作系统目前依然是市场主流操作系统。在列出的关键漏洞中已被利用的漏洞并非是等级为“严重”的，说明实际漏洞利用情况与 CVSS 评估情况存在一定差异。在评估漏洞时，需要考虑到实际环境中的因素，以确定漏洞的真实威胁程度。Windows 11 和 Windows Server 2022 是近一两年发布的，目前相较 Windows 其他版本市场占有率偏低，并且新系统在发布之初相对来说还不够成熟，出现安全问题几率相对较大，预计未来两年新发布操作系统的漏洞将进一步增多。Windows小结CVE-2023-24880WindowsSmartScreenCVE-2023-32049WindowsOLEW

38、indowsDHCPWindowsKernel产品严重等级CVE编号受影响的软件利用情况Windows 10 Version 21H2Windows 11 version 21H2Windows 10 Version 20H2Windows Server 2022Windows Server 2019Windows 10 Version 1809Windows Server 2016Windows 10 Version 1607Windows 10 Version 22H2Windows 11 22H2Windows 11 version 21H2Server 2022Server 2019W

39、indows 10Server 2016Server 2012 R2Server 2012Windows 10Windows 11Windows Server 2019 Windows Server 2022真实利用真实利用易被利用易被利用易被利用CVE-2023-29325严重CVE-2023-28231CVE-2023-24949重要重要重要Server 2022Server 2019Server 2016Windows 10Windows 11Server 2022Server 2019Server 2016Server 2012 R2Server 2012安全功能绕过重要安全功能绕过漏

40、洞影响远程代码执行远程代码执行特权提升122023网络安全深度洞察及2024年趋势研判WebLogic 是美国 Oracle 公司出品的一个 application server，WebLogic 是一种 Java EE 应用服务器，确切的说是一个基于 JAVAEE 架构的中间件。它提供了一个环境来开发、部署和管理 Java 应用程序，支持 Java EE 规范，如 Servlet、JSP、EJB、JMS、JDBC 等。WebLogic 还提供了高可用性、可伸缩性和安全性等特性，使其成为企业级应用程序的首选平台之一。WebLogic 还提供了一些管理工具，如 WebLogic Server 控

41、制台和 WebLogic Scripting Tool，以便管理员可以轻松地管理和监控 WebLogic 服务器。WebLogic产品介绍根据深信服千里目安全技术中心数据显示，WebLogic 中国大陆公网使用量分布情况如图 1-9 所示，排名靠前的区域有北京市（10611）和浙江省（9656），其次是广东省（6955）和上海市（5065）。12 月中国大陆公网资产超过 5 万，对比 6月中国大陆公网使用量增长超过 7000，各区域 WebLogic 资产也均呈增长趋势。由于 WebLogic 部署在内网居多，其实际使用量远超公网测绘资产量。图1-9 WebLogic中国大陆使用量分布情况We

42、bLogic组件中国大陆使用量分布情况12月资产数量6月资产数量12，00010，0008，0006，0004，0002，0000北京10，6119，673浙江9,6568,692广东69555,304上海5,0654,993山东2，2922,055四川1,4211,144湖南1,186445宁夏774166福建439393江苏27122812月资产数量6月资产数量影响分布132023网络安全深度洞察及2024年趋势研判表1-3 2023年WebLogic关键漏洞盘点CVE-2023-21839CVE-2023-22069漏洞介绍CVE编号严重等级受影响软件版本WebLogic Server1

43、2.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要严重WebLogic Server 远程代码执行漏洞未经身份验证的远程攻击者通过 T3/IIOP 协议网络访问并破坏易受攻击的 WebLogic 服务器，成功利用此漏洞可能导致 Oracle WebLogic 服务器被接管或敏感信息泄露。WebLogic Server 远程代码执行漏洞未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 O

44、racle WebLogic Server。成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。CVE-2023-22072Oracle WebLogicServer 12.2.1.3.0严重WebLogic Server 远程代码执行漏洞未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。CVE-2023-22089Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1

45、.1.0.0严重WebLogic Server 远程代码执行漏洞未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。成功利用此漏洞可能会导致 Oracle WebLogic Server 被接管。CVE-2023-21838WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0重要WebLogic Server 拒绝服务漏洞未经身份验证的攻击者通过 T3、IIOP 进行网络访问，从而危及 Oracle WebLogic Server。成功攻击此

46、漏洞可能导致未经授权的 Oracle WebLogic Server 挂起或频繁重复崩溃（完全 DOS）。CVE-2023-21964WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0重要WebLogic Server 拒绝服务漏洞未经身份验证的远程攻击者通过 T3 进行网络访问，从而危害 Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃，造成拒绝服务攻击。CVE-2023-21996WebLogic Serve

47、r12.2.1.3.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要WebLogic Server 拒绝服务漏洞未经身份验证的远程攻击者通过HTTP进行网络访问，从而危害 Oracle WebLogic Server。成功利用此漏洞会导致 Oracle WebLogic Server 挂起或频繁重复崩溃，造成拒绝服务攻击。涉及漏洞披露时间1月10月10月10月4月4月1月142023网络安全深度洞察及2024年趋势研判CVE-2023-21931CVE-2023-21979漏洞介绍CVE编号严重等级受影响软件

48、版本WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server12.2.1.3.0Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0重要WebLogic Server 信息泄露漏洞未经身份验证的远程攻击者通过 T3 进行网络访问，从而危害 Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server 可访问数据

49、的完全访问。WebLogic Server 信息泄露漏洞未经身份验证的远程攻击者通过 T3 进行网络访问，从而危害 Oracle WebLogic Server。此漏洞的成功攻击可能导致对关键数据的未经授权的访问或对所有Oracle WebLogic Server 可访问数据的完全访问。CVE-2023-21842WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server 信息泄露漏洞未经身份验证的攻击者通过 HTTP 进行网络访问，从而危及 Oracle WebLogic

50、 Server。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。CVE-2023-21837WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Server 信息泄露漏洞未经身份验证的攻击者通过 IIOP 进行网络访问，从而危及 Oracle WebLogic Server。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。CVE-20

51、23-22040Oracle WebLogicServer 12.2.1.4.0Oracle WebLogicServer 14.1.1.0.0WebLogic Server 安全特性绕过漏洞具有高权限的远程攻击者可通过多种协议来利用此漏洞，成功利用此漏洞的攻击可能导致对关键数据或所有可访问的 Oracle WebLogic Server 数据的创建、删除或修改，同时可能利用此漏洞造成拒绝服务。CVE-2023-21841WebLogic Server12.2.1.3.0WebLogic Server12.2.1.4.0WebLogic Server14.1.1.0.0WebLogic Ser

52、ver 信息泄露漏洞未经身份验证的攻击者通过 T3、IIOP 进行网络访问，从而危及 Oracle WebLogic Server。成功攻击此漏洞可能导致对关键数据的未授权访问或对所有 Oracle WebLogic Server 可访问数据的完全访问。披露时间4月重要4月重要1月重要1月重要1月重要7月152023网络安全深度洞察及2024年趋势研判2023 年 WebLogic 漏洞多为 WebLogic Server 内核问题。从 2023 年 Oracle 官网发布补丁情况来看，2023 年 WebLogic漏洞类型多以拒绝服务、信息泄露和远程代码执行为主。其中，上半年漏洞类型多为信息

53、泄露和远程代码执行，下半年漏洞多为远程代码执行。对比 2022 年来看，2022 年下半年 WebLogic 漏洞多为第三方组件引入问题，2023 年漏洞多为WebLogic Server 内核问题。各区域 WebLogic 公网资产呈增长趋势。排名靠前的区域有北京市（10611）和浙江省（9656），其次是广东省（6955）和上海市（5065）。12 月中国大陆公网资产超过 5 万，对比 6 月中国大陆公网使用量增长超过 7000。WebLogic Server 内核漏洞可能会导致攻击者远程执行任意代码、绕过安全限制、泄露敏感信息等安全问题。CVE-2023-21839 是 2023 年的一

54、个典型 WebLogic Server 内核漏洞，未经身份验证的远程攻击者通过 T3/IIOP 协议网络访问并破坏易受攻击的 WebLogic 服务器，成功利用此漏洞可能导致 Oracle WebLogic 服务器被接管或敏感信息泄露。WebLogic 已经稳定运行了多年，是较为成熟的产品，根据近两年 Oracle 发布漏洞数据来看，预计明年漏洞类型不会有明显变化，或将在内核方面出现更多漏洞。WebLogic小结162023网络安全深度洞察及2024年趋势研判Chrome 是由 Google 开发的一款设计简单、高效的 Web 浏览工具，特点是简洁、快速。它支持多种操作系统，包括Windows

55、、MacOS、Linux 和 Android 等。Chrome 的特点包括快速的页面加载速度、简洁的用户界面、强大的扩展功能和安全性能。Chrome 还支持多个标签页，可以同时浏览多个网页，并且可以通过 Google 账户同步书签、历史记录和其他设置。Chrome 也支持多种语言，包括中文。此外，Chrome 基于更强大的 JavaScriptV8 引擎，提升浏览器的处理速度。Chrome产品介绍根据深信服千里目安全技术中心数据，Chrome 浏览器中国大陆公网使用量分布情况如图 1-10 所示，公网资产超过 100万的区域有浙江省、北京市、广东省、上海市和山东省，多为互联网发达地区。中国大陆

56、公网资产超过 6000 万，占全球比例 8.1%，对比 6 月全球比例下降 0.4%，中国大陆各省份资产相较 6 月整体呈增长趋势。StatCounter 的 5 月研究报告显示，Chrome 浏览器凭借 62.85%的全球份额稳居第一，由于 Chrome 使用范围广泛，因此其漏洞利用会影响大量用户。图1-10 Google Chrome浏览器中国大陆使用量分布情况Chrome浏览器中国大陆使用量分布情况12月公网资产数量6月公网资产数量6,000，0007,000，0005,000，0004,000，0003,000，0002,000，0001，000，0000浙江6，598，65，502,

57、6北京5,301,74,999，0广东4,445,93,971,6上海2,640,02,444,8山东1，422,01,222,4江苏1,081，8849,733福建706,336596，267四川612，100444,879湖南546,493442,637安徽459，200431，87112月公网资产数量6月公网资产数量影响分布172023网络安全深度洞察及2024年趋势研判从 Google Chrome 官网发布补丁情况来看，2023 年 Chrome 漏洞类型主要以类型混淆、释放后重用、越界写入为主。截止 11 月 30 日，已知被利用漏洞（KEV）目录检测到 Chrome 的 5 个被

58、利用漏洞有 2 个为类型混淆漏洞，2 个为越界写入漏洞。根据谷歌团队跟踪的 0day 被利用情况显示，2023 年跟踪 7 个 0day 被利用漏洞中，3 个为类型混淆漏洞，2 个为越界写入漏洞。2023 年漏洞数量和奖金总额偏低。根据 Google Chrome 官网披露数据，漏洞赏金金额最高的漏洞售价为 31000 美元，危害等级为重要，漏洞类型为类型混淆。Google Chrome 漏洞奖励的金额一般从 500 美元到数万美元不等，据不完全统计，2023 年 Chrome 单个漏洞金额超过 10000 美元的 Chrome 漏洞有 26 个，最高金额为 31000 美元，2023 年谷歌

59、公司为Chrome中的144个漏洞支付赏金总计近78万美元，2022年谷歌公司为Chrome中473个漏洞支付赏金总计400万美元。对比 2022 年赏金数据，2023 年漏洞数量和奖金总额偏低，有可能 Google 官网未给出 2023 年全量数据，但就目前披露情况来看，总体低于 2022 年。对比 6 月中国大陆公网资产占全球比例下降 0.4%，中国大陆各省份资产相较 6 月整体呈增长趋势。2023 年 12 月，中国大陆公网资产超过 6000 万，占全球比例 8.1%，公网资产超过 100 万的区域有浙江省、北京市、广东省、上海市、山东省和江苏省，多为互联网发达地区。Chrome小结表1

60、-4 2023年Google Chrome关键漏洞盘点漏洞类型漏洞价格CVE编号严重等级受影响软件CVE-2023-2136整数溢出N/AGoogle Chrome112.0.5615.137重要CVE-2023-2033类型混淆N/AGoogle Chrome112.0.5615.121CVE-2023-3079类型混淆N/AGoogle Chrome114.0.5735.110CVE-2023-4762类型混淆待决定Google Chrome116.0.5845.179CVE-2023-4863越界写入10000美元Google Chrome116.0.5845.187CVE-2023-5

61、217越界写入N/AGoogle Chrome117.0.5938.132CVE-2023-6345整数溢出N/AGoogle Chrome119.0.6045.199严重严重CVE-2023-2457越界写入17500 美元Google Chrome113.0.5672.114CVE-2023-2312释放后重用30000 美元Google Chrome116.0.5845.96CVE-2023-1213资源管理错误15000 美元Google Chrome111.0.5563.64CVE-2023-4069类型混淆21000 美元Google Chrome115.0.5790.170CVE

62、-2023-0941释放后重用待决定Google Chrome110.0.5481.177CVE-2023-0927释放后重用31000 美元Google Chrome110.0.5481.177CVE-2023-3420类型混淆20000 美元Google Chrome114.0.5735.198CVE-2023-0471释放后重用16000 美元Google Chrome=Telegram 暗网交易市场。非法数据交易的渠道分布从 2021 年起，RaidForums 黑客论坛的崛起，使利用黑客论坛泄露我国数据的情况大幅度增多，尤其是以 AgainstTheW-est 为代表的黑客组织在攻击

63、我国大量单位并窃取数据后，使用黑客论坛公布成果并售卖数据以增加影响力。除了针对我国的数据泄露，黑客论坛还涉及全球各国黑灰产交易，各国监管持续打击并逮捕了 RaidForums 黑客论坛运营者，之后出现BreachedForums 以替代 RaidForums 黑客论坛，成为 2022 至 2023 年的顶级黑客论坛，2023 年 3 月 BreachedForums也被 FBI 打击并关闭。此后，我们陆续观测到多个黑客论坛的出现和频繁活动，意图顶替 BreachedForums 论坛成为新一代顶级论坛，而这一现象促使 2023 年的数据泄露事件持续增多。对黑客论坛的跟踪和监控是快速掌握我国数据

64、泄露事件发生的有效手段，以下将围绕 2023 年数据泄露相关黑客论坛的发展情况和详细信息盘点。BreachForums 是 2022 至 2023 年期间的顶级黑客论坛。2022 年 3 月，在 RaidForums 下线三周后，在 RaidForums 上非常活跃的黑客 Pompompurin 决定用替代论坛 BreachForums 取代 RaidForums 黑客论坛。在成立的半年内，BreachForums 再次发展成为最受欢迎的黑客讨论平台之一，泄露数据的交易是该论坛的主要内容。2023 年 3 月 20 日，BreachForums 在其管理员 Pompompurin（真名 Con

65、or Brian Fitzpatrick）被捕后关闭，随后另一管理员 Baphomet声称执法部门已经获得了对论坛服务器的访问权限，并最终决定关闭该论坛。此后，在 BreachForums 的用户开始向新的论坛转移，一是向本就存在的其他流行黑客论坛转移，例如 XSS、Exploit、Cracked、Nulled 等；二是涌入新出现的意图替代 BreachedForums 的新论坛。而现有论坛大多有较为严格的会员制度，使用门槛和宣传门槛较高，导致黑客们积极寻求新论坛扎根的现象更多。在这一现象的驱动下，不乏有想要成为新一代顶级黑客论坛的运营组织，目前已观测到多个类似于 BreachedForums

66、 的新论坛出现。黑客论坛详细介绍可见附录。数据交易的黑客论坛情况境外非法交易市场中数据泄露渠道图3-4 我国重要数据泄露事件发现渠道分布暗网交易市场Telegram境外黑客论坛Telegram 16%境外黑客论坛 43%暗网交易市场 41%492023网络安全深度洞察及2024年趋势研判勒索团伙数据泄露情况勒索软件已是全球数据泄露的头号威胁，2022 年全球范围内遭到勒索软件团伙公开泄露数据的组织共 2861 家，其中TOP10 的 勒 索 软 件 依 次 为 Lockbit、BlackCat（ALPHV）、BlackBasta、Conti、karakurt、Hive、ViceSociety、

67、BianLian、Royal、Quantum。而 2023 年随着国际上监管对勒索软件团伙的打击，勒索软件团伙的活跃度不断变化，曾经活跃团伙销声匿迹，新的勒索团伙持续涌现。2023 年 1 月至 11 月期间，深信服千里目安全技术中心累计发现 4370 起被公开泄露数据的受害组织，其中大陆地区的 11起，截止 2023 年 12 月勒索团伙数据泄露逐年趋势如图 3-5 所示。自 2020 年以数据泄露要挟受害者缴纳赎金的双重加密方式开始出现，此种攻击模式快速在全球蔓延开来。此种勒索手段为勒索团伙带来的经济上的保障，就算受害者不交付赎金，售卖获取的数据也能达到其经济目的。近三年，以数据泄露进行双

68、重勒索的事件增长趋势逐年呈双倍递增。勒索团伙数据泄露数量趋势多重勒索团伙数据泄露逐年趋势图3-5 多重勒索团伙数据泄露逐年趋势50003500450040003000250020001500500100002020年2021年2022年2023年(0111月）26167528784370502023网络安全深度洞察及2024年趋势研判对多重勒索软件团伙活跃情况统计如图 3-5 所示，2023 年以数据泄露实行多重勒索的勒索软件团伙 TOP10 依次为Lockbit、BlackCat(ALPHV)、CL0P、PLAY、8BASE、Malaslock、BianLian、BlackBasta、Aki

69、ra、Medusa。与 2022年的活跃排名对比，Malaslock、CL0P、PLAY、8BASE、Medusa 这 5 个团伙为 2023 年新上 TOP10 的活跃团伙，其中Malaslock、8BASE 是 2023 年首次出现的新勒索软件团伙，首次出现并伴随着密集的攻击活动，跻身于多重勒索软件团伙活跃度 TOP10 之中。多重勒索软件团伙活跃排行自双重勒索流行以来，我国几乎不受此勒索模式影响，呈现出境内和境外勒索态势的明显区别。境外勒索主要为定向勒索模式，由勒索团伙及其附属组织对目标组织发起持续定向的攻击。而境内主要以无差别攻击为主，通常为黑灰产团伙或者黑客广泛投放勒索软件，导致随机

70、受害者中招。与往年不同的是，2023 年观测到涉及我国的多起双重勒索事件，累计发生 11 起，且在 11 月密集发生。从影响行业来看多为工业、制造业和能源行业，从单位地区来看为江浙沪和广东经济发达一带。由此预测勒索组织驱动的双重勒索攻击可能逐步向大陆地区渗透，加大数据泄露事件发生几率。针对我国的双重勒索组织和事件多重勒索软件团伙活跃排行TOP10图3-6 2023年多重勒索软件团伙活跃排行TOP1010008006004002003005007009001000LockbitBlackCat(ALPHV)CL0PPLAY8BASEMalaslockBianLian BlackBastaAkir

71、aMedusa时间2023 年 11 月 25 日2023 年 11 月 28 日2023 年 09 月 06 日2023 年 11 月 25 日2023 年 08 月 31 日2023 年 08 月 31 日2023 年 06 月 15 日2023 年 05 月 17 日2023 年 03 月 27 日2023 年 02 月 16 日2023 年 01 月 05 日Lockbit 勒索组织Qilin 勒索组织Rhysida 勒索组织Trigona 勒索组织NoEscape 勒索组织8Base 勒索组织ransomhouse 勒索组织Lockbit 勒索组织Play 勒索组织Blackcat

72、勒索组织Royal 勒索组织勒索组织医疗汽车能源教育科研能源工业矿业制造业制造业综合性企业江苏上海广东广东浙江上海上海浙江福建广东江苏受害单位行业地区表3-1 2023年中国大陆地区双重勒索事件512023网络安全深度洞察及2024年趋势研判我国重点数据泄露事件分析接口滥用问题一直是我国各行业数据泄露的最主要原因。在 2023 年观察到多起利用政务接口提供非法数据查询和数据爬取的数据泄露事件。在境外社交平台，有大量黑灰产团伙对我国公共服务接口进行非法测试。他们通过利用 API 接口的安全漏洞，编写调用程序和爬取程序获取接口返回数据达到获取敏感数据的目的。2023年发现海南、湖北、福建、河南、陕

73、西、安徽、上海、新疆等多地政务系统接口被利用提供查询身份证正反面及社保卡信息，这些接口多为一些为内部人员提供查询服务的中间接口，而这些接口未设置权限管理并意外暴露于互联网中，被黑客扫描发现并利用。如表 3-2 所示，被利用接口主要包含以上三种，虽然这些政务接口需要通过身份证号进行查询数据，但在黑灰产市场中身份证号已经随意泛滥，而这些接口给不法分子提供了进一步敏感的图片凭证信息和细节信息，使得非法活动变得更加容易。值得一提的是，除了敏感数据的泄露，其中身份证和社保卡中的人脸照片在目前似乎是更为敏感的信息，其为不法分子并实施 AI 诈骗和人脸识别绕过提供了面部识别数据。接口滥用导致政务敏感数据泄露

74、事件表3-2 被利用接口及其功能情况被利用接口身份证图片接口社保查询接口银行卡查询接口未经过任何身份校验即可通过输入身份证号得到身份证正反面图片通过输入姓名和身份证号即可查询社保卡信息、人员档案信息及社保卡关联银行账户信息通过输入当地地区身份证即可返回其银行卡办理情况接口功能522023网络安全深度洞察及2024年趋势研判黑客论坛作为黑客活动和交流的主要根据地，黑客在攻击目标单位并窃取数据之后往往会将成果挂在黑客论坛中进行售卖，在获取经济利益的同时还能通过此行为在黑客论坛中打造名气和排名，形成了一个黑客活动社群。然而，过于猖獗的黑客们在持续的非法活动中也引得各国监管的不满和打击，最初知名的黑客

75、论坛 RaidForms 相关运营者 2021 年被逮捕从而论坛关闭，而后其替代论坛 BreachForums 也于 2023 年 3 月被打击关闭。两个顶级论坛的下线，引发了大量黑客组织开始蠢蠢欲动争锋成为顶级论坛。在 BreachForums 关闭的这三个月以来，已经观察到名为Pwnedforums、Exposed、LeakBase、BreachForums（新）等多个新论坛的出现。观察发现，论坛运营者往往通过公开泄露黑客们关注的数据来进行宣传和竞争，而其中涉及多次泄露我国历史数据合集的事件发生，其数量级均达到亿级，相关事件如表 3-3 所示。多个黑客论坛泄露我国数据合集事件表3-3 多个

76、黑客论坛泄露我国数据事件表黑客论坛PwnedForumsramp4uLeakBaseExposedBreachForums（新）相关事件2023 年 03 月 31 日2023 年 04 月2023 年 05 月 24 日2023 年 05 月 24 日2023 年 06 月 12 日时间在 BreachForums 下线后迅速筹备上线，并在 Telegram 中大肆宣传。在上线不久后，其中便出现大量涉及我国的数据泄露帖子。著名俄罗斯黑客论坛的中泄露了中国 6.3 亿公民数据，字段包括姓名、电话、身份证号、出生日期、地址、性别和银行卡号。该事件随机被国外新闻媒体 Cybernews 报道，吸引

77、了大量关注。ARES 组织发布了一份包含我国十几亿历史泄露数据的合集，以宣传其运营的数据泄露论坛。这份合集包含了公安、医护人员以及与疫情相关的数据。Exposed 论坛下线后，一个 BreachForums 同名新论坛出现。随后 6 月 15 日，该黑客论坛中发布多起我国数据售卖事件，涉及多家公司的 MySQL 数据库信息。泄露我国 1.98 亿数据集合，包括多地银行、教育系统、学生家长等 数 据。该 黑 客 论 坛 运 营 者 公 开 宣 传 其 论 坛 为 已 关 闭 的BreachForums 论坛的替代论坛，此举动吸引了大批黑客前往，而不久后，该论坛运营者称无力运营并意图转手该论坛，随

78、即该论坛关闭。532023网络安全深度洞察及2024年趋势研判个人信息是最具价值的数据，也是当前泄漏最严重的数据类型。我国在 2023 年经历了规模最大的数据泄露事件，涉及 45亿个人地址数据。快递物流行业的供应链复杂，安全能力参差不齐，导致数据安全的保障变得愈发困难。各行业虽然在加强本身的数据安全建设，但往往忽视了数据流向外部时可能出现的安全问题。API 接口滥用是导致我国各行业数据泄露的主要原因。在 2023 年，多起利用政务接口提供非法数据查询和数据爬取的泄露事件引起了关注。这些接口向不法分子提供了更敏感的证件图片和细节信息，进一步便利了非法活动。特别值得注意的是，除了敏感数据的泄露，身

79、份证和社保卡中的人脸照片在当前似乎更加敏感，为不法分子实施 AI 诈骗和绕过人脸识别提供了面部识别数据。黑灰产市场的动荡也在影响着数据泄漏事件的发生。2023 年，因黑客论坛之间的竞争，我国历史数据多次泄露，每次泄露的数据量都达到亿级以上。目前仍有单位未建立全流程的数据安全管理制度，未采取技术措施来保障数据安全，也未履行数据安全保护的义务。随着数据安全强监管时代的到来，数据泄露、未经授权的数据访问以及数据安全措施不力将面临严厉处罚。2023 年 3 月，国内某高校遭到黑客攻击，黑客将被盗数据和系统权限挂在境外黑客论坛中出售。经过有关部门调查发现，该高校在数据处理活动中未建立全流程数据安全管理制

80、度，未采取技术措施保障数据安全，也未履行数据安全保护义务。这导致了该校存储的教职工信息、学生信息和缴费信息等超过 3000 万条数据遭到黑客非法入侵，其中包括 3 万余条敏感个人信息被非法兜售。根据 中华人民共和国数据安全法 第四十五条的规定，当地公安网安部门对该学校做出责令改正、警告并处以 80 万元人民币罚款的处罚，对主要责任人处以 5 万元人民币罚款。某高校因3万余条师生个人信息数据泄露被罚款80万元重点数据泄露事件分析小结542023网络安全深度洞察及2024年趋势研判数据安全态势小结（一）人工智能技术带来的数据安全风险问题成为全球关注新热点。以 ChatGPT 为代表的人工智能技术在

81、 2023 年爆火，生成式人工智能在数据处理、代码审阅、材料生成上都体现出了让人们惊叹的能力，随即该项技术被快速应用于各企业中。然而在与人工智能进行交互的过程中敏感数据和隐私内容传输所带来的数据安全风险也成为了新技术场景下需要重点关注和治理的问题。目前多个国家已着手针对此问题进行研究并推出了多项政策进行治理。（二）数据接口的安全问题是当前导致数据泄露最主要的原因，我国个人地址信息泄露引发广泛关注。政务、医疗、教育行业的数字化数据接口的利用既不需要获取系统最终权限，也不需要复杂的攻击绕过，只需要通过发现已存在的系统暴露接口，编写可利用程序即可调用该接口获取敏感数据。2023 年我国已经发生多起利

82、用接口导致的泄露事件。（三）随着数据的价值快速上涨，在黑灰产交易中逐渐成为了数据交易为主导的局面，黑客论坛之间的竞争导致数据泄露事件增加，历史已泄露数据再次遭到泄露。以经济利益出发的黑灰产组织或是个人黑客都以数据为核心目标来进行攻击布局，使得数据的获取成为黑客间热议话题。2023 年已持续观测到多个新论坛中发布我国大量历史已泄露数据合集来吸引对我国关注的黑客，而该行为将持续加大数据泄露的风险。（四）勒索软件导致的数据泄露呈快速增长趋势，持续加大对数据安全的威胁。自 2020 年以来，以数据泄露为要挟，要求受害者缴纳赎金的双重加密方式在全球迅速蔓延。近三年来，每年数据泄露双重勒索事件呈逐年双倍递

83、增的趋势。2023 年观测发现我国发生多起双重勒索事件，预示着勒索组织可能逐步向大陆地区渗透，进一步增加数据泄露事件发生的可能性。552023网络安全深度洞察及2024年趋势研判APT攻击态势APT攻击活动态势根据深信服千里目安全技术中心的检测结果显示，2023 年南亚、东亚和东欧地区的 APT 组织特别活跃。在南亚地区，APT 组织包括 CNC、BITTER（蔓 灵 花）、Patchwork（白 象）、Conficius（摩 罗 桫）、SideWinder（响 尾 蛇）、Donot（肚 脑 虫）等，持续对中国、巴基斯坦及南亚周边国家进行长期窃密攻击。特别是在 2023 年，CNC、BITTE

84、R 和 Patchwork 组织的活动尤为频繁，这些组织在很多方面存在信息交叉，可能有一定关联性。它们主要针对教育、航空工业、科研单位、军工和政府等行业。东亚地区的主要 APT 组织是绿斑，地缘政治是其攻击的主要因素，主要进行定向钓鱼攻击，窃取军工、科研教育、航空航海等技术情报。另外，Lazarus 和 Kimsuky 的攻击目标更倾向于美国、日本和韩国。东南亚地区主要由海莲花组织活跃，利用 Nday 漏洞攻击边界安全设备，然后针对科研教育机构展开攻击。东欧地区受俄乌战争影响，APT 攻击一直很活跃。另外，北美的 APT 攻击持续对全球进行攻击。APT组织攻击总体态势562023网络安全深度洞

85、察及2024年趋势研判2023 年，深信服千里目安全技术中心监测到了大量疑似南亚地区 APT 组织的相关攻击活动，活跃组织包括 CNC、BITTER（蔓灵花）、Patchwork（白象）、Conficius（摩罗桫）、SideWinder（响尾蛇）、Donot（肚脑虫）等，其中CNC、BITTER、Patchwork 组织活动尤为频繁猖獗，这几个 APT 组织很多方面信息存在着交叉，包括但不限于基础设施、攻击手法与战术、相似样本等，不排除这些组织背后存在一定关联性。其目标行业主要集中在教育、航空工业、科研单位、军工、政府等行业，各个活跃组织侧重目标稍有不同。值得注意的是近期高度活跃的南亚 AP

86、T 组织活动均出于窃密动机，表 4-1 是 2023 年南亚高度活跃 APT 的组织基本信息。南亚活跃APT组织态势CNC 组织最早于 2019 年被发现，因其使用的远程控制木马的 PDB 路径信息中包含的 cnc_client，该组织被命名为CNC。该组织主要针对军工、教育、科研机构及航空航天等行业进行攻击，窃取该类单位的高新技术研究资料或规划信息等。此外，该组织疑似与南亚 APT 组织 Patchwork（摩诃草、白象）存在一定关联。2023 年，在攻击目标上，CNC 频繁向境内科研院所、航空航天、教育行业发起攻击，其中包括某具有一流科学家和科技队伍的国立科研机构、重点实验室、国家级别工程

87、研究中心以及某双一流大学的高新科技专业实验室。攻击手法上，CNC 组织在初始打点阶段常使用高度定制的鱼叉式钓鱼攻击，在代码执行和持久化阶段也有诸如反自动化分析、证书伪造等大量防御对抗技巧。攻击载荷上，攻击者使用“学术交流”、“科学研究”或“文章出版”等四种伪装程度极高的邮件话术进行鱼叉式钓鱼邮件攻击，在运行攻击者提供的程序后，下载后续阶段远控、反弹 shell、浏览器窃密、文件窃密、U 盘摆渡木马等恶意程序，最终可成功窃取、并持续监控受害者机器上的文档文件。CNC组织名称CNC白象蔓灵花航空航天、水利、教育、军工政府、外交、军事、电力政府、航空航天、科研机构、军队、国防、核工业、海运、船舶目标

88、行业中国、巴基斯坦、孟加拉国、沙特阿拉伯、新加坡、马来西亚、斯里兰卡、尼泊尔中国、巴基斯坦间谍行为数据窃取间谍行为数据窃取间谍行为数据窃取WindowsWindowsAndroidWindowsAndroid目标国家攻击动机目标平台中国、巴基斯坦、菲律宾、印度尼西亚表4-1 2023年南亚活跃APT组织信息表4-2 CNC组织公开披露重点事件序号1234攻击动态（公开报告附录 2 中查看链接）2023 年 08 月 10 日2023 年 07 月 07 日2023 年 04 月 14 日2023 年 04 月 12 日披露时间国内航空航天领域近期正面临 APT 窃密攻击风险关于近期南亚 APT

89、 组织在境内高度活跃报告疑似 CNC 组织最新攻击动态分析，AI 模型验证归因关于 CNC 组织对境内高校科研单位实施 APT 攻击事件通告572023网络安全深度洞察及2024年趋势研判Patchwork 组织，又称“摩诃草”、“白象”等等，最早由国外安全厂商 Norman 披露并命名为 Hangover，在 2015 年的攻击行动被国外安全厂商 Cymmetria 披露为 Patchwork，而在国内有“白象”的称呼。2023 年，白象组织活动大多集中在我国境内中部地区，攻击目标上，对多个涉及水利、航空等专业的高等院校发起鱼叉式钓鱼攻击。在针对某大型水利集团的攻击活动中，其窃取了单位内部相

90、关信息和物料，然后再使用包括招聘信息、职场骚扰事件通报、年度专项项目申报在内的多个主题的钓鱼邮件，向高校内投递了大量钓鱼邮件。除此之外该组织还对某政府气象机关单位发起攻击，窃取了大量相关数据。攻击手法和工具上，白象常使用鱼叉攻击对目标进行打点攻击，在近期监控到的攻击活动中发现有大量针对中国的定制化攻击工具，同时该组织对以往披露的 BADNEWS 攻击组件也有一定程度的更新，不断加强其窃密、反取证能力。Patchwork（摩诃草、白象）序号12345摩诃草组织（APT-Q-36）借 Spyder 下载器投递 Remcos 木马关于近期南亚 APT 组织在境内高度活跃报告疑似摩诃草组织利用 War

91、Hawk 后门变种 Spyder 窥伺多国对开源项目情有独钟的 Patchwork 组织Patchwork 组织更新技术卷土重来，针对境内教育科研单位再次发起攻击行动攻击动态（公开报告附录 2 中查看链接）2023 年 11 月 28 日2023 年 07 月 07 日2023 年 07 月 04 日2023 年 05 月 24 日2023 年 04 月 20 日披露时间表4-3 Patchwork组织公开披露重点事件582023网络安全深度洞察及2024年趋势研判BITTER 组织，又被称“蔓灵花”、“APT-C-08”、“T-APT-17”以及“苦象”，是一个针对中国、巴基斯坦以及孟加拉等

92、国家的 APT 组织。最早由国外安全厂商 Forcepoint 于 2016 年披露，发现该组织于 2013 年就开始进行了网络攻击。在此后多年，BITTER 组织常对中国、巴基斯坦等国家发起网络攻击，主要针对政府（外交、国防）、核工业、国防、军工、船舶工业、航空工业以及海运等行业。该组织在 2016 年至 2020 年期间十分活跃，自 2020 年初 COVID-19 病毒流行起来，该组织的活跃程度有所降低，但 2021 年至 2023 年该组织频繁活动又有死灰复燃之势。攻击手法上，自 2021 年以来，该组织的攻击手法一直都没有发生大的变化，其攻击活动基本依赖于社会工程学，通过鱼叉攻击投递

93、恶意载荷或者进行凭证钓鱼（主要是邮箱），其针对国内的鱼叉攻击使用的邮箱账号多为窃取或购买的 126、163 邮箱，针对国外机构多使用窃取的政府邮箱或 gmail 邮箱，基本上都是通过其投递恶意 chm 文件，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，命令行使用字符“”进行混淆，创建计划任务下载执行第二阶段载荷。攻击载荷上，该组织投递的恶意载荷种类较多，存在使用 chm 文件、远程模板注入文档、lnk 文件以及 winrar 自解压程序等多种方式。恶意载荷通常使用 msi 部署或直接下载该组织特有下载器，再通过下载器下载其他功能组件包括但不限于远控、文件窃密组件以及键盘记录器等黑客工具

94、，虽然其攻击方式依赖社会工程学，但还是发现许多组织或企业被攻击成功。2023 年蔓灵花组织的攻击目标涵盖政府、航天、核工业、军工、船舶、外贸、教育，涉猎十分广泛，国外 也有多家厂商对其攻击活动进行了披露。在最新的攻击活动中，监测到其使用新的组件进行攻击，该组织利用 DarkAgent开源项目对远控组件进行二次修改开发和混淆，还发现该组织将开源项目“Lilith”与以往的下载器结合，以不断增强攻击组件的反分析能力。在 2023 年 9 月发现该组织开始利用国内办公软件 WPS 执行恶意命令，并利用 WinRAR 压缩软件漏洞进行鱼叉攻击，揭露出该组织正尝试分析国内相关软件特性、软件漏洞并加以利用

95、的攻击趋势。蔓灵花表4-4 蔓灵花组织公开披露重点事件序号1234蔓灵花组织投向国产办公软件的目光与 winrar 漏洞之触Bitter 组织传播针对中国机构的 CHM 恶意软件APT 组织 BITTER 针对中国核能行业的钓鱼活动蔓灵花组织 2023 年初攻击行动汇总与新组件分析攻击动态（公开报告附录 2 中查看链接）2023 年 11 月 21 日2023 年 04 月 04 日2023 年 03 月 24 日2023 年 02 月 09 日披露时间592023网络安全深度洞察及2024年趋势研判Lazarus 被公开情报普遍认为具有东亚某国政府背景，其作为该地区的一个庞大 APT 组织集

96、团，其下还存在多个子组织进行分工协作。其攻击目标遍及全球，攻击行业多种多样，包括但不限于数字货币、金融机构、IT 公司、政府机构以及军事机构等。在披露的攻击活动中，Lazarus 组织在漏洞积累以及利用方面一直展现出较为先进的研究能力，曾利用 chrome 远程代码执行漏洞“CVE-2022-0609”对多国的新闻媒体、IT 基础设施服务商进行攻击。在 2023 年的攻击活动中发现除了先前被利用的 INISAFE CrossWeb EX 和 MagicLine4NX 之外，还新确认了 VestCert 和 TCO!Stream 的 0day 漏洞被利用，且利用 BYOVD 技术进行横向移动。除

97、此之外，该组织近年来紧盯供应商，多次利用供应链攻击进行活动，2021 年 Lazarus APT 组织通过在 VS 项目中设置预构建事件命令，进行基于软件开发工具相关的供应链攻击，目的是为了定向盗取安全研究人员的 0day 漏洞等。2023 年 4月，Mandiant 将 3CX 双重供应链攻击活动归因为 UNC4736 组织并认为该组织与北韩有联系，该组织隶属于 Lazarus。2023 年 7 月，GitHub 发现 Lazarus 利用包含恶意 npm 依赖项的软件的 GitHub 存储库以攻击加密货币、在线赌博和网络安全行业的开发人员。2023 年 10 月 20 日，Lazarus

98、入侵了台湾省多媒体软件公司讯连科技，并将讯连科技的合法安装程序篡改，插入包含下载、解密和加载恶意代码，影响全球多个国家地区的 100 多台设备，包括日本、中国台湾省、加拿大和美国。2023 年上半年预测 Lazarus 可能会越来越多地使用供应链攻击以获得对目标网络的初始访问权限这一趋势得到印证，在2023 年下半年 Lazarus 持续对软件供应商发起攻击活动。Lazarus东亚地区以地缘政治为主要因素，以绿斑为活跃代表保持长期对我国的定向钓鱼，持续对我国军工、教育科研、航空航海等技术情报进行窃取，其手法常年保持钓鱼网页和邮件攻击。Lazarus 和 Kimsuky 公认具备东亚政府背景，其

99、对我国的攻击倾向较弱，其攻击目标重点在于美国、日本、韩国等地。东亚活跃APT组织态势表4-5 2023年南亚活跃APT组织信息组织名称LazarusKimsuky绿斑政府、媒体、商贸机构、军队、金融政府政府、航空航天、媒体、医疗、科研机构、金融、国防、船舶、能源、外交、军工、智库目标行业美国、韩国、墨西哥、巴西、智利、尼日利亚、加蓬、印度、中国台湾省、马来西亚中国韩国、日本俄罗斯联邦、越南、中国间谍行为、网络经济犯罪间谍行为间谍行为、数据窃取、系统破坏WindowsAndroidWindowsAndroidWindowsAndroid目标国家攻击动机目标平台602023网络安全深度洞察及202

100、4年趋势研判Kimsuky 组织是东亚活跃的 APT 组织之一，也被称为 Mystery Baby、Baby Coin、Smoke Screen 和 BabySahrk。据分析，自 2012 年起，该组织与某东亚国家政府有关，并可能与 Konni 组织有联系。他们主要通过发送带有“外交”、“安全”、“国防”、“朝鲜核问题”和“统一部”等关键词的恶意附件进行鱼叉攻击，攻击手法并没有太大变化。自 2022 年 10 月起，Kimsuky 组织开始利用移动恶意软件攻击 Android 设备，以窃取信息并尝试修改开源 RAT Androspy来规避检测。他们采用类似 FastViewer 的复杂攻击向

101、量，利用开源代码生成高性能变体，对 Android 智能手机进行精密攻击。因此，对于针对 Android 设备的复杂攻击需要保持高度警惕。到了 2023 年 5 月，Kimsuky 组织使用 ReconShark 新恶意软件组件进行全球间谍活动，重点关注正在进行的地缘政治主题，如中国和朝鲜之间的核议程。他们通过鱼叉式网络钓鱼邮件分发带有指向托管在 Microsoft OneDrive 上的恶意文档链接的 ReconShark 恶意软件，以感染目标主机。此外，攻击者还使用了两种隐蔽的恶意载荷部署方式，包括编辑与Chrome、Outlook、Firefox 或 Edge 等应用程序关联的 Wind

102、ows 快捷方式文件（LNK）以及替换默认的 Microsoft Office 模板 Normal.dotm 为托管在 C2 服务器上的恶意版本，以在用户启动 Microsoft Word 时加载恶意代码。Kimsuky表4-6 Lazarus组织公开披露重点事件序号01020304050607080910疑似 Lazarus（APT-Q-1）涉及 npm 包供应链的攻击样本分析Lazarus 组织入侵台湾省讯连科技公司以实施供应链攻击Lazarus 组织瞄准软件供应商部署 SIGNBT 恶意软件Lazarus 组织利用 TeamCity 服务器漏洞实施软件供应链攻击Lazarus 组织工具

103、Volgmer 后门及其加载器 Scout 分析Lazarus 组织持续开展 VMConnect 供应链攻击活动Lazarus 组织通过 ManageEngine 历史漏洞部署 QuiteRATLazarus 组织重用其基础设施传播新工具 CollectionRATLazarus 利用恶意 npm 依赖软件的 GitHub 存储库开展攻击疑似 3CX 供应链攻击组织相关联的 Linux 样本分析攻击动态（公开报告附录 2 中查看链接）2023 年 12 月 08 日2023 年 11 月 22 日2023 年 10 月 27 日2023 年 10 月 18 日2023 年 10 月 04 日2

104、023 年 08 月 31 日2023 年 08 月 24 日2023 年 08 月 24 日2023 年 07 月 18 日2023 年 04 月 24 日披露时间表4-7 Kimsuky组织公开披露重点事件序号01020304050607Kimsuky 组织向韩国研究机构分发恶意钓鱼文件Kimsuky 组织使用 RDP 服务控制受害主机Kimsuky 组织利用代币兑换和投资相关诱饵文档攻击投资领域用户Kimsuky 组织再次使用定制工具 RandomQuery 进行间谍攻击Kimsuky 组织在全球范围内部署新侦察工具 ReconSharkKimsuky 组织借助 ADS 隐藏恶意软件Ki

105、msuky 组织正利用 OneNote 文件分发恶意软件攻击动态（公开报告附录 2 中查看链接）2023 年 11 月 21 日2023 年 10 月 16 日2023 年 07 月 31 日2023 年 05 月 23 日2023 年 05 月 04 日2023 年 03 月 29 日2023 年 03 月 17 日披露时间612023网络安全深度洞察及2024年趋势研判绿斑，是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的 APT 团伙，最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击，会选取与攻击目标贴合的诱饵内容进行攻击活动，相关领域包括：海洋（南海、

106、东海、测绘）、军工、涉台问题（两岸关系）、中美关系，惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外，绿斑还惯用钓鱼网站钓鱼，窃取目标的账户密码，进而获得更多重要信息。别名：穷奇、PoisonVine、APT-Q-20、APT-C-01、绿斑、GreenSpot、白海豚、毒云藤。绿斑在初始攻击环节主要采用鱼叉式钓鱼邮件攻击，在进行攻击之前，其会对目标进行深入调研，开展信息搜集。通过分析搜集信息，仿冒国内最常使用的社交软件、邮箱系统（126、163 邮箱）、政府机构网站、军工网站、高等院校等网站等进行大规模钓鱼，以此获取定向群体的精确情报。在 2023 年，

107、该组织活跃度对比 2022 年稍有减弱，但还是持续保持着对我国的攻击，通过持续购买国内邮箱账号，从中筛选出具有一定价值的邮箱账号，进行扩散式钓鱼。对我国航天、海事、军队、教育、政府机构、多行业领域专家持续进行邮件钓鱼活动。在 2023 年下半年其利用钓鱼邮件对我国科研教育机构重点人员实施攻击，多达三百多个邮箱遭受攻击。绿斑东南亚活跃APT组织态势海莲花（OceanLotus）是一个长期针对中国和东南亚地区国家政府、科研机构、海运企业等领域开展定向攻击的 APT 组织。该组织自 2022 年到 2023 年针对我国的能源、高校、科研机构及军工等行业进行攻击，主要采取鱼叉、Nday 等方式进行打点

108、。其鱼叉攻击分别投递过 chm、iso（img）及 lnk 等格式的载荷，在受害者成功执行该恶意附件后，在第一阶段时其会加载 cobaltstrike 并建立稳定连接，在第二阶段通过 cobaltstrike 加载其自定义木马。目前该组织活动在攻击行动中常模仿其他组织的攻击战术，为了方便对该组织进行跟踪，因此将该组织命名为战术模仿者（Timitator-Tatic imitator），其他友商也将其称为apt-q-77、变异鼠，部分厂商认为该组织为海莲花，因该组织归因混乱，此处暂将其放在海莲花下。在 2023 年发现该组织与 APT29 的攻击特征存在重叠，疑似模仿 APT29 开展攻击，重点

109、利用我国边界安全设备的 Nday漏洞进行打点，获得对大量公网安全设备的持续控制权限，展开针对科研教育机构的攻击活动，在攻击活动中还观察到其利用白加黑的手法攻击 Windows 系统。海莲花表4-8 海莲花组织公开披露重点事件序号12新型 APT 组织“双异鼠”针对我国的大规模网络攻击行动境外 APT 团伙连续两年在攻防演练活动中浑水摸鱼2023 年 10 月 26 日2023 年 09 月 14 日攻击动态（公开报告附录 2 中查看链接）披露时间622023网络安全深度洞察及2024年趋势研判东欧活跃APT组织态势2023 年，东欧地区的 APT 攻击持续受俄乌战争影响，体现出高强度的攻击态势

110、。以 APT29 和 Gamaredon 为代表的老牌俄罗斯背景 APT 组织对乌克兰方以及支持国家表现出持续的攻击活动，表 4-3 中为 2023 年东欧地区攻击活跃 APT 组织基本信息。WarSunflower（战争葵花），别名有“APT-LY-1006”、“YoroTrooper”。该组织是在 2022 及 2023 年期间出现的新组织，主要针对东欧及中东、中亚部分国家进行攻击行动，该组织最早攻击行动可追溯到 2022 年 3 月份，该时间接近俄乌战争开始时间（2022 年 2 月），并结合其攻击目标分析，可初步判断该组织是由于俄乌战争而催生出的网络间谍组织。该组织主要活跃于东欧及中亚

111、地区，将其命名为 WarSunflower（战争葵花）以代表其产生来源于俄乌战争。2023 年该组织主要针对阿富汗、乌兹别克斯坦、哈萨克斯坦的政府部门进行钓鱼攻击。在攻击手法上，除了通过钓鱼窃取邮箱凭证外，该组织还投递多种木马对目标进行攻击（主要投递的载荷为 vhdx 文件，并且 vhdx 里包含后门组件或LNK 文件下载器及诱饵文件等）。攻击目的上，该组织可基本确定诞生于俄乌战争期间，地缘政治以及战争是催生网络间谍组织的最主要力量，该组织目的为收集 CIS 国家的相关政府情报。并且通过分析该组织的各种组件发现，在利用工具上，该组织擅长对开源项目进行改造利用，并未发现技术能力较高的自研组件，且

112、其主要打点方式为鱼叉攻击，暂时未发现较高水平的打点方式，可初步判定该组织的技术水平属于中低水平组织。通过分析其攻击目标地域、行业信息以及活跃时区以及语言习惯等，可初步判定该组织活跃在 UTC+2 至 UTC+4 区域，该地域属于东欧及中亚地区。WarSunflower（战争葵花）表4-9 2023年东欧活跃APT组织信息表4-10 WarSunflower组织公开披露重点事件组织名称WarSunflower（战争葵花）GamaredonAPT29政府军事、国防、教育政府、教育目标行业东欧及中亚地区美国、东欧、北约乌克兰、美国、英国、北约间谍行为、数据窃取间谍行为、数据窃取间谍行为、数据窃取Wi

113、ndowsWindowsWindows目标国家攻击动机目标平台序号1WarSunflower（战争葵花）组织针对 CIS 国家及中亚地区的最新攻击行动分析攻击动态（公开报告附录 2 中查看链接）2023 年 04 月 11 日披露时间632023网络安全深度洞察及2024年趋势研判Gameradon，也被称为 Primitive Bear 组织，是一个疑似具有东欧背景的 APT 组织。该组织最早的攻击活动可以追溯到2013 年，主要针对乌克兰、北约国家（尤其是美国和英国）。他们长期以来一直以相同的组织为目标，主要攻击国防和情报咨询公司、非政府组织（NGO）、政府间组织（IGO）、智囊团和高等教

114、育等，以窃取情报为目的。在俄乌战争中，他们持续对乌克兰的公共机构和关键信息基础设施进行了有针对性的网络攻击。他们主要通过电子邮件、社交媒体和 LinkedIn帐户创建虚假身份，与感兴趣的人建立联系，并进行钓鱼攻击。Gamaredon 还利用受感染域名、动态 DNS 提供商、俄罗斯和乌克兰国家代码顶级域名（ccTLD）以及俄罗斯托管服务提供商来分发他们定制的恶意软件。在 2023 年，Gamaredon 组织频繁被曝光针对乌克兰的间谍活动。在这些活动中观察到以下几个特点：攻击目标主要是国家安全、军事和政府组织；攻击手法包括网络钓鱼邮件和仿冒钓鱼页面来传播恶意软件，还利用 USB 的摆渡攻击来进一

115、步传播恶意软件；攻击工具不断更新，基础设施也在持续更新，同时还利用合法服务作为 C2 服务器，比如 telegram 消息服务。Gameradon表4-11 Gamaredon组织公开披露重点事件序号1234Gamaredon 组织利用 USB 蠕虫病毒 LitterDrifter 针对乌克兰俄罗斯间谍组织 Shuckworm 长期入侵乌克兰俄罗斯 APT29 组织历史活动轨迹详情披露Gamaredon 组织利用 Telegram 瞄准乌克兰政府部门攻击动态（公开报告附录 2 中查看链接）2023 年 11 月 17 日2023 年 06 月 15 日2023 年 02 月 01 日2023

116、年 01 月 19 日披露时间目前，该组织被归因于俄罗斯政府情报组织，名为 APT29，自 2008 年起开始运作。他们还使用了多个别名，如YTTRIUM、The Dukes、Cozy Duke、Cozy Bear 和 Office Monkeys。APT29 主要针对美国、东欧和北约成员国的政府、研究机构和智库进行攻击。作为东欧地区 APT 组织中实力强大的一员，APT29 在微软报告的 Nobelium 事件和SolarWinds 事件中展示了高超的攻击能力。在 2023 年 4 月，APT29 对北约和欧盟成员国的外交部门展开了间谍活动，利用了之前未被发现的恶意软件。他们通过向特定外交职

117、位的人员发送鱼叉式网络钓鱼电子邮件获取初始访问权限。同年 4 月中旬，APT29 截取了波兰外交部发出的一份宣传合法传单，其中包含出售位于基辅的二手宝马轿车的信息。他们将恶意软件嵌入其中，然后分发给了在基辅工作的数十名外交官。随后在 2023 年 6 月，APT29 对入驻乌克兰大使馆的外交官发起了网络间谍攻击，直接瞄准了基辅 80 个外国使团中的至少 22 个外交官。而在 2023 年 7 月，APT29 冒充挪威大使馆，分发了以 邀请-圣卢西亚庆典 为主题的网络钓鱼电子邮件。为了实施攻击，他们采用了更高级的策略，包括使用 SVG Dropper、DLL 实现感染和进行 C2 行为。APT2

118、9表4-12 Gamaredon组织公开披露重点事件序号攻击动态（公开报告附录 2 中查看链接）披露时间123疑似 APT29 组织使用德国大使馆外交内容作为诱饵传播恶意 PDF 文件APT29 借助 Microsoft Teams 服务针对全球组织开展钓鱼活动俄罗斯 APT29 组织历史活动轨迹详情披露2023 年 08 月 10 日2023 年 08 月 02 日2023 年 07 月 25 日642023网络安全深度洞察及2024年趋势研判APT攻击流行技术趋势软件供应链攻击获取APT攻击初始权限供应链攻击技术是 APT 攻击组织常用的攻击技术之一，也是最近一些年 APT 攻击组织使用最

119、多的攻击方式之一，这种攻击方式主要针对特定的企业和用户进行定向攻击活动，并且使用多种多样的攻击方式，其中最主流的是软件供应链攻击。软件供应链攻击可以分为基于软件源代码、开源软件第三方包和软件开发工具相关的攻击方式。其中，基于软件源代码的攻击方式最为隐蔽、危害最大，也是技术难度最高的一种攻击方式。而基于开源软件第三方包和基于软件开发工具相关的攻击方式相对容易实现。近年来发现，软件供应链攻击在 APT 攻击活动中越发普遍。1、基于软件源代码的攻击方式APT 攻击组织攻陷软件供应商之后，将恶意代码直接嵌入到软件供应商的软件代码当中，通过软件供应商将包含有恶意代码的软件分发给该软件供应商的企业客户，导

120、致所有使用该软件的企业客户感染恶意代码，这种供应链攻击方式非常隐蔽，也是危害最大的一种攻击方式，此前 SolarWinds 供应链攻击事件就是一种基于软件源代码的攻击方式。2023 年 4 月，Lazarus 有关的 UNC4736 组织利用 3CX 桌面应用程序实施了双重供应链攻击，该事件是由于 2022 年该组织针对 X_TRADER 的软件供应链攻击事件导致的，其通过植入恶意代码的 X_TRADER 软件窃取 3CX 公司使用者网络登录凭据，以实施对 3CX 网络的攻击活动，并对 3CX 桌面应用程序使用了同样的恶意注入，持续扩大攻击范围。2、基于开源软件第三方包的攻击方式APT 攻击组

121、织利用 PyPI、NPM 等第三方包进行供应链攻击，这种攻击方式主要目的是定向攻击大型企业的开发人员，通过窃取这些开发人员的登录凭证等信息之后，渗透到企业内网，进行更隐蔽的 APT 攻击活动。2023 年 1 月，某攻击者针对一款流行机器学习框架 PyTorch 进行了供应链攻击活动，攻击者在这些第三方包中插入恶意程序，使开发人员下载软件包并使用后，将在其开发环境主机的 runtime 目录下插入恶意脚本和恶意程序，在通过开发程序的 _init_.py 初始化脚本运行后，将启动 runtime 目录下的 triton 恶意程序。PyTorch 开源软件当前下载量约 1.8 亿次，若被污染的软件

122、包被大量使用在开发程序中，将引发很大安全风险。3、基于软件开发工具相关的攻击方式APT 攻击组织利用伪造的包含恶意软件的软件开发工具或者被感染了恶意代码的软件开发工具的工程项目文件，诱骗企业开发人员安装或使用这些软件开发工具和工程项目文件，安装木马后门进行下一步的攻击活动，Lazarus APT 攻击组织就曾利用这种攻击方式，通过感染了恶意代码的软件开发工具的工程项目文件，定向攻击安全研究人员，此前 XCodeGhost供应链攻击事件也是这种基于软件开发工具的攻击方式。未来随着全球云计算虚拟化等平台的高速发展，基于软件供应链攻击的活动越来越多，APT 组织越来越多地瞄准软件供应商来实施定向攻击

123、，这种以更加快速有效的方式获取目标组织的网络访问权限将成为 APT 攻击的一大趋势。652023网络安全深度洞察及2024年趋势研判开源组件二次开发以降低APT攻击成本在 2023 年监测到的 APT 攻击活动中，越来越多的组织开始利用开源组件二次开发的攻击组件，尤其集中在远控组件上。开源组件的二次开发极大地降低了 APT 组织在攻击成本上的消耗，同时具备快速迭代更新以保持不断变化的攻击能力。主要体现在反调试、反分析，以及目标识别等方面。这些快速迭代的对抗技巧也使得 APT 组织和安全企业之间的攻防较量更为复杂和激烈，溯源归因难度也越来越高。在 2023 年，发现南亚多个组织利用了多种开源组件

124、开展攻击活动，包括有 Patchwork 和 Bitter 组织。在最近的一次攻击活动中，Patchwork 组织投递的恶意 lnk 文件用于下载第二阶段的 BADNEWS 远控，其中使用了 hiiresloader 加载器，该加载器存在特殊字符 hii 并将载荷存储于资源数据进行加载。通过分析该文件为开源远控。此外，我们还捕捉到 Patchwork 组织使用另一种开源加载器加载开源远控“NorthStarC2”进行攻击。通过分析该加载器为开源加载器，该加载器使用 AES-GCM-256 加密载荷并使用 base64 编码存储，解密后内存加载的载荷为开源远控。BYOVD滥用过时驱动以对抗杀软B

125、YOVD，全称为 Bring your own vulnerable driver，即攻击者向目标环境植入一个带有漏洞的合法驱动程序，再通过漏洞利用获得内核权限以杀死/致盲终端安全软件等，该项技术主要应用于攻击者获得系统权限后的提权操作，利用合法驱动的安全漏洞执行内核级权限操作以关闭杀毒软件，实现长期潜伏并窃取情报的恶意操作。在 BYOVD 利用工具的选择上，攻击者可能会进行自主开发或利用开源项目，而部分自主开发的工具也是基于开源项目进行改进的，如在 2023 年的攻击活动中 APT 组织 UNC2970 和勒索组织 Lockbit 分别使用了自己的 BYOVD 利用工具LIGHTSHOW 和

126、 AuKill，其中 AuKill 与开源 BYOVD 利用项目 Backstab 存在相似性。另一方面，Lockbit 的确在 2022 年11 月的勒索攻击中直接合入了 Backstab 开源工具，同样被勒索组织合入的 BYOVD 利用工具还有 SpyBoy Terminator，该工具于 5 月下旬在网上公开售卖，后被 BlackCat 用于真实的勒索攻击。在 BYOVD 利用成本上，LOLDrivers 项目记录在案的，可供攻击者滥用的合法驱动程序数量在 700+，除此之外，还存在着一些未被记录的或仅被攻击者所掌握的可用于攻击活动的合法驱动程序，这意味着攻击者拥有一个充足的库来发起BY

127、OVD 攻击。此外，在 Github 上进行检索可以发现一系列 BYOVD 利用工具，它们分别包括摘除杀软回调、Kill 杀软进程、关闭/开启 PPL 保护，和关闭/开启强制签名校验等多种高级攻击技巧，这些利用工具涵盖的功能几乎满足了攻击者的所有需求，攻击者也可以基于此系列项目记录的驱动漏洞利用原理，挖掘和开发未知的驱动利用。这项技术最初主要被如 Turla 和方程式这样的顶级 APT 组织所使用，而随着攻击成本的降低，其它攻击组织也逐渐开始使用这项技术，以BYOVD为标签进行检索可以发现在更早些时候就已经有不同的攻击组织在真实攻击活动中使用此项技术。目前，BYOVD 技术从最初被顶尖 APT

128、 组织所使用，发展到如今越来越广泛的利用在 APT 攻击当中。662023网络安全深度洞察及2024年趋势研判网络钓鱼战术升级加大迷惑性在 2023 年的 APT 和黑灰产组织的攻击活动中发现，攻击者在网络钓鱼上的投入增加，通过不断改变策略和手段，使得钓鱼邮件和网站更加逼真，增加了用户识别的难度。同时，社会工程攻击也在不断演变，利用新的社交平台和通讯工具进行钓鱼攻击，使得防范变得更加复杂。总之，2023 年钓鱼攻击的手法、社会工程、组合利用上都体现出了精心的设计，展现出以下几个方面特点。精细化的社会工程学打点为了达到钓鱼攻击以假乱真的效果，在攻击之前攻击者需要针对受害者进行社会工程学的调查，对

129、受害者的个人信息、工作环境、接触人群等社会关系进行信息收集，充分了解受害者某个领域中的惯性行为。在 2023 年发现针对我国的航空航天领域的攻击中，CNC 组织在暗网中收集得到了某受害者被泄露的个人信息和邮箱账号密码等等，再通过基本信息的社会工程学打点后，伪装为受害者本人，与其账号中的联系人进行正常沟通，并在正常的对话中投递钓鱼邮件，难以被察觉。更加定向性的鱼叉式网络钓鱼攻击者提高攻击成本，使用更加定向性的鱼叉式钓鱼攻击，将受害者近期邮箱活动与攻击行动结合，真假难辨。在针对国内科研教育的攻击中，攻击者首先通过其他渠道获得多个研究人员个人邮箱，监控其中的论文投递情况，当出现近期投递的论文，攻击者

130、在适当的时间，模拟期刊方，向几位文章作者发送“论文校对”邮件，邮件包含该论文的编号、投递时间、在线发表地址等信息。而在论文投递后的论文作者将会密切关注其论文投递后的状态变更，使作者通常会无防备的点击该邮件中的链接。生成式人工智能加剧网络钓鱼自 ChatGPT 推出以来，电子邮件网络钓鱼大幅增加，WormGPT、FraudGPT 等多个恶意的大模型在暗网市场中流通，降低了攻击者制作商业电子邮件的门槛，帮助攻击者能够轻易制作更加逼真的攻击话术和诱饵。根据SlashNext Threat Labs intelligence 观察发现，2023 年在 ChatGPT 发布之后，恶意钓鱼邮件数量增加了1

131、265%，呈指数级增长趋势。巧妙的话术和高度伪装的诱饵钓鱼攻击的关键之处就在于邮件话术和诱饵的逼真程度，越真实、越符合正常业务和沟通逻辑的钓鱼邮件可以使攻击者在遭受攻击后几乎无法感知，不仅能保障钓鱼攻击的成功率还能使其攻击行为持续潜伏。随着国家对反诈知识的宣传，人们对于钓鱼邮件的警惕与防范大大提高。与此同时，攻击者也不断提高其在钓鱼攻击上的迷惑性，来提高钓鱼攻击成功率。在 2023 年针对我国科研教育行业的钓鱼攻击中，发现存在针对于即将发表论文的作者投递进行“论文校对”或“论文确认”的钓鱼邮件，其中邮件内容除链接外，均与真实邮件完全相同，难以辨认，且及其贴合目标近期的正常业务活动，攻击成功率极

132、高。672023网络安全深度洞察及2024年趋势研判典型APT攻击事件某高校高新行业实验室被高精准社工鱼叉攻击2023 年 2 月至 4 月，境内某高校与国内高新产业相关的近百名教职工、学生遭到境外以窃取情报为目的的定向网络攻击，已知至少 3 名教师，2 名学生的个人主机被植入窃密木马，至少 4 台主机被窃取文件。攻击者使用“faculty-confirmation”、“GENO2185234 论文校对”、“APCATS 等会议 Co-chair 邀请”三种伪装程度极高的邮件话术进行钓鱼邮件攻击，受害者运行攻击者提供的程序后，下载后续阶段远控、反弹 shell、浏览器窃密、文件窃密、U 盘摆渡

133、木马等恶意程序，其最终目的是窃取并持续监控受害者机器上的文档文件。此次攻击中，攻击者疑似首先在暗网获取了大量受害者信息，包括基本信息、邮箱账密等等，对受害者信息了如指掌。在获取到受害者邮箱权限后，攻击者监控到了能够编写定向钓鱼邮件的邮件主题和语料，包含顶会邀请、论文校对等等，使其伪造的钓鱼邮件十分逼真，引发大量受害者点击。攻击者甚至伪装为与教授私交甚好的他国高校教授与受害者进行长达十几封的邮件往来交流也没有被识破身份，极具迷惑性。在 2023 年实际对我国的 APT 钓鱼攻击事件中发现，APT 组织在对目标组织和目标受害者的社工程度比以往更深，其具备高精准的社工思维和技巧制作大量难辨真伪的诱饵

134、，并通过长期的潜伏伪装让受害者防不胜防。蔓灵花利用开源远控组件攻击某政府机关单位2023 年 1 月 11 日，根据深信服千里目安全技术中心监控发现某政府机关单位某终端主机与 APT 组织基础设施存在通信行为。根据进一步排查发现，该终端在1月4日点击钓鱼邮件中的恶意域名并下载了攻击载荷文件。还原攻击过程为攻击者向受害者投递恶意邮件后，受害者点击恶意邮件中的附件，执行 chm 恶意附件导致创建恶意计划任务，从而被 APT 组织控制。邮件中投递的件 chm 恶意附件在点击后将会创建计划任务“AdobeUpdater”并调用 msiexec 远程下载 cert.msi 文件作为攻击载荷并执行，从而释

135、放了远控组件 scroll_.exe，经过分析，确认该文件为蔓灵花组织一直在使用的 DarkRAT 远控，本次攻击者对该远控进行了混淆，该远控组件由开源远控 DarkAgent 项目修改而成，其参考的开源项目地址为https:/ cert.msi 文件的远程地址“”为印度 APT 组织蔓灵花的 C2 服务器。在终端取证中发现该终端还存在异常启动项 ceve.exe，根据启动项定位文件位置，发现该文件创建时间为 1 月 4 日15:45:40，通过深信服专用 APT 沙箱平台分析发现该程序为远控木马，关联域名 ，而该域名在开源情报中已经被披露归因为蔓灵花 APT 组织。攻击者还多次尝试使用了远控

136、工具 anydesk，但因为单位策略设置拒绝访问未成功连接。研究员上机取证后，第一时间对失陷终端中的驻留项和恶意文件进行了清除。开源组件利用在 APT 攻击中越发常见，开源组件二次开发形成恶意组件的方式极大地减少了一些攻击能力较弱的组织的研发成本，并使得攻击溯源更加困难。682023网络安全深度洞察及2024年趋势研判UNC4736组织利用双重供应链攻击3CX公司2022 年 UNC4736 组织对 Trading Technologies 公司开发的 X_TRADER 交易软件进行篡改，在其源代码中插入恶意程序（称为 VEILEDSIGNAL）投放在软件官网上，该恶意程序允许攻击者获得软件使

137、用者的计算机访问权限并窃取网络凭据。2022 年 9 月至 11 月期间，UNC4736 利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。2023 年 3 月，大型企业级电话管理系统供应商 3CX 遭受严重供应链攻击，该公司 3CX 桌面应用程序软件被 UNC4736 组织注入恶意程序，并投放在官方下载渠道传播。经过调查发现，此次事件是由 2022 年 X_TRADER 交易软件的供应链攻击事件导致。根据 Mandiant 对 3CX 公司受攻击情况调查发现，由于 3CX 员工意外下载被污染的 X_TRADER 应用程序，从而被

138、UNC4736 窃取了 3CX 公司的办公环境的网络登录凭据，UNC4736 使用同样的源代码污染方式在 3CX 桌面应用程序植入恶意代码，并将其投放在官方下载渠道中。此次攻击所涉及该软件的Windows、Linux 和 MacOS版本，据3CX官网显示，目前，3CX 的产品和服务已经覆盖全球 160 多个国家，并且已经拥有超过 60 万企业用户，日活跃用户超过 1200 万，此事件影响面极大。根据 Mandiant 的调查将此次事件高度归因于 UNC4736 组织，并与东亚某国家有联系，根据公开情报发现 UNC4736 隶属于 Lazarus 组织。此事件后，在 2023 年 Lazarus

139、 开始瞄准软件供应商开展持续的攻击部署，并利用第三方开发工具的供应链攻击。该事件是首次发现的软件供应链攻击事件导致的软件供应链攻击，被广泛称为“双重供应链”攻击事件。双重供应链攻击将其传播范围广的特性再次放大，将两条软件供应链上下游给串联起来，实现难以察觉的连环攻击，并保持长期存在的攻击效果。该事件的攻击效果为黑客组织提供了攻击新思路，可能将吸引更多黑客组织转向使用该手段，从攻击目标源头供应商入手，部署更加复杂的软件供应链攻击。美国情报机构针对iOS设备的移动端APT活动俄罗斯联邦安全局（FSB）发现了美国政府新的“监控证据”，俄方确信美国政府正通过入侵数千部 iPhone 手机，来监控俄罗斯

140、本国以及外国公民，受监控的群体还包括一些国家的在俄外交官。总部位于俄罗斯首都莫斯科的著名网络安全公司卡巴斯基实验室也表示，该公司有数十名员工的个人电子设备在美国政府的间谍活动中遭到破坏。2023 年 6 月 1 日，卡巴斯基发布了一篇报告表示，公司高层和中层管理人员的 iPhone 数据被盗，这是代号为“三角测量行动”的 APT 攻击的一部分。三角测量行动的第一批痕迹可以追溯到 2019 年，此次攻击行动利用的是零点击漏洞，因此不需要用户进行任何交互，通过iMessage收到受感染的消息后，设备将被感染，并在受感染的iPhone中部署APT工具包。在后续的调查跟进中发现，该植入程序被卡巴斯基命

141、名为 TriangleDB，是在攻击者利用内核漏洞获得目标 iOS 设备的 root 权限后部署的。它部署在内存中，这意味着当设备重新启动时，植入物的所有痕迹都会丢失。因此，如果受害者重新启动设备，攻击者必须通过发送带有恶意附件的 iMessage 来重新感染设备，从而再次启动整个漏洞利用链。如果没有重新启动，植入程序将在 30 天后自行卸载，除非攻击者延长此期限。一旦植入程序启动，它就会开始与 C2 服务器通信，使用 Protobuf 库交换数据。苹果在 7 月 24 日再次发布了安全更新通告，以解决针对 iPhone、Mac 和 iPad 的攻击中被利用的零日漏洞，该漏洞被追踪为 CVE-

142、2023-38606。据卡巴斯基 GReAT 首席安全研究员 Boris Larin 称，CVE-2023-38606 是用于通过 iMessage 漏洞在 iPhone 上部署三角测量行动间谍软件的零点击漏洞链的一部分。此次修复的漏洞影响的设备列表相当广泛，包括各种iPhone 和 iPad 机型，以及运行 macOS Big Sur、Monterey 和 Ventura 的 Mac。美国针对全球无差别的情报监控已陆续被各国发现，俄罗斯安全厂商卡巴斯基披露了美国利用 Apple 漏洞一系列的攻击行为，除俄罗斯外，包括以色列、叙利亚和中国都在此次监控范围内。692023年网络安全状况特点及20

143、24年趋势研判UNC4736组织利用双重供应链攻击3CX公司2022 年 UNC4736 组织对 Trading Technologies 公司开发的 X_TRADER 交易软件进行篡改，在其源代码中插入恶意程序（称为 VEILEDSIGNAL）投放在软件官网上，该恶意程序允许攻击者获得软件使用者的计算机访问权限并窃取网络凭据。2022 年 9 月至 11 月期间，UNC4736 利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。2023 年 3 月，大型企业级电话管理系统供应商 3CX 遭受严重供应链攻击，该公司 3CX 桌面应

144、用程序软件被 UNC4736 组织注入恶意程序，并投放在官方下载渠道传播。经过调查发现，此次事件是由 2022 年 X_TRADER 交易软件的供应链攻击事件导致。根据 Mandiant 对 3CX 公司受攻击情况调查发现，由于 3CX 员工意外下载被污染的 X_TRADER 应用程序，从而被UNC4736 窃取了 3CX 公司的办公环境的网络登录凭据，UNC4736 使用同样的源代码污染方式在 3CX 桌面应用程序植入恶意代码，并将其投放在官方下载渠道中。此次攻击所涉及该软件的Windows、Linux 和 MacOS版本，据3CX官网显示，目前，3CX 的产品和服务已经覆盖全球 160 多

145、个国家，并且已经拥有超过 60 万企业用户，日活跃用户超过 1200 万，此事件影响面极大。根据 Mandiant 的调查将此次事件高度归因于 UNC4736 组织，并与东亚某国家有联系，根据公开情报发现 UNC4736 隶属于 Lazarus 组织。此事件后，在 2023 年 Lazarus 开始瞄准软件供应商开展持续的攻击部署，并利用第三方开发工具的供应链攻击。该事件是首次发现的软件供应链攻击事件导致的软件供应链攻击，被广泛称为“双重供应链”攻击事件。双重供应链攻击将其传播范围广的特性再次放大，将两条软件供应链上下游给串联起来，实现难以察觉的连环攻击，并保持长期存在的攻击效果。该事件的攻击

146、效果为黑客组织提供了攻击新思路，可能将吸引更多黑客组织转向使用该手段，从攻击目标源头供应商入手，部署更加复杂的软件供应链攻击。美国情报机构针对iOS设备的移动端APT活动俄罗斯联邦安全局（FSB）发现了美国政府新的“监控证据”，俄方确信美国政府正通过入侵数千部 iPhone 手机，来监控俄罗斯本国以及外国公民，受监控的群体还包括一些国家的在俄外交官。总部位于俄罗斯首都莫斯科的著名网络安全公司卡巴斯基实验室也表示，该公司有数十名员工的个人电子设备在美国政府的间谍活动中遭到破坏。2023 年 6 月 1 日，卡巴斯基发布了一篇报告表示，公司高层和中层管理人员的 iPhone 数据被盗，这是代号为“

147、三角测量行动”的 APT 攻击的一部分。三角测量行动的第一批痕迹可以追溯到 2019 年，此次攻击行动利用的是零点击漏洞，因此不需要用户进行任何交互，通过iMessage收到受感染的消息后，设备将被感染，并在受感染的iPhone中部署APT工具包。在后续的调查跟进中发现，该植入程序被卡巴斯基命名为 TriangleDB，是在攻击者利用内核漏洞获得目标 iOS 设备的 root 权限后部署的。它部署在内存中，这意味着当设备重新启动时，植入物的所有痕迹都会丢失。因此，如果受害者重新启动设备，攻击者必须通过发送带有恶意附件的 iMessage 来重新感染设备，从而再次启动整个漏洞利用链。如果没有重新

148、启动，植入程序将在 30 天后自行卸载，除非攻击者延长此期限。一旦植入程序启动，它就会开始与 C2 服务器通信，使用 Protobuf 库交换数据。苹果在 7 月 24 日再次发布了安全更新通告，以解决针对 iPhone、Mac 和 iPad 的攻击中被利用的零日漏洞，该漏洞被追踪为 CVE-2023-38606。据卡巴斯基 GReAT 首席安全研究员 Boris Larin 称，CVE-2023-38606 是用于通过 iMessage 漏洞在 iPhone 上部署三角测量行动间谍软件的零点击漏洞链的一部分。此次修复的漏洞影响的设备列表相当广泛，包括各种iPhone 和 iPad 机型，以及

149、运行 macOS Big Sur、Monterey 和 Ventura 的 Mac。美国针对全球无差别的情报监控已陆续被各国发现，俄罗斯安全厂商卡巴斯基披露了美国利用 Apple 漏洞一系列的攻击行为，除俄罗斯外，包括以色列、叙利亚和中国都在此次监控范围内。692023网络安全深度洞察及2024年趋势研判蔓灵花组织利用国产办公软件开展钓鱼攻击2023 年 8 月，深信服千里目安全技术中心发现，蔓灵花组织开始投递国内相关文档办公软件制作的恶意 PPT 文档，其投递的恶意文档，诱导目标执行该文件创建恶意计划任务下载第二阶段载荷，该攻击手法没有发生较大变化。在最新的攻击行动中发现，此批恶意 PPT

150、文档的恶意利用流程如下，通过在 PPT 中插入图片，并设置该图片“鼠标单击”与“鼠标悬停”等动作，在动作设置中选择动作触发运行程序，并在运行程序中设置恶意命令，以启动 CMD 命令创建恶意任务计划“AudioDg”。使得受害者打开 PPT 浏览时鼠标滑过或者点击到图片将执行恶意命令，执行恶意操作，而其中的恶意命令是专门针对某国产办公软件构造的，该软件会解析该命令并弹出操作框诱导用户进行下一步点击操作。本次事件揭露该组织正在尝试分析国内相关软件特性及软件漏洞并加以利用，对我国开展更加定向性的攻击活动。APT攻击态势小结（一）2023 年国家间攻击对抗持续加剧，政治冲突推动网络攻击更为激烈。根据公

151、开披露的活动频率来看，东亚地区的 Lazarus 组织的活跃程度最高，该组织目标遍布全球，在 2023 年表现出对软件供应商的高度攻击态势；根据深信服千里目安全技术中心监测数据来看，针对我国开展频繁攻击的以东南亚和南亚地区APT 组织为主，其中海莲花、蔓灵花、摩柯草对我国表现出高度活跃的攻击趋势。（二）APT 组织在钓鱼攻击的社工上越发精细，所制作的诱饵越发具有迷惑性。随着大众对钓鱼攻击和诈骗信息的防范性逐渐提高，APT 组织的钓鱼诱饵制作采取了更加定向性的社会工程学分析并与窃取的真实文件相结合，制作出难以辨别真伪的钓鱼邮件信息，使得受害者防不胜防，在 2023 年实际捕获的 APT 攻击事件

152、中，APT 组织体现精细的前期打点工作，其通过多种渠道的社工手段将受害者信息和钓鱼背景全面掌握，制造出与受害者日常工作内容几乎一致的钓鱼诱饵，使得其攻击具有极高成功率。（三）供应链攻击成为 APT 组织获取初始权限的流行方式。自影响全球的 SolarWinds 供应链攻击事件爆发以来，越来越多的 APT 组织开始瞄准目标上游供应商，2023 年上半年的3CX 双重供应链攻击事件影响力尤为突出，双重供应链攻击将其传播范围广的特性再次放大，将持续吸引更多组织利用该攻击手法。（四）开源组件在 APT 攻击中广泛使用，以降低攻击成本和攻击反溯源效果。在 2023 年检测到的 APT 攻击活动中，越来越

153、多的组织开始利用开源组件二次开发的攻击组件，尤其集中在远控组件上。开源组件的二次开发利用极大的减少了 APT 组织在攻击成本上的消耗，且具备能够快速迭代更新以保持不断变化的攻击能力，这些快速迭代的对抗技巧也使得 APT 组织和安全企业之间的攻防较量更为复杂和激烈，溯源归因难度也越来越高。（五）BYOVD 技术正广泛应用于各大 APT 攻击活动中。BYOVD 技术从最初被顶尖 APT 组织所使用，发展到如今被越来越广泛的利用在各种网络攻击当中，未来这项技术的使用频率可能会进一步增加，且更加自动化。702023网络安全深度洞察及2024年趋势研判2024年重点关注趋势2023 年以 ChatGPT

154、 为代表的生成式人工智能给各行业带来了生产力变革，人工智能的快速落地的同时也带来了新的网络安全威胁，一方面 AI 可以为网络攻击提供便利，带来内容安全和数据安全方面的风险，如钓鱼邮件制作、恶意代码生成、虚假信息制造、非法数据处理等等，甚至能帮助攻击者快速识别系统漏洞和创造更复杂的利用条件，增强网络攻击的能力和效率。另一方面 AI 自身面临的安全问题需加强重视，包括 AI 的过度滥用带来的隐私安全问题、数据中毒为代表的对抗性攻击以及算法的偏差利用等等。2023 年各行业大模型涌现，然而，快速的推动大模型落地往往会使人们沉浸在 AI 的强大特性中，从而忽视掉 AI 本身存在的各种安全问题，若不加以

155、处置和预防，使之被攻击者利用，将可能导致 AI 模型“中毒”，生产出有危害内容。生成式 AI 加强的网络攻击活动需重点关注，同时 AI 技术自身安全问题也不容忽视2023 年针对软件供应链的网络攻击在 APT 攻击中频繁发生，主要表现为针对开源组件项目中插入恶意软件依赖包和针对软件供应商的攻击以篡改合法程序。然而当前这两种主要的供应链安全威胁在国内外都还无法有效的杜绝，如何及时发现污染并快速遏制影响仍旧是主要的软件供应链安全问题。2024 年攻击团伙针对软件供应链的黑灰产业链规模将不断扩大，供应链攻击即服务将为攻击者提供有效的软件供应链攻击利用包和潜在受害者群体，将降低供应链攻击使用门槛。软件

156、供应链攻击的影响规模不可忽视，且其已成为国家级对抗攻击的常用手段，在当前攻击威胁不断扩大的情况下，如何加强治理以应对威胁还需要持续关注和思考。软件供应链安全风险将持续加大，需重点关注相关治理方法以应对不断增长的攻击威胁随着边缘计算技术的快速发展，智慧城市、智慧家居、智慧医疗自动驾驶等新概念逐渐应用于人们的实际生活当中，物联网、车联网设备接入网络中，实现在采集端侧的快速边缘计算。而这项技术快速发展应用同样吸引了网络攻击者目光，在2023 年 7 月武汉市应急管理局发布声明称，武汉市地震监测中心遭受境外有政府背景的黑客组织的网络攻击，并在前端采集设备中发现能够非法控制并窃取地震数据的木马程序。此外

157、，在网络战争中频频发现针对网络摄像头、大屏显示器的攻击行为。未来网络攻击者将可能针对智慧城市、数字孪生等新概念场景中渗透，将监视范围扩展到物联网采集设备、智慧大屏、联网汽车系统等设备中。针对边缘计算的攻击将越来越流行，物联网、车联网、智慧城市等新技术安全需重点关注712023网络安全深度洞察及2024年趋势研判2021 年以色列 NSO 集团的 Pegasus 飞马间谍软件监听多国元首和政界要员事件成为国际焦点。此事曝光后，针对于移动设备的情报间谍活动引起了广泛关注。2023 年，俄罗斯卡巴斯基曝光了针对 iOS 设备的新型隐秘式间谍活动，称为“三角测量行动”，利用此次行动美国通过移动设备对全

158、球进行无差别网络攻击。根据俄罗斯联邦安全局声明称，俄罗斯境内发现数千台苹果手机被植入未知恶意软件，还发现了其他国家号码和使用在俄罗斯注册的外交机构和大使馆的 SIM 卡的用户也受到感染，包括北约成员国、后苏联地区国家以及以色列、南非和中国。针对移动设备的攻击已成为情报窃取的一大趋势，未来可能将会看到向随身智能设备扩展的网络攻击，包括智能芯片、操作系统等等。随着 AI 的应用，将进一步帮助攻击者分析移动设备中采集的数据形成用户画像，加剧网络间谍活动。扩展到移动终端的高级威胁攻击，针对移动设备的情报窃取将成为间谍活动的攻击趋势数据跨境流动已是国际经济发展的要素，大国针对跨境数据流动规则主导权的争夺

159、将成为数字经济发展中的常态，2023年各国积极构建数据跨境多边规则达成合作共识，以促进盟友间的数据跨境流动规则。可预见的是，今后数据跨境流动规则将形成多边博弈的趋势，形成复杂的数据流动圈层。而西方国家主导的一贯的排华举措来看，将可能形成不利于我国数据跨境流动的规则。如何有效促进我国数据跨境的有效流动，加强多边合作，防止别国对我国数据跨境流动进行限制和孤立以遏制我国的数字化经济发展，保障我国数据流动权益等是仍需持续关注的重点方向。数据跨境流动越发复杂，国际数据跨境流动的发展形势需重点关注722023网络安全深度洞察及2024年趋势研判参考链接CNVD 安全公告https:/ 漏洞通告https:

160、/ 年战略计划”https:/www.cisa.gov/strategic-plan美国网络安全和基础设施安全局漏洞披露策略（VDP）https:/www.cisa.gov/resources-tools/resources/vulnerability-disclosure-policy-vdp-platform-fact-sheet美国网络安全和基础设施安全局约束性操作指令(BOD)22-01https:/www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulner

161、abilities谷歌零号计划https:/ 年关键基础设施网络事件报告法案(CIRCIA)https:/www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia美国网络安全和基础设施安全局勒索软件漏洞警告试点(RVWP)https:/www.cisa.gov/stopransomware/Ransomware-Vulnerability-Warning-Pilot国家互联网信息办公室关

162、于网络安全事件报告管理办法（征求意见稿）公开征求意见的通知http:/ 国家金融监督管理总局关于促进网络安全保险规范健康发展的意见https:/ 恶意软件在国际网络攻击中遭到破坏https:/www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedownzscaler 关于 DarkGate 恶意软件攻击活动和趋势分析https:/ Top Russian Dark Web Forumhttps:/webz.io/dwp/xss-the-top-russian-dark-web-forum/8

163、Base ransomware group leaks data of 67 victim organizationshttps:/ Cybercrime Forums to Monitor in 2023https:/flare.io/learn/resources/blog/top-cybercrime-forums/韩国 PIPC 发布 2023 年工作计划，将跨境数据传输作为重点领域之一https:/www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=8550EDPB 发布

164、关于欧盟-美国数据隐私框架充分性决定草案的意见https:/edpb.europa.eu/news/news/2023/edpb-welcomes-improvements-under-eu-us-data-privacy-framework-concerns-remain_enUAC-0114(Winter Vivern)组织与乌克兰和波兰国家机构相关的活动(CERT-UA#5909)https:/cert.gov.ua/article/3761023Shuckworm APT IOChttps:/1275.ru/ioc/2192/shuckworm-apt-iocs/俄罗斯 APT29 的

165、演变新的攻击和技术被发现https:/ the LIGHTSHOW(Part Two)LIGHTSHIFT and LIGHTSHOWhttps:/ BYOVD 的 Sliver 恶意软件https:/ SPIDER 利用 Windows 安全缺陷，通过自带易受攻击的驱动程序策略来尝试绕过端点安全https:/ BlackCat 的入口媒介，演员还利用 SpyBoy Terminatorhttps:/ 杀手恶意软件滥用 Process Explorer 驱动程序https:/ 虚拟化在恶意广告攻击中蓬勃发展https:/ 防御规避工具在线广告https:/ 年十大网络安全趋势和预测https:

166、/ 设备被以前未知的恶意软件攻击https:/ 年高级威胁预测https:/ 年犯罪软件和金融网络威胁https:/ APT窃密攻击风险关于近期南亚 APT 组织在境内高度活跃报告疑似 CNC 组织最新攻击动态分析，AI 模型验证归因关于 CNC 组织对境内高校科研单位实施 APT 攻击事件通告摩诃草组织（APT-Q-36）借 Spyder下载器投递 Remcos 木马关于近期南亚 APT 组织在境内高度活跃报告疑似摩诃草组织利用 WarHawk 后门变种 Spyder 窥伺多国对开源项目情有独钟的 Patchwork组织Patchwork组织更新技术卷土重来，针对境内教育科研单位再次发起攻击

167、行动https:/ APT组织攻击动态报告信息762023网络安全深度洞察及2024年趋势研判攻击动态链接披露厂商组织披露时间蔓灵花2023年03月24日2023年04月04日2023年11月21日深信服ASECIntezer蔓灵花组织投向国产办公软件的目光与 winrar 漏洞之触Bitter 组织传播针对中国机构的CHM 恶意软件APT 组织 BITTER 针对中国核能行业的钓鱼活动https:/ 2023 年初攻击行动汇总与新组件分析https:/ Lazarus（APT-Q-1）涉及 npm包供应链的攻击样本分析https:/ winrar 漏洞之触Bitter 组织传播针对中国机构的

168、CHM 恶意软件APT 组织 BITTER 针对中国核能行业的钓鱼活动https:/ 2023 年初攻击行动汇总与新组件分析https:/ Lazarus（APT-Q-1）涉及 npm包供应链的攻击样本分析https:/ 组织入侵台湾省讯连科技公司以实施供应链攻击Lazarus 组织瞄准软件供应商部署SIGNBT 恶意软件https:/ 组织利用 TeamCity 服务器漏洞实施软件供应链攻击https:/ 组织工具 Volgmer 后门及其加载器 Scout 分析https:/ 组织持续开展 VMConnect供应链攻击活动h t t p s:/w w w.r e v e r s i n g

169、- 组织在全球范围内部署新侦察工具 ReconShark2023年08月24日2023年08月24日2023年07月18日思科思科GitHubLazarus 组织通过 ManageEngine历史漏洞部署 QuiteRATLazarus 组织重用其基础设施传播新工具 CollectionRATLazarus 利用恶意 npm 依赖软件的GitHub 存储库开展攻击h tt p s:/b l o g.ta l o s i n te l l i- tt p s:/b l o g.ta l o s i n te l l i- 3CX 供应链攻击组织相关联的Linux 样本分析https:/ 组织向韩

170、国研究机构分发恶意钓鱼文件Kimsuky 组织使用 RDP 服务控制受害主机https:/ 组织利用代币兑换和投资相关诱饵文档攻击投资领域用户Kimsuky 组织再次使用定制工具RandomQuery 进行间谍攻击https:/ 组织借助 ADS 隐藏恶意软件Kimsuky 组织正利用 OneNote 文件分发恶意软件https:/ APT 组织“双异鼠”针对我国的大规模网络攻击行动https:/ APT 团伙连续两年在攻防演练活动中浑水摸鱼https:/ pointWarSunflower（战争葵花）组织针对 CIS 国家及中亚地区的最新攻击行动分析Gamaredon 组织利用 USB 蠕虫

171、病毒 LitterDrifter 针对乌克兰https:/ Shuckworm 长期入侵乌克兰h t t p s:/s y m a n t e c-e n t e r-prise- 组织针对乌克兰当局开展间谍活动Gamaredon 组织利用 Telegram 瞄准乌克兰政府部门https:/cert.gov.ua/article/3761023https:/ a n-e m b a s s y-l u r e-l i k e-ly-part-of-campaign-against-nato-aligned-ministries-of-foreign-affairs2023年08月10日EclecticIQ疑似 APT29 组织使用德国大使馆外交内容作为诱饵传播恶意 PDF 文件https:/ 借助 Microsoft Teams 服务针对全球组织开展钓鱼活动2023年07月25日Avertium俄罗斯 APT29 组织历史活动轨迹详情披露https:/ o u r c e/e v o l u t i o n-o f-r u s-sian-apt29-new-attacks-and-techniques-uncovered792023网络安全深度洞察及2024年趋势研判