奇安信：全球高级持续性威胁（APT）2022年中报告（72页）.pdf

1、主要观点/全球高级持续性威胁（APT）2022 年中报告2022 上半年全球范围内，国防军事相关的攻击事件占比达到 21%，成为继政府之后的第二大攻击目标。另外，金融、能源行业相关攻击事件也增长较多，占比分别为 13%、11%。俄乌冲突使得该地区成为 APT 攻击的重灾区，数据擦除软件攻击不断出现。随着冲突的升级，全球黑客也各自选边站队，卷入乱局。网络信息舆论战也成为网络战中的重要一环。针对我国国内的攻击主要来自周边地区的 APT 组织，攻击主要集中在 5、6 月份。从受害行业来看，针对金融和互联网科技的攻击较去年有所增长。2022 上半年以来，0day 漏洞仍是攻击者喜好的一大攻击武器；在经

2、济利益的驱使下，针对金融行业的攻击加剧；受俄乌冲突影响，国防军事目标也成为攻击热点。2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年的0day 在野漏洞攻击依然有所增加。以浏览器为核心的漏洞攻击向量仍然是主流趋势，其中大部分为沙箱逃逸漏洞，主要源自之前漏洞补丁绕过的变种。全球高级持续性威胁（APT）2022 年中报告主要观点M A I N P O I N T S全球高级持续性威胁（APT）2022 年中报告摘要/全球高级持续性威胁（APT）2022 年中报告奇安信威胁情报中心使用奇安信威胁雷达对 2022 上半年境内的 APT 攻击活

3、动进行了全方位遥感测绘。数据表明，河南是上半年以来 APT 组织的重点目标地区，经济发达的北京、广东及上海地区依然位为前列，其次是江苏、福建、山东等沿海地区。针对我国目标进行高频攻击的 APT 组织主要为海莲花、APT-Q-12、金眼狗等。攻击者主要针对我国政府机构、金融、互联网科技等行业进行攻击。2022 上半年内，奇安信威胁情报中心收录了高级持续性威胁相关公开报告总共 181 篇。其中，提及率最高的 5 个 APT 组织分别是：Gamaredon 6.8%，Lazarus 6.2%，Kimsuky 5.7%，C-Major 4.6%，海莲花 4%。涉及政府的攻击事件占比为 27%，其次国防

4、军事相关事件占比为 21%，金融占比 13%、能源占比 11%。俄乌冲突中，多方势力在网络空间这个不见硝烟的战场上进行着激烈较量，其中既有国家背景 APT组织的踪迹，也有普通黑客团体的活跃身影，还有多国在网络信息舆论战上的对抗。在俄乌冲突背景下的网络战中常出现的攻击手段有：数据擦除攻击、分布式拒绝服务（DDoS）攻击、以信息窃取为目的的 APT 攻击，以及网络信息舆论战。2022 年上半年 0day 漏洞的攻击使用整体趋于缓和，比之 2021 年有大幅下降，但同比 2020 年却有所上升。奇安信威胁情报中心梳理发现，以浏览器为核心的漏洞攻击向量依然是主流趋势。其中Chrome，Firefox，

5、Safari 及对应平台下 Windows，MacOS，IOS 的沙箱逃逸漏洞占所有漏洞近 7 成，这里面近 5 成漏洞源自之前漏洞补丁绕过的变种。摘 要ABSTRACT邮箱：ti_ 电话：95015 官网：https:/摘要/全球高级持续性威胁（APT）2022 年中报告关键字：俄乌冲突、高级持续性威胁、APT、0day、军事第一章 俄乌冲突背景下的网络战一、奇安信威胁雷达境内遥测分析二、网络战特点三、由俄乌冲突引发的其他 APT 攻击事件第二章 中国境内高级持续性威胁综述 一、奇安信威胁雷达境内遥测分析二、2022 上半年针对我国的活跃组织三、2022 上半年境内受害行业分析第三章 全球高

6、级持续性威胁综述 一、全球高级威胁研究情况二、受害目标的行业与地域三、活跃高级威胁组织情况四、2022 上半年高级威胁活动特点第四章 APT 攻击中的漏洞利用一、新兴的浏览器巨头：Lazarus二、进击的向日葵三、IoT 路由沦为 APT 团伙攻击的前哨站四、Driftingcloud：新兴的 0day 团伙五、传承：CVE-2022-30190全球高级持续性威胁（APT）2022 年中报告目录/全球高级持续性威胁（APT）2022 年中报告目 录01010507080811161717181819222323242425CATALOGUE第五章 地缘下的 APT 组织、活动和趋势一、东亚地区