天际友盟：2022年上半年全球主要APT攻击活动报告（15页）.pdf

1、2022-08双子座实验室2022 年上半年全球主要 APT 攻击活动报告2022 年上半年全球主要 APT 攻击活动报告目录CONTENTS01 APT 组织 2022 上半年全球攻击活动概述 402 APT 组织 2022 上半年攻击数据披露 503 2022 年上半年重大 APT 攻击活动 804 APT 组织上半年全球攻击活动总结 1105 2022 年上半年 APT 组织活动时间表 12342022 年上半年全球主要 APT 攻击活动报告APT 组织 2022 上半年全球攻击活动概述012022 年上半年，天际友盟持续对 APT 威胁组织活动进行追踪总结，总共披露了全球 50 多个

2、APT 组织80 多起攻击活动，结合全球安全机构及厂商对 APT 组织的分析，我们总结出 2022 年上半年 APT 组织活动具有如下特点地缘政治冲突激化网络安全热门高危漏洞迅速武器化勒索软件攻击更为频繁2022 年 2 月开始的俄乌战争把地缘政治冲突推向了顶点。随着战争的推进，网络安全空间冲突不断升级，各方势力相继下场，俄乌双方迅速成为黑客组织攻击的首要目标。在俄乌冲突中，双方都将网络攻击目标瞄准在政府、军事、能源、关键基础设施等领域，在作战力量上，国家力量、黑客组织、民间力量成为俄乌冲突网络作战的主力。而在攻击手段上，双方采用了 DDoS 攻击、钓鱼欺诈、漏洞利用、供应链攻击、木马后门、勒

3、索软件等攻击方式，极大的扩展了网络攻击的杀伤面，造成了严重的影响。APT 组织对 0day 及热门高危漏洞利用步伐大大加快，今年上半年，除了去年 12 月底爆出的 Log4Shell(CVE-2021-44228)漏洞被伊朗黑客 APT35 利用分发新型模块化 PowerShell 后门及 Lazarus 组织利用其传播后门软件 NukeSped 以外，5 月底爆出的 Windows 支持诊断工具(MSDT)远程代码执行漏洞 Follina(CVE-2022-30190)迅速被俄罗斯黑客组织 APT28 和 Sandworm 利用针对乌克兰进行了猛烈攻击，可以看出很多黑客组织已经具有快速利用高

4、危 0day 漏洞的能力，并可以根据攻击目标设定具体的攻击策略。由于 RaaS（勒索软件即服务）的形式已经逐渐成熟化，勒索软件利用的门槛在逐步降低，加之巨大利润的诱惑，越来越多的组织和团伙开始利用勒索软件发起攻击，大多数攻击都具有针对性，如针对市政网络、医疗、IT 等行业基础设施发起攻击，一旦成功，目标系统立即陷入混乱，极有可能支付赎金。这从半年的安全事件来看，全球几乎每天都有公司或政府机构、社会组织被成功攻陷进行勒索的事件发生，而现在的勒索软件攻击，往往都是伴随着数据窃取的双重风险，攻击者即使没有勒索成功，也可以获取受害者的大量机密信息，可以在暗网上进行出售或为二次攻击提供凭证信息。5我们对

5、 2022 上半年活跃的 TOP 10 APT 组织进行统计如下：2022 年上半年有 80 多起 APT 攻击活动（主要统计知名组织及有影响力的攻击），占据榜首的为老牌朝鲜黑客组织 Lazarus，Lazarus 继续针对韩国的金融行业以及区块链公司利用各种恶意软件如 NukeSped 等进行攻击，持续保持其活跃度；而来自南亚的 APT 组织蔓灵花 BITTER 以针对巴基斯坦、孟加拉国等国家的政府和军事机构的多次攻击而位居第二位；俄罗斯黑客组织 Gamaredon 以其针对乌克兰政府的猛烈攻击而跃居第三位。APT 组织 2022 上半年攻击数据披露022.1 TOP 10 APT 组织图表

6、 1 2022 年上半年 TOP 10 APT 组织LazarusAPT41KimsukyTransparent TribeBITTERGamaredonAPT35EvilnumSideWinderTurla62022 年上半年全球主要 APT 攻击活动报告2022 年上半年 APT 组织攻击的目标国家 TOP 10 统计如下：2022 年上半年 APT 组织攻击的目标行业 TOP 10 统计如下：从上图可以看出政府、军队、金融继续保持其热度，位列攻击目标行业的前三名。2.2 TOP 10 攻击目标2.3 TOP 10 攻击行业图表 2 2022 年上半年 TOP 10 APT 组织攻击目标图