N2.4俄烏網絡戰主要攻擊類型N2.4俄烏網絡戰主要攻擊類型0022022年，在全球經濟下行、地緣沖突爆發、加密貨幣市場萎靡等因素影響下，高級威脅事件整體呈現爆發趨勢。在活躍組織數量、攻擊事件數量、新型攻擊工具數量等高級威脅主本年度，綠盟科技伏影實驗室對階段性爆發的網絡戰威脅、長期持續的APT威脅、以及網絡攻擊能力已經成為一種能夠在地緣沖突中發揮重要作用的武器資源。俄烏沖突的各個階段，俄烏雙方在網絡空間中進行了以竊密、控制和癱瘓等為目標的各式網絡攻擊活動，認知混淆和輿論控制已經成為網絡戰的重要組成部分。俄烏網絡戰中出現了大量以欺騙認知或誘導輿論為目標的網絡攻擊事件，此類事件通過控制宣傳平臺或濫用宣傳渠道，用大APT攻擊更深度地與地緣政治沖突綁定，東歐、南亞、中東等沖突地區與敏感地區的APT活動強度持續增加。本年度保持活躍的區域性APT組織包括Gamaredon、Kimsuky、Lazarus、Patchwork等，反映了在國際局勢緊本年度我國遭受大量APT攻擊與勒索攻擊，攻擊來源主要為美國、越南與印度。這些APT組織大多以我國高校和大型企業等作為目標，以N-da開始進入更激烈的惡性競爭階段。較小的勒索軟件團伙不斷用攻擊大型企業的方式嘗試擴大004本年度，隨著俄烏沖突的爆發，一場激烈程度高、持續時間長的網絡戰也逐漸被大眾所認知。由俄羅斯和烏克蘭的網絡力量以及援助雙方的組織及團體主導，俄烏網絡戰成為了國家力量、APT組織、勒索軟件組織、民間黑客團體、個人攻擊者等多方勢力共同參與的大型高級威脅事件，在不同程度上影響到了俄烏雙方組織機構運行、國際輿論甚至戰爭走向等方綠盟科技伏影實驗室在俄烏網絡戰的準備時期開始便對其保持高度關注，并在持續監控從宏觀到微觀的不同角度報道和分析了現代網俄烏網絡戰是俄烏兩國熱戰在網絡空間領域的延伸，在這場網絡戰爭中，俄烏雙方的網絡力量不僅采取了如網絡間諜活動、數據擦除攻擊、拒絕服務攻擊等多種攻擊手段，而且隨著戰局的變化雙方都在靈活地調整角色定位，甚至開始擔任破壞設施、操縱輿論、制造恐慌俄烏網絡戰的發生和發展表明，網絡戰爭已經成為一種在地緣沖突中發揮重要作用的戰略武器，為世界各國提供了一個重要的網絡作戰研究案例，并對網絡空間作戰的概念、方法和地位產生了深遠的影響，促使各國不斷加強網絡安全防御，并加強在網絡空間的軍事行動2022年2月24日，烏克蘭地區的軍事沖突爆發，俄羅斯、烏克蘭以及各幕后勢力之間的較量吸引了全世界的目光。隨著事件的發展，這場現實世界中的沖突，史無前例地影響到了網絡空間中的各個方面。綠盟科技伏影實驗室基于綠盟科技全球威脅狩獵系統和威脅追蹤1/apt-lorec53-20220216/2/cldap-ntp/3/itw-privatbank/4/it-ddos-31/5/atp-whisperga-mbr/6/ddos-apt-sec/0052021年年底至2022年年初，俄烏局勢仍不明朗，這個時期活躍的親俄APT組織如Lorec53、Gamaredon扮演著網絡偵察兵的角色，向烏克蘭的軍、政、企等領域伸出觸角，覆蓋范圍更加全面，采集目標網絡設施的真實網絡地址、網絡資源情況、網絡拓撲結構、敏開始針對軍事單位以外的目標，向烏克蘭的政府部門、軍事目標、外交部門、媒體等可能持積極收集一切有利于后續軍事行動的情報。俄方APT組織在006在俄烏沖突正式爆發時，隸屬俄羅斯的APT組織與隸屬烏克蘭的網絡力量立即轉入激烈的攻防對抗活動中，開啟以控制為目標的網絡特種作戰。該階段的典型案例是俄烏雙方通過線上論壇、線下媒體的形式全方位地渲染戰爭氛圍，強調一方對另一方的入侵活動等。通過封鎖媒體播放渠道，掌控世界話語權，渲染以強欺弱氛圍，將軍事活動定義為入侵攻擊，占在俄烏沖突持續階段，親俄的APT組織與親烏的網絡力量立即轉入激烈的攻防對抗活動中，該階段的典型案例是俄羅斯方面的數據破壞活動與烏克蘭方面的DDoS行動。Lorec53007了針對烏克蘭多個組織的破壞式網絡攻擊行動。Sandworm組織執行了多起針對電力設施等烏克蘭關鍵設施的數據破壞行動，開發并使用了名為HermeticWiper、HermeticRansom、Gamaredon組織在戰爭初期也承擔了一部分數據破壞任務。一種名為IsaacWiper的數了針對俄羅斯的DDoS攻擊行動。組織領導者為該群體提供了一個包含31個俄羅斯關鍵基礎設施目標的針對性清單、多種DDoS攻擊工具和對應的教學文檔此外，國際黑客組織匿名者（Anonymous）也在戰爭開始后不久宣布加入烏克蘭一方，在短時間內培養和組織了能夠發起網絡攻擊的親烏黑客群體。匿名者組織通過入侵數據庫、屏蔽Telegram站點、劫持流媒體等方式對俄羅斯線上服務進行直接的破壞，以阻止俄羅斯俄烏沖突中的網絡戰是美國與西方國家聯手支持的網絡力量，協助烏克蘭在網絡空間層面與俄羅斯進行的博弈。以Anonymous和ITARMYofUkrai力量主要以DDoS為主的攻擊手段針對俄羅斯的政府、國防、能源、金融發起以癱瘓為目標的網絡特種作戰。以Gamaredon、Lorec53（洛瑞熊）、Sandworm持俄羅斯的網絡力量主要以數據擦除攻擊、DDoS攻擊、勒索攻擊、釣魚攻擊等手段針對烏克蘭以及支持烏克蘭的西方國家發起以竊密、控制、癱瘓為目標的網絡特種作戰。其他網絡綠盟科技伏影實驗室對俄烏網絡戰中出現的各種網絡攻擊類型進行分析后，發現這些攻起的間諜式攻擊活動以及民間黑客組織發起的社交網絡釣魚活動；控制類網絡攻擊主要包括俄烏雙方國家力量與民間力量發起的輿論控制類網絡活動；而癱瘓類網絡攻擊則包括由APT008長期以來，國家級APT組織的主要任務就是長期監控特定目標并持續收集情報，這些APT組織在戰爭期間擔任了對敵方軍事目標的竊密工作，通過釣魚、水坑等方式盡可能收集如，Lorec53組織曾在戰爭準備階段發起了以個人經濟制裁為誘餌的魚叉式釣魚攻擊，目標廣泛覆蓋烏克蘭東部地區的政府與國有企業。Lorec53投遞的釣魚文檔用于下載對應的間諜戰爭爆發后，綠盟科技伏影實驗室捕獲了大量以俄語作戰信息或烏克蘭語軍隊調度信息為誘餌的網絡攻擊活動。這些活動多數來自APT組織Gamaredon，目標為烏克蘭東部各州009上述APT活動僅僅是俄烏戰爭期間海量網絡竊密活動中的冰山一角。本年度綠盟科技觀此外，俄烏網絡戰期間還有一部分竊密攻擊活動通過社交媒體展開，攻擊者則多為民間文件。組織者在群組內發布了多個黑客工具，包括一個名為“ddos-reaper.zip”的文件。發布者通過宣傳該工具的DDoS攻擊功能，誘導組群組內成員使用。經分析，該工具實際上是一個竊密軟件，當使用者運行該工具后，自身信息就會被泄露給攻擊者，可謂是“螳螂捕蟬010親俄組織輿論控制在俄烏網絡戰中，由俄羅斯方面民間力量與上級組織者構成的部分親俄組織，通過各種渠道發起針對烏克蘭及其盟友的輿論控制攻擊活動。這些親俄組織一方面通過攻擊反俄言論攻擊平臺，抑制對俄不利消息傳播；另一方面通過發起輿論攻勢，包括在社交平臺發布每日俄方前線戰況、辟謠反俄言論、公布叛軍信息等措施來進行信息混淆與輿論操作，引導輿論011親烏組織輿論控制綠盟科技在對俄烏網絡沖突的持續監測中發現，親烏組織在對俄發動大規模DDoS攻擊之后，及時利用俄羅斯網絡基礎設施無法及時對外通信的空檔期進行輿論控制攻擊。這些組織對外宣稱其已竊取大量俄方機密資料，并在互聯網上大肆泄露文件，營造一種俄羅斯在上述攻擊后，親烏組織搭建民眾可自由參與的反俄言論攻擊平臺，使用竊取的俄羅斯公民個人電話、郵箱、WhatsApp賬戶等個人憑證，通過社交平臺對俄羅斯民眾大量散布反俄言論，制造對俄羅斯不利的社會輿論氛圍，試圖通過這種攻擊方式制造俄羅斯國內和國際012數據擦除式癱瘓攻擊WisperGate木馬植入到了多個烏克蘭政府和信息技術相關組織目標的主機中。綠盟科技伏影實驗室對WisperGate木馬進行分析發現，雖然該木馬會在運行后顯示勒索和贖金相關信息，但木馬的實際功能為直接覆蓋受害主機中所有文件的內容，是典型的數據破壞型木馬。WhisperGate目標指向烏克蘭的政府、非營利組織和信息技術實體。WhisperGate實際另一種被稱為HermeticRansom的勒索軟件被用在俄烏戰爭爆發后，俄羅斯方面害者主機桌面留下勒索信。已有分析表明，這種勒索軟件可能被攻擊者用于制造麻煩，使烏除以上木馬外，俄烏網絡戰期間還出現了IsaacRansom、IsaacWiper、In多種數據破壞類木馬程序。這些木馬程序的開發水平參差不齊，實現效果各有側重，說明網拒絕服務式癱瘓攻擊013攻擊者首先在2月14日的凌晨4點針對烏克蘭國家公務員事上述DDoS攻擊的主要目的為在一定時間內癱瘓攻擊目標的線上服務，從而為其他類型的網絡攻擊制造窗口。DDoS攻擊大量出現在俄烏網絡戰的爆發階段，已經成為一種癱瘓目當下網絡特種作戰的主要形式包括網絡間諜活動、網絡破壞、認知作戰等，目的是通過對敵方網絡進行侵入式攻擊，實現對敵方信息和通信系統的控制，削弱敵方的軍事實力，進而實現軍事戰略目標。隨著網絡作戰攻擊者在技術能力、組織能力等方面的發展，未來網絡以俄烏網絡戰為代表，可以看到當下國家級網絡攻擊力量構成仍然以APT活區域性網絡戰已經出現，大規模網絡戰爆發風險大幅增加的當下，APT組織一方面充當網絡間諜的角色，通過利用更高級的技術手段，更有效地攻擊和控制目標網絡，竊取敵方軍事、政治、科技、民生等領域對決策者有利的高價值情報信息；另一方面充當破壞者的角色，在地緣沖突爆發時期，通過數據破壞攻擊遠程癱瘓敵方關鍵基礎設施，達到戰場支援、網絡震懾等目的；APT組織甚至會在戰爭爆發至相持階段進行輿論控制，利用消息差對敵進行“認2014年美軍頒布的《網絡空間作戰》聯合條令提出了網絡空間作戰火力、機動部署、保障、防護六個環節融入聯合作戰的措施，建立了網絡空間聯合作戰規劃與協調的方法與要點，推動網絡空間作戰融入聯合作戰邁入正014討會上提出，網絡戰可以在瞬間、同時、全球和連續地發生。要想在這一領域取得成功，就習總書記曾在網絡安全和信息化工作座談會上強調，網絡安全的本質在對抗，對抗的本質在攻防兩端能力較量。因此，在國際關系緊張的大環境下，應對可能到來的網絡戰，防御（10）增加研究開發力度，探索新的網絡安全技術和方法，為應對新型網絡特種作戰提016本年度綠盟科技捕獲或處置的境內APT事件中，最終確認來自海蓮花組織的事件占比最高。海蓮花組織在調整攻擊策略后，開始更加主動地對我國展開網絡攻擊，嚴重危害國內企織攻擊事件最為嚴重；勒索黑客組織也將我國大型企業作為攻擊目標，本年度來自企業側的境外APT組織活動方面，東歐、南亞、朝鮮半島以及中東地區的組織表現活躍。受俄烏戰爭影響，東歐方面的APT組織從年初至今始終保持攻擊為尤其頻繁；印度方面的APT組織延續了從去年年底開始中巴合作項目表現出強烈興趣；朝鮮APT組織除延外，重點強化了針對加密貨幣行業的攻擊密度；中東方面的其與北塞浦路斯地區，從21年開始持續攻擊土耳其研究所、軍工產業以及高校；另一個新的黑客小組，針對地中海周邊國家和東南亞國家的線上交易平臺發起長期的竊密攻擊；綠盟科技還標記了多個未確認來源的攻擊者，這些攻擊者分別向俄羅斯、白俄羅斯、日本、塞浦0172022年綠盟科技APT線索發現數量統計可以看到，本年度大量APT線索發現于上半年的2月、4月和5月三個月份，這一現象察階段的行為，而4月至5月出現的線索則大多來自俄烏雙方黑客在網絡攻防對抗階段中的018rGKimsuky Gamedo TransparentTribeCNCDAc2sKimKnrGKimsuky Gamedo TransparentTribeCNCDAc2sKimKn2022年綠盟科技APT活動捕獲時間線der。KimsukyMuddyWateMuddyWateActor220318Actor22 EvilnumSideWinderaaimsukyopyimsukytTribePatchworkiiKimsukyKimsukymsukyGamaredonDDordordKKamaredonamaredonCC PatchworkSideWinnDassLorDassLoronnonnusPsusueCopyMaterSiderDaeDaeuccnotnotHagHaggagaciussPasswordsPasswordGamaronGc53aredonareareLLGamaroGamaronspnspKimukyrr。SideCopyMMachetedacheteoreorec53c53sukyinderinderimsukyimsukyimsukyimsukyAct714deCopyKKuKimsu vilnum vilnumchwork DonotmsukyConfucKimsuiusKimsuSiEEuky Kimsuky。lorec53uky KimsukyamamLararoredoedoec5n3n3 SideWindermaredonDangerousPasswgerousPasswordordActor220331Actor220331從時間線分布圖可以看出，與俄羅斯國家利益密切相關的Gamaredon組織在2022年全年處于活躍狀態，其他與俄羅斯有關的組織如Lorec53也在上半年頻繁行動；朝鮮方面的Kimsuky組織與DangerousPassword組織同樣長期活躍，分別以韓國政府和虛擬貨幣產業為目標進行持續活動；印度方面的SideWinder、Patchwork、Confucius等多個A019KonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinderKonniActor210714 Actor220318 MurenSharkActor2209232%Actor2203312%MuddyWater2%Donot2%Machete2%TransparentTribe3%Evilnum3%Patchwork3%GamaredonSideCopy6% Confucius6%DangerousPasswordSideWinder7%lorec537%Kimsuky2022年綠盟科技捕獲APT活動歸屬組織統計groupKimsukyKimsukyKimsuky20% GamaredonDangerousPasswordlorec53SideWinderConfuciusSideCopyPatchworkEvilnumTransparentTribeMacheteDonotMuddyWaterActor220331HaggaActor220923MurenSharkCNCActor220318BitterActor210714Konni2022年6月22日，西北工業大學發布一則公開聲明，表示該校遭受境外網絡攻擊。處置單位對該事件的調查顯示，美國國家安全局（NSA）下屬的特定入侵行動辦公室（TAO）美國國家安全局是已知APT組織方程式辦公室則是具體的攻擊工具開發者與攻擊活動實施者。已披露的信息顯示，在本次對西北工業大學的攻擊中，TAO通過邊界設備漏洞利用、魚叉攻擊等方式獲取駐足點后，在目標網絡020本年度，綠盟科技捕獲到多起海蓮花組織針對國內企業或機構的攻擊事件。海蓮花攻擊者在這一系列事件中使用了多種不同的入侵手段，積極嘗試使用軟件供應鏈攻擊、邊界設備漏洞利用、泄露憑證利用、網絡釣魚等手段獲取目標網絡內的駐足點，再通過竊取初始訪問節點中的憑證信息進入目標單位內網，最終通過散播商業木馬或自制木馬竊取目標域內設備上述海蓮花攻擊模式并非在本年度首次出現，綠盟科技在去年就已監控到使用該模式的多次攻擊行為。雖然攻擊者的具體實施路線會根據目標網絡的狀態進行調整，但這些事件依然暴露了可供辨識的一致攻擊特征。海蓮花攻擊者在這些攻擊過程中保持了高度的警覺性，能夠察覺防御方和處置方的調查行為并進行實時響應。這些事件也反映出海蓮花組織對我國企業或組織內常見網絡環境的高度理解，該組織可能已構建應用于此類攻擊活動的完整對抗都通過郵件釣魚展開，攻擊者往往通過構建可信度極高的郵件內容，誘騙高校教授等受害者訪問偽裝成郵箱登錄頁面、學術會議網頁或論文提交頁面的水坑站點，再通過進一步的社會工程學技術使受害者下載運行木馬程序。此類攻擊的最終目標皆為竊取受害者主機中的高價值文件，綠盟科技已經捕獲到多種能夠關聯至已知APT組織的竊4.上傳受害者信息5.下載惡5.下載惡意程序魚郵件3.打開惡意鏈接，填寫信息7.用戶主機被感染7.用戶主機被感染2.向目標發送釣魚郵件意程序021受勒索組織競爭白熱化的影響，包括Conti、Hive、Lapsu織在本年度積極招募攻擊手并拓展攻擊面，并開始將目光投向我國大型企業。已處置的勒索受RaaS模式影響，當前針對我國的勒索軟件攻擊在入侵形式上具有多樣性，取決于具體攻擊手的攻擊思路。但綠盟科技發現，本年度勒索事件中有較多入侵是通過已泄露的登錄憑證或邊界設備漏洞完成的。勒索組織的攻擊手開始將注意力集中在近幾年頻發的企業數據泄露事件上，他們通過分析已泄露數據中包含的人員信息，將登錄憑證類信息與工作單位類信息相聯系，進而嘗試進入企業暴露在公網上的登錄入口，獲取訪問企業內網的渠道。勒索組織攻擊者還開始關注近年頻發的云桌面、遠程桌面等遠程辦公工具的漏洞，通過漏洞掃描2022年第二季度，綠盟科技伏影實驗室監測到了一系列針對土耳其的網絡攻擊活動。基穆倫鯊組織的可觀測活動出現于2021年已暴露的攻擊資源和欺騙手法表明，該組織已經在針對高校和研究所的網絡間諜行動中達成穆倫鯊的主要攻擊手法包括投遞釣魚文檔與攻擊線上服務，主要攻擊工具包括一種名為工具Donut制作的加載器木馬UniversalDonut。該組織的直接目的包括擴充攻擊資源、滲透穆倫鯊攻擊者擅長隱藏攻擊特征，通過劫持合法站點的方式，將攻擊流量偽裝成訪問該站點的正常流量；同時通過拆分攻擊組件的方式，保證各階段載荷在非受控狀態下不產生攻1/murenshark/022調查顯示，已暴露的攻擊活動只是該組織行動的冰山一角，攻擊目標與攻擊組件方面不2022年第二季度，綠盟科技伏影實驗室捕獲了一起大規模的APT攻擊行動DarkCasino。該行動主要針對線上賭博平臺，目標為通過攻擊此類服務背后的活躍的線上交DarkCasino系列活動持續時間長、攻擊頻度高，受害者廣泛分布于地中海沿岸國家以及東南亞多個國家。攻擊者為該系列活動進行了長時間的準備，對主要攻擊流程與核心木馬程序進行長期迭代，并儲備了用于批量生成shellcode與隱寫圖片的制作工具，保證攻擊活動DarkCasino開發者對攻擊流程構建比較重視，他們使用一種覆寫式側加載的技巧直接將合法dll文件構建為帶有惡意代碼的側加載程序；使用一種經典的VB套接023用了Evilnum的標志性攻擊流程和開發思路，一方面持續迭代自制的木馬程序與攻擊技術，Polonium會嘗試攻擊位于供應鏈上游的IT公司，通過劫持供應鏈的方式入侵位于供應該組織在攻擊活動中展現了較強的對抗能力，其主要后門程序CreepyDrive能夠使用024已披露的活動中，Metador使用了名為metaMain和Mafalda的木馬程序，以及一種名為Cryshell的內網穿透程序。Metador使用的木馬程序以框架的模式構建，攻擊者可以根據目標主機狀態靈活切換運行模式和攻擊方式，能夠配合實現特殊的執行和持久化方法，展現了較高的攻擊技術水平。Metador在攻擊活動中大量使用代碼混淆、通信驗證、延遲執行等洞則包括造成了巨大影響的Log4Shell漏洞等。受部分高危N-day漏洞出現的影響，本年度），CharmingKitten組織早在一月初就開始進行Log4Shell漏洞掃描活動，配合一種公開的漏洞利用工具對帶有該漏洞的公網設備進行入侵；Lazarus組織在今年2月開始的一系列攻2022年5月，安全社區曝出一個新型Microsoftoffice0025由于該漏洞具備高可用性和形式特殊性，多個以網絡釣魚為主的APT組織迅速開始構建基于該漏洞的攻擊鏈。在該漏洞的0-day利用期間，綠盟科技觀測到被標記為Actor220603的組織就開始使用該漏洞攻擊白俄羅斯民間組織和個人；漏洞公開后，TA570等組織也開始但由于攻擊者通常需要針對此漏洞單獨開發攻擊組件，多數釣魚文檔無法被關聯至已知APT本年度，東歐區域的多個主要APT組織都參與到了俄烏戰爭的網絡對抗當中。俄羅斯APT組織Gamaredon在俄烏戰爭的準備階段至相持階段持續活躍，扮演偵察兵的角色對烏克蘭方面軍事調動進行持續監控；Sandworm組織則以攻擊手的身份參與到俄烏戰爭的爆發階段，使用多種數據擦除類木馬進行以破壞和癱瘓敵方關鍵設施為目標的網絡攻擊；新興APT組織Lorec53則靈活切換攻擊角色，在俄烏戰爭的不同階段實施網絡偵察、數據破壞、同時，俄烏戰爭還催生了大量未確認攻擊者身份的網絡攻擊事件，例如綠盟科技標記的一個名為Actor220331的未知威脅行為者在戰爭爆發階段發動了多起針對俄羅斯政府傳播部的攻擊活動；另一個被國外安全公司標記的未知組織則在戰爭爆發至4月中旬的時間段內發起多次針對俄羅斯政府國防部和傳播部等關鍵設施的網絡攻擊。這些未知威脅行為者都掌握親俄黑客團體Gamaredon是一個持續活躍的APT組織。該組織在俄烏戰爭的準備階段擔任收集情報的職責，并且明顯增加了活動頻率。已捕獲的事件表明，該組織從2021年下半年開始對烏克蘭東部地區的政府部門、警方設施、軍事人員乃至大型企業進行了廣泛的攻人員、地方公務人員等各類可能持有高價值情報的人群。很明顯，該時期的Gamaredon組織專注于廣撒網的策略，積極收集一切有利于后續軍事行動的情報。該組織在頓涅茨克、盧026面在該時期的軍事信息。這樣的攻擊行動持續至第三該組織可以看作APT組織在戰爭初期主動進行角色切換的代表。俄烏戰組織表現出與Gamaredon組織類似的活動特征，以釣魚郵件和水坑站點為主要手段，大規027戰爭爆發后，Lorec53組織暫時停止了網絡間諜行動，開發了名為WhisperGate、3月下旬開始，Lorec53同樣開始扮演監視者的角色，頻繁使用一組名為GrimPlant和Lorec53組織在俄烏戰爭爆發至今的整個歷程中，很好地擔當了多種網絡攻擊角色，幫盡管印巴兩國關系較以往的危險狀態相比出現一定的緩和，巴基斯坦方面的主要APT組織TransparentTribe（透明部落）在本年度同樣保持活躍，對包括印度政府、軍隊、教育機構甚至個人的廣泛目標進行以網絡釣魚為主的行動；另一APT組織SideCopy也在今年上半年積極實施對印度軍隊的各種釣魚攻擊，這些攻擊皆遵循028APT組織。Patchwork的本輪行動從去年年底開始持續到22年年初，在短暫休整后重新開啟了一波從5月至年底的攻擊浪潮。本輪活動中，Patchwork攻擊者依然大量使用該組織的本年度捕獲的一起Patchwork攻擊事件中，綠盟科技發現該組織開始開發使用一種新的BADNEWS變種木馬。與舊版本木馬相比，新版本程序增加了偽裝用地址，029try{...block1catch{...block2block3block4catch{...try{...block1catch{...block2block3block4catch{...本年度Confucius的活動周期從2月開始持續至年底，該組織攻擊者通過偽造各類帶有巴基相比其他印度方面的APT威脅行為者，Confucius在攻擊手法和攻擊流程設計方面更有創造性。本年度Confucius攻擊者開始使用合法網盤作為攻擊載荷中轉平臺，并在使用的主要木馬程序中加入各種主流對抗技術進行反識別和反分析。本年度綠盟科技捕獲的一起Confucius行動中，攻擊者投遞了一個該組織自制C++木馬的新版本，該版本修改了之前版本木馬程序暴露的特征點，并開始使用控制流混淆來嘗試保護主要功能代碼，展示了block1->block2block1block1block2block2block1->block2block1->block3->block4trytry{...block1block2block2巴基斯坦方面的APT組織TransparentTribe（透明部落）延續了去年的活躍狀態，持續地向范圍廣泛的目標群體發起網絡攻擊。本年度TransparentTribe繼續使用CrimsonRAT和obliqueRAT兩種標志性攻擊組件實施攻擊行動，其釣魚誘餌體裁則非常廣泛，包括軍方PPT演講稿、調查表格、照片等能容易讓受害者誤操作的文件。攻擊目標方面，盡管本年度TransparentTribe的目標群體廣泛分布于各行業領域，該組織的主要目標仍為收集印度各重030本年度，受經濟形式下行與無法緩和的朝韓關系影響，朝鮮方面再度提升了其在APT行這樣的高頻活動暴露了朝鮮方面APT的更多細節。研究發現，朝鮮主要APT組織之間的界限正在變得模糊，多個組織出現共享攻擊資源和攻擊目標的行為。繼2019年朝鮮方面兩大老牌組織Reaper與Kimsuky顯示關聯關系（https://blog.alyac.co.kr/2347）后，本年度Kimsuky被發現展開了針對加密貨幣的直接攻擊，這使得其與另一知名朝鮮APT組織Lazarus在行為動機方面產生了交集。這一現象也說明，朝鮮方面的APT組織越來越重視在加密貨幣方面的攻勢，他們寄希望于在加密貨幣渠道仍具有較高獲利能力的區間內，通過網本年度Kimsuky組織依舊保持極高的活躍度，對韓國政府與其他可能對朝鮮方面造成威綠盟科技在本年度觀測到的Kimsuky活動主要包括兩種攻擊流程，一種流程以該組織常用的惡意宏文檔與BabyShark木馬為核心，另一種流程則融入了合法網盤地址與一種被031Kimsuky組織在2021年便開始測試和使用這種基于KimAPosT的攻擊流程，并在今年該組織頻繁的攻擊。關聯事件顯示，Lazarus內部為本輪攻擊活動進行了分工，有一個或多個小組頻繁使用既有攻擊工具維持高頻度的網絡釣魚攻擊，而另一小組則積極開發使用新式本年度Lazarus的開發小組開始制作完善一種基于M1架構的Mach-O可執行文件木馬攻擊流程，以方便該組織同時對多個平臺的加密貨幣用戶展開攻擊。該流程包括一種能夠編譯為多個平臺版本的釋放器木馬、根據目標制作的pdf釣魚文件、后續的加載器木馬和下載本年度，中東方面的APT攻擊依然集中于地中海沿岸和美索不達米亞平原周邊地區，受綠盟科技發現，本年度土耳其與伊朗同時成為APT攻擊發起者與受害者。疑似具其背景的APT組織StrongPity在21年底開始再次活躍，策劃了多起針對巴勒斯坦等鄰國的水坑釣魚攻擊，而未知來源的威脅行為者MurenShark則在今年針對土耳其海軍展開了一次本年度繼續攻擊約旦等鄰國，而該國也承受了一次本年度最嚴重的工控網絡攻擊事件，導致針對商業的APT組織活動也使中東地區的多個國家飽受其擾。綠盟科技發現的名為DarkCasino的APT行動中，攻擊者將地中海沿岸國家的線上現金流作為主要目標，其中包括土耳其、以色列等國的線上交易平臺與在線娛樂平臺；綠盟科技還觀測到一個標記為Actor220923的未知來源攻擊者，在第三季度發起了針對塞浦路斯證券交易所用戶的網絡釣032與其他APT組織不同的是，本年度CharmingKitten獲取對受害者主機會通過收集到的憑證，登錄受害者的Gmail、oCharmingKitten在本年度的攻擊活動依然以憑證竊取和信息竊取為主CharmingKitten還會積極嘗試使用N-day漏洞，強化其攻擊能力。CharmingKitten是最早嘗試使用Log4Shell漏洞進行大規模掃描的APT組織之一，在22年1月就開始了對該地緣沖突永遠是國家級APT組織的根本驅動力。本年度大量出現的由地緣沖突驅動的級的重要手段。俄烏網絡戰的事實也告訴我們，當地緣關系惡化導致實體沖突爆發時，APT034根據綠盟科技伏影實驗室的長期觀測，2022年活躍勒索軟件攻擊事件，大部分來自綠盟科技伏影實驗室對本年度活躍的勒索軟件木馬數量進行了統計，發現這些木馬較多035在受害者國家分布方面可以看出，歐美國家為勒索軟件的重災區，其中美國占比高達在勒索軟件受害者行業分布方面，政企、醫療、能源、交通、教育行業占據前50%，以036彩妝航空航天基礎設施政企基礎設施彩妝航空航天基礎設施政企基礎設施然后竊取目標公司敏感數據以獲取經濟效益為目的的黑客組織。因為Lap組織創建的Telegram頻道中經常使用葡萄牙語和英語宣布他們的攻擊目標以及攻擊戰況，037Lapsus$組織主要通過社會工程學手法收集有關目標組織業務運營的相關信息，使用各種方法獲取目標組織的初始訪問權限，例如部署密碼竊取程序、非法論壇購買登錄憑據、收Lapsus$組織使用多種策略來發現其他憑據或入侵點以擴展其訪問權限，例如利用內部Lapsus$組織還利用專門的IT基礎設施對目標組織的敏感數據進行遠程下載以供將來勒Conti是一個俄羅斯勒索軟件團伙，作為Ryuk的繼任者于2020年夏季開始勒索活動。Conti團伙制造了多起攻擊事件，諸如攻陷并加密芯片制造商Advantech的重要數據，并要迫使該市關閉其網絡，其在線賬單支付系統、公用事業賬單和電子郵件等服務停擺。該市的網站、議會、警察部隊等均受到影響。然而，Conti團伙性質最為惡劣的攻擊莫過于針對愛爾蘭衛生部HSE的攻擊，此次攻擊令其80%的醫療系統處于被加密狀態，此期間醫療保健0382022年3月，有安全研究人員披露了Con039040布他們將全力支持俄羅斯政府對烏克蘭的攻擊。他們還警告說，如果有人組織了針對俄羅斯LOckBit勒索軟件于2019年9月首次被觀察到。經過迭代更新的發展，會部署第一階段惡意軟件或以其他方式獲取目標組織基礎設施內的訪問權限。然后他們將該通過安全研究人員提交漏洞報告的嚴重程度，以獲取1000到100萬美元不等的獎勵。這也進勒索軟件的思路或想法提供賞金。目前，LOckBit的賞金類別涵蓋各平臺漏洞、自身軟件041Hive勒索軟件于2021年6月首次被發現。根據通報，它已發展成為勒索軟件即服務運行效率以及對抗能力大幅提升。在Rust版本的Hive軟件程序中，開發者042早期的RaaS模式主要通過出售勒索軟件使用權、雇傭傳播者等方式實現，勒索軟件運營者與使用者之間的關系接近于交易或雇傭關系。這一時期的RaaS模式還將數據竊取和披他們還會在自己的網站中披露在攻擊活動中獲取到的部分關鍵數據，并威脅受害者繳納一筆式。在“雙重勒索”的基礎上，勒索軟件運營者不再販賣軟件的使用權，而是將自身從具體的攻擊業務中完全剝離，以合作分成的形式招收滲透攻擊者加入勒索攻擊活動中。這些滲透攻擊者可以使用自己的手段和資源入侵高價值的目標，在目標設備上投放勒索軟件運營者制作的勒索軟件完成攻擊。成功的勒索活動產生的贖金將由勒索軟件運營者與攻擊者以一定比043本年度，綠盟科技伏影實驗室觀測到RaaS模式在技術、模式、系統等多個方面出現了勒索軟件的運營已由簡單的團伙化逐漸發展為公司化，在Conti的泄露資料中不難發現伴隨LockBit3.0的問世，其運營者推通過安全研究人員提交漏洞報告的嚴重程度，以獲取1000到100萬美元不等的獎勵。這也勒索軟件團伙也在贖金支付方面謀求變化。勒索軟件團伙目前的選擇的支付方式依然以加密貨幣為主，但支付加密貨幣追蹤公司和相關執法部門表示比特幣是可以追蹤的，此外雖然門羅幣是一種隱私幣，但美國絕大多數加密貨幣交易所并不出售它。因此勒索團伙開始選擇將Zcash作為額外的支付選項，相當于增加一層資金保障。Zcash是一種隱私幣，具有難追蹤的屬性，并且它目前仍在美國最受歡