深信服千里sangforDeepNsight深信服智安全深信服千里sangforDeepNsight深信服智安全2023網(wǎng)絡(luò)安全深度洞察及2024年趨勢(shì)研判 DEEPINSIGHTINTONETWORKSECURITYIN2023ANDTRENDANALYSISIN20242023年，生成式人工智能和各種大模型迅速應(yīng)用在網(wǎng)絡(luò)攻擊與對(duì)抗中，帶來了新型攻防場(chǎng)全威脅。漏洞利用鏈組合攻擊實(shí)現(xiàn)攻擊效果加成，在國(guó)家級(jí)對(duì)抗中頻繁使用。勒索團(tuán)伙廣泛利用多個(gè)信創(chuàng)系統(tǒng)漏洞，對(duì)企業(yè)數(shù)據(jù)安全與財(cái)產(chǎn)安全造成了嚴(yán)重威脅。數(shù)據(jù)泄露問題頻頻出現(xiàn)，個(gè)人2023年網(wǎng)絡(luò)安全呈現(xiàn)出哪些演變趨勢(shì)？本報(bào)告將重點(diǎn)圍繞安全漏洞、惡意軟件、數(shù)據(jù)安全和APT低CONT摘要安全漏洞治理情況安全漏洞治理情況01國(guó)外安全漏洞治理動(dòng)向01我國(guó)安全漏洞治理動(dòng)向02安全漏洞總體情況03漏洞公開披露情況03漏洞利用情況050day漏洞利用發(fā)現(xiàn)情況07關(guān)鍵被利用0day漏洞盤點(diǎn)08關(guān)鍵漏洞分析09Windows09WebLogic13Chrome17安全漏洞態(tài)勢(shì)小結(jié)21惡意軟件治理情況22國(guó)外惡意軟件治理動(dòng)向22國(guó)內(nèi)惡意軟件治理動(dòng)向23惡意軟件攻擊總體情況24惡意軟件攻擊情況24惡意軟件類型分布25惡意軟件攻擊行業(yè)分布25惡意軟件攻擊地區(qū)分布26惡意軟件活躍組織27惡意軟件活躍組織分析惡意軟件活躍組織分析28勒索軟件活躍團(tuán)伙28遠(yuǎn)控木馬活躍組織32僵尸網(wǎng)絡(luò)活躍團(tuán)伙35挖礦病毒活躍團(tuán)伙37惡意軟件典型攻擊事件40某國(guó)有銀行美國(guó)子公司遭Lockbit3.0勒索軟件攻擊40國(guó)內(nèi)某綜合安防管理平臺(tái)勒索事件40銀狐集合體大肆對(duì)國(guó)內(nèi)開展惡意網(wǎng)絡(luò)攻擊41惡意軟件態(tài)勢(shì)小結(jié)42數(shù)據(jù)安全治理情況43國(guó)外數(shù)據(jù)安全治理動(dòng)向43我國(guó)數(shù)據(jù)安全治理動(dòng)向44數(shù)據(jù)泄露總體情況46重要數(shù)據(jù)泄露事件情況46非法交易情報(bào)中數(shù)據(jù)泄露情況48勒索團(tuán)伙數(shù)據(jù)泄露情況50我國(guó)重點(diǎn)數(shù)據(jù)泄露事件分析52接口濫用導(dǎo)致政務(wù)敏感數(shù)據(jù)泄露事件52多個(gè)黑客論壇泄露我國(guó)數(shù)據(jù)合集事件53某高校因3萬余條師生個(gè)人信息數(shù)據(jù)泄露被罰款80萬元54重點(diǎn)數(shù)據(jù)泄露事件分析小結(jié)54數(shù)據(jù)安全態(tài)勢(shì)小結(jié)55 錄:oAPT攻擊活動(dòng)態(tài)勢(shì)56APT組織攻擊總體態(tài)勢(shì)56南亞活躍APT組織態(tài)勢(shì)57東亞活躍APT組織態(tài)勢(shì)60東南亞活躍APT組織態(tài)勢(shì)62東歐活躍APT組織態(tài)勢(shì)63APT攻擊流行技術(shù)趨勢(shì)65軟件供應(yīng)鏈攻擊獲取APT攻擊初始權(quán)限65開源組件二次開發(fā)以降低APT攻擊成本66BYOVD濫用過時(shí)驅(qū)動(dòng)以對(duì)抗殺軟66網(wǎng)絡(luò)釣魚戰(zhàn)術(shù)升級(jí)加大迷惑性67典型APT攻擊事件68某高校高新行業(yè)實(shí)驗(yàn)室被高精準(zhǔn)社工魚叉攻擊68蔓靈花利用開源遠(yuǎn)控組件攻擊某政府機(jī)關(guān)單位68UNC4736組織利用雙重供應(yīng)鏈攻擊3CX公司69美國(guó)情報(bào)機(jī)構(gòu)針對(duì)iOS設(shè)備的移動(dòng)端APT活動(dòng)69蔓靈花組織利用國(guó)產(chǎn)辦公軟件WPS開展釣魚攻擊70APT攻擊態(tài)勢(shì)小結(jié)70五、2024年重點(diǎn)關(guān)注趨勢(shì)附錄APT組織攻擊動(dòng)態(tài)報(bào)告信息76CNTENTS當(dāng)今世界正處于百年未有之大變局，網(wǎng)絡(luò)空間日益成為全球治理的重要領(lǐng)域，深刻影響著各國(guó)政治、經(jīng)濟(jì)和社會(huì)等各個(gè)到網(wǎng)絡(luò)上的歷史漏洞，都是數(shù)字化發(fā)展中的薄弱環(huán)節(jié)。一旦被惡意主體利用攻擊，就會(huì)對(duì)信息系統(tǒng)安全造成損害，進(jìn)而縱觀國(guó)際，美國(guó)在漏洞治理領(lǐng)域具有先發(fā)優(yōu)勢(shì)。經(jīng)過多年發(fā)展，已建立了完善的漏洞治理體系。其中，美國(guó)國(guó)土安全部（DHS）及其下屬的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在漏洞的發(fā)現(xiàn)、收集、驗(yàn)證、評(píng)估、修復(fù)、披露和跟蹤等方面發(fā)揮了關(guān)鍵的統(tǒng)籌協(xié)調(diào)作用。因此，以CISA為例研究美國(guó)漏洞治理體系的歷史沿革、主要內(nèi)容和實(shí)施效果，對(duì)于加強(qiáng)我國(guó)漏洞治理政策具有一定的借鑒意義。實(shí)現(xiàn)了對(duì)關(guān)鍵基礎(chǔ)設(shè)施漏洞威脅的及時(shí)發(fā)現(xiàn)和消控，加強(qiáng)了漏洞管控統(tǒng)籌協(xié)調(diào)，提升了漏洞資源共享共治水平，強(qiáng)化了美0101出國(guó)家努力的重點(diǎn)是確定哪些系統(tǒng)和資產(chǎn)對(duì)國(guó)家真正至關(guān)重要，發(fā)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的脆弱性，并采取行動(dòng)管理來降低其風(fēng)險(xiǎn)。計(jì)劃的首要目標(biāo)就是建立國(guó)家級(jí)防御網(wǎng)絡(luò)攻擊并從中恢復(fù)的能力，CISA作為美國(guó)的網(wǎng)絡(luò)防御機(jī)構(gòu)，將與全球建(FCEB)機(jī)構(gòu)都必須在規(guī)定的時(shí)間內(nèi)修復(fù)已知被利用漏洞（KEV）目錄中的漏洞。CISA強(qiáng)烈建議所有利益相關(guān)者將已知被根據(jù)《網(wǎng)絡(luò)安全法》關(guān)于漏洞管理有關(guān)要求，工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合制定《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，主要目的是維護(hù)國(guó)家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運(yùn)行，規(guī)范漏洞發(fā)現(xiàn)、報(bào)告、修補(bǔ)和發(fā)布等行為，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者、以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或個(gè)人等各類主體二是完善了相關(guān)工作機(jī)制，建立健全漏洞評(píng)估、發(fā)布、通報(bào)等重要環(huán)節(jié)的工作機(jī)制，明確了漏洞收集平臺(tái)備案方式和報(bào)送三是加強(qiáng)了工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)建設(shè)，做好與其他漏洞平臺(tái)、等法律法規(guī)，以及正在編寫的相關(guān)國(guó)產(chǎn)升級(jí)漏洞國(guó)家標(biāo)準(zhǔn)，持續(xù)推動(dòng)國(guó)產(chǎn)升級(jí)漏洞管理工作的制度化、規(guī)范化、法治化，0202回漏洞公開披露情況00年年年年年年年年年年Web應(yīng)用漏洞主要是由于缺乏安全意識(shí)、不當(dāng)應(yīng)用程序漏洞主要是由于應(yīng)用程序結(jié)構(gòu)復(fù)雜、新技術(shù)不斷涌現(xiàn)以及編碼問題等因素產(chǎn)生。近年來，互聯(lián)網(wǎng)的快速發(fā)展和0303由漏洞引發(fā)的最主要威脅是未授權(quán)信息泄露，可能導(dǎo)致個(gè)人隱私被侵犯、財(cái)務(wù)損失、商業(yè)信譽(yù)受損甚至法律訴訟。未授權(quán)信息泄露也為黑客攻擊提供了前置條件，泄露的敏感信息如秘鑰、token等可被惡意攻擊者利用，訪問受保護(hù)的資源或執(zhí)其次是管理員訪問權(quán)限獲取，一旦獲得管理員權(quán)限，攻擊者便能完全控制系統(tǒng)，訪問敏感數(shù)據(jù)、更改系統(tǒng)設(shè)置、甚至進(jìn)行0404始下降。CISA將漏洞治理作為重要任務(wù)，并通過協(xié)同漏洞披露、漏洞披露策略、相關(guān)約束性操作指令等措施取得了初步特別值得注意的是，2021年后被勒索軟件利用漏洞的數(shù)量也呈下降趨勢(shì)，這與西方國(guó)家開展的打擊勒索軟件活動(dòng)密切相02702705050117.9%漏洞數(shù)量增長(zhǎng)率目前應(yīng)用最廣泛的操作系統(tǒng)之一，其用戶遍布全球。根據(jù)深信服千里目安全技術(shù)中心數(shù)據(jù)顯示，Windows全球公網(wǎng)資產(chǎn)是非常大的，黑客可以利用漏洞來執(zhí)行惡意代碼、竊取用戶敏織和黑灰產(chǎn)團(tuán)伙常見攻擊手段之一，這種攻擊手法隱蔽性更高，用戶往往難以察覺攻擊的存在，而且攻擊者可以通過不斷八____·O?ce2.3%八____·O?ce2.3%O?ce0606經(jīng)縮短為2014年的五分之一，說明被利用0day漏洞而言，每5.3天就會(huì)發(fā)現(xiàn)一個(gè)新的被利用0day漏洞，但實(shí)際上，這些漏洞通常聚集在同一天發(fā)現(xiàn)的漏洞鏈中。50系列107070808作系統(tǒng)在中國(guó)大陸使用量來看，WindowsServer各個(gè)版本使用量主要分布在北京市、廣東省和浙江省，其次使用量較高的是上海市和山東省。Windows服務(wù)器操作系統(tǒng)在中國(guó)大陸公網(wǎng)的資產(chǎn)超過880萬，其中資產(chǎn)數(shù)量最多的版本是桌面操作系統(tǒng)Windows中國(guó)大陸使用量主要分布在北京市、廣東省和浙江省，其次是上海市和江蘇省。12月，操作系統(tǒng)的中國(guó)大陸市場(chǎng)份額被其他桌面操作系統(tǒng)瓜分，不利用名單的榜首，是漏洞利用數(shù)量最多的產(chǎn)品。Windows操作系統(tǒng)漏洞對(duì)我國(guó)的潛在安全影響是非常嚴(yán)重的，由于Windows操作系統(tǒng)在我國(guó)的計(jì)算機(jī)市場(chǎng)占有率較高，其漏洞可能會(huì)影響大量的計(jì)算機(jī)和用戶。這些漏洞可能會(huì)導(dǎo)致計(jì)算0909001010Service1111的被利用漏洞多以特權(quán)提升為主，在真實(shí)攻擊中，惡意攻擊者利用漏洞進(jìn)行權(quán)限提升是非常普遍的，往往需要通過漏洞去發(fā)布之初相對(duì)來說還不夠成熟，出現(xiàn)安全問題幾率相1212基于JAVAEE架構(gòu)的中間件。它提供了一個(gè)環(huán)境來開發(fā)、部署和管理Java應(yīng)用程序，支持JSP、EJB、JMS、JDBC等。WebLogic還提供了高可用性、可伸縮性和安全性等特性，使其成為企業(yè)級(jí)應(yīng)用程序的首選001313未經(jīng)身份驗(yàn)證的攻擊者通過T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問未經(jīng)身份驗(yàn)證的攻擊者通過T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問未經(jīng)身份驗(yàn)證的攻擊者通過T3、IIOP進(jìn)行網(wǎng)絡(luò)訪問未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過T3進(jìn)行網(wǎng)絡(luò)訪問，會(huì)導(dǎo)致OracleWebLogicServer掛起或頻繁重復(fù)崩1414未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過T3進(jìn)行網(wǎng)絡(luò)訪問，擊可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的訪問或?qū)λ形唇?jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者通過T3進(jìn)行網(wǎng)絡(luò)訪問，擊可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的訪問或?qū)λ心軐?dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問或?qū)λ蠴racle未經(jīng)身份驗(yàn)證的攻擊者通過IIOP進(jìn)行網(wǎng)絡(luò)訪問，從能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問或?qū)λ蠴racle可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)的未授權(quán)訪問或?qū)λ蠴racle具有高權(quán)限的遠(yuǎn)程攻擊者可通過多種協(xié)議來利用此漏洞，成功利用此漏洞的攻擊可能導(dǎo)致對(duì)關(guān)鍵數(shù)據(jù)或所1515漏洞類型多以拒絕服務(wù)、信息泄露和遠(yuǎn)程代碼執(zhí)行為主。其中，上半年漏洞類型多為信息泄露和遠(yuǎn)程代碼執(zhí)行，下半年漏WebLogicServer內(nèi)核漏洞可能會(huì)導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行任意代碼、繞過安全限制、泄露敏感信息等安全問題。1616Chrome是由Google開發(fā)的一款設(shè)計(jì)簡(jiǎn)單、高效的Web瀏覽工具，特點(diǎn)是簡(jiǎn)潔、快速。它支持多種操作系統(tǒng)，包括能和安全性能。Chrome還支持多個(gè)標(biāo)簽頁，可以同時(shí)瀏覽多個(gè)網(wǎng)頁，并且可以通過Google賬戶同步書簽、歷史記錄和其他設(shè)置。Chrome也支持多種語言，包括中文。此外，Chrome基于更強(qiáng)大的JavaScriptV8引擎，提升瀏覽器的萬的區(qū)域有浙江省、北京市、廣東省、上海市和山東省，多為互聯(lián)網(wǎng)發(fā)達(dá)地區(qū)。中國(guó)大陸公網(wǎng)資產(chǎn)超過6000萬，占全球比例8.1%，對(duì)比6月全球比例下降0.4%，中國(guó)大陸各省份資產(chǎn)相較6月整體呈增長(zhǎng)趨勢(shì)。StatCounter的5月研究報(bào)告顯示，Chrome瀏覽器憑借62.85%的全球份額穩(wěn)居第一，由于Chrome使用范圍廣泛，因此其漏洞利用會(huì)影響01717截止11月30日，已知被利用漏洞（KEV）目錄檢測(cè)到Chrome的5個(gè)被利用漏洞有2個(gè)為類型混淆漏洞，2個(gè)為越1818■影響分布負(fù)載均衡、應(yīng)用程序交付、安全等方面，以提高內(nèi)部應(yīng)用程序的可用性和性能。在外網(wǎng)中，F(xiàn)5BIG-IP可以用于應(yīng)用程序交付、安全、DDoS防護(hù)等方面，以保護(hù)面向互聯(lián)網(wǎng)的應(yīng)用程001919根據(jù)深信服千里目安全技術(shù)中心公網(wǎng)資產(chǎn)測(cè)繪數(shù)據(jù)情況來看，天漏洞多為高危漏洞，目前已經(jīng)有漏洞被真實(shí)利用，并且多個(gè)漏洞組合使用進(jìn)行攻擊，將造成嚴(yán)重后果，建議上述區(qū)域企業(yè)2020研究表明，漏洞利用鏈組合攻擊在APT攻擊中是一種常見手段，2023年披露了多起APT事件在攻擊中使用多個(gè)漏洞組在通過協(xié)同漏洞披露（CVD）、漏洞披露策略（VDP）、相關(guān)約束性操作指令（BOD）等一系列措施后2121針對(duì)勒索軟件的集體抵御能力，合作削弱勒索軟件的生存能力，打擊支撐勒索軟件生態(tài)系統(tǒng)的非法資金，與私營(yíng)部門合作防御勒索軟件攻擊，并繼續(xù)與針對(duì)勒索軟件威脅的所有方面開展國(guó)際合作。本次會(huì)議主旨是重點(diǎn)發(fā)展打擊勒索軟件攻擊者體以及聯(lián)邦政府機(jī)構(gòu)之間的網(wǎng)絡(luò)事件信息共享。該法案有助于聯(lián)邦政府及時(shí)獲取關(guān)鍵基礎(chǔ)設(shè)施實(shí)體遭受網(wǎng)絡(luò)事件和勒索軟各行各業(yè)經(jīng)常受到勒索軟件事件的影響，許多事件是勒索軟件利用已知漏洞實(shí)施的，通過緊急修復(fù)這些漏洞，可以顯著降2222導(dǎo)。近年來，勒索軟件、數(shù)據(jù)泄露等威脅對(duì)各行各業(yè)造成巨大影響，網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品雖可防范大部分風(fēng)險(xiǎn)，但仍需網(wǎng)絡(luò)安全保險(xiǎn)轉(zhuǎn)移殘余風(fēng)險(xiǎn)，《意見》是我國(guó)網(wǎng)絡(luò)安全保險(xiǎn)領(lǐng)域的首份政策文件，旨在加快推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)和金融服務(wù)融與信息安全信息通報(bào)中心協(xié)辦的第四屆國(guó)際反病毒大會(huì)在津召開。在網(wǎng)絡(luò)空間命運(yùn)共同體理念的指引下，亞洲反病毒研究者協(xié)會(huì)、俄羅斯卡巴斯基、美國(guó)歐普思安、深信服等境內(nèi)外研究機(jī)構(gòu)以“構(gòu)建數(shù)字安全屏障，助力全球經(jīng)濟(jì)發(fā)展”為主題發(fā)表演講，以推動(dòng)進(jìn)一步加強(qiáng)與國(guó)際網(wǎng)絡(luò)安全領(lǐng)域的交流合作，積極參與全球網(wǎng)絡(luò)空間治理工作，構(gòu)建全球網(wǎng)絡(luò)安全智23232023年惡意軟件攻擊總體呈增長(zhǎng)趨勢(shì)。根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，惡意軟件攻擊趨勢(shì)如圖2-1所示，2424挖礦、木馬遠(yuǎn)控和僵尸網(wǎng)絡(luò)連續(xù)兩年排名前三。根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，惡意軟件攻擊類型分布如圖連續(xù)兩年受惡意軟件影響較嚴(yán)重行業(yè)有企業(yè)、醫(yī)療、教育和政府。根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，惡意軟件攻17.9%和15.1%。其次，能源、電信和媒體等行業(yè)也受到2525年排名前三的省份有廣東省、浙江省和江蘇省，攻擊次數(shù)分別為40.6億次，005262612345/67892727為提高收益不斷創(chuàng)新，與其他RaaS團(tuán)伙不總數(shù)的23%；2022年，美國(guó)勒索軟件事件中有16%被確定為L(zhǎng)ockbit攻擊；2023年中國(guó)多起勒索軟件攻擊事件由Lockbit多使用免費(fèi)軟件和開源工具，多利用老舊漏洞。根40款，Lockbit使用免費(fèi)軟件和開源工具主要功能有網(wǎng)絡(luò)服28282929Tellyouthepass勒索病毒于2019等地區(qū)實(shí)施攻擊，同年4月在國(guó)內(nèi)被首次發(fā)現(xiàn)，近年來在國(guó)內(nèi)廣為流行。圖2-5是Tellyouthepass在國(guó)內(nèi)發(fā)動(dòng)大規(guī)模攻利用某遠(yuǎn)OA文件上傳漏洞對(duì)國(guó)內(nèi)發(fā)動(dòng)大規(guī)模利用某遠(yuǎn)OA文件上傳漏洞對(duì)國(guó)內(nèi)發(fā)動(dòng)大規(guī)模借助某通T+前臺(tái)遠(yuǎn)程命令執(zhí)行漏洞對(duì)國(guó)內(nèi)實(shí)施借助某通T+任意文件上傳0day漏洞多國(guó)內(nèi)發(fā)動(dòng)借助某友NC反序列化漏洞及某賽通高危漏洞對(duì)借助某云企業(yè)管理軟件命令執(zhí)行漏洞對(duì)國(guó)內(nèi)實(shí)借助國(guó)內(nèi)知名綜合安防管理平臺(tái)任意文件上傳Tellyouthepass多利用國(guó)產(chǎn)化漏洞3030年3月，他們開始使用偽裝成圖片格式的msi文件進(jìn)行勒索攻擊。隨后，他們開始利用后門病毒模塊或系統(tǒng)漏洞上傳3131、遠(yuǎn)控木馬活躍組織3232而是一個(gè)去中心化傳播的工具，任何攻擊者都可以獲取和使用。銀狐的源碼在黑灰產(chǎn)市場(chǎng)上被稱為winos，目前該源碼已更新到5.26版本。目前銀狐的變現(xiàn)方式，除了制作肉雞和竊取販賣信息，還會(huì)通過遠(yuǎn)控木馬操控受害機(jī)器上登錄的微信++333303434基礎(chǔ)設(shè)施，并在全球范圍內(nèi)發(fā)現(xiàn)了超過700，000臺(tái)受感染的計(jì)算機(jī)，其中超過200，000臺(tái)位于美國(guó)，本次行動(dòng)還從3535其他惡意行為。根據(jù)深信服千里目安全技術(shù)中心的2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月2023年1月2023年2月2023年3月2023年4月2023年5月2023年6月2023年7月2023年8月2023年9月2023年10月2023年11月0尸網(wǎng)絡(luò)前10名省份攻擊次數(shù)均超過1000萬次。排名前三的省份是003636擊行業(yè)情況如圖2-14所示，醫(yī)療行業(yè)是受Dorkbot僵尸網(wǎng)絡(luò)影響最大行業(yè)，占比26.1%，其次是教育行業(yè)，占比語言開發(fā)，旨在針對(duì)容器化環(huán)境挖掘加密貨幣。最早活躍在2019年底和2020年初，因利用Log4Shell等眾所周知的漏Kinsing挖礦團(tuán)伙擅長(zhǎng)使用遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行攻擊。下表總結(jié)了近年來Kinsing挖礦團(tuán)伙常利用漏洞，可以看出，利執(zhí)行漏洞（CVE-2023-46604）進(jìn)行比特幣挖礦，202SaltStack遠(yuǎn)程命令執(zhí)行漏洞Open?re身份認(rèn)證繞過漏洞Con?uence遠(yuǎn)程代碼執(zhí)行漏洞37375.0%5.0%.3838隨著公共安全等傳統(tǒng)行業(yè)的數(shù)字化轉(zhuǎn)型，我國(guó)挖礦活動(dòng)明顯增長(zhǎng)。根據(jù)深信服千里目安全技術(shù)中心統(tǒng)計(jì)數(shù)據(jù)，2023年化轉(zhuǎn)型計(jì)算資源也隨之增長(zhǎng)，且轉(zhuǎn)型初期安全建設(shè)還不夠完善，挖礦病毒一般因?yàn)槭栌诎踩雷o(hù)而感染，導(dǎo)致公共安全行媒體3939■某國(guó)有銀行美國(guó)子公司遭Lockbit3.0勒索軟件攻擊中斷。發(fā)現(xiàn)事件后，F(xiàn)S立即斷開并隔離受影響系統(tǒng)以控制事件，并在信息安全專家執(zhí)法部門報(bào)告了此次事件。被攻擊的業(yè)務(wù)和電子郵件系統(tǒng)是獨(dú)立運(yùn)營(yíng)的，該國(guó)有銀行集團(tuán)總行及其他附屬機(jī)構(gòu)和紐約分行2023年11月，深信服千里目安全技術(shù)中心收到了來自境內(nèi)外多家單位的勒索應(yīng)急求助。經(jīng)過排查，發(fā)現(xiàn)本輪攻擊為Tellyouthepass勒索家族利用了國(guó)內(nèi)某知名視頻監(jiān)控廠商綜合安防管理平臺(tái)任意文件上傳漏此次Tellyouthepass勒索事件涉及的漏洞為歷史已知漏洞，且相關(guān)漏洞利用代碼已在互聯(lián)網(wǎng)公開，某知名視頻監(jiān)控廠商4040該團(tuán)伙主要使用虛假下載站、即時(shí)通信工具等向目標(biāo)投遞exe文該團(tuán)伙常使用虛假下載站托管虛假安裝包去誘騙用戶執(zhí)行惡意文件，執(zhí)行時(shí)本體只下載執(zhí)行shellcode，shellcode中反該團(tuán)伙主要使用虛假下載站、即時(shí)通信工具等向目標(biāo)4141根據(jù)深信服千里目安全技術(shù)中心、CISA和Coverware的統(tǒng)計(jì)數(shù)據(jù)顯示，Tellyouthepass和Mallox是國(guó)內(nèi)最活索軟件家族，而Coverware披露國(guó)外前三季度最活躍的勒索組織為BlackCat和BlackBasta。此外，銀狐組織是今年國(guó)內(nèi)最為活躍的遠(yuǎn)控木馬組織，而國(guó)外最為活躍的遠(yuǎn)控木馬家族是DarkGate。在挖礦領(lǐng)域，國(guó)內(nèi)最活躍的團(tuán)伙為Warmup和LemonDuck，而國(guó)BlackCat采取了一種新的策略，他們?cè)诨ヂ?lián)網(wǎng)上創(chuàng)建了數(shù)據(jù)泄露網(wǎng)站，而不是在暗網(wǎng)上發(fā)布被盜數(shù)據(jù)，這使得對(duì)受害組根據(jù)2023年深信服千里目安全技術(shù)中心的多項(xiàng)數(shù)據(jù)顯示，銀狐組織4242當(dāng)前，人工智能，尤其是生成式人工智能的數(shù)據(jù)安全和隱私保護(hù)問題引發(fā)各國(guó)的高度關(guān)注，多個(gè)國(guó)家已提出加強(qiáng)數(shù)據(jù)安全政府更新《人工智能和數(shù)據(jù)法》配套文件；國(guó)際標(biāo)準(zhǔn)組織已發(fā)布人工智能風(fēng)險(xiǎn)管理指南；新西蘭隱私保護(hù)機(jī)構(gòu)發(fā)布指南，在數(shù)字時(shí)代，數(shù)據(jù)已成為國(guó)家競(jìng)爭(zhēng)的關(guān)鍵戰(zhàn)略資源，數(shù)據(jù)跨境流動(dòng)的重要性日益凸顯。各國(guó)都開始關(guān)注數(shù)據(jù)跨境流動(dòng)安全問題，因?yàn)檫@不僅是保護(hù)國(guó)家基礎(chǔ)性戰(zhàn)略資源，也是關(guān)乎國(guó)家安全的重要措施。在此背景下，歐美國(guó)家已建立了較完善的案的意見》，旨在促進(jìn)大西洋兩岸數(shù)據(jù)的安全流動(dòng)，確保歐盟向美國(guó)公司轉(zhuǎn)移數(shù)據(jù)的充分保護(hù)。東盟于同年正式啟動(dòng)《東盟數(shù)字經(jīng)濟(jì)框架協(xié)議》談判，其中數(shù)據(jù)跨境流通是核心議題之一。英國(guó)與新加坡達(dá)成新戰(zhàn)略伙伴關(guān)系，共同探索促進(jìn)跨境數(shù)據(jù)流動(dòng)的機(jī)制。此外，歐盟與日本簽署了跨境數(shù)據(jù)流動(dòng)協(xié)議，旨在禁止保護(hù)主義性質(zhì)的限制，同時(shí)允許當(dāng)局介入網(wǎng)絡(luò)安4343全球各個(gè)國(guó)家仍在推進(jìn)各國(guó)立法、執(zhí)法、司法以應(yīng)對(duì)當(dāng)前數(shù)據(jù)安全新形勢(shì)。瑞士新修訂的《聯(lián)邦數(shù)據(jù)保護(hù)法》及實(shí)施條例數(shù)據(jù)安全倡議》，希望推動(dòng)達(dá)成反映各方意愿、尊重各方利益的全球數(shù)字治理規(guī)則，共同持續(xù)推進(jìn)落實(shí)《中國(guó)－阿拉伯聯(lián)安全實(shí)力明顯提升和到2035年進(jìn)入繁榮成熟期的發(fā)展目標(biāo)，提出了以工業(yè)和信息化和金融作為率先推動(dòng)數(shù)據(jù)安全管理工作的行業(yè)，為其他行業(yè)的數(shù)據(jù)安全管理工作推動(dòng)起著積極的影響作用。4444提供個(gè)人信息的活動(dòng)提供了規(guī)范指引，成為數(shù)據(jù)跨境安全治理體系中的重要一環(huán)。為了指導(dǎo)和幫助個(gè)人信息處理者規(guī)范、息出境標(biāo)準(zhǔn)合同備案方式、備案流程、備案材料等具體要求作出了說明。在數(shù)據(jù)出境安全評(píng)估方面，自《數(shù)據(jù)出境安全評(píng)蘭阿姆斯特丹大學(xué)醫(yī)學(xué)中心合作研究項(xiàng)目取得數(shù)據(jù)合規(guī)出境重要突破，完成全國(guó)首個(gè)數(shù)據(jù)合規(guī)出境案例，而后多地多個(gè)行數(shù)據(jù)權(quán)屬是推動(dòng)數(shù)據(jù)安全治理的重要問題，明晰的權(quán)屬和有序的流動(dòng)，是生產(chǎn)要素的本質(zhì)要求和前提條件。而在數(shù)據(jù)權(quán)屬上我國(guó)還面臨很大的挑戰(zhàn)，數(shù)據(jù)權(quán)屬混亂是當(dāng)前數(shù)據(jù)安全治理的主要障礙。根據(jù)十四屆全國(guó)人大常委會(huì)立法規(guī)劃公布信息4545■重要數(shù)據(jù)泄露事件類型分布深信服千里目安全技術(shù)中心依托分布式多源情報(bào)采集系統(tǒng)形成暗0資產(chǎn)暴露在數(shù)據(jù)泄露事件中占比最多，其主要由于安全配置不當(dāng)導(dǎo)致，是黑客攻擊成本最低的方式。資產(chǎn)暴露中包括未授資產(chǎn)失陷主要是由于感染惡意軟件被竊取大量憑據(jù)，是黑灰產(chǎn)的常用獲取權(quán)限手法，其中77%的受害單位為科研教育單位，泄露了大量學(xué)生的賬號(hào)密碼，包括瀏覽器中登錄憑證、系統(tǒng)信息、地理位置、硬件配置和已安裝的安全軟件等等詳細(xì)暗網(wǎng)情報(bào)來自于暗網(wǎng)交易市場(chǎng)和黑客論壇，暗網(wǎng)交易市場(chǎng)和黑客論壇中的交易市場(chǎng)為黑產(chǎn)交易提供了正式的匿名交易平臺(tái)，其中數(shù)據(jù)類交易為市場(chǎng)中主要的交易內(nèi)容。以經(jīng)濟(jì)利益為目的的黑客往往在獲取受害單位數(shù)據(jù)后會(huì)前往交易市場(chǎng)發(fā)布售賣帖子，監(jiān)控交易市場(chǎng)情報(bào)是快速獲取外部數(shù)據(jù)泄露情報(bào)的4646黑產(chǎn)輿情包括黑客社交媒體和社區(qū)中進(jìn)行傳播和非法交易的數(shù)據(jù)泄露情報(bào)，黑客之間通常會(huì)對(duì)泄露數(shù)據(jù)內(nèi)容和交易構(gòu)建交值得注意的是，2023年下半年在我國(guó)大陸地區(qū)發(fā)現(xiàn)多起雙重勒索事件導(dǎo)致的數(shù)據(jù)泄露，由于我國(guó)互聯(lián)網(wǎng)環(huán)境特性，境外代碼泄露和敏感文件暴露主要是發(fā)現(xiàn)在互聯(lián)網(wǎng)中的代碼托管平臺(tái)以及文件托管平臺(tái)中泄露的敏感數(shù)據(jù)事件，如境內(nèi)外代碼根據(jù)深信服千里目安全技術(shù)中心2023年監(jiān)測(cè)發(fā)現(xiàn)的高價(jià)值事件受影響 4747隨著數(shù)字經(jīng)濟(jì)推動(dòng)和加密貨幣的發(fā)展，越來越多的黑客在利益驅(qū)動(dòng)下實(shí)施非法交易。在我國(guó)的網(wǎng)絡(luò)監(jiān)管打擊下，網(wǎng)絡(luò)非法交易場(chǎng)所主要轉(zhuǎn)移到了境外社交平臺(tái)、境外黑客論壇市場(chǎng)以及暗網(wǎng)交易市場(chǎng)中。對(duì)境外數(shù)據(jù)非法交易場(chǎng)所的監(jiān)控和跟蹤是快速掌握我國(guó)數(shù)據(jù)泄露事件發(fā)生的有效手段，深信服千里目安全技術(shù)中心對(duì)黑灰產(chǎn)交易市場(chǎng)（包括境外社交平臺(tái)、黑客論隨著數(shù)據(jù)的價(jià)值快速上漲，在黑灰產(chǎn)交易中逐漸成為了數(shù)據(jù)交易為主導(dǎo)的局面，以經(jīng)濟(jì)利益出發(fā)的黑灰產(chǎn)組織或是個(gè)人黑4848從情報(bào)發(fā)現(xiàn)渠道的維度對(duì)2023年監(jiān)控發(fā)現(xiàn)的高價(jià)值數(shù)據(jù)泄露事件進(jìn)針對(duì)境外非法交易市場(chǎng)中數(shù)據(jù)泄露渠道進(jìn)行分析統(tǒng)計(jì)如圖3-4所示，其中黑客論壇泄露數(shù)量占比高達(dá)43%，主要來源于BreachForums在其管理員Pompompurin（真名Conor此后，在BreachForums的用戶開始向新的論壇轉(zhuǎn)移，一是向本就存在的其他流行黑客論壇轉(zhuǎn)移，例如XSS、Exploit、使用門檻和宣傳門檻較高，導(dǎo)致黑客們積極尋求新論壇扎根的現(xiàn)象更多。在這一現(xiàn)象的驅(qū)動(dòng)下，不乏有想要成為新一代頂4949勒索軟件已是全球數(shù)據(jù)泄露的頭號(hào)威脅，2022年全球范圍內(nèi)遭到勒索軟件團(tuán)伙公開泄露數(shù)據(jù)的組織共2861家，其中多重勒索團(tuán)伙數(shù)據(jù)泄露逐年趨勢(shì)0為勒索團(tuán)伙帶來的經(jīng)濟(jì)上的保障，就算受害者不交付贖金，售賣獲取的數(shù)據(jù)也能達(dá)到其經(jīng)濟(jì)目的。近三年，以數(shù)據(jù)泄露進(jìn)5050對(duì)多重勒索軟件團(tuán)伙活躍情況統(tǒng)計(jì)如圖3-5所示，2023年以數(shù)據(jù)泄露實(shí)行多重勒索的勒索軟件團(tuán)伙TOP10依次為L(zhǎng)ockbit、BlackCat(ALPHV)、CL0P、PLAY、8BASE、Malaslock、BianLian、BlackBasta、Akira、0自雙重勒索流行以來，我國(guó)幾乎不受此勒索模式影響，呈現(xiàn)出境內(nèi)和境外勒索態(tài)勢(shì)的明顯區(qū)別。境外勒索主要為定向勒索模式，由勒索團(tuán)伙及其附屬組織對(duì)目標(biāo)組織發(fā)起持續(xù)定向的攻擊。而境內(nèi)主要以無差別攻擊為主，通常為黑灰產(chǎn)團(tuán)伙或者多為工業(yè)、制造業(yè)和能源行業(yè)，從單位地區(qū)來看為江浙滬和廣東經(jīng)濟(jì)發(fā)達(dá)一帶。由此預(yù)測(cè)勒索組織驅(qū)動(dòng)的雙重勒索攻擊可5151回接口濫用導(dǎo)致政務(wù)敏感數(shù)據(jù)泄露事件接口濫用問題一直是我國(guó)各行業(yè)數(shù)據(jù)泄露的最主要原因。在2023年觀察到取的數(shù)據(jù)泄露事件。在境外社交平臺(tái)，有大量黑灰產(chǎn)團(tuán)伙對(duì)我國(guó)公共服務(wù)接口進(jìn)行非這些接口多為一些為內(nèi)部人員提供查詢服務(wù)的中間接口，而這些接口未設(shè)置權(quán)限管理并意外暴露于互聯(lián)網(wǎng)中，被黑客掃描被利用接口接口功能未經(jīng)過任何身份校驗(yàn)即可通過輸入身份證號(hào)得到身通過輸入姓名和身份證號(hào)即可查詢社保卡信息、人員檔案信息及社保卡銀行卡查詢接口通過輸入當(dāng)?shù)氐貐^(qū)身份證即可返回其銀行卡辦理情況份證號(hào)已經(jīng)隨意泛濫，而這些接口給不法分子提供了進(jìn)一步敏感的圖片憑證信息和細(xì)節(jié)信息，使得非法活動(dòng)變得更加容易。值得一提的是，除了敏感數(shù)據(jù)的泄露，其中身份證和社保卡中的人臉照片在目前似乎是更為敏感的信息，其為不法分5252回多個(gè)黑客論壇泄露我國(guó)數(shù)據(jù)合集事件黑客論壇作為黑客活動(dòng)和交流的主要根據(jù)地，黑客在攻擊目標(biāo)單位并竊取數(shù)據(jù)之后往往會(huì)將成果掛在黑客論壇中進(jìn)行售然而，過于猖獗的黑客們?cè)诔掷m(xù)的非法活動(dòng)中也引得各國(guó)監(jiān)管的不滿和打擊，最初知名的黑客論壇RaidForms相關(guān)運(yùn)營(yíng)引發(fā)了大量黑客組織開始蠢蠢欲動(dòng)爭(zhēng)鋒成為頂級(jí)論壇。在BreachForums關(guān)閉的這三個(gè)月以來，已經(jīng)觀察到名為Pwnedforums、Exposed、LeakBase、BreachForums（新）等多個(gè)新論壇的出現(xiàn)。觀察發(fā)現(xiàn)，論壇運(yùn)營(yíng)者往往通過公開泄露黑客們關(guān)注的數(shù)據(jù)來進(jìn)行宣傳和競(jìng)爭(zhēng)，而其中涉及多次泄露我國(guó)歷史數(shù)據(jù)合集的事件發(fā)生，其數(shù)量級(jí)均達(dá)到億級(jí)，PwnedForums著名俄羅斯黑客論壇的中泄露了中國(guó)6.3億公民數(shù)據(jù)，字段包括姓名、電話、身份證號(hào)、出生日期、地址、性別和銀行卡號(hào)。該LeakBase傳其運(yùn)營(yíng)的數(shù)據(jù)泄露論壇。這份合集包含了公安、醫(yī)護(hù)人員以及BreachForums論壇的替代論壇，此舉動(dòng)吸引了大批黑客前往，而不久后，該論壇運(yùn)營(yíng)者稱無力運(yùn)營(yíng)并意圖轉(zhuǎn)手該論壇，隨即該5353回某高校因3萬余條師生個(gè)人信息數(shù)據(jù)泄露被罰款80萬元該高校在數(shù)據(jù)處理活動(dòng)中未建立全流程數(shù)據(jù)安全管理制度，未采取技術(shù)措施保障數(shù)據(jù)安全，也未履行數(shù)據(jù)安全保護(hù)義務(wù)。這導(dǎo)致了該校存儲(chǔ)的教職工信息、學(xué)生信息和繳費(fèi)信息等超過3000萬條數(shù)據(jù)遭到黑客非法入侵，其中包括3萬余條敏感回重點(diǎn)數(shù)據(jù)泄露事件分析小結(jié)億個(gè)人地址數(shù)據(jù)。快遞物流行業(yè)的供應(yīng)鏈復(fù)雜，安全能力參差不齊，導(dǎo)致數(shù)據(jù)安全的保障變得愈發(fā)困難。各行業(yè)雖然在加強(qiáng)本身的數(shù)據(jù)安全建設(shè)，但往往忽視了數(shù)據(jù)流向外部時(shí)可能出現(xiàn)的安全問題。API接口濫用是導(dǎo)致我國(guó)各行業(yè)數(shù)據(jù)在2023年，多起利用政務(wù)接口提供非法數(shù)據(jù)查詢和數(shù)據(jù)爬取的泄露的證件圖片和細(xì)節(jié)信息，進(jìn)一步便利了非法活動(dòng)。特別值得注意的是，除了敏感數(shù)據(jù)的泄露，身份證和社保卡中的人臉照目前仍有單位未建立全流程的數(shù)據(jù)安全管理制度，未采取技術(shù)措施來保障數(shù)據(jù)安全，也未履行數(shù)據(jù)安全保護(hù)的義務(wù)。隨著5454們驚嘆的能力，隨即該項(xiàng)技術(shù)被快速應(yīng)用于各企業(yè)中。然而在與人工智能進(jìn)行交互的過程中敏感數(shù)據(jù)和隱私內(nèi)容傳輸所帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)也成為了新技術(shù)場(chǎng)景下需要重點(diǎn)關(guān)注和治理的問題。目前多個(gè)國(guó)家已著手針對(duì)此問題進(jìn)行研究并推出了政務(wù)、醫(yī)療、教育行業(yè)的數(shù)字化數(shù)據(jù)接口的利用既不需要獲取系統(tǒng)最終權(quán)限，也不需要復(fù)雜的攻擊繞過，只需要通過發(fā)現(xiàn)已存在的系統(tǒng)暴露接口，編寫可利用程序即可調(diào)用該接口獲取敏感數(shù)據(jù)。2023年我國(guó)已經(jīng)發(fā)生多起利用接口導(dǎo)致的泄（三）隨著數(shù)據(jù)的價(jià)值快速上漲，在黑灰產(chǎn)交易中逐漸成為了數(shù)據(jù)交易為主導(dǎo)的局面，黑客論壇之間的競(jìng)爭(zhēng)導(dǎo)致數(shù)據(jù)泄露以經(jīng)濟(jì)利益出發(fā)的黑灰產(chǎn)組織或是個(gè)人黑客都以數(shù)據(jù)為核心目標(biāo)來進(jìn)行攻擊布局，使得數(shù)據(jù)的獲取成為黑客間熱議話題。2023年已持續(xù)觀測(cè)到多個(gè)新論壇中發(fā)布我國(guó)大量歷史已泄露數(shù)據(jù)合集來吸引對(duì)我國(guó)關(guān)注的黑客，而該行為將持續(xù)加大數(shù)重勒索事件呈逐年雙倍遞增的趨勢(shì)。2023年觀測(cè)發(fā)現(xiàn)我國(guó)發(fā)生多起雙重勒索事件，預(yù)示著勒索組織可能逐步向大陸地區(qū)5555根據(jù)深信服千里目安全技術(shù)中心的檢測(cè)結(jié)果顯示，2023年南亞、東亞和尾蛇）、Donot（肚腦蟲）等，持續(xù)對(duì)中國(guó)、巴基斯坦及南亞周邊國(guó)家進(jìn)行長(zhǎng)期竊密攻擊。特別是在2023年，CNC、BITTER和Patchwork組織的活動(dòng)尤為頻繁，這些組織在很多方面存在信息交叉，可能有一定關(guān)聯(lián)性。它們主要針對(duì)教育、航空工業(yè)、科研單位、軍工和政府等行業(yè)。東亞地區(qū)的主要APT組織是綠斑，地緣政治是其攻擊的主要因素，主要進(jìn)行定向釣魚攻擊，竊取軍工、科研教育、航空航海等技術(shù)情報(bào)。另外，Lazarus和Kimsuky的攻擊目標(biāo)更傾向于美國(guó)、日本和韓國(guó)。東南亞地區(qū)主要由海蓮花組織活躍，利用Nday漏洞攻擊邊界安全設(shè)備，然后針對(duì)科研教育機(jī)構(gòu)展開攻擊。56562023年，深信服千里目安全技術(shù)中心監(jiān)測(cè)到了大量疑似南亞地區(qū)APT組織的相關(guān)攻擊活動(dòng)，活躍組織包括CNC、CNC組織最早于2019年被發(fā)現(xiàn)，因其使用的遠(yuǎn)程控制木馬的PDB路徑信息中包含的"cnc在運(yùn)行攻擊者提供的程序后，下載后續(xù)階段遠(yuǎn)控、反彈shell、瀏覽器竊密、文件竊密、U盤擺渡木馬等惡意程序，最終123457572023年，白象組織活動(dòng)大多集中在我國(guó)境內(nèi)中部地區(qū)，攻擊目標(biāo)上，對(duì)多個(gè)涉及水利、航空等專業(yè)的高等院校發(fā)起魚叉式釣魚攻擊。在針對(duì)某大型水利集團(tuán)的攻擊活動(dòng)中，其竊取了單位內(nèi)部相關(guān)信息和物料，然后再使用包括招聘信息、職場(chǎng)騷擾事件通報(bào)、年度專項(xiàng)項(xiàng)目申報(bào)在內(nèi)的多個(gè)主題的釣魚郵件，向高校內(nèi)投遞了大量釣魚郵件。除此之外該組織還對(duì)某政攻擊手法和工具上，白象常使用魚叉攻擊對(duì)目標(biāo)進(jìn)行打點(diǎn)攻擊，在近期監(jiān)控到的攻擊活動(dòng)中發(fā)現(xiàn)有大量針對(duì)中國(guó)的定制化123455858叉攻擊投遞惡意載荷或者進(jìn)行憑證釣魚（主要是郵箱其針對(duì)國(guó)內(nèi)的魚叉攻擊使用的郵箱賬號(hào)多為竊取或購買的126、序等多種方式。惡意載荷通常使用msi部署或直遠(yuǎn)控、文件竊密組件以及鍵盤記錄器等黑客工具，雖然其攻擊方式依賴社會(huì)工程學(xué)，但還是開源項(xiàng)目對(duì)遠(yuǎn)控組件進(jìn)行二次修改開發(fā)和混淆，還發(fā)現(xiàn)該組織將開源項(xiàng)目“Lilith”與以往的下載器結(jié)合，以不斷增強(qiáng)攻12345959東亞地區(qū)以地緣政治為主要因素，以綠斑為活躍代表保持長(zhǎng)期對(duì)我國(guó)的定向釣魚，持續(xù)對(duì)我國(guó)軍工、教育科研、航空航海等技術(shù)情報(bào)進(jìn)行竊取，其手法常年保持釣魚網(wǎng)頁和郵件攻擊。Lazarus和KiLazarus被公開情報(bào)普遍認(rèn)為具有東亞某國(guó)政府背景，其作為該地區(qū)的一個(gè)龐大APT行分工協(xié)作。其攻擊目標(biāo)遍及全球，攻擊行業(yè)多種多樣，包括但不限于數(shù)字貨幣、金融機(jī)構(gòu)、IT6060接的ReconShark惡意軟件，以感染目標(biāo)主機(jī)。此外，攻擊者還使用了兩種隱蔽的惡意載荷部署方式，包括編輯與6161綠斑，是一個(gè)長(zhǎng)期針對(duì)國(guó)內(nèi)國(guó)防、政府、科技和教育領(lǐng)域的重要段時(shí)事主題。除了附件投遞木馬外，綠斑還慣用釣魚網(wǎng)站釣魚，竊取目標(biāo)的賬戶密碼，進(jìn)而獲得更多重要信息。別名：窮綠斑在初始攻擊環(huán)節(jié)主要采用魚叉式釣魚郵件攻擊，在進(jìn)行攻擊之前，其會(huì)對(duì)目標(biāo)進(jìn)行深入調(diào)研，開展信息搜集。通過分篩選出具有一定價(jià)值的郵箱賬號(hào)，進(jìn)行擴(kuò)散式釣魚。對(duì)我國(guó)航天、海事、軍隊(duì)、教育、政府機(jī)構(gòu)、多行業(yè)領(lǐng)域?qū)＜页掷m(xù)進(jìn)目前該組織活動(dòng)在攻擊行動(dòng)中常模仿其他組織的攻擊戰(zhàn)術(shù)，為了方便對(duì)該組織進(jìn)行跟蹤，因此將該組織命名為戰(zhàn)術(shù)模仿者此處暫將其放在海蓮花下。漏洞進(jìn)行打點(diǎn)，獲得對(duì)大量公網(wǎng)安全設(shè)備的持續(xù)控制權(quán)限，展開針對(duì)科研教育機(jī)構(gòu)的攻擊活動(dòng)，在攻擊活動(dòng)中還觀察到其126262WarSun?ower（戰(zhàn)爭(zhēng)葵花）主要活躍于東歐及中亞地區(qū)，將其命名為WarSun?ower（戰(zhàn)爭(zhēng)葵花）以代表其產(chǎn)生來源于俄烏戰(zhàn)爭(zhēng)。2023年該組織主要針對(duì)阿富汗、烏茲別克斯坦、哈薩克斯坦的政府部門進(jìn)行釣魚攻擊。在攻擊手法上，除了通過釣魚竊取郵箱憑證外，該組織還投遞多種木馬對(duì)目標(biāo)進(jìn)行攻擊（主要投遞的載荷為vhdx文件，并且vhdx里包含后門組件或LNK文件下載器及誘餌文件等）。攻擊目的上該組織擅長(zhǎng)對(duì)開源項(xiàng)目進(jìn)行改造利用，并未發(fā)現(xiàn)技術(shù)能力較高的自研組件，且其主要打點(diǎn)方式為魚叉攻擊，暫時(shí)未發(fā)現(xiàn)較高水平的打點(diǎn)方式，可初步判定該組織的技術(shù)水平屬于中低水平組織。通過分析其攻擊目標(biāo)地域、行業(yè)信息以及活躍時(shí)區(qū)表4-10WarSun?ower組織公開披露重點(diǎn)事件1WarSun?ower（戰(zhàn)爭(zhēng)葵花）組織針對(duì)CIS國(guó)家及中亞地區(qū)的最新攻擊行動(dòng)分析6363持續(xù)對(duì)烏克蘭的公共機(jī)構(gòu)和關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了有針對(duì)性的網(wǎng)絡(luò)國(guó)家安全、軍事和政府組織；攻擊手法包括網(wǎng)絡(luò)釣魚郵件和仿冒釣魚頁面來傳播惡意軟件，還利用USB的擺渡攻擊來進(jìn)1234目前，該組織被歸因于俄羅斯政府情報(bào)組織，名為APT29，自2008年起開始運(yùn)作。他們還使用了多個(gè)別名，如研究機(jī)構(gòu)和智庫進(jìn)行攻擊。作為東歐地區(qū)APT組織中實(shí)力強(qiáng)大的一員，APT29在微軟報(bào)告的Nobelium事件和一份宣傳合法傳單，其中包含出售位于基輔的二手寶馬轎車的信息。他們將惡意軟件嵌入其中，然后分發(fā)給了在基輔工作1236464軟件供應(yīng)鏈攻擊可以分為基于軟件源代碼、開源軟件第三方包和軟件開發(fā)工具相關(guān)的攻擊方式。其中，基于軟件源代碼的攻擊方式最為隱蔽、危害最大，也是技術(shù)難度最高的一種攻擊方式。而基于開源軟件第三方包和基于軟件開發(fā)工具相關(guān)的APT攻擊組織攻陷軟件供應(yīng)商之后，將惡意代碼直接嵌入到軟件供應(yīng)商的軟件代碼當(dāng)中，通Lazarus有關(guān)的UNC4736組織利用3CX桌面應(yīng)用程序?qū)嵤┝穗p重供應(yīng)鏈攻擊，該事件是由于2022年該組織針對(duì)APT攻擊組織利用偽造的包含惡意軟件的軟件開發(fā)工具或者被感染了惡意代碼的軟件開發(fā)工開發(fā)人員安裝或使用這些軟件開發(fā)工具和工程項(xiàng)目文件，安裝木馬后門進(jìn)行下一步的攻擊活動(dòng)，LazarusAPT攻擊組織就曾利用這種攻擊方式，通過感染了惡意代碼的軟件開發(fā)工具未來隨著全球云計(jì)算虛擬化等平臺(tái)的高速發(fā)展，基于軟件供應(yīng)鏈攻擊的活動(dòng)6565在2023年監(jiān)測(cè)到的APT攻擊活動(dòng)中，越來越多的組織開始利用開源組件二次開發(fā)的攻擊組件，尤其開源組件的二次開發(fā)極大地降低了APT組織在攻擊成本上的消耗，同時(shí)要體現(xiàn)在反調(diào)試、反分析，以及目標(biāo)識(shí)別等方面。這些快速迭代的對(duì)抗技巧為復(fù)雜和激烈，溯源歸因難度也越來越高。在2023年，發(fā)現(xiàn)南亞多個(gè)組織利用了多種開源組件開展攻擊活動(dòng)，包括有在最近的一次攻擊活動(dòng)中，Patchwork組織投遞的惡意lnk文件用于下載第二階段的BADNEWS遠(yuǎn)控，其中使用了此外，我們還捕捉到Patchwork組織使洞利用獲得內(nèi)核權(quán)限以殺死/致盲終端安全軟件等，該項(xiàng)技術(shù)主要應(yīng)著一些未被記錄的或僅被攻擊者所掌握的可用于攻擊活動(dòng)的合法驅(qū)動(dòng)程序，這意味著攻擊者擁有一個(gè)充足的庫來發(fā)起關(guān)閉/開啟PPL保護(hù)，和關(guān)閉/開啟強(qiáng)制簽名校驗(yàn)等多種高級(jí)攻這項(xiàng)技術(shù)最初主要被如Turla和方程式這樣的頂級(jí)APT組織所6666魚郵件和網(wǎng)站更加逼真，增加了用戶識(shí)別的難度。同時(shí)，社會(huì)工程攻擊也在不斷演變，利用新的社交平臺(tái)和通訊工具進(jìn)行釣魚攻擊，使得防范變得更加復(fù)雜。總之，2023年釣魚攻擊的手法、社會(huì)工程、組合利用上都體現(xiàn)出了精心的設(shè)計(jì)，展為了達(dá)到釣魚攻擊以假亂真的效果，在攻擊之前攻擊者需要針對(duì)受害者進(jìn)行社會(huì)工程學(xué)的調(diào)查，對(duì)受害者的個(gè)人信息、工作環(huán)境、接觸人群等社會(huì)關(guān)系進(jìn)行信息收集，充分了解受害者某個(gè)密碼等等，再通過基本信息的社會(huì)工程學(xué)打點(diǎn)后，偽裝為受害者本人，與其賬號(hào)中的聯(lián)系人進(jìn)行正常溝通，并釣魚攻擊的關(guān)鍵之處就在于郵件話術(shù)和誘餌的逼真程度，越真實(shí)、越符合正常業(yè)務(wù)和溝通邏輯的釣魚郵件可以使攻擊者在遭受攻擊后幾乎無法感知，不僅能保障釣魚攻擊的成功率還能使其攻擊行為持續(xù)潛伏。隨著國(guó)家對(duì)反詐知識(shí)的宣傳，人們對(duì)于釣魚郵件的警惕與防范大大提高。與此同時(shí)，攻擊者也不斷提高其在釣魚攻擊上的迷惑性，來提高釣魚攻擊成功率。在2023年針對(duì)我國(guó)科研教育行業(yè)的釣魚攻擊中，論文的作者投遞進(jìn)行“論文校對(duì)”或“論文確認(rèn)”的釣魚郵件，其中郵件內(nèi)容除鏈S更加定向性的魚叉式網(wǎng)絡(luò)釣魚在針對(duì)國(guó)內(nèi)科研教育的攻擊中，攻擊者首先通過其他渠道獲得多個(gè)研究人員個(gè)人郵箱，監(jiān)控其中的論文投遞情況，當(dāng)出現(xiàn)近期投遞的論文，攻擊者在適當(dāng)?shù)臅r(shí)間，模擬期刊方，向幾位文章作者發(fā)送“論文校對(duì)”郵件，郵件包含該論文的編號(hào)、投遞時(shí)間、在線發(fā)表地址等信息。而在論文投遞后的論文作者將會(huì)密切關(guān)注其論文投遞中流通，降低了攻擊者制作商業(yè)電子郵件的門檻，幫助攻擊者能夠輕易制作更加逼真的攻擊話術(shù)和誘餌。根據(jù)SlashNextThreatLabsintelligence觀察發(fā)現(xiàn)，2023年在ChatGPT發(fā)布之后，惡意釣魚郵件數(shù)量增加了6767此次攻擊中，攻擊者疑似首先在暗網(wǎng)獲取了大量受害者信息，包括基本信息、郵箱賬密等等，對(duì)受害者信息了如指掌。在獲取到受害者郵箱權(quán)限后，攻擊者監(jiān)控到了能夠編寫定向釣魚郵件的郵件主題和語料，包含頂會(huì)邀請(qǐng)、論文校對(duì)等等，使其偽造的釣魚郵件十分逼真，引發(fā)大量受害者點(diǎn)擊。攻擊者甚至偽裝為與教授私交甚好的他國(guó)高校教授與受害者進(jìn)行長(zhǎng)達(dá)還原攻擊過程為攻擊者向受害者投遞惡意郵件后，受害者點(diǎn)擊惡意郵件中的附件，執(zhí)行chm惡意附件導(dǎo)致創(chuàng)建惡意計(jì)劃本次攻擊者對(duì)該遠(yuǎn)控進(jìn)行了混淆，該遠(yuǎn)控組件由開源遠(yuǎn)控DarkAgent項(xiàng)目修改而成，其參考的開源項(xiàng)目地址為/ilikenwf/DarkAgent。通過進(jìn)一步分析，確認(rèn)該下載cert.msi文件的遠(yuǎn)程地址“rusjamystarapp在終端取證中發(fā)現(xiàn)該終端還存在異常啟動(dòng)項(xiàng)ceve.exe，根據(jù)啟動(dòng)項(xiàng)定位文件位置，發(fā)現(xiàn)該文件創(chuàng)建時(shí)間為1月4日?qǐng)?bào)中已經(jīng)被披露歸因?yàn)槁`花APT組織。攻擊者還多次嘗試使用了遠(yuǎn)控工具anyde開源組件利用在APT攻擊中越發(fā)常見，開源組件6868（稱為VEILEDSIGNAL）投放在軟件官網(wǎng)上，該惡意程序允許攻擊者獲得軟件使用者的計(jì)算機(jī)訪問權(quán)限并竊取網(wǎng)絡(luò)憑據(jù)。以及另外兩個(gè)涉及金融交易的企業(yè)。織注入惡意程序，并投放在官方下載渠道傳播。經(jīng)過調(diào)查發(fā)根據(jù)Mandiant對(duì)3CX公司受攻擊情況調(diào)查發(fā)現(xiàn)，由于3CX員工意外下載被污染的X_TRADER應(yīng)用程序，從而被該事件是首次發(fā)現(xiàn)的軟件供應(yīng)鏈攻擊事件導(dǎo)致的軟件供應(yīng)鏈攻擊，被廣泛稱為“雙重供應(yīng)鏈”攻擊事件。雙重供應(yīng)鏈攻擊將其傳播范圍廣的特性再次放大，將兩條軟件供應(yīng)鏈上下游給串聯(lián)起來，實(shí)現(xiàn)難以察覺的連環(huán)攻擊，并保持長(zhǎng)期存在的攻擊效果。該事件的攻擊效果為黑客組織提供了攻擊新思路，可能將吸引更多黑客組織轉(zhuǎn)向使用該手段，從攻擊目標(biāo)源頭供俄羅斯本國(guó)以及外國(guó)公民，受監(jiān)控的群體還包括一些國(guó)家的在俄外交官。總部位于俄羅斯首都莫斯科的著名網(wǎng)絡(luò)安全公司在后續(xù)的調(diào)查跟進(jìn)中發(fā)現(xiàn)，該植入程序被卡巴斯基命名為TriangleDB，是在攻擊者利用內(nèi)核漏洞獲得目標(biāo)iOS設(shè)備的root權(quán)限后部署的。它部署在內(nèi)存中，這意味著當(dāng)設(shè)備重新啟動(dòng)時(shí)，植入物的所有痕跡都會(huì)丟失。因此，如果受害者重新啟動(dòng)設(shè)備，攻擊者必須通過發(fā)送帶有惡意附件的iMessage來重新感染設(shè)備，從而再次啟動(dòng)整個(gè)漏洞利用鏈。如果沒有重在iPhone上部署三角測(cè)量行動(dòng)間諜軟件的零點(diǎn)擊漏洞鏈的一部分。此次修美國(guó)針對(duì)全球無差別的情報(bào)監(jiān)控已陸續(xù)被各國(guó)發(fā)現(xiàn)，俄羅6969在最新的攻擊行動(dòng)中發(fā)現(xiàn)，此批惡意PPT文檔的惡意利用流程如下，通過在PPT中插入圖片，并設(shè)置該圖片“鼠標(biāo)單擊”件供應(yīng)商的高度攻擊態(tài)勢(shì)；根據(jù)深信服千里目安全技術(shù)中心監(jiān)測(cè)數(shù)據(jù)來看，針對(duì)我國(guó)開展頻繁攻擊的以東南亞和南亞地區(qū)隨著大眾對(duì)釣魚攻擊和詐騙信息的防范性逐漸提高，APT中，APT組織體現(xiàn)精細(xì)的前期打點(diǎn)工作，其通過多種渠道的社工手段將3CX