2023年 AI APT可持续攻击的调查研究报告

一、APT攻击：精准打击，隐蔽深入

随着网络技术的不断发展，网络安全威胁也日益严峻。高级持续性威胁（APT）攻击以其目标明确、手段多样、隐蔽性强等特点，成为网络安全领域的重要挑战。本文分析2023年当前 APT 攻击的主要特点、活跃组织、攻击趋势以及漏洞利用情况，并提出相应的安全建议，帮助大家了解 APT 攻击，提升网络安全防护能力。

（一）攻击目标

APT 攻击者通常针对特定组织或个人，例如政府机构、军事部门、金融企业、科研机构等，这些组织或个人掌握着重要的国家机密、商业秘密或科研数据。

（二）攻击手段

钓鱼邮件：通过发送看似正常的邮件，诱骗受害者点击恶意链接或下载恶意附件，从而控制受害者的计算机。
恶意软件：将木马、后门、勒索软件等恶意软件植入到受害者的计算机中，窃取敏感数据或控制受害者的计算机。
0day 漏洞：利用尚未被公开或修复的软件漏洞，绕过安全防御，入侵受害者的计算机。
供应链攻击：通过攻击软件供应商的供应链，将恶意软件植入到软件中，然后通过软件分发到受害者，从而控制受害者。

（三）攻击特点

目标明确：攻击者针对特定组织或个人进行攻击，攻击目标明确。
手段多样：攻击者利用多种手段进行攻击，攻击手法复杂。
隐蔽性强：攻击者采用隐蔽的攻击手法，避免被检测。
持续时间长：攻击者会长期潜伏在目标网络中，持续获取信息或造成破坏。

二、APT 攻击的活跃组织

全球范围内，众多 APT 组织活跃，其攻击目标、手段和目标各有不同。以下是一些典型的 APT 组织：

Lazarus：主要针对金融机构、虚拟货币交易所、卫星通信接收器和调制解调器等领域，攻击手法复杂，具备高超的技术水平。
Kimsuky：主要针对政府、科技、媒体、医疗、能源等领域，擅长利用社会工程学手段进行攻击。
APT37：主要针对政府、军事、企业等领域，擅长利用 0day 漏洞。
APT43：主要针对政府、教育、研究和智库等领域，攻击目标明确，攻击手法复杂。
海莲花：主要针对政府、科研院所、媒体、企业等领域，攻击目标广泛，攻击手法多样。
Saaiwc（DarkPink）：主要针对政府、军事、教育机构、宗教和非营利组织等领域，攻击目标广泛，攻击手法多样。
蔓灵花：主要针对政府、电力、军工业等领域，攻击目标明确，攻击手法多样。
肚脑虫：主要针对政府、军事、商务领域等领域，攻击目标明确，攻击手法多样。
透明部落：主要针对政府、军队、激进分子、民间社会等领域，攻击目标广泛，攻击手法多样。
SideCopy：主要针对政府、军队、军事等领域，攻击目标明确，攻击手法多样。
响尾蛇：主要针对政府、外交机构、军事、高等教育机构等领域，攻击目标明确，攻击手法多样。
摩诃草：主要针对政府、军事、电力、工业、外交、经济等领域，攻击目标广泛，攻击手法多样。
幼象（CNC）：主要针对政府、科研机构、教育机构等领域，攻击目标明确，攻击手法多样。

三、APT 攻击的趋势

APT 攻击并非一成不变，而是随着技术发展和安全防御的提升，不断演变和进化。以下是一些 APT 攻击的趋势：

移动端攻击增多：随着移动设备的普及，移动端攻击成为 APT 攻击的新趋势。攻击者利用 0day 漏洞、恶意应用等手段，窃取手机用户的敏感数据，并进行远程监控。
网络设备成为攻击目标：路由器、防火墙等网络设备成为 APT 攻击的重要目标。攻击者利用网络设备中的漏洞，建立 C2 服务器，并进行横向移动。
勒索团伙利用 0day 漏洞：勒索团伙开始利用 0day 漏洞进行攻击，例如 Magniber 和 Nokoyawa 团伙。
攻击技术更加复杂： APT 攻击者不断改进攻击技术和工具，例如使用恶意软件伪装、横向移动、自动化攻击平台等，以绕过安全防御。

四、0day 漏洞的利用

2023 年上半年，0day 漏洞的利用情况有所上升，攻击者利用 0day 漏洞进行攻击，例如：

Outlook 漏洞 CVE-2023-23397：攻击者通过发送带有特定 MAPI 属性的邮件，窃取受害者 NTLM Hash。
iOS 系统中 iMessage 信息服务的 0-Click 0day 漏洞：攻击者无需任何用户交互，即可利用该漏洞窃取手机用户的敏感数据。
Barracuda Networks ESG 设备中的 0day 漏洞 CVE-2023-2868：攻击者利用该漏洞获取目标设备的代码执行权限，并部署恶意软件。