安恒信息发布《2023年全球高级威胁态势研究报告》

2023年，世界再次置身于巨大而不可预测的变革之中。全球地缘政治局势的演变，特别是一系列新兴威胁的不断涌现，使得网络安全面临着前所未有的挑战。过去一年，我们目睹了地缘政治动荡、科技进步和人类活动的交织，进一步深刻地塑造了数字时代的未来。

在此背景下，俄乌、巴以冲突成为焦点，对全球网络环境带来了严重的冲击。网络攻击不再仅仅是技术层面的挑战，更成为国家安全和全球稳定的关键元素。网络威胁的高级持续性表现出与以往不同的特征，其影响远远超越了数字世界的边界，渗透到现实社会的方方面面。

安恒研究院猎影实验室根据对2023全年的高级威胁攻击事件、网络犯罪团伙的攻击活动以及在野0-day漏洞的分析，发布《2023年高级威胁态势研究报告》。2023年网络空间态势呈现出以下特点：

2023年，安恒研究院猎影实验室首次发现并命名了4个APT组织：暗石（APT-LY-1005,Saaiwc Group)、暗影蓝鹊（APT-LY-1006,ShadowBlue Magpie)、机械鹰(APT-LY-1007,Mechanical Eagle)、骷髅狼(APT-LY-1008,Skeleton Wolf）以及3个黑灰产组织：幽谍犬（GRP-LY-1002）、图穷之刃（GRP-LY-1003）、暗钩（GRP-LY-1004）。

全球其他厂商共计披露了37个APT组织。新披露的 APT组织如 CloudWizard、MoustachedBouncer、ShroudedSnooper等在攻击中采用了大量的新型攻击武器，部分新披露组织的攻击地区主要集中在东欧及中东的网络战场，如 Cadet Blizzard、OilAlpha、CL-STA-0043、Sandman、WildCard等，有些新曝光的APT组织在技术战术方向上与既有组织存在重叠，如APT43、Tomiris、GoldenJackal等。

2023年，全球最为活跃的APT组织依然是来自东亚地区的Lazarus组织。该组织在全球范围内进行了多次供应链入侵，并持续从事加密货币窃取活动，占据总披露的12.7%。其次是Kimsuky、APT37等主要专注于韩国的东亚APT组织，分别占比9.3%和6.5%。

东欧地区的老牌APT组织在2023年纷纷活跃，例如 Trula开发的Snake恶意软件感染了全球50多个国家；Gamaredon使用LitterDrifter的新型USB蠕虫进行大规模情报收集；Sandworm再次入侵乌克兰电网运营商网络，并引发乌克兰停电；APT28利用RoundCube电子邮件服务器漏洞入侵乌克兰政府、军事实体；APT29滥用WinRAR漏洞对欧洲各地大使馆进行攻击，目标包括意大利、希腊、罗马尼亚和阿塞拜疆。

南亚地区也发展使用非主流编程语言开发的恶意软件，如 Sidewinder使用Nim后门针对南亚地区国家不丹、尼泊尔、缅甸等；Patchwork使用Rust Loader针对我国能源、政府进行网络间谍活动。

中东地区的网络攻击活动主要以监听或破坏基础设施为主，如Charming Kitten 监听不同政见的本国公民；Agrius多次对以色列教育和技术领域进行破坏攻击。

2023年，全球多个网络犯罪组织被绳之以法，包括在2022年排名前十的勒索软件家族之一的Hive,暗网论坛 BreachForums 以及Genesis Market,然而,新的勒索软件组织如Cylance、MalasLocker、ESXiArgs、Money_Message、Akira、RaGroup、BlackSuit等也相继涌现。对我国而言,黑灰产团伙往往在最后阶段采用GhOst远控木马，其钓鱼主题主要涉及发票、税务、财务、政策、证券、薪资、补贴等，对高价值目标还可能实施金融诈骗活动。

受地缘冲突影响，俄乌以及巴以地区的DDoS攻击几乎没有间断，支持巴勒斯坦的黑客主题团体高达70余个，其中不乏在俄乌冲突中活跃的组织，如Killnet、Anonymous Sudan等。

2023年，全球各大厂商共披露了55个主流厂商的在野0-day漏洞，其中CVE-2023-28252、CVE-2023-36033、CVE-2023-36802等三个Windows内核提权在野O-day漏洞由安恒信息捕获并提交。