全球高级持续性威胁(APT)2022年度报告
近日,奇安信威胁情报中心发布《全球高级持续性威胁(APT)2022年度报告》。该报告通过分析奇安信威胁雷达对2022年境内的APT攻击活动的全方位遥感测绘数据,展示了我国境内APT攻击活动及高级持续性威胁发展趋势,并结合开源情报分析了全球范围内高级持续性威胁发展变化,发现政府部门仍是APT组织的首要攻击目标,其次是国防军事行业,与之相关的攻击活动非常活跃。此外,金融贸易、能源、科技、新闻媒体等行业也成为2022年APT活动关注的热点。
漏洞方面,奇安信威胁情报中心独家捕获6个针对国产软件的在野0day漏洞,这些漏洞被境外APT组织在针对国内目标的攻击活动中使用。2022年全球范围内0day漏洞的使用趋于缓和,比之2021年有大幅下降,但同比2020年的0day在野漏洞攻击依然有所增加,在野攻击涉及重要漏洞数量超35个。以浏览器为核心的漏洞攻击向量仍然是主流趋势,其中不少新增在野0day漏洞是因之前的漏洞没有完全修复或修复机制存在被绕过的问题导致。
按照以往惯例,本报告最后从地域空间的角度详细介绍了各地区的活跃APT组织及热点APT攻击事件。
摘要
2022年,奇安信威胁情报中心使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到我国范围内大量IP地址与数十个境外APT组织产生过高危通信,疑似被攻击。作为政治中心的北京和沿海省份广东、上海、浙江、江苏等地是境外APT组织攻击的主要目标地区,福建、安徽等东部地区也有较多受害目标。
基于奇安信威胁雷达的测绘分析,2022年,APT-Q-27、海莲花、毒云藤、蔓灵花、APT-Q-22、Lazarus等组织,是对我国攻击频率最高、危害最大的APT组织。我国境内受其控制的IP地址比例分别为:APT-Q-27 22%,海莲花 17%,毒云藤 16%,APT-Q-22 13%,蔓灵花 9%,Lazarus 8%。
本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据,得出以下结论:2022年,我国政府部门、金融商贸、科研机构遭受高级威胁攻击突出,受影响的行业排名前五分别是:政府29%,金融商贸14%,科研12%,能源9%,医疗9%。
2022年,奇安信威胁情报中心收录了331篇高级威胁类公开报告,涉及137个已命名的攻击组织或攻击行动。其中,提及率最高的五个APT组织分别是:Lazarus 8.7%,Kimsuky 5.0%,透明部落 4.5%,Gamaredon 3.6%,海莲花 3.3%。
政府部门和国防军事行业仍是2022年全球APT活动关注的首要目标,紧随其后的是科技、能源、金融商贸、新闻媒体等领域。
2022年奇安信威胁情报中心独家捕获6个针对国产软件的在野0day漏洞,这些漏洞被境外APT组织在针对国内目标的攻击活动中使用。2022年全球范围内0day漏洞的使用趋于缓和,比之2021年有大幅下降,但同比2020年的0day在野漏洞攻击依然有所增加,在野攻击涉及重要漏洞数量超35个。以浏览器为核心的漏洞攻击向量仍然是主流趋势,其中不少新增在野0day漏洞是因之前的漏洞没有完全修复或修复机制存在被绕过的问题导致。
关键字:全球高级持续性威胁、APT、0day、国产化、政府部门、威胁雷达、浏览器
获取完整报告:关注公众号,后台回复关键字“2022年报”