全球高级持续性威胁(APT)2023年度报告

目录导航

APT是什么

高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，需要花费大量时间和资源来研究确定系统内部的漏洞；长期是为了达到特定目的，过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

主要观点

2023 年，奇安信威胁情报中心观察到多个 APT 组织频繁针对国内目标。有的组织继续沿用以往的攻击模式，而有的组织攻击手法特点则呈现出一定的变化，但总体来看，鱼叉邮件仍是主要的初始入侵手段，个别 APT 组织还会通过社工、Web 层面的 0day/Nday 漏洞作为攻击入口。

政府机构、国防军事、科研教育、信息技术是全球高级持续性威胁主要针对的四大行业。此外 APT攻击事件发生较多的行业还有金融、通信、新闻媒体、航空航天、医疗卫生、能源。

全球 APT 活动呈现出五大特点：移动端成为攻击制高点，针对移动平台 iOS/Android 的 0day 攻击逐渐增多；路由、防火墙等传统网络设备成为廉价的 C2
屏障及攻击向量；网络军火商活跃出现，给原始攻击者加上一层额外的反溯源保护，成为攻防两端之间的一种特殊角色；基于原生项目开发的程序未保持同步更新导致很多原生项目中已经修复的问题在二级开发的应用中以
0day 的形式重新回归，软件二次开发伴随的安全问题愈发严重；随着大批量国产化软件普及，针对国产软件的攻击及相关 0day 漏洞不断涌现，确保这些软件的安全性势在必行。

在针对政府部门的 APT 攻击中，与外交相关的活动占比超
1/5，较往年显得尤为突出；针对国防军事目标的攻击活动主要集中在地区地缘政治关系极度复杂的东欧、南亚两个地区；信息技术行业发现多起供应链攻击；科研教育行业遭受攻击的三大重灾区为韩国、中国、印度。

漏洞利用方面，以浏览器为攻击向量依然是主趋势流，大量以移动端为目标的攻击成为今年 APT
的首选，网络军火商在其中的参与度愈加提高，这也导致移动端漏洞的地下交易市场价格飙升。攻防两端的角力进入白热化，严重 1day 漏洞的在野攻击投放速度加快，攻击者能以更快的速度利用最新的漏洞
发起攻击。
我们预测，在 2024 年 APT 活动将呈现出如下趋势：全球局势动荡催生更加频繁的 APT 攻击活动；移动端将继续受到攻击者关注；软件供应链仍是常用攻击途径；人工智能技术被攻击者滥用；网络威胁
呈现更复杂的生态。

摘要

奇安信威胁情报中心使用奇安信威胁雷达对2023 年境内的APT 攻击活动进行了全方位遥感测绘。
监测发现，2023 年针对境内目标的APT 攻击主要集中在下半年内；从地域分布来看，境内疑似受控IP
多集中在沿海省份广东、江苏、上海、浙江等地区。攻击目标主要涉及我国政府机构、科研教育、信息
技术、金融商贸、能源等行业。

2023 年，奇安信威胁情报中心通过梳理奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实
APT 攻击事件，结合使用威胁情报的全线产品告警数据，观察到多个APT 组织频繁针对国内重点目标。
其中，FaceduckGroup 是我们今年首次发现针对国内的攻击团伙；APT-Q-77 开始将目标转向芯片领域；
APT-Q-15 是我们自2022 年开始持续跟踪的新组织，主要攻击朝鲜和中国大陆。

基于奇安信威胁雷达的测绘分析，2023年对我国攻击频率最高的APT组织为：
APT-Q-27 (GoldenEyeDog)、APT-Q-29 (Winnti)、APT-Q-1 (Lazarus)、APT-Q-31 (海莲花)、APT-Q-36
(Patchwork)、APT-Q-20 (毒云藤)、APT-Q-12 (伪猎者)等，这些组织疑似控制我国境内IP地址的比例分
别为：24.2%，11.6%，9.7%，7.8%，7.7%，7.5%，5.6%。

本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT 攻击线索排
查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2023 年，我国政府机构、科研教育、
信息技术、金融商贸、能源行业遭受高级威胁攻击情况突出，占比分别是：20.4%，18.4%，17.3%，
12.2%，10.2%。

奇安信威胁情报中心在2023 年监测到的高级持续性威胁相关公开报告总共369 篇。根据开源情报
监测显示，在2023 年全球至少有80 个国家遭遇过APT 攻击，披露的大部分APT 攻击活动集中在韩国、
乌克兰、印度、中国、巴基斯坦、以色列和美国等地。同时报告总共涉及全球95 个攻击组织，其中提
及率最高的5 个APT 组织分别是：Lazarus, Group123, Kimsuky, SideCopy, APT28。

2023年全球披露的APT相关活动报告中，涉及政府机构（包括外交、政党、选举相关）的攻击事件占比为27.9%；涉及国防军事的攻击事件占比为12.2%；涉及科研教育的攻击事件占比为11.7%；信息技术相关的事件占比为10.4%。其余金融、通信、新闻媒体、航空航天、医疗卫生、能源占比分别为5.3%、4.5%、3.7%、3.2%、2.7%、2.4%。

2023年奇安信威胁情报中心关注到重点在野0day漏洞共59个。在野0day的利用数量相较2022年有所上升，趋势上逼近作为历年峰值的2021年。微软、谷歌、苹果三家的产品漏洞依然占主要部分，而与往年有所不同的是，苹果产品的漏洞在数量上稳压了微软、谷歌一头。