導語

---

每年年初對上一年度全球網絡安全威脅的情況進行分析和總結，發布整體回顧，進行新年展望，是安天安全研究與應急處理中心（安天CERT）堅持多年的傳統，對安天來說，這就是“年報”。年報的編寫通常從每年11月開始準備，在12月底完成初稿，在1月上旬的網絡安全冬訓營上發布年報的“征求意見版”，征求參會專家的意見建議，之后進行補充完善，并在春節前后正式公布。但如果細心瀏覽安天過去幾年的威脅年報，會發現其都是“征求意見版”，說明報告最終未通過安天技術委員會的審核，只能以“征求意見版”完成發布。對安天CERT來說這是年度工作未完全閉合的遺憾，對整個安天來說，這是面對場景、威脅、客戶的巨大變化中，知行脫節的迷茫。

早期的“年報”并不依賴安天CERT輸出，基本上將年度樣本分析平臺各個維度關于惡意代碼的統計輸出，再輔以簡單的說明，就可以以很小的人力投入完成工作。也符合彼時，安天在產業體系中，只是作為反病毒引擎上游廠商，而不直接面對政企客戶場景的簡單定位。但從震網事件開始，安天的分析溯源能力向防御場景伸展，安天著手研發全主機平臺防護的內核和產品，同時也發布輔助溯源獵殺的流量側和系統側工具。我們看到APT攻擊的高度定向性化的殺傷鏈與復雜的IT場景疊加；各種不同的威脅行為體的攻擊活動都在挑戰網絡安全治理時。這些樣貌，越來越不是簡單的統計分析所能代表。因此我們提出了從數據型年報，走向觀點型的思路，并堅持數年，其中不乏若干我們引為自豪的預見，其中包括“勒索軟件將與蠕蟲合流（2016年）”，“勒索攻擊將具備APT的能力（2020年）”等帶有一定前置性的風險示警，但是WannaCry的大爆發、還是RaaS（勒索即服務）與定向攻擊的合流真正發生時，我們卻無法因準確做出了提前示警而“欣慰”，因為我們無法判斷我們“前置示警”是否讓用戶做出了“前置防御”，甚至對很多IT設施的防護能力提升來看，我們還沒有看到“災難以進步為補償”（恩格斯語）。也因為此，作為威脅分析者和檢測能力的賦能方，我們要發現重要問題，也要提出關鍵解法——這就是兩年來，安天倡導和踐行的執行體治理安全理念。

與此同時，我們今年對年報結構的進行了新的重大調整，增加2023年度威脅執行體與戰術統計分析。這是惡意代碼全貌再次回歸到“年報”當中。數年前，我們認為這些枯燥的分類統計和餅圖柱圖，已經并不能對讀者帶來更多的觀測價值。但我們在這幾年很沉重的發現，由于缺少惡意代碼的種類、數量全貌的持續發布，部分用戶開始忽視反惡意代碼和主機安全防護的基礎能力建設，而更關注對齊更多安全手段，忘記了惡意代碼檢測并非一項功能開關，反病毒引擎是需要全面捕獲能力、海量分析算力和專業分析團隊的來支撐的安全能力。這也是我們首次發布TOP10的攻擊高頻應用的非惡意執行體。我們也基于對攻擊事件中攻擊技戰術分析的累計，發布了ATT&CK年度攻擊技戰術TOP10。

我們今年強化了威脅趨勢的總結，增加了防御和治理思考。需要說明的是，在年報啟動編寫的時點，也正是多起Lockbit組織系列重大定向勒索攻擊被關注的時點，因此我們將年報關于威脅總結和防御治理思考中與定向勒索攻擊相關內容提前輸送到了《波音遭遇勒索攻擊事件分析復盤—定向勒索的威脅趨勢分析與防御思考》分析報告中。

在威脅分析方面與往年結構類似，安天也總結了高級持續性威脅（APT）、勒索威脅、挖礦威脅、其他黑產威脅，數據泄露威脅以及威脅泛化等方向的思考與觀點。

網絡攻擊并不是簡單的是一種技術行為，其是特定組織和個體帶有特定意圖所開展的特殊行為活動。因此分析網絡攻擊從戰術和防護角度，既要以其載荷（執行體）和戰術為重點，以資產環境為場景。同時也要關注其背后的動機和威脅行為體，同時要把對被攻擊目標影響后果損失的分析，疊加國家安全、社會治理安全和相關的公民個人安全的層面進行分析。

表1-1 2023年典型網空威脅行為體作業動機、戰術特點、目標資產和業務后果對比表

關于高級持續性威脅（APT）：安天梳理了2023年全球APT組織及行動的分布和活躍情況，制作了“全球APT攻擊行動、組織歸屬地理位置分布（活躍）圖”，其中APT組織共556個，而代表最高攻擊水平的A²PT攻擊組織全部分布在美國。其他對我國和周邊國家地區有較高威脅的攻擊組織來自印度等國家和我國臺灣地區。我們選取2023年典型代表網空威脅行為體，分析他們的威脅等級，發起攻擊活動的動機因素、戰術特點、目標資產和產生業務后果，盡可能的展示2023年網絡空間的威脅全貌，通過分析發現，網空霸權和地緣安全博弈依然是當前網空攻擊的主要持續性動機和因素，該類攻擊代表當前網空攻擊的最高能力，其目標廣度和深度均全面覆蓋，造成后果也最為嚴重；地域性臨時沖突則是今年網空攻擊的階段性上升因素，此類攻擊以俄烏沖突和巴以沖突背景下的網空攻擊活動為代表，其戰術特點根據各方能力有所不同，但總體圍繞情報獲取、制造混亂和毀癱為作業目的；利益和金錢則是近些年網空攻擊持續上升的動機和因素，隨著加密貨幣和RaaS模式的興起，其善于利用漏洞窗口期，攻擊活動越發頻繁，造成危害也越來越大；而意識形態、宗教沖突等則是特定區域或組織發起網空攻擊的動機和因素，其作業主要以意識形態傳播、威脅恐嚇、制造恐慌為目的；最后則是技術研究和炫技的個人黑客攻擊活動的動機和因素，其目標不定且部分沒有明確目的，造成后果危害相對一般。

智能移動終端設備面臨A²PT的攻擊挑戰，閉源系統反而由于其系統和生態特性一旦被攻擊可能長期不被發現，當前的手機和智能終端的安全性除依托系統本身還需要更多的安全關注。

APT組織借鑒公開情報制作假旗隱蔽攻擊線索，通過制造、遺留明顯的假旗線索誤導分析人員的溯源調查方向，甚至可以起到瞞天過海的效果，但經驗豐富的研究人員仍可發現技術細節中的矛盾之處。

A²PT組織的高階攻擊技術因曝光示范和失控泄露的等原因，被更多APT組織廣泛采納應用于自身行動中，定向勒索等黑產活動，也在跟進模仿，傳統中低等級的APT組織和黑產攻擊都將因此更難發現、防御與溯源。

關于勒索威脅：勒索攻擊的主流威脅形態已經從勒索團伙傳播擴散或廣泛投放勒索軟件收取贖金，轉化為RaaS+定向攻擊收取高額贖金的運行模式。RaaS為Ransomware as a Service（勒索即服務）的縮寫，是勒索團伙研發運營的勒索攻擊基礎設施，包括可定制的破壞性勒索軟件、竊密組件、勒索話術和收費通道等。各種攻擊團伙和個人租用RaaS攻擊基礎設施，在獲得贖金后，與RaaS攻擊組織分賬結算。隨著RaaS的興起，勒索攻擊不再有技術門檻，通過簡單的頁面點擊，即定制可生成竊密、勒索等攻擊載荷，因此內部人員攻擊可能激增，更需要警惕傳統電詐犯罪轉化為社工+勒索攻擊犯罪。與此同時，針對大型政企機構，實施定向勒索攻擊的行為體已具備APT水平，定向勒索攻擊成為大型政企機構的噩夢。勒索攻擊已經是由持續定向入侵、竊取數據、加密數據癱瘓系統、勒索金錢、挖掘數據關聯價值二次利用、販賣數據、向監管機構舉報、公開竊取數據所構成的一條價值侵害鏈，而且已經形成了一個規模極為龐大的犯罪產業。在這樣的背景下，遭遇勒索攻擊的風險已經不是簡單的以數據損失和業務暫停為后果的形態，而是要付出失竊的所有數據均會被販賣、公開等一系列的連鎖風險。

關于挖礦威脅：隨著挖礦木馬攻擊者對利潤的不斷追求，結合Rootkit技術的挖礦木馬將變得越來越復雜。使用Shell腳本編譯器（SHC）對腳本進行加密的做法也愈發流行，SHC成為了攻擊者新的工具選擇，以增強其挖礦腳本的隱蔽性。

關于黑產威脅：2023年，來自黑產團伙的威脅呈現出手段不斷變化和資源快速更換等特點。以2023年最活躍的黑產團伙“游蛇”為例，其針對我國國內用戶進行的網絡釣魚攻擊和詐騙活動，規模較大且持續時間較長，對企業造成了一定的經濟損失。這類黑產團伙傳播的惡意程序變種多、免殺更新速度快、基礎設施更換頻繁、攻擊目標涉及行業領域廣泛。從攻擊手段看，以“白加黑”加載惡意載荷、內存執行Shellcode、內存解密載荷文件為主，并且最終投放遠控木馬載荷。安天CERT將具有上述特點的黑產團伙統稱為“游蛇”。

關于數據泄露威脅：一些組織存儲的高價值的數據資產成為了攻擊者的目標，勒索威脅伴隨著數據泄露的風險，利用高危漏洞引發的數據泄露造成的影響也不容小覷，政治因素引發的數據泄露甚至能影響國際形勢。

關于威脅泛化：威脅泛化導致用戶的資產暴露面增加，攻擊者利用增加的攻擊面可以產生非授權訪問、跳板攻擊、入侵“隔離網絡”、資產被控、資產破壞、數據泄露等廣泛的安全威脅。

2.2023年度威脅執行體和攻擊戰術的整體情況

---

武器和戰術是分析網絡攻擊的兩個重要基本要素，攻擊武器，即我們常說的攻擊載荷，絕大多數是“執行體”，攻擊戰術也依托執行體封裝執行。多數攻擊武器是以攻擊為目的所開發的惡意代碼（惡意執行體），為了進一步規避檢測，攻擊者也開始使用正常軟件（非惡意執行體）與惡意執行體組合投放作業達成攻擊目的。

2.1 2023年惡意代碼執行體分析統計

截至2023年12月31日，安天捕獲有效惡意代碼執行體總量為1,361,149,760個（按MD5值統計），即13億6114萬9760個，并可以映射到百億規模的HASH樣本空間。（安天堅持有效樣本的統計原則，以避免統計對判斷的干擾，包括：對感染式病毒、變形病毒、宏病毒、云端變形投放（Poly by Server）等情況，均依托按照文件透結構、宿主文件大小定義，均按照技術規范所需的樣本數量的上線統計，以避免大量HASH不同但實際病毒體一致的數量干擾。后續涉及樣本統計，均指有效樣本）安天依據惡意代碼樣本的8個基礎分類，即特洛伊木馬（Trojan）、蠕蟲（Worm）、感染式病毒（Virus）、黑客工具（HackTool）、灰色軟件（Grayware）、風險軟件（Riskware）、測試文件（TestFile）和垃圾文件（JunkFile），據此分類統計，如圖 2-1所示：

圖2-1 截至2023年末，安天捕獲惡意代碼執行體數量及其類別分布圖

數量最多的前三個分類依次是特洛伊木馬、灰色軟件和感染式病毒，惡意代碼執行體數量分別為732,421,518個、244,231,566個和185,051,567個，占比分別為53.81%、17.94%和13.60%。

其中，2023年度新增捕獲惡意代碼執行體數量為157,328,081個（按MD5值統計），即1億5732萬8081個。依據惡意代碼的8大基礎分類，統計數據如圖 2-2所示：

圖2-2 2023年度中，安天新增捕獲惡意代碼執行體數量及其類別分布圖

數量最多的前三個分類依次是特洛伊木馬、蠕蟲和灰色軟件，惡意代碼執行體數量分別為114,891,344個、18,501,705個和12,744,053個，占比分別為73.03%、11.76%和8.10%。

相較于2022年新增捕獲惡意代碼執行體數量及其類別分布的對比，如圖 2-3所示：

圖2-3 2023年度新增捕獲惡意代碼執行體數量與上一年度分類對比圖

與上一年度（2022年度）相比，2023年度新增捕獲惡意代碼執行體中，數量增長最多的類別為特洛伊木馬，年度差異數量值為50,945,459個，同比增長79.67%；數量減少最多的類別為灰色軟件，年度差異數量值為38,785,334個，同比下降75.27%。

更多關于惡意代碼知識及統計信息，可前往安天計算機病毒分類命名知識百科（virusview.net）進一步查閱。

惡意代碼家族數分類統計（總量）

2023年度，安天捕獲的惡意代碼家族分類統計如下：

圖2-4 截至2023年末，安天捕獲惡意代碼家族數量及其類別分布圖

惡意代碼家族數分類統計（增量）

2023年度，安天捕獲的惡意代碼家族分類增量統計如下：

圖2-5 2023年度中，安天新增捕獲惡意代碼家族數量及其類別分布圖

惡意代碼家族數歷年增量對比統計

根據安天公司監測結果，2023年與2022年新增捕獲惡意代碼家族數量分類比較如下圖所示，2023年監測結果與去年相比，絕對數量增長最多的是木馬，全年捕獲木馬類家族數量為2503個，與去年相比增長1216個。

圖2-6 2023年度新增捕獲惡意代碼家族數量與上一年度分類對比圖

惡意代碼變種數分類統計（總量）

2023年度，安天捕獲的惡意代碼變種分類統計如下：

圖2-7 截至2023年末，安天捕獲惡意代碼變種數量及其類別分布圖

惡意代碼變種數分類統計（增量）

2023年度，安天捕獲的惡意代碼變種分類增量統計如下。

圖2-8 2023年度中，安天新增捕獲惡意代碼變種數量及其類別分布圖

惡意代碼變種數歷年增量對比統計

根據安天公司監測結果，2023年與2022年新增捕獲惡意代碼變種數量分類比較如下圖所示。

圖2-9 2023年度新增捕獲惡意代碼變種數量與上一年度分類對比圖

惡意代碼有效樣本運行平臺統計（總量）

截至2023年末，安天公司將捕獲的惡意代碼樣本運行平臺進行統計，其中TOP 5及其對應的家族數量如下圖所示：

圖2-10 2023年度中，新增樣本運行平臺統計圖

惡意代碼有效樣本運行平臺統計（增量）

2023年度，安天公司將捕獲的惡意代碼樣本運行平臺進行統計，其中TOP 5及其對應的家族數量如下圖所示：

圖2-11 截至2023年末，新增樣本運行平臺統計圖

惡意代碼家族運行平臺統計（總量）

截至2023年末，安天公司將捕獲的惡意代碼家族運行平臺進行統計，共有121個。統計其中TOP 20及其對應的家族數量如下圖所示：

圖2-12 截至2023年末，惡意代碼家族運行平臺統計圖

惡意代碼家族運行平臺統計（增量）

2023年度，安天公司將捕獲的惡意代碼家族運行平臺進行統計，共有121個。統計其中TOP 20及其對應的家族數量如下圖所示：

圖2-13 2023年度，新增惡意代碼家族運行平臺統計圖

惡意代碼變種運行平臺統計（總量）

截至2023年末，安天公司將捕獲的惡意代碼變種運行平臺進行統計，共有121個。統計其中TOP 20及其對應的家族數量如下圖所示：

圖2-14 截至2023年，惡意代碼變種運行平臺統計圖

惡意代碼變種運行平臺統計（增量）

2023年度，安天公司將捕獲的惡意代碼變種運行平臺進行統計，共有121個。統計其中TOP 20及其對應的家族數量如下圖所示：

圖2-15 2023年度，新增惡意代碼家族運行平臺統計圖

惡意代碼有效樣本文件格式統計（總量）

截至2023年末，安天公司將捕獲的惡意代碼樣本格式進行統計，其中TOP 10及其對應的數量如下圖所示：

圖2-16 截至2023年末，惡意樣本格式統計圖

惡意代碼有效樣本文件格式統計（增量）

2023年度，安天公司將捕獲的惡意代碼樣本格式進行統計，其中TOP 10及其對應的數量如下圖所示：

圖2-17 2023年新增惡意代碼格式統計圖

2.2 2023年網空攻擊的常見非惡意代碼執行體

隨著網絡攻擊手段和渠道的多元化發展，APT組織不斷改進其技戰術策略，除了使用商業工具、自研工具以及開源工具外，也逐漸將合法工具納入其武器庫?；趯?023年全球APT攻擊事件的持續監測與分析發現，APT組織的攻擊活動中涉及近50種合法工具，包括但不限于Mimikatz、PsExec、AnyDesk、AdFind、PLink等，不僅涉及Gamaredon、舒適熊/APT29、奇幻熊/APT28等高能力APT組織，也包括污水/MuddyWater、Kimsuky、拉撒路/Lazarus等一般能力APT組織。通過使用合法工具，APT組織能夠將惡意活動隱藏在正常的網絡流量中，繞過網絡安全防御策略。同時，合法工具也大大增加了安全人員對APT組織追蹤溯源的難度。在網絡安全防護能力不斷提升的安全趨勢下，APT組織將會繼續使用合法工具來增加攻擊成功率，通過對合法工具進行靈活配置，在目標系統上隱秘執行憑證轉儲、權限提升、信息收集等不同惡意活動，以適應不同業務場景下的APT攻擊。

APT組織使用的合法工具TOP 10包括Mimikatz、PsExec、AnyDesk、AdFind、Plink、Netcat、TeamViewer、Masscan、UltraVNC、Ligolo，工具的描述信息如下：

Mimikatz是一款黃帽子（黑客）工具，最初由法國黑客Benjamin Delpy開發，并于2011年首次發布，該工具除了可執行文件版本外還存在腳本類型版本。Mimikatz的主要功能是獲取和操控Windows操作系統中的憑證，如用戶登錄密碼、Windows登錄憑據（NTLM哈希和Kerberos票據）以及各種應用程序和服務的憑證。Mimikatz設計的目的是揭示Windows系統中密碼和憑證管理的薄弱點，并用于安全專業人員的演示和教育目的。然而，由于其功能強大且廣泛被黑客所利用，Mimikatz也被視為危險的工具，用于進行惡意攻擊、數據竊取和潛在的勒索活動。憑借其高度靈活和兼容性，Mimikatz已被APT組織或網絡犯罪組織應用于攻擊活動中，其中安天于2020年監測到苦象組織使用PowerShell腳本形式的Mimikatz工具。

Psexec是一個命令行網絡管理工具，是Sysinternals Suite系統組件的一部分，其調用了Windows系統的內部接口，以遠端Windows主機賬戶名、密碼和要執行的本地可執行文件為輸入參數，基于RPC$服務實現，將本地可執行文件推送到遠端主機執行，其設計初衷是為了便于網絡管理人員以實現敏捷的遠程運營。但由于其作為命令行工具便于被調用封裝，也導致極易被攻擊者作為攻擊工具使用，在完成口令破解后，實現一次性投放執行。早在2003年，廣泛出現大量基于空口令和常見口令進行傳播的系列“口令蠕蟲”，大部分都使用了這個機制。特別是出品該系統組件的Sysinternals的團隊在2006年7月18日被微軟收購，導致其后續版本都帶有微軟的數字簽名，所以也連帶導致其會被較大比例的安全軟件放行。

AnyDesk是一款由德國公司AnyDesk Software GmbH推出的遠程桌面軟件。用戶可以通過該軟件遠程控制計算機，同時還能與被控制的計算機之間進行文件傳輸，主要應用于客戶日常運維和業務相關主機的遠程管理。這一軟件是常用網管工具、由正規軟件研發企業發布，且有對應廠商數字簽名，往往被作為白名單軟件。但這也使攻擊組織在活動中利用這類軟件的遠程管理功能實現持久訪問、文件傳輸，并利用其是合法簽名執行體來規避檢測。

Adfind是一款在域環境下的信息搜集工具，允許用戶在域環境下輕松搜集各種信息。它提供了大量的選項，可以優化搜索并返回相關詳細信息，是內網域滲透中的一款利器。

Plink工具是PuTTY軟件中的一個組件，主要功能類似于Linux系統上的ssh命令行工具，用于SSH連接遠程主機，同時提供多種方式創建或管理SSH會話。由于其屬于PuTTY軟件的一個組件，具備數字簽名，能夠規避以數字簽名作為白名單檢測機制的終端防護軟件的檢測。

Netcat是一款Unix實用程序，支持Windows和Linux環境，用于在TCP或UDP協議連接的網絡上讀取和寫入數據。該實用程序能夠直接使用或由其他腳本啟動，由于使用簡單且靈活，常被用于網絡調試或各種網絡腳本中，以建立網絡連接。

TeamViewer是一款遠程桌面工具，兼容于Microsoft Windows、macOS、Linux、iOS、Android操作系統，支持遠程控制和在線協作等功能。

Masscan是一款高速端口掃描工具，具備出色的掃描效率和大規模掃描的能力，支持TCP和UDP協議的掃描，并能夠根據用戶的需求指定多個目標和端口。同時，Masscan還采用了網絡性能優化技術，充分利用操作系統的資源和多核處理能力，實現了卓越的掃描效率和吞吐量。

UltraVNC是一款開源遠程管理/遠程桌面軟件實用程序?？蛻舳酥С諱icrosoft Windows和Linux，但服務器僅支持Windows。它使用VNC協議，允許一臺計算機通過網絡連接遠程訪問和控制另一臺計算機。

Ligolo是一款專為安全測試人員設計的輕量級反向隧道工具，實現和使用都非常簡單，可以幫助滲透測試研究人員輕松通過一個反向連接建立一個完全安全的SOCKS5或TCP通信隧道。與Meterpreter等工具相比，Ligolo的運行速度更快，并且更加穩定。

表2-2 APT組織使用的合法工具

2.3 2023年網空威脅框架攻擊技戰術分析統計

基于對2023年全球APT攻擊事件的持續監測和分析，梳理分析了APT攻擊事件中涉及的技戰術策略，并映射到網空威脅框架ATT&CK，覆蓋了14個戰術階段，230多種技術和子技術，使用頻率最高技術和子技術包括但不限于網絡釣魚（T1566）、發現系統信息(T1082)、發現文件和目錄(T1083)、發現安全軟件(T1518.001)、虛擬化/沙箱逃逸(T1497)、使用應用層協議(T1071)等，涉及白象/WhiteElephant、綠斑/GreenSpot、海蓮花/APT-TOCS、舒適熊/APT29、拉撒路/Lazarus、肚腦蟲/DoNot、污水/MuddyWater等多個APT組織。

表2-3 2023年APT攻擊活動中高頻技戰術TOP10

綜合來看，除偵查（TA0043）和資源開發（TA0042）階段不容易被感知和準確統計，我們將2023年APT組織使用的技戰術分為超高頻、高頻、中頻、低頻和超低頻，其中超高頻技戰術主要分布在初始訪問（TA0001）、執行（TA0002）、發現(TA0007)、防御規避(TA0005)以及命令與控制(TA0011)戰術階段，其他全部技戰術熱度分布可見圖 2 18。通過對威脅框架視角的攻擊映射，能夠從宏觀層面了解APT攻擊的威脅態勢，支撐安全人員制定網絡安全防御策略。

圖2-18 2023年APT攻擊活動中高頻技戰術熱圖

3.2023年重點威脅與風險回顧

---

3.1 高級持續性威脅（APT）與地緣安全沖突

2023年全球高級持續性威脅（APT）活動的整體形勢依然非常嚴峻?；诎蔡斐掷m監測的內部和外部的情報來源，2023年全球公開安全研究報告數量696篇，其中披露的安全報告涉及162個APT組織，2023年新增66個APT組織。安天梳理了2023年全球APT組織及行動的分布和活躍情況，制作了“全球APT攻擊行動、組織歸屬地理位置分布（活躍）圖”，如圖 3 1，其中APT組織共556個（圖片空間有限僅展示主要攻擊組織），根據圖示可以發現其主要分布于美國、俄羅斯、印度、伊朗、朝鮮半島及部分國家和地區，部分組織由于情報較少未能確定歸屬國家或地區。

圖3-1 2023年全球APT攻擊行動、組織歸屬地理位置分布（活躍）圖

3.1.1 美國依然是世界網絡安全的主要威脅

A²PT是高級的高級可持續性威脅^[1]，是中國網絡安全從業者在分析超高能力國家/地區威脅行為體的攻擊活動中提出的技術概念。以美國情報機構NSA、CIA等為背景的“方程式”等攻擊組織依托成建制的網絡攻擊團隊、龐大的支撐工程體系與制式化的攻擊裝備庫、強大的漏洞采購和分析挖掘能力，對全球關鍵信息基礎設施、重要信息系統、關鍵人員等進行攻擊滲透，并在五眼聯盟成員國內部進行所謂的情報共享，對世界各國網絡安全構成嚴重威脅。

2023年4月11日，中國網絡安全產業聯盟（CCIA）發布了長篇報告《美國情報機構網絡攻擊的歷史回顧——基于全球網絡安全界披露信息分析》^[2]，基于全球數十家網絡安全企業、研究機構及專家學者的近千份歷史研究文獻，充分整合各方分析過程及研究成果，力求通過業界和學界的分析實證，努力呈現美相關機構對他國進行網絡攻擊的情況，揭示網絡霸權對全球網絡空間秩序構成的重大破壞及嚴重威脅。《報告》按照時間和事件脈絡，共分為13篇，主要包括美國情報機構網絡攻擊他國關鍵基礎設施，進行無差別網絡竊密與監控，植入后門污染標準及供應鏈源頭，開發網絡攻擊武器并造成泄露，所售商用攻擊平臺失控而成為黑客利器，干擾和打壓正常的國際技術交流與合作，打造符合美國利益的標準及秩序，阻礙全球信息技術發展，制造網絡空間的分裂與對抗等。報告以中英文雙語發布，在國際國內引發巨大反響。

2023年4月13日，五角大樓“泄密門”事件再次曝光美國竊聽包括以色列、日本、韓國在內的重要盟友政府信息、竊聽聯合國秘書長通信，以及監視其“盟友”烏克蘭總統澤連斯基等。

2023年6月1日開始，俄羅斯安全廠商卡巴斯基發布“三角測量行動”系列報告^[3]，披露了一個潛伏數年的iOS惡意代碼及多個iOS系統零日漏洞。對此，俄羅斯聯邦安全局（FSB）發布聲明指責美蘋果公司與NSA“密切合作”，通過復雜的惡意軟件入侵了數千部蘋果手機^[4]?！叭菧y量行動”利用iOS系統內置的iMessage消息服務和iOS系統零日漏洞實現對蘋果設備的“零點擊”攻擊。攻擊者起初利用WebKit內存損壞和字體解析漏洞獲取執行權限，隨后利用整形溢出漏洞提升得到內核權限，再利用多個內存漏洞突破蘋果硬件級的安全防御功能，在設備上執行并植入惡意程序。整個過程完全隱藏，不需要用戶執行任何操作。卡巴斯基報告認為^[5]，面對復雜攻擊者，任何保護都可能被突破，依賴“隱晦式安全”（security through obscurity）的系統永遠不可能真正安全。6月10日，安天發布報告《“量子”系統擊穿蘋果手機——方程式組織攻擊iOS系統的歷史樣本分析》^[6]，公開了對美方依托量子系統，針對手機瀏覽器進行攻擊投放的歷史樣本分析。

2023年7月26日，武漢市應急管理局發布公開聲明稱，“武漢市地震監測中心遭受境外組織的網絡攻擊。部分地震速報數據前端臺站采集點網絡設備被植入后門程序?！眹矣嬎銠C病毒應急處理中心和一家國內網絡安全廠商聯合調查指出^[7]，已經在受害單位的網絡中發現了技術非常復雜的后門惡意軟件，符合美國情報機構特征，具有很強的隱蔽性，并且通過惡意軟件的功能和受影響的系統判斷，攻擊者的目的是竊取地震監測相關數據，而且具有明顯的軍事偵察目的。

2023年10月，Lazarus組織旗下一款跨平臺的遠程控制框架MATA被發現投入到針對東歐工業公司的網絡間諜活動中，該框架最早于2019年被發現^[9]，早期的版本主要表現出針對Windows、Linux、macOS三方跨平臺能力，擁有豐富的竊密控制插件以及獨特的多層算法通訊加密，足夠典型但并無先進性可言。經過5代版本的更新迭代，MATA框架的研發人員明顯參考了多年來安全行業針對“五眼聯盟”APT攻擊能力的技術研究，以及Vault7和“影子經紀人”等泄露的武器裝備資料?？ò退够鶊蟾嬲J為^[8]，該APT表面看有朝鮮Lazarus組織的痕跡，但復雜的技術和過程以及攻擊資源的富有奢侈程度，懷疑背后真正的組織可能是“五眼聯盟”。

3.1.2 關鍵人員手機一直是A²PT攻擊組織的重點目標

近些年來，智能手機已經成為人們不可或缺的一部分，智能手機承載著個人通訊、娛樂、工作、學習、社交等多種需求，手機內存儲著大量個人工作、生活的數據資料，對很多人來講手機可能比PC更加重要。同時，手機等智能終端設備具有遠超傳統PC節點的廣泛感知能力，其帶有多種傳感器（包括用于獲取高精度定位的傳感器，加速度傳感器、重力傳感器、陀螺儀和旋轉矢量傳感器）可用于獲取當前設備的高精度即時動態。除了高精度傳感器外，還有攝像頭、麥克風這種輸入輸出的硬件采集裝置，甚至是基于Wi-Fi、藍牙模塊進行周邊環境和設備的掃描和收集。這種特性使得一旦成功入侵手機，就可以將其變成攻擊者的圖像、聲音、位置等專業竊密器。

但長期以來，很多人認為手機系統生態更加安全，一方面認為智能終端系統，出廠即帶安全軟件和權限管理且軟件應用經過市場審核，只要或私自安裝軟件就能保證安全；另一方面認為以iOS為代表的封閉操作系統，給人以“黑盒”似的安全感，很多用戶認為看不到攻擊就沒有攻擊發生。殊不知攻擊者有多種入口攻擊智能手機，也有多種技術手段將自己潛伏隱藏。

2016年，安天捕獲到了美國NSA下屬方程式組織針對iOS系統的方程式樣本，確定了該木馬為方程式組織的DoubleFantasy家族，通過量子系統向iOS投放。相關分析成果安天在今年6月10日公開，并配套繪制了“量子”系統對流量劫持向終端發起攻擊的猜想圖，如圖 3-2，依托該系統美方可對全球智能終端設備發起漏洞攻擊并植入木馬^[6]。2021年，英國廣播公司（BBC）報道，以色列軟件監控公司NSO向一些國家售賣了一款名為“飛馬”的手機間諜軟件，用以監控各類重點人員甚至他國的相關政要?！帮w馬”軟件可以輕而易舉地入侵iOS和Android系統，并輕松截取手機里的各類信息、圖片、視頻、電郵內容、通話記錄，甚至可以秘密開啟麥克風進行實時錄音。

2023年，俄羅斯安全廠商卡巴斯基發布“三角測量行動”系列報告^[3]，披露了一個潛伏持續數年的iOS惡意代碼及多個iOS系統零日漏洞。卡巴斯基的研究員最初是在流量上發現了異常，在對終端分析的時候面臨無法對iOS系統進行全面取證的問題，此時的封閉系統反而成為一個難以有效進行環境分析和取證的劣勢。在最新的“三角測量行動”報告結尾^[5]，卡巴斯基研究員認為“面對復雜攻擊者，任何保護都可能被突破，依賴“隱晦式安全”（security through obscurity）的系統永遠不可能真正安全。”以上多個案例都說明，智能終端設備并不安全，反而由于其系統和生態特性一旦被攻擊可能長期不被發現，當前的手機和智能終端的安全性除依托系統本身還需要更多的安全關注。

圖3-2 量子系統可攻擊場景圖譜化分析

除此之外，安天根據斯諾登曝光資料，梳理了NSA的ANT攻擊裝備體系，在2008年前后陸續列裝的攻擊裝備體系中用于對移動通訊設備掃描、監控和數據收集的攻擊裝備，共有15種，約占全部48種已曝光裝備的三分之一。

圖3-3 ANT針對移動通訊設備的網絡攻擊裝備（紅色框內）

3.1.3 A²PT組織的示范效應導致了其他組織的跟進模仿和軍備競賽

A²PT具有擁有嚴密的規模建制，掌控體系化的攻擊裝備研發和攻擊資源采集運營，A²PT所研發使用的武器裝備通常具備模塊化、框架化的架構、可基于可拓展腳本引擎開發、防御軟件規避對抗、采用高強度加密算法、支持內核級Rootkit、組件非落地資源化隱藏、VFS虛擬文件系統、隔離網絡穿透、量身定制攻擊、豐富竊密采集能力等一整套復雜的高階能力設計，體現出明顯的龐大支撐工程體系優勢，諸如具備五眼聯盟成員國背景的A²PT威脅如“震網”（Stuxnet）、“毒曲”（Duqu）、“火焰”（Flame）、“方程式”（Equation Group）、“索倫之眼”（ProjectSauron）、“瑞晶”（Regin）等大多具備上述先進優勢特點。相對于以“影子經紀人”（Shadow Brokers）泄露方程式組織武器庫為典型的超級大國網絡軍備擴散直接造成噩夢般的大面積安全事件，A²PT攻擊組織的歷史使用的高階攻擊技術近年來被APT組織廣泛應用于各自攻擊活動中，該趨勢所帶來的影響則顯得更為潛移默化且深遠。

2023年10月，Lazarus組織旗下一款跨平臺的遠程控制框架MATA被發現投入到針對東歐工業公司的網絡間諜活動中[8]，該框架最早于2019年被發現[9]，早期的版本主要體現有針對Windows、Linux、macOS三方跨平臺能力[10]，擁有豐富的竊密控制插件以及獨特的多層算法通訊加密，足夠典型但并無先進性可言。經過5代版本的更新迭代，MATA框架的研發人員明顯參考了多年來安全行業針對“五眼聯盟”APT攻擊能力的技術研究，以及Vault7和“影子經紀人”等泄露的武器裝備資料，例如MATA框架的C2通訊過程采用TTLV(Type－Tag-Length-Value)數據編碼格式、多層協議和有限狀態機（FSM）握手機制，該技術早期曾被Lambert和方程式組織的多款武器中使用；MATA攻擊過程中使用自帶易受攻擊的驅動程序(BYOVD)技術訪問系統內核干擾EDR軟件的檢測響應，該技術也曾被Lambert組織使用；MATA后門支持主動連接／被動激活的組合模式，該類后門啟用模式被方程式組織的EQUATIONVECTOR、STRAITBIZARE和Lamberts組織的GoldLambert裝備廣泛使用；MATA組件支持通過感染可移動存儲設備中的軟件程序試圖針對隔離網絡發起攻擊，而利用擺渡攻擊策略突破隔離網基本是震網、Fanny、索倫之眼等經典A²PT攻擊的標配能力?？ò退够鶊蟾嬲J為，該APT表面看有朝鮮Lazarus組織的痕跡，但復雜的技術和過程以及攻擊資源的富有奢侈程度，懷疑有可能是“五眼聯盟”APT。

3.1.4 APT組織借鑒開源情報以“假旗”信標隱蔽攻擊行為

在網絡安全領域中“假旗”（False Flag）是一種十分常見的攻擊行為隱蔽策略，通常水平相對高超的攻擊者會刻意在攻擊流程中的資源預置、抵近突破、駐留潛伏、控制致效等階段中埋設虛假信息，例如留下語言、位置、身份等信息掩蓋來源方向，也可以是散布挖礦、勒索、銀行木馬等常規威脅來掩蓋致效意圖，也可能是復用獨家武器工具、特征代碼數據、過期基礎設施，復現獨家漏洞、作戰技術具體實現、作戰戰術路徑、軟件編碼風格等，將攻擊行為痕跡指向其他具體的已知威脅行為體?！凹倨臁辈呗缘木唧w實現不論是設定位置還是栽贓對象，在數量方面通常來說都是宜少不宜多，宜精從簡，能造成一定追蹤分析成本代價往往能增加更好的效果，而當前業內十余年大量的公開APT研究資料也成為了攻擊組織“假旗”構思的重要參考來源。下圖舉例了海蓮花組織的“假旗”仿冒手段。

圖3-4 2023年海蓮花組織的“假旗”栽贓手段

2022-2023年，APT29組織頻繁采用魚叉式釣魚郵件投遞附件包裹的模式，通過誘導受害者執行包裹中的快捷方式調動其他白加黑組件序列，多層加載解密在僅內存中運行如CobaltStrike、RatelC4等紅隊工具的遠控載荷，此類攻擊的活動范圍基本限于歐美地區的政治軍事目標，且數量眾多反復被主流廠商分析曝光；2023年全年，安天多次在我國重要政企單位發現類似的攻擊模式，且在涉及的攻擊技戰術、武器工具和基礎設施中也發現多處曾被公開曝光的APT28、APT29組織特征痕跡。例如初始階段加載器的解密密鑰與2022年已曝光的APT29活動完全一致^[11]；投遞階段的加載器組件模仿了2018年APT28組織Zebrocy加載器所用的信息竊密和隱藏窗口執行代碼，以及ADS流數據存儲技術和相同特征參數^[12]，深入分析發現攻擊者目的僅是執行自定義的加載器代碼來調用其他模塊；投遞階段的注入器組件靜態看與2018年已曝光的APT28組織Zebrocy遠控完全一致^[13]。深入分析發現是攻擊者篡改劫持了Zebrocy舊樣本的代碼流程，轉而執行樣本資源節中隱藏的遠控載荷；最終控制階段的遠控載荷使用特定破解版本的CobaltStrike，該版本的水印數值已知被APT29、TrickBot、SmokeLoader等威脅組織經常使用，相關C2基礎設施配套的數字證書的使用者信息字段還包含典型的Wellmess組織特征^[14]。上述多處特征痕跡顯得有幾分刻意，安天基本認定是屬于攻擊者制造遺留的“假旗”，且分析判定表明攻擊活動涉及的組織背景實際疑似為海蓮花組織，攻擊者此舉純粹是嘗試誤導溯源調查方向，并未采集利用“假旗”中仿造的其他威脅組織工具手段的執行結果。

3.1.5 地緣沖突的網絡戰中伴隨大量的黑客行動主義活動

巴以沖突是今年新爆發的地緣安全熱點。巴以沖突爆發前，中東方面就有伊朗背景的多個APT組織Agrius、APT35、MuddyWater、OilRig持續地將以色列關鍵基礎設施等行業作為打擊目標、也有長期以來支持巴勒斯坦情報收集的APT組織TA402^[15]。在巴以沖突爆發后與哈馬斯有關聯的WildCard組織^[16]嘗試修改TTPs（包括C2從Google Drive轉向OneDrive、SysJoker樣本從C++到Rust語言的變化）針對以色列進行新一輪攻擊等具有戰略意志的APT活動，但受限于自身技術以及美國、以色列眾多網絡安全廠商的頻繁曝光，總體來看這些APT組織具有廣泛的情報收集能力（CNE）但其針對定向性目標的IT技術網絡攻擊能力（CNA）運用不足。同樣作為地緣安全熱點激化的網絡沖突，在俄烏沖突中占主導作用的網絡攻擊行為主要是俄、烏、北約等國家行為體實施的作戰行動，以軍事系統、關鍵信息基礎設施為目標，通過入侵突防、惡意代碼植入，獲取長期控制權，實現持續信息竊取，并可癱瘓、干擾關鍵系統運行。期間雖然也有大量民間黑客組織基于自身立場戰隊宣誓，但這些活動的象征意義居多。巴以沖突是實力完全非對等但糾葛更復雜的沖突，國家、民族、宗教等地緣安全背景更加復雜，以色列情報機構有極強的攻擊能力，始終對周邊國家進行攻擊滲透，網空情報能力是其戰略情報能力的重要支撐。但巴方本身并沒有特別成熟的信息基礎設施和網空作業力量?；旧鲜谴罅棵耖g行為體和以方間的一場混戰。而且，為報復對以色列的支持，新加坡、日本、意大利在內的目標都遭到攻擊，風險快速外溢。

相對平衡的黑客組織勢力站隊不同，巴以沖突中，大多數民間組織站到了同情巴方一側。在巴以沖突爆發后，包括親巴勒斯坦的黑客組織和親以色列的黑客組織在社交媒體中不斷宣揚著黑客行動主義，屬于典型的非國家行為體受意識形態驅動的黑客組織行為體活動。但媒體大肆宣傳的“巴以沖突網絡戰”，對實際沖突進程影響甚微，其效果遠弱于網空認知戰。與俄烏沖突網絡戰進行對比，巴以沖突中出現的DDoS、擦除性惡意代碼也不是仿照俄烏沖突的“抄作業”行為，與俄烏網絡戰中出現的國家行為體攻擊活動不同，巴以沖突更多的出現的是黑客主義行為體。巴以沖突的網絡戰作業模式、致效結果都與俄烏沖突存在明顯差異。第一點，從沖突爆發的地緣政治背景考慮，俄烏網絡戰中攻擊的目標基本是一致的、有組織有計劃的網絡攻擊，而在巴以沖突中，多個不同的黑客組織缺少協調工作和明確的目標，多數是打擊報復行為，例如入侵包括新加坡、日本、意大利在內的目標針對其支持以色列進行報復。第二點，從國家行為體背景和網絡戰實際影響考慮，俄烏網絡戰活動中存在著多個國家背景的行為體并且可以聯合Trickbot等黑客組織發起的網絡攻擊活動產生了實際的影響，為現實沖突贏得了先機。

而據稱與哈馬斯有關聯的黑客團隊Storm-1133雖然聲稱入侵以色列國防部網站竊取數據，但其網絡攻擊活動對現實沖突產生的影響有限。第三點，從攻擊意圖考慮，巴以沖突中的激進的黑客行動主義活動試圖在短期內制造更多的影響，俄烏沖突則是在地緣政治背景下長期持續性的網絡攻擊活動。從整體的中東局勢觀察，包括伊朗、敘利亞、以色列等國在內的網絡攻擊活動不斷，例如2023年12月18日伊朗加油站疑似遭到以色列黑客網絡攻擊。越來越多的黑客行動主義將隨著巴以“火藥桶”的引爆在網絡空間針對關鍵基礎設施帶來威脅、影響牽動中東各國敏感神經。

3.2 勒索攻擊與其他的網絡黑產犯罪活動的動向

3.2.1 勒索攻擊采用定向+RaaS的組合模式，形成“定向勒索+竊密+曝光+售賣”鏈條作業

3.2.1.1 具備“APT”水平的定向勒索攻擊已趨于常態

在當前網絡安全舞臺上，定向勒索攻擊已經成為一種極為普遍且極具威脅性的攻擊形式。在2019年^[17]和2020年^[18]的安天年報中，我們指出了勒索攻擊組織在目標選擇方面更趨向于有針對性，專注于對有價值攻擊目標的定向勒索。在2021年^[19]的安天年報中，我們評估了定向勒索攻擊的能力已經達到了“高級持續性威脅”（APT）水平。當前這種攻擊方式不再僅僅是網絡空間的短暫風波，而是已經深刻融入了現代威脅景觀的主流。定向勒索攻擊是一種專門針對特定目標的網絡攻擊，其目的在于通過威脅受害者，迫使其支付贖金。攻擊者通過深入的目標分析和偵察，有選擇性地攻擊關鍵的系統、數據或信息，迫使受害者在支付高昂贖金或面臨數據泄露等威脅的情況下做出抉擇。

回顧2023年，大型企業頻繁成為定向勒索攻擊的目標，如英國皇家郵政、日本名古屋港口和波音公司等都面臨了不同程度的威脅。波音公司遭受勒索攻擊是一起基于Lockbit勒索攻擊組織所提供的RaaS基礎設施的針對知名企業的定向勒索攻擊事件。攻擊者以ADC網絡邊界設備為初始突防點，把握了相關設備在出現漏洞后未及時響應帶來的機會窗口，在相關漏洞利用代碼出現后，實現了第一時間發掘利用，以此實現憑證竊取。之后利用憑證完成進一步的橫向移動和向場景中按需投放的落地能力。攻擊組織運用了大量開源和商用工具作為實現不同功能的攻擊組件，并通過突破域控等關鍵主機，實現進一步的憑證權限竊取實現準確和有效投放，竊取了所攻陷主機的相關數據，實現了勒索軟件部署。

通常情況下，大型企業在網絡架構上通常部署了相應的網絡安全防護設施，足以抵御非定向廣泛攻擊。然而，當面對定向勒索攻擊時，企業的網絡安全體系顯得相對薄弱，因為這類攻擊的實施者實質上具備了APT的水平，并將其與勒索軟件相結合，對抗能力已經遠遠超越了單個防護產品的極限，尤其是終端防護系統等產品的防御范圍。同時，定向勒索攻擊的威脅程度逐漸升級，攻擊者的工具和手段也在不斷演進。隨著勒索軟件即服務（RaaS）的崛起，即便是缺乏高深技術水平的個體也能夠輕松購買和使用專業的勒索工具，進一步擴大了定向勒索攻擊的范圍。攻擊者不再局限于技術精湛的專業團隊，而是包括更廣泛的參與者，這使得定向勒索攻擊呈現更為多樣化的特征。綜合來看，當前具備“APT”水平的定向勒索攻擊已趨于常態。

3.2.1.2 愈發成熟的勒索即服務模式使勒索攻擊

網絡犯罪的商業化趨勢推動威脅行為者不斷提升威脅行為的復雜程度。類似于正常供應鏈，這些行為者在網絡犯罪供應鏈的特定領域內表現出熟練的專業知識，使得整個行業呈現出高效運作的趨勢。網絡犯罪行業采用了“即服務”（aaS）的商業模式，極大地提高了實施網絡犯罪的便捷性；即使是相對不成熟的威脅行為者也能輕松獲取高級工具和服務。這一趨勢使得網絡犯罪的從業者能夠更迅速、便捷地進行攻擊，從而對網絡安全形成更大的挑戰。

RaaS模式的廣泛應用推動了眾多勒索軟件組織的興起，勒索攻擊事件層出不窮，包括BlackCat、Clop和LockBit等組織，其中LockBit更是成為全球最活躍的勒索攻擊組織之一。勒索攻擊組織通過RaaS模式吸納附屬成員，附屬成員則通過初始訪問經紀人（IAB）建立初始訪問權限，實現各自專業領域的細化運作。RaaS運營方專注于改進和更新其惡意軟件，而附屬成員和IAB負責開發和優化滲透系統的方法?！癎old Melody”是一支以經濟為動機的IAB黑客組織^[20]，又名Prophet Spider或UNC961。該組織通過多種手段入侵目標系統，竊取憑證后進行出售，供勒索攻擊組織實施有針對性的攻擊。

網絡犯罪商業化推動威脅行為者提升攻擊復雜度，形成專業化和高效運作趨勢。采用“即服務”商業模式使實施網絡犯罪更便捷，即便是沒有任何技術技能的行為者也能通過點擊網頁生成竊密勒索工具。這將是全球數字化時代面臨的一場難以終結的噩夢。

3.2.1.3 勒索攻擊組織利用漏洞武器化進行高效突防

在當前網絡威脅不斷升級的背景下，將漏洞武器化以實現對攻擊目標的入侵已成為勒索軟件最為有效的攻擊手段之一。根據美國網絡安全基礎設施安全機構CISA的統計數據，截至2023年12月25日，已有1053個漏洞被用于網絡攻擊^[21]，其中有212個漏洞明確被用于勒索攻擊，這些漏洞涉及Microsoft、QNAP、VMware、Accellion、Citrix和MOVEit等。在面對企業部署的網絡安全防護設施時，攻擊者可能難以通過傳統手段攻破防線，但通過武器化未修補的漏洞作為突防工具，攻擊者可以繞過安全檢測和身份驗證，輕松實施惡意行為。

2023年初，安全研究人員在打印管理軟件PaperCut中發現了兩個漏洞[22]，分別是CVE-2023-27350和CVE-2023-27351。多個勒索攻擊組織利用這些漏洞成功入侵PaperCut供應鏈，隨后向供應鏈下游用戶投放勒索軟件，包括Clop、LockBit和Bloody等勒索攻擊組織。在同年5月，Clop勒索攻擊組織借助文件傳輸軟件MOVEit的漏洞CVE-2023-34362[23]，展開大規模的勒索攻擊活動。這次攻擊導致眾多MOVEit軟件用戶成為Clop的受害者。攻擊者充分利用該漏洞，成功突破目標系統的防線，實施了“竊密+加密”操作，并公開了658家企業因此次勒索攻擊活動而受害的信息。而在10月，LockBit勒索攻擊組織則利用Citrix的漏洞CVE-2023-4966[24]，即Citrix Bleed，將波音公司列為受害者之一。本事件用于突防的CVE-2023-4966漏洞的利用代碼（POC）10月26日在Github上出現，27日攻擊者宣布入侵波音成功。我們傾向攻擊發生在POC代碼公開后。Citrix已于10月10日修復，但波音等機構并未進行修補。這反映出攻擊者對漏洞資源的運用效率和敏感性遠勝于防御方。這一系列事件凸顯出漏洞利用在供應鏈攻擊和大規模勒索活動中的危害性，漏洞武器化已然成為勒索攻擊組織突破防御的有效抓手。

由于攻擊者能熟練使用網絡空間測繪引擎的等開源情報，并長期關注積累對重要信息目標的暴露面，因此在POC代碼出現后，會有一大批攻擊者快速匹配尋找可突防目標。從漏洞的角度看，此前關于0day-1day-Nday的概念，更多還是建立在漏洞發布或公開的時點上，但POC代碼被公開，則更是其中需要高度關注的節點，其意味著利用難度瞬間降低，攻擊活動的高峰會迅速到來。安天CERT把類似攻擊稱為1Exp攻擊。由于RaaS+定向勒索本身又構成了一種“眾籌犯罪”模型，導致關注不同目標資源或擁有目標信息資源的大量攻擊者，都可能在發現機會窗口時盡可能的將機會窗口轉化為實際收益。

3.2.1.4 勒索攻擊形成“定向勒索+竊密+曝光+售賣”鏈條作業

從波音遭遇勒索攻擊事件分析復盤報告中可以看出，目前勒索軟件的RaaS模式不僅僅是提供技術基礎設施，而是結合宣傳炒作、曝光竊取數據、拍賣竊取數據、將受害人舉報到監管機構等方式對受害人實施壓力，并制造新聞熱點，提升品牌效應，從而以滾雪球方式讓勒索組織形成臭名昭著的品牌效應。定向勒索模式針對高價值目標，RaaS的附屬成員通過各種方式，包括購買0Day漏洞、研發高級惡意代碼、收買企業內鬼和情報等手段提高突防能力，提升勒索載荷落地成功率。這種定向+RaaS的組合模式，形成“定向勒索+竊密+曝光+售賣”鏈條作業，脅迫受害者支付贖金從而實現獲利^[25]。

3.2.2 挖礦木馬使用內核級工具與SHC加密提升隱蔽性和檢測難度

3.2.2.1 內核級工具使挖礦木馬更加難以檢測

2023年，安天CERT監測到多款挖礦木馬使用Rootkit內核級工具，如yayaya Miner[26]、TeamTNT[27]和"8220"^[28]等。Rootkit內核級工具之所以受到青睞，主要是因為它們能夠在系統的最底層進行潛伏，從而提供更深層次的隱蔽性和控制力。這些工具能夠直達操作系統的核心，加載惡意的內核模塊，以實現無法被傳統安全軟件檢測到的狀態。它們可以有效地隱藏惡意進程和文件，由于這些工具對系統的高級控制，即便是系統重啟，它們也能夠持續在后臺運行，確保持續的挖礦活動不受干擾。隨著挖礦木馬攻擊者對利潤的不斷追求，結合Rootkit技術的挖礦木馬將變得越來越復雜。它們不僅僅滿足于利用受害者的計算資源，更可能進行更為深入的網絡滲透，對網內其他終端造成潛在威脅。

3.2.2.2 SHC加密腳本促使挖礦木馬更加隱蔽

2023年，安天CERT對監測到的挖礦木馬進行了梳理，發現挖礦木馬攻擊者為了逃避安全檢測，開始采用各種混淆和加密技術來隱藏其惡意代碼。其中，使用Shell腳本編譯器（SHC）對腳本進行加密的做法愈發流行，SHC成為了攻擊者新的工具選擇，以增強其挖礦腳本的隱蔽性。SHC是一種將Shell腳本加密成二進制可執行文件的工具，它可以有效地隱藏腳本的源代碼，從而使得分析人員難以直接查看代碼內容。這種加密不僅可以防止腳本源代碼被分析，還可以繞過基于簽名的檢測機制，因為每次加密后生成的二進制文件都具有不同的簽名。安天CERT在2023年先后分析了Hoze^[29]、yayaya Miner和Diicot^[30]等挖礦木馬，均利用SHC加密的腳本發起初始攻擊，這種攻擊方式為挖礦木馬的傳播提供了便利，增加了用戶系統被感染的風險。

3.2.3 利用遠控木馬實施詐騙的黑產威脅活動頻繁

2023年，來自黑產團伙的威脅呈現出手段不斷變化和資源快速更換等特點。以2023年最活躍的黑產團伙“游蛇”為例，其針對我國國內用戶進行的網絡釣魚攻擊和詐騙活動，規模較大且持續時間較長，對企業造成了一定的經濟損失。這類黑產團伙傳播的惡意程序變種多、免殺更新速度快、基礎設施更換頻繁、攻擊目標涉及行業領域廣泛。從攻擊手段看，以“白加黑”加載惡意載荷、內存執行Shellcode、內存解密載荷文件為主，并且最終投放遠控木馬載荷。安天CERT將具有上述特點的黑產團伙統稱為“游蛇”。

3.2.3.1 通過多種途徑傳播惡意文件投放遠控木馬

“游蛇”黑產團伙通過即時通訊軟件、搜索引擎惡意推廣、釣魚郵件等多種途徑傳播惡意文件。在利用微信、企業微信等即時通訊軟件傳播惡意程序的場景下，攻擊者會向目標用戶投遞偽裝成文檔的惡意文件，并利用話術誘導用戶執行；在利用搜索引擎傳播惡意程序的場景下，黑產團伙將惡意文件偽裝成各種常用軟件的安裝包，在搜索引擎中惡意推廣其搭建的釣魚下載站，導致用戶誤下載和執行經過偽裝的惡意文件；在利用釣魚郵件傳播惡意文件的場景下，黑產團伙會向攻擊目標發送“發票”、“傳票”相關主題及內容的釣魚郵件，在郵件正文中添加指向仿冒票據服務、稅務機關的釣魚網站鏈接，并在仿冒的釣魚網站中放置惡意文件。

相較于后兩種傳播途徑，使用即時通訊軟件傳播惡意文件時需要更多的人力及時間成本，因此黑產團伙通過“代理人”在境外社交軟件中創建群組，以按單結算的方式招收大量“投毒手”，傳授其各類釣魚話術，再由“投毒手”通過網推、網聊、地推等方式對多種行業領域的攻擊目標分發惡意文件，并誘導目標用戶執行。黑產團伙構建以自身為上游、以“代理人”為中游、以“投毒手”為下游的三級結構，實現了惡意文件的大范圍傳播，由此形成了一種通過即時通訊軟件投放遠控木馬的運營模式^[31]。

3.2.3.2 采用開源遠控木馬并頻繁更新免殺手段

黑產團伙頻繁更新免殺手段，與安全產品進行持續性的對抗，常使用的手段有“白加黑”加載惡意載荷、內存執行Shellcode、內存解密載荷等，并重點對惡意利用的白程序、加解密方式及關鍵的加密載荷進行更換。為了繞過安全產品的常規檢測，黑產團伙通常會將編寫好的Shellcode保存至文本文件中，通過其投放的加載器讀取文本中的內容，在內存中執行Shellcode，利用Shellcode進行多層的解密操作，最終在內存中加載執行遠控木馬載荷。這種攻擊方式增加了遠控木馬執行的隱蔽性，使安全產品不斷面臨新的挑戰。

在遠控木馬方面，黑產團伙直接選用成熟的開源遠控木馬代碼進行二次開發，目前已發現的有Gh0st遠控木馬及其變種、winos、AsyncRAT、DCRAT、SiMayRAT等。這些遠控木馬由受控端和控制端兩部分組成，被植入受害主機中的受控端會收集主機中的各類信息，包括系統基本信息、窗口信息、安全產品信息等，以此構造上線包發送至C2服務器，從而與控制端建立通信，并通常采用自定義算法對通信內容進行加解密。此外，這些遠控木馬能夠接收遠程控制指令并執行相應的功能，通常支持以下載執行插件的形式擴展其功能模塊。攻擊者能夠通過控制端程序查看受控端上線信息、對受控端屏幕進行監控、對受控端進行系統文件管理以及對受控端進行遠程控制。

3.2.3.3 利用遠程控制即時通訊軟件和偽裝身份對目標用戶實施詐騙

在2023年的攻擊活動中，黑產團伙將社工手段與詐騙套路相結合，在植入遠控木馬后，黑產團伙主要控制受害者主機中的微信、企業微信等即時通訊軟件開展后續的攻擊活動。黑產團伙根據行業、身份、職位等因素對受害者進行篩選及分類，并針對不同類別的目標用戶群體采取不同的后續攻擊方式^[32]。

由于黑產團伙的主要目的在于牟取經濟利益，因此從事金融相關行業的人員以及各公司的財務人員是黑產團伙的重點攻擊目標。針對此類目標群體，黑產團伙主要通過遠控木馬對受害主機進行遠程控制，根據受害者微信通訊錄中的備注信息，將某領導的真實微信號刪除，再添加一個與該領導相同頭像、名稱的偽裝微信號，并利用該偽裝微信號逐步誘導受害者進行轉賬，以此完成詐騙活動。攻擊者也會利用其中的聊天記錄獲取有關受害者及其相關聯系人的更多信息，從而更加真實地偽裝成某一身份。

針對電商客服、企業客服以及其他各類店鋪的聯系人，黑產團伙主要將受害者微信或企業微信號添加進事先創建好的群組中，將其好友添加至該群組中后移除受害者賬號。由于此類人員添加的好友大多是其客戶，因此黑產團伙會對其創建的群組進行相應的偽裝，并對群組中的用戶實施集中詐騙。黑產團伙會在群組中通過發送紅包或者小額反利等方式降低用戶的戒備心，進一步誘導用戶加入大群或添加所謂接待員的微信，以此進行層層篩選，并誘導最終篩選出的目標進行轉賬。

3.3 脆弱性的泛化趨勢

在2013年，安天用惡意代碼泛化（Malware/Other）一詞表示安全威脅向智能設備、物聯網等新領域的演進，此后“泛化”一直是安天研究的重要威脅趨勢。泛化意味著攻擊者的攻擊目標不再局限于手機、電腦等傳統智能設備，智能家居、工業物聯網、關鍵基礎設施等智能技術加持的新領域也都是攻擊者積極利用的目標。

《物聯網新型基礎設施標準體系建設指南（2023版）》（征求意見稿）^[33]指出，到2025年，物聯網新型基礎設施標準體系基本建立。新制定國家標準和行業標準30項以上、參與制定國際標準10項以上，為推動物聯網發展提供有力支持。國家也出臺多項政策鼓勵應用物聯網技術來促進生產生活和社會管理方式向智能化、精細化、網絡化方向轉變。

但物聯網高速發展的背后也隱含著不可小覷的安全風險。與2022年相比，全球范圍內針對物聯網設備的惡意軟件攻擊呈現高速增長的趨勢，其中制造業尤為突出，這主要是因為制造業嚴重依賴于物聯網與OT系統。IT與OT的進一步融合，在提升系統運營效率的同時，也帶來了漏洞管理難度加大、供應鏈安全風險上升及攻擊面擴大等一系列嚴峻的安全問題。

此外，物聯網設備持有量逐年遞增，整合了IoT技術的攝像頭、無線AP在各類組織、企業中隨處可見。但由于管理和使用上的缺陷，比如未更改初始密碼、默認開啟telnet遠程登錄功能、向互聯網開放管理權限、部署后缺乏漏洞管理、沒有或者無法及時更新補丁等問題，使得攻擊者能夠利用此類設備構建物聯網僵尸網絡，從而發起DDoS攻擊或進行其他惡意活動。例如，2023年11月，InfectedSlurs僵尸網絡利用兩個具有遠程代碼執行功能的漏洞感染使用默認憑據的路由器與錄像機。相比于傳統的僵尸網絡，物聯網僵尸網絡能夠形成最高可達1-2Tbps的流量峰值，且在設備規模上比傳統僵尸網絡更加龐大。

人工智能技術的快速發展為社會帶來了正面影響，但同時也要警惕人工智能驅動的網絡犯罪威脅也在不斷增加。人工智能具有學習和優化能力，這意味著它可以從大量數據中分析出個體的特征、偏好和行為模式，從而有針對性地實施社會工程學攻擊，并從每次攻擊結果中學習，不斷優化攻擊策略，提高了欺騙受害者的可能性。基于深度偽造技術，人工智能也可以創建高度逼真的個人音頻和視頻，通過偽造他人身份散播謠言、損害聲譽，甚至是進行犯罪活動。例如，2023年8月，攻擊者通過深度偽造技術冒充軟件開發公司Retool的員工，以自身賬戶出現問題為由誘騙受害者提供多重身份驗證(MFA)代碼，并最終導致該公司27名客戶的賬戶信息泄露。

在日益加劇的全球威脅背景下，關鍵基礎設施也面臨著來自多方面的網絡攻擊威脅，成為網絡攻擊重點目標。在網絡戰中，攻擊者通過對此類設施發起攻擊，造成電力、網絡、醫療等系統的大規模癱瘓，嚴重影響了社會的正常運轉。例如，2023年12月，意大利云服務提供商Westpole遭受Lockbit3.0勒索軟件攻擊，造成了多達540個城市的1300多個公共管理部門服務癱瘓，一些城市被迫恢復人工操作以提供服務。此外，關鍵基礎設施的數字化轉型也增加了其遭受攻擊的風險。許多組織在防御縱深構建、暴露面管理、遠程訪問管理、主機系統安全、漏洞響應以及員工安全意識等高優先級領域存在防范短板，可以被攻擊者利用。攻擊者還普遍通過，滲透攻擊上游軟硬件供應鏈的方式，提前獲得攻擊優勢?？傊?，從其中一環滲透至關鍵系統中，給整個系統帶來了安全隱患。防御投入的不足、防御能力的低下、防御面存在敞口，防御不能覆蓋全生命周期等，等都為攻擊者提供了可乘之機。在復雜多變的國際局勢下，我國關鍵基礎設施面臨的風險嚴峻升級，需要做好迎接風高浪急甚至驚濤駭浪的準備。

當前，安全威脅泛化已經成為常態。安天依然采用與前幾年年報中發布“網絡安全威脅泛化與分布”一樣的方式，以一張新的圖表來說明2023年威脅泛化的形勢。

3.4 網絡安全風險全面轉化為數據和業務風險

現今數據已經是組織的重要資產之一。大量的數據存儲，給人工智能提供了生長環境，AI讓全球看到了海量數據由量變產生質變的憧憬畫面，數據資產的價值得到空前提高。然而有光明的一面就有陰影，一些組織存儲的高價值的數據資產成為了攻擊者的目標，勒索攻擊伴隨著數據泄露的風險，利用高危漏洞引發的數據泄露造成的影響也不容小覷，政治因素引發的數據泄露甚至能影響國際形勢。

3.4.1 數據泄露損失創歷史新高

在萬物互聯的數字化時代，數字經濟已經快速崛起，使得數據已經成為一種重要的資產和戰略資源，隨之帶來的風險也在不斷攀升。據相關機構統計，2023年，全球每次數據泄露平均損失達445萬美元，創歷史新高^[34]。數據泄露比較嚴重的組織已經越來越偏向于關鍵信息基礎設施領域和產業鏈中上游，其中衛生醫療行業已連續12年成為數據泄露成本的“領先”行業。這些組織存儲的數據具有一定“公信力”，存儲的數據較完善、真實性較高、數據量較大、數據類型較全，因此這類數據被認為具有很高的價值。據研究顯示，83%的泄露事件是出于經濟動機^[35]，而這類具有高價值的數據將會更加受到攻擊者覬覦。隨著攻擊手段的不斷更新和漏洞武器化，使得攻擊這些存有高價值數據的組織成本變低，因此數據竊取的目標將會愈加趨向選擇這些組織。

3.4.2 勒索攻擊相關的數據泄露風險

勒索攻擊的目標和數據泄露的目標重合度很高，被勒索攻擊的目標往往存有高價值的數據，勒索這些組織也往往會獲得更高的收益。勒索攻擊逐漸形成了通過深入的目標分析和偵察，有選擇性地攻擊關鍵的系統、數據或信息，迫使受害者在支付高昂贖金和遭受關鍵數據泄露的損害之間做出選擇。無論是否支付贖金，被竊取的數據處置權都在攻擊方手中，仍然會給受害方帶來數據泄露的風險。勒索攻擊一般是為了經濟利益，受害方的高價值數據也為勒索者提供了一項“副業”，因此存在勒索攻擊的地方就基本會伴隨著數據泄露的風險。

為了逼迫受害方支付贖金，一些勒索組織會預先公布部分泄露的樣例文件，威脅或誘導受害方滿足其要求，并以此作為與受害方談判的籌碼。中國臺灣電腦零部件制造商微星（MSI）被勒索軟件團伙Money Message攻擊^[36]，該團伙宣稱從微星的企業網絡中竊取到了源代碼，在其網站中發帖展示CTMS與ERP數據庫，以及包含軟件源代碼、私鑰和BIOS固件文件的屏幕截圖。威脅微星滿足其勒索要求，否則將在五天內公布這些被竊取的文件。最終微星拒絕了其勒索要求，但也因此導致微星、英特爾等公司承受了巨大代價。

3.4.3 漏洞利用依然是竊取數據攻擊的主要突防點

2023年備受矚目的漏洞之一MOVEit漏洞，在MOVEit被發現存在多個高危漏洞后（CVE-2023-34362，CVE-2023-36932，CVE-2023-36933，CVE-2023-36934），一波網絡攻擊和數據泄露浪潮就開始出現。攻擊者利用這些漏洞可以查看、修改、刪除數據庫，也可以提升用戶權限和執行代碼。從5月開始MOVEit漏洞就已經被黑客組織利用，根據統計，截至9月份僅勒索組織Cl0p利用MOVEit漏洞攻擊的組織數量已超過2000個，受影響的人數超過6000萬，MOVEit漏洞的受害者清單正在持續增長，而勒索組織Cl0p也暫時放棄使用勒索軟件，轉而只竊取敏感數據，并威脅繳納贖金，否則將其數據泄露出去[37]。截至12月20日，受到攻擊的組織已增長到2611個，如圖 3 5。

圖3-5 勒索組織Cl0p利用MOVEit漏洞攻擊的各國組織數量

受害者雖多在歐美，但同樣給國內的網絡安全領域敲響了警鐘，勒索組織Cl0p已經多次利用高危漏洞竊取數據進行勒索并得逞，需要警惕他們的“示范作用”可能會吸引其他黑客組織的效仿。高價值的數據已經能夠使勒索組織暫時放棄勒索軟件直接用數據勒索，數據系統被攻擊產生的影響不容小覷，數據安全需要各行各業都予以重視，防范措施需要及時、有效。

3.4.4 政治因素引發的數據泄露威脅國家安全、影響國際局勢

2023世界地緣政治局勢動蕩，引起不同陣營的黑客組織或個人的激烈交鋒，因此也伴生了大量的數據泄露。如北約軍事檔案數據泄露事件，泄漏了大量的飛機、導彈、無人機、軍艦等軍事設施的圖紙、技術參數等信息。網絡安全公司CloudSEK的人工智能數字風險平臺XVigil發現^[38]，由于印度對以色列的長期支持，多個黑客組織策劃了對印度的網絡攻擊。這些攻擊背后的動機主要圍繞政治因素，造成的多起數據泄露，嚴重影響了國家、組織和個人的安全。

涉俄烏沖突的機密文件被泄露更是直接影響了俄烏沖突的走向。泄露的文件涉及俄烏沖突方面的情報，詳細描述了烏克蘭和俄羅斯軍隊的部署和狀態，尤其是暴露了烏克蘭防空系統的潛在漏洞，這對烏克蘭計劃發起的春季反攻帶來了情報威脅。其他文件情報集中在中東以及印度洋與太平洋地區的國防和安全問題上，暴露了美國對韓國、以色列、烏克蘭等盟友進行監聽的“間諜活動”，這可能將引發新一輪信任危機^[39]。此次泄密事件被外媒稱為自2013年“棱鏡門”事件以來美國最大的泄密事件^[40]。

巴以沖突和俄烏沖突中，各國情報機構和黑客組織的深度介入，使其在外圍形成了“網絡戰場”，政治因素引發的數據泄露將會威脅到國家安全，影響地區或國際局勢。在復雜多變的國際局勢下，我國同樣面臨著數據安全的挑戰，需要做好迎接挑戰的準備。

4.2023威脅趨勢總結

---

回顧2023年重點威脅，高級持續性威脅（APT）活動整體形勢依然嚴峻，定向勒索即服務（RaaS）模式趨于成熟導致勒索攻擊愈演愈烈，利益驅動下的挖礦、遠控、數據竊密等黑產威脅更加隱蔽化、復雜化以及威脅泛化引發的可攻擊面不斷擴散和放大。威脅永不眠，具有各種政治、經濟、軍事意圖的攻擊行為，對我國網絡空間安全治理提出了更具針對性和更深層次的挑戰。

? 攻擊者利用認知和防護盲區進行突破。

無論是超高能力國家/地區行為體、高級能力國家/地區行為體、一般能力國家/地區行為體，還是網絡恐怖組織、網絡犯罪團伙或黑客組織、黑產組織、業余黑客等發起的網絡攻擊活動都有可能穿透現有防御體系，攻擊者借助“假旗”（False Flag）策略，窮盡各類攻擊手段（甚至直接招募內鬼），面向組織的人力、財務、運維、客服等與互聯網進行高頻、深度交互的人員開展線下和線上攻擊，采取社會工程學方式并利用人員疏于防范的安全意識，突破組織的安全防線。縱深防御和資源分配不應只是基于拓撲和資產分布的均勻分配，而應形成針對性、有重點的資源投放。

? 攻擊者對漏洞資源的利用效率遠勝于防御方。

由于攻擊者能熟練使用網絡空間測繪引擎的等開源情報，并長期關注積累對重要信息目標的暴露面，因此在POC代碼出現后，會有一大批攻擊者快速匹配尋找可突防目標。安天CERT把類似攻擊稱為1Exp攻擊。由于RaaS+定向勒索本身又構成了一種“眾籌犯罪”模型，導致關注不同目標資源或擁有目標信息資源的大量攻擊者，都可能在發現機會窗口時盡可能的將機會窗口轉化為實際收益。

? 安全產品本身極易成為攻擊突破口。

由于網絡設備和網絡安全設備本身是一種容易獲取的資源，安全產品本身極易成為被忽略的攻擊入口，這些重點威脅明確暴露出這樣一個事實：安全產品（設備）或具有一定安全能力的產品（設備）其本身并非是絕對安全的，其整體的設計機理都是將安全能力作用于外部環境對象或者流量對象，并未真正將自身作為可能被攻擊者所攻擊的目標來強化自身的安全特性。同時，這些產品（設備）在現實應用中，又因其帶有安全功能，往往給用戶帶來了“其自身是安全的”的認知錯覺，從而使其更容易成為攻擊者的突破點。

? 基于身份+權限+訪問控制的合規體系極易被突破。

統一的身份認證機制、權限管理和訪問控制機制是安全合規體系的重要基石。特別是統一身份認證在支撐了安全的情況下，又帶來了使用上的便利性。但波音事件攻擊者較容易地進行了相關憑證和身份的竊取，之后便利用這些憑證進行攻擊和橫向移動。由于相關行為不是一般性的探測掃描，而本身就是基于綁定憑證的定向植入與投放，導致攻擊過程中波音方面完全無感。這說明在沒有有效的、細粒度的感知和敏捷閉環運營能力支撐下，身份權限機制一旦被突破，就反過來成為了攻擊者的掩護，從而使攻擊者在整個合規體系中暢行無阻。

? 混合執行體攻擊越來越普遍。

不同層次的攻擊者不斷借鑒和改進其技戰術策略，除了使用商業工具、自研工具以及開源工具外，也逐漸將合法工具納入其武器庫，在一些類似的定向勒索或APT級定向攻擊中，基于攻擊裝備清單的梳理，往往同樣有很大比例不再是傳統意義上的惡意代碼，而是為正常的網絡管理應用目的所編寫的工具或腳本，其中不乏知名的開源工具和商業產品，這些開源工具和商用產品往往都帶有發布廠商的數字簽名。這種組合運用多種來源執行體的攻擊，安天CERT稱之為混合執行體攻擊。這就使攻擊從早期的基于免殺的方式對主機的突防，進一步走入到可以擊破反病毒引擎+可信驗證的雙安全系統的混合執行體攻擊。防范這種攻擊，簡單結合反病毒引擎+可信驗證，顯然是顆粒度不足的。

? 主機安全防護依然沒有得到有效的強化。

攻擊者采用各種方式穿透邊界防御措施并建立持久訪問，本質上必須依賴在主機側投遞、加載、運行載荷并最終達成致效，在波音遭受勒索事件中波音公司的防御體系幾乎無感，表明其主機側安全產品和運營能力極為不足，而這一問題在國內更為嚴重：在數字化發展背景下，對“安全的基石回歸主機系統側”這一必然趨勢認識不足，對主機側的安全需求依然理解為合規性的主機殺毒軟件或防護軟件，并更傾向以低廉的價格而非更有效的能力去選擇產品。同時，由于主機側工作更復雜、細膩，牽扯與信息化和使用部門的關系更多，導致防御者不愿意在主機側投入主要的安全成本和管理資源，這些都會導致最后一道安全防線越來越難以抵抗定向攻擊。

5.2024年威脅的展望

---

? RaaS+定向攻擊會更加致命且高發。RaaS模式不僅僅是提供技術基礎設施，而是結合宣傳炒作、曝光竊取數據、拍賣竊取數據、將受害人舉報到監管機構等方式對受害人實施壓力，并制造新聞熱點，提升品牌效應，從而以滾雪球方式讓勒索組織形成臭名昭著的品牌效應。定向勒索模式針對高價值目標，RaaS的附屬成員通過各種方式，包括購買0Day漏洞、研發高級惡意代碼、收買企業內鬼和情報等手段提高突防能力，提升勒索載荷落地成功率。這種定向+RaaS的“組合拳”模式，形成“定向勒索+竊密+曝光+售賣”鏈條作業，脅迫受害者支付贖金從而實現獲利。

? 警惕毀癱瘓基礎設施的攻擊偽裝成勒索攻擊。勒索攻擊成功的直接后果是單位系統和業務的癱瘓和中斷，這和信息戰手段的致癱達成了完全一致的效果。因此將毀癱系統的攻擊活動偽裝成勒索攻擊必然會是不斷出現的事件。這種攻擊方式在歷史上已經被證明，目前可證實的最早出現的此類事件是2017年烏克蘭遭遇的NotPetya攻擊，當時攻擊者將烏克蘭系統數據加密癱瘓，并且彈出偽裝成勒索軟件Petya的攻擊信息，而實際上其加密是不可恢復的。RaaS設施的出現，大大降低了毀癱攻擊的成本，形成了非常高效的數據損毀與破壞的“戰斗部”，因此不管是這種代表極端勢力的非國家行為體，包括一些國家地區行為體，都有可能借助RaaS設施展開攻擊，這種攻擊活動會加劇社會混亂，同時也會容易導致防御方誤判相關攻擊的性質。

? 攻擊者普遍采用反測繪技術規避探測。當前APT攻擊活動跟蹤的一個比較重要的情報來源是網絡空間測繪，該技術手段可以迅速發現攻擊者已經啟用或正在搭建準備啟用的C2服務器，然而隨著對抗的升級和攻擊者規避檢測的追求，未來攻擊者可能將采用多種偽造或攔截等技術手段規避測繪掃描，這可能將會大大降低APT情報獲取的數量。

? 生成式人工智能技術推動魚叉式釣魚攻擊效率。目前大型語言模型(LLM)的人工智能技術在網絡犯罪領域存在較大的濫用空間，如通過學習目標相關的信息資料生成逼真的魚叉式釣魚誘騙信件、誘餌文件內容、釣魚網站頁面等，以及輔助自定義惡意功能的多語言編碼和免殺測試，挖掘利用軟件漏洞，模擬身份與目標開展語音文字等社工交互，都將大大提高攻擊者的攻擊運營效率。

? 挖礦木馬影響繼續下降。近些年我國對非法挖礦活動的打擊已經取得了顯著成效，挖礦木馬事件有所下降，但挖礦活動依舊存在，挖礦木馬數量沒有減少。新部署的存在弱口令和漏洞的設備依然為挖礦木馬提供生存空間。

? 黑產團伙將會嘗試更多途徑傳播遠控木馬。當前黑產團伙正通過招募招收大量“代理人”的方式，幫助他們通過即時通訊軟件、搜索引擎惡意推廣、釣魚郵件等多種途徑傳播惡意程序，并且在控制受害者設備后利用社交軟件等方式進一步擴大感染范圍。在高額利益的驅使下，未來黑產團伙可能將不斷嘗試新的途徑傳播遠控木馬。

? 大規模數據泄露事件形成常態，全球網民經被黑產全員畫像。雖然2023年存在許多歷史泄漏數據拼湊出售的虛假信息，但2024年真實的數據泄露事件仍會頻繁發生。數據泄露事件原因多樣，除了勒索攻擊事件、弱口令和高危漏洞入侵可以竊取數據外，還可能通過內部人員、第三方供應商人員竊密，使得安全治理任重道遠。

6.防御和治理思考

---

6.1 深入關注攻擊活動的運營方式和社會規律有助于重新理解防御

研究網絡攻擊活動不能脫離地緣政治安全要素，不能脫離經濟社會土壤，要深入關注各種攻擊活動的動機和運行方式。以勒索攻擊為例，從犯罪獲利的角度來看，獲得了高額的勒索贖金對應著犯罪團伙能承擔更高的犯罪成本，包括購買0-Day漏洞、研發高級惡意代碼、收買企業內鬼和情報等。從另一個角度來看，攻擊者制造了“如果不繳納贖金，受害人將承受遠比贖金更高的綜合損失”的困境。

網絡安全對抗與防護已經是一種經濟運行機制的對決。從防御側來看，從預算投入方面，我們通常將網絡安全在信息化的占比作為一個衡量標準，這使網絡安全長期處在從屬、配套和被壓制狀態。網絡安全風險后果是否才應該是安全投入的第一衡量標準，也需要我們來思考。

這從對立面讓我們思考網絡安全投入與對標究竟應該以什么為衡量標準？我們認為從規劃預算角度，網絡安全必須是一套有獨立評價參照系的獨立預算口徑，而不是簡單設定為信息化的組成部分。網絡安全投入合理的衡量標準是其運行資產價值和出現安全事件的風險損失，而并非信息化投入。通過在信息化中有限占比的方式來規劃網絡安全投入的傳統思路已經成為安全能力建設的障礙。其邏輯錯誤在于錯誤定義了網絡安全的保障對象——因為網絡安全能力保障的并不是IT固定資產投入價值，而是業務和數據資產價值。對于高度依賴于信息系統運行的關基設施和政企機構，網絡安全保障的是機構的全量價值，對應機構是一個企業，該價值就是企業的業務價值和營收價值，基于這個價值來判斷網絡安全投入的合理性，才是真正目標化的衡量標準，而不是僅與信息化投入關聯所構建的成本化衡量標準。對于中央管理企業和關鍵基礎設施部門，則還需要進一步評價對應的安全風險從企業自身風險連鎖擴大到國家安全、社會治理安全和相關公民個人風險的情況。透過LockBit贖金規則，我們看到需要警惕的是：網絡攻擊者比網絡防御者，先行一步認識到了這一規律。

6.2 正確的認知威脅是有效改善防御能力的基礎

當前，針對關鍵信息基礎設施和重要網絡信息系統的網空威脅攻擊活動，已經不再是一般性的技術事件和技術風險，而是帶有復雜的國際安全形勢和地緣安全競合背景、具有情報作業或者網絡戰性質的行為活動。我們需要穿透“網站篡改”、“數據泄露”、“勒索癱瘓”、“釣魚郵件”等攻擊手法和現象，基于科學方法和工程的方式來認知威脅，才能更好地支撐威脅分析工作，并進一步推動防護能力的改善。傳統的防護手段僅是建立起網絡防御體系的基本工作，對于防范一般性的網絡攻擊是有效的，但對于防護超高能力網空威脅行為體則是完全不足的。關鍵信息基礎設施防御體系建設必須對標能夠防御高能力對手攻擊，建立“體系化的防御”才能應對“體系化的攻擊”，才能經受得住攻擊者和窺視者的“多重檢驗”。

另外，對勒索攻擊的防范，往往還停留在原有的勒索軟件的階段，還有許多人沒有意識到勒索攻擊已經是由持續定向入侵、竊取數據、加密數據癱瘓系統、勒索金錢、挖掘數據關聯價值二次利用、販賣數據、向監管機構舉報、公開竊取數據所構成的一條價值侵害鏈，而且已經形成了一個規模極為龐大的犯罪產業。在這樣的背景下，遭遇勒索攻擊的風險已經不是簡單的以數據損失和業務暫停為后果的形態，而是要付出失竊的所有數據均會被販賣、公開等一系列的連鎖風險。

從定向勒索攻擊的作業方式來看，其在加密毀癱行為觸發前，是類似APT攻擊的高度定制化的作業過程。攻擊者或者是專業的攻擊作業團隊，有堅定的攻擊意志、較高的攻擊能力、充分的可利用漏洞資源，能掌握大量可利用的脆弱性情報和攻擊入口資源，有的可能直接就是內部的攻擊者。這也是依托RaaS的定向勒索攻擊行動，面對有較強IT運營能力和防護投入的大型機構時仍能屢屢得手的原因。

同時，復雜系統的可靠性保障本身不能依賴于每個節點都不出問題，相對于現代信息系統的規模，特別是面對高級威脅行為體的作業能力，單點失效是必然發生的。需要以體系化防御對決體系化的進攻是一個最基本的認識，防御無銀彈。無論在勒索防護中扮演最后一道防線的主機系統防護，還是作為最后應對手段的備份恢復，都是防御體系中的單點環節，都在應對高水平定向攻擊中擔負著在本身能力范圍內檢測阻斷攻擊、降低攻擊成功率、提高攻擊成本、降低風險損失的局部作用，都無法以單點來對抗體系性的攻擊。

我們必須嚴肅的指出：將定向勒索攻擊簡單的等同于早期非定向擴散或廣泛投放的勒索軟件的威脅，將對抗勒索攻擊簡單看成是加密毀癱vs.備份恢復的單點對抗，是極為落后、片面的安全認知。如果沒有一套完整的防護體系和運營機制，而是認為依靠數據備份恢復來應對勒索攻擊。就如同只出場一名守門員，來對抗對方一支球隊。

6.3 客觀的敵情想定是做好網絡安全防御工作的前提

近年來，我國網絡安全整體防護水平有了長足進步，但面對高等級網空威脅行為體的有效布防能力依然嚴重不足，其中原因之一，就是在于對超高能力威脅行為體的能力體系、作業意圖、裝備與支撐體系認知不足，分析推演不夠系統深入。對攻擊行為施加于關聯場景以及潛在風險后果等重要因素，缺少極限推演。進而導致建設方向偏差、建設思路滯后。

網絡安全防護工作，不是一廂情愿的自我臆想與閉門規劃實施，而是必須正視威脅、直面對手，將對手和威脅的要素疊加在防御體系上的系統而嚴謹的工作，是一場關乎國家前途命運和人民福祉的偉大斗爭。要充分認識到網絡安全所面臨敵情的高度嚴峻性，要立足于大國博弈與地緣安全斗爭的大背景，深入貫徹總體國家安全觀。把敵情想定構建作為網絡安全規劃的重要步驟，把“敵已在內”作為基礎的想定，針對性地分析對抗場景與條件因素，綜合研判目標價值、威脅行為體行動與后果之間的相互作用關系，深入洞悉對手意圖目的，真正以高能力網空威脅行為體的組織建制、支撐體系、攻擊裝備、作業手段、作業體系與行動特點為客觀依據，疊加到具體的防御場景上推演分析，完善對網絡安全防御工作的規律認知，形成以有效防護為導向的能力建設與實戰檢驗標準。要始終堅持客觀敵情想定是網絡安全工作的前提，不怯于認知敵情工作的長期性、持續性與艱巨復雜性，不被網空敵情的低可見性所迷惑，不被陳舊的認知與錯誤的觀念所誤導，堅持戰略上藐視對手，戰術上重視對手，將網絡安全防御工作建立在正確的敵情想定基礎之上，真正打造動態綜合有效的網絡安全防御能力。

從定向勒索攻擊造成后果損失來看，我們必須改變對安全風險與價值的認知范式。由于定向勒索攻擊已經形成了竊取數據、癱瘓系統和業務、販賣數據和曝光數據的組合作業。其最大風險不只是系統和業務癱瘓無法恢復，而是同時面臨被攻擊企業的用戶信息、關鍵數據、文檔、資料、代碼等核心資產被倒賣，被公開的風險，從而帶來更大的連鎖反應。從國內外安全領域長期以來的現實情況來看，很多政企機構改善自身安全的動力，并不來自于提升防護水平的能動性，很多企事業單位認為最可能發生的安全風險，不是遭遇攻擊，而是因達不到合規標準，會遭到處罰。因此，安全防護領域構成了一套“投入-合規-免責”的低限建設運行邏輯。而定向勒索攻擊所帶來的后果，讓IT決策者必須判斷極限風險，并通過極限風險損失來判斷網絡安全的工作價值，如何避免業務長時間中斷、數據徹底無法恢復、被竊取的數據資產被競爭對手購買，或因曝光嚴重貶值等極限情況，都是IT決策者和每一個機構必須應對的風險。

針對此類定向攻擊的防護必然不是以單點進行突圍，必須從整體防護上出發，堅持關口前移，向前部署，構成縱深，閉環運營。最終通過防護體系以達成感知、干擾、阻斷和呈現定向攻擊方殺傷鏈的實戰運行效果。

通過以定向勒索攻擊為代表的案例，可以看到除了合規要求和既有存量之外，分析網絡安全投入的關聯要素還需要考慮：業務和數據資產的全局價值；攻擊可能造成的最大風險損失；遭遇攻擊者的可能性以及攻擊者能力所能承擔的攻擊成本，以上因素是安全投入合理性的有效衡量標準。單純依靠政企機構本身，往往只能知己、不能知敵人，難以完成高質量的評估，因此需要公共產品進行賦能。

6.4 高質量的技術分析是重要的戰略支撐能力

深入系統的威脅分析能力，一直是國內網絡安全業界的一個能力長板。在長期的威脅分析斗爭過程中（包括上世紀80年代后期的病毒樣本分析、本世紀初開始的重大蠕蟲事件分析和2010年前后系列APT事件分析），中國網絡安全業界輸出了大量高質量的分析成果，推動了技術創新、產品開發和持續運營，也有效支撐了相關公共安全領域決策，積累了一大批具有較高分析水平的工程師隊伍；從產業層面來看，能進行有效威脅分析的安全企業越來越多。

但需要關注的是：1、在過去幾年，高質量的分析成果有減少的趨勢。在分析工作中，相對急功近利地追逐先發漏洞、熱點事件，但不愿意長時間、大成本投入地持續跟蹤深度威脅的情況比較普遍；2、規模型網絡安全企業也將分析能力的保持和提升視為一種高昂的企業人力成本，而不愿意進行分析團隊的擴建和體系性完善；3、在用戶單位和管理部門中，也有一部分人存在著“分析報告就是企業軟廣”的偏頗認識，而忽視了這種分析工作對于準確判定威脅、溯源威脅行為體、研判防御的重點方向等方面具有極為重要的作用。

需要警惕的是，這些負反饋的作用下，分析能力作為我國產業長板能力會持續退化。

6.5 重新構建主機系統安全層面防御基石

主機系統是業務和資產數據價值的承載者，也是攻擊者攻擊的最終目標。主機端防護能力的歷史頗為悠久，從上世紀80年代中后期就已經開始普及終端殺毒軟件，但今天我們在實際的分析、取證、復盤中，發現主機端安全反而成為了其中最薄弱的環節之一。在資產價值向云中主機（工作負載）不斷遷移、泛在介入的背景下，防火墻等傳統安全環節的價值被急劇弱化，加密流量的廣泛使用進一步削弱了流量側安全能力的可見性，這些因素都迫使安全的支撐基石必須重新回到主機系統側，確保安全邊界構建在每一臺主機系統之上，并再將這些細粒度安全邊界組織成為防御體系。

在主機的安全防御體系中，將主機環境塑造、惡意代碼查殺、主動監測、介質管控、主機防火墻等大量的安全功能進行積木化的整合，實現按需彈性部署，從而在面對釣魚投放、漏洞突防、惡意介質插入等攻擊方式時，能夠在主機側形成包括主機邊界防護、對象檢測、行為管控、敏感數據保護的微觀防御縱深，切實構建主機系統安全層面防御基石。

6.6 以執行體治理為核心抓手持續閉環運營

網空對抗的主要范式，在過去和未來非常長的一個階段，都是運行對抗。運行是數據基于執行入口向指令轉化的過程，運行的依賴條件是防御的關鍵機會。同時我們必須看到，信息系統以計算能力承載執行體運行，完成其功能和任務的基本模式不會改變；信息系統依賴數據輸入輸出的運行方式不會改變；威脅行為體持續編寫生產惡意執行體的客觀事實不會改變。執行體既是網空對抗中的攻擊目標，也是“武器化”攻擊裝備，同時也是防御機制的承載者。所有具備可執行能力、有機會轉化為指令的對象，都可歸入執行體范疇，從系統IO層面，執行體是最小可治理單元。

絕大部分攻擊戰術動作依賴執行體完成，攻擊者持續侵入可信鏈，盜用證書加白、供應鏈污染等攻擊手法愈發常見。大量的混合執行體攻擊打破了傳統的“威脅檢測+可信簽名”的防御檢測范式。攻擊者更注重利用系統環境中已經存在的可利用執行對象（如系統shell），并將大量開源和商用正常工具作為實現攻擊的路徑和工具。這些開源和商用軟件在政企機構中有著廣泛應用，有的軟件本身就帶有合法甚至知名機構賦予的信譽，這就使我們面向執行體對象的識別顆粒度要至少到達每一個活躍和新增對象，最小化地縮窄執行入口，最大化地管控系統。這些工作既需要強大的共性能力賦能，也需要每一個關鍵基礎設施和重要信息系統去建立自己的執行體治理基線和閉環運營機制。當然，這些工作離不開能支撐執行體治理的、有效的主機安全防護軟件。

以執行體對象為核心抓手開展防御治理工作，對網絡安全基本能力具有重要價值意義。在識別環節，可以掌握執行體的行為與業務之間的支撐關系，理解執行體及其所需權限，掌握執行體具備的能力及其與脆弱性、暴露面的對應關系；在塑造環節，可以管控執行體開放服務及存在執行更新能力的通道；在防護環節，可以識別執行體的資源訪問、連接、創建、寫入、執行的客體，判斷其行為目的，對違規行為進行拒止；在檢測環節，可以基于執行體分布和行為監測，篩選出值得關注的、未知的執行體；在響應環節，可以基于執行體的潛在和激活能力、創建信道等手段，支撐追溯攻擊來源等。

執行體治理是網絡安全運營者通過識別和管控執行體保障網絡安全的持續過程。持續過程不僅要完成檢測、防御、清除惡意執行體和控制非惡意執行體網絡訪問等基礎防護，更要建立識別、塑造、檢測、防御和響應的流程閉環。在流程運行閉環的基礎上，全面掌握執行體的靜態分布情況與業務應用的執行體構成，建立信譽清單，同時能夠識別執行體的執行動作并依據基線進行控制。在基線建立之后，識別全部執行體，全面掌握執行體和執行體的行為與業務之間的支撐關系，建立信譽指標、行為指標、業務影響指標等量化指標，以指標為指引針對不同場景建立配套的管控規則庫、基線庫和模型庫，并持續運營實現能力與時俱進、效能不斷提升。從而保持防御主動，構建防御能力對攻擊者的不確定和不可預測性，提升攻擊繞過難度，束控攻擊活動，降低失陷風險。

6.7 堅持構建動態、綜合的防御體系而不是始終搖擺

不斷出現的各類重大安全威脅事件，容易產生類似最應重點防范勒索攻擊還是APT攻擊一類的疑惑。從水平上看，少數勒索攻擊的前導攻擊部分的水平，已經接近高級網空威脅行為體的APT攻擊水準，而且勒索攻擊將比APT攻擊帶來更直接和快速的經濟損失與顯性的機構信譽影響。定向勒索攻擊確實是APT能力+勒索行為的結合體。但從另一角度看，由于勒索攻擊組織必然要在一個相對短周期獲益，其并無APT攻擊者那樣必須突破中心目標的關鍵意志力，其在長期潛伏、持久化和隱蔽作業方面，不會表現出APT攻擊者的戰略耐心。所以對每一個政企機構來說，其資產人員暴露面，一方面必然同時面對者多種攻擊組織，但其可能遭遇的最高烈度或水平的攻擊的判斷，需要基于將其綜合業務資產價值放到復雜的社會安全和地緣安全的背景下進行想定判斷。

但必須指出的是，對大量機構來說，目前存在的并非在防御重點是APT攻擊還是勒索攻擊的選擇問題，而是尚未完成防御基本面建設的問題。針對各種復雜的組合攻擊，都需要防御層次的展開，都不存在“一招鮮，吃遍天”，所有資源、人力、策略投入的彈性調整，其前提都是已經完成了防御基礎能力建設的基本動作，基本形成了動態綜合、有效閉環的防御體系。這才能做到針對威脅變化實施針對性布防。可以說防御體系如能有效防御APT攻擊，那么也能有效防御定向勒索攻擊。

面對威脅挑戰。戰術上的高度重視和戰略上堅定信心都是重要的。我們要堅信雖然定向勒索攻擊防范難度很大，但依然有系統化的方法的和落地抓手。針對體系性的攻擊，必須堅持關口前移，向前部署，構成縱深，閉環運營。提升攻擊者火力偵察和進展到外圍地帶的發現能力，降低攻擊方進入到核心地帶的可能性。提升網絡和資產可管理性是工作的基礎：主動塑造和加固安全環境、強化暴露面和可攻擊面的約束和管理、強化對供應鏈上游入口的管控、啟動全面的日志審計分析和監測運行。構建從拓撲到系統側的防御縱深，針對攻擊者探測、投放、漏洞利用、代碼運行、持久化、橫向移動等行為展開層層設防，特別要建設好主機系統側防護，將其作為最后一道防線和防御基石，構建圍繞執行體識別管控的細粒度治理能力。最終通過基于防御體系實現感知、干擾、阻斷定向攻擊殺傷鏈的實戰運行效果。

附錄：參考資料

---

[1]. 安天.“A²PT與“準APT”事件中的攻擊武器”中國互聯網大會[R/OL].(2015-07-23)

https://www.antiy.com/presentation/Attack_Weapons_in_A²PT_and_APT-To-Be_Incidents.pdf

[2]. 中國網絡安全產業聯盟“美國情報機構網絡攻擊的歷史回顧——基于全球網絡安全界披露信息分析”[R/OL].(2023-04-11)

http://www.china-cia.org.cn/AQLMWebManage/Resources/kindeditor/attached/file/20230411/20230411080655_1326.pdf

[3]. Kaspersky.Operation Triangulation[R/OL].(2023-06-01)

https://securelist.com/trng-2023/

[4]. FSB. ФСБ РОССИИ ВСКРЫТА РАЗВЕДЫВАТЕЛЬНАЯ АКЦИЯ АМЕРИКАНСКИХ СПЕЦСЛУЖБ С ИСПОЛЬЗОВАНИЕМ МОБИЛЬНЫХ УСТРОЙСТВ ФИРМЫ APPLE [N/OL].(2023-06-01)

http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html

[5]. Kaspersky.Operation Triangulation: The last (hardware) mystery[R/OL].(2023-12-27)

https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/

[6]. 安天.“量子”系統擊穿蘋果手機——方程式組織攻擊IOS系統的歷史樣本分析[R/OL].(2023-06-09)

https://www.antiy.com/response/EQUATION_iOS_Malware_Analysis.html

[7]. 環球網.武漢地震監測中心被網攻“幕后黑手”已鎖定 美國神秘偵察系統即將被曝光[N/OL].(2023-08-14)

https://3w.huanqiu.com/a/5e93e2/4E7OihgjqWJ

[8]. Kaspersky.Updated MATA attacks industrial companies in Eastern Europe[R/OL].(2023-10-18)

https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

[9]. 360.Lazarus Group使用Dacls RAT攻擊Linux平臺[R/OL].(2019-12-17)

https://blog.netlab.360.com/dacls-the-dual-platform-rat/

[10]. Kaspersky.MATA: Multi-platform targeted malware framework[R/OL].(2020-7-22)

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

[11]. unit42.When Pentest Tools Go Brutal: Red-Teaming Tool Being Abused by Malicious Actors[R/OL].(2022-07-05)

https://unit42.paloaltonetworks.com/brute-ratel-c4-tool/

[12]. Vitali Kremez.Let’s Learn: Progression of APT28/Sofacy Golang Zebrocy Loader ‘Project2.Go’: WMIC & Hex Decode[R/OL].(2018-12-30)

https://vk-intel.org/2018/12/30/lets-learn-progression-of-apt28-sofacy-golang-zebrocy-loader-project2-go-wmic-hex-decode/

[13]. unit42.Sofacy Group’s Parallel Attacks[R/OL].(2018-06-06)

https://unit42.paloaltonetworks.com/unit42-sofacy-groups-parallel-attacks/

[14]. riskiq .Bear Tracks: Infrastructure Patterns Lead to More Than 30 Active APT29 C2 Servers[R/OL].(2021-07-30)

https://community.riskiq.com/article/541a465f/description

[15]. Infosecurity Magazine. Pro-Palestine APT Group Uses Novel Downloader in New Campaign

https://www.infosecurity-magazine.com/news/propalestine-apt-group-novel/

[16]. INTEZER.WildCard: The APT Behind SysJoker Targets Critical Sectors in Israel

https://intezer.com/blog/research/wildcard-evolution-of-sysjoker-cyber-threat/

[17]. 安天.2019年網絡安全威脅回顧與展望[R/OL].(2020-01-08)

http://8rpec4.com/research/notice&report/research_report/2019_AnnualReport.html

[18]. 安天.2020年網絡安全威脅回顧與展望[R/OL].(2021-01-07)

http://8rpec4.com/research/notice&report/research_report/2020_AnnualReport.html

[19]. 安天.2021年網絡安全威脅回顧與展望[R/OL].(2022-01-28)

http://8rpec4.com/research/notice&report/research_report/2021_AnnualReport.html

[20]. Secureworks.GOLD MELODY: PROFILE OF AN INITIAL ACCESS BROKER[R/OL].(2023-09-21)

https://www.secureworks.com/research/gold-melody-profile-of-an-initial-access-broker

[21]. CISA.Known Exploited Vulnerabilities Catalog[R/OL].(2023-12-25)

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

[22]. PaperCut.PaperCut security post-incident report from April 2023[R/OL].(2023-11-15)

https://www.papercut.com/blog/news/security-post-incident-report-april-2023/

[23]. BlackFog.What we know about the MOVEit exploit and ransomware attacks[R/OL].(2023-11-21)

https://www.blackfog.com/what-we-know-about-the-moveit-exploit/

[24]. CISA.StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability[R/OL].(2023-11-21)

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a

[25]. 安天.波音遭遇勒索攻擊事件分析復盤——定向勒索的威脅趨勢分析與防御思考[R/OL].(2023-12-30)

http://8rpec4.com/research/notice&report/research_report/BoeingReport.html

[26]. 安天.Yayaya Miner挖礦木馬分析[R/OL].(2023-05-11)

http://8rpec4.com/research/notice&report/research_report/20230511.html

[27]. 安天.典型挖礦家族系列分析二 | TeamTNT挖礦組織[R/OL].(2022-12-07)

http://8rpec4.com/research/notice&report/research_report/20221207.html

[28]. 安天.“8220”挖礦組織活動分析[R/OL].(2022-04-28)

http://8rpec4.com/research/notice&report/research_report/20220428.html

[29]. 安天.活躍的Hoze挖礦木馬分析[R/OL].(2023-02-28)

http://8rpec4.com/research/notice&report/research_report/20230228.html

[30]. 安天.Diicot挖礦組織近期攻擊活動分析[R/OL].(2023-06-29)

http://8rpec4.com/research/notice&report/research_report/Diicott_Analysis.html

[31]. 安天.“游蛇”黑產團伙利用微信傳播惡意代碼的活動分析[R/OL].(2023-08-22)

http://8rpec4.com/research/notice&report/research_report/SnakeTrojans_Analysis.html

[32]. 安天.“游蛇”黑產團伙專題分析報告[R/OL].(2023-10-12)

http://8rpec4.com/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html

[33]. 國家標準化管理委員會.《物聯網新型基礎設施標準體系建設指南（2023版）》（征求意見稿）[R/OL].(2023-08-21)

https://www.sac.gov.cn/xw/zqyj/art/2023/art_2c41928c029c4304b66006747a8886fb.html

[34]. statista.Average cost of a data breach worldwide from 2014 to 2023 [R/OL].(2023-10-10)

https://www.statista.com/statistics/987474/global-average-cost-data-breach/

[35]. verizon.2023 Data Breach Investigations Report[R/OL].(2023-09-29)

https://www.verizon.com/business/resources/reports/dbir/

[36]. 安全內參.知名臺企微星疑遭勒索攻擊，被索要2750萬元巨額贖金[R/OL].(2023-04-07)

https://www.secrss.com/articles/53509?app=1

[37]. konbriefing.MOVEit hack victim list [R/OL].(2023-12-20)

https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html

[38]. hackernews.以色列哈馬斯沖突引爆網絡戰[R/OL].(2023-10-12)

https://hackernews.cc/archives/46119

[39]. 澎湃財訊.“泄密門”持續發酵：美陷盟友信任危機，俄烏沖突走向被波及[R/OL].(2023-04-12)

https://m.thepaper.cn/newsDetail_forward_22665834?from=

[40]. 光明國際.美媒：疑似美軍機密文件牽涉俄烏沖突及美監聽他國[R/OL].(2023-04-11)

https://world.gmw.cn/2023-04/11/content_36488867.htm