绿盟科技2022年度 APT高级威胁报告 CONTENTS2022 年度 APT 高级威胁报告2关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000 年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所 创业板上市， 证券代码：300369。 绿盟科技在国内设有50余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容， 除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、 机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS01 执行摘要 001 02 网络战威胁 003 2.1 概述 004 2.2 俄乌网络战时间线 004 2.3 俄乌网络战参与组织 007 2.4 俄乌网络战主要攻击类型 007 2.5 思考 013 03 APT 威胁 015 3.1 概述 016 3.2 总览 016 3.3 针对我国的 APT 活动 019 3.4 本年度确认的新型 APT 组织 021 3.5 APT组织对新型漏洞的滥用情况 024 3.6 重点地区的 APT 活动 025 3.7 小结 03204 勒索软件威胁 033 4.1 本年度勒索软件攻击概况 034 4.2 本年度的代表性勒索软件家族 036 4.3 RaaS模式的发展 042 4.4 思考 044 05 高级威胁攻击趋势预测 046 附录 A 关于伏影实验室 04801 执行摘要2022 年度 APT 高级威胁报告0022022年，在全球经济下行、地缘冲突爆发、加密货币市场萎靡等因素影响下，高级威胁 事件整体呈现爆发趋势。在活跃组织数量、攻击事件数量、新型攻击工具数量等高级威胁主 要指标方面，本年度的数据表现都远超往年。 本年度，绿盟科技伏影实验室对阶段性爆发的网络战威胁、长期持续的 APT威胁、以及 民间攻击力量主导的勒索软件威胁三个代表性的高级威胁领域进行了持续观测和发掘，发现： 网络攻击能力已经成为一种能够在地缘冲突中发挥重要作用的武器资源。俄乌冲突的各 个阶段，俄乌双方在网络空间中进行了以窃密、控制和瘫痪等为目标的各式网络攻击活动， 双方网络攻击力量会随着战争局势的变化灵活调整自身定位，帮助达成实体作战目标。 认知混淆和舆论控制已经成为网络战的重要组成部分。俄乌网络战中出现了大量以欺骗 认知或诱导舆论为目标的网络攻击事件，此类事件通过控制宣传平台或滥用宣传渠道，用大 量假信息或部分错误的信息污染网络信息流，从而构建有利于攻击者一方的言论氛围。 APT攻击更深度地与地缘政治冲突绑定，东欧、南亚、中东等冲突地区与敏感地区的 APT活动强度持续增加。本年度保持活跃的区域性 APT组织包括 Gamaredon、Kimsuky 、 Lazarus、Patchwork 等，反映了在国际局势紧张度增加的背景下，相关国家对冲突地区的关 注度也在增加。 本年度我国遭受大量 APT攻击与勒索攻击，攻击来源主要为美国、越南与印度。这些 APT组织大多以我国高校和大型企业等作为目标，以 N-day漏洞利用或社会工程学的方式入 侵境内组织或设施目标并窃取情报。 本年度勒索软件领域的 RaaS（勒索软件即服务）模式继续高速发展，各大勒索软件团伙 开始进入更激烈的恶性竞争阶段。较小的勒索软件团伙不断用攻击大型企业的方式尝试扩大 自己的影响力，较大的勒索软件团伙也因为受到同质化竞争的问题而难以维持自己的统治力。 勒索软件威胁正在回归早期的混乱而危险的状态。