2022年下半年，天际友盟持续对APT组织及其活动进行追踪总结，重磅发布了《2022年下半年全球主要APT攻击活动报告》。该报告由天际友盟双子座实验室撰写，分为概述、APT组织攻击数据披露、重大APT攻击活动、总结和附录五大章节，以下为部分内容节选。

天际友盟2022年下半年持续对APT组织及其活动进行了追踪总结，总共披露了全球98个APT组织160多起攻击活动，通过对其中出现的威胁组织及其使用TTP的具体分析，我们总结出2022年下半年APT组织攻击活动特点如下：

地缘政治冲突不断激化，大国网络空间博弈加剧

持续近一年的俄乌战争并没有结束，其网络空间冲突也在不断升级。2022年下半年，包括Gamaredon、Sandworm、Trident Ursa、NoName057(16)在内的俄罗斯黑客组织接连对乌克兰的政府、媒体、军队、供应商、电信公司、金融机构等组织发起攻击，而俄罗斯的政府、军队、外交等部门及其网站也遭受到了各方APT组织的猛烈攻击。虽然从披露的APT事件来看，俄罗斯方面似乎占据优势，但乌克兰凭借美国及其盟友的支持，也对俄罗斯发动了多起有影响的攻击，大国的网络空间博弈并未分出明显胜负。

网络间谍战硝烟弥漫，成为多国科技抗衡的有力手段

纵观世界，科技创新仍是发展的第一生产力，由此也衍生了不少旨在窃取机密资料的间谍组织。2022年下半年，不仅有来自越南的海莲花组织、印度的白象等知名组织对我国政府、科研领域发起了网络间谍攻击，更有例如APT-LY-1004在内的新兴间谍组织在对印度国防部的钓鱼活动中浮出水面。从攻击手段来看，网络间谍人员擅长利用鱼叉式网络钓鱼策略针对与高新技术最接近的核心人员，可谓精准打击，出手果断。

美国超越乌克兰和俄罗斯，成为黑客组织攻击的热门目标

从攻击目标来看，美国成功超跃乌克兰，成为2022年下半年APT组织攻击最多的目标国家，其中来自俄罗斯和朝鲜的黑客组织贡献了超过一半的攻击。可见俄乌冲突对美国自身也有一定的影响。

软件行业漏洞频出，成为供应链攻击的主要切入点

从攻击行业来看，2022年下半年软件行业已上升为除了政府和军工以外第三大易受黑客组织攻击的行业。由于软件行业巨头其产品分布广泛，借助他们产品或服务的漏洞进行传播或攻击的事件日渐增多，同时很多知名开源软件平台也成为供应链攻击的首选目标。

勒索软件攻击高度活跃，运营模式日渐成熟

从暗网活跃的几十个勒索软件团伙的数据披露网站可以看出，2022年是勒索软件极为活跃的一年。其中，许多勒索软件正逐渐被黑客组织加入武器库，更有部分勒索软件团伙自身也发展壮大成新的威胁组织，他们有着成熟的运作模式并可对目标进行多重勒索。

TOP 10 APT组织

我们对2022下半年活跃的TOP 10 APT组织进行统计如下：

2022年下半年160多起攻击事件中（主要统计知名组织及有影响力的攻击），榜首依然被老牌黑客组织Lazarus占据，紧接着第二名是朝鲜黑客组织Kimsuky，来自南亚的APT组织蔓灵花BITTER和俄罗斯黑客组织Gamaredon并列第三。较2022年上半年而言，Kimsuky组织上升最快，其攻击目标已扩展至Android设备。

TOP 10 攻击目标

2022年下半年APT组织攻击的目标国家TOP 10统计如下：

从统计数据可以看出，美国已经一跃成为2022年下半年以来黑客攻击目标的第一名，由于俄乌战争的影响，乌克兰紧随其后，巴基斯坦由于印度黑客组织的活跃攻击而位列第三名。

TOP 10 攻击行业

2022年下半年APT组织攻击的目标行业TOP 10统计如下：

从上图可以看出政府、军工继续保持其热度，但软件和信息技术行业上升极快，已排到攻击目标行业的前三名，金融行业热度有所下降，已下滑到第5位。

APT组织攻击手段

2022年下半年APT组织攻击手段统计如下：

从表中可以看出，主要攻击手段的前三名依然被木马后门、钓鱼攻击、漏洞利用这三种手段占据。其中钓鱼攻击中有三分之一的攻击活动使用了鱼叉式钓鱼攻击，用以提高攻击的成功率。漏洞利用作为初始渗透的有效手段，依然发挥着极其重要的作用。下表列出了2022年下半年最常用的漏洞列表及其针对的系统或软件：

俄乌冲突相关攻击

俄乌冲突在2022年下半年局势持续紧张。俄乌双方依然频繁的遭受各类威胁组织和团伙的攻击。虽然从舆论战来看，乌克兰占据优势，但是俄罗斯凭借其强大的黑客能力，对乌克兰发起了多次有影响力的网络攻击。其中，俄罗斯APT组织Gamaredon及Sandworm是目前最为活跃的APT组织。来自俄罗斯的黑客组织Gamaredon一直以乌克兰为目标，并被认为对该国的数千起攻击负责。自2022年2月俄罗斯入侵以来，Gamaredon针对乌克兰目标的活动已经发生了变化，涉及网络钓鱼攻击和部署新的恶意软件变体。（详情参见完整报告）

国内攻击情况

2022年下半年，针对我国的攻击活动不在少数，且活动目标分布在政府部门、社会组织及科研院校中。与2022年上半年针对国内的攻击活动相比，攻击事件明显增加，且主要以信息窃取为目的。APT组织不仅通过针对性的钓鱼邮件、僵尸网络等方式传播恶意软件，还新增了漏洞利用手段，攻击成功率大幅度上升。（详情参见完整报告）

新兴威胁组织

随着恶意软件及服务的兴起，加之市场上存在大量可开源获取的工具，网络攻击的门槛及成本也随之降低。目前，已有越来越多的人参与网络犯罪，志同道合的黑客们更是组成了具有一定规模的组织。2022下半年不仅存在新的专业APT组织活动，而且涌现了许多新型黑客团伙攻击事件。这些组织攻击手段及目标多样化，其中，电信和互联网提供商成为其重点攻击对象，更不乏有掺杂政治因素的俄乌对抗事件，对网络空间构成了更多不可预测的威胁。（详情参见完整报告）

• 针对软件行业的攻击

2022年下半年，软件行业一跃成为除政府、军工行业外第三大目标行业。黑客组织除了直接针对软件行业巨头公司以外（如UNC2447组织通过窃取思科员工的凭证开展攻击活动），大多数攻击利用了软件公司的产品或服务漏洞进行攻击，如LV组织利用Microsoft Exchange漏洞攻击约旦公司，Kimsuky组织借助IBM公司的产品投递BabyShark恶意软件等，还有一些利用了大型开源软件或社区的软件包进行供应链攻击，如APT组织ZINC利用武器化开源软件针对多国进行攻击，CuteBoi团伙利用NPM包进行大规模挖矿活动等。

• 针对教育行业的攻击

教育行业一直是APT组织攻击的热门目标，尤其是高校和科研机构。从2022的攻击事件来看，针对教育行业的攻击已超过金融行业，位列第四。除了勒索攻击以经济利益为目标外，很多针对科研机构的攻击都是以窃取科研成果，重要技术信息为目的。

2022年下半年，朝鲜黑客组织Lazarus组织在11月份攻击了韩国的西江大学，采用模板注入方式下载恶意工具以窃取信息；印度白象组织APT-C-09利用BADNEWS远控木马攻击了中国的科研院校；Vice Society组织利用多种勒索软件如BlackCat、QuantumLocker攻击全球（尤其为美国）教育行业；活跃于南亚的APT组织Patchwork从去年开始针对多国科研目标进行了一系列渗透攻击活动。

• 针对金融行业的攻击

APT组织TA505（别名Evil Corp、Gold Drake、Dudear、Indrik Spider和SectorJ04）是一个俄罗斯网络犯罪集团，近年来与许多勒索软件活动有关。9月份，该组织使用名为TeslaGun的控制面板来操纵ServHelper后门，并作为C2来控制受感染的机器。Proofpoint研究人员在下半年还发现TA4563黑客组织利用Evilnum恶意软件攻击欧洲金融和投资实体的恶意活动，尤其针对那些支持外汇、加密货币和去中心化金融的业务实体。

勒索软件攻击

由于不仅存在专注于获取经济利益的勒索团伙及其附属机构，并且越来越多的黑客乃至专业的APT组织都开始使用勒索软件以实现简单高效的数据盗取目的，勒索软件在2022年下半年依然保持着极高的网络攻击市场占有率。（详情参见完整报告）

纵观2022年，随着俄乌战争的发展，地缘政治冲突导致的APT攻击事件仍然占主导地位，政治、军事目标依然是国家级黑客组织攻击的重要标地。预计2023年，虽然国际政治局势有可能缓和，但是地缘政治冲突背后的大国博弈依然暗潮汹涌，政府、军工必将还是黑客组织争夺的攻击目标。相比于2021年，2022年金融行业的攻击占比有所下降，但教育、软件、医疗、能源、工控、云服务等行业的攻击却不断增多，说明黑客组织的攻击格局已经全面打开，向着越来越广泛的行业和目标发展。

以经济利益为根本动机的勒索软件组织或团伙近年来得到飞速发展，其业务模式已形成一定规模，并逐步进入成熟发展阶段。2022年多个大型勒索软件组织或团伙如LockBit、Cuba、 BlackCat、BianLian等频繁在暗网上发布其盗取的公司数据，并公然索要赎金。同时由于勒索软件RaaS模式的盛行，加之附属组织的积极推广，又涌现出很多中小型勒索团伙。勒索软件的肆虐发展，已经对全球产业造成了巨大的经济损失，预计在2023年，这一势头仍将扩大。

综上所述，从2022年全年来看，地缘政治、经济利益仍是网络攻击的根本动机，以钓鱼仿冒技术为切入点，以漏洞利用或木马后门为攻击手段的APT攻击事件增长迅速。天际友盟提醒网络安全人员采取针对性措施，及时部署防御、检测和响应方案，以应对日益严重的网络威胁环境。

以上为《2022年下半年全球主要APT攻击活动报告》的部分节选内容，点击文末阅读原文获取完整报告。