【奇安信】全球高级持续性威胁（APT）2023年中报告

2023年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。

2023年上半年，全球高级威胁活动呈现出以下特点：针对移动平台iOS/Android的0day攻击逐渐增多，相关攻击团伙的技术实力积累雄厚或者背靠国家机器；路由器、防火墙等网络边界设备成为APT组织攻击的主要目标之一，如海莲花、APT28通常会攻击一些存在漏洞的网络边界设备。被攻陷的网络设备一方面可以作为C2的转发器，用于隐藏攻击者的真实IP，另一方面也可以作为攻击入口进行更深入的横向移动。

奇安信威胁情报中心发布《全球高级持续性威胁（APT）2023年中报告》，该报告通过分析奇安信威胁雷达对2023上半年境内的APT攻击活动的全方位遥感测绘数据，展示了我国境内APT攻击活动及高级持续性威胁发展趋势，并结合开源情报分析了全球范围内高级持续性威胁发展变化及特点，发现政府部门、国防军事领域仍是APT组织的首要攻击目标。与去年同期相比，教育、科研领域相关的攻击事件所占比例有所增高。

涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。根据观察，境外黑客组织在针对中国的APT攻击活动中大量使用了0day以及Nday漏洞。6月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用iOS系统中iMessage信息服务的0-Click0day漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级APT攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于2019年，且涉及国内大量受害者。

漏洞方面，2023年上半年在野0day漏洞的利用情况同比2022年有所上升，漏洞数量接近30个左右。在漏洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势微的情况，今年三家厂商在曝出的在野0day漏洞数量上呈现出真正意义上的三足鼎立。

按照以往惯例，本报告最后从地域空间的角度详细介绍了各地区的活跃APT组织及热点APT攻击事件。