网络安全综合态势观察手册 安恒信息中央研究院、神盾局科创板：688023 杭州安恒信息技术股份有限公司 DBAPPSecurity Co., Ltd. 官网：www.dbappsecurity.com.cn 电邮：[email protected] 客服专线：+86-400-6059-110 地址：杭州市滨江区西兴街道联慧街188号安恒大厦 座机：0571-88380999/28860999 传真：0571-28863666杭州总部 科创板：688023 ©安恒信息 V.20230112宣传品安恒信息官方微信杭州2022年第19届亚运会官方网络安全服务合作伙伴Make security more intelligent Make intelligence more secure安恒信息中央研究院数据研究 本报告由 安恒信息中央研究院 与 神盾局 联合编辑 猎影实验室 零壹实验室 回声实验室 析安实验室 卫兵实验室 神盾局APT态势态势预测分析总结 漏洞态势 网络勒索分析网站篡改监测 网络犯罪生态研究网络空间资产测绘前 言 《2022年度网络安全综合态势观察手册》 由安恒信息 多团队联合编辑完成，包 括：猎影实验室、零壹实验室、回声实验室、析安实验室、卫兵实验室、神盾局。 猎影实验室负责《2022年高级威胁态势研究报告》和《2022年全球勒索软件态 势报告》，零壹实验室负责《2022年网页篡改监测分析报告》，回声实验室负责 《2022年全球网络资产分布报告》，卫兵实验室负责《2022漏洞全年态势报告》， 神盾局负责《2022年网络赌博犯罪生态节点》，以上6个报告从APT态势分析、勒索 团伙总结、漏洞全年态势、全球网络资产测绘、网页篡改监测数据、网络犯罪生态等 角度，其中各报告数据不乏其他团队合作支撑，希望更全面地帮助大家纵观和了解 2022年度网络安全综合态势情况。目 录 001 003 004 051 080 087 087 089 091 092 095 112 117 122 128 129 130 131 133前言 《2022年高级威胁态势研究报告》 引言 一、高级威胁篇 二、恶意团伙活动篇 三、2022在野0day漏洞篇 总结 附录 《2022年全球勒索软件态势报告》 引言 一、全年攻击态势 二、勒索团伙 三、勒索攻击特点 四、攻击事件 五、勒索态势研判预测 总结 《2022漏洞全年态势报告》 一、漏洞趋势 二、漏洞爆发点 三、TOP10热门漏洞回顾135 136 137 140 142 145 147 148 149 151 153 154 158 159 159 162 165 175 178 183《2022年网页篡改监测分析报告》 一． 报告概览与要点 二． 2022年网页篡改事件概览 三． 黑灰产攻击手法进化解析 四． 黑灰产引流手法进化 五． 黑客团伙分析的对抗意识也在变强 六． 防范措施与建议 《2022年全球网络资产分布分析报告》 一、2022年全球IP资产数据统计 二、2022年全球漏洞影响资产分布 三、2022年DNS域名趋势 四、2022年全球重点高风险资产统计 《2022年网络赌博犯罪生态节点》 一、网络赌博犯罪生态节点概述 二、网络赌博犯罪技术解构 三、网络赌博犯罪勾连环节关键节点 四、网络赌博犯罪建站环节关键节点 五、网络赌博犯罪引流环节关键节点 六、网络赌博犯罪结算环节关键节点 团队介绍 高级威胁篇 2022年高级威胁态势研究报告 - 001 - - 002 - 高级威胁态势研究报告高级威胁态势研究报告 安恒信息中央研究院-猎影实验室引言 一、高级威胁篇 二、恶意团伙活动篇 三、2022在野0day漏洞篇 总结 附录2022年全球高级持续性威胁综述 地缘下的高级持续性威胁活动 2023年高级持续性威胁趋势预测 勒索团伙 雇佣黑客团伙 黑灰产团伙 黑客行动主义团伙 新披露黑客团伙 2023年恶意团伙趋势预测 重点趋势 2023年在野0day趋势预测新披露的APT组织描述 俄乌冲突下的网络战场 美方对我国的网络攻击 印巴情报活动持续升级 冲击IoT设备的东南亚组织 韩朝关于金融的胃口饕餮 鱼龙混杂的中东地区 2022年六大活跃勒索团伙 今年新发现的勒索家族 针对我国的勒索家族 1. 提权0day数量维持高位，且多点开花 2. 微软仍然是0day攻击的头号目标 3. 浏览器仍然是重灾区 4. 针对Chrome的0day攻击有所回落 5. 操作系统0day比例显著上升 6. Exchange 0day攻击事件再次发生 7. 以Office为载体的逻辑漏洞再次出现003 004 004 006 012 012 028 030 035 036 041 046 051 051 052 056 056 057 062 071 074 077 080 082 082 083 084 084 085 085 086 086 087 087- 003 - - 004 -高级威胁篇 2022年高级威胁态势研究报告 引 言 2022年，全球地缘政治冲突升级，世界进入新的动荡变革期。正在进行的俄乌战争对网络环境造成了前 所未有的影响。互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显，网络霸权主义对世界和平 与发展构成新的威胁。网络战场带来的风险与以往相比，变得更加严重和不可控。 安恒信息猎影实验室根据对2022全年的高级威胁攻击事件、恶意团伙的攻击活动以及在野0day漏洞的分 析，发布《2022年高级威胁态势研究报告》。2022年网络空间态势呈现出以下特点： 1.根据安恒信息猎影实验室对2022年全球高级威胁组织相关报告的统计，来自东亚地区的Lazarus组 织、东欧地区的Gamaredon组织，以及南亚地区的Transparent Tribe组织最为活跃，占比排名前三。 2.APT组织的攻击活动持续受动荡的世界局势影响，呈现以下特点： ·东欧地区高级威胁组织在网络方面进行的攻击活动创造了历史新高，相较2021年新增3倍之多。 ·2022年是美方对中国网络攻击行动被集中披露的一年，包括年初披露的Bvp47后门，以及年中的“美 国攻击中国西北工业大学”事件。 ·南亚地区的Patchwork，Bitter，Sidewinder，Confucius组织依然保持着极高的活跃性。 ·海莲花针对IoT设备频繁展开攻击活动。攻击者利用0day、1Day和NDay漏洞攻击国内外的IoT设 备，并使用Buni、Torii等特马长期控制着这些设备。 ·Lazarus是东亚地区攻击方式最多样、恶意活动最频繁、技术复杂度最高的组织。 ·在中东地区监测到的APT攻击的主要活动范围为伊朗、以色列，及其周边地区。猎影实验室今年在中 东地区的威胁狩猎中发现了两个新的威胁组织，分别为Cunning Kitten（APT-LY-1002）和OceanDoge （APT-LY-1003）。 3.2022年，研究人员披露了多个来自南亚地区的新APT组织，其中疑似来自印度的ModifiedElephant 组织和暗象组织都已存在至少十年。可见，来自印度的APT组织具有极强的攻击能力和隐蔽技巧，且一直在 暗中窥探我国重要部门的情报。 4.本年度，勒索攻击仍在稳定持续地发生，LockBit组织取代Conti成为在2022年攻击活动最频繁的团 伙。此外，从事挖矿、盗刷、博彩等相关活动的网络犯罪团伙在今年也较为活跃，被攻击的对象从个人到组 织，从服务器到云主机都有所涉及。 5.受俄乌战争的影响，2022年出现了立场明确的黑客行动主义团伙。亲俄罗斯的Killnet组织和支持乌克 兰的匿名者团伙在今年异常活跃。 6.根据安恒猎影实验室的统计，截止2022年12月初，全球厂商全年一共披露主流厂商的在野0day37 个。其中CVE-2022-37969这个Windows内核提权在野0day由安恒猎影实验室捕获并披露。高级威胁篇 本年度，我们共收录367篇关于2022年全球高级威胁组织相关攻击事件及工具分析的报告，根据对相关报告 的统计，来自东亚地区的Lazarus组织、Kimsuky组织以及东欧地区的Gamaredon组织最为活跃，占比排 名前三。受错综复杂的世界局势影响，来自俄罗斯的APT组织攻击活动在2022年异常活跃。以APT28、 APT29以及Gamaredon为首的APT组织是俄罗斯在俄乌的网络空间博弈中的主要作战力量。俄乌冲突的网 络攻击以数据擦除破坏攻击和分布式拒绝服务攻击（DDoS）为主。APT组织使用“WhisperGate”、 “HermeticWipe”、“IsaacWiper”等数据擦除恶意软件来破坏目标组织的数据，并通过DDoS攻击使关 键基础设施部门网络瘫痪，从而在实体开战前起到威慑作用、在冲突爆发后影响社会秩序。2022年全球高级持续性威胁综述 Lazarus 11.03% Gamaredon 7.83% Kimsuky 7.12% Transparent Tribe 6.05% APT29 5.34% OceanLotus 4.63% Bitter 3.56% Charming Kitten 3.56% SideWinder 3.2% Patchwork 2.85%Sandworm 2.49%MuddyWater 2.14%APT-C-23 1.78%NSA 1.78%SaintBear 1.78%APT28 1.42%Lyceum 1.42%Tur