1、主要观点/全球高级持续性威胁（APT）2023 年中报告2023 年上半年全球范围内，政府部门仍是 APT 攻击的首要目标，相关攻击事件占比为 30%，其次是国防军事领域，相关事件占比 16%。与去年同期相比，教育、科研领域相关的攻击事件比例增高，占比分别为 11%和 9%。2023 年上半年涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。2023 年上半年，全球高级威胁活动呈现出以下特点：针对移动平台 iOS/Android 的 0day 攻击逐渐增多，相关攻击团伙的技术实力积累雄厚或者背靠国家机器；路由器、防火墙等网络边界设备成为 APT组

2、织攻击的主要目标之一，如海莲花、APT28 通常会攻击一些存在漏洞的网络边界设备。被攻陷的网络设备一方面可以作为 C2 的转发器，用于隐藏攻击者的真实 IP，另一方面也可以作为攻击入口进行更深入的横向移动。上半年内，我们观察到境外黑客组织在针对中国的APT攻击活动中大量使用了0day以及Nday漏洞。6月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用iOS系统中iMessage信息服务的0-Click 0day 漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级 APT 攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于 2019 年，

3、且涉及国内大量受害者。2023 年上半年，在野 0day 漏洞的利用情况同比 2022 年有所上升，漏洞数量接近 30 个左右。在漏洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势微的情况，今年三家厂商在曝出的在野 0day 漏洞数量上呈现出真正意义上的三足鼎立。全球高级持续性威胁（APT）2023 年中报告主要观点M A I N P O I N T S全球高级持续性威胁（APT）2023 年中报告摘要/全球高级持续性威胁（APT）2023 年中报告2023 上半年，奇安信威胁情报中心使用奇安信威胁雷达对境内的 APT 攻击活动进行了全方位遥感测绘。监

4、测到国内大量 IP 地址与数十个境外 APT 组织产生过高危通信行为，疑似被攻击。广东省受境外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。基于奇安信威胁雷达的测绘分析，海莲花、毒云藤、Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus等组织在 2023 上半年对我国攻击频率最高。我国境内疑似受其控制的 IP 地址比例分别为：毒云藤 27%，海莲花 15%，Winnti 14%，蔓灵花 8%，APT-Q-27 7%，响尾蛇 6%，Lazarus 6%。本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴

5、团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2023上半年，我国政府部门、能源、科研教育行业遭受高级威胁攻击情况突出，受影响行业中排名前五的分别是：政府 33%，能源 15%，科研教育 12%，金融商贸 11%，科技 7%。2023 上半年奇安信威胁情报中心收录了 177 篇高级威胁类公开报告，涉及 64 个已命名的攻击组织或攻击行动。其中，提及率最高的五个APT组织分别是：Kimsuky 8.8%，Lazarus 8.0%，Group123 7.4%，SideCopy 5.6%，Gamaredon 4.3%。2023 上半年全球 APT

6、活动的首要目标仍是政府部门和国防军事行业，相关攻击事件占比分别为30%和 16%，紧随其后的热点攻击行业是教育、科研、金融、医疗、通信等领域。2023 上半年的在野漏洞利用中，以浏览器为攻击向量依然是主流趋势，Chrome、Safari 浏览器与对应平台 Windows、macOS、iOS 下的提权逃逸漏洞占所有漏洞近 8 成。0day 漏洞利用逐渐成为勒索团伙武器库的备选项。奇安信威胁情报中心在多起利用重要漏洞的攻击行动披露后第一时间跟进调查，发现有些攻击发起时间比预估更早（比如 Outlook 会议预约漏洞），或者影响范围更大（比如 iOS 的iMessage 漏洞涉及大量国内受害者）。关