1、2022 年全球高级持续性威胁（APT）态势报告中国信息安全测评中心2023 年 4 月I说 明互联网的快速发展，将网络空间与政治、经济、文化、社会、军事等国家安全领域紧密联系起来。5G、云计算、物联网、工业互联网等新兴技术发展助推网络攻击的深化泛化。随着网络攻击的发展和国际局势的加剧，组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化，高级持续性威胁（APT）攻击成为网络空间突出风险源。2013 年，网络安全行业发布第一份 APT 分析报告。至今，APT 分析已走过十个年头，APT 网络攻击图景也在不断更新迭代。各类 APT 组织犹如正规网络部队之外的“散兵游勇”，组织结构不断分化重组，

2、攻击手段持续迭代升级，成为网络空间不容忽视的破坏性力量。当前，APT 已是网络空间中社会影响最广、防御难度最高、关联地缘博弈最紧密的斗争形态，直接影响现实国家安全，更是国际关系中的重要议题。中国信息安全测评中心长期跟踪、研究 APT 态势，此次联合网络安全行业以 2022 年全球 APT 活动分析为切入点，基于开源数据和公开报道开展态势评估，研判 APT 组织发展趋势、攻击手法、演进方向等。由于 APT 组织及其活动的复杂敏感性，本报告必然存在疏漏，供同行再作补充完善！II在报告编制过程中，中国信息安全测评中心得到下列专家和机构的鼎力协助，致以诚挚感谢。指导专家汪列军（奇安信威胁情报中心）吴铁

3、军（绿盟科技“伏影”实验室）孙岩炜（北邮网络空间安全学院）周欣（深信服科技股份有限公司）孟召瑞（科来网络技术股份有限公司）参编单位奇安信威胁情报中心绿盟科技“伏影”实验室360 高级威胁研究院深信服科技股份有限公司北京微步在线科技有限公司北邮网络空间安全学院安恒信息技术有限公司科来网络技术股份有限公司北京中睿天下信息技术有限公司中国信息安全杂志社版权声明本报告版权属于中国信息安全测评中心，并受法律保护。转载、摘编或利用其它方式使用本报告中的文字、图片或观点的，应注明来源，违者将被追究法律责任。III目 录说明.I要点.6一、一、2022 年全球年全球 APT 态势图景态势图景.8（一）总体概览

4、.81.攻击数量增长.82.目标区域拓展.83.目标机构泛化.94.攻击组织多源.10（二）地区热点激化.111.俄乌冲突激化 APT 攻击全域展开.112.东北亚安全局势推动 APT 组织“高位运转”.143.印巴冲突刺激 APT 组织“缠斗”.154.中东矛盾推动 APT 攻击军事化.16（三）疫情持续影响.171.形成疫情属性的社会工程攻击模式.182.疫情带动的远程办公助推攻击常态化.183.刺激 APT 组织转向经济目标.19二、我国是二、我国是 APT 主要受害国主要受害国.20（一）攻击数量持续增加.201.境内受控 IP 数量增加.212.攻击组织来源多样化.22（二）攻击手段

5、日益复杂化.231.“专门定制”对我网攻工具.232.检测规避手法日益精进.243.攻击凭借日益复杂隐蔽.24（三）攻击目标呈现弥散特点.251.重点攻击政府、科研、金融等关键信息基础设施.252.经济发达省份和政治中心仍是主要目标地区.26（四）美国对我网攻愈演愈烈.27IV1.潜伏时间长.272.“后门”利用多.283.攻击目标“精”.284.跳板部署广.28三三、典型手法、典型手法.30（一）传统攻击流程现“新招”.301.侦察：泄露数据库成为新切入点.302.入侵：社交媒体钓鱼持续盛行，水坑攻击巧用流量推广.313.执行：反检测与绕过技术推陈出新，新类型木马大量涌现.324.横向移动：

6、敏感服务仍为众矢之的，CS 工具被逐步替代.355.命令控制：IoT 设备与公共内容平台成为重要跳板.366.渗出：商业服务与网络代理被广泛使用.37（二）伪装手段盛行.381.设置假旗（False Flag）.382.利用 Web 服务隐藏.393.精准识别受害人身份.394.开展跨系统、跨平台攻击.405.滥用合法凭证.40（三）漏洞利用成为重要切入点.411.零日漏洞利用.412.在野漏洞利用.413.供应链漏洞利用.42四四、2022 年重点组织概览年重点组织概览.43（一）传统组织新动向.431.“毒云藤”改进定向钓鱼.432.“海莲花”提升免杀技巧.433.“拉撒路”更新恶意软件感