近日，奇安信威胁情报中心发布《全球高级持续性威胁（APT）2023年中报告》，该报告通过分析奇安信威胁雷达对 2023 上半年境内的 APT 攻击活动的全方位遥感测绘数据，展示了我国境内 APT 攻击活动及高级持续性威胁发展趋势，并结合开源情报分析了全球范围内高级持续性威胁发展变化及特点，发现政府部门、国防军事领域仍是 APT 组织的首要攻击目标。与去年同期相比，教育、科研领域相关的攻击事件所占比例有所增高。

涉及我国政府、能源、科研教育、金融商贸的高级威胁事件占主要部分，其次为科技、国防、卫生医疗等领域。根据观察，境外黑客组织在针对中国的APT攻击活动中大量使用了 0day 以及 Nday 漏洞。6 月初，国外安全厂商卡巴斯基披露了一个针对全球范围内利用 iOS 系统中 iMessage 信息服务的 0-Click 0day 漏洞攻击。我们从该攻击的目标范围、复杂度、攻击技术和跨越时间来看，这是近十年内最顶尖的国家级 APT 攻击活动。通过我们的关联分析和确认，推测该攻击活动至少开始于 2019 年，且涉及国内大量受害者。

漏洞方面，2023 年上半年在野 0day 漏洞的利用情况同比 2022 年有所上升，漏洞数量接近 30 个左右。在漏洞涉及产品的供应厂商中，微软、谷歌、苹果的地位依然稳固，但是相较往年微软、谷歌势强而苹果势微的情况，今年三家厂商在曝出的在野 0day 漏洞数量上呈现出真正意义上的三足鼎立。

按照以往惯例，本报告最后从地域空间的角度详细介绍了各地区的活跃 APT 组织及热点 APT 攻击事件。

摘要

• 2023 上半年，奇安信威胁情报中心使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘。监测到国内大量IP地址与数十个境外 APT 组织产生过高危通信行为，疑似被攻击。广东省受境外 APT 团伙攻击情况最为突出，其次是北京、上海、浙江等经济发达地区。此外，监测发现中国香港地区也存在一定数量的受害目标。

• 基于奇安信威胁雷达的测绘分析，海莲花、毒云藤、Winnti、蔓灵花、APT-Q-27、响尾蛇、Lazarus 等组织在 2023 上半年对我国攻击频率最高。我国境内疑似受其控制的IP地址比例分别为：毒云藤 27%，海莲花 15%，Winnti 14%，蔓灵花 8%，APT-Q-27 7%，响尾蛇 6%，Lazarus 6%。

• 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2023 上半年，我国政府部门、能源、科研教育行业遭受高级威胁攻击情况突出，受影响行业中排名前五的分别是：政府 33%，能源 15%，科研教育 12%，金融商贸 11%，科技 7%。

• 2023 上半年奇安信威胁情报中心收录了 177 篇高级威胁类公开报告，涉及 64 个已命名的攻击组织或攻击行动。其中，提及率最高的五个 APT 组织分别是：Kimsuky 8.8%，Lazarus 8.0%，Group123 7.4%，SideCopy 5.6%，Gamaredon 4.3%。

• 2023 上半年全球 APT 活动的首要目标仍是政府部门和国防军事行业，相关攻击事件占比分别为 30% 和 16%，紧随其后的热点攻击行业是教育、科研、金融、医疗、通信等领域。

• 2023 上半年的在野漏洞利用中，以浏览器为攻击向量依然是主流趋势，Chrome、Safari 浏览器与对应平台 Windows、macOS、iOS 下的提权逃逸漏洞占所有漏洞近 8 成。0day 漏洞利用逐渐成为勒索团伙武器库的备选项。奇安信威胁情报中心在多起利用重要漏洞的攻击行动披露后第一时间跟进调查，发现有些攻击发起时间比预估更早（比如 Outlook 会议预约漏洞），或者影响范围更大（比如 iOS 的 iMessage 漏洞涉及大量国内受害者）。

•