2024年上半年全球主要APT攻击活动报告

活动报告 contents目录 概述01 2024 年上半年，天际友盟持续对 APT 组织及其活动进行追踪总结，总共披露了全球 100 个 APT 组织的 187 起攻击活动，通过对其中出现的威胁组织及 TTP 的具体分析，我们总结出 2024 年上半年 APT 组织活动攻击特点如下： 地缘政治类 APT 攻击活动拥有核心地位 从全局来看，2024 年上半年，国际环境愈加复杂，地缘政治紧张局势在一定程度上加速了国家级 APT 组织的崛起与发展。在此期间，俄乌战争和巴以武装对抗持续进行，亚太、中东和欧美三大地区的主要国家普遍拥有更高的科技水平和强大的国家级 APT 组织实力，这些地区间存在长期的政治博弈，因此，地缘政治驱动的 APT 活动在这些区域中占据了核心地位。 针对我国的 APT 组织呈现多元化攻击特点 从攻击国家来看，中国在 2024 年上半年仍然是 APT 组织的首要目标。各 APT 组织也展示了不同的攻击特征和目标。例如，高度活跃的银狐团伙主要借助即时通讯工具、搜索引擎瞄准财务人员；新出现的黑产组织“amdc6766”主要通过供应链投毒针对运维人员；“FaCai”团伙则利用热点事件对国内企事业单位展开定向攻击。此外，还有专门以间谍活动为目的的知名 APT 组织，如印度的“BITTER”和“SideWinder”，通过鱼叉式网络钓鱼和漏洞利用等手段，渗透中国的军事、科研和制造等关键领域。这些多样化的 APT 活动对我国政府、军事、通信等领域网络安全构成了严峻挑战。 APT 组织实力增强，零日漏洞利用率大幅提升 从 攻 击 手 段 来 看，2024 年 上 半 年， 多 个 APT 组 织（ 如 UAT4356、UTA0178 和 UNC5221） 成 功 利 用Microsoft、Aiohttp、Palo Alto Networks 和 Cisco 等知名公司产品的零日漏洞，发起了多起网络攻击。这些攻击不仅展示了攻击者在技术上的成熟度，还反映出 APT 组织的整体实力和技术能力显著增强。 002 䎃♳⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ AI 或将与网络钓鱼联系得更加紧密 从未来发展来看，随着人工智能（AI）技术在金融、医疗、法律等诸多行业的广泛应用，AI 系统成为了处理大量敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络钓鱼等手段，获取对 AI 系统的访问权限，以便进一步窃取或操控关键信息。已经发现有组织如 UNK_SweetSpecter 组织利用了与 AI 相关的主题作为诱饵邮件，针对美国 AI 研究机构投递 SugarGh0st RAT。此外，AI 技术本身也在被用于增强网络钓鱼攻击的效果。随着技术的发展，未来网络钓鱼攻击与 AI 技术的结合可能会成为一个新兴趋势。这意味着黑客可能会利用 AI 来优化钓鱼邮件的个性化程度，或者使用 AI 生成的深度伪造技术（deepfake）来模拟真实的人物或场景，以此欺骗目标人群。 APT 组织攻击数据披露02 天际友盟根据自有平台 RedQueen 中记录的 187 起 APT 攻击事件（主要涵盖知名组织及有影响力的攻击），对2024 年上半年 APT 组织攻击数据进行披露如下： 2.1 Top10 活跃组织 2024 年上半年 TOP 10 活跃 APT 组织统计如下： 图 1 显示，2024 年上半年，朝鲜 APT 团伙 Kimsuky 在攻击频率上位居榜首，重点攻击中国财务人员的银狐团伙势头正猛，依然稳坐第二名，另外一个朝鲜组织 Lazarus 活动频率显著下降，相反俄罗斯 APT28 组织活动明显增多，两者并列第三。较 2023 年而言，巴基斯坦 Transparent Tribe 组织活动有所增加，现排名第四。此外，新兴黑产团伙 amdc6766 也开始崭露头角，对软件供应链行业构成巨大威胁。 002 䎃♳⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 2.2 Top10 攻击目标 2024 年上半年 APT 组织攻击的目标国家 TOP 10 统计如下： 根据图 2 数据显示，2024 年上半年我国继续成为 APT 攻击的首要目标国，俄罗斯和美国并列第二，印度和韩国地区的排名有所上升，升至第三位。与此同时，乌克兰和以色列因各自持续的战争状态，目前排名第四。从整体分布来看，APT 活动依旧集中在亚太、中东和欧美三大地区，这表明地缘政治的影响在网络空间中仍然非常显著。 2.3 Top10 攻击行业 2024 年上半年 APT 组织攻击的目标行业 TOP 10 统计如下： 根据图 3 数据发现，涉及通信和软件信息技术行业的攻击事件占比为 25.33%，其次政府和国防军工部门分别占比 17.90% 和 12.66%。相较于 2023 年，金融攻击事件有所增加，占比 9.17%，升至第四位。 2.4 主要攻击手段 图 4 显示，APT 组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过，相较上半年而言，供应链攻击和社会工程学活动明显增多。表 1 详细列出了 2024 年上半年 APT 组织最频繁利用的漏洞，以及它们所针对的厂商和软件产品。 002 䎃♳⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 2024 年上半年，软件供应链的安全形势依然严峻。根据表一的数据，APT 组织主要通过利用知名软件厂商产品中的漏洞，尤其是零日漏洞，作为入侵目标系统的主要手段。具体而言，微软公司的 Office 套件和 Windows 操作系统是首要攻击目标。APT 组织频繁利用这些软件中的未修复漏洞，进行各类复杂的攻击活动。此外，Ivanti 公司的产品也成为 APT 组织高度关注的另一个重要攻击目标，其多款产品频繁遭受攻击。为了提升攻击成功率，APT 组织往往结合社会工程学手段，精心设计钓鱼邮件和恶意文档，诱使用户点击和执行恶意代码，从而实现对系统的全面控制。 重大 APT 攻击活动03 3.1 地缘政治活动 2024 年上半年，全球网络空间安全形势日益复杂，国家级 APT 攻击呈现出前所未有的严峻态势。这些攻击行为通常由一个或多个国家提供支持，拥有充足的资金、先进的技术和高素质的人才队伍。攻击者能够利用复杂的技术手段，跨越地理疆界，在虚拟空间中进行精准打击，使得国际网络空间安全成为了一场无声但激烈的较量。这类攻击不仅对国家安全构成重大威胁，还给商业实体和公民个人信息安全带来了巨大挑战。接下来，我们将从地缘政治的角度，重点关注亚太、中东和欧美三大地区的网络安全态势，分析主要国家的 APT 攻击活动特点及其潜在影响。 3.1.1 亚太地区 亚太地区作为全球经济增长的重要引擎和科技创新的前沿阵地，其复杂的地缘政治格局和快速发展的数字经济环境，使之成为国家级 APT 攻击的重点关注区域。在这一区域，APT 攻击呈现出高度精准、持续性强和战略目标明确的特点，主要针对政府机构、关键基础设施、高新技术企业以及金融机构等高价值目标。 在亚太地区，APT 活动的主要目标国家包括但不限于中国、韩国、印度等地区大国和新兴经济体。这些国家由于在地区事务中扮演重要角色，且拥有先进的科技实力，因此成为 APT 攻击的重点目标。 3.1.1.1 针对我国 我国作为全球第二大经济体，其庞大的市场和复杂的网络环境使其成为 APT 组织的首选目标。攻击活动不仅针对政府、军事、科研、金融，还扩展到通信、建筑、制造等关键基础设施。近期，针对我国的 APT 活动呈现多元化趋势，各组织展现出不同的攻击特征和目标。除了以财务人员为主要目标的银狐团伙，还出现了 amdc6766 新黑产组织，其通过供应链攻击针对运维人员；FaCai 团伙则利用热点事件对国内企事业单位进行定向攻击。同时，以间谍活动为目的的知名 APT 组织，如印度的 BITTER 和 SideWinder，正通过鱼叉式网络攻击和漏洞利用等手段，渗透我国军事、科研和制造等关键领域。这些多元化的 APT 活动对我国网络安全构成严峻挑战。 2024 年 1 月，amdc6766 黑产组织利用多种攻击手段，包括仿冒官方软件网站页面 (AMH、宝塔、Xshell、Navicat)、供应链投毒 (LNMP、OneinStack) 和公开 web 漏洞等，针对性地对 IT 运维人员进行攻击。一旦运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，便会与攻击者的 C2 服务器建立 DNS 隧道连接。通过定向投毒运维部署工具，amdc6766 长期远控低价值主机作为肉鸡，然后择机选择高价值目标进行深度控制。随后下发 Rootkit 和代理工具，伺机从事各类黑产活动，进而给用户造成损失。 1 月 -6 月，银狐黑产团伙通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接 URL，伪装成知名软件安装包、国家税务总局等方式，通过财务相关以及核酸检测退费等热点事件进行针对性的传播。其攻击对象主要为企业单位中的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。期间，值得一提的是广州某科技公司开发的一款终端安全管理软件 IP-**ard 还被攻击者灵活打包后进行投放，用作远控工具。 1 月中旬，印度 BITTER 组织试图通过鱼叉式钓鱼攻击手段投递 wmRAT 后门程序，以窃取我国军事机密。 002 䎃♳⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 1 月末，Blackwood 组织使用名为 "NSPX30" 的复杂恶意软件对包括中国科研院校、制造、贸易、工程等领域的公司和个人进行网络间谍攻击。通过实施 AitM 攻击，即劫持 WPS Office、腾讯 QQ 即时通讯平台和搜狗拼音文档编辑器等合法软件的更新请求来传播 NSPX30 恶意软件，同时将拦截 NSPX30 生成的流量，以隐藏其活动及 C2 服务器。 2 月末，UTG-Q-007 新黑客团伙针对中国等亚洲国家的建筑、房产营销、互联网等多个行业发起攻击并传播ROTbot 木马以窃取加密货币、知识产权、社交账号等敏感数据。 3 月，主要针对中国的个人用户实施网络间谍活动的 Daggerfly 组织采用水坑攻击和供应链攻击手段下发伪装为藏语翻译软件的木马安装程序，进一步部署 MgBot 后门以及新型后门 Nightdoor。 4 月，越南新黑客团伙 CoralRaider 对包括中国在内的国家发动数据窃取活动。月末，FaCai 团伙围绕“违规处罚”、“清明节调休”、“征信黑名单”等关键词命名诱饵文件，对国内企事业单位发起钓鱼攻击，并最终投递 Gh0st 木马。 5 月，Timitator 新威胁组织采取鱼叉式钓鱼、历史漏洞利用等方式获取主机初始访问权限，并使用了一种新的由 RUST 语言编写的远控工具对我国的能源、高校、科研机构及军工等行业进行攻击。5 月末，东亚新团伙UTG-Q-010 使用与游戏、AI 相关的内容针对中国用户发起钓鱼攻击。 6 月末，印度 SideWinder 组织使用大量新的攻击组件以及可影响 office 2007、2013、2016 等办公软件的历史漏洞 CVE-2017-11882，来窃取对国内高校和政府机构的机密数据。 3.1.1.2 针对韩国 朝鲜与韩国之间的政治关系依然紧张且不稳定，尽管偶尔存在对话与合作的迹象，但两国之间的深层次分歧和历史遗留问题使得两国关系时常处于紧张状态，军事对峙和外交摩擦持续影响着朝鲜半岛的稳定。两国间发生了一系列网络攻击事件，但目前披露的 APT 事件主要集中于韩国一方。 其中，具有朝鲜国家背景的 APT37、Kimsuky、Lazarus 及其子组织（如 Andariel）是主要的攻击力量。它们的攻击目标涵盖了韩国的政府、金融、数字货币领域及学术界，尤其是与朝鲜政治、人权和安全相关的个人和组织。攻击者采用了多种技术手段，包括社会工程学、鱼叉式网络钓鱼、利用云存储服务作为攻击平台、伪装合法软件以及利用合法软件更新机制植入后门等