网络安全威胁2024年中报告

主要观点 M A I NP O I N T S 上半年内，涉及我国的高级持续性威胁事件主要在信息技术、政府、科研教育领域，受害目标集中在广东等地区。除了已知的 APT 组织外，本报告还将提及我们观察到的多个持续针对国内重点目标的未知威胁组织（UTG）——尽管有些威胁组织我们清楚攻击者的目的和所在地区，但目前无法归属到背后具体的攻击实体。这些 UTG 组织的攻击活动涉及新能源、低轨卫星、人工智能、航天航空等多个领域，甚至通过入侵跨国公司的境外基础设施作为立足点向中国境内的办公点进行横向移动。 2024 上半年全球范围内活跃的勒索软件家族数量众多，新型勒索软件和变种不断出现，一些稍具规模的勒索团伙大多采用“双重勒索”的攻击模式。勒索软件的投递使用多种手段，包括漏洞利用、借助其他恶意软件和远程管理工具、软件伪装等。不少针对企事业单位的勒索攻击往往结合了精心的渗透过程，一些新兴勒索软件采用以往的恶意代码，攻击虚拟化环境的勒索软件逐渐增多。 不法分子利用网络渠道和技术手段从事游走在法律监管之外的牟利活动，从而形成互联网黑色产业链，危害网络安全。这些黑产团伙的攻击手法工具、攻击目标各不相同，但最终目的都是为了获取经济利益。他们之中有的共用工具，关系错综复杂，会针对其他黑产从业人员展开黑吃黑行动；有的规模庞大，通过感染电视、机顶盒等设备提供不法服务；有的针对 IT 运维人员发起多次供应链投毒攻击；还有的新兴黑产瞄准线上考试，提供作弊服务。 2024 年上半年的在野 0day 漏洞数量和去年基本一致，但是原本三足鼎立的格局已经渐渐被打破。Google 相关产品尤其 Chrome 浏览器仍然占据了在野漏洞的大部分份额，甚至出现一周内连续修复三个在野 0day 的盛况。部分攻击者将目标转向防火墙、VPN 等边界设备，以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度，例如利用产品更新迭代过程中针对旧漏洞的补丁失效，又或者像 XZ Utils 事件中通过层层深入的社会工程学手段在开源项目里埋下后门。 2024 上半年网络威胁活动呈现出以下特点：攻击者积极挖掘新攻击面并更新技战术，恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战；随着 AI 技术的发展，AI 不仅成为网络安全人员的重要工具，也带来了新的攻击手段和挑战，如用 AI 生成的误导信息内容和 AI 本身引入的软件漏洞。 摘要 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2024 上半年，广东省受境外APT 团伙攻击情况依旧最为突出，其次是江苏、四川、浙江、上海、北京等地区，受影响行业排名前五的分别是：信息技术 18.5%，政府部门 16.3%，科研教育 12.0%，建筑 7.6%，制造 7.1%。 2024 上半年奇安信威胁情报中心收录了 109 篇高级威胁类公开报告，涉及 59 个已命名的攻击组织或攻击行动，至少 48 个国家遭遇过 APT 攻击，披露的大部分 APT 攻击活动集中在韩国、乌克兰、以色列、印度等地区。其中，提及率排名前五的 APT 组织（含并列）是：Kimsuky 13.4%，Lazarus 8.9%，APT28 4.5%，Group123/Sandworm/MuddyWater/C-Major 3.6%，摩诃草 /Turla 2.7%。 2024 上半年全球 APT 活动的首要目标行业是政府部门、科研教育、国防军事，相关攻击事件占比分别为 31.3%、15.0%、13.8%，紧随其后的是信息技术、制造、新闻媒体等领域。 2024 年上半年全球范围内的勒索软件攻击波及包括中国在内的多个国家，受害者中既有个人用户，也有各种规模的组织机构，政府、医疗、制造、能源等行业屡次遭到勒索攻击团伙染指。 2024 上半年国内安全厂商披露的互联网黑产攻击活动涉及的团伙主要有：银狐木马黑产团伙、Bigpanzi、暗蚊、金相狐。 2024 年上半年披露的高危漏洞数量达 25 个。往年微软、谷歌、苹果三足鼎立的格局被打破，Google 依旧是相关漏洞最多的厂商，旗下的 Chrome 仍是目前攻击者热衷的浏览器攻击向量，微软、苹果的相关漏洞数量有所回落，留下的份额被网络边界设备漏洞填补。 关键字：高级持续性威胁、威胁雷达、勒索软件、互联网黑产、0day、网络边界设备、人工智能 高级持续性威胁01 一、国内高级持续性威胁总览二、2024 上半年紧盯我国的活跃组织三、全球高级持续性威胁总览四、全球各地区活跃 APT 组织01052023 勒索软件48 一、全球勒索软件攻击活动概览二、勒索软件投递方式三、攻击活动特点和趋势485254 第三章互联网黑产56 一、银狐木马黑产团伙二、Bigpanzi三、暗蚊四、金相狐五、其他5659606163 第四章网络威胁中的漏洞利用65 一、一周三修，Chrome 闪击二、从边界入局，陷落的边界设备三、新瓶旧酒 PHPCGI(CVE-2024-4577)四、开源的梦魇 XZUtils(CVE-2024-3094)66676869 第五章2024 上半年网络威胁活动特点72 一、攻击花样层出不穷，安全对抗持续升级二、AI 于网络威胁中初展锋芒7272 附录 1全球主要 APT 组织列表附录 2奇安信威胁情报中心附录 3红雨滴团队 (RedDripTeam)附录 4参考链接74757677 第一章高级持续性威胁 高级持续性威胁（APT）多年来一直是网络威胁的重要组成部分，攻击者通常有国家背景支持，主要以敏感数据收集和情报窃取为目的，因此行动隐秘，不易被受害者察觉。本章将分别介绍中国国内和全球范围在 2024 年上半年遭受的高级持续性威胁。 国内高级持续性威胁的内容及结论主要基于对奇安信威胁雷达数据、奇安信红雨滴团队在客户现场处置排查的真实 APT 攻击事件、使用奇安信威胁情报的全线产品的告警数据等信息的整理与分析。全球高级持续性威胁的内容与结论主要基于对公开来源的 APT 情报（即“开源情报”）的整理与分析。 一、国内高级持续性威胁总览 奇安信威胁情报中心通过使用奇安信威胁雷达对境内的 APT 攻击活动进行了全方位遥感测绘，2024 年上半年监测到我国范围内大量 IP 地址疑似和数十个境外 APT 组织产生过高危通信。从地域分布来看，广东省受境外 APT 团伙攻击情况最为突出，其次是江苏、四川、浙江、上海、北京等地区。 奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测（IOC）库，用于监控全境范围内疑似被 APT 组织、各类僵木蠕控制的网络资产的一款威胁情报 SaaS 应用。通过整合奇安信的高、中位威胁情报能力，发现指定区域内疑似被不同攻击组织或恶意软件控制的主机 IP，了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的 APT 攻击线索。 第一章中国境内高级持续性威胁综述基于奇安信威胁雷达境内的遥测分析，我们从以下方面对我国境内疑似遭受的APT攻击进行了分析和统计。 （一）受控 IP 数量和趋势 奇安信威胁情报中心基于威胁雷达在2024上半年监测到数十个境外APT组织针对我国范围内大量目标IP进行通信，形成了大量的境内IP与特定APT组织的网络基础设施的高危通信事件。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。 下图为2024上半年奇安信威胁雷达遥测感知的我国境内每月连接境外APT组织C2服务器的疑似受害IP地址数量统计。整体上可以看出，各月疑似受控IP地址数量有一定波动，较去年同期相比起伏明显，6月份依然为上半年境外APT攻击高峰。 2024上半年中国境内每月新增疑似被境外APT组织控制的IP数量变化趋势如图1.3所示，反映了APT组织攻击活跃度变化走向。新增受控IP数量变化趋势也与图1.2中每月连接境外APT组织C2服务器的疑似受害IP数量分布相符，各月数据波动幅度大。 （二）受害目标区域分布 下图为2024上半年中国境内疑似连接过境外APT组织C2服务器的IP地址地域分布，分别展示了各省疑似受害IP地址的数量：广东省受境外APT团伙攻击情况最为突出，占比达22.5%，其次是江苏、四川、浙江、上海、北京等地区。 （三）受害行业分布 进一步通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于客户现场的 APT 攻击线索，并结合使用了奇安信威胁情报的全线产品告警数据进行分析：2024 上半年涉及我国信息技术、政府机构、科研教育、建筑、制造行业的高级威胁事件占主要部分，占比分别为：18.5%，16.3%，12.0%，7.6%，7.1%。其次为医疗健康、能源、金融等领域。受影响的境内行业具体分布如下。 根据归属于各个 APT 组织的 IOC 告警量排名，攻击我国境内的前十 APT 组织及其针对的行业领域如下表。 二、2024 上半年紧盯我国的活跃组织 奇安信威胁情报中心通过奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实 APT 攻击事件，结合使用了威胁情报的全线产品告警数据，最终基于被攻击单位、受控设备、攻击组织技战术等多个指标筛选出以下数个对我国攻击频率高或危害大的 APT 组织。 这些攻击组织中除了已知 APT 组织外，还将涉及我们观察到的多个持续针对国内重点目标的未知威胁组织（UTG）——尽管有些威胁组织我们清楚攻击者的目的和所在地区，但目前无法归属到背后具体的攻击实体。 接下来，我们将结合奇安信红雨滴团队的真实 APT 攻击处置案例，逐一盘点 2024 上半年紧盯我国的APT 和 UTG 组织。 （一）海莲花（APT-Q-31） 关键词 : 供应链 0day 攻击、军工、能源 新老海莲花的分界线在 2022 年中，新海莲花的攻击集合在最近两年的活动被我们识别为 APT-Q-77，经过近两年的跟踪，我们最终确认新海莲花遵循 UTC +7 时区的作息，攻击的部分目标与老海莲花有所重叠。 新海莲花最大的变化是进攻能力的增强，这两年一共使用了 7-8 个国产软件的 0day，对抗强度陡增，2024 年初使用同一公司两款相似功能产品的 0day 漏洞向军工、环境等单位的内网办公区特定目标发起供应链攻击，在持久化的过程中使用了 officeClickToRun 的 COM 劫持和 nodejs.exe 加载器。 图 1.7 js 代码 在两年的对抗过程中我们发现新老海莲花对于情报刺探有着明显的区别，新海莲花对我国能源和军工单位在中东、中亚、东南亚、北非等地区的海外布局和外派人员名单有着迫切的需求，但是这些数据并不符合东南亚地区国家的自身利益，我们综合研判后认为其背后必有“高人指点”。 奇安信威胁情报中心将会在2024年下半年披露新海莲花组织在内存中的技战术。 （二）毒云藤（APT-Q-20） 关键词 : 航空、鱼叉邮件 从2023年中至 2024年中 APT-Q-20 和APT-Q-22联手针对我国航空公司投递携带 CVE-2023-38831 漏洞和通用载荷的鱼叉邮件，目的是要获取航空公司的数据。 区别在于APT-Q-22最后使用CobaltStrike作为木马，而毒云藤(APT-Q-20)选择使用Sliver作为最终的木马，但是其在后续的内网横向移动过程中仅拿下一台弱口令的tomcat服务器后就被我们成功阻断，攻击者并未达到其进攻目的。绕过UAC时由于攻击操作人员的失误，没有对Payload的内容进行替换，导致受害者机器上弹出了一个管理员权限的Notepad进程。 毒云藤在2024年初使用的基础设施和武器家族与友商披露的2023年末针对我国芯片行业的定向攻击活动产生了重叠。 （三）APT-Q-46 关键词 : 鱼叉邮件 2024 年 3 月，奇安信威胁情报中心识别到南亚地区一个全新的攻击集合，我们将其命名为 APT-Q-46,其主要针