网络安全威胁2024年度报告
AI智能总结
主要观点 M A I NP O I N T S 2024 年,涉及我国的高级持续性威胁事件主要在科研教育、信息技术、制造、政府机构等领域,受害目标集中在广东等地区。DarkHotel、海莲花、伪猎者、虎木槿、蔓灵花、摩诃草等组织积极针对国内重点目标。年末时,我们发现国内最大 IT 社区被入侵后植入恶意脚本,由此挖掘出背后的攻击团伙UTG-Q-015。经过深入分析排查,发现 UTG-Q-015 使用了入侵源站、供应链攻击两套攻击链。被入侵的源站涉及 IT 社区、技术论坛、软件园、政府官网等;供应链攻击则以在国内政府、媒体网站中使用已久的分享组件作为目标,该分享组件历史影响网站规模高达到百万量级。 根据观察,勒索攻击活动除经济利益外,一些勒索攻击以对目标组织的破坏性攻击为目的,还有国家背景的 APT 组织参与。涉及勒索的攻击团伙因为相互合作、共享攻击工具、衍生分支机构等情况导致关系变得错综复杂。 2024 年在影响国内的互联网黑产攻击活动中,银狐木马有着较高的活跃度,这是由于该恶意家族系列源码泛滥,被多个黑产团伙甚至 APT 组织使用。对于其中最为活跃的一个黑产团伙我们以编号UTG-Q-1000 进行追踪。 2024 年在野 0day 的利用情况较去年有所回落,原本三足鼎立的格局渐渐被打破。Chrome 在上半年出现一周内连续修复三个在野 0day 的盛况,下半年其在野漏洞数量则极速下滑,仅仅只有两例。部分攻击者将目标转向防火墙、VPN 等边界设备,以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度,例如利用产品更新迭代过程中针对旧漏洞的补丁失效,又或者像 XZ Utils 事件中通过层层深入的社会工程学手段在开源项目里埋下后门。0day 漏洞正在军火市场中泛滥,一半以上针对Google、苹果产品的 0day 攻击都是来自漏洞军火商。Firefox 0day 漏洞也疑似成为“军火”遭贩卖,被 Storm-0978、DarkHotel 攻击团伙使用。2024 年还观察到攻击者频繁使用办公软件、邮箱的 0day漏洞进行攻击。 2024 年网络威胁活动呈现出以下特点:攻击者积极挖掘新攻击面并更新技战术,恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战;随着 AI 技术的发展,AI 不仅成为网络安全人员的重要工具,也带来了新的攻击手段和挑战,如用 AI 生成的误导信息内容、AI 本身引入的软件漏洞、以及AI 伪造的有效图片等;攻击者加快开发漏洞利用代码(EXP),Nday 漏洞投入实际攻击场景的时间开始大幅减少;一些 APT 相关攻击活动开始频繁使用网络犯罪的工具及策略,这导致 APT 与网络犯罪二者间的界限越发模糊。 摘要 A B S T R A CT 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据,得出以下结论:2024 年,广东省受境外 APT 团伙攻击情况依旧最为突出,其次是浙江、上海、北京、江苏等地区;境内受影响行业排名前五的分别是:科研教育 16.0%,信息技术 14.8%,制造 14.8%,政府机构 8.0%,建筑 6.1%。 2024 年奇安信威胁情报中心收录了 279 篇高级威胁类公开报告,涉及 102 个已命名的攻击组织或攻击行动,至少 73 个国家遭遇过 APT 攻击,披露的大部分 APT 攻击活动集中在乌克兰、中国、美国、以色列、韩国等地区。其中,提及率排名前五的 APT 组织是:Kimsuky 10.1%,Lazarus 7.9%,摩诃草3.2%,APT28 3.2%,C-Major 2.9%。 2024 年全球 APT 活动的首要目标行业是政府部门、国防军事、金融,相关攻击事件占比分别为25.4%、17.5%、10.7%,紧随其后的是科研教育、科技、制造、能源等领域。 2024 年全球范围内的勒索攻击活动频繁,攻击对象覆盖了 Windows、Linux、macOS、FreeBSD等多个平台,VMware ESXi 虚拟化环境和云环境也已成为多起勒索攻击活动的目标。经过梳理,攻击团伙会使用多种方式进行初始入侵,并在不同环节中利用漏洞实现进入目标网络、植入恶意软件和提升权限等目的。 下半年以来影响国内的活跃互联网黑产团伙主要有:银狐木马黑产团伙、FaCai、GanbRun、DragonRank。 2024 年披露的高危漏洞数量达 50 个。往年微软、谷歌、苹果三足鼎立的格局被打破,微软、Google 依旧是相关漏洞最多的厂商,Google 旗下的 Chrome 仍是目前攻击者热衷的浏览器攻击向量,苹果相关产品的漏洞却大幅减少,其中空缺部分被网络边界设备漏洞填补。此外,由于漏洞军火商的活跃、AI 大模型的出现、以及网络攻防技术的整体提升,导致利用 Nday 漏洞的攻击案例增多。 关键字:高级持续性威胁、威胁雷达、勒索攻击、互联网黑产、0day、网络边界设备、人工智能 高级持续性威胁01 一、国内高级持续性威胁总览二、2024 年紧盯我国的活跃组织三、全球高级持续性威胁总览四、全球各地区活跃 APT 组织01051720 勒索攻击59 一、全球勒索攻击活动概览二、攻击手法三、攻击活动特点和趋势596770 第三章互联网黑产72 一、黑产攻击活动概览二、银狐木马与 UTG-Q-1000三、FaCai四、GanbRun五、DragonRank六、其他727476788082 网络威胁中的漏洞利用84 第四章 一、2024-Chrome 的反击二、从边界入局,陷落的边界设备三、新瓶旧酒 PHPCGI(CVE-2024-4577)四、开源的梦魇 XZUtils(CVE-2024-3094)五、Firefox- 久违的浏览器全链路攻击8788888991 六、国产软件正被紧盯不放七、军火商成为 0day 市场背后最大的供应商八、厂商的努力正常生效929394 第五章2024 年网络威胁活动特点95 一、攻击花样层出不穷,安全对抗持续升级二、AI 于网络威胁中初展锋芒三、Nday 漏洞投入实际攻击场景的时间开始大幅减少四、APT 与网络犯罪的界限越发模糊95959697 附录 1全球主要 APT 组织列表附录 2奇安信威胁情报中心附录 3红雨滴团队 (RedDripTeam)附录 4参考链接9899100101 第一章高级持续性威胁 高级持续性威胁(APT)多年来一直是网络威胁的重要组成部分,攻击者通常有国家背景支持,主要以敏感数据收集和情报窃取为目的,因此行动隐秘,不易被受害者察觉。本章将分别介绍中国国内和全球范围在 2024 年遭受的高级持续性威胁。 国内高级持续性威胁的内容及结论主要基于对奇安信威胁雷达数据、奇安信红雨滴团队在客户现场处置排查的真实 APT 攻击事件、使用奇安信威胁情报的全线产品的告警数据等信息的整理与分析。全球高级持续性威胁的内容与结论主要基于对公开来源的 APT 情报(即“开源情报”)的整理与分析。 一、国内高级持续性威胁总览 奇安信威胁情报中心通过使用奇安信威胁雷达对境内的 APT 攻击活动进行了全方位遥感测绘,2024 年监测到我国范围内大量 IP 地址疑似和数十个境外 APT 组织产生过高危通信。从地域分布来看,广东省受境外 APT 团伙攻击情况最为突出,其次是浙江、上海、北京、江苏等地区。 奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测(IOC)库,用于监控全境范围内疑似被 APT 组织、各类僵木蠕控制的网络资产的一款威胁情报 SaaS 应用。通过整合奇安信的高、中位威胁情报能力,发现指定区域内疑似被不同攻击组织或恶意软件控制的主机 IP,了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的 APT 攻击线索。 第一章中国境内高级持续性威胁综述基于奇安信威胁雷达境内的遥测分析,我们从以下方面对我国境内疑似遭受的APT攻击进行了分析和统计。 (一)受控 IP 数量和趋势 奇安信威胁情报中心基于威胁雷达在2024年监测到数十个境外APT组织针对我国范围内大量目标IP进行通信,形成了大量的境内IP与特定APT组织的网络基础设施的高危通信事件。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。 下图为2024年奇安信威胁雷达遥测感知的我国境内每月连接境外APT组织C2服务器的疑似受害IP地址数量统计,平均每月有超2500个境内IP地址疑似受控。其中,7月份受控IP数据量明显高于其他月份,8月数量有所下降,但仍明显高于1-6月、9-12月的水平。除了7月和8月的高峰,整体数量在一年中相对稳定,没有明显的上升或下降趋势。 2024年中国境内每月新增疑似被境外APT组织控制的IP数量变化趋势如图1.3所示,反映了APT组织攻击活跃度变化走向。新增受控IP数量变化趋势也与图1.2中每月连接境外APT组织C2服务器的疑似受害IP数量分布相符,7月为全年数值高峰。 (二)受害目标区域分布 下图为2024年中国境内疑似连接过境外APT组织C2服务器的IP地址地域分布,分别展示了各省疑似受害IP地址的数量:广东省受境外APT团伙攻击情况最为突出,占比达24.6%,其次是浙江、上海、北京、江苏等地区。 (三)受害行业分布 进一步通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于客户现场的 APT 攻击线索,并结合使用了奇安信威胁情报的全线产品告警数据进行分析:2024 年涉及我国科研教育、信息技术、制造、政府机构、建筑、医疗健康行业的高级威胁事件占主要部分,占比分别为:16.0%,14.8%,14.8%,8.0%,6.1%,6.1%。其次为交通运输、能源、金融、新闻媒体等领域。受影响的境内行业具体分布如下。 根据归属于各个 APT 组织的 IOC 告警量排名,攻击我国境内的前十 APT 组织及其针对的行业领域如下表。 二、2024 年紧盯我国的活跃组织 奇安信威胁情报中心通过奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实 APT 攻击事件,结合使用了威胁情报的全线产品告警数据,最终基于被攻击单位、受控设备、攻击组织技战术等多个指标筛选出以下数个对我国攻击频率高或危害大的 APT 组织。 这些攻击组织中除了已知 APT 组织外,还将涉及我们观察到的多个持续针对国内重点目标的未知威胁组织(UTG)——尽管有些威胁组织我们清楚攻击者的目的和所在地区,但目前无法归属到背后具体的攻击实体。 接下来,我们将结合奇安信红雨滴团队的真实 APT 攻击处置案例,按照影响规模、攻击成本由高到低进行排序,逐一盘点 2024 年紧盯我国的 APT 和 UTG 组织。 (一)DarkHotel(APT-Q-15) 关键词 : 浏览器 0day、军队、金融、招标网 APT-Q-15 在 2024 年发起了针对军队供应商和金融供应商的 0day 攻击行动,是该团伙自 2019 年针对一带一路的水坑攻击后规模最大的 0day 水坑事件,本次活动入侵了国内多个军队和金融有关的招标网站,在正文中插入恶意的 js 验证代码: 由于APT-Q-15拿到目标权限后会清理浏览器缓存和历史记录,我们并没有拿到完整的EXP,根据境外友商ESET披露的firefox 0day细节进行推测:APT-Q-15与romcom(storm-0978)使用了相同的0day攻击链,攻击武器可能由相同的供应商提供,尽管0day链条一致,但是在无文件攻击链的设计方面APT-Q-15比romcom更加老练一些。 我们可以确认受影响的firefox中文版版本号为115.14.0.8979,除了firefox中文版之外还涉及一些国产浏览器。 本次水坑中招的受害IP高达几百个,APT-Q-15想要刺探军工项目和金融项目对应的承包单位,为后续定向攻击奠定基础。 (二)UTG-Q-015 关
