APT组织研究年

01 卷首语 02 前言 03 1 4 APT归因追踪态势分析 3.1APT组织活跃统计 7 3.2活跃排名总览 8 3.3组织主控主机区域分析 8 3.4活跃度分析 10 9 3.6攻击手段分析 04 3.5受害目标分析 14 11 APT组织情报分析 4.1APT组织情报数量统计 15 4.2APT组织活跃时间分析 16 4.3APT组织目标分析 17 4.4漏洞利用分析 19 21 CONTENTS 绿盟科技集团股份有限公司 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 广州大学网络空间安全学院 广州大学网络空间安全学院于2022年7月成立，学院秉承“博学笃行，与时俱进”校训精神，以名誉院长方滨兴院士提出的三个驱动（学术驱动、指南驱动、市场驱动）为指导思想，以培养服务国家的一流网络空间安全人才为己任，以取得国家急需、世界一流、不可替代的研究成果，引领产业技术发展为目标，持续打造一流师资队伍和一流平台条件。 学院现有专任教师43人，包括教授23人（特聘教授10人），副教授17人，讲师3人，其中：中国工程院院士1名、国家重大工程项目专家2名、教育部长江学者特聘教授1名，国家百千万人才工程入选者1名，国家重点研发计划项目首席科学家4名，高层次留学人才回国资助人选1名、珠江学者特聘教授1名、重庆市科技创新领军人才1名、上海市领军人才1名、闽江学者讲座教授2名、广东特支青年拔尖人才1名、“珠江人才计划”青年拔尖人才1名、广州市杰出专家1名、优秀专家3名、优秀专家后备8名。 强” 学院拥有一级学科博士学位授予权和硕士学位授予权，入选广东省优势重点学科、广东省高水平大学“冲补重点建设学科，2022年软科中国排名全国第八。在校博士生44名，硕士研究生419名，本科生213名，方 滨兴院士实验室班依托学院开设研究生班，并面向本科生开设预备班，本硕一体，培养实践创新型人才。 保密通信全国重点实验室 “保密通信全国重点实验室”前身是“保通信重点实验室”，于1991年12月由原国防科工委批准立项，1996年3月正式运行。实验室依托于中国电子科技集团公司第三十研究所设立，目前是所有军工集团中唯一专业从事密码保密技术研究的全国重点实验室。实验室自成立以来，获得了20余项国家级科技奖励，在密码算法、量子保密、安全分析、专用芯片等领域处于国际领先水平，突破的系列关键核心技术为国家党政军队密码保密做出了重大贡献。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 05 APT组织追踪关键技术23 5.1面向APT家族分析的攻击路径预测方法研究24 5.2CDTier:AChineseDatasetofThreatIntelligenceEntityRelationships28 06 2024年新增APT组织情报图鉴37 6.1CitrineSleet38 6.2HeadMare39 6.3AVIVORE40 6.4EarthBaxia41 6.5UNC297042 6.6GleamingPisces43 6.7LyingPigeon44 6.8StargazerGoblin45 6.9FunnyDream46 6.10APT-K-UN347 6.11LiftingZmiy48 6.12UTG-Q-00749 6.13MirrorFace50 6.14JumpyPisces51 6.15CeranaKeeper52 6.16CL-STA-24053 6.17APT-C-6854 6.18TA455755 6.19TA39756 6.20毒针57 6.21Sath-1Midafaa58 6.22lnsidiousTaurus59 6.23双异鼠60 6.24水粉虫61 6.25鬼轮盘62 6.26融金鼠63 6.27渴血鹰64 6.28DesordenGroup65 6.29Carderbee66 6.30EarthLongzhi67 6.31UNC522168 6.32ScatteredSpider69 6.33LordNemesis70 6.34StarryAddax71 6.35Ducktail72 6.36EvasivePanda73 6.37Actor24052474 6.38NullBulge75 6.39UAC-006376 6.40CloudSorcerer77 6.41RedBeard 6.42Handala 78 6.43ata 79 6.44CyberCartel 80 6.45GXCTeam 81 6.46BerBeroka 82 6.47UTG-Q-010 83 6.48DustSquad 84 6.49LazyScripter 85 6.50Harvester 86 6.51WhiteTur 87 6.52北非狐 88 6.53UNC2529 89 6.54HuntersInternational 90 6.55AwakenLikho 91 92 01 卷首语 APT组织研究年鉴卷首语 回首2024年，全球局势风云变幻，地缘政治的复杂动荡与科技进步的迅猛步伐相互交织，在数字时代画卷上留下浓墨重彩一笔，或将深刻影响未来。来自网络空间的挑战变得更加严峻，网络攻击行为在这一年里呈现出组织更加严密、策划更为周密、目标更加精确的特点，网络威胁常态化已成不争的事实。其中，高级持续性威胁（APT）攻击成为网络空间内影响最广、防御难度最大、并与地缘政治博弈紧密交织的突出风险源，直接威胁到了现实世界中国家的安全与稳定。 正如古语所云，“知己知彼，方能百战不殆”，在网络这个瞬息万变、错综复杂的 现代战场上，深入理解并准确预判各种潜在威胁，成为了确保网络安全、赢得战略优势的关键所在。习近平总书记指出，网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。归因是启动国家层级响应的首要步骤，也是整个防御链条中极具挑战性的一环。它不仅关乎对手身份的识别，还需要明确网络疆域内的“敌我”界限，追踪解决谁进来的问题。 近年来，APT组织活动呈现高度智能化，高度隐匿性，高度对抗性发展方向。传统 的精细化防御策略在浩瀚的大数据环境下面临严峻考验，成效渐微，“未知对抗狩猎，已知情报追踪”成为应对APT组织的新模式。人工智能等前沿技术的发展，在带来挑战的同时，亦为我们进一步挖掘和认识网络空间风险提供了机遇。绿盟科技平行实验 室与广州大学网络空间安全学院通力合作，以“主动防御、攻击溯源、战略威慑”为理念，打造了基于知识图谱的网络空间威胁建模平台CSKG4APT，同时借助广州大学网络空间安全学院自主研发的四蜜系统，有效提高了APT攻击早期发现的能力。依托于这些系统的分析结果，双方联合撰写了本年鉴。年鉴回顾和分析了全球APT组织年度活跃情况，不仅对全球APT组织的年度归因追踪情况及情报进行梳理，还特别罗列了2024年新增的55个APT组织的画像图鉴，为网络安全分析师、研究人员以及政策制定者提供了丰富的一手资料。这些新增APT组织的出现，反映了网络威胁景观的快速变化，以及攻击者不断寻求新方法绕过现有防御体系的趋势。年鉴作为认知及跟踪全球APT组织动态之利器，为应对复杂多变的网络威胁提供了参考，对促进关键信息基础设施防护效能跃升、加固数字疆域、护航国家安全具有重要意义。 广州大学副校长、教授、博士生导师 02前言 前言 随着高级持续性威胁（APT）组织日益智能化，归因难度逐步加大。这不仅对抗和防御 机制提出了新的挑战，也对关键信息基础设施单位和国家安全构成了重大威胁。为了应对这 一严峻形势，绿盟科技与广州大学网络空间安全学院携手共建了“网络安全威胁情报分析联 合实验室”，专注于威胁情报领域的人才培养和研究工作。 在APT归因追踪方面，双方充分发挥各自优势，开展了一系列联合研究。广州大学依托 其学术优势，研究多种创新算法，而绿盟科技则动员了旗下的3个实验室和2个战队，分别 参与工程、运营和数据处理。伏影实验室专注于样本分析和主动狩猎，平行实验室致力于建 立APT组织的归因知识图谱及对海量多模态数据的APT追踪，威胁情报实验室负责网络空 间测绘和情报采集。此外，梅花k和模因战队从实战和对抗方法方面提供了有力支持，形成 了从学术理论到工程实现，再到安全运营的产学研用闭环。 《APT组织研究年鉴》基于知识图谱和情报智能方法，构建了包含620个APT组织情 报档案馆的数据库。年鉴对2024年新增的55个APT组织进行了详尽的画像图鉴分析，并 对这些新APT组织及已有APT组织的新战术战法进行了深入解析。基于档案馆知识，我们 对多模态海量数据进行了监测预警，2024年共监测到51个活跃的APT组织。对于更多APT 组织的信息，读者可以访问绿盟威胁情报中心（NTI）https://nti.nsfocus.com/查询相关档案。 年鉴还收录了2024年的部分学术成果，包括绿盟科技平行实验室研究团队与广州大学 网络空间先进技术研究院合作的研究成果——《面向APT家族分析的攻击路径预测方法研 究》和《AChineseDatasetofThreatIntelligenceEntityRelationships》。这些论文的主 要作者均为绿盟科技和广州大学网络空间先进技术研究院联合培养的研究生。 希望通过这本年鉴为读者呈现最新的APT组织研究成果，可以助力网络安全防御工作的 不断提升。本文的成果都是基于“主动狩猎、情报归因、一点发现全网溯源”的原则。在未来， 我们期望从未知到已知，从已知到全面监控，从全面监控到全面处置，将APT威胁扼杀在早期阶段。通过提升敌人的攻击成本，威慑敌人，提高网络弹性和快速响应能力，为网络空间的博弈贡献我们的力量。 绿盟科技平行实验室分别从海量多模态数据云端APT实时活跃监控和公开APT情报两 个角度对2024年APT组织整体情况进行分析，公开APT情报解决一部分云端实时监控数据的完备性问题。 APT组织研究年鉴 03 APT实时活跃监控情况： ●2024年，平台一共监测到51个APT组织的攻击活动，APT组织攻击技术的运用也 变得更加复杂多样。 ●2024年度APT组织控制的威胁主机超过一千四百台，其中50%的攻击源来自境外， 美国攻击源占比34%，受害主机超过两万四千台。 ●2024年度共有超过2万多台国内主机受到APT组织威胁，涵盖了8个主要行业领域， 教育医疗、企业、运营商和金融行业受影响较为严重。 APT情报分析结论： ●2024年新增了55个APT组织，同比2023年增长了57.14%，总数从565个增长至 620个，这显示出APT组织的数量正在持续增长，网络威胁态势日益严峻。同时， 公开分析的APT组织达到74个，表明这些组织在网络空间中的活动频繁且引人注目。 ●在2024年的威胁情报收集中，lazarus组织以披露的7006个IOC数量脱颖而出， 成为年度威胁之最，这显示了该组织在网络攻击中的高度活跃性和破坏性。同时， TurlaGroup组织以24篇分析报告的数量冠绝榜首，这反映出该组织在网络安全领 域受到了广泛的关注和深入研究。 APT态归势因分追析踪 14