APT组织研究年鉴

卷首语1 绿盟科技集团股份有限公司 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014年 1 月 29 日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有 50 余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 前言 03 APT 归因追踪态势分析73.1APT组织活跃统计83.2活跃排名总览83.3组织主控主机区域分析93.4活跃度分析103.5受害目标分析113.6攻击手段分析14 广州大学网络空间安全学院 广州大学网络空间安全学院于 2022 年 7 月成立，学院秉承“博学笃行，与时俱进”校训精神，以名誉院长方滨兴院士提出的三个驱动（学术驱动、指南驱动、市场驱动）为指导思想，以培养服务国家的一流网络空间安全人才为己任，以取得国家急需、世界一流、不可替代的研究成果，引领产业技术发展为目标，持续打造一流师资队伍和一流平台条件。 学院现有专任教师 43 人，包括教授 23 人（特聘教授 10 人），副教授 17 人，讲师 3 人，其中：中国工程院院士 1 名、国家重大工程项目专家 2 名、教育部长江学者特聘教授 1 名，国家百千万人才工程入选者1 名，国家重点研发计划项目首席科学家 4 名，高层次留学人才回国资助人选 1 名、珠江学者特聘教授 1 名、重庆市科技创新领军人才 1 名、上海市领军人才 1 名、闽江学者讲座教授 2 名、广东特支青年拔尖人才 1 名、“珠江人才计划”青年拔尖人才 1 名、广州市杰出专家 1 名、优秀专家 3 名、优秀专家后备 8 名。 学院拥有一级学科博士学位授予权和硕士学位授予权，入选广东省优势重点学科、广东省高水平大学“冲补强”重点建设学科，2022 年软科中国排名全国第八。在校博士生 44 名，硕士研究生 419 名，本科生 213 名，方滨兴院士实验室班依托学院开设研究生班，并面向本科生开设预备班，本硕一体，培养实践创新型人才。 04 APT 组织情报分析154.1APT 组织情报数量统计164.2APT 组织活跃时间分析174.3APT组织目标分析194.4漏洞利用分析21 保密通信全国重点实验室 “保密通信全国重点实验室”前身是“保通信重点实验室”，于 1991 年 12 月由原国防科工委批准立项，1996 年 3 月正式运行。实验室依托于中国电子科技集团公司第三十研究所设立，目前是所有军工集团中唯一专业从事密码保密技术研究的全国重点实验室。实验室自成立以来，获得了 20 余项国家级科技奖励，在密码算法、量子保密、安全分析、专用芯片等领域处于国际领先水平，突破的系列关键核心技术为国家党政军队密码保密做出了重大贡献。 CONTENTSCONTENTS 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 6.15CeranaKeeper526.16CL-STA-240536.17APT-C-68546.18TA4557556.19TA397566.20毒针576.21Sath-1Midafaa586.22lnsidiousTaurus596.23双异鼠606.24水粉虫616.25鬼轮盘626.26融金鼠636.27渴血鹰646.28DesordenGroup656.29Carderbee666.30EarthLongzhi676.31UNC5221686.32ScatteredSpider696.33LordNemesis706.34StarryAddax716.35Ducktail726.36EvasivePanda736.37Actor240524746.38NullBulge756.39UAC-0063766.40CloudSorcerer77 05 APT 组织追踪关键技术235.1面向APT家族分析的攻击路径预测方法研究245.2CDTier:AChineseDatasetofThreatIntelligenceEntityRelationships28 06 2024年新增APT 组织情报图鉴376.1CitrineSleet386.2HeadMare396.3AVIVORE406.4EarthBaxia416.5UNC2970426.6GleamingPisces436.7LyingPigeon446.8StargazerGoblin456.9FunnyDream466.10APT-K-UN3476.11LiftingZmiy486.12UTG-Q-007496.13MirrorFace506.14JumpyPisces51 6.41RedBeard786.42Handala796.43ata806.44CyberCartel816.45GXCTeam826.46BerBeroka836.47UTG-Q-010846.48DustSquad856.49LazyScripter866.50Harvester876.51WhiteTur886.52北非狐896.53UNC2529906.54HuntersInternational916.55AwakenLikho92 01 卷首语 室与广州大学网络空间安全学院通力合作，以“主动防御、攻击溯源、战略威慑”为理念，打造了基于知识图谱的网络空间威胁建模平台 CSKG4APT，同时借助广州大学网络空间安全学院自主研发的四蜜系统，有效提高了 APT 攻击早期发现的能力。依托于这些系统的分析结果，双方联合撰写了本年鉴。年鉴回顾和分析了全球 APT 组织年度活跃情况，不仅对全球 APT 组织的年度归因追踪情况及情报进行梳理，还特别罗列了 2024年新增的 55 个 APT 组织的画像图鉴，为网络安全分析师、研究人员以及政策制定者提供了丰富的一手资料。这些新增 APT 组织的出现，反映了网络威胁景观的快速变化，以及攻击者不断寻求新方法绕过现有防御体系的趋势。年鉴作为认知及跟踪全球 APT组织动态之利器，为应对复杂多变的网络威胁提供了参考，对促进关键信息基础设施防护效能跃升、加固数字疆域、护航国家安全具有重要意义。 回首 2024 年，全球局势风云变幻，地缘政治的复杂动荡与科技进步的迅猛步伐相互交织，在数字时代画卷上留下浓墨重彩一笔，或将深刻影响未来。来自网络空间的挑战变得更加严峻，网络攻击行为在这一年里呈现出组织更加严密、策划更为周密、目标更加精确的特点，网络威胁常态化已成不争的事实。其中，高级持续性威胁（APT）攻击成为网络空间内影响最广、防御难度最大、并与地缘政治博弈紧密交织的突出风险源，直接威胁到了现实世界中国家的安全与稳定。 正如古语所云，“知己知彼，方能百战不殆”，在网络这个瞬息万变、错综复杂的现代战场上，深入理解并准确预判各种潜在威胁，成为了确保网络安全、赢得战略优势的关键所在。习近平总书记指出，网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。归因是启动国家层级响应的首要步骤，也是整个防御链条中极具挑战性的一环。它不仅关乎对手身份的识别，还需要明确网络疆域内的“敌我”界限，追踪解决谁进来的问题。 近年来，APT 组织活动呈现高度智能化，高度隐匿性，高度对抗性发展方向。传统的精细化防御策略在浩瀚的大数据环境下面临严峻考验，成效渐微，“未知对抗狩猎，已知情报追踪”成为应对 APT 组织的新模式。人工智能等前沿技术的发展，在带来挑战的同时，亦为我们进一步挖掘和认识网络空间风险提供了机遇。绿盟科技平行实验 广州大学副校长、教授、博士生导师 随着高级持续性威胁（APT）组织日益智能化，归因难度逐步加大。这不仅对抗和防御机制提出了新的挑战，也对关键信息基础设施单位和国家安全构成了重大威胁。为了应对这一严峻形势，绿盟科技与广州大学网络空间安全学院携手共建了“网络安全威胁情报分析联合实验室”，专注于威胁情报领域的人才培养和研究工作。 在 APT 归因追踪方面，双方充分发挥各自优势，开展了一系列联合研究。广州大学依托其学术优势，研究多种创新算法，而绿盟科技则动员了旗下的 3 个实验室和 2 个战队，分别参与工程、运营和数据处理。伏影实验室专注于样本分析和主动狩猎，平行实验室致力于建立 APT 组织的归因知识图谱及对海量多模态数据的 APT 追踪，威胁情报实验室负责网络空间测绘和情报采集。此外，梅花 k 和模因战队从实战和对抗方法方面提供了有力支持，形成了从学术理论到工程实现，再到安全运营的产学研用闭环。 《APT 组织研究年鉴》基于知识图谱和情报智能方法，构建了包含 620 个 APT 组织情报档案馆的数据库。年鉴对 2024 年新增的 55 个 APT 组织进行了详尽的画像图鉴分析，并对这些新 APT 组织及已有 APT 组织的新战术战法进行了深入解析。基于档案馆知识，我们对多模态海量数据进行了监测预警，2024 年共监测到 51 个活跃的 APT 组织。对于更多 APT组织的信息，读者可以访问绿盟威胁情报中心（NTI）https://nti.nsfocus.com/ 查询相关档案。 年鉴还收录了 2024 年的部分学术成果，包括绿盟科技平行实验室研究团队与广州大学网络空间先进技术研究院合作的研究成果——《面向 APT 家族分析的攻击路径预测方法研究》和《A Chinese Dataset of Threat Intelligence Entity Relationships》。这些论文的主要作者均为绿盟科技和广州大学网络空间先进技术研究院联合培养的研究生。 前言 希望通过这本年鉴为读者呈现最新的 APT 组织研究成果，可以助力网络安全防御工作的不断提升。本文的成果都是基于“主动狩猎、情报归因、一点发现全网溯源”的原则。在未来，我们期望从未知到已知，从已知到全面监控，从全面监控到全面处置，将 APT 威胁扼杀在早期阶段。通过提升敌人的攻击成本，威慑敌人，提高网络弹性和快速响应能力，为网络空间的博弈贡献我们的力量。 绿盟科技平行实验室分别从海量多模态数据云端 APT 实时活跃监控和公开 APT 情报两个角度对 2024 年 APT 组织整体情况进行分析，公开 APT 情报解决一部分云端实时监控数据的完备性问题。 APT实时活跃监控情况： ●2024 年，平台一共监测到 51 个 APT 组织的攻击活动，APT 组织攻击技术的运用也变得更加复杂多样。●2024 年度 APT 组织控制的威胁主机超过一千四百台，其中 50% 的攻击源来自境外，美国攻击源占比 34%，受害主机超过两万四千台。●2024 年度共有超过 2 万多台国内主机受到 APT 组织威胁，涵盖了 8 个主要行业领域，教育医疗、企业、运营商和金融行业受影响较为严重。 03 APT情报分析结论： ●2024 年新增了 55 个 APT 组织，同比 2023 年增长了 57.14%，总数从 565 个增长至620 个，这显示出 APT 组织的数量正在持续增长，网络威胁态势日益严峻。同时，公开分析的 APT 组织达到 74 个，表明这些组织在网络空间中的活动频繁且引人注目。●在 2024 年的威胁情报收集中，lazarus 组织以披露的 7006 个 IOC 数量脱颖而出，成为年度威胁之最，这显示了该组织在网络攻击中的高度活跃性和破坏性。同时，Turla Group 组织以 24 篇分析报告的数量冠绝榜首，这反映