2024年下半年全球主要APT攻击活动报告

活动报告 contents目录 概述01 2024 年下半年，天际友盟持续对 APT 组织及其活动进行追踪总结，总共披露了全球 100 多个 APT 组织的 188起攻击活动，通过对其中出现的威胁组织及 TTP 的具体分析，我们总结出 2024 年下半年 APT 组织活动攻击特点如下： 地缘政治类冲突各方依然是国家级 APT 组织攻击的焦点目标 随着全球地缘政治紧张局势的加剧，各国之间的竞争和对立成为了 APT 组织发动攻击的主要动机之一。这些攻击不仅限于直接对抗国家间的基础设施和服务，还包括对盟友和支持者的间接打击。2024 年下半年俄乌战争和巴以武装对抗持续进行，对立双方及相关盟友均遭到国家级 APT 组织的猛烈攻击，尤其是乌克兰、俄罗斯和以色列，他们的主要基础设施和国内多个重要行业成为了 APT 组织聚集的首要目标。 针对中国的 APT 攻击活动呈高度活跃态势 从 APT 组织攻击的目标国家来看，中国仍然是 APT 组织的首要目标。多个黑客团伙通过虚假网站传播银狐木马，影响 IT、金融、教育与科研等行业；海莲花组织以社保话题为诱饵发起钓鱼攻击，以法律制度等话题攻击政府及海事机构；蔓灵花组织启用全新特马 MiyaRat 攻击国内用户，这些多样化的 APT 活动对我国政府、军事、通信、金融等领域网络安全构成了严峻挑战。 APT 组织扩大勒索软件的利用范围，且木马后门呈现多样化 APT 组织正在将其攻击策略扩展至勒索软件领域，以此作为一种新的盈利模式。除了传统的目标——金融机构外，现在更多类型的组织如医疗机构、教育机构甚至政府部门也成为攻击对象。为了确保成功入侵并长期控制受害系统，APT 组织开发了多种木马后门程序，这些程序具备更强的隐蔽性和抗检测能力。同时，它们还会根据不同的操作系统环境定制特定版本，增加了防御难度。 AI 的发展使 APT 组织入侵的钓鱼手段更加复杂且难以防范 借助 AI 技术的进步，APT 组织能够更高效地生成逼真的钓鱼邮件和其他形式的社会工程学诱饵。同时 AI 还可以用于创建虚假网站和应用程序界面，使得用户难以区分真伪。这种趋势导致网络钓鱼攻击成功率大幅上升，同时也变得更加难以防范。 APT 组织攻击数据披露02 天际友盟根据自有平台 RedQueen 中记录的 188 起 APT 攻击事件（主要涵盖知名组织及有影响力的攻击），对2024 年下半年 APT 组织攻击数据进行披露如下： 2.1 Top10 活跃组织 2024 年下半年 TOP 10 活跃 APT 组织统计如下： 图 1 显示，2024 年下半年，国内 APT 组织银狐团伙上升为榜首，朝鲜黑客组织 Lazarus 紧随其后，而经济犯罪团伙 FIN7、越南组织 APT32、蔓灵花组织、韩国 APT-Q-12 组织、主要针对哥伦比亚等国家的盲眼鹰组织均表现比较活跃，并列第三名。 2.2 Top10 攻击目标 2024 年下半年 APT 组织攻击的目标国家 TOP 10 统计如下： 根据图 2 数据显示，2024 年下半年我国继续成为 APT 攻击的首要目标国，俄乌冲突双方分列二、三名，美国超越印度和日本，位居第四位。从整体分布来看，APT 活动依旧集中在亚太、中东和欧美三大地区，这表明地缘政治的影响在网络空间中仍然非常显著。 2.3 Top10 攻击行业 2024 年下半年 APT 组织攻击的目标行业 TOP 10 统计如下： 002 䎃♴⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 根据图 3 数据发现，涉及通信和软件信息技术行业的攻击事件占比为 28%，其次攻击政府事件占比有所提升至21%，国防军工部门占比 11%，位列第三。相较于 2024 年上半年，金融攻击事件有所下降，降至第 8 位。 2.4 主要攻击手段 2024 年下半年 APT 组织主要攻击手段统计如下： 图 4 显示，APT 组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。但鱼叉式钓鱼活动显著增多，利用勒索软件的攻击也逐渐增多。表 1 详细列出了 2024 年下半年 APT 组织最频繁利用的漏洞，以及它们所针对的厂商和软件产品。 重大 APT 攻击活动03 3.1 地缘政治活动 2024 年下半年，全球网络安全局势面临艰巨的挑战，国家级 APT 攻击不断加剧，攻击者通常获得国家支持，拥有强大的资源、先进的技术和专业化团队，能够精确渗透目标网络，并有效绕过传统防御措施。在这种背景下，我们将从地缘政治角度出发，重点解析亚太、中东以及欧美地区主要国家在 APT 攻击中的特点及其潜在影响。 3.1.1 亚太地区 亚太地区不仅是全球经济增长的驱动力，也是科技创新的前沿阵地。近年来，随着该区域数字化进程加速和地缘政治格局日益复杂，其逐步成为国家级 APT 组织青睐的渗透目标。APT 攻击在此展现出极高的隐蔽性、持续性和针对性，主要集中于政府部门、关键基础设施、高科技企业及金融机构等领域，意在窃取敏感信息、破坏系统或获得战略优势。 中国、印度、日本等主要国家及新兴经济体由于在区域事务和科技发展中占有举足轻重的地位，因此始终处于APT 组织的攻击视野之内，面临严峻的网络安全威胁。 3.1.1.1 针对我国 2024 年下半年，我国继续成为 APT 组织重点攻击目标，攻击范围从政府、军事、科研、金融扩展至通信、制造、海事等关键行业。Donot、UTG-Q-010、APT-C-60 等组织利用钓鱼邮件、DLL 加载、WPS Office 漏洞等手段，针对不同领域展开攻击。 同 时， 蔓 灵 花 组 织 投 递 MiyaRat 木 马，APT32 利 用 RUST 木 马 攻 击 政 企 单 位，Earth Minotaur 通 过MOONSHINE 漏洞定向攻击藏族和维吾尔族群体，银狐组织则通过水坑攻击窃取加密货币资产。APT 攻击形式日益复杂，对我国网络安全构成持续挑战。 7 月末，Donot 组织利用“第七届 COMAC 国际科技创新周”相关钓鱼文件对中国用户发起攻击，伪装为 PDF的 LNK 文件诱导受害者执行 Powershell 代码，从远程服务器下载并运行恶意程序，最终解码并执行内存中的恶意shellcode。 8 月，来自东亚的 UTG-Q-010 组织对中国实体发起钓鱼攻击，其采用了更新的 DLL 加载程序和开源的 PupyRAT，重点瞄准加密货币爱好者和人力资源部门。月末，韩国 APT-C-60 组织借助 WPS Office 漏洞部署 SpyGlace 后门，主要针对包括中国在内的东亚国家。 9 月，SloppyLemming 组织利用云服务进行凭证窃取、恶意软件传播和 C2 通信，主要针对中国等亚洲国家的国防、能源、电信和技术实体。 10 月，蔓灵花组织启用全新木马 MiyaRat 攻击中国用户，该木马具备文件窃取、命令执行和信息收集等功能，能够与 C2 服务器通信。 11 月，APT32 组织重新活跃，并首次使用 MSI 安装包投递 RUST 木马，针对国内政企发动攻击，利用 LNK 文件和 DLL 侧加载技术实现持久化。中旬，APT32 组织持续针对国内海事机构发动鱼叉式网络钓鱼攻击，伪装 DOCX 文件引诱受害者运行恶意 MSC 文件，以 Cobalt Strike Beacon 远程控制受害设备。 12 月上旬，Earth Minotaur 组织借助 MOONSHINE 漏洞利用工具包针对藏族和维吾尔族实施了恶意攻击，攻击者主要针对 Android 设备上即时通讯应用的漏洞，通过即时通讯应用发送精心制作的消息 ( 如伪装为政府公告、与COVID-19 相关的中文新闻、与宗教、藏族或维吾尔族有关的中国新闻、中国旅游信息 )，诱使受害者点击嵌入的恶意链接。 12 月下旬，银狐组织展开了持续攻击，首先，通过多个水坑网站，伪装成谷歌翻译网站页面诱导用户点击下载Flash 插件以部署恶意软件，其次，利用仿冒成 ToDesk、向日葵等远程控制软件下载站点的钓鱼网站传播恶意 MSI安装程序，且恶意程序会下载执行用于窃取加密货币钱包地址及密钥信息的组件，因此其攻击目标疑似更偏向于网络管理类人员以及涉及黑灰产的人员。 3.1.1.2 针对印度 南亚地区一直是亚洲 APT 攻击活动的重灾区，得益于其复杂多变的地缘政治局势和网络防御体系的相对薄弱，印度及其周边国家频繁成为高强度网络渗透和数据窃取的目标。APT 组织利用这一背景，通过灵活多样的技术手段，如鱼叉式钓鱼邮件、公共网络服务漏洞、恶意文件及后门程序等方式，持续展开针对性的网络攻击，意图收集敏感情报和战略数据，进而对区域内政府机构和关键基础设施进行长期监控和渗透。 这些攻击行动不仅对印度的政府、外交及军事机构构成直接威胁，也波及教育、金融及高科技企业等多个重要领域。攻击者在成功入侵后往往部署隐蔽后门，利用持续性控制手段窃取信息和破坏系统，形成一张错综复杂的网络威胁链条。整体来看，南亚地区复杂的政治环境与不断升级的 APT 攻击手段交织在一起，进一步加剧了该地区的网络安全挑战，也促使各方亟需加强国际合作与防御措施，以应对这一持续的安全威胁。 7 月，巴基斯坦的 TransparentTribe 组织对印度政府部门发动鱼叉式网络钓鱼攻击，向多个部门发送包含恶意文件的邮件。这些文件被压缩并隐藏在文档中，运行后会执行嵌入的 VBA 脚本，进一步提取并运行恶意程序。最终载荷是 TransparentTribe 组织常用的远程控制木马 CrimsonRAT，具备收集系统信息、下载并运行文件、窃取敏感信息等功能，危害极大。 8 月，STAC6451 组织利用暴露于公共网络的 Microsoft SQL Server，对印度多个行业的组织进行未经授权的访问，并启用 xp_cmdshell 以实现远程代码执行。 9 月，DragonRank 组织主要针对印度、其他亚洲国家以及少数欧洲国家，破坏托管企业网站的 WindowsInternet Information Services（IIS）服务器，植入 PlugX 和 BadIIS 恶意软件，以操纵搜索引擎优化（SEO）排名。 10 月，SideWinder 组织攻击了包括印度在内的国家的外交机构。攻击链始于带有附件的鱼叉式网络钓鱼邮件，附件通常是 Microsoft OOXML 文档（DOCX 或 XLSX）或 ZIP 压缩文件。 11 月，Earth Kasha 将目标扩展至印度、日本和中国台湾地区，特别是针对与先进技术相关的组织和政府机构。该组织利用公共应用程序中的漏洞，部署多种后门以保持持久性，主要动机是窃取受害者的信息和数据。 3.1.1.3 针对日本 近期，日本成为多个 APT 组织网络钓鱼攻击的重点目标。这些攻击主要针对制造业、研究机构、政府机构及相关组织，攻击者采用鱼叉式网络钓鱼邮件、伪装手法及利用合法服务平台等多种手段，传播恶意软件和文件。 具体而言，攻击者通过鱼叉式网络钓鱼邮件向目标组织发送精心设计的恶意文件，诱导受害者打开并执行其中的恶意代码。这些邮件通常伪装成合法的通信，利用受害者对发件人的信任，增加成功率。此外，攻击者还利用合法的云服务平台托管恶意文件，诱使受害者下载并执行，从而绕过传统的安全检测机制。这些活动显示，针对日本的 APT攻击正呈现出多样化和精细化的趋势，对关键领域构成重大威胁。 002 䎃♴⼱䎃Ⰼ椕⚺銳 "15 余ⴁ崞⸓䫣デ 7 月，MirrorFace 组 织 针 对 日 本 制 造 业 和 研 究 机 构 发 起 网 络 钓 鱼 攻 击， 企 图 获 取 主 机 用 户 权 限， 并 传 播LODEINFO 和 NOOPDOOR 恶意软件以进行数据窃取，被窃取的数据涉及 OneDrive、Teams、IIS 等服务。此外，攻击者还采用多种规避技术，绕过安全设备的检测。 10 月，俄罗斯 APT 组织 Midnight Bli