2024年APT洞察报告

2 0 2 4 A PT I N S I G H T R E P O RTS 千里目 - 深瞻情报实验室 目录 漏洞利用视角03 0day漏洞利用趋势已披露的各APT组织0day漏洞利用情况0406 攻击技巧视角09 初始打点－依然防不胜防执行/持久化－内核态对抗愈发激烈防御规避－失效的马奇诺防线收集/窃取－情报和加密货币并重10162022 针对安全人员的定向攻击针对国防军工的科研情报窃取供应链投毒事件黑产组织持续活跃GenAI时代下的网络攻防网络攻击到物理攻击252932373942 地缘视角下的全球APT组织44 东亚欧洲中东北美51545862 APT防御视角：如何构建可靠的防御体系63 防御体系框架人员安全意识培训资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营中心完善取证和响应机制646768697072 附1：深信服智安全风险监测平台APT画像平台73 附2：深信服千里目安全技术中心深瞻情报实验室75 参考链接77 前言 2024 年，深信服千里目安全技术中心深瞻情报实验室（以下简称“深瞻情报实验室”）持续对全球范围内的多个 APT（高级持续性威胁）组织和网络犯罪团伙进行长期跟踪和分析。通过持续监测，我们见证了 APT 组织攻击手段的持续迭代升级、攻击图景的不断扩张以及组织结构的不断分化与重组，APT 组织已从几年前的“乌合之众”演变为更为正规和专业的团伙。当前，APT 已成为网络空间中社会影响最广、防御难度最高、与地缘政治博弈关联最紧密的斗争形态，成为国际关系中不可忽视的重要组成部分。 政治和经济形势的变化正在加速 APT 威胁的演变。地缘政治紧张局势催生了更多由国家主导的情报型网络攻击，而全球经济衰退和动荡则加剧了针对加密货币、敏感信息与科技情报的经济型攻击活动。与此同时，网络黑产犯罪团伙的活动日益猖獗，其高级技术与 APT 组织的技术界限逐渐模糊。据统计，每三起网络攻击中就有一起是勒索软件攻击，攻击者使用的手法和技巧已与常规 APT 组织几乎无异。然而，许多企业和组织的安全建设仍难以应对这种高水平的网络攻击威胁。高级网络攻击已不再遥不可及，APT 攻击的防御与溯源挑战也不再仅限于政府等关键行业，网络攻击对经济、科技和民生发展的隐患已迫在眉睫。 防御能力与 AI 技术（特别是生成式 AI）的演进也在推动 APT 攻击组织的技术不断升级。攻击者在获取初始权限后，立即通过各种手法挂起或禁用杀毒软件，已成为众多攻击组织的必选项。各种深入操作系统甚至固件的持久化手法层出不穷，前所未见的钓鱼文档类型被攻击者发现并利用。此外，更具耐心的开源软件供应链攻击逐渐浮出水面，针对安全人员的定向攻击也显示出攻击者目标的多样化。基于大语言模型（LLM）的攻击技术与防御技术成为全球安全厂商讨论的焦点。值得注意的是，攻击者仅需 22 分钟即可利用 AI 技术将新披露的 0day 漏洞转化为可用于实战的攻击工具，这凸显了防御窗口的极大缩短。 在 0day 漏洞方面，操作系统和浏览器类漏洞数量最多，表明这两类漏洞仍是 APT 攻击的主要入口，主要原因在于操作系统和浏览器在用户设备中的广泛使用及其低攻击成本。随着移动互联网渗透到人们生活和工作的各个领域，攻击者的目光也开始转向移动互联网，个人用户将更直接地面临复杂且危险的网络恶意活动。此外，国产软件的发展为针对我国的黑客团体提供了新的攻击面。 纵观 2024 年披露的 APT 事件，以国家背景的窃密攻击和渗透仍占据最大比重，而以经济为目的的定向勒索攻击也将触角伸向新的行业和地区。展望 2025 年，随着 AI 技术的持续发展，网络攻防烈度将进一步加剧；开源软件供应链攻击将不断增加；加密货币价值的升高将推升针对加密数字货币的攻击次数和窃取金额；对操作系统的深入理解将推动更复杂的攻击利用链；在社会工程学攻击中，生成式 AI（GenAI）将发挥更大作用。 深瞻情报实验室基于 2024 年跟踪的 APT 组织动向及事件响应溯源，将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球 APT 组织视角以及 APT 攻击防御视角五个视角详细阐述本年度 APT 趋势洞察。 声明 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞻情报实验室，目的仅为帮助客户及时了解中国或其他地区 APT 威胁的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，或您对本报告内容有任何问题与建议，可联系深信服官方。 主要观点 与地缘政治博弈深度关联的 APT 组织攻击手段持续迭代，地缘政治紧张催生更多情报窃取型网络攻击，全球经济的衰退动荡加剧了加密货币窃取和定向勒索等以经济利益为目的的攻击。 APT 组织利用操作系统和浏览器类 0day 漏洞最为频繁，且利用第三方组件 0day 漏洞的供应链攻击数量持续上升。 APT 组织与网络犯罪团伙敏锐捕捉社区前沿攻击技术变化，生成式 AI 极大地加速了新攻击技术与工具的应用。 展望 2025 年，伴随 AI 技术发展，网络攻防将更激烈；开源软件供应链攻击会增多；对操作系统的深入洞察将催生更复杂的攻击链；加密货币升值和 AI 时代 GPU 算力激增将导致窃取和算力滥用事件增加；生成式 AI 在社会工程学攻击中的作用将愈发凸显。 摘要 2024 年，深瞻情报实验室监测到 31 个在野 0day 漏洞，其影响操作系统、浏览器、应用程序、硬件设备等应用或组件。因操作系统和浏览器使用广泛且攻击成本低，相关 0day 漏洞最多。 02初始打点时，新钓鱼手法与开源软件供应链投毒频发，AI 加速 0day 漏洞利用；执行 / 持久化阶段，Rootkit等内核对抗更激烈；防御规避阶段，对抗 EDR 并致盲 / 关闭 / 卸载的事件和工具不断曝光；收集 / 窃取阶段，窃密组件迭代迅速。 APT 组织定向攻击国内多行业及安全人员，采用开源软件供应链投毒、鱼叉式钓鱼、绕过安全设备等手段，多起攻击被深瞻情报实验室监测溯源。 生成式 AI 在攻防领域应用广泛且发展势头不减，安全厂商需警惕攻击者借 AI 加速攻击，确保自身更有效运用新技术。 APT 攻击与地缘政治相互影响，深瞻情报实验室持续跟踪南亚、东亚、欧洲、中东、北美地区的 APT 动态。 06基于对攻击技巧和 APT 组织的长期跟踪分析，深瞻情报实验室针对 APT 防御体系、人员安全意识、资产管理、安全设施管理等方面给出针对性建议与策略。 0day漏洞利用趋势 2024 年我们监测到多个 APT 组织利用多个平台以及应用的 0day 漏洞开展攻击。据统计，APT 组织使用的 0day 漏洞约 31 个，这些漏洞主要涉及 Microsoft、Google、Apple 等 8 个厂商的 10 个产品，产品类型主要分为操作系统、浏览器、应用程序和硬件设备。漏洞类型主要为内存破坏和逻辑错误，通过利用这些漏洞，可以对目标系统造成较为严重的危害。 0day 漏洞利用情况 “Project Zero”是一项由谷歌发起的互联网安全项目，旨在发现、跟踪和修补全球范围内的在野 0day 漏洞。根据该项目捕获的在野 0day 漏洞利用情况来看，2024 年发现的 0day 漏洞数量与 2022 年和 2023 年同比均有不同程度的减少，2024 年共有 31 个 0day 被利用，而 2023 年共有 56 个 0day 被利用，2022 年共有 41 个 0day 被利用。 针对 2024 年的 31 个在野 0day 漏洞利用情况进行深入分析，可以得出以下三点总结： 操作系统和浏览器类的 0day 漏洞数量最多，表明这两类漏洞仍然是 APT 攻击的常见入口。由于操作系统和浏览器在用户设备上的广泛使用且攻击成本低，这使得这两类漏洞成为攻击者首选的渗透途径。 国产软件正逐渐成为攻击者的重要目标。在过去的一年中，APT-C-60 组织曾利用某国产办公软件任意代码执行漏洞（CVE-2024-7262）用于高级渗透和窃取敏感数据。同时，这也是 Project Zero 项目首次收录国产软件漏洞，这表明随着国产软件的普及，其安全性正在受到更大的威胁。 由第三方组件导致的 0day 漏洞利用越来越多，攻击者倾向利用第三方组件漏洞进行供应链攻击。在近一年的 0day 漏洞利用中，针对第三方组件的利用比起往年更加频繁，主要体现在浏览器组件中。V8 是由 Google 开发的开源JavaScript 和 WebAssembly 引擎，它被广泛用于各种应用程序中，最著名的是 Chrome 浏览器和 Node.js 运行时环境，2024 年的在野 0day 漏洞中就有 5 个漏洞是由于 V8 引擎存在漏洞导致的（CVE-2024-4761、CVE-2024-4947、CVE-2024-5274、CVE-2024-7971、CVE-2024-7965）。 0day 漏洞利用平台趋势 我们通过对 2015 年以来的在野 0day 攻击漏洞所属平台进行定量分析，可以看出操作系统和浏览器两种类型的 0day 漏洞数量较多，占据主要部分。从攻击难度和攻击效益来看，浏览器 0day 漏洞攻击实施复杂度低、攻击效益高。但是从 2024年的在野 0day 漏洞数据来看，浏览器 0day 漏洞整体占比有所下降，主要原因在于近两年来，所有主流浏览器均采取了新的防御措施，使浏览器漏洞利用难度逐渐增加，所以浏览器 0day 漏洞利用的占比呈下降趋势。 已披露的各APT组织0day漏洞利用情况 Lazarus 卡巴斯基全球研究与分析团队（GReAT）发现，2024 年，东北亚的 Lazarus APT 组织利用 Google Chrome 浏览器JavaScript 引擎 V8 中的两个 0day 漏洞（CVE-2024-4947 和 V8 沙箱绕过漏洞），针对全球加密货币参与者和投资者发起恶意攻击活动，旨在安装间谍软件并窃取钱包凭证，最终获取经济利益。 在攻击筹备阶段，Lazarus 组织盗用了一款合法加密游戏的源代码，修改了其品牌名称和 Logo，创建了一个欺骗性的游戏复制品，并精心设计了一个虚假的加密游戏网站。该网站通过社交媒体平台上的社会工程学策略进行传播，以全球 NFT坦克对战为噱头吸引用户。该网站表面看似专业的 NFT 坦克游戏页面，实则隐藏恶意脚本。当用户访问该网站时，脚本在 Chrome 浏览器中运行，利用上述漏洞执行远程代码，在用户无感知的情况下获取系统权限。随后，攻击者可能运行shellcode 进行信息收集，根据 CPU、操作系统版本等信息决定是否进一步释放窃密程序实施攻击。 为增强可信度，Lazarus 组织不仅创建了 X（Twitter）和 LinkedIn 等社交媒体账号，进行了数月的游戏推广，还利用生成式 AI 生成图像。此外，他们试图拉拢加密货币领域的网红助力推广，直接针对其加密账户，以扩大攻击影响范围。 Lazarus 组织此次利用了两个关键的 0day 漏洞，其中包括谷歌开源 JavaScript 和 WebAssembly 引擎 V8 中的一个此前未知的类型混淆漏洞（CVE-2024-4947，由卡巴斯基报告给谷歌后修复），此漏洞可使攻击者执行任意代码并绕过安全功能。同时，还利用了另一个漏洞绕过谷歌 Chrome 的 V8 沙箱保护，通过用户访问虚假游戏网站触发漏洞，从而实现恶意软件的植入。 此次攻击活动凸显了 Lazarus 组织的高度复杂性和危险性，其攻击手段不仅依赖先进的漏洞利用，还融合了社会工程和生成式 AI 技术，对全球加密货币投资者及相关企业构成了严重威胁。 攻防场景下横向移动阶段技战法分析 谷歌威胁分析小组（TA