2024年上半年全球主要APT攻击活动报告

双子座实验室contents3从全局来看，2024年上半年，国际环境愈加复杂，地缘政治紧起与发展。在此期间，俄乌战争和巴以武装对抗持续进行，亚太、中东和欧美三大地区的主要国家普遍拥有更技水平和强大的国家级APT组织实力，这些地区间存在长期的政治博弈，因此，地缘政治驱动的APT活动在这些区从攻击国家来看，中国在2024年上半年仍然是APT组织的首要目标。各APT组织也展示了不同的攻击特征和主要通过供应链投毒针对运维人员；“FaCai”团伙则利用热点事件对国内企事业单位展开定向攻击。此外，还有专手段，渗透中国的军事、科研和制造等关键领域。这些多样化的APT活动对我国政府、军事、通信等领域网络安全4敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络强网络钓鱼攻击的效果。随着技术的发展，未来网络钓鱼攻击与AI技术的结合可能会成为一个新兴趋势。这意味着黑客可能会利用AI来优化钓鱼邮件的个性化程度，或者使用AI生成的深度伪造技术（deepfake）来模拟真实的人5）， 图1显示，2024年上半年，朝鲜APT团伙Kimsuky在攻击频率上位居榜首，重点攻击中国财两者并列第三。较2023年而言，巴基斯坦TransparentTribe组织活动有所6 能源\金融______/国防军工______/7根据图3数据发现，涉及通信和软件信息技术行业的攻击事 图4显示，APT组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过，相较上半年而言，供应链攻击和社会工程学活动明显增多。表1详细列出了2024年上半年APT组织最频繁利用的漏洞，以及它们所针厂商（漏洞数）针对系统、组件或服务厂商（漏洞数）针对系统、组件或服务Connect_secure，Policy_secure，Neurons_for_zero-Connect_secure，Policy_secure8厂商（漏洞数）针对系统、组件或服务厂商（漏洞数）针对系统、组件或服务Adaptive_security_appliance_software，Firepower_threat_defense2024年上半年，软件供应链的安全形势依然严峻。根据表一的数据，APT组织主要通过利用知名软件厂商产品品也成为APT组织高度关注的另一个重要攻击目标，其多款产品频繁遭受攻击。为了提升攻击成功率，APT组织往93.1地缘政治活动2024年上半年，全球网络空间安全形势日益复杂，国家级通常由一个或多个国家提供支持，拥有充足的资金、先进的技术和高素质的人才队伍。攻击者能够利用复杂的段，跨越地理疆界，在虚拟空间中进行精准打击，使得国际网络空间安全成为了一场无声但激烈的较量。这类攻亚太地区作为全球经济增长的重要引擎和科技创新的前沿阵地，其复杂的地缘政境，使之成为国家级APT攻击的重点关注区域。在这一区域，APT攻击呈现出高度精准、持续性强和战略目标明确我国作为全球第二大经济体，其庞大的市场和复杂的网络环境使其成为APT组织的首选目标。攻击活动不仅针对政府、军事、科研、金融，还扩展到通信、建筑、制造等关键基础设施。近期，针对我国的APT活动呈现多元化趋势，各组织展现出不同的攻击特征和目标。除了以财务人员为主要目标的银狐团伙，还出现了amdc6766新黑产组织，其通过供应链攻击针对运维人员；FaCai团伙则利用热点事件2024年1月，amdc6766黑产组织利用多种攻击手段，包括仿冒官方软件网站页面(AMH、宝塔、Xshell、从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，便会与攻击者的C2服务器建立DNS隧道连接。通过定向投毒运维部署工具，amdc6766长期远控低价值主机作为肉鸡，然后择机选择高价值目标进行深度控制。随后国家税务总局等方式，通过财务相关以及核酸检测退费等热点事件进行针对性的传播。其攻击对象主要为企的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。期间，值得一提的是广州某科技公司开1月末，Blackwood组织使用名为"NSPX30"的复杂恶意软件对包括中国科研院校、制造、贸易、工程等领域2月末，UTG-Q-007新黑客团伙针对中国等亚洲国家的建筑、房产营销、互联网等多个行业发起攻击并传播5月，Timitator新威胁组织采取鱼叉式钓鱼、历史漏洞利用等方式获取主机初始访问权限，并使用了一种新的由RUST语言编写的远控工具对我国的能源、高校、科研机构及军工等行业进行攻击。5月末，东亚新团伙朝鲜与韩国之间的政治关系依然紧张且不稳定，尽管偶尔存在对话与合作的迹象，但史遗留问题使得两国关系时常处于紧张状态，军事对峙和外交摩擦持续影响着朝鲜半岛的稳定。两国间其中，具有朝鲜国家背景的APT37、Kimsuky、Lazarus及其子组织（如Andariel）是主要的攻击力量。它们的攻击目标涵盖了韩国的政府、金融、数字货币领域及学术界，尤其是与朝鲜政治、人权和安全相关的个人攻击者采用了多种技术手段，包括社会工程学、鱼叉式网络钓鱼、利用云存储服务作为攻击平台、伪装合法利用合法软件更新机制植入后门等，旨在实1月，朝鲜Kimsuky组织利用伪装为韩国软件公司SGA旗下产品安装程序实施窃密行动。同月，该组织利用2月初，朝鲜APT37冒充网络研讨会主办方，以“2023年朝鲜形势评估和2024年展望”为活动主题分发中旬，朝鲜Lazarus旗下的Andariel组织对韩国企业发起持续性攻击，利用韩国资产管理解决方案安装恶意软3月末，朝鲜Kimsuky组织伪造携带恶意代码的韩国某事业单位的安装程序，下发Endoor后门。朝鲜Konni4月末，朝鲜Kimsuky组织在针对韩国的TutorialRAT恶意软件活动中，发动鱼叉式网络钓鱼攻击，伪装韩国朝鲜Kimsuky组织利用eScan防病毒软件的更新机制在大型企业网络上植入后门，并通过GuptiMin5月，Kimsuky组织使用新Linux后门Gomir攻击韩国。月末，该组织伪装成在韩国从事朝鲜人权领域工作的公职人员，并试图通过在线好友请求和专用信使来接触主要的朝鲜和安全相关工作人员。Kimsuky还利用6月，朝鲜Kimsuky组织部署可绕过Gmail、Kakao和Naver等多家著名电子邮件服务服务商安全措施的亚洲地区的第三大APT攻击活动高发区域无疑是南亚地区。南亚地区的政治对抗则主要集中在印度与巴基斯坦之间，两国目前的政治状况是历史遗留问题、军事对抗、恐怖主义、安全竞争及民族主义情绪交织构成的复度发起了多起网络攻击。这些组织采用多种攻击手段，包括通过社交软件传播伪装应用、使用ZIP文件和LNK附件投递远控木马以及通过恶意网站链接启动复杂感染流程等。攻击行业涵盖了政府、军事、教育等多个关键领1月末，TransparentTribe再次通过伪装成聊天软件的恶意样本中东地区的APT活动与区域内的政治冲突紧密相连。随着巴以冲突的武装对抗持续加剧，以及双方支持者的网在这一背景下，伊朗的政治立场对中东地区形成了独特的战略格局。伊朗致权，并坚决反对美国及其盟国的干预政策。其行动不仅受内部政治和宗教因素的驱动，还与国际关系密切相关。特别因此，与伊朗国家有关联的APT团体，其行动往往深受国家政治利益的驱动。这些组织通常将敌对国家的政府机构和地缘政治竞争对手作为主要攻击目标，利用网络空间1月下旬，伊朗APT35间谍组织的附属组织对比利时、法国、加沙、以色列、英国以及美国的大学和研究组织3月末，归属于伊朗情报与安全部的TA450欧美地区作为全球政治经济的核心枢纽，始终是APT攻击的主要舞台。这些攻击活动主要集中在情报搜集、政关键基础设施，以及对金融市场实施操控性干预。这些攻具体而言，针对乌克兰的攻击多集中于获取有关政治和军事的情报，以支持相关国家的地兰的网络攻击中展现出明显的特点。首先，这些组织扩展了攻击手段，如从最初的凭证网络钓鱼转向利用PDF文档传播恶意软件。其次，它们主要针对政府、军队和基础设施等关键目标，并且特别收集关于政治和军事活动的情报。再者，攻击者加大了对乌克兰的攻击力度，通过供应链投毒实现大规模破坏行动。总体而言，这些攻击活动呈现出多1月末，专注于针对非政府组织中的知名人士、前情报和军官、北约组织以及各国政府进行凭据网络2月末，俄罗斯WinterVivern组织利用Roundcu鲁吉亚、波兰和乌克兰的80多个组织，目标实体涵盖政施了破坏乌克兰共10个地区的20个能源、水和供暖供应商的信息和通信系统稳定运行的恶意行动，且攻击者主要针对美国的攻击主体涵盖了国家支持的APT组织（如伊朗的APT35）和跨国犯罪集团（如BogusBazaar和SmishingTriad攻击目标主要集中政府机构、金融部门、科技在美国国家政治经济中的核心地位及其面临的持续威胁。攻击组织的地理分布凸显了中东地区（如伊朗）、俄及其他地区与美国之间的地缘政治紧张关系。同时，针对加密货币公司和金融机构的攻击表明了网络犯罪分子1月下旬，伊朗网络间谍组织APT35的一个子组织针对美国的大学发起了攻击，旨在推送后门恶意软件，进而2月初，通常只在美国纳税期间的前几个月活跃，并主要针对北美地区的会计和金融组织开展以税收为主题的网TA4903黑客组织冒充美国的多个政府实体(包括美国劳工部、住房和城市发展部、交通部、商务部、农业部和4月下旬，具有俄语背景的出于非法经济犯罪目的的FIN7黑客组织通过伪装为合法网站的恶意扫描器网站，针5月末，UAC-0188组织利用利用微软著名扫雷游戏的Python克隆代码版本来隐藏针对 3.2重点行业攻击在2024年上半年，全球范围内的通信及软件信息技术服务、政府与国防军工、金融等关键行业均遭遇了不同程度的网络攻击。特别是APT组织通过精心策划的针对性网络钓鱼攻击、利用零日漏洞等技术手段，意图窃取敏感数2024年上半年，通信软件和信息技术行业仍然是APTamdc6766主导多起供应链攻击，通过在官方安装包中植入恶意链接，针对国内运维人员进行投毒攻击。其目标是控制低价值主机作为跳板，进而渗透高价值目标。Lazarus专注于区块链行业，在各大招聘平台上伪装标运行含有信息窃取程序的代码。UNK_SweetSpecter则利用AI相关主题的诱饵邮件，针对美国AI研究机构，投政府与国防军工行业对国家安全和战略利益至关重要。因此，2024年上半年，这两个领域继续受到黑客组织的频繁攻击。与此同时地缘政治的持续影响也使得这些行业成为主要目标。在攻击策略其中，值得关注的几起事件包括朝鲜Konni组织利用伪装为俄罗斯外交部使用的数据统计软件样本，窃取敏感2024年上半年的金融行业攻击手段主要包括传统的钓鱼攻击、木马后门部署以及漏洞利用等方式。值得特别关其中，银狐团伙对我国构成了较大的威胁，持续进行针对性的攻击。SecretCrow语音钓鱼组织则通过构建一系列伪装成执法机构和金融机构的钓鱼页面，并开发恶意Android应用程序，诱骗韩国受害者访问钓鱼网站。这些钓鱼页面及应用程序（如SecretCallsLoader和SecretCalls）旨在窃取受害者的资金，用于金融欺诈。Savvy该组织还使用聊天机器人与受害者互动，诱使他们进行大额投资，从而实现诈骗过程的自动化。这些攻需加强对地缘政治驱动的APT攻击的监控与防御，借助情报共享平台和国际合作机制，针对国家级APT组织的活动特别是在对财务人员、运维人员等关键岗位的保护上，实施定制化的安全措施和定期培训。应注重提升对新再次，应加强对零日漏洞的检测与响应能力。组织需要建立高效的漏洞管理体系，实施实时时间时间