2024年上半年全球主要APT攻击活动报告

2024年上半年全球主要APT攻击活动报告目录contents目录P3 概述P5 P9 P15 总结P15 附录01概述2024APT100APT187TTP2024年上半年01概述地缘政治类APT攻击活动拥有核心地位地缘政治类APT攻击活动拥有核心地位从全局来看，2024年上半年，国际环境愈加复杂，地缘政治紧张局势在一定程度上加速了国家级APT组织的崛起与发展。在此期间，俄乌战争和巴以武装对抗持续进行，亚太、中东和欧美三大地区的主要国家普遍拥有更高的科技水平和强大的国家级APT组织实力，这些地区间存在长期的政治博弈，因此，地缘政治驱动的APT活动在这些区域中占据了核心地位。针对我国的APT组织呈现多元化攻击特点针对我国的APT组织呈现多元化攻击特点2024APTAPT“amdc6766”主要通过供应链投毒针对运维人员；“aCa”团伙则利用热点事件对国内企事业单位展开定向攻击。此外，还有专门以间谍活动为目的的知名APT组织，如印度的“BITTER”和“SideWinder”，通过鱼叉式网络钓鱼和漏洞利用等手APT构成了严峻挑战。APT组织实力增强，零日漏洞利用率大幅提升APT组织实力增强，零日漏洞利用率大幅提升，2024APT（、UTA0178UNC5221）AltoNetworksCiscoAPT2024年上半年全球主要APT攻击活动报告AI或将与网络钓鱼联系得更加紧密AI或将与网络钓鱼联系得更加紧密从未来发展来看，随着人工智能（AI）技术在金融、医疗、法律等诸多行业的广泛应用，AI系统成为了处理大量敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络钓鱼等IUNK_etpeerIAIuarGh0tT。此外，AIIIAI（deepae）来模拟真实的人物或场景，以此欺骗目标人群。02APT组织攻击数据披露RedQueen187APT（主要涵盖知名组织及有影响力的攻击），对2024APT02APT组织攻击数据披露2.1活跃组织 2024TOP10APTCharmingKittenFIN7TurlaKonniAPT37amdc6766Transparent

APT44Lazarus12024TOP10APT

Kimsuky银狐APT2812024ATimsukyLazarusAPT282023nsaentribeamdc67662024年上半年全球主要APT攻击活动报告2.2攻击目标 2024APTTOP10巴基斯坦 缅波兰白俄罗斯以色列

日本中国俄罗斯乌克兰韩国

美国印度22024TOP10APT22024APT来看，APT2.3攻击行业 2024APTTOP10制造业

交通运输能源

社会组织

通信及软件信息技术服务教育与科研金融国防军工

政府32024APTTOP10325.33%，其次政府和国防军工部门分别占17.90%12.66%20239.17%，升至第四位。2.4主要攻击手段 2024年上半年APT组织主要攻击手段统计如下：勒索软件社会工程学漏洞利用鱼叉式网络钓鱼

水坑攻击僵尸网络

钓鱼攻击木马后门42024APT4APT应链攻击和社会工程学活动明显增多。表12024APT对的厂商和软件产品。厂商（漏洞数） 针对系统、组件或服务 漏洞号Microsoft（5）365_apps，Office，OutlookCVE-2023-23397Windows、WindowsServerCVE-2024-21412CVE-2022-38028CVE-2024-21338OfficeCVE_2017_11882Ivanti（2）Connect_secure，Policy_secure，Neurons_for_zero-trust_accessCVE-2024-21893Connect_secure，Policy_secureCVE-2023-46805Rarlab（1）WinrarCVE-2023-38831PHP，Fedoraproject（1）php，fedoraCVE-2024-45772024年上半年全球主要APT攻击活动报告厂商（漏洞数） 针对系统、组件或服务 漏洞号Oracle（1）Weblogic_serverCVE-2017-3506Cisco（1）Adatie_security_appliane_softae，Fieper_tht_deenseCVE-2024-20353Paloaltonetworks（1）Pan-osCVE-2024-3400Connectwise（1）ScreenconnectCVE-2024-1709Igniterealtime（1）OpenfireCVE-2023-32315Aiohttp，Fedoraproject（1）Aiohttp，FedoraCVE-2024-2333412024APT2024，APT组织主要通过利用知名软件厂商产品中OffieWindwsTIantiAPT组织高度关注的另一个重要攻击目标，其多款产品频繁遭受攻击。为了提升攻击成功率，APT组织往往03APT03APT2024APTAPT亚太地区亚太地区作为全球经济增长的重要引擎和科技创新的前沿阵地，其复杂的地缘政治格局和快速发展的数字经济环境，使之成为国家级APT攻击的重点关注区域。在这一区域，APT攻击呈现出高度精准、持续性强和战略目标明确的特点，主要针对政府机构、关键基础设施、高新技术企业以及金融机构等高价值目标。在亚太地区，APTAPT针对我国我国作为全球第二大经济体，其庞大的市场和复杂的网络环境使其成为APTAPT趋势，各组织展现出不同的攻击特征和目标。除了以财务人员为主要目标的银狐团伙，还出现了amdc6766新黑产组织，其通过供应链攻击针对运维人员；aCaiATBITTERidWindr，正通过鱼叉式网络攻击和漏洞利用等手段，渗透我APT20241，amdc6766(AMH、宝塔、Xshell、Navit)(LMP、Oninack)bIT从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，便会与攻击者的C2DNS定向投毒运维部署工具，amdc6766长期远控低价值主机作为肉鸡，然后择机选择高价值目标进行深度控制。随后Rootkit1月-6IP-**ard1BITTER后门程序，以窃取我国军事机密。2024年上半年全球主要APT攻击活动报告月末，Blackod"NSX30"AitMWSOffieQQNSPX30NSPX30C2月末，UG-Q007新黑客团伙针对中国等亚洲国家的建筑、房产营销、互联网等多个行业发起攻击并传播ROTbotDgerflyMgBotNightdoor。CoralRaiderGh0stTimor新威胁组织采取鱼叉式钓鱼、历史漏洞利用等方式获取主机初始访问权限，并使用了一种新的由RUST语言编写的远控工具对我国的能源、高校、科研机构及军工等行业进行攻击。5月末，东亚新团伙UTG-Q-010AISidinderoffie2007、2013、216CVE-2017-11882，来窃取对国内高校和政府机构的机密数据。针对韩国朝鲜与韩国之间的政治关系依然紧张且不稳定，尽管偶尔存在对话与合作的迹象，但两国之间的深层次分歧和历史遗留问题使得两国关系时常处于紧张状态，军事对峙和外交摩擦持续影响着朝鲜半岛的稳定。两国间发生了一系列网络攻击事件，但目前披露的APT事件主要集中于韩国一方。其中，具有朝鲜国家背景的APT37、Kimsuky、Lazarus及其子组织（如Andariel）是主要的攻击力量。它们的攻击目标涵盖了韩国的政府、金融、数字货币领域及学术界，尤其是与朝鲜政治、人权和安全相关的个人和组织。攻击者采用了多种技术手段，包括社会工程学、鱼叉式网络钓鱼、利用云存储服务作为攻击平台、伪装合法软件以及利用合法软件更新机制植入后门等，旨在实现信息窃取、持续性渗透和加密货币挖矿等目的。此外，攻击者不断更新LiuxGomirTANSLTET出其技术能力的不断提升和对目标的深入了解。KimsukySAdropbox月初，朝鲜APT37冒充网络研讨会主办方，以“2023年朝鲜形势评估和2024年展望”为活动主题分发APT37LarsAndarielAndarLoaderModeLoader。KmsukyEdooronniAutoItKimsukyurialT政策会议、咨询会议、调查问卷、讲座指导等HTML页面类型方式，并采取新战术，通过利用合法的DropBox云存储作为攻击基地，以逃避威胁监控范围。朝鲜APT37通过与朝鲜人权专家相关的钓鱼邮件，投递RokRat远控程序。imsukySanutiMiner件传播加密货币矿工软件。月，KmukyLiuxGomr攻击韩国。月末，该组织伪装成在韩国从事朝鲜人权领域工作的公职人员，并试图通过在线好友请求和专用信使来接触主要的朝鲜和安全相关工作人员。KimsukySmallTigerKimsukyGmail、KaaoNaer等多家著名电子邮件服务服务商安全措施的TRANSLATEXT针对印度APT之间，两国目前的政治状况是历史遗留问题、军事对抗、恐怖主义、安全竞争及民族主义情绪交织构成的复杂局面。APT、SideCopyCosmicLeopardZIPLNK投递远控木马以及通过恶意网站链接启动复杂感染流程等。攻击行业涵盖了政府、军事、教育等多个关键领域。攻击目的主要是收集情报、窃取数据和进行网络间谍活动。1ansantibeWhappAndid装成AadhaarPicsStudentProfileAPKRlmRat1ansantribeLaasy发起钓鱼攻击，旨在控制受害者设备和采集信息的目的。SideCopyLNKZIPReverseRatCosmicLeopard组织持续使用GravityRAT和HeavyLift"OperationCelestialForce"中东地区络行动主义行为不断升级，网络攻击事件的频率和烈度显著上升。在这一背景下，伊朗的政治立场对中东地区形成了独特的战略格局。伊朗致力于在中东地区建立其政治和战略霸权，并坚决反对美国及其盟国的干预政策。其行动不仅受内部政治和宗教因素的驱动，还与国际关系密切相关。特别是，伊朗长期以来与以色列保持敌对状态，强烈反对以色列在巴勒斯坦问题上的政策。APT获得有利地位。在当前中东复杂多变的政治环境中，这些网络攻击行为无疑加剧了地区的紧张氛围和安全挑战。2A--3(ICD)"Samecoin1HomelandJustice#DestroyDurresMilitaryCampNoJutieindws(MEK)2024年上半年全球主要APT攻击活动报告APT35间谍组织的附属组织对比利时、法国、加沙、以色列、英国以及美国的大学和研究组织中从事中东事务的知名人士发起了攻击，旨在推送后门恶意软件，进而窃取机密信息。harmingKienBASIAR"对中东政策专家发动了一系列钓鱼攻击。伊朗UNC1549瞄准伊朗在内的中东国家的国防、航空航天部门，通过钓鱼攻击传播包含以色列哈马斯相关内容或虚假工作机会的虚假网站链接，最终导致主机下载MINIBIKE或MINIBUS恶意负载。TA450APT33FalseFont"SwordsofIronWar"MuddyWaterC2：DarkBeatC2。MuddyWaterITAgent(IG-IO)CharingKien欧美地区APT在这一地区，APT深远影响。具体而言，针对乌克兰的攻击多集中于获取有关政治和军事的情报，以支持相关国家的地缘政治目标。而针对美国的攻击则涉及更广泛的领域，包括破坏金融市场稳定以及对关键基础设施的潜在威胁。针对乌克兰2024APT组织（Calisto、WinterVivern、APT28APT44）在对乌克PDF传播恶意软件。其次，它们主要针对政府、军队和基础设施等关键目标，并且特别收集关于政治和军事活动的情报。再者，攻击者加大了对乌克兰的攻击力度，通过供应链投毒实现大规模破坏行动。总体而言，这些攻击活动呈现出多样化、目标明确、技术手段复杂以及对特定区域的高度集中性特点。CalistoPDFinerViernouncube()80月下旬，俄罗斯APT28来激活感染链。APT44Kapeka)。该组织还实1020通过毒害供应链来提供受感染或易受攻击的软件，或通过软件供应商访问组织系统来渗透目标网络。隶属于俄罗斯总参谋部(GRU)26165APT28WindowsPrintSpoolerGooseEgg"的新型入侵后自定义工具来提升权限并窃取凭证，其攻击目标包括乌克兰、西欧和北美的政府、非政府组织、教育和交通部门。6月初，APT28组织分三个阶段部署了HeadLace恶意软件，并利用凭证收集网页发起了一系列针对包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的智库等领域的恶意攻击活动。针对美国针对美国的攻击主体涵盖了国家支持的APT组织（如伊朗的APT35）和跨国犯罪集团（BogusBazaarTriad），攻击目标主要集中政府机构、金融部门、科技公司、学术机构和关键基础设施，反映了这些行业在美国国家政治经济中的核心地位及其面临的持续威胁。攻击组织的地理分布凸显了中东地区（如伊朗）、俄罗斯以及其他地区与美国之间的地缘政治紧张关系。同时，针对加密货币公司和金融机构的攻击表明了网络犯罪分子对金融（AI（如伪装政府实体和关键基础设施渗透（如针对防火墙的零日漏洞攻击）在现代网络战略中的重要性。APT35窃取机密信息。TA576Spider使用名为"CryptoChameleon"FCC)Binance、Coinbase、KrakenGeminiTA4903(BEC)月末，UNC5174F5BIG-IPCVE-2023-46747ScreenConnectCVE-2024-1709GOREVERSEGoAltoNetworksPAN-OSGlobalProtectCVE-2024-3400UTA0218Python：UPSTYLE。FIN7Anunak75,000BogusBazaar850,0005，UNK_SweetSpecterSugarGh0stAI月末，-0188ython恶意脚本，进而实施钓鱼攻击。月中旬，Smishing信钓鱼活动。2024年上半年全球主要APT攻击活动报告3.2重点行业攻击 2024APT接下来，我们将深入探讨这些行业所面临的具体攻击特征及其潜在影响。针对通信及软件信息技术服务行业的攻击2024年上半年，通信软件和信息技术行业仍然是APT攻击的主要目标，其中运维、加密货币和人工智能领域尤其脆弱。攻击者主要通过虚假招聘、伪装应用程序、利用零日漏洞和供应链攻击等手段进行渗透，目的多为窃取敏感信息，以用于政治对抗或经济利益。近期被利用的重要零日漏洞包括CVE-2024-21412、CVE-2024-26169、CVE-2024-23334、CVE-2024-3400、CVE-2024-21338、CVE-2024-20353、CVE-2024-20359Microsoft、Aiohttp、AltoNetworksCisco在针对软件行业的APT组织中，amdc6766、Lazarus、UNK_SweetSpecter三个组织尤为活跃。其中，amdc6766主导多起供应链攻击，通过在官方安装包中植入恶意链接，针对国内运维人员进行投毒攻击。其目标是控制低价值主机作为跳板，进而渗透高价值目标。Lazarus标运行含有信息窃取程序的代码。UN_etSperAIAISugarGh0st针对政府与国防军工行业的攻击政府与国防军工行业对国家安全和战略利益至关重要。因此，2024年上半年，这两个领域继续受到黑客组织的频繁攻击。与此同时地缘政治的持续影响也使得这些行业成为主要目标。在攻击策略上，黑客组织采取了多种手段，一方面，它们针对国防军工、外交和安全部门的人员，发送伪装成合法的钓鱼邮件，以窃取敏感信息。另一方面，黑客组织还利用零日漏洞，部署一系列定制的恶意软件，用于间谍活动和信息窃取。onni信息。UTA0178UNC5221IvantiConnectSecureVPN针对金融行业的攻击金融行业作为国家发展的关键行业，因其潜在的巨大经济利益，一直以来都是黑客组织攻击的主要目标。因此，20242024年上半年的金融行业攻击手段主要包括传统的钓鱼攻击、木马后门部署以及漏洞利用等方式。值得特别关注的黑客组织包括银狐团伙、SecretCrowSavvySeahorse其中，银狐团伙对我国构成了较大的威胁，持续进行针对性的攻击。SecretCrow语音钓鱼组织则通过构建一系列伪装成执法机构和金融机构的钓鱼页面，并开发恶意Android应用程序，诱骗韩国受害者访问钓鱼网站。这些钓鱼页面及应用程序（如SecretCallsLoader和SecretCalls）旨在窃取受害者的资金，用于金融欺诈。SavvySeahorse组织采用了DNSCNAME记录创建一个流量分配系统（TDS），以支持其金融诈骗活动并规避检测。此外，该组织还使用聊天机器人与受害者互动，诱使他们进行大额投资，从而实现诈骗过程的自动化。这些攻击手段和策略显示了金融行业面临的持续和复杂的网络安全威胁，也反映出黑客组织在攻击技术上的不断演进。04总结APTAPT04总结APT段的识别能力，并结合实际情况优化防御策略。再次，应加强对零日漏洞的检测与响应能力。组织需要建立高效的漏洞管理体系，实施实时漏洞扫描和修补，以尽早发现并修复系统中的安全漏洞，降低被攻击的风险。05附录AIAIA05附录时间 APT事件 组织名称 攻击行业628日Kimsuky组织部署TRANSLATEXT扩展以针对韩国学术界Kimsuky教育与科研627日俄罗斯多个行业遭到ReaverBits组织攻击ReaverBits批发零售、通信及软件信息技术服务、金融、制造业、社会组织626日Kimsuky组织新型后门HappyDoor披露Kimsuky625日印度响尾蛇组织近期针对国内的攻击活动剖析SideWinder政府、教育与科研624日SneakyChef间谍组织利用SugarGh0st瞄准政府机构SneakyChef政府624日游蛇黑产团伙针对财税人员分发恶意木马银狐22024APT2024年上半年全球主要APT攻击活动报告时间 APT事件 组织名称 攻击行业624日APT-C-56通过Linux桌面文件投递Poseidon恶意组件TransparentTribe624日Boolka组织使用BeEF框架构建网页传播多种恶意软件Boolka通信及软件信息技术服务621日Kimsuky组织疑似以军工招聘为饵攻击欧洲Kimsuky国防军工621日UNC3886组织近期间谍活动详情披露UNC3886政府、通信及软件信息技术服务、制造业、国防军工、能源、公用事业620日VoidArachne组织利用Winos4.0C2框架攻击中文用户VoidArachne620日攻击俄罗斯的ExCobalt团伙使用新的GoRed后门ExCobalt619日ONNXStoreMRxC0DER618日银狐黑产组织最新攻击样本详细分析银狐617日OperationCelestialForce：CosmicLeopardCosmicLeopard国防军工、政府、通信及软件信息技术服务617日疑似巴勒斯坦黑客组织UTA0137向印度政府传播DISGOMOJI恶意软件UTA0137政府617日AridViper组织利用AridSpy木马开展移动端间谍活动APT-C-23614日Cardinal组织利用Windows权限升级漏洞作为零日漏洞Storm-1811通信及软件信息技术服务614日StickyWerewolf以视频会议邀请为诱饵攻击俄罗斯航空航天行业StickyWerewolf制造业613日SmishingTriadSmishingTriad交通运输613日Kimsuky组织近期RandomQuery活动分析Kimsuky613日PHPCGIWindowsTellYouThePassLucifer服务业、金融、医疗612日REF6127通过开展招聘主题的钓鱼活动部署WARMCOOKIE后门REF6127611日SilverValleyRAT银狐610日ExCobalt组织持续开发GoRed后门以攻击俄罗斯公司ExCobalt通信及软件信息技术服务、政府、能源610日CommandoCatDockerCommandoCat通信及软件信息技术服务6月7日UAC-0200利用DarkCrystalRAT恶意软件攻击乌克兰关键组织UAC-0200政府、国防军工6月7日OperationsControlPlug：DarkPeonyMSCDarkPeony政府、国防军工6月6日FaCai团伙通过某翻译软件的引流服务实施钓鱼攻击FaCai22024APT时间 APT事件 组织名称 攻击行业6月5日UNC1151再次出击：针对乌克兰国防部进行钓鱼攻击活动UNC1151国防军工6月4日俄罗斯APT28利用HeadLace恶意软件渗透欧洲关键网络APT28交通运输、国防军工、教育与科研6月3日Konni黑客组织使用俄罗斯政府软件安装包进行攻击Konni政府6月3日UAC-0195借助流行社交媒体发起以投票为主题的钓鱼活动UAC-0195531日LilacSquid组织信息公开LilacSquid531日FlyingYeti组织对乌克兰居民实施钓鱼活动UAC-0149531日8220Gang利用OracleWebLogic服务器漏洞部署挖矿程序8220Gang通信及软件信息技术服务530日SapphireWerewolf组织瞄准俄罗斯关键行业下发窃密程序SapphireWerewolf教育与科研、通信及软件制造业业529日Hellhounds组织持续攻击俄罗斯Hellhounds529日MoonstoneSleet组织瞄准区块链、AI等多个行业Storm-1789通信及软件信息技术服工529日KiteshieldPacker被多个黑客组织用于绕过杀软检测APT17、amdc6766528日SharpDragon组织进军非洲和加勒比海地区SharpPanda527日SmallTiger恶意软件被用于瞄准韩国多个关键行业Kimsuky国防军工、制造业527日UnfadingSeaHaze黑客组织瞄准东南亚国家UnfadingSeaHaze527日银狐团伙近期发起以核酸检测退费为主题的钓鱼活动谷堕大盗527日UAC-0188组织利用微软扫雷游戏的克隆版本实施钓鱼攻击UAC-0188金融524日TransparentTribe组织瞄准印度政府、国防和航空航天部门TransparentTribe政府、国防军工、制造业523日UAC-0006组织向乌克兰投递SMOKELOADER恶意软件UAC-0006522日IkaruzRedTeam画像介绍IkaruzRed522日APT32组织针对Office软件的常用钓鱼文件剖析APT32通信及软件信息技术服务522日UTG-Q-010：瞄准国内AI和游戏行业UTG-Q-010通信及软件信息技术服务521日VoidManticore组织瞄准以色列实施破坏性攻击活动VoidManticore520日Kinsing黑客组织信息披露Kinsing通信及软件信息技术服务520日Kimsuky组织对韩国和日本发起钓鱼攻击Kimsuky520日amdc6766团伙再次实施供应链投毒攻击活动amdc6766通信及软件信息技术服务22024APT2024年上半年全球主要APT攻击活动报告时间 APT事件 组织名称 攻击行业517日Kimsuky组织使用新的Linux后门Gomir攻击韩国Kimsuky517日SugarGh0stRAT被用于攻击美国人工智能专家UNK_SweetSpecter教育与科研、政府516日银狐团伙借助某终端安全管理软件发起钓鱼攻击谷堕大盗通信及软件信息技术服务516日TurlaAPT组织使用Lunar工具包攻击欧洲外交部Turla政府516日Storm-181组织利用QuickAssist工具部署勒索软件Storm-181通信及软件信息技术服务515日SideCopy组织近期瞄准印度大学生SideCopy教育与科研515日Telegram汉化软件暗藏后门病毒金眼狗通信及软件信息技术服务515日蔓灵花组织利用Replit平台的攻击活动分析BITTER514日Timitator组织针对国内用户分发Rust特马Timitator能源、教育与科研与科研、国防军工514日PhantomCore组织向俄罗斯多个行业发起钓鱼攻击PhantomCore能源513日FIN7组织使用Google广告来分发MSIX恶意文件FIN7511日Lazarus组织针对区块链从业者实施攻击活动Lazarus通信及软件信息技术服务510日银狐钓鱼团伙2024年1-5月攻击特点剖析谷堕大盗交通运输、服务业、教育与科研、通信及软件信息技术服务、金融5月9日BOGUSBAZAAR犯罪团伙运营囊括数万域名的虚假电商网络BogusBazaar通信及软件信息技术服务5月9日APT28对波兰政府机构发动大规模恶意软件活动APT28政府5月9日礼品卡欺诈团伙Storm-0539针对零售公司Storm-0539批发零售5月6日伊朗APT42组织最新网络钓鱼活动追踪CharmingKitten国际组织、教育与科研与科研、文体娱乐5月6日SecretCrow语音网络钓鱼组织对韩国实施金融欺诈活动SecretCrow金融430日银狐黑产团伙大规模针对财税人员谷堕大盗金融428日LightSpy恶意软件变种瞄准macOSAPT41428日SideCopy组织利用钓鱼攻击针对印度政府投递远控木马SideCopy政府426日Kimsuky劫持eScan防病毒更新以部署GuptiMiner恶意软件Kimsuky通信及软件信息技术服务426日APT73：一个自称为APT的勒索软件组织APT73425日MuddyWater使用合法AteraAgent远控工具获取初始访问权限MuddyWater交通运输、通信及软件信息技术服务、医疗22024APT时间 APT事件 组织名称 攻击行业425日ArcaneDoor活动：UAT4356组织借助思科零日漏洞入侵全球政府网络UAT4356通信及软件信息技术服务、政府425日ScalyWolf组织通过钓鱼攻击下发WhiteSnake窃取程序ScalyWolf政府425日WindowsPrintSpoolerAPT28APT28424日国内企事业单位正遭到FaCai钓鱼团伙的攻击FaCai424日ScarCruft利用恶意LNK文件投递RokRat远控程序APT37423日APT43组织近期针对韩国的TutorialRAT恶意软件活动分析APT43423日乌克兰20个重要机构遭俄罗斯APT44组织破坏APT44公用事业、能源423日ToddyCat组织使用的数据窃取工具和隧道工具公开ToddyCat国防军工、政府419日Lazarus组织利用CVE-2024-21338漏洞攻击亚洲技术人员Lazarus通信及软件信息技术服务419日Sandworm组织在攻击东欧的活动中部署新的Kapeka后门APT44419日俄罗斯Sandworm组织升级为APT44，目标是全球关键基础设施APT44社会组织、国防军工、文体娱乐、政府、交通交通运输、能源418日FIN7组织针对美国汽车制造公司部署Anunak后门程序FIN7制造业417日朝鲜Kimsuky组织近期活动TTP分析Kimsuky416日SteganoAmor活动：TA558正大规模攻击全球公司与机构TA558415日GlobalProtect防火墙零日漏洞遭UTA0218组织利用UTA0218通信及软件信息技术服务411日eXoticVisit间谍活动瞄准印度和巴基斯坦安卓用户VirtualInvaders411日RUBYCARP僵尸网络组织揭秘RUBYCARP411日TA547疑似使用大模型工具生成脚本向德国实体分发Rhadamanthys恶意软件TA547批发零售410日StarryAddax组织正利用新恶意软件瞄准北非的人权活动人士StarryAddax社会组织4月9日MuddyWater组织最新攻击框架DarkBeatC2分析MuddyWater4月8日金融相关人员近期遭游蛇团伙攻击谷堕大盗金融4月7日SolarSpiderJsOutProxSolarSpider金融4月7日LazyKoala组织利用LazyStealer窃取器攻击多个国家LazyKoala教育与科研、金融、医疗、政府4月5日越南CoralRaider组织对亚洲多个国家实施数据窃取活动CoralRaider4月5日金眼狗团伙伪造VPN恶意安装包植入定制化gh0st木马金眼狗22024APT2024年上半年全球主要APT攻击活动报告时间 APT事件 组织名称 攻击行业4月3日EarthFreybugUNAPIMONEarthFreybug4月1日EarthKrahangLinodasEarthKrahang329日东盟实体遭到StatelyTaurus等APT组织入侵MustangPanda政府、国防军工327日Machete组织近期活动披露Machete327日金相狐黑产团伙利用AI人脸识别技术实施金融诈骗GoldenPhysiognomyFox能源、金融326日韩国虚拟货币行业参与者遭到Konni组织投递AutoIt恶意脚本Konni通信及软件信息技术服务325日UNC5174组织利用公开漏洞渗透美国等多个地区的机构UNC5174325日俄罗斯APT29组织利用WineLoader后门攻击德国政党APT29政府325日CloudWerewolf组织瞄准俄罗斯政府CloudWerewolf政府322日APT-C-09以巴基斯坦联邦税务局为诱饵发起钓鱼攻击WhiteElephant政府322日TinyTurla攻击链新细节揭露Turla社会组织322日伊朗CuriousSerpens组织旗下FalseFont后门揭秘APT33交通交通运输322日TA450使用与薪酬有关的诱饵来针对以色列员工MuddyWater320日Kimsuky组织使用韩国企业有效证书签名的恶意软件感染韩国用户Kimsuky319日EarthKrahang组织瞄准多个国家和地区EarthKrahang政府、教育与科研319日ITG05组织针对全球目标开展网络钓鱼活动APT28通信及软件信息技术服运输318日ShadowSyndicate组织开始利用Aiohttp漏洞窃取信息ShadowSyndicate通信及软件信息技术服务318日DarkGate恶意软件活动实施SmartScreen零日漏洞攻击DarkCasino通信及软件信息技术服务315日NGC2180黑客团伙使用DFKRAT进行监视活动NGC2180314日MicosoftDeenderSmartSceenerHda织利用DarkCasino金融、通信及软件信息技术服务314日RedCurl组织近期活动使用Windows合法服务绕过安全限制RedCurl312日Andariel组织滥用韩国资产管理解决方案分发MeshAgentLazarus311日藏语用户疑似遭到EvasivePanda组织攻击Daggerfly社会组织311日MagnetGoblin组织使用1day漏洞针对互联网服务器MagnetGoblin通信及软件信息技术服务3月8日APT37利用朝鲜政治话题向韩国发起钓鱼攻击APT3722024APT时间 APT事件 组织名称 攻击行业3月7日TA4903组织冒充美国政府机构实施BEC攻击TA4903政府、建筑与地产、金融、制造业、服务业、能源3月6日GhostSec联合Stormous团伙对多个国家实施双重勒索攻击GhostSec、Stormous国防军工、交通运输、能源、制造业、通信及软件信息技术服务3月5日TA577组织使用新型攻击链窃取NTLM信息TA5773月5日NoName057(16)组织DDoSia项目持续更新NoName057(16)3月4日黑客针对FCC和加密货币公司发动高级Okta网络钓鱼攻击ScatteredSpider(定)政府、通信及软件信息技术服务3月4日FluffyWolf组织冒充建筑公司分发多种恶意程序FluffyWolf通信及软件信息技术服务、建筑与地产3月4日GTPDOOR恶意软件利用GPRS协议感染电信网络LightBasin通信及软件信息技术服务3月1日欧洲外交官遭到SPIKEDWINE组织攻击SPIKEDWINE政府229日SavvySeahorseDNSCNAMESavvySeahorse金融229日Lazarus组织在官方Python存储库中发布恶意Python包Lazarus通信及软件信息技术服务229日MysteriousWerewolf组织向俄罗斯军事工业委员会下发RingSpy后门MysteriousWerewolf国防军工228日中东国家的航空航天和国防部门遭到伊朗组织UNC1549攻击UNC1549制造业、国防军工228日UAC-0184组织采用图像隐写术向乌克兰企业推送RemcosRATUAC-0184227日越南DuckTail组织近期针对数字营销人员的攻击活动剖析DuckTail通信及软件信息技术服务227日EarthLusca组织对中国台湾发动钓鱼攻击EarthLusca政府226日CharmingKitten组织利用新型BASICSTAR后门瞄准中东政策专家CharmingKitten226日WinterVivern黑客借助Roundcube漏洞入侵80多个组织WinterVivern政府、国防军工225日与哈马斯APT-C-23组织相关的Samecoin恶意软件活动追踪APT-C-23223日新型组织UTG-Q-007利用越南语木马瞄准亚洲地区UTG-Q-007建筑与地产、通信及软件信息技术服务223日SideWinder组织使用基于Nim语言的远控程序SideWinder政府220日朝鲜黑客针对国防部门进行供应链攻击事件披露Lazarus国防军工、政府219日GoldFactoryiOSGoldPickaxeGoldFactory金融218日erHdaDarkCasino金融22024APT2024年上半年全球主要APT攻击活动报告时间 APT事件 组织名称 攻击行业216日Turla团伙向波兰非政府组织投递新型后门TinyTurla-NGTurla社会组织2