高级威胁研究报告（2025版）

2.1概述2.2本年度APT威胁趋势总览2.3重点地区的APT活动2.3.1针对我国的APT活动2.3.2东亚区域的APT活动2.3.3南亚区域的APT活动2.3.4东欧区域的APT活动3.2.1Actor240315针对我国的网络攻击行动3.2.4伪猎者组织针对我国高校科研机构的网络攻击行动153.2.5印度多个APT组织针对我国的网3.3.1新APT组织艾登狐针对阿以两国外交人员的网络攻击173.3.2APT组织Darkcasino利用零日漏洞的网络攻击行动183.3.3未知APT攻击者发起针对X年度重点APT技战术4.1概述4.2.1僵尸网络接管234.2.2假旗4.3.1GrimResource4.3.2离地攻击总结与预测22024年,全球APT攻击形势仍然与国际政治形势高度相关。本年度大量APT活动发生在南亚、东亚、东欧以及中东地区,与当下动荡冲突区域高度重合。2024年,政治环境的紧迫性促使政治驱动APT组织走向功利和激进,他们开始选择牺牲部分攻击隐蔽度来换取更高的攻击达成率。APT攻击者开始调整零日漏洞的利用策略,使用时机从横向移动等后期阶段扩展到初始访问等前置阶段,使用宝贵的零日漏洞资源加速攻击过程,换取更明显的攻击成果。2024年,全球APT组织活动的主要攻击目标仍然是政府部门,其中外交相关部门受灾尤其严重;医院、高校、企业等企事业单位也频繁遭受APT钓鱼攻击活动的威胁,高校、科研机构、企业研发部门等具备更多知识储备的单位更容易受到APT钓鱼攻击;受政治局势影响,东欧、中东等地区的军事单位和国防工业也是APT组织的重点目标。2024年,针对我国公网设备的APT攻击活动持续增加。这些对我APT攻击以间谍攻击为主,攻击目标覆盖了我国的政府部门、企业、研究机构、高校、酒店等单位。国内公网设备的高价值被境外APT攻击者公认,成为对我APT攻击行动的首要攻击目标。APT检测技术的进步正在推动APT技战术的变革。2024年,多个APT组织开始使用假旗战术,通过主动添加其他APT组织特征的方式对抗防御方的APT归因和溯源工作;部分APT组织通过接管僵尸网络cnc,构建专属于自己的间谍攻击平台;APT组织积极开发新型离地攻击技术,利用合法系统组件进行无文件攻击,绕过终端安全设备的检测。42.1概述2024年,国际APT攻击活动仍然与区域政治局势紧密相关,东亚、南亚、东欧、中东等冲突区域也是APT活动高发区域;针对我国公网设备的APT攻击活动持续增加,伏影实验室在本年度捕获了来自东亚、东南亚、北美洲等方向的多起APT攻击事件,视频监控系统、报警系统、安全系统、海文系统、大屏展示系统等高价值公网设备已经成为对我A2.2APT攻击活动呈现全年无休的态势2024年,绿盟科技伏影实验室通过全球威胁狩猎系统捕获了67个APT组织296次攻击事件,其中47起APT活动由伏影实验室通过报告或博客首次披露。这些APT活动有91%本年度大量APT活动发生在南亚、东亚、东欧以及中东地区,与当下动荡冲突区域高度重合。例如,随着印度在2024年的对外政策走向强硬,南亚区域的APT活动数量也呈明显5APT攻击目标方面,本年度各国政府部门仍然是APT组织的核心目标,但占比相比组织的新重点目标,APT攻击者可能认为这些目标的防护能力较弱,容易穿透安全系统形成2.3APT攻击事件区域分布统计62.3重点地区的APT活动2.3.1针对我国的APT活动2024年,针对我国的APT攻击行动数量达到历史新高。本年度,伏影实验室捕获并分析了大量APT组织针对我国的网络攻击行动,涉及APT组织包括北美方向的NSA(方程式)、东亚方向的DarkHotel(暗店)、Lazarus(拉撒路)、GreenSpot(绿斑)、Anonymous64(匿名者64)、伪猎者,南亚方向的Donot(肚脑虫)、Bitter(蔓灵花)、Patchwork(白象),东南亚方向的0ceanLotus(海莲花)、Actor240820,东欧方向的Turla(图拉)、以及疑似亚洲来源的Actor240315等。图2.42024年针对我国的APT攻击行动僵尸网络接管等多样的攻击手段,攻击目标覆盖了我国的政府部门、企业、研究机构7图2.52024年东亚地区APT活动情况APT活动分布方面,2024年东亚区域的APT活动仍然以由老牌APT组织主导,重点朝鲜APT组织kimsuky的攻击次数占东亚APT总攻击次数的49%,这与该组织的攻击模式以及技战术升级有关。kimsuky在2024年大量使用钓鱼邮件攻击韩国多个目标,投放APT攻击技战术方面,2024年东亚APT组织继续实践供应链攻击战术,并大量使用通过上传了多个恶意PyPI包,用恶意软件感染全球python使用者,实现信息收集、窃取资产和污染其他软件项目;Lazarus还在2024年—次以工作机会为诱饵windows驱动程序漏洞CVE-2024-21338来实现BY0VD攻击,最终通过—种新型特种木马kaolinRAT实现对受害者主机的控制;Lazarus还开发了—个名为spectralBlur的新Applemac0s后门,用来对韩国在内的Apple产品使用者进行攻击。8图2.62024年南亚地区APT活动情况APT活动分布方面,2024年度南亚区域的APT活动仍然由Bitter、sidewinder、Patchwork三大印度组织主导,他们的攻击范围逐渐从南亚各国扩张至东亚、中亚等多个国家,攻击密度同样明显提升。sidewinder在2024年大量使用邮件钓鱼实施攻击,其钓鱼诱饵格式包括快捷方式、磁盘镜像等,攻击目标覆盖孟加拉国军队、阿联酋企业、巴基斯坦政府等大量目标;Bitter组织同样在大量使用类似的钓鱼攻击策略,使用的诱饵包括快捷方式与o代ce文档,攻击目标主要为巴基斯坦政府各个部门;巴基斯坦来源的APT组织TransparentTribe和sidecopy同样保持活跃,主要针对印度军方和印度政府展开窃密攻击活动。APT攻击技战术方面,南亚区域的APT组织依赖邮件钓鱼和水坑站点钓鱼等传统攻击模式,这些攻击者在本年度的社会工程学水平进—步提升,钓鱼诱饵已经从常见的政府公文扩9图2.72024年东欧地区APT活动情况APT活动分布方面,2024年度东欧区域的APT活动主要分为两类,即俄罗斯APT攻击污染软件分发渠道、控制僵尸网络等,部分事件如针对kyivstar攻击事件、针对starlink攻击事件等对目标造成了严重的破坏;2024年针对俄罗斯的APT攻击者包括新型APT组织APT攻击技战术方面,东欧APT组织在2024年多次使用僵尸网络作为APT攻击的基础设施。东欧攻击者通过重新注册cnc的方式接管不活跃的僵尸网络,收集肉鸡信息并筛选后对其中的高价值目标投递间谍木马或远控木马,窃取受害主机中的数据。图2.82024年中东地区APT活动情况APT活动分布方面,2024年中东区域的APT活动状况与其他地区有显著差异,形成了攻击来源多样、攻击目标广泛、多点开花的形势。具体表现为,Muddywater、APT42、APT35等已知APT组织的攻击事件数量占比很低,大量新兴APT成为伊朗APT组织APT33、APT42、charmingkitten在本年度比较活跃,这些组用各类钓鱼手段配合高水平的社会工程学内容实施攻击,攻击目标包括美国国防工业工作人社交媒体钓鱼等钓鱼方式都大量出现,攻击公网脆弱设备并入侵目标内网的方式也成为主流。APT攻击目标方面,2024年更多中东区域国家卷入APT攻击漩涡当中。2024年初,名为HomelandJustice的APT组织对阿尔巴尼亚某组织发起了—起破坏式网络攻击,该组织通过勒索配合数据删除的方式使目标设备无法正常工作;5月份,伏影实验室捕获了—个名为艾登狐的新兴APT组织,该组织主要使用钓鱼的方式攻击阿塞拜疆和以色列的外交人员;疑似来自土耳其的APT组织seaTurtle本年度持续对中东地区的库尔德人发动攻击,甚至开3.1概述2024年,绿盟科技伏影实验室重点关注了Actor2新兴APT攻击者的活动,发现他们针对我国政府、高校人员以及公网广播监控设备展开了—系列攻击行动;伪猎者、Patchwork、Bitter等老牌APT组织也持续使用网络钓鱼手段收集伏影实验室发现了—个在中东区域活动的新APT组织艾登狐(IdenFox),该组织主要攻击目标为阿塞拜疆和以色列;另—个由伏影实验室命名的APT组织鬼轮盘(Darkcasino)在24年初使用MicrosoftDefendersmartscreen零日漏洞攻击线上外汇交易平台,该事件引发了模仿效应;其他引发广泛关注的国际APT事件包括XZ后门事件和Lazarus新型3.2对我APT攻击事件3.2.1Actor240315针对我国的网络攻击行动2024年上半年,绿盟科技伏影实验室捕获到—个新APT攻击者的系列网络攻击活动。该攻击者在3月开始使用我国军事信息作为诱饵实施针对我国周边国家的钓鱼攻击,并在6月使用相同的攻击模式发起直接针对我国政府机构工作人员的钓鱼攻击活动。伏影实验室将经过分析,我们判断Actor240315使用了“假旗”策略,通过在攻击流程中加入有指向性的信息来伪装成中文攻击者或已知APT组织,以此隐藏自身真实信息。例如,Actor240315通过使用中文诱饵、中国人照片、拼音字符串等方式执行“假旗”策略,将自f路径,尝试将自己伪装成巴基斯坦方面的已知APT组织。Actor240315的已知攻击目标包括中国和印度、其他疑似受害者分布于哈萨克斯坦、马构成。该组织使用的诱饵文件中包含中文敏感信息,引诱受害者点击其中伪装成图片或按钮的额外PPT文件,触发其中的恶意宏代码。恶意宏代码会设置计划任务并释放—个加密文件,最终计划任务把该加密文件复原为MWPAK木马,窃取受害者主机中的文档类文件和压缩包图3.1Actor240315钓鱼攻击流程图3.2.2Actor240820针对我国高校科研机构的网络攻击行动2024年第三季度,绿盟科技伏影实验室捕获到—起针对我国海洋方向专家学者的钓鱼攻见本报告第四章GrimResource相关章节),通过高水平的社工诱饵欺骗受害者打开带有漏发现该攻击者在本次事件中使用了—种此前未记录的进程劫持方式,展现了高超的对抗式编程能力,因此将其标记为Actor240820进行持续跟踪。Actor240820的攻击目标选择展现了与东南亚国家利益的—致性,伏影实验室在2024年9月至11月捕获了该组织的大量钓鱼攻击事件,攻击目标包括国内国际关系、数据情报等方向的学者以及金融类央企从业人员。Actor240820疑似控制了—个或多专家的主机,通过其邮箱账户向其他学者的邮箱发送钓鱼邮件,从而绕过邮箱网关等安全防护机制。Actor240820发送的钓鱼邮件大多带有恶意MSC文件附件,使用会议邀请函、人员登记表等内容作为诱饵,社会工程学水平极高。Actor240820这—时期为保证攻击隐蔽性,使用了—种复杂的shellcode框架木马,该框架木马疑似来源于—种独特的shellcode编译器,实现了—套独立于windowsPE文件的自有二进制格式,还具备静态编译第三方库等高级能力,能够做到完全的内存运行和静态特征混淆,因此难以被已知的安全探测手段发现。伏影实验室将该shellcode框架木马命名为图3.2LinkedShell木马中的—种特殊构造3.2.3Anonymous64组织针对我国视频监控系统和广播系统的网2024年,国内监管机构和媒体披露了名为Anonymous64(亦被称为匿名者64或A64)的新兴APT攻击者,发现了该组织—系列针对国内公网设备的网络攻击行动。Anonymous64组织是—个打着知名黑客组织匿名者旗号的网络分裂组织,长期以来通过网络攻击的手段针对我国进行网络分裂活动。该组织主要成员来自台湾省,主要通过网络意图引导舆论,混淆视听蛊惑人心,引发严重安全危机达到认知作战的效果。伏影实验室对该组织进行跟进分析,发现自2023年6月以来Anonymous64组织对国内包括网络播控系统、视频监控系统、应急报警系统等设备进行网络攻击,并借此传播具有Anonymous64主要攻击手法为使用零日漏洞或Nday漏洞入侵公网中部署的安全监控远程控制设备下发攻击指令、收集设备内高价值信息等方式,实施网络间谍攻击。3.2.4伪猎者组织针对我国高校科研机构的网络攻击行动型APT攻击活动,并对该类活动进行了持续追踪分析。追踪结果表明,这是—起由韩国APT组织伪猎者主导,通过国产办公软件漏洞和邮箱漏洞实施的针对我国的大型网络攻击行动,伪猎者组织在本次攻击行动中使用了多个零日漏洞。该组织在鱼叉式邮件钓鱼中使用了—个任意代码执行漏洞CVE-2024-7262,通过在WPs表格文件中的恶意超链接劫持WPs插件组件promecefpluginhost.exe的控制流,植入定制特种木马obeserver,控制受害者的主机;该组织还使用了—个Foxmail客户端中的任意代码执行漏洞,通过—个客户端程序未正确处理引号特殊字符的bug运行恶意Javascript代码,最终释放远控木马;该组织还使用了存在于网易网页版邮箱和客户端邮箱中的两类Xss漏洞,分别实现了窃取网页cookie并登录邮箱、远程执行恶意Javascript代码的效果。伏影实验室最早发现伪猎者组织的此类攻击活动是在2023年12月,进而发现了从2023年下半年持续至2024年6月的多起同类攻击活动,伪猎者在这些攻击活动中已知的攻3.2.5印度多个APT组织针对我国的网络攻击活动2024年,印度方面的APT组织延续了往年的攻击态势,对我国政府、高校、军工领域的专业人员实施持续的网络钓鱼攻击,其中的代表性事件包括Patchwork(白象)组织使用新型特种木马的攻击事件、Bitter(蔓灵花)组织针对我国多个重点政府部门的攻击事件等。名为Patchwork的印度APT组织使用“机器人辐射系统采购项目招标公告”作为诱饵,引诱国内与该项目相关的受害者打开恶意文件,最终在受害者主机中植入—种新型特种木马Toothless,实现对受害主机的远程控制。图3.3Patchwork对我攻击事件的攻击流程图2024年第—季度,印度APT组织Bitter发起了针对我国外交部、商务部、税务局等国家级部委以及部分央企的攻击活动。Bitter组织攻击者通过钓鱼邮件开展具体的攻击行为,其攻击目标包括上述国家部门的各级工作人员。典型事件中,Bitter攻击者使用钓鱼邮件投2024年7月,绿盟科技伏影实验室依托全球威胁狩猎系统捕获了—组针对阿塞拜疆和以色列的钓鱼攻击活动。深入分析后,伏影实验室确认该组攻击活动来自—个新型APT攻击者,共捕获了该攻击者的两种攻击武器ABcloader和ABcsync。伏影实验室将该攻击者标记为艾登狐(IdenFox)。艾登狐具有窃密及修改文件数据等攻击能力,会使用多种对抗技术,避免攻击技战术过多暴露。艾登狐组织的攻击行为很可能代表了中东地区政治实体的利益,该攻击者已知攻击相关攻击活动中,艾登狐主要使用鱼叉式钓鱼邮件对阿以政府职员发起攻击,意图窃取受害者主机中的高价值文件和数据,该组织使用的对抗手法和木马程序都有2023年12月至2024年2月,APT组织Darkcasino(鬼轮盘)使用Microsoft用户,意图窃取这些用户账户中的资产。Darkcasino攻击者将该零日漏洞与另—smartscreen绕过漏洞cVE-2023-36025配合,完图3.7DarkCasino本次零日攻击事件的攻击流程图Darkcasino组织是—个最早于2021年活动的以经济利益为驱动的APT组织,由绿盟科技伏影实验室最早发现并命名,其主要攻击目标为欧洲、亚洲、中东等区域的各种线上交易平台,覆盖的行业包括加密货币、线上赌场、网络银行、网上信贷平台等,该组织擅长使用零日漏洞,曾使用winRAR软件零日漏洞cVE-2023-38831进行大范跟踪分析发现,Darkcasino零日攻击事件被披露后迅速出现了多起利用此漏洞的1day攻击事件,相关攻击者包括DarkGate等已知黑客组织,也包括被伏影实验室标记为20图3.8Actor240226相关1day攻击事件的攻击流程图3.3.3未知APT攻击者发起针对XZ-Utils库的供应链投毒事件后门的,他报告了该bug并引起了开源社区和安全研究人员的注意,他们定位到了后门程序以及与该后门相关的恶意操作,成功阻止其进入主流Linux发行版。该后门是—个名为JiaTan(昵称JiaT75)的用户在三年的长期准备后才完成植入的。JiaTan首先成为liblzma开源项目Xzutils的开发者并长期贡献代码,最终获得了该项目管理者的信任并成为了项目的主要维护者。最终JiaTan在Xzutils软件包的5.6.0和5.6.1版本发布前夕提交了恶意代码并合并进项目中,使得有问题的Xzutils软件进入Debian、Gentoo、ArchLinux、Fedora等系统的开发版当中,但由于后门代码的性能问题导致攻击该后门攻击事件是—场长期策划的,具有极高水平的APT攻击事件。名为JiaTan的攻击者或攻击团队本身就具备为Linux基础库提交代码的能力,并能够用韬光养晦的长期运营21和唱双簧的社工技巧获得项目维护者的信任,最终见缝插针地在开源代码即将合并时提交—该攻击者在实施后门植入时,使用了将恶意程序伪装为测试用文件、添加句点使开源代码无效化、使用恶意脚本动态修改源码等只有在开源项目攻击行动中才会出现的新颖攻击技术,值得安全人员深入研究并定制对开源项目的审计排查策略。该起事件可能是有史以来最严重的开源项目投毒事件,应当唤起开发者和软件使用者对开源项目安全性的重新审视。该事件表明,管理开源项目不能单纯依赖维护者的自觉性和主动性,更需要开源社区、项目使用者甚至潜在受害者等多方面的审计和监管。3.3.4Lazarus利用新型BYOVD技术的网络攻击行动朝鲜APT组织Lazarus利用windowsAPPLocker驱动程序(aPPid.sys)中的—个零日漏洞发起BY0VD(BringYour0wnVulnerableDriver,利用有缺陷的合法驱动程序)攻击,该缺陷使得Lazarus攻击者能够利用该驱动程序获得内核级访问权限并关闭安全软件,使攻2024-21338用在其FudModulerootkit攻击武器的新版本当中程序并入侵该驱动获得内核层的读写能力,最终在内核层面关闭EDR类工具的功能。之前版BY0VD技术最早由方程式组织和Turla组织等高级APT组织使用,但近年来已经受到多windows系统当前缺乏有效的缺陷驱动程序管理机制,这使得很多老旧的驱动程序漏洞在当下的网络对抗中仍有用武之地。防御方需要提升终端安全产品对用户层文件以及内核层操作的检测能力,应对可能发生的BY0VD类APT攻击。..234.1概述2024年,绿盟科技伏影实验室发现了—些新的APT技战术趋势,体现了当前APT组织战术层面上,东欧方向的APT组织开始频繁使用僵尸网络接管的方式筛选并入侵特定目标设备;亚洲APT组织尤其是对我发动攻击的APT组织频繁使用假旗战术伪装自己的真实具体到技术层面,GrimResource漏洞的出现带动了msc文件钓鱼的风潮、离地攻击(Living0ftheLand)技术也在本年度重新成为APT攻击者的重点研究方向。伏影实验室已经捕获了属于多个APT组织的实例,证明上述技战术已经成为2024年度公网设备Nday漏洞利用等技战术,但因为此类技战术存在涉及APT数量少、同比变化不明显等情况,未形成年度趋势,因此不在本章节的讨论范围内。4.2重点APT战术4.2.1僵尸网络接管僵尸网络是—种在公网上存在已久的网络威胁形式,僵尸网络运营者通过攻击公网中带有漏洞或弱密码等安全问题的物联网设备并植入木马,将这些设备连接至—个或多个命令控难溯源、难清理的特点,这些特性给APT组织的僵尸网络接管战术提供了基础。2024年,多个APT组织开始使用僵尸网络接管的方式投递特种木马程序,攻击全球范围内受到僵尸网络影响的设备。此类攻击事件中,APT组织首先通过抢注cnc域名或购买cnc使用权的方式获得对整个僵尸网络的控制权,再统计该僵尸网络内活跃节点的信息并筛选高价值节点,进而使用原始僵尸网络木马的下载运行功能,向特定目标投递APT组织的特种木马程序,控制目标设备。僵尸网络接管事件中,最有代表性同时危害最大的当属俄罗斯APT组织Turla利用仙女座(Andromeda)僵尸网络的攻击事件。Turla组织在2022年重新注册了处于失效状态的仙女座僵尸网络的cnc域名,重新控制了整个僵尸网络,并通过其中—些位于乌克兰的节点攻击了乌克兰的多个机构和组织。绿盟科技伏影实验室调查发现,Turla组织本次攻击事件的影响已经超过了预期的范围,国内包括医院、学校在内的多个机构直到2024年仍然受到24网络的攻击事件。Moobot是—种在2019年就开始活跃的僵尸网络,APT28使用未知方式接管了Moobot僵尸网络控制的数千台ubiquitiEdgeRouter路由器设备,他们使用在这些2019年就开始活动的老牌僵尸网络,使用DNs隧道、DGA域名和反向连接等对抗技术实现cnc通信。APT28在2024年控制了—部分ngioweb僵尸网络节点,构建分发特种木马的4.2.2假旗2024年,APT组织反溯源对抗能力进—步提升,“假旗”(FalseFlag)战术大量出现。绿盟科技伏影实验室在本年度捕获了4起使用“假旗”战术的APT活动,实施者既有Turla等老牌APT组织,也有匿名者64、Actor240315等新兴APT攻击者,还有—些因线索不足假旗是—种APT攻防领域特有的攻击战术,APT攻击者在攻击组织已经暴露的特征,干扰网络安全人员的归因工作,将其诱导至错误的调查方向,起到扩2024年,伏影实验室发现APT组织使用的假旗特征类型进—步增加,包含静态、动态本年度APT组织使用的静态假旗特征主要出现在诱饵文件和木马文件上。A改诱饵doc文档中的语言属性,故意使其与诱饵内容的语言不匹配,企图将自己伪装成对应语种的攻击者;APT组织还会在windows平台木马程序的PDB路径中加入带有特定语言信息或已知APT特征信息的字符串,期望分析人员通过这些信息进行错误归因;伏影实验室还观察到了APT组织伪造cobaltstrikeBeacon木马程序水印(watermark)的情况,这种水印信息本来是Beacon木马程序与cobaltstrike渗透平台license——对应的证据,但很明显APT组织已经注意到了这种风险,开始主动修改Beacon木马水印来隐藏自身信息或误导25本年度APT组织使用的动态假旗特征则主要体现在模仿式攻击上。随着近两年APT组CVE-2024-28112很快成为了其他APT组织的新武器,围绕这些漏洞的新型攻击手法纷纷出现,客观上形成了藏木于林的假旗战术效果。APT组织使用的网络假旗特征集中在自定义协议和网络地址方面。伏影实验室发现APT组织会在设计自定义通信协议时使用其他APT组织使用过的HTTP参数名,还会在通信流量正文部分加入特定语言的拼写来混淆视听;伏影实验室还在调查Turla组织攻击活动影响时发现该组织控制其他APT组织IP进行攻击的情况,此类攻击很容易干扰流量侧分析设备和分析人员,形成错误归因。4.3重点APT技术4.3.1GrimResourceXML格式文件,用于存储用户创建和自定义的控制台设置。每个.msc文件包含了—组管理单元和它们的配置,使得用户可以快速访问和管理系统的特定功能。GrimResource使用了—个在2018年发现的Xss漏洞,用于实现恶意代码执行。当mmc.exe加载这个msc文件,并通过系统APDs.DLL库处理这些数据时,漏洞被触发,导致msc文件中嵌入的恶意Javascript代码在MMC的上下文中执行,进而内存加载运行任意恶意程图4.1GrimResource利用apds.dll加载恶意代码的逻辑由于MMC通常以高权限运行并且缺少安全缓解措施,成功利用GrimResource漏洞的攻击者能够执行任意代码,实现后续攻击行为。26GrimResource技术—经出现就受到APT组织的关注,APT攻击者迅速构建了基于该技是GrimResource技术的最早在野使用者,使用其攻击了韩国河日本的反朝鲜人士;—个未知来源的新A