2024年上半年全球主要APT攻击 活动报告 2024-07 双子座实验室 2024年上半年全球主要APT攻击活动报告 目录 contents P3概述 P5APT组织攻击数据披露 P9重大APT攻击活动 P15总结 P15附录 01概述 2024年上半年,天际友盟持续对APT组织及其活动进行追踪总结,总共披露了全球100个APT组织的187起攻击活动,通过对其中出现的威胁组织及TTP的具体分析,我们总结出2024年上半年APT组织活动攻击特点如下: 地缘政治类APT攻击活动拥有核心地位 从全局来看,2024年上半年,国际环境愈加复杂,地缘政治紧张局势在一定程度上加速了国家级APT组织的崛起与发展。在此期间,俄乌战争和巴以武装对抗持续进行,亚太、中东和欧美三大地区的主要国家普遍拥有更高的科技水平和强大的国家级APT组织实力,这些地区间存在长期的政治博弈,因此,地缘政治驱动的APT活动在这些区域中占据了核心地位。 针对我国的APT组织呈现多元化攻击特点 从攻击国家来看,中国在2024年上半年仍然是APT组织的首要目标。各APT组织也展示了不同的攻击特征和目标。例如,高度活跃的银狐团伙主要借助即时通讯工具、搜索引擎瞄准财务人员;新出现的黑产组织“amdc6766”主要通过供应链投毒针对运维人员;“FaCai”团伙则利用热点事件对国内企事业单位展开定向攻击。此外,还有专门以间谍活动为目的的知名APT组织,如印度的“BITTER”和“SideWinder”,通过鱼叉式网络钓鱼和漏洞利用等手段,渗透中国的军事、科研和制造等关键领域。这些多样化的APT活动对我国政府、军事、通信等领域网络安全构成了严峻挑战。 APT组织实力增强,零日漏洞利用率大幅提升 从攻击手段来看,2024年上半年,多个APT组织(如UAT4356、UTA0178和UNC5221)成功利用Microsoft、Aiohttp、PaloAltoNetworks和Cisco等知名公司产品的零日漏洞,发起了多起网络攻击。这些攻击不仅展示了攻击者在技术上的成熟度,还反映出APT组织的整体实力和技术能力显著增强。 2024年上半年全球主要APT攻击活动报告 AI或将与网络钓鱼联系得更加紧密 从未来发展来看,随着人工智能(AI)技术在金融、医疗、法律等诸多行业的广泛应用,AI系统成为了处理大量敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络钓鱼等手段,获取对AI系统的访问权限,以便进一步窃取或操控关键信息。已经发现有组织如UNK_SweetSpecter组织利用了与AI相关的主题作为诱饵邮件,针对美国AI研究机构投递SugarGh0stRAT。此外,AI技术本身也在被用于增强网络钓鱼攻击的效果。随着技术的发展,未来网络钓鱼攻击与AI技术的结合可能会成为一个新兴趋势。这意味着黑客可能会利用AI来优化钓鱼邮件的个性化程度,或者使用AI生成的深度伪造技术(deepfake)来模拟真实的人物或场景,以此欺骗目标人群。 02APT组织攻击数据披露 天际友盟根据自有平台RedQueen中记录的187起APT攻击事件(主要涵盖知名组织及有影响力的攻击),对2024年上半年APT组织攻击数据进行披露如下: 2.1Top10活跃组织 2024年上半年TOP10活跃APT组织统计如下: MuddyWaterCharmingKitten FIN7 Turla Konni APT37 amdc6766TransparentTribe APT44 Lazarus 图12024年上半年TOP10活跃APT组织 Kimsuky 银狐 APT28 图1显示,2024年上半年,朝鲜APT团伙Kimsuky在攻击频率上位居榜首,重点攻击中国财务人员的银狐团伙势头正猛,依然稳坐第二名,另外一个朝鲜组织Lazarus活动频率显著下降,相反俄罗斯APT28组织活动明显增多,两者并列第三。较2023年而言,巴基斯坦TransparentTribe组织活动有所增加,现排名第四。此外,新兴黑产团伙amdc6766也开始崭露头角,对软件供应链行业构成巨大威胁。 2024年上半年全球主要APT攻击活动报告 2.2Top10攻击目标 2024年上半年APT组织攻击的目标国家TOP10统计如下: 巴基斯坦缅甸波兰 白俄罗斯 以色列 日本 中国 俄罗斯 乌克兰 韩国 美国 印度 图22024年上半年TOP10APT组织攻击目标 根据图2数据显示,2024年上半年我国继续成为APT攻击的首要目标国,俄罗斯和美国并列第二,印度和韩国地区的排名有所上升,升至第三位。与此同时,乌克兰和以色列因各自持续的战争状态,目前排名第四。从整体分布来看,APT活动依旧集中在亚太、中东和欧美三大地区,这表明地缘政治的影响在网络空间中仍然非常显著。 2.3Top10攻击行业 2024年上半年APT组织攻击的目标行业TOP10统计如下: 制造业 交通运输能源 社会组织 通信及软件信息技术服务 教育与科研 金融 国防军工 政府 图32024年上半年APT事件攻击行业分布TOP10 根据图3数据发现,涉及通信和软件信息技术行业的攻击事件占比为25.33%,其次政府和国防军工部门分别占比17.90%和12.66%。相较于2023年,金融攻击事件有所增加,占比9.17%,升至第四位。 2.4主要攻击手段 2024年上半年APT组织主要攻击手段统计如下: 勒索软件社会工程学 供应链攻击漏洞利用 鱼叉式网络钓鱼 水坑攻击僵尸网络 钓鱼攻击 木马后门 图42024年上半年APT组织主要攻击手段 图4显示,APT组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过,相较上半年而言,供应链攻击和社会工程学活动明显增多。表1详细列出了2024年上半年APT组织最频繁利用的漏洞,以及它们所针对的厂商和软件产品。 厂商(漏洞数) 针对系统、组件或服务 漏洞号 Microsoft(5) 365_apps,Office,Outlook CVE-2023-23397 Windows、WindowsServer CVE-2024-21412CVE-2022-38028CVE-2024-21338 Office CVE_2017_11882 Ivanti(2) Connect_secure,Policy_secure,Neurons_for_zero-trust_access CVE-2024-21893 Connect_secure,Policy_secure CVE-2023-46805 Rarlab(1) Winrar CVE-2023-38831 PHP,Fedoraproject(1) php,fedora CVE-2024-4577 2024年上半年全球主要APT攻击活动报告 厂商(漏洞数) 针对系统、组件或服务 漏洞号 Oracle(1) Weblogic_server CVE-2017-3506 Cisco(1) Adaptive_security_appliance_software,Firepower_threat_defense CVE-2024-20353 Paloaltonetworks(1) Pan-os CVE-2024-3400 Connectwise(1) Screenconnect CVE-2024-1709 Igniterealtime(1) Openfire CVE-2023-32315 Aiohttp,Fedoraproject(1) Aiohttp,Fedora CVE-2024-23334 表12024年上半年APT组织最常用漏洞利用列表 2024年上半年,软件供应链的安全形势依然严峻。根据表一的数据,APT组织主要通过利用知名软件厂商产品中的漏洞,尤其是零日漏洞,作为入侵目标系统的主要手段。具体而言,微软公司的Office套件和Windows操作系统是首要攻击目标。APT组织频繁利用这些软件中的未修复漏洞,进行各类复杂的攻击活动。此外,Ivanti公司的产品也成为APT组织高度关注的另一个重要攻击目标,其多款产品频繁遭受攻击。为了提升攻击成功率,APT组织往往结合社会工程学手段,精心设计钓鱼邮件和恶意文档,诱使用户点击和执行恶意代码,从而实现对系统的全面控制。 03重大APT攻击活动 3.1地缘政治活动 2024年上半年,全球网络空间安全形势日益复杂,国家级APT攻击呈现出前所未有的严峻态势。这些攻击行为通常由一个或多个国家提供支持,拥有充足的资金、先进的技术和高素质的人才队伍。攻击者能够利用复杂的技术手段,跨越地理疆界,在虚拟空间中进行精准打击,使得国际网络空间安全成为了一场无声但激烈的较量。这类攻击不仅对国家安全构成重大威胁,还给商业实体和公民个人信息安全带来了巨大挑战。接下来,我们将从地缘政治的角度,重点关注亚太、中东和欧美三大地区的网络安全态势,分析主要国家的APT攻击活动特点及其潜在影响。 3.1.1亚太地区 亚太地区作为全球经济增长的重要引擎和科技创新的前沿阵地,其复杂的地缘政治格局和快速发展的数字经济环境,使之成为国家级APT攻击的重点关注区域。在这一区域,APT攻击呈现出高度精准、持续性强和战略目标明确的特点,主要针对政府机构、关键基础设施、高新技术企业以及金融机构等高价值目标。 在亚太地区,APT活动的主要目标国家包括但不限于中国、韩国、印度等地区大国和新兴经济体。这些国家由于在地区事务中扮演重要角色,且拥有先进的科技实力,因此成为APT攻击的重点目标。 3.1.1.1针对我国 我国作为全球第二大经济体,其庞大的市场和复杂的网络环境使其成为APT组织的首选目标。攻击活动不仅针对政府、军事、科研、金融,还扩展到通信、建筑、制造等关键基础设施。近期,针对我国的APT活动呈现多元化趋势,各组织展现出不同的攻击特征和目标。除了以财务人员为主要目标的银狐团伙,还出现了amdc6766新黑产组织,其通过供应链攻击针对运维人员;FaCai团伙则利用热点事件对国内企事业单位进行定向攻击。同时,以间谍活动为目的的知名APT组织,如印度的BITTER和SideWinder,正通过鱼叉式网络攻击和漏洞利用等手段,渗透我国军事、科研和制造等关键领域。这些多元化的APT活动对我国网络安全构成严峻挑战。 2024年1月,amdc6766黑产组织利用多种攻击手段,包括仿冒官方软件网站页面(AMH、宝塔、Xshell、Navicat)、供应链投毒(LNMP、OneinStack)和公开web漏洞等,针对性地对IT运维人员进行攻击。一旦运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,便会与攻击者的C2服务器建立DNS隧道连接。通过定向投毒运维部署工具,amdc6766长期远控低价值主机作为肉鸡,然后择机选择高价值目标进行深度控制。随后下发Rootkit和代理工具,伺机从事各类黑产活动,进而给用户造成损失。 1月-6月,银狐黑产团伙通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL,伪装成知名软件安装包、国家税务总局等方式,通过财务相关以及核酸检测退费等热点事件进行针对性的传播。其攻击对象主要为企业单位中的财务、税务工作人员,其次为教育、电商、货运、设计等行业人员。期间,值得一提的是广州某科技公司开发的一款终端安全管理软件IP-**ard还被攻击者灵活打包后进行投放,用作远控工具。 1月中旬,印度BITTER组织试图通过鱼叉式钓鱼攻击手段投递wmRAT后门程序,以窃取我国军事机密。 2024年上半年全球主要APT攻击活动报告 1月末,Blackwood组织使用名为"NSPX30"的复杂恶意软件对包括中国科研院校、制造、贸易、工程等领域的公司和个人进行网络间谍攻击。通过实施AitM攻击,即劫持WPSOffice、腾讯QQ即时通讯平台和搜狗拼音文档编辑器等合