2 主MAI要NP观OIN点TS 上半年内,涉及我国的高级持续性威胁事件主要在信息技术、政府、科研教育领域,受害目标集中在广东等地区。除了已知的APT组织外,本报告还将提及我们观察到的多个持续针对国内重点目标的未知威胁组织(UTG)——尽管有些威胁组织我们清楚攻击者的目的和所在地区,但目前无法归属到背后具体的攻击实体。这些UTG组织的攻击活动涉及新能源、低轨卫星、人工智能、航天航空等多个领域,甚至通过入侵跨国公司的境外基础设施作为立足点向中国境内的办公点进行横向移动。 2024上半年全球范围内活跃的勒索软件家族数量众多,新型勒索软件和变种不断出现,一些稍具规模的勒索团伙大多采用“双重勒索”的攻击模式。勒索软件的投递使用多种手段,包括漏洞利用、借助其他恶意软件和远程管理工具、软件伪装等。不少针对企事业单位的勒索攻击往往结合了精心的渗透过程,一些新兴勒索软件采用以往的恶意代码,攻击虚拟化环境的勒索软件逐渐增多。 不法分子利用网络渠道和技术手段从事游走在法律监管之外的牟利活动,从而形成互联网黑色产业链,危害网络安全。这些黑产团伙的攻击手法工具、攻击目标各不相同,但最终目的都是为了获取经济利益。他们之中有的共用工具,关系错综复杂,会针对其他黑产从业人员展开黑吃黑行动;有的规模庞大,通过感染电视、机顶盒等设备提供不法服务;有的针对IT运维人员发起多次供应链投毒攻击;还有的新兴黑产瞄准线上考试,提供作弊服务。 2024年上半年的在野0day漏洞数量和去年基本一致,但是原本三足鼎立的格局已经渐渐被打破。Google相关产品尤其Chrome浏览器仍然占据了在野漏洞的大部分份额,甚至出现一周内连续修复三个在野0day的盛况。部分攻击者将目标转向防火墙、VPN等边界设备,以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度,例如利用产品更新迭代过程中针对旧漏洞的补丁失效,又或者像XZUtils事件中通过层层深入的社会工程学手段在开源项目里埋下后门。 2024上半年网络威胁活动呈现出以下特点:攻击者积极挖掘新攻击面并更新技战术,恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战;随着AI技术的发展,AI不仅成为网络安全人员的重要工具,也带来了新的攻击手段和挑战,如用AI生成的误导信息内容和AI本身引入的软件漏洞。 3 摘ABSTRA要CT 本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据,得出以下结论:2024上半年,广东省受境外APT团伙攻击情况依旧最为突出,其次是江苏、四川、浙江、上海、北京等地区,受影响行业排名前五的分别是:信息技术18.5%,政府部门16.3%,科研教育12.0%,建筑7.6%,制造7.1%。 2024上半年奇安信威胁情报中心收录了109篇高级威胁类公开报告,涉及59个已命名的攻击组织或攻击行动,至少48个国家遭遇过APT攻击,披露的大部分APT攻击活动集中在韩国、乌克兰、以色列、印度等地区。其中,提及率排名前五的APT组织(含并列)是:Kimsuky13.4%,Lazarus8.9%,APT284.5%,Group123/Sandworm/MuddyWater/C-Major3.6%,摩诃草/Turla2.7%。 2024上半年全球APT活动的首要目标行业是政府部门、科研教育、国防军事,相关攻击事件占比分别为31.3%、15.0%、13.8%,紧随其后的是信息技术、制造、新闻媒体等领域。 2024年上半年全球范围内的勒索软件攻击波及包括中国在内的多个国家,受害者中既有个人用户,也有各种规模的组织机构,政府、医疗、制造、能源等行业屡次遭到勒索攻击团伙染指。 2024上半年国内安全厂商披露的互联网黑产攻击活动涉及的团伙主要有:银狐木马黑产团伙、Bigpanzi、暗蚊、金相狐。 2024年上半年披露的高危漏洞数量达25个。往年微软、谷歌、苹果三足鼎立的格局被打破,Google依旧是相关漏洞最多的厂商,旗下的Chrome仍是目前攻击者热衷的浏览器攻击向量,微软、苹果的相关漏洞数量有所回落,留下的份额被网络边界设备漏洞填补。 关键字:高级持续性威胁、威胁雷达、勒索软件、互联网黑产、0day、网络边界设备、人工智能 目CONTE录NTS 第一章高级持续性威胁01 一、国内高级持续性威胁总览01 二、2024上半年紧盯我国的活跃组织05 三、全球高级持续性威胁总览20 四、全球各地区活跃APT组织23 第二章勒索软件48 一、全球勒索软件攻击活动概览48 二、勒索软件投递方式52 三、攻击活动特点和趋势54 第三章互联网黑产56 一、银狐木马黑产团伙56 二、Bigpanzi59 三、暗蚊60 四、金相狐61 五、其他63 第四章网络威胁中的漏洞利用65 一、一周三修,Chrome闪击66 二、从边界入局,陷落的边界设备67 三、新瓶旧酒PHPCGI(CVE-2024-4577)68 四、开源的梦魇XZUtils(CVE-2024-3094)69 第五章2024上半年网络威胁活动特点 72 目录/网络安全威胁2024年中报告 一、攻击花样层出不穷,安全对抗持续升级72 二、AI于网络威胁中初展锋芒72 附录1全球主要APT组织列表74 附录2奇安信威胁情报中心75附录3红雨滴团队(RedDripTeam)76附录4参考链接77 第一章高级持续性威胁/网络安全威胁2024年中报告 第一章高级持续性威胁 高级持续性威胁(APT)多年来一直是网络威胁的重要组成部分,攻击者通常有国家背景支持,主要以敏感数据收集和情报窃取为目的,因此行动隐秘,不易被受害者察觉。本章将分别介绍中国国内和全球范围在2024年上半年遭受的高级持续性威胁。 国内高级持续性威胁的内容及结论主要基于对奇安信威胁雷达数据、奇安信红雨滴团队在客户现场处置排查的真实APT攻击事件、使用奇安信威胁情报的全线产品的告警数据等信息的整理与分析。全球高级持续性威胁的内容与结论主要基于对公开来源的APT情报(即“开源情报”)的整理与分析。 一、国内高级持续性威胁总览 奇安信威胁情报中心通过使用奇安信威胁雷达对境内的APT攻击活动进行了全方位遥感测绘,2024年上半年监测到我国范围内大量IP地址疑似和数十个境外APT组织产生过高危通信。从地域分布来看,广东省受境外APT团伙攻击情况最为突出,其次是江苏、四川、浙江、上海、北京等地区。 奇安信威胁雷达是奇安信威胁情报中心基于奇安信大网数据和威胁情报中心失陷检测(IOC)库,用于监控全境范围内疑似被APT组织、各类僵木蠕控制的网络资产的一款威胁情报SaaS应用。通过整合奇安信的高、中位威胁情报能力,发现指定区域内疑似被不同攻击组织或恶意软件控制的主机IP,了解不同威胁类型的比例及被控主机数量趋势等。可进一步协助排查重点资产相关的APT攻击线索。 图1.1奇安信威胁雷达境内受害者数据分析 基于奇安信威胁雷达境内的遥测分析,我们从以下方面对我国境内疑似遭受的APT攻击进行了分析和统计。 (一)受控IP数量和趋势 奇安信威胁情报中心基于威胁雷达在2024上半年监测到数十个境外APT组织针对我国范围内大量目标IP进行通信,形成了大量的境内IP与特定APT组织的网络基础设施的高危通信事件。其中还存在个别APT组织通过多个C2服务器与同一IP通信的情况。 下图为2024上半年奇安信威胁雷达遥测感知的我国境内每月连接境外APT组织C2服务器的疑似受害IP地址数量统计。整体上可以看出,各月疑似受控IP地址数量有一定波动,较去年同期相比起伏明显,6月份依然为上半年境外APT攻击高峰。 图1.22024上半年中国境内疑似受控IP数量月度分布 2024上半年中国境内每月新增疑似被境外APT组织控制的IP数量变化趋势如图1.3所示,反映了APT组织攻击活跃度变化走向。新增受控IP数量变化趋势也与图1.2中每月连接境外APT组织C2服务器的疑似受害IP数量分布相符,各月数据波动幅度大。 图1.32024上半年中国境内每月新增疑似受控IP数量变化趋势 (二)受害目标区域分布 下图为2024上半年中国境内疑似连接过境外APT组织C2服务器的IP地址地域分布,分别展示了各省疑似受害IP地址的数量:广东省受境外APT团伙攻击情况最为突出,占比达22.5%,其次是江苏、四川、浙江、上海、北京等地区。 图1.42024上半年中国境内疑似受控IP地域分布 (三)受害行业分布 进一步通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于客户现场的APT攻击线索,并结合使用了奇安信威胁情报的全线产品告警数据进行分析:2024上半年涉及我国信息技术、政府机构、科研教育、建筑、制造行业的高级威胁事件占主要部分,占比分别为:18.5%,16.3%,12.0%,7.6%,7.1%。其次为医疗健康、能源、金融等领域。受影响的境内行业具体分布如下。 图1.52024上半年高级威胁事件涉及境内行业分布情况 根据归属于各个APT组织的IOC告警量排名,攻击我国境内的前十APT组织及其针对的行业领域如下表。 排名 组织名称 涉及行业 TOP1 APT-Q-27(GoldenEyeDog) 博彩、诈骗 TOP2 APT-Q-1(Lazarus) 政府、金融、国防军事 TOP3 APT-Q-78 国防军事、科研教育 TOP4 APT-Q-31(海莲花) 政府、科研教育 TOP5 APT-Q-20(毒云藤) 国防军事、政府、信息技术、科研教育 TOP6 FaceDuckGroup 通信、制造、信息技术、建筑 TOP7 APT-Q-29(Winnti) 信息技术、金融 排名 组织名称 涉及行业 TOP8 APT-Q-36(Patchwork) 科研教育、医疗健康、信息技术 TOP9 APT-Q-37(蔓灵花) 政府、科研教育、信息技术、能源 TOP10 CNC 政府、科研教育 表1.6IOC告警量排名前十APT组织及针对的目标行业 二、2024上半年紧盯我国的活跃组织 奇安信威胁情报中心通过奇安信红雨滴团队和奇安信安服在客户现场处置排查的真实APT攻击事件,结合使用了威胁情报的全线产品告警数据,最终基于被攻击单位、受控设备、攻击组织技战术等多个指标筛选出以下数个对我国攻击频率高或危害大的APT组织。 这些攻击组织中除了已知APT组织外,还将涉及我们观察到的多个持续针对国内重点目标的未知威胁组织(UTG)——尽管有些威胁组织我们清楚攻击者的目的和所在地区,但目前无法归属到背后具体的攻击实体。 接下来,我们将结合奇安信红雨滴团队的真实APT攻击处置案例,逐一盘点2024上半年紧盯我国的APT和UTG组织。 (一)海莲花(APT-Q-31) 关键词:供应链0day攻击、军工、能源 新老海莲花的分界线在2022年中,新海莲花的攻击集合在最近两年的活动被我们识别为APT-Q-77,经过近两年的跟踪,我们最终确认新海莲花遵循UTC+7时区的作息,攻击的部分目标与老海莲花有所重叠。 新海莲花最大的变化是进攻能力的增强,这两年一共使用了7-8个国产软件的0day,对抗强度陡增,2024年初使用同一公司两款相似功能产品的0day漏洞向军工、环境等单位的内网办公区特定目标发起供应链攻击,在持久化的过程中使用了officeClickToRun的COM劫持和nodejs.exe加载器。 图1.7js代码 在两年的对抗过程中我们发现新老海莲花对于情报刺探有着明显的区别,新海莲花对我国能源和军工单位在中东、中亚、东南亚、北非等地区的海外布局和外派人员名单有着迫切的需求,但是这些数据并不符合东南亚地区国家的自身利益,我们综合研判后认为其背后必有“高人指点”。 奇安信威胁情报中心将会在2024年下半年披露新海莲花组织在内存中的技战术。 (二)毒云藤(APT-Q