2024研究报告 全球高级持续性威胁(APT)研究报告

全球⾼级持 续 性 威 胁（A PT）研究报告 研究报告 2024ADVANCEDPERSISTENTTHREAT 目录CONTENTS PART 022024年各地区活跃APT组织分析010P 北美东亚-朝鲜半岛东亚-其他地区东南亚东欧南亚中东南美011013022028032040048052 PART 03 政府机构、教育依旧是APT组织攻击重点方向针对国防军工的网络攻击在地区冲突中角色升级科研是APT组织背后势力关注的重点领域针对汽车制造、新能源领域的攻击活动逐渐显露通信电信领域成为APT攻击新热点057058059060061 攻击活动使用的ATT&CK技战术 TOP20APT攻击活动0Day和nDay漏洞利用统计供应链攻击成为APT组织攻击重点趋势国产化软件系统成为APT组织攻击重点通信设备成武器，网络攻击形态多样化各国逐渐寻求外交谴责以外的方式应对APT威胁063065067068069069 PART 05参考链接070P PART 01 概述 2024年全球高级持续性威胁形势概览2024年活跃APT组织统计005006 2024年全球高级持续性威胁形势概览 2024年，全球局势在合作与冲突并存的基调下向多极化发展。全球性合作峰会在促进多边合作、应对全球危机中发挥着更加积极的作用；俄乌冲突、中东地区冲突等地缘事件深刻影响着全球秩序；中美在经济、科技、军事等领域以及国际事务上的竞争博弈日趋加剧。在此背景下，具有“国家级”背景的网络组织在网络空间高隐蔽性、高破坏性的攻击活动更加频繁，其影响早已在全球网络空间层面外，成为地缘政治乃至全球政治气候的“ 晴雨表”。 2024年，全球网络安全厂商和机构累计发布APT报告730多篇，报告涉及APT组织124个，其中属于首次披露的APT组织41个。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标集中分布于政府机构、国防军工、信息技术、教育、金融等十几个重点行业领域。 我国历来是地缘周边APT组织攻击的重点区域。依托360全网安全大数据视野，360高级威胁研究院在2024年累计捕获到1300余起针对我国的APT攻击活动。攻击来源APT组织主要归属南亚、东南亚、东亚以及北美等地区。我国受攻击活动影响的单位主要分布于政府、教育、科研、国防军工、交通运输等14个重点行业领域。 在2024年，我们再次捕获到两个全新APT组织，分别为属南亚地区的APT-C-70（独角犀）和东亚地区的APT-C-65（金叶萝）。截至2024年底，360已累计发现并披露了56个境外APT组织。 近年来，我国新能源汽车产业异军突起，APT组织对我国新能源汽车领域的攻击活动也逐渐显露。随着我国信创和国产化进程的不断推进，我国网络空间的安全壁垒不断提升，A PT组织转而以我国国产化软件系统作为攻击突破口，展开供应链攻击。 2024年，APT组织在攻击活动中使用0day漏洞的热度不减，除0day漏洞外，还使用了大量1day以及nday漏洞，其中针对移动平台0day漏洞延续着增长势头。 2024年人工智能大模型技术迎来爆发，在网络空间引发了技术变革和治理规则的挑战，其在网络安全领域应用范围和影响力也不断扩大，需要关注人工智能大模型技术对网络空间带来的风险和挑战。 2 2024年活跃APT组织统计 进入2024年，全球地缘政治势力间的竞争与博弈更加激烈，特别是在东欧、中东以及亚太地区，军事对峙和外交博弈不断加剧。在正面冲突外，网络空间已经成为地区冲突中对抗的重要战场。在持续的俄乌冲突和新—轮巴以冲突中，网络攻击被各方势力广泛应用于情报窃取、舆论引导和战略欺骗等多个方面，成为影响正面战场和国际舆论走向的关键因素之—。 在此形势下，全球APT组织继续保持高活跃度。截止2024年底，全球网络安全厂商以及机构累计发布APT报告730多篇，报告涉及APT组织124个，其中属于首次披露组织41个。APT组织攻击比较集中的行业为政府机构、国防军工、信息技术、教育、金融等。 根据360全网安全大数据监测：2024年，对中国发起攻击活动的APT组织，主要为归属南亚、东南亚、东亚、北美等地区的13个组织。我国受APT攻击影响单位主要分布于政府机构、教育、科研、国防军工以及交通运输 等14个重点行业领域。 基于APT组织攻击活动次数、受影响单位数量、受攻击设备数量、技战术迭代频次等多个指标，我们对2024年攻击活动影响我国的APT组织活跃度进行评估，得出下表。 2024年，政府机构成为境外APT组织重点针对的领域，政府机构相关的外交、海事、交通管理等职能单位是APT组织攻击主要目标；教育行业中国防军工背景、国际关系研究以及科技类院校是APT组织攻击重点；科研领域中军工科研、国际政策研究、海洋与资源研究属于APT组织重点针对方向。 2024年境外APT组织对我国政府机构领域攻击活动占比明显增加。通过分析发现：原因首先是2024年南亚APT-C-08（蔓灵花）组织对我国外交和驻外合作相关目标开展了多次集中攻击，其攻击活动活跃时间与我国举办中非合作论坛、参与二十国集团峰会等重大国际活动时间存在相关性；其次是东南亚组织APT-C-00（海莲花）利用某国产化软件系统漏洞对采用该系统的政府机构进行大范围渗透攻击导致。 PART 02 2024年各地区活跃APT组织分析 北美东亚-朝鲜半岛东亚-其他地区东南亚东欧南亚中东南美011013022028032040048052 北美 北美是全球信息技术最为发达和领先的区域之一，占据了大多数信息技术领域的产业链上游，不仅在人工智能、大数据、云计算、区块链等前沿技术领域引领全球科技创新发展，其在网络安全领域的技战术水平更是领先于其他地区。来自北美地区的A PT组织在攻击能力上实现了体系化、工程化。其攻击范围覆盖全球，攻击手法复杂多变，攻击过程隐蔽性极强。 近几年我国科技创新领域发展迅速，成为全球关注焦点。来自北美的APT组织将我国前沿科技相关的科研与制造企业作为重点攻击目标，进行长期网络攻击渗透。2024年，我国相关部门发现和处置了两起疑似美国情报机构对我国大型科技企业机构进行网络攻击窃密事件。同年，360高级威胁研究院[1]监测到北美方向APT-C-39（CIA）组织对我国科研创新领域攻击活动活跃。 APT-C-39（CIA） APT-C-39（CIA）组织在对我国和其他国家地区实施的持续网络窃密活动中，使用了大量0day漏洞。APT-C-39（CIA）组织在2024年针对我国航空、航天、材料科学等前沿科技相关重点单位进行攻击，窃取我国高精尖技术信息和科研数据等情报。 2024年，我们捕获到APT-C-39（CIA）组织针对我国科研与国防军工相关目标，利用国内某安全厂商办公应用的服务端下发木马程序进行渗透攻击，在客户端进行窃密回传。 2 东亚-朝鲜半岛 2024年，东亚地区政治局势复杂多变，朝鲜半岛紧张局势持续升温，台海、东海等问题对抗博弈加剧。在此背景下，东亚地区APT组织十分活跃，不仅不断更新攻击手法，提升0day漏洞利用水平，还在攻击活动中使用了如：复杂字符串解码/解密方法、滥用Zsh配置文件、使用生成式人工智能、BYOVD等多种新的攻击技术，提升其网络武器攻击能力和跨平台执行能力。 该地区除APT-C-06（DarkHotel）、APT-C-26（Lazarus）、APT-C-55（Kimsuky）等持续活跃的组织外，APT-C-60（伪猎者）在2024年活跃度也大幅提升。 APT-C-06（DarkHotel） 2024年，APT-C-06（Darkhotel）组织在攻击活动中主要以投递具有迷惑性主题的压缩包作为载荷投递的主要手法。该组织针对我国的攻击活动主要集中在涉朝贸易相关单位。 2024年，APT-C-06（Darkhotel）组织在其钓鱼攻击活动中制作和使用了伪装成韩语字体安装包的恶意载荷，并通过钓鱼邮件进行传播。本次活动攻击时间集中，我国受攻击活动影响的用户主要分布在近朝鲜半岛部分地区。 在此次攻击中，APT-C-06（Darkhotel）组织将恶意载荷伪装成朝鲜国内常使用的衬线印刷体光明字体的变体版本，诱使目标人群下载并安装。由于此种字体在公共互联网资源较少，所以能吸引较多有字体需求的人下载。 2024年4月，在APT-C-06（Darkhotel） 组织进行的另一起攻击活动中，攻击者疑似使用某款特定邮箱软件的漏洞进行代码注入，窃取用户浏览器或邮箱客户端的Cookie文件。 APT-C-60（伪猎者） APT-C-60（伪猎者）是360在2021年捕获并披露的APT组织，该组织经常使用招聘和简历相关诱饵文档，对我国涉韩相关的政府机构、驻韩文化商贸等目标展开钓鱼攻击。2024年APT-C-60（伪猎者）组织活跃度明显增加，还在其攻击活动中使用了0day漏洞，同时该组织攻击目标也扩展到部分科研和政府机构。 2024年，APT-C-60（伪猎者）组织在攻击活动中使用类似“邀请函”、“通讯录”、“报名表”等主题的诱饵文档，对我国驻韩，特别是驻首尔地区的文娱传媒、经贸合作领域相关单位展开钓鱼攻击。 2024年，360高级胁研究院捕获到APT-C-60（伪猎者） 组织使用某办公软件0day漏洞开展攻击活动。在攻击活动中，攻击者制作该办公软件特定“.et”格式的恶意文件，并通过邮件附件进行传播。在使用文件名为“curriculumvitae.et”的攻击活动中，文档中的个人照片被马赛克图片故意遮挡，当受害用户点击遮挡的马赛克图片时，超链接指向攻击者构造的伪协议，并触发漏洞执行相应恶意指令。 APT-C-26（Lazarus） APT-C-26（Lazarus）组织在2024年持续在全球范围展开攻击活动，针对韩国地区的攻击保持高活跃度，同时该组织对加密货币领域的攻击势头也呈现上升趋势。APT-C-26（Lazarus）组织在攻击活动中使用了多种复杂的攻击技术，例如通过使用伪造社交账号、伪造就业机会、虚假公司信息等展开社会工程学攻击；使用CVE-2024-21338、CVE-2024-7971、CVE-2024-38106等多个漏洞展开 零 日 漏 洞 攻 击 ； 使 用 D L L 侧 加 载 和 无 文 件 攻 击 等 ； 多 种 复 杂 攻 击 手 段 显 示 出 了 A P T - C -26（Lazarus）组织具备高度的组织化和高超技战术水平。 APT-C-26（Lazarus）组织展开了一系列针对有IT技术背景，特别是软件开发人员的攻击活动。攻击者通过精心运营的社交媒体账号或开发者平台主页，向目标人员发送虚假的招聘信息，诱导目标用户访问其事先准备好的恶意代码仓库，并诱骗用户执行其中的恶意程序。恶意程序一旦被运行，攻击者趁机窃取用户的加密货币以及系统登录凭据，同时向目标系统植入伪装成正常工具的恶意Python组件，进一步窃取目标用户的隐私数据。攻击的最后阶段，攻击者会向目标用户发送AnyDesk远程控制软件，从而获取目标用户系统的完全控制权，随意窃取数据或者执行破坏性操作。 我们通过对APT-C-26（Lazarus）组织攻击活动监测分析发现，我国东北和南方部分地区也存在同样受影响的开发人员。 2024年下半年，360高级威胁研究院捕获到了APT-C-26（Lazarus）组织利用Electron打包的恶意程序，该程序伪装成货币平台的自动化交易工具安装包对加密货币行业相关人员进行攻击。一旦受害者点击Electron打包的恶意程序，显示正常的安装过程的同时在后台运行恶意功能，随后通过层层加载，最终完成攻击行为。 APT-C-55（Kimsuky） 2024年，APT-C-55（Kimsuky）组织攻击活动除主要针对韩国政府机构和国防军事相关目标外，还包括与朝鲜相关的人权活动人士、团体、专家或组织。攻击目标范围也逐渐扩展到与朝鲜半岛事务相关的周边地区