2024年上半年全球主要APT攻擊活動(dòng)報(bào)告

雙子座實(shí)驗(yàn)室contents3從全局來(lái)看，2024年上半年，國(guó)際環(huán)境愈加復(fù)雜，地緣政治緊起與發(fā)展。在此期間，俄烏戰(zhàn)爭(zhēng)和巴以武裝對(duì)抗持續(xù)進(jìn)行，亞太、中東和歐美三大地區(qū)的主要國(guó)家普遍擁有更技水平和強(qiáng)大的國(guó)家級(jí)APT組織實(shí)力，這些地區(qū)間存在長(zhǎng)期的政治博弈，因此，地緣政治驅(qū)動(dòng)的APT活動(dòng)在這些區(qū)從攻擊國(guó)家來(lái)看，中國(guó)在2024年上半年仍然是APT組織的首要目標(biāo)。各APT組織也展示了不同的攻擊特征和主要通過(guò)供應(yīng)鏈投毒針對(duì)運(yùn)維人員；“FaCai”團(tuán)伙則利用熱點(diǎn)事件對(duì)國(guó)內(nèi)企事業(yè)單位展開(kāi)定向攻擊。此外，還有專(zhuān)手段，滲透中國(guó)的軍事、科研和制造等關(guān)鍵領(lǐng)域。這些多樣化的APT活動(dòng)對(duì)我國(guó)政府、軍事、通信等領(lǐng)域網(wǎng)絡(luò)安全4敏感數(shù)據(jù)的關(guān)鍵平臺(tái)。這種數(shù)據(jù)的高價(jià)值屬性使得黑客組織對(duì)其產(chǎn)生了濃厚的興趣。攻擊者正在嘗試通過(guò)網(wǎng)絡(luò)強(qiáng)網(wǎng)絡(luò)釣魚(yú)攻擊的效果。隨著技術(shù)的發(fā)展，未來(lái)網(wǎng)絡(luò)釣魚(yú)攻擊與AI技術(shù)的結(jié)合可能會(huì)成為一個(gè)新興趨勢(shì)。這意味著黑客可能會(huì)利用AI來(lái)優(yōu)化釣魚(yú)郵件的個(gè)性化程度，或者使用AI生成的深度偽造技術(shù)（deepfake）來(lái)模擬真實(shí)的人5）， 圖1顯示，2024年上半年，朝鮮APT團(tuán)伙Kimsuky在攻擊頻率上位居榜首，重點(diǎn)攻擊中國(guó)財(cái)兩者并列第三。較2023年而言，巴基斯坦TransparentTribe組織活動(dòng)有所6 能源\金融______/國(guó)防軍工______/7根據(jù)圖3數(shù)據(jù)發(fā)現(xiàn)，涉及通信和軟件信息技術(shù)行業(yè)的攻擊事 圖4顯示，APT組織依舊采用木馬后門(mén)、釣魚(yú)攻擊和漏洞利用作為主要攻擊手段。不過(guò)，相較上半年而言，供應(yīng)鏈攻擊和社會(huì)工程學(xué)活動(dòng)明顯增多。表1詳細(xì)列出了2024年上半年APT組織最頻繁利用的漏洞，以及它們所針廠商（漏洞數(shù)）針對(duì)系統(tǒng)、組件或服務(wù)廠商（漏洞數(shù)）針對(duì)系統(tǒng)、組件或服務(wù)Connect_secure，Policy_secure，Neurons_for_zero-Connect_secure，Policy_secure8廠商（漏洞數(shù)）針對(duì)系統(tǒng)、組件或服務(wù)廠商（漏洞數(shù)）針對(duì)系統(tǒng)、組件或服務(wù)Adaptive_security_appliance_software，F(xiàn)irepower_threat_defense2024年上半年，軟件供應(yīng)鏈的安全形勢(shì)依然嚴(yán)峻。根據(jù)表一的數(shù)據(jù)，APT組織主要通過(guò)利用知名軟件廠商產(chǎn)品品也成為APT組織高度關(guān)注的另一個(gè)重要攻擊目標(biāo)，其多款產(chǎn)品頻繁遭受攻擊。為了提升攻擊成功率，APT組織往93.1地緣政治活動(dòng)2024年上半年，全球網(wǎng)絡(luò)空間安全形勢(shì)日益復(fù)雜，國(guó)家級(jí)通常由一個(gè)或多個(gè)國(guó)家提供支持，擁有充足的資金、先進(jìn)的技術(shù)和高素質(zhì)的人才隊(duì)伍。攻擊者能夠利用復(fù)雜的段，跨越地理疆界，在虛擬空間中進(jìn)行精準(zhǔn)打擊，使得國(guó)際網(wǎng)絡(luò)空間安全成為了一場(chǎng)無(wú)聲但激烈的較量。這類(lèi)攻亞太地區(qū)作為全球經(jīng)濟(jì)增長(zhǎng)的重要引擎和科技創(chuàng)新的前沿陣地，其復(fù)雜的地緣政境，使之成為國(guó)家級(jí)APT攻擊的重點(diǎn)關(guān)注區(qū)域。在這一區(qū)域，APT攻擊呈現(xiàn)出高度精準(zhǔn)、持續(xù)性強(qiáng)和戰(zhàn)略目標(biāo)明確我國(guó)作為全球第二大經(jīng)濟(jì)體，其龐大的市場(chǎng)和復(fù)雜的網(wǎng)絡(luò)環(huán)境使其成為APT組織的首選目標(biāo)。攻擊活動(dòng)不僅針對(duì)政府、軍事、科研、金融，還擴(kuò)展到通信、建筑、制造等關(guān)鍵基礎(chǔ)設(shè)施。近期，針對(duì)我國(guó)的APT活動(dòng)呈現(xiàn)多元化趨勢(shì)，各組織展現(xiàn)出不同的攻擊特征和目標(biāo)。除了以財(cái)務(wù)人員為主要目標(biāo)的銀狐團(tuán)伙，還出現(xiàn)了amdc6766新黑產(chǎn)組織，其通過(guò)供應(yīng)鏈攻擊針對(duì)運(yùn)維人員；FaCai團(tuán)伙則利用熱點(diǎn)事件2024年1月，amdc6766黑產(chǎn)組織利用多種攻擊手段，包括仿冒官方軟件網(wǎng)站頁(yè)面(AMH、寶塔、Xshell、從仿冒頁(yè)面或官方平臺(tái)下載并執(zhí)行含有惡意代碼的部署工具，便會(huì)與攻擊者的C2服務(wù)器建立DNS隧道連接。通過(guò)定向投毒運(yùn)維部署工具，amdc6766長(zhǎng)期遠(yuǎn)控低價(jià)值主機(jī)作為肉雞，然后擇機(jī)選擇高價(jià)值目標(biāo)進(jìn)行深度控制。隨后國(guó)家稅務(wù)總局等方式，通過(guò)財(cái)務(wù)相關(guān)以及核酸檢測(cè)退費(fèi)等熱點(diǎn)事件進(jìn)行針對(duì)性的傳播。其攻擊對(duì)象主要為企的財(cái)務(wù)、稅務(wù)工作人員，其次為教育、電商、貨運(yùn)、設(shè)計(jì)等行業(yè)人員。期間，值得一提的是廣州某科技公司開(kāi)1月末，Blackwood組織使用名為"NSPX30"的復(fù)雜惡意軟件對(duì)包括中國(guó)科研院校、制造、貿(mào)易、工程等領(lǐng)域2月末，UTG-Q-007新黑客團(tuán)伙針對(duì)中國(guó)等亞洲國(guó)家的建筑、房產(chǎn)營(yíng)銷(xiāo)、互聯(lián)網(wǎng)等多個(gè)行業(yè)發(fā)起攻擊并傳播5月，Timitator新威脅組織采取魚(yú)叉式釣魚(yú)、歷史漏洞利用等方式獲取主機(jī)初始訪問(wèn)權(quán)限，并使用了一種新的由RUST語(yǔ)言編寫(xiě)的遠(yuǎn)控工具對(duì)我國(guó)的能源、高校、科研機(jī)構(gòu)及軍工等行業(yè)進(jìn)行攻擊。5月末，東亞新團(tuán)伙朝鮮與韓國(guó)之間的政治關(guān)系依然緊張且不穩(wěn)定，盡管偶爾存在對(duì)話(huà)與合作的跡象，但史遺留問(wèn)題使得兩國(guó)關(guān)系時(shí)常處于緊張狀態(tài)，軍事對(duì)峙和外交摩擦持續(xù)影響著朝鮮半島的穩(wěn)定。兩國(guó)間其中，具有朝鮮國(guó)家背景的APT37、Kimsuky、Lazarus及其子組織（如Andariel）是主要的攻擊力量。它們的攻擊目標(biāo)涵蓋了韓國(guó)的政府、金融、數(shù)字貨幣領(lǐng)域及學(xué)術(shù)界，尤其是與朝鮮政治、人權(quán)和安全相關(guān)的個(gè)人攻擊者采用了多種技術(shù)手段，包括社會(huì)工程學(xué)、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、利用云存儲(chǔ)服務(wù)作為攻擊平臺(tái)、偽裝合法利用合法軟件更新機(jī)制植入后門(mén)等，旨在實(shí)1月，朝鮮Kimsuky組織利用偽裝為韓國(guó)軟件公司SGA旗下產(chǎn)品安裝程序?qū)嵤└`密行動(dòng)。同月，該組織利用2月初，朝鮮APT37冒充網(wǎng)絡(luò)研討會(huì)主辦方，以“2023年朝鮮形勢(shì)評(píng)估和2024年展望”為活動(dòng)主題分發(fā)中旬，朝鮮Lazarus旗下的Andariel組織對(duì)韓國(guó)企業(yè)發(fā)起持續(xù)性攻擊，利用韓國(guó)資產(chǎn)管理解決方案安裝惡意軟3月末，朝鮮Kimsuky組織偽造攜帶惡意代碼的韓國(guó)某事業(yè)單位的安裝程序，下發(fā)Endoor后門(mén)。朝鮮Konni4月末，朝鮮Kimsuky組織在針對(duì)韓國(guó)的TutorialRAT惡意軟件活動(dòng)中，發(fā)動(dòng)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，偽裝韓國(guó)朝鮮Kimsuky組織利用eScan防病毒軟件的更新機(jī)制在大型企業(yè)網(wǎng)絡(luò)上植入后門(mén)，并通過(guò)GuptiMin5月，Kimsuky組織使用新Linux后門(mén)Gomir攻擊韓國(guó)。月末，該組織偽裝成在韓國(guó)從事朝鮮人權(quán)領(lǐng)域工作的公職人員，并試圖通過(guò)在線好友請(qǐng)求和專(zhuān)用信使來(lái)接觸主要的朝鮮和安全相關(guān)工作人員。Kimsuky還利用6月，朝鮮Kimsuky組織部署可繞過(guò)Gmail、Kakao和Naver等多家著名電子郵件服務(wù)服務(wù)商安全措施的亞洲地區(qū)的第三大APT攻擊活動(dòng)高發(fā)區(qū)域無(wú)疑是南亞地區(qū)。南亞地區(qū)的政治對(duì)抗則主要集中在印度與巴基斯坦之間，兩國(guó)目前的政治狀況是歷史遺留問(wèn)題、軍事對(duì)抗、恐怖主義、安全競(jìng)爭(zhēng)及民族主義情緒交織構(gòu)成的復(fù)度發(fā)起了多起網(wǎng)絡(luò)攻擊。這些組織采用多種攻擊手段，包括通過(guò)社交軟件傳播偽裝應(yīng)用、使用ZIP文件和LNK附件投遞遠(yuǎn)控木馬以及通過(guò)惡意網(wǎng)站鏈接啟動(dòng)復(fù)雜感染流程等。攻擊行業(yè)涵蓋了政府、軍事、教育等多個(gè)關(guān)鍵領(lǐng)1月末，TransparentTribe再次通過(guò)偽裝成聊天軟件的惡意樣本中東地區(qū)的APT活動(dòng)與區(qū)域內(nèi)的政治沖突緊密相連。隨著巴以沖突的武裝對(duì)抗持續(xù)加劇，以及雙方支持者的網(wǎng)在這一背景下，伊朗的政治立場(chǎng)對(duì)中東地區(qū)形成了獨(dú)特的戰(zhàn)略格局。伊朗致權(quán)，并堅(jiān)決反對(duì)美國(guó)及其盟國(guó)的干預(yù)政策。其行動(dòng)不僅受內(nèi)部政治和宗教因素的驅(qū)動(dòng)，還與國(guó)際關(guān)系密切相關(guān)。特別因此，與伊朗國(guó)家有關(guān)聯(lián)的APT團(tuán)體，其行動(dòng)往往深受?chē)?guó)家政治利益的驅(qū)動(dòng)。這些組織通常將敵對(duì)國(guó)家的政府機(jī)構(gòu)和地緣政治競(jìng)爭(zhēng)對(duì)手作為主要攻擊目標(biāo)，利用網(wǎng)絡(luò)空間1月下旬，伊朗APT35間諜組織的附屬組織對(duì)比利時(shí)、法國(guó)、加沙、以色列、英國(guó)以及美國(guó)的大學(xué)和研究組織3月末，歸屬于伊朗情報(bào)與安全部的TA450歐美地區(qū)作為全球政治經(jīng)濟(jì)的核心樞紐，始終是APT攻擊的主要舞臺(tái)。這些攻擊活動(dòng)主要集中在情報(bào)搜集、政關(guān)鍵基礎(chǔ)設(shè)施，以及對(duì)金融市場(chǎng)實(shí)施操控性干預(yù)。這些攻具體而言，針對(duì)烏克蘭的攻擊多集中于獲取有關(guān)政治和軍事的情報(bào)，以支持相關(guān)國(guó)家的地蘭的網(wǎng)絡(luò)攻擊中展現(xiàn)出明顯的特點(diǎn)。首先，這些組織擴(kuò)展了攻擊手段，如從最初的憑證網(wǎng)絡(luò)釣魚(yú)轉(zhuǎn)向利用PDF文檔傳播惡意軟件。其次，它們主要針對(duì)政府、軍隊(duì)和基礎(chǔ)設(shè)施等關(guān)鍵目標(biāo)，并且特別收集關(guān)于政治和軍事活動(dòng)的情報(bào)。再者，攻擊者加大了對(duì)烏克蘭的攻擊力度，通過(guò)供應(yīng)鏈投毒實(shí)現(xiàn)大規(guī)模破壞行動(dòng)?？傮w而言，這些攻擊活動(dòng)呈現(xiàn)出多1月末，專(zhuān)注于針對(duì)非政府組織中的知名人士、前情報(bào)和軍官、北約組織以及各國(guó)政府進(jìn)行憑據(jù)網(wǎng)絡(luò)2月末，俄羅斯WinterVivern組織利用Roundcu魯吉亞、波蘭和烏克蘭的80多個(gè)組織，目標(biāo)實(shí)體涵蓋政施了破壞烏克蘭共10個(gè)地區(qū)的20個(gè)能源、水和供暖供應(yīng)商的信息和通信系統(tǒng)穩(wěn)定運(yùn)行的惡意行動(dòng)，且攻擊者主要針對(duì)美國(guó)的攻擊主體涵蓋了國(guó)家支持的APT組織（如伊朗的APT35）和跨國(guó)犯罪集團(tuán)（如BogusBazaar和SmishingTriad攻擊目標(biāo)主要集中政府機(jī)構(gòu)、金融部門(mén)、科技在美國(guó)國(guó)家政治經(jīng)濟(jì)中的核心地位及其面臨的持續(xù)威脅。攻擊組織的地理分布凸顯了中東地區(qū)（如伊朗）、俄及其他地區(qū)與美國(guó)之間的地緣政治緊張關(guān)系。同時(shí)，針對(duì)加密貨幣公司和金融機(jī)構(gòu)的攻擊表明了網(wǎng)絡(luò)犯罪分子1月下旬，伊朗網(wǎng)絡(luò)間諜組織APT35的一個(gè)子組織針對(duì)美國(guó)的大學(xué)發(fā)起了攻擊，旨在推送后門(mén)惡意軟件，進(jìn)而2月初，通常只在美國(guó)納稅期間的前幾個(gè)月活躍，并主要針對(duì)北美地區(qū)的會(huì)計(jì)和金融組織開(kāi)展以稅收為主題的網(wǎng)TA4903黑客組織冒充美國(guó)的多個(gè)政府實(shí)體(包括美國(guó)勞工部、住房和城市發(fā)展部、交通部、商務(wù)部、農(nóng)業(yè)部和4月下旬，具有俄語(yǔ)背景的出于非法經(jīng)濟(jì)犯罪目的的FIN7黑客組織通過(guò)偽裝為合法網(wǎng)站的惡意掃描器網(wǎng)站，針5月末，UAC-0188組織利用利用微軟著名掃雷游戲的Python克隆代碼版本來(lái)隱藏針對(duì) 3.2重點(diǎn)行業(yè)攻擊在2024年上半年，全球范圍內(nèi)的通信及軟件信息技術(shù)服務(wù)、政府與國(guó)防軍工、金融等關(guān)鍵行業(yè)均遭遇了不同程度的網(wǎng)絡(luò)攻擊。特別是APT組織通過(guò)精心策劃的針對(duì)性網(wǎng)絡(luò)釣魚(yú)攻擊、利用零日漏洞等技術(shù)手段，意圖竊取敏感數(shù)2024年上半年，通信軟件和信息技術(shù)行業(yè)仍然是APTamdc6766主導(dǎo)多起供應(yīng)鏈攻擊，通過(guò)在官方安裝包中植入惡意鏈接，針對(duì)國(guó)內(nèi)運(yùn)維人員進(jìn)行投毒攻擊。其目標(biāo)是控制低價(jià)值主機(jī)作為跳板，進(jìn)而滲透高價(jià)值目標(biāo)。Lazarus專(zhuān)注于區(qū)塊鏈行業(yè)，在各大招聘平臺(tái)上偽裝標(biāo)運(yùn)行含有信息竊取程序的代碼。UNK_SweetSpecter則利用AI相關(guān)主題的誘餌郵件，針對(duì)美國(guó)AI研究機(jī)構(gòu)，投政府與國(guó)防軍工行業(yè)對(duì)國(guó)家安全和戰(zhàn)略利益至關(guān)重要。因此，2024年上半年，這兩個(gè)領(lǐng)域繼續(xù)受到黑客組織的頻繁攻擊。與此同時(shí)地緣政治的持續(xù)影響也使得這些行業(yè)成為主要目標(biāo)。在攻擊策略其中，值得關(guān)注的幾起事件包括朝鮮Konni組織利用偽裝為俄羅斯外交部使用的數(shù)據(jù)統(tǒng)計(jì)軟件樣本，竊取敏感2024年上半年的金融行業(yè)攻擊手段主要包括傳統(tǒng)的釣魚(yú)攻擊、木馬后門(mén)部署以及漏洞利用等方式。值得特別關(guān)其中，銀狐團(tuán)伙對(duì)我國(guó)構(gòu)成了較大的威脅，持續(xù)進(jìn)行針對(duì)性的攻擊。SecretCrow語(yǔ)音釣魚(yú)組織則通過(guò)構(gòu)建一系列偽裝成執(zhí)法機(jī)構(gòu)和金融機(jī)構(gòu)的釣魚(yú)頁(yè)面，并開(kāi)發(fā)惡意Android應(yīng)用程序，誘騙韓國(guó)受害者訪問(wèn)釣魚(yú)網(wǎng)站。這些釣魚(yú)頁(yè)面及應(yīng)用程序（如SecretCallsLoader和SecretCalls）旨在竊取受害者的資金，用于金融欺詐。Savvy該組織還使用聊天機(jī)器人與受害者互動(dòng)，誘使他們進(jìn)行大額投資，從而實(shí)現(xiàn)詐騙過(guò)程的自動(dòng)化。這些攻需加強(qiáng)對(duì)地緣政治驅(qū)動(dòng)的APT攻擊的監(jiān)控與防御，借助情報(bào)共享平臺(tái)和國(guó)際合作機(jī)制，針對(duì)國(guó)家級(jí)APT組織的活動(dòng)特別是在對(duì)財(cái)務(wù)人員、運(yùn)維人員等關(guān)鍵崗位的保護(hù)上，實(shí)施定制化的安全措施和定期培訓(xùn)。應(yīng)注重提升對(duì)新再次，應(yīng)加強(qiáng)對(duì)零日漏洞的檢測(cè)與響應(yīng)能力。組織需要建立高效的漏洞管理體系，實(shí)施實(shí)時(shí)時(shí)間時(shí)間