2024年上半年全球主要APT攻擊活動報告

2024年上半年全球主要APT攻擊活動報告目錄contents目錄P3 概述P5 P9 P15 總結(jié)P15 附錄01概述2024APT100APT187TTP2024年上半年01概述地緣政治類APT攻擊活動擁有核心地位地緣政治類APT攻擊活動擁有核心地位從全局來看，2024年上半年，國際環(huán)境愈加復(fù)雜，地緣政治緊張局勢在一定程度上加速了國家級APT組織的崛起與發(fā)展。在此期間，俄烏戰(zhàn)爭和巴以武裝對抗持續(xù)進行，亞太、中東和歐美三大地區(qū)的主要國家普遍擁有更高的科技水平和強大的國家級APT組織實力，這些地區(qū)間存在長期的政治博弈，因此，地緣政治驅(qū)動的APT活動在這些區(qū)域中占據(jù)了核心地位。針對我國的APT組織呈現(xiàn)多元化攻擊特點針對我國的APT組織呈現(xiàn)多元化攻擊特點2024APTAPT“amdc6766”主要通過供應(yīng)鏈投毒針對運維人員；“aCa”團伙則利用熱點事件對國內(nèi)企事業(yè)單位展開定向攻擊。此外，還有專門以間諜活動為目的的知名APT組織，如印度的“BITTER”和“SideWinder”，通過魚叉式網(wǎng)絡(luò)釣魚和漏洞利用等手APT構(gòu)成了嚴峻挑戰(zhàn)。APT組織實力增強，零日漏洞利用率大幅提升APT組織實力增強，零日漏洞利用率大幅提升，2024APT（、UTA0178UNC5221）AltoNetworksCiscoAPT2024年上半年全球主要APT攻擊活動報告AI或?qū)⑴c網(wǎng)絡(luò)釣魚聯(lián)系得更加緊密AI或?qū)⑴c網(wǎng)絡(luò)釣魚聯(lián)系得更加緊密從未來發(fā)展來看，隨著人工智能（AI）技術(shù)在金融、醫(yī)療、法律等諸多行業(yè)的廣泛應(yīng)用，AI系統(tǒng)成為了處理大量敏感數(shù)據(jù)的關(guān)鍵平臺。這種數(shù)據(jù)的高價值屬性使得黑客組織對其產(chǎn)生了濃厚的興趣。攻擊者正在嘗試通過網(wǎng)絡(luò)釣魚等IUNK_etpeerIAIuarGh0tT。此外，AIIIAI（deepae）來模擬真實的人物或場景，以此欺騙目標(biāo)人群。02APT組織攻擊數(shù)據(jù)披露RedQueen187APT（主要涵蓋知名組織及有影響力的攻擊），對2024APT02APT組織攻擊數(shù)據(jù)披露2.1活躍組織 2024TOP10APTCharmingKittenFIN7TurlaKonniAPT37amdc6766Transparent

APT44Lazarus12024TOP10APT

Kimsuky銀狐APT2812024ATimsukyLazarusAPT282023nsaentribeamdc67662024年上半年全球主要APT攻擊活動報告2.2攻擊目標(biāo) 2024APTTOP10巴基斯坦 緬波蘭白俄羅斯以色列

日本中國俄羅斯烏克蘭韓國

美國印度22024TOP10APT22024APT來看，APT2.3攻擊行業(yè) 2024APTTOP10制造業(yè)

交通運輸能源

社會組織

通信及軟件信息技術(shù)服務(wù)教育與科研金融國防軍工

政府32024APTTOP10325.33%，其次政府和國防軍工部門分別占17.90%12.66%20239.17%，升至第四位。2.4主要攻擊手段 2024年上半年APT組織主要攻擊手段統(tǒng)計如下：勒索軟件社會工程學(xué)漏洞利用魚叉式網(wǎng)絡(luò)釣魚

水坑攻擊僵尸網(wǎng)絡(luò)

釣魚攻擊木馬后門42024APT4APT應(yīng)鏈攻擊和社會工程學(xué)活動明顯增多。表12024APT對的廠商和軟件產(chǎn)品。廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務(wù) 漏洞號Microsoft（5）365_apps，Office，OutlookCVE-2023-23397Windows、WindowsServerCVE-2024-21412CVE-2022-38028CVE-2024-21338OfficeCVE_2017_11882Ivanti（2）Connect_secure，Policy_secure，Neurons_for_zero-trust_accessCVE-2024-21893Connect_secure，Policy_secureCVE-2023-46805Rarlab（1）WinrarCVE-2023-38831PHP，F(xiàn)edoraproject（1）php，fedoraCVE-2024-45772024年上半年全球主要APT攻擊活動報告廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務(wù) 漏洞號Oracle（1）Weblogic_serverCVE-2017-3506Cisco（1）Adatie_security_appliane_softae，F(xiàn)ieper_tht_deenseCVE-2024-20353Paloaltonetworks（1）Pan-osCVE-2024-3400Connectwise（1）ScreenconnectCVE-2024-1709Igniterealtime（1）OpenfireCVE-2023-32315Aiohttp，F(xiàn)edoraproject（1）Aiohttp，F(xiàn)edoraCVE-2024-2333412024APT2024，APT組織主要通過利用知名軟件廠商產(chǎn)品中OffieWindwsTIantiAPT組織高度關(guān)注的另一個重要攻擊目標(biāo)，其多款產(chǎn)品頻繁遭受攻擊。為了提升攻擊成功率，APT組織往往03APT03APT2024APTAPT亞太地區(qū)亞太地區(qū)作為全球經(jīng)濟增長的重要引擎和科技創(chuàng)新的前沿陣地，其復(fù)雜的地緣政治格局和快速發(fā)展的數(shù)字經(jīng)濟環(huán)境，使之成為國家級APT攻擊的重點關(guān)注區(qū)域。在這一區(qū)域，APT攻擊呈現(xiàn)出高度精準(zhǔn)、持續(xù)性強和戰(zhàn)略目標(biāo)明確的特點，主要針對政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施、高新技術(shù)企業(yè)以及金融機構(gòu)等高價值目標(biāo)。在亞太地區(qū)，APTAPT針對我國我國作為全球第二大經(jīng)濟體，其龐大的市場和復(fù)雜的網(wǎng)絡(luò)環(huán)境使其成為APTAPT趨勢，各組織展現(xiàn)出不同的攻擊特征和目標(biāo)。除了以財務(wù)人員為主要目標(biāo)的銀狐團伙，還出現(xiàn)了amdc6766新黑產(chǎn)組織，其通過供應(yīng)鏈攻擊針對運維人員；aCaiATBITTERidWindr，正通過魚叉式網(wǎng)絡(luò)攻擊和漏洞利用等手段，滲透我APT20241，amdc6766(AMH、寶塔、Xshell、Navit)(LMP、Oninack)bIT從仿冒頁面或官方平臺下載并執(zhí)行含有惡意代碼的部署工具，便會與攻擊者的C2DNS定向投毒運維部署工具，amdc6766長期遠控低價值主機作為肉雞，然后擇機選擇高價值目標(biāo)進行深度控制。隨后Rootkit1月-6IP-**ard1BITTER后門程序，以竊取我國軍事機密。2024年上半年全球主要APT攻擊活動報告月末，Blackod"NSX30"AitMWSOffieQQNSPX30NSPX30C2月末，UG-Q007新黑客團伙針對中國等亞洲國家的建筑、房產(chǎn)營銷、互聯(lián)網(wǎng)等多個行業(yè)發(fā)起攻擊并傳播ROTbotDgerflyMgBotNightdoor。CoralRaiderGh0stTimor新威脅組織采取魚叉式釣魚、歷史漏洞利用等方式獲取主機初始訪問權(quán)限，并使用了一種新的由RUST語言編寫的遠控工具對我國的能源、高校、科研機構(gòu)及軍工等行業(yè)進行攻擊。5月末，東亞新團伙UTG-Q-010AISidinderoffie2007、2013、216CVE-2017-11882，來竊取對國內(nèi)高校和政府機構(gòu)的機密數(shù)據(jù)。針對韓國朝鮮與韓國之間的政治關(guān)系依然緊張且不穩(wěn)定，盡管偶爾存在對話與合作的跡象，但兩國之間的深層次分歧和歷史遺留問題使得兩國關(guān)系時常處于緊張狀態(tài)，軍事對峙和外交摩擦持續(xù)影響著朝鮮半島的穩(wěn)定。兩國間發(fā)生了一系列網(wǎng)絡(luò)攻擊事件，但目前披露的APT事件主要集中于韓國一方。其中，具有朝鮮國家背景的APT37、Kimsuky、Lazarus及其子組織（如Andariel）是主要的攻擊力量。它們的攻擊目標(biāo)涵蓋了韓國的政府、金融、數(shù)字貨幣領(lǐng)域及學(xué)術(shù)界，尤其是與朝鮮政治、人權(quán)和安全相關(guān)的個人和組織。攻擊者采用了多種技術(shù)手段，包括社會工程學(xué)、魚叉式網(wǎng)絡(luò)釣魚、利用云存儲服務(wù)作為攻擊平臺、偽裝合法軟件以及利用合法軟件更新機制植入后門等，旨在實現(xiàn)信息竊取、持續(xù)性滲透和加密貨幣挖礦等目的。此外，攻擊者不斷更新LiuxGomirTANSLTET出其技術(shù)能力的不斷提升和對目標(biāo)的深入了解。KimsukySAdropbox月初，朝鮮APT37冒充網(wǎng)絡(luò)研討會主辦方，以“2023年朝鮮形勢評估和2024年展望”為活動主題分發(fā)APT37LarsAndarielAndarLoaderModeLoader。KmsukyEdooronniAutoItKimsukyurialT政策會議、咨詢會議、調(diào)查問卷、講座指導(dǎo)等HTML頁面類型方式，并采取新戰(zhàn)術(shù)，通過利用合法的DropBox云存儲作為攻擊基地，以逃避威脅監(jiān)控范圍。朝鮮APT37通過與朝鮮人權(quán)專家相關(guān)的釣魚郵件，投遞RokRat遠控程序。imsukySanutiMiner件傳播加密貨幣礦工軟件。月，KmukyLiuxGomr攻擊韓國。月末，該組織偽裝成在韓國從事朝鮮人權(quán)領(lǐng)域工作的公職人員，并試圖通過在線好友請求和專用信使來接觸主要的朝鮮和安全相關(guān)工作人員。KimsukySmallTigerKimsukyGmail、KaaoNaer等多家著名電子郵件服務(wù)服務(wù)商安全措施的TRANSLATEXT針對印度APT之間，兩國目前的政治狀況是歷史遺留問題、軍事對抗、恐怖主義、安全競爭及民族主義情緒交織構(gòu)成的復(fù)雜局面。APT、SideCopyCosmicLeopardZIPLNK投遞遠控木馬以及通過惡意網(wǎng)站鏈接啟動復(fù)雜感染流程等。攻擊行業(yè)涵蓋了政府、軍事、教育等多個關(guān)鍵領(lǐng)域。攻擊目的主要是收集情報、竊取數(shù)據(jù)和進行網(wǎng)絡(luò)間諜活動。1ansantibeWhappAndid裝成AadhaarPicsStudentProfileAPKRlmRat1ansantribeLaasy發(fā)起釣魚攻擊，旨在控制受害者設(shè)備和采集信息的目的。SideCopyLNKZIPReverseRatCosmicLeopard組織持續(xù)使用GravityRAT和HeavyLift"OperationCelestialForce"中東地區(qū)絡(luò)行動主義行為不斷升級，網(wǎng)絡(luò)攻擊事件的頻率和烈度顯著上升。在這一背景下，伊朗的政治立場對中東地區(qū)形成了獨特的戰(zhàn)略格局。伊朗致力于在中東地區(qū)建立其政治和戰(zhàn)略霸權(quán)，并堅決反對美國及其盟國的干預(yù)政策。其行動不僅受內(nèi)部政治和宗教因素的驅(qū)動，還與國際關(guān)系密切相關(guān)。特別是，伊朗長期以來與以色列保持敵對狀態(tài)，強烈反對以色列在巴勒斯坦問題上的政策。APT獲得有利地位。在當(dāng)前中東復(fù)雜多變的政治環(huán)境中，這些網(wǎng)絡(luò)攻擊行為無疑加劇了地區(qū)的緊張氛圍和安全挑戰(zhàn)。2A--3(ICD)"Samecoin1HomelandJustice#DestroyDurresMilitaryCampNoJutieindws(MEK)2024年上半年全球主要APT攻擊活動報告APT35間諜組織的附屬組織對比利時、法國、加沙、以色列、英國以及美國的大學(xué)和研究組織中從事中東事務(wù)的知名人士發(fā)起了攻擊，旨在推送后門惡意軟件，進而竊取機密信息。harmingKienBASIAR"對中東政策專家發(fā)動了一系列釣魚攻擊。伊朗UNC1549瞄準(zhǔn)伊朗在內(nèi)的中東國家的國防、航空航天部門，通過釣魚攻擊傳播包含以色列哈馬斯相關(guān)內(nèi)容或虛假工作機會的虛假網(wǎng)站鏈接，最終導(dǎo)致主機下載MINIBIKE或MINIBUS惡意負載。TA450APT33FalseFont"SwordsofIronWar"MuddyWaterC2：DarkBeatC2。MuddyWaterITAgent(IG-IO)CharingKien歐美地區(qū)APT在這一地區(qū)，APT深遠影響。具體而言，針對烏克蘭的攻擊多集中于獲取有關(guān)政治和軍事的情報，以支持相關(guān)國家的地緣政治目標(biāo)。而針對美國的攻擊則涉及更廣泛的領(lǐng)域，包括破壞金融市場穩(wěn)定以及對關(guān)鍵基礎(chǔ)設(shè)施的潛在威脅。針對烏克蘭2024APT組織（Calisto、WinterVivern、APT28APT44）在對烏克PDF傳播惡意軟件。其次，它們主要針對政府、軍隊和基礎(chǔ)設(shè)施等關(guān)鍵目標(biāo)，并且特別收集關(guān)于政治和軍事活動的情報。再者，攻擊者加大了對烏克蘭的攻擊力度，通過供應(yīng)鏈投毒實現(xiàn)大規(guī)模破壞行動?？傮w而言，這些攻擊活動呈現(xiàn)出多樣化、目標(biāo)明確、技術(shù)手段復(fù)雜以及對特定區(qū)域的高度集中性特點。CalistoPDFinerViernouncube()80月下旬，俄羅斯APT28來激活感染鏈。APT44Kapeka)。該組織還實1020通過毒害供應(yīng)鏈來提供受感染或易受攻擊的軟件，或通過軟件供應(yīng)商訪問組織系統(tǒng)來滲透目標(biāo)網(wǎng)絡(luò)。隸屬于俄羅斯總參謀部(GRU)26165APT28WindowsPrintSpoolerGooseEgg"的新型入侵后自定義工具來提升權(quán)限并竊取憑證，其攻擊目標(biāo)包括烏克蘭、西歐和北美的政府、非政府組織、教育和交通部門。6月初，APT28組織分三個階段部署了HeadLace惡意軟件，并利用憑證收集網(wǎng)頁發(fā)起了一系列針對包括烏克蘭國防部、歐洲交通基礎(chǔ)設(shè)施以及阿塞拜疆的智庫等領(lǐng)域的惡意攻擊活動。針對美國針對美國的攻擊主體涵蓋了國家支持的APT組織（如伊朗的APT35）和跨國犯罪集團（BogusBazaarTriad），攻擊目標(biāo)主要集中政府機構(gòu)、金融部門、科技公司、學(xué)術(shù)機構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施，反映了這些行業(yè)在美國國家政治經(jīng)濟中的核心地位及其面臨的持續(xù)威脅。攻擊組織的地理分布凸顯了中東地區(qū)（如伊朗）、俄羅斯以及其他地區(qū)與美國之間的地緣政治緊張關(guān)系。同時，針對加密貨幣公司和金融機構(gòu)的攻擊表明了網(wǎng)絡(luò)犯罪分子對金融（AI（如偽裝政府實體和關(guān)鍵基礎(chǔ)設(shè)施滲透（如針對防火墻的零日漏洞攻擊）在現(xiàn)代網(wǎng)絡(luò)戰(zhàn)略中的重要性。APT35竊取機密信息。TA576Spider使用名為"CryptoChameleon"FCC)Binance、Coinbase、KrakenGeminiTA4903(BEC)月末，UNC5174F5BIG-IPCVE-2023-46747ScreenConnectCVE-2024-1709GOREVERSEGoAltoNetworksPAN-OSGlobalProtectCVE-2024-3400UTA0218Python：UPSTYLE。FIN7Anunak75,000BogusBazaar850,0005，UNK_SweetSpecterSugarGh0stAI月末，-0188ython惡意腳本，進而實施釣魚攻擊。月中旬，Smishing信釣魚活動。2024年上半年全球主要APT攻擊活動報告3.2重點行業(yè)攻擊 2024APT接下來，我們將深入探討這些行業(yè)所面臨的具體攻擊特征及其潛在影響。針對通信及軟件信息技術(shù)服務(wù)行業(yè)的攻擊2024年上半年，通信軟件和信息技術(shù)行業(yè)仍然是APT攻擊的主要目標(biāo)，其中運維、加密貨幣和人工智能領(lǐng)域尤其脆弱。攻擊者主要通過虛假招聘、偽裝應(yīng)用程序、利用零日漏洞和供應(yīng)鏈攻擊等手段進行滲透，目的多為竊取敏感信息，以用于政治對抗或經(jīng)濟利益。近期被利用的重要零日漏洞包括CVE-2024-21412、CVE-2024-26169、CVE-2024-23334、CVE-2024-3400、CVE-2024-21338、CVE-2024-20353、CVE-2024-20359Microsoft、Aiohttp、AltoNetworksCisco在針對軟件行業(yè)的APT組織中，amdc6766、Lazarus、UNK_SweetSpecter三個組織尤為活躍。其中，amdc6766主導(dǎo)多起供應(yīng)鏈攻擊，通過在官方安裝包中植入惡意鏈接，針對國內(nèi)運維人員進行投毒攻擊。其目標(biāo)是控制低價值主機作為跳板，進而滲透高價值目標(biāo)。Lazarus標(biāo)運行含有信息竊取程序的代碼。UN_etSperAIAISugarGh0st針對政府與國防軍工行業(yè)的攻擊政府與國防軍工行業(yè)對國家安全和戰(zhàn)略利益至關(guān)重要。因此，2024年上半年，這兩個領(lǐng)域繼續(xù)受到黑客組織的頻繁攻擊。與此同時地緣政治的持續(xù)影響也使得這些行業(yè)成為主要目標(biāo)。在攻擊策略上，黑客組織采取了多種手段，一方面，它們針對國防軍工、外交和安全部門的人員，發(fā)送偽裝成合法的釣魚郵件，以竊取敏感信息。另一方面，黑客組織還利用零日漏洞，部署一系列定制的惡意軟件，用于間諜活動和信息竊取。onni信息。UTA0178UNC5221IvantiConnectSecureVPN針對金融行業(yè)的攻擊金融行業(yè)作為國家發(fā)展的關(guān)鍵行業(yè)，因其潛在的巨大經(jīng)濟利益，一直以來都是黑客組織攻擊的主要目標(biāo)。因此，20242024年上半年的金融行業(yè)攻擊手段主要包括傳統(tǒng)的釣魚攻擊、木馬后門部署以及漏洞利用等方式。值得特別關(guān)注的黑客組織包括銀狐團伙、SecretCrowSavvySeahorse其中，銀狐團伙對我國構(gòu)成了較大的威脅，持續(xù)進行針對性的攻擊。SecretCrow語音釣魚組織則通過構(gòu)建一系列偽裝成執(zhí)法機構(gòu)和金融機構(gòu)的釣魚頁面，并開發(fā)惡意Android應(yīng)用程序，誘騙韓國受害者訪問釣魚網(wǎng)站。這些釣魚頁面及應(yīng)用程序（如SecretCallsLoader和SecretCalls）旨在竊取受害者的資金，用于金融欺詐。SavvySeahorse組織采用了DNSCNAME記錄創(chuàng)建一個流量分配系統(tǒng)（TDS），以支持其金融詐騙活動并規(guī)避檢測。此外，該組織還使用聊天機器人與受害者互動，誘使他們進行大額投資，從而實現(xiàn)詐騙過程的自動化。這些攻擊手段和策略顯示了金融行業(yè)面臨的持續(xù)和復(fù)雜的網(wǎng)絡(luò)安全威脅，也反映出黑客組織在攻擊技術(shù)上的不斷演進。04總結(jié)APTAPT04總結(jié)APT段的識別能力，并結(jié)合實際情況優(yōu)化防御策略。再次，應(yīng)加強對零日漏洞的檢測與響應(yīng)能力。組織需要建立高效的漏洞管理體系，實施實時漏洞掃描和修補，以盡早發(fā)現(xiàn)并修復(fù)系統(tǒng)中的安全漏洞，降低被攻擊的風(fēng)險。05附錄AIAIA05附錄時間 APT事件 組織名稱 攻擊行業(yè)628日Kimsuky組織部署TRANSLATEXT擴展以針對韓國學(xué)術(shù)界Kimsuky教育與科研627日俄羅斯多個行業(yè)遭到ReaverBits組織攻擊ReaverBits批發(fā)零售、通信及軟件信息技術(shù)服務(wù)、金融、制造業(yè)、社會組織626日Kimsuky組織新型后門HappyDoor披露Kimsuky625日印度響尾蛇組織近期針對國內(nèi)的攻擊活動剖析SideWinder政府、教育與科研624日SneakyChef間諜組織利用SugarGh0st瞄準(zhǔn)政府機構(gòu)SneakyChef政府624日游蛇黑產(chǎn)團伙針對財稅人員分發(fā)惡意木馬銀狐22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)624日APT-C-56通過Linux桌面文件投遞Poseidon惡意組件TransparentTribe624日Boolka組織使用BeEF框架構(gòu)建網(wǎng)頁傳播多種惡意軟件Boolka通信及軟件信息技術(shù)服務(wù)621日Kimsuky組織疑似以軍工招聘為餌攻擊歐洲Kimsuky國防軍工621日UNC3886組織近期間諜活動詳情披露UNC3886政府、通信及軟件信息技術(shù)服務(wù)、制造業(yè)、國防軍工、能源、公用事業(yè)620日VoidArachne組織利用Winos4.0C2框架攻擊中文用戶VoidArachne620日攻擊俄羅斯的ExCobalt團伙使用新的GoRed后門ExCobalt619日ONNXStoreMRxC0DER618日銀狐黑產(chǎn)組織最新攻擊樣本詳細分析銀狐617日OperationCelestialForce：CosmicLeopardCosmicLeopard國防軍工、政府、通信及軟件信息技術(shù)服務(wù)617日疑似巴勒斯坦黑客組織UTA0137向印度政府傳播DISGOMOJI惡意軟件UTA0137政府617日AridViper組織利用AridSpy木馬開展移動端間諜活動APT-C-23614日Cardinal組織利用Windows權(quán)限升級漏洞作為零日漏洞Storm-1811通信及軟件信息技術(shù)服務(wù)614日StickyWerewolf以視頻會議邀請為誘餌攻擊俄羅斯航空航天行業(yè)StickyWerewolf制造業(yè)613日SmishingTriadSmishingTriad交通運輸613日Kimsuky組織近期RandomQuery活動分析Kimsuky613日PHPCGIWindowsTellYouThePassLucifer服務(wù)業(yè)、金融、醫(yī)療612日REF6127通過開展招聘主題的釣魚活動部署WARMCOOKIE后門REF6127611日SilverValleyRAT銀狐610日ExCobalt組織持續(xù)開發(fā)GoRed后門以攻擊俄羅斯公司ExCobalt通信及軟件信息技術(shù)服務(wù)、政府、能源610日CommandoCatDockerCommandoCat通信及軟件信息技術(shù)服務(wù)6月7日UAC-0200利用DarkCrystalRAT惡意軟件攻擊烏克蘭關(guān)鍵組織UAC-0200政府、國防軍工6月7日OperationsControlPlug：DarkPeonyMSCDarkPeony政府、國防軍工6月6日FaCai團伙通過某翻譯軟件的引流服務(wù)實施釣魚攻擊FaCai22024APT時間 APT事件 組織名稱 攻擊行業(yè)6月5日UNC1151再次出擊：針對烏克蘭國防部進行釣魚攻擊活動UNC1151國防軍工6月4日俄羅斯APT28利用HeadLace惡意軟件滲透歐洲關(guān)鍵網(wǎng)絡(luò)APT28交通運輸、國防軍工、教育與科研6月3日Konni黑客組織使用俄羅斯政府軟件安裝包進行攻擊Konni政府6月3日UAC-0195借助流行社交媒體發(fā)起以投票為主題的釣魚活動UAC-0195531日LilacSquid組織信息公開LilacSquid531日FlyingYeti組織對烏克蘭居民實施釣魚活動UAC-0149531日8220Gang利用OracleWebLogic服務(wù)器漏洞部署挖礦程序8220Gang通信及軟件信息技術(shù)服務(wù)530日SapphireWerewolf組織瞄準(zhǔn)俄羅斯關(guān)鍵行業(yè)下發(fā)竊密程序SapphireWerewolf教育與科研、通信及軟件制造業(yè)業(yè)529日Hellhounds組織持續(xù)攻擊俄羅斯Hellhounds529日MoonstoneSleet組織瞄準(zhǔn)區(qū)塊鏈、AI等多個行業(yè)Storm-1789通信及軟件信息技術(shù)服工529日KiteshieldPacker被多個黑客組織用于繞過殺軟檢測APT17、amdc6766528日SharpDragon組織進軍非洲和加勒比海地區(qū)SharpPanda527日SmallTiger惡意軟件被用于瞄準(zhǔn)韓國多個關(guān)鍵行業(yè)Kimsuky國防軍工、制造業(yè)527日UnfadingSeaHaze黑客組織瞄準(zhǔn)東南亞國家UnfadingSeaHaze527日銀狐團伙近期發(fā)起以核酸檢測退費為主題的釣魚活動谷墮大盜527日UAC-0188組織利用微軟掃雷游戲的克隆版本實施釣魚攻擊UAC-0188金融524日TransparentTribe組織瞄準(zhǔn)印度政府、國防和航空航天部門TransparentTribe政府、國防軍工、制造業(yè)523日UAC-0006組織向烏克蘭投遞SMOKELOADER惡意軟件UAC-0006522日IkaruzRedTeam畫像介紹IkaruzRed522日APT32組織針對Office軟件的常用釣魚文件剖析APT32通信及軟件信息技術(shù)服務(wù)522日UTG-Q-010：瞄準(zhǔn)國內(nèi)AI和游戲行業(yè)UTG-Q-010通信及軟件信息技術(shù)服務(wù)521日VoidManticore組織瞄準(zhǔn)以色列實施破壞性攻擊活動VoidManticore520日Kinsing黑客組織信息披露Kinsing通信及軟件信息技術(shù)服務(wù)520日Kimsuky組織對韓國和日本發(fā)起釣魚攻擊Kimsuky520日amdc6766團伙再次實施供應(yīng)鏈投毒攻擊活動amdc6766通信及軟件信息技術(shù)服務(wù)22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)517日Kimsuky組織使用新的Linux后門Gomir攻擊韓國Kimsuky517日SugarGh0stRAT被用于攻擊美國人工智能專家UNK_SweetSpecter教育與科研、政府516日銀狐團伙借助某終端安全管理軟件發(fā)起釣魚攻擊谷墮大盜通信及軟件信息技術(shù)服務(wù)516日TurlaAPT組織使用Lunar工具包攻擊歐洲外交部Turla政府516日Storm-181組織利用QuickAssist工具部署勒索軟件Storm-181通信及軟件信息技術(shù)服務(wù)515日SideCopy組織近期瞄準(zhǔn)印度大學(xué)生SideCopy教育與科研515日Telegram漢化軟件暗藏后門病毒金眼狗通信及軟件信息技術(shù)服務(wù)515日蔓靈花組織利用Replit平臺的攻擊活動分析BITTER514日Timitator組織針對國內(nèi)用戶分發(fā)Rust特馬Timitator能源、教育與科研與科研、國防軍工514日PhantomCore組織向俄羅斯多個行業(yè)發(fā)起釣魚攻擊PhantomCore能源513日FIN7組織使用Google廣告來分發(fā)MSIX惡意文件FIN7511日Lazarus組織針對區(qū)塊鏈從業(yè)者實施攻擊活動Lazarus通信及軟件信息技術(shù)服務(wù)510日銀狐釣魚團伙2024年1-5月攻擊特點剖析谷墮大盜交通運輸、服務(wù)業(yè)、教育與科研、通信及軟件信息技術(shù)服務(wù)、金融5月9日BOGUSBAZAAR犯罪團伙運營囊括數(shù)萬域名的虛假電商網(wǎng)絡(luò)BogusBazaar通信及軟件信息技術(shù)服務(wù)5月9日APT28對波蘭政府機構(gòu)發(fā)動大規(guī)模惡意軟件活動APT28政府5月9日禮品卡欺詐團伙Storm-0539針對零售公司Storm-0539批發(fā)零售5月6日伊朗APT42組織最新網(wǎng)絡(luò)釣魚活動追蹤CharmingKitten國際組織、教育與科研與科研、文體娛樂5月6日SecretCrow語音網(wǎng)絡(luò)釣魚組織對韓國實施金融欺詐活動SecretCrow金融430日銀狐黑產(chǎn)團伙大規(guī)模針對財稅人員谷墮大盜金融428日LightSpy惡意軟件變種瞄準(zhǔn)macOSAPT41428日SideCopy組織利用釣魚攻擊針對印度政府投遞遠控木馬SideCopy政府426日Kimsuky劫持eScan防病毒更新以部署GuptiMiner惡意軟件Kimsuky通信及軟件信息技術(shù)服務(wù)426日APT73：一個自稱為APT的勒索軟件組織APT73425日MuddyWater使用合法AteraAgent遠控工具獲取初始訪問權(quán)限MuddyWater交通運輸、通信及軟件信息技術(shù)服務(wù)、醫(yī)療22024APT時間 APT事件 組織名稱 攻擊行業(yè)425日ArcaneDoor活動：UAT4356組織借助思科零日漏洞入侵全球政府網(wǎng)絡(luò)UAT4356通信及軟件信息技術(shù)服務(wù)、政府425日ScalyWolf組織通過釣魚攻擊下發(fā)WhiteSnake竊取程序ScalyWolf政府425日WindowsPrintSpoolerAPT28APT28424日國內(nèi)企事業(yè)單位正遭到FaCai釣魚團伙的攻擊FaCai424日ScarCruft利用惡意LNK文件投遞RokRat遠控程序APT37423日APT43組織近期針對韓國的TutorialRAT惡意軟件活動分析APT43423日烏克蘭20個重要機構(gòu)遭俄羅斯APT44組織破壞APT44公用事業(yè)、能源423日ToddyCat組織使用的數(shù)據(jù)竊取工具和隧道工具公開ToddyCat國防軍工、政府419日Lazarus組織利用CVE-2024-21338漏洞攻擊亞洲技術(shù)人員Lazarus通信及軟件信息技術(shù)服務(wù)419日Sandworm組織在攻擊東歐的活動中部署新的Kapeka后門APT44419日俄羅斯Sandworm組織升級為APT44，目標(biāo)是全球關(guān)鍵基礎(chǔ)設(shè)施APT44社會組織、國防軍工、文體娛樂、政府、交通交通運輸、能源418日FIN7組織針對美國汽車制造公司部署Anunak后門程序FIN7制造業(yè)417日朝鮮Kimsuky組織近期活動TTP分析Kimsuky416日SteganoAmor活動：TA558正大規(guī)模攻擊全球公司與機構(gòu)TA558415日GlobalProtect防火墻零日漏洞遭UTA0218組織利用UTA0218通信及軟件信息技術(shù)服務(wù)411日eXoticVisit間諜活動瞄準(zhǔn)印度和巴基斯坦安卓用戶VirtualInvaders411日RUBYCARP僵尸網(wǎng)絡(luò)組織揭秘RUBYCARP411日TA547疑似使用大模型工具生成腳本向德國實體分發(fā)Rhadamanthys惡意軟件TA547批發(fā)零售410日StarryAddax組織正利用新惡意軟件瞄準(zhǔn)北非的人權(quán)活動人士StarryAddax社會組織4月9日MuddyWater組織最新攻擊框架DarkBeatC2分析MuddyWater4月8日金融相關(guān)人員近期遭游蛇團伙攻擊谷墮大盜金融4月7日SolarSpiderJsOutProxSolarSpider金融4月7日LazyKoala組織利用LazyStealer竊取器攻擊多個國家LazyKoala教育與科研、金融、醫(yī)療、政府4月5日越南CoralRaider組織對亞洲多個國家實施數(shù)據(jù)竊取活動CoralRaider4月5日金眼狗團伙偽造VPN惡意安裝包植入定制化gh0st木馬金眼狗22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)4月3日EarthFreybugUNAPIMONEarthFreybug4月1日EarthKrahangLinodasEarthKrahang329日東盟實體遭到StatelyTaurus等APT組織入侵MustangPanda政府、國防軍工327日Machete組織近期活動披露Machete327日金相狐黑產(chǎn)團伙利用AI人臉識別技術(shù)實施金融詐騙GoldenPhysiognomyFox能源、金融326日韓國虛擬貨幣行業(yè)參與者遭到Konni組織投遞AutoIt惡意腳本Konni通信及軟件信息技術(shù)服務(wù)325日UNC5174組織利用公開漏洞滲透美國等多個地區(qū)的機構(gòu)UNC5174325日俄羅斯APT29組織利用WineLoader后門攻擊德國政黨APT29政府325日CloudWerewolf組織瞄準(zhǔn)俄羅斯政府CloudWerewolf政府322日APT-C-09以巴基斯坦聯(lián)邦稅務(wù)局為誘餌發(fā)起釣魚攻擊WhiteElephant政府322日TinyTurla攻擊鏈新細節(jié)揭露Turla社會組織322日伊朗CuriousSerpens組織旗下FalseFont后門揭秘APT33交通交通運輸322日TA450使用與薪酬有關(guān)的誘餌來針對以色列員工MuddyWater320日Kimsuky組織使用韓國企業(yè)有效證書簽名的惡意軟件感染韓國用戶Kimsuky319日EarthKrahang組織瞄準(zhǔn)多個國家和地區(qū)EarthKrahang政府、教育與科研319日ITG05組織針對全球目標(biāo)開展網(wǎng)絡(luò)釣魚活動APT28通信及軟件信息技術(shù)服運輸318日ShadowSyndicate組織開始利用Aiohttp漏洞竊取信息ShadowSyndicate通信及軟件信息技術(shù)服務(wù)318日DarkGate惡意軟件活動實施SmartScreen零日漏洞攻擊DarkCasino通信及軟件信息技術(shù)服務(wù)315日NGC2180黑客團伙使用DFKRAT進行監(jiān)視活動NGC2180314日MicosoftDeenderSmartSceenerHda織利用DarkCasino金融、通信及軟件信息技術(shù)服務(wù)314日RedCurl組織近期活動使用Windows合法服務(wù)繞過安全限制RedCurl312日Andariel組織濫用韓國資產(chǎn)管理解決方案分發(fā)MeshAgentLazarus311日藏語用戶疑似遭到EvasivePanda組織攻擊Daggerfly社會組織311日MagnetGoblin組織使用1day漏洞針對互聯(lián)網(wǎng)服務(wù)器MagnetGoblin通信及軟件信息技術(shù)服務(wù)3月8日APT37利用朝鮮政治話題向韓國發(fā)起釣魚攻擊APT3722024APT時間 APT事件 組織名稱 攻擊行業(yè)3月7日TA4903組織冒充美國政府機構(gòu)實施BEC攻擊TA4903政府、建筑與地產(chǎn)、金融、制造業(yè)、服務(wù)業(yè)、能源3月6日GhostSec聯(lián)合Stormous團伙對多個國家實施雙重勒索攻擊GhostSec、Stormous國防軍工、交通運輸、能源、制造業(yè)、通信及軟件信息技術(shù)服務(wù)3月5日TA577組織使用新型攻擊鏈竊取NTLM信息TA5773月5日NoName057(16)組織DDoSia項目持續(xù)更新NoName057(16)3月4日黑客針對FCC和加密貨幣公司發(fā)動高級Okta網(wǎng)絡(luò)釣魚攻擊ScatteredSpider(定)政府、通信及軟件信息技術(shù)服務(wù)3月4日FluffyWolf組織冒充建筑公司分發(fā)多種惡意程序FluffyWolf通信及軟件信息技術(shù)服務(wù)、建筑與地產(chǎn)3月4日GTPDOOR惡意軟件利用GPRS協(xié)議感染電信網(wǎng)絡(luò)LightBasin通信及軟件信息技術(shù)服務(wù)3月1日歐洲外交官遭到SPIKEDWINE組織攻擊SPIKEDWINE政府229日SavvySeahorseDNSCNAMESavvySeahorse金融229日Lazarus組織在官方Python存儲庫中發(fā)布惡意Python包Lazarus通信及軟件信息技術(shù)服務(wù)229日MysteriousWerewolf組織向俄羅斯軍事工業(yè)委員會下發(fā)RingSpy后門MysteriousWerewolf國防軍工228日中東國家的航空航天和國防部門遭到伊朗組織UNC1549攻擊UNC1549制造業(yè)、國防軍工228日UAC-0184組織采用圖像隱寫術(shù)向烏克蘭企業(yè)推送RemcosRATUAC-0184227日越南DuckTail組織近期針對數(shù)字營銷人員的攻擊活動剖析DuckTail通信及軟件信息技術(shù)服務(wù)227日EarthLusca組織對中國臺灣發(fā)動釣魚攻擊EarthLusca政府226日CharmingKitten組織利用新型BASICSTAR后門瞄準(zhǔn)中東政策專家CharmingKitten226日WinterVivern黑客借助Roundcube漏洞入侵80多個組織WinterVivern政府、國防軍工225日與哈馬斯APT-C-23組織相關(guān)的Samecoin惡意軟件活動追蹤APT-C-23223日新型組織UTG-Q-007利用越南語木馬瞄準(zhǔn)亞洲地區(qū)UTG-Q-007建筑與地產(chǎn)、通信及軟件信息技術(shù)服務(wù)223日SideWinder組織使用基于Nim語言的遠控程序SideWinder政府220日朝鮮黑客針對國防部門進行供應(yīng)鏈攻擊事件披露Lazarus國防軍工、政府219日GoldFactoryiOSGoldPickaxeGoldFactory金融218日erHdaDarkCasino金融22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)216日Turla團伙向波蘭非政府組織投遞新型后門TinyTurla-NGTurla社會組織2