2024年全球高級持續(xù)性威脅（APT）研究報告

2024RESEARCHREPORT持續(xù)性威脅（APT）持續(xù)性威脅（APT）2024 ADVANCEDPERSISTENTTHREATP004PART01P0040052024年全球高級持續(xù)性威脅形勢概覽0062024年活躍APT組織統(tǒng)計PPART02P0102024年各地區(qū)活躍APT組織分析010011北美013東亞-朝鮮半島022東亞-其他地區(qū)028東南亞032南亞040東歐048中東052南美PPART03P054重點行業(yè)APT威脅態(tài)勢054057政府機構(gòu)、教育依舊是APT組織攻擊重點方向058針對國防軍工的網(wǎng)絡(luò)攻擊在地區(qū)沖突中角色升級059科研是APT組織背后勢力關(guān)注的重點領(lǐng)域060針對汽車制造、新能源領(lǐng)域的攻擊活動逐漸顯露061通信電信領(lǐng)域成為APT攻擊新熱點PPART04P0622024年APT攻擊發(fā)展趨勢分析062063攻擊活動使用的ATT&CK技戰(zhàn)術(shù)TOP20065APT攻擊活動0Day和nDay漏洞利用統(tǒng)計067供應(yīng)鏈攻擊成為APT組織攻擊重點趨勢068國產(chǎn)化軟件系統(tǒng)成為APT組織攻擊重點069通信設(shè)備成武器，網(wǎng)絡(luò)攻擊形態(tài)多樣化069各國逐漸尋求外交譴責以外的方式應(yīng)對APT威脅P070PART05P070PART01概述P004P0090052024年全球高級持續(xù)性威脅形勢概覽0062024年活躍APT組織統(tǒng)計P005PART01P005 2024年全球高級持續(xù)性威脅形勢概覽2024年，全球局勢在合作與沖突并存的基調(diào)下向多極化發(fā)展。全球性合作峰會在促進多邊合作、應(yīng)對全球危機中發(fā)揮著更加積極的作用；俄烏沖突、中東地區(qū)沖突等地緣事件深刻影響著全球秩序；中的網(wǎng)絡(luò)組織在網(wǎng)絡(luò)空間高隱蔽性、高破壞性的攻擊活動更加頻繁，其影響早已在全球網(wǎng)2024年，全球網(wǎng)絡(luò)安全廠商和機構(gòu)累計發(fā)布APT報告730多篇，報告涉及APT組織124個，其中屬于首次披露的APT組織41個。從全球范圍看，APT組織攻擊活動聚焦地區(qū)政治、經(jīng)濟等時事熱點，攻擊目標集中分布于政府機構(gòu)、國防軍工、信我國歷來是地緣周邊APT組織攻擊的重點區(qū)域。依托360全網(wǎng)安全大數(shù)據(jù)視野，360高級威脅研究院在2024年累計捕獲到1300余起針對我國的APT攻擊活動。攻擊來源APT組織主要歸屬南亞、東南在2024年，我們再次捕獲到兩個全新APT組織，分別為屬南亞地區(qū)的APT-C-70（獨角犀）和東亞地區(qū)的APT-C-65（金葉蘿）。截至2024年底，360已累計發(fā)現(xiàn)并披露了56個境外APT組織。近年來，我國新能源汽車產(chǎn)業(yè)異軍突起，APT組織對我國新能源汽車領(lǐng)域的攻擊活動也逐漸顯露。隨著我國信創(chuàng)和國產(chǎn)化進程的不斷推進，我國網(wǎng)絡(luò)空間的安全壁壘不斷提升，APT組織轉(zhuǎn)而以我國國產(chǎn)2024年，APT組織在攻擊活動中使用0day漏洞的熱度不減，除0day漏洞外，還使用了大量1day以及nday漏洞，其中針對移動平臺0day漏洞延續(xù)2024年人工智能大模型技術(shù)迎來爆發(fā)，在網(wǎng)絡(luò)空間引發(fā)了技術(shù)變革和治理規(guī)則的挑戰(zhàn)，其在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用范圍和影響力也不斷擴大，需要關(guān)注人工智能圖：2024年全球范圍安全廠商披露APT攻擊影響行業(yè)分布TOP10P0062024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP006222024年活躍APT組織統(tǒng)計進入2024年，全球地緣政治勢力間的競爭與博弈更加激烈，特別是在東歐、中東以及亞太地區(qū)，的俄烏沖突和新—輪巴以沖突中，網(wǎng)絡(luò)攻擊被各方在此形勢下，全球APT組織繼續(xù)保持高活躍度。截止2024年底，全球網(wǎng)絡(luò)安全廠商以及機構(gòu)累計發(fā)布APT報告730多篇，報告涉及APT組織124個，其中屬于首次披露組織41個。APT組織攻擊比較集政府32%其他行業(yè)7%政府32%醫(yī)療衛(wèi)生3%4%4%4%4%5%5%7%7%7%7%7%7%國防軍工17%7%國防軍工17%7%圖：2024年全球典型APT組織活躍度情況P007PART01概述007北美東亞東歐北美東亞東歐南亞南亞東南亞東南亞mmmmAPT-C-08（蔓靈花）APT-C-09（摩訶草）★★★★APT-C-48（mmmmAPT-C-08（蔓靈花）APT-C-09（摩訶草）★★★★APT-C-48（CNC）APT-C-70（獨角犀）★★APT-C-24（響尾蛇）APT-C-56（透明部落）★★mmAPT-C-00（海蓮花）★★★★APT-C-36（盲眼鷹）★★APT-C-23（雙尾蝎）★★★APT-C-51（APT35）★★★APT-C-49（OilRig）★南美APT-C-01（毒云藤）★★★★mmmmAPTmmmmAPT-C-26（Lazarus）APT-C-55（Kimsuky）APT-C-06（DarkHotel）★★★APT-C-60（偽獵者）★★★APT-C-65（金葉蘿）APT-C-68（寄生蟲）★★APT-C-39（CIA）★★★APT-C-40（NSA）★★APT-C-13（Sandworm）★★★APT-C-25（APT29）★★★APT-C-20（APT28）★★APT-C-29（Turla）★★APT-C-53（Gamaredon）★★P0082024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT008根據(jù)360全網(wǎng)安全大數(shù)據(jù)監(jiān)測：2024年，對中國發(fā)起攻擊活動的APT組織，主要為歸屬南亞、東南亞、東亞、北美等地區(qū)的13個組織。我國受APT攻擊影響單位主要分布于政府機構(gòu)、教育、科研、國基于APT組織攻擊活動次數(shù)、受影響單位數(shù)量、受攻擊設(shè)備數(shù)量、技戰(zhàn)術(shù)迭代頻次等們對2024年攻擊活動影響我國的APT組織活躍度進行評估，得出下表。TOP1APT-C-01（毒云藤）東亞政府機構(gòu)、教育、交通運輸?shù)萒OP2APT-C-00（海蓮花）TOP3APT-C-09（摩訶草）南亞教育、國防軍工、科研等TOP4APT-C-08（蔓靈花）TOP5APT-C-48（CNC）南亞教育、科研、國防軍工等TOP6APT-C-39（CIA）TOP7APT-C-06（Darkhotel）東亞制造業(yè)、政府機構(gòu)等TOP8APT-C-60（偽獵者）TOP9APT-C-65（金葉蘿）東亞政府機構(gòu)、教育等TOP10APT-C-70（獨角犀）2024年，政府機構(gòu)成為境外APT組織重點針對的領(lǐng)域，政府機構(gòu)相關(guān)的外交、海事、交通管理等職能單位是APT組織攻擊主要目標；教育行業(yè)中國防軍工背景、國際關(guān)系研究以及科技類院校是APT組織攻擊重點；科研領(lǐng)域中軍工科研、國際政策研究、海洋與資源研究屬于APT組織重點針對方向。圖：2024年我國受APT攻擊影響單位行業(yè)分布TOP10P009PART01概述009政府33%其他行業(yè)8%政府33%醫(yī)療衛(wèi)生2%3%3%3%3%3%3%5%5%6%6%8%8%教育20%教育20%9%2024年境外APT組織對我國政府機構(gòu)領(lǐng)域攻擊活動占比明顯增加。通過分析發(fā)現(xiàn)：原因首先是2024年南亞APT-C-08（蔓靈花）組織對我國外交和駐外合作相關(guān)目標開展了多次集中攻擊，其攻擊活動活躍時間與我國舉辦中非合作論壇、參與二十國集團峰會等重大國際活動時間存在相關(guān)性；其次是東南亞組織APT-C-00（海蓮花）利用某國產(chǎn)化軟件系統(tǒng)漏洞對采用該系統(tǒng)的政府機構(gòu)進行大范圍滲PART022024年各地區(qū)活躍APT組織分析P010P057011北美013東亞-朝鮮半島022東亞-其他地區(qū)028東南亞032南亞040東歐048中東052南美P011PART022024年各地區(qū)活躍APTP011 北美是全球信息技術(shù)最為發(fā)達和領(lǐng)先的區(qū)域之一，占據(jù)了大多數(shù)信息技術(shù)領(lǐng)域的產(chǎn)業(yè)鏈上游，不僅戰(zhàn)術(shù)水平更是領(lǐng)先于其他地區(qū)。來自北美地區(qū)的APT組織在攻擊能力上實現(xiàn)了體系化、工程化。其攻擊近幾年我國科技創(chuàng)新領(lǐng)域發(fā)展迅速，成為全球關(guān)注焦點。來自北美的APT組織將我國前沿科技相關(guān)的科研與制造企業(yè)作為重點攻擊目標，進行長期網(wǎng)絡(luò)攻擊滲透。2024年，我國相關(guān)部門發(fā)現(xiàn)和處置了兩起疑似美國情報機構(gòu)對我國大型科技企業(yè)機構(gòu)進行網(wǎng)絡(luò)攻擊竊密事件[1]。同年，360高級威脅研究院監(jiān)測到北美方向APT-C-39（CIA）組織對我國科研創(chuàng)新領(lǐng)域攻擊活動活躍。圖：APT-C-39（CIA）組織2024年主要攻擊活動流程示意P0122024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT012APT-C-39（CIA）APT-C-39（CIA）組織在對我國和其他國家地區(qū)實施的持續(xù)網(wǎng)絡(luò)竊密活動中，使用了大量0day漏洞。APT-C-39（CIA）組織在2024年針對我國航空、航天、材料科學等前沿科技相關(guān)重點單位進2024年，我們捕獲到APT-C-39（CIA）組織針對我國科研與國防軍工相關(guān)目標，利用國內(nèi)某安P013PART022024年各地區(qū)活躍APTP013 東亞-朝鮮半島2024年，東亞地區(qū)政治局勢復(fù)雜多變，朝鮮半島緊張局勢持續(xù)升溫，臺海、東海等問題對抗博弈加劇。在此背景下，東亞地區(qū)APT組織十分活躍，不僅不斷更新攻擊手法，提升0day漏洞利用水平，還在攻擊活動中使用了如：復(fù)雜字符串解碼/解密方法、濫用Zsh配置文件、使用生成式人工智能、BYOVD等多種新的攻擊技術(shù)，提升其網(wǎng)絡(luò)武器攻擊能力和跨平臺執(zhí)行能力。該地區(qū)除APT-C-06（DarkHotel）、APT-C-26（Lazarus）、APT-C-55（Kimsuky）等持續(xù)活躍的組織外，APT-C-60（偽獵者）在2024年活躍度也大幅提升。圖：APT-C-06（Darkhotel）組織釣魚攻擊活動流程P0142024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT014APT-C-06（DarkHotel）2024年，APT-C-06（Darkhotel）組織在攻擊活動中主要以投遞具有迷惑性主題的壓縮包作為2024年，APT-C-06（Darkhotel）組織在其釣魚攻擊活動中制作和使用了偽裝成韓語字體安裝包的惡意載荷，并通過釣魚郵件進行傳播。本次活動攻擊時間集中，我國受攻在此次攻擊中，APT-C-06（Darkhotel）組織將惡意載荷偽裝成朝鮮國內(nèi)常使用的襯線印刷體光明字體的變體版本，誘使目標人群下載并安裝。由于此種字體在公共互聯(lián)網(wǎng)資源較少，所以能吸引較多2024年4月，在APT-C-06（Darkhotel）組織進行的另一起攻擊活動中，攻擊者疑似使用某款特定郵箱軟件的漏洞進行代碼注入，竊取用戶瀏覽器或郵箱客戶端P015PART022024年各地區(qū)活躍APT組織分析015APT-C-60（偽獵者）APT-C-60（偽獵者）是360在2021年捕獲并披露的APT組織，該組織經(jīng)常使用招聘和簡歷相關(guān)誘餌文檔，對我國涉韓相關(guān)的政府機構(gòu)、駐韓文化商貿(mào)等目標展開釣魚攻擊。2024年APT-C-60（偽獵者）組織活躍度明顯增加，還在其攻擊活動中使用了0day漏洞，同時該組織攻擊目標也擴展到部分2024年，APT-C-60（偽獵者）組織在攻擊活動中使用類似“邀請函”、“通訊錄”、“報名表”等主題的誘餌文檔，對我國駐韓，特別是駐首爾地區(qū)的文娛傳媒、經(jīng)貿(mào)合作領(lǐng)域相關(guān)單位展開釣魚2024年，360高級脅研究院捕獲到APT-C-60（偽獵者）組織使用某辦公軟件0day漏洞開展攻擊活動。在攻擊活動中，攻擊者制作該辦公軟件特定“.et”格式的惡意在使用文件名為“curriculumvitae.et”的攻擊活動中，文檔中的個人照片被馬賽克圖片故意遮擋，當受害用戶點擊遮擋的馬賽克圖片時，超鏈接指向攻擊者構(gòu)造的圖①：APT-C-60（偽獵者）釣魚攻擊流程示意圖②：APT-C-60（偽獵者）組織攻擊活動使用的誘餌文檔圖：APT-C-26（Lazarus）組織針對IT技術(shù)人員攻擊活動流程P0162024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT016APT-C-26（Lazarus）APT-C-26（Lazarus）組織在2024年持續(xù)在全球范圍展開攻擊活動，針對韓國地區(qū)的攻擊保持高活躍度，同時該組織對加密貨幣領(lǐng)域的攻擊勢頭也呈現(xiàn)上升趨勢。APT-C-26（Lazarus）組織在攻擊活動中使用了多種復(fù)雜的攻擊技術(shù)，例如通過使用偽造社交賬號、偽造就業(yè)機會、虛假公司信息等展開社會工程學攻擊；使用CVE-2024-21338、CVE-2024-7971、CVE-2024-38106等多個漏洞展開零日漏洞攻擊；使用DLL側(cè)加載和無文件攻擊等；多種復(fù)雜攻擊手段顯示出了APT-C-26（Lazarus）組織具備高度的組織化和高超技戰(zhàn)術(shù)水平。APT-C-26（Lazarus）組織展開了一系列針對有IT技術(shù)背景，特別是軟件開發(fā)人員的攻擊活動。攻擊者通過精心運營的社交媒體賬號或開發(fā)者平臺主頁，向目標人員發(fā)送虛假的招聘信息，誘導(dǎo)目標用戶訪問其事先準備好的惡意代碼倉庫，并誘騙用戶執(zhí)行其中的惡意程序。惡意程趁機竊取用戶的加密貨幣以及系統(tǒng)登錄憑據(jù)，同時向目標系統(tǒng)植入偽裝成正常工具的惡意Python組件，進一步竊取目標用戶的隱私數(shù)據(jù)。攻擊的最后階段，攻擊者會向目標用戶發(fā)送AnyDesk遠程控制我們通過對APT-C-26（Lazarus）組織攻擊活動監(jiān)測分析發(fā)現(xiàn)，我國東北和南方部分地區(qū)也存在P017PART022024年各地區(qū)活躍APT組織分析0172024年下半年，360高級威脅研究院捕獲到了APT-C-26（Lazarus）組織利用Electron打包的惡意程序，該程序偽裝成貨幣平臺的自動化交易工具安裝包對加密貨幣行業(yè)相關(guān)人員進行攻擊。一旦受害者點擊Electron打包的惡意程序，顯示正常的安裝過程的同時在后臺運行惡意功能，隨后通過層層加圖①：APT-C-26（Lazarus）組織偽造的加密貨幣相關(guān)網(wǎng)頁（一）圖②：APT-C-26（Lazarus）組織偽造的下載惡意組建的加密貨幣相關(guān)網(wǎng)頁（二）P0182024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT018圖①：APT-C-26（Lazarus）組織針對加密貨幣相關(guān)目標攻擊流程圖②：攻擊者從瀏覽器獲取加密貨幣相關(guān)信息圖：APT-C-55（Kimsuky）組織攻擊流程示意圖P019PART022024年各地區(qū)活躍APT組織分析019APT-C-55（Kimsuky）2024年，APT-C-55（Kimsuky）組織攻擊活動除主要針對韓國政府機構(gòu)和國防軍事相關(guān)目標360高級威脅研究院對APT-C-55（Kimsuky）組織發(fā)起的RandomQuery攻擊活動進行分析：攻擊者將惡意HTML腳本作為郵件附件進行傳播，隨后釋放惡意LNK文件和誘餌文件。誘餌文檔被偽裝成與報酬支付相關(guān)內(nèi)容，有效地誘導(dǎo)目標用戶打開附件，最終利用腳本文件部署開源遠程訪問木馬（RAT）組件，從而實現(xiàn)對信息的進一步竊取。APT-C-28（ScarCruft）APT-C-28（ScarCruft）組織在2024年持續(xù)活躍，攻擊目標領(lǐng)域除主要針對朝鮮相關(guān)媒體機構(gòu)、專家學者、網(wǎng)絡(luò)安全專業(yè)人員外，部分攻擊活動還影響到韓國軍事、教育以及俄羅斯政府相關(guān)目360高級威脅研究院監(jiān)測到APT-C-28（ScarCruft）組織在攻擊活動中通過目標投遞偽裝成“朝鮮人權(quán)專家辯論”的惡意LNK文件來投遞RokRat惡意軟件。當用戶激活惡意LNK文件，會提取惡意BAT文件和PowerShell腳本，隨后調(diào)用PowerShell腳本從DropBox云服務(wù)下載下一階段加密載荷，加密載荷解密得到shellcode，并在新創(chuàng)建的線程進行加載，最終獲取RokRat惡意軟件。P0202024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT020“SpravkiBKsetup.msi”，偽裝成俄羅斯政府相關(guān)軟件進行惡意載荷投遞。當MSI程序運行時，會釋圖①：APT-C-28（ScarCruft）組織攻擊活動流程示意圖②：APT-C-28（ScarCruft）組織偽造的俄羅斯政府相關(guān)軟件截圖圖：APT-C-28（ScarCruft）組織使用“VeilShell”惡意軟件攻擊過程P021PART022024年各地區(qū)活躍APT組織分析0212024年，APT-C-28組織首次針對東南亞地區(qū)展開攻擊活動，攻擊者啟用了名為“VeilShell“的隱蔽型惡意軟件。惡意軟件通過釣魚郵件傳播，具有遠程訪問木馬功能，可讓攻P0222024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP022 東亞-其他地區(qū)2024年，歸屬東亞其他地區(qū)APT組織活躍度呈現(xiàn)上升態(tài)勢。APT-C-01（毒云藤）組織持續(xù)針對我國科研高校、交通運輸、海事等領(lǐng)域目標展開魚叉釣魚郵件攻擊。2024年360高級威脅研究院在威脅狩獵分析中捕獲到歸屬該地區(qū)的新APT組織：APTC-65（金葉蘿）。圖：APT-C-01（毒云藤）組織誘餌文件分發(fā)程序代碼片段P023PART022024年各地區(qū)活躍APT組織分析023APT-C-01（毒云藤）2024年全年，APT-C-01（毒云藤）組織對我國攻擊活動保持活躍。主要針對我國教育科研、交交通運輸領(lǐng)域的攻擊活動集中在航空運輸相關(guān)單位；針對我國政府機構(gòu)的攻APT-C-01（毒云藤）組織在攻擊活動中不僅緊跟時事熱點不斷更新誘餌文檔，還針對不同的目標投放不同的誘餌文件。APT-C-01（毒云藤）組織在釣魚平臺源碼里附帶了誘餌文件列表，用于對不同單位的受害者的請求進行解析和下發(fā)對應(yīng)誘餌文件。受害用戶在釣魚網(wǎng)站上填寫用戶名和賬號密碼信息后，即可下載服務(wù)器上存放的指定誘餌文件，隨P0242024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT024APT-C-01（毒云藤）組織在對航空行業(yè)目標的魚叉釣魚郵件攻擊中，首先誘使受害者訪問釣魚郵件中的中轉(zhuǎn)鏈接，跳轉(zhuǎn)到攻擊者偽造的舊版官網(wǎng)，偽造網(wǎng)站頁面中的惡意JS代碼隨即執(zhí)行將惡意程序圖：APT-C-01（毒云藤）組織攻擊流程示意圖圖：APT-C-01（毒云藤）組織偽造的某單位網(wǎng)站P025PART022024年各地區(qū)活躍APT組織分析025360高級威脅研究院在2024年對毒云藤組織的跟蹤APT-C-01（毒云藤）組織2024年攻擊活動中使用的部分誘餌文檔申請分配調(diào)整公寓住房人員情況匯總表.xlsx***專業(yè)技術(shù)職稱申報評審表（2024年版）.doc中國電子學會高級會員（2024-3）評定的通知.docx關(guān)于邀請參加“2024中國船舶行業(yè)年會主論壇”的通知.pdf巡視工作要點.docx技術(shù)開發(fā)合同（公開）.docx2024年《歐亞經(jīng)濟》選題參考.docx海事政務(wù)服務(wù)指南及申請文書.7z*****關(guān)于新時代加強沿海和內(nèi)河港口航道規(guī)劃建設(shè)的意見第二十一屆中國國際半導(dǎo)體博覽會（ICChina2024）展會日程.docx11.5學術(shù)名家講座報名-加密貨幣對銀行存貸款的影響.pdf2024國際制導(dǎo)、導(dǎo)航與控制學術(shù)會議征文通知.rar2024年國家社會科學基金重大項目.zip工資調(diào)整方案.rar機場容量評估技術(shù)規(guī)范.rarP0262024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT026建議反饋防汛抗旱船舶交通管理電子海圖轉(zhuǎn)換工資調(diào)整方案團體標準制定機場選址通訊錄專業(yè)技術(shù)職稱技術(shù)開發(fā)合同加密貨幣郵箱賬號竊取技術(shù)開發(fā)合同加密貨幣郵箱賬號竊取國際半導(dǎo)體博覽會機場容量評估衛(wèi)星網(wǎng)絡(luò)協(xié)調(diào)海事政務(wù)服務(wù)指南申請文書機場容量評估衛(wèi)星網(wǎng)絡(luò)協(xié)調(diào)海事政務(wù)服務(wù)指南申請文書信息系統(tǒng)職稱計劃項目人員名單食品藥品安全船舶行業(yè)年會圖①：APT-C-01（毒云藤）組織使用的部分誘餌文檔截圖圖②：APT-C-01（毒云藤）組織攻擊使用的部分誘餌文檔關(guān)鍵詞圖：APT-C-65（金葉蘿）組織攻擊流程示意圖P027PART022024年各地區(qū)活躍APT組織分析027APT-C-65（金葉蘿）APT-C-65（金葉蘿）是360高級威脅研究院在2024年捕獲的該地區(qū)全新APT組織。我們通過對相關(guān)威脅線索進行分析發(fā)現(xiàn)，APT-C-65（金葉蘿）組織自2020年以來持續(xù)對中國境內(nèi)服務(wù)器網(wǎng)絡(luò)進APT-C-65（金葉蘿）組織擅長利用Web系統(tǒng)的nday/1day漏洞展開攻擊。攻擊者先對目標Web業(yè)務(wù)系統(tǒng)的漏洞進行掃描及滲透，嘗試利用境內(nèi)Web業(yè)務(wù)的系統(tǒng)漏洞；隨后部署后門木馬，并在P0282024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP028 2024年，東南亞地區(qū)APT-C-00（海蓮花）組織在保持高活躍度的同時，攻擊技戰(zhàn)術(shù)也顯現(xiàn)出迭代升級，這集中體現(xiàn)在高度定制化的魚叉釣魚P029PART022024年各地區(qū)活躍APT組織分析029APT-C-00（海蓮花）APT-C-00（海蓮花）組織從被披露以來，長期針對我國政府機構(gòu)、教育科研、國防軍工、能源、信息技術(shù)等重點行業(yè)領(lǐng)域進行滲透攻擊。2024年，我們通過對海蓮花組織攻擊活動的監(jiān)測和分析APT-C-00（海蓮花）組織在2024年上半年的魚叉郵件釣魚攻擊中，將郵件標題、附件文件名等2024年，我們監(jiān)測到APT-C-00（海蓮花）組織利用一種新的技術(shù)針對我國外交、海事、航天等行業(yè)發(fā)起了一系列高度定制化的魚叉釣魚郵件攻擊。在6月，國外安全團隊披露了這種新型攻擊技術(shù)細節(jié)，并命名為GrimResource[3]。2024年第四季度，APT-C-00（海蓮花）組織在攻擊活動中改用了魚叉式釣魚鏈的攻擊方式。攻P0302024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT030擊者服務(wù)器會根據(jù)受害終端瀏覽器的UserAgent判斷終端系統(tǒng)，系統(tǒng)版本符合要求則下載釣魚壓縮包，否則只下載誘餌文檔。攻擊者通過MSI安裝包和系統(tǒng)文件msiexec特性，利用MST文件[4]釋放白利用后圖①：Windows7系統(tǒng)訪問鏈接時下載誘餌文檔圖②：APT-C-00（海蓮花）組織在攻擊活動中使用的部分誘餌文檔截圖圖：APT-C-00（海蓮花）組織利用某信息技術(shù)企業(yè)系統(tǒng)0day漏洞攻擊流程P031PART022024年各地區(qū)活躍APT組織分析031近年來APT-C-00（海蓮花）組織在其攻擊活動中使用的0day漏洞數(shù)量在逐年增加。繼2023年APT-C-00（海蓮花）組織利用某安全軟件0day漏洞植入后門程序后，2024年，我們再次捕獲到APT-C-00（海蓮花）組織利用國內(nèi)某信息技術(shù)企業(yè)系統(tǒng)0day漏洞，針對我國多個采用該系統(tǒng)的政府P0322024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP032 2024年，南亞地區(qū)活躍APT組織持續(xù)利用實時熱點話題事件，集中針對周邊的中國、巴基斯坦、孟加拉國等地區(qū)展開攻擊活動。該地區(qū)APT組織繼續(xù)沿用了其傳統(tǒng)的攻擊技戰(zhàn)術(shù)手段，但針對我國的攻擊活動較去年又有進一步提升。另外，APT-C-09（摩訶草）組織基于開源組件嘗試了多種手段來增360高級威脅研究院在2024年的威脅狩獵中監(jiān)測到一個疑似歸屬該地區(qū)的新組織：APT-C-P033PART022024年各地區(qū)活躍APT組織分析033APT-C-08（蔓靈花）APT-C-08（蔓靈花）組織在2024年上半年對南亞周邊國家的攻擊活動保持活躍，全年對我國外2024年，我國成功舉辦了多個具有廣泛影響力的國際會議，在會議前后一段時間內(nèi)，APT-C-08（蔓靈花）組織攻擊活動非常活躍。例如在中國發(fā)展高層論壇2024年年會、博鰲亞洲論壇2024年年會以及2024年中非合作論壇峰會前后，我們監(jiān)測到我國多個外交機構(gòu)、駐外使館和駐外經(jīng)濟貿(mào)易合作相關(guān)單位受APT-C-08（蔓靈花）組織集中攻擊。APT-C-08（蔓靈花）組織嘗試了多種形式的初始階段載荷的投遞，其中searchconnector-searchconnector-ms等具有遠程指向與訪問能力的文件，攻擊成功率較高，攻擊流程如下圖所示。圖①：APT-C-08（蔓靈花）組織攻擊流程示意圖圖②：APT-C-08（蔓靈花）組織使用的誘餌文檔截圖圖：APT-C-09（摩訶草）組織使用的部分誘餌文檔截圖P0342024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT034APT-C-09（摩訶草）APT-C-09（摩訶草）組織在2024年延續(xù)了近幾年的活躍態(tài)勢，主要針對中國、巴基斯坦等亞洲APT-C-09（摩訶草）組織針對其周邊國家和針對我國的攻擊活動使用了兩種攻擊流程。針對其他國家主要是利用inpage釣魚文檔下發(fā)后續(xù)攻擊組件，攻擊組件以“spyder”為主；而針對我國主要以投遞lnk文件結(jié)合后續(xù)各種開源魔改木馬為主。針對我如“重點專項2024年度項目xxx”、“xxx重點實驗室項目”、“項目細節(jié)”等。2024年6月，我們捕獲到APT-C-09（摩訶草）組織利用最新公開的PHPCGIWindows平臺遠程代碼執(zhí)行漏洞（CVE-2024-4577）對國內(nèi)的一些PHP站點的攻擊活動。在攻擊活動中，APT-C-09（摩訶草）組織除直接利用自己的基礎(chǔ)設(shè)施外，還利用了多個被攻擊站點進行掛馬，進一步利用掛馬網(wǎng)站下發(fā)攻擊載荷。顯示出APT-C-09（摩訶草）組織開始嘗試尋找我國站點作為其攻擊“跳板”來P035PART022024年各地區(qū)活躍APT組織分析035APT-C-70（獨角犀）360高級威脅研究院在2024年的威脅狩獵中，監(jiān)測到一個歸屬南亞的新組織，將其命名為APT-C-70（獨角犀）。該組織現(xiàn)階段主要針對中國、巴基斯坦等地緣周邊國家的外交、貿(mào)易、能源等行業(yè)APT-C-70（獨角犀）組織善于收集和編造社會時政新聞熱點作為釣魚文檔話題，并通過附帶惡意宏文檔或帶有惡意lnk文件壓縮包的魚叉郵件的方式類特種木馬，用于竊取受害者敏感文件，我們對該攻擊手法二：使用帶有惡意木馬和指向該木馬的lnk文件的壓縮包作為初始訪問階段的攻擊載荷，圖①：APT-C-70（獨角犀）組織攻擊流程示意圖圖②：APT-C-70（獨角犀）組織攻擊流程示意圖P0362024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT036圖①：APT-C-70（獨角犀）組織使用的釣魚頁面截圖圖②：APT-C-70（獨角犀）組織使用的誘餌文檔截圖圖：APT-C-48（CNC）組織使用的部分簡歷誘餌文檔截圖P037PART022024年各地區(qū)活躍APT組織分析037APT-C-48（CNC）2024年，APT-C-48（CNC）組織延續(xù)了2023年年末對我國科研和教育領(lǐng)域的活躍攻擊態(tài)勢。在近期的攻擊活動中，攻擊者使用“XXX的簡歷”為話題的誘餌文檔，結(jié)合U盤木馬病毒下發(fā)各種后續(xù)我們通過監(jiān)測分析發(fā)現(xiàn)：受APT-C-48（CNC）組織攻擊影響的重點高校和科研機構(gòu)大都具有國防軍工背景，且部分科研機構(gòu)和重點高校存在呈現(xiàn)被集中攻擊、多臺終端受影響的現(xiàn)象。我們通推測，這是由于攻擊者通過U盤擺渡的方式傳播攻擊組件，增加了攻擊組件在高校和科研機構(gòu)終端間傳APT-C-48（CNC）組織在2024年活動的釣魚鏈接中使用了一些域名明顯模仿國內(nèi)郵箱、云盤等CNC組織仿冒的惡意域名sinacloucl[.]comsinacloud[.]comaliyunconsole[.]comconsole[.]vveiyun[.]comP0382024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT038APT-C-35（肚腦蟲）2024年，APT-C-35（肚腦蟲）組織主要對巴基斯坦和孟加拉等地緣國家政府機構(gòu)目標展開以魚叉釣魚攻擊手段為主的網(wǎng)絡(luò)間諜活動，攻擊者采用投當用戶打開釣魚文檔并允許vba宏執(zhí)行時，該vba宏會釋放兩個bat腳本，通過cmd執(zhí)行其中一個bat腳本，該腳本會解密另一個bat腳本并創(chuàng)建計劃任務(wù)，計劃任務(wù)進一步執(zhí)行另一個bat腳本，從遠端APT-C-24（響尾蛇）APT-C-24（響尾蛇）組織在2024年主要使用lnk或早期的Office漏洞（如CVE-2017-11882）對南亞及周邊地區(qū)的政府、軍事、外交在攻擊活動中，攻擊者首先使用白利用手法加載惡意dll組件，并將系統(tǒng)白文件創(chuàng)建定時加載執(zhí)行。360高級威脅研究院在2024年捕獲到的響尾蛇最新攻擊組件均使用了混淆等手段對抗殺圖①：APT-C-35（肚腦蟲）組織攻擊流程示意圖圖②：APT-C-24（響尾蛇）組織攻擊流程示意圖P039PART022024年各地區(qū)活躍APT組織分析039APT-C-56（透明部落）APT-C-56（透明部落）組織長期針對周邊國家和地區(qū)，特別是印度方向的政治、軍事等目標展2024年APT-C-56（透明部落）組織繼續(xù)利用基于XploitSPY構(gòu)建的定制Android遠程訪問木馬（RAT）Lazaspy在Android平臺展開攻擊活動。攻擊者通過使用WhatsApp等社交軟件直接傳輸APK安裝包給受害者，偽裝成“Aadhaar”、“訓(xùn)練照片”、“學生簡介”等程序。樣本啟動會在后臺開啟服務(wù)，與C2服務(wù)器進行通信，接收服務(wù)器遠控指令[5]。近期APT-C-56（透明部落）組織攻擊活動中，攻擊者使用的ElizaRAT組件利用Google、Telegram、Slack等云服務(wù)進行C2通信，同時ElizaRAT組件還被發(fā)現(xiàn)釋放ApoloStealer組件竊取用戶機器中指定文件類型敏感文件。除此之外APT-C-56（透明部落）組織還在攻擊活動中使用了一款USB文件竊取載荷，用于對計算機可移動設(shè)備的文件進行掃描和竊取。圖①：APT-C-56（透明部落）組織使用的仿冒應(yīng)用程序截圖圖②：APT-C-56（透明部落）組織攻擊流程示意圖P0402024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP040 2024年，隨著國際間不同勢力持續(xù)介入，俄烏沖突進入相持階段，東歐地區(qū)網(wǎng)絡(luò)空間對抗也已成為地區(qū)沖突的重要組成部分。東歐地區(qū)背景的APT-C-13（Sandworm）、APT-C-20（APT28）、APT-C-25（APT29）等APT組織通過網(wǎng)絡(luò)空間的攻擊行為，不僅在情報竊取、信息傳播、輿論引導(dǎo)相對于歷史攻擊趨勢，在2024年以破壞為主的攻擊占比逐漸降低，而以持久化、后門程序為代表P041PART022024年各地區(qū)活躍APT組織分析041APT-C-13（Sandworm）APT-C-13（Sandworm）組織在2024年持續(xù)活躍。APT-C-13（Sandworm）組織對東歐，特別是烏克蘭地區(qū)目標，發(fā)動了多起針對性的網(wǎng)絡(luò)攻擊，攻擊活動中使用了供應(yīng)鏈攻擊、破壞性網(wǎng)絡(luò)攻2023年12月12日，烏克蘭寬帶互聯(lián)網(wǎng)提供商和移動網(wǎng)絡(luò)運營商Kyivstar的網(wǎng)絡(luò)服務(wù)突然中斷，對烏克蘭的經(jīng)濟和社會造成了大范圍影響。烏克蘭國家安全局（SBU）在隨后的調(diào)查發(fā)現(xiàn)：此次攻擊是由APT-C-13（Sandworm）組織發(fā)起。攻擊者可能通過網(wǎng)絡(luò)釣魚、惡意軟件或內(nèi)部協(xié)助等多種手段滲透到Kyivstar內(nèi)部網(wǎng)絡(luò)。攻擊者在入侵系統(tǒng)后，使用竊取密碼哈希的惡意軟件，幾乎摧毀了所有關(guān)鍵虛擬服務(wù)器和個人電腦，造成了“災(zāi)難性”破壞，旨在通過對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞來進行心理打擊和收集情報。該起攻擊活動是首次目標針對“完全摧毀電信運營商核心”的破壞性圖：APT-C-20（APT28）組織攻擊流程示意圖P0422024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT042APT-C-20（APT28）APT-C-20（APT28）組織一直被安全廠商認定具有軍方情報機構(gòu)背景。該組織最早的攻擊活動可以追溯到2004年至2007年之間。2024年，APT-C-20（APT28）組織在攻擊活動中使用了復(fù)雜且多樣化的攻擊手段，通過一系列技戰(zhàn)術(shù)演進，對多個國家和行業(yè)目標實施廣泛的網(wǎng)絡(luò)攻擊。攻擊目標主要集中APT-C-20（APT28）組織攻擊手段復(fù)雜多樣，我們在對APT28的持續(xù)跟蹤過程中發(fā)現(xiàn)，該組織首先向目標用戶發(fā)送精心構(gòu)造的釣魚郵件，郵件正文通常包含指向惡意壓縮文并打開壓縮文件，HeadlaceDropper會使用一些偽裝手段誘導(dǎo)用戶執(zhí)行惡意鏈接。在某些情擊者還會利用DLL劫持技術(shù)，在用戶打開合法應(yīng)用時加載HeadlaceDropper。HeadlaceDropper執(zhí)行時會釋放功能更加強大的Headlace后門程序。該后門程序能夠在受害者的系統(tǒng)上執(zhí)行各種惡意操P043PART022024年各地區(qū)活躍APT組織分析043圖①：APT28組織使用的誘餌文檔截圖圖②：APT-C-20（APT28）組織使用的釣魚網(wǎng)頁截圖圖：APT-C-25（APT29）組織使用的誘餌示例P0442024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT044APT-C-25（APT29）APT-C-25（APT29）組織是一個有充足資源的網(wǎng)絡(luò)間諜組織，一直以來主要針對政府機構(gòu)、外交機構(gòu)等外事相關(guān)目標。2024年APT-C-25（APT29）組織在其廣泛的攻擊活動中使用了多個惡意軟2024年2月底，APT-C-25（APT29）組織使用名為Wineloader的新后門變體，對某德國政黨進行了攻擊。攻擊者首先向目標發(fā)送偽裝成德國基督教民主聯(lián)盟（CDU）晚宴邀請的釣魚郵件，郵件誘餌文件包含指向惡意ZIP文件的釣魚鏈接，誘導(dǎo)用戶下載“CDU晚宴邀請”主題誘餌文檔和下一階段的2024年10月，APT-C-25（APT29）組織進行了一次大規(guī)模的釣魚活動，使用Microsoft、AmazonWebServices和零信任概念相關(guān)的社工誘餌，向數(shù)十個國家的政府機構(gòu)、高等教育機構(gòu)、國防和非政府組織的數(shù)千名用戶發(fā)送針對性網(wǎng)絡(luò)釣魚郵件，郵件中包含使用LetsEncrypt證書簽名的遠程桌面協(xié)議（RDP）配置文件，通過配置文件可以將本地系統(tǒng)功能和資源擴展到遠程控制服務(wù)器[8]。圖：APT-C-29（Turla）組織感染鏈示意圖P045PART022024年各地區(qū)活躍APT組織分析045APT-C-29（Turla）APT-C-29（Turla）組織的攻擊目標遍及全球多個國家，攻擊對象涉及政府、外交、軍事、教育、研究和醫(yī)療等多個領(lǐng)域，因開展水坑攻擊和魚叉式網(wǎng)絡(luò)釣魚攻擊以及利用定制化的惡意軟件而聞在2024年，APT-C-29（Turla）組織攻擊了歐洲和中東的政府和外交機構(gòu)，主要包括烏克蘭、波蘭以及阿塞拜疆等國家，同時還入侵了SideCopy組織的基礎(chǔ)設(shè)施。他們還針對南亞地區(qū)的政府機構(gòu)展開攻擊，特別是阿富汗和印度的外交部、情2024年2月，網(wǎng)絡(luò)安全機構(gòu)捕獲了APT-C-29（Turla）組織的新后門程序“TinyTurlaNG”,其編碼風格和功能實現(xiàn)方面與APT-C-29（Turla）先前披露的植入物TinyTurla相似。同時還發(fā)現(xiàn)該組織外傳密碼數(shù)據(jù)庫的關(guān)鍵信息的PowerShell攻擊腳本,用于進行有計劃地竊取登錄憑據(jù)。在攻擊行動中，APT-C-29（Turla）使用WordPress構(gòu)建的網(wǎng)站作為命令和控制端點（C2）[9]。圖：APT-C-53（Gamaredon）組織攻擊流程示意圖P0462024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT046APT-C-53（Gamaredon）APT-C-53（Gamaredon）組織至少從2013年開始活躍，主要針對烏克蘭的政府、國防、外2024年，APT-C-53（Gamaredon）組織依舊以烏克蘭為主要目標，攻擊其政府軍事等重要機我們對APT-C-53（Gamaredon）組織的幾種常見攻擊手段進行了深入分析。通過詳細研究，我們發(fā)現(xiàn)該組織持續(xù)采用多種復(fù)雜的技術(shù)和策略，包括使用惡意LNK文件、XHTML文件以及復(fù)雜的網(wǎng)絡(luò)圖：APT-C-53（Gamaredon）組織使用的釣魚郵件截圖P047PART022024年各地區(qū)活躍APT組織分析047APT-C-46（Luhansk）APT-C-46（Luhansk）組織的攻擊活動至少可以追溯到2014年，曾大量通過網(wǎng)絡(luò)釣魚、水坑攻擊等方式針對烏克蘭政府機構(gòu)進行攻擊，在其過去的攻擊活動中曾使用過開源QuasarRAT和VERMIN等惡意軟件，主要目的是竊取目標的音頻和視頻，竊取密碼，獲取機密文件等等。2024年，APT-C-46（Luhansk）組織主要以烏克蘭為主要目標，攻擊其政府軍事等設(shè)施。APT-C-46（Luhansk）組織在攻擊活動中使用涉及戰(zhàn)俘主題的電子郵件，發(fā)送帶有惡意的CHM文件的壓縮包。受害者在點擊CHM文件時會執(zhí)行混淆的powershell代碼。此代碼旨在計算機上下載惡意程序SPECTR（用于竊取文檔、屏幕截圖、互聯(lián)網(wǎng)瀏覽器數(shù)據(jù)等）、FIRMACHAGENT程序（用于將竊取的數(shù)據(jù)上傳到管理服務(wù)器進而創(chuàng)建計劃任務(wù)以啟動協(xié)調(diào)器“IDCLIPNET__x86.dll”和FIRMACHAGENT，通過這一系列的操作，達到竊取受害者信息的目的。P0482024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP048 2024年，巴以沖突持續(xù)，紅海危機緊張升級，一系列地緣沖突事件使中東地區(qū)局勢愈加錯綜復(fù)APT-C-51（APT35）等活躍在該地區(qū)網(wǎng)絡(luò)空間的APT組織成為不同政治勢力博弈的重要工具。圖：APT-C-23（雙尾蝎）組織使用的釣魚網(wǎng)站頁面截圖PPART022024年各地區(qū)活躍APT組織分析049APT-C-23（雙尾蝎）APT-C-23（雙尾蝎）組織一直以來具備Windows與Android雙平臺的攻擊能力，以竊取巴勒斯2024年，APT-C-23（雙尾蝎）組織主要仿冒應(yīng)用程序和偽造政府服務(wù)釣魚網(wǎng)站，并配合社會工程學手段展開攻擊活動。攻擊者通過向巴勒斯坦相關(guān)目標投遞虛假即時通訊軟件、民事登記、招聘等APK軟件下載網(wǎng)站，誘使目標人群下載并安裝后門程序AridSpy。AridSpy偵聽器監(jiān)視設(shè)備使用情況，設(shè)備使用過程中可控制前置攝像頭進行拍照，竊取受害用戶手機中的此外，APT-C-23（雙尾蝎）組織還通過偽造以色列國家網(wǎng)絡(luò)局（INCD）電子郵件向目標人群投圖：APT-C-23（雙尾蝎）組織攻擊流程示意圖P0502024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT050P051PART022024年各地區(qū)活躍APT組織分析051APT-C-51（APT35）APT-C-51（APT35）組織在2024年的攻擊活動中，更加注重通過社會工學手段對記者、研究人攻擊者向目標投遞偽造的招聘網(wǎng)站、伊朗研究所網(wǎng)站以及哈馬斯與以色列相關(guān)內(nèi)容誘餌文檔，誘導(dǎo)用戶下載以及運行惡意程序。APT35組織在近期的攻擊活動中使用了新型后門軟件MediaPl。MediaPl偽裝成WindowsMediaPlayer程序的MediaPl.dll。Wi圖①：APT-C-51（APT35）組織使用的釣魚郵件截圖圖②：APT-C-51（APT35）組織攻擊流程示意圖圖：APT-C-36（盲眼鷹）組織使用的壓縮的惡意腳本截圖P0522024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT052 2024年南美地區(qū)主要活躍APT組織為APT-C-36（盲眼鷹）。APT-C-36（盲眼鷹）組織主要針對南美地區(qū)目標人群及團體進行魚叉釣魚郵件攻擊，并APT-C-36（盲眼鷹）2024年，APT-C-36（盲眼鷹）組織嘗試在攻擊鏈中添加AsyncRAT、njRAT等多種開源后門程APT-C-36（盲眼鷹）組織在2024年上半年的攻擊活動中首次使用GitHub存儲惡意腳本以及壓縮府機構(gòu)相關(guān)郵件，向哥倫比亞、墨西哥以及厄瓜多爾地區(qū)目P053PART022024年各地區(qū)活躍APT組織分析053圖①：APT-C-36（盲眼鷹）組織使用的釣魚郵件截圖圖②：APT-C-36（盲眼鷹）組織使用的釣魚郵件截圖PART03重點行業(yè)APT威脅態(tài)勢P054P061057政府機構(gòu)、教育依舊是APT組織攻擊重點方向058針對國防軍工的網(wǎng)絡(luò)攻擊在地區(qū)沖突中角色升級059科研是APT組織背后勢力關(guān)注的重點領(lǐng)域060針對汽車制造、新能源領(lǐng)域的攻擊活動逐漸顯露061通信電信領(lǐng)域成為APT攻擊新熱點P055PART03重點行業(yè)APT威脅態(tài)勢055在2024年，全球網(wǎng)絡(luò)安全機構(gòu)披露的APT網(wǎng)絡(luò)攻擊活動中，政府機構(gòu)、國防軍工、信息技術(shù)、教育、金融是最受關(guān)注的5個行業(yè)。根據(jù)360全網(wǎng)安全大腦監(jiān)測，APT組織對我國攻擊活動最為集中的5個APT組織針對特定行業(yè)的攻擊，通常實施竊取敏感數(shù)據(jù)，甚至戰(zhàn)略性破壞，用以服務(wù)于攻擊者背后關(guān)鍵信息；針對國防軍工領(lǐng)域的攻擊活動，主要為竊取前沿軍工科技、軍事情報甚至控制施；針對金融、科技、能源等行業(yè)，它們旨在獲取關(guān)鍵P0562024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT0567%7%3%3%4%4%4%4%5%5%7%7%7%7%7%7%7%7%政府32%國防軍工17%8%8%2%2%3%3%3%3%3%3%5%5%6%6%8%8%9%9%//政府33%教育20%圖①：2024年全球范圍安全廠商披露APT攻擊影響行業(yè)分布TOP10圖②：2024年我國受APT攻擊影響單位行業(yè)分布TOP10P057PART03重點行業(yè)APT威脅態(tài)勢057 依舊是APT組織攻擊重點方向政府機構(gòu)一直以來都是APT組織重點攻擊方向。以APT-C-01（毒云藤）、APT-C-08（蔓靈花）、APT-C-00（海蓮花）等為代表的APT組織，長期對我國各級政府職能部門開展網(wǎng)絡(luò)滲透攻2024年，我國舉辦和參與了多個具有廣泛影響力的國際峰會，我們監(jiān)測發(fā)現(xiàn)：在重大會議前后，APT-C-08（蔓靈花）組織對我國外交機構(gòu)、駐外使館和駐外經(jīng)濟貿(mào)易合作相關(guān)單位的攻擊活躍。外單位的攻擊活動是為其背后的政治勢力竊取我國最新外交策略以及對重大國際問題的立場，以求在博弈APT-C-01（毒云藤）和APT-C-00（海蓮花）組織也在2024年針對我國多個地區(qū)的政府機構(gòu)展針對我國教育相關(guān)單位的攻擊活動主要來自于APT-C-01（毒云藤）、APT-C-08（蔓靈花）、APT-C-09（摩訶草）、APT-C-00（海蓮花）等組織。受攻擊影響的高等院校，大部分具有航空、軍工背景或者承接相關(guān)國家科研課題，攻擊者目的實際上針對如，我們對APT-C-48（CNC）組織的攻擊活動進行分析發(fā)現(xiàn)：攻擊者針對高校網(wǎng)絡(luò)環(huán)境的特點，不僅使用偽裝成“XX簡歷”的誘餌文檔，還采用U盤擺渡的方式傳播攻擊組件，有效地增加了攻擊組件在高校和科研機構(gòu)終端間的傳播，擴大了攻擊成果。這顯示出攻擊者針對我國高校的攻擊活動通過社會工P0582024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP058222024年，我國在國防軍工領(lǐng)域取得了舉世矚目的成就：新一代戰(zhàn)機試飛、高超音速武器研發(fā)、先進驅(qū)逐艦與潛艇投入使用，提升了我國戰(zhàn)略威懾能力。同時境外APT組織對我國國防軍工領(lǐng)域的網(wǎng)絡(luò)滲由于現(xiàn)代工業(yè)領(lǐng)域的供應(yīng)鏈較長，攻擊者通過前期對國防軍工相關(guān)供應(yīng)鏈的攻擊，能夠在攻擊上游為后續(xù)展開的攻擊活動提前部署和潛伏，將對集采和供應(yīng)商的攻擊作為攻擊國防軍工目標的跳板。這些機構(gòu)之所以成為APT組織關(guān)注的目標，與其參與的國防軍工項目中能夠獲取到客戶相關(guān)的敏感信息和訪2024年，周邊地區(qū)APT組織針對我國國防軍工領(lǐng)域的攻擊活動，主要圍繞國防軍工相關(guān)的航空工業(yè)、航天工業(yè)、船舶工業(yè)、兵器工業(yè)等相關(guān)目標展開。其中南亞地區(qū)的APT-C-09（摩訶草）和APT-C-48（CNC）組織，主要針對具有國防軍工背景的重點高校和科研院所；南亞地區(qū)另一組織APT-C-08（蔓靈花）以國防軍工相關(guān)科技企業(yè)為主要目標；東亞地區(qū)APT-C-01（毒云藤）組織攻擊活動主現(xiàn)代戰(zhàn)爭越來越依賴網(wǎng)絡(luò)和信息技術(shù)。在地區(qū)沖突背景下，針對國防軍工相關(guān)目2024年俄烏沖突進入相持階段，中東局勢持續(xù)升溫，上述地區(qū)網(wǎng)絡(luò)空間中圍繞軍事行動或者直接以軍事單位展開的網(wǎng)絡(luò)攻擊活動屢見不鮮。根據(jù)全球網(wǎng)絡(luò)安全廠商對俄烏雙方的情報機構(gòu)披露：2024年，烏克蘭的國防部、安全部門、軍事機構(gòu)，以及俄羅斯的國防部門、軍方數(shù)據(jù)中心和部分軍事網(wǎng)站，均不同程度遭受到APT組織的攻擊。攻擊者針對軍事目標的網(wǎng)絡(luò)攻擊活動目的，已經(jīng)由沖突初期的以竊取軍事等情報信息，逐漸升級到攻擊武器開發(fā)P059PART03重點行業(yè)APTP0593科研是APT組織背后勢力關(guān)注的重點領(lǐng)域3科技創(chuàng)新已經(jīng)成為國家軟實力與硬實力的關(guān)鍵支撐，對國家的經(jīng)濟、軍事、文化等領(lǐng)域產(chǎn)生直接而深遠的影響。與之相關(guān)的科研機構(gòu)一直是具有地緣政治背景的APT組織重點攻擊目標。攻擊者對科研機2024年，南亞地區(qū)APT-C-48（CNC）組織對我國多個海洋科學相關(guān)的科研機構(gòu)進行集中攻擊；APT-C-48（摩訶草）組織重點攻擊我國物理科學、氣象科學、社會科學等多個領(lǐng)域的科研機構(gòu)。東南亞地區(qū)APT-C-00（海蓮花）組織除針對我國海洋科學相關(guān)科研機構(gòu)外，還重點攻擊了我國多個國際戰(zhàn)略和國際關(guān)系研究相關(guān)的科研機構(gòu)，企圖通過此類科研機構(gòu)刺探我國在國際關(guān)系和國際戰(zhàn)略上的最新動向。北美方向的APT-C-39（CIA）組織，在2024年針對我國航空、航天、材料科學等多個前沿P0602024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT060 2024年6月，北美大型汽車經(jīng)銷商軟件服務(wù)提供商CDKGlobal連續(xù)遭遇兩次網(wǎng)絡(luò)攻擊，導(dǎo)致其汽車經(jīng)銷商客戶軟件平臺癱瘓，被迫緊急關(guān)閉大部分系統(tǒng)。本次針對汽車行業(yè)供應(yīng)鏈進行的勒索攻擊事近年來新能源汽車行業(yè)蓬勃發(fā)展，尤其是我國新能源產(chǎn)業(yè)更是異軍突起，取得了舉世矚目的成就。我國新能源領(lǐng)域的發(fā)展成為全球關(guān)注的焦點，別有用心的攻擊者對我國新能源企業(yè)和汽車制造相關(guān)產(chǎn)業(yè)鏈的攻擊活動逐漸顯露。近幾年，APT-C-00（海蓮花）和APT-C-01（毒云藤）等組織開始將我國新能源汽車領(lǐng)域相關(guān)的科研和制造企業(yè)作為重點目標，進行長期的網(wǎng)絡(luò)攻擊；2024年，我們還監(jiān)測到北美方向的APT-C-39（CIA）組織針對對我國新能源相關(guān)科技企業(yè)展開攻擊滲透。除了針對新能源制造企業(yè)的網(wǎng)絡(luò)威脅外，智能網(wǎng)聯(lián)汽車的安全能化、網(wǎng)聯(lián)化、自動化方向發(fā)展。智能汽車不僅掌握車主個人數(shù)據(jù)，還存儲著車輛行駛軌跡、環(huán)境感P061PART03重點行業(yè)APT威脅態(tài)勢0615通信電信領(lǐng)域成為APT攻擊新熱點5通信電信行業(yè)是信息傳遞與交流的基礎(chǔ)，是信息化和數(shù)字化社會發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施。大數(shù)據(jù)、云計算、人工智能等技術(shù)的發(fā)展都離不開通信電信基礎(chǔ)設(shè)施的支撐和保障。同時通訊電信行業(yè)還量基礎(chǔ)用戶的信息，一旦遭受網(wǎng)絡(luò)攻擊，不僅會導(dǎo)致大規(guī)模網(wǎng)絡(luò)中斷，可能導(dǎo)致海量用戶數(shù)據(jù)泄露，對國家經(jīng)濟和社會生活造成嚴重影響。APT組織逐漸將通信電信領(lǐng)域目標作為攻擊活動的重點方向。（1）電信基礎(chǔ)設(shè)施：對電信基礎(chǔ)設(shè)施的攻擊可以達到批量數(shù)據(jù)竊取、破壞電信基礎(chǔ)設(shè)施等目的。（2）網(wǎng)絡(luò)設(shè)備入侵：通過設(shè)備入侵攻擊者可以實現(xiàn)竊取目標受害者的通聯(lián)信息，甚至可以將目標（3）基礎(chǔ)軟件攻擊：攻擊者通過利用基礎(chǔ)軟件的漏洞，使用偽造的證書或加密算法替換掉合規(guī)加2023年底，烏克蘭最大的移動網(wǎng)絡(luò)運營商Kyivstar遭受攻擊，網(wǎng)絡(luò)服務(wù)中斷持續(xù)了數(shù)日，對烏克蘭社會和經(jīng)濟造成大范圍影響。烏克蘭國家安全局（SBU）在隨后的調(diào)查發(fā)現(xiàn)：此次攻擊是由APT組織Sandworm發(fā)起，攻擊者使用了竊取密碼哈希的惡意軟件，幾乎摧毀了所有關(guān)鍵的虛擬服務(wù)器和個人電2024年影響我國通信行業(yè)的攻擊活動，主要來源于東南亞地區(qū)的APT-C-00（海蓮花）和南亞地區(qū)的APT-C-09（摩訶草）。受影響單位主要為與通信相關(guān)的信息技術(shù)服務(wù)企業(yè)。PART042024年APT攻擊發(fā)展趨勢分析P062P069063攻擊活動使用的ATT&CK技戰(zhàn)術(shù)TOP20065APT攻擊活動0Day和nDay漏洞利用統(tǒng)計067供應(yīng)鏈攻擊成為APT組織攻擊重點趨勢068國產(chǎn)化軟件系統(tǒng)成為APT組織攻擊重點069通信設(shè)備成武器，網(wǎng)絡(luò)攻擊形態(tài)多樣化069各國逐漸尋求外交譴責以外的方式應(yīng)對APT威脅P063PART042024年APT攻擊發(fā)展趨勢分析063 攻擊活動使用TOP20ATT&CK技戰(zhàn)術(shù)360高級威脅研究院綜合分析了2024年全球安全機構(gòu)和廠商公開披露的APT攻擊技術(shù)報告，對其中符合ATT&CK知識標準的攻擊活動和技戰(zhàn)術(shù)使用情況進行統(tǒng)計，給出了APT組織在2024年攻擊活動過程中使用最集中的TOP20ATT&CK技戰(zhàn)術(shù)，同時與2023年熱點攻擊技戰(zhàn)術(shù)進行對比。技戰(zhàn)術(shù)名稱（英文）技戰(zhàn)術(shù)名稱（中文）（與2023年統(tǒng)計相比）T1566Phishing網(wǎng)絡(luò)釣魚↑3T1059CommandandScriptingInterpreter↓1T1027ObfuscatedFilesorInformation混淆文件或信息↑3T1105IngressToolTransfer↑11T1071ApplicationLayerProtocol應(yīng)用層協(xié)議↓3T1204UserExecution↓2T1053ScheduledTask/Job計劃任務(wù)↑5T1082SystemInformationDiscovery↓1T1036Masquerading偽裝↓1T1547BootorLogonAutostartExecution↓1T1041ExfiltrationOverC2Channel通過C2通道滲透-T1070IndicatorRemoval↑1T1574HijackExecutionFlow劫持執(zhí)行流程↑4T1055ProcessInjection↑10T1140Deobfuscate/DecodeFilesorInformation解碼加密/混淆的文件信息↓9T1190ExploitPublic-FacingApplication↑27T1056InputCapture捕獲用戶輸入↑37T1083FileandDirectoryDiscovery↓8T1573EncryptedChannel信道使用加密算法↓3T1057ProcessDiscovery↓6P0642024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT064通過與2023年TOP20ATT&CK技戰(zhàn)術(shù)相比，T1190（利用面向公網(wǎng)服務(wù)的漏洞）熱度上升明T1105（從外部系統(tǒng)轉(zhuǎn)移文件）是APT組織實現(xiàn)現(xiàn)初始訪問、惡意負載部署、命令與控制等的常用技術(shù)手段；T1055（進程注入）則是攻擊者將惡意代碼注入到合法進程，以實現(xiàn)隱藏惡意活動和增強惡意活動的技戰(zhàn)術(shù)。這些攻擊技戰(zhàn)術(shù)熱度的變化，體現(xiàn)出APT組織在2024年的攻擊活動中攻擊技戰(zhàn)術(shù)的明顯P065PART042024年APT攻擊發(fā)展趨勢分析065 APT攻擊活動0day和nday漏洞利用統(tǒng)計根據(jù)統(tǒng)計：2024年，APT組織在攻擊活動利用的0day漏洞共計31個，涉及8個廠商的11個產(chǎn)品。2024年披露的APT攻擊利用的0day漏洞均集中分布在影響面廣的瀏覽器軟件和操作系統(tǒng)，其中2024年APT組織使用的針對移動端系統(tǒng)的0day漏洞數(shù)量已經(jīng)已經(jīng)超過利用的PC系統(tǒng)0day漏洞數(shù)量。廠商CVE漏洞編號CVE-2024-23222內(nèi)存泄露iOSCVE-2024-23225內(nèi)存泄露iOSCVE-2024-23296內(nèi)存泄露CVE-2024-44308內(nèi)存泄露CVE-2024-44309邏輯錯誤ARMCVE-2024-4610內(nèi)存泄露ChromeCVE-2024-0519內(nèi)存泄露CVE-2024-29745信息泄露AndroidCVE-2024-29748邏輯錯誤CVE-2024-32896邏輯錯誤AndroidCVE-2024-36971內(nèi)存泄露ChromeCVE-2024-4671內(nèi)存泄露ChromeCVE-2024-4761內(nèi)存泄露ChromeCVE-2024-4947內(nèi)存泄露ChromeCVE-2024-5274內(nèi)存泄露ChromeCVE-2024-7965內(nèi)存泄露ChromeCVE-2024-7971內(nèi)存泄露WPSOfficeCVE-2024-7262邏輯錯誤圖：2024年APT攻擊利用0day漏洞分布P0662024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT066內(nèi)存泄露內(nèi)存泄露整數(shù)溢出內(nèi)存泄露內(nèi)存泄露整數(shù)溢出內(nèi)核提權(quán)內(nèi)存泄露內(nèi)存泄露遠程代碼執(zhí)行內(nèi)存泄露身份驗證錯誤內(nèi)存泄露內(nèi)存泄露內(nèi)存泄露內(nèi)存泄露FirefoxDSPServiceExynosDSPCVE-2024-30051CVE-2024-38080CVE-2024-38106CVE-2024-38107CVE-2024-38178CVE-2024-38189CVE-2024-38193CVE-2024-49039CVE-2024-49138CVE-2024-9680CVE-2024-43047SamsungCVE-2024-44068SamsungPC操作系統(tǒng)14%43%43%此外，我們對2024年全球網(wǎng)絡(luò)安全廠商和機構(gòu)披露的APT研究報告披露的0day和nday漏洞使用情況進行統(tǒng)計：截止2024年12月，全球APT組織在攻擊活動中被披露利用的0day和nday漏洞120多個，涉及APT組織30多個。P067PART042024年APTP0673供應(yīng)鏈攻擊成為APT組織攻擊重點趨勢3近幾年，APT組織持續(xù)提高對供應(yīng)鏈的關(guān)注程度，隨著攻擊者技戰(zhàn)術(shù)水平的不斷提升，越來越多供應(yīng)鏈軟硬件的0day漏洞被APT組織應(yīng)用于攻擊活動。供應(yīng)鏈攻擊成為APT攻擊活動重點趨勢。2024年，我們監(jiān)測到APT-C-00（海蓮花）、APT-C-39（CIA）等組織在對我國的攻擊活動2024年3月，爆發(fā)了XZ壓縮庫供應(yīng)鏈攻擊事件。微軟工程師在軟件性能測試時，發(fā)現(xiàn)系統(tǒng)SSHD進程CPU占用飆升異常，后經(jīng)過安全社區(qū)和開源社區(qū)的一系列調(diào)查，最終發(fā)現(xiàn)了XZ壓縮庫模塊最終編譯的XZ壓縮庫（liblzma.so）在開源軟件體系中可能被攻擊，該后門在Linux生態(tài)體系中提供了難以想象的巨量攻擊面。通過對最終后門代碼的逆向分P0682024年全球高級持續(xù)性威脅（APT）研究報告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHP0684國產(chǎn)化軟件系統(tǒng)成為APT組織攻擊重點4隨著我國國產(chǎn)化替代推廣和網(wǎng)絡(luò)安全體系化建設(shè)，我國企事業(yè)單位逐漸鞏固自身網(wǎng)絡(luò)安全壁壘。APT組織轉(zhuǎn)而繞道國產(chǎn)化軟件系統(tǒng)作為攻擊跳板，利用供應(yīng)商軟件系統(tǒng)在目標網(wǎng)絡(luò)內(nèi)的權(quán)限，繞過攻擊由于國產(chǎn)化軟件系統(tǒng)供應(yīng)鏈在我國的企事業(yè)單位中有廣泛客戶群，這使得APT組織一旦對供應(yīng)鏈完成攻擊滲透，會造成廣泛的影響面。2024年，我們捕獲到多個地區(qū)APT組織在針對我國的攻擊活動中2023年，我們曾捕獲海蓮花組織利用某國產(chǎn)安全軟件系統(tǒng)漏洞，在其系統(tǒng)植入后門程