2024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告-76正式版

2024RESEARCHRE

PORT全研球究?報(bào)級(jí)告持續(xù)性威脅（APT）ADVANCEDPERSISTENTTHREAT?

零

?

四

年全球?報(bào)級(jí)告持續(xù)性威脅（APT）研究2024ADVANCE

DPERSISTENTTH

REATCO

NTE

NTS目錄PPART01概述0040052024年全球高級(jí)持續(xù)性威脅形勢(shì)概覽0062024年活躍APT組織統(tǒng)計(jì)PPART020102024年各地區(qū)活躍APT組織分析011北美013東亞-朝鮮半島022東亞-其他地區(qū)028東南亞032南亞040東歐048中東052南美PPART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)054057政府機(jī)構(gòu)、教育依舊是APT組織攻擊重點(diǎn)方向058針對(duì)國防軍工的網(wǎng)絡(luò)攻擊在地區(qū)沖突中角色升級(jí)059科研是APT組織背后勢(shì)力關(guān)注的重點(diǎn)領(lǐng)域060針對(duì)汽車制造、新能源領(lǐng)域的攻擊活動(dòng)逐漸顯露061通信電信領(lǐng)域成為APT攻擊新熱點(diǎn)PPART042024年APT攻擊發(fā)展趨勢(shì)分析062063攻擊活動(dòng)使用的ATT&CK技戰(zhàn)術(shù)TOP20065APT攻擊活動(dòng)0Day和nDay漏洞利用統(tǒng)計(jì)067供應(yīng)鏈攻擊成為APT組織攻擊重點(diǎn)趨勢(shì)068國產(chǎn)化軟件系統(tǒng)成為APT組織攻擊重點(diǎn)069通信設(shè)備成武器，網(wǎng)絡(luò)攻擊形態(tài)多樣化069各國逐漸尋求外交譴責(zé)以外的方式應(yīng)對(duì)APT威脅PPART05參考鏈接070PART01概述P004P0090052024年全球高級(jí)持續(xù)性威脅形勢(shì)概覽0062024年活躍APT組織統(tǒng)計(jì)2024

ADVANCEDPERSISTENTTHREATP005PART01概述12024年全球高級(jí)持續(xù)性威脅形勢(shì)概覽2024年，全球局勢(shì)在合作與沖突并存的基調(diào)下向多極化發(fā)展。全球性合作峰會(huì)在促進(jìn)多邊合作、應(yīng)對(duì)全球危機(jī)中發(fā)揮著更加積極的作用；俄烏沖突、中東地區(qū)沖突等地緣事件深刻影響著全球秩序；中美在經(jīng)濟(jì)、科技、軍事等領(lǐng)域以及國際事務(wù)上的競(jìng)爭(zhēng)博弈日趨加劇。在此背景下，具有“國家級(jí)”背景的網(wǎng)絡(luò)組織在網(wǎng)絡(luò)空間高隱蔽性、高破壞性的攻擊活動(dòng)更加頻繁，其影響早已在全球網(wǎng)絡(luò)空間層面外，成為地緣政治乃至全球政治氣候的“晴雨表”。2024年，全球網(wǎng)絡(luò)安全廠商和機(jī)構(gòu)累計(jì)發(fā)布APT報(bào)告730多篇，報(bào)告涉及APT組織124個(gè)，其中屬于首次披露的APT組織41個(gè)。從全球范圍看，APT組織攻擊活動(dòng)聚焦地區(qū)政治、經(jīng)濟(jì)等時(shí)事熱點(diǎn)，攻擊目標(biāo)集中分布于政府機(jī)構(gòu)、國防軍工、信息技術(shù)、教育、金融等十幾個(gè)重點(diǎn)行業(yè)領(lǐng)域。我國歷來是地緣周邊APT組織攻擊的重點(diǎn)區(qū)域。依托360全網(wǎng)安全大數(shù)據(jù)視野，360高級(jí)威脅研究院在2024年累計(jì)捕獲到1300余起針對(duì)我國的APT攻擊活動(dòng)。攻擊來源APT組織主要?dú)w屬南亞、東南亞、東亞以及北美等地區(qū)。我國受攻擊活動(dòng)影響的單位主要分布于政府、教育、科研、國防軍工、交通運(yùn)輸?shù)?4個(gè)重點(diǎn)行業(yè)領(lǐng)域。在2024年，我們?cè)俅尾东@到兩個(gè)全新APT組織，分別為屬南亞地區(qū)的APT-C-70（獨(dú)角犀）和東亞地區(qū)的APT-C-65（金葉蘿）。截至2024年底，360已累計(jì)發(fā)現(xiàn)并披露了56個(gè)境外APT組織。近年來，我國新能源汽車產(chǎn)業(yè)異軍突起，APT組織對(duì)我國新能源汽車領(lǐng)域的攻擊活動(dòng)也逐漸顯露。隨著我國信創(chuàng)和國產(chǎn)化進(jìn)程的不斷推進(jìn)，我國網(wǎng)絡(luò)空間的安全壁壘不斷提升，APT組織轉(zhuǎn)而以我國國產(chǎn)化軟件系統(tǒng)作為攻擊突破口，展開供應(yīng)鏈攻擊。2024年，APT組織在攻擊活動(dòng)中使用0day漏洞的熱度不減，除0day漏洞外，還使用了大量1day以及nday漏洞，其中針對(duì)移動(dòng)平臺(tái)0day漏洞延續(xù)著增長勢(shì)頭。2024年人工智能大模型技術(shù)迎來爆發(fā)，在網(wǎng)絡(luò)空間引發(fā)了技術(shù)變革和治理規(guī)則的挑戰(zhàn)，其在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用范圍和影響力也不斷擴(kuò)大，需要關(guān)注人工智能大模型技術(shù)對(duì)網(wǎng)絡(luò)空間帶來的風(fēng)險(xiǎn)和挑戰(zhàn)。P0062024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT22024年活躍APT組織統(tǒng)計(jì)進(jìn)入2024年，全球地緣政治勢(shì)力間的競(jìng)爭(zhēng)與博弈更加激烈，特別是在東歐、中東以及亞太地區(qū)，軍事對(duì)峙和外交博弈不斷加劇。在正面沖突外，網(wǎng)絡(luò)空間已經(jīng)成為地區(qū)沖突中對(duì)抗的重要戰(zhàn)場(chǎng)。在持續(xù)的俄烏沖突和新—輪巴以沖突中，網(wǎng)絡(luò)攻擊被各方勢(shì)力廣泛應(yīng)用于情報(bào)竊取、輿論引導(dǎo)和戰(zhàn)略欺騙等多個(gè)方面，成為影響正面戰(zhàn)場(chǎng)和國際輿論走向的關(guān)鍵因素之—。在此形勢(shì)下，全球APT組織繼續(xù)保持高活躍度。截止2024年底，全球網(wǎng)絡(luò)安全廠商以及機(jī)構(gòu)累計(jì)發(fā)布APT報(bào)告730多篇，報(bào)告涉及APT組織124個(gè)，其中屬于首次披露組織41個(gè)。APT組織攻擊比較集中的行業(yè)為政府機(jī)構(gòu)、國防軍工、信息技術(shù)、教育、金融等。其他行業(yè)

7%醫(yī)療衛(wèi)生

3%政府32%科研能源4%4%交通運(yùn)輸

5%制造金融教育7%7%7%信息技術(shù)

7%國防軍工17%圖：2024年全球范圍安全廠商披露APT攻擊影響行業(yè)分布TOP10P007PART01概述東歐北美東亞中東南亞東南亞南美組織名稱活躍程度組織名稱活躍程度★★★★★★★★APT-C-01（毒云藤）APT-C-26（Lazarus）APT-C-55（Kimsuky）APT-C-06（DarkHotel）APT-C-60（偽獵者）APT-C-65（金葉蘿）APT-C-68（寄生蟲）APT-C-09（摩訶草）APT-C-08（蔓靈花）APT-C-48（CNC）APT-C-70（獨(dú)角犀）APT-C-24（響尾蛇）APT-C-56（透明部落）南亞東亞★★★★★★★★★★組織名稱活躍程度東南亞南美★★★★組織名稱APT-C-39（CIA）APT-C-40（NSA）活躍程度★★★★★APT-C-00（海蓮花）北美組織名稱活躍程度★★APT-C-36（盲眼鷹）組織名稱活躍程度★★★★★★★★APT-C-13（Sandworm）APT-C-25（APT29）APT-C-20（APT28）APT-C-29（Turla）組織名稱活躍程度★★★★★★★東歐APT-C-23（雙尾蝎）APT-C-51（APT35）APT-C-49（OilRig）中東★★APT-C-53（Gamaredon）

★★圖：2024年全球典型APT組織活躍度情況P0082024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT根據(jù)360全網(wǎng)安全大數(shù)據(jù)監(jiān)測(cè)：2024年，對(duì)中國發(fā)起攻擊活動(dòng)的APT組織，主要為歸屬南亞、東南亞、東亞、北美等地區(qū)的13個(gè)組織。我國受APT攻擊影響單位主要分布于政府機(jī)構(gòu)、教育、科研、國防軍工以及交通運(yùn)輸?shù)?4個(gè)重點(diǎn)行業(yè)領(lǐng)域?；贏PT組織攻擊活動(dòng)次數(shù)、受影響單位數(shù)量、受攻擊設(shè)備數(shù)量、技戰(zhàn)術(shù)迭代頻次等多個(gè)指標(biāo)，我們對(duì)2024年攻擊活動(dòng)影響我國的APT組織活躍度進(jìn)行評(píng)估，得出下表。排名TOP1TOP2TOP3TOP4TOP5TOP6TOP7TOP8TOP9TOP10組織名稱歸屬地域東亞主要影響行業(yè)領(lǐng)域政府機(jī)構(gòu)、教育、交通運(yùn)輸?shù)日畽C(jī)構(gòu)、教育、科研等教育、國防軍工、科研等政府機(jī)構(gòu)、教育、國防軍工等教育、科研、國防軍工等科研，國防軍工等APT-C-01（毒云藤）APT-C-00（海蓮花）APT-C-09（摩訶草）APT-C-08（蔓靈花）APT-C-48（CNC）APT-C-39（CIA）東南亞南亞南亞南亞北美APT-C-06（Darkhotel）APT-C-60（偽獵者）APT-C-65（金葉蘿）APT-C-70（獨(dú)角犀）東亞制造業(yè)、政府機(jī)構(gòu)等東亞政府機(jī)構(gòu)、文娛傳媒等政府機(jī)構(gòu)、教育等東亞南亞政府機(jī)構(gòu)、能源等2024年，政府機(jī)構(gòu)成為境外APT組織重點(diǎn)針對(duì)的領(lǐng)域，政府機(jī)構(gòu)相關(guān)的外交、海事、交通管理等職能單位是APT組織攻擊主要目標(biāo)；教育行業(yè)中國防軍工背景、國際關(guān)系研究以及科技類院校是APT組織攻擊重點(diǎn)；科研領(lǐng)域中軍工科研、國際政策研究、海洋與資源研究屬于APT組織重點(diǎn)針對(duì)方向。P009PART01概述其他行業(yè)

8%醫(yī)療衛(wèi)生

2%政府

33%能源3%信息技術(shù)

3%供應(yīng)商制造3%5%交通運(yùn)輸

6%國防軍工

8%科研9%教育

20%2024年境外APT組織對(duì)我國政府機(jī)構(gòu)領(lǐng)域攻擊活動(dòng)占比明顯增加。通過分析發(fā)現(xiàn)：原因首先是2024年南亞APT-C-08（蔓靈花）組織對(duì)我國外交和駐外合作相關(guān)目標(biāo)開展了多次集中攻擊，其攻擊活動(dòng)活躍時(shí)間與我國舉辦中非合作論壇、參與二十國集團(tuán)峰會(huì)等重大國際活動(dòng)時(shí)間存在相關(guān)性；其次是東南亞組織APT-C-00（海蓮花）利用某國產(chǎn)化軟件系統(tǒng)漏洞對(duì)采用該系統(tǒng)的政府機(jī)構(gòu)進(jìn)行大范圍滲透攻擊導(dǎo)致。圖：2024年我國受APT攻擊影響單位行業(yè)分布TOP10PART022024年各地區(qū)活躍APT組織分析P010P057011北美013東亞-朝鮮半島022東亞-其他地區(qū)028東南亞032南亞040東歐048中東052南美2024

ADVANCEDPERSISTENTTHREATP011PART022024年各地區(qū)活躍APT組織分析1北美北美是全球信息技術(shù)最為發(fā)達(dá)和領(lǐng)先的區(qū)域之一，占據(jù)了大多數(shù)信息技術(shù)領(lǐng)域的產(chǎn)業(yè)鏈上游，不僅在人工智能、大數(shù)據(jù)、云計(jì)算、區(qū)塊鏈等前沿技術(shù)領(lǐng)域引領(lǐng)全球科技創(chuàng)新發(fā)展，其在網(wǎng)絡(luò)安全領(lǐng)域的技戰(zhàn)術(shù)水平更是領(lǐng)先于其他地區(qū)。來自北美地區(qū)的APT組織在攻擊能力上實(shí)現(xiàn)了體系化、工程化。其攻擊范圍覆蓋全球，攻擊手法復(fù)雜多變，攻擊過程隱蔽性極強(qiáng)。近幾年我國科技創(chuàng)新領(lǐng)域發(fā)展迅速，成為全球關(guān)注焦點(diǎn)。來自北美的APT組織將我國前沿科技相關(guān)的科研與制造企業(yè)作為重點(diǎn)攻擊目標(biāo)，進(jìn)行長期網(wǎng)絡(luò)攻擊滲透。2024年，我國相關(guān)部門發(fā)現(xiàn)和處置了兩起疑似美國情報(bào)機(jī)構(gòu)對(duì)我國大型科技企業(yè)機(jī)構(gòu)進(jìn)行網(wǎng)絡(luò)攻擊竊密事件[1]。同年，360高級(jí)威脅研究院監(jiān)測(cè)到北美方向APT-C-39（CIA）組織對(duì)我國科研創(chuàng)新領(lǐng)域攻擊活動(dòng)活躍。P0122024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-39（CIA）APT-C-39（CIA）組織在對(duì)我國和其他國家地區(qū)實(shí)施的持續(xù)網(wǎng)絡(luò)竊密活動(dòng)中，使用了大量0day漏洞。APT-C-39（CIA）組織在2024年針對(duì)我國航空、航天、材料科學(xué)等前沿科技相關(guān)重點(diǎn)單位進(jìn)行攻擊，竊取我國高精尖技術(shù)信息和科研數(shù)據(jù)等情報(bào)。2024年，我們捕獲到APT-C-39（CIA）組織針對(duì)我國科研與國防軍工相關(guān)目標(biāo)，利用國內(nèi)某安全廠商辦公應(yīng)用的服務(wù)端下發(fā)木馬程序進(jìn)行滲透攻擊，在客戶端進(jìn)行竊密回傳。圖：APT-C-39（CIA）組織2024年主要攻擊活動(dòng)流程示意P013PART022024年各地區(qū)活躍APT組織分析2東亞-朝鮮半島2024年，東亞地區(qū)政治局勢(shì)復(fù)雜多變，朝鮮半島緊張局勢(shì)持續(xù)升溫，臺(tái)海、東海等問題對(duì)抗博弈加劇。在此背景下，東亞地區(qū)APT組織十分活躍，不僅不斷更新攻擊手法，提升0day漏洞利用水平，還在攻擊活動(dòng)中使用了如：復(fù)雜字符串解碼/解密方法、濫用Zsh配置文件、使用生成式人工智能、BYOVD等多種新的攻擊技術(shù)，提升其網(wǎng)絡(luò)武器攻擊能力和跨平臺(tái)執(zhí)行能力。該地區(qū)除APT-C-06（DarkHotel）、APT-C-26（Lazarus）、APT-C-55（Kimsuky）等持續(xù)活躍的組織外，APT-C-60（偽獵者）在2024年活躍度也大幅提升。P0142024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-06（DarkHotel）2024年，APT-C-06（Darkhotel）組織在攻擊活動(dòng)中主要以投遞具有迷惑性主題的壓縮包作為載荷投遞的主要手法。該組織針對(duì)我國的攻擊活動(dòng)主要集中在涉朝貿(mào)易相關(guān)單位。2024年，APT-C-06（Darkhotel）組織在其釣魚攻擊活動(dòng)中制作和使用了偽裝成韓語字體安裝包的惡意載荷，并通過釣魚郵件進(jìn)行傳播。本次活動(dòng)攻擊時(shí)間集中，我國受攻擊活動(dòng)影響的用戶主要分布在近朝鮮半島部分地區(qū)。在此次攻擊中，APT-C-06（Darkhotel）組織將惡意載荷偽裝成朝鮮國內(nèi)常使用的襯線印刷體光明字體的變體版本，誘使目標(biāo)人群下載并安裝。由于此種字體在公共互聯(lián)網(wǎng)資源較少，所以能吸引較多有字體需求的人下載。2024年4月，在APT-C-06（Darkhotel）組織進(jìn)行的另一起攻擊活動(dòng)中，攻擊者疑似使用某款特定郵箱軟件的漏洞進(jìn)行代碼注入，竊取用戶瀏覽器或郵箱客戶端的Cookie文件。圖：APT-C-06（Darkhotel）組織釣魚攻擊活動(dòng)流程P015PART022024年各地區(qū)活躍APT組織分析APT-C-60（偽獵者）APT-C-60（偽獵者）是360在2021年捕獲并披露的APT組織，該組織經(jīng)常使用招聘和簡(jiǎn)歷相關(guān)誘餌文檔，對(duì)我國涉韓相關(guān)的政府機(jī)構(gòu)、駐韓文化商貿(mào)等目標(biāo)展開釣魚攻擊。2024年APT-C-60（偽獵者）組織活躍度明顯增加，還在其攻擊活動(dòng)中使用了0day漏洞，同時(shí)該組織攻擊目標(biāo)也擴(kuò)展到部分科研和政府機(jī)構(gòu)。2024年，APT-C-60（偽獵者）組織在攻擊活動(dòng)中使用類似“邀請(qǐng)函”、“通訊錄”、“報(bào)名表”等主題的誘餌文檔，對(duì)我國駐韓，特別是駐首爾地區(qū)的文娛傳媒、經(jīng)貿(mào)合作領(lǐng)域相關(guān)單位展開釣魚攻擊。圖①2024年，360高級(jí)脅研究院捕獲到APT-C-60（偽獵者）組織使用某辦公軟件0day漏洞開展攻擊活動(dòng)。在攻擊活動(dòng)中，攻擊者制作該辦公軟件特定“.et”格式的惡意文件，并通過郵件附件進(jìn)行傳播。在使用文件名為“curriculumvitae.et”的攻擊活動(dòng)中，文檔中的個(gè)人照片被馬賽克圖片故意遮擋，當(dāng)受害用戶點(diǎn)擊遮擋的馬賽克圖片時(shí)，超鏈接指向攻擊者構(gòu)造的偽協(xié)議，并觸發(fā)漏洞執(zhí)行相應(yīng)惡意指令。圖②圖①：APT-C-60（偽獵者）釣魚攻擊流程示意圖②：APT-C-60（偽獵者）組織攻擊活動(dòng)使用的誘餌文檔P0162024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-26（Lazarus）APT-C-26（Lazarus）組織在2024年持續(xù)在全球范圍展開攻擊活動(dòng)，針對(duì)韓國地區(qū)的攻擊保持高活躍度，同時(shí)該組織對(duì)加密貨幣領(lǐng)域的攻擊勢(shì)頭也呈現(xiàn)上升趨勢(shì)。APT-C-26（Lazarus）組織在攻擊活動(dòng)中使用了多種復(fù)雜的攻擊技術(shù)，例如通過使用偽造社交賬號(hào)、偽造就業(yè)機(jī)會(huì)、虛假公司信息等展開社會(huì)工程學(xué)攻擊；使用CVE-2024-21338、CVE-2024-7971、CVE-2024-38106等多個(gè)漏洞展開零日漏洞攻擊；使用DLL側(cè)加載和無文件攻擊等；多種復(fù)雜攻擊手段顯示出了APT-C-26（Lazarus）組織具備高度的組織化和高超技戰(zhàn)術(shù)水平。APT-C-26（Lazarus）組織展開了一系列針對(duì)有IT技術(shù)背景，特別是軟件開發(fā)人員的攻擊活動(dòng)。攻擊者通過精心運(yùn)營的社交媒體賬號(hào)或開發(fā)者平臺(tái)主頁，向目標(biāo)人員發(fā)送虛假的招聘信息，誘導(dǎo)目標(biāo)用戶訪問其事先準(zhǔn)備好的惡意代碼倉庫，并誘騙用戶執(zhí)行其中的惡意程序。惡意程序一旦被運(yùn)行，攻擊者趁機(jī)竊取用戶的加密貨幣以及系統(tǒng)登錄憑據(jù)，同時(shí)向目標(biāo)系統(tǒng)植入偽裝成正常工具的惡意Python組件，進(jìn)一步竊取目標(biāo)用戶的隱私數(shù)據(jù)。攻擊的最后階段，攻擊者會(huì)向目標(biāo)用戶發(fā)送AnyDesk遠(yuǎn)程控制軟件，從而獲取目標(biāo)用戶系統(tǒng)的完全控制權(quán)，隨意竊取數(shù)據(jù)或者執(zhí)行破壞性操作。我們通過對(duì)APT-C-26（Lazarus）組織攻擊活動(dòng)監(jiān)測(cè)分析發(fā)現(xiàn)，我國東北和南方部分地區(qū)也存在同樣受影響的開發(fā)人員。圖：APT-C-26（Lazarus）組織針對(duì)IT技術(shù)人員攻擊活動(dòng)流程P017PART022024年各地區(qū)活躍APT組織分析2024年下半年，360高級(jí)威脅研究院捕獲到了APT-C-26（Lazarus）組織利用Electron打包的惡意程序，該程序偽裝成貨幣平臺(tái)的自動(dòng)化交易工具安裝包對(duì)加密貨幣行業(yè)相關(guān)人員進(jìn)行攻擊。一旦受害者點(diǎn)擊Electron打包的惡意程序，顯示正常的安裝過程的同時(shí)在后臺(tái)運(yùn)行惡意功能，隨后通過層層加載，最終完成攻擊行為。圖①圖②圖①：APT-C-26（Lazarus）組織偽造的加密貨幣相關(guān)網(wǎng)頁（一）圖②：APT-C-26（Lazarus）組織偽造的下載惡意組建的加密貨幣相關(guān)網(wǎng)頁（二）P0182024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT圖①圖②圖①：APT-C-26（Lazarus）組織針對(duì)加密貨幣相關(guān)目標(biāo)攻擊流程圖②：攻擊者從瀏覽器獲取加密貨幣相關(guān)信息P019PART022024年各地區(qū)活躍APT組織分析APT-C-55（Kimsuky）2024年，APT-C-55（Kimsuky）組織攻擊活動(dòng)除主要針對(duì)韓國政府機(jī)構(gòu)和國防軍事相關(guān)目標(biāo)外，還包括與朝鮮相關(guān)的人權(quán)活動(dòng)人士、團(tuán)體、專家或組織。攻擊目標(biāo)范圍也逐漸擴(kuò)展到與朝鮮半島事務(wù)相關(guān)的周邊地區(qū)。360高級(jí)威脅研究院對(duì)APT-C-55（Kimsuky）組織發(fā)起的RandomQuery攻擊活動(dòng)進(jìn)行分析：攻擊者將惡意HTML腳本作為郵件附件進(jìn)行傳播，隨后釋放惡意LNK文件和誘餌文件。誘餌文檔被偽裝成與報(bào)酬支付相關(guān)內(nèi)容，有效地誘導(dǎo)目標(biāo)用戶打開附件，最終利用腳本文件部署開源遠(yuǎn)程訪問木馬（RAT）組件，從而實(shí)現(xiàn)對(duì)信息的進(jìn)一步竊取。APT-C-28（ScarCruft）APT-C-28（ScarCruft）組織在2024年持續(xù)活躍，攻擊目標(biāo)領(lǐng)域除主要針對(duì)朝鮮相關(guān)媒體機(jī)構(gòu)、專家學(xué)者、網(wǎng)絡(luò)安全專業(yè)人員外，部分攻擊活動(dòng)還影響到韓國軍事、教育以及俄羅斯政府相關(guān)目標(biāo)，我國受影響用戶主要為海外貿(mào)易和駐朝機(jī)構(gòu)相關(guān)。360高級(jí)威脅研究院監(jiān)測(cè)到APT-C-28（ScarCruft）組織在攻擊活動(dòng)中通過目標(biāo)投遞偽裝成“朝鮮人權(quán)專家辯論”的惡意LNK文件來投遞RokRat惡意軟件。當(dāng)用戶激活惡意LNK文件，會(huì)提取惡意BAT文件和PowerShell腳本，隨后調(diào)用PowerShell腳本從DropBox云服務(wù)下載下一階段加密載荷，加密載荷解密得到shellcode，并在新創(chuàng)建的線程進(jìn)行加載，最終獲取RokRat惡意軟件。圖：APT-C-55（Kimsuky）組織攻擊流程示意圖P0202024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT圖①此外，我們還監(jiān)測(cè)到APT-C-28（ScarCruft）組織使用具有誘導(dǎo)性的文件名：“SpravkiBKsetup.msi”，偽裝成俄羅斯政府相關(guān)軟件進(jìn)行惡意載荷投遞。當(dāng)MSI程序運(yùn)行時(shí)，會(huì)釋放正確的軟件安裝程序迷惑用戶，其惡意行為在后臺(tái)靜默執(zhí)行進(jìn)行竊密。圖②圖①：APT-C-28（ScarCruft）組織攻擊活動(dòng)流程示意圖②：APT-C-28（ScarCruft）組織偽造的俄羅斯政府相關(guān)軟件截圖P021PART022024年各地區(qū)活躍APT組織分析2024年，APT-C-28組織首次針對(duì)東南亞地區(qū)展開攻擊活動(dòng)，攻擊者啟用了名為“VeilShell“的隱蔽型惡意軟件。惡意軟件通過釣魚郵件傳播，具有遠(yuǎn)程訪問木馬功能，可讓攻擊者完全控制受感染的機(jī)器[2]。圖：APT-C-28（ScarCruft）組織使用“VeilShell”惡意軟件攻擊過程P0222024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT3東亞-其他地區(qū)2024年，歸屬東亞其他地區(qū)APT組織活躍度呈現(xiàn)上升態(tài)勢(shì)。APT-C-01（毒云藤）組織持續(xù)針對(duì)我國科研高校、交通運(yùn)輸、海事等領(lǐng)域目標(biāo)展開魚叉釣魚郵件攻擊。2024年360高級(jí)威脅研究院在威脅狩獵分析中捕獲到歸屬該地區(qū)的新APT組織：APTC-65（金葉蘿）。P023PART022024年各地區(qū)活躍APT組織分析APT-C-01（毒云藤）2024年全年，APT-C-01（毒云藤）組織對(duì)我國攻擊活動(dòng)保持活躍。主要針對(duì)我國教育科研、交通運(yùn)輸、政府機(jī)構(gòu)等領(lǐng)域目標(biāo)，以竊取用戶賬戶密碼權(quán)限以及敏感文件信息為主要目的。其中針對(duì)我國交通運(yùn)輸領(lǐng)域的攻擊活動(dòng)集中在航空運(yùn)輸相關(guān)單位；針對(duì)我國政府機(jī)構(gòu)的攻擊活動(dòng)，集中在海事相關(guān)部門。APT-C-01（毒云藤）組織在攻擊活動(dòng)中不僅緊跟時(shí)事熱點(diǎn)不斷更新誘餌文檔，還針對(duì)不同的目標(biāo)投放不同的誘餌文件。APT-C-01（毒云藤）組織在釣魚平臺(tái)源碼里附帶了誘餌文件列表，用于對(duì)不同單位的受害者的請(qǐng)求進(jìn)行解析和下發(fā)對(duì)應(yīng)誘餌文件。受害用戶在釣魚網(wǎng)站上填寫用戶名和賬號(hào)密碼信息后，即可下載服務(wù)器上存放的指定誘餌文件，隨后根據(jù)用戶的郵箱后綴跳轉(zhuǎn)到官方地址。圖：APT-C-01（毒云藤）組織誘餌文件分發(fā)程序代碼片段P0242024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-01（毒云藤）組織在對(duì)航空行業(yè)目標(biāo)的魚叉釣魚郵件攻擊中，首先誘使受害者訪問釣魚郵件中的中轉(zhuǎn)鏈接，跳轉(zhuǎn)到攻擊者偽造的舊版官網(wǎng)，偽造網(wǎng)站頁面中的惡意JS代碼隨即執(zhí)行將惡意程序下載至本地，進(jìn)一步誘使用戶執(zhí)行惡意程序，攻擊流程總結(jié)如下。圖①圖②圖：APT-C-01（毒云藤）組織攻擊流程示意圖圖：APT-C-01（毒云藤）組織偽造的某單位網(wǎng)站P025PART022024年各地區(qū)活躍APT組織分析360高級(jí)威脅研究院在2024年對(duì)毒云藤組織的跟蹤監(jiān)測(cè)中捕獲的部分誘餌文件列表和截圖如下：APT-C-01（毒云藤）組織2024年攻擊活動(dòng)中使用的部分誘餌文檔申請(qǐng)分配調(diào)整公寓住房人員情況匯總表.xlsx民航空管收費(fèi)行為規(guī)則.pdf***專業(yè)技術(shù)職稱申報(bào)評(píng)審表（2024年版）.doc中國民用航空機(jī)場(chǎng)監(jiān)察員業(yè)務(wù)培訓(xùn)管理辦法.pdf中國電子學(xué)會(huì)高級(jí)會(huì)員（2024-3）評(píng)定的通知.docx《海事統(tǒng)計(jì)調(diào)查制度（2024年修訂版）》.pdf關(guān)于邀請(qǐng)參加“2024中國船舶行業(yè)年會(huì)主論壇”的通知.pdf巡視工作要點(diǎn).docx技術(shù)開發(fā)合同（公開）.docx2024年《歐亞經(jīng)濟(jì)》選題參考.docx***十四五海洋經(jīng)濟(jì)專題研究報(bào)告.doc海事政務(wù)服務(wù)指南及申請(qǐng)文書.7z*****關(guān)于新時(shí)代加強(qiáng)沿海和內(nèi)河港口航道規(guī)劃建設(shè)的意見.docx第二十一屆中國國際半導(dǎo)體博覽會(huì)（ICChina2024）展會(huì)日程.docx11.5學(xué)術(shù)名家講座報(bào)名-加密貨幣對(duì)銀行存貸款的影響.pdf2024國際制導(dǎo)、導(dǎo)航與控制學(xué)術(shù)會(huì)議征文通知.rar2024年國家社會(huì)科學(xué)基金重大項(xiàng)目.zip工資調(diào)整方案.rar機(jī)場(chǎng)容量評(píng)估技術(shù)規(guī)范.rar民用航空貨物運(yùn)輸管理規(guī)定.pdfP0262024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT圖①建議反饋防汛抗旱船舶交通管理

電子海圖轉(zhuǎn)換航空補(bǔ)貼工資調(diào)整方案

團(tuán)體標(biāo)準(zhǔn)制定專項(xiàng)安全監(jiān)管申報(bào)匯總

會(huì)議通知系統(tǒng)安全監(jiān)督計(jì)劃項(xiàng)目評(píng)審巡視工作要點(diǎn)航空先進(jìn)制造通訊錄專業(yè)技術(shù)職稱綠色船舶機(jī)場(chǎng)選址海事統(tǒng)計(jì)調(diào)查貨物運(yùn)輸管理規(guī)定

調(diào)整公寓住房民用航空機(jī)場(chǎng)監(jiān)察員反饋意見意見反饋農(nóng)產(chǎn)品和食品安全檢驗(yàn)技術(shù)規(guī)則防空防護(hù)

航道規(guī)劃建設(shè)技術(shù)開發(fā)合同加密貨幣郵箱賬號(hào)竊取

國際半導(dǎo)體博覽會(huì)民航空管收費(fèi)海洋經(jīng)濟(jì)專題《歐亞經(jīng)濟(jì)》會(huì)議改期通知重大項(xiàng)目海事政務(wù)服務(wù)指南衛(wèi)星網(wǎng)絡(luò)協(xié)調(diào)機(jī)場(chǎng)容量評(píng)估采購需求參數(shù)

中國電子學(xué)會(huì)職稱申報(bào)申請(qǐng)文書

信息系統(tǒng)計(jì)劃項(xiàng)目匯總食品藥品安全項(xiàng)目申報(bào)書薪資調(diào)整表信用建設(shè)動(dòng)態(tài)

銀行貸款征求意見稿重點(diǎn)項(xiàng)目申請(qǐng)人員名單船舶行業(yè)年會(huì)圖②圖①：APT-C-01（毒云藤）組織使用的部分誘餌文檔截圖圖②：APT-C-01（毒云藤）組織攻擊使用的部分誘餌文檔關(guān)鍵詞P027PART022024年各地區(qū)活躍APT組織分析APT-C-65（金葉蘿）APT-C-65（金葉蘿）是360高級(jí)威脅研究院在2024年捕獲的該地區(qū)全新APT組織。我們通過對(duì)相關(guān)威脅線索進(jìn)行分析發(fā)現(xiàn)，APT-C-65（金葉蘿）組織自2020年以來持續(xù)對(duì)中國境內(nèi)服務(wù)器網(wǎng)絡(luò)進(jìn)行攻擊滲透，目的是竊取敏感數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。攻擊目標(biāo)行業(yè)包括能源、制造、信息技術(shù)、國防軍工、教育科研等。APT-C-65（金葉蘿）組織擅長利用Web系統(tǒng)的nday/1day漏洞展開攻擊。攻擊者先對(duì)目標(biāo)Web業(yè)務(wù)系統(tǒng)的漏洞進(jìn)行掃描及滲透，嘗試?yán)镁硟?nèi)Web業(yè)務(wù)的系統(tǒng)漏洞；隨后部署后門木馬，并在服務(wù)器內(nèi)網(wǎng)進(jìn)行橫向移動(dòng)。該組織常用開源、公開或商業(yè)軟件作為攻擊工具，用于后門、橫向移動(dòng)和持久化等惡意行為。圖：APT-C-65（金葉蘿）組織攻擊流程示意圖P0282024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT4東南亞2024年，東南亞地區(qū)APT-C-00（海蓮花）組織在保持高活躍度的同時(shí)，攻擊技戰(zhàn)術(shù)也顯現(xiàn)出迭代升級(jí)，這集中體現(xiàn)在高度定制化的魚叉釣魚郵件攻擊和軟件系統(tǒng)漏洞利用兩方面。P029PART022024年各地區(qū)活躍APT組織分析APT-C-00（海蓮花）APT-C-00（海蓮花）組織從被披露以來，長期針對(duì)我國政府機(jī)構(gòu)、教育科研、國防軍工、能源、信息技術(shù)等重點(diǎn)行業(yè)領(lǐng)域進(jìn)行滲透攻擊。2024年，我們通過對(duì)海蓮花組織攻擊活動(dòng)的監(jiān)測(cè)和分析發(fā)現(xiàn)，該組織攻擊技戰(zhàn)術(shù)水平顯現(xiàn)出明顯的迭代升級(jí)。APT-C-00（海蓮花）組織在2024年上半年的魚叉郵件釣魚攻擊中，將郵件標(biāo)題、附件文件名等偽裝成行業(yè)相關(guān)的會(huì)議通知、技術(shù)資料、行業(yè)報(bào)告，誘使攻擊目標(biāo)主動(dòng)運(yùn)行。當(dāng)誘餌文件成功運(yùn)行后，攻擊者根據(jù)目標(biāo)價(jià)值決定是否保持長期控制權(quán)或橫向移動(dòng)。2024年，我們監(jiān)測(cè)到APT-C-00（海蓮花）組織利用一種新的技術(shù)針對(duì)我國外交、海事、航天等行業(yè)發(fā)起了一系列高度定制化的魚叉釣魚郵件攻擊。在6月，國外安全團(tuán)隊(duì)披露了這種新型攻擊技術(shù)細(xì)節(jié)，并命名為GrimResource[3]。2024年第四季度，APT-C-00（海蓮花）組織在攻擊活動(dòng)中改用了魚叉式釣魚鏈的攻擊方式。攻圖：Windows11系統(tǒng)訪問鏈接時(shí)下載釣魚壓縮包P0302024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT擊者服務(wù)器會(huì)根據(jù)受害終端瀏覽器的UserAgent判斷終端系統(tǒng)，系統(tǒng)版本符合要求則下載釣魚壓縮包，否則只下載誘餌文檔。攻擊者通過MSI安裝包和系統(tǒng)文件msiexec特性，利用MST文件[4]釋放白利用后門與誘餌文檔。圖①圖②圖①：Windows7系統(tǒng)訪問鏈接時(shí)下載誘餌文檔圖②：APT-C-00（海蓮花）組織在攻擊活動(dòng)中使用的部分誘餌文檔截圖P031PART022024年各地區(qū)活躍APT組織分析近年來APT-C-00（海蓮花）組織在其攻擊活動(dòng)中使用的0day漏洞數(shù)量在逐年增加。繼2023年APT-C-00（海蓮花）組織利用某安全軟件0day漏洞植入后門程序后，2024年，我們?cè)俅尾东@到APT-C-00（海蓮花）組織利用國內(nèi)某信息技術(shù)企業(yè)系統(tǒng)0day漏洞，針對(duì)我國多個(gè)采用該系統(tǒng)的政府機(jī)構(gòu)、某國產(chǎn)廠商安全檢查系統(tǒng)進(jìn)行大范圍滲透攻擊，造成了大范圍影響。圖：APT-C-00（海蓮花）組織利用某信息技術(shù)企業(yè)系統(tǒng)0day漏洞攻擊流程P0322024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT6南亞2024年，南亞地區(qū)活躍APT組織持續(xù)利用實(shí)時(shí)熱點(diǎn)話題事件，集中針對(duì)周邊的中國、巴基斯坦、孟加拉國等地區(qū)展開攻擊活動(dòng)。該地區(qū)APT組織繼續(xù)沿用了其傳統(tǒng)的攻擊技戰(zhàn)術(shù)手段，但針對(duì)我國的攻擊活動(dòng)較去年又有進(jìn)一步提升。另外，APT-C-09（摩訶草）組織基于開源組件嘗試了多種手段來增加攻擊武器的對(duì)抗能力，表現(xiàn)較為活躍。360高級(jí)威脅研究院在2024年的威脅狩獵中監(jiān)測(cè)到一個(gè)疑似歸屬該地區(qū)的新組織：APT-C-70（獨(dú)角犀）。該組織主要針對(duì)中國、巴基斯坦相關(guān)目標(biāo)開展攻擊。P033PART022024年各地區(qū)活躍APT組織分析APT-C-08（蔓靈花）APT-C-08（蔓靈花）組織在2024年上半年對(duì)南亞周邊國家的攻擊活動(dòng)保持活躍，全年對(duì)我國外交相關(guān)目標(biāo)展開多次集中攻擊活動(dòng)。2024年，我國成功舉辦了多個(gè)具有廣泛影響力的國際會(huì)議，在會(huì)議前后一段時(shí)間內(nèi)，APT-C-08（蔓靈花）組織攻擊活動(dòng)非?；钴S。例如在中國發(fā)展高層論壇2024年年會(huì)、博鰲亞洲論壇2024年年會(huì)以及2024年中非合作論壇峰會(huì)前后，我們監(jiān)測(cè)到我國多個(gè)外交機(jī)構(gòu)、駐外使館和駐外經(jīng)濟(jì)貿(mào)易合作相關(guān)單位受APT-C-08（蔓靈花）組織集中攻擊。APT-C-08（蔓靈花）組織嘗試了多種形式的初始階段載荷的投遞，其中searchconnector-ms文件數(shù)量增加明顯。攻擊者沿用并完善了從去年開始的webdav的攻擊流程，采取投遞如searchconnector-ms等具有遠(yuǎn)程指向與訪問能力的文件，攻擊成功率較高，攻擊流程如下圖所示。圖①圖②圖①：APT-C-08（蔓靈花）組織攻擊流程示意圖圖②：APT-C-08（蔓靈花）組織使用的誘餌文檔截圖P0342024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-09（摩訶草）APT-C-09（摩訶草）組織在2024年延續(xù)了近幾年的活躍態(tài)勢(shì)，主要針對(duì)中國、巴基斯坦等亞洲地區(qū)國家進(jìn)行竊取敏感信息為主的網(wǎng)絡(luò)間諜行動(dòng)。APT-C-09（摩訶草）組織針對(duì)其周邊國家和針對(duì)我國的攻擊活動(dòng)使用了兩種攻擊流程。針對(duì)其他國家主要是利用inpage釣魚文檔下發(fā)后續(xù)攻擊組件，攻擊組件以“spyder”為主；而針對(duì)我國主要以投遞lnk文件結(jié)合后續(xù)各種開源魔改木馬為主。針對(duì)我國的行動(dòng)中，釣魚話題多是圍繞科研話題展開，如“重點(diǎn)專項(xiàng)2024年度項(xiàng)目xxx”、“xxx重點(diǎn)實(shí)驗(yàn)室項(xiàng)目”、“項(xiàng)目細(xì)節(jié)”等。2024年6月，我們捕獲到APT-C-09（摩訶草）組織利用最新公開的PHPCGIWindows平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577）對(duì)國內(nèi)的一些PHP站點(diǎn)的攻擊活動(dòng)。在攻擊活動(dòng)中，APT-C-09（摩訶草）組織除直接利用自己的基礎(chǔ)設(shè)施外，還利用了多個(gè)被攻擊站點(diǎn)進(jìn)行掛馬，進(jìn)一步利用掛馬網(wǎng)站下發(fā)攻擊載荷。顯示出APT-C-09（摩訶草）組織開始嘗試尋找我國站點(diǎn)作為其攻擊“跳板”來隱藏自己的攻擊路徑。圖：APT-C-09（摩訶草）組織使用的部分誘餌文檔截圖P035PART022024年各地區(qū)活躍APT組織分析APT-C-70（獨(dú)角犀）360高級(jí)威脅研究院在2024年的威脅狩獵中，監(jiān)測(cè)到一個(gè)歸屬南亞的新組織，將其命名為APT-C-70（獨(dú)角犀）。該組織現(xiàn)階段主要針對(duì)中國、巴基斯坦等地緣周邊國家的外交、貿(mào)易、能源等行業(yè)領(lǐng)域。APT-C-70（獨(dú)角犀）組織善于收集和編造社會(huì)時(shí)政新聞熱點(diǎn)作為釣魚文檔話題，并通過附帶惡意宏文檔或帶有惡意lnk文件壓縮包的魚叉郵件的方式投遞訪問階段攻擊載荷。該組織制作了文件收集器類特種木馬，用于竊取受害者敏感文件，我們對(duì)該組織當(dāng)前使用的幾種攻擊流程進(jìn)行了總結(jié)。攻擊手法一：使用帶有惡意宏文檔作為初始訪問階段攻擊載荷，通過創(chuàng)建計(jì)劃任務(wù)執(zhí)行特種木馬；圖①攻擊手法二：使用帶有惡意木馬和指向該木馬的lnk文件的壓縮包作為初始訪問階段的攻擊載荷，誘導(dǎo)用戶點(diǎn)擊lnk文件以啟動(dòng)惡意木馬。圖②圖①：APT-C-70（獨(dú)角犀）組織攻擊流程示意圖圖②：APT-C-70（獨(dú)角犀）組織攻擊流程示意圖P0362024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT攻擊手法三：通過釣魚頁面竊取用戶名和密碼信息，并下載特種木馬程序。圖①圖②圖①：APT-C-70（獨(dú)角犀）組織使用的釣魚頁面截圖圖②：APT-C-70（獨(dú)角犀）組織使用的誘餌文檔截圖P037PART022024年各地區(qū)活躍APT組織分析APT-C-48（CNC）2024年，APT-C-48（CNC）組織延續(xù)了2023年年末對(duì)我國科研和教育領(lǐng)域的活躍攻擊態(tài)勢(shì)。在近期的攻擊活動(dòng)中，攻擊者使用“XXX的簡(jiǎn)歷”為話題的誘餌文檔，結(jié)合U盤木馬病毒下發(fā)各種后續(xù)攻擊組件，進(jìn)一步竊取受害單位的機(jī)密數(shù)據(jù)和文件。我們通過監(jiān)測(cè)分析發(fā)現(xiàn)：受APT-C-48（CNC）組織攻擊影響的重點(diǎn)高校和科研機(jī)構(gòu)大都具有國防軍工背景，且部分科研機(jī)構(gòu)和重點(diǎn)高校存在呈現(xiàn)被集中攻擊、多臺(tái)終端受影響的現(xiàn)象。我們通過分析推測(cè)，這是由于攻擊者通過U盤擺渡的方式傳播攻擊組件，增加了攻擊組件在高校和科研機(jī)構(gòu)終端間傳播，擴(kuò)大了攻擊范圍。APT-C-48（CNC）組織在2024年活動(dòng)的釣魚鏈接中使用了一些域名明顯模仿國內(nèi)郵箱、云盤等常見域名的方式以增加其點(diǎn)擊成功率。受害者一旦點(diǎn)擊這些釣魚鏈接則會(huì)下發(fā)后續(xù)階段的特種木馬。CNC組織仿冒的惡意域名rnailcloud[.]com正常域名mailcloud[.]pan[.]baidu[.]comsinacloud[.]comconsole[.]weiyun[.]companbaiclu[.]comsinacloucl[.]comaliyunconsole[.]comvveiyun[.]comtencentcloucl[.]comtencentcloud[.]com圖：APT-C-48（CNC）組織使用的部分簡(jiǎn)歷誘餌文檔截圖P0382024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-35（肚腦蟲）2024年，APT-C-35（肚腦蟲）組織主要對(duì)巴基斯坦和孟加拉等地緣國家政府機(jī)構(gòu)目標(biāo)展開以魚叉釣魚攻擊手段為主的網(wǎng)絡(luò)間諜活動(dòng)，攻擊者采用投遞帶有惡意宏文檔作為初始訪問階段載荷。當(dāng)用戶打開釣魚文檔并允許vba宏執(zhí)行時(shí)，該vba宏會(huì)釋放兩個(gè)bat腳本，通過cmd執(zhí)行其中一個(gè)bat腳本，該腳本會(huì)解密另一個(gè)bat腳本并創(chuàng)建計(jì)劃任務(wù)，計(jì)劃任務(wù)進(jìn)一步執(zhí)行另一個(gè)bat腳本，從遠(yuǎn)端服務(wù)器上下載后續(xù)攻擊組件。圖①APT-C-24（響尾蛇）APT-C-24（響尾蛇）組織在2024年主要使用lnk或早期的Office漏洞（如CVE-2017-11882）對(duì)南亞及周邊地區(qū)的政府、軍事、外交等行業(yè)目標(biāo)展開攻擊活動(dòng)。在攻擊活動(dòng)中，攻擊者首先使用白利用手法加載惡意dll組件，并將系統(tǒng)白文件創(chuàng)建服務(wù)和計(jì)劃任務(wù)定時(shí)加載執(zhí)行。360高級(jí)威脅研究院在2024年捕獲到的響尾蛇最新攻擊組件均使用了混淆等手段對(duì)抗殺毒軟件檢測(cè)。圖②圖①：APT-C-35（肚腦蟲）組織攻擊流程示意圖圖②：APT-C-24（響尾蛇）組織攻擊流程示意圖P039PART022024年各地區(qū)活躍APT組織分析APT-C-56（透明部落）APT-C-56（透明部落）組織長期針對(duì)周邊國家和地區(qū)，特別是印度方向的政治、軍事等目標(biāo)展開定向攻擊。具備Windows、Android和Linux多平臺(tái)攻擊的能力。2024年APT-C-56（透明部落）組織繼續(xù)利用基于XploitSPY構(gòu)建的定制Android遠(yuǎn)程訪問木馬（RAT）Lazaspy在Android平臺(tái)展開攻擊活動(dòng)。攻擊者通過使用WhatsApp等社交軟件直接傳輸APK安裝包給受害者，偽裝成“Aadhaar”、“訓(xùn)練照片”、“學(xué)生簡(jiǎn)介”等程序。樣本啟動(dòng)會(huì)在后臺(tái)開啟服務(wù)，與C2服務(wù)器進(jìn)行通信，接收服務(wù)器遠(yuǎn)控指令[5]。圖①近期APT-C-56（透明部落）組織攻擊活動(dòng)中，攻擊者使用的ElizaRAT組件利用Google、Telegram、Slack等云服務(wù)進(jìn)行C2通信，同時(shí)ElizaRAT組件還被發(fā)現(xiàn)釋放ApoloStealer組件竊取用戶機(jī)器中指定文件類型敏感文件。除此之外APT-C-56（透明部落）組織還在攻擊活動(dòng)中使用了一款USB文件竊取載荷，用于對(duì)計(jì)算機(jī)可移動(dòng)設(shè)備的文件進(jìn)行掃描和竊取。圖②圖①：APT-C-56（透明部落）組織使用的仿冒應(yīng)用程序截圖圖②：APT-C-56（透明部落）組織攻擊流程示意圖P0402024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT5東歐2024年，隨著國際間不同勢(shì)力持續(xù)介入，俄烏沖突進(jìn)入相持階段，東歐地區(qū)網(wǎng)絡(luò)空間對(duì)抗也已成為地區(qū)沖突的重要組成部分。東歐地區(qū)背景的APT-C-13（Sandworm）、APT-C-20（APT28）、APT-C-25（APT29）等APT組織通過網(wǎng)絡(luò)空間的攻擊行為，不僅在情報(bào)竊取、信息傳播、輿論引導(dǎo)方面發(fā)揮重要作用，甚至部分組織在攻擊活動(dòng)中針對(duì)基礎(chǔ)設(shè)施進(jìn)行破壞。相對(duì)于歷史攻擊趨勢(shì)，在2024年以破壞為主的攻擊占比逐漸降低，而以持久化、后門程序?yàn)榇淼拈g諜活動(dòng)和情報(bào)收集相關(guān)的攻擊占比增多。P041PART022024年各地區(qū)活躍APT組織分析APT-C-13（Sandworm）APT-C-13（Sandworm）組織在2024年持續(xù)活躍。APT-C-13（Sandworm）組織對(duì)東歐，特別是烏克蘭地區(qū)目標(biāo)，發(fā)動(dòng)了多起針對(duì)性的網(wǎng)絡(luò)攻擊，攻擊活動(dòng)中使用了供應(yīng)鏈攻擊、破壞性網(wǎng)絡(luò)攻擊等手段。攻擊重點(diǎn)為電信、能源、供水、供熱等關(guān)鍵基礎(chǔ)設(shè)施，旨在造成破壞、收集情報(bào)，部分攻擊活動(dòng)還影響到烏克蘭軍隊(duì)相關(guān)設(shè)施。2023年12月12日，烏克蘭寬帶互聯(lián)網(wǎng)提供商和移動(dòng)網(wǎng)絡(luò)運(yùn)營商Kyivstar的網(wǎng)絡(luò)服務(wù)突然中斷，對(duì)烏克蘭的經(jīng)濟(jì)和社會(huì)造成了大范圍影響。烏克蘭國家安全局（SBU）在隨后的調(diào)查發(fā)現(xiàn)：此次攻擊是由APT-C-13（Sandworm）組織發(fā)起。攻擊者可能通過網(wǎng)絡(luò)釣魚、惡意軟件或內(nèi)部協(xié)助等多種手段滲透到Kyivstar內(nèi)部網(wǎng)絡(luò)。攻擊者在入侵系統(tǒng)后，使用竊取密碼哈希的惡意軟件，幾乎摧毀了所有關(guān)鍵虛擬服務(wù)器和個(gè)人電腦，造成了“災(zāi)難性”破壞，旨在通過對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的破壞來進(jìn)行心理打擊和收集情報(bào)。該起攻擊活動(dòng)是首次目標(biāo)針對(duì)“完全摧毀電信運(yùn)營商核心”的破壞性網(wǎng)絡(luò)攻擊[6]。圖：?絡(luò)運(yùn)營商Kyivstar遭?絡(luò)攻擊相關(guān)報(bào)道P0422024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-20（APT28）APT-C-20（APT28）組織一直被安全廠商認(rèn)定具有軍方情報(bào)機(jī)構(gòu)背景。該組織最早的攻擊活動(dòng)可以追溯到2004年至2007年之間。2024年，APT-C-20（APT28）組織在攻擊活動(dòng)中使用了復(fù)雜且多樣化的攻擊手段，通過一系列技戰(zhàn)術(shù)演進(jìn)，對(duì)多個(gè)國家和行業(yè)目標(biāo)實(shí)施廣泛的網(wǎng)絡(luò)攻擊。攻擊目標(biāo)主要集中在烏克蘭，同時(shí)還影響到西歐、北美、中亞和東亞等多個(gè)地區(qū)。所針對(duì)行業(yè)包括：政府和軍事部門、教育機(jī)構(gòu)、運(yùn)輸行業(yè)、金融行業(yè)、醫(yī)療行業(yè)等。APT-C-20（APT28）組織攻擊手段復(fù)雜多樣，我們?cè)趯?duì)APT28的持續(xù)跟蹤過程中發(fā)現(xiàn)，該組織首先向目標(biāo)用戶發(fā)送精心構(gòu)造的釣魚郵件，郵件正文通常包含指向惡意壓縮文件的鏈接。一旦用戶下載并打開壓縮文件，HeadlaceDropper會(huì)使用一些偽裝手段誘導(dǎo)用戶執(zhí)行惡意鏈接。在某些情況下，攻擊者還會(huì)利用DLL劫持技術(shù)，在用戶打開合法應(yīng)用時(shí)加載HeadlaceDropper。HeadlaceDropper執(zhí)行時(shí)會(huì)釋放功能更加強(qiáng)大的Headlace后門程序。該后門程序能夠在受害者的系統(tǒng)上執(zhí)行各種惡意操作，如竊取敏感信息、下載額外的惡意組件等，最終實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的長期控制。圖：APT-C-20（APT28）組織攻擊流程示意圖P043PART022024年各地區(qū)活躍APT組織分析圖①圖②圖①：APT28組織使用的誘餌文檔截圖圖②：APT-C-20（APT28）組織使用的釣魚網(wǎng)頁截圖P0442024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-25（APT29）APT-C-25（APT29）組織是一個(gè)有充足資源的網(wǎng)絡(luò)間諜組織，一直以來主要針對(duì)政府機(jī)構(gòu)、外交機(jī)構(gòu)等外事相關(guān)目標(biāo)。2024年APT-C-25（APT29）組織在其廣泛的攻擊活動(dòng)中使用了多個(gè)惡意軟件并開發(fā)了新的惡意組件和變種。2024年2月底，APT-C-25（APT29）組織使用名為Wineloader的新后門變體，對(duì)某德國政黨進(jìn)行了攻擊。攻擊者首先向目標(biāo)發(fā)送偽裝成德國基督教民主聯(lián)盟（CDU）晚宴邀請(qǐng)的釣魚郵件，郵件誘餌文件包含指向惡意ZIP文件的釣魚鏈接，誘導(dǎo)用戶下載“CDU晚宴邀請(qǐng)”主題誘餌文檔和下一階段的Wineloader載荷[7]。2024年10月，APT-C-25（APT29）組織進(jìn)行了一次大規(guī)模的釣魚活動(dòng)，使用Microsoft、AmazonWebServices和零信任概念相關(guān)的社工誘餌，向數(shù)十個(gè)國家的政府機(jī)構(gòu)、高等教育機(jī)構(gòu)、國防和非政府組織的數(shù)千名用戶發(fā)送針對(duì)性網(wǎng)絡(luò)釣魚郵件，郵件中包含使用LetsEncrypt證書簽名的遠(yuǎn)程桌面協(xié)議（RDP）配置文件，通過配置文件可以將本地系統(tǒng)功能和資源擴(kuò)展到遠(yuǎn)程控制服務(wù)器[8]。圖：APT-C-25（APT29）組織使用的誘餌示例P045PART022024年各地區(qū)活躍APT組織分析APT-C-29（Turla）APT-C-29（Turla）組織的攻擊目標(biāo)遍及全球多個(gè)國家，攻擊對(duì)象涉及政府、外交、軍事、教育、研究和醫(yī)療等多個(gè)領(lǐng)域，因開展水坑攻擊和魚叉式網(wǎng)絡(luò)釣魚攻擊以及利用定制化的惡意軟件而聞名。在2024年，APT-C-29（Turla）組織攻擊了歐洲和中東的政府和外交機(jī)構(gòu)，主要包括烏克蘭、波蘭以及阿塞拜疆等國家，同時(shí)還入侵了SideCopy組織的基礎(chǔ)設(shè)施。他們還針對(duì)南亞地區(qū)的政府機(jī)構(gòu)展開攻擊，特別是阿富汗和印度的外交部、情報(bào)機(jī)構(gòu)及國防相關(guān)公司，意圖進(jìn)行情報(bào)收集。2024年2月，網(wǎng)絡(luò)安全機(jī)構(gòu)捕獲了APT-C-29（Turla）組織的新后門程序“TinyTurlaNG”,其編碼風(fēng)格和功能實(shí)現(xiàn)方面與APT-C-29（Turla）先前披露的植入物TinyTurla相似。同時(shí)還發(fā)現(xiàn)該組織外傳密碼數(shù)據(jù)庫的關(guān)鍵信息的PowerShell攻擊腳本,用于進(jìn)行有計(jì)劃地竊取登錄憑據(jù)。在攻擊行動(dòng)中，APT-C-29（Turla）使用WordPress構(gòu)建的網(wǎng)站作為命令和控制端點(diǎn)（C2）[9]。圖：APT-C-29（Turla）組織感染鏈?zhǔn)疽鈭DP0462024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORTAPT-C-53（Gamaredon）APT-C-53（Gamaredon）組織至少從2013年開始活躍，主要針對(duì)烏克蘭的政府、國防、外交、新聞媒體等發(fā)起網(wǎng)絡(luò)間諜行動(dòng)。2024年，APT-C-53（Gamaredon）組織依舊以烏克蘭為主要目標(biāo)，攻擊其政府軍事等重要機(jī)構(gòu)。涉及的主要行業(yè)包括政府部門、軍事部門、民生部門、警察部門。我們對(duì)APT-C-53（Gamaredon）組織的幾種常見攻擊手段進(jìn)行了深入分析。通過詳細(xì)研究，我們發(fā)現(xiàn)該組織持續(xù)采用多種復(fù)雜的技術(shù)和策略，包括使用惡意LNK文件、XHTML文件以及復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)。圖：APT-C-53（Gamaredon）組織攻擊流程示意圖P047PART022024年各地區(qū)活躍APT組織分析APT-C-46（Luhansk）APT-C-46（Luhansk）組織的攻擊活動(dòng)至少可以追溯到2014年，曾大量通過網(wǎng)絡(luò)釣魚、水坑攻擊等方式針對(duì)烏克蘭政府機(jī)構(gòu)進(jìn)行攻擊，在其過去的攻擊活動(dòng)中曾使用過開源QuasarRAT和VERMIN等惡意軟件，主要目的是竊取目標(biāo)的音頻和視頻，竊取密碼，獲取機(jī)密文件等等。2024年，APT-C-46（Luhansk）組織主要以烏克蘭為主要目標(biāo)，攻擊其政府軍事等設(shè)施。APT-C-46（Luhansk）組織在攻擊活動(dòng)中使用涉及戰(zhàn)俘主題的電子郵件，發(fā)送帶有惡意的CHM文件的壓縮包。受害者在點(diǎn)擊CHM文件時(shí)會(huì)執(zhí)行混淆的powershell代碼。此代碼旨在計(jì)算機(jī)上下載惡意程序SPECTR（用于竊取文檔、屏幕截圖、互聯(lián)網(wǎng)瀏覽器數(shù)據(jù)等）、FIRMACHAGENT程序（用于將竊取的數(shù)據(jù)上傳到管理服務(wù)器），進(jìn)而創(chuàng)建計(jì)劃任務(wù)以啟動(dòng)協(xié)調(diào)器“IDCLIPNET_x86.dll”和FIRMACHAGENT，通過這一系列的操作，達(dá)到竊取受害者信息的目的。圖：APT-C-53（Gamaredon）組織使用的釣魚郵件截圖P0482024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT7中東2024年，巴以沖突持續(xù)，紅海危機(jī)緊張升級(jí)，一系列地緣沖突事件使中東地區(qū)局勢(shì)愈加錯(cuò)綜復(fù)雜。中東地區(qū)網(wǎng)絡(luò)空間的攻防對(duì)抗也成為地區(qū)沖突的主要延伸。APT-C-23（雙尾蝎）、APT-C-51（APT35）等活躍在該地區(qū)網(wǎng)絡(luò)空間的APT組織成為不同政治勢(shì)力博弈的重要工具。P049PART022024年各地區(qū)活躍APT組織分析APT-C-23（雙尾蝎）APT-C-23（雙尾蝎）組織一直以來具備Windows與Android雙平臺(tái)的攻擊能力，以竊取巴勒斯坦境內(nèi)相關(guān)目標(biāo)的敏感數(shù)據(jù)為主要目的。2024年，APT-C-23（雙尾蝎）組織主要仿冒應(yīng)用程序和偽造政府服務(wù)釣魚網(wǎng)站，并配合社會(huì)工程學(xué)手段展開攻擊活動(dòng)。攻擊者通過向巴勒斯坦相關(guān)目標(biāo)投遞虛假即時(shí)通訊軟件、民事登記、招聘等APK軟件下載網(wǎng)站，誘使目標(biāo)人群下載并安裝后門程序AridSpy。AridSpy偵聽器監(jiān)視設(shè)備使用情況，設(shè)備使用過程中可控制前置攝像頭進(jìn)行拍照，竊取受害用戶手機(jī)中的聯(lián)系人、通話記錄等敏感信息。此外，APT-C-23（雙尾蝎）組織還通過偽造以色列國家網(wǎng)絡(luò)局（INCD）電子郵件向目標(biāo)人群投遞wiper數(shù)據(jù)擦除軟件。圖：APT-C-23（雙尾蝎）組織使用的釣魚網(wǎng)站頁面截圖P0502024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT圖：APT-C-23（雙尾蝎）組織攻擊流程示意圖P051PART022024年各地區(qū)活躍APT組織分析APT-C-51（APT35）APT-C-51（APT35）組織在2024年的攻擊活動(dòng)中，更加注重通過社會(huì)工學(xué)手段對(duì)記者、研究人員以及對(duì)伊朗感興趣的組織或個(gè)人等展開定向攻擊，以竊取高價(jià)值目標(biāo)的敏感信息。攻擊者向目標(biāo)投遞偽造的招聘網(wǎng)站、伊朗研究所網(wǎng)站以及哈馬斯與以色列相關(guān)內(nèi)容誘餌文檔，誘導(dǎo)用戶下載以及運(yùn)行惡意程序。APT35組織在近期的攻擊活動(dòng)中使用了新型后門軟件MediaPl。MediaPl偽裝成WindowsMediaPlayer程序的MediaPl.dll。WindowsMediaPlayer使用時(shí)，MediaPl會(huì)被執(zhí)行，從而竊取受害者機(jī)器敏感信息。圖①圖②圖①：APT-C-51（APT35）組織使用的釣魚郵件截圖圖②：APT-C-51（APT35）組織攻擊流程示意圖P0522024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT8南美2024年南美地區(qū)主要活躍APT組織為APT-C-36（盲眼鷹）。APT-C-36（盲眼鷹）組織主要針對(duì)南美地區(qū)目標(biāo)人群及團(tuán)體進(jìn)行魚叉釣魚郵件攻擊，并在攻擊活動(dòng)中不斷完善自身攻擊手段。APT-C-36（盲眼鷹）2024年，APT-C-36（盲眼鷹）組織嘗試在攻擊鏈中添加AsyncRAT、njRAT等多種開源后門程序[10]，并更換不同的誘餌文件類型執(zhí)行鏈，在攻擊活動(dòng)中引入對(duì)抗分析的代碼。APT-C-36（盲眼鷹）組織在2024年上半年的攻擊活動(dòng)中首次使用GitHub存儲(chǔ)惡意腳本以及壓縮文件，用于攻擊活動(dòng)中進(jìn)行惡意載荷下發(fā)。該組織還在攻擊活動(dòng)中偽造銀行、金融機(jī)構(gòu)、司法機(jī)構(gòu)、政府機(jī)構(gòu)相關(guān)郵件，向哥倫比亞、墨西哥以及厄瓜多爾地區(qū)目標(biāo)人群及機(jī)構(gòu)大規(guī)模投遞，進(jìn)行釣魚攻擊。圖：APT-C-36（盲眼鷹）組織使用的壓縮的惡意腳本截圖P053PART022024年各地區(qū)活躍APT組織分析圖①圖②圖①：APT-C-36（盲眼鷹）組織使用的釣魚郵件截圖圖②：APT-C-36（盲眼鷹）組織使用的釣魚郵件截圖PART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)P054P061057政府機(jī)構(gòu)、教育依舊是APT組織攻擊重點(diǎn)方向058針對(duì)國防軍工的網(wǎng)絡(luò)攻擊在地區(qū)沖突中角色升級(jí)059科研是APT組織背后勢(shì)力關(guān)注的重點(diǎn)領(lǐng)域060針對(duì)汽車制造、新能源領(lǐng)域的攻擊活動(dòng)逐漸顯露061通信電信領(lǐng)域成為APT攻擊新熱點(diǎn)2024

ADVANCEDPERSISTENTTHREATP055PART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)在2024年，全球網(wǎng)絡(luò)安全機(jī)構(gòu)披露的APT網(wǎng)絡(luò)攻擊活動(dòng)中，政府機(jī)構(gòu)、國防軍工、信息技術(shù)、教育、金融是最受關(guān)注的5個(gè)行業(yè)。根據(jù)360全網(wǎng)安全大腦監(jiān)測(cè)，APT組織對(duì)我國攻擊活動(dòng)最為集中的5個(gè)行業(yè)為政府機(jī)構(gòu)、教育、科研、國防軍工和交通運(yùn)輸。APT組織針對(duì)特定行業(yè)的攻擊，通常實(shí)施竊取敏感數(shù)據(jù)，甚至戰(zhàn)略性破壞，用以服務(wù)于攻擊者背后勢(shì)力的政治、軍事或經(jīng)濟(jì)等目的。例如，針對(duì)政府機(jī)構(gòu)的攻擊活動(dòng)，聚焦于竊取政策方針、核心數(shù)據(jù)等關(guān)鍵信息；針對(duì)國防軍工領(lǐng)域的攻擊活動(dòng)，主要為竊取前沿軍工科技、軍事情報(bào)甚至控制或破壞軍事設(shè)施；針對(duì)金融、科技、能源等行業(yè)，它們旨在獲取關(guān)鍵數(shù)據(jù)、關(guān)鍵技術(shù)或破壞關(guān)鍵基礎(chǔ)設(shè)施。P0562024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT其他行業(yè)

7%醫(yī)療衛(wèi)生

3%政府32%科研能源4%4%交通運(yùn)輸

5%制造金融教育7%7%7%信息技術(shù)

7%國防軍工17%圖①其他行業(yè)

8%醫(yī)療衛(wèi)生

2%政府

33%能源3%信息技術(shù)

3%供應(yīng)商制造3%5%交通運(yùn)輸

6%國防軍工

8%科研9%教育

20%圖②圖①：2024年全球范圍安全廠商披露APT攻擊影響行業(yè)分布TOP10圖②：2024年我國受APT攻擊影響單位行業(yè)分布TOP10P057PART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)1政府機(jī)構(gòu)、教育依舊是APT組織攻擊重點(diǎn)方向政府機(jī)構(gòu)一直以來都是APT組織重點(diǎn)攻擊方向。以APT-C-01（毒云藤）、APT-C-08（蔓靈花）、APT-C-00（海蓮花）等為代表的APT組織，長期對(duì)我國各級(jí)政府職能部門開展網(wǎng)絡(luò)滲透攻擊。2024年，我國舉辦和參與了多個(gè)具有廣泛影響力的國際峰會(huì)，我們監(jiān)測(cè)發(fā)現(xiàn)：在重大會(huì)議前后，APT-C-08（蔓靈花）組織對(duì)我國外交機(jī)構(gòu)、駐外使館和駐外經(jīng)濟(jì)貿(mào)易合作相關(guān)單位的攻擊活躍。外交和駐外使館相關(guān)單位掌握著國家間政治、經(jīng)濟(jì)、科技、軍事等方向的最新策略，攻擊者針對(duì)外交相關(guān)單位的攻擊活動(dòng)是為其背后的政治勢(shì)力竊取我國最新外交策略以及對(duì)重大國際問題的立場(chǎng)，以求在博弈中掌握主動(dòng)。APT-C-01（毒云藤）和APT-C-00（海蓮花）組織也在2024年針對(duì)我國多個(gè)地區(qū)的政府機(jī)構(gòu)展開集中釣魚攻擊，在其針對(duì)的目標(biāo)地區(qū)內(nèi)造成大范圍影響。針對(duì)我國教育相關(guān)單位的攻擊活動(dòng)主要來自于APT-C-01（毒云藤）、APT-C-08（蔓靈花）、APT-C-09（摩訶草）、APT-C-00（海蓮花）等組織。受攻擊影響的高等院校，大部分具有航空、軍工背景或者承接相關(guān)國家科研課題，攻擊者目的實(shí)際上針對(duì)的是我國國防軍工和科技發(fā)展。我們通過對(duì)相關(guān)攻擊活動(dòng)監(jiān)測(cè)發(fā)現(xiàn)：多個(gè)被攻擊高校存在被集中攻擊、多臺(tái)終端被滲透的現(xiàn)象。例如，我們對(duì)APT-C-48（CNC）組織的攻擊活動(dòng)進(jìn)行分析發(fā)現(xiàn)：攻擊者針對(duì)高校網(wǎng)絡(luò)環(huán)境的特點(diǎn)，不僅使用偽裝成“XX簡(jiǎn)歷”的誘餌文檔，還采用U盤擺渡的方式傳播攻擊組件，有效地增加了攻擊組件在高校和科研機(jī)構(gòu)終端間的傳播，擴(kuò)大了攻擊成果。這顯示出攻擊者針對(duì)我國高校的攻擊活動(dòng)通過社會(huì)工程學(xué)手段，精心設(shè)計(jì)攻擊方案。P0582024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT2針對(duì)國防軍工的網(wǎng)絡(luò)攻擊在地區(qū)沖突中角色升級(jí)2024年，我國在國防軍工領(lǐng)域取得了舉世矚目的成就：新一代戰(zhàn)機(jī)試飛、高超音速武器研發(fā)、先進(jìn)驅(qū)逐艦與潛艇投入使用，提升了我國戰(zhàn)略威懾能力。同時(shí)境外APT組織對(duì)我國國防軍工領(lǐng)域的網(wǎng)絡(luò)滲透攻擊和竊密也處于活躍態(tài)勢(shì)。由于現(xiàn)代工業(yè)領(lǐng)域的供應(yīng)鏈較長，攻擊者通過前期對(duì)國防軍工相關(guān)供應(yīng)鏈的攻擊，能夠在攻擊上游為后續(xù)展開的攻擊活動(dòng)提前部署和潛伏，將對(duì)集采和供應(yīng)商的攻擊作為攻擊國防軍工目標(biāo)的跳板。這些機(jī)構(gòu)之所以成為APT組織關(guān)注的目標(biāo)，與其參與的國防軍工項(xiàng)目中能夠獲取到客戶相關(guān)的敏感信息和訪問權(quán)限有很大關(guān)系。2024年，周邊地區(qū)APT組織針對(duì)我國國防軍工領(lǐng)域的攻擊活動(dòng)，主要圍繞國防軍工相關(guān)的航空工業(yè)、航天工業(yè)、船舶工業(yè)、兵器工業(yè)等相關(guān)目標(biāo)展開。其中南亞地區(qū)的APT-C-09（摩訶草）和APT-C-48（CNC）組織，主要針對(duì)具有國防軍工背景的重點(diǎn)高校和科研院所；南亞地區(qū)另一組織APT-C-08（蔓靈花）以國防軍工相關(guān)科技企業(yè)為主要目標(biāo)；東亞地區(qū)APT-C-01（毒云藤）組織攻擊活動(dòng)主要圍繞國防軍工相關(guān)的科研機(jī)構(gòu)展開?，F(xiàn)代戰(zhàn)爭(zhēng)越來越依賴網(wǎng)絡(luò)和信息技術(shù)。在地區(qū)沖突背景下，針對(duì)國防軍工相關(guān)目標(biāo)的網(wǎng)絡(luò)攻擊，早已不再局限于軍工科技。通過網(wǎng)絡(luò)攻擊不僅能夠刺探軍事情報(bào)、中斷敵方網(wǎng)絡(luò)通信，甚至可以實(shí)現(xiàn)控制軍事設(shè)施、癱瘓敵方指揮控制系統(tǒng)、偽造和傳遞錯(cuò)誤指令。這種能力使得網(wǎng)絡(luò)戰(zhàn)成為現(xiàn)代軍事沖突中不可忽視的一部分。2024年俄烏沖突進(jìn)入相持階段，中東局勢(shì)持續(xù)升溫，上述地區(qū)網(wǎng)絡(luò)空間中圍繞軍事行動(dòng)或者直接以軍事單位展開的網(wǎng)絡(luò)攻擊活動(dòng)屢見不鮮。根據(jù)全球網(wǎng)絡(luò)安全廠商對(duì)俄烏雙方的情報(bào)機(jī)構(gòu)披露：2024年，烏克蘭的國防部、安全部門、軍事機(jī)構(gòu)，以及俄羅斯的國防部門、軍方數(shù)據(jù)中心和部分軍事網(wǎng)站，均不同程度遭受到APT組織的攻擊。攻擊者針對(duì)軍事目標(biāo)的網(wǎng)絡(luò)攻擊活動(dòng)目的，已經(jīng)由沖突初期的以竊取軍事等情報(bào)信息，逐漸升級(jí)到攻擊武器開發(fā)商、電信基礎(chǔ)設(shè)施，摧毀敵方軍事數(shù)據(jù)中心等。P059PART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)3科研是APT組織背后勢(shì)力關(guān)注的重點(diǎn)領(lǐng)域科技創(chuàng)新已經(jīng)成為國家軟實(shí)力與硬實(shí)力的關(guān)鍵支撐，對(duì)國家的經(jīng)濟(jì)、軍事、文化等領(lǐng)域產(chǎn)生直接而深遠(yuǎn)的影響。與之相關(guān)的科研機(jī)構(gòu)一直是具有地緣政治背景的APT組織重點(diǎn)攻擊目標(biāo)。攻擊者對(duì)科研機(jī)構(gòu)的攻擊滲透，其目的從刺探科研發(fā)展進(jìn)度，到竊取科研數(shù)據(jù)、科技成果，甚至進(jìn)一步控制核心設(shè)備，進(jìn)而干擾或破壞正?？蒲羞M(jìn)展。2024年，南亞地區(qū)APT-C-48（CNC）組織對(duì)我國多個(gè)海洋科學(xué)相關(guān)的科研機(jī)構(gòu)進(jìn)行集中攻擊；APT-C-48（摩訶草）組織重點(diǎn)攻擊我國物理科學(xué)、氣象科學(xué)、社會(huì)科學(xué)等多個(gè)領(lǐng)域的科研機(jī)構(gòu)。東南亞地區(qū)APT-C-00（海蓮花）組織除針對(duì)我國海洋科學(xué)相關(guān)科研機(jī)構(gòu)外，還重點(diǎn)攻擊了我國多個(gè)國際戰(zhàn)略和國際關(guān)系研究相關(guān)的科研機(jī)構(gòu)，企圖通過此類科研機(jī)構(gòu)刺探我國在國際關(guān)系和國際戰(zhàn)略上的最新動(dòng)向。北美方向的APT-C-39（CIA）組織，在2024年針對(duì)我國航空、航天、材料科學(xué)等多個(gè)前沿方向的科研機(jī)構(gòu)展開攻擊竊密。P0602024年全球高級(jí)持續(xù)性威脅（APT）研究報(bào)告2024GLOBALADVANCEDPERSISTENTTHREAT(APT)RESEARCHREPORT4針對(duì)汽車制造、新能源領(lǐng)域的攻擊活動(dòng)逐漸顯露2024年6月，北美大型汽車經(jīng)銷商軟件服務(wù)提供商CDKGlobal連續(xù)遭遇兩次網(wǎng)絡(luò)攻擊，導(dǎo)致其汽車經(jīng)銷商客戶軟件平臺(tái)癱瘓，被迫緊急關(guān)閉大部分系統(tǒng)。本次針對(duì)汽車行業(yè)供應(yīng)鏈進(jìn)行的勒索攻擊事件，給全球汽車行業(yè)敲響了警鐘。近年來新能源汽車行業(yè)蓬勃發(fā)展，尤其是我國新能源產(chǎn)業(yè)更是異軍突起，取得了舉世矚目的成就。我國新能源領(lǐng)域的發(fā)展成為全球關(guān)注的焦點(diǎn)，別有用心的攻擊者對(duì)我國新能源企業(yè)和汽車制造相關(guān)產(chǎn)業(yè)鏈的攻擊活動(dòng)逐漸顯露。近幾年，APT-C-00（海蓮花）和APT-C-01（毒云藤）等組織開始將我國新能源汽車領(lǐng)域相關(guān)的科研和制造企業(yè)作為重點(diǎn)目標(biāo)，進(jìn)行長期的網(wǎng)絡(luò)攻擊；2024年，我們還監(jiān)測(cè)到北美方向的APT-C-39（CIA）組織針對(duì)對(duì)我國新能源相關(guān)科技企業(yè)展開攻擊滲透。除了針對(duì)新能源制造企業(yè)的網(wǎng)絡(luò)威脅外，智能網(wǎng)聯(lián)汽車的安全同樣不容忽視。新能源汽車不斷向智能化、網(wǎng)聯(lián)化、自動(dòng)化方向發(fā)展。智能汽車不僅掌握車主個(gè)人數(shù)據(jù)，還存儲(chǔ)著車輛行駛軌跡、環(huán)境感知、實(shí)時(shí)影像等數(shù)據(jù)。智能汽車依賴的車載系統(tǒng)和大量軟硬件，為攻擊者提供了更為廣泛的暴露面。這些數(shù)據(jù)一旦被攻擊者竊取，輕則侵犯?jìng)€(gè)人隱私，重則危害公共利益，甚至國家安全。智能汽車的制造和生產(chǎn)要把好系統(tǒng)和軟硬件全產(chǎn)業(yè)鏈的安全關(guān)，不留漏洞，不給攻擊者可乘之機(jī)。P061PART03重點(diǎn)行業(yè)APT威脅態(tài)勢(shì)5通信電信領(lǐng)域成為APT攻擊新熱點(diǎn)通信電信行業(yè)是信息傳遞與交流的基礎(chǔ)，是信息化和數(shù)字化社會(huì)發(fā)展的關(guān)鍵基礎(chǔ)設(shè)施。大數(shù)據(jù)、云計(jì)算、人工智能等技術(shù)的發(fā)展都離不開通信電信基礎(chǔ)設(shè)施的支撐和保障。同時(shí)通訊電信行業(yè)還掌握著大量基礎(chǔ)用戶的信息，一旦遭受網(wǎng)絡(luò)攻擊，不僅會(huì)導(dǎo)致大規(guī)模網(wǎng)絡(luò)中斷，可能導(dǎo)致海量用戶數(shù)據(jù)泄露，對(duì)國家經(jīng)濟(jì)和社會(huì)生活造成嚴(yán)重影響。APT組織逐漸將通信電信領(lǐng)域目標(biāo)作為攻擊活動(dòng)的重點(diǎn)方向。針對(duì)電信行業(yè)的攻擊往往涉及以下主要攻擊方向：（1）電信基礎(chǔ)設(shè)施：對(duì)電信基礎(chǔ)設(shè)施的攻擊可以達(dá)到批量數(shù)據(jù)竊取、破壞電信基礎(chǔ)設(shè)施等目的。（2）網(wǎng)絡(luò)設(shè)備入侵：通過設(shè)備入侵攻擊者可以實(shí)現(xiàn)竊取目標(biāo)受害者的通聯(lián)信息，甚至可以將目標(biāo)流量引導(dǎo)到攻擊者設(shè)置的設(shè)備或服務(wù)上。（3）基礎(chǔ)軟件攻擊：攻擊者通過利用基礎(chǔ)軟件的漏洞，使用偽造的證書或加密算法替換掉合規(guī)加解密程序，進(jìn)行網(wǎng)絡(luò)竊聽。2023年底，烏克蘭最大的移動(dòng)網(wǎng)絡(luò)運(yùn)營商Kyivstar遭受攻擊，網(wǎng)絡(luò)服務(wù)中斷持續(xù)了數(shù)日，對(duì)烏克蘭社會(huì)和經(jīng)濟(jì)造成大范圍影響。烏克蘭國家安全局（SBU）在隨后的調(diào)查發(fā)現(xiàn)：此次攻擊是由APT組織Sandworm發(fā)起，攻擊者使用了竊取密碼哈希的惡意軟件，幾乎摧毀了所有關(guān)鍵的虛擬服務(wù)器和個(gè)人電腦，造成了“災(zāi)難性”破壞，旨在心理打擊和收集情報(bào)。此次攻擊活動(dòng)被認(rèn)為是自俄烏沖突以來，首次發(fā)生的“完全摧毀電信運(yùn)營商核心”的破壞性網(wǎng)絡(luò)攻擊。2024年影響我國通信行業(yè)的攻擊活動(dòng)，主要來源于東南亞地區(qū)的APT-C-00（海蓮花）和南亞地區(qū)的APT-C-09（摩訶草）。受影響單位主要為與通信相關(guān)的信息技術(shù)服務(wù)企業(yè)。PART042024年APT攻擊發(fā)展趨勢(shì)分析P062P069063攻擊活動(dòng)使用的ATT&CK技戰(zhàn)術(shù)TOP20065APT攻擊活動(dòng)0Day和nDay漏洞利用統(tǒng)計(jì)067供應(yīng)鏈攻擊成為APT組織攻擊重點(diǎn)趨勢(shì)068國產(chǎn)化軟件系統(tǒng)成為APT組織攻擊重點(diǎn)069通信設(shè)備成武器，網(wǎng)絡(luò)攻擊形態(tài)多樣化069各國逐漸尋求外交譴責(zé)以外的方式應(yīng)對(duì)APT威脅2024

ADVANCEDPERSISTENTTHREATP063PART042024年APT攻擊發(fā)展趨勢(shì)分析1攻擊活動(dòng)使用TOP20ATT&CK技戰(zhàn)術(shù)360高級(jí)威脅研究院綜合分析了2024年全球安全機(jī)構(gòu)和廠商公開披露的APT攻擊技術(shù)報(bào)告，對(duì)其中符合ATT&CK知識(shí)標(biāo)準(zhǔn)的攻擊活動(dòng)和技戰(zhàn)術(shù)使用情況進(jìn)行統(tǒng)計(jì)，給出了APT組織在2024年攻擊活動(dòng)過程中使用最集中的TOP20ATT&CK技戰(zhàn)術(shù)，同時(shí)與2023年熱點(diǎn)攻擊技戰(zhàn)術(shù)進(jìn)行對(duì)比。熱度變化技術(shù)IDT1566T1059T1027T1105T1071T1204T1053T1082T1036T1547T1041T1070T1574T1055T1140T1190T1056T1083T1573T1057技戰(zhàn)術(shù)名稱（英文）技戰(zhàn)術(shù)名稱（中文）網(wǎng)絡(luò)釣魚（與2023年統(tǒng)計(jì)相比）Phishing↑3CommandandScriptingInterpreter濫用命令和腳本解釋器混淆文件或信息從外部系統(tǒng)轉(zhuǎn)移文件應(yīng)用層協(xié)議↓1↑3↑11↓3↓2↑5↓1↓1↓1-ObfuscatedFilesorInformationIngressToolTransferApplicationLayerProtocolUserExecution誘導(dǎo)用戶執(zhí)行ScheduledTask/Job計(jì)劃任務(wù)SystemInformationDiscoveryMasquerading檢測(cè)操作系統(tǒng)和硬件的信息偽裝BootorLogonAutostartExecution啟動(dòng)或登錄時(shí)自動(dòng)執(zhí)行通過C2通道滲透