《天际友盟:2024年上半年全球主要APT攻击活动报告(24页).pdf》由会员分享,可在线阅读,更多相关《天际友盟:2024年上半年全球主要APT攻击活动报告(24页).pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、双子座实验室2024-072024 年上半年全球主要 APT 攻击活动报告2024 年上半年全球主要 APT 攻击活动报告P3 概述P5 APT 组织攻击数据披露P9 重大 APT 攻击活动P15 总结P15 附录contents目录3概述012024 年上半年,天际友盟持续对 APT 组织及其活动进行追踪总结,总共披露了全球 100 个 APT 组织的 187 起攻击活动,通过对其中出现的威胁组织及 TTP 的具体分析,我们总结出 2024 年上半年 APT 组织活动攻击特点如下:地缘政治类 APT 攻击活动拥有核心地位针对我国的 APT 组织呈现多元化攻击特点APT 组织实力增强,零日漏洞
2、利用率大幅提升从全局来看,2024 年上半年,国际环境愈加复杂,地缘政治紧张局势在一定程度上加速了国家级 APT 组织的崛起与发展。在此期间,俄乌战争和巴以武装对抗持续进行,亚太、中东和欧美三大地区的主要国家普遍拥有更高的科技水平和强大的国家级 APT 组织实力,这些地区间存在长期的政治博弈,因此,地缘政治驱动的 APT 活动在这些区域中占据了核心地位。从攻击国家来看,中国在 2024 年上半年仍然是 APT 组织的首要目标。各 APT 组织也展示了不同的攻击特征和目标。例如,高度活跃的银狐团伙主要借助即时通讯工具、搜索引擎瞄准财务人员;新出现的黑产组织“amdc6766”主要通过供应链投毒针
3、对运维人员;“FaCai”团伙则利用热点事件对国内企事业单位展开定向攻击。此外,还有专门以间谍活动为目的的知名 APT 组织,如印度的“BITTER”和“SideWinder”,通过鱼叉式网络钓鱼和漏洞利用等手段,渗透中国的军事、科研和制造等关键领域。这些多样化的 APT 活动对我国政府、军事、通信等领域网络安全构成了严峻挑战。从 攻 击 手 段 来 看,2024 年 上 半 年,多 个 APT 组 织(如 UAT4356、UTA0178 和 UNC5221)成 功 利 用Microsoft、Aiohttp、Palo Alto Networks 和 Cisco 等知名公司产品的零日漏洞,发起了
4、多起网络攻击。这些攻击不仅展示了攻击者在技术上的成熟度,还反映出 APT 组织的整体实力和技术能力显著增强。42024 年上半年全球主要 APT 攻击活动报告AI 或将与网络钓鱼联系得更加紧密从未来发展来看,随着人工智能(AI)技术在金融、医疗、法律等诸多行业的广泛应用,AI 系统成为了处理大量敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络钓鱼等手段,获取对 AI 系统的访问权限,以便进一步窃取或操控关键信息。已经发现有组织如 UNK_SweetSpecter 组织利用了与 AI 相关的主题作为诱饵邮件,针对美国 AI 研究机构投递 Sugar
5、Gh0st RAT。此外,AI 技术本身也在被用于增强网络钓鱼攻击的效果。随着技术的发展,未来网络钓鱼攻击与 AI 技术的结合可能会成为一个新兴趋势。这意味着黑客可能会利用 AI 来优化钓鱼邮件的个性化程度,或者使用 AI 生成的深度伪造技术(deepfake)来模拟真实的人物或场景,以此欺骗目标人群。5APT 组织攻击数据披露02天际友盟根据自有平台 RedQueen 中记录的 187 起 APT 攻击事件(主要涵盖知名组织及有影响力的攻击),对2024 年上半年 APT 组织攻击数据进行披露如下:2.1 Top10 活跃组织2024 年上半年 TOP 10 活跃 APT 组织统计如下:Ki
6、msukyAPT44APT28LazarusTransparent Tribeamdc6766APT37KonniTurlaFIN7Charming KittenMuddyWater银狐图 1 2024 年上半年 TOP 10 活跃 APT 组织图 1 显示,2024 年上半年,朝鲜 APT 团伙 Kimsuky 在攻击频率上位居榜首,重点攻击中国财务人员的银狐团伙势头正猛,依然稳坐第二名,另外一个朝鲜组织Lazarus活动频率显著下降,相反俄罗斯APT28组织活动明显增多,两者并列第三。较 2023 年而言,巴基斯坦 Transparent Tribe 组织活动有所增加,现排名第四。此外,新
7、兴黑产团伙 amdc6766 也开始崭露头角,对软件供应链行业构成巨大威胁。62024 年上半年全球主要 APT 攻击活动报告2.2 Top10 攻击目标2.3 Top10 攻击行业2024 年上半年 APT 组织攻击的目标国家 TOP 10 统计如下:2024 年上半年 APT 组织攻击的目标行业 TOP 10 统计如下:根据图 2 数据显示,2024 年上半年我国继续成为 APT 攻击的首要目标国,俄罗斯和美国并列第二,印度和韩国地区的排名有所上升,升至第三位。与此同时,乌克兰和以色列因各自持续的战争状态,目前排名第四。从整体分布来看,APT 活动依旧集中在亚太、中东和欧美三大地区,这表明
8、地缘政治的影响在网络空间中仍然非常显著。中国通信及软件信息技术服务社会组织日本美国印度政府俄罗斯韩国国防军工金融乌克兰以色列教育与科研白俄罗斯制造业能源交通运输波兰巴基斯坦缅甸图 2 2024 年上半年 TOP 10 APT 组织攻击目标图 3 2024 年上半年 APT 事件攻击行业分布 TOP 1072.4 主要攻击手段根据图 3 数据发现,涉及通信和软件信息技术行业的攻击事件占比为 25.33%,其次政府和国防军工部门分别占比 17.90%和 12.66%。相较于 2023 年,金融攻击事件有所增加,占比 9.17%,升至第四位。厂商(漏洞数)针对系统、组件或服务漏洞号Microsoft
9、(5)365_apps,Office,OutlookCVE-2023-23397Windows、Windows ServerCVE-2024-21412CVE-2022-38028CVE-2024-21338OfficeCVE_2017_11882Ivanti(2)Connect_secure,Policy_secure,Neurons_for_zero-trust_accessCVE-2024-21893Connect_secure,Policy_secureCVE-2023-46805Rarlab(1)WinrarCVE-2023-38831PHP,Fedoraproject(1)php,
10、fedoraCVE-2024-4577钓鱼攻击水坑攻击僵尸网络木马后门鱼叉式网络钓鱼漏洞利用供应链攻击社会工程学勒索软件图 4 2024 年上半年 APT 组织主要攻击手段2024年上半年APT组织主要攻击手段统计如下:图 4 显示,APT 组织依旧采用木马后门、钓鱼攻击和漏洞利用作为主要攻击手段。不过,相较上半年而言,供应链攻击和社会工程学活动明显增多。表 1 详细列出了 2024 年上半年 APT 组织最频繁利用的漏洞,以及它们所针对的厂商和软件产品。82024 年上半年全球主要 APT 攻击活动报告厂商(漏洞数)针对系统、组件或服务漏洞号Oracle(1)Weblogic_serverC
11、VE-2017-3506Cisco(1)Adaptive_security_appliance_software,Firepower_threat_defenseCVE-2024-20353Paloaltonetworks(1)Pan-osCVE-2024-3400Connectwise(1)ScreenconnectCVE-2024-1709Igniterealtime(1)OpenfireCVE-2023-32315Aiohttp,Fedoraproject(1)Aiohttp,FedoraCVE-2024-233342024 年上半年,软件供应链的安全形势依然严峻。根据表一的数据,APT
12、 组织主要通过利用知名软件厂商产品中的漏洞,尤其是零日漏洞,作为入侵目标系统的主要手段。具体而言,微软公司的 Office 套件和 Windows 操作系统是首要攻击目标。APT 组织频繁利用这些软件中的未修复漏洞,进行各类复杂的攻击活动。此外,Ivanti 公司的产品也成为 APT 组织高度关注的另一个重要攻击目标,其多款产品频繁遭受攻击。为了提升攻击成功率,APT 组织往往结合社会工程学手段,精心设计钓鱼邮件和恶意文档,诱使用户点击和执行恶意代码,从而实现对系统的全面控制。表 1 2024 年上半年 APT 组织最常用漏洞利用列表9重大 APT 攻击活动033.1 地缘政治活动2024 年
13、上半年,全球网络空间安全形势日益复杂,国家级 APT 攻击呈现出前所未有的严峻态势。这些攻击行为通常由一个或多个国家提供支持,拥有充足的资金、先进的技术和高素质的人才队伍。攻击者能够利用复杂的技术手段,跨越地理疆界,在虚拟空间中进行精准打击,使得国际网络空间安全成为了一场无声但激烈的较量。这类攻击不仅对国家安全构成重大威胁,还给商业实体和公民个人信息安全带来了巨大挑战。接下来,我们将从地缘政治的角度,重点关注亚太、中东和欧美三大地区的网络安全态势,分析主要国家的 APT 攻击活动特点及其潜在影响。3.1.1 亚太地区亚太地区作为全球经济增长的重要引擎和科技创新的前沿阵地,其复杂的地缘政治格局和
14、快速发展的数字经济环境,使之成为国家级 APT 攻击的重点关注区域。在这一区域,APT 攻击呈现出高度精准、持续性强和战略目标明确的特点,主要针对政府机构、关键基础设施、高新技术企业以及金融机构等高价值目标。在亚太地区,APT 活动的主要目标国家包括但不限于中国、韩国、印度等地区大国和新兴经济体。这些国家由于在地区事务中扮演重要角色,且拥有先进的科技实力,因此成为 APT 攻击的重点目标。3.1.1.1 针对我国我国作为全球第二大经济体,其庞大的市场和复杂的网络环境使其成为 APT 组织的首选目标。攻击活动不仅针对政府、军事、科研、金融,还扩展到通信、建筑、制造等关键基础设施。近期,针对我国的
15、 APT 活动呈现多元化趋势,各组织展现出不同的攻击特征和目标。除了以财务人员为主要目标的银狐团伙,还出现了 amdc6766 新黑产组织,其通过供应链攻击针对运维人员;FaCai 团伙则利用热点事件对国内企事业单位进行定向攻击。同时,以间谍活动为目的的知名 APT 组织,如印度的 BITTER 和 SideWinder,正通过鱼叉式网络攻击和漏洞利用等手段,渗透我国军事、科研和制造等关键领域。这些多元化的 APT 活动对我国网络安全构成严峻挑战。2024 年 1 月,amdc6766 黑产组织利用多种攻击手段,包括仿冒官方软件网站页面(AMH、宝塔、Xshell、Navicat)、供应链投毒
16、(LNMP、OneinStack)和公开 web 漏洞等,针对性地对 IT 运维人员进行攻击。一旦运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具,便会与攻击者的 C2 服务器建立 DNS 隧道连接。通过定向投毒运维部署工具,amdc6766 长期远控低价值主机作为肉鸡,然后择机选择高价值目标进行深度控制。随后下发 Rootkit 和代理工具,伺机从事各类黑产活动,进而给用户造成损失。1 月-6 月,银狐黑产团伙通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接 URL,伪装成知名软件安装包、国家税务总局等方式,通过财务相关以及核酸检测退费等热点事件进行针对性的传播。其攻击对象主要为
17、企业单位中的财务、税务工作人员,其次为教育、电商、货运、设计等行业人员。期间,值得一提的是广州某科技公司开发的一款终端安全管理软件 IP-*ard 还被攻击者灵活打包后进行投放,用作远控工具。1 月中旬,印度 BITTER 组织试图通过鱼叉式钓鱼攻击手段投递 wmRAT 后门程序,以窃取我国军事机密。102024 年上半年全球主要 APT 攻击活动报告1 月末,Blackwood 组织使用名为 NSPX30 的复杂恶意软件对包括中国科研院校、制造、贸易、工程等领域的公司和个人进行网络间谍攻击。通过实施 AitM 攻击,即劫持 WPS Office、腾讯 QQ 即时通讯平台和搜狗拼音文档编辑器等
18、合法软件的更新请求来传播NSPX30恶意软件,同时将拦截NSPX30生成的流量,以隐藏其活动及C2服务器。2 月末,UTG-Q-007 新黑客团伙针对中国等亚洲国家的建筑、房产营销、互联网等多个行业发起攻击并传播ROTbot 木马以窃取加密货币、知识产权、社交账号等敏感数据。3 月,主要针对中国的个人用户实施网络间谍活动的 Daggerfly 组织采用水坑攻击和供应链攻击手段下发伪装为藏语翻译软件的木马安装程序,进一步部署 MgBot 后门以及新型后门 Nightdoor。4月,越南新黑客团伙CoralRaider对包括中国在内的国家发动数据窃取活动。月末,FaCai团伙围绕“违规处罚”、“清
19、明节调休”、“征信黑名单”等关键词命名诱饵文件,对国内企事业单位发起钓鱼攻击,并最终投递 Gh0st 木马。5 月,Timitator 新威胁组织采取鱼叉式钓鱼、历史漏洞利用等方式获取主机初始访问权限,并使用了一种新的由 RUST 语言编写的远控工具对我国的能源、高校、科研机构及军工等行业进行攻击。5 月末,东亚新团伙UTG-Q-010 使用与游戏、AI 相关的内容针对中国用户发起钓鱼攻击。6 月末,印度 SideWinder 组织使用大量新的攻击组件以及可影响 office 2007、2013、2016 等办公软件的历史漏洞 CVE-2017-11882,来窃取对国内高校和政府机构的机密数据
20、。3.1.1.2 针对韩国朝鲜与韩国之间的政治关系依然紧张且不稳定,尽管偶尔存在对话与合作的迹象,但两国之间的深层次分歧和历史遗留问题使得两国关系时常处于紧张状态,军事对峙和外交摩擦持续影响着朝鲜半岛的稳定。两国间发生了一系列网络攻击事件,但目前披露的 APT 事件主要集中于韩国一方。其中,具有朝鲜国家背景的 APT37、Kimsuky、Lazarus 及其子组织(如 Andariel)是主要的攻击力量。它们的攻击目标涵盖了韩国的政府、金融、数字货币领域及学术界,尤其是与朝鲜政治、人权和安全相关的个人和组织。攻击者采用了多种技术手段,包括社会工程学、鱼叉式网络钓鱼、利用云存储服务作为攻击平台、
21、伪装合法软件以及利用合法软件更新机制植入后门等,旨在实现信息窃取、持续性渗透和加密货币挖矿等目的。此外,攻击者不断更新其战术和工具,如开发新的 Linux 后门 Gomir 和能够绕过主流电子邮件服务安全措施的 TRANSLATEXT 扩展,显示出其技术能力的不断提升和对目标的深入了解。1 月,朝鲜 Kimsuky 组织利用伪装为韩国软件公司 SGA 旗下产品安装程序实施窃密行动。同月,该组织利用dropbox 云端针对数字货币或金融领域相关人士。2 月初,朝鲜 APT37 冒充网络研讨会主办方,以“2023 年朝鲜形势评估和 2024 年展望”为活动主题分发ROKRAT 木马,以进行信息收集
22、活动。3 月初,朝鲜 APT37 多次利用朝鲜政治话题诱饵,针对韩国在朝鲜政治主题相关的研究人员下发 ROKRAT 木马以窃取信息。中旬,朝鲜 Lazarus 旗下的 Andariel 组织对韩国企业发起持续性攻击,利用韩国资产管理解决方案安装恶意软件 AndarLoader 和 ModeLoader。3 月末,朝鲜 Kimsuky 组织伪造携带恶意代码的韩国某事业单位的安装程序,下发 Endoor 后门。朝鲜 Konni组织以虚拟货币行业监管条例和法律文档为诱饵向韩国虚拟货币行业参与者投递 AutoIt 恶意脚本。4 月末,朝鲜 Kimsuky 组织在针对韩国的 TutorialRAT 恶意
23、软件活动中,发动鱼叉式网络钓鱼攻击,伪装韩国政策会议、咨询会议、调查问卷、讲座指导等 HTML 页面类型方式,并采取新战术,通过利用合法的 DropBox 云存储作为攻击基地,以逃避威胁监控范围。朝鲜 APT37 通过与朝鲜人权专家相关的钓鱼邮件,投递 RokRat 远控程序。11朝鲜 Kimsuky 组织利用 eScan 防病毒软件的更新机制在大型企业网络上植入后门,并通过 GuptiMiner 恶意软件传播加密货币矿工软件。5 月,Kimsuky 组织使用新 Linux 后门 Gomir 攻击韩国。月末,该组织伪装成在韩国从事朝鲜人权领域工作的公职人员,并试图通过在线好友请求和专用信使来接
24、触主要的朝鲜和安全相关工作人员。Kimsuky 还利用SmallTiger 恶意软件瞄准韩国国防、汽车零部件、半导体制造公司。6 月,朝鲜 Kimsuky 组织部署可绕过 Gmail、Kakao 和 Naver 等多家著名电子邮件服务服务商安全措施的TRANSLATEXT 扩展以重点针对韩国学术界,尤其是参与朝鲜事务相关的政治研究人员。3.1.1.3 针对印度亚洲地区的第三大 APT 攻击活动高发区域无疑是南亚地区。南亚地区的政治对抗则主要集中在印度与巴基斯坦之间,两国目前的政治状况是历史遗留问题、军事对抗、恐怖主义、安全竞争及民族主义情绪交织构成的复杂局面。在此政治背景下,具有巴基斯坦政府背
25、景的 APT 组织如 Transparent Tribe、SideCopy 和 Cosmic Leopard 针对印度发起了多起网络攻击。这些组织采用多种攻击手段,包括通过社交软件传播伪装应用、使用 ZIP 文件和 LNK 附件投递远控木马以及通过恶意网站链接启动复杂感染流程等。攻击行业涵盖了政府、军事、教育等多个关键领域。攻击目的主要是收集情报、窃取数据和进行网络间谍活动。1 月初,具有巴基斯坦政府背景的 Transparent Tribe 组织通过 Whatsapp 等社交应用针对 Android 平台下发伪装成Aadhaar、Training Pics、Student Profile等程
26、序的APK安装包,旨在部署RlmRat的精简版本以攻击印度用户。1 月末,Transparent Tribe 再次通过伪装成聊天软件的恶意样本,并配合远程控制框架 Lazaspy 针对印度军方发起钓鱼攻击,旨在控制受害者设备和采集信息的目的。4 月,巴基斯坦 SideCopy 组织利用包含恶意 LNK 附件的 ZIP 文件针对印度政府投递远控木马。5 月中旬,SideCopy 组织继续瞄准印度大学生,通过包含指向恶意网站的超链接,启动一系列复杂的感染步骤,最终导致 ReverseRat 等恶意软件有效负载的部署。6 月中旬,专注于间谍监视活动的巴基斯坦 Cosmic Leopard 组织持续使
27、用 GravityRAT 和 HeavyLift 恶意软件,针对印度实体发动了一项名为 Operation Celestial Force 新恶意软件活动。3.1.2 中东地区中东地区的 APT 活动与区域内的政治冲突紧密相连。随着巴以冲突的武装对抗持续加剧,以及双方支持者的网络行动主义行为不断升级,网络攻击事件的频率和烈度显著上升。在这一背景下,伊朗的政治立场对中东地区形成了独特的战略格局。伊朗致力于在中东地区建立其政治和战略霸权,并坚决反对美国及其盟国的干预政策。其行动不仅受内部政治和宗教因素的驱动,还与国际关系密切相关。特别是,伊朗长期以来与以色列保持敌对状态,强烈反对以色列在巴勒斯坦问
28、题上的政策。因此,与伊朗国家有关联的 APT 团体,其行动往往深受国家政治利益的驱动。这些组织通常将敌对国家的政府机构和地缘政治竞争对手作为主要攻击目标,利用网络空间进行网络侦察、情报收集及破坏性行动,以期在战略层面获得有利地位。在当前中东复杂多变的政治环境中,这些网络攻击行为无疑加剧了地区的紧张氛围和安全挑战。今年 2 月与哈马斯相关的 APT-C-23 组织通过冒充以色列国家网络管理局(INCD)的电子邮件,诱骗读者下载以 安全补丁 形式出现的适配多系统版本的恶意文件,进而部署 Samecoin 恶意软件。1 月初,伊朗组织 Homeland Justice 发动名为#DestroyDur
29、resMilitaryCamp 的旨在消灭恐怖分子的支持者的活动,利用 No-Justice Windows 擦除器瞄准了阿尔巴尼亚航空、通信、议会等领域,而阿尔巴尼亚都拉斯市正是持不同政见的伊朗人民圣战者组织(MEK)的所在地。122024 年上半年全球主要 APT 攻击活动报告1 月下旬,伊朗 APT35 间谍组织的附属组织对比利时、法国、加沙、以色列、英国以及美国的大学和研究组织中从事中东事务的知名人士发起了攻击,旨在推送后门恶意软件,进而窃取机密信息。2 月末,伊朗 Charming Kitten 创建了一个虚假的网络研讨会门户网站,并通过名为 BASICSTAR 的新型后门对中东政策
30、专家发动了一系列钓鱼攻击。伊朗 UNC1549 瞄准伊朗在内的中东国家的国防、航空航天部门,通过钓鱼攻击传播包含以色列哈马斯相关内容或虚假工作机会的虚假网站链接,最终导致主机下载 MINIBIKE 或 MINIBUS 恶意负载。3 月末,归属于伊朗情报与安全部的 TA450 使用与薪酬有关的诱饵来针对以色列员工。伊朗间谍组织 APT33 通过模仿合法的人力资源软件,利用虚假的工作招聘流程来欺骗美国航空航天的求职者安装 FalseFont 后门。4 月初,在针对哈马斯的 Swords of Iron War 活动期间,伊朗攻击者加大了对以色列私营企业的黑客攻击强度。期间,伊朗 MuddyWate
31、r 组织便使用了一个先前未记录的 C2 框架:DarkBeatC2。4月末,伊朗MuddyWater瞄准了以色列、印度、阿莱格里亚、土耳其等国家的航空、IT、电信、制药、物流等领域,通过合法 Atera Agent 远控工具获取了初始访问权限。5 月初,代表伊斯兰革命卫队情报组织(IRGC-IO)运作的伊朗 Charming Kitten 使用增强的社会工程学策略访问受害者网络(包括云环境),目标是西方和中东非政府组织、媒体、学术界、法律服务机构和人权活动家。3.1.3 欧美地区欧美地区作为全球政治经济的核心枢纽,始终是 APT 攻击的主要舞台。这些攻击活动主要集中在情报搜集、政治干预和侦察领
32、域,具有高度的战略性和复杂性。在这一地区,APT 攻击活动主要涉及对乌克兰和美国的网络攻击。攻击者的目标包括窃取敏感的政治情报、破坏关键基础设施,以及对金融市场实施操控性干预。这些攻击不仅威胁到国家安全,还可能对经济稳定和政治局势产生深远影响。具体而言,针对乌克兰的攻击多集中于获取有关政治和军事的情报,以支持相关国家的地缘政治目标。而针对美国的攻击则涉及更广泛的领域,包括破坏金融市场稳定以及对关键基础设施的潜在威胁。3.1.3.1 针对乌克兰2024 年上半年,由俄罗斯国家支持的多个 APT 组织(如 Calisto、Winter Vivern、APT28 和 APT44)在对乌克兰的网络攻击
33、中展现出明显的特点。首先,这些组织扩展了攻击手段,如从最初的凭证网络钓鱼转向利用 PDF 文档传播恶意软件。其次,它们主要针对政府、军队和基础设施等关键目标,并且特别收集关于政治和军事活动的情报。再者,攻击者加大了对乌克兰的攻击力度,通过供应链投毒实现大规模破坏行动。总体而言,这些攻击活动呈现出多样化、目标明确、技术手段复杂以及对特定区域的高度集中性特点。1 月末,专注于针对非政府组织中的知名人士、前情报和军官、北约组织以及各国政府进行凭据网络钓鱼活动的由俄罗斯国家支持的 Calisto 组织不再局限于凭证网络钓鱼,开始通过使用 PDF 作为诱饵文档来传播恶意软件。2 月末,俄罗斯 Winte
34、r Vivern 组织利用 Roundcube 网络邮件服务器中的跨站脚本(XSS)漏洞针对主要位于格鲁吉亚、波兰和乌克兰的 80 多个组织,目标实体涵盖政府、军队和国家基础设施,目的是收集有关欧洲政治和军事活动的情报。3 月下旬,俄罗斯 APT28 组织在全球范围内开展大规模网络钓鱼活动,通过冒充来自乌克兰等多个国家的实体,利用真实公开的政府和非政府诱饵文件(内容涉及金融、关键基础设施、高层会晤、网络安全、海上安全、医疗保健、商业和国防工业生产等领域)来激活感染链。4 月下旬,俄罗斯 APT44 组织利用新的名为 Kapeka 的后门针对东欧地区(如爱沙尼亚和乌克兰)。该组织还实13施了破坏
35、乌克兰共 10 个地区的 20 个能源、水和供暖供应商的信息和通信系统稳定运行的恶意行动,且攻击者主要通过毒害供应链来提供受感染或易受攻击的软件,或通过软件供应商访问组织系统来渗透目标网络。隶属于俄罗斯总参谋部(GRU)情报总局 26165 军事部队的 APT28 组织持续利用 Windows Print Spooler 漏洞(CVE-2022-38028)和一种名为 GooseEgg 的新型入侵后自定义工具来提升权限并窃取凭证,其攻击目标包括乌克兰、西欧和北美的政府、非政府组织、教育和交通部门。6 月初,APT28 组织分三个阶段部署了 HeadLace 恶意软件,并利用凭证收集网页发起了一
36、系列针对包括乌克兰国防部、欧洲交通基础设施以及阿塞拜疆的智库等领域的恶意攻击活动。3.1.3.2 针对美国针对美国的攻击主体涵盖了国家支持的 APT 组织(如伊朗的 APT35)和跨国犯罪集团(如 BogusBazaar 和Smishing Triad),攻击目标主要集中政府机构、金融部门、科技公司、学术机构和关键基础设施,反映了这些行业在美国国家政治经济中的核心地位及其面临的持续威胁。攻击组织的地理分布凸显了中东地区(如伊朗)、俄罗斯以及其他地区与美国之间的地缘政治紧张关系。同时,针对加密货币公司和金融机构的攻击表明了网络犯罪分子对金融的关注,可能影响全球金融体系的稳定。这些攻击还反映了技术
37、创新(如 AI 主题诱饵)、信息操纵(如伪装政府实体)和关键基础设施渗透(如针对防火墙的零日漏洞攻击)在现代网络战略中的重要性。1 月下旬,伊朗网络间谍组织 APT35 的一个子组织针对美国的大学发起了攻击,旨在推送后门恶意软件,进而窃取机密信息。2 月初,通常只在美国纳税期间的前几个月活跃,并主要针对北美地区的会计和金融组织开展以税收为主题的网络电子邮件钓鱼活动的 TA576 组织卷土重来。3 月初,Scattered Spider 使用名为 CryptoChameleon 的先进网络钓鱼工具包针对美国联邦通信委员会(FCC)以及包括 Binance、Coinbase、Kraken 和 Ge
38、mini 在内的加密货币公司发起钓鱼攻击。TA4903 黑客组织冒充美国的多个政府实体(包括美国劳工部、住房和城市发展部、交通部、商务部、农业部和美国小企业管理局),实施商业电子邮件泄露(BEC)攻击。3 月末,UNC5174 组织利用 F5 BIG-IP 漏洞 CVE-2023-46747 和 ScreenConnect 漏洞 CVE-2024-1709 对东南亚和美国的教育机构、慈善机构、非政府组织等发起攻击,部署了名为的 GOREVERSE 由 Go 语言编写的后门。4 月中旬,美国 Palo Alto Networks 公司 PAN-OS Global Protect 防火墙设备中的
39、CVE-2024-3400 零日漏洞遭到 UTA0218 组织利用,被植入了一种基于 Python 的新型自定义后门:UPSTYLE。4 月下旬,具有俄语背景的出于非法经济犯罪目的的 FIN7 黑客组织通过伪装为合法网站的恶意扫描器网站,针对美国一家大型汽车制造商部署 Anunak 后门程序。5 月初,运营着一个由超过 75,000 个域名组成的庞大网络的 BogusBazaar 犯罪集团通过经营假冒网上商店,对大部分来自西欧和美国的超 850,000 名受害者实施了信用卡信息窃取,金钱诈骗等恶意活动。5 月下旬,UNK_SweetSpecter 组织发起了一项 SugarGh0st RAT
40、活动,通过使用免费的电子邮件帐户发送了以AI 为主题的诱饵,目标是美国参与人工智能工作的组织,包括学术界、私营企业和政府服务机构。5 月末,UAC-0188 组织利用利用微软著名扫雷游戏的 Python 克隆代码版本来隐藏针对欧洲和美国金融组织的恶意脚本,进而实施钓鱼攻击。6 月中旬,Smishing Triad 团伙使用本地电话号码伪装为当地邮局或公司,针对美国等多个国家和地区发起了短信钓鱼活动。142024 年上半年全球主要 APT 攻击活动报告3.2 重点行业攻击在 2024 年上半年,全球范围内的通信及软件信息技术服务、政府与国防军工、金融等关键行业均遭遇了不同程度的网络攻击。特别是
41、APT 组织通过精心策划的针对性网络钓鱼攻击、利用零日漏洞等技术手段,意图窃取敏感数据或获取经济利益。这些攻击不仅对企业和机构的运营造成了严重威胁,也对国家安全和金融稳定性提出了新的挑战。接下来,我们将深入探讨这些行业所面临的具体攻击特征及其潜在影响。3.2.1 针对通信及软件信息技术服务行业的攻击2024 年上半年,通信软件和信息技术行业仍然是 APT 攻击的主要目标,其中运维、加密货币和人工智能领域尤其脆弱。攻击者主要通过虚假招聘、伪装应用程序、利用零日漏洞和供应链攻击等手段进行渗透,目的多为窃取敏感信息,以用于政治对抗或经济利益。近期被利用的重要零日漏洞包括 CVE-2024-21412
42、、CVE-2024-26169、CVE-2024-23334、CVE-2024-3400、CVE-2024-21338、CVE-2024-20353、CVE-2024-20359 等,主要涉及 Microsoft、Aiohttp、Palo Alto Networks、Cisco 等知名公司的产品。在针对软件行业的 APT 组织中,amdc6766、Lazarus、UNK_SweetSpecter 三个组织尤为活跃。其中,amdc6766 主导多起供应链攻击,通过在官方安装包中植入恶意链接,针对国内运维人员进行投毒攻击。其目标是控制低价值主机作为跳板,进而渗透高价值目标。Lazarus 专注于区
43、块链行业,在各大招聘平台上伪装身份,诱使目标运行含有信息窃取程序的代码。UNK_SweetSpecter 则利用 AI 相关主题的诱饵邮件,针对美国 AI 研究机构,投递 SugarGh0st RAT 远程访问木马。3.2.2 针对政府与国防军工行业的攻击政府与国防军工行业对国家安全和战略利益至关重要。因此,2024 年上半年,这两个领域继续受到黑客组织的频繁攻击。与此同时地缘政治的持续影响也使得这些行业成为主要目标。在攻击策略上,黑客组织采取了多种手段,一方面,它们针对国防军工、外交和安全部门的人员,发送伪装成合法的钓鱼邮件,以窃取敏感信息。另一方面,黑客组织还利用零日漏洞,部署一系列定制的
44、恶意软件,用于间谍活动和信息窃取。其中,值得关注的几起事件包括朝鲜 Konni 组织利用伪装为俄罗斯外交部使用的数据统计软件样本,窃取敏感信息。UTA0178 和 UNC5221 等黑客组织利用 Ivanti Connect Secure VPN 设备中的两个零日漏洞来部署多个定制的恶意软件系列以用于间谍目的。3.2.3 针对金融行业的攻击金融行业作为国家发展的关键行业,因其潜在的巨大经济利益,一直以来都是黑客组织攻击的主要目标。因此,2024年上半年,金融行业依旧是黑客组织的重点攻击对象。与以往一样,这些攻击受到了政治和经济双重因素的影响。2024 年上半年的金融行业攻击手段主要包括传统的钓
45、鱼攻击、木马后门部署以及漏洞利用等方式。值得特别关注的黑客组织包括银狐团伙、SecretCrow 语音钓鱼团伙和 Savvy Seahorse 等。其中,银狐团伙对我国构成了较大的威胁,持续进行针对性的攻击。SecretCrow 语音钓鱼组织则通过构建一系列伪装成执法机构和金融机构的钓鱼页面,并开发恶意 Android 应用程序,诱骗韩国受害者访问钓鱼网站。这些钓鱼页面及应用程序(如 SecretCalls Loader 和 SecretCalls)旨在窃取受害者的资金,用于金融欺诈。Savvy Seahorse 组织采用了 DNS CNAME 记录创建一个流量分配系统(TDS),以支持其金融
46、诈骗活动并规避检测。此外,该组织还使用聊天机器人与受害者互动,诱使他们进行大额投资,从而实现诈骗过程的自动化。这些攻击手段和策略显示了金融行业面临的持续和复杂的网络安全威胁,也反映出黑客组织在攻击技术上的不断演进。15总结附录0405为应对未来日益复杂的网络安全威胁,天际友盟提醒各组织应实施全面的防护措施,以提升整体安全能力。首先,需加强对地缘政治驱动的 APT 攻击的监控与防御,借助情报共享平台和国际合作机制,针对国家级 APT 组织的活动展开有效的遏制与应对。这包括建立跨国应急响应小组和信息共享网络,以便迅速识别并处理潜在威胁。其次,针对中国及其他主要目标国家的 APT 攻击活动呈现出的多
47、样化特征,各组织应制定具体的安全防护策略,特别是在对财务人员、运维人员等关键岗位的保护上,实施定制化的安全措施和定期培训。应注重提升对新兴攻击手段的识别能力,并结合实际情况优化防御策略。再次,应加强对零日漏洞的检测与响应能力。组织需要建立高效的漏洞管理体系,实施实时漏洞扫描和修补,以尽早发现并修复系统中的安全漏洞,降低被攻击的风险。最后,随着人工智能(AI)技术在各行业的广泛应用,应强化对 AI 系统的安全防护。组织应发展先进的检测技术,特别是针对 AI 驱动的网络钓鱼攻击,采取措施防止 AI 生成的深度伪造内容影响系统安全。通过综合运用这些措施,各组织能够更有效地提升对未来网络安全威胁的防御
48、能力,保障系统和数据的安全。时间APT 事件组织名称攻击行业6 月 28 日Kimsuky 组织部署 TRANSLATEXT 扩展以针对韩国学术界Kimsuky教育与科研6 月 27 日俄罗斯多个行业遭到 ReaverBits 组织攻击ReaverBits批发零售、通信及软件信息技术服务、金融、制造业、社会组织6 月 26 日Kimsuky 组织新型后门 HappyDoor 披露Kimsuky6 月 25 日印度响尾蛇组织近期针对国内的攻击活动剖析SideWinder政府、教育与科研6 月 24 日SneakyChef 间谍组织利用 SugarGh0st 瞄准政府机构SneakyChef政府6
49、 月 24 日游蛇黑产团伙针对财税人员分发恶意木马银狐表 2 2024 年上半年 APT 组织活动时间表162024 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业6 月 24 日APT-C-56 通过 Linux 桌面文件投递 Poseidon 恶意组件Transparent Tribe6 月 24 日Boolka 组织使用 BeEF 框架构建网页传播多种恶意软件Boolka通信及软件信息技术服务6 月 21 日Kimsuky 组织疑似以军工招聘为饵攻击欧洲Kimsuky国防军工6 月 21 日UNC3886 组织近期间谍活动详情披露UNC3886政府、通信及软件信息
50、技术服务、制造业、国防军工、能源、公用事业6 月 20 日Void Arachne 组织利用 Winos 4.0 C2 框架攻击中文用户Void Arachne6 月 20 日攻击俄罗斯的 ExCobalt 团伙使用新的 GoRed 后门ExCobalt6 月 19 日针对金融机构的 ONNX Store 网络钓鱼即服务平台揭秘MRxC0DER6 月 18 日银狐黑产组织最新攻击样本详细分析银狐6 月 17 日Operation Celestial Force:Cosmic Leopard 组织针对印度实体的活动追踪Cosmic Leopard国防军工、政府、通信及软件信息技术服务6 月 17
51、 日疑似巴勒斯坦黑客组织 UTA0137 向印度政府传播 DISGOMOJI 恶意软件UTA0137政府6 月 17 日Arid Viper 组织利用 AridSpy 木马开展移动端间谍活动APT-C-236 月 14 日Cardinal 组织利用 Windows 权限升级漏洞作为零日漏洞Storm-1811通信及软件信息技术服务6 月 14 日Sticky Werewolf 以视频会议邀请为诱饵攻击俄罗斯航空航天行业Sticky Werewolf制造业6 月 13 日短信钓鱼团伙 Smishing Triad 攻击范围扩展至巴基斯坦Smishing Triad交通运输6 月 13 日Kims
52、uky 组织近期 RandomQuery 活动分析Kimsuky6 月 13 日PHP CGI Windows 平台远程代码执行漏洞遭频繁利用TellYouThePassLucifer服务业、金融、医疗6 月 12 日REF6127 通过开展招聘主题的钓鱼活动部署 WARMCOOKIE 后门REF61276 月 11 日Silver Fox 组织 ValleyRAT 木马最新变体披露银狐6 月 10 日ExCobalt 组织持续开发 GoRed 后门以攻击俄罗斯公司ExCobalt通信及软件信息技术服务、政府、能源6 月 10 日Commando Cat 组织劫持 Docker 服务器以部署挖
53、矿程序Commando Cat通信及软件信息技术服务6 月 7 日UAC-0200 利用 DarkCrystal RAT 恶意软件攻击乌克兰关键组织UAC-0200政府、国防军工6 月 7 日Operations ControlPlug:DarkPeony 使用 MSC 文件发动针对性攻击活动DarkPeony政府、国防军工6 月 6 日FaCai 团伙通过某翻译软件的引流服务实施钓鱼攻击FaCai表 2 2024 年上半年 APT 组织活动时间表17时间APT 事件组织名称攻击行业6 月 5 日UNC1151 再次出击:针对乌克兰国防部进行钓鱼攻击活动UNC1151国防军工6 月 4 日俄罗
54、斯 APT28 利用 HeadLace 恶意软件渗透欧洲关键网络APT28交通运输、国防军工、教育与科研6 月 3 日Konni 黑客组织使用俄罗斯政府软件安装包进行攻击Konni政府6 月 3 日UAC-0195 借助流行社交媒体发起以投票为主题的钓鱼活动UAC-01955 月 31 日LilacSquid 组织信息公开LilacSquid5 月 31 日FlyingYeti 组织对乌克兰居民实施钓鱼活动UAC-01495 月 31 日8220 Gang 利用 Oracle WebLogic 服务器漏洞部署挖矿程序8220 Gang通信及软件信息技术服务5 月 30 日Sapphire We
55、rewolf 组织瞄准俄罗斯关键行业下发窃密程序Sapphire Werewolf教育与科研、通信及软件信息技术服务、国防军工、制造业业5 月 29 日Hellhounds 组织持续攻击俄罗斯Hellhounds5 月 29 日Moonstone Sleet 组织瞄准区块链、AI 等多个行业Storm-1789通信及软件信息技术服务、教育与科研、国防军工5 月 29 日Kiteshield Packer 被多个黑客组织用于绕过杀软检测APT17、amdc67665 月 28 日Sharp Dragon 组织进军非洲和加勒比海地区Sharp Panda5 月 27 日SmallTiger 恶意软
56、件被用于瞄准韩国多个关键行业Kimsuky国防军工、制造业5 月 27 日Unfading Sea Haze 黑客组织瞄准东南亚国家Unfading Sea Haze5 月 27 日银狐团伙近期发起以核酸检测退费为主题的钓鱼活动谷堕大盗5 月 27 日UAC-0188 组织利用微软扫雷游戏的克隆版本实施钓鱼攻击UAC-0188金融5 月 24 日Transparent Tribe 组织瞄准印度政府、国防和航空航天部门Transparent Tribe政府、国防军工、制造业5 月 23 日UAC-0006 组织向乌克兰投递 SMOKELOADER 恶意软件UAC-00065 月 22 日Ikar
57、uz Red Team 画像介绍Ikaruz Red Team5 月 22 日APT32 组织针对 Office 软件的常用钓鱼文件剖析APT32通信及软件信息技术服务5 月 22 日UTG-Q-010:瞄准国内 AI 和游戏行业UTG-Q-010通信及软件信息技术服务5 月 21 日Void Manticore 组织瞄准以色列实施破坏性攻击活动Void Manticore5 月 20 日Kinsing 黑客组织信息披露Kinsing通信及软件信息技术服务5 月 20 日Kimsuky 组织对韩国和日本发起钓鱼攻击Kimsuky5 月 20 日amdc6766 团伙再次实施供应链投毒攻击活动a
58、mdc6766通信及软件信息技术服务表 2 2024 年上半年 APT 组织活动时间表182024 年上半年全球主要 APT 攻击活动报告表 2 2024 年上半年 APT 组织活动时间表时间APT 事件组织名称攻击行业5 月 17 日Kimsuky 组织使用新的 Linux 后门 Gomir 攻击韩国Kimsuky5 月 17 日SugarGh0st RAT 被用于攻击美国人工智能专家UNK_SweetSpecter教育与科研、政府5 月 16 日银狐团伙借助某终端安全管理软件发起钓鱼攻击谷堕大盗通信及软件信息技术服务5 月 16 日Turla APT 组织使用 Lunar 工具包攻击欧洲外
59、交部Turla政府5 月 16 日Storm-181 组织利用 Quick Assist 工具部署勒索软件Storm-181通信及软件信息技术服务5 月 15 日SideCopy 组织近期瞄准印度大学生SideCopy教育与科研5 月 15 日Telegram 汉化软件暗藏后门病毒金眼狗通信及软件信息技术服务5 月 15 日蔓灵花组织利用 Replit 平台的攻击活动分析BITTER5 月 14 日Timitator 组织针对国内用户分发 Rust 特马Timitator能源、教育与科研与科研、国防军工5 月 14 日PhantomCore 组织向俄罗斯多个行业发起钓鱼攻击PhantomCor
60、e能源5 月 13 日FIN7 组织使用 Google 广告来分发 MSIX 恶意文件FIN75 月 11 日Lazarus 组织针对区块链从业者实施攻击活动Lazarus通信及软件信息技术服务5 月 10 日银狐钓鱼团伙 2024 年 1-5 月攻击特点剖析谷堕大盗交通运输、服务业、教育与科研、通信及软件信息技术服务、金融5 月 9 日BOGUSBAZAAR 犯罪团伙运营囊括数万域名的虚假电商网络BogusBazaar通信及软件信息技术服务5 月 9 日APT28 对波兰政府机构发动大规模恶意软件活动APT28政府5 月 9 日礼品卡欺诈团伙 Storm-0539 针对零售公司Storm-0
61、539批发零售5 月 6 日伊朗 APT42 组织最新网络钓鱼活动追踪Charming Kitten国际组织、教育与科研与科研、文体娱乐5 月 6 日SecretCrow 语音网络钓鱼组织对韩国实施金融欺诈活动SecretCrow金融4 月 30 日银狐黑产团伙大规模针对财税人员谷堕大盗金融4 月 28 日LightSpy 恶意软件变种瞄准 macOSAPT414 月 28 日SideCopy 组织利用钓鱼攻击针对印度政府投递远控木马SideCopy政府4 月 26 日Kimsuky 劫持 eScan 防病毒更新以部署 GuptiMiner 恶意软件Kimsuky通信及软件信息技术服务4 月
62、26 日APT73:一个自称为 APT 的勒索软件组织APT734 月 25 日MuddyWater 使用合法 Atera Agent 远控工具获取初始访问权限MuddyWater交通运输、通信及软件信息技术服务、医疗19表 2 2024 年上半年 APT 组织活动时间表时间APT 事件组织名称攻击行业4 月 25 日ArcaneDoor 活动:UAT4356 组织借助思科零日漏洞入侵全球政府网络UAT4356通信及软件信息技术服务、政府4 月 25 日Scaly Wolf 组织通过钓鱼攻击下发 White Snake 窃取程序Scaly Wolf政府4 月 25 日Windows Print
63、 Spooler 漏洞遭俄罗斯 APT28 利用以窃取用户凭据APT284 月 24 日国内企事业单位正遭到 FaCai 钓鱼团伙的攻击FaCai4 月 24 日ScarCruft 利用恶意 LNK 文件投递 RokRat 远控程序APT374 月 23 日APT43 组织近期针对韩国的 TutorialRAT 恶意软件活动分析APT434 月 23 日乌克兰 20 个重要机构遭俄罗斯 APT44 组织破坏APT44公用事业、能源4 月 23 日ToddyCat 组织使用的数据窃取工具和隧道工具公开ToddyCat国防军工、政府4 月 19 日Lazarus 组织利用 CVE-2024-213
64、38 漏洞攻击亚洲技术人员Lazarus通信及软件信息技术服务4 月 19 日Sandworm 组织在攻击东欧的活动中部署新的 Kapeka 后门APT444 月 19 日俄罗斯 Sandworm 组织升级为 APT44,目标是全球关键基础设施APT44社会组织、国防军工、文体娱乐、政府、交通交通运输、能源4 月 18 日FIN7 组织针对美国汽车制造公司部署 Anunak 后门程序FIN7制造业4 月 17 日朝鲜 Kimsuky 组织近期活动 TTP 分析Kimsuky4 月 16 日SteganoAmor 活动:TA558 正大规模攻击全球公司与机构TA5584 月 15 日Global
65、 Protect 防火墙零日漏洞遭 UTA0218 组织利用UTA0218通信及软件信息技术服务4 月 11 日eXotic Visit 间谍活动瞄准印度和巴基斯坦安卓用户Virtual Invaders4 月 11 日RUBYCARP 僵尸网络组织揭秘RUBYCARP4 月 11 日TA547 疑似使用大模型工具生成脚本向德国实体分发Rhadamanthys 恶意软件TA547批发零售4 月 10 日Starry Addax 组织正利用新恶意软件瞄准北非的人权活动人士Starry Addax社会组织4 月 9 日MuddyWater 组织最新攻击框架 DarkBeatC2 分析MuddyWa
66、ter4 月 8 日金融相关人员近期遭游蛇团伙攻击谷堕大盗金融4 月 7 日Solar Spider 组织借助 JsOutProx 新版本入侵多个地区的金融机构Solar Spider金融4 月 7 日Lazy Koala 组织利用 LazyStealer 窃取器攻击多个国家Lazy Koala教育与科研、金融、医疗、政府4 月 5 日越南 CoralRaider 组织对亚洲多个国家实施数据窃取活动CoralRaider4 月 5 日金眼狗团伙伪造 VPN 恶意安装包植入定制化 gh0st 木马金眼狗202024 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业4 月 3
67、 日Earth Freybug 组织利用 UNAPIMON 恶意软件规避检测Earth Freybug4 月 1 日Earth Krahang 组织旗下 Linodas 恶意软件聚焦Earth Krahang3 月 29 日东盟实体遭到 Stately Taurus 等 APT 组织入侵Mustang Panda政府、国防军工3 月 27 日Machete 组织近期活动披露Machete3 月 27 日金相狐黑产团伙利用 AI 人脸识别技术实施金融诈骗GoldenPhysiognomyFox能源、金融3 月 26 日韩国虚拟货币行业参与者遭到 Konni 组织投递 AutoIt 恶意脚本Kon
68、ni通信及软件信息技术服务3 月 25 日UNC5174 组织利用公开漏洞渗透美国等多个地区的机构UNC51743 月 25 日俄罗斯 APT29 组织利用 WineLoader 后门攻击德国政党APT29政府3 月 25 日Cloud Werewolf 组织瞄准俄罗斯政府Cloud Werewolf政府3 月 22 日APT-C-09 以巴基斯坦联邦税务局为诱饵发起钓鱼攻击WhiteElephant政府3 月 22 日TinyTurla 攻击链新细节揭露Turla社会组织3 月 22 日伊朗 Curious Serpens 组织旗下 FalseFont 后门揭秘APT33交通交通运输3 月
69、22 日TA450 使用与薪酬有关的诱饵来针对以色列员工MuddyWater3 月 20 日Kimsuky 组织使用韩国企业有效证书签名的恶意软件感染韩国用户Kimsuky3 月 19 日Earth Krahang 组织瞄准多个国家和地区Earth Krahang政府、教育与科研3 月 19 日ITG05 组织针对全球目标开展网络钓鱼活动APT28通信及软件信息技术服务、制造业、商业、国防军工、金融、医疗、交通运输3 月 18 日ShadowSyndicate 组织开始利用 Aiohttp 漏洞窃取信息ShadowSyndicate通信及软件信息技术服务3 月 18 日DarkGate 恶意软
70、件活动实施 SmartScreen 零日漏洞攻击DarkCasino通信及软件信息技术服务3 月 15 日NGC2180 黑客团伙使用 DFKRAT 进行监视活动NGC21803 月 14 日Microsoft Defender SmartScreen 零日漏洞正遭到 Water Hydra 组织利用DarkCasino金融、通信及软件信息技术服务3 月 14 日RedCurl 组织近期活动使用 Windows 合法服务绕过安全限制RedCurl3 月 12 日Andariel 组织滥用韩国资产管理解决方案分发 MeshAgentLazarus3 月 11 日藏语用户疑似遭到 Evasive
71、Panda 组织攻击Daggerfly社会组织3 月 11 日Magnet Goblin 组织使用 1day 漏洞针对互联网服务器Magnet Goblin通信及软件信息技术服务3 月 8 日APT37 利用朝鲜政治话题向韩国发起钓鱼攻击APT37表 2 2024 年上半年 APT 组织活动时间表21时间APT 事件组织名称攻击行业3 月 7 日TA4903 组织冒充美国政府机构实施 BEC 攻击TA4903政府、建筑与地产、金融、制造业、服务业、能源3 月 6 日GhostSec 联合 Stormous 团伙对多个国家实施双重勒索攻击GhostSec、Stormous国防军工、交通运输、能源
72、、制造业、通信及软件信息技术服务3 月 5 日TA577 组织使用新型攻击链窃取 NTLM 信息TA5773 月 5 日NoName057(16)组织 DDoSia 项目持续更新NoName057(16)3 月 4 日黑客针对 FCC 和加密货币公司发动高级 Okta 网络钓鱼攻击Scattered Spider(未确定)政府、通信及软件信息技术服务3 月 4 日Fluffy Wolf 组织冒充建筑公司分发多种恶意程序Fluffy Wolf通信及软件信息技术服务、建筑与地产3 月 4 日GTPDOOR 恶意软件利用 GPRS 协议感染电信网络LightBasin通信及软件信息技术服务3 月 1
73、 日欧洲外交官遭到 SPIKEDWINE 组织攻击SPIKEDWINE政府2 月 29 日Savvy Seahorse 团伙利用 DNS CNAME 记录实施金融诈骗Savvy Seahorse金融2 月 29 日Lazarus 组织在官方 Python 存储库中发布恶意 Python 包Lazarus通信及软件信息技术服务2 月 29 日Mysterious Werewolf 组织向俄罗斯军事工业委员会下发 RingSpy后门Mysterious Werewolf国防军工2 月 28 日中东国家的航空航天和国防部门遭到伊朗组织 UNC1549 攻击UNC1549制造业、国防军工2 月 28
74、日UAC-0184 组织采用图像隐写术向乌克兰企业推送 Remcos RATUAC-01842 月 27 日越南 DuckTail 组织近期针对数字营销人员的攻击活动剖析DuckTail通信及软件信息技术服务2 月 27 日Earth Lusca 组织对中国台湾发动钓鱼攻击Earth Lusca政府2 月 26 日Charming Kitten 组织利用新型 BASICSTAR 后门瞄准中东政策专家Charming Kitten2 月 26 日Winter Vivern 黑客借助 Roundcube 漏洞入侵 80 多个组织Winter Vivern政府、国防军工2 月 25 日与哈马斯 AP
75、T-C-23 组织相关的 Samecoin 恶意软件活动追踪APT-C-232 月 23 日新型组织 UTG-Q-007 利用越南语木马瞄准亚洲地区UTG-Q-007建筑与地产、通信及软件信息技术服务2 月 23 日SideWinder 组织使用基于 Nim 语言的远控程序SideWinder政府2 月 20 日朝鲜黑客针对国防部门进行供应链攻击事件披露Lazarus国防军工、政府2 月 19 日GoldFactory 组织开发首个针对 iOS 系统的 GoldPickaxe 木马病毒GoldFactory金融2 月 18 日Water Hydra 组织借助微软零日漏洞攻击金融交易者DarkC
76、asino金融表 2 2024 年上半年 APT 组织活动时间表222024 年上半年全球主要 APT 攻击活动报告时间APT 事件组织名称攻击行业2 月 16 日Turla 团伙向波兰非政府组织投递新型后门 TinyTurla-NGTurla社会组织2 月 15 日Sticky Werewolf 组织以下载 CCleaner 为幌子攻击白俄罗斯公司Sticky Werewolf医疗、政府2 月 7 日ResumeLooters 组织窃取 200 多万求职者数据ResumeLooters批发零售、通信及软件信息技术服务2 月 5 日APT-K-47 组织利用新木马进行窃密活动Mysteriou
77、s Elephant2 月 3 日APT-LY-1009 组织向亚美尼亚政府投递 VenomRATAPT-LY-1009政府2 月 2 日APT37 冒充网络研讨会主办方分发 ROKRAT 木马APT37通信及软件信息技术服务2 月 2 日TA576 组织在美国纳税期间卷土重来TA576金融2 月 1 日APT28 组织对全球多个组织发起 NTLMv2 哈希中继攻击APT28政府、能源、交通运输、国防军工1 月 31 日透明部落针对印度军方发起钓鱼攻击Transparent Tribe国防军工1 月 31 日Scaly Wolf 组织持续分发 White Snake 恶意软件Scaly Wol
78、f国防军工、政府1 月 31 日Kimsuky 组织使用 Dropbox 实施攻击活动Kimsuky通信及软件信息技术服务、金融、文体娱乐、政府1 月 30 日Stately Taurus 组织瞄准缅甸外交部Mustang Panda政府1 月 30 日WhiteSnake 窃取器通过恶意 PyPI 软件包感染 Windows 用户PYTA31通信及软件信息技术服务1 月 30 日Kimsuky 组织伪造韩国 SGA 旗下软件安装包实施窃密行动Kimsuky通信及软件信息技术服务1 月 26 日Blackwood 组织劫持合法更新程序以部署 NSPX30 恶意软件Blackwood贸易、制造业
79、、教育与科研1 月 25 日UAC-0050 组织冒充乌克兰国家服务局实施钓鱼攻击UAC-0050政府1 月 24 日Scarcruft 组织疑似收集战略情报并针对网络安全专业人员APT37通信及软件信息技术服务1 月 23 日TA866 组织携大型钓鱼邮件活动回归TA866金融1 月 22 日暗蚊黑产团伙向国内 IT 运维人员投递 Mac 远控木马amdc6766通信及软件信息技术服务1 月 22 日俄罗斯 COLDRIVER 组织开始部署新型 Spica 后门软件Calisto1 月 19 日伊朗 APT35 附属组织对欧美研究人员发起网络钓鱼攻击Charming Kitten教育与科研1
80、 月 17 日UAC-0050 组织向乌克兰安全部门分发询问主题的钓鱼邮件UAC-0050政府1 月 17 日Ivanti Connect Secure 零日漏洞遭到大规模利用UTA0178 和 UNC5221政府、国防军工、通信及软件信息技术服务、金融、制造业1 月 16 日APT28 组织滥用 Search-MS 协议投递恶意文件APT28表 2 2024 年上半年 APT 组织活动时间表23时间APT 事件组织名称攻击行业1 月 16 日隐蔽 8 年的黑灰产团伙 Bigpanzi 揭秘Bigpanzi1 月 15 日印度蔓灵花组织针对我国军工行业发起钓鱼攻击BITTER国防军工1 月 1
81、1 日Water Curupira 组织开始积极传播 PikaBot 恶意软件加载程序Water Curupira1 月 10 日Transparent Tribe 组织传播 RlmRat 精简版窃取印度文件Transparent Tribe通信及软件信息技术服务1 月 9 日新 macOS 后门 SpectralBlur 疑似与朝鲜组织相关Lazarus1 月 8 日Sea Turtle 组织持续对荷兰发起间谍活动Teal Kurma1 月 8 日伊朗组织 Homeland Justice 利用擦除器瞄准阿尔巴尼亚Homeland Justice通信及软件信息技术服务、交通运输、政府1 月
82、8 日GXC Team 网络犯罪组织近期活动揭秘GXC Team1 月 4 日UAC-0050 组织利用 RemcosRAT 瞄准乌克兰政府UAC-0050政府1 月 3 日银狐团伙近期钓鱼活动追踪谷堕大盗1 月 2 日amdc6766 组织:2023 年四起供应链投毒事件幕后黑手amdc6766通信及软件信息技术服务1 月 1 日多个威胁组织滥用应用安装程序传播恶意软件Storm-0569、Storm-1113、FIN7、Storm-1674通信及软件信息技术服务表 2 2024 年上半年 APT 组织活动时间表2024 年上半年全球主要 APT 攻击活动报告市场合作:mkttj- 客户服务:servicetj- 合作伙伴:partnertj-400-081-0700www.tj-您身边的数字风险防护专家