【天際友盟】2024年下半年全球主要APT攻擊活動(dòng)報(bào)告

雙子座實(shí)驗(yàn)室contents32024年下半年，天際友盟持續(xù)對(duì)APT組織及其活動(dòng)進(jìn)行追蹤總結(jié)，總共披露了全球100隨著全球地緣政治緊張局勢(shì)的加劇，各國(guó)之間的競(jìng)爭(zhēng)和對(duì)立成為了APT組織發(fā)動(dòng)攻擊的主要?jiǎng)訖C(jī)之一。這些攻擊不僅限于直接對(duì)抗國(guó)家間的基礎(chǔ)設(shè)施和服務(wù)，還包括對(duì)盟友和支持者的間接打擊。2024年下半年俄烏戰(zhàn)爭(zhēng)和巴以武裝對(duì)抗持續(xù)進(jìn)行，對(duì)立雙方及相關(guān)盟友均遭到國(guó)家級(jí)APT組織的猛烈攻擊，尤其是烏克蘭、俄羅斯和以色列，他影響IT、金融、教育與科研等行業(yè)；海蓮花組織以社保話(huà)題為誘餌發(fā)起釣魚(yú)攻擊，以法律制度等話(huà)題攻擊政府及海事機(jī)構(gòu)；蔓靈花組織啟用全新特馬MiyaRat攻現(xiàn)在更多類(lèi)型的組織如醫(yī)療機(jī)構(gòu)、教育機(jī)構(gòu)甚至政府部門(mén)也成為攻擊對(duì)象。為了確保成功入侵并長(zhǎng)期控制受害系統(tǒng)，用于創(chuàng)建虛假網(wǎng)站和應(yīng)用程序界面，使得用戶(hù)難以區(qū)分真?zhèn)?。這種趨勢(shì)導(dǎo)致網(wǎng)絡(luò)釣魚(yú)攻擊成功率大幅上升，同時(shí)4）， BITTER________/5 印度______/ 美國(guó) 教育與科研______/6根據(jù)圖3數(shù)據(jù)發(fā)現(xiàn)，涉及通信和軟件信息技術(shù)行業(yè)的攻擊事件占比為28%，其次攻擊政府事件占比有所提升至 利用勒索軟件的攻擊也逐漸增多。表1詳細(xì)列出了2024年下半年APT組織最頻繁利用的漏洞，以及它們所針對(duì)的漏洞編號(hào)廠商漏洞編號(hào)廠商JenkinsJenkinswindows_10_1507、windows_10_1607、windows_10_1809、windows_10__21h2、windows_10__22h2、windows_11__21h2、windows_11_22h2、windows_11_23h2、windows_server_2016、windows_server_2019、windows_server_2022、windows_server_2022_23h27漏洞編號(hào)廠商漏洞編號(hào)廠商windows_server_202583.1地緣政治活動(dòng)有強(qiáng)大的資源、先進(jìn)的技術(shù)和專(zhuān)業(yè)化團(tuán)隊(duì)，能夠精確滲透目標(biāo)網(wǎng)絡(luò)，并有效繞過(guò)傳統(tǒng)防御措施。在這種背亞太地區(qū)不僅是全球經(jīng)濟(jì)增長(zhǎng)的驅(qū)動(dòng)力，也是科技創(chuàng)新的前沿陣地。近年來(lái)，隨著該區(qū)域中國(guó)、印度、日本等主要國(guó)家及新興經(jīng)濟(jì)體由于在區(qū)域事務(wù)和科技發(fā)展中占有舉足輕重的地位，因此始終處于MOONSHINE漏洞定向攻擊藏族和維吾爾族群體，銀狐組織則通過(guò)水坑攻擊竊取加密貨幣資產(chǎn)。APT攻擊形式日益7月末，Donot組織利用“第七屆COMAC國(guó)際科技創(chuàng)新周”相關(guān)釣的LNK文件誘導(dǎo)受害者執(zhí)行Powershell代碼，從遠(yuǎn)程服務(wù)器下載并運(yùn)行惡意程序，最終解碼并執(zhí)行內(nèi)存中的惡意8月，來(lái)自東亞的UTG-Q-010組織對(duì)中國(guó)實(shí)體發(fā)起釣魚(yú)攻擊，其采用了更新的DLL加載程序和開(kāi)源的Pupy件和DLL側(cè)加載技術(shù)實(shí)現(xiàn)持久化。中旬，APT32組織持續(xù)針對(duì)國(guó)內(nèi)海事機(jī)構(gòu)發(fā)動(dòng)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊9者主要針對(duì)Android設(shè)備上即時(shí)通訊應(yīng)用的漏洞，通過(guò)即時(shí)通訊應(yīng)用發(fā)送精心制作的消息(如偽裝為政府公告、與COVID-19相關(guān)的中文新聞、與宗教、藏族或維吾爾族有關(guān)的中國(guó)新聞、中國(guó)旅游信息)，誘使受害者點(diǎn)擊嵌入的惡12月下旬，銀狐組織展開(kāi)了持續(xù)攻擊，首先，通過(guò)多個(gè)水坑網(wǎng)站，偽裝成谷歌翻譯網(wǎng)站頁(yè)面誘導(dǎo)用戶(hù)點(diǎn)擊下載Flash插件以部署惡意軟件，其次，利用仿冒成ToDesk、向日葵等遠(yuǎn)程控制軟件下載站點(diǎn)的釣魚(yú)網(wǎng)站傳播惡意MSI安裝程序，且惡意程序會(huì)下載執(zhí)行用于竊取加密貨幣錢(qián)包地址及密鑰信息的組件，因此其攻擊目標(biāo)疑似南亞地區(qū)一直是亞洲APT攻擊活動(dòng)的重災(zāi)區(qū)，得益于其復(fù)雜多變的地緣政治局勢(shì)和網(wǎng)絡(luò)防御體系的相對(duì)薄弱，如魚(yú)叉式釣魚(yú)郵件、公共網(wǎng)絡(luò)服務(wù)漏洞、惡意文件及后門(mén)程序等方式，持續(xù)展開(kāi)針對(duì)性的網(wǎng)絡(luò)攻擊，意圖收這些攻擊行動(dòng)不僅對(duì)印度的政府、外交及軍事機(jī)構(gòu)構(gòu)成直接威脅，也波及教育、金融及高科技域。攻擊者在成功入侵后往往部署隱蔽后門(mén)，利用持續(xù)性控制手段竊取信息和破壞系統(tǒng)，形成一張錯(cuò)綜復(fù)雜脅鏈條。整體來(lái)看，南亞地區(qū)復(fù)雜的政治環(huán)境與不斷升級(jí)的APT攻擊手段交織在一起，進(jìn)一步加劇了該地區(qū)的網(wǎng)絡(luò)7月，巴基斯坦的TransparentTribe組織對(duì)印度政府部門(mén)發(fā)動(dòng)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊，向多個(gè)部門(mén)發(fā)送包含惡意文件的郵件。這些文件被壓縮并隱藏在文檔中，運(yùn)行后會(huì)執(zhí)行嵌入的VBA腳本，進(jìn)一步提取并運(yùn)行惡意程序。最終載荷是TransparentTribe組織常用的遠(yuǎn)程控制木馬CrimsonRAT，具備收集系統(tǒng)信息、下載并運(yùn)行文件、竊取敏感9月，DragonRank組織主要針對(duì)印度、其他亞洲國(guó)家以及少數(shù)歐洲國(guó)家，破壞托管企業(yè)網(wǎng)站的Windows近期，日本成為多個(gè)APT組織網(wǎng)絡(luò)釣魚(yú)攻擊的重點(diǎn)目標(biāo)。這些攻擊主要針對(duì)制造業(yè)、研究機(jī)構(gòu)、政府機(jī)構(gòu)及相具體而言，攻擊者通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件向目標(biāo)組織發(fā)送精心設(shè)計(jì)的惡意惡意代碼。這些郵件通常偽裝成合法的通信，利用受害者對(duì)發(fā)件人的信任，增加成功率。此外，攻擊者還利用7月，MirrorFace組織針對(duì)日本制造業(yè)和研究機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊，企圖獲取主機(jī)用戶(hù)權(quán)限，并傳播10月，俄羅斯APT組織MidnightBliz組織發(fā)送了一系列高度針對(duì)性的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件，攻擊者利用與微軟、亞馬遜云服務(wù)（AWS）和零信任安全概11月，EarthKasha針對(duì)日本個(gè)人及特定組織（如政治組織、研究機(jī)構(gòu)、智庫(kù)和國(guó)際關(guān)系相關(guān)機(jī)構(gòu)）發(fā)起魚(yú)叉以色列憑借其在中東地區(qū)的重要地緣政治地位和高科技實(shí)力，長(zhǎng)期近期，多支APT組織利用先進(jìn)的定制惡意軟件對(duì)以色列發(fā)動(dòng)了多起網(wǎng)絡(luò)攻擊，企圖竊取情報(bào)和破壞關(guān)鍵系統(tǒng)。利用魚(yú)叉式釣魚(yú)郵件、惡意軟件和遠(yuǎn)控木馬等多種技術(shù)手段實(shí)施攻擊。這些行動(dòng)由包括MuddyWater、APT42、WIRTE和EmennetPasargad在內(nèi)的組織發(fā)起，均通過(guò)偽裝成合法機(jī)構(gòu)和利用合法威脅到以色列的網(wǎng)絡(luò)安全和戰(zhàn)略利益?？傮w來(lái)看，這一系列事件表受感染系統(tǒng)上運(yùn)行命令，Bugsleep后門(mén)目前影響廣泛，受害者涵蓋以色列等國(guó)家的政府組織、市政當(dāng)局、航空公司8月，APT42瞄準(zhǔn)了與以色列軍事和國(guó)防部門(mén)有聯(lián)系的人士，以及外交官、學(xué)者和非政府組織，通過(guò)利用11月中旬，WIRTE組織將其目標(biāo)范圍擴(kuò)大到間諜活動(dòng)之外，開(kāi)始實(shí)施破壞性攻擊，該組織對(duì)以色列發(fā)動(dòng)了破壞性攻擊，其使用的自定義惡意軟件與SameCoin多平臺(tái)擦除器存在重疊，目標(biāo)涵蓋以色列多個(gè)組織，包括醫(yī)院和市11月下旬，伊朗EmennetPasargad組織發(fā)送了一系列偽裝成以色列國(guó)家網(wǎng)絡(luò)安全局歐美地區(qū)作為全球政治經(jīng)濟(jì)的中心，不斷成為APT攻擊者的重要目標(biāo)。近年來(lái)，這些攻擊不僅涵蓋情報(bào)收集和網(wǎng)絡(luò)偵察，還擴(kuò)展到政治干預(yù)、經(jīng)濟(jì)操縱和關(guān)鍵基礎(chǔ)設(shè)施破壞等多個(gè)層面，顯示出高度的戰(zhàn)略性和技術(shù)復(fù)雜者利用零日漏洞、魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)和定制化惡意軟件等手段，滲透目標(biāo)網(wǎng)絡(luò)，試圖竊取敏感信息和獲得持久而針對(duì)美國(guó)的攻擊則更為多元，不僅涉及信息竊取和間諜活動(dòng)，還包括針對(duì)金融市場(chǎng)穩(wěn)定和關(guān)鍵基礎(chǔ)設(shè)施動(dòng)。這些跨國(guó)網(wǎng)絡(luò)攻擊不僅直接威脅到國(guó)家安全，也可能引發(fā)國(guó)際經(jīng)濟(jì)波動(dòng)和政治局勢(shì)的不確定性，從而烏克蘭目前正遭遇多支APT組織的連續(xù)網(wǎng)絡(luò)滲透行動(dòng)。攻擊者利用偽裝文檔、釣魚(yú)郵件以及虛假的遠(yuǎn)程桌面配StrelaStealer在內(nèi)的惡意軟件，竊取關(guān)鍵數(shù)據(jù)并獲取遠(yuǎn)程控制權(quán)限。此外，一些俄羅斯支持的網(wǎng)絡(luò)團(tuán)體更是利用高9月，俄羅斯Gamaredon組織通過(guò)魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件針對(duì)烏克蘭軍事人員發(fā)動(dòng)攻擊。攻擊郵件內(nèi)含惡意利用偽裝的遠(yuǎn)程桌面協(xié)議（RDP）配置文件對(duì)全球高價(jià)值目標(biāo)發(fā)動(dòng)攻擊，受美國(guó)及其它西方國(guó)家面臨來(lái)自多支黑客組織的持續(xù)網(wǎng)絡(luò)攻擊，這些攻擊者均采用不同的手織疑似與東歐、朝鮮或俄羅斯有關(guān)聯(lián)，通過(guò)大規(guī)模傳播惡意軟件、利用個(gè)性化釣魚(yú)誘餌、偽裝招聘信息或部署虛假SMS域名，試圖竊取在線(xiàn)賬戶(hù)、敏感技術(shù)信息和經(jīng)濟(jì)利益。其中，不少攻擊針對(duì)國(guó)防、航空航天、核能、金融及科8月中旬，俄羅斯Calisto組織對(duì)美國(guó)及其他西方國(guó)家發(fā)動(dòng)“RiversofPhish”行動(dòng)。攻擊者主要利用社會(huì)工程9月，UNC2970組織以“職位空缺”為幌子，偽裝成知名公司招聘人員，向目標(biāo)投遞網(wǎng)絡(luò)釣魚(yú)郵件，并植入2024年下半年，通信及軟件信息技術(shù)服務(wù)、政府和金融行攻擊者普遍采用釣魚(yú)攻擊、木馬后門(mén)、漏洞利用等手段，結(jié)合社會(huì)工程學(xué)進(jìn)行滲透，部分攻擊還涉及勒索軟件2024年下半年，通信及軟件信息技術(shù)服務(wù)行業(yè)持續(xù)面臨復(fù)雜多變的APT攻擊威脅，不同APT組織使用多種攻Lazarus組織常利用釣魚(yú)攻擊和木馬后門(mén)等手段，并結(jié)合社會(huì)工程學(xué)技巧，誘導(dǎo)受害者下載惡意軟件，如總體來(lái)看，通信及軟件信息技術(shù)服務(wù)行業(yè)頻繁成為APT攻擊的目標(biāo)，攻擊手段多樣且復(fù)雜，組織通常會(huì)結(jié)合多例如，APT29利用魚(yú)叉式釣魚(yú)和惡意RDP技術(shù)在烏克蘭等國(guó)展開(kāi)網(wǎng)絡(luò)間諜活動(dòng)，而EarthKasha則通過(guò)后門(mén)工具對(duì)日本目標(biāo)進(jìn)行釣魚(yú)攻擊。UAC-0099則借助WinRAR零日漏洞攻擊烏克蘭機(jī)構(gòu)。此外，多家APT組織使用惡意軟件投遞、以及通過(guò)木馬后門(mén)維持對(duì)目標(biāo)系統(tǒng)的長(zhǎng)期控制，不僅竊取敏感數(shù)據(jù)，還能為長(zhǎng)期滲透、金融行業(yè)作為國(guó)家發(fā)展的關(guān)鍵領(lǐng)域，因其巨大的經(jīng)濟(jì)利益，長(zhǎng)期以來(lái)一直是黑客組織重點(diǎn)攻擊的目標(biāo)。2024年續(xù)活躍，頻繁利用釣魚(yú)攻擊誘導(dǎo)受害者泄露憑證，并借助整體來(lái)看，金融行業(yè)仍是APT攻擊的主要目標(biāo)之一。黑客組織不僅依靠社會(huì)工程學(xué)技巧發(fā)動(dòng)釣魚(yú)攻擊，還廣泛總體來(lái)說(shuō)，2024年下半年APT織頻繁活動(dòng)。隨著技術(shù)的發(fā)展和迭代，針對(duì)通信及軟件信息技術(shù)行業(yè)的攻擊活動(dòng)逐漸增多；APT組織開(kāi)始利用勒索軟件并結(jié)合定制軟件來(lái)進(jìn)一步獲取經(jīng)濟(jì)收益；而組織供應(yīng)鏈上任何一個(gè)薄弱環(huán)節(jié)都可能成為黑客組織攻擊成功的踏板。為應(yīng)對(duì)未來(lái)日益復(fù)雜的網(wǎng)絡(luò)安全威脅，天際友盟提醒各組織應(yīng)制定全面的防護(hù)策略，以提升整體的安全能力。時(shí)間APT事件時(shí)間APT事件BITTER BITTERBITTER BITTERGoldenJackalGoldenJackal組織再度活躍，襲擊BlackJackB