【天际友盟】2024年下半年全球主要APT攻击活动报告

双子座实验室contents32024年下半年，天际友盟持续对APT组织及其活动进行追踪总结，总共披露了全球100随着全球地缘政治紧张局势的加剧，各国之间的竞争和对立成为了APT组织发动攻击的主要动机之一。这些攻击不仅限于直接对抗国家间的基础设施和服务，还包括对盟友和支持者的间接打击。2024年下半年俄乌战争和巴以武装对抗持续进行，对立双方及相关盟友均遭到国家级APT组织的猛烈攻击，尤其是乌克兰、俄罗斯和以色列，他影响IT、金融、教育与科研等行业；海莲花组织以社保话题为诱饵发起钓鱼攻击，以法律制度等话题攻击政府及海事机构；蔓灵花组织启用全新特马MiyaRat攻现在更多类型的组织如医疗机构、教育机构甚至政府部门也成为攻击对象。为了确保成功入侵并长期控制受害系统，用于创建虚假网站和应用程序界面，使得用户难以区分真伪。这种趋势导致网络钓鱼攻击成功率大幅上升，同时4）， BITTER________/5 印度______/ 美国 教育与科研______/6根据图3数据发现，涉及通信和软件信息技术行业的攻击事件占比为28%，其次攻击政府事件占比有所提升至 利用勒索软件的攻击也逐渐增多。表1详细列出了2024年下半年APT组织最频繁利用的漏洞，以及它们所针对的漏洞编号厂商漏洞编号厂商JenkinsJenkinswindows_10_1507、windows_10_1607、windows_10_1809、windows_10__21h2、windows_10__22h2、windows_11__21h2、windows_11_22h2、windows_11_23h2、windows_server_2016、windows_server_2019、windows_server_2022、windows_server_2022_23h27漏洞编号厂商漏洞编号厂商windows_server_202583.1地缘政治活动有强大的资源、先进的技术和专业化团队，能够精确渗透目标网络，并有效绕过传统防御措施。在这种背亚太地区不仅是全球经济增长的驱动力，也是科技创新的前沿阵地。近年来，随着该区域中国、印度、日本等主要国家及新兴经济体由于在区域事务和科技发展中占有举足轻重的地位，因此始终处于MOONSHINE漏洞定向攻击藏族和维吾尔族群体，银狐组织则通过水坑攻击窃取加密货币资产。APT攻击形式日益7月末，Donot组织利用“第七届COMAC国际科技创新周”相关钓的LNK文件诱导受害者执行Powershell代码，从远程服务器下载并运行恶意程序，最终解码并执行内存中的恶意8月，来自东亚的UTG-Q-010组织对中国实体发起钓鱼攻击，其采用了更新的DLL加载程序和开源的Pupy件和DLL侧加载技术实现持久化。中旬，APT32组织持续针对国内海事机构发动鱼叉式网络钓鱼攻击9者主要针对Android设备上即时通讯应用的漏洞，通过即时通讯应用发送精心制作的消息(如伪装为政府公告、与COVID-19相关的中文新闻、与宗教、藏族或维吾尔族有关的中国新闻、中国旅游信息)，诱使受害者点击嵌入的恶12月下旬，银狐组织展开了持续攻击，首先，通过多个水坑网站，伪装成谷歌翻译网站页面诱导用户点击下载Flash插件以部署恶意软件，其次，利用仿冒成ToDesk、向日葵等远程控制软件下载站点的钓鱼网站传播恶意MSI安装程序，且恶意程序会下载执行用于窃取加密货币钱包地址及密钥信息的组件，因此其攻击目标疑似南亚地区一直是亚洲APT攻击活动的重灾区，得益于其复杂多变的地缘政治局势和网络防御体系的相对薄弱，如鱼叉式钓鱼邮件、公共网络服务漏洞、恶意文件及后门程序等方式，持续展开针对性的网络攻击，意图收这些攻击行动不仅对印度的政府、外交及军事机构构成直接威胁，也波及教育、金融及高科技域。攻击者在成功入侵后往往部署隐蔽后门，利用持续性控制手段窃取信息和破坏系统，形成一张错综复杂胁链条。整体来看，南亚地区复杂的政治环境与不断升级的APT攻击手段交织在一起，进一步加剧了该地区的网络7月，巴基斯坦的TransparentTribe组织对印度政府部门发动鱼叉式网络钓鱼攻击，向多个部门发送包含恶意文件的邮件。这些文件被压缩并隐藏在文档中，运行后会执行嵌入的VBA脚本，进一步提取并运行恶意程序。最终载荷是TransparentTribe组织常用的远程控制木马CrimsonRAT，具备收集系统信息、下载并运行文件、窃取敏感9月，DragonRank组织主要针对印度、其他亚洲国家以及少数欧洲国家，破坏托管企业网站的Windows近期，日本成为多个APT组织网络钓鱼攻击的重点目标。这些攻击主要针对制造业、研究机构、政府机构及相具体而言，攻击者通过鱼叉式网络钓鱼邮件向目标组织发送精心设计的恶意恶意代码。这些邮件通常伪装成合法的通信，利用受害者对发件人的信任，增加成功率。此外，攻击者还利用7月，MirrorFace组织针对日本制造业和研究机构发起网络钓鱼攻击，企图获取主机用户权限，并传播10月，俄罗斯APT组织MidnightBliz组织发送了一系列高度针对性的鱼叉式网络钓鱼邮件，攻击者利用与微软、亚马逊云服务（AWS）和零信任安全概11月，EarthKasha针对日本个人及特定组织（如政治组织、研究机构、智库和国际关系相关机构）发起鱼叉以色列凭借其在中东地区的重要地缘政治地位和高科技实力，长期近期，多支APT组织利用先进的定制恶意软件对以色列发动了多起网络攻击，企图窃取情报和破坏关键系统。利用鱼叉式钓鱼邮件、恶意软件和远控木马等多种技术手段实施攻击。这些行动由包括MuddyWater、APT42、WIRTE和EmennetPasargad在内的组织发起，均通过伪装成合法机构和利用合法威胁到以色列的网络安全和战略利益。总体来看，这一系列事件表受感染系统上运行命令，Bugsleep后门目前影响广泛，受害者涵盖以色列等国家的政府组织、市政当局、航空公司8月，APT42瞄准了与以色列军事和国防部门有联系的人士，以及外交官、学者和非政府组织，通过利用11月中旬，WIRTE组织将其目标范围扩大到间谍活动之外，开始实施破坏性攻击，该组织对以色列发动了破坏性攻击，其使用的自定义恶意软件与SameCoin多平台擦除器存在重叠，目标涵盖以色列多个组织，包括医院和市11月下旬，伊朗EmennetPasargad组织发送了一系列伪装成以色列国家网络安全局欧美地区作为全球政治经济的中心，不断成为APT攻击者的重要目标。近年来，这些攻击不仅涵盖情报收集和网络侦察，还扩展到政治干预、经济操纵和关键基础设施破坏等多个层面，显示出高度的战略性和技术复杂者利用零日漏洞、鱼叉式网络钓鱼和定制化恶意软件等手段，渗透目标网络，试图窃取敏感信息和获得持久而针对美国的攻击则更为多元，不仅涉及信息窃取和间谍活动，还包括针对金融市场稳定和关键基础设施动。这些跨国网络攻击不仅直接威胁到国家安全，也可能引发国际经济波动和政治局势的不确定性，从而乌克兰目前正遭遇多支APT组织的连续网络渗透行动。攻击者利用伪装文档、钓鱼邮件以及虚假的远程桌面配StrelaStealer在内的恶意软件，窃取关键数据并获取远程控制权限。此外，一些俄罗斯支持的网络团体更是利用高9月，俄罗斯Gamaredon组织通过鱼叉式网络钓鱼邮件针对乌克兰军事人员发动攻击。攻击邮件内含恶意利用伪装的远程桌面协议（RDP）配置文件对全球高价值目标发动攻击，受美国及其它西方国家面临来自多支黑客组织的持续网络攻击，这些攻击者均采用不同的手织疑似与东欧、朝鲜或俄罗斯有关联，通过大规模传播恶意软件、利用个性化钓鱼诱饵、伪装招聘信息或部署虚假SMS域名，试图窃取在线账户、敏感技术信息和经济利益。其中，不少攻击针对国防、航空航天、核能、金融及科8月中旬，俄罗斯Calisto组织对美国及其他西方国家发动“RiversofPhish”行动。攻击者主要利用社会工程9月，UNC2970组织以“职位空缺”为幌子，伪装成知名公司招聘人员，向目标投递网络钓鱼邮件，并植入2024年下半年，通信及软件信息技术服务、政府和金融行攻击者普遍采用钓鱼攻击、木马后门、漏洞利用等手段，结合社会工程学进行渗透，部分攻击还涉及勒索软件2024年下半年，通信及软件信息技术服务行业持续面临复杂多变的APT攻击威胁，不同APT组织使用多种攻Lazarus组织常利用钓鱼攻击和木马后门等手段，并结合社会工程学技巧，诱导受害者下载恶意软件，如总体来看，通信及软件信息技术服务行业频繁成为APT攻击的目标，攻击手段多样且复杂，组织通常会结合多例如，APT29利用鱼叉式钓鱼和恶意RDP技术在乌克兰等国展开网络间谍活动，而EarthKasha则通过后门工具对日本目标进行钓鱼攻击。UAC-0099则借助WinRAR零日漏洞攻击乌克兰机构。此外，多家APT组织使用恶意软件投递、以及通过木马后门维持对目标系统的长期控制，不仅窃取敏感数据，还能为长期渗透、金融行业作为国家发展的关键领域，因其巨大的经济利益，长期以来一直是黑客组织重点攻击的目标。2024年续活跃，频繁利用钓鱼攻击诱导受害者泄露凭证，并借助整体来看，金融行业仍是APT攻击的主要目标之一。黑客组织不仅依靠社会工程学技巧发动钓鱼攻击，还广泛总体来说，2024年下半年APT织频繁活动。随着技术的发展和迭代，针对通信及软件信息技术行业的攻击活动逐渐增多；APT组织开始利用勒索软件并结合定制软件来进一步获取经济收益；而组织供应链上任何一个薄弱环节都可能成为黑客组织攻击成功的踏板。为应对未来日益复杂的网络安全威胁，天际友盟提醒各组织应制定全面的防护策略，以提升整体的安全能力。时间APT事件时间APT事件BITTER BITTERBITTER BITTERGoldenJackalGoldenJackal组织再度活跃，袭击BlackJackB