《天際友盟：2024年上半年全球主要APT攻擊活動報告（24頁）.pdf》由會員分享，可在線閱讀，更多相關《天際友盟：2024年上半年全球主要APT攻擊活動報告（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、雙子座實驗室2024-072024 年上半年全球主要 APT 攻擊活動報告2024 年上半年全球主要 APT 攻擊活動報告P3 概述P5 APT 組織攻擊數據披露P9 重大 APT 攻擊活動P15 總結P15 附錄contents目錄3概述012024 年上半年，天際友盟持續對 APT 組織及其活動進行追蹤總結，總共披露了全球 100 個 APT 組織的 187 起攻擊活動，通過對其中出現的威脅組織及 TTP 的具體分析，我們總結出 2024 年上半年 APT 組織活動攻擊特點如下：地緣政治類 APT 攻擊活動擁有核心地位針對我國的 APT 組織呈現多元化攻擊特點APT 組織實力增強，零日漏洞

2、利用率大幅提升從全局來看，2024 年上半年，國際環境愈加復雜，地緣政治緊張局勢在一定程度上加速了國家級 APT 組織的崛起與發展。在此期間，俄烏戰爭和巴以武裝對抗持續進行，亞太、中東和歐美三大地區的主要國家普遍擁有更高的科技水平和強大的國家級 APT 組織實力，這些地區間存在長期的政治博弈，因此，地緣政治驅動的 APT 活動在這些區域中占據了核心地位。從攻擊國家來看，中國在 2024 年上半年仍然是 APT 組織的首要目標。各 APT 組織也展示了不同的攻擊特征和目標。例如，高度活躍的銀狐團伙主要借助即時通訊工具、搜索引擎瞄準財務人員；新出現的黑產組織“amdc6766”主要通過供應鏈投毒針

3、對運維人員；“FaCai”團伙則利用熱點事件對國內企事業單位展開定向攻擊。此外，還有專門以間諜活動為目的的知名 APT 組織，如印度的“BITTER”和“SideWinder”，通過魚叉式網絡釣魚和漏洞利用等手段，滲透中國的軍事、科研和制造等關鍵領域。這些多樣化的 APT 活動對我國政府、軍事、通信等領域網絡安全構成了嚴峻挑戰。從 攻 擊 手 段 來 看，2024 年 上 半 年，多 個 APT 組 織（如 UAT4356、UTA0178 和 UNC5221）成 功 利 用Microsoft、Aiohttp、Palo Alto Networks 和 Cisco 等知名公司產品的零日漏洞，發起了

4、多起網絡攻擊。這些攻擊不僅展示了攻擊者在技術上的成熟度，還反映出 APT 組織的整體實力和技術能力顯著增強。42024 年上半年全球主要 APT 攻擊活動報告AI 或將與網絡釣魚聯系得更加緊密從未來發展來看，隨著人工智能（AI）技術在金融、醫療、法律等諸多行業的廣泛應用，AI 系統成為了處理大量敏感數據的關鍵平臺。這種數據的高價值屬性使得黑客組織對其產生了濃厚的興趣。攻擊者正在嘗試通過網絡釣魚等手段，獲取對 AI 系統的訪問權限，以便進一步竊取或操控關鍵信息。已經發現有組織如 UNK_SweetSpecter 組織利用了與 AI 相關的主題作為誘餌郵件，針對美國 AI 研究機構投遞 Sugar

5、Gh0st RAT。此外，AI 技術本身也在被用于增強網絡釣魚攻擊的效果。隨著技術的發展，未來網絡釣魚攻擊與 AI 技術的結合可能會成為一個新興趨勢。這意味著黑客可能會利用 AI 來優化釣魚郵件的個性化程度，或者使用 AI 生成的深度偽造技術（deepfake）來模擬真實的人物或場景，以此欺騙目標人群。5APT 組織攻擊數據披露02天際友盟根據自有平臺 RedQueen 中記錄的 187 起 APT 攻擊事件（主要涵蓋知名組織及有影響力的攻擊），對2024 年上半年 APT 組織攻擊數據進行披露如下：2.1 Top10 活躍組織2024 年上半年 TOP 10 活躍 APT 組織統計如下：Ki

6、msukyAPT44APT28LazarusTransparent Tribeamdc6766APT37KonniTurlaFIN7Charming KittenMuddyWater銀狐圖 1 2024 年上半年 TOP 10 活躍 APT 組織圖 1 顯示，2024 年上半年，朝鮮 APT 團伙 Kimsuky 在攻擊頻率上位居榜首，重點攻擊中國財務人員的銀狐團伙勢頭正猛，依然穩坐第二名，另外一個朝鮮組織Lazarus活動頻率顯著下降，相反俄羅斯APT28組織活動明顯增多，兩者并列第三。較 2023 年而言，巴基斯坦 Transparent Tribe 組織活動有所增加，現排名第四。此外，新

7、興黑產團伙 amdc6766 也開始嶄露頭角，對軟件供應鏈行業構成巨大威脅。62024 年上半年全球主要 APT 攻擊活動報告2.2 Top10 攻擊目標2.3 Top10 攻擊行業2024 年上半年 APT 組織攻擊的目標國家 TOP 10 統計如下：2024 年上半年 APT 組織攻擊的目標行業 TOP 10 統計如下：根據圖 2 數據顯示，2024 年上半年我國繼續成為 APT 攻擊的首要目標國，俄羅斯和美國并列第二，印度和韓國地區的排名有所上升，升至第三位。與此同時，烏克蘭和以色列因各自持續的戰爭狀態，目前排名第四。從整體分布來看，APT 活動依舊集中在亞太、中東和歐美三大地區，這表明

8、地緣政治的影響在網絡空間中仍然非常顯著。中國通信及軟件信息技術服務社會組織日本美國印度政府俄羅斯韓國國防軍工金融烏克蘭以色列教育與科研白俄羅斯制造業能源交通運輸波蘭巴基斯坦緬甸圖 2 2024 年上半年 TOP 10 APT 組織攻擊目標圖 3 2024 年上半年 APT 事件攻擊行業分布 TOP 1072.4 主要攻擊手段根據圖 3 數據發現，涉及通信和軟件信息技術行業的攻擊事件占比為 25.33%，其次政府和國防軍工部門分別占比 17.90%和 12.66%。相較于 2023 年，金融攻擊事件有所增加，占比 9.17%，升至第四位。廠商（漏洞數）針對系統、組件或服務漏洞號Microsoft

9、（5）365_apps，Office，OutlookCVE-2023-23397Windows、Windows ServerCVE-2024-21412CVE-2022-38028CVE-2024-21338OfficeCVE_2017_11882Ivanti（2）Connect_secure，Policy_secure，Neurons_for_zero-trust_accessCVE-2024-21893Connect_secure，Policy_secureCVE-2023-46805Rarlab（1）WinrarCVE-2023-38831PHP，Fedoraproject（1）php，

10、fedoraCVE-2024-4577釣魚攻擊水坑攻擊僵尸網絡木馬后門魚叉式網絡釣魚漏洞利用供應鏈攻擊社會工程學勒索軟件圖 4 2024 年上半年 APT 組織主要攻擊手段2024年上半年APT組織主要攻擊手段統計如下：圖 4 顯示，APT 組織依舊采用木馬后門、釣魚攻擊和漏洞利用作為主要攻擊手段。不過，相較上半年而言，供應鏈攻擊和社會工程學活動明顯增多。表 1 詳細列出了 2024 年上半年 APT 組織最頻繁利用的漏洞，以及它們所針對的廠商和軟件產品。82024 年上半年全球主要 APT 攻擊活動報告廠商（漏洞數）針對系統、組件或服務漏洞號Oracle（1）Weblogic_serverC

11、VE-2017-3506Cisco（1）Adaptive_security_appliance_software，Firepower_threat_defenseCVE-2024-20353Paloaltonetworks（1）Pan-osCVE-2024-3400Connectwise（1）ScreenconnectCVE-2024-1709Igniterealtime（1）OpenfireCVE-2023-32315Aiohttp，Fedoraproject（1）Aiohttp，FedoraCVE-2024-233342024 年上半年，軟件供應鏈的安全形勢依然嚴峻。根據表一的數據，APT

12、 組織主要通過利用知名軟件廠商產品中的漏洞，尤其是零日漏洞，作為入侵目標系統的主要手段。具體而言，微軟公司的 Office 套件和 Windows 操作系統是首要攻擊目標。APT 組織頻繁利用這些軟件中的未修復漏洞，進行各類復雜的攻擊活動。此外，Ivanti 公司的產品也成為 APT 組織高度關注的另一個重要攻擊目標，其多款產品頻繁遭受攻擊。為了提升攻擊成功率，APT 組織往往結合社會工程學手段，精心設計釣魚郵件和惡意文檔，誘使用戶點擊和執行惡意代碼，從而實現對系統的全面控制。表 1 2024 年上半年 APT 組織最常用漏洞利用列表9重大 APT 攻擊活動033.1 地緣政治活動2024 年

13、上半年，全球網絡空間安全形勢日益復雜，國家級 APT 攻擊呈現出前所未有的嚴峻態勢。這些攻擊行為通常由一個或多個國家提供支持，擁有充足的資金、先進的技術和高素質的人才隊伍。攻擊者能夠利用復雜的技術手段，跨越地理疆界，在虛擬空間中進行精準打擊，使得國際網絡空間安全成為了一場無聲但激烈的較量。這類攻擊不僅對國家安全構成重大威脅，還給商業實體和公民個人信息安全帶來了巨大挑戰。接下來，我們將從地緣政治的角度，重點關注亞太、中東和歐美三大地區的網絡安全態勢，分析主要國家的 APT 攻擊活動特點及其潛在影響。3.1.1 亞太地區亞太地區作為全球經濟增長的重要引擎和科技創新的前沿陣地，其復雜的地緣政治格局和

14、快速發展的數字經濟環境，使之成為國家級 APT 攻擊的重點關注區域。在這一區域，APT 攻擊呈現出高度精準、持續性強和戰略目標明確的特點，主要針對政府機構、關鍵基礎設施、高新技術企業以及金融機構等高價值目標。在亞太地區，APT 活動的主要目標國家包括但不限于中國、韓國、印度等地區大國和新興經濟體。這些國家由于在地區事務中扮演重要角色，且擁有先進的科技實力，因此成為 APT 攻擊的重點目標。3.1.1.1 針對我國我國作為全球第二大經濟體，其龐大的市場和復雜的網絡環境使其成為 APT 組織的首選目標。攻擊活動不僅針對政府、軍事、科研、金融，還擴展到通信、建筑、制造等關鍵基礎設施。近期，針對我國的

15、 APT 活動呈現多元化趨勢，各組織展現出不同的攻擊特征和目標。除了以財務人員為主要目標的銀狐團伙，還出現了 amdc6766 新黑產組織，其通過供應鏈攻擊針對運維人員；FaCai 團伙則利用熱點事件對國內企事業單位進行定向攻擊。同時，以間諜活動為目的的知名 APT 組織，如印度的 BITTER 和 SideWinder，正通過魚叉式網絡攻擊和漏洞利用等手段，滲透我國軍事、科研和制造等關鍵領域。這些多元化的 APT 活動對我國網絡安全構成嚴峻挑戰。2024 年 1 月，amdc6766 黑產組織利用多種攻擊手段，包括仿冒官方軟件網站頁面(AMH、寶塔、Xshell、Navicat)、供應鏈投毒

16、(LNMP、OneinStack)和公開 web 漏洞等，針對性地對 IT 運維人員進行攻擊。一旦運維人員從仿冒頁面或官方平臺下載并執行含有惡意代碼的部署工具，便會與攻擊者的 C2 服務器建立 DNS 隧道連接。通過定向投毒運維部署工具，amdc6766 長期遠控低價值主機作為肉雞，然后擇機選擇高價值目標進行深度控制。隨后下發 Rootkit 和代理工具，伺機從事各類黑產活動，進而給用戶造成損失。1 月-6 月，銀狐黑產團伙通過社交聊天軟件、郵件附件投遞釣魚文件或釣魚鏈接 URL，偽裝成知名軟件安裝包、國家稅務總局等方式，通過財務相關以及核酸檢測退費等熱點事件進行針對性的傳播。其攻擊對象主要為

17、企業單位中的財務、稅務工作人員，其次為教育、電商、貨運、設計等行業人員。期間，值得一提的是廣州某科技公司開發的一款終端安全管理軟件 IP-*ard 還被攻擊者靈活打包后進行投放，用作遠控工具。1 月中旬，印度 BITTER 組織試圖通過魚叉式釣魚攻擊手段投遞 wmRAT 后門程序，以竊取我國軍事機密。102024 年上半年全球主要 APT 攻擊活動報告1 月末，Blackwood 組織使用名為 NSPX30 的復雜惡意軟件對包括中國科研院校、制造、貿易、工程等領域的公司和個人進行網絡間諜攻擊。通過實施 AitM 攻擊，即劫持 WPS Office、騰訊 QQ 即時通訊平臺和搜狗拼音文檔編輯器等

18、合法軟件的更新請求來傳播NSPX30惡意軟件，同時將攔截NSPX30生成的流量，以隱藏其活動及C2服務器。2 月末，UTG-Q-007 新黑客團伙針對中國等亞洲國家的建筑、房產營銷、互聯網等多個行業發起攻擊并傳播ROTbot 木馬以竊取加密貨幣、知識產權、社交賬號等敏感數據。3 月，主要針對中國的個人用戶實施網絡間諜活動的 Daggerfly 組織采用水坑攻擊和供應鏈攻擊手段下發偽裝為藏語翻譯軟件的木馬安裝程序，進一步部署 MgBot 后門以及新型后門 Nightdoor。4月，越南新黑客團伙CoralRaider對包括中國在內的國家發動數據竊取活動。月末，FaCai團伙圍繞“違規處罰”、“清

19、明節調休”、“征信黑名單”等關鍵詞命名誘餌文件，對國內企事業單位發起釣魚攻擊，并最終投遞 Gh0st 木馬。5 月，Timitator 新威脅組織采取魚叉式釣魚、歷史漏洞利用等方式獲取主機初始訪問權限，并使用了一種新的由 RUST 語言編寫的遠控工具對我國的能源、高校、科研機構及軍工等行業進行攻擊。5 月末，東亞新團伙UTG-Q-010 使用與游戲、AI 相關的內容針對中國用戶發起釣魚攻擊。6 月末，印度 SideWinder 組織使用大量新的攻擊組件以及可影響 office 2007、2013、2016 等辦公軟件的歷史漏洞 CVE-2017-11882，來竊取對國內高校和政府機構的機密數據

20、。3.1.1.2 針對韓國朝鮮與韓國之間的政治關系依然緊張且不穩定，盡管偶爾存在對話與合作的跡象，但兩國之間的深層次分歧和歷史遺留問題使得兩國關系時常處于緊張狀態，軍事對峙和外交摩擦持續影響著朝鮮半島的穩定。兩國間發生了一系列網絡攻擊事件，但目前披露的 APT 事件主要集中于韓國一方。其中，具有朝鮮國家背景的 APT37、Kimsuky、Lazarus 及其子組織（如 Andariel）是主要的攻擊力量。它們的攻擊目標涵蓋了韓國的政府、金融、數字貨幣領域及學術界，尤其是與朝鮮政治、人權和安全相關的個人和組織。攻擊者采用了多種技術手段，包括社會工程學、魚叉式網絡釣魚、利用云存儲服務作為攻擊平臺、

21、偽裝合法軟件以及利用合法軟件更新機制植入后門等，旨在實現信息竊取、持續性滲透和加密貨幣挖礦等目的。此外，攻擊者不斷更新其戰術和工具，如開發新的 Linux 后門 Gomir 和能夠繞過主流電子郵件服務安全措施的 TRANSLATEXT 擴展，顯示出其技術能力的不斷提升和對目標的深入了解。1 月，朝鮮 Kimsuky 組織利用偽裝為韓國軟件公司 SGA 旗下產品安裝程序實施竊密行動。同月，該組織利用dropbox 云端針對數字貨幣或金融領域相關人士。2 月初，朝鮮 APT37 冒充網絡研討會主辦方，以“2023 年朝鮮形勢評估和 2024 年展望”為活動主題分發ROKRAT 木馬，以進行信息收集

22、活動。3 月初，朝鮮 APT37 多次利用朝鮮政治話題誘餌，針對韓國在朝鮮政治主題相關的研究人員下發 ROKRAT 木馬以竊取信息。中旬，朝鮮 Lazarus 旗下的 Andariel 組織對韓國企業發起持續性攻擊，利用韓國資產管理解決方案安裝惡意軟件 AndarLoader 和 ModeLoader。3 月末，朝鮮 Kimsuky 組織偽造攜帶惡意代碼的韓國某事業單位的安裝程序，下發 Endoor 后門。朝鮮 Konni組織以虛擬貨幣行業監管條例和法律文檔為誘餌向韓國虛擬貨幣行業參與者投遞 AutoIt 惡意腳本。4 月末，朝鮮 Kimsuky 組織在針對韓國的 TutorialRAT 惡意

23、軟件活動中，發動魚叉式網絡釣魚攻擊，偽裝韓國政策會議、咨詢會議、調查問卷、講座指導等 HTML 頁面類型方式，并采取新戰術，通過利用合法的 DropBox 云存儲作為攻擊基地，以逃避威脅監控范圍。朝鮮 APT37 通過與朝鮮人權專家相關的釣魚郵件，投遞 RokRat 遠控程序。11朝鮮 Kimsuky 組織利用 eScan 防病毒軟件的更新機制在大型企業網絡上植入后門，并通過 GuptiMiner 惡意軟件傳播加密貨幣礦工軟件。5 月，Kimsuky 組織使用新 Linux 后門 Gomir 攻擊韓國。月末，該組織偽裝成在韓國從事朝鮮人權領域工作的公職人員，并試圖通過在線好友請求和專用信使來接

24、觸主要的朝鮮和安全相關工作人員。Kimsuky 還利用SmallTiger 惡意軟件瞄準韓國國防、汽車零部件、半導體制造公司。6 月，朝鮮 Kimsuky 組織部署可繞過 Gmail、Kakao 和 Naver 等多家著名電子郵件服務服務商安全措施的TRANSLATEXT 擴展以重點針對韓國學術界，尤其是參與朝鮮事務相關的政治研究人員。3.1.1.3 針對印度亞洲地區的第三大 APT 攻擊活動高發區域無疑是南亞地區。南亞地區的政治對抗則主要集中在印度與巴基斯坦之間，兩國目前的政治狀況是歷史遺留問題、軍事對抗、恐怖主義、安全競爭及民族主義情緒交織構成的復雜局面。在此政治背景下，具有巴基斯坦政府背

25、景的 APT 組織如 Transparent Tribe、SideCopy 和 Cosmic Leopard 針對印度發起了多起網絡攻擊。這些組織采用多種攻擊手段，包括通過社交軟件傳播偽裝應用、使用 ZIP 文件和 LNK 附件投遞遠控木馬以及通過惡意網站鏈接啟動復雜感染流程等。攻擊行業涵蓋了政府、軍事、教育等多個關鍵領域。攻擊目的主要是收集情報、竊取數據和進行網絡間諜活動。1 月初，具有巴基斯坦政府背景的 Transparent Tribe 組織通過 Whatsapp 等社交應用針對 Android 平臺下發偽裝成Aadhaar、Training Pics、Student Profile等程

26、序的APK安裝包，旨在部署RlmRat的精簡版本以攻擊印度用戶。1 月末，Transparent Tribe 再次通過偽裝成聊天軟件的惡意樣本，并配合遠程控制框架 Lazaspy 針對印度軍方發起釣魚攻擊，旨在控制受害者設備和采集信息的目的。4 月，巴基斯坦 SideCopy 組織利用包含惡意 LNK 附件的 ZIP 文件針對印度政府投遞遠控木馬。5 月中旬，SideCopy 組織繼續瞄準印度大學生，通過包含指向惡意網站的超鏈接，啟動一系列復雜的感染步驟，最終導致 ReverseRat 等惡意軟件有效負載的部署。6 月中旬，專注于間諜監視活動的巴基斯坦 Cosmic Leopard 組織持續使

27、用 GravityRAT 和 HeavyLift 惡意軟件，針對印度實體發動了一項名為 Operation Celestial Force 新惡意軟件活動。3.1.2 中東地區中東地區的 APT 活動與區域內的政治沖突緊密相連。隨著巴以沖突的武裝對抗持續加劇，以及雙方支持者的網絡行動主義行為不斷升級，網絡攻擊事件的頻率和烈度顯著上升。在這一背景下，伊朗的政治立場對中東地區形成了獨特的戰略格局。伊朗致力于在中東地區建立其政治和戰略霸權，并堅決反對美國及其盟國的干預政策。其行動不僅受內部政治和宗教因素的驅動，還與國際關系密切相關。特別是，伊朗長期以來與以色列保持敵對狀態，強烈反對以色列在巴勒斯坦問

28、題上的政策。因此，與伊朗國家有關聯的 APT 團體，其行動往往深受國家政治利益的驅動。這些組織通常將敵對國家的政府機構和地緣政治競爭對手作為主要攻擊目標，利用網絡空間進行網絡偵察、情報收集及破壞性行動，以期在戰略層面獲得有利地位。在當前中東復雜多變的政治環境中，這些網絡攻擊行為無疑加劇了地區的緊張氛圍和安全挑戰。今年 2 月與哈馬斯相關的 APT-C-23 組織通過冒充以色列國家網絡管理局(INCD)的電子郵件，誘騙讀者下載以 安全補丁 形式出現的適配多系統版本的惡意文件，進而部署 Samecoin 惡意軟件。1 月初，伊朗組織 Homeland Justice 發動名為#DestroyDur

29、resMilitaryCamp 的旨在消滅恐怖分子的支持者的活動，利用 No-Justice Windows 擦除器瞄準了阿爾巴尼亞航空、通信、議會等領域，而阿爾巴尼亞都拉斯市正是持不同政見的伊朗人民圣戰者組織(MEK)的所在地。122024 年上半年全球主要 APT 攻擊活動報告1 月下旬，伊朗 APT35 間諜組織的附屬組織對比利時、法國、加沙、以色列、英國以及美國的大學和研究組織中從事中東事務的知名人士發起了攻擊，旨在推送后門惡意軟件，進而竊取機密信息。2 月末，伊朗 Charming Kitten 創建了一個虛假的網絡研討會門戶網站，并通過名為 BASICSTAR 的新型后門對中東政策

30、專家發動了一系列釣魚攻擊。伊朗 UNC1549 瞄準伊朗在內的中東國家的國防、航空航天部門，通過釣魚攻擊傳播包含以色列哈馬斯相關內容或虛假工作機會的虛假網站鏈接，最終導致主機下載 MINIBIKE 或 MINIBUS 惡意負載。3 月末，歸屬于伊朗情報與安全部的 TA450 使用與薪酬有關的誘餌來針對以色列員工。伊朗間諜組織 APT33 通過模仿合法的人力資源軟件，利用虛假的工作招聘流程來欺騙美國航空航天的求職者安裝 FalseFont 后門。4 月初，在針對哈馬斯的 Swords of Iron War 活動期間，伊朗攻擊者加大了對以色列私營企業的黑客攻擊強度。期間，伊朗 MuddyWate

31、r 組織便使用了一個先前未記錄的 C2 框架：DarkBeatC2。4月末，伊朗MuddyWater瞄準了以色列、印度、阿萊格里亞、土耳其等國家的航空、IT、電信、制藥、物流等領域，通過合法 Atera Agent 遠控工具獲取了初始訪問權限。5 月初，代表伊斯蘭革命衛隊情報組織(IRGC-IO)運作的伊朗 Charming Kitten 使用增強的社會工程學策略訪問受害者網絡(包括云環境)，目標是西方和中東非政府組織、媒體、學術界、法律服務機構和人權活動家。3.1.3 歐美地區歐美地區作為全球政治經濟的核心樞紐，始終是 APT 攻擊的主要舞臺。這些攻擊活動主要集中在情報搜集、政治干預和偵察領

32、域，具有高度的戰略性和復雜性。在這一地區，APT 攻擊活動主要涉及對烏克蘭和美國的網絡攻擊。攻擊者的目標包括竊取敏感的政治情報、破壞關鍵基礎設施，以及對金融市場實施操控性干預。這些攻擊不僅威脅到國家安全，還可能對經濟穩定和政治局勢產生深遠影響。具體而言，針對烏克蘭的攻擊多集中于獲取有關政治和軍事的情報，以支持相關國家的地緣政治目標。而針對美國的攻擊則涉及更廣泛的領域，包括破壞金融市場穩定以及對關鍵基礎設施的潛在威脅。3.1.3.1 針對烏克蘭2024 年上半年，由俄羅斯國家支持的多個 APT 組織（如 Calisto、Winter Vivern、APT28 和 APT44）在對烏克蘭的網絡攻擊

33、中展現出明顯的特點。首先，這些組織擴展了攻擊手段，如從最初的憑證網絡釣魚轉向利用 PDF 文檔傳播惡意軟件。其次，它們主要針對政府、軍隊和基礎設施等關鍵目標，并且特別收集關于政治和軍事活動的情報。再者，攻擊者加大了對烏克蘭的攻擊力度，通過供應鏈投毒實現大規模破壞行動?？傮w而言，這些攻擊活動呈現出多樣化、目標明確、技術手段復雜以及對特定區域的高度集中性特點。1 月末，專注于針對非政府組織中的知名人士、前情報和軍官、北約組織以及各國政府進行憑據網絡釣魚活動的由俄羅斯國家支持的 Calisto 組織不再局限于憑證網絡釣魚，開始通過使用 PDF 作為誘餌文檔來傳播惡意軟件。2 月末，俄羅斯 Winte

34、r Vivern 組織利用 Roundcube 網絡郵件服務器中的跨站腳本(XSS)漏洞針對主要位于格魯吉亞、波蘭和烏克蘭的 80 多個組織，目標實體涵蓋政府、軍隊和國家基礎設施，目的是收集有關歐洲政治和軍事活動的情報。3 月下旬，俄羅斯 APT28 組織在全球范圍內開展大規模網絡釣魚活動，通過冒充來自烏克蘭等多個國家的實體，利用真實公開的政府和非政府誘餌文件(內容涉及金融、關鍵基礎設施、高層會晤、網絡安全、海上安全、醫療保健、商業和國防工業生產等領域)來激活感染鏈。4 月下旬，俄羅斯 APT44 組織利用新的名為 Kapeka 的后門針對東歐地區(如愛沙尼亞和烏克蘭)。該組織還實13施了破壞

35、烏克蘭共 10 個地區的 20 個能源、水和供暖供應商的信息和通信系統穩定運行的惡意行動，且攻擊者主要通過毒害供應鏈來提供受感染或易受攻擊的軟件，或通過軟件供應商訪問組織系統來滲透目標網絡。隸屬于俄羅斯總參謀部(GRU)情報總局 26165 軍事部隊的 APT28 組織持續利用 Windows Print Spooler 漏洞(CVE-2022-38028)和一種名為 GooseEgg 的新型入侵后自定義工具來提升權限并竊取憑證，其攻擊目標包括烏克蘭、西歐和北美的政府、非政府組織、教育和交通部門。6 月初，APT28 組織分三個階段部署了 HeadLace 惡意軟件，并利用憑證收集網頁發起了一

36、系列針對包括烏克蘭國防部、歐洲交通基礎設施以及阿塞拜疆的智庫等領域的惡意攻擊活動。3.1.3.2 針對美國針對美國的攻擊主體涵蓋了國家支持的 APT 組織（如伊朗的 APT35）和跨國犯罪集團（如 BogusBazaar 和Smishing Triad），攻擊目標主要集中政府機構、金融部門、科技公司、學術機構和關鍵基礎設施，反映了這些行業在美國國家政治經濟中的核心地位及其面臨的持續威脅。攻擊組織的地理分布凸顯了中東地區（如伊朗）、俄羅斯以及其他地區與美國之間的地緣政治緊張關系。同時，針對加密貨幣公司和金融機構的攻擊表明了網絡犯罪分子對金融的關注，可能影響全球金融體系的穩定。這些攻擊還反映了技術

37、創新（如 AI 主題誘餌）、信息操縱（如偽裝政府實體）和關鍵基礎設施滲透（如針對防火墻的零日漏洞攻擊）在現代網絡戰略中的重要性。1 月下旬，伊朗網絡間諜組織 APT35 的一個子組織針對美國的大學發起了攻擊，旨在推送后門惡意軟件，進而竊取機密信息。2 月初，通常只在美國納稅期間的前幾個月活躍，并主要針對北美地區的會計和金融組織開展以稅收為主題的網絡電子郵件釣魚活動的 TA576 組織卷土重來。3 月初，Scattered Spider 使用名為 CryptoChameleon 的先進網絡釣魚工具包針對美國聯邦通信委員會(FCC)以及包括 Binance、Coinbase、Kraken 和 Ge

38、mini 在內的加密貨幣公司發起釣魚攻擊。TA4903 黑客組織冒充美國的多個政府實體(包括美國勞工部、住房和城市發展部、交通部、商務部、農業部和美國小企業管理局)，實施商業電子郵件泄露(BEC)攻擊。3 月末，UNC5174 組織利用 F5 BIG-IP 漏洞 CVE-2023-46747 和 ScreenConnect 漏洞 CVE-2024-1709 對東南亞和美國的教育機構、慈善機構、非政府組織等發起攻擊，部署了名為的 GOREVERSE 由 Go 語言編寫的后門。4 月中旬，美國 Palo Alto Networks 公司 PAN-OS Global Protect 防火墻設備中的

39、CVE-2024-3400 零日漏洞遭到 UTA0218 組織利用，被植入了一種基于 Python 的新型自定義后門：UPSTYLE。4 月下旬，具有俄語背景的出于非法經濟犯罪目的的 FIN7 黑客組織通過偽裝為合法網站的惡意掃描器網站，針對美國一家大型汽車制造商部署 Anunak 后門程序。5 月初，運營著一個由超過 75,000 個域名組成的龐大網絡的 BogusBazaar 犯罪集團通過經營假冒網上商店，對大部分來自西歐和美國的超 850,000 名受害者實施了信用卡信息竊取，金錢詐騙等惡意活動。5 月下旬，UNK_SweetSpecter 組織發起了一項 SugarGh0st RAT

40、活動，通過使用免費的電子郵件帳戶發送了以AI 為主題的誘餌，目標是美國參與人工智能工作的組織，包括學術界、私營企業和政府服務機構。5 月末，UAC-0188 組織利用利用微軟著名掃雷游戲的 Python 克隆代碼版本來隱藏針對歐洲和美國金融組織的惡意腳本，進而實施釣魚攻擊。6 月中旬，Smishing Triad 團伙使用本地電話號碼偽裝為當地郵局或公司，針對美國等多個國家和地區發起了短信釣魚活動。142024 年上半年全球主要 APT 攻擊活動報告3.2 重點行業攻擊在 2024 年上半年，全球范圍內的通信及軟件信息技術服務、政府與國防軍工、金融等關鍵行業均遭遇了不同程度的網絡攻擊。特別是

41、APT 組織通過精心策劃的針對性網絡釣魚攻擊、利用零日漏洞等技術手段，意圖竊取敏感數據或獲取經濟利益。這些攻擊不僅對企業和機構的運營造成了嚴重威脅，也對國家安全和金融穩定性提出了新的挑戰。接下來，我們將深入探討這些行業所面臨的具體攻擊特征及其潛在影響。3.2.1 針對通信及軟件信息技術服務行業的攻擊2024 年上半年，通信軟件和信息技術行業仍然是 APT 攻擊的主要目標，其中運維、加密貨幣和人工智能領域尤其脆弱。攻擊者主要通過虛假招聘、偽裝應用程序、利用零日漏洞和供應鏈攻擊等手段進行滲透，目的多為竊取敏感信息，以用于政治對抗或經濟利益。近期被利用的重要零日漏洞包括 CVE-2024-21412

42、、CVE-2024-26169、CVE-2024-23334、CVE-2024-3400、CVE-2024-21338、CVE-2024-20353、CVE-2024-20359 等，主要涉及 Microsoft、Aiohttp、Palo Alto Networks、Cisco 等知名公司的產品。在針對軟件行業的 APT 組織中，amdc6766、Lazarus、UNK_SweetSpecter 三個組織尤為活躍。其中，amdc6766 主導多起供應鏈攻擊，通過在官方安裝包中植入惡意鏈接，針對國內運維人員進行投毒攻擊。其目標是控制低價值主機作為跳板，進而滲透高價值目標。Lazarus 專注于區

43、塊鏈行業，在各大招聘平臺上偽裝身份，誘使目標運行含有信息竊取程序的代碼。UNK_SweetSpecter 則利用 AI 相關主題的誘餌郵件，針對美國 AI 研究機構，投遞 SugarGh0st RAT 遠程訪問木馬。3.2.2 針對政府與國防軍工行業的攻擊政府與國防軍工行業對國家安全和戰略利益至關重要。因此，2024 年上半年，這兩個領域繼續受到黑客組織的頻繁攻擊。與此同時地緣政治的持續影響也使得這些行業成為主要目標。在攻擊策略上，黑客組織采取了多種手段，一方面，它們針對國防軍工、外交和安全部門的人員，發送偽裝成合法的釣魚郵件，以竊取敏感信息。另一方面，黑客組織還利用零日漏洞，部署一系列定制的

44、惡意軟件，用于間諜活動和信息竊取。其中，值得關注的幾起事件包括朝鮮 Konni 組織利用偽裝為俄羅斯外交部使用的數據統計軟件樣本，竊取敏感信息。UTA0178 和 UNC5221 等黑客組織利用 Ivanti Connect Secure VPN 設備中的兩個零日漏洞來部署多個定制的惡意軟件系列以用于間諜目的。3.2.3 針對金融行業的攻擊金融行業作為國家發展的關鍵行業，因其潛在的巨大經濟利益，一直以來都是黑客組織攻擊的主要目標。因此，2024年上半年，金融行業依舊是黑客組織的重點攻擊對象。與以往一樣，這些攻擊受到了政治和經濟雙重因素的影響。2024 年上半年的金融行業攻擊手段主要包括傳統的釣

45、魚攻擊、木馬后門部署以及漏洞利用等方式。值得特別關注的黑客組織包括銀狐團伙、SecretCrow 語音釣魚團伙和 Savvy Seahorse 等。其中，銀狐團伙對我國構成了較大的威脅，持續進行針對性的攻擊。SecretCrow 語音釣魚組織則通過構建一系列偽裝成執法機構和金融機構的釣魚頁面，并開發惡意 Android 應用程序，誘騙韓國受害者訪問釣魚網站。這些釣魚頁面及應用程序（如 SecretCalls Loader 和 SecretCalls）旨在竊取受害者的資金，用于金融欺詐。Savvy Seahorse 組織采用了 DNS CNAME 記錄創建一個流量分配系統（TDS），以支持其金融

46、詐騙活動并規避檢測。此外，該組織還使用聊天機器人與受害者互動，誘使他們進行大額投資，從而實現詐騙過程的自動化。這些攻擊手段和策略顯示了金融行業面臨的持續和復雜的網絡安全威脅，也反映出黑客組織在攻擊技術上的不斷演進。15總結附錄0405為應對未來日益復雜的網絡安全威脅，天際友盟提醒各組織應實施全面的防護措施，以提升整體安全能力。首先，需加強對地緣政治驅動的 APT 攻擊的監控與防御，借助情報共享平臺和國際合作機制，針對國家級 APT 組織的活動展開有效的遏制與應對。這包括建立跨國應急響應小組和信息共享網絡，以便迅速識別并處理潛在威脅。其次，針對中國及其他主要目標國家的 APT 攻擊活動呈現出的多

47、樣化特征，各組織應制定具體的安全防護策略，特別是在對財務人員、運維人員等關鍵崗位的保護上，實施定制化的安全措施和定期培訓。應注重提升對新興攻擊手段的識別能力，并結合實際情況優化防御策略。再次，應加強對零日漏洞的檢測與響應能力。組織需要建立高效的漏洞管理體系，實施實時漏洞掃描和修補，以盡早發現并修復系統中的安全漏洞，降低被攻擊的風險。最后，隨著人工智能（AI）技術在各行業的廣泛應用，應強化對 AI 系統的安全防護。組織應發展先進的檢測技術，特別是針對 AI 驅動的網絡釣魚攻擊，采取措施防止 AI 生成的深度偽造內容影響系統安全。通過綜合運用這些措施，各組織能夠更有效地提升對未來網絡安全威脅的防御

48、能力，保障系統和數據的安全。時間APT 事件組織名稱攻擊行業6 月 28 日Kimsuky 組織部署 TRANSLATEXT 擴展以針對韓國學術界Kimsuky教育與科研6 月 27 日俄羅斯多個行業遭到 ReaverBits 組織攻擊ReaverBits批發零售、通信及軟件信息技術服務、金融、制造業、社會組織6 月 26 日Kimsuky 組織新型后門 HappyDoor 披露Kimsuky6 月 25 日印度響尾蛇組織近期針對國內的攻擊活動剖析SideWinder政府、教育與科研6 月 24 日SneakyChef 間諜組織利用 SugarGh0st 瞄準政府機構SneakyChef政府6

49、 月 24 日游蛇黑產團伙針對財稅人員分發惡意木馬銀狐表 2 2024 年上半年 APT 組織活動時間表162024 年上半年全球主要 APT 攻擊活動報告時間APT 事件組織名稱攻擊行業6 月 24 日APT-C-56 通過 Linux 桌面文件投遞 Poseidon 惡意組件Transparent Tribe6 月 24 日Boolka 組織使用 BeEF 框架構建網頁傳播多種惡意軟件Boolka通信及軟件信息技術服務6 月 21 日Kimsuky 組織疑似以軍工招聘為餌攻擊歐洲Kimsuky國防軍工6 月 21 日UNC3886 組織近期間諜活動詳情披露UNC3886政府、通信及軟件信息

50、技術服務、制造業、國防軍工、能源、公用事業6 月 20 日Void Arachne 組織利用 Winos 4.0 C2 框架攻擊中文用戶Void Arachne6 月 20 日攻擊俄羅斯的 ExCobalt 團伙使用新的 GoRed 后門ExCobalt6 月 19 日針對金融機構的 ONNX Store 網絡釣魚即服務平臺揭秘MRxC0DER6 月 18 日銀狐黑產組織最新攻擊樣本詳細分析銀狐6 月 17 日Operation Celestial Force：Cosmic Leopard 組織針對印度實體的活動追蹤Cosmic Leopard國防軍工、政府、通信及軟件信息技術服務6 月 17

51、 日疑似巴勒斯坦黑客組織 UTA0137 向印度政府傳播 DISGOMOJI 惡意軟件UTA0137政府6 月 17 日Arid Viper 組織利用 AridSpy 木馬開展移動端間諜活動APT-C-236 月 14 日Cardinal 組織利用 Windows 權限升級漏洞作為零日漏洞Storm-1811通信及軟件信息技術服務6 月 14 日Sticky Werewolf 以視頻會議邀請為誘餌攻擊俄羅斯航空航天行業Sticky Werewolf制造業6 月 13 日短信釣魚團伙 Smishing Triad 攻擊范圍擴展至巴基斯坦Smishing Triad交通運輸6 月 13 日Kims

52、uky 組織近期 RandomQuery 活動分析Kimsuky6 月 13 日PHP CGI Windows 平臺遠程代碼執行漏洞遭頻繁利用TellYouThePassLucifer服務業、金融、醫療6 月 12 日REF6127 通過開展招聘主題的釣魚活動部署 WARMCOOKIE 后門REF61276 月 11 日Silver Fox 組織 ValleyRAT 木馬最新變體披露銀狐6 月 10 日ExCobalt 組織持續開發 GoRed 后門以攻擊俄羅斯公司ExCobalt通信及軟件信息技術服務、政府、能源6 月 10 日Commando Cat 組織劫持 Docker 服務器以部署挖

53、礦程序Commando Cat通信及軟件信息技術服務6 月 7 日UAC-0200 利用 DarkCrystal RAT 惡意軟件攻擊烏克蘭關鍵組織UAC-0200政府、國防軍工6 月 7 日Operations ControlPlug：DarkPeony 使用 MSC 文件發動針對性攻擊活動DarkPeony政府、國防軍工6 月 6 日FaCai 團伙通過某翻譯軟件的引流服務實施釣魚攻擊FaCai表 2 2024 年上半年 APT 組織活動時間表17時間APT 事件組織名稱攻擊行業6 月 5 日UNC1151 再次出擊：針對烏克蘭國防部進行釣魚攻擊活動UNC1151國防軍工6 月 4 日俄羅

54、斯 APT28 利用 HeadLace 惡意軟件滲透歐洲關鍵網絡APT28交通運輸、國防軍工、教育與科研6 月 3 日Konni 黑客組織使用俄羅斯政府軟件安裝包進行攻擊Konni政府6 月 3 日UAC-0195 借助流行社交媒體發起以投票為主題的釣魚活動UAC-01955 月 31 日LilacSquid 組織信息公開LilacSquid5 月 31 日FlyingYeti 組織對烏克蘭居民實施釣魚活動UAC-01495 月 31 日8220 Gang 利用 Oracle WebLogic 服務器漏洞部署挖礦程序8220 Gang通信及軟件信息技術服務5 月 30 日Sapphire We

55、rewolf 組織瞄準俄羅斯關鍵行業下發竊密程序Sapphire Werewolf教育與科研、通信及軟件信息技術服務、國防軍工、制造業業5 月 29 日Hellhounds 組織持續攻擊俄羅斯Hellhounds5 月 29 日Moonstone Sleet 組織瞄準區塊鏈、AI 等多個行業Storm-1789通信及軟件信息技術服務、教育與科研、國防軍工5 月 29 日Kiteshield Packer 被多個黑客組織用于繞過殺軟檢測APT17、amdc67665 月 28 日Sharp Dragon 組織進軍非洲和加勒比海地區Sharp Panda5 月 27 日SmallTiger 惡意軟

56、件被用于瞄準韓國多個關鍵行業Kimsuky國防軍工、制造業5 月 27 日Unfading Sea Haze 黑客組織瞄準東南亞國家Unfading Sea Haze5 月 27 日銀狐團伙近期發起以核酸檢測退費為主題的釣魚活動谷墮大盜5 月 27 日UAC-0188 組織利用微軟掃雷游戲的克隆版本實施釣魚攻擊UAC-0188金融5 月 24 日Transparent Tribe 組織瞄準印度政府、國防和航空航天部門Transparent Tribe政府、國防軍工、制造業5 月 23 日UAC-0006 組織向烏克蘭投遞 SMOKELOADER 惡意軟件UAC-00065 月 22 日Ikar

57、uz Red Team 畫像介紹Ikaruz Red Team5 月 22 日APT32 組織針對 Office 軟件的常用釣魚文件剖析APT32通信及軟件信息技術服務5 月 22 日UTG-Q-010：瞄準國內 AI 和游戲行業UTG-Q-010通信及軟件信息技術服務5 月 21 日Void Manticore 組織瞄準以色列實施破壞性攻擊活動Void Manticore5 月 20 日Kinsing 黑客組織信息披露Kinsing通信及軟件信息技術服務5 月 20 日Kimsuky 組織對韓國和日本發起釣魚攻擊Kimsuky5 月 20 日amdc6766 團伙再次實施供應鏈投毒攻擊活動a

58、mdc6766通信及軟件信息技術服務表 2 2024 年上半年 APT 組織活動時間表182024 年上半年全球主要 APT 攻擊活動報告表 2 2024 年上半年 APT 組織活動時間表時間APT 事件組織名稱攻擊行業5 月 17 日Kimsuky 組織使用新的 Linux 后門 Gomir 攻擊韓國Kimsuky5 月 17 日SugarGh0st RAT 被用于攻擊美國人工智能專家UNK_SweetSpecter教育與科研、政府5 月 16 日銀狐團伙借助某終端安全管理軟件發起釣魚攻擊谷墮大盜通信及軟件信息技術服務5 月 16 日Turla APT 組織使用 Lunar 工具包攻擊歐洲外

59、交部Turla政府5 月 16 日Storm-181 組織利用 Quick Assist 工具部署勒索軟件Storm-181通信及軟件信息技術服務5 月 15 日SideCopy 組織近期瞄準印度大學生SideCopy教育與科研5 月 15 日Telegram 漢化軟件暗藏后門病毒金眼狗通信及軟件信息技術服務5 月 15 日蔓靈花組織利用 Replit 平臺的攻擊活動分析BITTER5 月 14 日Timitator 組織針對國內用戶分發 Rust 特馬Timitator能源、教育與科研與科研、國防軍工5 月 14 日PhantomCore 組織向俄羅斯多個行業發起釣魚攻擊PhantomCor

60、e能源5 月 13 日FIN7 組織使用 Google 廣告來分發 MSIX 惡意文件FIN75 月 11 日Lazarus 組織針對區塊鏈從業者實施攻擊活動Lazarus通信及軟件信息技術服務5 月 10 日銀狐釣魚團伙 2024 年 1-5 月攻擊特點剖析谷墮大盜交通運輸、服務業、教育與科研、通信及軟件信息技術服務、金融5 月 9 日BOGUSBAZAAR 犯罪團伙運營囊括數萬域名的虛假電商網絡BogusBazaar通信及軟件信息技術服務5 月 9 日APT28 對波蘭政府機構發動大規模惡意軟件活動APT28政府5 月 9 日禮品卡欺詐團伙 Storm-0539 針對零售公司Storm-0

61、539批發零售5 月 6 日伊朗 APT42 組織最新網絡釣魚活動追蹤Charming Kitten國際組織、教育與科研與科研、文體娛樂5 月 6 日SecretCrow 語音網絡釣魚組織對韓國實施金融欺詐活動SecretCrow金融4 月 30 日銀狐黑產團伙大規模針對財稅人員谷墮大盜金融4 月 28 日LightSpy 惡意軟件變種瞄準 macOSAPT414 月 28 日SideCopy 組織利用釣魚攻擊針對印度政府投遞遠控木馬SideCopy政府4 月 26 日Kimsuky 劫持 eScan 防病毒更新以部署 GuptiMiner 惡意軟件Kimsuky通信及軟件信息技術服務4 月

62、26 日APT73：一個自稱為 APT 的勒索軟件組織APT734 月 25 日MuddyWater 使用合法 Atera Agent 遠控工具獲取初始訪問權限MuddyWater交通運輸、通信及軟件信息技術服務、醫療19表 2 2024 年上半年 APT 組織活動時間表時間APT 事件組織名稱攻擊行業4 月 25 日ArcaneDoor 活動：UAT4356 組織借助思科零日漏洞入侵全球政府網絡UAT4356通信及軟件信息技術服務、政府4 月 25 日Scaly Wolf 組織通過釣魚攻擊下發 White Snake 竊取程序Scaly Wolf政府4 月 25 日Windows Print

63、 Spooler 漏洞遭俄羅斯 APT28 利用以竊取用戶憑據APT284 月 24 日國內企事業單位正遭到 FaCai 釣魚團伙的攻擊FaCai4 月 24 日ScarCruft 利用惡意 LNK 文件投遞 RokRat 遠控程序APT374 月 23 日APT43 組織近期針對韓國的 TutorialRAT 惡意軟件活動分析APT434 月 23 日烏克蘭 20 個重要機構遭俄羅斯 APT44 組織破壞APT44公用事業、能源4 月 23 日ToddyCat 組織使用的數據竊取工具和隧道工具公開ToddyCat國防軍工、政府4 月 19 日Lazarus 組織利用 CVE-2024-213

64、38 漏洞攻擊亞洲技術人員Lazarus通信及軟件信息技術服務4 月 19 日Sandworm 組織在攻擊東歐的活動中部署新的 Kapeka 后門APT444 月 19 日俄羅斯 Sandworm 組織升級為 APT44，目標是全球關鍵基礎設施APT44社會組織、國防軍工、文體娛樂、政府、交通交通運輸、能源4 月 18 日FIN7 組織針對美國汽車制造公司部署 Anunak 后門程序FIN7制造業4 月 17 日朝鮮 Kimsuky 組織近期活動 TTP 分析Kimsuky4 月 16 日SteganoAmor 活動：TA558 正大規模攻擊全球公司與機構TA5584 月 15 日Global

65、 Protect 防火墻零日漏洞遭 UTA0218 組織利用UTA0218通信及軟件信息技術服務4 月 11 日eXotic Visit 間諜活動瞄準印度和巴基斯坦安卓用戶Virtual Invaders4 月 11 日RUBYCARP 僵尸網絡組織揭秘RUBYCARP4 月 11 日TA547 疑似使用大模型工具生成腳本向德國實體分發Rhadamanthys 惡意軟件TA547批發零售4 月 10 日Starry Addax 組織正利用新惡意軟件瞄準北非的人權活動人士Starry Addax社會組織4 月 9 日MuddyWater 組織最新攻擊框架 DarkBeatC2 分析MuddyWa

66、ter4 月 8 日金融相關人員近期遭游蛇團伙攻擊谷墮大盜金融4 月 7 日Solar Spider 組織借助 JsOutProx 新版本入侵多個地區的金融機構Solar Spider金融4 月 7 日Lazy Koala 組織利用 LazyStealer 竊取器攻擊多個國家Lazy Koala教育與科研、金融、醫療、政府4 月 5 日越南 CoralRaider 組織對亞洲多個國家實施數據竊取活動CoralRaider4 月 5 日金眼狗團伙偽造 VPN 惡意安裝包植入定制化 gh0st 木馬金眼狗202024 年上半年全球主要 APT 攻擊活動報告時間APT 事件組織名稱攻擊行業4 月 3

67、 日Earth Freybug 組織利用 UNAPIMON 惡意軟件規避檢測Earth Freybug4 月 1 日Earth Krahang 組織旗下 Linodas 惡意軟件聚焦Earth Krahang3 月 29 日東盟實體遭到 Stately Taurus 等 APT 組織入侵Mustang Panda政府、國防軍工3 月 27 日Machete 組織近期活動披露Machete3 月 27 日金相狐黑產團伙利用 AI 人臉識別技術實施金融詐騙GoldenPhysiognomyFox能源、金融3 月 26 日韓國虛擬貨幣行業參與者遭到 Konni 組織投遞 AutoIt 惡意腳本Kon

68、ni通信及軟件信息技術服務3 月 25 日UNC5174 組織利用公開漏洞滲透美國等多個地區的機構UNC51743 月 25 日俄羅斯 APT29 組織利用 WineLoader 后門攻擊德國政黨APT29政府3 月 25 日Cloud Werewolf 組織瞄準俄羅斯政府Cloud Werewolf政府3 月 22 日APT-C-09 以巴基斯坦聯邦稅務局為誘餌發起釣魚攻擊WhiteElephant政府3 月 22 日TinyTurla 攻擊鏈新細節揭露Turla社會組織3 月 22 日伊朗 Curious Serpens 組織旗下 FalseFont 后門揭秘APT33交通交通運輸3 月

69、22 日TA450 使用與薪酬有關的誘餌來針對以色列員工MuddyWater3 月 20 日Kimsuky 組織使用韓國企業有效證書簽名的惡意軟件感染韓國用戶Kimsuky3 月 19 日Earth Krahang 組織瞄準多個國家和地區Earth Krahang政府、教育與科研3 月 19 日ITG05 組織針對全球目標開展網絡釣魚活動APT28通信及軟件信息技術服務、制造業、商業、國防軍工、金融、醫療、交通運輸3 月 18 日ShadowSyndicate 組織開始利用 Aiohttp 漏洞竊取信息ShadowSyndicate通信及軟件信息技術服務3 月 18 日DarkGate 惡意軟

70、件活動實施 SmartScreen 零日漏洞攻擊DarkCasino通信及軟件信息技術服務3 月 15 日NGC2180 黑客團伙使用 DFKRAT 進行監視活動NGC21803 月 14 日Microsoft Defender SmartScreen 零日漏洞正遭到 Water Hydra 組織利用DarkCasino金融、通信及軟件信息技術服務3 月 14 日RedCurl 組織近期活動使用 Windows 合法服務繞過安全限制RedCurl3 月 12 日Andariel 組織濫用韓國資產管理解決方案分發 MeshAgentLazarus3 月 11 日藏語用戶疑似遭到 Evasive

71、Panda 組織攻擊Daggerfly社會組織3 月 11 日Magnet Goblin 組織使用 1day 漏洞針對互聯網服務器Magnet Goblin通信及軟件信息技術服務3 月 8 日APT37 利用朝鮮政治話題向韓國發起釣魚攻擊APT37表 2 2024 年上半年 APT 組織活動時間表21時間APT 事件組織名稱攻擊行業3 月 7 日TA4903 組織冒充美國政府機構實施 BEC 攻擊TA4903政府、建筑與地產、金融、制造業、服務業、能源3 月 6 日GhostSec 聯合 Stormous 團伙對多個國家實施雙重勒索攻擊GhostSec、Stormous國防軍工、交通運輸、能源

72、、制造業、通信及軟件信息技術服務3 月 5 日TA577 組織使用新型攻擊鏈竊取 NTLM 信息TA5773 月 5 日NoName057(16)組織 DDoSia 項目持續更新NoName057(16)3 月 4 日黑客針對 FCC 和加密貨幣公司發動高級 Okta 網絡釣魚攻擊Scattered Spider(未確定)政府、通信及軟件信息技術服務3 月 4 日Fluffy Wolf 組織冒充建筑公司分發多種惡意程序Fluffy Wolf通信及軟件信息技術服務、建筑與地產3 月 4 日GTPDOOR 惡意軟件利用 GPRS 協議感染電信網絡LightBasin通信及軟件信息技術服務3 月 1

73、 日歐洲外交官遭到 SPIKEDWINE 組織攻擊SPIKEDWINE政府2 月 29 日Savvy Seahorse 團伙利用 DNS CNAME 記錄實施金融詐騙Savvy Seahorse金融2 月 29 日Lazarus 組織在官方 Python 存儲庫中發布惡意 Python 包Lazarus通信及軟件信息技術服務2 月 29 日Mysterious Werewolf 組織向俄羅斯軍事工業委員會下發 RingSpy后門Mysterious Werewolf國防軍工2 月 28 日中東國家的航空航天和國防部門遭到伊朗組織 UNC1549 攻擊UNC1549制造業、國防軍工2 月 28

74、日UAC-0184 組織采用圖像隱寫術向烏克蘭企業推送 Remcos RATUAC-01842 月 27 日越南 DuckTail 組織近期針對數字營銷人員的攻擊活動剖析DuckTail通信及軟件信息技術服務2 月 27 日Earth Lusca 組織對中國臺灣發動釣魚攻擊Earth Lusca政府2 月 26 日Charming Kitten 組織利用新型 BASICSTAR 后門瞄準中東政策專家Charming Kitten2 月 26 日Winter Vivern 黑客借助 Roundcube 漏洞入侵 80 多個組織Winter Vivern政府、國防軍工2 月 25 日與哈馬斯 AP

75、T-C-23 組織相關的 Samecoin 惡意軟件活動追蹤APT-C-232 月 23 日新型組織 UTG-Q-007 利用越南語木馬瞄準亞洲地區UTG-Q-007建筑與地產、通信及軟件信息技術服務2 月 23 日SideWinder 組織使用基于 Nim 語言的遠控程序SideWinder政府2 月 20 日朝鮮黑客針對國防部門進行供應鏈攻擊事件披露Lazarus國防軍工、政府2 月 19 日GoldFactory 組織開發首個針對 iOS 系統的 GoldPickaxe 木馬病毒GoldFactory金融2 月 18 日Water Hydra 組織借助微軟零日漏洞攻擊金融交易者DarkC

76、asino金融表 2 2024 年上半年 APT 組織活動時間表222024 年上半年全球主要 APT 攻擊活動報告時間APT 事件組織名稱攻擊行業2 月 16 日Turla 團伙向波蘭非政府組織投遞新型后門 TinyTurla-NGTurla社會組織2 月 15 日Sticky Werewolf 組織以下載 CCleaner 為幌子攻擊白俄羅斯公司Sticky Werewolf醫療、政府2 月 7 日ResumeLooters 組織竊取 200 多萬求職者數據ResumeLooters批發零售、通信及軟件信息技術服務2 月 5 日APT-K-47 組織利用新木馬進行竊密活動Mysteriou

77、s Elephant2 月 3 日APT-LY-1009 組織向亞美尼亞政府投遞 VenomRATAPT-LY-1009政府2 月 2 日APT37 冒充網絡研討會主辦方分發 ROKRAT 木馬APT37通信及軟件信息技術服務2 月 2 日TA576 組織在美國納稅期間卷土重來TA576金融2 月 1 日APT28 組織對全球多個組織發起 NTLMv2 哈希中繼攻擊APT28政府、能源、交通運輸、國防軍工1 月 31 日透明部落針對印度軍方發起釣魚攻擊Transparent Tribe國防軍工1 月 31 日Scaly Wolf 組織持續分發 White Snake 惡意軟件Scaly Wol

78、f國防軍工、政府1 月 31 日Kimsuky 組織使用 Dropbox 實施攻擊活動Kimsuky通信及軟件信息技術服務、金融、文體娛樂、政府1 月 30 日Stately Taurus 組織瞄準緬甸外交部Mustang Panda政府1 月 30 日WhiteSnake 竊取器通過惡意 PyPI 軟件包感染 Windows 用戶PYTA31通信及軟件信息技術服務1 月 30 日Kimsuky 組織偽造韓國 SGA 旗下軟件安裝包實施竊密行動Kimsuky通信及軟件信息技術服務1 月 26 日Blackwood 組織劫持合法更新程序以部署 NSPX30 惡意軟件Blackwood貿易、制造業

79、、教育與科研1 月 25 日UAC-0050 組織冒充烏克蘭國家服務局實施釣魚攻擊UAC-0050政府1 月 24 日Scarcruft 組織疑似收集戰略情報并針對網絡安全專業人員APT37通信及軟件信息技術服務1 月 23 日TA866 組織攜大型釣魚郵件活動回歸TA866金融1 月 22 日暗蚊黑產團伙向國內 IT 運維人員投遞 Mac 遠控木馬amdc6766通信及軟件信息技術服務1 月 22 日俄羅斯 COLDRIVER 組織開始部署新型 Spica 后門軟件Calisto1 月 19 日伊朗 APT35 附屬組織對歐美研究人員發起網絡釣魚攻擊Charming Kitten教育與科研1

80、 月 17 日UAC-0050 組織向烏克蘭安全部門分發詢問主題的釣魚郵件UAC-0050政府1 月 17 日Ivanti Connect Secure 零日漏洞遭到大規模利用UTA0178 和 UNC5221政府、國防軍工、通信及軟件信息技術服務、金融、制造業1 月 16 日APT28 組織濫用 Search-MS 協議投遞惡意文件APT28表 2 2024 年上半年 APT 組織活動時間表23時間APT 事件組織名稱攻擊行業1 月 16 日隱蔽 8 年的黑灰產團伙 Bigpanzi 揭秘Bigpanzi1 月 15 日印度蔓靈花組織針對我國軍工行業發起釣魚攻擊BITTER國防軍工1 月 11 日Water Curupira 組織開始積極傳播 PikaBot 惡意軟件加載程序Water Curupira1 月 10 日Transparent Tribe 組織傳播 RlmRat 精簡版竊取印度文件Transparent Trib