1、2郵箱：ti_ 電話：95015 官網：https:/上半年內，涉及我國的高級持續性威脅事件主要在信息技術、政府、科研教育領域，受害目標集中在廣東等地區。除了已知的 APT 組織外，本報告還將提及我們觀察到的多個持續針對國內重點目標的未知威脅組織（UTG）盡管有些威脅組織我們清楚攻擊者的目的和所在地區，但目前無法歸屬到背后具體的攻擊實體。這些 UTG 組織的攻擊活動涉及新能源、低軌衛星、人工智能、航天航空等多個領域，甚至通過入侵跨國公司的境外基礎設施作為立足點向中國境內的辦公點進行橫向移動。2024 上半年全球范圍內活躍的勒索軟件家族數量眾多，新型勒索軟件和變種不斷出現，一些稍具規模的勒索團伙

2、大多采用“雙重勒索”的攻擊模式。勒索軟件的投遞使用多種手段，包括漏洞利用、借助其他惡意軟件和遠程管理工具、軟件偽裝等。不少針對企事業單位的勒索攻擊往往結合了精心的滲透過程，一些新興勒索軟件采用以往的惡意代碼，攻擊虛擬化環境的勒索軟件逐漸增多。不法分子利用網絡渠道和技術手段從事游走在法律監管之外的牟利活動，從而形成互聯網黑色產業鏈，危害網絡安全。這些黑產團伙的攻擊手法工具、攻擊目標各不相同，但最終目的都是為了獲取經濟利益。他們之中有的共用工具，關系錯綜復雜，會針對其他黑產從業人員展開黑吃黑行動；有的規模龐大，通過感染電視、機頂盒等設備提供不法服務；有的針對 IT 運維人員發起多次供應鏈投毒攻擊；

3、還有的新興黑產瞄準線上考試，提供作弊服務。2024 年上半年的在野 0day 漏洞數量和去年基本一致，但是原本三足鼎立的格局已經漸漸被打破。Google 相關產品尤其 Chrome 瀏覽器仍然占據了在野漏洞的大部分份額，甚至出現一周內連續修復三個在野 0day 的盛況。部分攻擊者將目標轉向防火墻、VPN 等邊界設備，以較小的攻擊成本換來巨大的收益。同時攻擊者也在嘗試新的攻擊角度，例如利用產品更新迭代過程中針對舊漏洞的補丁失效，又或者像 XZ Utils 事件中通過層層深入的社會工程學手段在開源項目里埋下后門。2024 上半年網絡威脅活動呈現出以下特點：攻擊者積極挖掘新攻擊面并更新技戰術，惡意軟

4、件的快速迭代和跨平臺攻擊的增加對防御者提出了新的挑戰；隨著 AI 技術的發展，AI 不僅成為網絡安全人員的重要工具，也帶來了新的攻擊手段和挑戰，如用 AI 生成的誤導信息內容和 AI 本身引入的軟件漏洞。主要觀點M A I N P O I N T S主要觀點/網絡安全威脅 2024 年中報告3網絡安全威脅 2024 年中報告摘要/網絡安全威脅 2024 年中報告本次報告通過綜合分析奇安信威脅雷達測繪數據、奇安信紅雨滴團隊對客戶現場的 APT 攻擊線索排查情況以及奇安信威脅情報支持的全線產品告警數據，得出以下結論：2024 上半年，廣東省受境外APT 團伙攻擊情況依舊最為突出，其次是江蘇、四川、

5、浙江、上海、北京等地區，受影響行業排名前五的分別是：信息技術 18.5%，政府部門 16.3%，科研教育 12.0%，建筑 7.6%，制造 7.1%。2024 上半年奇安信威脅情報中心收錄了 109 篇高級威脅類公開報告，涉及 59 個已命名的攻擊組織或攻擊行動，至少 48 個國家遭遇過 APT 攻擊，披露的大部分 APT 攻擊活動集中在韓國、烏克蘭、以色列、印度等地區。其中，提及率排名前五的 APT 組織（含并列）是：Kimsuky 13.4%，Lazarus 8.9%，APT28 4.5%，Group123/Sandworm/MuddyWater/C-Major 3.6%，摩訶草/Turl

6、a 2.7%。2024 上半年全球 APT 活動的首要目標行業是政府部門、科研教育、國防軍事，相關攻擊事件占比分別為 31.3%、15.0%、13.8%，緊隨其后的是信息技術、制造、新聞媒體等領域。2024 年上半年全球范圍內的勒索軟件攻擊波及包括中國在內的多個國家，受害者中既有個人用戶，也有各種規模的組織機構，政府、醫療、制造、能源等行業屢次遭到勒索攻擊團伙染指。2024 上半年國內安全廠商披露的互聯網黑產攻擊活動涉及的團伙主要有：銀狐木馬黑產團伙、Bigpanzi、暗蚊、金相狐。2024 年上半年披露的高危漏洞數量達 25 個。往年微軟、谷歌、蘋果三足鼎立的格局被打破，Google 依舊是

7、相關漏洞最多的廠商，旗下的 Chrome 仍是目前攻擊者熱衷的瀏覽器攻擊向量，微軟、蘋果的相關漏洞數量有所回落，留下的份額被網絡邊界設備漏洞填補。關鍵字：高級持續性威脅、威脅雷達、勒索軟件、互聯網黑產、0day、網絡邊界設備、人工智能摘 要ABSTRACT郵箱：ti_ 電話：95015 官網：https:/第一章 高級持續性威脅一、國內高級持續性威脅總覽二、2024 上半年緊盯我國的活躍組織三、全球高級持續性威脅總覽四、全球各地區活躍 APT 組織第二章 勒索軟件 一、全球勒索軟件攻擊活動概覽二、勒索軟件投遞方式三、攻擊活動特點和趨勢第三章 互聯網黑產 一、銀狐木馬黑產團伙二、Bigpanzi

8、三、暗蚊四、金相狐五、其他第四章 網絡威脅中的漏洞利用一、一周三修，Chrome 閃擊二、從邊界入局，陷落的邊界設備三、新瓶舊酒 PHPCGI(CVE-2024-4577)四、開源的夢魘 XZUtils(CVE-2024-3094)第五章 2024 上半年網絡威脅活動特點目 錄010105202348485254565659606163656667686972CONTENTS目錄/網絡安全威脅 2024 年中報告一、攻擊花樣層出不窮，安全對抗持續升級二、AI 于網絡威脅中初展鋒芒附錄 1 全球主要 APT 組織列表附錄 2 奇安信威脅情報中心附錄 3 紅雨滴團隊(RedDrip Team)附錄

9、 4 參考鏈接727274757677網絡安全威脅 2024 年中報告1郵箱：ti_ 電話：95015 官網：https:/第一章 高級持續性威脅高級持續性威脅（APT）多年來一直是網絡威脅的重要組成部分，攻擊者通常有國家背景支持，主要以敏感數據收集和情報竊取為目的，因此行動隱秘，不易被受害者察覺。本章將分別介紹中國國內和全球范圍在 2024 年上半年遭受的高級持續性威脅。國內高級持續性威脅的內容及結論主要基于對奇安信威脅雷達數據、奇安信紅雨滴團隊在客戶現場處置排查的真實 APT 攻擊事件、使用奇安信威脅情報的全線產品的告警數據等信息的整理與分析。全球高級持續性威脅的內容與結論主要基于對公開來

10、源的 APT 情報（即“開源情報”）的整理與分析。一、國內高級持續性威脅總覽奇安信威脅情報中心通過使用奇安信威脅雷達對境內的 APT 攻擊活動進行了全方位遙感測繪，2024 年上半年監測到我國范圍內大量 IP 地址疑似和數十個境外 APT 組織產生過高危通信。從地域分布來看，廣東省受境外 APT 團伙攻擊情況最為突出，其次是江蘇、四川、浙江、上海、北京等地區。奇安信威脅雷達是奇安信威脅情報中心基于奇安信大網數據和威脅情報中心失陷檢測（IOC）庫，用于監控全境范圍內疑似被 APT 組織、各類僵木蠕控制的網絡資產的一款威脅情報 SaaS 應用。通過整合奇安信的高、中位威脅情報能力，發現指定區域內疑

11、似被不同攻擊組織或惡意軟件控制的主機 IP，了解不同威脅類型的比例及被控主機數量趨勢等?？蛇M一步協助排查重點資產相關的 APT 攻擊線索。第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.1 奇安信威脅雷達境內受害者數據分析2網絡安全威脅 2024 年中報告第一章 中國境內高級持續性威脅綜述 第一章 中國境內高級持續性威脅綜述/全球高級持續性威脅（APT）2023 年度報告基于奇安信威脅雷達境內的遙測分析，我們從以下方面對我國境內疑似遭受的APT攻擊進行了分析和統計。奇安信威脅情報中心基于威脅雷達在2024上半年監測到數十個境外APT組織針對我國范圍內大量目標IP進行通信，形成了

12、大量的境內IP與特定APT組織的網絡基礎設施的高危通信事件。其中還存在個別APT組織通過多個C2服務器與同一IP通信的情況。下圖為2024上半年奇安信威脅雷達遙測感知的我國境內每月連接境外APT組織C2服務器的疑似受害IP地址數量統計。整體上可以看出，各月疑似受控IP地址數量有一定波動，較去年同期相比起伏明顯，6月份依然為上半年境外APT攻擊高峰。2024上半年中國境內每月新增疑似被境外APT組織控制的IP數量變化趨勢如圖1.3所示，反映了APT組織攻擊活躍度變化走向。新增受控IP數量變化趨勢也與圖1.2中每月連接境外APT組織C2服務器的疑似受害IP數量分布相符，各月數據波動幅度大。（一）受

13、控 IP 數量和趨勢圖 1.2 2024 上半年中國境內疑似受控 IP 數量月度分布第一章 高級持續性威脅/網絡安全威脅 2024 年中報告3郵箱：ti_ 電話：95015 官網：https:/圖 1.3 2024 上半年中國境內每月新增疑似受控 IP 數量變化趨勢圖 1.4 2024 上半年中國境內疑似受控 IP 地域分布（二）受害目標區域分布下圖為2024上半年中國境內疑似連接過境外APT組織C2服務器的IP地址地域分布，分別展示了各省疑似受害IP地址的數量：廣東省受境外APT團伙攻擊情況最為突出，占比達22.5%，其次是江蘇、四川、浙江、上海、北京等地區。4網絡安全威脅 2024 年中報

14、告第一章 高級持續性威脅/網絡安全威脅 2024 年中報告（三）受害行業分布進一步通過奇安信威脅雷達的遙測感知和奇安信紅雨滴團隊基于客戶現場的 APT 攻擊線索，并結合使用了奇安信威脅情報的全線產品告警數據進行分析：2024 上半年涉及我國信息技術、政府機構、科研教育、建筑、制造行業的高級威脅事件占主要部分，占比分別為：18.5%，16.3%，12.0%，7.6%，7.1%。其次為醫療健康、能源、金融等領域。受影響的境內行業具體分布如下。根據歸屬于各個APT組織的IOC告警量排名，攻擊我國境內的前十APT組織及其針對的行業領域如下表。圖 1.5 2024 上半年高級威脅事件涉及境內行業分布情況

15、排名組織名稱涉及行業TOP1APT-Q-27(GoldenEyeDog)博彩、詐騙TOP2APT-Q-1(Lazarus)政府、金融、國防軍事TOP3APT-Q-78國防軍事、科研教育TOP4APT-Q-31(海蓮花)政府、科研教育TOP5APT-Q-20(毒云藤)國防軍事、政府、信息技術、科研教育TOP6FaceDuck Group通信、制造、信息技術、建筑TOP7APT-Q-29(Winnti)信息技術、金融5郵箱：ti_ 電話：95015 官網：https:/排名組織名稱涉及行業TOP8APT-Q-36(Patchwork)科研教育、醫療健康、信息技術TOP9APT-Q-37(蔓靈花)政

16、府、科研教育、信息技術、能源TOP10CNC政府、科研教育表 1.6 IOC 告警量排名前十 APT 組織及針對的目標行業（一）海蓮花（APT-Q-31）關鍵詞:供應鏈 0day 攻擊、軍工、能源新老海蓮花的分界線在 2022 年中，新海蓮花的攻擊集合在最近兩年的活動被我們識別為 APT-Q-77，經過近兩年的跟蹤，我們最終確認新海蓮花遵循UTC+7時區的作息，攻擊的部分目標與老海蓮花有所重疊。新海蓮花最大的變化是進攻能力的增強，這兩年一共使用了 7-8 個國產軟件的 0day，對抗強度陡增，2024 年初使用同一公司兩款相似功能產品的 0day 漏洞向軍工、環境等單位的內網辦公區特定目標發起

17、供應鏈攻擊，在持久化的過程中使用了 officeClickToRun 的 COM 劫持和 nodejs.exe 加載器。二、2024 上半年緊盯我國的活躍組織奇安信威脅情報中心通過奇安信紅雨滴團隊和奇安信安服在客戶現場處置排查的真實 APT 攻擊事件，結合使用了威脅情報的全線產品告警數據，最終基于被攻擊單位、受控設備、攻擊組織技戰術等多個指標篩選出以下數個對我國攻擊頻率高或危害大的 APT 組織。這些攻擊組織中除了已知 APT 組織外，還將涉及我們觀察到的多個持續針對國內重點目標的未知威脅組織（UTG）盡管有些威脅組織我們清楚攻擊者的目的和所在地區，但目前無法歸屬到背后具體的攻擊實體。接下來，

18、我們將結合奇安信紅雨滴團隊的真實 APT 攻擊處置案例，逐一盤點 2024 上半年緊盯我國的APT 和 UTG 組織。6網絡安全威脅 2024 年中報告在兩年的對抗過程中我們發現新老海蓮花對于情報刺探有著明顯的區別，新海蓮花對我國能源和軍工單位在中東、中亞、東南亞、北非等地區的海外布局和外派人員名單有著迫切的需求，但是這些數據并不符合東南亞地區國家的自身利益，我們綜合研判后認為其背后必有“高人指點”。奇安信威脅情報中心將會在2024年下半年披露新海蓮花組織在內存中的技戰術。圖 1.7 js 代碼第一章 高級持續性威脅/網絡安全威脅 2024 年中報告7郵箱：ti_ 電話：95015 官網：ht

19、tps:/區別在于APT-Q-22最后使用CobaltStrike作為木馬，而毒云藤(APT-Q-20)選擇使用Sliver作為最終的木馬，但是其在后續的內網橫向移動過程中僅拿下一臺弱口令的tomcat服務器后就被我們成功阻斷，攻擊者并未達到其進攻目的。繞過UAC時由于攻擊操作人員的失誤，沒有對Payload的內容進行替換，導致受害者機器上彈出了一個管理員權限的Notepad進程。毒云藤在2024年初使用的基礎設施和武器家族與友商披露的2023年末針對我國芯片行業的定向攻擊活動產生了重疊。圖 1.8 CVE-2023-38831 漏洞附件誘餌（二）毒云藤（APT-Q-20）關鍵詞:航空、魚叉郵

20、件從2023年中至2024年中APT-Q-20和APT-Q-22聯手針對我國航空公司投遞攜帶 CVE-2023-38831 漏洞和通用載荷的魚叉郵件，目的是要獲取航空公司的數據。（三）APT-Q-46關鍵詞:魚叉郵件2024 年 3 月，奇安信威脅情報中心識別到南亞地區一個全新的攻擊集合，我們將其命名為 APT-Q-46,其主要針對中國、巴基斯坦和斯里蘭卡等國家的重要單位投遞魚叉郵件，載荷主要為 LNK、PUB 宏文件、PPT宏文件，誘餌內容涉及“中巴經濟走廊十周年”、“海軍2024首次訓練”、“人社部發【2023】28號”等。8網絡安全威脅 2024 年中報告圖 1.9 LNK 釋放的誘餌圖

21、片圖 1.10 LNK 執行的 Payload圖 1.11 解密報錯截圖LNK執行的Payload如下：由于攻擊者沒有設計好可執行文件的加密載荷導致最終無法成功解密出竊密特馬。第一章 高級持續性威脅/網絡安全威脅 2024 年中報告9郵箱：ti_ 電話：95015 官網：https:/圖 1.12 釣魚網站 POST 邏輯圖 1.13 Havoc 內存加載腳本攻擊者開始大批量投遞searchConnector-ms類型的初始釣魚載荷，并且使用開源木馬Havoc作為最終的Payload。（四）蔓靈花（APT-Q-37）關鍵詞:魚叉郵件、電力、國企駐海外人員蔓靈花（Bitter）組織近期更改了其釣

22、魚框架，將受害者輸入的賬號密碼通過 discord API 上傳到對應賬戶目錄下。10網絡安全威脅 2024 年中報告圖 1.14 新 LNK 的執行鏈第一章 高級持續性威脅/網絡安全威脅 2024 年中報告（五）摩訶草（APT-Q-36）關鍵詞:魚叉郵件奇安信威脅情報中心于2024年3月份識別出摩訶草（Patchwork）組織投遞的新型LNK誘餌，執行鏈如下：11郵箱：ti_ 電話：95015 官網：https:/圖 1.15 PDF 誘餌釋放的PDF誘餌如下：最終內存加載Havoc框架木馬，根據奇安信遙測數據顯示上述執行鏈只有在針對科研人員的釣魚過程中才會使用。（六）CNC關鍵詞:魚叉郵件

23、、海洋研究CNC 目前是南亞地區眾多攻擊集合中擁有特種木馬和插件最多的 APT 組織，將主要功能模塊化成多個子程序以此來規避殺軟的查殺，我們目前捕獲到的組件如下：12網絡安全威脅 2024 年中報告CNC組織使用上述組件刺探我國海洋研究和勘探成果，成功竊取結論性的科研文檔。第一章 高級持續性威脅/網絡安全威脅 2024 年中報告下載者1下載者2CMD執行特馬U盤傳播兼遠控木馬鍵盤記錄插件指定目錄文件竊密插件最近使用文件竊密插件Github API特馬（七）虎木槿（APT-Q-11）（八）旺刺（APT-Q-14）關鍵詞:安卓軟件 0day、中朝貿易奇安信威脅情報中心曾經在 2023 年度報告中披

24、露旺刺組織（APT-Q-14）在 2022 年首次使用某安卓軟件的 0day 漏洞投遞魚叉郵件，時隔兩年后虎木槿組織于 2024 年初使用了類似的 0day 技術。我們對其進行了復現，當受害者在安卓手機上使用某郵件 APP 打開魚叉郵件后會立馬觸發 RCE 代碼，將手機中的郵件數據上傳到C2服務器上。與2022年的0day攻擊相比，虎木槿并沒有尋求對目標手機的長期控制，也沒有持久化行為，屬于快節奏的攻擊類型，非常難以發現。攻擊者想要刺探中國和朝鮮之間重工業貿易往來的情報。關鍵詞：0day、Clickonce2024 年上半年以 APT-Q-12 和 APT-Q-14 為首的東北亞地區 APT

25、組織使用文檔類和郵件類國產軟件的多個 0day 針對國內進行魚叉郵件攻擊，整體攻擊水平較高。其中 APT-Q-14 利用臺海局勢作為誘餌，使用 XSS 0day 和 Clickonce 相結合的技術針對國內個人進行攻擊，攻擊流程圖如下：13郵箱：ti_ 電話：95015 官網：https:/圖 1.16 0day+Clickonce 攻擊鏈（九）APT-Q-15關鍵詞:中朝邊境我們回溯了 APT-Q-15 以往的攻擊活動，發現該組織早在 2021 年初就開始使用 xll 誘餌，針對東北地區的貿易公司投遞魚叉郵件，比境外友商披露其他威脅組織使用 xll 攻擊樣本的時間更早。14網絡安全威脅 20

26、24 年中報告圖 1.17 APT-Q-15 組織 xll 誘餌釋放的中文文檔圖 1.18 Custom Action 中的惡意行為APT-Q-15在通用威脅領域總是能研究出免殺效果極好的攻擊技術，使得該團伙在眾多APT組織中獨樹一幟。除了上述的xll誘餌外，其在2024年投遞的MSI誘餌中將惡意代碼隱藏在Custom Action內，這是我們首次觀察到這種技術在東北亞地區APT組織的攻擊活動中使用。執行過程中core.dll不會落地，MSI誘餌文件會啟動一個子進程在內存中調用對應的導出函數，從而進入惡意邏輯。第一章 高級持續性威脅/網絡安全威脅 2024 年中報告15郵箱：ti_ 電話：95

27、015 官網：https:/圖 1.19 初始 Loader 組件 VT 查殺結果圖但是在一些新能源和跨國公司客戶那里出現了一些有趣的現象，當內存加載的木馬是Amadey家族時，攻擊者會啟動屏幕截圖插件查看受害機器信息，確認符合目標后通過下載者的功能下發免殺的CobaltStrike加載器，隨即開始橫向移動，橫向移動的手法模仿Conti Leak泄露出來的技戰術。這意味著UTG-Q-001展示出了一種全新的攻擊策略：通過入侵跨國公司的境外基礎設施作為立足點并向中國區的辦公點進行橫向移動。我們建議政企客戶在法律允許的前提下給境外辦公區部署天擎EDR。在最近針對跨國車企境外辦公區的攻擊活動中，攻擊

28、者在一臺服務器上植入了一個由QT框架編寫的的特馬，并將計劃任務的觸發時間設定在2025年，通過瀏覽器的無痕模式下載初始Loader組件，竊取服務器上的瀏覽器憑證和文檔用于進一步的橫向移動。（十）UTG-Q-001關鍵詞：跨國企業、新能源、汽車我們于 2023 年披露 UTG-Q-001 組織，初見時將其定性為勒索運營商，在后續的跟蹤過程中我們最終還原出完整的攻擊鏈，并確認UTG-Q-001的主要目的為竊密。攻擊者位于東南亞，擁有多種攻擊入口，例如：LNK 釣魚、常用工具破解網站、Facebook 聊天等，初始載荷為免殺效果極好的 Loader 組件，內存加載竊密木馬（lumma stealer

29、、Amadey、vidar、Cryptbot）。在十幾家政企客戶排查的過程中，我們發現攻擊者一般情況下不會進行持久化，而是一次性的將受害機器上的文檔和瀏覽器憑證上傳到 C2 服務器上。16網絡安全威脅 2024 年中報告第一章 高級持續性威脅/網絡安全威脅 2024 年中報告（十一）UTG-Q-005關鍵詞：魚叉郵件在 2023 年末，我們在梳理東北亞地區的間諜活動時，發現了一個新的攻擊集合并將其命名為UTG-Q-005。該攻擊團伙投遞帶有密碼附件的魚叉郵件，正文內容如下：圖 1.20 郵件正文翻譯截圖表 1.21 UTG-Q-005 釣魚郵件模仿的發件人發件人模仿朝鮮相關人員和機構：附件為帶

30、有宏的DOC文檔，宏代碼會替換Word默認的模板文件，主要功能為下載者，啟動MSBuild編譯一段C#代碼，從遠程服務器下載后續的特馬。名稱對應含義hyonil.ri朝鮮足球運動員dprkemb.syria朝鮮駐敘利亞大使館paksongil朝鮮駐聯合國代表團的美國事務大使airkoryo_hq朝鮮高麗航空li.ilsob朝鮮語人名17郵箱：ti_ 電話：95015 官網：https:/（十二）UTG-Q-006關鍵詞：供應商、新能源、LOLbinsUTG-Q-006 組織位于東歐，擁有極強的 RDP 爆破能力。在我們處理的案例中攻擊者在成功爆破跨國新能源單位服務器（非弱口令）一個月后才開始橫

31、向移動，這意味著攻擊者在篩選高價值目標時耗費了大量的精力，并且在橫向移動過程中展示出了極致的 LoLbins 手法，攻擊者沒有落地任何木馬僅使用Anydesk和rdpwrap等合法工具實現多人協同進攻。UTG-Q-006在針對目標攻擊時的操作員一共有三人，他們熟悉中文環境，在受害 Windows 服務器上下載極速瀏覽器模仿運維人員操作，使用瀏覽器的無痕模式下載 Chisel 隧道工具和 Advanced_Port_Scanner 向更深一層的內網進行滲透，最終入侵到 MES服務器，對工業生產流程造成了潛在的影響。從大網數據來看 UTG-Q-006 選擇橫向移動的目標主要為供應商，涉及的行業有能

32、源、國土資源、醫療、工業制造等，除此之外其掌握的爆破節點對 FORTINET 防火墻以及中國境內的 WordPress 網站有著濃厚的興趣。圖 1.22 宏代碼截圖我們觀察到朝鮮地區的IP請求過UTG-Q-005組織的基礎設施。18網絡安全威脅 2024 年中報告UTG-Q-008在科研服務器集群中橫向移動時還會使用gsocket進行內網穿透，并植入ssh-it工具實現ssh劫持和內網蠕蟲式的傳播。我們仍要說明的是UTG-Q-008竊取的科研數據并不是Windows平臺上那些總結性質的DOC文檔，而是擁有6張RTX4090的Linux服務器上的科研數據和源代碼，被竊取的數據質量已經達到了頂尖水

33、平。除了針對科研院所系統性的攻擊外，UTG-Q-008還會對一些研究員的個人服務器進行攻擊，攻擊定向性極強。以生物基因為例，頂級的科研人員需要同時掌握有機化學和計算機等多學科知識才能進行高質量的科學研究，所以科研人員一般有自己的VPS服務器來存儲建模數據和源代碼，UTG-Q-008通過社交網絡收集目標人員的VPS服務器IP地址和域名，調用僵尸網絡的算力入侵目標VPS服務器并竊取數據。在我們視野中UTG-Q-008憑借這種攻擊模式成功入侵的科研領域涉及生物基因和天體物理。圖 1.23 測繪邏輯截圖第一章 高級持續性威脅/網絡安全威脅 2024 年中報告（十三）UTG-Q-008關鍵詞：低軌衛星、

34、天體物理、人工智能、生物基因我們在 2024 年 6 月份披露了 UTG-Q-008 過去十年間開展的 Operation Veles 行動，針對全球的 edu 和gov 目標，在后續跟蹤過程中發現了 UTG-Q-008 針對全球 IPV4 的測繪列表，涉及 1 萬多個網段，共計380,616,614 個 IPV4 地址。測繪出目標網段中開放 ssh 服務的 banner 信息，目前已經測繪出 40 多萬條 ssh banner 數據。19郵箱：ti_ 電話：95015 官網：https:/在橫向移動過程中通過API特馬下發第二個特馬，用于竊取數據庫服務器中的數據。目前UTG-Q-009在我們

35、的預警下已經停止活動，但被竊取的交通數據將來會用在哪些地方仍然撲朔迷離。圖 1.24 API 特馬核心邏輯（十四）UTG-Q-009關鍵詞：大灣區、航空、航運、電信UTG-Q-009 最早活躍于 2023 年 8 月，攻擊者位于東亞，針對我國大灣區（廣東、香港、澳門）的電信、交通行業的服務器進行竊密活動，攻擊入口包括 Exchange 服務器、自研的 Web 服務。其目的是想要獲取中國大陸往返港澳的交通數據，包含航運和航空數據，對國家安全造成了巨大的危害。攻擊過程中使用了兩套從未披露過的特馬，第一個為 OneDrive 云盤 API 木馬用來在內網建立初始的節點，主要功能較為簡單：文件的上傳下

36、載、cmd 命令、屏幕截圖。20網絡安全威脅 2024 年中報告圖 1.25 2024 上半年全球公開的高級威脅報告數量月度統計第一章 高級持續性威脅/網絡安全威脅 2024 年中報告三、全球高級持續性威脅總覽公開來源的 APT 情報（以下簡稱“開源情報”）分析是了解全球網絡安全研究機構安全關注，認知全球高級持續性威脅發展趨勢的重要手段之一。2024 上半年，奇安信威脅情報中心對全球 200 多個主要的APT 類情報來源進行持續監測，監測內容包括但不限于 APT 攻擊組織報告、APT 攻擊行動報告、疑似APT 的定向攻擊事件、APT 攻擊相關的惡意代碼和漏洞分析，以及我們認為需要關注的網絡犯罪

37、組織及其相關活動。奇安信威脅情報中心在 2024 上半年監測到的高級持續性威脅相關公開報告總共 109 篇。各月監測數據如下圖所示。（一）受害目標地域分布高級威脅活動涉及目標的國家和地域分布情況統計如下圖（摘錄自公開報告中提到的受害目標所屬國家或地域），可以看到公開披露的大部分高級威脅攻擊活動集中在韓國、烏克蘭、以色列、印度等幾個國家地區。21郵箱：ti_ 電話：95015 官網：https:/開源情報數據顯示：全球高級持續性威脅首要針對的三大行業分別為政府機構、科研教育、國防軍事。2024 上半年國內外披露的 APT 相關活動報告中，涉及政府機構（包括外交、政黨、選舉相關）的攻擊事件占比為

38、31.3%；涉及科研教育的攻擊事件占比為 15.0%；涉及國防軍事的攻擊事件占比為 13.8%；信息技術相關的事件占比為 8.8%。此外攻擊事件發生較多的行業還有制造、新聞媒體、金融、交通運輸、能源。2024 上半年高級威脅事件涉及行業分布情況如下圖所示。圖 1.26 2024 上半年公開披露的高級威脅活動針對的國家和地區（二）受害行業分布22網絡安全威脅 2024 年中報告圖 1.27 2024 上半年全球高級威脅事件涉及行業分布圖 1.28 2024 上半年全球活躍高級威脅組織第一章 高級持續性威脅/網絡安全威脅 2024 年中報告本次報告對開源情報中所提及的所有 APT 組織及相關行動進

39、行了分析和整理。其中，提及率 Top 5 的 APT 組 織 分 別 是：Kimsuky 13.4%，Lazarus 8.9%，APT28 4.5%，Group123/Sandworm/MuddyWater/C-Major 3.6%，摩訶草/Turla 2.7%。（三）活躍高級威脅組織情況23郵箱：ti_ 電話：95015 官網：https:/圖 1.29 2024 上半年公開披露的高級威脅類攻擊組織和行動進一步對高級威脅活動公開報告中提及或命名的攻擊行動/攻擊者名稱，按照同一背景來源進行歸類處理，得到的統計情況如下，2024 上半年高級威脅活動公開報告總共涉及 59 個命名的威脅來源。四、全

40、球各地區活躍 APT 組織地域分析是 APT 研究的重要方面。一方面，同一地域來源的 APT 組織和 APT 活動常常出現一些重疊，攻擊者可能針對相似的攻擊目標或者使用類似的 TTP；另一方面，同一地區發生的很多 APT 活動，背后的攻擊意圖都與地緣政治因素密切相關。下圖列舉了 2024 上半年全球各地區主要活躍的 APT 組織，全球主要 APT 組織列表也可以參見附錄 1。24網絡安全威脅 2024 年中報告第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.30 2024 上半年全球 APT 組織分布情況東亞地區 APT 組織在 2024 上半年依然十分活躍，政府機構和國防部門

41、仍是這些攻擊組織的重點目標，加密貨幣和區塊鏈行業也飽受其害。社會工程學手段對攻擊者而言屢試不爽，典型例子就是使用虛假的工作招聘攻擊相關行業從業者。除此之外，攻擊者在上半年的攻擊活動中還使用了多種攻擊手段，并引入了一些新的惡意軟件。LazarusLazarus 組織，又名 Hidden Cobra、ZINC 等，是東亞地區最為活躍的 APT 組織之一。攻擊目標遍布全球，涉及經濟、政府等多個領域的組織機構?，F在業界普遍認為該組織擁有 BlueNoroff 和 Andariel 兩個子團伙，其中 BlueNoroff 專注于實施金融領域的網絡犯罪，主要瞄準金融機構和加密貨幣交易所，而Andariel

42、 的攻擊目標則包括其他國家的政府、基礎設施和企業。（一）東亞25郵箱：ti_ 電話：95015 官網：https:/Lazarus在上半年的攻擊活動中使用帶有惡意代碼的開源PDF閱讀器1，與之相關的Andariel團伙在針對韓國企業的攻擊中投遞MeshAgent遠控工具和Dora RAT木馬2、3。Lazarus對區塊鏈行業的攻擊觸手似乎還伸向開發人員4，攻擊者在工作平臺上創建虛假的身份，偽裝為雇主、獨立開發者或初創公司創始人，發布工作信息吸引區塊鏈開發者，并說服應聘人員在自己設備上運行代碼，惡意代碼運行后將竊取加密貨幣相關的敏感信息。此外，Lazarus被發現在竊取加密貨幣后的洗錢過程中采用

43、新策略5。在2024上半年，Lazarus利用Windows系統組件appid.sys的漏洞CVE-2024-21338實現權限提升，植入改進版的FudModule rootkit從而禁用安全軟件的防護功能6、7。在此次攻擊活動中，攻擊者通過捏造的工作機會針對亞洲地區的技術人員，并使用了一款新型木馬Kaolin RAT。KimsukyKimsuky，又名 APT43、Emerald Sleet，最早由卡巴斯基于 2013 年公開披露并命名，攻擊活動最早可追溯至 2012 年。其被認為具有東亞地區背景，與 Group123 APT 組織存在基礎設施重疊等關聯性。Kimsuky在2024上半年的攻

44、擊活動涉及韓國、日本、歐洲等地區的政府機構、數字貨幣行業和重要企業，攻擊方式多樣。Kimsuky 以韓國軟件的安裝包為偽裝，投遞 TrollAgent 竊密軟件、Endoor 后門等惡意工具8-10，這類惡意軟件大多用Go語言編寫，該組織針對Linux平臺的一款Go后門Gomir11也被發現。LNK 文件也是 Kimsuky 在魚叉式網絡釣魚活動中常用的惡意軟件類型，不過 LNK 文件背后的攻擊鏈條不盡相同，既有一直以來常用的 VBS 和 Powershell 代碼組合12，也有借助 Dropbox 的 API 植入開源木馬 TutRAT13-15。圖 1.31 疑似 Lazarus 針對區塊

45、鏈開發人員的攻擊活動426網絡安全威脅 2024 年中報告Kimsuky還可能與針對歐洲地區軍工行業人員的攻擊有關16，在此次攻擊活動中，攻擊者偽造美國軍工企業的招聘作為誘餌。此外，Kimsuky被認為是眾多利用過遠程桌面軟件ScreenConnect漏洞（CVE-2024-1708、CVE-2024-1709）的攻擊組織之一，向攻擊目標植入了BabyShark惡意軟件的變種ToddleShark17。APT37APT37，又名Group123、ScarCruft，在2016年6月由卡巴斯基最先進行披露，最早活躍于2012年，該組織被認為與2016年的Operation Daybreak和Op

46、eration Erebus有關。Group123和APT組織Kimsuky存在特征重疊。APT37在上半年的魚叉式網絡釣魚活動中使用的誘餌不少是與朝鮮相關的話題18-21，比如“2023年朝鮮形勢評估與2024年展望”、“朝鮮人權”等，攻擊目標很可能是關注朝鮮的研究專家和媒體機構。研究圖 1.32 疑似 Kimsuky 針對歐洲軍工行業的攻擊活動16第一章 高級持續性威脅/網絡安全威脅 2024 年中報告27郵箱：ti_ 電話：95015 官網：https:/人員在對APT37攻擊的調查中還發現，攻擊者制作了以韓國網絡安全公司的網絡威脅分析報告為誘餌的惡意LNK文件19。在這些攻擊活動中，A

47、PT37使用LNK文件的攻擊流程相對固定，通常最終會植入RokRAT木馬。KonniKonni最開始是Cisco Talos團隊于2017年披露的一類遠控木馬，活動時間可追溯到2014年，攻擊目標涉及俄羅斯、韓國地區。2018年，Palo Alto發現該類惡意軟件與APT37有關的木馬NOKKI存在一些關聯。2019年起，韓國安全廠商ESTsecurity將Konni單獨作為疑似具有東亞背景的APT組織進行報告和披露，并發現該組織與Kimsuky有一定聯系。Konni在2024年上半年也展開了對韓國虛擬貨幣行業的攻擊，以韓語的虛擬貨幣行業監管條例和法律文檔為誘餌，向受害者投遞AutoIt版本的

48、Amadey惡意軟件22。此外，該組織還以俄羅斯政府機構使用的軟件安裝包對竊密軟件進行偽裝23。整體上 2024 上半年公開渠道曝光的東南亞 APT 活動不多，這可能與組織攻擊技戰術的轉變升級有關。海蓮花組織使用了一款由 Rust 編寫的加載器針對國內目標；Saaiwc 組織新的 KamiKakaBot 變體被發現用于年初的攻擊；Ducktail 疑似針對數字營銷人員發起攻擊。海蓮花海蓮花組織是由奇安信威脅情報中心最早披露并命名的一個 APT 組織，其自 2012 年 4 月起，該組織針對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷

49、攻擊。其攻擊目標涵蓋東南亞地區多國。由于海蓮花組織攻擊技戰術的轉變，近年來開源情報中少見其身影，但海蓮花組織的攻擊活動并未停止。今年上半年針對國內的一起攻擊活動中海蓮花組織使用了一款由 Rust 編寫的加載器，內存加載 Cobalt Strike 木馬24。此次發現的 Rust 加載器將后續載荷加密后附加到加載程序尾部，并試圖用 system32目錄下合法 DLL 的內存空間存放待執行的 Shellcode，以避免觸發安全軟件的檢測。同時本次開源平臺捕獲到的海蓮花樣本 CS 配置數據中所涉及的兩個 license_id 對應的可能是破解版 Cobalt Strike，并且已被多個攻擊團伙使用，

50、推測海蓮花組織想借此模糊攻擊歸屬。（二）東南亞28網絡安全威脅 2024 年中報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.33 Group-IB 披露的 Saaiwc 組織 KamiKakaBot 攻擊流程26SaaiwcSaaiwc組織又名DarkPink，于2023年1月由國內外安全廠商先后披露，活動時間可追溯至2021年年中，在 2022 年進入攻擊活動高發期。該組織的攻擊目標包括越南境內的宗教、非營利組織，馬來西亞、印度尼西亞、柬埔寨、菲律賓、泰國、文萊等東南亞國家的政府和軍事機構，以及歐洲國家的政府、教育機構。Saaiwc 組織在今年初的活動中使用了新的 K

51、amiKakaBot 變體25，攻擊流程整體上與 Saaiwc 組織以往的行動相似，新舊變體的主要區別是將竊密組件與主負載分離為獨立的 DLL，主要有效載荷存儲為XOR 加密的 base64 blob，而憑證竊取程序只是 XOR 加密。這些新的 KamiKakaBot 樣本使用“WWLIB.dll”來加載惡意負載，而舊版本則是使用“MSVCR100.dll”。DucktailDucktail 組織由國外安全廠商于 2022 年披露，其攻擊活動至少從 2021 年開始。Ducktail 的攻擊以經29郵箱：ti_ 電話：95015 官網：https:/圖 1.34 蔓靈花釣魚攻擊流程28濟利益驅

52、動，常針對 Facebook Business 賬號展開竊密行動，目的是操縱頁面并獲取財務信息。該組織的攻擊目標覆蓋全球多個國家。今年 2 月，國內友商捕獲了一系列疑似 Ducktail 組織發起的針對數字營銷人員的攻擊活動27。攻擊者通過壓縮文件分發，利用 LNK 快捷方式加載遠程服務器上的 hta 文件來執行惡意操作。hta 文件中的代碼經過混淆，用于下載并執行名為 dwmm.exe 的惡意軟件。dwmm.exe 是一個使用 Nuitka 封裝的Python 腳本，其功能包括從 Google 共享文檔獲取信息、檢測和創建鎖定文件、下載執行其他 hta 文件、收集設備信息、截屏以及從多種瀏覽

53、器中竊取敏感數據，最終通過Telegram Bot將信息發送到指定群組。南亞地區 APT 組織在 2024 上半年依然十分活躍，政府機構和國防部門是這些組織攻擊的重點目標，攻擊者擅長使用釣魚郵件、偽裝應用等手段，針對多個平臺投遞各類誘餌以下發后門木馬，達到竊取信息的目的。蔓靈花蔓靈花又名 BITTER，主要針對巴基斯坦、中國兩國，其攻擊目標為政府部門、電力、軍工相關單位，意圖竊取敏感資料，并與摩訶草、魔羅桫存在關聯。年初蔓靈花便被發現針對我國軍工行業發起攻擊28，試圖通過魚叉式釣魚攻擊手段來投遞 wmRAT 后門程序，以達到竊取我國軍事機密的目的。此次攻擊中使用的 wmRAT 后門具備截取屏幕

54、圖像、上傳文件數據、獲取指定 URL 頁面內容、遍歷磁盤、下載文件等惡意功能。（三）南亞30網絡安全威脅 2024 年中報告第五章 地緣下的 APT 組織、活動和趨勢/全球高級持續性威脅（APT）2022 年中報告蔓靈花組織經常通過模仿郵箱附件下載站點發起釣魚攻擊，在此類攻擊事件中蔓靈花一如既往地在獲取目標用戶憑證上努力改進。近期攻擊活動中首次發現該組織利用在線IDE平臺Replit搭建釣魚網站29。圖 1.35 蔓靈花利用 Replit 平臺的攻擊活動流程29 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告摩訶草摩訶草，又名 Patchwork、Hangover、白象等，該組織主要

55、針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，以政府、軍事、電力、工業、外交和經濟等領域為攻擊目標竊取敏感信息。該組織具備Windows、Android、macOS 等平臺的攻擊能力。研究人員年初披露摩訶草組織在多個 Android 間諜應用程序中使用 VajraSpy 木馬，用以針對性攻擊巴基斯坦人員30，這些間諜應用被偽裝成新聞程序或通信軟件進行傳播。VajraSpy 是奇安信之前披露金剛象（VajraEleph，APT-Q-43）攻擊活動時發現的移動端木馬。31郵箱：ti_ 電話：95015 官網：https:/圖 1.36 惡意應用程序發布日期的時間線30圖 1.37 響尾蛇針對國

56、內的攻擊流程33摩訶草還以巴基斯坦聯邦稅務局為誘餌發起釣魚攻擊31，研究人員捕獲到了一款以 C#開發的后門載荷，這類載荷在摩訶草歷史攻擊事件中比較少見，可能是該組織新開發的第一階段惡意后門。響尾蛇響尾蛇，又稱 Sidewinder，主要針對巴基斯坦、中國、阿富汗、尼泊爾、孟加拉等國家展開攻擊，旨在竊取政府外交機構、國防軍事部門、高等教育機構等領域的機密信息。2024 年初，研究人員捕獲到了響尾蛇組織針對不丹、緬甸、尼泊爾的攻擊樣本32，這類樣本主要是通過宏文檔釋放 Nim 語言編寫的攻擊載荷。此外該組織在針對國內高校和政府機構的攻擊活動中使用了大量新的攻擊組件，以竊取機密數據33。32網絡安全

57、威脅 2024 年中報告 第一章 高級持續性威脅述/網絡安全威脅 2024 年中報告透明部落透明部落，又稱 Transparent Tribe、C-Major、ProjectM。該組織主要針對印度政府、軍隊或相關機構，以及巴基斯坦的激進分子和民間社會，利用社會工程學進行魚叉攻擊，同時也會在移動端發起攻擊。透明部落從 2023 年 9 月開始對印度發起了一系列移動端攻擊活動，主要使用了 4 個武器化的 Android應用程序來冒充 YouTube 等合法程序，旨在通過社會工程學手段向移動游戲玩家、武器愛好者和TikTok 粉絲傳播 CapraRAT 間諜軟件34。透明部落還將移動端的攻擊武器偽裝

58、成聊天軟件針對印度軍方人員，采用 Lazaspy 遠程控制工具實現控制受害者設備和采集信息的目的35。該組織的其他攻擊活動主要瞄準印度政府、國防和航天航空部門，并且經常使用跨平臺編程語言，例如 Python、Golang 和Rust，以及流行的網絡服務，如 Telegram、Discord、Slack 和 Google Drive，最終部署一系列惡意工具36。透明部落還通過 Linux 桌面應用分發惡意載荷37?；顒痈腥炬準加谝粋€ ZIP 壓縮文件，攻擊者將誘導用戶在Linux環境下執行壓縮包中的approved_copy.desktop文件。最后下載的兩個惡意載荷功能相同，均為由 Golan

59、g 編寫的 ELF 文件，實際上屬于 Mythic 框架下的 Poseidon 組件，用于建立持久化，獲取C2 服務器指令并執行。圖 1.38 透明部落相關樣本的攻擊鏈和核心功能3633郵箱：ti_ 電話：95015 官網：https:/SideCopySideCopy 主要針對印度等南亞國家，以政府、國防、軍事等相關組織人員為目標進行網絡間諜活動。因其攻擊手法主要復制響尾蛇（Sidewinder）及其他 APT 組織的 TTP 而得名。網絡基礎設施與透明部落存在關聯。2024 年上半年 SideCopy 組織持續對印度展開攻擊，其中有三起針對印度政府實體的網絡攻擊事件使用的攻擊鏈相同，并且利

60、用受感染的域名來托管后續載荷 AllaKore RAT38。圖 1.39 透明部落利用 Linux 桌面文件的攻擊流程3734網絡安全威脅 2024 年中報告2024 年 5 月，SideCopy 以印度大學生為攻擊目標，投遞包含惡意網站超鏈接的郵件，鏈接指向的惡意網站托管了壓縮文件，其中帶有旨在觸發感染過程的惡意快捷方式(LNK)文件39。Mysterious Elephant 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.40 SideCopy 攻擊鏈3835郵箱：ti_ 電話：95015 官網：https:/Mysterious Elephant 具 有 南 亞 地 區

61、 背 景，主 要 針 對 巴 基 斯 坦 的 外 交 組 織 進 行 攻 擊，常 用ORPCBackdoor 木馬。該組織和南亞其他 APT 組織響尾蛇、蔓靈花等存在關聯。Mysterious Elephant 在 2024 年初展開新一波攻擊活動，使用了一些此前未被發現的攻擊武器，并改用WalkerShell 作為初始入侵載體下載 ORPCBackdoor 木馬40。圖 1.41 Mysterious Elephant 攻擊鏈40東歐地區 APT 組織在 2024 上半年依然利用網絡釣魚針對烏克蘭、歐洲、美國等地區開展間諜活動以竊取機密信息。其中 APT28、Sandworm 在上半年極為活

62、躍，頻繁對攻擊目標發起大規模竊密或破壞行動。APT28APT28 也稱為 Pawn Storm、Forest Blizzard、Fancy Bear 等，其最早活動可以追溯至 2007 年，主要針對政府、軍事和安全組織。2022 年俄烏沖突以來，該組織積極針對烏克蘭目標進行攻擊，此外攻擊目標還涉及到東歐其他國家和歐盟北約的成員國。APT28 擅長結合暴力破解和隱秘手段攻擊高價值目標41，近幾年的攻擊活動中使用一款利用 Windows Print Spooler 服務漏洞 CVE-2022-38028 獲取系統等級權限的惡意工具 GooseEgg42。在 2023 年 4 月至 12 月期間 A

63、PT28 分三個階段部署了信息竊取惡意軟件 HeadLace，并利用憑證收集網頁發起了一系列針對歐洲各地網絡的攻擊活動43。2024 年初，美國聯合多方破壞了用于支持 APT28 攻擊活動的僵尸（四）東歐36網絡安全威脅 2024 年中報告APT28 被披露再次發動信息戰活動“Doppelgnger NG”46。截至 2024 年 2 月，APT28 已在全球范圍內開展了大規模的網絡釣魚活動47，冒充阿根廷、烏克蘭、格魯吉亞、白俄羅斯、哈薩克斯坦、波蘭、亞美尼亞、阿塞拜疆和美國等多個國家的實體，使用的誘餌文件內容涉及金融、關鍵基礎設施、高層會晤、網絡安全、海上安全、醫療保健、商業和國防工業生產

64、等領域。2024 年 5 月波蘭 CERT 披露 APT28 針對波蘭政府機構發動釣魚攻擊48。網絡，該僵尸網絡由受感染的 Ubiquiti EdgeRouter 路由器設備組成，APT28 借助僵尸網絡竊取憑證和代理惡意流量44、45。第一章 高級持續性威脅述/網絡安全威脅 2024 年中報告圖 1.42 APT28 信息竊取活動感染鏈4337郵箱：ti_ 電話：95015 官網：https:/圖 1.43 APT28 釣魚活動攻擊鏈示例47SandwormSandworm 組織大約從 2009 年開始運營，主要針對能源、工業控制系統、政府和媒體相關領域的烏克38網絡安全威脅 2024 年中

65、報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.44 Sandworm 在俄烏戰時破壞活動總結52蘭實體，攻擊活動中不乏針對關鍵基礎設施的破壞行動，在 2022 年俄烏沖突中策劃了針對烏克蘭電網的攻擊。Sandworm 利用 Kapeka 后門針對東歐地區（尤其是烏克蘭）發動多次襲擊49。該組織還利用數據擦除器 AcidRain 的新變體 AcidPour 破壞用于 Eutelsat KA-SAT 通訊的調制解調器在烏克蘭的使用50。3月份烏克蘭 CERT 披露 Sandworm 試圖破壞烏克蘭 10 個地區約 20 家能源、水和熱供應領域企業的信息通信系統的正常運行51

66、。除了破壞行動，Sandworm 也廣泛實施著收集情報的網絡間諜活動52。39郵箱：ti_ 電話：95015 官網：https:/TurlaTurla，又稱為 Snake 或 Uroburos，其攻擊目標包括政府機構、大使館、教育研究機構和制藥公司等。近幾年，該組織攻擊了德國外交部、法國企業的服務器，竊取了大量的情報信息。2022 年俄烏沖突以來，該組織積極針對烏克蘭等目標進行攻擊，此外攻擊目標還涉及到東歐其他國家和歐盟北約的成員國。2024 年初研究人員發現 Turla 組織使用新惡意組件攻擊歐洲地區53、54，攻擊者利用植入的 TinyTurla-NG 后門部署另外三個模塊來維持訪問、執行

67、任意命令和竊取憑據，惡意軟件感染了歐洲非政府組織的多個系統。圖 1.45 TinyTurlaNG 攻擊過程5440網絡安全威脅 2024 年中報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告在其他攻擊活動中，Turla 通過釣魚攻擊和 Zabbix 軟件的錯誤配置獲取初始訪問權限，利用兩個新后門LunarMail 和 LunarWeb 攻擊歐洲外交部及其駐外外交使團55。APT29APT29 常使用一系列網絡釣魚策略或供應鏈攻擊手段針對多國政府、外交機構和其他實體，被認為與2020 年 SolarWinds 供應鏈攻擊事件有關。2024 年 2 月，APT29 針對德國政黨實施網

68、絡釣魚活動56，誘餌內容帶有德國主要政黨基督教民主聯盟（CDU）標志，誘餌文檔包含一個鏈接，指向惡意ZIP文件，ZIP文件中又包含APT29常用的ROOTSAW（又名 EnvyScout）惡意軟件，用于部署 WINELOADER 后門。FIN7FIN7是以經濟利益為導向的攻擊組織，攻擊活動最早從2015年開始，影響行業包括金融服務、運輸、零售、教育、電子產品等。該組織經常借助魚叉式網絡釣魚分發惡意軟件，擅長使用不落地的無文件攻擊方式。圖 1.46 兩個 Lunar 工具集攻擊鏈5541郵箱：ti_ 電話：95015 官網：https:/圖 1.47 微軟觀察到 APT35 植入后門的入侵鏈59

69、2023 年底，FIN7 針對美國一家大型汽車制造商發起魚叉式網絡釣魚57，通過 IP 掃描工具安裝包誘使IT 部門具有高級別訪問權限的員工下載惡意程序。2024 年 4 月，研究人員觀察到 FIN7 組織使用惡意網站冒充可信品牌，并利用 Google Ads 傳播托管惡意軟件的網站，惡意軟件用 MSIX 格式打包58。2024 年上半年，中東地區的網絡安全形勢依然嚴峻且復雜。地緣政治競爭、經濟利益沖突和權力爭奪使該地區成為網絡攻擊和間諜活動的重災區。以色列和巴勒斯坦之間的沖突加劇，導致網絡攻擊頻繁，涉及的 APT 組織眾多，攻擊目標復雜多樣。攻擊者采用復雜的惡意軟件、精密的社會工程學手段以及

70、人工智能和物聯網等新興技術，針對能源、通信和金融等行業的關鍵基礎設施，嚴重威脅中東地區的經濟穩定和社會運行。APT35APT35，又名 Charming Kitten、Mint Sandstorm 等，是中東地區較為活躍的 APT 組織之一。自 2014年以來，他們通過復雜的社會工程學活動針對歐洲、美國和中東的政府和軍事人員、學者、記者以及世界衛生組織(WHO)等發動攻擊。攻擊目標遍布全球，涉及政府、國防軍事和外交等多個領域的組織機構。2023 年 11 月以來，微軟觀察到 APT35 的一個獨特子集，攻擊目標是在比利時、法國、加沙、以色列、英國和美國的大學和研究機構中從事中東事務的知名人士。

71、在這次活動中，APT35 使用定制的網絡釣魚誘餌，試圖通過社會工程學手段誘使目標下載惡意文件。在少數情況下，微軟觀察到了新的入侵后技巧，包括使用名為 MediaPl 的新定制后門。（五）中東42網絡安全威脅 2024 年中報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告MuddyWaterMuddyWater 又名 TEMP.Zagros、Static Kitten、Seedworm、TA450，該組織于 2017 年 2 月被 Unit 42 披露并命名，被認為是來源于中東地區的 APT 組織。該組織自首次披露以來持續活躍至今，不斷有安全公司披露相關新樣本及其后門新變種，其攻擊

72、 TTP 也在不斷更新，主要針對中東國家，也針對歐洲和北美國家。該組織的受害者主要集中在政府、金融、能源、電信等要害部門。去年 11 月，Deep Instinct 的威脅研究團隊發現了一個之前未曝光的 C2 框架，該框架疑似被MuddyWater 使用，時間可以追溯到 2020 年。該框架的 Web 組件采用 Go 編程語言編寫，Deep Instinct 威脅研究團隊給它命名為 MuddyC2Go60。在追蹤半年之后，Deep Instinct 的威脅研究團隊又發現了 MuddyWater 組織另一個攻擊框架DarkBeatC2，該框架與之前的 C2 框架非常相似，它是管理所有受感染計算機

73、的中心點。威脅行為者通常通過使用多種方式建立與 C2 的連接，例如在獲得初始訪問權限后，手動執行 PowerShell 代碼以建立與 C2 的連接；或者通過魚叉式網絡釣魚電子郵件投遞木馬加載器，在第一階段有效負載內建立 C2 連接；又或者通過偽裝成合法應用程序（PowGoop 和 MuddyC2Go）側加載惡意 DLL 來執行代碼以建立C2 連接61。自 2021 年以來，MuddyWater 一直依賴合法的遠程監控和管理(RMM)軟件作為其攻擊的第一階段有效載荷。攻擊者使用過的不同 RMM 工具包括 ScreenConnect、Syncro、SimpleHelp、RemoteUtilies

74、以及最近的 Atera Agent。Atera Agent 不需要攻擊者設置任何基礎設施，為攻擊者提供了更好的操作安全性62。APT33APT33 別名有 Peach Sandstorm、Refined Kitten、HOLMIUM、MAGNALLIUM、TA451 等，由FireEye 于 2017 年 9 月披露并命名。該組織攻擊目標包括美國、沙特阿拉伯和韓國的多個行業，受害組織涉及軍事和商業的航空部門，APT33 對與石化生產有聯系的能源部門也表現出特別的興趣。2023 年 12 月，Microsoft 威脅情報指出，APT33 開始使用新的后門，并將后門識別為 FalseFont63。

75、2024 年 1 月底，Nextron 威脅研究團隊發布了 FalseFont 后門的公開分析64。APT33 使用的 FalseFont 后門以國防承包商為目標，并偽裝成合法的 Maxar Technologies 應用程序。該惡意軟件使用虛假用戶界面進行網絡釣魚，并使用 Microsoft 的實時 Web API 協議 SignalR 進行 C&C通信。FalseFont 后門是一個復雜的遠程訪問和數據泄露工具，重點是監控用戶機器，其大多數功能都43郵箱：ti_ 電話：95015 官網：https:/圖 1.48 運行 FalseFont 后門顯示的登錄面板65針對用戶文件和數據。根據分析

76、攻擊者可能計劃提取美國國防情報相關文件。屏幕錄制功能是數據泄露的另一種方式，它允許參與者從未存儲在磁盤上的數據（如電子郵件或聊天消息）中獲取更多可能機密的信息。除了標準文件泄露外，FalseFont 還包括一個瀏覽器憑據竊取程序，這可能會導致高價值在線帳戶遭到入侵。雙尾蝎雙尾蝎組織又稱 AridViper，奇安信內部追蹤編號為 APT-Q-63。該組織至少從 2011 年開始運營，使用語言為阿拉伯語。雙尾蝎攻擊行業包括國防、教育、政府、媒體、交通等領域，攻擊的國家包括但不限于美國、韓國、日本、瑞典、巴勒斯坦、以色列等。雙尾蝎使用的惡意軟件覆蓋 Windows、iOS 和Android 多個平臺

77、。該組織因使用有針對性的網絡釣魚電子郵件和虛假社交媒體資料來誘騙目標在其設備上安裝惡意軟件而聞名。2024 年 6 月，ESET 發現了多起針對 Android 用戶的雙尾蝎攻擊活動。這些活動通過專用網站提供惡意軟件，受害者可以從這些網站下載并手動安裝 Android 應用程序。這些網站上提供的三個應用程序都是被捆綁了惡意代碼的合法應用程序，研究人員將其命名為 AridSpy。44網絡安全威脅 2024 年中報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.49 AridSpy 攻擊鏈66AridSpy 通過冒充各種消息傳遞應用程序、工作機會應用程序和巴勒斯坦民事登記應用程

78、序的專用網站進行分發。通過偽裝成合法的安卓應用程序，AridSpy 能夠有效地滲透目標設備，實施廣泛的數據竊取和監視活動。AridSpy 不僅能夠竊取聯系人、短信等基本數據，還具備錄音、截屏和獲取地理位置等高級功能，極大地威脅到受害者的隱私和安全。45郵箱：ti_ 電話：95015 官網：https:/El MacheteEl Machete 又名 Machete，奇安信內部追蹤編號為 APT-Q-99，由國外安全廠商卡巴斯基在 2014 年八月披露并命名，攻擊活動可追溯至 2010 年，攻擊者主要使用西班牙語。該組織大多數受害者位于委內瑞拉、厄瓜多爾、哥倫比亞、秘魯、俄羅斯、古巴和西班牙等地

79、，攻擊目標包括情報部門、軍隊、大使館和政府機構。El Machete 在今年上半年的攻擊活動中其技戰法未作出較大改變，依舊是通過魚叉釣魚郵件作為攻擊入口，釣魚郵件中包含攜帶惡意宏代碼的 Office 文檔，宏代碼啟用后將會發起 FTP 請求從遠程服務器中下載后門木馬運行68。2024 年上半年，全球其他地區的網絡安全形勢同樣嚴峻。盲眼鷹和 El Machete 等團伙繼續通過魚叉式網絡釣魚進行網絡間諜活動；北非、荷蘭等地也出現出于政治利益的網絡攻擊行動。盲眼鷹盲眼鷹組織又稱 Blind Eagle，奇安信內部追蹤編號為 APT-Q-98。該組織疑似來自南美洲，從 2018 年 4月起活躍至今，

80、主要針對哥倫比亞政府機構和金融、石油、制造等行業的大型公司展開長期不間斷的攻擊。2024 上半年，盲眼鷹組織將其活動擴展到北美的西班牙語用戶，主要針對制造業。該組織利用釣魚郵件發送包含惡意 VBS 文件的壓縮包，這些文件會安裝木馬程序（如 Remcos RAT 和 NjRAT），以控制感染系統。借助其他威脅行為者開發的混淆器，盲眼鷹增加了攻擊的復雜性和隱蔽性67。（六）其他地區46網絡安全威脅 2024 年中報告 第一章 高級持續性威脅/網絡安全威脅 2024 年中報告圖 1.50 El Machete 組織使用的魚叉釣魚郵件文件誘餌68Starry AddaxStarry Addax 是一個

81、針對北非人權捍衛者的新興威脅組織，主要攻擊目標是與撒哈拉阿拉伯民主共和國（SADR）事業有關的人權活動家。攻擊者使用一種名為“FlexStarling”的新型安卓惡意軟件，通過魚叉式網絡釣魚郵件進行傳播。受害者被誘騙安裝偽裝成合法應用的惡意軟件，導致設備數據被竊取。FlexStarling 要求廣泛的權限，具備反模擬檢查功能，可執行多種惡意操作，如下載文件、刪除文件及上傳文件至攻擊者的存儲空間，這些活動表明攻擊者可能在籌備更多的后續行動69。Operation FlightNight2024 年 3 月 7 日，EclecticIQ 分析師發現了一個未知的 APT 組織，該組織利用開源信息竊取

82、程序HackBrowserData 的修改版本攻擊印度政府機構和能源部門。通過網絡釣魚電子郵件發送的信息竊取器47郵箱：ti_ 電話：95015 官網：https:/惡意程序被偽裝成印度空軍的邀請函。攻擊者利用 Slack 頻道作為數據滲透途徑，在惡意軟件執行后上傳內部機密文檔、私人電子郵件和緩存的Web瀏覽器數據。EclecticIQ分析師將這次入侵稱為“Operation FlightNight”，因為攻擊者運營的每個 Slack 頻道都被命名為“FlightNight”70。盡管尚未確定該活動背后的黑客組織，但惡意軟件和交付技術元數據的相似性表明與之前 1 月份的一起攻擊事件有較強的關聯

83、，當時攻擊者使用名為 GoStealer 的憑據竊取惡意軟件瞄準印度空軍官員。根據EclecticIQ 的說法，這兩起活動很可能源自同一個威脅行為者。Sea TurtleSea Turtle是由Cisco Talos于2018年1月發現并披露的APT組織，主要針對位于歐洲、中東、北非的政府、非政府組織、航空航天、國防、能源、電信等領域的機構，實施信息竊取和網絡間諜活動。Sea Turtle常用 DNS 劫持手段實現對感染設備網絡流量的控制。在過去的一年中，研究人員觀察到荷蘭發生了多起由 Sea Turtle 組織策劃的網絡攻擊，主要針對電信、媒體、互聯網服務提供商和 IT 服務提供商，更具體地

84、說是庫爾德網站（其中包括 PKK 附屬網站）。攻擊者的行動帶有政治動機，例如會收集少數群體和潛在政治異見人士的個人信息，研究人員推測被盜信息可能會被用于后續針對特定團體或個人的監視和情報收集行動71。48網絡安全威脅 2024 年中報告第二章 勒索軟件勒索軟件由于其牟利的本質最終造就了一個成熟且猖獗的網絡犯罪世界，它對信息系統可用性的破壞和直接造成的經濟損失成為大多數人最容易感知到的網絡威脅之一。本章將介紹全球勒索軟件攻擊，內容基于全球多個機構發布的與勒索軟件有關的公開安全報告。奇安信威脅情報中心收集了 2024 上半年全球多個安全廠商發布的與勒索軟件有關的安全報告，首先根據這些公開報告梳理在

85、 2024 上半年全球范圍內的勒索軟件攻擊活動，然后對報告提及的勒索軟件投遞方式進行介紹，只有了解了勒索軟件從何處引入，我們才能采取更有效的防范措施，最后總結 2024 上半年全球勒索軟件攻擊活動特點和趨勢。第二章 勒索軟件/網絡安全威脅 2024 年中報告一、全球勒索軟件攻擊活動概覽奇安信威脅情報中心對安全報告中涉及的勒索軟件或勒索組織、受害者所在國家地區和行業進行整理，如表 2.1 所示（表格中“/”符號表示報告中未明確提及相關信息）?？v觀 2024 上半年的勒索軟件攻擊活動，全球各地多個行業的組織和個人都受到影響?；钴S的勒索軟件家族數量眾多，并且還出現了一些新型勒索軟件和變種，足以反映出

86、這個網絡犯罪產業的繁榮?，F如今稍具規模的勒索團伙大多采用“雙重勒索”的攻擊模式，不僅讓受害者支付贖金解密文件，還以泄露數據為要挾再次實施勒索，對受害組織而言無疑雪上加霜。報告主題報告發布機構勒索軟件/組織受害國家/地區攻擊目標針對 Akira 和 Royal 勒索軟件受害者的后續勒索活動72Arctic Wolf/Akira 和 Royal 勒索軟件受害者攻擊者積極針對 MSSQL 服務器，以投遞 Mimic 勒索軟件73SecuronixMimic 勒索軟件美國、歐盟和拉丁美洲國家/Babuk 勒索軟件變種的新解密器發布74Cisco TalosBabuk 勒索軟件變種（Tortilla）/

87、49郵箱：ti_ 電話：95015 官網：https:/報告主題報告發布機構勒索軟件/組織受害國家/地區攻擊目標Medusa 勒索軟件攻擊活動75Palo Alto NetworksMedusa 勒索軟件美國、歐洲、非洲、南美、亞洲高科技、教育和制造業等領域門羅幣挖礦程序以及 Mimus勒索軟件正通過各種漏洞進行分發76AhnLabMimus 勒索軟件/偽裝為注冊機程序的勒索軟件通過國內收款碼收取贖金77360/中國個人MSSQL 服務器 BCP 功能被用于部署 Trigona 勒索軟件和Mimic 勒索軟件78AhnLabTrigona 勒索軟件Mimic 勒索軟件/LIVE 勒索軟件利用

88、IP-Guard漏洞79奇安信LIVE 勒索軟件中國/Kasseika 勒索軟件部署 BYOVD攻擊、濫用 PsExec 和 Martini驅動程序80Trend MicroKasseika 勒索軟件/Phobos 勒索軟件變種（FAUST）發起攻擊81FortinetPhobos 勒索軟件變種（FAUST）/勒索軟件綜述：Albabat82FortinetAlbabat 勒索軟件阿根廷、巴西、捷克共和國、德國、匈牙利、哈薩克斯坦、俄羅斯和美國等公司、個人阻止 Akira 勒索軟件：通過TTP 的預防和分析83MorphisecAkira 勒索軟件北美、英國和歐洲政府、制造、技術、教育、咨詢、

89、制藥和電信等領域勒索軟件綜述：Abyss Locke84FortinetAbyss Locker 勒索軟件歐洲、北美、南美和亞洲等/包括 Black Basta 在內的威脅組織正在利用近期的 ScreenConnect漏洞85Trend MicroBlack Basta 勒索組織，Bl00dy 勒索組織/多階段 RA World 勒索軟件使用反AV 策略，利用 GPO86Trend MicroRA World 勒索軟件拉丁美洲地區多家醫療保健組織50網絡安全威脅 2024 年中報告 第二章 勒索軟件/網絡安全威脅 2024 年中報告報告主題報告發布機構勒索軟件/組織受害國家/地區攻擊目標Gho

90、stSec 聯合 Stormous團伙對多個國家實施雙重勒索攻擊87Cisco TalosGhostLocker 勒索軟件，Stormous 勒索軟件古巴、阿根廷、波蘭、中國、黎巴嫩、以色列、烏茲別克斯坦、印度、南非、巴西、摩洛哥、卡塔爾、土耳其、埃及、越南、泰國和印度尼西亞科技公司、高校教育、制造業、政府機構、交通運輸、能源等領域Shadow 勒索組織攻陷俄羅斯多家公司88F.A.C.C.T.Shadow 勒索組織俄羅斯多個行業的公司Phobos 勒索軟件：分析 8Base勒索組織使用的網絡基礎設施89Intel-OpsPhobos 勒索軟件，8Base 勒索組織美國、巴西、英國、加拿大等商

91、業服務、制造業、建筑、零售等新勒索家族出現，Donex 公布多名受害者信息90安恒Donex 勒索軟件/Mallox 勒索軟件攻擊事件91深信服Mallox 勒索軟件中國/StopCrypt 勒索軟件變種在野外傳播92SonicWallStopCrypt 勒索軟件/TeamCity 漏洞利用引入 Jasmin勒索軟件和其他惡意軟件93Trend MicroJasmin 勒索軟件/TellYouThePass 勒索軟件目標鎖定財務管理設備94360TellYouThePass 勒索軟件中國財務管理Agenda 勒索軟件通過自定義PowerShell 腳本傳播到 vCenter和 ESXi95Tr

92、end MicroAgenda 勒索軟件美國、阿根廷、澳大利亞以及泰國等金融、法律、建筑業等秘魯軍方勒索事件及相關勒索組織深度分析96啟明星辰INC Ransom 勒索組織秘魯軍隊勒索軟件 Crypt888 技術分析97StormshieldCrypt888 勒索軟件東南亞個人Evil Ant 勒索軟件分析98NetskopeEvil Ant 勒索軟件/TargetCompany 勒索組織對配置不當的 MSSQL 服務器進行攻擊99AhnLabMallox 勒索軟件/51郵箱：ti_ 電話：95015 官網：https:/報告主題報告發布機構勒索軟件/組織受害國家/地區攻擊目標Makop 通過

93、 loldrivers 關閉安全軟件100深信服Makop 勒索軟件/攻擊者利用 IcedID 傳播Dagon Locker 勒索軟件101THE DFIR REPORTDagon Locker 勒索軟件/LockBit 勒索軟件家族最新動態102360LockBit 勒索軟件/Trinity 勒索軟件分析103CybleTrinity 勒索軟件/攻擊者在針對 MSSQL 服務器的攻擊活動中利用 PureCrypter部署 Mallox 勒索軟件104SEKOIA.IOMallox 勒索軟件/Phorpiex 僵尸網絡正在大規模分發 Lockbit Black 勒索軟件105Proofpoin

94、tLockBit 勒索軟件/Storm-1811 組織濫用 Quick Assist 工具部署勒索軟件106MicrosoftBlack Basta 勒索軟件/Ikaruz Red Team：利用勒索軟件收獲注意力而非金錢的黑客組織107SentinelOneLockBit 勒索軟件菲律賓/ShrinkLocker：將 BitLocker變成勒索軟件108Kaspersky/墨西哥、印度尼西亞和約旦等/勒索組織 Ransomhub 瞄準西班牙生物能源工廠的 SCADA 系統109CybleRansomhub 勒索組織西班牙能源新型勒索軟件變種 Fog110Arctic WolfFog 勒索軟件

95、美國教育、娛樂RansomHub：源自 Knight 的新型勒索軟件111SymantecRansomhub 勒索組織/TargetCompany 的 Linux 變種針對 ESXi 環境112Trend MicroMallox 勒索軟件變種/52網絡安全威脅 2024 年中報告 第二章 勒索軟件/網絡安全威脅 2024 年中報告報告主題報告發布機構勒索軟件/組織受害國家/地區攻擊目標勒索軟件綜述：Shinra和 Limpopo 勒索軟件113FortinetShinra 勒索軟件，Limpopo 勒索軟件拉丁美洲、泰國/P2Pinfect 僵尸網絡不斷發展以部署勒索軟件和挖礦程序114Cad

96、o Security/勒索新秀 Brain Cipher115深信服Brain Cipher 勒索團伙印度尼西亞數據中心表 2.1 2024 上半年全球勒索軟件攻擊活動圖 2.2 ScreenConnect 漏洞利用方式85二、勒索軟件投遞方式漏洞利用是勒索軟件團伙獲取目標設備訪問權的常用手段，2024 上半年多個漏洞在公開后立即遭到勒索軟件攻擊者濫用。Black Basta 和 Bl00dy 勒索軟件團伙被披露利用遠程桌面管理軟件 ScreenConnect 存在的漏洞 CVE-2024-1708和CVE-2024-1709發起攻擊85。Black Basta勒索團伙利用漏洞后部署了Coba

97、lt Strike木馬，而 Bl00dy 勒索團伙在攻擊活動中使用了此前 Conti 和 LockBit Black（即 LockBit 3.0）泄露的構建器。（一）漏洞利用53郵箱：ti_ 電話：95015 官網：https:/圖 2.3 P2Pinfect 僵尸網絡下發勒索軟件載荷114在許多勒索軟件攻擊活動中，勒索軟件并不是直接投遞，而是借助木馬、僵尸網絡等其他惡意軟件植入受害設備。2024 上半年，Phorpiex 和 P2Pinfect 僵尸網絡均被發現用于部署勒索軟件105、114。另外，在一次投遞 IceID 木馬的網絡釣魚活動中，攻擊者控制了感染設備多天后才下發 Dagon L

98、ocker 勒索軟件101。Storm-1811 團伙通過社會工程學手段偽裝為技術支持人員與受害者建立聯系，最終利用SystemBC 木馬部署 Black Basta 勒索軟件106。除了惡意軟件，合法的遠程管理工具（如 AnyDesk、VNC 等）也常被攻擊者用作投遞勒索軟件的媒介。針對個人用戶的勒索軟件還會偽裝為其他破解工具類軟件，誘使受害者在運行程序前禁用安全防護軟件。一款以國內用戶為攻擊目標的勒索軟件將自己偽裝為某軟件注冊機77。Albabat 勒索軟件也曾以Windows 10 激活工具和游戲作弊程序作為偽裝進行分發82。JetBrains 旗下 TeamCity CI/CD 服務器

99、的漏洞 CVE-2024-27198 和 CVE-2024-27199 被多個攻擊團伙利用93，在其中一次較早的攻擊活動中，攻擊者最終釋放了開源勒索軟件 Jasmin 的變種。（二）借助其他惡意軟件和合法遠程管理工具（三）軟件偽裝54網絡安全威脅 2024 年中報告 第二章 勒索軟件/網絡安全威脅 2024 年中報告圖 2.4 偽裝為工具軟件注冊機程序的勒索軟件77三、攻擊活動特點和趨勢雖然最終都是部署勒索軟件，但不同勒索團伙采用的攻擊手法體現了它們不同層次的技術水平。針對組織機構的勒索組織和滲透團伙幾乎沒有差別，在獲取初始立足點后，攻擊者往往會細致地進行系統和網絡偵測以及橫向移動操作。對于采

100、用“雙重勒索”模式的勒索組織更是如此，因為它們需要先將數據隱蔽地轉移出去，勒索軟件不過是攻擊者處心積慮滲透過程的最后一環。此外，一些勒索軟件團伙還會借助驅動程序（BYOVD 技術）從內核層面對抗安全防護軟件，為勒索軟件發揮作用掃清障礙。（一）勒索是滲透的最后一步55郵箱：ti_ 電話：95015 官網：https:/圖 2.5 Agenda 勒索軟件攻擊鏈95勒索軟件世界中不斷有“新人”出現，而這些新興勒索軟件往往有著它們的歷史源頭。2024 上半年，研究人員發現一個采用雙重勒索模式的新勒索軟件變種 Trinity103，它和之前披露的勒索軟件 2023Lock以及 Venus 存在關聯。20

101、24 年 2 月首次出現的勒索組織 RansomHub 很可能與另一個已停止運營的Knight 勒索團伙有著代碼上的淵源111。盡管活躍時間不長，但 RansomHub 目前聲稱已攻擊了全球數十個組織109。多種勒索軟件已具備針對虛擬化環境的能力。Agenda 勒索軟件使用嵌入在二進制文件中的自定義PowerShell 腳本在 VMWare vCenter 和 ESXi 服務器之間傳播，這可能會影響虛擬機甚至整個虛擬基礎架構，導致虛擬環境中運行的服務中斷95。Mallox 勒索軟件也被發現將攻擊目標擴大到包括虛擬化服務器，攻擊者在勒索軟件中增加了一項功能，用于檢測計算機是否在 VMWare E

102、SXi 環境中運行112。（二）繼承過去的新興勒索軟件（三）針對虛擬化環境的勒索攻擊顯現56網絡安全威脅 2024 年中報告第三章 互聯網黑產網絡信息技術的應用推動了許多行業的發展，但在陰影之下也催生了互聯網黑色產業鏈，不法分子利用網絡渠道和技術手段從事游走在法律監管之外的牟利活動，成為危害網絡世界平穩運行的一大威脅來源。本章將對 2024 上半年國內安全廠商披露的互聯網黑產攻擊活動進行介紹，其中既有被多個黑產團伙使用的“銀狐”木馬繼續肆虐，又有新型黑產團伙浮出水面。第三章 互聯網黑產/網絡安全威脅 2024 年中報告一、銀狐木馬黑產團伙銀狐最初被當作單個黑產團伙，后來安全研究人員逐漸發現銀狐

103、樣本變種多，迭代速度快，涉及的網絡資產數量龐大且分散，投遞方式多樣，遠超單一黑產組織的能力范圍。另外，銀狐其中一個版本的源碼winos（基于開源的 Gh0st 木馬）已經在黑產圈子中被廣泛交易并傳播116。因此友商將銀狐攻擊活動視為多個黑產團伙所為116、117，銀狐木馬是這些黑產團伙的共用工具。本文沿用此觀點，即認為銀狐相關活動囊括了一系列黑產團伙。值得一提的是，奇安信病毒響應中心早先披露的“谷墮大盜”118和友商發現的“游蛇”119均與銀狐系列黑產團伙有關。奇安信威脅情報中心整理了 2024 上半年多個安全廠商發布的關于銀狐木馬黑產團伙攻擊活動報告，如下表所示。（一）活動概述報告名稱發布時

104、間發布機構銀狐團伙近期釣魚活動追蹤1202024-01-02騰訊銀狐黑吃黑：利用偽造 MSI 安裝包攻擊黑產從業者1212024-01-04微步在線銀狐技戰法，偷梁換柱之技，發現新變種在野攻擊1222024-03-15深信服57郵箱：ti_ 電話：95015 官網：https:/報告名稱發布時間發布機構銀狐再臨瞄準財稅崗位定向釣魚攻擊1232024-03-27360隱藏在“報稅”誘餌背后的釣魚攻擊1242024-03-28微步在線“游蛇”黑產近期攻擊活動分析1252024-04-07安天銀狐黑產團伙大規模針對財稅人員1262024-04-29奇安信“銀狐”釣魚團伙 2024 年 1-5 月攻擊

105、趨勢1272024-05-09騰訊銀狐團伙借助某終端安全管理軟件發起釣魚攻擊1282024-05-16騰訊“銀狐”團伙使用核酸檢測退費發票信息主題的釣魚攻擊增多1292024-05-24騰訊“成熟后門”再度投遞，銀狐變種利用 MSI 實行遠控1302024-06-12火絨“游蛇”黑產團伙利用惡意文檔進行釣魚攻擊活動分析1312024-06-21安天銀狐木馬黑產團伙針對其他黑產從業人員展開過黑吃黑行動121，在一些黑產相關的 Telegram 頻道大量散播捆綁木馬的軟件安裝包，通過模仿黑產人員常用軟件吸引目標下載。2024 上半年銀狐木馬黑產團伙使用的誘餌包含大量“財稅”、“發票”類話題，意圖攻

106、擊企事業單位財稅等崗位的人員。表 3.1 2024 上半年銀狐木馬黑產團伙攻擊活動58網絡安全威脅 2024 年中報告圖 3.2 銀狐木馬黑產團伙使用的釣魚鏈接主題示例126 第三章 互聯網黑產/網絡安全威脅 2024 年中報告2024 上半年銀狐木馬黑產團伙繼續采用軟件安裝包偽裝和網絡釣魚的方式投遞惡意程序。偽裝的軟件安裝包以 MSI 格式為主，其中除了正常安裝程序，還捆綁了木馬文件。為了增加受害者的信任，攻擊者還會仿照官方軟件下載頁面搭建虛假的下載站點。攻擊者網絡釣魚的途徑包含電子郵件和即時通訊軟件，既有直接投放惡意文件讓受害者打開，也有發送釣魚鏈接并引誘受害者訪問然后下載惡意程序。一旦攻

107、擊者通過木馬或者遠程控制軟件掌控了受害者設備，后續還會在即時通訊軟件中冒充受害者身份進一步傳播惡意程序，擴大攻擊范圍。攻擊者投遞的惡意程序通常經過多階段的加載過程才植入最終的木馬，借助載荷加殼和多樣化的加載方式實現對殺毒軟件檢測的繞過。托管載荷的遠程服務器類型包括自建站點、云服務器和第三方網站。除了使用 Gh0st 木馬變種和 AsyncRAT 等木馬程序，這些黑產團伙在 2024 上半年的攻擊活動中還濫用了多種企業電腦監控軟件，包括“第三只眼”125、WorkWin127和某終端安全軟件的計算機監控功能128。（二）攻擊手法和工具59郵箱：ti_ 電話：95015 官網：https:/圖 3

108、.3 Bigpanzi 黑產團伙業務結構132二、BigpanziBigpanzi 是奇安信 X 實驗室在 2024 年初披露的一個大型黑產團伙132，掌控的僵尸網絡規模超過 10 萬，Bot 節點主要分布在巴西。該團伙主要針對的設備是 Android 操作系統的電視、機頂盒，eCos 操作系統的機頂盒等。攻擊者組建僵尸網絡的主要手段是向用戶提供免費或廉價的視聽服務，誘使用戶安裝免費的視頻 APP，或固件刷機安裝廉價的影像娛樂平臺。而安裝的 APP/娛樂平臺都帶有后門組件，導致設備變成黑產團伙私建流媒體平臺中的一個業務流量節點?；谶@些受控設備，黑產團伙的業務涵蓋流量代理、DDoS攻擊、互聯網

109、內容服務（OTT）、盜版流量（Pirate Traffic）等。Bigpanzi 的危害除了利用僵尸網絡發動 DDoS 攻擊，還在于它可以通過被控制的 Android 電視或機頂盒不受法律法規約束地傳播任何圖像、聲音信息。目前已知 Bigpanzi 感染設備的途徑針對 Android 和 eCos 平臺，有以下 3 種方式：（1）通過盜版流量（一）活動概述（二）攻擊手法和工具60網絡安全威脅 2024 年中報告 第三章 互聯網黑產/網絡安全威脅 2024 年中報告三、暗蚊“暗蚊”黑產團伙，又稱 amdc6766 團伙，主要攻擊 IT 運維人員。該團伙在 2023 年對 PHP/JAVA 環境部

110、署工具 OneinStack 和 Linux 服務器環境部署工具 LNMP 發起多次供應鏈投毒攻擊133、134，并創建了多款運維工具（如（AMH、寶塔、Xshell、Navicat）的虛假下載頁面，用于投遞惡意程序134。2024 上半年，研究人員發現該團伙在一個較為流行的 macOS 破解軟件下載站點上，托管了 5 款帶毒惡意工具135，惡意程序偽裝為 SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop，下載總量已超 3 萬次。（一）活動概述的影視APP（Android)；（2）通過后門化的通用OTA固件（Andr

111、oid)；（3）通過后門化的“SmartUpTool”固件（eCos)。Bipanzi團伙所用的樣本種類繁多，涉及到PE，DEX，ELF等多種格式，使用的攻擊武器和工具有下面幾種。（1）pandoraspearpandoraspear 是一個針對 Android 系統的后門木馬。從遠程服務器請求加密的 hosts 文件，解密后替換被侵入設備的/etc/hosts，實現 DNS 劫持。支持的 C2 指令功能包括執行 DDoS，反向 shell，執行命令等。（2）pcdnpcdn的功能有兩個，主要功能為在設備上搭建一個流媒體平臺，并通過P2P協議將諸多被感染設備組網，形成一個類似 P2P 的內容分

112、發網絡(CDN)，適用于視頻點播、直播、回看、大文件下載的業務場景。組建的 CDN 網絡被研究人員稱為 Pandora-CDN。研究人員推測 Bigpanzi 使用 Pandora-CDN 的業務場景是盜版視頻的播放，以及相關APK的下載。pcdn的另一個功能是將設備“武器化”，執行C2下發的指令，進行 DDoS 攻擊。（3）Windows 平臺上運行的 DDoS 工具 Fl00d 和 Fl00d 2.0。（4）ptcrack，一款 Go 語言編寫的針對眾多網絡協議的 cracker 工具。（5）p2p_peer，該工具利用 P2P 協議實現 Pandora-CDN 節點發現。61郵箱：ti_

113、 電話：95015 官網：https:/圖 3.4 暗蚊黑產團伙仿造的帶毒運維工具135四、金相狐金相狐是奇安信病毒響應中心在 2024 年 3 月披露的黑產團伙137，攻擊者將惡意程序借助偽裝成泰國地區合法機構的移動端應用軟件，誘使用戶下載使用，進而竊取用戶的面部生物特征數據和個人金融信息，實施金融詐騙活動。金相狐團伙的仿冒軟件包括泰國省電力局（PEA）應用，以及泰國政府、金融部門和公共事業公司的相攻擊者在 macOS 軟件偽裝攻擊事件中，將帶毒軟件上傳到一個有較多訪問量的軟件下載站點，增大了惡意程序能接觸到的受害者范圍。惡意運維工具運行后，從遠程服務器下載遠控木馬，攻擊者植入受害者 mac

114、OS 設備的遠控木馬是從開源木馬 KhepriC2 和 goncat 改寫而來?？刂?macOS 設備后，攻擊者收集各類文件上傳至匿名文件共享服務托管平臺 oshi.at，并用 fscan、nmap 等進行內網掃描，借助Web 漏洞和 SSH 暴力破解等手段進入 Linux 服務器，最終在 Linux 服務器里植入后門。而在 LNMP 供應鏈投毒事件中，攻擊者用源碼植入的方式在 LNMP 部署的 Nginx 程序中創建了帶有遠程命令執行功能的后門，隨后連接 Ngnix 后門，進一步安裝其他惡意程序。（一）活動概述（二）攻擊手法和工具此外暗蚊團伙再度對 LNMP 發起供應鏈投毒攻擊，向 LNMP

115、 部署的 Nginx 源碼中植入惡意代碼136。62網絡安全威脅 2024 年中報告圖 3.5 金相狐黑產團伙攻擊過程137 第三章 互聯網黑產/網絡安全威脅 2024 年中報告作為攻擊入口的仿冒軟件通過 Google Play 等應用商店傳播。受害用戶安裝仿冒軟件后，被誘導授予仿冒軟件相關權限，包含無障礙服務、相機、短信等高危權限。然后仿冒軟件會通過社會工程學手段誘導受害用戶上傳自己的身份證件信息，借助人臉檢測識別采集受害者的面部特征數據，竊取的面部特征數據和其他信息被上傳到云服務器和主控服務器。另外，仿冒軟件會下載并誘導受害者安裝名為“b.apk”的文件包，此包是一個偽裝的客服軟件，軟件內

116、部會監控目標金融軟件，并定制每個金融軟件的釣魚和鎖定界面。金相狐團伙用社學工程學手法誘導用戶安裝并使用仿冒軟件和可監控金融應用的惡意軟件（金融監控軟件），從而完成信息竊取。（二）攻擊手法和工具關應用程序。竊取受害者面部特征數據是黑產團伙對此前泰國央行要求銀行在大額交易時用人臉識別確認身份這一政策的應對手段。63郵箱：ti_ 電話：95015 官網：https:/在對受害者詐騙的過程中，惡意軟件可以實時遠程控制目標設備，主要針對目標銀行進行操作。在遠控功能中，具有一系列試圖控制用戶金融應用使用的命令，其中就包含下發彈窗和鎖定目標銀行的功能，攻擊者以此可取得受害者的金融賬戶密碼。圖 3.6 利用仿

117、冒聊天軟件發起的金融攻擊活動138五、其他2024 上半年還有其他多起黑產活動被披露。2024 年 1 月，友商發布報告曝光一起利用仿冒的移動端聊天應用，針對多個國家的金融攻擊活動137。此次攻擊活動時間可追溯至 2023 年 3 月，已知受害者多達數萬人，受害區域遍布亞洲、歐洲、澳洲地區的多個國家。仿冒聊天軟件申請無障礙權限，以獲取對受害設備的控制，并針對性地攻擊設備上安裝的虛擬貨幣錢包和銀行應用。在攻擊者服務器上，研究人員發現了仿冒聊天應用的系統后臺，關聯到疑似系統平臺開發者的 TG 賬戶，進一步調查到該開發者利用 Telegram 出售惡意木馬和聊天后臺系統。64網絡安全威脅 2024

118、年中報告圖 3.7 線上考試作弊過程139 第三章 互聯網黑產/網絡安全威脅 2024 年中報告2024 年 3 月，奇安信威脅情報中心揭露了線上考試作弊的黑產運作模式139。托福、GRE 等考試的考生為了尋求線上考試的理想成績，購買網絡作弊服務。替考服務提供商在考生電腦上安裝的作弊程序包含遠控程序，并下發作弊插件使多款考試檢測程序無法檢測到遠程桌面應用進程，進而讓替考人員順利完成作弊操作。65郵箱：ti_ 電話：95015 官網：https:/第四章 網絡威脅中的漏洞利用2024 年上半年在野利用的 0day 數量與去年同期相比基本一致，但往年微軟、谷歌、蘋果三足鼎立的格局被打破，Googl

119、e 依舊是相關漏洞最多的廠商，微軟、蘋果的相關漏洞數量卻有所回落，其中空缺部分被網絡邊界設備漏洞填補。雖然 Chrome 仍然是目前攻擊者熱衷的瀏覽器攻擊向量，不過相比于Chrome 高昂的研究成本，部分攻擊者將目標移向了防火墻、VPN 這樣的邊界設備，且相關的 0day 攻擊開始增多。此外正如我們之前在 2023 年度報告中的預測一樣，在野利用 0day 的攻擊者歸屬更難界定，漏洞軍火商開始頻繁下場。從 2024 年上半年的在野 0day 涉及廠商的數量分布可以看出，攻擊者開始嘗試新的攻擊向量，這一方面體現了行業對現有攻擊整體防御能力的提升，但同時也意味著攻擊者試圖另辟蹊徑繞過安全人員的視野

120、，因此攻擊者與安全人員的博弈依舊是一場不斷升級的漫長拉鋸戰。第四章 網絡威脅中的漏洞利用/網絡安全威脅 2024 年中報告漏洞編號影響目標EXP/POC 是否公開利用的 APT 組織披露廠商CVE-2023-46805Ivanti Connect Secure是UNC5221Google MandiantCVE-2024-21887Ivanti Connect Secure是UNC5221Google MandiantCVE-2024-0519Google否未知未知CVE-2024-23222Apple否未知未知CVE-2024-23225Apple否未知未知CVE-2024-23296App

121、le否未知未知CVE-2024-21338Microsoft是LazarusAvastCVE-2024-21351Microsoft否未知未知CVE-2024-1708ScreenConect是Black BastaBl00dy 勒索ConnectWiseCVE-2024-1709ScreenConect是Black Basta Bl00dy 勒索ConnectWiseCVE-2024-21412Microsoft是Water HydraAura Information SecurityGoogle Threat Analysis GroupTrend Micros Zero Day Init

122、iative66網絡安全威脅 2024 年中報告 第四章 網絡威脅中的漏洞利用/網絡安全威脅 2024 年中報告漏洞編號影響目標EXP/POC 是否公開利用的 APT 組織披露廠商CVE-2024-26169Microsoft是Storm-1811SymantecCVE-2024-29745Google否未知未知CVE-2024-29748Google否未知未知CVE-2024-20353Cisco否ArcaneDoorCisco TalosCVE-2024-20359Cisco否ArcaneDoorCisco TalosCVE-2024-4671Google否未知未知CVE-2024-476

123、1Google是未知未知CVE-2024-4947Google是未知KasperskyCVE-2024-30040Microsoft否未知未知CVE-2024-30051Microsoft否QakBotKasperskyDBAPPSecurityGoogle Threat Analysis GroupGoogle MandiantCVE-2024-3400Palo Alto Networks是UTA0218volexityCVE-2024-5274Google是未知Google Threat Analysis GroupChrome SecurityCVE-2024-4610ARM否未知未知C

124、VE-2024-32896Google否未知未知表 4.1 2024 上半年披露的高危漏洞一、一周三修，Chrome 閃擊2024 上半年 Google 相關產品的在野 0day 漏洞攻擊依舊是最多的，而這里面 Chrome 瀏覽器又占據了大部分份額。作為全球市場占有率最大的瀏覽器，Chrome 瀏覽器也是目前市面上攻擊面最大的軟件，在歷年奇安信威脅情報中心報告的在野 0day 攻擊中，總有 Chrome 瀏覽器的一席之地。2024 年上半年是 Chrome 0day 在野攻擊爆發的一年，其數量和 2021 年一致(2021 年是截止目前在野67郵箱：ti_ 電話：95015 官網：https

125、:/圖 4.2 V8 沙盒演化二、從邊界入局，陷落的邊界設備邊界設備作為企業外圍的第一道防線，對企業安全的重要性毋庸置疑，而在 2024 年上半年出現了多起以邊界設備為入口的攻擊。2024 年 1 月 11 日，Mandiant 披露了 UNC5221 的在野攻擊活動，該攻擊中 UNC5221 使用了 Ivanti Connect Secure VPN 的兩個 0day 漏洞，在成功利用 CVE-2023-46805（身份驗證繞過）和 CVE-2024-21887（命令注入）之后，投遞了多個自定義的木馬程序。2024 年 4 月 25 日，思科 Talos 發布了名為 ArcaneDoor 攻

126、擊活動的報告，攻擊者使用了思科 ASA 防火墻中的兩個 0day CVE-2024-20353 和 CVE-2024-20359。2024 年 5 月 15 日，Volexity 披露了 UTA0218 的在野攻擊活動，該攻擊使用 Palo Alto Networks PAN-OS 的 GlobalProtect 功能存在的 0day 漏洞 CVE-2024-3400，并以此作為內部橫向移動的切入點。0day 攻擊最多的一年)，且出現了在 2024/05/07-2024/05/13 這 7 天內，連續修復 CVE-2024-4671/CVE-2024-4761/CVE-2024-4947 三個

127、在野 0day 的盛況。Google 安全研究人員和攻擊者在 Chrome 上的對抗可以說是在野 0day 攻防中最激烈的一條戰線，沒有之一！盡管多年以來 Chrome 一直是 0day攻擊最頻繁的軟件，但 Google 安全研究人員背后的努力值得任何廠商學習。而隨著 2024 年 Chrome 中 V8 沙盒的完善，一套完整的 Chrome 利用代碼需要從之前的代碼執行加Chrome沙盒繞過轉變為代碼執行加V8沙盒繞過加Chrome沙盒繞過的模式，攻擊者的成本會再次提升。到時候這場持續了近 5 年的對抗是會繼續加劇，還是攻擊者轉向其他的攻擊向量，讓我們拭目以待。68網絡安全威脅 2024 年

128、中報告 第四章 網絡威脅中的漏洞利用/網絡安全威脅 2024 年中報告圖 4.3 PHP CGI從 2023 年開始類似針對邊界設備的攻擊開始增多，一個原因在于很多邊界設備本身安全性相較Chrome 這樣的軟件要差很多，攻擊者能以很小的成本就發現可用的漏洞，而這些邊界設備本身具有的功能往往導致攻陷后能給攻擊者帶來巨大的收益，因此越發受到攻擊者的青睞。三、新瓶舊酒 PHP CGI(CVE-2024-4577)2024 年 6 月 7 號安全研究人員 Orange Tsai 在其 Twitter 上分享了 PHP CGI 漏洞 CVE-2024-4577，該漏洞是早年 CVE-2012-1823

129、的延伸，由于 PHP 團隊沒有注意到 Windows 操作系統中編碼轉換的 Best-Fit 功能，導致特定版本的 Window 環境（中文、日文)下針對 CVE-2012-1823 的補丁會失效。因為CGI 本身在 PHP 中已經淘汰，該漏洞對于純 PHP 的影響并不大，但是 xampp 中 PHP 被配置為默認導出 CGI 二進制程序，導致默認配置的 xampp 成為該漏洞的攻擊目標。69郵箱：ti_ 電話：95015 官網：https:/該漏洞披露之后的次日，奇安信威脅情報中心就發現了多個利用該漏洞進行的攻擊活動，其中包括TellYouThePass 勒索團伙。由于 CGI 技術在 PH

130、P 中的淘汰，這個死灰復燃的漏洞本身并沒有帶來大范圍的攻擊，但是卻引入了一個值得深思的問題：漏洞補丁的修復可能隨著計算機技術的發展而失效。這可能來自于新技術的引入，也有可能是補丁修復時的技術局限性，甚至是因為軟件迭代中的負優化。隨著計算機技術的不斷發展，如何確保舊補丁仍然有效將是一個軟件廠商必須考量的問題。四、開源的夢魘 XZ Utils(CVE-2024-3094)2024 年 3 月 29 日，微軟工程師 Andres Freund 公開披露，觀察到 Liblzma 庫存在一些奇怪的現象，自己在用 SSH 遠程登錄時會發生異常及內存錯誤。經過分析，確認在 Liblzma 上游組件 xz-u

131、tils 中存在后門代碼，該后門允許攻擊者能夠在 SSH 登錄認證前，執行任意代碼。OpensSSH 廣泛部署在 Linux 操作系統中，雖然默認并不直接依賴 Liblzma，但是部分 Linux 發行版會對 OpenSSH 進行二次開發從而導致其默認加載 LibSystemd，而 LibSystemd 又會默認加載 Liblzma，因此 OpenSSH 將間接因 xz-utils 投毒而成為攻擊目標。一旦完成更新最終下發的惡意代碼將保證攻擊者通過特殊的 key 在認證時完成代碼執行。下圖為 Twitter 上安全研究人員總結的一張攻擊流程圖。70網絡安全威脅 2024 年中報告 第四章 網絡

132、威脅中的漏洞利用/網絡安全威脅 2024 年中報告圖 4.4 CVE-2024-3094 供應鏈流程圖71郵箱：ti_ 電話：95015 官網：https:/xz-utils項目原本自2009年來一直由Lasse Collin維護，但是在2021年，一位名叫JiaT75的開發人員在該項目的社區交流中逐漸取得Lasse Collin的信任，并于2022年2月7日獲得了項目代碼的提交權，最終于2024年3月8日至3月20日期間策劃了這次供應鏈攻擊。和以往供應鏈攻擊不同，該事件中通過當事人Lasse Collin的視角，可以清晰地看到攻擊者的整個攻擊過程。通過近三年的不懈努力最終發起攻擊行動，攻擊者

133、的耐心程度堪比2021年針對安全研究人員的Lazarus。這里我們一方面感嘆攻擊者的執著，另一方面也意識到一個巨大的安全攻擊面，即開源軟件的安全性。長期以來，社區內不乏開源軟件更安全的聲音，但是通過整個攻擊事件可以看到，對于一個具備足夠耐心的攻擊者而言，只要選對了組件目標，投入足夠的時間，就可以發起一場波及多個Linux版本的供應鏈攻擊。開源帶來的繁雜上游代碼庫成了軟件供應鏈的巨大攻擊面，如何收束Linux這個開源環境中繁雜上游代碼的安全性，防止類似的供應鏈攻擊再次發生，將是未來供應鏈安全的一大難題。72網絡安全威脅 2024 年中報告第五章 2024上半年網絡威脅活動特點奇安信威脅情報中心根

134、據 2024 上半年觀察到的高級持續性威脅、勒索軟件攻擊、互聯網黑產、在野漏洞利用等網絡威脅活動，總結出以下特點。第五章 2024 上半年網絡威脅活動特點/網絡安全威脅 2024 年中報告一、攻擊花樣層出不窮，安全對抗持續升級二、AI 于網絡威脅中初展鋒芒安全攻防是攻擊者與廠商安全研究人員的較量，每當一個攻擊面被封堵，攻擊者就需要尋求新的攻擊面。2024 年一個顯著的特征便是攻擊者對于新攻擊面的挖掘，無論是針對邊界設備 0day 攻擊還是 Linux 上游開源代碼的供應鏈攻擊，攻擊者都在嘗試從以往防御較弱甚至是無設防的角度發起攻擊。于攻擊者而言很多時候新攻擊面的投入成本可能會更低，而防御者發現

135、問題的時間則大幅度增加。因此站在防御者的角度，廠商需要不斷更新攻防理念。此外，越來越多的攻擊者對采用的 TTP（戰術、技術和程序）進行更新升級，相當一部分攻擊事件中攻擊者使用了新型的惡意程序或技戰術。惡意軟件的實現方面，攻擊者在編程語言的選擇上更加豐富，基于 Python、Golang 等跨平臺編程語言的惡意軟件不斷涌現。不僅如此，從 2022 年起觀察到遭受攻擊的目標平臺開始趨于多元化，在經歷了去年的“Operation Triangulation”事件之后，2024 年攻擊者更多地投入到 Android、Linux、macOS、iOS 等非 Windows 平臺。隨著近年 OPEN AI

136、旗下 CHATGPT 產品大熱，相關技術也逐漸進入網絡安全領域，知識型問答方式的GPT 成為攻防兩端人員的有利武器，并大幅度縮短了相關人員在某一技術領域的學習時間，善用 GPT成為安全技術人員的必修課。此外 AI 同樣也對網絡攻擊的形式帶來了變化，過去在社交媒體上發布的虛假信息通常都是一些誘導性的文章圖片，而隨著如今 AI 生成技術的成熟，大量以 AI 生成的視頻、圖片開始出現在社交媒體上，用于誤導信息認知。如網絡攻擊團伙 Storm-1679 就通過生成式 AI 技術制作了大量奧運相關的假視頻及新聞，以抹黑 2024 年巴黎奧運會。73郵箱：ti_ 電話：95015 官網：https:/最后

137、，AI技術的大熱同樣使得相關軟件的漏洞安全問題暴露在公眾之下，如微軟2024年主推的Copilot+PC AI業務存在用戶數據泄露的問題，Ollama本地AI大模型的遠程代碼執行漏洞CVE-2024-37032。新技術帶來新時代的革新，這次的AI同樣如此，從個人再到安全企業，最終遍及整個網絡安全領域。74網絡安全威脅 2024 年中報告附錄1 全球主要APT組織列表75郵箱：ti_ 電話：95015 官網：https:/附錄2 奇安信威脅情報中心威脅情報中心是奇安信集團旗下專注于威脅情報收集、分析、生產的專業部門，以業界領先的安全大數據資源為基礎，基于奇安信長期積累的威脅檢測和大數據技術，依托

138、亞太地區頂級的安全分析師團隊，通過創新性的運營分析流程，開發威脅情報相關的產品和服務，輸出威脅安全管理與防護所需的情報數據，協助客戶發現、分析、處置高級威脅活動事件。奇安信 ALPHA 威脅分析平臺（https:/），是奇安信集團面向安全分析師和應急響應團隊提供的一站式云端服務平臺，該平臺擁有海量互聯網基礎數據和威脅研判分析結果，為安全分析人員及各類企業用戶提供基礎數據的查詢、攻擊線索拓展、事件背景研判、攻擊組織解析、研究報告下載等多種維度的威脅情報數據與威脅情報服務，提供全方位的威脅情報能力。奇安信病毒響應中心奇安信威脅情報中心76網絡安全威脅 2024 年中報告附錄3 紅雨滴團隊(RedD

139、irp Team)奇安信旗下的高級威脅研究團隊紅雨滴（RedDrip Team，RedDrip7）,成立于2015年（前身為天眼實驗室），持續運營奇安信威脅情報中心至今，專注于APT攻擊類高級威脅的研究，是國內首個發布并命名“海蓮花”（APT-C-00，OceanLotus）APT 攻擊組織的安全研究團隊，也是當前奇安信威脅情報中心的主力威脅分析技術支持團隊。目前，紅雨滴團隊擁有數十人的專業分析師和相應的數據運營和平臺開發人員，覆蓋威脅情報運營的各個環節：公開情報收集、自有數據處理、惡意代碼分析、網絡流量解析、線索發現挖掘拓展、追蹤溯源，實現安全事件分析的全流程運營。團隊對外輸出機讀威脅情報數

140、據支持奇安信自有和第三方的檢測類安全產品，實現高效的威脅發現、損失評估及處置建議提供，同時也為公眾和監管方輸出事件和組織層面的全面高級威脅分析報告。依托全球領先的安全大數據能力、多維度多來源的安全數據和專業分析師的豐富經驗，紅雨滴團隊自2015 年持續發現多個包括海蓮花在內的 APT 組織在中國境內的長期活動，并發布國內首個組織層面的APT事件揭露報告，開創了國內APT攻擊類高級威脅體系化揭露的先河，已經成為國家級網絡攻防的焦點?！凹t雨滴”背后的故事“從 100 億個雨滴中找一個紅雨滴”2006年11月20日，因發現J粒子而獲得諾貝爾獎的著名華裔物理學家丁肇中教授來到中國駐瑞士大使館，做了一場

141、精彩的講座。丁肇中教授形容自己發現構成物質的第四種基本粒子J 粒子的高精度實驗時說到：“相當于在北京下雨時，每秒鐘有 100 億個雨滴，如果有一個雨滴是紅色的，我們就要從這 100 億個里找出它來?！倍姘残磐{情報中心高級威脅分析團隊同樣需要在海量數據中精準找尋那些紅色威脅。最終，我們選擇了“紅雨滴”作為團隊的名稱。附錄/網絡安全威脅 2024 年中報告77郵箱：ti_ 電話：95015 官網：https:/附錄4 參考鏈接1https:/ 2024 年中報告26https:/www.group- 2024 年中報告79郵箱：ti_ 電話：95015 官網：https:/52https:/ 2024 年中報告74https:/ 2024 年中報告81郵箱：ti_ 電話：95015 官網：https:/101https:/ 2024 年中報告125https:/ 2024 年中報告郵箱：ti_ 電話：95015官網：https:/掃描關注我們的微信公眾號