独家！2024年度APT报告：全网威胁态势解读

电信安全情报团队对全球多个公开APT情报源进行监测，情报源包括但不限于国内外APT组织研究报告，社交媒体等相关情报来源，梳理出2024年全球APT活跃趋势，如下图1所示。

图1 2024年全球APT活跃趋势

通过分析公开APT组织报告、社交媒体等相关APT线索，统计出2024年APT攻击活动所针对的国家分布情况，如下图2所示，由此可见，2024年大部分APT攻击活动主要针对乌克兰、美国、中国、俄罗斯以及韩国等国家和地区。

图2 2024年APT攻击活动针对的国家和地区

全球APT攻击活动涉及的行业分布如下图3所示，其中以政府机构遭受的APT攻击占比最多，约为25.44%，涉及教育科研安全事件占比约为10.53%，涉及国防安全事件占比13.16%，媒体、科技制造、能源、金融、航空航天、医疗等行业也遭受到不同程度的APT攻击。

图3 2024年APT攻击的全球行业分布

结合中国电信全网分析能力，统计出2024年疑似连接APT组织相关资产的IP地址地理分布，从结果上看，在全国有33个省市和自治区均有疑似被控IP。疑似被控IP分布区域前15个省排名如下图4所示，其中江苏、浙江和广东遭受攻击最为严重，分别占比16.46%，14.09%，12.05%；陕西、福建、新疆、河北、安徽次之。

图4 2024年境内疑似连接APT组织资产的IP区域分布TOP15

结合中国电信全网分析能力和公开APT情报，统计出APT活动涉及境内行业分布如下图5所示，其中政府机构遭受攻击占比最多约为27.45%，科研教育、国防占比次之分别为13.73%、11.76%。

图5 2024年APT攻击的境内行业分布

电信安全情报团队通过对2024年APT攻击事件进行监测和分析，梳理出了APT组织在过去一年内常用的技战法，并将其映射到ATT&CK框架中，如下图6所示，APT组织常用的技战法约有78个，覆盖了ATT&CK框架的14个阶段，如需详细文档版ATT&CK框架表，请在“中国电信安全”公众号发送“ATT&CK框架”获取。

图6 2024年APT组织常用的技战法

其中使用频率最高的技术包括但不限于命令和脚本（T1059）、用户执行（T1204）、网络钓鱼（T1566）、混淆的文件（T1027）等，如下表1所示，详细展示了APT组织常用的前十个技战法。

表1 2024年APT组织常用的技战法TOP10

通过结合中国电信全网分析能力以及对公开APT情报源的监测和分析，整理出了2024年活跃程度较高的十个APT组织，分别是Lazarus、Kimsuky、Group123、摩诃草、蔓灵花、海莲花、透明部落、响尾蛇、APT28、Turla，接下来将会对这些APT组织及其攻击活动进行介绍。

Lazarus，别名Hidden Cobra、ZINC，被认为是朝鲜人民军121局背景下的APT组织（Bureau 121），其主要动机是经济利益。该组织从2009年开始活跃，于2013年首次引起媒体的广泛关注，早期主要针对韩国、美国等政府机构，以窃取敏感情报为目的。自2014年后，该组织开始以全球金融机构、虚拟货币交易所等为目标，进行以敛财为目的的攻击活动。目前业界普遍认为该组织拥有BlueNoroff和Andariel两个子团伙，其中BlueNoroff专注于实施金融网络犯罪，其目标是金融机构和加密货币交易所，而Andariel的攻击目标则包括其他国家的政府、基础设施和企业，以窃取敏感信息为主。

在窃取敏感信息方面，Lazarus组织在2024年上半年通过Telegram向目标用户发送了带有恶意代码的PDF阅读器和精心设计的PDF文档，此外该组织还利用Windows系统的0day漏洞CVE-2024-21338针对亚洲地区的技术人员，通过获取目标主机的内核权限，植入修改后的FudModule Rootkit禁用安全软件，最终投递新型的Kaolin RAT木马。在2024年年中Lazarus组织分别对韩国企业、韩国国防和制造业发起攻击，投递Dora RAT和Xctdoor木马。

在窃取虚拟货币方面，Lazarus组织在LinkedIn、X(Twitter)、Facebook、GitHub、Stack Overflow等多个平台发布加密货币相关的招聘或研究项目，如下图7所示，是Lazarus组织散布虚假招聘信息的网址截图。

图7 Lazarus组织散布虚假招聘信息网站

该组织攻击流程如下图8所示，攻击者通过telegram等通信平台联系并引诱求职人员下载带有恶意程序的FCCCall视频会议软件。恶意程序运行后，会根据默认的加密钱包存储路径窃取数据回传，此外恶意程序还会进行python环境安装以及后续的python木马下载，python木马具有远程控制、键盘记录及窗口监控等恶意功能。

图8 Lazarus组织窃取加密货币信息攻击流程

Kimsuky，别名APT43、Black Banshee、Emerald Sleet，被卡巴斯基于2013年披露并命名，攻击活动最早可追溯至2012年。该组织被认为具有朝鲜国家背景，主要攻击目标为韩国、日本、美国等多个国家和地区，涉及国防、教育、能源、政府、医疗及智囊团等领域，以窃取机密信息为主。

Kimsuky组织在2024年春季通过采用钓鱼网站和钓鱼邮件的方式，对韩国的东国大学、高丽大学、延世大学进行网络攻击，旨在通过渗透大学网络，获取核武、医疗和制药等相关研究数据，下图9为Kimsuky组织仿造高丽大学的登录界面，在收集被害者的用户名和密码后，会重定向到真实网站。

图9 Kimsuky组织伪造高丽大学的登录界面

在2024年下半年，Kimsuky组织持续对韩国、日本以及德国的政府、科研教育、航空航天等行业以钓鱼邮件等方式发起网络攻击。根据公开情报显示Kimsuky组织不仅使用之前PowerShell编写的键盘记录软件，也在使用一种以C++编写的新型的键盘记录软件。攻击流程如下图10所示，在2024年9月份Kimsuky以俄朝关系相关论文为诱饵对韩国发起钓鱼攻击，在本次攻击中，该组织利用github托管后续攻击载荷。

图10 Kimsuky利用俄朝关系论文对韩国发起网络攻击

Group123，别名ScarCruft、APT37，在2016年6月由卡巴斯基最先进行披露，被认为是来自朝鲜的攻击组织，最早活跃于2012年。Group123早期主要针对韩国，2017年后延伸攻击目标，包括日本、越南和中东。该组织主要针对化学品、电子、制造、航空航天、汽车和医疗保健实体等行业。

在2024年上半年该组织以“2023年朝鲜局势评估和2024年展望”，“朝鲜人权专家辩论”和朝鲜研究所研究员以及社会人士发表的各类朝鲜政治话题的文章为诱饵对韩国关注朝鲜的研究专家和媒体机构发起钓鱼攻击，在这些攻击活动中攻击者主要通过投递恶意的LNK文件，通过下载解密ShellCode等一系列操作最终投递RokRat木马，攻击流程如下图11所示:

图11 Group123利用朝鲜话题对韩国发起钓鱼攻击流程

在2024年下半年该组织利用IE浏览器的0day漏洞（CVE-2024-38178）对韩国发起攻击。在此次攻击活动中，攻击者首先攻击了广告代理商的服务器，将漏洞代码注入到广告的内容呈现相关脚本中，当广告程序下载呈现时会触发该漏洞，无需与用户交互。

摩诃草，别名Patchwork、Hangover、白象，最早由国外安全厂商Norman披露。该组织最早的攻击活动可以追溯到2009年，主要针对Windows系统进行攻击，同时也会针对Android、MacOS系统进行攻击，专注于南亚和东南亚的政府、国防、外交实体和学术机构，并延伸至欧洲和北美。

摩诃草组织常见的攻击流程如下图12所示，攻击者通过投递恶意的诱饵文件，诱使用户点击，运行后从远程服务器上下载恶意DLL文件及诱饵文档并打开以迷惑用户。通过拷贝系统文件到指定目录，以白加黑的方式加载恶意DLL。恶意DLL执行后会在内存中解密并执行最终的RAT。

图12 摩诃草组织常用攻击流程

2024年下半年，在摩诃草组织疑似针对不丹的攻击样本中，除加载之前使用的Go语言后门外，还使用了红队工具Brute Ratel C4。Brute Ratel C4是一个商业的红队框架，可以实现文件管理、端口扫描、屏幕截图等功能。

蔓灵花，别名BITTER、苦象，由国外安全厂商Forcepoint在2016年命名。研究表明该组织至少从2013年以来就开始活跃，主要针对巴基斯坦和中国的政府、电力、JG等相关单位，是一支具有南亚背景的APT组织。

蔓灵花组织的整体攻击流程如下图13所示。该组织主要是通过投递钓鱼邮件，诱使用户点击诱饵附件，通过多次下载执行最终攻击载荷。从下图可以看出，该组织采用多种文件格式作为钓鱼附件。

图13 蔓灵花组织整体攻击流程

2024年早期该组织在PDF附件中插入恶意链接，诱使用户点击下载压缩文件，解压后是伪装为PDF文档的LNK文件，运行后会连接远程服务器下载恶意脚本，执行后续攻击载荷。

2024年上半年蔓灵花组织开始投递searchConnector-ms类型的恶意文件，searchConnector-ms文件是一个定义指定Windows搜索的位置、查询、结果等操作的描述性文件。打开该文件，Windows将从该文件描述的指定的位置找到目标文件。攻击者通过修改和自定义这种类型的文件，用户打开后会从远程服务器上下载指定的恶意文件。

海莲花组织，别名APT32，是一个长期针对中国及多个东南亚国家的APT组织，涉及ZF、科研院所、海事机构、海域建设、航运企业等相关重要领域。

2024年下半年海莲花组织以社保、南海法律制度、《国际论坛》匿名审稿专家邀请函等主题多次对我国发起钓鱼攻击，部分诱饵文件如下图14所示。

图14 2024年海莲花组织对我国投递的诱饵文档

以南海法律制度为话题的攻击流程为例，如下图15所示，攻击者通过发送包含MSC文件的钓鱼邮件，伪装成word文档诱使受害者点击。MSC文件运行后会释放出诱饵文档，Warp.exe白文件以及7z.dll恶意文件。恶意文件通过白加黑的方式运行起来，通过在内存中解密，最终执行CobaltStrike恶意软件。海莲花此类攻击流程大体一致，有所区别的是诱饵文档格式的不同，例如在以社保为话题的钓鱼攻击中，采用的是LNK文件格式。

图15 海莲花以南海法律制度为话题的攻击流程

透明部落，别名ProjectM、C-Major，在2016年2月被proofpoint披露，最早可以追溯到2012年。该组织是一个来自巴基斯坦的APT组织，主要目标是针对印度的ZF、JD以及巴基斯坦的激进分子和民间社会组织，该组织具有移动端、Windows和Linux多平台攻击能力，经常使用跨平台编程语言编写恶意软件，例如Python、Golang和Rust，以及使用流行的网络服务，如Telegram、Slack和Google Drive等，部署和传播恶意软件。

移动端方面，透明部落组织的恶意软件通常伪装成聊天软件，结合流行的远程控制工具收集受害者信息，常用的RAT工具有Lazaspy、AhMyth RAT、Crimson RAT等。该组织从2023年9月起开始对印度发起了一系列移动端攻击活动，通过冒充YouTube等合法程序，利用社会工程学向游戏玩家，武器爱好者以及TikTok粉丝传播恶意软件，此外还伪装成聊天软件针对印度的军方人员。

Linux平台方面，在2024年上半年该组织通过投递ZIP压缩文件，诱导用户执行压缩包中的“approved_copy.desktop”文件，最后下载两个Golang语言编写的恶意文件，分别是bsdutils-taR和notification-update，用于建立持久化，获取C2服务器攻击指令并执行，攻击流程如下图16所示。这种攻击方法早在2023年8月就开始用于对印度的攻击。

图16 透明部落组织对Linux平台攻击流程

Windows平台方面，在2024年2月透明部落组织向印度政府投递包含恶意VBA脚本的DOCM类型的文档，脚本运行后会通过解压、提取文件等操作释放最终载荷CrimsonRAT。CrimsonRAT由C#语言编写，是该组织在Windows平台常使用的远程控制工具，用于获取受害者的系统信息、屏幕截取及文件下载、敏感信息收集等。

响尾蛇，别名Sidewinder，是卡巴斯基在2018年披露的一个APT组织，该APT组织疑似来源于印度，最早攻击活动可以追溯到2012年，主要针对巴基斯坦等南亚国家的军事目标进行定向攻击。该组织主要利用电子邮件鱼叉式网络钓鱼投递Office文档和LNK文件。其中LNK执行后会由PowerShell释放或下载恶意文件；Office文档则是该组织最喜欢的攻击诱饵，通过已知漏洞如CVE-2017-11882，来执行后续攻击活动。

在2024年初，响尾蛇组织在对不丹、缅甸和尼泊尔等国的攻击活动中，使用了Nim语言编写的远程工具，此外在上半年针对我国国内高校和ZF机构的攻击活动中增加了命令执行、输入窃取、屏幕窃取等多个核心组件，并采用随机对称加密密钥结合RSA公钥加密生成的随机密钥，对窃取的数据进行加密，攻击流程如下图17所示：

图17 响尾蛇组织的攻击流程

2024年下半年，除构建仿冒的邮件网站对我国和部分南亚国家进行攻击外，还对巴基斯坦、斯里兰卡以及中东和非洲等一些国家进行多次钓鱼攻击。其中在对巴基斯坦、中东和非洲的攻击中使用了IntelX、DSCRAT和StealerBot等新型RAT木马。

APT28，别名Pawn Storm、Forest Blizzard，被认为隶属于俄罗斯军事情报机构(GRU)背景的APT组织，其攻击活动最早可以追溯至2007年，并一直活跃至今。APT28相关攻击使用恶意代码覆盖Windows、Linux、Mac、Android和iOS多个平台。2022年俄乌冲突以来，该组织积极针对乌克兰目标进行攻击。

APT28擅长结合暴力破解的攻击手段来针对高价值的目标，在2024年年初美国联合多方共同破坏了用于支持APT28攻击活动的僵尸网络，APT28曾借助该僵尸网络进行暴力破解来获取凭证和代理流量。在2024年2月，APT28在全球范围内开展大规模的网络钓鱼活动，涉及阿根廷、乌克兰、格鲁吉亚、白俄罗斯、哈萨克斯坦、波兰、亚美尼亚、阿塞拜疆和美国等多个国家，所使用的诱饵文档涉及金融、关键基础设施、高层会议、网络安全、海上安全、医疗、商业和GF工业等多个领域。在2024年5月波兰CERT公布了APT28针对波兰ZF机构的网络攻击活动，攻击流程如下图18所示，攻击者发送包含恶意链接的邮件，诱使用户点击下载后续诱饵文档。

图18 APT28组织对波兰ZF机构的攻击流程

2024年8月，APT28利用虚假汽车销售广告传播HeadLace恶意软件，主要针对外交官。如下图19所示，图像提供了车辆的不同视角，包含一个可能是伪造的联系方式，以及一个位于罗马尼亚的电话号码。最后，该图片还将联系人列为东南欧执法中心。

图19 APT28虚假销售广告

Turla，别名Snake、Uroburos，由卡巴斯基披露并命名，是一个具有俄罗斯政府背景的APT组织，该组织的受害者覆盖超过45个国家，主要针对ZF、大使馆、教育、研究和制药公司，实施鱼叉和水坑攻击。

2024年年初Turla组织使用新型的恶意软件攻击了欧洲多个组织，攻击者利用植入的TinyTurla-NG后门部署了另外三个模块来维持访问权限、执行任意命令以及窃取凭据。此外该组织还通过钓鱼攻击和Zabbix的软件配置错误作为初始入侵，并植入两个新的后门软件LunarMail和LunarWeb来攻击欧洲的外交部和其驻外外交使团。

在2024年7月，研究报告称Turla入侵了菲律宾媒体机构，并在网站上植入恶意下载链接，攻击流程如下图20所示。Turla通过往钓鱼邮件中植入该恶意链接诱使用户下载，并打开压缩包内的LNK文件，LNK文件会触发PowerShell脚本执行，并利用Microsoft的MSBuild.exe实现无文件攻击，最后加载C#后门。

图20 Turla组织对菲律宾的钓鱼攻击流程

从全球APT攻击活动趋势来看，2024年APT攻击活动频繁发生，每月所披露出来的攻击事件居高不下，在地缘政治的影响下，相关国家和地区的所遭受的APT攻击事件也越来越多。

近年来，随着移动端APT攻击事件的增多，无论是通过伪造APP还是利用0day漏洞，越来越多的APT组织也参与到移动端的攻击中来，并且随着IOT设备的增多，逐渐有一些APT组织开始利用IOT设备作为跳板，隐藏自身。

钓鱼邮件、漏洞利用仍旧是APT组织常用的攻击手法。在武器库方面，大多数APT组织通过维护更新自身原有恶意软件，购买商业软件以及使用合法工具等方式积极扩展自己的武器库。

本文总结了2024年高级威胁趋势，并介绍了2024年活跃的十个APT组织，希望以抛砖引玉的方式，引起国内企业和安全研究者的重视与探讨。中国电信安全公司致力于共同构建国内的网络安全环境，抵御APT攻击行为，为营造天朗气清的网络环境，贡献电信力量。