2.1概述2.2本年度APT威脅趨勢總覽2.3重點(diǎn)地區(qū)的APT活動(dòng)2.3.1針對我國的APT活動(dòng)2.3.2東亞區(qū)域的APT活動(dòng)2.3.3南亞區(qū)域的APT活動(dòng)2.3.4東歐區(qū)域的APT活動(dòng)3.2.1Actor240315針對我國的網(wǎng)絡(luò)攻擊行動(dòng)3.2.4偽獵者組織針對我國高校科研機(jī)構(gòu)的網(wǎng)絡(luò)攻擊行動(dòng)153.2.5印度多個(gè)APT組織針對我國的網(wǎng)3.3.1新APT組織艾登狐針對阿以兩國外交人員的網(wǎng)絡(luò)攻擊173.3.2APT組織Darkcasino利用零日漏洞的網(wǎng)絡(luò)攻擊行動(dòng)183.3.3未知APT攻擊者發(fā)起針對X年度重點(diǎn)APT技戰(zhàn)術(shù)4.1概述4.2.1僵尸網(wǎng)絡(luò)接管234.2.2假旗4.3.1GrimResource4.3.2離地攻擊總結(jié)與預(yù)測22024年,全球APT攻擊形勢仍然與國際政治形勢高度相關(guān)。本年度大量APT活動(dòng)發(fā)生在南亞、東亞、東歐以及中東地區(qū),與當(dāng)下動(dòng)蕩沖突區(qū)域高度重合。2024年,政治環(huán)境的緊迫性促使政治驅(qū)動(dòng)APT組織走向功利和激進(jìn),他們開始選擇犧牲部分攻擊隱蔽度來換取更高的攻擊達(dá)成率。APT攻擊者開始調(diào)整零日漏洞的利用策略,使用時(shí)機(jī)從橫向移動(dòng)等后期階段擴(kuò)展到初始訪問等前置階段,使用寶貴的零日漏洞資源加速攻擊過程,換取更明顯的攻擊成果。2024年,全球APT組織活動(dòng)的主要攻擊目標(biāo)仍然是政府部門,其中外交相關(guān)部門受災(zāi)尤其嚴(yán)重;醫(yī)院、高校、企業(yè)等企事業(yè)單位也頻繁遭受APT釣魚攻擊活動(dòng)的威脅,高校、科研機(jī)構(gòu)、企業(yè)研發(fā)部門等具備更多知識儲備的單位更容易受到APT釣魚攻擊;受政治局勢影響,東歐、中東等地區(qū)的軍事單位和國防工業(yè)也是APT組織的重點(diǎn)目標(biāo)。2024年,針對我國公網(wǎng)設(shè)備的APT攻擊活動(dòng)持續(xù)增加。這些對我APT攻擊以間諜攻擊為主,攻擊目標(biāo)覆蓋了我國的政府部門、企業(yè)、研究機(jī)構(gòu)、高校、酒店等單位。國內(nèi)公網(wǎng)設(shè)備的高價(jià)值被境外APT攻擊者公認(rèn),成為對我APT攻擊行動(dòng)的首要攻擊目標(biāo)。APT檢測技術(shù)的進(jìn)步正在推動(dòng)APT技戰(zhàn)術(shù)的變革。2024年,多個(gè)APT組織開始使用假旗戰(zhàn)術(shù),通過主動(dòng)添加其他APT組織特征的方式對抗防御方的APT歸因和溯源工作;部分APT組織通過接管僵尸網(wǎng)絡(luò)cnc,構(gòu)建專屬于自己的間諜攻擊平臺;APT組織積極開發(fā)新型離地攻擊技術(shù),利用合法系統(tǒng)組件進(jìn)行無文件攻擊,繞過終端安全設(shè)備的檢測。42.1概述2024年,國際APT攻擊活動(dòng)仍然與區(qū)域政治局勢緊密相關(guān),東亞、南亞、東歐、中東等沖突區(qū)域也是APT活動(dòng)高發(fā)區(qū)域;針對我國公網(wǎng)設(shè)備的APT攻擊活動(dòng)持續(xù)增加,伏影實(shí)驗(yàn)室在本年度捕獲了來自東亞、東南亞、北美洲等方向的多起APT攻擊事件,視頻監(jiān)控系統(tǒng)、報(bào)警系統(tǒng)、安全系統(tǒng)、海文系統(tǒng)、大屏展示系統(tǒng)等高價(jià)值公網(wǎng)設(shè)備已經(jīng)成為對我A2.2APT攻擊活動(dòng)呈現(xiàn)全年無休的態(tài)勢2024年,綠盟科技伏影實(shí)驗(yàn)室通過全球威脅狩獵系統(tǒng)捕獲了67個(gè)APT組織296次攻擊事件,其中47起APT活動(dòng)由伏影實(shí)驗(yàn)室通過報(bào)告或博客首次披露。這些APT活動(dòng)有91%本年度大量APT活動(dòng)發(fā)生在南亞、東亞、東歐以及中東地區(qū),與當(dāng)下動(dòng)蕩沖突區(qū)域高度重合。例如,隨著印度在2024年的對外政策走向強(qiáng)硬,南亞區(qū)域的APT活動(dòng)數(shù)量也呈明顯5APT攻擊目標(biāo)方面,本年度各國政府部門仍然是APT組織的核心目標(biāo),但占比相比組織的新重點(diǎn)目標(biāo),APT攻擊者可能認(rèn)為這些目標(biāo)的防護(hù)能力較弱,容易穿透安全系統(tǒng)形成2.3APT攻擊事件區(qū)域分布統(tǒng)計(jì)62.3重點(diǎn)地區(qū)的APT活動(dòng)2.3.1針對我國的APT活動(dòng)2024年,針對我國的APT攻擊行動(dòng)數(shù)量達(dá)到歷史新高。本年度,伏影實(shí)驗(yàn)室捕獲并分析了大量APT組織針對我國的網(wǎng)絡(luò)攻擊行動(dòng),涉及APT組織包括北美方向的NSA(方程式)、東亞方向的DarkHotel(暗店)、Lazarus(拉撒路)、GreenSpot(綠斑)、Anonymous64(匿名者64)、偽獵者,南亞方向的Donot(肚腦蟲)、Bitter(蔓靈花)、Patchwork(白象),東南亞方向的0ceanLotus(海蓮花)、Actor240820,東歐方向的Turla(圖拉)、以及疑似亞洲來源的Actor240315等。圖2.42024年針對我國的APT攻擊行動(dòng)僵尸網(wǎng)絡(luò)接管等多樣的攻擊手段,攻擊目標(biāo)覆蓋了我國的政府部門、企業(yè)、研究機(jī)構(gòu)7圖2.52024年東亞地區(qū)APT活動(dòng)情況APT活動(dòng)分布方面,2024年東亞區(qū)域的APT活動(dòng)仍然以由老牌APT組織主導(dǎo),重點(diǎn)朝鮮APT組織kimsuky的攻擊次數(shù)占東亞APT總攻擊次數(shù)的49%,這與該組織的攻擊模式以及技戰(zhàn)術(shù)升級有關(guān)。kimsuky在2024年大量使用釣魚郵件攻擊韓國多個(gè)目標(biāo),投放APT攻擊技戰(zhàn)術(shù)方面,2024年東亞APT組織繼續(xù)實(shí)踐供應(yīng)鏈攻擊戰(zhàn)術(shù),并大量使用通過上傳了多個(gè)惡意PyPI包,用惡意軟件感染全球python使用者,實(shí)現(xiàn)信息收集、竊取資產(chǎn)和污染其他軟件項(xiàng)目;Lazarus還在2024年—次以工作機(jī)會(huì)為誘餌windows驅(qū)動(dòng)程序漏洞CVE-2024-21338來實(shí)現(xiàn)BY0VD攻擊,最終通過—種新型特種木馬kaolinRAT實(shí)現(xiàn)對受害者主機(jī)的控制;Lazarus還開發(fā)了—個(gè)名為spectralBlur的新Applemac0s后門,用來對韓國在內(nèi)的Apple產(chǎn)品使用者進(jìn)行攻擊。8圖2.62024年南亞地區(qū)APT活動(dòng)情況APT活動(dòng)分布方面,2024年度南亞區(qū)域的APT活動(dòng)仍然由Bitter、sidewinder、Patchwork三大印度組織主導(dǎo),他們的攻擊范圍逐漸從南亞各國擴(kuò)張至東亞、中亞等多個(gè)國家,攻擊密度同樣明顯提升。sidewinder在2024年大量使用郵件釣魚實(shí)施攻擊,其釣魚誘餌格式包括快捷方式、磁盤鏡像等,攻擊目標(biāo)覆蓋孟加拉國軍隊(duì)、阿聯(lián)酋企業(yè)、巴基斯坦政府等大量目標(biāo);Bitter組織同樣在大量使用類似的釣魚攻擊策略,使用的誘餌包括快捷方式與o代ce文檔,攻擊目標(biāo)主要為巴基斯坦政府各個(gè)部門;巴基斯坦來源的APT組織TransparentTribe和sidecopy同樣保持活躍,主要針對印度軍方和印度政府展開竊密攻擊活動(dòng)。APT攻擊技戰(zhàn)術(shù)方面,南亞區(qū)域的APT組織依賴郵件釣魚和水坑站點(diǎn)釣魚等傳統(tǒng)攻擊模式,這些攻擊者在本年度的社會(huì)工程學(xué)水平進(jìn)—步提升,釣魚誘餌已經(jīng)從常見的政府公文擴(kuò)9圖2.72024年東歐地區(qū)APT活動(dòng)情況APT活動(dòng)分布方面,2024年度東歐區(qū)域的APT活動(dòng)主要分為兩類,即俄羅斯APT攻擊污染軟件分發(fā)渠道、控制僵尸網(wǎng)絡(luò)等,部分事件如針對kyivstar攻擊事件、針對starlink攻擊事件等對目標(biāo)造成了嚴(yán)重的破壞;2024年針對俄羅斯的APT攻擊者包括新型APT組織APT攻擊技戰(zhàn)術(shù)方面,東歐APT組織在2024年多次使用僵尸網(wǎng)絡(luò)作為APT攻擊的基礎(chǔ)設(shè)施。東歐攻擊者通過重新注冊cnc的方式接管不活躍的僵尸網(wǎng)絡(luò),收集肉雞信息并篩選后對其中的高價(jià)值目標(biāo)投遞間諜木馬或遠(yuǎn)控木馬,竊取受害主機(jī)中的數(shù)據(jù)。圖2.82024年中東地區(qū)APT活動(dòng)情況APT活動(dòng)分布方面,2024年中東區(qū)域的APT活動(dòng)狀況與其他地區(qū)有顯著差異,形成了攻擊來源多樣、攻擊目標(biāo)廣泛、多點(diǎn)開花的形勢。具體表現(xiàn)為,Muddywater、APT42、APT35等已知APT組織的攻擊事件數(shù)量占比很低,大量新興APT成為伊朗APT組織APT33、APT42、charmingkitten在本年度比較活躍,這些組用各類釣魚手段配合高水平的社會(huì)工程學(xué)內(nèi)容實(shí)施攻擊,攻擊目標(biāo)包括美國國防工業(yè)工作人社交媒體釣魚等釣魚方式都大量出現(xiàn),攻擊公網(wǎng)脆弱設(shè)備并入侵目標(biāo)內(nèi)網(wǎng)的方式也成為主流。APT攻擊目標(biāo)方面,2024年更多中東區(qū)域國家卷入APT攻擊漩渦當(dāng)中。2024年初,名為HomelandJustice的APT組織對阿爾巴尼亞某組織發(fā)起了—起破壞式網(wǎng)絡(luò)攻擊,該組織通過勒索配合數(shù)據(jù)刪除的方式使目標(biāo)設(shè)備無法正常工作;5月份,伏影實(shí)驗(yàn)室捕獲了—個(gè)名為艾登狐的新興APT組織,該組織主要使用釣魚的方式攻擊阿塞拜疆和以色列的外交人員;疑似來自土耳其的APT組織seaTurtle本年度持續(xù)對中東地區(qū)的庫爾德人發(fā)動(dòng)攻擊,甚至開3.1概述2024年,綠盟科技伏影實(shí)驗(yàn)室重點(diǎn)關(guān)注了Actor2新興APT攻擊者的活動(dòng),發(fā)現(xiàn)他們針對我國政府、高校人員以及公網(wǎng)廣播監(jiān)控設(shè)備展開了—系列攻擊行動(dòng);偽獵者、Patchwork、Bitter等老牌APT組織也持續(xù)使用網(wǎng)絡(luò)釣魚手段收集伏影實(shí)驗(yàn)室發(fā)現(xiàn)了—個(gè)在中東區(qū)域活動(dòng)的新APT組織艾登狐(IdenFox),該組織主要攻擊目標(biāo)為阿塞拜疆和以色列;另—個(gè)由伏影實(shí)驗(yàn)室命名的APT組織鬼輪盤(Darkcasino)在24年初使用MicrosoftDefendersmartscreen零日漏洞攻擊線上外匯交易平臺,該事件引發(fā)了模仿效應(yīng);其他引發(fā)廣泛關(guān)注的國際APT事件包括XZ后門事件和Lazarus新型3.2對我APT攻擊事件3.2.1Actor240315針對我國的網(wǎng)絡(luò)攻擊行動(dòng)2024年上半年,綠盟科技伏影實(shí)驗(yàn)室捕獲到—個(gè)新APT攻擊者的系列網(wǎng)絡(luò)攻擊活動(dòng)。該攻擊者在3月開始使用我國軍事信息作為誘餌實(shí)施針對我國周邊國家的釣魚攻擊,并在6月使用相同的攻擊模式發(fā)起直接針對我國政府機(jī)構(gòu)工作人員的釣魚攻擊活動(dòng)。伏影實(shí)驗(yàn)室將經(jīng)過分析,我們判斷Actor240315使用了“假旗”策略,通過在攻擊流程中加入有指向性的信息來偽裝成中文攻擊者或已知APT組織,以此隱藏自身真實(shí)信息。例如,Actor240315通過使用中文誘餌、中國人照片、拼音字符串等方式執(zhí)行“假旗”策略,將自f路徑,嘗試將自己偽裝成巴基斯坦方面的已知APT組織。Actor240315的已知攻擊目標(biāo)包括中國和印度、其他疑似受害者分布于哈薩克斯坦、馬構(gòu)成。該組織使用的誘餌文件中包含中文敏感信息,引誘受害者點(diǎn)擊其中偽裝成圖片或按鈕的額外PPT文件,觸發(fā)其中的惡意宏代碼。惡意宏代碼會(huì)設(shè)置計(jì)劃任務(wù)并釋放—個(gè)加密文件,最終計(jì)劃任務(wù)把該加密文件復(fù)原為MWPAK木馬,竊取受害者主機(jī)中的文檔類文件和壓縮包圖3.1Actor240315釣魚攻擊流程圖3.2.2Actor240820針對我國高校科研機(jī)構(gòu)的網(wǎng)絡(luò)攻擊行動(dòng)2024年第三季度,綠盟科技伏影實(shí)驗(yàn)室捕獲到—起針對我國海洋方向?qū)＜覍W(xué)者的釣魚攻見本報(bào)告第四章GrimResource相關(guān)章節(jié)),通過高水平的社工誘餌欺騙受害者打開帶有漏發(fā)現(xiàn)該攻擊者在本次事件中使用了—種此前未記錄的進(jìn)程劫持方式,展現(xiàn)了高超的對抗式編程能力,因此將其標(biāo)記為Actor240820進(jìn)行持續(xù)跟蹤。Actor240820的攻擊目標(biāo)選擇展現(xiàn)了與東南亞國家利益的—致性,伏影實(shí)驗(yàn)室在2024年9月至11月捕獲了該組織的大量釣魚攻擊事件,攻擊目標(biāo)包括國內(nèi)國際關(guān)系、數(shù)據(jù)情報(bào)等方向的學(xué)者以及金融類央企從業(yè)人員。Actor240820疑似控制了—個(gè)或多專家的主機(jī),通過其郵箱賬戶向其他學(xué)者的郵箱發(fā)送釣魚郵件,從而繞過郵箱網(wǎng)關(guān)等安全防護(hù)機(jī)制。Actor240820發(fā)送的釣魚郵件大多帶有惡意MSC文件附件,使用會(huì)議邀請函、人員登記表等內(nèi)容作為誘餌,社會(huì)工程學(xué)水平極高。Actor240820這—時(shí)期為保證攻擊隱蔽性,使用了—種復(fù)雜的shellcode框架木馬,該框架木馬疑似來源于—種獨(dú)特的shellcode編譯器,實(shí)現(xiàn)了—套獨(dú)立于windowsPE文件的自有二進(jìn)制格式,還具備靜態(tài)編譯第三方庫等高級能力,能夠做到完全的內(nèi)存運(yùn)行和靜態(tài)特征混淆,因此難以被已知的安全探測手段發(fā)現(xiàn)。伏影實(shí)驗(yàn)室將該shellcode框架木馬命名為圖3.2LinkedShell木馬中的—種特殊構(gòu)造3.2.3Anonymous64組織針對我國視頻監(jiān)控系統(tǒng)和廣播系統(tǒng)的網(wǎng)2024年,國內(nèi)監(jiān)管機(jī)構(gòu)和媒體披露了名為Anonymous64(亦被稱為匿名者64或A64)的新興APT攻擊者,發(fā)現(xiàn)了該組織—系列針對國內(nèi)公網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊行動(dòng)。Anonymous64組織是—個(gè)打著知名黑客組織匿名者旗號的網(wǎng)絡(luò)分裂組織,長期以來通過網(wǎng)絡(luò)攻擊的手段針對我國進(jìn)行網(wǎng)絡(luò)分裂活動(dòng)。該組織主要成員來自臺灣省,主要通過網(wǎng)絡(luò)意圖引導(dǎo)輿論,混淆視聽蠱惑人心,引發(fā)嚴(yán)重安全危機(jī)達(dá)到認(rèn)知作戰(zhàn)的效果。伏影實(shí)驗(yàn)室對該組織進(jìn)行跟進(jìn)分析,發(fā)現(xiàn)自2023年6月以來Anonymous64組織對國內(nèi)包括網(wǎng)絡(luò)播控系統(tǒng)、視頻監(jiān)控系統(tǒng)、應(yīng)急報(bào)警系統(tǒng)等設(shè)備進(jìn)行網(wǎng)絡(luò)攻擊,并借此傳播具有Anonymous64主要攻擊手法為使用零日漏洞或Nday漏洞入侵公網(wǎng)中部署的安全監(jiān)控遠(yuǎn)程控制設(shè)備下發(fā)攻擊指令、收集設(shè)備內(nèi)高價(jià)值信息等方式,實(shí)施網(wǎng)絡(luò)間諜攻擊。3.2.4偽獵者組織針對我國高校科研機(jī)構(gòu)的網(wǎng)絡(luò)攻擊行動(dòng)型APT攻擊活動(dòng),并對該類活動(dòng)進(jìn)行了持續(xù)追蹤分析。追蹤結(jié)果表明,這是—起由韓國APT組織偽獵者主導(dǎo),通過國產(chǎn)辦公軟件漏洞和郵箱漏洞實(shí)施的針對我國的大型網(wǎng)絡(luò)攻擊行動(dòng),偽獵者組織在本次攻擊行動(dòng)中使用了多個(gè)零日漏洞。該組織在魚叉式郵件釣魚中使用了—個(gè)任意代碼執(zhí)行漏洞CVE-2024-7262,通過在WPs表格文件中的惡意超鏈接劫持WPs插件組件promecefpluginhost.exe的控制流,植入定制特種木馬obeserver,控制受害者的主機(jī);該組織還使用了—個(gè)Foxmail客戶端中的任意代碼執(zhí)行漏洞,通過—個(gè)客戶端程序未正確處理引號特殊字符的bug運(yùn)行惡意Javascript代碼,最終釋放遠(yuǎn)控木馬;該組織還使用了存在于網(wǎng)易網(wǎng)頁版郵箱和客戶端郵箱中的兩類Xss漏洞,分別實(shí)現(xiàn)了竊取網(wǎng)頁cookie并登錄郵箱、遠(yuǎn)程執(zhí)行惡意Javascript代碼的效果。伏影實(shí)驗(yàn)室最早發(fā)現(xiàn)偽獵者組織的此類攻擊活動(dòng)是在2023年12月,進(jìn)而發(fā)現(xiàn)了從2023年下半年持續(xù)至2024年6月的多起同類攻擊活動(dòng),偽獵者在這些攻擊活動(dòng)中已知的攻3.2.5印度多個(gè)APT組織針對我國的網(wǎng)絡(luò)攻擊活動(dòng)2024年,印度方面的APT組織延續(xù)了往年的攻擊態(tài)勢,對我國政府、高校、軍工領(lǐng)域的專業(yè)人員實(shí)施持續(xù)的網(wǎng)絡(luò)釣魚攻擊,其中的代表性事件包括Patchwork(白象)組織使用新型特種木馬的攻擊事件、Bitter(蔓靈花)組織針對我國多個(gè)重點(diǎn)政府部門的攻擊事件等。名為Patchwork的印度APT組織使用“機(jī)器人輻射系統(tǒng)采購項(xiàng)目招標(biāo)公告”作為誘餌,引誘國內(nèi)與該項(xiàng)目相關(guān)的受害者打開惡意文件,最終在受害者主機(jī)中植入—種新型特種木馬Toothless,實(shí)現(xiàn)對受害主機(jī)的遠(yuǎn)程控制。圖3.3Patchwork對我攻擊事件的攻擊流程圖2024年第—季度,印度APT組織Bitter發(fā)起了針對我國外交部、商務(wù)部、稅務(wù)局等國家級部委以及部分央企的攻擊活動(dòng)。Bitter組織攻擊者通過釣魚郵件開展具體的攻擊行為,其攻擊目標(biāo)包括上述國家部門的各級工作人員。典型事件中,Bitter攻擊者使用釣魚郵件投2024年7月,綠盟科技伏影實(shí)驗(yàn)室依托全球威脅狩獵系統(tǒng)捕獲了—組針對阿塞拜疆和以色列的釣魚攻擊活動(dòng)。深入分析后,伏影實(shí)驗(yàn)室確認(rèn)該組攻擊活動(dòng)來自—個(gè)新型APT攻擊者,共捕獲了該攻擊者的兩種攻擊武器ABcloader和ABcsync。伏影實(shí)驗(yàn)室將該攻擊者標(biāo)記為艾登狐(IdenFox)。艾登狐具有竊密及修改文件數(shù)據(jù)等攻擊能力,會(huì)使用多種對抗技術(shù),避免攻擊技戰(zhàn)術(shù)過多暴露。艾登狐組織的攻擊行為很可能代表了中東地區(qū)政治實(shí)體的利益,該攻擊者已知攻擊相關(guān)攻擊活動(dòng)中,艾登狐主要使用魚叉式釣魚郵件對阿以政府職員發(fā)起攻擊,意圖竊取受害者主機(jī)中的高價(jià)值文件和數(shù)據(jù),該組織使用的對抗手法和木馬程序都有2023年12月至2024年2月,APT組織Darkcasino(鬼輪盤)使用Microsoft用戶,意圖竊取這些用戶賬戶中的資產(chǎn)。Darkcasino攻擊者將該零日漏洞與另—smartscreen繞過漏洞cVE-2023-36025配合,完圖3.7DarkCasino本次零日攻擊事件的攻擊流程圖Darkcasino組織是—個(gè)最早于2021年活動(dòng)的以經(jīng)濟(jì)利益為驅(qū)動(dòng)的APT組織,由綠盟科技伏影實(shí)驗(yàn)室最早發(fā)現(xiàn)并命名,其主要攻擊目標(biāo)為歐洲、亞洲、中東等區(qū)域的各種線上交易平臺,覆蓋的行業(yè)包括加密貨幣、線上賭場、網(wǎng)絡(luò)銀行、網(wǎng)上信貸平臺等,該組織擅長使用零日漏洞,曾使用winRAR軟件零日漏洞cVE-2023-38831進(jìn)行大范跟蹤分析發(fā)現(xiàn),Darkcasino零日攻擊事件被披露后迅速出現(xiàn)了多起利用此漏洞的1day攻擊事件,相關(guān)攻擊者包括DarkGate等已知黑客組織,也包括被伏影實(shí)驗(yàn)室標(biāo)記為20圖3.8Actor240226相關(guān)1day攻擊事件的攻擊流程圖3.3.3未知APT攻擊者發(fā)起針對XZ-Utils庫的供應(yīng)鏈投毒事件后門的,他報(bào)告了該bug并引起了開源社區(qū)和安全研究人員的注意,他們定位到了后門程序以及與該后門相關(guān)的惡意操作,成功阻止其進(jìn)入主流Linux發(fā)行版。該后門是—個(gè)名為JiaTan(昵稱JiaT75)的用戶在三年的長期準(zhǔn)備后才完成植入的。JiaTan首先成為liblzma開源項(xiàng)目Xzutils的開發(fā)者并長期貢獻(xiàn)代碼,最終獲得了該項(xiàng)目管理者的信任并成為了項(xiàng)目的主要維護(hù)者。最終JiaTan在Xzutils軟件包的5.6.0和5.6.1版本發(fā)布前夕提交了惡意代碼并合并進(jìn)項(xiàng)目中,使得有問題的Xzutils軟件進(jìn)入Debian、Gentoo、ArchLinux、Fedora等系統(tǒng)的開發(fā)版當(dāng)中,但由于后門代碼的性能問題導(dǎo)致攻擊該后門攻擊事件是—場長期策劃的,具有極高水平的APT攻擊事件。名為JiaTan的攻擊者或攻擊團(tuán)隊(duì)本身就具備為Linux基礎(chǔ)庫提交代碼的能力,并能夠用韜光養(yǎng)晦的長期運(yùn)營21和唱雙簧的社工技巧獲得項(xiàng)目維護(hù)者的信任,最終見縫插針地在開源代碼即將合并時(shí)提交—該攻擊者在實(shí)施后門植入時(shí),使用了將惡意程序偽裝為測試用文件、添加句點(diǎn)使開源代碼無效化、使用惡意腳本動(dòng)態(tài)修改源碼等只有在開源項(xiàng)目攻擊行動(dòng)中才會(huì)出現(xiàn)的新穎攻擊技術(shù),值得安全人員深入研究并定制對開源項(xiàng)目的審計(jì)排查策略。該起事件可能是有史以來最嚴(yán)重的開源項(xiàng)目投毒事件,應(yīng)當(dāng)喚起開發(fā)者和軟件使用者對開源項(xiàng)目安全性的重新審視。該事件表明,管理開源項(xiàng)目不能單純依賴維護(hù)者的自覺性和主動(dòng)性,更需要開源社區(qū)、項(xiàng)目使用者甚至潛在受害者等多方面的審計(jì)和監(jiān)管。3.3.4Lazarus利用新型BYOVD技術(shù)的網(wǎng)絡(luò)攻擊行動(dòng)朝鮮APT組織Lazarus利用windowsAPPLocker驅(qū)動(dòng)程序(aPPid.sys)中的—個(gè)零日漏洞發(fā)起B(yǎng)Y0VD(BringYour0wnVulnerableDriver,利用有缺陷的合法驅(qū)動(dòng)程序)攻擊,該缺陷使得Lazarus攻擊者能夠利用該驅(qū)動(dòng)程序獲得內(nèi)核級訪問權(quán)限并關(guān)閉安全軟件,使攻2024-21338用在其FudModulerootkit攻擊武器的新版本當(dāng)中程序并入侵該驅(qū)動(dòng)獲得內(nèi)核層的讀寫能力,最終在內(nèi)核層面關(guān)閉EDR類工具的功能。之前版BY0VD技術(shù)最早由方程式組織和Turla組織等高級APT組織使用,但近年來已經(jīng)受到多windows系統(tǒng)當(dāng)前缺乏有效的缺陷驅(qū)動(dòng)程序管理機(jī)制,這使得很多老舊的驅(qū)動(dòng)程序漏洞在當(dāng)下的網(wǎng)絡(luò)對抗中仍有用武之地。防御方需要提升終端安全產(chǎn)品對用戶層文件以及內(nèi)核層操作的檢測能力,應(yīng)對可能發(fā)生的BY0VD類APT攻擊。..234.1概述2024年,綠盟科技伏影實(shí)驗(yàn)室發(fā)現(xiàn)了—些新的APT技戰(zhàn)術(shù)趨勢,體現(xiàn)了當(dāng)前APT組織戰(zhàn)術(shù)層面上,東歐方向的APT組織開始頻繁使用僵尸網(wǎng)絡(luò)接管的方式篩選并入侵特定目標(biāo)設(shè)備;亞洲APT組織尤其是對我發(fā)動(dòng)攻擊的APT組織頻繁使用假旗戰(zhàn)術(shù)偽裝自己的真實(shí)具體到技術(shù)層面,GrimResource漏洞的出現(xiàn)帶動(dòng)了msc文件釣魚的風(fēng)潮、離地攻擊(Living0ftheLand)技術(shù)也在本年度重新成為APT攻擊者的重點(diǎn)研究方向。伏影實(shí)驗(yàn)室已經(jīng)捕獲了屬于多個(gè)APT組織的實(shí)例,證明上述技戰(zhàn)術(shù)已經(jīng)成為2024年度公網(wǎng)設(shè)備Nday漏洞利用等技戰(zhàn)術(shù),但因?yàn)榇祟惣紤?zhàn)術(shù)存在涉及APT數(shù)量少、同比變化不明顯等情況,未形成年度趨勢,因此不在本章節(jié)的討論范圍內(nèi)。4.2重點(diǎn)APT戰(zhàn)術(shù)4.2.1僵尸網(wǎng)絡(luò)接管僵尸網(wǎng)絡(luò)是—種在公網(wǎng)上存在已久的網(wǎng)絡(luò)威脅形式,僵尸網(wǎng)絡(luò)運(yùn)營者通過攻擊公網(wǎng)中帶有漏洞或弱密碼等安全問題的物聯(lián)網(wǎng)設(shè)備并植入木馬,將這些設(shè)備連接至—個(gè)或多個(gè)命令控難溯源、難清理的特點(diǎn),這些特性給APT組織的僵尸網(wǎng)絡(luò)接管戰(zhàn)術(shù)提供了基礎(chǔ)。2024年,多個(gè)APT組織開始使用僵尸網(wǎng)絡(luò)接管的方式投遞特種木馬程序,攻擊全球范圍內(nèi)受到僵尸網(wǎng)絡(luò)影響的設(shè)備。此類攻擊事件中,APT組織首先通過搶注cnc域名或購買cnc使用權(quán)的方式獲得對整個(gè)僵尸網(wǎng)絡(luò)的控制權(quán),再統(tǒng)計(jì)該僵尸網(wǎng)絡(luò)內(nèi)活躍節(jié)點(diǎn)的信息并篩選高價(jià)值節(jié)點(diǎn),進(jìn)而使用原始僵尸網(wǎng)絡(luò)木馬的下載運(yùn)行功能,向特定目標(biāo)投遞APT組織的特種木馬程序,控制目標(biāo)設(shè)備。僵尸網(wǎng)絡(luò)接管事件中,最有代表性同時(shí)危害最大的當(dāng)屬俄羅斯APT組織Turla利用仙女座(Andromeda)僵尸網(wǎng)絡(luò)的攻擊事件。Turla組織在2022年重新注冊了處于失效狀態(tài)的仙女座僵尸網(wǎng)絡(luò)的cnc域名,重新控制了整個(gè)僵尸網(wǎng)絡(luò),并通過其中—些位于烏克蘭的節(jié)點(diǎn)攻擊了烏克蘭的多個(gè)機(jī)構(gòu)和組織。綠盟科技伏影實(shí)驗(yàn)室調(diào)查發(fā)現(xiàn),Turla組織本次攻擊事件的影響已經(jīng)超過了預(yù)期的范圍,國內(nèi)包括醫(yī)院、學(xué)校在內(nèi)的多個(gè)機(jī)構(gòu)直到2024年仍然受到24網(wǎng)絡(luò)的攻擊事件。Moobot是—種在2019年就開始活躍的僵尸網(wǎng)絡(luò),APT28使用未知方式接管了Moobot僵尸網(wǎng)絡(luò)控制的數(shù)千臺ubiquitiEdgeRouter路由器設(shè)備,他們使用在這些2019年就開始活動(dòng)的老牌僵尸網(wǎng)絡(luò),使用DNs隧道、DGA域名和反向連接等對抗技術(shù)實(shí)現(xiàn)cnc通信。APT28在2024年控制了—部分ngioweb僵尸網(wǎng)絡(luò)節(jié)點(diǎn),構(gòu)建分發(fā)特種木馬的4.2.2假旗2024年,APT組織反溯源對抗能力進(jìn)—步提升,“假旗”(FalseFlag)戰(zhàn)術(shù)大量出現(xiàn)。綠盟科技伏影實(shí)驗(yàn)室在本年度捕獲了4起使用“假旗”戰(zhàn)術(shù)的APT活動(dòng),實(shí)施者既有Turla等老牌APT組織,也有匿名者64、Actor240315等新興APT攻擊者,還有—些因線索不足假旗是—種APT攻防領(lǐng)域特有的攻擊戰(zhàn)術(shù),APT攻擊者在攻擊組織已經(jīng)暴露的特征,干擾網(wǎng)絡(luò)安全人員的歸因工作,將其誘導(dǎo)至錯(cuò)誤的調(diào)查方向,起到擴(kuò)2024年,伏影實(shí)驗(yàn)室發(fā)現(xiàn)APT組織使用的假旗特征類型進(jìn)—步增加,包含靜態(tài)、動(dòng)態(tài)本年度APT組織使用的靜態(tài)假旗特征主要出現(xiàn)在誘餌文件和木馬文件上。A改誘餌doc文檔中的語言屬性,故意使其與誘餌內(nèi)容的語言不匹配,企圖將自己偽裝成對應(yīng)語種的攻擊者;APT組織還會(huì)在windows平臺木馬程序的PDB路徑中加入帶有特定語言信息或已知APT特征信息的字符串,期望分析人員通過這些信息進(jìn)行錯(cuò)誤歸因;伏影實(shí)驗(yàn)室還觀察到了APT組織偽造cobaltstrikeBeacon木馬程序水印(watermark)的情況,這種水印信息本來是Beacon木馬程序與cobaltstrike滲透平臺license——對應(yīng)的證據(jù),但很明顯APT組織已經(jīng)注意到了這種風(fēng)險(xiǎn),開始主動(dòng)修改Beacon木馬水印來隱藏自身信息或誤導(dǎo)25本年度APT組織使用的動(dòng)態(tài)假旗特征則主要體現(xiàn)在模仿式攻擊上。隨著近兩年APT組CVE-2024-28112很快成為了其他APT組織的新武器,圍繞這些漏洞的新型攻擊手法紛紛出現(xiàn),客觀上形成了藏木于林的假旗戰(zhàn)術(shù)效果。APT組織使用的網(wǎng)絡(luò)假旗特征集中在自定義協(xié)議和網(wǎng)絡(luò)地址方面。伏影實(shí)驗(yàn)室發(fā)現(xiàn)APT組織會(huì)在設(shè)計(jì)自定義通信協(xié)議時(shí)使用其他APT組織使用過的HTTP參數(shù)名,還會(huì)在通信流量正文部分加入特定語言的拼寫來混淆視聽;伏影實(shí)驗(yàn)室還在調(diào)查Turla組織攻擊活動(dòng)影響時(shí)發(fā)現(xiàn)該組織控制其他APT組織IP進(jìn)行攻擊的情況,此類攻擊很容易干擾流量側(cè)分析設(shè)備和分析人員,形成錯(cuò)誤歸因。4.3重點(diǎn)APT技術(shù)4.3.1GrimResourceXML格式文件,用于存儲用戶創(chuàng)建和自定義的控制臺設(shè)置。每個(gè).msc文件包含了—組管理單元和它們的配置,使得用戶可以快速訪問和管理系統(tǒng)的特定功能。GrimResource使用了—個(gè)在2018年發(fā)現(xiàn)的Xss漏洞,用于實(shí)現(xiàn)惡意代碼執(zhí)行。當(dāng)mmc.exe加載這個(gè)msc文件,并通過系統(tǒng)APDs.DLL庫處理這些數(shù)據(jù)時(shí),漏洞被觸發(fā),導(dǎo)致msc文件中嵌入的惡意Javascript代碼在MMC的上下文中執(zhí)行,進(jìn)而內(nèi)存加載運(yùn)行任意惡意程圖4.1GrimResource利用apds.dll加載惡意代碼的邏輯由于MMC通常以高權(quán)限運(yùn)行并且缺少安全緩解措施,成功利用GrimResource漏洞的攻擊者能夠執(zhí)行任意代碼,實(shí)現(xiàn)后續(xù)攻擊行為。26GrimResource技術(shù)—經(jīng)出現(xiàn)就受到APT組織的關(guān)注,APT攻擊者迅速構(gòu)建了基于該技是GrimResource技術(shù)的最早在野使用者,使用其攻擊了韓國河日本的反朝鮮人士;—個(gè)未知來源的新A