雙子座實驗室contents32024年下半年，天際友盟持續對APT組織及其活動進行追蹤總結，總共披露了全球100隨著全球地緣政治緊張局勢的加劇，各國之間的競爭和對立成為了APT組織發動攻擊的主要動機之一。這些攻擊不僅限于直接對抗國家間的基礎設施和服務，還包括對盟友和支持者的間接打擊。2024年下半年俄烏戰爭和巴以武裝對抗持續進行，對立雙方及相關盟友均遭到國家級APT組織的猛烈攻擊，尤其是烏克蘭、俄羅斯和以色列，他影響IT、金融、教育與科研等行業；海蓮花組織以社保話題為誘餌發起釣魚攻擊，以法律制度等話題攻擊政府及海事機構；蔓靈花組織啟用全新特馬MiyaRat攻現在更多類型的組織如醫療機構、教育機構甚至政府部門也成為攻擊對象。為了確保成功入侵并長期控制受害系統，用于創建虛假網站和應用程序界面，使得用戶難以區分真偽。這種趨勢導致網絡釣魚攻擊成功率大幅上升，同時4）， BITTER________/5 印度______/ 美國 教育與科研______/6根據圖3數據發現，涉及通信和軟件信息技術行業的攻擊事件占比為28%，其次攻擊政府事件占比有所提升至 利用勒索軟件的攻擊也逐漸增多。表1詳細列出了2024年下半年APT組織最頻繁利用的漏洞，以及它們所針對的漏洞編號廠商漏洞編號廠商JenkinsJenkinswindows_10_1507、windows_10_1607、windows_10_1809、windows_10__21h2、windows_10__22h2、windows_11__21h2、windows_11_22h2、windows_11_23h2、windows_server_2016、windows_server_2019、windows_server_2022、windows_server_2022_23h27漏洞編號廠商漏洞編號廠商windows_server_202583.1地緣政治活動有強大的資源、先進的技術和專業化團隊，能夠精確滲透目標網絡，并有效繞過傳統防御措施。在這種背亞太地區不僅是全球經濟增長的驅動力，也是科技創新的前沿陣地。近年來，隨著該區域中國、印度、日本等主要國家及新興經濟體由于在區域事務和科技發展中占有舉足輕重的地位，因此始終處于MOONSHINE漏洞定向攻擊藏族和維吾爾族群體，銀狐組織則通過水坑攻擊竊取加密貨幣資產。APT攻擊形式日益7月末，Donot組織利用“第七屆COMAC國際科技創新周”相關釣的LNK文件誘導受害者執行Powershell代碼，從遠程服務器下載并運行惡意程序，最終解碼并執行內存中的惡意8月，來自東亞的UTG-Q-010組織對中國實體發起釣魚攻擊，其采用了更新的DLL加載程序和開源的Pupy件和DLL側加載技術實現持久化。中旬，APT32組織持續針對國內海事機構發動魚叉式網絡釣魚攻擊9者主要針對Android設備上即時通訊應用的漏洞，通過即時通訊應用發送精心制作的消息(如偽裝為政府公告、與COVID-19相關的中文新聞、與宗教、藏族或維吾爾族有關的中國新聞、中國旅游信息)，誘使受害者點擊嵌入的惡12月下旬，銀狐組織展開了持續攻擊，首先，通過多個水坑網站，偽裝成谷歌翻譯網站頁面誘導用戶點擊下載Flash插件以部署惡意軟件，其次，利用仿冒成ToDesk、向日葵等遠程控制軟件下載站點的釣魚網站傳播惡意MSI安裝程序，且惡意程序會下載執行用于竊取加密貨幣錢包地址及密鑰信息的組件，因此其攻擊目標疑似南亞地區一直是亞洲APT攻擊活動的重災區，得益于其復雜多變的地緣政治局勢和網絡防御體系的相對薄弱，如魚叉式釣魚郵件、公共網絡服務漏洞、惡意文件及后門程序等方式，持續展開針對性的網絡攻擊，意圖收這些攻擊行動不僅對印度的政府、外交及軍事機構構成直接威脅，也波及教育、金融及高科技域。攻擊者在成功入侵后往往部署隱蔽后門，利用持續性控制手段竊取信息和破壞系統，形成一張錯綜復雜脅鏈條。整體來看，南亞地區復雜的政治環境與不斷升級的APT攻擊手段交織在一起，進一步加劇了該地區的網絡7月，巴基斯坦的TransparentTribe組織對印度政府部門發動魚叉式網絡釣魚攻擊，向多個部門發送包含惡意文件的郵件。這些文件被壓縮并隱藏在文檔中，運行后會執行嵌入的VBA腳本，進一步提取并運行惡意程序。最終載荷是TransparentTribe組織常用的遠程控制木馬CrimsonRAT，具備收集系統信息、下載并運行文件、竊取敏感9月，DragonRank組織主要針對印度、其他亞洲國家以及少數歐洲國家，破壞托管企業網站的Windows近期，日本成為多個APT組織網絡釣魚攻擊的重點目標。這些攻擊主要針對制造業、研究機構、政府機構及相具體而言，攻擊者通過魚叉式網絡釣魚郵件向目標組織發送精心設計的惡意惡意代碼。這些郵件通常偽裝成合法的通信，利用受害者對發件人的信任，增加成功率。此外，攻擊者還利用7月，MirrorFace組織針對日本制造業和研究機構發起網絡釣魚攻擊，企圖獲取主機用戶權限，并傳播10月，俄羅斯APT組織MidnightBliz組織發送了一系列高度針對性的魚叉式網絡釣魚郵件，攻擊者利用與微軟、亞馬遜云服務（AWS）和零信任安全概11月，EarthKasha針對日本個人及特定組織（如政治組織、研究機構、智庫和國際關系相關機構）發起魚叉以色列憑借其在中東地區的重要地緣政治地位和高科技實力，長期近期，多支APT組織利用先進的定制惡意軟件對以色列發動了多起網絡攻擊，企圖竊取情報和破壞關鍵系統。利用魚叉式釣魚郵件、惡意軟件和遠控木馬等多種技術手段實施攻擊。這些行動由包括MuddyWater、APT42、WIRTE和EmennetPasargad在內的組織發起，均通過偽裝成合法機構和利用合法威脅到以色列的網絡安全和戰略利益。總體來看，這一系列事件表受感染系統上運行命令，Bugsleep后門目前影響廣泛，受害者涵蓋以色列等國家的政府組織、市政當局、航空公司8月，APT42瞄準了與以色列軍事和國防部門有聯系的人士，以及外交官、學者和非政府組織，通過利用11月中旬，WIRTE組織將其目標范圍擴大到間諜活動之外，開始實施破壞性攻擊，該組織對以色列發動了破壞性攻擊，其使用的自定義惡意軟件與SameCoin多平臺擦除器存在重疊，目標涵蓋以色列多個組織，包括醫院和市11月下旬，伊朗EmennetPasargad組織發送了一系列偽裝成以色列國家網絡安全局歐美地區作為全球政治經濟的中心，不斷成為APT攻擊者的重要目標。近年來，這些攻擊不僅涵蓋情報收集和網絡偵察，還擴展到政治干預、經濟操縱和關鍵基礎設施破壞等多個層面，顯示出高度的戰略性和技術復雜者利用零日漏洞、魚叉式網絡釣魚和定制化惡意軟件等手段，滲透目標網絡，試圖竊取敏感信息和獲得持久而針對美國的攻擊則更為多元，不僅涉及信息竊取和間諜活動，還包括針對金融市場穩定和關鍵基礎設施動。這些跨國網絡攻擊不僅直接威脅到國家安全，也可能引發國際經濟波動和政治局勢的不確定性，從而烏克蘭目前正遭遇多支APT組織的連續網絡滲透行動。攻擊者利用偽裝文檔、釣魚郵件以及虛假的遠程桌面配StrelaStealer在內的惡意軟件，竊取關鍵數據并獲取遠程控制權限。此外，一些俄羅斯支持的網絡團體更是利用高9月，俄羅斯Gamaredon組織通過魚叉式網絡釣魚郵件針對烏克蘭軍事人員發動攻擊。攻擊郵件內含惡意利用偽裝的遠程桌面協議（RDP）配置文件對全球高價值目標發動攻擊，受美國及其它西方國家面臨來自多支黑客組織的持續網絡攻擊，這些攻擊者均采用不同的手織疑似與東歐、朝鮮或俄羅斯有關聯，通過大規模傳播惡意軟件、利用個性化釣魚誘餌、偽裝招聘信息或部署虛假SMS域名，試圖竊取在線賬戶、敏感技術信息和經濟利益。其中，不少攻擊針對國防、航空航天、核能、金融及科8月中旬，俄羅斯Calisto組織對美國及其他西方國家發動“RiversofPhish”行動。攻擊者主要利用社會工程9月，UNC2970組織以“職位空缺”為幌子，偽裝成知名公司招聘人員，向目標投遞網絡釣魚郵件，并植入2024年下半年，通信及軟件信息技術服務、政府和金融行攻擊者普遍采用釣魚攻擊、木馬后門、漏洞利用等手段，結合社會工程學進行滲透，部分攻擊還涉及勒索軟件2024年下半年，通信及軟件信息技術服務行業持續面臨復雜多變的APT攻擊威脅，不同APT組織使用多種攻Lazarus組織常利用釣魚攻擊和木馬后門等手段，并結合社會工程學技巧，誘導受害者下載惡意軟件，如總體來看，通信及軟件信息技術服務行業頻繁成為APT攻擊的目標，攻擊手段多樣且復雜，組織通常會結合多例如，APT29利用魚叉式釣魚和惡意RDP技術在烏克蘭等國展開網絡間諜活動，而EarthKasha則通過后門工具對日本目標進行釣魚攻擊。UAC-0099則借助WinRAR零日漏洞攻擊烏克蘭機構。此外，多家APT組織使用惡意軟件投遞、以及通過木馬后門維持對目標系統的長期控制，不僅竊取敏感數據，還能為長期滲透、金融行業作為國家發展的關鍵領域，因其巨大的經濟利益，長期以來一直是黑客組織重點攻擊的目標。2024年續活躍，頻繁利用釣魚攻擊誘導受害者泄露憑證，并借助整體來看，金融行業仍是APT攻擊的主要目標之一。黑客組織不僅依靠社會工程學技巧發動釣魚攻擊，還廣泛總體來說，2024年下半年APT織頻繁活動。隨著技術的發展和迭代，針對通信及軟件信息技術行業的攻擊活動逐漸增多；APT組織開始利用勒索軟件并結合定制軟件來進一步獲取經濟收益；而組織供應鏈上任何一個薄弱環節都可能成為黑客組織攻擊成功的踏板。為應對未來日益復雜的網絡安全威脅，天際友盟提醒各組織應制定全面的防護策略，以提升整體的安全能力。時間APT事件時間APT事件BITTER BITTERBITTER BITTERGoldenJackalGoldenJackal組織再度活躍，襲擊BlackJackB