2024年APT洞察报告

2024年APT洞察报告2024 APT INSIGHT REPORTS千里目 - 深瞻情报实验室目录前言漏洞利用视角0day漏洞利用趋势已披露的各APT组织0day漏洞利用情况攻击技巧视角初始打点－依然防不胜防执行/持久化－内核态对抗愈发激烈防御规避－失效的马奇诺防线收集/窃取－情报和加密货币并重攻击事件视角针对安全人员的定向攻击针对国防军工的科研情报窃取供应链投毒事件黑产组织持续活跃GenAI时代下的网络攻防网络攻击到物理攻击地缘视角下的全球APT组织南亚010304060910162022242529323739424445东亚欧洲中东北美APT防御视角：如何构建可靠的防御体系防御体系框架人员安全意识培训资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营中心完善取证和响应机制附1：深信服智安全风险监测平台APT画像平台附2：深信服千里目安全技术中心深瞻情报实验室参考链接51545862636467686970727375772024 年，深信服千里目安全技术中心深瞻情报实验室（以下简称“深瞻情报实验室”）持续对全球范围内的多个 APT（高级持续性威胁）组织和网络犯罪团伙进行长期跟踪和分析。通过持续监测，我们见证了 APT 组织攻击手段的持续迭代升级、攻击图景的不断扩张以及组织结构的不断分化与重组，APT 组织已从几年前的“乌合之众”演变为更为正规和专业的团伙。当前，APT 已成为网络空间中社会影响最广、防御难度最高、与地缘政治博弈关联最紧密的斗争形态，成为国际关系中不可忽视的重要组成部分。政治和经济形势的变化正在加速 APT 威胁的演变。地缘政治紧张局势催生了更多由国家主导的情报型网络攻击，而全球经济衰退和动荡则加剧了针对加密货币、敏感信息与科技情报的经济型攻击活动。与此同时，网络黑产犯罪团伙的活动日益猖獗，其高级技术与 APT 组织的技术界限逐渐模糊。据统计，每三起网络攻击中就有一起是勒索软件攻击，攻击者使用的手法和技巧已与常规 APT 组织几乎无异。然而，许多企业和组织的安全建设仍难以应对这种高水平的网络攻击威胁。高级网络攻击已不再遥不可及，APT 攻击的防御与溯源挑战也不再仅限于政府等关键行业，网络攻击对经济、科技和民生发展的隐患已迫在眉睫。防御能力与 AI 技术（特别是生成式 AI）的演进也在推动 APT 攻击组织的技术不断升级。攻击者在获取初始权限后，立即通过各种手法挂起或禁用杀毒软件，已成为众多攻击组织的必选项。各种深入操作系统甚至固件的持久化手法层出不穷，前所未见的钓鱼文档类型被攻击者发现并利用。此外，更具耐心的开源软件供应链攻击逐渐浮出水面，针对安全人员的定向攻击也显示出攻击者目标的多样化。基于大语言模型（LLM）的攻击技术与防御技术成为全球安全厂商讨论的焦点。值得注意的是，攻击者仅需 22 分钟即可利用 AI 技术将新披露的 0day 漏洞转化为可用于实战的攻击工具，这凸显了防御窗口的极大缩短。在 0day 漏洞方面，操作系统和浏览器类漏洞数量最多，表明这两类漏洞仍是 APT 攻击的主要入口，主要原因在于操作系统和浏览器在用户设备中的广泛使用及其低攻击成本。随着移动互联网渗透到人们生活和工作的各个领域，攻击者的目光也开始转向移动互联网，个人用户将更直接地面临复杂且危险的网络恶意活动。此外，国产软件的发展为针对我国的黑客团体提供了新的攻击面。纵观 2024 年披露的 APT 事件，以国家背景的窃密攻击和渗透仍占据最大比重，而以经济为目的的定向勒索攻击也将触角伸向新的行业和地区。展望 2025 年，随着 AI 技术的持续发展，网络攻防烈度将进一步加剧；开源软件供应链攻击将不断增加；加密货币价值的升高将推升针对加密数字货币的攻击次数和窃取金额；对操作系统的深入理解将推动更复杂的攻击利用链；在社会工程学攻击中，生成式 AI（GenAI）将发挥更大作用。深瞻情报实验室基于 2024 年跟踪的 APT 组织动向及事件响应溯源，将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球 APT 组织视角以及 APT 攻击防御视角五个视角详细阐述本年度 APT 趋势洞察。声明本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心深瞻情报实验室，目的仅为帮助客户及时了解中国或其他地区 APT 威胁的最新动态和发展，仅供参考。本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，或您对本报告内容有任何问题与建议，可联系深信服官方。前言012024年APT洞察报告012024年APT洞察报告022024年APT洞察报告主要观点摘要012024 年，深瞻情报实验室监测到 31 个在野 0day 漏洞，其影响操作系统、浏览器、应用程序、硬件设备等应用或组件。因操作系统和浏览器使用广泛且攻击成本低，相关 0day 漏洞最多。03APT 组织定向攻击国内多行业及安全人员，采用开源软件供应链投毒、鱼叉式钓鱼、绕过安全设备等手段，多起攻击被深瞻情报实验室监测溯源。04生成式 AI 在攻防领域应用广泛且发展势头不减，安全厂商需警惕攻击者借 AI 加速攻击，确保自身更有效运用新技术。05APT 攻击与地缘政治相互影响，深瞻情报实验室持续跟踪南亚、东亚、欧洲、中东、北美地区的 APT 动态。06基于对攻击技巧和 APT 组织的长期跟踪分析，深瞻情报实验室针对 APT 防御体系、人员安全意识、资产管理、安全设施管理等方面给出针对性建议与策略。02初始打点时，新钓鱼手法与开源软件供应链投毒频发，AI 加速 0day 漏洞利用；执行 / 持久化阶段，Rootkit等内核对抗更激烈；防御规避阶段，对抗 EDR 并致盲 / 关闭 / 卸载的事件和工具不断曝光；收集 / 窃取阶段，窃密组件迭代迅速。与地缘政治博弈深度关联的 APT 组织攻击手段持续迭代，地缘政治紧张催生更多情报窃取型网络攻击，全球经济的衰退动荡加剧了加密货币窃取和定向勒索等以经济利益为目的的攻击。APT 组织利用操作系统和浏览器类 0day 漏洞最为频繁，且利用第三方组件 0day 漏洞的供应链攻击数量持续上升。APT 组织与网络犯罪团伙敏锐捕捉社区前沿攻击技术变化，生成式 AI 极大地加速了新攻击技术与工具的应用。展望 2025 年，伴随 AI 技术发展，网络攻防将更激烈；开源软件供应链攻击会增多；对操作系统的深入洞察将催生更复杂的攻击链；加密货币升值和 AI 时代 GPU 算力激增将导致窃取和算力滥用事件增加；生成式 AI 在社会工程学攻击中的作用将愈发凸显。01020304022024年APT洞察报告漏洞利用视角032024年APT洞察报告032024年APT洞察报告042024年APT洞察报告2024年我们监测到多个APT组织利用多个平台以及应用的0day漏洞开展攻击。据统计，APT组织使用的0day漏洞约31个，这些漏洞主要涉及 Microsoft、Google、Apple 等 8 个厂商的 10 个产品，产品类型主要分为操作系统、浏览器