2024年上半年全球主要APT攻擊活動報告

2024年上半年全球主要APT攻擊活動報告目錄contents目錄P3 概述P5 P9 P15 總結P15 附錄01概述2024APT100APT187TTP2024年上半年01概述地緣政治類APT攻擊活動擁有核心地位地緣政治類APT攻擊活動擁有核心地位從全局來看，2024年上半年，國際環(huán)境愈加復雜，地緣政治緊張局勢在一定程度上加速了國家級APT組織的崛起與發(fā)展。在此期間，俄烏戰(zhàn)爭和巴以武裝對抗持續(xù)進行，亞太、中東和歐美三大地區(qū)的主要國家普遍擁有更高的科技水平和強大的國家級APT組織實力，這些地區(qū)間存在長期的政治博弈，因此，地緣政治驅動的APT活動在這些區(qū)域中占據了核心地位。針對我國的APT組織呈現(xiàn)多元化攻擊特點針對我國的APT組織呈現(xiàn)多元化攻擊特點2024APTAPT“amdc6766”主要通過供應鏈投毒針對運維人員；“aCa”團伙則利用熱點事件對國內企事業(yè)單位展開定向攻擊。此外，還有專門以間諜活動為目的的知名APT組織，如印度的“BITTER”和“SideWinder”，通過魚叉式網絡釣魚和漏洞利用等手APT構成了嚴峻挑戰(zhàn)。APT組織實力增強，零日漏洞利用率大幅提升APT組織實力增強，零日漏洞利用率大幅提升，2024APT（、UTA0178UNC5221）AltoNetworksCiscoAPT2024年上半年全球主要APT攻擊活動報告AI或將與網絡釣魚聯(lián)系得更加緊密AI或將與網絡釣魚聯(lián)系得更加緊密從未來發(fā)展來看，隨著人工智能（AI）技術在金融、醫(yī)療、法律等諸多行業(yè)的廣泛應用，AI系統(tǒng)成為了處理大量敏感數(shù)據的關鍵平臺。這種數(shù)據的高價值屬性使得黑客組織對其產生了濃厚的興趣。攻擊者正在嘗試通過網絡釣魚等IUNK_etpeerIAIuarGh0tT。此外，AIIIAI（deepae）來模擬真實的人物或場景，以此欺騙目標人群。02APT組織攻擊數(shù)據披露RedQueen187APT（主要涵蓋知名組織及有影響力的攻擊），對2024APT02APT組織攻擊數(shù)據披露2.1活躍組織 2024TOP10APTCharmingKittenFIN7TurlaKonniAPT37amdc6766Transparent

APT44Lazarus12024TOP10APT

Kimsuky銀狐APT2812024ATimsukyLazarusAPT282023nsaentribeamdc67662024年上半年全球主要APT攻擊活動報告2.2攻擊目標 2024APTTOP10巴基斯坦 緬波蘭白俄羅斯以色列

日本中國俄羅斯烏克蘭韓國

美國印度22024TOP10APT22024APT來看，APT2.3攻擊行業(yè) 2024APTTOP10制造業(yè)

交通運輸能源

社會組織

通信及軟件信息技術服務教育與科研金融國防軍工

政府32024APTTOP10325.33%，其次政府和國防軍工部門分別占17.90%12.66%20239.17%，升至第四位。2.4主要攻擊手段 2024年上半年APT組織主要攻擊手段統(tǒng)計如下：勒索軟件社會工程學漏洞利用魚叉式網絡釣魚

水坑攻擊僵尸網絡

釣魚攻擊木馬后門42024APT4APT應鏈攻擊和社會工程學活動明顯增多。表12024APT對的廠商和軟件產品。廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務 漏洞號Microsoft（5）365_apps，Office，OutlookCVE-2023-23397Windows、WindowsServerCVE-2024-21412CVE-2022-38028CVE-2024-21338OfficeCVE_2017_11882Ivanti（2）Connect_secure，Policy_secure，Neurons_for_zero-trust_accessCVE-2024-21893Connect_secure，Policy_secureCVE-2023-46805Rarlab（1）WinrarCVE-2023-38831PHP，F(xiàn)edoraproject（1）php，fedoraCVE-2024-45772024年上半年全球主要APT攻擊活動報告廠商（漏洞數(shù)） 針對系統(tǒng)、組件或服務 漏洞號Oracle（1）Weblogic_serverCVE-2017-3506Cisco（1）Adatie_security_appliane_softae，F(xiàn)ieper_tht_deenseCVE-2024-20353Paloaltonetworks（1）Pan-osCVE-2024-3400Connectwise（1）ScreenconnectCVE-2024-1709Igniterealtime（1）OpenfireCVE-2023-32315Aiohttp，F(xiàn)edoraproject（1）Aiohttp，F(xiàn)edoraCVE-2024-2333412024APT2024，APT組織主要通過利用知名軟件廠商產品中OffieWindwsTIantiAPT組織高度關注的另一個重要攻擊目標，其多款產品頻繁遭受攻擊。為了提升攻擊成功率，APT組織往往03APT03APT2024APTAPT亞太地區(qū)亞太地區(qū)作為全球經濟增長的重要引擎和科技創(chuàng)新的前沿陣地，其復雜的地緣政治格局和快速發(fā)展的數(shù)字經濟環(huán)境，使之成為國家級APT攻擊的重點關注區(qū)域。在這一區(qū)域，APT攻擊呈現(xiàn)出高度精準、持續(xù)性強和戰(zhàn)略目標明確的特點，主要針對政府機構、關鍵基礎設施、高新技術企業(yè)以及金融機構等高價值目標。在亞太地區(qū)，APTAPT針對我國我國作為全球第二大經濟體，其龐大的市場和復雜的網絡環(huán)境使其成為APTAPT趨勢，各組織展現(xiàn)出不同的攻擊特征和目標。除了以財務人員為主要目標的銀狐團伙，還出現(xiàn)了amdc6766新黑產組織，其通過供應鏈攻擊針對運維人員；aCaiATBITTERidWindr，正通過魚叉式網絡攻擊和漏洞利用等手段，滲透我APT20241，amdc6766(AMH、寶塔、Xshell、Navit)(LMP、Oninack)bIT從仿冒頁面或官方平臺下載并執(zhí)行含有惡意代碼的部署工具，便會與攻擊者的C2DNS定向投毒運維部署工具，amdc6766長期遠控低價值主機作為肉雞，然后擇機選擇高價值目標進行深度控制。隨后Rootkit1月-6IP-**ard1BITTER后門程序，以竊取我國軍事機密。2024年上半年全球主要APT攻擊活動報告月末，Blackod"NSX30"AitMWSOffieQQNSPX30NSPX30C2月末，UG-Q007新黑客團伙針對中國等亞洲國家的建筑、房產營銷、互聯(lián)網等多個行業(yè)發(fā)起攻擊并傳播ROTbotDgerflyMgBotNightdoor。CoralRaiderGh0stTimor新威脅組織采取魚叉式釣魚、歷史漏洞利用等方式獲取主機初始訪問權限，并使用了一種新的由RUST語言編寫的遠控工具對我國的能源、高校、科研機構及軍工等行業(yè)進行攻擊。5月末，東亞新團伙UTG-Q-010AISidinderoffie2007、2013、216CVE-2017-11882，來竊取對國內高校和政府機構的機密數(shù)據。針對韓國朝鮮與韓國之間的政治關系依然緊張且不穩(wěn)定，盡管偶爾存在對話與合作的跡象，但兩國之間的深層次分歧和歷史遺留問題使得兩國關系時常處于緊張狀態(tài)，軍事對峙和外交摩擦持續(xù)影響著朝鮮半島的穩(wěn)定。兩國間發(fā)生了一系列網絡攻擊事件，但目前披露的APT事件主要集中于韓國一方。其中，具有朝鮮國家背景的APT37、Kimsuky、Lazarus及其子組織（如Andariel）是主要的攻擊力量。它們的攻擊目標涵蓋了韓國的政府、金融、數(shù)字貨幣領域及學術界，尤其是與朝鮮政治、人權和安全相關的個人和組織。攻擊者采用了多種技術手段，包括社會工程學、魚叉式網絡釣魚、利用云存儲服務作為攻擊平臺、偽裝合法軟件以及利用合法軟件更新機制植入后門等，旨在實現(xiàn)信息竊取、持續(xù)性滲透和加密貨幣挖礦等目的。此外，攻擊者不斷更新LiuxGomirTANSLTET出其技術能力的不斷提升和對目標的深入了解。KimsukySAdropbox月初，朝鮮APT37冒充網絡研討會主辦方，以“2023年朝鮮形勢評估和2024年展望”為活動主題分發(fā)APT37LarsAndarielAndarLoaderModeLoader。KmsukyEdooronniAutoItKimsukyurialT政策會議、咨詢會議、調查問卷、講座指導等HTML頁面類型方式，并采取新戰(zhàn)術，通過利用合法的DropBox云存儲作為攻擊基地，以逃避威脅監(jiān)控范圍。朝鮮APT37通過與朝鮮人權專家相關的釣魚郵件，投遞RokRat遠控程序。imsukySanutiMiner件傳播加密貨幣礦工軟件。月，KmukyLiuxGomr攻擊韓國。月末，該組織偽裝成在韓國從事朝鮮人權領域工作的公職人員，并試圖通過在線好友請求和專用信使來接觸主要的朝鮮和安全相關工作人員。KimsukySmallTigerKimsukyGmail、KaaoNaer等多家著名電子郵件服務服務商安全措施的TRANSLATEXT針對印度APT之間，兩國目前的政治狀況是歷史遺留問題、軍事對抗、恐怖主義、安全競爭及民族主義情緒交織構成的復雜局面。APT、SideCopyCosmicLeopardZIPLNK投遞遠控木馬以及通過惡意網站鏈接啟動復雜感染流程等。攻擊行業(yè)涵蓋了政府、軍事、教育等多個關鍵領域。攻擊目的主要是收集情報、竊取數(shù)據和進行網絡間諜活動。1ansantibeWhappAndid裝成AadhaarPicsStudentProfileAPKRlmRat1ansantribeLaasy發(fā)起釣魚攻擊，旨在控制受害者設備和采集信息的目的。SideCopyLNKZIPReverseRatCosmicLeopard組織持續(xù)使用GravityRAT和HeavyLift"OperationCelestialForce"中東地區(qū)絡行動主義行為不斷升級，網絡攻擊事件的頻率和烈度顯著上升。在這一背景下，伊朗的政治立場對中東地區(qū)形成了獨特的戰(zhàn)略格局。伊朗致力于在中東地區(qū)建立其政治和戰(zhàn)略霸權，并堅決反對美國及其盟國的干預政策。其行動不僅受內部政治和宗教因素的驅動，還與國際關系密切相關。特別是，伊朗長期以來與以色列保持敵對狀態(tài)，強烈反對以色列在巴勒斯坦問題上的政策。APT獲得有利地位。在當前中東復雜多變的政治環(huán)境中，這些網絡攻擊行為無疑加劇了地區(qū)的緊張氛圍和安全挑戰(zhàn)。2A--3(ICD)"Samecoin1HomelandJustice#DestroyDurresMilitaryCampNoJutieindws(MEK)2024年上半年全球主要APT攻擊活動報告APT35間諜組織的附屬組織對比利時、法國、加沙、以色列、英國以及美國的大學和研究組織中從事中東事務的知名人士發(fā)起了攻擊，旨在推送后門惡意軟件，進而竊取機密信息。harmingKienBASIAR"對中東政策專家發(fā)動了一系列釣魚攻擊。伊朗UNC1549瞄準伊朗在內的中東國家的國防、航空航天部門，通過釣魚攻擊傳播包含以色列哈馬斯相關內容或虛假工作機會的虛假網站鏈接，最終導致主機下載MINIBIKE或MINIBUS惡意負載。TA450APT33FalseFont"SwordsofIronWar"MuddyWaterC2：DarkBeatC2。MuddyWaterITAgent(IG-IO)CharingKien歐美地區(qū)APT在這一地區(qū)，APT深遠影響。具體而言，針對烏克蘭的攻擊多集中于獲取有關政治和軍事的情報，以支持相關國家的地緣政治目標。而針對美國的攻擊則涉及更廣泛的領域，包括破壞金融市場穩(wěn)定以及對關鍵基礎設施的潛在威脅。針對烏克蘭2024APT組織（Calisto、WinterVivern、APT28APT44）在對烏克PDF傳播惡意軟件。其次，它們主要針對政府、軍隊和基礎設施等關鍵目標，并且特別收集關于政治和軍事活動的情報。再者，攻擊者加大了對烏克蘭的攻擊力度，通過供應鏈投毒實現(xiàn)大規(guī)模破壞行動?？傮w而言，這些攻擊活動呈現(xiàn)出多樣化、目標明確、技術手段復雜以及對特定區(qū)域的高度集中性特點。CalistoPDFinerViernouncube()80月下旬，俄羅斯APT28來激活感染鏈。APT44Kapeka)。該組織還實1020通過毒害供應鏈來提供受感染或易受攻擊的軟件，或通過軟件供應商訪問組織系統(tǒng)來滲透目標網絡。隸屬于俄羅斯總參謀部(GRU)26165APT28WindowsPrintSpoolerGooseEgg"的新型入侵后自定義工具來提升權限并竊取憑證，其攻擊目標包括烏克蘭、西歐和北美的政府、非政府組織、教育和交通部門。6月初，APT28組織分三個階段部署了HeadLace惡意軟件，并利用憑證收集網頁發(fā)起了一系列針對包括烏克蘭國防部、歐洲交通基礎設施以及阿塞拜疆的智庫等領域的惡意攻擊活動。針對美國針對美國的攻擊主體涵蓋了國家支持的APT組織（如伊朗的APT35）和跨國犯罪集團（BogusBazaarTriad），攻擊目標主要集中政府機構、金融部門、科技公司、學術機構和關鍵基礎設施，反映了這些行業(yè)在美國國家政治經濟中的核心地位及其面臨的持續(xù)威脅。攻擊組織的地理分布凸顯了中東地區(qū)（如伊朗）、俄羅斯以及其他地區(qū)與美國之間的地緣政治緊張關系。同時，針對加密貨幣公司和金融機構的攻擊表明了網絡犯罪分子對金融（AI（如偽裝政府實體和關鍵基礎設施滲透（如針對防火墻的零日漏洞攻擊）在現(xiàn)代網絡戰(zhàn)略中的重要性。APT35竊取機密信息。TA576Spider使用名為"CryptoChameleon"FCC)Binance、Coinbase、KrakenGeminiTA4903(BEC)月末，UNC5174F5BIG-IPCVE-2023-46747ScreenConnectCVE-2024-1709GOREVERSEGoAltoNetworksPAN-OSGlobalProtectCVE-2024-3400UTA0218Python：UPSTYLE。FIN7Anunak75,000BogusBazaar850,0005，UNK_SweetSpecterSugarGh0stAI月末，-0188ython惡意腳本，進而實施釣魚攻擊。月中旬，Smishing信釣魚活動。2024年上半年全球主要APT攻擊活動報告3.2重點行業(yè)攻擊 2024APT接下來，我們將深入探討這些行業(yè)所面臨的具體攻擊特征及其潛在影響。針對通信及軟件信息技術服務行業(yè)的攻擊2024年上半年，通信軟件和信息技術行業(yè)仍然是APT攻擊的主要目標，其中運維、加密貨幣和人工智能領域尤其脆弱。攻擊者主要通過虛假招聘、偽裝應用程序、利用零日漏洞和供應鏈攻擊等手段進行滲透，目的多為竊取敏感信息，以用于政治對抗或經濟利益。近期被利用的重要零日漏洞包括CVE-2024-21412、CVE-2024-26169、CVE-2024-23334、CVE-2024-3400、CVE-2024-21338、CVE-2024-20353、CVE-2024-20359Microsoft、Aiohttp、AltoNetworksCisco在針對軟件行業(yè)的APT組織中，amdc6766、Lazarus、UNK_SweetSpecter三個組織尤為活躍。其中，amdc6766主導多起供應鏈攻擊，通過在官方安裝包中植入惡意鏈接，針對國內運維人員進行投毒攻擊。其目標是控制低價值主機作為跳板，進而滲透高價值目標。Lazarus標運行含有信息竊取程序的代碼。UN_etSperAIAISugarGh0st針對政府與國防軍工行業(yè)的攻擊政府與國防軍工行業(yè)對國家安全和戰(zhàn)略利益至關重要。因此，2024年上半年，這兩個領域繼續(xù)受到黑客組織的頻繁攻擊。與此同時地緣政治的持續(xù)影響也使得這些行業(yè)成為主要目標。在攻擊策略上，黑客組織采取了多種手段，一方面，它們針對國防軍工、外交和安全部門的人員，發(fā)送偽裝成合法的釣魚郵件，以竊取敏感信息。另一方面，黑客組織還利用零日漏洞，部署一系列定制的惡意軟件，用于間諜活動和信息竊取。onni信息。UTA0178UNC5221IvantiConnectSecureVPN針對金融行業(yè)的攻擊金融行業(yè)作為國家發(fā)展的關鍵行業(yè)，因其潛在的巨大經濟利益，一直以來都是黑客組織攻擊的主要目標。因此，20242024年上半年的金融行業(yè)攻擊手段主要包括傳統(tǒng)的釣魚攻擊、木馬后門部署以及漏洞利用等方式。值得特別關注的黑客組織包括銀狐團伙、SecretCrowSavvySeahorse其中，銀狐團伙對我國構成了較大的威脅，持續(xù)進行針對性的攻擊。SecretCrow語音釣魚組織則通過構建一系列偽裝成執(zhí)法機構和金融機構的釣魚頁面，并開發(fā)惡意Android應用程序，誘騙韓國受害者訪問釣魚網站。這些釣魚頁面及應用程序（如SecretCallsLoader和SecretCalls）旨在竊取受害者的資金，用于金融欺詐。SavvySeahorse組織采用了DNSCNAME記錄創(chuàng)建一個流量分配系統(tǒng)（TDS），以支持其金融詐騙活動并規(guī)避檢測。此外，該組織還使用聊天機器人與受害者互動，誘使他們進行大額投資，從而實現(xiàn)詐騙過程的自動化。這些攻擊手段和策略顯示了金融行業(yè)面臨的持續(xù)和復雜的網絡安全威脅，也反映出黑客組織在攻擊技術上的不斷演進。04總結APTAPT04總結APT段的識別能力，并結合實際情況優(yōu)化防御策略。再次，應加強對零日漏洞的檢測與響應能力。組織需要建立高效的漏洞管理體系，實施實時漏洞掃描和修補，以盡早發(fā)現(xiàn)并修復系統(tǒng)中的安全漏洞，降低被攻擊的風險。05附錄AIAIA05附錄時間 APT事件 組織名稱 攻擊行業(yè)628日Kimsuky組織部署TRANSLATEXT擴展以針對韓國學術界Kimsuky教育與科研627日俄羅斯多個行業(yè)遭到ReaverBits組織攻擊ReaverBits批發(fā)零售、通信及軟件信息技術服務、金融、制造業(yè)、社會組織626日Kimsuky組織新型后門HappyDoor披露Kimsuky625日印度響尾蛇組織近期針對國內的攻擊活動剖析SideWinder政府、教育與科研624日SneakyChef間諜組織利用SugarGh0st瞄準政府機構SneakyChef政府624日游蛇黑產團伙針對財稅人員分發(fā)惡意木馬銀狐22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)624日APT-C-56通過Linux桌面文件投遞Poseidon惡意組件TransparentTribe624日Boolka組織使用BeEF框架構建網頁傳播多種惡意軟件Boolka通信及軟件信息技術服務621日Kimsuky組織疑似以軍工招聘為餌攻擊歐洲Kimsuky國防軍工621日UNC3886組織近期間諜活動詳情披露UNC3886政府、通信及軟件信息技術服務、制造業(yè)、國防軍工、能源、公用事業(yè)620日VoidArachne組織利用Winos4.0C2框架攻擊中文用戶VoidArachne620日攻擊俄羅斯的ExCobalt團伙使用新的GoRed后門ExCobalt619日ONNXStoreMRxC0DER618日銀狐黑產組織最新攻擊樣本詳細分析銀狐617日OperationCelestialForce：CosmicLeopardCosmicLeopard國防軍工、政府、通信及軟件信息技術服務617日疑似巴勒斯坦黑客組織UTA0137向印度政府傳播DISGOMOJI惡意軟件UTA0137政府617日AridViper組織利用AridSpy木馬開展移動端間諜活動APT-C-23614日Cardinal組織利用Windows權限升級漏洞作為零日漏洞Storm-1811通信及軟件信息技術服務614日StickyWerewolf以視頻會議邀請為誘餌攻擊俄羅斯航空航天行業(yè)StickyWerewolf制造業(yè)613日SmishingTriadSmishingTriad交通運輸613日Kimsuky組織近期RandomQuery活動分析Kimsuky613日PHPCGIWindowsTellYouThePassLucifer服務業(yè)、金融、醫(yī)療612日REF6127通過開展招聘主題的釣魚活動部署WARMCOOKIE后門REF6127611日SilverValleyRAT銀狐610日ExCobalt組織持續(xù)開發(fā)GoRed后門以攻擊俄羅斯公司ExCobalt通信及軟件信息技術服務、政府、能源610日CommandoCatDockerCommandoCat通信及軟件信息技術服務6月7日UAC-0200利用DarkCrystalRAT惡意軟件攻擊烏克蘭關鍵組織UAC-0200政府、國防軍工6月7日OperationsControlPlug：DarkPeonyMSCDarkPeony政府、國防軍工6月6日FaCai團伙通過某翻譯軟件的引流服務實施釣魚攻擊FaCai22024APT時間 APT事件 組織名稱 攻擊行業(yè)6月5日UNC1151再次出擊：針對烏克蘭國防部進行釣魚攻擊活動UNC1151國防軍工6月4日俄羅斯APT28利用HeadLace惡意軟件滲透歐洲關鍵網絡APT28交通運輸、國防軍工、教育與科研6月3日Konni黑客組織使用俄羅斯政府軟件安裝包進行攻擊Konni政府6月3日UAC-0195借助流行社交媒體發(fā)起以投票為主題的釣魚活動UAC-0195531日LilacSquid組織信息公開LilacSquid531日FlyingYeti組織對烏克蘭居民實施釣魚活動UAC-0149531日8220Gang利用OracleWebLogic服務器漏洞部署挖礦程序8220Gang通信及軟件信息技術服務530日SapphireWerewolf組織瞄準俄羅斯關鍵行業(yè)下發(fā)竊密程序SapphireWerewolf教育與科研、通信及軟件制造業(yè)業(yè)529日Hellhounds組織持續(xù)攻擊俄羅斯Hellhounds529日MoonstoneSleet組織瞄準區(qū)塊鏈、AI等多個行業(yè)Storm-1789通信及軟件信息技術服工529日KiteshieldPacker被多個黑客組織用于繞過殺軟檢測APT17、amdc6766528日SharpDragon組織進軍非洲和加勒比海地區(qū)SharpPanda527日SmallTiger惡意軟件被用于瞄準韓國多個關鍵行業(yè)Kimsuky國防軍工、制造業(yè)527日UnfadingSeaHaze黑客組織瞄準東南亞國家UnfadingSeaHaze527日銀狐團伙近期發(fā)起以核酸檢測退費為主題的釣魚活動谷墮大盜527日UAC-0188組織利用微軟掃雷游戲的克隆版本實施釣魚攻擊UAC-0188金融524日TransparentTribe組織瞄準印度政府、國防和航空航天部門TransparentTribe政府、國防軍工、制造業(yè)523日UAC-0006組織向烏克蘭投遞SMOKELOADER惡意軟件UAC-0006522日IkaruzRedTeam畫像介紹IkaruzRed522日APT32組織針對Office軟件的常用釣魚文件剖析APT32通信及軟件信息技術服務522日UTG-Q-010：瞄準國內AI和游戲行業(yè)UTG-Q-010通信及軟件信息技術服務521日VoidManticore組織瞄準以色列實施破壞性攻擊活動VoidManticore520日Kinsing黑客組織信息披露Kinsing通信及軟件信息技術服務520日Kimsuky組織對韓國和日本發(fā)起釣魚攻擊Kimsuky520日amdc6766團伙再次實施供應鏈投毒攻擊活動amdc6766通信及軟件信息技術服務22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)517日Kimsuky組織使用新的Linux后門Gomir攻擊韓國Kimsuky517日SugarGh0stRAT被用于攻擊美國人工智能專家UNK_SweetSpecter教育與科研、政府516日銀狐團伙借助某終端安全管理軟件發(fā)起釣魚攻擊谷墮大盜通信及軟件信息技術服務516日TurlaAPT組織使用Lunar工具包攻擊歐洲外交部Turla政府516日Storm-181組織利用QuickAssist工具部署勒索軟件Storm-181通信及軟件信息技術服務515日SideCopy組織近期瞄準印度大學生SideCopy教育與科研515日Telegram漢化軟件暗藏后門病毒金眼狗通信及軟件信息技術服務515日蔓靈花組織利用Replit平臺的攻擊活動分析BITTER514日Timitator組織針對國內用戶分發(fā)Rust特馬Timitator能源、教育與科研與科研、國防軍工514日PhantomCore組織向俄羅斯多個行業(yè)發(fā)起釣魚攻擊PhantomCore能源513日FIN7組織使用Google廣告來分發(fā)MSIX惡意文件FIN7511日Lazarus組織針對區(qū)塊鏈從業(yè)者實施攻擊活動Lazarus通信及軟件信息技術服務510日銀狐釣魚團伙2024年1-5月攻擊特點剖析谷墮大盜交通運輸、服務業(yè)、教育與科研、通信及軟件信息技術服務、金融5月9日BOGUSBAZAAR犯罪團伙運營囊括數(shù)萬域名的虛假電商網絡BogusBazaar通信及軟件信息技術服務5月9日APT28對波蘭政府機構發(fā)動大規(guī)模惡意軟件活動APT28政府5月9日禮品卡欺詐團伙Storm-0539針對零售公司Storm-0539批發(fā)零售5月6日伊朗APT42組織最新網絡釣魚活動追蹤CharmingKitten國際組織、教育與科研與科研、文體娛樂5月6日SecretCrow語音網絡釣魚組織對韓國實施金融欺詐活動SecretCrow金融430日銀狐黑產團伙大規(guī)模針對財稅人員谷墮大盜金融428日LightSpy惡意軟件變種瞄準macOSAPT41428日SideCopy組織利用釣魚攻擊針對印度政府投遞遠控木馬SideCopy政府426日Kimsuky劫持eScan防病毒更新以部署GuptiMiner惡意軟件Kimsuky通信及軟件信息技術服務426日APT73：一個自稱為APT的勒索軟件組織APT73425日MuddyWater使用合法AteraAgent遠控工具獲取初始訪問權限MuddyWater交通運輸、通信及軟件信息技術服務、醫(yī)療22024APT時間 APT事件 組織名稱 攻擊行業(yè)425日ArcaneDoor活動：UAT4356組織借助思科零日漏洞入侵全球政府網絡UAT4356通信及軟件信息技術服務、政府425日ScalyWolf組織通過釣魚攻擊下發(fā)WhiteSnake竊取程序ScalyWolf政府425日WindowsPrintSpoolerAPT28APT28424日國內企事業(yè)單位正遭到FaCai釣魚團伙的攻擊FaCai424日ScarCruft利用惡意LNK文件投遞RokRat遠控程序APT37423日APT43組織近期針對韓國的TutorialRAT惡意軟件活動分析APT43423日烏克蘭20個重要機構遭俄羅斯APT44組織破壞APT44公用事業(yè)、能源423日ToddyCat組織使用的數(shù)據竊取工具和隧道工具公開ToddyCat國防軍工、政府419日Lazarus組織利用CVE-2024-21338漏洞攻擊亞洲技術人員Lazarus通信及軟件信息技術服務419日Sandworm組織在攻擊東歐的活動中部署新的Kapeka后門APT44419日俄羅斯Sandworm組織升級為APT44，目標是全球關鍵基礎設施APT44社會組織、國防軍工、文體娛樂、政府、交通交通運輸、能源418日FIN7組織針對美國汽車制造公司部署Anunak后門程序FIN7制造業(yè)417日朝鮮Kimsuky組織近期活動TTP分析Kimsuky416日SteganoAmor活動：TA558正大規(guī)模攻擊全球公司與機構TA558415日GlobalProtect防火墻零日漏洞遭UTA0218組織利用UTA0218通信及軟件信息技術服務411日eXoticVisit間諜活動瞄準印度和巴基斯坦安卓用戶VirtualInvaders411日RUBYCARP僵尸網絡組織揭秘RUBYCARP411日TA547疑似使用大模型工具生成腳本向德國實體分發(fā)Rhadamanthys惡意軟件TA547批發(fā)零售410日StarryAddax組織正利用新惡意軟件瞄準北非的人權活動人士StarryAddax社會組織4月9日MuddyWater組織最新攻擊框架DarkBeatC2分析MuddyWater4月8日金融相關人員近期遭游蛇團伙攻擊谷墮大盜金融4月7日SolarSpiderJsOutProxSolarSpider金融4月7日LazyKoala組織利用LazyStealer竊取器攻擊多個國家LazyKoala教育與科研、金融、醫(yī)療、政府4月5日越南CoralRaider組織對亞洲多個國家實施數(shù)據竊取活動CoralRaider4月5日金眼狗團伙偽造VPN惡意安裝包植入定制化gh0st木馬金眼狗22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)4月3日EarthFreybugUNAPIMONEarthFreybug4月1日EarthKrahangLinodasEarthKrahang329日東盟實體遭到StatelyTaurus等APT組織入侵MustangPanda政府、國防軍工327日Machete組織近期活動披露Machete327日金相狐黑產團伙利用AI人臉識別技術實施金融詐騙GoldenPhysiognomyFox能源、金融326日韓國虛擬貨幣行業(yè)參與者遭到Konni組織投遞AutoIt惡意腳本Konni通信及軟件信息技術服務325日UNC5174組織利用公開漏洞滲透美國等多個地區(qū)的機構UNC5174325日俄羅斯APT29組織利用WineLoader后門攻擊德國政黨APT29政府325日CloudWerewolf組織瞄準俄羅斯政府CloudWerewolf政府322日APT-C-09以巴基斯坦聯(lián)邦稅務局為誘餌發(fā)起釣魚攻擊WhiteElephant政府322日TinyTurla攻擊鏈新細節(jié)揭露Turla社會組織322日伊朗CuriousSerpens組織旗下FalseFont后門揭秘APT33交通交通運輸322日TA450使用與薪酬有關的誘餌來針對以色列員工MuddyWater320日Kimsuky組織使用韓國企業(yè)有效證書簽名的惡意軟件感染韓國用戶Kimsuky319日EarthKrahang組織瞄準多個國家和地區(qū)EarthKrahang政府、教育與科研319日ITG05組織針對全球目標開展網絡釣魚活動APT28通信及軟件信息技術服運輸318日ShadowSyndicate組織開始利用Aiohttp漏洞竊取信息ShadowSyndicate通信及軟件信息技術服務318日DarkGate惡意軟件活動實施SmartScreen零日漏洞攻擊DarkCasino通信及軟件信息技術服務315日NGC2180黑客團伙使用DFKRAT進行監(jiān)視活動NGC2180314日MicosoftDeenderSmartSceenerHda織利用DarkCasino金融、通信及軟件信息技術服務314日RedCurl組織近期活動使用Windows合法服務繞過安全限制RedCurl312日Andariel組織濫用韓國資產管理解決方案分發(fā)MeshAgentLazarus311日藏語用戶疑似遭到EvasivePanda組織攻擊Daggerfly社會組織311日MagnetGoblin組織使用1day漏洞針對互聯(lián)網服務器MagnetGoblin通信及軟件信息技術服務3月8日APT37利用朝鮮政治話題向韓國發(fā)起釣魚攻擊APT3722024APT時間 APT事件 組織名稱 攻擊行業(yè)3月7日TA4903組織冒充美國政府機構實施BEC攻擊TA4903政府、建筑與地產、金融、制造業(yè)、服務業(yè)、能源3月6日GhostSec聯(lián)合Stormous團伙對多個國家實施雙重勒索攻擊GhostSec、Stormous國防軍工、交通運輸、能源、制造業(yè)、通信及軟件信息技術服務3月5日TA577組織使用新型攻擊鏈竊取NTLM信息TA5773月5日NoName057(16)組織DDoSia項目持續(xù)更新NoName057(16)3月4日黑客針對FCC和加密貨幣公司發(fā)動高級Okta網絡釣魚攻擊ScatteredSpider(定)政府、通信及軟件信息技術服務3月4日FluffyWolf組織冒充建筑公司分發(fā)多種惡意程序FluffyWolf通信及軟件信息技術服務、建筑與地產3月4日GTPDOOR惡意軟件利用GPRS協(xié)議感染電信網絡LightBasin通信及軟件信息技術服務3月1日歐洲外交官遭到SPIKEDWINE組織攻擊SPIKEDWINE政府229日SavvySeahorseDNSCNAMESavvySeahorse金融229日Lazarus組織在官方Python存儲庫中發(fā)布惡意Python包Lazarus通信及軟件信息技術服務229日MysteriousWerewolf組織向俄羅斯軍事工業(yè)委員會下發(fā)RingSpy后門MysteriousWerewolf國防軍工228日中東國家的航空航天和國防部門遭到伊朗組織UNC1549攻擊UNC1549制造業(yè)、國防軍工228日UAC-0184組織采用圖像隱寫術向烏克蘭企業(yè)推送RemcosRATUAC-0184227日越南DuckTail組織近期針對數(shù)字營銷人員的攻擊活動剖析DuckTail通信及軟件信息技術服務227日EarthLusca組織對中國臺灣發(fā)動釣魚攻擊EarthLusca政府226日CharmingKitten組織利用新型BASICSTAR后門瞄準中東政策專家CharmingKitten226日WinterVivern黑客借助Roundcube漏洞入侵80多個組織WinterVivern政府、國防軍工225日與哈馬斯APT-C-23組織相關的Samecoin惡意軟件活動追蹤APT-C-23223日新型組織UTG-Q-007利用越南語木馬瞄準亞洲地區(qū)UTG-Q-007建筑與地產、通信及軟件信息技術服務223日SideWinder組織使用基于Nim語言的遠控程序SideWinder政府220日朝鮮黑客針對國防部門進行供應鏈攻擊事件披露Lazarus國防軍工、政府219日GoldFactoryiOSGoldPickaxeGoldFactory金融218日erHdaDarkCasino金融22024APT2024年上半年全球主要APT攻擊活動報告時間 APT事件 組織名稱 攻擊行業(yè)216日Turla團伙向波蘭非政府組織投遞新型后門TinyTurla-NGTurla社會組織2