随着国内互联网面临APT攻击的风险持续增加,中国电信安全公司(下称:电信安全)持续追踪狩猎APT组织。电信安全针对数十个常年活跃于国内的APT组织和专业勒索团伙展开追踪,发现高风险事件7000多起,高质量线索5000多起,27次攻击行动,确定归属的被攻击单位346家,涉及航空航天、JG、GF、能源、通信、金融、科研、教育、医疗、外交、贸易等十多个行业。
图1 2024/7/5威胁狩猎全局概览
本次报告聚焦2024年1月至6月发现的境外高水平攻击组织(APT组织/高级勒索团伙)对国内互联网资产的攻击情况。2024年上半年,境外APT组织攻击的国内重点行业分别是ZF、GF、JG、能源、地质、航空、交通、信息中心等,典型攻击方式包括0day攻击、供应链攻击、僵尸网络集群攻击等。
2024年上半年,APT威胁狩猎系统开始拓展追踪境外高级勒索团伙,累计发现攻击线索5000多起,新增3000多起勒索攻击线索和1000多起APT攻击线索,涉及ZF、JG、GF、通信、人工智能、芯片、传统制造业、能源、金融、教育、交通、航空、医疗、地质等多个行业。国内面临的勒索攻击主要来源于东欧地区的Mallox团伙,APT攻击威胁主要来源为东南亚、南亚、台海、东北亚、东欧和欧美地区。随着国内传统行业数字化推进,无论是勒索攻击还是APT攻击,涉及攻击目标都聚焦于数据中心。
攻击国内目标最频繁的APT组织来自东南亚方向。在2024年1月至6月期间,东南亚方向APT组织利用0day、nday漏洞和供应链攻击等方式发起10多起大规模攻击,涉及数百家国内单位,窃取大量敏感数据,被攻击单位涉及ZF、JG、航空航天、通信、传统制造、交通、无人机、地质、能源、教育等行业领域。
南亚方向活跃的APT组织有10多个,较有代表性的组织是Patchwork和CNC。整体攻击方式仍是以钓鱼模式为主,攻击覆盖范围为中国、巴基斯坦、孟加拉、斯里兰卡等毗邻国家和地区。虽然南亚方向的APT组织数量较多,但是整体战术思维简洁,武器库迭代周期长。南亚方向APT组织对国内的攻击目标倾向航空航天、高校科研、外交等领域。
由于中国台湾地区对大陆东南沿海的各类情报需求强烈,导致台海方向APT组织活跃性较高。台海方向的Greenspot(绿斑)APT组织对境内高校、ZF、贸易、海事、JG、GF等行业持续开展常态化钓鱼攻击。2024年3月,“绿斑”利用社工钓鱼的方式对境内航空企业展开专项攻击;2024年4月,“绿斑”对国内卫星通信、船舶制造等系统开展漏洞攻击。
东北亚方向的APT组织主要有Lazarus、Kimsuky、Konni、ClickOnce和Darkhotel等。近年来,东北亚地区的APT组织对国内资产的攻击主要涉及JG、BF、贸易、能源、高新技术等行业,攻击目标与地缘政治相关。近期频繁攻击国内资产的东北亚APT组织是Darkhotel。2023年底,Darkhotel发动针对国内JG单位的“军刀行动”,攻击持续至2024年3月,后续采用相同攻击手法和木马攻击了东北地区的BF和贸易企业。
东欧方向常年活跃于全球各地的APT组织有APT28(Sofacy)、APT29(WellMess)、Sandworm、Gamdaredon、Blackjack等,活跃的勒索团伙有Rhysida、BlackCat、LockBit、Phobos、Mallox。近年来,来源于东欧地区的APT攻击事件显著减少,而勒索攻击事件显著增加,仅Mallox勒索团伙(发起的攻击事件)已接近2000余起。
2024年期间,监测发现针对国内目标的各类攻击行动总计19次,其中包含18次境外APT攻击和1次勒索攻击。后续将详细介绍针对政务系统供应链的“政务供应链”专项,针对政务部门的“听诊行动”专项,针对国家部委的“踩点行动”专项,针对航空领域的“抵近航空”专项。此外,还有东欧地区的Mallox勒索团伙专项攻击,以及国内多维数字地貌安全专项。剖析各攻击专项细节链路,并阐述各专项的风险画像和攻击意图。
2023年12月23日至2024年1月25日,水滴实验室追踪狩猎发现境外APT组织利用国内某办公软件0day漏洞对境内多个政务供应链、科研单位、重点高校进行定点攻击,存在较大的供应链污染和数据泄露风险。
攻击者通过这次攻击行动,成功潜伏政务系统供应链节点和科研单位内网,摸清了内部网络架构,并通过供应链污染的方式对下游政务单位投毒,也为后续的攻击行动埋下伏笔。
2024年2月20日至2024年3月18日,某境外APT组织发起针对境内政务单位的攻击。攻击行动始于2024年2月20日14时,该组织首先对某科研单位发动攻击,夺取内部终端控制权限,获取某系统源代码;3月7日15时,利用0day漏洞突破被攻击政务单位网络边界防护,尝试窃取数据。
2023年4月至5月,发现境外某APT组织对多个国家单位官网开展网络信息搜集行动,被踩点单位的下属单位近期存在被攻击迹象,预计后期将成为境外APT组织的重点攻击目标。
在2024年5月9日,该组织使用相同手法对某省多个政务网站进行信息采集,随后对该省政务资产展开了大规模攻击行动。攻击者踩点对象涉及多个国家部委和省级政务站点,覆盖政务、战略地貌、高新技术、无人航空、智能交通等领域,预计后期APT组织会对信息踩点涉及领域发动重点攻击。
2024年3月6日至21日,台海方向“绿斑”APT组织针对大陆多个航空公司发动攻击。攻击者通过钓鱼邮件的方式,投递远程控制木马,获取被攻击对象的终端管理权限,尝试内网横移,为夺控更多内部资产创造有利条件。
初步判断攻击者归属为台海方向APT组织“绿斑”,主要目的为进入大陆航空公司内网,窃取航空运营信息,必要时刻制造极限场景,对民航体系运营产生重大影响。
2024年4月至5月,境外勒索团伙利用30多款产品漏洞攻击国内数据中心、外贸、医药、金融等行业的2000多个企业/部门(包含未攻击成功的企业/部门)。从被攻击单位现场排查和全网风险排查情况看,大部分单位遭到投递勒索木马和加密数据攻击,部分单位被攻击后进行了内网横移,部分单位有效拦截Mallox勒索木马下载。
Mallox 高级勒索团伙于4月8日开展攻击行动,整个攻击行动涉及国内约两千个攻击目标,平均每日新增48.91个。电信安全水滴实验室对被攻击对象进行分析,发现30多款高危产品的服务端口暴露于互联网。
2024年国内互联网的APT攻击态势较2023年相比呈大幅增长趋势。APT组织综合攻击能力显著提升,攻击密集度大幅提高;在航空航天、数据中心、低空经济、智能交通、卫星通信、信创生态等领域的攻击烈度增长较为明显,面临本地化安全设备或云办公系统的批量化攻击、供应链攻击、非传统模式攻击以及数据外泄风险,预计下半年安全风险将持续加剧。
水滴实验室是中国电信安全公司的直属研究部门,聚焦先进安全技术研究、应用与产品转化。
电信安全水滴实验室聚焦漏洞研究、二进制研究、威胁狩猎等先进安全技术研究,团队成员拥有丰富的实战经验与技术积累,在专用软件、网络设备、通用中间件等领域的研究具有深厚的技术沉淀。此外,水滴实验室在无线网络、IoT系统研究方面拥有丰富的实践经验与深厚的研究实力,逐步拓展研究领域,强化“产学研用”紧密协同,全力推进安全能力供给。
水滴实验室汇聚高、精、尖技术研究与产品研发人才,已自主研发出网络空间高级威胁监测系统、DDoS攻击监测与溯源系统,为国家和企业提供可靠、可信、高质量安全产品。
网络空间高级威胁监测系统:以狩猎APT组织和勒索组织为主要目标,集成线索追踪狩猎、降噪、监测、分析、预警、响应、排查、溯源、链路还原、处置、加固、画像等功能模块,预警APT攻击,提前发现安全风险,实现安全左移。
DDoS攻击监测与溯源系统:主动监测全球DDoS攻击情况,获取实时数据,对攻击者进行溯源,实现精准清洗DDoS攻击流量,协同监测各类物联网设备、网络态势,获取实时攻击信息。
获取完整版《2024年国内APT攻击风险年中报告》,请于本公众号后台回复:2024年APT中报+公司+姓名+手机号码+邮箱地址(注意企业邮箱,非个人邮箱),我们会尽快发送至您邮箱。
供稿:水滴实验室
排版:王格鑫
校对:李雪、陈师慧
执行主编:田金英
主编:冯晓冬
![独家情报|2024年国内APT攻击风险年中报告]( "独家情报|2024年国内APT攻击风险年中报告")
原文始发于微信公众号(中国电信安全):独家情报|2024年国内APT攻击风险年中报告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3104998.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论