《2024年全球高级持续性威胁（APT）研究报告》

2024 年全球高级持续性威胁形势概览

2024年，全球局势在合作与冲突并存的基调下向多极化发展。全球性合作峰会在促进多边合作、应对全球危机中发挥着更加积极的作用；俄乌冲突、中东地区冲突等地缘事件深刻影响着全球秩序；中美在经济、科技、军事等领域以及国际事务上的竞争博弈日趋加剧。在此背景下，具有“国家级”背景的网络组织在网络空间高隐蔽性、高破坏性的攻击活动更加频繁，其影响早已在全球网络空间层面外，成为地缘政治乃至全球政治气候的“晴雨表”。

2024年，全球网络安全厂商和机构累计发布APT报告730多篇，报告涉及APT组织124个，其中属于首次披露的APT组织41个。从全球范围看，APT组织攻击活动聚焦地区政治、经济等时事热点，攻击目标集中分布于政府机构、国防军工、信息技术、教育、金融等十几个重点行业领域。    

2024年全球典型APT组织活跃度情况

依托360全网安全大数据视野，在2024年，我们再次捕获到两个全新 APT组织，分别为归属南亚地区的APT-C-70（独角犀）和东亚地区的 APT-C-65（金叶萝）。截至2024年底，360已累计发现并披露了56个境外 APT组织。  

2024年，360累计捕获到1300余起针对我国的APT攻击活动。攻击来源APT组织主要归属南亚、东南亚、东亚以及北美等地区。我国受攻击活动影响的单位主要分布于政府机构、教育、科研、国防军工、交通运输等14个重点行业领域。

2024年攻击活动影响我国的APT组织TOP 10

2024年我国受APT攻击影响单位行业分布TOP 10

重点行业APT威胁态势

在2024年，全球网络安全机构披露的APT网络攻击活动中，政府机构、国防军工、信息技术、教育、金融是最受关注的5个行业。根据360全网安全大脑监测，APT组织对我国攻击活动最为集中的5个行业为政府机构、教育、科研、国防军工和交通运输。

• 政府机构一直以来都是APT组织重点攻击方向。以APT-C-01（毒云藤）、APT-C-08（蔓灵花）、APT-C-00（海莲花）等为代表的APT组织，长期对我国各级政府职能部门开展网络渗透攻击。

• 2024年，我国在国防军工领域取得了举世瞩目的成就：新一代战机试飞、高超音速武器研发、先进驱逐舰与潜艇投入使用，提升了我国战略威慑能力。同时境外APT组织对我国国防军工领域的网络渗透攻击和窃密也处于活跃态势。

• 经济、军事、文化等领域的科研机构一直是具有地缘政治背景的APT组织重点攻击目标。攻击者对科研机构的攻击渗透，其目的从刺探科研发展进度，到窃取科研数据、科技成果，甚至进一步控制核心设备，进而干扰或破坏正常科研进展。

• 2024年6月，北美大型汽车经销商软件服务提供商CDK Global连续遭遇两次网络攻击，导致其汽车经销商客户软件平台瘫痪，被迫紧急关闭大部分系统。本次针对汽车行业供应链进行的勒索攻击事件，给全球汽车行业敲响了警钟。

• 通信电信行业是信息传递与交流的基础，是信息化和数字化社会发展的关键基础设施。大数据、云计算、人工智能等技术的发展都离不开通信电信基础设施的支撑和保障。同时通讯电信行业还掌握着大量基础用户的信息，一旦遭受网络攻击，不仅会导致大规模网络中断，可能导致海量用户数据泄露，对国家经济和社会生活造成严重影响。APT组织逐渐将通信电信领域目标作为攻击活动的重点方向。

全球高级持续性威胁主要发展趋势

• APT攻击活动0day和nday漏洞利用统计

根据统计：截至2024年12月，全球APT组织在攻击活动利用的0day漏洞共计31个，涉及8个厂商的11个产品。在攻击活动中被披露利用的0day和nday漏洞120多个，涉及APT组织30多个。APT攻击利用的0day漏洞集中分布在影响面广的浏览器软件和操作系统。其中2024年APT组织使用的针对移动端系统的0day漏洞占比增长明显。    

• 供应链攻击成为APT组织攻击重点趋势

近几年，APT组织持续提高对供应链的关注程度，随着攻击者技战术水平的不断提升，越来越多供应链软硬件的0day漏洞被APT组织应用于攻击活动。供应链攻击成为APT攻击活动重点趋势。2024年，我们监测到APT-C-00（海莲花）、APT-C-39（CIA）等组织在对我国的攻击活动中，都曾利用政企单位软件供应商的软件系统漏洞进行针对性攻击。

• 国产化软件系统成为APT组织攻击重点

随着我国国产化替代推广和网络安全体系化建设，我国企事业单位逐渐巩固自身网络安全壁垒。APT组织转而绕道国产化软件系统作为攻击跳板。由于国产化软件系统供应链在我国的企事业单位中有广泛客户群，这使得APT组织一旦对供应链完成攻击渗透，会造成广泛的影响面。

2023年，我们曾捕获APT-C-00（海莲花）组织利用某国产安全软件系统漏洞，在其系统植入后门程序，对部署该安全软件的单位展开攻击渗透。2024年，我们再次捕获到APT-C-00（海莲花）组织利用某国产软件系统0day漏洞，劫持该软件系统更新服务，进行大范围渗透攻击。APT-C-60（伪猎者）组织在2024年也利用某国产办公软件的0day漏洞对我国相关目标展开攻击活动。    

• 通信设备成武器，网络攻击形态多样化

2024年，黎巴嫩多个地区发生的传呼设备爆炸事件迅速在全球范围内引起广泛关注。网络攻击形态早已不再限于以太网、物联网、工控网络，包括广播网络在内的各种可联网方式都可以是网络攻击的载体。随着网络的延展，接入网络的终端类型越来越多，功能也越来越多样化，网络攻击形态也最终向多样化发展。

点击下方“阅读原文”查看完整版报告

原文始发于微信公众号（360威胁情报中心）：《2024年全球高级持续性威胁（APT）研究报告》