1、2024年APT洞察报告2024 APT INSIGHT REPORTS千里目-深瞻情报实验室目录前言漏洞利用视角0day漏洞利用趋势已披露的各APT组织0day漏洞利用情况攻击技巧视角初始打点依然防不胜防执行/持久化内核态对抗愈发激烈防御规避失效的马奇诺防线收集/窃取情报和加密货币并重攻击事件视角针对安全人员的定向攻击针对国防军工的科研情报窃取供应链投毒事件黑产组织持续活跃GenAI时代下的网络攻防网络攻击到物理攻击地缘视角下的全球APT组织南亚010304060910162022242529323739424445东亚欧洲中东北美APT防御视角:如何构建可靠的防御体系防御体系框架人员安全意
2、识培训资产管理和保护网域管理与安全设施部署建立研发供应链安全机制建立安全运营中心完善取证和响应机制附1:深信服智安全风险监测平台APT画像平台附2:深信服千里目安全技术中心深瞻情报实验室参考链接51545862636467686970727375772024 年,深信服千里目安全技术中心深瞻情报实验室(以下简称“深瞻情报实验室”)持续对全球范围内的多个 APT(高级持续性威胁)组织和网络犯罪团伙进行长期跟踪和分析。通过持续监测,我们见证了 APT 组织攻击手段的持续迭代升级、攻击图景的不断扩张以及组织结构的不断分化与重组,APT 组织已从几年前的“乌合之众”演变为更为正规和专业的团伙。当前,A
3、PT 已成为网络空间中社会影响最广、防御难度最高、与地缘政治博弈关联最紧密的斗争形态,成为国际关系中不可忽视的重要组成部分。政治和经济形势的变化正在加速 APT 威胁的演变。地缘政治紧张局势催生了更多由国家主导的情报型网络攻击,而全球经济衰退和动荡则加剧了针对加密货币、敏感信息与科技情报的经济型攻击活动。与此同时,网络黑产犯罪团伙的活动日益猖獗,其高级技术与 APT 组织的技术界限逐渐模糊。据统计,每三起网络攻击中就有一起是勒索软件攻击,攻击者使用的手法和技巧已与常规 APT 组织几乎无异。然而,许多企业和组织的安全建设仍难以应对这种高水平的网络攻击威胁。高级网络攻击已不再遥不可及,APT 攻
4、击的防御与溯源挑战也不再仅限于政府等关键行业,网络攻击对经济、科技和民生发展的隐患已迫在眉睫。防御能力与 AI 技术(特别是生成式 AI)的演进也在推动 APT 攻击组织的技术不断升级。攻击者在获取初始权限后,立即通过各种手法挂起或禁用杀毒软件,已成为众多攻击组织的必选项。各种深入操作系统甚至固件的持久化手法层出不穷,前所未见的钓鱼文档类型被攻击者发现并利用。此外,更具耐心的开源软件供应链攻击逐渐浮出水面,针对安全人员的定向攻击也显示出攻击者目标的多样化。基于大语言模型(LLM)的攻击技术与防御技术成为全球安全厂商讨论的焦点。值得注意的是,攻击者仅需 22 分钟即可利用 AI 技术将新披露的
5、0day 漏洞转化为可用于实战的攻击工具,这凸显了防御窗口的极大缩短。在 0day 漏洞方面,操作系统和浏览器类漏洞数量最多,表明这两类漏洞仍是 APT 攻击的主要入口,主要原因在于操作系统和浏览器在用户设备中的广泛使用及其低攻击成本。随着移动互联网渗透到人们生活和工作的各个领域,攻击者的目光也开始转向移动互联网,个人用户将更直接地面临复杂且危险的网络恶意活动。此外,国产软件的发展为针对我国的黑客团体提供了新的攻击面。纵观 2024 年披露的 APT 事件,以国家背景的窃密攻击和渗透仍占据最大比重,而以经济为目的的定向勒索攻击也将触角伸向新的行业和地区。展望 2025 年,随着 AI 技术的持
6、续发展,网络攻防烈度将进一步加剧;开源软件供应链攻击将不断增加;加密货币价值的升高将推升针对加密数字货币的攻击次数和窃取金额;对操作系统的深入理解将推动更复杂的攻击利用链;在社会工程学攻击中,生成式 AI(GenAI)将发挥更大作用。深瞻情报实验室基于 2024 年跟踪的 APT 组织动向及事件响应溯源,将从漏洞利用视角、攻击技巧视角、攻击事件视角、全球 APT 组织视角以及 APT 攻击防御视角五个视角详细阐述本年度 APT 趋势洞察。声明本报告除明确注明来源以外,数据均来自深信服千里目安全技术中心深瞻情报实验室,目的仅为帮助客户及时了解中国或其他地区 APT 威胁的最新动态和发展,仅供参考