奇安信:APT攻击、勒索软件已成2024年最大网络威胁

首页 / 业界 / 报告 /  正文
作者:安全419
来源:安全419
发布于:2024-08-22


安全419了解到,奇安信威胁情报中心近日正式发布了《网络安全威胁2024年中报告》。报告揭示了当前主要的网络安全威胁和攻击趋势,结合全网开源APT(高级持续性威胁)情报、勒索软件攻击活动、互联网黑产攻击及漏洞情报等综合信息,对2024年上半年所面临的各类主流网络威胁进行了全面深入的分析与总结。完整报告可关注“安全419”公众号并回复关键字【154】,即可获取全文。

APT目标集中 UTG活动频繁
 
报告显示,上半年内,受高级持续性威胁事件影响的国内行业排名前五的分别是:信息技术 18.5%,政府部门 16.3%,科研教育 12.0%,建筑 7.6%,制造 7.1%。广东省受境外APT 团伙攻击情况依旧最为突出,其次是江苏、四川、浙江、上海、北京等地区。




 
通过对全球APT攻击组织或攻击行动的研究,报告披露了高级威胁活动主要针对的国家和地区。攻击的目标行业集中在政府部门、科研教育、国防军事,其次是信息技术、制造、新闻媒体等领域。其中,提及率排名前五的 APT 组织(含并列)是:Kimsuky 13.4%,Lazarus 8.9%,APT28 4.5%,Group123/Sandworm/MuddyWater/C-Major 3.6%,摩诃草 /Turla 2.7%。




除了已知的APT组织外,报告提及了多个持续针对国内重点目标的未知威胁组织(UTG)。其攻击活动涉及新能源、低轨卫星、人工智能、航天航空等多个领域,甚至通过入侵跨国公司的境外基础设施作为立足点向中国境内的办公点进行横向移动。 
 
报告显示,2024上半年全球勒索软件活动波及包括中国在内的多个国家,受害者中既有个人用户,也有各种规模的组织机构,政府、医疗、制造、能源等行业屡次遭到攻击。

勒索软件攻击升级 持续向专业化演进
 
新型勒索软件和变种不断出现,一些稍具规模的勒索团伙大多采用“双重勒索”的攻击模式。勒索软件的投递使用多种手段,包括漏洞利用、借助其他恶意软件和远程管理工具、软件伪装等。不少针对企事业单位的勒索攻击往往结合了精心的渗透过程,一些新兴勒索软件采用以往的恶意代码,攻击虚拟化环境的勒索软件逐渐增多。 

互联网黑产逐步完善 经济利益更加明确
 
报告整理了2024上半年国内安全厂商披露的互联网黑产攻击活动,涉及的团伙主要有银狐木马黑产团伙、Bigpanzi、暗蚊、金相狐。这些黑产团伙的攻击手法工具、攻击目标各不相同。他们之中有的共用工具,关系错综复杂,会针对其他黑产从业人员展开黑吃黑行动;有的规模庞大,通过感染电视、机顶盒等设备提供不法服务;有的针对IT运维人员发起多次供应链投毒攻击;还有的新兴黑产瞄准线上考试,提供作弊服务。




攻击目标移向边界设备 安全产品自身漏洞成攻击目标
 
据统计,2024 年上半年的在野0day漏洞数量达25个,和去年基本一致,但往年微软、谷歌、苹果三足鼎立的格局已经渐渐被打破。Google依旧是相关漏洞最多的厂商,旗下的 Chrome仍是目前攻击者热衷的浏览器攻击向量,微软、苹果的相关漏洞数量有所回落。此外,部分攻击者将目标转向防火墙、VPN等边界设备,同时尝试新的攻击角度,例如利用产品更新迭代过程中针对旧漏洞的补丁失效,或通过社会工程学手段在开源项目里埋下后门。





报告最后总结了2024 上半年网络威胁活动特点:攻击者积极挖掘新攻击面并更新技战术,恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战;随着AI技术的发展,AI不仅成为网络安全人员的重要工具,也带来了新的攻击手段和挑战,如用AI生成的误导信息内容和 AI本身引入的软件漏洞。