【安全资讯】《2024年高级威胁态势研究报告》出炉，全面剖析

文末下载

2024年是网络空间威胁格局深刻演化的一年。随着地缘政治冲突的延续、人工智能技术的普及以及供应链生态的复杂化，全球范围内的高级威胁组织（APT）活动呈现出更高的活跃度和技术复杂性。从乌克兰到亚太地区，网络战场的硝烟从未停息。APT组织利用0-day漏洞、社会工程学手段以及先进的恶意软件，频繁攻击多个国家的重要基础设施和关键行业。与此同时，人工智能驱动的网络钓鱼、供应链攻击和深度伪造技术的滥用也成为本年度网络威胁的显著特征。

安恒信息猎影实验室根据对2024全年的高级威胁攻击事件、网络犯罪团伙的攻击活动以及在野0-day漏洞的分析，发布《2024年高级威胁态势研究报告》。在这份报告中，我们系统性地回顾了2024年全球范围内的威胁活动。通过分析威胁组织的活跃态势、目标国家和行业分布，以及他们采用的技术和战术，我们希望为读者提供全面的威胁情报洞察。

2024年，全球高级威胁（APT）活动呈现出新的态势，尽管新披露的APT组织数量有所减少，但老牌威胁组织的活动更加频繁且技术水平显著提升。其中，排名靠前的APT组织如 Kimsuky、Lazarus、APT28、APT36、Patchwork、OceanLotus 以及 Bitter，依旧在多个地区开展密集的网络攻击行动。

Kimsuky和Lazarus持续以韩国、美国以及金融行业为主要目标，前者倾向于情报搜集，而后者的攻击范围则扩展至加密货币和国防领域。APT28在俄乌冲突中表现活跃，特别针对乌克兰和北约成员国的政府和军事目标。Transparent Tribe和Patchwork聚焦于印度及其邻国的政府、教育智库和能源行业，通常通过鱼叉式钓鱼展开活动。OceanLotus和Bitter则集中在东南亚及南亚地区，攻击对象涵盖科研技术和政府机构。

政府部门作为情报收集和政治影响的核心目标，其敏感信息和决策流程始终是APT攻击的重点。然而随着全球冲突的加剧，国防领域成为攻击者优先级最高的目标。这些行业的共同特点在于，其网络防御一旦被突破，可能引发重大的社会、经济和政治后果。

外高加索地区和南亚地区成为新威胁活动的重点区域之一。例如，Darkclaw Eagle和Actor240524针对外高加索国家的重要基础设施发动了多次攻击。此外，多个未知攻击组织通过新披露的漏洞（如路径遍历漏洞CVE-2024-8190、命令注入漏洞CVE-2024-9380等）实施了具有高度针对性的攻击。

鱼叉式网络钓鱼活动依然是全球范围内APT攻击的主要手段之一，特别是在针对中国的攻击中表现得尤为突出。攻击者往往伪装成政府或军方人员，通过包含恶意附件或钓鱼链接的邮件，瞄准高校、海事、国防、科技和外交等领域，企图窃取敏感信息或发起后续攻击。

在对2025年高级威胁活动的预测方面，我们预测未来的活动趋势大致由人工智能驱动、更多的针对物联网设备、供应链攻击愈演愈烈、公共平台服务、深度伪造技术的滥用等。网络攻击的边界模糊性，使得其影响不再局限于某一冲突地区。无论是攻击金融系统导致全球市场波动，还是通过虚假信息扰乱国际社会认知，这些网络威胁正在全球范围内产生连锁效应。

2024年针对国内的犯罪团伙同样活跃，包括银狐威胁体、Facai、魅惑毒刺、暗纹等。攻击手段涵盖社交媒体软件投毒、SEO投毒、GrimResource技术使用、漏洞利用等。针对其他国家的犯罪团伙和地缘政治下的黑客行动主义团伙进行了大量的数据泄露和DDoS攻击。

全球勒索攻击也愈演愈烈，在追踪的活跃勒索团伙74个，其中新发现勒索团伙34个，已经披露的勒索攻击事件共5200多起。新晋势力RansomHub在受害者数量上跻身前十，力压老牌巨头LockBit，位居首位。美国依然是勒索软件攻击的重灾区，占今年披露攻击事件总数的一半以上。

制造业继续成为受勒索软件攻击威胁最严重的行业，原因在于其复杂的供应链和高度依赖运营的工业设备，一旦被攻击将导致严重的经济损失。其次，服务业和医疗健康领域也面临着较高的风险，尤其是医疗健康领域，因其敏感数据和业务连续性需求，成为增长最快的攻击目标领域。

在利用AI的攻击中，攻击者利用生成式AI和机器学习技术增强攻击的效率与隐蔽性，从智能化钓鱼邮件到恶意代码的自动生成。在针对AI本身的网络攻击中，攻击者利用AI系统的漏洞，通过数据投毒、对抗样本攻击和模型窃取等方式削弱或操控AI系统的正常功能。

2024年，全球厂商全年一共披露主流厂商的在野0-day漏洞31个。其中CVE-2024-30051这个Windows内核提权在野0-day漏洞由安恒信息捕获。

趋势分析显示，2024年高级威胁活动呈现以下几个显著特点：

攻击规模扩大：APT组织利用云服务、社交媒体平台和物联网设备，显著扩大了攻击面。

手段多样化：从鱼叉式钓鱼到供应链攻击，从移动平台到云服务端，各类新旧攻击技术被灵活结合使用。

目标精准化：高价值行业与关键目标成为优先攻击对象，威胁活动与地缘政治局势的关联更加紧密。

长期潜伏性增强：攻击者倾向于长期潜伏与逐步渗透，以获取更高价值的信息或实现更大规模的破坏。

展望未来，网络空间中的高级威胁活动将进一步演化，特别是随着人工智能技术和新型数字基础设施的普及，攻击者的工具箱将更加丰富，威胁活动的破坏力也将持续增长。面对这些挑战，各国需加强对网络安全技术的研发投入、提升威胁情报共享的广度和深度，并推动国际合作，共同应对全球范围内的高级威胁。