1、2邮箱：ti_ 电话：95015 官网：https:/上半年内，涉及我国的高级持续性威胁事件主要在信息技术、政府、科研教育领域，受害目标集中在广东等地区。除了已知的 APT 组织外，本报告还将提及我们观察到的多个持续针对国内重点目标的未知威胁组织（UTG）尽管有些威胁组织我们清楚攻击者的目的和所在地区，但目前无法归属到背后具体的攻击实体。这些 UTG 组织的攻击活动涉及新能源、低轨卫星、人工智能、航天航空等多个领域，甚至通过入侵跨国公司的境外基础设施作为立足点向中国境内的办公点进行横向移动。2024 上半年全球范围内活跃的勒索软件家族数量众多，新型勒索软件和变种不断出现，一些稍具规模的勒索团伙

2、大多采用“双重勒索”的攻击模式。勒索软件的投递使用多种手段，包括漏洞利用、借助其他恶意软件和远程管理工具、软件伪装等。不少针对企事业单位的勒索攻击往往结合了精心的渗透过程，一些新兴勒索软件采用以往的恶意代码，攻击虚拟化环境的勒索软件逐渐增多。不法分子利用网络渠道和技术手段从事游走在法律监管之外的牟利活动，从而形成互联网黑色产业链，危害网络安全。这些黑产团伙的攻击手法工具、攻击目标各不相同，但最终目的都是为了获取经济利益。他们之中有的共用工具，关系错综复杂，会针对其他黑产从业人员展开黑吃黑行动；有的规模庞大，通过感染电视、机顶盒等设备提供不法服务；有的针对 IT 运维人员发起多次供应链投毒攻击；

3、还有的新兴黑产瞄准线上考试，提供作弊服务。2024 年上半年的在野 0day 漏洞数量和去年基本一致，但是原本三足鼎立的格局已经渐渐被打破。Google 相关产品尤其 Chrome 浏览器仍然占据了在野漏洞的大部分份额，甚至出现一周内连续修复三个在野 0day 的盛况。部分攻击者将目标转向防火墙、VPN 等边界设备，以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度，例如利用产品更新迭代过程中针对旧漏洞的补丁失效，又或者像 XZ Utils 事件中通过层层深入的社会工程学手段在开源项目里埋下后门。2024 上半年网络威胁活动呈现出以下特点：攻击者积极挖掘新攻击面并更新技战术，恶意软

4、件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战；随着 AI 技术的发展，AI 不仅成为网络安全人员的重要工具，也带来了新的攻击手段和挑战，如用 AI 生成的误导信息内容和 AI 本身引入的软件漏洞。主要观点M A I N P O I N T S主要观点/网络安全威胁 2024 年中报告3网络安全威胁 2024 年中报告摘要/网络安全威胁 2024 年中报告本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2024 上半年，广东省受境外APT 团伙攻击情况依旧最为突出，其次是江苏、四川、

5、浙江、上海、北京等地区，受影响行业排名前五的分别是：信息技术 18.5%，政府部门 16.3%，科研教育 12.0%，建筑 7.6%，制造 7.1%。2024 上半年奇安信威胁情报中心收录了 109 篇高级威胁类公开报告，涉及 59 个已命名的攻击组织或攻击行动，至少 48 个国家遭遇过 APT 攻击，披露的大部分 APT 攻击活动集中在韩国、乌克兰、以色列、印度等地区。其中，提及率排名前五的 APT 组织（含并列）是：Kimsuky 13.4%，Lazarus 8.9%，APT28 4.5%，Group123/Sandworm/MuddyWater/C-Major 3.6%，摩诃草/Turl

6、a 2.7%。2024 上半年全球 APT 活动的首要目标行业是政府部门、科研教育、国防军事，相关攻击事件占比分别为 31.3%、15.0%、13.8%，紧随其后的是信息技术、制造、新闻媒体等领域。2024 年上半年全球范围内的勒索软件攻击波及包括中国在内的多个国家，受害者中既有个人用户，也有各种规模的组织机构，政府、医疗、制造、能源等行业屡次遭到勒索攻击团伙染指。2024 上半年国内安全厂商披露的互联网黑产攻击活动涉及的团伙主要有：银狐木马黑产团伙、Bigpanzi、暗蚊、金相狐。2024 年上半年披露的高危漏洞数量达 25 个。往年微软、谷歌、苹果三足鼎立的格局被打破，Google 依旧是