1、双子座实验室2024-072024 年上半年全球主要 APT 攻击活动报告2024 年上半年全球主要 APT 攻击活动报告P3 概述P5 APT 组织攻击数据披露P9 重大 APT 攻击活动P15 总结P15 附录contents目录3概述012024 年上半年，天际友盟持续对 APT 组织及其活动进行追踪总结，总共披露了全球 100 个 APT 组织的 187 起攻击活动，通过对其中出现的威胁组织及 TTP 的具体分析，我们总结出 2024 年上半年 APT 组织活动攻击特点如下：地缘政治类 APT 攻击活动拥有核心地位针对我国的 APT 组织呈现多元化攻击特点APT 组织实力增强，零日漏洞

2、利用率大幅提升从全局来看，2024 年上半年，国际环境愈加复杂，地缘政治紧张局势在一定程度上加速了国家级 APT 组织的崛起与发展。在此期间，俄乌战争和巴以武装对抗持续进行，亚太、中东和欧美三大地区的主要国家普遍拥有更高的科技水平和强大的国家级 APT 组织实力，这些地区间存在长期的政治博弈，因此，地缘政治驱动的 APT 活动在这些区域中占据了核心地位。从攻击国家来看，中国在 2024 年上半年仍然是 APT 组织的首要目标。各 APT 组织也展示了不同的攻击特征和目标。例如，高度活跃的银狐团伙主要借助即时通讯工具、搜索引擎瞄准财务人员；新出现的黑产组织“amdc6766”主要通过供应链投毒针

3、对运维人员；“FaCai”团伙则利用热点事件对国内企事业单位展开定向攻击。此外，还有专门以间谍活动为目的的知名 APT 组织，如印度的“BITTER”和“SideWinder”，通过鱼叉式网络钓鱼和漏洞利用等手段，渗透中国的军事、科研和制造等关键领域。这些多样化的 APT 活动对我国政府、军事、通信等领域网络安全构成了严峻挑战。从 攻 击 手 段 来 看，2024 年 上 半 年，多 个 APT 组 织（如 UAT4356、UTA0178 和 UNC5221）成 功 利 用Microsoft、Aiohttp、Palo Alto Networks 和 Cisco 等知名公司产品的零日漏洞，发起了

4、多起网络攻击。这些攻击不仅展示了攻击者在技术上的成熟度，还反映出 APT 组织的整体实力和技术能力显著增强。42024 年上半年全球主要 APT 攻击活动报告AI 或将与网络钓鱼联系得更加紧密从未来发展来看，随着人工智能（AI）技术在金融、医疗、法律等诸多行业的广泛应用，AI 系统成为了处理大量敏感数据的关键平台。这种数据的高价值属性使得黑客组织对其产生了浓厚的兴趣。攻击者正在尝试通过网络钓鱼等手段，获取对 AI 系统的访问权限，以便进一步窃取或操控关键信息。已经发现有组织如 UNK_SweetSpecter 组织利用了与 AI 相关的主题作为诱饵邮件，针对美国 AI 研究机构投递 Sugar

5、Gh0st RAT。此外，AI 技术本身也在被用于增强网络钓鱼攻击的效果。随着技术的发展，未来网络钓鱼攻击与 AI 技术的结合可能会成为一个新兴趋势。这意味着黑客可能会利用 AI 来优化钓鱼邮件的个性化程度，或者使用 AI 生成的深度伪造技术（deepfake）来模拟真实的人物或场景，以此欺骗目标人群。5APT 组织攻击数据披露02天际友盟根据自有平台 RedQueen 中记录的 187 起 APT 攻击事件（主要涵盖知名组织及有影响力的攻击），对2024 年上半年 APT 组织攻击数据进行披露如下：2.1 Top10 活跃组织2024 年上半年 TOP 10 活跃 APT 组织统计如下：Ki

6、msukyAPT44APT28LazarusTransparent Tribeamdc6766APT37KonniTurlaFIN7Charming KittenMuddyWater银狐图 1 2024 年上半年 TOP 10 活跃 APT 组织图 1 显示，2024 年上半年，朝鲜 APT 团伙 Kimsuky 在攻击频率上位居榜首，重点攻击中国财务人员的银狐团伙势头正猛，依然稳坐第二名，另外一个朝鲜组织Lazarus活动频率显著下降，相反俄罗斯APT28组织活动明显增多，两者并列第三。较 2023 年而言，巴基斯坦 Transparent Tribe 组织活动有所增加，现排名第四。此外，新