1、2邮箱：ti_ 电话：95015 官网：https:/2024 年，涉及我国的高级持续性威胁事件主要在科研教育、信息技术、制造、政府机构等领域，受害目标集中在广东等地区。DarkHotel、海莲花、伪猎者、虎木槿、蔓灵花、摩诃草等组织积极针对国内重点目标。年末时，我们发现国内最大 IT 社区被入侵后植入恶意脚本，由此挖掘出背后的攻击团伙UTG-Q-015。经过深入分析排查，发现 UTG-Q-015 使用了入侵源站、供应链攻击两套攻击链。被入侵的源站涉及 IT 社区、技术论坛、软件园、政府官网等；供应链攻击则以在国内政府、媒体网站中使用已久的分享组件作为目标，该分享组件历史影响网站规模高达到百万

2、量级。根据观察，勒索攻击活动除经济利益外，一些勒索攻击以对目标组织的破坏性攻击为目的，还有国家背景的 APT 组织参与。涉及勒索的攻击团伙因为相互合作、共享攻击工具、衍生分支机构等情况导致关系变得错综复杂。2024 年在影响国内的互联网黑产攻击活动中，银狐木马有着较高的活跃度，这是由于该恶意家族系列源码泛滥，被多个黑产团伙甚至 APT 组织使用。对于其中最为活跃的一个黑产团伙我们以编号UTG-Q-1000 进行追踪。2024 年在野 0day 的利用情况较去年有所回落，原本三足鼎立的格局渐渐被打破。Chrome 在上半年出现一周内连续修复三个在野 0day 的盛况，下半年其在野漏洞数量则极速下

3、滑，仅仅只有两例。部分攻击者将目标转向防火墙、VPN 等边界设备，以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度，例如利用产品更新迭代过程中针对旧漏洞的补丁失效，又或者像 XZ Utils 事件中通过层层深入的社会工程学手段在开源项目里埋下后门。0day 漏洞正在军火市场中泛滥，一半以上针对Google、苹果产品的 0day 攻击都是来自漏洞军火商。Firefox 0day 漏洞也疑似成为“军火”遭贩卖，被 Storm-0978、DarkHotel 攻击团伙使用。2024 年还观察到攻击者频繁使用办公软件、邮箱的 0day漏洞进行攻击。2024 年网络威胁活动呈现出以下特点：攻

4、击者积极挖掘新攻击面并更新技战术，恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战；随着 AI 技术的发展，AI 不仅成为网络安全人员的重要工具，也带来了新的攻击手段和挑战，如用 AI 生成的误导信息内容、AI 本身引入的软件漏洞、以及AI 伪造的有效图片等；攻击者加快开发漏洞利用代码（EXP），Nday 漏洞投入实际攻击场景的时间开始大幅减少；一些 APT 相关攻击活动开始频繁使用网络犯罪的工具及策略，这导致 APT 与网络犯罪二者间的界限越发模糊。主要观点M A I N P O I N T S主要观点/网络安全威胁 2024 年度报告3网络安全威胁 2024 年度报告摘要/网络安

5、全威胁 2024 年度报告本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的 APT 攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2024 年，广东省受境外 APT 团伙攻击情况依旧最为突出，其次是浙江、上海、北京、江苏等地区；境内受影响行业排名前五的分别是：科研教育 16.0%，信息技术 14.8%，制造 14.8%，政府机构 8.0%，建筑 6.1%。2024 年奇安信威胁情报中心收录了 279 篇高级威胁类公开报告，涉及 102 个已命名的攻击组织或攻击行动，至少 73 个国家遭遇过 APT 攻击，披露的大部分 APT 攻击活动集中在乌克

6、兰、中国、美国、以色列、韩国等地区。其中，提及率排名前五的 APT 组织是：Kimsuky 10.1%，Lazarus 7.9%，摩诃草3.2%，APT28 3.2%，C-Major 2.9%。2024 年全球 APT 活动的首要目标行业是政府部门、国防军事、金融，相关攻击事件占比分别为25.4%、17.5%、10.7%，紧随其后的是科研教育、科技、制造、能源等领域。2024 年全球范围内的勒索攻击活动频繁，攻击对象覆盖了 Windows、Linux、macOS、FreeBSD等多个平台，VMware ESXi 虚拟化环境和云环境也已成为多起勒索攻击活动的目标。经过梳理，攻击团伙会使用多种方式