【绿盟科技】APT组织研究年

绿盟科技集团股份有限公司与广州大学网络空间安全学院联合发布了《APT组织研究年鉴》。这份报告深入分析了2024年全球APT（高级持续性威胁）组织的活动态势，包括对APT组织活跃度的统计、攻击手段的分析、受害目标的行业和地理分布，以及新增APT组织的情报图鉴。报告指出，APT攻击呈现出组织严密、策划周密、目标精确的特点，对国家的安全与稳定构成直接威胁。报告中不仅梳理了年度归因追踪情况及情报，还特别罗列了2024年新增的55个APT组织的画像图鉴，为网络安全分析师、研究人员以及政策制定者提供了丰富的一手资料，是认知及跟踪全球APT组织动态的宝贵资源。

在数字化时代，网络安全已成为国家安全的重要组成部分。高级持续性威胁（APT）攻击因其隐蔽性、持续性和目标性，成为网络安全领域中最为棘手的问题之一。通过对2024年APT组织研究年鉴的深入分析，我们可以洞察到当前APT攻击的新趋势和特点。

首先，APT组织数量的增长令人关注。2024年新增了55个APT组织，使得总数达到620个，同比增长57.14%。这一增长不仅反映了网络威胁景观的快速变化，也表明攻击者在不断寻找新方法绕过现有防御体系。其中，Lazarus组织以其活跃的威胁行为脱颖而出，披露的IOC数量达到了7006个，成为年度威胁之最。这显示了该组织在网络攻击中的高度活跃性和破坏性。

APT组织的攻击目标和行业分布也是我们关注的重点。2024年，全球网络安全机构披露的APT网络攻击活动中，政府机构、国防军工、信息技术、教育、金融是最受关注的5个行业。这些行业因其数据价值高、影响力大而成为APT攻击的首选目标。特别是在俄乌冲突、中东局势等热点地区，APT攻击更是频繁发生，其背后的政治和经济动机不言而喻。

技术层面上，APT组织攻击手段日益多样化和复杂化。SSH暴力破解攻击和远程桌面协议RDP暴力破解攻击分别占比45%和46%，两者合计占比91%。攻击者通过漏洞利用、弱密码破解和配置缺陷，高效获取初始访问权限。国家漏洞库(CNVD)在2024年共披露了18782个漏洞，其中高危漏洞占比46.94%，零日漏洞的利用持续增长，黑客组织和网络犯罪团伙利用这些漏洞进行长期控制攻击。

在APT归因追踪方面，2024年监测到的APT组织攻击活动中，50%的攻击源来自境外，其中美国攻击源占比34%，受害主机超过两万四千台。这一数据揭示了APT攻击的国际化特征，同时也反映了全球网络安全领域的不平衡性。美国以其庞大的互联网基础设施资源和技术优势，成为APT攻击的主要发起地。

APT组织的活跃度和攻击时机也与全球政治经济形势、重大事件以及技术进步等因素密切相关。2024年，APT组织的活跃程度呈现出一定的季节性波动，特别是在中东局势紧张期，伊朗APT组织加大对以色列私营企业的攻击，APT44则利用Kapeka后门破坏乌克兰能源系统。

值得注意的是，APT组织对我国攻击活动最为集中的5个行业为政府机构、教育、科研、国防军工和交通运输。APT组织持续将供应链作为主要切入点，利用政企单位软件供应商的0day漏洞发起攻击。例如，APT-C-00(海莲花)、APT-C-39(CIA)等组织通过供应链漏洞渗透目标系统。供应链攻击的隐蔽性和广泛影响面使其成为APT活动的重点方向，尤其是针对能源、金融、通信等关键行业的供应链。

面对日益严峻的APT威胁，我们需要采取更加积极和主动的防御策略。通过构建基于知识图谱的网络空间威胁建模平台CSKG4APT，以及借助四蜜系统，可以有效提高APT攻击早期发现的能力。同时，我们也需要加强国际合作，共同应对跨国界的网络威胁。

这篇文章的灵感来自于绿盟科技与广州大学网络空间安全学院联合发布的《APT组织研究年鉴2024》。除了这份报告，还有许多同类型的报告也非常有价值，推荐阅读。这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。