企业动态

    2025年2月，奇安信威胁情报中心发布《2024网络安全威胁年度报告》。报告从高级持续性威胁（APT攻击）、勒索组织攻击、互联网黑灰产、安全漏洞利用、新型攻击手法等方面，全面分析了2024年全球网络安全形势。

    一、高级持续性威胁

    报告指出，2024年，全球各地区网络战活动持续活跃。乌克兰、中国、美国、以色列、韩国是全球遭受APT攻击最多的国家。Kimsuky、Lazarus、摩诃草、蔓灵花、APT28等组织是2024年最为活跃的APT组织。

    针对中国的APT活动重点集中在科研教育、信息技术、制造业、政府机构等领域。受害目标集中在广东、浙江、上海、北京等地区。DarkHotel、UTG-Q-015、海莲花、伪猎者、虎木槿、蔓灵花、摩诃草等组织是针对中国境内目标攻击最为活跃的APT组织。

    报告特别提及了一个代号为UTG-Q-015的组织。该组织通过源站入侵和供应链攻击等方法，成功入侵并操控了国内多个IT社区、技术论坛、软件园、政府官网、媒体网站等目标，值得高度警惕。

    二、勒索组织攻击

    报告通过对2024年度74个活跃的勒索软件及组织的追踪分析发现，现如今的很多勒索组织之间，存在着非常复杂的关联关系。勒索软件部署者经常借助其他团伙攻击时所获取的访问权限进入网络。某些勒索组织所使用的攻击武器也可能是由其他团伙提供的。勒索组更名或派生分支机构的情况也不少见。此外，由于部分勒索软件的源代码被不断的泄露和售卖，这也进一步加剧了勒索组织之间的复杂关系。

    三、互联网黑灰产

    本次报告还对2024年全球最为活跃的网络黑灰产团伙进行了深度分析，主要包括银狐木马系列黑产团伙、Bigpanzi、暗蚊、金相狐、FaCai、GanbRun、DragonRank等。

    特别的，由于系列源代码被广泛传播，银狐木马已经不再是单个黑灰产团伙的专属工具，甚至被一些APT组织（如金眼狗）使用。研究显示，银狐木马的投递方式主要有两种：一是借助钓鱼邮件、即时通讯软件（如微信）等渠道投递带毒链接；二是搭建仿冒的软件下载网站，吸引受害者主动下载木马程序。

    四、网络威胁中的漏洞利用

    在漏洞利用方面，报告显示，2024年在野0day漏洞的利用情况较去年有所回落，部分攻击者将目标转向防火墙、VPN等边界设备，以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度，例如利用产品更新迭代过程中针对旧漏洞的补丁失效，又或者是通过层层深入的社会工程学手段在开源项目里埋下后门。此外，0day漏洞正在网络军火交易市场中持续泛滥，一半以上针对Google、苹果产品的0day漏洞攻击武器都是来自于网络军火商。

    五、AI带来的网络安全威胁

    针对AI技术发展带来的网络安全威胁，报告指出，随着AI生成技术的成熟，大量使用AI技术生成的视频、图片出现在社交媒体上，严重误导公众认知。例如，网络攻击团伙Storm-1679就通过生成式AI技术制作了大量与奥运会相关的虚假视频及新闻，用以抹黑2024年巴黎奥运会。再比如，安全厂商KnowBe4在博客中披露，某攻击者通过AI增强生成图片伪造有效但被盗的身份照片，制造假简历并成功入职目标公司，之后以员工的身份在企业内网发起攻击。