2024年,全球APT组织通过技术跃迁、组织升级等不断演化和扩张,已将攻击的魔爪伸向影响更广泛、更具破坏性的领域。高级持续性威胁(APT)正在经历新一轮技术跃迁,攻防对抗再度升级。从利用0day漏洞渗透政府系统,到通过供应链投毒控制关键基础设施,再到结合生成式AI实施精准钓鱼,攻击者的手段不断迭代。同时,地缘政治冲突的加剧使得APT攻击成为国家间博弈的重要软武器,以经济为目的的定向勒索攻击也逐步侵犯新的行业和地区。
在用AI重塑安全的路上,深信服安全GPT直击用户最关心的「高威胁、高影响、高价值」场景,从依赖规则升级为基于攻击意图理解能力的威胁检测模式,具备对未知攻击的意图理解、异常判定、混淆还原能力,在Web流量检测和钓鱼邮件检测上效果都远超传统方案。
深信服千里目安全技术中心基于对2024年全球APT组织动向的持续洞察及事件响应溯源,深入剖析APT攻击的技术演进、典型案例及防御策略,编写成《2024年APT洞察报告》,揭示网络空间暗战的最新攻防对抗逻辑。
横观APT:0day漏洞的“攻击版图”演化
1、操作系统与浏览器仍是主战场
2024全年,操作系统和浏览器依然是攻击者的首选目标,监测到全球APT组织使用的31个在野0day漏洞中,Microsoft、Google存在21个,因操作系统和浏览器使用广泛且攻击成本低,攻击者利用其特性进行高频“流水线攻击”。
2、国产软件成为APT攻击新目标
2024年,国产软件漏洞首次被Project Zero收录,这一变化折射出我国软件生态在快速发展中面临的安全威胁。例如,APT-C-60组织利用某国产办公软件的任意代码执行漏洞(CVE-2024-7262)开展高级渗透并窃取敏感数据。
3、供应链攻击成为新的软肋
攻击者通过第三方组件投毒进行供应链攻击,渗透企业环境,污染链条极难追溯。如2024年,Lazarus组织利用Chrome浏览器JavaScript引擎V8中的两个0day漏洞,对全球加密货币参与者和投资者发起恶意攻击以谋取经济利益。
纵观APT:“全流程作战”的攻击技术狂飙
APT组织的攻击技巧不断推陈出新、迭代升级,涵盖初始打点、执行/持久化、防御规避、收集/窃取等多个阶段。
初始打点阶段,新型钓鱼手法花样频出,开源软件供应链投毒频发,AI也加速了0day漏洞的利用。例如,海莲花、Bitter等APT组织使用MSC文件对科研人员开展钓鱼攻击,可天然绕过传统杀软检测。海莲花组织则通过伪造GitHub安全工具,利用开发人员的信任对其实施定向攻击。
执行/持久化阶段,Rootkit等内核级对抗进化升级。攻击者逐步实现了对系统内核的深度掌控。例如,2024年,SkidMap组织的Rootkit攻击技术进化,可持久化控制目标系统且致盲传统安全软件;首个专门针对Linux系统的UEFI Bootkit(命名为Bootkitty)也首度现世。
防御规避阶段,对抗EDR并致盲/关闭/卸载的事件和工具不断曝光。攻击者对 EDR(端点检测与响应)等安全软件的关注度持续上升,涉及与安全软件正面抗衡并成功关闭或禁用安全软件的攻击事件显著增加。
收集/窃取阶段,窃密组件迭代迅速。为了避免恶意软件被一网打尽,APT组织的窃密组件通常与远控木马分开投递。如SideWinder组织在2024年对后渗透组件进行了大规模更新,使用自研的“StealerBot”后渗透工具包,实施针对中东和非洲政府机关、关键基础设施单位的攻击活动,极大地增强了攻击的隐蔽性和灵活性。
攻击升维:生成式AI(GenAI)重塑APT攻防格局
生成式AI技术的迅速发展,极大地降低了APT攻击的门槛,提升了攻击的隐蔽性和成功率。攻击者借助AI可以快速生成复杂攻击链路、优化payload制作、编写免杀代码,并通过深度伪造技术实施社会工程学攻击。
例如,利用AI批量生产钓鱼话术,攻击者向韩国某高校教授投递的「学术会议邀请函」均由ChatGPT输出,行文风格、引用文献与本人研究内容高度相似。Lazarus组织利用AI生成NFT坦克游戏页面,吸引加密货币玩家,进而窃取其私钥。攻击者利用AI工具快速分析,仅22分钟就将新披露的0day漏洞转化为攻击工具,给防御方的窗口期大幅缩短。
在2025年,生成式AI的潜力和用途必将在攻防对抗中持续呈指数级增长。AI本身作为工具,关键在于其被使用的方式和目的。确保防守方比攻击方更有效地利用AI技术,将成为未来网络攻防中的关键。安全厂商需继续谨慎应对攻击者利用AI工具加速进行的各类攻击,并将AI技术应用于自身的业务与运营中,使其成为网络安全防护的重要力量。
地缘视角:全球博弈扩张加速APT攻击演变
全球政治和经济形势的变化正在加速APT威胁的演变。地缘政治博弈的紧张局势催生了更多情报窃取型网络攻击,如Patchwork组织针对中国、巴基斯坦等国的科研机构,使用LNK文件和开源远控工具,窃取军事相关的研究数据。
全球经济衰退和动荡则加剧了针对加密货币、敏感信息与科技情报的经济型攻击活动。2024年,东亚地区的黑客发动了四十余次复杂的攻击活动,从全球加密货币平台盗走了价值13亿美元的资产,这一数字创下了年度新高。
这些现象昭示着,网络黑产犯罪活动与APT组织的技术界限逐渐模糊。据统计,每三起网络攻击中就有一起是勒索软件攻击,且攻击手法和技巧已与常规APT组织几乎无异,然而许多企业和组织的安全建设仍难以应对这种高水平的网络攻击威胁。APT攻击的防御与溯源挑战也从政府等关键行业延展到更多与经济、科技和民生发展相关的行业。
防御视角:构建主动防御“安全防线” 化危机为转机
技术的进步既为攻击者提供了新的工具,也为防御者带来了新的机遇。面对不断演变的威胁,企业和组织需构建“技术+管理+人员”的全面防御体系,同时充分利用AI技术来提升防御效能。
在用AI重塑安全的路上,深信服安全GPT直击用户最关心的「高威胁、高影响、高价值」场景,从依赖规则升级为基于攻击意图理解能力的威胁检测模式,具备对未知攻击的意图理解、异常判定、混淆还原能力,在Web流量检测和钓鱼邮件检测上效果都远超传统方案。
通过3000万黑样本与2000万白样本的混合样本测试验证,对比传统引擎,安全GPT针对Web流量的威胁检出率从45.6%提升至95.7%,误报率从21.4%下降到4.3%。在3万高对抗钓鱼样本测试中,安全GPT检出率达到94.8%,误报率小于0.1%,检测准确率是传统防钓鱼类产品的4倍+。
未来,伴随AI等技术的发展,网络战场的攻防对抗将更为激烈。防御方只有不断提升主动防御能力,筑牢数字时代的“安全防线”,方能化危机为转机,维护网络空间的安全与稳定。
前往【深信服科技】公众号或官网,可下载报告完整版。
