信息来源:Kaspersky report on APT trends in Q1 2024 | Securelist (2024年5月9日)
2024年的第一季度,全球高级持续性威胁(APT)格局在平静中酝酿风暴。从朝鲜黑客对韩国供应链的精准打击,到一个神秘间谍工具向iOS/macOS生态的扩张,再到因现实冲突而激增的黑客行动主义(Hacktivism),卡巴斯基最新发布的《2024年Q1 APT趋势报告》揭示了一个技术持续演进、地缘政治深度绑定、攻击平台日益多元的网络威胁新纪元。
一、朝鲜APT新战术:Kimsuky利用Golang后门“Durian”发起供应链攻击
本季度最引人注目的事件之一,是朝鲜关联组织 Kimsuky(APT37)在韩国发动的一场供应链攻击。该组织并未直接攻击最终目标,而是将矛头指向了韩国的IT服务提供商。
1. 攻击链:从Golang后门到合法远程工具
- 初始载荷:名为 Durian 的Golang编写的后门,具备反分析和持久化能力;
- 横向移动:攻击者在内网部署名为 AppleSeed 的HTTP后门(Kimsuky常用工具);
- 远程控制:滥用合法远程管理工具,如 ngrok(内网穿透)和 Chrome Remote Desktop,建立隐蔽通道;
- 数据窃取:重点收集浏览器中存储的Cookies、登录凭证等敏感信息。
这一系列操作表明,Kimsuky正在从传统的鱼叉式钓鱼,转向更复杂、更具破坏性的供应链渗透,通过一个被攻破的供应商,实现对多个高价值客户的“一网打尽”。
二、多平台间谍工具现身:Spyrtacus从Windows到移动生态的扩张
一个名为 Spyrtacus 的间谍组织在2024年初展现出惊人的技术广度。该组织长期以意大利个人为目标,但其最新动向显示其能力已全面升级。
1. Windows平台:新型植入物“Spyrtacus”
- 卡巴斯基发现一款此前未知的Windows版Spyrtacus植入物;
- 功能包括:系统侦察、文件操作、远程命令执行;
- 与已知的Android版本共享相同的C2基础设施和通信协议,证明两者为同一组织所用。
2. 移动与桌面生态扩张
- 在调查中,研究人员发现了与Spyrtacus相关的iOS和macOS子域名;
- 这些域名的命名逻辑与Android和Windows版本一致,强烈暗示该组织已开发或正在开发针对苹果生态的间谍软件。
这一发现标志着,高级间谍活动正从单一平台向“全设备监控”演进。无论你使用手机、平板还是笔记本,都可能在同一张监控网络之下。
三、Winnti组织新动向:利用渗透测试工具进行“红队式”攻击
Winnti(又称APT41)这个兼具网络犯罪与国家背景的“双重身份”组织,在2024年第一季度再次活跃。
研究人员发现其使用一款功能强大的后门,能够:
- 收集系统信息;
- 执行文件操作;
- 注入任意载荷。
更值得注意的是,攻击者在得手后,竟直接部署了多款开源渗透测试工具,包括:
- Ligolo-ng:用于建立反向隧道,实现内网穿透;
- Inveigh:用于LLMNR/NBT-NS欺骗攻击,窃取网络凭据;
- Impacket:用于执行各种SMB、Kerberos等协议攻击。
这种“用红队工具打红队战争”的方式,使得攻击行为与合法安全测试高度相似,极大增加了检测难度。
四、Oilrig APT:从IT服务商到ISP的“跳板式”攻击
中东老牌APT组织 Oilrig(APT34)在本季度继续其“供应链跳板”策略。
继此前利用IT服务提供商作为跳板攻击其客户后,Oilrig将目标转向了中东地区的互联网服务提供商(ISP)。
攻击技术细节:
- 使用VBScript和PowerShell作为第一阶段加载器;
- 部署名为 SKYCOOK 的.NET后门,具备远程命令执行和信息窃取功能;
- 同时使用 AutoHotkey(AHK)编写的键盘记录器,与之前攻击中使用的工具高度相似。
这表明Oilrig正试图通过控制ISP级别的基础设施,实现对更大范围网络的监控与渗透。
五、2024 Q1 APT五大趋势总结
| 趋势 | 具体表现 |
| 1. 供应链攻击深化 | Kimsuky、Oilrig等组织不再直接攻击最终目标,而是通过IT服务商、ISP等“中间层”实现间接渗透。 |
| 2. 多平台间谍扩张 | Spyrtacus等组织从Windows/Android扩展到iOS/macOS,构建全平台监控能力。 |
| 3. 地缘政治驱动加剧 | 网络攻击与现实冲突高度同步,以色列-哈马斯战争引发大量黑客行动主义活动。 |
| 4. 攻击平台全球化 | 本季度攻击覆盖欧洲、美洲、中东、亚洲、非洲,目标行业包括政府、外交、游戏、海运物流、ISP等。 |
| 5. 黑客行动主义(Hacktivism)抬头 | 以SiegedSec为代表的黑客团体,围绕地缘政治事件发起大规模网站篡改与数据泄露攻击。 |
结语:没有“安全孤岛”的时代
2024年第一季度的APT landscape告诉我们:你的安全不再只取决于你自己。
- 你的IT服务商可能被攻破,成为攻击你的跳板;
- 你的手机、平板和电脑可能被同一个间谍组织同时监控;
- 一场千里之外的战争,可能瞬间引爆针对你所在机构的网络攻击。
防御者必须从“单点防护”转向“生态防御”,不仅要保护自己的系统,更要审视整个供应链、合作伙伴和地缘政治风险。未来的网络安全,是一场没有边界的战争。
“你无法在风暴中独善其身,因为你本身就是风暴的一部分。”
——来自对2024年Q1 APT态势的深刻洞察