信息来源:Kaspersky report on APT trends in Q3 2024 | Securelist (2024.11.28)
在高级持续性威胁(APT)的世界里,沉默往往意味着酝酿。2024年第三季度,网络安全领域迎来多个标志性事件:沉寂十年的传奇间谍组织“面具”(Careto)确认回归;针对安全U盘的供应链攻击演变为系统性威胁;多个APT组织加速技术迭代,利用开源工具、云服务和合法软件实现“隐身作战”。卡巴斯基最新发布的《2024年Q3 APT活动报告》揭示了这一季度中最具代表性的网络间谍活动与技术演进。
一、Careto王者归来:跨越十年的数字间谍“DNA”匹配
在上一篇博客中,我们详细剖析了Careto组织的回归。而结合卡巴斯基Q3报告的补充信息,这一归因的证据链更加完整。
该组织自2019年起便已重启攻击,目标锁定拉丁美洲某高价值机构——这正是其在2007–2013年期间曾入侵过的同一实体。这种跨十余年的持续关注,凸显了其国家级情报收集的战略意图。
更关键的是,研究人员发现了高度一致的“数字指纹”:
文件命名习惯:从2007年的
~df01ac74d8be15ee01.tmp到2019年及2022年的~dfae01202c5f0dba42.cmd,命名结构几乎完全复刻;插件命名逻辑:旧版模块
FileFlt演变为FileFilter,Storage名称不变,Config升级为ConfigMgr;持久化手法:均采用COM劫持(CLSID
{603d3801-bd81-11d0-a3a5-00c04fd706ec})实现驻留。
这些细节构成了强有力的归因依据,确认Careto不仅回归,且具备长期潜伏、精准打击的能力。
二、供应链攻击新变种:安全U盘成“特洛伊木马”
本季度最令人震惊的发现之一,是针对政府级安全U盘的供应链攻击。
东南亚某政府机构开发的加密U盘,其配套的访问管理软件被恶意篡改。攻击者在合法程序中植入恶意代码,使其在用户访问加密分区时,自动窃取敏感文件,并作为“USB蠕虫”感染其他同类型设备。
值得注意的是,这一战术与此前名为 TetrisPhantom 的组织高度相似——后者曾通过篡改名为 UTetris.exe 的管理软件发起攻击。尽管代码无直接关联,但攻击逻辑、目标群体和战术模式高度重合,暗示可能存在技术共享或同一幕后实体的多线操作。
这标志着APT组织已从传统的网络渗透,转向对物理介质和信任链的深度破坏,对涉密单位构成严峻挑战。
三、中国关联威胁活跃:ExCone、Scieron与Tropic Trooper多线出击
1. ExCone / DexCone:目标转移,技术更新
自2021年首次发现以来,ExCone组织持续活跃。2024年中,其攻击链升级为:
初始载荷:JavaScript加载器 → ZIP内嵌BMP图像 → 图像中隐藏Shellcode与PE文件;
新后门:功能简化,但具备代码注入
msiexec.exe的能力;目标变化:从俄罗斯政府机构转向教育系统,显示其情报需求的动态调整。
该组织与HAFNIUM(UNC2643)存在技术关联,使用的FourteenHi、Pangolin等木马均具相似架构。
2. Scieron后门:机器指纹解密,精准投放
Scarab组织使用的Scieron后门在2024年出现新变种。其加载器利用设备唯一信息(如硬盘序列号、MAC地址)进行动态解密,确保恶意代码仅在特定目标上运行,极大提升了反分析能力。
攻击目标包括非洲某国政府机构及中亚电信运营商,部分感染可追溯至2022年,显示其长周期渗透能力。
3. Tropic Trooper(KeyBoy):跨洲扩张,攻击埃及政府
该活跃超十年的中国关联组织首次被确认在埃及政府机构开展持续攻击。攻击始于2023年6月,通过Umbraco CMS漏洞植入新型“中国菜刀”(China Chopper)Web Shell。
其后续使用DLL搜索顺序劫持技术加载名为 Crowdoor 的加载器(与ESET发现的SparrowDoor类似),并在首次失败后迅速切换至新变种,展现出极强的应变能力。
四、朝鲜关联组织Kimsuky:GREASE与TOGREASE升级,RDP后门常态化
Kimsuky组织在2024年继续强化其持久化能力,主要体现在:
ServiceChanger工具:将恶意DLL注册为伪装服务,实现长期驻留;
TOGREASE木马:GREASE的进化版,可由操作员远程开关RDP功能,便于随时接入;
创建隐藏账户:如“Guest”和“IIS_USER”,并利用UACME技术绕过用户账户控制(UAC);
Zoom Opener漏洞储备:在其资源段嵌入易受DLL劫持的Zoom安装包,虽未启用,但预示未来可能利用此漏洞进行横向移动。
这些变化表明,Kimsuky正从单纯的间谍软件投放,转向基础设施控制与长期远程访问的综合战术。
五、东南亚与中东:Dragon Breath、MuddyWater与PhantomNet持续活跃
其中,PhantomNet的全球化扩散尤为值得关注,表明其背后组织可能已具备跨国运营能力。
六、新兴威胁与技术趋势
1. PassiveNeuron:未知高级威胁,内网跳板式C2
针对拉美与东亚政府机构的“PassiveNeuron” campaign,使用完全未知的Neursite与NeuralExecutor恶意软件。其特点包括:
利用内部服务器作为中继C2;
为隔离网络创建虚拟通道,实现离线窃密;
插件化架构,动态加载功能模块。
目前无法归因,但其高度复杂性暗示国家级背景。
2. Golang后门滥用Google Translate代理通信
某针对印度电信研究中心的攻击中,Golang编写的后门使用Google Translate服务作为通信代理,巧妙绕过防火墙检测。攻击者还模仿卡巴斯基的文件名与任务名,试图混淆防御系统。
3. CVE-2024-30051:我们“意外”发现的另一个零日漏洞
卡巴斯基研究人员在分析CVE-2023-36033时,发现一份描述新提权漏洞的文档,经验证后确认为真实存在的零日漏洞——CVE-2024-30051。该漏洞已被QakBot等金融恶意软件利用,未来可能被APT组织采纳。
七、2024 Q3 APT五大趋势总结
归因更精准:通过“数字DNA”(命名习惯、TTPs、代码逻辑)实现跨十年的威胁追踪;
供应链攻击升级:从软件供应链扩展到硬件信任链(如安全U盘);
Living-off-the-Land(LOT)普及:滥用合法驱动(如HitmanPro)、云服务(Google Drive)、系统工具(UltraVNC)规避检测;
持久化技术多样化:注册表加密、服务劫持、COM劫持、RDP后门等多手段并用;
地理与行业扩张:APT组织不再局限于传统目标,教育、制造、电信等行业面临更大风险。
结语:沉默不是终结,而是下一次风暴的前奏
2024年第三季度的APT landscape再次证明:最危险的威胁,往往来自那些你以为已经消失的敌人。Careto的回归、安全U盘的沦陷、Golang后门的隐蔽通信,都在提醒我们——防御必须超越“已知威胁”,向预测性安全迈进。
对于企业与政府机构而言,加强供应链审计、监控合法软件异常行为、部署内存级检测与网络流量分析,已成为应对新一代APT攻击的必选项。
“他们从未离开,只是学会了更好地隐藏。”
——来自卡巴斯基Q3 APT报告的无声警示