2024年，涉及我国的高级持续性威胁事件主要在科研教育、信息技术、制造、政府机构等领域，受害目标集中在广东等地区。DarkHotel苹果用vpn风险、海莲花、伪猎者、虎木槿、蔓灵花、摩诃草等组织积极针对国内重点目标。年末时，我们发现国内最大IT社区被入侵后植入恶意脚本，由此挖掘出背后的攻击团伙UTG-Q-015。经过深入分析排查，发现 UTG-Q-015使用了入侵源站、供应链攻击两套攻击链。被入侵的源站涉及IT社区、技术论坛、软件园、政府官网等；供应链攻击则以在国内政府、媒体网站中使用已久的分享组件作为目标，该分享组件历史影响网站规模高达到百万量级。

　　根据观察，勒索攻击活动除经济利益外，一些勒索攻击以对目标组织的破坏性攻击为目的，还有国家背景的APT组织参与。涉及勒索的攻击团伙因为相互合作、共享攻击工具、衍生分支机构等情况导致关系变得错综复杂。

　　2024年在影响国内的互联网黑产攻击活动中，银狐木马有着较高的活跃度，这是由于该恶意家族系列源码泛滥，被多个黑产团伙甚至APT组织使用。对于其中最为活跃的一个黑产团伙我们以编号UTG-Q-1000进行追踪。

　　2024年在野0day的利用情况较去年有所回落，原本三足鼎立的格局渐渐被打破。Chrome在上半年出现一周内连续修复三个在野0day的盛况，下半年其在野漏洞数量则极速下滑，仅仅只有两例。部分攻击者将目标转向防火墙、VPN等边界设备，以较小的攻击成本换来巨大的收益。同时攻击者也在尝试新的攻击角度，例如利用产品更新迭代过程中针对旧漏洞的补丁失效，又或者像XZUtils事件中通过层层深入的社会工程学手段在开源项目里埋下后门。0day漏洞正在军火市场中泛滥，一半以上针对Google、苹果产品的0day攻击都是来自漏洞军火商。Firefox Oday漏洞也疑似成为“军火”遭贩卖，被Storm-0978、DarkHotel攻击团伙使用。2024年还观察到攻击者频繁使用办公软件、邮箱的0day漏洞进行攻击。

　　2024年网络威胁活动呈现出以下特点：攻击者积极挖掘新攻击面并更新技战术，恶意软件的快速迭代和跨平台攻击的增加对防御者提出了新的挑战；随着Al技术的发展，AI不仅成为网络安全人员的重要工具，也带来了新的攻击手段和挑战，如用AI生成的误导信息内容、Al本身引入的软件漏洞、以及Al伪造的有效图片等；攻击者加快开发漏洞利用代码（EXP)，Nday漏洞投入实际攻击场景的时间开始大幅减少；一些APT相关攻击活动开始频繁使用网络犯罪的工具及策略，这导致APT与网络犯罪二者间的界限越发模糊。

　　本次报告通过综合分析奇安信威胁雷达测绘数据、奇安信红雨滴团队对客户现场的APT攻击线索排查情况以及奇安信威胁情报支持的全线产品告警数据，得出以下结论：2024年，广东省受境外APT团伙攻击情况依旧最为突出，其次是浙江、上海、北京、江苏等地区；境内受影响行业排名前五的分别是：科研教育16.0%，信息技术14.8%，制造14.8%，政府机构8.0%，建筑6.1%。

　　2024年奇安信威胁情报中心收录了279篇高级威胁类公开报告，涉及102个已命名的攻击组织或攻击行动，至少73个国家遭遇过APT攻击，披露的大部分APT攻击活动集中在乌克兰、中国、美国、以色列、韩国等地区。其中，提及率排名前五的APT组织是：Kimsuky 10.1%，Lazarus 7.9%，摩诃草3.2%, APT28 3.2%, C-Major 2.9%%

　　2024年全球APT活动的首要目标行业是政府部门、国防军事、金融，相关攻击事件占比分别为25.4%、17.5%、10.7%，紧随其后的是科研教育、科技、制造、能源等领域。

　　2024年全球范围内的勒索攻击活动频繁，攻击对象覆盖了Windows、Linux、macOS、FreeBSD等多个平台，VMware ESxi虚拟化环境和云环境也已成为多起勒索攻击活动的目标。经过梳理，攻击团伙会使用多种方式进行初始入侵，并在不同环节中利用漏洞实现进入目标网络、植入恶意软件和提升权限等目的。

　　下半年以来影响国内的活跃互联网黑产团伙主要有：银狐木马黑产团伙、FaCai、GanbRun、DragonRank。

　　2024年披露的高危漏洞数量达50个。往年微软、谷歌、苹果三足鼎立的格局被打破，微软、Google依旧是相关漏洞最多的厂商，Google旗下的Chrome仍是目前攻击者热衷的浏览器攻击向量，苹果相关产品的漏洞却大幅减少，其中空缺部分被网络边界设备漏洞填补。此外，由于漏洞军火商的活跃、Al大模型的出现、以及网络攻防技术的整体提升，导致利用 Nday漏洞的攻击案例增多。