报告行业投资评级 未提及 报告的核心观点 - 2024年网络威胁常态化，APT攻击成突出风险源，归因是防御关键 [21] - 绿盟科技与广州大学合作打造平台、系统，联合撰写年鉴，梳理APT组织情况，为应对威胁提供参考 [22] - 年鉴构建数据库，分析新增APT组织，解析战术战法，监测预警多模态数据，收录学术成果，助力网络安全防御提升 [25][26] 根据相关目录分别进行总结 卷首语 - 2024年全球局势复杂，网络攻击严峻，APT攻击威胁大，归因是防御挑战环节 [21] - APT组织活动智能化，传统防御策略成效渐微，“未知对抗狩猎，已知情报追踪”成新模式 [22] - 绿盟科技与广州大学合作打造平台和系统，联合撰写年鉴，梳理APT组织情况，罗列新增组织画像图鉴 [22] 前言 未提及具体内容 APT归因追踪态势分析 APT组织活跃统计 - 2024年监测到51个APT组织活动线索，4 - 6月活跃组织超25个 [33] 活跃排名总览 - 2024年监测的51个活跃APT组织中，最活跃的10个为APTJC - JR - 001、TA505等 [36] 组织主控主机区域分析 - 境内团伙主控主机区域：安徽、江苏、广东占比排名前三，反映APT组织基础设施布局分散化 [38] - 境外团伙主控主机区域：美国占比34%远超其他国家，源于其互联网基础设施和技术优势 [41] 活跃度分析 - 2月攻击源数目达年度高峰，可能受地缘政治事件刺激；攻击主要集中在5月和7月，与地区局势紧张有关 [43][45] 受害目标分析 - 受害目标规模：监测到的51个APT组织活动中，24027个IP主机受攻击，TA505组织影响主机占比82% [47] - 受害目标行业：教育医疗、企业、运营商和金融行业受影响严重，与政治、科技竞争和经济利益有关 [50] - 受害目标地理区域：上海是2024年APT组织攻击重点目标地区，占比95% [52] - 受害者月份趋势分析：攻击主要集中在7月，TA505组织影响主机数量多，可能利用僵尸网络扩大攻击 [55] 攻击手段分析 - SSH暴力破解攻击和远程桌面协议RDP暴力破解攻击合计占比91%，攻击者通过漏洞利用等获取初始访问权限 [58] APT组织情报分析 APT组织情报数量统计 - 2024年收录APT组织相关分析报告241份，Turla Group报告数量最多；新增55个APT组织，总数达620个 [63][64] - 2024年公开分析74个APT组织，lazarus组织披露IOC数量7006个为年度之最 [64] APT组织活跃时间分析 - 2024年APT组织活跃有季节性波动，与全球政治经济形势、重大事件和技术进步等因素相关 [67] APT组织目标分析 - 2024年高级威胁活动集中在俄乌、中东等热点地区，政府机构、国防军工等是受关注行业 [70] - 对我国攻击集中在政府机构、教育等5个行业，APT组织常利用供应链漏洞攻击 [73] 漏洞利用分析 - 2024年国家漏洞库披露漏洞18782个，同比增加0.79%，中高危漏洞增长显著，新兴技术领域成安全漏洞重点领域 [76] - 列举多个APT组织利用漏洞发起攻击的情况，如APT32利用Microsoft Exchange Server相关漏洞 [77] APT组织追踪关键技术 面向APT家族分析的攻击路径预测方法研究 - 提出APT攻击路径还原及预测方法，构建恶意行为基因库，采用隐马尔可夫模型（HMM）还原和预测攻击路径，预测准确率超90% [79] - 基于HMM进行APT路径还原与预测分参数估计和攻击还原预测两阶段 [80] - 确定APT攻击路径的隐藏状态集和可见状态集，通过可观测序列还原模型参数并预测 [87][89] CDTier: A Chinese Dataset of Threat Intelligence Entity Relationships - 构建中文CTI实体关系数据集CDTier，包括威胁实体提取和实体关系提取数据集，训练模型提取知识对象及关系更准确 [94][95] - 定义攻击者、工具等5个实体和别名、相关等11种实体关系类型 [100][102] - 数据收集来自13家安全公司的200份开源中文威胁情报，采用BIO标签和KMP算法进行标注 [110][113][114] 2024年新增APT组织情报图鉴 - 介绍55个新增APT组织，包括组织名、中文名、地理、目标行业、动机、描述、知识关联和最近发布报告等信息，如Citrine Sleet针对金融机构获取经济利益 [121]