数字资产安全威胁演变 - 以Lazarus集团为代表的黑客组织自2017年以来累计窃取加密货币总额超过60亿美元，其中2025年盗取金额已超过20亿美元，创下历史纪录[2] - 威胁主体已从犯罪团伙升级为由国家力量支持的专业黑客组织，其攻击活动具有明确战略目的，即为朝鲜核武器与弹道导弹研发计划提供资金[2] - 数字资产领域的高级持续性威胁具有三个严峻特征：攻击目标直接锁定可即时转移的巨额金融资产，攻击链条短平导致资产瞬间流失，攻击手法高度定制化以针对高净值个人和企业高管[3] 人工智能驱动的安全范式变革 - 数字资产世界的全球性及数据透明特性为人工智能提供了绝佳的训练场与应用场景，所有链上交易、地址关联及行为序列均为可分析的结构化数据[4] - 人工智能实现了从“规则驱动”到“行为驱动”的防御范式转移，能够通过学习行为模式发现高度伪装的攻击手法，有效应对社会工程学等威胁[4] - 人工智能具备从“被动响应”到“主动预测”的能力跨越，可通过分析链上数据为地址建立行为基线，在黑客发起异常转账时瞬间识别并告警[5] 多层级智能体防护体系 - 在个人层面，AI智能体能7x24小时监控钱包活动，实时分析合约风险并强制中断可疑操作，并在发现异常登录时自动触发多因子认证[7] - 在企业层面，AI系统可实时分析充提款模式，自动识别与黑客地址关联的可疑账户并进行冻结，同时驱动漏洞扫描工具对智能合约进行自动化审计[7] - 智能体技术可构建“AI追踪网”，利用图计算能力自动绘制黑客组织资金流向图，穿透混币器等伪装，并为全球协同打击提供精准情报[7] 链上防火墙核心能力 - 链上防火墙具备主动预测与实时监控能力，监控智能体可分析区块链内存池中的待处理交易，在攻击被确认前的关键窗口期识别恶意意图[9] - 阻断智能体能够基于深度学习模型对高风险交易自动触发毫秒级实时阻断机制，在资产转移完成前进行干预，特别适用于DeFi协议攻击等场景[10] - 该系统构建了一个可持续学习、自主进化的数字免疫系统，将安全防护升级为覆盖预测、防护、检测、响应的全生命周期安全体系[10]

报告行业投资评级 未提及 报告的核心观点 - 2024年网络威胁常态化，APT攻击成突出风险源，归因是防御关键 [21] - 绿盟科技与广州大学合作打造平台、系统，联合撰写年鉴，梳理APT组织情况，为应对威胁提供参考 [22] - 年鉴构建数据库，分析新增APT组织，解析战术战法，监测预警多模态数据，收录学术成果，助力网络安全防御提升 [25][26] 根据相关目录分别进行总结 卷首语 - 2024年全球局势复杂，网络攻击严峻，APT攻击威胁大，归因是防御挑战环节 [21] - APT组织活动智能化，传统防御策略成效渐微，“未知对抗狩猎，已知情报追踪”成新模式 [22] - 绿盟科技与广州大学合作打造平台和系统，联合撰写年鉴，梳理APT组织情况，罗列新增组织画像图鉴 [22] 前言 未提及具体内容 APT归因追踪态势分析 APT组织活跃统计 - 2024年监测到51个APT组织活动线索，4 - 6月活跃组织超25个 [33] 活跃排名总览 - 2024年监测的51个活跃APT组织中，最活跃的10个为APTJC - JR - 001、TA505等 [36] 组织主控主机区域分析 - 境内团伙主控主机区域：安徽、江苏、广东占比排名前三，反映APT组织基础设施布局分散化 [38] - 境外团伙主控主机区域：美国占比34%远超其他国家，源于其互联网基础设施和技术优势 [41] 活跃度分析 - 2月攻击源数目达年度高峰，可能受地缘政治事件刺激；攻击主要集中在5月和7月，与地区局势紧张有关 [43][45] 受害目标分析 - 受害目标规模：监测到的51个APT组织活动中，24027个IP主机受攻击，TA505组织影响主机占比82% [47] - 受害目标行业：教育医疗、企业、运营商和金融行业受影响严重，与政治、科技竞争和经济利益有关 [50] - 受害目标地理区域：上海是2024年APT组织攻击重点目标地区，占比95% [52] - 受害者月份趋势分析：攻击主要集中在7月，TA505组织影响主机数量多，可能利用僵尸网络扩大攻击 [55] 攻击手段分析 - SSH暴力破解攻击和远程桌面协议RDP暴力破解攻击合计占比91%，攻击者通过漏洞利用等获取初始访问权限 [58] APT组织情报分析 APT组织情报数量统计 - 2024年收录APT组织相关分析报告241份，Turla Group报告数量最多；新增55个APT组织，总数达620个 [63][64] - 2024年公开分析74个APT组织，lazarus组织披露IOC数量7006个为年度之最 [64] APT组织活跃时间分析 - 2024年APT组织活跃有季节性波动，与全球政治经济形势、重大事件和技术进步等因素相关 [67] APT组织目标分析 - 2024年高级威胁活动集中在俄乌、中东等热点地区，政府机构、国防军工等是受关注行业 [70] - 对我国攻击集中在政府机构、教育等5个行业，APT组织常利用供应链漏洞攻击 [73] 漏洞利用分析 - 2024年国家漏洞库披露漏洞18782个，同比增加0.79%，中高危漏洞增长显著，新兴技术领域成安全漏洞重点领域 [76] - 列举多个APT组织利用漏洞发起攻击的情况，如APT32利用Microsoft Exchange Server相关漏洞 [77] APT组织追踪关键技术 面向APT家族分析的攻击路径预测方法研究 - 提出APT攻击路径还原及预测方法，构建恶意行为基因库，采用隐马尔可夫模型（HMM）还原和预测攻击路径，预测准确率超90% [79] - 基于HMM进行APT路径还原与预测分参数估计和攻击还原预测两阶段 [80] - 确定APT攻击路径的隐藏状态集和可见状态集，通过可观测序列还原模型参数并预测 [87][89] CDTier: A Chinese Dataset of Threat Intelligence Entity Relationships - 构建中文CTI实体关系数据集CDTier，包括威胁实体提取和实体关系提取数据集，训练模型提取知识对象及关系更准确 [94][95] - 定义攻击者、工具等5个实体和别名、相关等11种实体关系类型 [100][102] - 数据收集来自13家安全公司的200份开源中文威胁情报，采用BIO标签和KMP算法进行标注 [110][113][114] 2024年新增APT组织情报图鉴 - 介绍55个新增APT组织，包括组织名、中文名、地理、目标行业、动机、描述、知识关联和最近发布报告等信息，如Citrine Sleet针对金融机构获取经济利益 [121]