2024年12月全球黑客组织威胁活动深度解析

月度威胁组织情报报告 - 2024年12月

本报告基于NSHC威胁分析研究所在2024年11月21日至2024年12月20日期间收集的数据和信息，汇总分析了黑客组织的活动情况。今年12月共确认65起黑客组织活动，其中SectorJ组织活动占比最高达49%，其次是SectorA和SectorE组织活动。

12月确认的黑客活动主要针对政府机构和能源领域的相关人员和系统。按地区划分，针对欧洲和北美国家的黑客活动最为频繁。

2024年12月共确认4起黑客组织活动，包括SectorA01、SectorA02、SectorA05、SectorA07小组。

SectorA01：在韩国发现，通过LinkedIn等平台伪装成招聘相关人员，提供虚假工作岗位接近潜在受害者。最终使用与C2服务器通信的恶意软件下载额外有效载荷或传播机密信息。

SectorA02：在韩国发现，使用名为"金旭焕讲义资料"的Windows快捷方式(LNK)文件格式恶意软件，最终通过后门恶意软件按攻击者命令窃取文件，并使用pCloud、Yandex等云服务传输到攻击者的云服务器。

SectorA05：在韩国发现，引导至伪装成韩国门户网站Naver登录页面的钓鱼网站，试图窃取Naver邮件账户和密码。

SectorA07：在俄罗斯、韩国发现，使用伪装成金融交易确认书的CHM文件格式恶意软件，最终通过PowerShell命令下载并执行攻击者发送的额外批处理脚本恶意软件。

12月共确认4起活动，包括SectorB01、SectorB22、SectorB91、SectorB107小组。

SectorB01：在希腊、德国、菲律宾等多国发现，针对政府机构、非政府组织、通信、技术、咨询等领域，利用目标系统各种公开服务器的N-Day漏洞进行初始访问，分发额外恶意软件进行长期间谍活动。

SectorB22：在法国、台湾、英国等多地发现，利用目标系统未知漏洞进行初始访问，安装各种Web Shell，最终安装Linux后门窃取机密信息。

SectorB91：在日本发现，通过分发鱼叉式钓鱼邮件针对日本个人和组织，通过安装的恶意软件收集感染环境信息，并通过额外安装的恶意软件按C2服务器命令进行恶意行为。

SectorB107：在美国、中国发现，利用漏洞自动利用工具攻击Android和Windows平台，最终通过安装的后门远程控制系统并窃取机密信息。

12月共确认7起活动，包括SectorC01至SectorC24多个小组。

SectorC01：在亚美尼亚、中国、希腊等多国发现，利用钓鱼邮件和社会工程技术尝试初始访问，成功入侵后使用定制恶意软件安装后门维持长期访问权限，持续收集机密信息。

SectorC02：在乌克兰、荷兰、巴基斯坦等地发现，通过入侵其他黑客组织的C2基础设施分发自身恶意软件，利用其他组织的工具和基础设施隐藏活动并规避检测。

SectorC04：在捷克发现，针对捷克政府和军事组织，通过钓鱼邮件分发恶意RDP配置文件，连接至攻击者控制的RDP中继服务器，泄露机密数据或安装额外恶意软件。

SectorC05：在乌克兰、德国、美国等地发现，利用包含国际军用直升机相关会议议程的诱饵PDF文件，引导执行伪装成注册表单的Windows LNK文件恶意软件，最终使用VBS恶意软件通过PowerShell命令接收额外命令，作为后门恶意软件使用。

12月确认1起SectorD37小组活动。

SectorD37：在美国、以色列发现，通过供应链攻击和钓鱼邮件成功获得初始访问后，使用针对IoT和OT环境的专用恶意软件，利用MQTT协议与攻击者服务器通信，主要功能包括干扰燃料服务、数据窃取和设备误操作。

12月共确认5起活动，包括SectorE01、SectorE02、SectorE04、SectorE05、SectorE08小组。

SectorE01：在巴基斯坦、中国、香港等多国发现，分发伪装成项目指南提案书的Windows LNK文件，通过目标系统任务调度程序注册的命令下载额外恶意软件，为后续攻击建立立足点。

SectorE02：在巴基斯坦发现，分发伪装成"新代表团详细信息"文件名的Android应用，通过安装的Android应用窃取SMS消息、联系人、通话记录等机密信息。

SectorE04：在斯里兰卡、尼泊尔发现，通过分发伪装成医疗补助申请书的Microsoft Word文件进行攻击，通过分发的Word文件下载并执行远程模板文件，为未来攻击建立立足点。

12月确认1起SectorH03小组活动。

SectorH03：在印度、西班牙发现，通过分发名为"国防部长主办会议"的Adobe PDF文件进行攻击，从PDF文件提供的链接引导登录邮件账户后下载PDF文件，点击链接后跳转至伪装成印度政府网站的钓鱼网站，收集邮件账户信息，为未来攻击建立立足点。

12月确认1起SectorR01小组活动。

SectorR01：在中国发现，通过创建伪装成中国民用航空相关官方网站的钓鱼页面进行攻击，在网页中插入恶意脚本，目标访问页面时自动下载恶意软件，最终加载并执行Sliver RAT。

12月确认1起SectorS01小组活动。

SectorS01：在哥伦比亚发现，通过分发插入恶意软件的WinRAR压缩解压库进行攻击，但因错误代码补丁被判断为无法正常运行的测试目的文件。

12月共确认10起活动，包括SectorJ09、SectorJ14、SectorJ25等小组。

这些组织不同于受他国政府支持的黑客组织，主要窃取具有现实世界金钱价值的在线信息，自行入侵特定企业组织，在内部网络分发勒索软件，或窃取重要机密信息后以此勒索金钱。

SectorJ09：针对在线支付页面插入略读脚本实施表单劫持攻击，在电子商务网站支付页面注入混淆的恶意JavaScript代码，窃取目标输入的卡号、有效期、CVC代码等金融数据。

SectorJ14：向目标发送附有Twitter短链接的文本消息，引导点击链接后重定向至伪装成Apple登录页面的钓鱼网站，试图窃取目标输入的Apple凭证。

SectorJ25：在韩国、克罗地亚发现，向目标系统分发混淆的Shell脚本格式恶意软件，通过GitHub下载Diamorphine rootkit和加密货币挖矿工具XMRig，通过rootkit规避检测，最终通过XMRig进行加密资产挖矿以获取金钱利益。

包含各事件详细描述、IoC指标和建议的完整报告仅向现有NSHC ThreatRecon客户提供。