2025年第二季度至第三季度APT攻击态势深度解析

本报告详细分析了2025年第二季度至第三季度全球高级持续性威胁(APT)组织的最新活动趋势,涵盖中国、伊朗、朝鲜、俄罗斯等国家支持的黑客组织攻击手法,包括中间人攻击、鱼叉钓鱼、零日漏洞利用等关键技术细节。

ESET APT活动报告 2025年第二季度-第三季度

ESET APT活动报告2025年第二季度-第三季度总结了ESET研究人员在2025年4月至9月期间记录的选择性高级持续性威胁(APT)组织的显著活动。这些突出行动代表了我们在该期间调查的更广泛威胁态势,说明了关键趋势和发展,仅包含提供给ESET APT报告客户的网络安全情报数据的一小部分。

主要威胁组织活动

中国背景APT组织

在监测期间,与中国结盟的APT组织继续推进北京的地缘政治目标。我们观察到越来越多地使用中间人技术进行初始访问和横向移动,被PlushDaemon、SinisterEye、Evasive Panda和TheWizards等组织采用。似乎是回应特朗普政府对拉丁美洲的战略兴趣,并可能受到持续的美中权力斗争的影响,FamousSparrow开始对拉丁美洲进行巡回攻击,针对该地区的多个政府实体。Mustang Panda在东南亚、美国和欧洲保持高度活跃,重点关注政府、工程和海运部门。Flax Typhoon通过利用面向公众的Web服务器并部署Webshell来针对台湾的医疗保健部门。该组织经常维护其SoftEther VPN基础设施,并开始使用开源代理BUUT。同时,Speccom针对中亚的能源部门,推测目的是获得对中国资助业务的更大可见性并减少中国对海运进口的依赖。该组织工具集中的后门BLOODALCHEMY似乎受到几个中国结盟威胁行为者的青睐。

伊朗背景APT组织

我们观察到伊朗结盟的MuddyWater的鱼叉钓鱼活动持续增加。该组织采用了从目标组织内部受损收件箱发送内部鱼叉邮件的技术,成功率显著高。其他伊朗结盟组织保持活跃:BladedFeline采用了新的基础设施,而GalaxyGato部署了改进的C5后门。GalaxyGato还通过利用DLL搜索顺序劫持来窃取凭证,为其活动增添了有趣的变化。

朝鲜背景APT组织

朝鲜结盟的威胁行为者针对加密货币部门,并显著将其业务扩展到乌兹别克斯坦——一个以前未在其范围内观察到的国家。最近几个月,我们记录了DeceptiveDevelopment、Lazarus、Kimsuky和Konni进行的几个新活动,目的是进行间谍活动、推进平壤的地缘政治优先事项并为政权创收。Kimsuky试验了ClickFix技术来针对外交实体、韩国智库和学术界,而Konni使用社会工程学,异常关注macOS系统。

俄罗斯背景APT组织

俄罗斯结盟的组织保持对乌克兰和与乌克兰有战略联系国家的关注,同时将其业务扩展到欧洲实体。鱼叉钓鱼仍然是他们的主要入侵方法。值得注意的是,RomCom利用WinRAR中的零日漏洞部署恶意DLL并提供各种后门。我们向WinRAR报告了此漏洞,后者迅速修补了它。该组织的活动主要针对欧盟和加拿大的金融、制造、国防和物流部门。Gamaredon仍然是针对乌克兰最活跃的APT组织,其活动的强度和频率显著增加。这次活动激增恰逢俄罗斯结盟APT组织之间罕见的合作实例,因为Gamaredon选择性地部署了Turla的一个后门。可能也受到合作的刺激,Gamaredon的工具集继续发展,例如通过合并新的文件窃取器或隧道服务。

Sandworm与Gamaredon类似,专注于乌克兰——尽管动机是破坏而不是网络间谍活动。该组织针对政府实体、能源和物流部门公司部署数据擦除器(ZEROLOT、Sting),更值得注意的是针对粮食部门——可能目标是削弱乌克兰经济。另一个俄罗斯结盟威胁行为者InedibleOchotense进行了冒充ESET的鱼叉钓鱼活动。此活动涉及传递特洛伊木马化ESET安装程序的电子邮件和Signal消息,导致下载合法ESET产品以及Kalambur后门。

其他值得注意的活动

不太知名组织的显著活动包括FrostyNeighbor利用Roundcube中的XSS漏洞。波兰和立陶宛公司成为冒充波兰企业的鱼叉邮件的目标。这些邮件独特地使用和结合了项目符号和表情符号,这种结构让人联想到AI生成的内容,表明可能在活动中使用AI。传递的有效载荷包括凭证窃取器和电子邮件窃取器。

我们还在伊拉克发现了一个以前未知的Android间谍软件家族,我们将其命名为Wibag。伪装成YouTube应用程序,Wibag针对消息平台如Telegram和WhatsApp,以及Instagram、Facebook和Snapchat。其功能包括键盘记录和窃取短信、通话记录、位置数据、联系人、屏幕录制以及WhatsApp通话和常规电话录音。有趣的是,间谍软件管理面板的登录页面显示伊拉克国家安全局的徽标。

检测与情报

ESET APT活动报告2025年第二季度-第三季度中描述的恶意活动由ESET产品检测;共享情报主要基于专有ESET遥测数据,并已由ESET研究人员验证。

目标国家和部门

  • 中国背景组织:拉丁美洲政府实体、东南亚/美国/欧洲的政府/工程/海运部门、台湾医疗保健、中亚能源
  • 朝鲜背景组织:加密货币部门、乌兹别克斯坦、外交实体、韩国智库/学术界
  • 俄罗斯背景组织:乌克兰、欧盟国家、金融/制造/国防/物流部门、粮食部门

攻击技术

  • 中间人攻击(AiTM)
  • 内部鱼叉钓鱼
  • 零日漏洞利用(WinRAR)
  • DLL搜索顺序劫持
  • 社会工程学(包括macOS目标)
  • 数据擦除器
  • XSS漏洞利用
  • Android间谍软件

ESET APT活动报告仅包含ESET威胁情报APT报告中提供的网络安全情报数据的一小部分。有关更多信息,请访问ESET威胁情报网站。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次