卡巴斯基全球研究与分析团队(GReAT)发布了关于高级持续威胁(APT)活动的最新季度报告（2024年第一季度），强调了威胁和风险环境中的几个关键趋势。

该报告涵盖2024年第一季度，显示一个名为Kimsuky或SharpTongue的朝鲜黑客组织一直在使用基于Golang的后门Durian在韩国的供应链攻击中。

尽管中东地区的APT活动不断增加，其中包括来自Gelsemium和Careto等组织的活动；黑客行动主义在巴勒斯坦和以色列冲突中也盛行。

该报告还强调了威胁行为者对社会工程的持续使用以及APT活动不断扩展到新的部门和地理区域。

2024年第一季度，复杂的网络攻击激增，民族国家行为者和黑客活动分子扩大了目标并改进了技术。卡巴斯基全球研究与分析团队(GReAT)发布了季度APT活动摘要，揭示了复杂且不断增加的网络安全威胁。

臭名昭著的Careto（英文为“The Mask”）APT组织自2013年以来一直沉寂，如今再次出现，利用“FakeHMP”、“Careto2”和“Goreto”等先进工具瞄准知名组织。他们的创新策略包括利用MDaemon电子邮件服务器和HitmanPro Alert驱动程序等合法软件来实现隐秘持久性。

与此同时，以服务器端漏洞和Webshel​​l闻名的Gelsemium继续部署“SessionManager”和“OwlProxy”等隐秘植入程序。最近的活动将有效负载伪装成字体文件，针对巴勒斯坦、塔吉克斯坦和吉尔吉斯斯坦实体。

中东已成为APT活动的中心。新发现的名为“DuneQuixote”的活动针对政府实体，使用合法的“Total Commander”软件的篡改安装程序。这些“植入者”传递了“CR4T”后门，展示了该组织复杂的规避技术。

此前观察到，伊朗支持的Oilrig APT的目标是IT服务提供商，但现在已将重点转向中东的一家互联网服务提供商。该组织部署了基于.NET的“SKYCOOK”植入程序，用于远程命令执行和数据盗窃，以及基于自动热键的键盘记录器。

DroppingElephant是一个讲印度语的威胁行为者（也称为“Patchwork”或“Chinastrats”），继续以南亚实体为目标，利用DISCORD CDN网络通过恶意.DOC和.LNK文件传播Spyder后门和Remcos RAT。

朝鲜国家资助的组织Kimsuky或SharpTongue通过针对韩国加密货币公司的供应链攻击，部署了一个名为“Durian”的新的基于Golang的后门。

值得注意的是，该组织利用韩国独有的合法软件作为初始感染媒介。Durian的功能包括命令执行、文件下载和渗透。

有趣的是，Kimsuky使用“LazyLoad”代理工具暗示可能与Andariel组织（也称为“和平卫士”APT，该组织是臭名昭著的HBO数据泄露事件的幕后黑手）存在联系或合作，这给该事件增添了另一层复杂性。地区的网络安全。

以色列与哈马斯的冲突引发了一波黑客活动，SiegedSec等组织发起破坏性攻击并泄露敏感信息。SiegedSec以其社会正义议程而闻名，其目标是公司和政府基础设施，甚至与其他网络犯罪团体合作。

SiegedSec的一些网络攻击，包括Stalkerware应用程序TheTruthSpy的数据泄露、NATO数据泄露以及INL（爱达荷国家实验室）员工的PII数据泄露。

Spyrtacus恶意软件之前通过Android设备针对意大利的个人，现在已经发展到包含Windows变种。有证据表明，该组织可能正在将其业务扩展到欧洲、非洲和中东的其他国家，这凸显了跨平台恶意软件开发的增长趋势。

2024年第一季度表明网络安全的危险不容低估。虽然社会工程仍然是主要策略，但APT组织正在不断创新并扩大其影响范围。

组织和个人必须保持警惕，了解其特定的威胁概况，并实施适当的安全措施来减轻风险。另一个需要关注的领域是对员工进行网络安全培训的必要性，特别是因为许多报告的网络攻击都是通过简单的网络钓鱼诈骗发生的。