ESET 最新发布的《2024 年 4 月至 9 月 APT 活动报告》对与国家结盟的高级持续威胁 (APT) 组织不断演变的战术、目标和地域范围提供了新的见解。该报告记录了针对从政府到教育等领域的复杂攻击的激增，这些组织越来越多地利用 VPN、云服务和鱼叉式网络钓鱼技术。

与中国结盟的 APT 组织越来越依赖 SoftEther VPN 来维持对被入侵网络的访问，而且经常绕过防火墙保护。“ESET 研究人员观察到，一些与中国结盟的 APT 组织越来越依赖软以太 VPN 来维持对受害者网络的访问，”ESET 指出，Flax Typhoon 和 GALLIUM 等组织在欧洲和非洲的电信和政府组织中部署了软以太服务器和网桥。

MirrorFace 是一个典型的以日本实体为目标的组织，它利用高知名度事件为诱饵，将行动范围扩大到欧洲外交实体，这是一个重大转变。在一次活动中，MirrorFace 利用人们对即将在大阪举行的 2025 年世博会的兴趣，发送伪装成活动相关文件链接的鱼叉式网络钓鱼电子邮件。这标志着 “我们首次发现 MirrorFace 以欧洲实体为目标”，凸显出与中国结盟的 APT 利益正在向亚洲以外地区扩展。

伊朗 APT 组织继续针对邻国和关键行业（如金融服务和运输）开展网络间谍活动。以动手攻击著称的 MuddyWater 越来越多地转向 “横向移动和执行键盘动手活动”，经常使用网络共享来展示和外流窃取的凭证。ESET 研究人员观察到，MuddyWater “花了 13 个小时 ”试图转储内存，但没有成功，这表明该组织拥有先进的能力，并一直在努力渗透防御系统。

与伊朗结盟的组织也在利用网络战术支持更广泛的地缘政治战略。根据 ESET 的说法，“伊朗毫不掩饰其在非洲的利益和非洲大陆的自然资源是其国际政策的关键组成部分”。因此，MuddyWater 瞄准了非洲的金融机构，同时在地区紧张局势下加强了对以色列运输部门的兴趣。

与朝鲜结盟的 APT 组织，尤其是 Lazarus 和 Kimsuky，继续利用云服务隐藏指挥控制通信。Kimsuky 经常使用 Google Drive 和 Dropbox 等服务进行托管和外泄。“报告指出：”这是我们第一次看到 APT 组织（特别是 ScarCruft）滥用 Zoho 云服务。

Lazarus 继续实施的 “DreamJob 行动 ”包括发送虚假招聘信息来引诱受害者，尤其侧重于国防和加密货币领域。通过发送诱饵招聘信息（通常来自空中客车或 BAE 系统公司等知名企业），Lazarus 能够以招聘为幌子渗透到组织中。一旦建立关系，就会部署恶意文件来窃取信息和进行间谍活动。

与俄罗斯结盟的 APT 组织一直将重点放在乌克兰，广泛开展鱼叉式网络钓鱼活动，并利用 Zimbra 和 Roundcube 等网络邮件平台的漏洞。Sednit 和 GreenCube 都部署了跨站脚本 (XSS) 有效载荷，利用这些平台中的 “已知 XSS 漏洞 ”窃取电子邮件和凭证。ESET 的报告强调，GreenCube 一再以欧洲各地的国防和政府组织为目标，凸显了该组织对战略情报收集的重视。

正在进行的俄乌冲突引发了沙虫和 Gamaredon 的复杂攻击，后者最近部署了一种名为 PteroGraphin 的新 PowerShell 工具。该工具具有 “持久下载器 ”功能，可通过 Telegram 的发布平台检索加密有效载荷。与此同时，Sandworm 将其 Linux 恶意软件 LOADGRIP 和 BIASBOAT 部署到乌克兰的基础设施上。

APT 组织越来越多地将 VPN 解决方案、云存储和远程管理文件（如微软管理控制台 (MSC) 文件）整合到他们的武器库中，揭示了一种向与合法网络流量完美融合的渗透方法的战略转变。例如，Kimsuky 和其他 APT 已开始使用 MSC 文件执行任意命令，并将其伪装成无害文件以逃避检测。

从受害者的角度看恶意 MSC 文件 | 图片： ESET

随着这些策略变得越来越普遍，ESET敦促企业提高警惕，特别是在VPN使用和云集成方面。