> **来源:[研报客](https://pc.yanbaoke.cn)** # APT 高级威胁研究报告总结 ## 核心内容 本报告为绿盟科技安全研究年报,聚焦 2025 年全球 APT 高级持续性威胁的技战术趋势与威胁态势。报告指出,APT 攻击呈现出技术精密化、战术复杂化和漏洞高频化的特点,攻击者不断利用新技术与漏洞提升攻击效率和隐蔽性,同时,APT 组织也更加关注高价值目标,如政府官员、专家智囊和加密货币行业。 ## 主要观点 - **AI 技术的广泛应用**:APT 组织开始将 AI 工具融入攻击流程,涵盖侦察、资源开发、初始访问、数据收集和命令控制等环节,显著提升了攻击效率和欺骗性。 - **ClickFix 社会工程学战术**:这是一种新型的钓鱼攻击方式,利用虚假报错信息和修复流程诱导受害者执行恶意代码,已广泛应用于多个 APT 组织。 - **多重签名劫持技术**:该技术结合了区块链智能合约缺陷和 APT 供应链攻击思路,成为 APT 组织实施经济犯罪的利器。 - **敲门模式隐匿通信**:这是一种新型的 CnC 通信方式,攻击者通过网卡监听和内核挂钩等方式实现隐蔽通信,降低被发现的风险。 - **Visual Studio 安全管理问题**:多个 APT 组织利用 Visual Studio 的高权限执行环境实施攻击,反映了微软在软件安全管理方面的不足。 - **.url 文件零日漏洞利用**:APT 组织积极挖掘 .url 文件的安全漏洞,用于网络钓鱼和远程代码执行等攻击手段。 - **Chromium 沙箱逃逸漏洞**:CVE-2025-2783 是一个高危漏洞,被多个 APT 组织用于攻击高价值目标,成为 2025 年最有效的浏览器漏洞利用方式。 ## 关键信息 ### 2.1 从 AI 侦察到 AI 控制 - APT 组织使用 AI 工具进行攻击的环节包括:侦察、资源开发、初始访问、数据收集和命令控制。 - 11 个 APT 组织在攻击流程中表现出 AI 辅助特征,包括使用恶意 LLM 模型(如 WormGPT、Hexstrike-AI)和主流模型欺骗。 - 案例包括:ShadowRay 使用 AI 生成代理服务器代码;TransparentTribe 利用 AI 开发并部署代理服务器;Kimsuky 使用 AI 生成钓鱼邮件内容。 ### 2.2 ClickFix 战术从出现到泛滥 - ClickFix 是一种新型社会工程学战术,通过水坑站点诱导受害者执行恶意指令。 - Lazarus 首次在 2024 年使用 ClickFix 攻击加密货币从业人员。 - 盲眼鹰、海莲花等组织也广泛使用该战术,诱骗受害者访问钓鱼网站并执行恶意脚本。 - 案例包括:Lazarus 使用虚假面试网站和视频插件错误诱导受害者执行恶意脚本;海莲花通过 GitHub 项目钓鱼,使用 EvilSIn 技术。 ### 2.3 多重签名劫持技术 - Lazarus 使用多重签名劫持技术窃取 Bybit 交易所价值 15 亿美元的以太坊资产。 - 攻击流程包括:篡改钱包应用代码,劫持签名操作,将资产转移至恶意合约。 - 案例包括:Bybit 攻击事件,其中攻击者篡改 Safe{Wallet} 软件的 JavaScript 代码。 ### 2.4 敲门模式实现隐匿通信 - 敲门模式是一种新型 CnC 通信方式,通过监听和过滤流量实现隐蔽通信。 - 有两种实现方式:用户态木马和内核态应用。 - 该模式适用于固定公网设备,攻击者无需建立外部连接,降低被检测风险。 ### 2.5 Visual Studio 软件管理问题 - APT 组织利用 Visual Studio 的高权限执行环境进行攻击,包括 EvilSIn 技术和 AppDomainManager 注入技术。 - 海莲花组织使用 EvilSIn 技术,通过 GitHub 项目钓鱼并植入远控木马。 - 案例包括:海莲花利用 GitHub 项目钓鱼,通过 .suo 文件注入恶意代码。 ### 2.6 .url 文件零日漏洞利用 - .url 文件相关的零日漏洞成为 APT 攻击的热点,如 CVE-2023-36025、CVE-2024-21412、CVE-2024-38112、CVE-2024-43451 和 CVE-2025-33053。 - 盲眼鹰组织利用 CVE-2024-43451 攻击哥伦比亚政府和法院。 - StealthFalcon 利用 CVE-2025-33053 攻击土耳其国防企业。 - 案例包括:盲眼鹰通过 .url 文件触发 WebDAV 通信,植入多种商业木马;StealthFalcon 利用零日漏洞实现信息收集和远程控制。 ### 2.7 Chromium 沙箱逃逸漏洞 - CVE-2025-2783 是一个高危沙箱逃逸漏洞,被 ForumTroll 组织首次利用。 - 该漏洞允许攻击者通过渲染器进程获取浏览器进程的线程句柄,实现沙箱逃逸。 - 案例包括:ForumTroll 使用 Chrome 零日漏洞和沙箱逃逸漏洞实施攻击,植入 LeetAgent 后门软件,与 Memento Labs 的 Dante 工具链存在相似性。 ## 威胁态势 ### 3.1 概览 - 2025 年 APT 攻击活动数量达到 308 次,较去年增长 4%。 - 针对国防军事领域的攻击占比显著提升至 17%。 - 南亚地区 APT 活动最为活跃,占比从 2024 年的 40% 提升至 2025 年的 47%。 ### 3.2 2025 年 APT 活动情况统计 - 308 起 APT 攻击事件中,96% 来自 61 个已知 APT 组织,4% 来自 11 个新兴组织。 - 主要攻击组织包括:Sidewinder(16%)、Transparent Tribe(14%)、Kimsuky(13%)等。 ### 3.3 APT 区域态势 - APT 攻击集中在南亚、东亚、东欧、中东等区域,与地缘政治局势高度相关。 - 南亚地区 APT 活动数量显著增加,从 2024 年的 39% 上升到 2025 年的 47%。 ## 趋势展望 - APT 攻击将更加依赖 AI 技术,提高攻击效率和隐蔽性。 - 社会工程学战术将继续演变,如 ClickFix 和 AI 生成诱饵。 - 供应链攻击和多重签名劫持将成为经济犯罪的重要手段。 - 隐匿通信技术如敲门模式将更加普遍,提高攻击隐蔽性。 - .url 文件和 Chromium 沙箱逃逸漏洞将仍是 APT 组织的重点攻击目标。 - 随着技术的发展,APT 攻击将更加复杂,对安全防护提出更高要求。