近年来,我国新能源产业实现跨越式发展,尤其是新能源汽车领域,政策扶持与技术革新并进,市场规模急剧扩大。但随着从封闭网络向开放网络升级,新能源汽车面临的安全问题已经陆续出现。
近日,360数字安全集团基于360安全大模型赋能,重磅发布《2024年全球高级持续性威胁(APT)研究报告》(以下简称“报告”)。该报告提到,我国新能源领域的发展成为全球关注的焦点,别有用心的攻击者对我国新能源企业和汽车制造相关产业链的攻击活动逐渐显露。
新能源汽车不仅掌握着车主个人数据,还存储着车辆行驶轨迹、环境感知、实时影像等数据。这些数据一旦被攻击者窃取,轻则侵犯个人隐私,重则危害公共安全,甚至国家安全。然而,新能源汽车依赖的车载系统和大量软硬件,为攻击者提供了更为广泛的暴露面。360安全大模型监测显示,近几年,APT-C-00(海莲花)和APT-C-01(毒云藤)等组织已经开始将我国新能源汽车领域的科研和制造企业作为重点目标,进行长期的网络攻击。
此外,报告还披露了我国受APT攻击影响单位的14个重点行业领域,其中政府机构、教育、科研、国防军工和交通运输是遭受APT攻击活动最为集中的5个行业。APT组织针对特定行业的攻击,通常实施窃取敏感数据,甚至战略性破坏,用以服务于攻击者背后势力的政治、军事或经济等目的。
面对不断升维的高级威胁挑战,360作为国内唯一兼具数字安全和人工智能双重能力的企业,基于近20年的实战经验积累,率先提出用AI重塑安全,推出首个AI实战应用的安全行业大模型——360安全大模型。在此赋能下,360截至目前已累计捕获56个针对我国发起网络攻击的境外APT组织,积累了丰富的实战经验和技术实力。未来,360将继续深耕创新技术,积极探索高级威胁的应对思路和防护机制,不断为政企机构打造出更多体系化的解决方案。
2024年,全球局势在合作与冲突交织的复杂脉络中,加速向多极化格局演变,经济、科技、军事等核心领域,以及国际事务中的竞争与博弈态势日趋加剧。在此背景下,具有“国家级”背景的组织在网络空间发起的高隐蔽性、高破坏性攻击活动更加频繁,其影响早已在全球网络空间层面外,成为地缘政治乃至全球政治气候的“晴雨表”。因此,加强国际合作、共同应对数字安全挑战,已成为全球不容忽视的重要议题。
近日,360数字安全集团重磅发布《2024年全球高级持续性威胁(APT)研究报告》(以下简称“报告”)。该报告基于360安全大模型赋能,依托360“看见”威胁的数字安全能力,独家呈现2024年全球高级持续性威胁(以下简称“APT”)的整体爆发态势,全面盘点活跃组织,深度洞见未来发展方向,致力于为政企机构提供对抗高级威胁的权威参考,为数字化转型发展夯实安全基座。
全球APT攻击组织活跃
安全大模型助力防护升级
报告显示,网络空间已经成为地区冲突中对抗的重要战场,全球APT组织保持高活跃度。截至2024年底,全球网络安全厂商和机构累计发布APT报告730多篇,报告涉及APT组织124个,其中属于首次披露的APT组织41个。360依托“看见威胁”的数字安全能力,捕获到两个全新APT组织,分别为归属南亚地区的APT-C-70(独角犀)和东亚地区的APT-C-65(金叶萝)。至此,360已累计发现并披露了56个境外APT组织。
我国历来是地缘周边APT组织攻击的重点区域,360依托全网安全大数据视野,在2024年累计捕获到1300余起针对我国的APT攻击活动,攻击来源APT组织主要归属南亚、东南亚、东亚以及北美等地区。
面对不断升维的高级威胁挑战,360作为国内唯一兼具数字安全和人工智能能力的公司,基于近20年的实战经验积累,率先提出用AI重塑安全,推出首个AI实战应用的安全行业大模型——360安全大模型。
在过去的2024年中,360安全大模型完成了全球首次系统在无人类专家介入下,以分钟级速度智能化捕获APT-C-28的攻击。近日,其还成为国内首个接入DeepSeek的安全大模型,通过继续强化学习等技术手段,将让安全真正做到“自动驾驶”。
APT影响我国14大行业
五大领域受灾最为严重
据360安全大模型监测,我国受APT攻击影响单位主要涉及14个重点行业领域,政府机构、教育、科研、国防军工和交通运输是遭受APT攻击活动最为集中的5个行业。这主要是由于APT组织针对特定行业的攻击,通常实施窃取敏感数据,甚至战略性破坏,用以服务于攻击者背后势力的政治、军事或经济等目的。
政府机构和教育单位一直以来都是APT组织重点攻击方向。政府机构关联着外交、海事、交通管理等众多职能单位,以外交和驻外使馆相关单位为例,其掌握着国家间政治、经济、科技、军事等方向的最新策略,攻击者针对外交相关单位的攻击活动是为其背后的政治势力,窃取我国最新外交策略以及对重大国际问题的立场,以求在博弈中掌握主动。而在教育行业中,受攻击影响的高等院校大部分都具有航空、军工背景,或者承接相关国家科研课题,攻击者目的实际上针对的是我国国防军工和科技发展。
在地区冲突背景下,针对国防军工相关目标的网络攻击实现角色升级,主要围绕航空工业、航天工业、船舶工业、兵器工业等相关目标展开。这些网络攻击不仅能够刺探军事情报、中断敌方网络通信,甚至可以实现控制军事设施、瘫痪敌方指挥控制系统、伪造和传递错误指令,这种能力使网络战成为现代军事冲突中不可忽视的一部分。
科研也一直是APT组织背后势力关注的重点领域。攻击者对科研机构的攻击渗透,其目的多样:从刺探科研发展进度,到窃取科研数据、科技成果,甚至进一步控制核心设备,进而实现干扰或破坏正常科研进展。
针对汽车制造、新能源、通信电信领域的攻击活动逐渐显露,成为APT攻击新热点。与这些领域相关的关键基础设施、海量数据一旦遭受网络攻击,轻则侵犯个人隐私,重则危害公共安全,甚至国家安全。
全球APT攻击态势加剧
AI创新技术成破局关键
在数字化浪潮下,人工智能等新兴技术的崛起在无形中也加剧了网络威胁的蔓延与深化,全球APT攻击活动展现出全面铺展、多处突发等特点。综合考量各种因素,报告对未来发展趋势进行了总结,其中下列几点尤为值得关注。
一是针对移动端系统0day漏洞利用数量增长明显。
据360安全大模型统计,截至2024年12月,全球APT组织在攻击活动中被披露利用的0day和nday漏洞120多个,涉及APT组织30多个。其中,APT组织在攻击活动利用的0day漏洞共计31个,涉及8个厂商的11个产品,均集中分布在影响面广的浏览器软件和操作系统。其中,APT组织使用的针对移动端系统的0day漏洞占比增长明显。
二是供应链攻击成为APT组织攻击重点趋势。
近几年,APT组织持续提高对供应链的关注程度,随着攻击者技战术水平的不断提升,越来越多供应链软硬件的0day漏洞被APT组织应用于攻击活动。2024年中,360安全大模型持续监测到APT-C-00(海莲花)、APT-C-39(CIA)等组织在对我国的攻击活动中,都曾利用政企单位软件供应商的软件系统漏洞进行针对性攻击。
三是国产化软件系统成为APT组织攻击重点。
随着我国国产化替代推广和网络安全体系化建设,我国企事业单位逐渐巩固自身网络安全壁垒。APT组织转而绕道国产化软件系统作为攻击跳板,利用供应商软件系统在目标网络内的权限,绕过攻击目标的网络防御完成攻击渗透,达成其攻击目的。由于国产化软件系统供应链在我国的企事业单位中具备广泛客户群,这使得APT组织一旦对供应链完成攻击渗透,便会造成严重影响。
四是通信设备成武器,网络攻击形态多样化。
2024年,黎巴嫩多个地区发生的传呼设备爆炸事件在全球范围内引起广泛关注。该事件充分说明了网络攻击形态早已不再限于以太网、物联网、工控网络,包括广播网络在内的各种可联网方式都可以是网络攻击的载体。随着网络的延展,接入网络的终端类型越来越多,功能也越来越多样化,网络攻击形态也最终向多样化发展。
五是网络安全成全球焦点,各国纷纷加大重视与投入。
当前网络攻击形势日益复杂化和全球化,尤其是在地缘政治对抗的推波助澜下,有组织网络攻击更是逐渐走向公开化。各国逐渐意识到单纯依靠外交谴责已不足以有效应对这一全球性挑战,纷纷提高网络安全方面的重视程度和投入,并加强国际间合作,寻求外交谴责层面以外的方式应对网络攻击威胁。
数字时代,高级威胁日益复杂多变,使用传统人工规则分析方式将存在很多局限。未来,360将持续基于安全大模型的全面赋能,不断为政企机构打造出更多体系化的解决方案,助力国家、城市、企业筑牢安全基石,为我国的网络强国和数字中国建设贡献更多力量。
目前,360《2024年全球高级持续性威胁研究报告》已经发布,欢迎登录360数字安全官网了解完整报告内容,也可拨打热线400-0309-360,咨询相关问题。
Progress has disclosed multiple critical security vulnerabilities affecting its LoadMaster product line, including the Multi-Tenant (MT) hypervisor. These vulnerabilities, identified as CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56134, and CVE-2024-56135, allow attackers to execute arbitrary system commands or access sensitive files. While no exploitation reports have surfaced, customers are strongly urged to update their systems immediately to mitigate […]
The post Progress LoadMaster Security Vulnerability let Attackers Execute Arbitrary System Commands appeared first on Cyber Security News.
Gcore, the global edge AI, cloud, network, and security solutions provider, today announced the findings of its Q3-Q4 2024 Radar report into DDoS attack trends. DDoS attacks have reached unprecedented scale and disruption in 2024, and businesses need to act fast to protect themselves from this evolving threat. The report reveals a significant escalation in […]
The post Gcore Radar Report Reveals 56% Year-on-year Increase in DDoS Attacks appeared first on Cyber Security News.
Evan Frederick Light, a 22-year-old from Lebanon, Indiana, has been sentenced to 20 years in federal prison for orchestrating a sophisticated cyber intrusion that led to the theft of over $37 million in cryptocurrency. The sentencing took place on February 6, 2025, and was announced by the U.S. Attorney Alison J. Ramsdell for the District […]
The post High School Dropout Sentenced to 20 Years for $38M Retirement Fund Hack appeared first on Cyber Security News.
基于浏览器漏洞的攻击,自2000年代初出现以来直至今日,一直是一种主流、有效且场景丰富的攻击手段。以下为本期《深蓝洞察 | 2024 年度安全报告》的第二篇。
根据市场调查机构Statcounter公布的最新报告,Chrome浏览器无可争议地牢牢占据了市场占有率第一的宝座。
https://gs.statcounter.com/browser-market-share#monthly-202412-202412-bar
Chrome以其卓越的安全性而著称,Google安全团队一直致力于研究应用最前沿的漏洞缓解机制。MiraclePtr就是其中最为知名的缓解机制之一,旨在防止浏览器中的UAF漏洞被攻击者利用。
Chrome中的PartitionAlloc堆分配器在分配和释放对象时维护了一个用户无感知的refcount字段,简单概括MiraclePtr这一缓解机制就是:若对象在被释放时,对该对象的refcount并不是0,这意味着代码中存在危险的引用,这是一个潜在的UAF对象,此时堆管理器会将此危险的对象隔离,从而阻止了后续可能的漏洞利用。
2022年6月,全新的安全机制MiraclePtr正式地在Windows和Android平台下的browser进程中启用;
2022年9月,扩大启用范围,除renderer进程外的所有进程皆启用;
2023年6月,MiraclePtr在全平台启用(ChromeOS, macOS, 和Linux);
2024年7月,Chrome VRP宣布:被MiraclePtr保护住的UAF漏洞将不再视为安全问题。
是什么给了Chrome安全团队如此底气,直接无视这一类严重的内存破坏问题?
想回答这个问题,就不得不提到24年的一例MiraclePtr绕过。在24年的5月,Chrome发布的一则巨额漏洞奖金格外引人注目,其数额高达10万美元,这正是Chrome VRP悬赏的MiraclePtr Bypass的赏金数字。
https://chromereleases.googleblog.com/2024/06/stable-channel-update-for-desktop.html
待issue完全公开后,大家才终于明白绕过的细节。PartitionAlloc中在进行refcount加一的操作后,代码中会检测refcount是否溢出,若发生溢出则会触发进程的主动崩溃。
CountType old_count = count_.fetch_add(kPtrInc, std::memory_order_relaxed); --------------[1] // Check overflow. PA_CHECK((old_count & kPtrCountMask) != kPtrCountMask); -----------------[2]安全研究员Micky发现,在发生溢出后,这个CHECK并不会立即崩溃,进程处理崩溃相关的逻辑还需要一定的时间,在程序实际停止运行前,仍存在约180ms的时间(在测试环境中),这就给了攻击者生死竞速的机会,攻击者若能在这段时间内完成堆喷占位和后续控制PC等操作,则可以成功利用被MiraclePtr保护的UAF漏洞。
满足攻击成功需要诸多条件:
精准地溢出长度为29 bit的refcount字段。
释放对象的代码与其他攻击所需的代码不运行在同一线程,且都一定程度受攻击者控制。
攻击者可自由地控制目标对象的refcount。
在极短的时间窗口内赢得race并完成漏洞利用。
综合了以上种种限制,这就使得这个绕过技术几乎只存在于理论中,但Chrome团队仍慷慨地奖励了这一发现。
除此之外,DARKNAVY于24年11月也发现了MiraclePtr实现上的缺陷,报告给了Chrome团队并得到了确认。
综合这一发现以及此前多个高质量漏洞报告,DARKNAVY位列Chrome VRP 2024年度top 20安全研究员/机构。
https://issues.chromium.org/issues/386306231
了解这般背景后,不难看出,历史上仅有的绕过方式存在诸多限制,且MiraclePtr缓解机制稳定运转了两年多,时间已经检验了它的有效性,相信Google是在深思熟虑后决定的“无视”大部分UAF漏洞。
Google历经两年多的时间终于基本根除了一个心头大患,这对消费者来说是可喜可贺的。在Chrome的Q3季度总结中还提到了数个对Chrome内存安全的加固,如移除C语言库libpng的依赖,改为使用Rust实现的PNG、JSON等解码;再如将图形渲染模块ANGLE移植到渲染进程中以获得更强大的沙箱保护。这方方面面的努力,无不预示着未来的Chrome将更难以使用内存破坏漏洞突破。
深蓝洞察
从MiraclePtr的部署到绕过案例的出现,再到其机制的不断完善,Chrome展现的不仅是技术防御的进化,更是一种安全哲学:
通过奖励机制激励发现潜在问题,通过技术迭代增强整体体系,而非仅关注单点漏洞。
这种模式体现了Chrome团队对“攻防对抗”的深刻认知——安全从不是一劳永逸的结果,而是一场拉锯战。
随着安全研究和技术手段的同步发展,Chrome的安全或许无法做到“绝对防御”,但却可以通过这种系统化的策略,将威胁持续降低至可接受的范围,赢取用户的信任,让安全成为产品的核心竞争力。
参 考:
[1] https://gs.statcounter.com/browser-market-share#monthly-202412-202412-bar
[2] https://chromereleases.googleblog.com/2024/06/stable-channel-update-for-desktop.html
[3] https://issues.chromium.org/issues/386306231
明日,请继续关注《深蓝洞察 | 2024 年度安全报告》第三篇。