谷歌威胁情报小组 (GTIG) 在其最新的威胁态势分析中报告称，零日漏洞的战略性使用持续激增，但攻击目标明显从面向消费者的软件转向企业级安全和网络工具。GTIG 追踪到 2024 年野外利用的零日漏洞数量为 75 个，较 2023 年的 98 个有所下降，但仍远高于 2021 年之前的水平。

报告解释道： “零日漏洞利用持续以缓慢但稳定的速度增长。”虽然微软和谷歌等主要科技供应商仍然是主要目标，但2024年发生了转变，攻击者越来越关注那些能够广泛访问内部网络的高价值企业系统。

据 GTIG 统计，去年被利用的 75 个零日漏洞中，有 33 个针对的是企业专用技术，尤其是安全和网络设备。这占所有零日漏洞利用的 44%，较 2023 年的 37% 显著增长。

GTIG 指出： “利用这些产品……可以更有效地、更高效地导致大规模的系统和网络入侵。” Ivanti、Palo Alto Networks 和 Cisco 的产品是最常见的攻击目标之一。

攻击者青睐这些企业系统，因为它们具有较高的权限级别，并且传统 EDR 工具的可见性有限，因此成功利用这些系统既隐秘又有影响力。

相比之下，GTIG 发现浏览器和移动设备上的零日漏洞利用有所下降：

浏览器零日漏洞从 17 个减少到 11 个移动零日漏洞数量下降近一半，从 17 个减少到 9 个Safari 和 iOS 浏览器相关零日攻击的降幅最大

尽管 Chrome 仍然是最受攻击的浏览器，但 GTIG 将整体下降归因于供应商安全性的提高和漏洞缓解措施。

间谍活动仍然是零日漏洞利用的主要动机。GTIG 将超过 50% 的案件归咎于受国家支持的团体和商业监控供应商 (CSV)。值得注意的是：

中国利用了五个零日漏洞，全部针对安全或网络设备朝鲜攻击者也利用了五个零日漏洞，包括 Chrome 和 Windows AppLocker，将间谍活动和经济动机活动结合在一起

商业监控供应商利用零日漏洞攻击基于 USB 的 Android 系统，据报道与塞尔维亚的针对性攻击有关

GTIG 还指出，“ CSV 继续增加零日漏洞利用的机会”，尽管它们似乎正在提高其运营安全性，从而降低归因率。

本报告深入聚焦了 CIGAR（又名 UNC4895 或 RomCom），这是一个兼具经济和间谍目的的威胁行为者。CIGAR 针对 Firefox 和 Windows 部署了一个零日漏洞链 (CVE-2024-49039)，该漏洞利用 Windows RPC 滥用将权限从低完整性级别提升至系统级别。

GTIG 报告称：“该漏洞利用了两个不同的问题……允许非特权用户以 SYSTEM 身份创建和执行计划任务。”

在一次活动中，发现另一个身份不明的行为者对受感染的加密货币新闻网站的访问者使用了相同的漏洞链，这表明高价值的零日漏洞如何被多个团体迅速采用。