近日,卡巴斯基在其官方博客上发布了《2022 年APT威胁趋势预测》并在2021年现状基础上,给出了对2022年高级可持续威胁攻击(APT)网络安全威胁的八大趋势预测。过去一年中,APT的攻击风格和威胁程度不断演变。尽管其性质不断变化,但仍可以从最近的APT趋势总结经验,以预测未来一年可能出现的情况。
2021基础现状
01 APT攻击者从网络罪犯处购买初始网络访问权
去年,预测表明APT和网络犯罪世界在操作层面上变得更为松散,APT攻击者将利用深网市场,出售所入侵公司的访问权。这一预测似乎已经实现了。黑莓公司发布了一份报告,该报告围绕名为Zebra 2104的实体展开,该实体是一个 “初始访问经纪人”。据研究,Zebra 2104已经为勒索软件运营商提供了入侵受害者的最初立足点。更有趣的是,尽管StrongPity APT完全专注于情报收集,但也使用了他们的服务。由于这是在攻击准备阶段发生的活动,通常无法看到,APT和网络犯罪间可能存在更多不为人知的互动。
02 更多国家将法律手段作为网络战略的一部分
2020年,卡巴斯基预测政府将采取 “点名羞辱 ”的策略,以引起敌对APT组织的关注,这一趋势在去年迅猛发展。另一预测是:各国将充分使用法律武器来遏制和惩罚对手的行动,事实证明完全正确。
4月15日
白宫正式将SolarWinds的供应链攻击归咎于俄罗斯。与此同时,财政部对几家参与支持攻击行动的公司进行了制裁。
7月1日
美国国家安全局、联邦调查局、CISA(网络安全和基础设施安全局)和英国国家安全委员会联合发布咨询,预警世界各地有数百起暴力入侵未遂事件,这些事件归咎于Sofacy(也称为APT28和Fancy Bear)。攻击目标包括:政府和军事机构、国防承包商、政党和咨询机构、物流公司、能源公司、大学、律师事务所和媒体公司。
7月19日
在北约、欧盟和英国的支持下,美国宣布打算叫停 "网络空间中不负责任和破坏稳定的行为"。白宫的声明特别提到最近对Microsoft Exchange零日漏洞的利用。美国司法部还以非法计算机网络活动为由起诉了涉嫌为APT40的四名成员。以色列国防军(IDF)声称,攻击者利用猫捕钓来引诱以色列士兵安装间谍软件。攻击者利用Facebook、Instagram和Telegram上的六个社交媒体档案来吸引男性目标注意,与其建立关系,最终诱使其在手机上安装“提供私人聊天功能”的应用程序。
9月24日
欧盟就名为 :“Ghostwriter ”的虚假信息活动发表声明,该活动自2017年3月以来持续活跃,旨在诋毁北约。据称,该活动涉及入侵新闻网站或政府官员的社交媒体账户,以发布伪造文件、假新闻和误导性意见,从而左右选举,破坏当地政治生态系统并制造对北约的不信任。尽管受到威胁,欧盟最终决定不实施制裁。
总体而言,网络事件正在通过起诉等法律手段而非外交渠道得到处理。
03 更多硅谷公司将对零日漏洞经纪人采取行动
去年在预测发布不久后,微软、谷歌、思科和戴尔加入了Facebook与NSO的法律斗争。法律诉讼仍在进行中,据悉,没有针对其他零日或入侵软件供应商的额外诉讼。
简言之,预测是正确的,但硅谷可能在等待本次审批结果,以开展下一步然而,11月3日,美国商务部向零日市场发出了一个非常强烈的信号,因“网络工具交易”而将几家公司(NSO、Positive Technologies、COSEINC、Candiru)列入实体名单,以进行违反美国国家安全的活动。目前尚不清楚将对正在进行的诉讼产生何种影响。
04 增加网络设备目标
编写该预测时,主要考虑所有针对VPN设备的恶意活动的延续性。如本文第一部分所述,最突出的软件漏洞最终反而影响了不同的程序(如Microsoft Exchange)。但还是有攻击者(如APT10)利用这些漏洞劫持了VPN会话。但这一预测也以另一种方式实现了。2021年,由APT31策划的一个非常有趣的活动浮出水面。在活动中,攻击者利用了受感染的SOHO路由器网络(特别是Pakedge RK1、RE1和RE2型号),将其作为匿名网络并托管C2s。
05 5G漏洞出现
2020年是围绕5G技术发展的紧张局势加剧的一年。我们预计它们会变得更糟,2021年它们将表现出来的方式之一是发现和发布与5G相关的产品中的漏洞,甚至可能是协议本身中的漏洞。争议似乎主要局限于法律领域,但仍有一些有趣的研究,确定了可能允许攻击者提取凭据或位置信息的安全问题。
06 用威胁手段索要赎金
“威胁”赎金自2019年以来实施的“增强”勒索软件策略已被证明足够有效,足以成为犯罪剧本的一个组成部分。然而,从众多执法机构和官员的各种逮捕和联合声明来看,很明显,对勒索软件问题的反应正变得更加有组织。10月,美国政府开展了进攻行动,以破坏REVIL的活动。这种日益增长的压力及构成的生存威胁反映在勒索软件生态系统的当前趋势中。涉及被盗数据的勒索策略屡试不爽,可能不是犯罪集团当前的焦点。
07 攻击更具破坏性
这一预测被证明是准确的。2021年最具标志性的网络事件之一是对Colonial Pipeline的勒索软件攻击。在攻击过程中,管理管道的设备受到影响,进而在美国造成重大供应问题。该基础设施非常关键,以至于受害者感到被迫支付440万美元的赎金,但幸运的是美国司法部追回230万美元。
2021年7月,从未出现的雨刷(Meteor)使伊朗铁路系统瘫痪。雪上加霜的是滞留乘客被邀请通过电话向地方当局投诉,这可能会影响到另一个政府职能部门的服务质量。10月份,类似的袭击影响了该国所有加油站。
08 持续利用疫情
在2020年期间,多个APT团体针对参与开发COVID-19疫苗的学术机构和研究中心。这包括DarkHotel和APT29(又名CozyDuke和CozyBear)及其WellMess恶意软件(由英国国家网络安全中心(NCSC)鉴定)。今年,几个APT组织试图在其目标中使用COVID-19诱饵,如ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat。我们追踪到一个有趣的活动集群,后来能够将其归咎于一个公开称为SideCopy的行为人,该活动针对亚洲和中东的外交和政府组织,使用与COVID-19有关的诱饵以及寄存恶意HTA和JS文件的受损网站。该活动涉及多个方面,包括执行链、使用的恶意软件、基础设施重叠、PDB路径和其他TTP,与在同一地区活动的其他团体类似,如SideWinder、OrigamiElephant、Gorgon group 和Transparent Tribe。然而,发现的相似点都不足以将这组活动归咎于已知的攻击者。
现在,把注意力转向未来。以下是在2022年的发展趋势预测。
2022八大趋势预测
01 私营部门支持新APT参与者的涌入
如上所述,今年,私人供应商开发的监控软件的使用受到了关注。考虑到这项业务的潜在盈利能力,以及该软件对目标用户的影响,这类软件的供应商被认为将发挥更大的作用,至少在政府寻求规范使用前是如此。有迹象表明这种情况已经发生。2021年10月,美国商务部工业和安全局(BIS)引入了一项临时最终规则,规定商业监视软件何时需要出口许可证:目的是防止向受军备控制的国家分发监控工具,同时允许合法的安全研究和交易继续进行。
与此同时,恶意软件供应商和攻击性安全行业将致力于在运营中支持新参与者的行动。
02 移动设备暴露在广泛的攻击之下
十多年来,针对移动设备的恶意软件在新闻中断断续续出现。这与主流操作系统的流行密切相关。迄今为止,移动设备最流行的两个操作系统是iOS和Android(以及其他基于Android/Linux的克隆)。从一开始,他们就有着截然不同的理念:iOS依赖于封闭的应用商店,只允许安装经过审查的应用,而Android则更加开放,允许用户直接在设备上安装第三方应用。这导致了针对这两个平台的恶意软件类型的巨大差异;基于Android的终端受到许多恶意软件的困扰(尽管没有摆脱APT攻击),iOS主要是先进国家赞助的网络间谍的目标。2021年,Pegasus项目为原本晦涩难懂的iOS零点、零日攻击世界带来了新的维度;而在野报告的iOS零日攻击比任何一年都多。
从攻击者的角度来看,移动设备是理想的目标,因其与主人如影随形,包含其私人生活细节,感染难以预防或检测。与PC或Mac不同,用户可以选择安装安全套件,而这些产品在iOS上不是被削弱就是不存在。这为APT创造了一个特别的机会,任何国家支持的攻击者都不想错过这个机会。
03 供应链攻击加剧
今年有一些值得注意的供应链攻击,上面已经讨论了APT攻击者采用这种方法的情况。同时也看到网络犯罪分子利用供应商安全方面的弱点,以损害被受害公司的客户。突出的例子包括:5月对美国石油管道系统的攻击、6月对全球肉类生产商的攻击,以及7月对MSP(管理服务提供商)及其客户的攻击。这类攻击代表了对供应链中某个环节的入侵;对攻击者来说,它们特别有价值,因为提供了一举进入其他目标的踏脚石。由于这个原因,供应链攻击将成为2022年及以后的一个增长趋势。
04 居家办公的持续利用
尽管世界各地放宽了大流行病的封锁规则,但许多员工仍远程办公,并且在未来成为主流趋势。这将继续为攻击者提供破坏企业网络的机会。这包括使用社会工程来获取凭据和对企业服务进行暴力攻击,以找到弱防护服务器。此外,由于大量用户使用个人设备,而不是由企业IT团队锁定的设备,攻击者将寻找新的机会利用未受保护或未打补丁的家用电脑,作为进入企业网络的媒介。
05 META地区,APT入侵攻击增加
这一趋势的主要驱动力主要是地缘政治的全面紧张,继而造成基于间谍的网络攻击活动的日益增长。在经济、技术和外交事务等其他因素中,地缘政治历来是影响网络入侵的主要因素,其目的是窃取敏感数据用于国家安全目的。尽管目前的大流行病形势影响着全球,但自2020年1月以来,中东和土耳其的地缘政治紧张局势不断加剧,并可能延续下去。
非洲已经成为城市化速度最快的地区,并吸引了数百万美元的投资。同时,该大陆的许多国家在海上贸易方面处于战略地位。这一点以及该地区防御能力的不断提高,使我们相信2022年在中东,土耳其和非洲(META),特别是非洲,将出现重大的APT攻击事件。
06 针对云安全和外包服务的攻击激增
由于云计算提供的便利性和可扩展性,越来越多的公司正在将云计算纳入其商业模式。Devops运动导致许多公司采用基于微服务的软件架构,并在第三方基础设施上运行,这些基础设施通常只需要一个密码或API密钥就可以被接管。
这一最新的范例具有开发人员可能无法完全理解的安全含义,其中防御者几乎没有可见性,而且到目前为止,APT组织还没有真正进行研究。相信后者将首先迎头赶上。
从更广泛的意义上讲,这一预测涉及在线文档编辑、文件存储、电子邮件托管等外包服务。第三方云提供商集中了大量数据以吸引攻击者注意,并将成为复杂攻击的主要目标。
07 低级攻击的回归:引导程序再成 “热门”
由于低级别的植入物具有造成系统故障的固有风险,以及创建这些植入物所需的复杂程度,攻击者往往避而远之。卡巴斯基在2021年发布的报告表明,对引导程序的攻击性研究还在继续:要么是隐蔽性收益现在超过风险,要么是低级别的开发更易获取。预计在2022年将会发现更多此类先进的植入物。此外,随着安全引导变得普遍,攻击者将需要在此安全机制中找到利用或漏洞,以绕过并继续部署其工具。
08 各国公布可接受的网络犯罪实践标准
过去十年中,整个行业观察到一个趋势,即网络空间正变得越来越政治化,特别网络战争方面。去年,我们预测,起诉等法律手段将成为西方国武库的战略部分,以增加攻击成本。
然而,问题是:谴责网络攻击的国家,同时也以进行网络攻击而闻名。为了使抗议得更具影响力,公布区别可接受的和不可接受的网络攻击标准必不可少。2022年,卡巴斯基认为一些国家将公布网络犯罪分类标准,准确地详细说明哪些类型的攻击载体(例如,供应链)和行为(例如,破坏性,影响民用基础设施等)是禁区。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。