在過(guò)去的12個(gè)月中,APT威脅的風(fēng)格和嚴(yán)重程度不斷在變化。
在預(yù)測(cè)2022年的高級(jí)威脅預(yù)測(cè)之前,讓我們先看看研究人員對(duì)2021年所做的預(yù)測(cè)。
?APT發(fā)起者從攻擊者那里購(gòu)買初始網(wǎng)絡(luò)訪問(wèn)權(quán)限
去年,研究人員就預(yù)見到APT發(fā)起者會(huì)利用暗網(wǎng),因?yàn)楣粽邥?huì)在那里出售他們竊取的公司訪問(wèn)權(quán)限。這一預(yù)測(cè)非常準(zhǔn)確,就在前幾天黑莓發(fā)布了一份報(bào)告,圍繞一個(gè)名為Zebra 2104的組織展開攻擊,該組織似乎是“初始訪問(wèn)代理”。根據(jù)他們的研究,Zebra 2014為勒索軟件運(yùn)營(yíng)商提供了進(jìn)入一些受害者的初步立足點(diǎn)。但更有趣的是,盡管StrongPity APT完全專注于情報(bào)收集,但它似乎也使用了他們的服務(wù)。
?越來(lái)越多的國(guó)家將法律起訴作為其網(wǎng)絡(luò)戰(zhàn)略的一部分
2020年,研究人員就預(yù)測(cè)各國(guó)政府將采取法律起訴來(lái)引起人們對(duì)APT組織活動(dòng)的關(guān)注,這一趨勢(shì)在去年進(jìn)一步得到驗(yàn)證。研究人員還預(yù)測(cè)各國(guó)將開始充分利用法律來(lái)打擊攻擊者,這被證明是絕對(duì)正確的。
4月15日,白宮正式將SolarWinds供應(yīng)鏈攻擊歸咎于俄羅斯。在宣布這一消息的同時(shí),財(cái)政部表示還要對(duì)幾家參與攻擊的公司進(jìn)行制裁。
7月1日,美國(guó)國(guó)家安全局、聯(lián)邦調(diào)查局、CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)和英國(guó)的NCSC發(fā)布了聯(lián)合咨詢警告,警告全球發(fā)生數(shù)百起暴力攻擊未遂事件,這些攻擊是由Sofacy(又被稱為APT28或Fancy Bear)發(fā)起的,攻擊目標(biāo)包括政府和軍事機(jī)構(gòu)、國(guó)防承包商、政黨和咨詢公司、物流公司、能源公司、大學(xué)、律師事務(wù)所和媒體公司。
7月19日,美國(guó)宣布將在北約、歐盟和英國(guó)的支持下,譴責(zé)“網(wǎng)絡(luò)空間中不負(fù)責(zé)任和破壞穩(wěn)定的行為”。白宮的聲明特別提到了最近對(duì)Microsoft Exchange零日漏洞的利用。美國(guó)司法部還起訴了4名APT40成員從事非法計(jì)算機(jī)網(wǎng)絡(luò)活動(dòng)。
以色列國(guó)防軍(IDF)聲稱,攻擊者一直在使用釣魚攻擊來(lái)引誘以色列士兵安裝間諜軟件。攻擊者使用Facebook、Instagram和Telegram上的六個(gè)社交媒體資料來(lái)吸引男性目標(biāo)的注意力,最終誘使他們?cè)谧约旱氖謾C(jī)上安裝據(jù)稱提供私人聊天功能的應(yīng)用程序。
9月24日,歐盟就自2017年3月以來(lái)一直在進(jìn)行的旨在詆毀北約的“槍手”(Ghostwriter)虛假信息行動(dòng)發(fā)表了一份聲明。據(jù)稱,這場(chǎng)攻擊涉及攻擊新聞網(wǎng)站或政府官員的社交媒體賬戶,以發(fā)布偽造文件、假新聞和誤導(dǎo)性觀點(diǎn),以影響選舉,破壞當(dāng)?shù)氐恼紊鷳B(tài)系統(tǒng),并制造對(duì)北約的不信任。盡管面臨威脅,歐盟最終決定還是不實(shí)施制裁。
?更多硅谷公司將對(duì)零日經(jīng)紀(jì)商采取行動(dòng)
在研究人員發(fā)布去年的預(yù)測(cè)后不久,微軟、谷歌、思科和戴爾加入了Facebook與NSO的法律戰(zhàn)爭(zhēng)中。法律訴訟仍在進(jìn)行中,但據(jù)研究人員所知,目前還沒(méi)有針對(duì)其他零日或攻擊軟件供應(yīng)商的額外訴訟。
簡(jiǎn)而言之,預(yù)測(cè)被證明是正確的,但也有可能是硅谷在等待第一次審判的結(jié)果,然后才對(duì)其他經(jīng)紀(jì)商采取行動(dòng)。然而,11月3日,美國(guó)商務(wù)部向零日市場(chǎng)發(fā)出了一個(gè)非常強(qiáng)烈的信號(hào),將幾家公司(NSO、Positive Technologies、COSEINC、Candiru)列入制裁清單,原因是“網(wǎng)絡(luò)工具交易”違反美國(guó)國(guó)家安全。
?增加網(wǎng)絡(luò)設(shè)備的針對(duì)性
當(dāng)研究人員編寫此預(yù)測(cè)時(shí),主要考慮的是針對(duì)VPN設(shè)備的所有惡意活動(dòng)的延續(xù)。正如本文第一部分所述,最突出的軟件漏洞最終會(huì)影響不同的程序(例如Microsoft Exchange)。盡管如此,研究人員還是觀察到了一些攻擊者,例如APT10,他們正在利用這些漏洞來(lái)劫持VPN會(huì)話。
但這一預(yù)測(cè)也以另一種方式實(shí)現(xiàn)了,由APT31策劃的一場(chǎng)非常有趣的活動(dòng)在2021年浮出水面。攻擊者利用受感染的SOHO路由器網(wǎng)絡(luò)(特別是Pakedge RK1、RE1和RE2模型)并將其用作匿名網(wǎng)絡(luò)并托管C2。
?5G漏洞的出現(xiàn)
2020年是5G技術(shù)發(fā)展的關(guān)鍵一年。研究人員預(yù)測(cè)這方面的漏洞會(huì)逐漸增多,果然2021年就發(fā)現(xiàn)了許多與5G相關(guān)產(chǎn)品的漏洞,甚至可能是協(xié)議本身的漏洞。爭(zhēng)議似乎主要局限于法律領(lǐng)域,但仍有一些有趣的研究,確定可能允許攻擊者提取憑據(jù)或位置信息的安全問(wèn)題。
?勒索贖金
事實(shí)證明,自2019年以來(lái)就出現(xiàn)的勒索贖金攻擊就一直非常猖狂,已經(jīng)成為網(wǎng)絡(luò)攻擊者的日常操作。然而,從眾多執(zhí)法機(jī)構(gòu)和官員的各種逮捕和聯(lián)合聲明來(lái)看,很明顯,對(duì)勒索軟件問(wèn)題的反應(yīng)正在變得更有條理。10月,美國(guó)政府對(duì)REvil的活動(dòng)進(jìn)行了回?fù)簟?/p>
?更具破壞性的攻擊
事實(shí)證明,這個(gè)預(yù)測(cè)是準(zhǔn)確的。2021年最具標(biāo)志性的網(wǎng)絡(luò)事件之一是對(duì)Colonial Pipeline的勒索軟件攻擊。在攻擊過(guò)程中,Colonial Pipeline的設(shè)備受到影響,進(jìn)而導(dǎo)致美國(guó)出現(xiàn)嚴(yán)重的供應(yīng)問(wèn)題??坡迥釥柟艿肋\(yùn)輸公司被迫支付440萬(wàn)美元的贖金,但幸運(yùn)的是,美國(guó)司法部追回了230萬(wàn)美元。
2021年7月,一場(chǎng)網(wǎng)絡(luò)攻擊使伊朗交通部及其國(guó)家鐵路系統(tǒng)的網(wǎng)站奔潰,導(dǎo)致火車服務(wù)大范圍中斷,這是一種前所未見的可重復(fù)使用的擦拭器惡意軟件“Meteor”發(fā)起攻擊的結(jié)果。后來(lái),在10月,類似的攻擊影響了伊朗所有的加油站。沒(méi)有任何組織聲稱對(duì)這兩起攻擊事件負(fù)責(zé)。
?攻擊者將繼續(xù)利用疫情
2020年,研究人員看到多個(gè)APT組織針對(duì)參與COVID-19疫苗開發(fā)的學(xué)術(shù)機(jī)構(gòu)和研究中心發(fā)起攻擊。其中包括帶有WellMess惡意軟件的DarkHotel和APT29(又名CozyDuke和CozyBear)(由英國(guó)國(guó)家網(wǎng)絡(luò)安全中心發(fā)布)。今年,研究人員又看到ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat等多個(gè)APT組織嘗試使用COVID-19誘餌來(lái)攻擊目標(biāo)。通過(guò)跟蹤,研究人員將該攻擊歸因于一個(gè)名為SideCopy的攻擊者,該攻擊者使用與covid-19相關(guān)的誘餌,針對(duì)亞洲和中東的外交和政府組織,以及托管惡意HTA和JS文件的受攻擊網(wǎng)站。活動(dòng)有多個(gè)方面,包括執(zhí)行鏈,使用的惡意軟件,基礎(chǔ)設(shè)施重疊,PDB路徑和其他TTP,這讓研究人員想起在同一地區(qū)運(yùn)營(yíng)的其他組織,例如SideWinder、OrigamiElephant、Gorgon group或Transparent Tribe。然而,沒(méi)有一個(gè)發(fā)現(xiàn)的相似之處足以將這組活動(dòng)歸因于已知的攻擊組織。
以下是研究人員預(yù)測(cè)的2022年的一些攻擊趨勢(shì)
?私人供應(yīng)商開發(fā)的監(jiān)控軟件會(huì)進(jìn)一步增加APT攻擊規(guī)模
如上所述,今年,私人供應(yīng)商開發(fā)的監(jiān)控軟件的使用成為人們關(guān)注的焦點(diǎn)。考慮到這項(xiàng)業(yè)務(wù)的潛在盈利能力,以及該軟件對(duì)目標(biāo)人群的影響,研究人員相信此類軟件的供應(yīng)商將發(fā)揮更大的作用,至少在政府尋求對(duì)其使用進(jìn)行監(jiān)管之前。已經(jīng)有一些跡象表明這種情況正在發(fā)生。2021年10月,美國(guó)商務(wù)部工業(yè)與安全局(BIS)推出了一項(xiàng)臨時(shí)最終規(guī)則,該規(guī)則定義了商業(yè)監(jiān)控軟件何時(shí)需要出口許可證:目的是防止向其他國(guó)家傳播監(jiān)控工具,同時(shí)允許合法的安全研究和交易繼續(xù)進(jìn)行。
與此同時(shí),惡意軟件供應(yīng)商和攻擊性安全行業(yè)將致力于支持新老玩家的持續(xù)發(fā)力。
?大量移動(dòng)設(shè)備受到攻擊
十多年來(lái),針對(duì)移動(dòng)設(shè)備的惡意軟件斷斷續(xù)續(xù)地出現(xiàn)在新聞中。這與主流操作系統(tǒng)的流行程度密切相關(guān)。到目前為止,移動(dòng)設(shè)備上最流行的兩種操作系統(tǒng)是iOS和Android以及其他基于Android/linux的復(fù)制品。從一開始,他們就有非常不同的理念,iOS依賴于一個(gè)封閉的應(yīng)用程序商店,只允許經(jīng)過(guò)審查的應(yīng)用程序,而Android則更加開放,允許用戶直接在設(shè)備上安裝第三方應(yīng)用程序。這導(dǎo)致了針對(duì)這兩個(gè)平臺(tái)的惡意軟件類型的巨大差異;雖然基于android的終端受到大量網(wǎng)絡(luò)犯罪惡意軟件的困擾(盡管無(wú)法擺脫APT的攻擊),但iOS主要是先進(jìn)國(guó)家支持的網(wǎng)絡(luò)間諜的目標(biāo)。在2021年,Pegasus項(xiàng)目為原本晦澀的iOS零點(diǎn)擊零日攻擊世界帶來(lái)了新的攻擊方向;并且在野外報(bào)告的iOS零日漏洞比任何其他年份都多。
從攻擊者的角度來(lái)看,移動(dòng)設(shè)備是理想的目標(biāo),它們包含有關(guān)其私人生活的詳細(xì)信息,而且感染很難預(yù)防或檢測(cè)。與用戶可以選擇安裝安全套件的PC或Mac不同,此類產(chǎn)品在iOS上要么癱瘓,要么不存在。這為APT創(chuàng)造了一個(gè)絕佳的機(jī)會(huì),任何國(guó)家資助的攻擊都不想錯(cuò)過(guò)。2022年,研究人員將看到針對(duì)移動(dòng)設(shè)備的更復(fù)雜的攻擊被揭露。
?更多供應(yīng)鏈攻擊
今年研究人員看到了一些值得注意的供應(yīng)鏈攻擊,我們已經(jīng)在上面討論了APT發(fā)起者采用這種方法的情況。但研究人員也看到攻擊者利用供應(yīng)商安全方面的漏洞來(lái)危害受感染公司的客戶。突出的示例包括5月對(duì)美國(guó)石油管道系統(tǒng)的攻擊、6月對(duì)全球肉類生產(chǎn)商的攻擊以及7月針對(duì)MSP(托管服務(wù)提供商)及其客戶的攻擊。此類攻擊代表供應(yīng)鏈中某處漏洞被攻擊者給利用了,這些供應(yīng)鏈漏洞對(duì)攻擊者來(lái)說(shuō)特別有價(jià)值。因此,供應(yīng)鏈攻擊將成為2022年及以后的增長(zhǎng)趨勢(shì)。
?繼續(xù)利用居家辦公的趨勢(shì)
隨著疫情趨勢(shì)變得越來(lái)越嚴(yán)峻,居家辦公已經(jīng)成了一種趨勢(shì)。由于家庭網(wǎng)絡(luò)安全防護(hù)較差,這將繼續(xù)為攻擊者提供破壞公司網(wǎng)絡(luò)的機(jī)會(huì)。比如使用社會(huì)工程來(lái)獲取憑證和對(duì)企業(yè)服務(wù)進(jìn)行暴力攻擊,以期找到保護(hù)不力的服務(wù)器。此外,由于許多人繼續(xù)使用自己的設(shè)備,攻擊者將尋找新機(jī)會(huì)利用未受保護(hù)或未打補(bǔ)丁的家用計(jì)算機(jī)作為進(jìn)入企業(yè)網(wǎng)絡(luò)的入口。
?META地區(qū)APT攻擊增加,特別是非洲
造成這種情況的主要驅(qū)動(dòng)因素將是全面加劇的地緣政治緊張局勢(shì),從而影響基于間諜活動(dòng)的網(wǎng)絡(luò)攻擊活動(dòng)的增加。歷史上,地緣政治一直是影響網(wǎng)絡(luò)攻擊的主要因素——經(jīng)濟(jì)、技術(shù)和外交事務(wù)等其他因素,目的是為了國(guó)家安全目的竊取敏感數(shù)據(jù)。盡管當(dāng)前疫情嚴(yán)重,但至少自2020年1月以來(lái),中東和土耳其的地緣政治緊張局勢(shì)已顯著加劇,并且可能會(huì)繼續(xù)如此。
非洲已經(jīng)成為城市化速度最快的地區(qū),吸引了數(shù)百萬(wàn)美元的投資。與此同時(shí),非洲大陸上的許多國(guó)家在海上貿(mào)易方面處于戰(zhàn)略地位。這一點(diǎn)以及該地區(qū)防御能力的不斷提高,使研究人員相信2022年將在META地區(qū),尤其是非洲發(fā)生重大APT攻擊。
?對(duì)云安全和外包服務(wù)的攻擊激增
由于云計(jì)算提供的便利性和可擴(kuò)展性,越來(lái)越多的公司將云計(jì)算納入其業(yè)務(wù)模式。DevOps活動(dòng)導(dǎo)致許多公司采用基于微服務(wù)并在第三方基礎(chǔ)設(shè)施上運(yùn)行的軟件架構(gòu),這些基礎(chǔ)設(shè)施通常只需要一個(gè)密碼或API密鑰就可以被接管。
從更廣泛的意義上說(shuō),這一預(yù)測(cè)涉及在線文檔編輯、文件存儲(chǔ)、電子郵件托管等外包服務(wù)。第三方云提供商現(xiàn)在集中了足夠多的數(shù)據(jù)來(lái)吸引攻擊者的注意,并將成為復(fù)雜攻擊的主要目標(biāo)。
?低級(jí)攻擊的回歸:Bootkit病毒再次被濫用
Bootkit是更高級(jí)的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot"項(xiàng)目中提及,該項(xiàng)目通過(guò)感染MBR(磁盤主引記錄)的方式,實(shí)現(xiàn)繞過(guò)內(nèi)核檢查和啟動(dòng)隱身??梢哉J(rèn)為,所有在開機(jī)時(shí)比Windows內(nèi)核更早加載,實(shí)現(xiàn)內(nèi)核劫持的技術(shù),都可以稱之為Bootkit??ò退够?021年發(fā)布的報(bào)告表明,對(duì)bootkit的攻擊性研究依然活躍:要么現(xiàn)在隱身收益超過(guò)風(fēng)險(xiǎn),要么低級(jí)開發(fā)變得更容易獲得。研究人員預(yù)計(jì)會(huì)在2022年發(fā)現(xiàn)更高級(jí)的此類攻擊。此外,隨著安全啟動(dòng)變得越來(lái)越普遍,攻擊者將需要在此安全機(jī)制中找到漏洞以繞過(guò)它并繼續(xù)部署他們的惡意工具。
本文翻譯自:https://securelist.com/advanced-threat-predictions-for-2022/104870/