近日，卡巴斯基在其安全博客Securelist上發布了2020年APT威脅全景圖，并在2020年現狀基礎上，給出了對2021年APT網絡安全威脅的八大趨勢預測。

一、APT組織從網絡罪犯那里購買初始網絡訪問權限[[355745]]

去年，我們觀察到許多使用通用惡意軟件(例如Trickbot)的針對性勒索軟件攻擊，從而在目標網絡中立足。我們還觀察到有針對性的勒索軟件攻擊與成熟的地下網絡(如Genesis)之間的聯系，后者通常是被盜憑證的交易場所。2021年，APT組織在實施攻擊時將延續這一做法，因此，企業也應更加關注通用惡意軟件的防范，并在每臺受感染的計算機上執行基本的事件響應活動，以防止通用惡意軟件(所竊取的憑據)被用于部署復雜攻擊。

二、越來越多的國家將法律起訴作為其網絡戰略的一部分

幾年前，我們預測政府將訴諸“點名和羞辱”的方法來引起對敵對APT團體活動的關注。在過去的12個月中，我們已經看到了幾起案例。美國網絡司令部的“持久參與”戰略將在2021年開始展現成效，并引起其他國家的仿效，尤其是對美國指控的“針鋒相對”的報復。所謂“持續參與”，意味著有關部門會經常公開對手的工具和活動的報告。美國網絡司令部認為，網絡空間的戰爭本質有很大不同，需要與敵方始終保持接觸以破壞其作戰。方法之一是向威脅情報界提供威脅指標來引導調查，通過情報解密來發動和指引民間的安全機構。

被政府情報機構公開“焚燒”的工具對于攻擊者而言，將變得難以使用，并且有可能暴露之前的隱蔽攻擊。面對這種新威脅，攻擊者在規劃攻擊時必須要在其風險/收益計算中考慮額外的費用(工具泄露或者暴露的可能性增加)。

公開APT組織的工具集并不是什么新鮮事，Shadow Brokers的武器庫連續泄漏就是一個典型的例子。但是，這是第一次通過國家機構以官方身份進行。雖然還無法量化威懾的影響力，但2021年，更多的國家將采用這一戰略。首先，傳統上與美國結盟的國家可能會開始復制這一做法，然后被披露工具的APT組織采用類似的做法進行報復。

三、更多硅谷公司將對零日漏洞經紀人采取行動

直到最近，零日漏洞經紀人都在兜售價值不菲的知名科技公司的產品漏洞。微軟、Google、Facebook等大公司對此類交易似乎也沒有給與太多關注。但是，在過去一年左右的時間里，有一些高調的名人賬戶(包括Jeff Bezos和Jamal Khashoggi)被攻擊者使用WhatsApp漏洞入侵。2019年10月，WhatsApp提起訴訟，指控總部位于以色列的NSO Group利用了其軟件中的漏洞，NSO出售的技術被用來針對20個不同國家/地區的1,400多名客戶，其中包括人權活動家、記者和其他人。一名美國法官裁定訴訟可以立案，該案的結果可能會產生深遠的影響，可能導致其他公司對經營零日漏洞的公司提起法律訴訟。我們認為，日益增加的公眾壓力以及聲譽受損的風險，可能會導致其他公司效仿WhatsApp的做法，對零日漏洞經紀人采取行動。

四、針對網絡設備的針對性攻擊增加

隨著企業網絡安全水平的日益提高，攻擊者開始更加關注利用虛擬專用網網關等網絡設備中的漏洞。事實上隨著新冠疫情的肆虐這種趨勢已經開始。遠程辦公意味著公司更加依賴虛擬專用網，這開辟了另一個潛在的攻擊媒介，通過現實世界中的社會工程方法(例如“虛假”)獲取用戶憑據獲得對企業虛擬專用網的訪問。在某些情況下，這可能使攻擊者甚至可以完成間諜活動目標，而無需在受害企業的內網中部署惡意軟件。

五、5G漏洞浮出水面

5G今年吸引了很多關注，尤其是美國對盟友施加了很大的壓力，以阻止它們購買華為產品。在許多國家/地區，人們甚至散布5G的健康風險傳言?？傊?，全球對5G安全的關注意味著，無論是公共還是私人研究人員，都在研究華為和其他公司的產品，試圖發現實施問題或者加密漏洞甚至后門。任何此類缺陷肯定會引起媒體的廣泛關注。隨著5G使用率的提高，以及更多設備依賴于5G提供的連接性，攻擊者將更有動力尋找可以利用的漏洞。

六、勒索軟件進化

多年來，我們已經看到勒索軟件團伙的策略持續在變化和完善。最為明顯的是，攻擊已從分發給大量潛在受害者的隨機、推測性攻擊演變為針對性更強的攻擊，根據受害者的支付能力，對加密數據的依賴以及攻擊的廣泛影響，精心選擇受害者，力求從單個受害者身上一次性斬獲高額贖金。

我們還看到，勒索軟件團伙為了提高威脅力度和成功率，還會以泄露數據作為要挾。隨著勒索軟件幫派尋求最大的投資回報率，這一趨勢可能會進一步發展。

勒索軟件問題已變得十分普遍，以至美國外國資產管理辦公室(OFAC)向遭受勒索軟件攻擊的企業發布了法令，指出支付勒索贖金可能違反國際制裁規定。

今年，Maze和Sodinokibi團伙率先提出了一種“聯盟”模式，涉及勒索軟件團體之間的合作。盡管如此，勒索軟件生態系統仍然非常多樣化。將來，我們可能會看到一些主要的勒索軟件團伙的活動將更加聚焦，并獲得類似APT的攻擊能力。但是，在不久的將來，較小的勒索軟件團伙仍將繼續采用既定的方法，依靠僵尸網絡“帶貨”和采購第三方勒索軟件。

七、更具破壞性的攻擊

數字化的觸角正在快速蔓延到我們生活的每個腳落，人們面臨的攻擊面也是與日俱增，同時攻擊的破壞性也將遠遠超出我們對傳統網絡攻擊的認知。針對關鍵基礎設施的定向，精心策劃的攻擊，也很有可能造成附帶傷害，例如針對教育機構、超市、郵政、公共交通等領域的勒索軟件攻擊產生的副作用。

八、攻擊者將繼續利用COVID-19大流行

COVID-19徹底顛覆了世界，影響了我們生活的幾乎每個方面。各種各樣的攻擊者迅速抓住機會，充分利用了人們對這一話題的濃厚興趣，其中包括APT團伙。如前所述，這并不意味著攻擊者的TTP發生了變化。作為一個持久的關注話題，新冠疫情相關信息可以用作社會工程學的誘餌。2021年大流行將繼續影響我們的生活一段時間，攻擊者也將繼續利用這一點在目標系統中立足，同時新冠疫苗本身也是APT的熱門目標。在過去的六個月中，已經有不少針對COVID-19研究中心的APT活動報告。英國國家網絡安全中心(NCSC)表示，APT29(又名公爵和舒適熊)針對COVID-19疫苗開發竊取信息。只要新冠疫情沒有結束，疫苗將始終是APT的戰略利益目標。

參考資料：

卡巴斯基2020年ATP預測報告：

??https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2019/11/20151759/KSB2019_APT-predictions-2020_web.pdf??

【本文是51CTO專欄作者“安全?！钡脑瓌撐恼?，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

??戳這里，看該作者更多好文??