2022 年的高級威脅預測
在過去的 12 個月中,APT 威脅的風格和嚴重程度不斷在變化。
在預測2022 年的高級威脅預測之前,讓我們先看看研究人員對 2021 年所做的預測。
- APT 發起者從攻擊者那里購買初始網絡訪問權限
去年,研究人員就預見到APT 發起者會利用暗網,因為攻擊者會在那里出售他們竊取的公司訪問權限。這一預測非常準確,就在前幾天黑莓發布了一份報告,圍繞一個名為Zebra 2104的組織展開攻擊,該組織似乎是“初始訪問代理”。根據他們的研究,Zebra 2014 為勒索軟件運營商提供了進入一些受害者的初步立足點。但更有趣的是,盡管 StrongPity APT 完全專注于情報收集,但它似乎也使用了他們的服務。
- 越來越多的國家將法律起訴作為其網絡戰略的一部分
2020 年,研究人員就預測各國政府將采取法律起訴來引起人們對 APT 組織活動的關注,這一趨勢在去年進一步得到驗證。研究人員還預測各國將開始充分利用法律來打擊攻擊者,這被證明是絕對正確的。
4 月 15 日,白宮正式將 SolarWinds 供應鏈攻擊歸咎于俄羅斯。在宣布這一消息的同時,財政部表示還要對幾家參與攻擊的公司進行制裁。
7 月 1 日,美國國家安全局、聯邦調查局、CISA(網絡安全和基礎設施安全局)和英國的 NCSC 發布了聯合咨詢警告,警告全球發生數百起暴力攻擊未遂事件, 這些攻擊是由Sofacy(又被稱為APT28或Fancy Bear)發起的,攻擊目標包括政府和軍事機構、國防承包商、政黨和咨詢公司、物流公司、能源公司、大學、律師事務所和媒體公司。
7月19日,美國宣布將在北約、歐盟和英國的支持下,譴責“網絡空間中不負責任和破壞穩定的行為”。白宮的聲明特別提到了最近對Microsoft Exchange零日漏洞的利用。美國司法部還起訴了4名APT40成員從事非法計算機網絡活動。
以色列國防軍 (IDF) 聲稱,攻擊者一直在使用釣魚攻擊來引誘以色列士兵安裝間諜軟件。攻擊者使用 Facebook、Instagram 和 Telegram 上的六個社交媒體資料來吸引男性目標的注意力,最終誘使他們在自己的手機上安裝據稱提供私人聊天功能的應用程序。
9月24日,歐盟就自2017年3月以來一直在進行的旨在詆毀北約的“槍手”(Ghostwriter)虛假信息行動發表了一份聲明。據稱,這場攻擊涉及攻擊新聞網站或政府官員的社交媒體賬戶,以發布偽造文件、假新聞和誤導性觀點,以影響選舉,破壞當地的政治生態系統,并制造對北約的不信任。盡管面臨威脅,歐盟最終決定還是不實施制裁。
- 更多硅谷公司將對零日經紀商采取行動
在研究人員發布去年的預測后不久,微軟、谷歌、思科和戴爾加入了 Facebook 與 NSO 的法律戰爭中。法律訴訟仍在進行中,但據研究人員所知,目前還沒有針對其他零日或攻擊軟件供應商的額外訴訟。
簡而言之,預測被證明是正確的,但也有可能是硅谷在等待第一次審判的結果,然后才對其他經紀商采取行動。然而,11月3日,美國商務部向零日市場發出了一個非常強烈的信號,將幾家公司(NSO、Positive Technologies、COSEINC、Candiru)列入制裁清單,原因是“網絡工具交易”違反美國國家安全。
- 增加網絡設備的針對性
當研究人員編寫此預測時,主要考慮的是針對虛擬網絡設備的所有惡意活動的延續。正如本文第一部分所述,最突出的軟件漏洞最終會影響不同的程序(例如 Microsoft Exchange)。盡管如此,研究人員還是觀察到了一些攻擊者,例如 APT10,他們正在利用這些漏洞來劫持虛擬網絡會話。
但這一預測也以另一種方式實現了,由APT31策劃的一場非常有趣的活動在2021年浮出水面。攻擊者利用受感染的 SOHO 路由器網絡(特別是 Pakedge RK1、RE1 和 RE2 模型)并將其用作匿名網絡并托管 C2。
- 5G漏洞的出現
2020 年是5G 技術發展的關鍵一年。研究人員預測這方面的漏洞會逐漸增多,果然2021 年就發現了許多與 5G 相關產品的漏洞,甚至可能是協議本身的漏洞。爭議似乎主要局限于法律領域,但仍有一些有趣的研究,確定可能允許攻擊者提取憑據或位置信息的安全問題。
- 勒索贖金
事實證明,自2019年以來就出現的勒索贖金攻擊就一直非常猖狂,已經成為網絡攻擊者的日常操作。然而,從眾多執法機構和官員的各種逮捕和聯合聲明來看,很明顯,對勒索軟件問題的反應正在變得更有條理。10月,美國政府對REvil的活動進行了回擊。
- 更具破壞性的攻擊
事實證明,這個預測是準確的。 2021 年最具標志性的網絡事件之一是對 Colonial Pipeline 的勒索軟件攻擊。在攻擊過程中,Colonial Pipeline的設備受到影響,進而導致美國出現嚴重的供應問題。科洛尼爾管道運輸公司被迫支付 440 萬美元的贖金,但幸運的是,美國司法部追回了 230 萬美元。
2021 年 7 月,一場網絡攻擊使伊朗交通部及其國家鐵路系統的網站奔潰,導致火車服務大范圍中斷,這是一種前所未見的可重復使用的擦拭器惡意軟件“Meteor”發起攻擊的結果。后來,在 10 月,類似的攻擊影響了伊朗所有的加油站。沒有任何組織聲稱對這兩起攻擊事件負責。
- 攻擊者將繼續利用疫情
2020年,研究人員看到多個APT組織針對參與COVID-19疫苗開發的學術機構和研究中心發起攻擊。其中包括帶有WellMess惡意軟件的DarkHotel和APT29(又名CozyDuke和CozyBear)(由英國國家網絡安全中心發布)。今年,研究人員又看到ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat等多個APT組織嘗試使用COVID-19誘餌來攻擊目標。通過跟蹤,研究人員將該攻擊歸因于一個名為SideCopy的攻擊者,該攻擊者使用與covid -19相關的誘餌,針對亞洲和中東的外交和政府組織,以及托管惡意HTA和JS文件的受攻擊網站。活動有多個方面,包括執行鏈,使用的惡意軟件,基礎設施重疊,PDB路徑和其他 TTP,這讓研究人員想起在同一地區運營的其他組織,例如 SideWinder、OrigamiElephant、Gorgon group 或 Transparent Tribe。然而,沒有一個發現的相似之處足以將這組活動歸因于已知的攻擊組織。
以下是研究人員預測的2022 年的一些攻擊趨勢
- 私人供應商開發的監控軟件會進一步增加 APT 攻擊規模
如上所述,今年,私人供應商開發的監控軟件的使用成為人們關注的焦點。考慮到這項業務的潛在盈利能力,以及該軟件對目標人群的影響,研究人員相信此類軟件的供應商將發揮更大的作用,至少在政府尋求對其使用進行監管之前。已經有一些跡象表明這種情況正在發生。 2021 年 10 月,美國商務部工業與安全局 (BIS) 推出了一項臨時最終規則,該規則定義了商業監控軟件何時需要出口許可證:目的是防止向其他國家傳播監控工具,同時允許合法的安全研究和交易繼續進行。
與此同時,惡意軟件供應商和攻擊性安全行業將致力于支持新老玩家的持續發力。
- 大量移動設備受到攻擊
十多年來,針對移動設備的惡意軟件斷斷續續地出現在新聞中。這與主流操作系統的流行程度密切相關。到目前為止,移動設備上最流行的兩種操作系統是iOS和Android以及其他基于Android/ linux的復制品。從一開始,他們就有非常不同的理念,iOS依賴于一個封閉的應用程序商店,只允許經過審查的應用程序,而Android則更加開放,允許用戶直接在設備上安裝第三方應用程序。這導致了針對這兩個平臺的惡意軟件類型的巨大差異;雖然基于android的終端受到大量網絡犯罪惡意軟件的困擾(盡管無法擺脫APT的攻擊),但iOS主要是先進國家支持的網絡間諜的目標。在2021年,Pegasus 項目為原本晦澀的 iOS 零點擊零日攻擊世界帶來了新的攻擊方向;并且在野外報告的 iOS 零日漏洞比任何其他年份都多。
從攻擊者的角度來看,移動設備是理想的目標,它們包含有關其私人生活的詳細信息,而且感染很難預防或檢測。與用戶可以選擇安裝安全套件的 PC 或 Mac 不同,此類產品在 iOS 上要么癱瘓,要么不存在。這為 APT 創造了一個絕佳的機會,任何國家資助的攻擊都不想錯過。2022年,研究人員將看到針對移動設備的更復雜的攻擊被揭露。
- 更多供應鏈攻擊
今年研究人員看到了一些值得注意的供應鏈攻擊,我們已經在上面討論了 APT 發起者采用這種方法的情況。但研究人員也看到攻擊者利用供應商安全方面的漏洞來危害受感染公司的客戶。突出的示例包括 5 月對美國石油管道系統的攻擊、6 月對全球肉類生產商的攻擊以及 7 月針對 MSP(托管服務提供商)及其客戶的攻擊。此類攻擊代表供應鏈中某處漏洞被攻擊者給利用了,這些供應鏈漏洞對攻擊者來說特別有價值。因此,供應鏈攻擊將成為 2022 年及以后的增長趨勢。
- 繼續利用居家辦公的趨勢
隨著疫情趨勢變得越來越嚴峻,居家辦公已經成了一種趨勢。由于家庭網絡安全防護較差,這將繼續為攻擊者提供破壞公司網絡的機會。比如使用社會工程來獲取憑證和對企業服務進行暴力攻擊,以期找到保護不力的服務器。此外,由于許多人繼續使用自己的設備,攻擊者將尋找新機會利用未受保護或未打補丁的家用計算機作為進入企業網絡的入口。
- META地區APT攻擊增加,特別是非洲
造成這種情況的主要驅動因素將是全面加劇的地緣政治緊張局勢,從而影響基于間諜活動的網絡攻擊活動的增加。歷史上,地緣政治一直是影響網絡攻擊的主要因素——經濟、技術和外交事務等其他因素,目的是為了國家安全目的竊取敏感數據。盡管當前疫情嚴重,但至少自 2020 年 1 月以來,中東和土耳其的地緣政治緊張局勢已顯著加劇,并且可能會繼續如此。
非洲已經成為城市化速度最快的地區,吸引了數百萬美元的投資。與此同時,非洲大陸上的許多國家在海上貿易方面處于戰略地位。這一點以及該地區防御能力的不斷提高,使研究人員相信2022年將在META地區,尤其是非洲發生重大APT攻擊。
- 對云安全和外包服務的攻擊激增
由于云計算提供的便利性和可擴展性,越來越多的公司將云計算納入其業務模式。 DevOps 活動導致許多公司采用基于微服務并在第三方基礎設施上運行的軟件架構,這些基礎設施通常只需要一個密碼或API密鑰就可以被接管。
從更廣泛的意義上說,這一預測涉及在線文檔編輯、文件存儲、電子郵件托管等外包服務。第三方云提供商現在集中了足夠多的數據來吸引攻擊者的注意,并將成為復雜攻擊的主要目標。
- 低級攻擊的回歸:Bootkit病毒再次被濫用
Bootkit是更高級的Rootkit,該概念最早于2005年被eEye Digital公司在他們的“BootRoot"項目中提及,該項目通過感染MBR(磁盤主引記錄)的方式,實現繞過內核檢查和啟動隱身。可以認為,所有在開機時比Windows內核更早加載,實現內核劫持的技術,都可以稱之為Bootkit。卡巴斯基在 2021 年發布的報告表明,對 bootkit 的攻擊性研究依然活躍:要么現在隱身收益超過風險,要么低級開發變得更容易獲得。研究人員預計會在 2022 年發現更高級的此類攻擊。此外,隨著安全啟動變得越來越普遍,攻擊者將需要在此安全機制中找到漏洞以繞過它并繼續部署他們的惡意工具。
本文翻譯自:https://securelist.com/advanced-threat-predictions-for-2022/104870/如若轉載,請注明原文地址。
