概述

概括來說，勒索軟件、商品加載程序（commodity loader）和高級持續性威脅（APT）主導了2023年的威脅格局。此外，全球沖突也影響了網絡安全趨勢，改變了許多威脅行為者的戰術和攻擊方法。

2023年，勒索軟件繼續威脅全球企業，Lockbit連續第二年成為該領域的頭號威脅。醫療保健行業是今年的頭號攻擊目標，因為攻擊者將重點放在網絡安全資金受限且宕機容忍度低的實體上。

商品加載程序仍然被用來交付這些勒索軟件威脅，許多與去年相同的家族仍然普遍存在，例如Qakbot和IcedID。但是這些加載程序正在擺脫過去銀行木馬的所有殘余，因為它們將自身定位為“更圓滑的有效載荷交付機制”。開發人員和運營商正在適應改進的防御，尋找新的方法來繞過不斷增加的安全更新并危及受害者。

此外，遙測數據顯示，在重大地緣政治事件期間可疑流量會大幅增加。俄羅斯的APT組織（Gamaredon和Turla）正以更快的速度瞄準烏克蘭，但俄羅斯在2023年的總體活動并沒有反映出過去所見的全面破壞性網絡能力，這可能得益于防御者的協同努力。

總而言之，2023年的網絡安全主旋律可能是這樣的：隨著對手的膽識、熟練度和持久性不斷提升，防御者也在以任何可能的方式阻止他們。

攻擊戰略和趨勢

1.重點摘要

• 可疑網絡流量通常在重大地緣政治事件和全球網絡攻擊期間急劇增加。
• 與美國網絡安全和基礎設施安全局（CISA）近年來的調查結果一致，最常利用的漏洞是通用應用程序中的舊安全漏洞。針對這些CVE的高頻率攻擊，加上它們的重大影響，突顯了攻擊者更傾向于針對可能造成重大破壞的未打補丁系統。
• 威脅行為者濫用常見的文件擴展名和知名品牌實施欺詐，這些常見技術主要使用社會工程來實現網絡釣魚和商業電子郵件入侵（BEC）等操作。為響應微軟在2022年禁用宏，攻擊者可能會使用不同的文件類型來隱藏他們的惡意軟件，比如pdf，這是今年被阻止最多的文件擴展名。
• 在今年的Talos網絡攻擊中，網絡釣魚占了已知初始訪問媒介的四分之一，突顯了攻擊者對這種技術的持續依賴。
• 使用有效賬戶是最受關注的MITREATT&CK技術，強調了攻擊者對受損憑據的依賴，并在攻擊的各個階段使用現有賬戶。這與Talos IR數據一致，該數據顯示，在2023年，被泄露的憑據/有效帳戶占已知初始訪問向量的近三分之一。

2.最常被濫用的漏洞

2023年，網絡威脅攻擊者利用了常見應用程序中的舊軟件漏洞。在許多情況下，這些漏洞已經存在了10多年，這與CISA的發現相一致，即近年來，攻擊者更多地瞄準了舊的安全漏洞，而不是新披露的漏洞。事實上，在研究觀察到的“前五大最常用的漏洞”中，有四個也被CISA列為前幾年經常被利用的漏洞，這進一步強調了實體組織需要定期安裝軟件更新，因為考慮到常用漏洞的暴露年限，可見許多這些系統可能未打補丁。

最常被濫用的漏洞存在于常見的應用程序中，比如微軟Office。這一發現也得到了CISA的證實，該機構指出，到2022年，攻擊者將優先考慮在目標網絡中更普遍的CVE。攻擊者可能會優先針對廣泛存在的漏洞，因為針對此類CVE開發的漏洞可能具有長期性和高影響力。

最后且最重要的是，列表中的大多數漏洞如果被利用將會造成重大影響，其中6個漏洞獲得Cisco Kenna最高風險評分100分，7個獲得通用漏洞評分系統（CVSS）“高?！痹u級。大多數CVE也位列CISA的已知利用漏洞目錄，該目錄旨在告知用戶應該優先修復的安全漏洞。針對這些CVE的高頻率攻擊，加上它們的嚴重程度，凸顯了未打補丁系統的風險。

3.最常被濫用的附件文件擴展名

網絡釣魚郵件是攻擊者最常見的攻擊方式之一，多年來一直是思科Talos IR調查結果中排名最高的威脅。僅去年一年，在Talos IR協議中確定的初始訪問向量就有25%由網絡釣魚組成。這一觀察結果與美國政府的調查結果一致，聯邦調查局指出，網絡釣魚是2022年向其互聯網犯罪投訴中心（IC3）報告的頭號事件。

威脅行為者通常發送未經請求的電子郵件，要求用戶下載或打開附件來傳遞惡意軟件。攻擊者經常試圖將惡意軟件隱藏在眾所周知的文件擴展名下，以減少可疑，從而使用戶更有可能打開它們。例如，今年早些時候，日本的計算機應急響應小組（JP-CERT）警告稱，攻擊者正在將惡意Word文檔嵌入pdf文件中，以繞過檢測，這是威脅行為者多年來一直使用的一種策略。

威脅行為者的文件類型偏好也可能受到微軟2022年決定阻止宏的影響，到目前為止，攻擊者對于宏可謂嚴重依賴。有了這個變化，他們無法再像以前那樣頻繁地使用word和Excel等微軟Office文件。在2023年，研究人員發現商品加載程序Ursnif首次將惡意PDF附件合并到他們的網絡釣魚操作中，因為該參與者和其他組織正在尋找避免依賴宏的方法。

4.最常被濫用的頂級品牌

網絡犯罪分子和其他惡意行為者嚴重依賴社會工程策略來危害用戶，這就是他們通常會在網絡釣魚電子郵件中模仿知名公司的原因。例如，Emotet、Qakbot和Trickbot等商品加載程序經常使用虛假銀行對賬單或發貨通知作為釣魚主題，以偽造合法性。

商業電子郵件入侵（BEC）行動也利用偽造的公司名稱來提高合法性。BEC是一種騙局，網絡犯罪分子向看似來自已知來源的目標發送電子郵件，并提出合法請求。其目的是促使目標向威脅行為者進行未經授權的資金轉移。威脅行為者可能會冒充知名和值得信賴的品牌來欺騙用戶。根據聯邦調查局的數據，BEC近年來呈上升趨勢，并在2022年造成了27億美元的損失。

5.頂級MITRE ATT&CK技術

值得注意的是，在Top 20 最常見MITRE ATT&CK技術中，有近三分之一屬于防御逃避戰術，這表明攻擊者正在將大量資源投入到攻擊鏈的這一階段。與特權升級和持久性相關的技術排名也很高，突出了它們在攻擊生命周期中的重要性。

劫持執行流（Hijack execution flow）是最常見的技術，出現的頻率幾乎是第二名（有效賬號）的兩倍。劫持執行流指的是參與者盜用操作系統在目標端點上運行程序的方式。DLL側加載是一個常見的例子，通過這種方式，參與者基本上可以將他們的惡意軟件放置在受害者應用程序旁邊，這樣當程序搜索其合法DLL時，它也會不知不覺地執行惡意負載。對于攻擊者來說，這是一種有效的方法，可以將他們的活動隱藏在合法和可信的軟件下，APT和網絡犯罪分子非常愛用這種技術。

使用“有效帳戶”是排名第二的常見技術，強調了攻擊者對受損憑據和使用現有帳戶的依賴。參與者使用這種技術來實現攻擊鏈的各個階段。商品加載程序也經常為此目的部署竊取信息的惡意軟件。與此相關的是，來自密碼存儲的憑據也排在前五名，這進一步凸顯了攻擊者對獲取用戶憑據的關注。這些發現與Talos IR數據一致，該數據顯示，在2023年，被泄露的憑據/有效賬戶占已知初始訪問向量的近四分之一。

“資源劫持”排在前10位，這是一種與加密貨幣挖礦惡意軟件部署相關的技術，它通過劫持端點的處理能力來獲取利潤。加密貨幣挖礦威脅非常普遍，因為這是一種低級類型的攻擊，通常由不成熟的攻擊者執行。

勒索軟件和敲詐勒索

1.重點摘要

勒索軟件和預勒索軟件（pre-ransomware）事件繼續以一致的速度影響客戶——與去年一樣，總共占Talos IR事件的20%——醫療保健是最受攻擊的垂直行業。

LockBit連續第二年成為最多產的勒索軟件即服務（RaaS）團伙，這與CISA的評估一致，即它是部署最多的勒索軟件變體。此外，lockbit也是今年TalosIR中最常見的勒索軟件威脅之一，占所有勒索軟件的25%以上。

ALPHV、Clop和BianLian也在威脅領域占據主導地位，占暗網威脅者網站上公布的所有勒索軟件和/或數據勒索的另外四分之一。

Clop附屬機構一直在利用零日漏洞，考慮到開發此類漏洞所需的專業知識、人員和訪問權限，這是一種非常不尋常的策略，表明該組織擁有只有APT才能匹敵的復雜程度和/或資源。

新的勒索軟件變體正在出現，利用從其他RaaS組泄露的源代碼，允許不太熟練的參與者進入該領域。

黑客比以往任何時候都更傾向于數據勒索，這是Talos IR在2023年第二季度（4月至6月）應對的最大威脅。數據竊取勒索看起來與預勒索軟件（pre-ransomware）的活動非常相似，給防御者帶來了挑戰。

一些行為者完全放棄使用勒索軟件，轉而選擇單純的敲詐勒索，這一趨勢可能受到正在進行的執法行動、更好的行業檢測和更低的運營成本的影響。

2.勒索軟件攻擊仍在穩步發展

勒索軟件和預勒索軟件占今年Talos IR響應的所有事件的20%，與去年相比略有下降。醫療保健和公共衛生部門是今年Talos IR勒索軟件和預勒索軟件攻擊中最具針對性的垂直領域。

醫療保健組織非常容易受到網絡攻擊，因為它們不僅網絡安全預算不足，而且停機容忍度很低。近年來，COVID-19大流行可能加劇了這種情況，醫療保健提供者在資源方面感到緊張，停機時間更加難以忍受。

3.LockBit仍是頭號威脅

LockBit連續第二年成為最活躍的RaaS組織，占數據泄露網站帖子總數的25%以上。今年，LockBit、ALPHV、Clop和BianLian占了泄露網站帖子總數的近50%。

LockBit在2023年繼續實施了大量的勒索軟件操作，這一發現與CISA的評估一致，即它是部署最多的勒索軟件變體。LockBit攻擊可能極具影響力，影響組織的IT和OT、負責物理過程的硬件和設備。10月，CISA發布了OT環境保護指南，再一次強調了LockBit對這些系統的重大影響。

4.勒索軟件領域仍然充斥著新的和重命名的組織

勒索軟件團伙不斷重塑品牌和/或人員流動是今年的一個顯著趨勢。勒索軟件源代碼和構建器（創建和修改勒索軟件必不可少的組件）的多次泄露對勒索軟件威脅環境產生了重大影響。這些漏洞使勒索軟件運營商能夠重新命名，或者使不成熟的攻擊者能夠更容易地生成自己的勒索軟件，而無需付出多少努力或了解多少知識。隨著越來越多的參與者進入該領域，Talos看到越來越多的勒索軟件變種利用泄露的勒索軟件代碼重現，從而導致更頻繁的攻擊和對網絡安全專業人員和防御者的新挑戰。

基于泄露源代碼的新勒索軟件變種的數量也突顯了攻擊者利用這種公開資源的速度。最近，研究觀察到來自Yashma勒索軟件構建器的新勒索軟件菌株激增。Yashma首次出現于2022年5月，是2022年4月泄露的Chaos勒索軟件構建器（v5）的重新命名版本。自2023年初以來，多個新的Yashma菌株（包括ANXZ和sirattacker）出現，它們很可能是由規模較小或資源較少的附屬機構部署的，因為它們在這一領域缺乏廣泛的應用和知名度。

今年4月，研究發現了一個新的勒索軟件行為者RA Group，他們基于泄露的Babuk源代碼部署了自己的勒索軟件變種。自Babuk組織的一名成員于2021年9月泄露了其勒索軟件的完整源代碼以來，基于泄露代碼的多個新變種已經出現，包括esxiargs、Rorschach和RTM Locker。

雖然這些威脅形勢的變化在很大程度上使附屬機構受益，但安全研究人員和防御者在訪問泄露代碼方面也具有優勢。它允許安全研究人員分析源代碼，了解攻擊者的TTP，并開發有效的檢測規則，潛在地幫助創建密碼并增強安全產品對抗勒索軟件威脅的能力。

5.附屬機構從部署勒索軟件轉向數據盜竊勒索

雖然RaaS選項的數量不斷增加，但一些組織開始從部署勒索軟件轉向單純的數據盜竊勒索。在這些勒索案例中，攻擊者會直接竊取受害者的數據，而不加密。這樣就消除了常見的“雙重勒索”策略，攻擊者僅僅依靠泄露信息進行威脅，而不是要求支付贖金來解鎖文件。這一趨勢也反映在Talos IR業務中，勒索是2023年第二季度最常見的威脅，幾乎占所見威脅的三分之一，比上一季度（1月至4月）增加了25%。

幾個著名的勒索軟件團伙——包括babuk、BianLian和Clop——都選擇了數據盜竊勒索而非勒索軟件，這與這些組織典型的勒索軟件攻擊鏈不同。

促成這種轉變的因素有很多。其一，美國和國際執法部門一直在積極追查勒索軟件，對知名組織進行了重大破壞；其二，端點檢測和響應（EDR）功能的進步成為威脅者尋求部署勒索軟件和加密數據的重大障礙。

6.一些勒索軟件組織在積極利用零日漏洞

雖然今年許多缺乏經驗的攻擊者依賴于代碼重用，但研究也繼續看到高度復雜的運營商以前所未有的速度利用零日漏洞，突出了該領域參與者和TTP的廣泛技術多樣性。一旦漏洞公開，以投機取巧著稱的勒索軟件攻擊者就會迅速加以利用。當知名的勒索軟件組織Clop聲稱對某個零日漏洞利用負責時，其他勒索軟件附屬機構也會迅速跟進，在發布補丁之前掃描受影響的系統。

今年4月，在打印管理軟件公司papercut意識到clop正在利用未打補丁的服務器后不久，其他勒索軟件組織也開始利用關鍵的遠程代碼執行漏洞（CVE-2023-27350）作為其攻擊鏈的一部分。

鑒于開發這種能力所需的資源，作為勒索軟件組織的Clop能夠反復努力利用零日漏洞是非常不尋常的。2023年就出現了很多這樣的例子，當時Clop勒索軟件組織利用一個零日漏洞（CVE-2023-0669）發起了一場攻擊GoAnywhere MFT平臺的活動。今年5月，Clop聲稱對涉及另一個零日漏洞（CVE-2023-34362）的攻擊負責，該漏洞影響Progress Software的文件傳輸解決方案MOVEit transfer。

7.執法行動改變RaaS格局

勒索軟件組織經歷了多次中斷，迫使他們適應和/或加入其他RaaS組織。2023年1月，美國司法部宣布已經瓦解了Hive勒索軟件組織。到1月下旬，數據顯示Hive的數據泄漏站點出現了普遍的下降。

當勒索軟件基礎設施被破壞時，運營商通常會繼續與其他組織合作，為執法部門和網絡防御者創造一種“打地鼠”的場景。例如，當Hive的基礎設施被破壞時，許多前Hive成員試圖在破壞后的幾天內加入其他勒索軟件組織。這為防御者將活動歸因于特定團體帶來了復雜性，因為TTP在團體之間保持一致。

高級持續性威脅

1.俄羅斯篇：重點摘要

俄羅斯政府支持的APT組織Gamaredon仍然是針對烏克蘭的主要威脅參與者。

2023年，Gamaredon的主要目標是北美和歐洲的實體。此外，超過一半的目標實體位于交通和公用事業部門，這反映了俄羅斯對關鍵基礎設施的關注。

另一個隸屬于俄羅斯政府的APT組織Turla，在2022年9月至2023年2月期間基本活躍，但在2023年5月前后活動大幅減少，與美國司法部對Turla的Snake惡意軟件的破壞相吻合。

受影響領域的數量和受害者數量在這兩個群體之間存在巨大差異，這與Gamaredon的廣泛目標與Turla針對高度選擇性受害者的有限活動形成了鮮明對比。

除了Gamaredon和Turla的活動外，研究還觀察到在4月底和5月初，SmokeLoader（各種不同組織使用的惡意軟件）活動激增。

2.中東篇：重點摘要

2023年10月初，哈馬斯和以色列之間發生的事件促使多個出于政治動機的黑客組織對雙方發動了未經協調的、簡單的攻擊，類似于在俄烏戰爭開始時所觀察到的情況。

中東復雜的地緣政治環境繼續影響未來的網絡格局。在中東擁有經濟和政治利益的主要網絡參與者（如伊朗）可能更有動力通過直接或代理行動來影響結果。

總部位于中東的APT集團主要以該地區的電信公司為目標。作為此活動的一部分，研究人員已經確定了一個新的入侵集 ShroudedSnooper, 及其針對相關實體部署的新植入物——HTTPSnoop和PipeSnoop。

與前幾年相比，伊朗政府支持的MuddyWater APT組織對常用同步工具（對遠程訪問和惡意軟件部署必不可少）的依賴減少了，這可能是為了應對網絡安全行業針對已知MuddyWater TTP的行動。

商品加載程序

重點摘要：

• Qakbot、Ursnif、Emotet、Trickbot和icedid等商品加載程序代表了一些最具影響力和最普遍的威脅，因為攻擊者通常依賴它們來實現其操作的關鍵部分。它們作為信息竊取程序、勒索軟件和其他惡意軟件的下載程序，是威脅環境中的中流砥柱，無差別地影響著全球的實體。
• 所有這些加載程序以前僅作為銀行木馬發揮作用，近年來開發人員已將其功能多樣化，以支持更高級的操作。2023年，新版本的IcedID、Ursnif和qakbot似乎是專門為勒索軟件參與者量身定制的，增強了偵察功能，刪除了可能觸發反病毒檢測的功能，并被勒索軟件組織和初始訪問代理快速采用。
• 微軟默認禁用宏導致商品加載程序開始尋求新的方法來悄悄地使用宏，或完全避免使用它們。Qakbot操作人員使用各種文件類型、腳本語言、打包器和漏洞來部署加載程序。Emotet、IcedID和Ursnif也改變了它們的技術，不過與Qakbot相比頻率較低，且仍然傾向于依賴較老的TTP。
• 在僵尸網絡被拆除后，要根除商品加載程序的威脅可能是一項挑戰，因為眾所周知，開發人員會繼續代表不同的惡意軟件組織進行操作，或者重建他們的僵尸網絡。此外，以前被破壞的基礎設施可能會被其他威脅參與者用于惡意活動。

原文鏈接：https://blog.talosintelligence.com/content/files/2023/12/2023_Talos_Year_In_Review.pdf