安全資訊

在2023年，世界經(jīng)歷了巨大的變革，然而網(wǎng)絡(luò )攻擊威脅仍在不斷演進(jìn)。其中，高級持續性威脅（APT）始終是最危險的一類(lèi)威脅。隨著(zhù)全球性危機和地緣政治對抗活動(dòng)升級，高級威脅格局進(jìn)一步加劇。為了保護自身利益，企業(yè)組織需要做好網(wǎng)絡(luò )安全事件的應對準備，并預測未來(lái)的發(fā)展趨勢。

2023年APT預測回顧

近日，卡巴斯基公司的安全研究與分析團隊GReAT對2024年高級威脅（APT）攻擊的發(fā)展趨勢進(jìn)行了展望和預測，不過(guò)在具體分享其預測觀(guān)點(diǎn)之前，首先回顧一下去年該團隊對2023年高級威脅主要預測觀(guān)點(diǎn)的實(shí)際結果。

預測1：破壞性攻擊增加

實(shí)際結果：部分實(shí)現

2023年，一些東歐地區的政府機構遭到了一種名為CryWiper的數據擦拭器攻擊，而ESET也發(fā)現了名為SwiftSlicer和WhisperGate的新型擦拭器。盡管從整體攻擊數量上低于2022年，但2023年仍然發(fā)生了一些重大的破壞性攻擊事件。

預測2：郵件服務(wù)器成為優(yōu)先目標

實(shí)際結果：已實(shí)現

BlueDelta利用Roundcube Webmail漏洞攻擊了多個(gè)組織；針對俄羅斯目標的Owowa更新版本將其部署與基于郵件的入侵鏈聯(lián)系起來(lái)；TeamT5和Mandiant分析了UNC4841組織針對Barracuda電子郵件安全網(wǎng)關(guān)（ESG）設備所用的遠程命令注入漏洞（CVE-2023-2868）。

預測3：新一代WannaCry或出現

實(shí)際結果：沒(méi)有實(shí)現

在2023年，并沒(méi)有新的網(wǎng)絡(luò )流行病發(fā)生，這一預測并沒(méi)有真實(shí)發(fā)生。

預測4：APT目標轉向衛星技術(shù)、生產(chǎn)商和運營(yíng)商

實(shí)際結果：沒(méi)有實(shí)現

近年來(lái)，利用衛星技術(shù)進(jìn)行攻擊的唯一已知案例還是2022年的KA-SAT網(wǎng)絡(luò )攻擊事件。在2023年，研究人員并沒(méi)有發(fā)現類(lèi)似這種情況。

預測5：黑客入侵和泄密

實(shí)際結果：已實(shí)現

Micro-Star International（MSI）遭受了勒索軟件攻擊，導致BootGuard私鑰被盜；研究機構Insikt Group報告了一組與BlueCharlie（以前被追蹤為TAG-53）相關(guān)的威脅行為者。

預測6：更多APT集團將從Cobalt Strike轉向其他替代方案

實(shí)際結果：沒(méi)有實(shí)現

2023年，研究人員發(fā)現了與之類(lèi)似的主要工具是BruteRatel，但Cobalt Strike目前仍被用作攻擊的首選框架。

預測7：信號情報交付的（SIGINT-delivered）惡意軟件

實(shí)際結果：已實(shí)現

根據研究機構發(fā)布的關(guān)于埃及反對派人物Ahmed Eltantawy被攻擊事件調查報告，這位政治家成為“零日”攻擊的目標，該攻擊旨在通過(guò)間諜軟件感染他的手機。

預測8：無(wú)人機攻擊

實(shí)際結果：沒(méi)有實(shí)現

2023年并未出現類(lèi)似事件的報道。

2024年的APT預測

以下內容是GReAT團隊對2024年APT攻擊趨勢的預測：

01、針對移動(dòng)、可穿戴和智能設備的創(chuàng )造性利用興起

研究人員發(fā)現了針對iOS設備的新型隱秘式間諜活動(dòng)，稱(chēng)為“三角測量行動(dòng)”。這些漏洞不僅影響智能手機和平板電腦，還擴展到筆記本電腦、可穿戴設備和智能家居設備。未來(lái)可能會(huì )看到更多針對消費設備和智能家居技術(shù)的高級攻擊，不僅限于iOS設備，其他設備和操作系統也可能面臨風(fēng)險。威脅行為者還開(kāi)始將監視范圍擴展到智能家庭攝像頭、聯(lián)網(wǎng)汽車(chē)系統等設備。由于漏洞、配置錯誤或過(guò)時(shí)的軟件，這些設備易受攻擊，成為攻擊者的目標。

02、用消費者和企業(yè)軟件/設備構建新的僵尸網(wǎng)絡(luò )

常用軟件和設備存在漏洞，新的高危漏洞也會(huì )不時(shí)被發(fā)現。據Statista的數據顯示，2022年發(fā)現的漏洞數量達到了創(chuàng )紀錄的2.5萬(wàn)個(gè)。專(zhuān)用于研究漏洞的資源有限，無(wú)法及時(shí)修復，這引發(fā)了人們對可能出現新的大規模秘密建立的僵尸網(wǎng)絡(luò )進(jìn)行有針對性攻擊的擔憂(yōu)。創(chuàng )建僵尸網(wǎng)絡(luò )意味著(zhù)在用戶(hù)不知情的情況下，在多個(gè)設備上秘密安裝惡意軟件。APT組織可能對這種策略感興趣，因為它可以隱藏攻擊的目標性質(zhì)，使防御者難以確定攻擊者的身份和動(dòng)機。僵尸網(wǎng)絡(luò )可以作為代理服務(wù)器、中間C2集線(xiàn)器或潛在入口點(diǎn)，對攻擊者的真實(shí)基礎設施進(jìn)行掩蓋。

03、內核rootkit再次復蘇

微軟引入了現代安全措施，如KMCS、PatchGuard和HVCI，以減少rootkit和類(lèi)似低級攻擊的流行。然而，一些APT行為者和網(wǎng)絡(luò )犯罪組織仍然成功地在目標系統的內核模式下執行惡意代碼。近年來(lái)，出現了濫用Windows硬件兼容性程序（WHCP）的情況，導致Windows內核信任模型被破壞。

預計下述三個(gè)關(guān)鍵因素將進(jìn)一步增強威脅行為者的這種能力：

地下市場(chǎng)中不斷增長(cháng)的EV證書(shū)和被盜代碼簽名證書(shū)需求；

更多的開(kāi)發(fā)者賬號被濫用，以通過(guò)微軟代碼簽名服務(wù)（如WHCP）獲得惡意代碼簽名；

在當前威脅參與者的TTP武器庫中，自帶易受攻擊驅動(dòng)程序持續增加。

04、由國家支持的網(wǎng)絡(luò )攻擊活動(dòng)日益增多

據聯(lián)合國估計，去年世界上發(fā)生了50多起正在進(jìn)行的現實(shí)沖突，暴力沖突達到了二戰以來(lái)的最高水平?，F在任何政治對抗都必然包含網(wǎng)絡(luò )元素，成為任何沖突的默認部分。2024年，預計黑客活動(dòng)在地緣政治緊張局勢加劇的情況下將增加，包括國家支持的網(wǎng)絡(luò )攻擊和針對媒體機構的攻擊。黑客的目標包括數據竊取、IT基礎設施破壞、長(cháng)期間諜活動(dòng)和網(wǎng)絡(luò )破壞活動(dòng)，個(gè)人和團體可能成為特定目標。這些攻擊可能包括破壞個(gè)人設備以進(jìn)入他們工作的組織，使用無(wú)人機定位特定目標，使用惡意軟件進(jìn)行竊聽(tīng)等等。

05、網(wǎng)絡(luò )戰成為地緣政治沖突的新常態(tài)

黑客行動(dòng)主義在地緣政治沖突中表現突出。黑客活動(dòng)分子通過(guò)實(shí)際的網(wǎng)絡(luò )攻擊（DDoS攻擊、數據盜竊或破壞、網(wǎng)站入侵等）、虛假的黑客聲明和深度偽造（Deepfakes）等方式影響網(wǎng)絡(luò )安全。隨著(zhù)地緣政治緊張局勢加劇，預計黑客活動(dòng)將繼續增加，并具有破壞性和傳播虛假信息的特點(diǎn)。

06、供應鏈攻擊即服務(wù)

攻擊者通過(guò)供應商、集成商或開(kāi)發(fā)人員來(lái)實(shí)現他們的目標。中小型企業(yè)缺乏APT攻擊防護，成為黑客訪(fǎng)問(wèn)主要企業(yè)數據和基礎設施的入口。供應鏈攻擊的規模不可忽視，動(dòng)機涉及經(jīng)濟利益和網(wǎng)絡(luò )間諜活動(dòng)。在2024年，供應鏈攻擊可能進(jìn)入新階段，使用開(kāi)源軟件和影子市場(chǎng)提供的訪(fǎng)問(wèn)包。這使得攻擊者可以接觸到大量潛在受害者，并選擇大規模攻擊目標。

07、由生成式AI進(jìn)行擴展的魚(yú)叉式釣魚(yú)攻擊

聊天機器人和生成式人工智能工具越來(lái)越普遍且易于獲取。威脅行為者也開(kāi)始開(kāi)發(fā)用于惡意目的的黑帽聊天機器人，如WormGPT。生成式AI工具不僅能快速編寫(xiě)有說(shuō)服力和措辭精煉的信息，還能生成用于模擬和模仿特定個(gè)人風(fēng)格的文檔。在未來(lái)一年里，預計攻擊者將開(kāi)發(fā)新的方法來(lái)自動(dòng)對其目標進(jìn)行間諜活動(dòng)。這可能包括從受害者的在線(xiàn)狀態(tài)（如社交媒體帖子、媒體評論或撰寫(xiě)的專(zhuān)欄）自動(dòng)收集與受害者身份相關(guān)的數據。

08、更多組織開(kāi)始提供雇傭黑客的服務(wù)

黑客組織提供滲透系統和數據盜竊服務(wù)，客戶(hù)包括私家偵探、律師事務(wù)所和商業(yè)競爭對手。目前，雇傭黑客組織的服務(wù)已超越網(wǎng)絡(luò )間諜，延伸到商業(yè)間諜活動(dòng)，可能收集競爭對手的并購、擴張、財務(wù)和客戶(hù)信息。這種趨勢在全球范圍內蓬勃發(fā)展，預計將在明年繼續擴大。一些APT集團可能擴大業(yè)務(wù)以產(chǎn)生收入并支持成員活動(dòng)。

09、MFT系統處于網(wǎng)絡(luò )威脅的前沿

MFT解決方案包含大量機密信息，包括知識產(chǎn)權、財務(wù)記錄和客戶(hù)數據，在現代業(yè)務(wù)運營(yíng)中已成為不可或缺的一部分，它們促進(jìn)了內部和外部的無(wú)縫數據共享。2023年涉及MFT系統的事件（如MOVEit和GoAnywhere）揭示了這些關(guān)鍵數據傳輸管道中的潛在漏洞。在2024年，針對MFT系統的威脅將繼續升級，攻擊者可能利用系統漏洞獲取利益或造成嚴重中斷。

原文來(lái)源：安全牛