在2023年,世界经历了巨大的变革,然而网络攻击威胁仍在不断演进。其中,高级持续性威胁(APT)始终是最危险的一类威胁。随着全球性危机和地缘政治对抗活动升级,高级威胁格局进一步加剧。为了保护自身利益,企业组织需要做好网络安全事件的应对准备,并预测未来的发展趋势。
近日,卡巴斯基公司的安全研究与分析团队GReAT对2024年高级威胁(APT)攻击的发展趋势进行了展望和预测,不过在具体分享其预测观点之前,首先回顾一下去年该团队对2023年高级威胁主要预测观点的实际结果。
2023年,一些东欧地区的政府机构遭到了一种名为CryWiper的数据擦拭器攻击,而ESET也发现了名为SwiftSlicer和WhisperGate的新型擦拭器。尽管从整体攻击数量上低于2022年,但2023年仍然发生了一些重大的破坏性攻击事件。
BlueDelta利用Roundcube Webmail漏洞攻击了多个组织;针对俄罗斯目标的Owowa更新版本将其部署与基于邮件的入侵链联系起来;TeamT5和Mandiant分析了UNC4841组织针对Barracuda电子邮件安全网关(ESG)设备所用的远程命令注入漏洞(CVE-2023-2868)。
在2023年,并没有新的网络流行病发生,这一预测并没有真实发生。
近年来,利用卫星技术进行攻击的唯一已知案例还是2022年的KA-SAT网络攻击事件。在2023年,研究人员并没有发现类似这种情况。
Micro-Star International(MSI)遭受了勒索软件攻击,导致BootGuard私钥被盗;研究机构Insikt Group报告了一组与BlueCharlie(以前被追踪为TAG-53)相关的威胁行为者。
预测6:更多APT集团将从Cobalt Strike转向其他替代方案
2023年,研究人员发现了与之类似的主要工具是BruteRatel,但Cobalt Strike目前仍被用作攻击的首选框架。
预测7:信号情报交付的(SIGINT-delivered)恶意软件
根据研究机构发布的关于埃及反对派人物Ahmed Eltantawy被攻击事件调查报告,这位政治家成为“零日”攻击的目标,该攻击旨在通过间谍软件感染他的手机。
以下内容是GReAT团队对2024年APT攻击趋势的预测:
研究人员发现了针对iOS设备的新型隐秘式间谍活动,称为“三角测量行动”。这些漏洞不仅影响智能手机和平板电脑,还扩展到笔记本电脑、可穿戴设备和智能家居设备。未来可能会看到更多针对消费设备和智能家居技术的高级攻击,不仅限于iOS设备,其他设备和操作系统也可能面临风险。威胁行为者还开始将监视范围扩展到智能家庭摄像头、联网汽车系统等设备。由于漏洞、配置错误或过时的软件,这些设备易受攻击,成为攻击者的目标。
常用软件和设备存在漏洞,新的高危漏洞也会不时被发现。据Statista的数据显示,2022年发现的漏洞数量达到了创纪录的2.5万个。专用于研究漏洞的资源有限,无法及时修复,这引发了人们对可能出现新的大规模秘密建立的僵尸网络进行有针对性攻击的担忧。创建僵尸网络意味着在用户不知情的情况下,在多个设备上秘密安装恶意软件。APT组织可能对这种策略感兴趣,因为它可以隐藏攻击的目标性质,使防御者难以确定攻击者的身份和动机。僵尸网络可以作为代理服务器、中间C2集线器或潜在入口点,对攻击者的真实基础设施进行掩盖。
微软引入了现代安全措施,如KMCS、PatchGuard和HVCI,以减少rootkit和类似低级攻击的流行。然而,一些APT行为者和网络犯罪组织仍然成功地在目标系统的内核模式下执行恶意代码。近年来,出现了滥用Windows硬件兼容性程序(WHCP)的情况,导致Windows内核信任模型被破坏。
预计下述三个关键因素将进一步增强威胁行为者的这种能力:
-
地下市场中不断增长的EV证书和被盗代码签名证书需求;
-
更多的开发者账号被滥用,以通过微软代码签名服务(如WHCP)获得恶意代码签名;
-
在当前威胁参与者的TTP武器库中,自带易受攻击驱动程序持续增加。
据联合国估计,去年世界上发生了50多起正在进行的现实冲突,暴力冲突达到了二战以来的最高水平。现在任何政治对抗都必然包含网络元素,成为任何冲突的默认部分。2024年,预计黑客活动在地缘政治紧张局势加剧的情况下将增加,包括国家支持的网络攻击和针对媒体机构的攻击。黑客的目标包括数据窃取、IT基础设施破坏、长期间谍活动和网络破坏活动,个人和团体可能成为特定目标。这些攻击可能包括破坏个人设备以进入他们工作的组织,使用无人机定位特定目标,使用恶意软件进行窃听等等。
