高级持续性威胁(APT)是最危险的网络威胁,因为它们使用复杂的工具和技术,并且通常具有高度针对性且难以检测的特性。
在本文中,我们将首先回顾过去一年的趋势,看看对2023年的预测有哪些已经实现,并预测2024年又将出现哪些攻击趋势。
破坏性攻击的增加
去年12月,就在我们发布对2023年的预测后不久,据报道称,俄罗斯政府机构受到了一种名为CryWiper的数据擦除工具(Data Wiper)的攻击。该恶意软件伪装成勒索软件,要求受害者支付“解密”数据的费用。然而,它没有加密数据,而是故意在受影响的系统中销毁数据。
今年1月,ESET发现了一种新的擦除工具,通过Active Directory GPO部署在乌克兰的一次攻击中,他们将这款名为SwiftSlicer的擦除工具归因于Sandworm(又名 Hades)。
今年6月,微软发布了一份关于一个名为Cadet Blizzard的攻击者的报告,该攻击者在2022年初研发了WhisperGate和其他针对乌克兰政府机构的擦除工具。
WhisperGate是一个冒充勒索软件的威胁性 MBR(主引导记录)擦除器。该恶意软件能够破坏受感染的机器,让他们甚至无法启动。微软威胁情报中心的研究人员于2022年1月13日发现了该威胁,除了乌克兰的政府机构、执法部门、IT服务和应急服务外,该攻击者还将欧洲、中亚和拉丁美洲的组织作为攻击目标。
邮件服务器成为优先目标
今年6月,Recorded Future警告称,BlueDelta(又名Sofacy、APT28、Fancy Bear和Sednit)利用Roundcube Webmail的漏洞攻击了多个组织,包括涉及航空基础设施的政府机构和军事实体。该攻击者利用俄乌冲突的新闻,诱骗目标打开利用漏洞(CVE-2020-35730、CVE-2020-12641和CVE-2021-44026)的有害电子邮件。使用恶意脚本,攻击者将目标的电子邮件重定向到攻击者控制的电子邮件地址,从受损帐户中收集数据。
今年7月,我们报告了针对俄罗斯目标的Owowa的更新版本。我们将Owowa的部署与基于邮件的攻击链联系起来,看起来像已知的CloudAtlas活动,我们称之为GOFFEE。
8月,TeamT5和Mandiant分析了UNC4841对影响Barracuda电子邮件安全网关(ESG)设备的远程命令注入漏洞(CVE-2023-2868)的早期研究,提供了该攻击者使用的https的进一步细节。UNC4841之后部署了新的恶意软件,旨在修复之前的版本,这包括使用SKIPJACK和DEPTHCHARGE后门以及FOXTROT/FOXGLOVE启动器。
信息窃取
今年3月,Micro-Star International (MSI)遭受勒索软件攻击后,BootGuard私钥被盗(只有在使用适当的密钥进行数字签名的情况下,启用了英特尔芯片和BootGuard的pc上的固件才能运行)。如果攻击者能够获得这些私钥,他们就可以为他们的恶意软件签名,这样代码就可以被信任并由MSI计算机运行。
另外,也是从今年3月开始,研究人员将BlueCharlie(以前被追踪为TAG-53,也被称为Blue Callisto、Callisto(或Calisto)、COLDRIVER、Star Blizzard(以前的SEABORGIUM)和TA446)与94个新域名联系起来,这表明该组织正在积极修改其基础设施,以回应公众对其活动的披露。攻击者专注于为间谍活动和黑客泄密行动收集信息,渗透到各个行业的组织,如政府、高等教育、国防和政治部门、非政府组织、活动家、记者、智库和国家实验室。
更多APT组织将从Cobalt Strike转向其他替代方案
我们正在密切关注类似的工具,其中之一是BruteRatel,但Cobalt Strike仍被用作攻击的首选框架。
基于SIGINT传播的恶意软件
在8月、9月期间,有安全实验室报告说,有一位用户经历了一种非常危险的网络注入攻击,这种攻击不需要他采取任何行动,比如点击任何东西。研究发现注入点位于两个埃及电信提供商之间的连接内,仅依靠技术数据,实验室无法确定中间盒位于连接的哪一侧。尽管如此,研究人员怀疑这次攻击可能涉及到与供应商的用户数据库集成,该攻击需要在用户位于埃及的通信服务提供商的网络上安装PacketLogic系统。
无人机攻击
尽管有公开报告称,无人机在2022年被用来攻击Wi-Fi网络,但还没有关于2023年发生类似事件的报道。
基于移动设备、可穿戴设备和智能设备的创造性开发的兴起,来看看未来可能出现哪些高级持续威胁情况。
过去一年中,研究人员有了重大发现。比如“三角测量行动”(Operation Triangulation),这是一项针对iOS设备的全新隐秘间谍活动。在调查过程中,研究人员发现了iOS中的五个漏洞,包括四个零日漏洞。这些漏洞不仅影响智能手机和平板电脑,还扩展到笔记本电脑、可穿戴设备和智能家居设备,包括Apple TV和Apple Watch。
未来,我们可能会看到更多针对消费设备和智能家居技术的高级攻击,而且iOS设备可能不是唯一的目标,其他设备和操作系统也可能面临风险。
攻击者的一个创造性途径是扩大他们的攻击范围,包括智能家庭摄像头、联网汽车系统等设备。由于漏洞、错误配置或过时的软件,这些设备中的许多新老设备都很容易受到攻击,这使它们很有吸引力,也很容易成为攻击者的目标。
这种新兴趋势的另一个值得注意的方面是“沉默”的攻击攻击方法。在“三角测量行动”中,漏洞是通过iMessage秘密传播的,无需用户交互即可激活。在2024年,我们可能会看到替代攻击方法,例如:
1.通过流行的跨平台信息进行零点击,无需与潜在受害者互动即可进行攻击;
2.通过短信或消息应用程序发送恶意链接的一次点击,受害者可能会在不知情的情况下打开这些链接触发网络流量拦截,例如,利用Wi-Fi网络——一种不太常见但潜在有效的方法。
3.为了防止复杂的攻击和有针对性的威胁,保护个人和企业设备至关重要。除了传统的防病毒产品外,XDR、SIEM和MDM平台等解决方案还可以集中收集数据,加速分析,并将各种来源的安全事件关联起来,便于快速响应复杂事件。
在普通用户和企业的软件及设备构建新的僵尸网络
无论是公司还是个人使用的常用软件和设备都存在漏洞。根据相关数据显示,在2022年,发现的漏洞数量达到了创纪录的2.5万个。通常,有限的资源专门用于研究漏洞,但它们并不能及时修复。这引起了人们的担忧,即有可能出现新的、大规模的、秘密建立的僵尸网络,这些僵尸网络能够进行有针对性的攻击。
创建僵尸网络涉及在设备所有者不知情的情况下秘密安装恶意软件。APT组织可能会很感兴趣,原因有几个。
首先,它允许攻击者在看似广泛的攻击背后掩盖其攻击的目标性质,使防御者难以确定攻击者的身份和动机。此外,植根于消费者设备或软件,或属于合法组织的僵尸网络,很容易掩盖攻击者的真实基础设施。它们可以充当代理服务器、中间C2(命令和控制)集线器,在网络配置错误的情况下,还可以充当进入组织的潜在入口点。
僵尸网络本身并不是一种新的攻击工具。例如,几年前,一个由65000多台家用路由器组成的僵尸网络被用来为其他僵尸网络和apt代理恶意流量。随着远程工作的普及,另一个例子是通过感染了类似僵尸网络的远程访问木马(RAT)的小型办公室/家庭办公室路由器针对远程工作者的APT活动。鉴于最近披露的大量漏洞,我们预计在未来一年还会出现新的此类攻击。
僵尸网络驱动的攻击不仅限于APT组织,也可能被网络攻击者采用。这些攻击的隐蔽性给检测带来了挑战,同时也为攻击者提供了充分的机会渗透并在基础设施中建立存在。
越来越多地规避了内核级代码执行的障碍(内核rootkit又火了)
随着现代安全措施的引入,如在最近的Windows版本中引入的KMCS(内核模式代码签名)、PatchGuard、HVCI(管理程序保护的代码完整性)和安全内核架构旨在缓解rootkit和类似低级攻击的流行。这些经典的攻击方法在早期以大量rootkit变体为特征的时代很流行。
在过去几年中,我们目睹了许多APT攻击者和攻击组织成功地在目标系统的内核模式下执行代码。今年报告的几个Windows硬件兼容性程序(WHCP)滥用导致了Windows内核信任模型的妥协。2021年6月,Netfilter rootkit被曝光,之后微软发布了一份咨询报告,详细说明它用中国游戏社区中地理定位作弊的手段。Bitdefender随后在2021年10月披露了FiveSys,这是一个主要用于在线游戏玩家的rootkit,主要目的是窃取凭证和在游戏中购买劫持。然后,Mandiant报告了最后一次已知的滥用行为,揭露了Poortry恶意软件,该恶意软件曾被用于许多网络攻击,包括基于勒索软件的事件。在2023年7月,研究人员发现了新的FiveSys签名变体。
我们预计有三个关键因素会增加,这将进一步增强攻击者的能力:
1.EV证书和被盗代码签名证书的地下市场增加;
2.更多的开发者账号被滥用,通过微软代码签名服务(如WHCP)获得恶意代码签名;
3.在攻击者的TTP武器库中,BYOVD (Bring Your Own Vulnerable Driver)持续增加。
地缘冲突引起的网络攻击日益增多
BlackEnergy对乌克兰的APT攻击是过去十年间的突出例子,以针对媒体公司的破坏性行动、破坏工业控制系统和从事网络间谍活动而闻名。目前参与网络战争的潜在攻击者非常广泛。
我们预计,随着地缘政治紧张局势加剧,国家支持的网络攻击将激增。它不会局限于全球的关键基础设施、政府部门或国防公司,媒体机构也将面临越来越大的风险,在当前地缘政治紧张局势加剧的环境下,媒体组织可能被那些试图利用它们进行反宣传或虚假信息目的的人选为目标。
黑客将主要关注数据窃取、IT基础设施破坏和长期间谍活动,网络破坏活动可能也会增加。攻击者不仅会加密数据,也将摧毁它,对易受政治驱动攻击的组织构成重大威胁。这也将包括针对个人或团体的特定目标攻击,这些攻击可能包括破坏个人设备以进入他们工作的组织,使用无人机定位特定目标,使用恶意软件进行窃听等等。
供应链攻击服务愈发猖獗:运营商的批量购买权限
越来越多的攻击者通过供应商、集成商或开发人员来实现他们的目标。这意味着中小型企业往往缺乏针对APT攻击的强大保护,正成为黑客访问主要企业数据和基础设施的门户,而这些企业是黑客的最终目标。
这些攻击背后的动机有经济利益,也有纯粹网络间谍活动。例如,臭名昭著的APT组织Lazarus一直在迭代其供应链攻击能力。更值得注意的是,臭名昭著的Gopuram后门,通过3CX黑客部署,影响了全球的受害者,被发现与AppleJeus共存,这是一个被认为是Lazarus的后门。这次攻击具有很强的针对性,对加密货币公司特别感兴趣,这可能表明攻击者是出于经济利益的动机。
随着供应链攻击变得越来越流行,2024年可能会迎来相关活动的新阶段,这一趋势可能以各种方式演变。
首先,流行的开源软件可以用来针对特定的企业开发人员。此外,网络黑市可能会引入新的产品,包括针对各种软件供应商和IT服务供应商的访问包。因此,那些有兴趣策划供应链攻击的人,可以接触到大量潜在的受害者,然后仔细挑选他们首选的大规模攻击目标。这样做,攻击者可能会将供应链攻击的效率提升到一个新的水平。
鱼叉式网络钓鱼通过可访问的生成式AI发起大规模攻击
聊天机器人和生成式人工智能工具现在很普遍,也很容易获得,攻击者已在开发自己的基于合法解决方案的黑帽聊天机器人。例如—WormGPT,一种明确设计用于恶意使用的语言模型,声称是基于开源语言模型GPTJ。其他xxxGPT、WolfGPT、FraudGPT、DarkBERT等等模型,缺乏合法解决方案中存在的内容限制,这使得它们对利用这些模型进行恶意攻击的攻击者很有吸引力。
这些工具的出现很可能会促进鱼叉式网络钓鱼信息的大规模生产,通常是APT和其他攻击的第一步。它的重要性远远超出了快速编写有说服力和写得好的信息的能力。它还包含生成用于模拟和模仿特定个人(例如受害者的业务伙伴或同事)风格的文档的功能。在即将到来的一年里,预计攻击者将开发新的方法来自动对其目标进行间谍活动。这可能包括从受害者的在线状态自动收集数据,例如社交媒体帖子、媒体评论或撰写的专栏。这些信息将使用生成工具进行处理,以特定个人的风格和声音创建各种文本或音频信息。
越来越多的组织开始雇佣黑客来从事渗透系统和提供数据盗窃服务
他们的客户包括私家侦探、律师事务所、商业对手,以及那些缺乏此类攻击技术的人。这些网络雇佣军公开宣传他们的服务,并以感兴趣的实体为目标。
以DeathStalker为例,它主要针对律师事务所和金融公司,提供黑客服务,充当信息经纪人,而不是传统的APT。他们使用带有恶意文件附件的鱼叉式网络钓鱼电子邮件来控制受害者的设备并窃取敏感数据。
一般来说,雇佣黑客组织的服务已经超越了网络间谍活动,延伸到了商业间谍活动。他们可能会收集竞争对手的数据,例如,并购交易、扩张计划、财务和客户信息。
预计它将在明年得到发展。由于对此类服务的需求,一些APT组织可能会扩大其业务,因为它们需要产生收入来维持其活动并补偿其成员。
对基于MFT系统的攻击
随着数字环境的不断发展,网络威胁的复杂性也在不断发展。这个不断发展的场景的核心是托管文件传输(MFT)系统,旨在在组织之间安全地传输敏感数据。MFT解决方案包含大量机密信息,包括知识产权、财务记录和客户数据,在现代业务运营中已成为不可或缺的一部分,它们促进了内部和外部的无缝数据共享,从而成为组织效率的基石。然而,这一功能被攻击者尤其是勒索软件攻击者使用,他们一直在寻求利用数字漏洞进行金融勒索。
2023年涉及MFT系统的事件,如MOVEit和GoAnywhere,揭示了这些关键数据传输管道中的潜在漏洞。Cl0p勒索软件团伙精心策划的MOVEit漏洞,以及对Fortra GoAnywhere MFT平台的利用,突显了如何利用单个漏洞泄露敏感数据、破坏运营并索要赎金。
明年,经济利益的诱惑和造成重大运营中断的可能性可能会导致针对MFT系统的针对性攻击激增。MFT系统错综复杂的体系结构,加上它们与更广泛的业务网络的集成,潜在地隐藏着可供利用的安全漏洞。随着网络攻击技术的迭代,利用MFT系统中的漏洞预计将成为一个更明显的攻击载体。
针对MFT系统的网络威胁的发展轨迹可以发现重大数据泄露和金融勒索的可能性将继续上升。
2023年的事件提醒我们MFT系统固有的漏洞,以及迫切需要强大的网络安全措施来保护这些关键的数据传输通道。鉴于此,强烈建议对其MFT解决方案进行全面审查,以识别和缓解潜在的安全漏洞,实施强大的数据丢失预防(DLP)解决方案。
参考及来源:https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/