在过去的12个月中,APT威胁的类型和严重程度不断发生变化。在预测2022年的高级威胁预测之前,让我们先看看研究人员对2021年的预测。他们偷的公司。这一预测非常准确,以至于黑莓就在前几天发布了一份报告,主要围绕一个名为Zebra2104的组织发起的攻击,该组织似乎是一个“初始访问代理”。根据他们的研究,Zebra2014为勒索软件运营商提供了进入某些受害者的初步立足点。但更有趣的是,尽管StrongPityAPT完全专注于情报收集,但似乎也使用了他们的服务。越来越多的国家将法律起诉作为其网络战略的一部分研究人员预测,到2020年,政府将通过法律起诉来引起人们对APT组织活动的关注,这一趋势在去年得到进一步证实。研究人员还预测,各国将开始充分利用法律来打击攻击者,这被证明是完全正确的。4月15日,白宫正式将SolarWinds供应链攻击归咎于俄罗斯。在宣布这一消息的同时,美国财政部表示还将对参与此次袭击的几家公司实施制裁。7月1日,美国国家安全局、美国联邦调查局、CISA(网络安全与基础设施安全局)和英国的NCSC联合发布了以Sofacy(又称APT28或Fancy)为首的全球数百起企图暴力攻击的联合咨询警告Bear),目标包括政府和军事机构、国防承包商、政党和咨询公司、物流公司、能源公司、大学、律师事务所和媒体公司。7月19日,美国宣布在北约、欧盟和英国的支持下,谴责“网络空间不负责任和破坏稳定的行为”。白宫的声明特别提到了最近对MicrosoftExchange零日漏洞的利用。司法部还起诉了四名APT40成员从事非法计算机网络活动。以色列国防军(IDF)声称,攻击者一直在使用网络钓鱼攻击来引诱以色列士兵安装间谍软件。攻击者使用Facebook、Instagram和Telegram上的六个社交媒体资料来吸引男性目标的注意力,最终引诱他们在手机上安装一个据称提供私人聊天的应用程序。9月24日,欧盟就Ghostwriter虚假信息行动发表声明,该行动自2017年3月以来一直在进行,旨在抹黑北约。据称,这次袭击涉及以新闻网站或政府官员的社交媒体账户为目标,发布虚假文件、虚假新闻和误导性观点,以影响选举、扰乱当地政治生态系统并制造对北约的不信任。尽管存在威胁,欧盟最终还是决定不实施制裁。更多硅谷公司对零日代理采取行动在研究人员发布去年的预测后不久,微软、谷歌、思科和戴尔加入了Facebook与NSO的法律斗争。法律行动仍在进行中,但据研究人员所知,还没有针对其他零日或利用软件供应商的额外诉讼。简而言之,事实证明预测是正确的,但也有可能硅谷正在等待一审结果,然后再对其他券商采取行动。然而,在11月3日,美国商务部向零日市场发出了一个非常强烈的信号,将多家公司(NSO、PositiveTechnologies、COSEINC、Candiru)列入违反美国规定的“网络工具交易”制裁名单。国家安全。增加网络设备的针对性当研究人员撰写这份预测时,主要考虑的是所有针对虚拟网络设备的恶意活动的持续性。正如本文第一部分所述,最突出的软件漏洞最终会影响不同的程序(例如MicrosoftExchange)。尽管如此,研究人员还是观察到了一些攻击者,例如APT10,他们正在利用这些漏洞劫持虚拟Web会话。但这一预测也以另一种方式实现了,APT31在2021年策划了一场非常有趣的活动。攻击者利用受感染的SOHO路由器网络(特别是PakedgeRK1、RE1和RE2型号)并将它们用作匿名网络和托管C2。5G漏洞的出现2020年是5G技术发展的关键一年。研究人员预测,该领域的漏洞将逐渐增加。果然,2021年5G相关产品的很多漏洞都被发现了,甚至可能是协议本身的漏洞。争议似乎主要局限于法律领域,但仍有一些有趣的研究确定了可能允许攻击者提取凭据或位置信息的安全问题。原来,勒索软件攻击从2019年开始就开始猖獗,已经成为网络攻击者的日常操作。然而,从众多执法机构和官员的多次逮捕和联合声明来看,很明显,对勒索软件问题的反应正在变得更有条理。10月,美国政府对REvil的活动进行了反击。更具破坏性的攻击被证明是准确的。2021年最具标志性的网络事件之一是对ColonialPipeline的勒索软件攻击。在攻击期间,ColonialPipeline的设备遭到破坏,导致美国出现严重的供应问题。ColonialPipeline被迫支付440万美元的赎金,但幸运的是司法部追回了230万美元。2021年7月,一场网络攻击导致伊朗交通部及其国家铁路系统的网站崩溃,导致火车服务大范围中断,这是一次名为“Meteor”的前所未见的可重复使用的擦除器恶意软件攻击的结果。后来,在10月,类似的袭击影响了伊朗的所有加油站。没有任何组织声称对这两起袭击事件负责。攻击者将继续利用这一流行病在2020年,研究人员发现多个APT团体以参与开发COVID-19疫苗的学术机构和研究中心为目标。其中包括带有WellMess恶意软件的DarkHotel和APT29(又名CozyDuke和CozyBear)(由英国国家网络安全中心发布)。今年,研究人员发现ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和??ReconHellcat等多个APT组织试图使用COVID-19诱饵攻击目标。研究人员利用痕迹将此次攻击归因于一个名为SideCopy的攻击者,该攻击者使用与covid-19相关的诱饵对亚洲和中东的外交和政府组织以及托管恶意HTA和JS文件的受害者网站进行攻击。该活动有多个方面,包括执行链、使用的恶意软件、基础设施重叠、PDB路径和其他TTP,这让研究人员想起了在同一地区开展活动的其他组织,例如SideWinder、OrigamiElephant、Gorgon组织或TransparentTribe。然而,所发现的相似性都不足以将这组活动归因于已知的攻击组织。以下是研究人员预测的2022年的一些攻击趋势私人供应商开发的监控软件将进一步增加APT攻击的规模如上所述,私人供应商开发的监控软件的使用成为今年的焦点。考虑到企业的潜在盈利能力以及软件对目标人群的影响,研究人员认为此类软件的供应商将发挥更大的作用,至少在政府寻求规范其使用之前是这样。已经有一些迹象表明这种情况正在发生。2021年10月,美国商务部工业与安全局(BIS)出台了一项临时最终规则,定义了商业监控软件何时需要出口许可证:目的是防止监控工具扩散到其他国家,同时允许合法的安全研究和交易仍在继续。与此同时,恶意软件供应商和进攻性安全行业将努力支持新老玩家的持续努力。移动设备受到攻击十多年来,针对移动设备的恶意软件断断续续地出现在新闻中。这与主流操作系统的普及密切相关。到目前为止,移动设备上最流行的两个操作系统是iOS和Android以及其他基于Android/Linux的克隆。从一开始,他们就有着截然不同的理念,iOS依赖封闭的应用商店,只允许经过审查的应用,而Android则更加开放,允许用户直接在设备上安装第三方应用。这导致针对两个平台的恶意软件类型存在巨大差异;虽然基于android的端点受到过多的网络犯罪恶意软件的困扰(尽管并非没有APT),但iOS主要是高级国家支持的网络间谍活动的目标。2021年,ProjectPegasus为原本晦涩难懂的iOS零点击零日攻击世界带来了新的攻击方向;报告的iOS零日漏洞比以往任何一年都多。从攻击者的角度来看,移动设备是理想的目标,它们包含有关其私人生活的详细信息,而且感染难以预防或检测。与用户可以选择安装安全套件的PC或Mac不同,此类产品在iOS上要么已损坏,要么根本不存在。这为APT创造了任何国家支持的攻击都不想错过的黄金机会。到2022年,研究人员将发现针对移动设备的更复杂的攻击。更多供应链攻击研究人员今年发现了一些值得注意的供应链攻击,我们在上面讨论了APT攻击者如何使用这种方法。但研究人员还发现,攻击者利用供应商的安全漏洞来危害受感染公司的客户。突出的例子包括5月对美国石油管道系统的攻击、6月对全球肉类生产商的攻击以及7月对MSP(托管服务提供商)及其客户的攻击。这种类型的攻击代表了对供应链某处漏洞的利用,该漏洞对攻击者特别有价值。因此,供应链攻击将是2022年及以后的增长趋势。继续趁着在家办公的趋势随着疫情趋势越来越严峻,在家办公已经成为一种趋势。由于家庭网络安全性差,这将继续为攻击者提供破坏公司网络的机会。示例包括使用社会工程获取凭据和对公司服务进行暴力攻击,以期找到保护不力的服务器。此外,随着许多人继续使用自己的设备,攻击者将找到新的机会使用未受保护或未打补丁的家庭计算机作为进入公司网络的入口点。在META地区,特别是在非洲,APT攻击增加的主要驱动因素将是全面加剧的地缘政治紧张局势,从而影响基于间谍活动的网络攻击活动的增加。地缘政治历来是影响网络攻击(经济、技术和外交等)的主要因素,目的是为了国家安全目的窃取敏感数据。尽管当前大流行病很严重,但至少自2020年1月以来,中东和土耳其的地缘政治紧张局势已经显着加剧,而且这种情况可能会继续下去。非洲已成为城市化最快的地区,吸引了数百万美元的投资。与此同时,非洲大陆的许多国家都处于海上贸易的战略位置。这一点,加上该地区防御措施的增加,使研究人员相信,到2022年,META地区,尤其是非洲将发生重大APT攻击。对云安全和外包服务的攻击激增由于云计算提供的便利性和可扩展性,越来越多的公司正在将云计算纳入其业务模型。DevOps活动已导致许多公司采用基于微服务并在第三方基础设施上运行的软件架构,这些基础设施通常只需密码或API密钥即可接管。从更广泛的意义上说,这一预测涉及在线文档编辑、文件存储、电子邮件托管等外包服务。第三方云提供商现在集中了足够多的数据来吸引攻击者的注意力,并将成为复杂攻击的主要目标。低级攻击卷土重来:Bootkit病毒再次被滥用Bootkit是更高级的Rootkit。这个概念最早是由eEyeDigital在2005年的“BootRoot”项目中提到的。绕过内核检查和引导隐身的方法。可以认为,凡是在开机时先加载Windows内核来实现内核劫持的技术都可以称为Bootkits。卡巴斯基的2021年报告表明,针对bootkits的攻击性研究仍然活跃:要么隐身的好处现在超过了风险,要么低级利用变得更容易获得。研究人员预计在2022年会发现更多此类高级攻击。此外,随着安全启动变得越来越普遍,攻击者将需要找到此安全机制中的漏洞以绕过它并继续部署他们的恶意工具。本文翻译自:https://securelist.com/advanced-threat-predictions-for-2022/104870/如有转载请注明出处。
