在过去的 12 个月中,APT 威胁的风格和严重程度不断在变化。
在预测2022 年的高级威胁预测之前,让我们先看看研究人员对 2021 年所做的预测。
APT 发起者从攻击者那里购买初始网络访问权限
去年,研究人员就预见到APT 发起者会利用暗网,因为攻击者会在那里出售他们窃取的公司访问权限。这一预测非常准确,就在前几天黑莓发布了一份报告,围绕一个名为Zebra 2104的组织展开攻击,该组织似乎是“初始访问代理”。根据他们的研究,Zebra 2014 为勒索软件运营商提供了进入一些受害者的初步立足点。但更有趣的是,尽管 StrongPity APT 完全专注于情报收集,但它似乎也使用了他们的服务。
越来越多的国家将法律起诉作为其网络战略的一部分
2020 年,研究人员就预测各国政府将采取法律起诉来引起人们对 APT 组织活动的关注,这一趋势在去年进一步得到验证。研究人员还预测各国将开始充分利用法律来打击攻击者,这被证明是绝对正确的。
4 月 15 日,白宫正式将 SolarWinds 供应链攻击归咎于俄罗斯。在宣布这一消息的同时,财政部表示还要对几家参与攻击的公司进行制裁。
7 月 1 日,美国国家安全局、联邦调查局、CISA(网络安全和基础设施安全局)和英国的 NCSC 发布了联合咨询警告,警告全球发生数百起暴力攻击未遂事件, 这些攻击是由Sofacy(又被称为APT28或Fancy Bear)发起的,攻击目标包括政府和军事机构、国防承包商、政党和咨询公司、物流公司、能源公司、大学、律师事务所和媒体公司。
7月19日,美国宣布将在北约、欧盟和英国的支持下,谴责“网络空间中不负责任和破坏稳定的行为”。白宫的声明特别提到了最近对Microsoft Exchange零日漏洞的利用。美国司法部还起诉了4名APT40成员从事非法计算机网络活动。
以色列国防军 (IDF) 声称,攻击者一直在使用钓鱼攻击来引诱以色列士兵安装间谍软件。攻击者使用 Facebook、Instagram 和 Telegram 上的六个社交媒体资料来吸引男性目标的注意力,最终诱使他们在自己的手机上安装据称提供私人聊天功能的应用程序。
9月24日,欧盟就自2017年3月以来一直在进行的旨在诋毁北约的“枪手”(Ghostwriter)虚假信息行动发表了一份声明。据称,这场攻击涉及攻击新闻网站或政府官员的社交媒体账户,以发布伪造文件、假新闻和误导性观点,以影响选举,破坏当地的政治生态系统,并制造对北约的不信任。尽管面临威胁,欧盟最终决定还是不实施制裁。
更多硅谷公司将对零日经纪商采取行动
在研究人员发布去年的预测后不久,微软、谷歌、思科和戴尔加入了 Facebook 与 NSO 的法律战争中。法律诉讼仍在进行中,但据研究人员所知,目前还没有针对其他零日或攻击软件供应商的额外诉讼。
简而言之,预测被证明是正确的,但也有可能是硅谷在等待第一次审判的结果,然后才对其他经纪商采取行动。然而,11月3日,美国商务部向零日市场发出了一个非常强烈的信号,将几家公司(NSO、Positive Technologies、COSEINC、Candiru)列入制裁清单,原因是“网络工具交易”违反美国国家安全。
增加网络设备的针对性
当研究人员编写此预测时,主要考虑的是针对虚拟网络设备的所有恶意活动的延续。正如本文第一部分所述,最突出的软件漏洞最终会影响不同的程序(例如 Microsoft Exchange)。尽管如此,研究人员还是观察到了一些攻击者,例如 APT10,他们正在利用这些漏洞来劫持虚拟网络会话。
但这一预测也以另一种方式实现了,由APT31策划的一场非常有趣的活动在2021年浮出水面。攻击者利用受感染的 SOHO 路由器网络(特别是 Pakedge RK1、RE1 和 RE2 模型)并将其用作匿名网络并托管 C2。
5G漏洞的出现
2020 年是5G 技术发展的关键一年。研究人员预测这方面的漏洞会逐渐增多,果然2021 年就发现了许多与 5G 相关产品的漏洞,甚至可能是协议本身的漏洞。争议似乎主要局限于法律领域,但仍有一些有趣的研究,确定可能允许攻击者提取凭据或位置信息的安全问题。
勒索赎金
事实证明,自2019年以来就出现的勒索赎金攻击就一直非常猖狂,已经成为网络攻击者的日常操作。然而,从众多执法机构和官员的各种逮捕和联合声明来看,很明显,对勒索软件问题的反应正在变得更有条理。10月,美国政府对REvil的活动进行了回击。
更具破坏性的攻击
事实证明,这个预测是准确的。 2021 年最具标志性的网络事件之一是对 Colonial Pipeline 的勒索软件攻击。在攻击过程中,Colonial Pipeline的设备受到影响,进而导致美国出现严重的供应问题。科洛尼尔管道运输公司被迫支付 440 万美元的赎金,但幸运的是,美国司法部追回了 230 万美元。
2021 年 7 月,一场网络攻击使伊朗交通部及其国家铁路系统的网站奔溃,导致火车服务大范围中断,这是一种前所未见的可重复使用的擦拭器恶意软件“Meteor”发起攻击的结果。后来,在 10 月,类似的攻击影响了伊朗所有的加油站。没有任何组织声称对这两起攻击事件负责。
攻击者将继续利用疫情
2020年,研究人员看到多个APT组织针对参与COVID-19疫苗开发的学术机构和研究中心发起攻击。其中包括带有WellMess恶意软件的DarkHotel和APT29(又名CozyDuke和CozyBear)(由英国国家网络安全中心发布)。今年,研究人员又看到ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat等多个APT组织尝试使用COVID-19诱饵来攻击目标。通过跟踪,研究人员将该攻击归因于一个名为SideCopy的攻击者,该攻击者使用与covid -19相关的诱饵,针对亚洲和中东的外交和政府组织,以及托管恶意HTA和JS文件的受攻击网站。活动有多个方面,包括执行链,使用的恶意软件,基础设施重叠,PDB路径和其他 TTP,这让研究人员想起在同一地区运营的其他组织,例如 SideWinder、OrigamiElephant、Gorgon group 或 Transparent Tribe。然而,没有一个发现的相似之处足以将这组活动归因于已知的攻击组织。
以下是研究人员预测的2022 年的一些攻击趋势
私人供应商开发的监控软件会进一步增加 APT 攻击规模
如上所述,今年,私人供应商开发的监控软件的使用成为人们关注的焦点。考虑到这项业务的潜在盈利能力,以及该软件对目标人群的影响,研究人员相信此类软件的供应商将发挥更大的作用,至少在政府寻求对其使用进行监管之前。已经有一些迹象表明这种情况正在发生。 2021 年 10 月,美国商务部工业与安全局 (BIS) 推出了一项临时最终规则,该规则定义了商业监控软件何时需要出口许可证:目的是防止向其他国家传播监控工具,同时允许合法的安全研究和交易继续进行。
与此同时,恶意软件供应商和攻击性安全行业将致力于支持新老玩家的持续发力。
大量移动设备受到攻击
十多年来,针对移动设备的恶意软件断断续续地出现在新闻中。这与主流操作系统的流行程度密切相关。到目前为止,移动设备上最流行的两种操作系统是iOS和Android以及其他基于Android/ linux的复制品。从一开始,他们就有非常不同的理念,iOS依赖于一个封闭的应用程序商店,只允许经过审查的应用程序,而Android则更加开放,允许用户直接在设备上安装第三方应用程序。这导致了针对这两个平台的恶意软件类型的巨大差异;虽然基于android的终端受到大量网络犯罪恶意软件的困扰(尽管无法摆脱APT的攻击),但iOS主要是先进国家支持的网络间谍的目标。在2021年,Pegasus 项目为原本晦涩的 iOS 零点击零日攻击世界带来了新的攻击方向;并且在野外报告的 iOS 零日漏洞比任何其他年份都多。
从攻击者的角度来看,移动设备是理想的目标,它们包含有关其私人生活的详细信息,而且感染很难预防或检测。与用户可以选择安装安全套件的 PC 或 Mac 不同,此类产品在 iOS 上要么瘫痪,要么不存在。这为 APT 创造了一个绝佳的机会,任何国家资助的攻击都不想错过。2022年,研究人员将看到针对移动设备的更复杂的攻击被揭露。
更多供应链攻击
今年研究人员看到了一些值得注意的供应链攻击,我们已经在上面讨论了 APT 发起者采用这种方法的情况。但研究人员也看到攻击者利用供应商安全方面的漏洞来危害受感染公司的客户。突出的示例包括 5 月对美国石油管道系统的攻击、6 月对全球肉类生产商的攻击以及 7 月针对 MSP(托管服务提供商)及其客户的攻击。此类攻击代表供应链中某处漏洞被攻击者给利用了,这些供应链漏洞对攻击者来说特别有价值。因此,供应链攻击将成为 2022 年及以后的增长趋势。
继续利用居家办公的趋势
随着疫情趋势变得越来越严峻,居家办公已经成了一种趋势。由于家庭网络安全防护较差,这将继续为攻击者提供破坏公司网络的机会。比如使用社会工程来获取凭证和对企业服务进行暴力攻击,以期找到保护不力的服务器。此外,由于许多人继续使用自己的设备,攻击者将寻找新机会利用未受保护或未打补丁的家用计算机作为进入企业网络的入口。
META地区APT攻击增加,特别是非洲
造成这种情况的主要驱动因素将是全面加剧的地缘政治紧张局势,从而影响基于间谍活动的网络攻击活动的增加。历史上,地缘政治一直是影响网络攻击的主要因素——经济、技术和外交事务等其他因素,目的是为了国家安全目的窃取敏感数据。尽管当前疫情严重,但至少自 2020 年 1 月以来,中东和土耳其的地缘政治紧张局势已显着加剧,并且可能会继续如此。
非洲已经成为城市化速度最快的地区,吸引了数百万美元的投资。与此同时,非洲大陆上的许多国家在海上贸易方面处于战略地位。这一点以及该地区防御能力的不断提高,使研究人员相信2022年将在META地区,尤其是非洲发生重大APT攻击。
对云安全和外包服务的攻击激增
由于云计算提供的便利性和可扩展性,越来越多的公司将云计算纳入其业务模式。 DevOps 活动导致许多公司采用基于微服务并在第三方基础设施上运行的软件架构,这些基础设施通常只需要一个密码或API密钥就可以被接管。
从更广泛的意义上说,这一预测涉及在线文档编辑、文件存储、电子邮件托管等外包服务。第三方云提供商现在集中了足够多的数据来吸引攻击者的注意,并将成为复杂攻击的主要目标。
低级攻击的回归:Bootkit病毒再次被滥用
Bootkit是更高级的Rootkit,该概念最早于2005年被eEye Digital公司在他们的“BootRoot"项目中提及,该项目通过感染MBR(磁盘主引记录)的方式,实现绕过内核检查和启动隐身。可以认为,所有在开机时比Windows内核更早加载,实现内核劫持的技术,都可以称之为Bootkit。卡巴斯基在 2021 年发布的报告表明,对 bootkit 的攻击性研究依然活跃:要么现在隐身收益超过风险,要么低级开发变得更容易获得。研究人员预计会在 2022 年发现更高级的此类攻击。此外,随着安全启动变得越来越普遍,攻击者将需要在此安全机制中找到漏洞以绕过它并继续部署他们的恶意工具。