2023年APT攻擊走向何方:更大膽、更復雜、更具破壞性?
責編:gltian |2022-12-05 16:43:48網絡攻擊的猛烈程度凸顯了過去一年高級持續威脅(APT)攻擊的一個變化:2022年,地緣政治緊張局勢加劇,網絡行動隨之成為各國政府的首選戰略。專家表示,雖然俄羅斯和其他國家過去曾使用網絡攻擊來支持軍事行動,但這場正在進行的戰爭代表了迄今為止最持久的網絡行動,而且毫無疑問將在來年繼續進行。
11月,烏克蘭總統透露,該國的IT防御系統抵御了1,300多次俄羅斯網絡攻擊,包括對衛星通信基礎設施的攻擊。
微軟威脅情報中心公司副總裁兼杰出工程師John Lambert在公司上個月發布的《2022年數字防御報告》中表示,軍事沖突將與網絡犯罪一起成為APT組織背后的驅動力。
他說:“烏克蘭的沖突提供了一個非常典型的例子,說明網絡攻擊如何演變為在地面軍事沖突的同時影響世界。” “電力系統、電信系統、媒體和其他關鍵基礎設施都成為物理攻擊和網絡攻擊的目標。”
雖然俄羅斯對APT攻擊的增加是去年發生的最明顯的變化,但APT正在不斷發展。越來越多的人轉向關鍵基礎設施,采用軍民兩用工具和離地技術,并精確定位軟件供應鏈以接近目標公司。
網絡犯罪分子正在使用越來越復雜的工具,但APT技術通常歸因于民族國家的行動,這意味著公司需要更加了解高級威脅參與者使用的技術以及他們可能如何受到地緣政治問題的激勵,網絡安全服務公司CrowdStrike高級副總裁Adam Meyers說。
“沒有一種統一的威脅——它會隨著業務垂直和地理位置的不同而變化,”他說。“我們多年來的口頭禪 – 沒有惡意軟件問題,你有對手問題,如果你考慮那些對手是誰,他們追求什么以及他們如何運作,那么你會處于更好的位置來防御他們。”
衛星通信等關鍵基礎設施成為重點目標
2021年,對石油和天然氣分銷商Colonial Pipeline的攻擊凸顯了網絡安全漏洞可能對美國經濟產生的影響。同樣,今年對 Viasat衛星通信系統的攻擊(可能是俄羅斯發起的)表明APT威脅參與者繼續專注于通過網絡攻擊破壞關鍵基礎設施。這一趨勢在過去一年中勢頭強勁,微軟警告說,該公司作為警報向客戶發出的民族國家通知(NSN)的數量增加了一倍以上,其中 40%的攻擊針對關鍵基礎設施,而在美國,這一比例在前一年為20%。
關鍵基礎設施不僅僅是民族國家行為者的目標。卡巴斯基在其最近發布的APT預測中表示,專注于勒索軟件的網絡犯罪分子還以關鍵基礎設施公司為目標,并采取黑客和泄密策略。
“我們相信,2023年,我們將看到創紀錄數量的破壞性和損毀性網絡攻擊,影響政府、工業和關鍵的民用基礎設施——例如,可能是電網或公共廣播,”卡巴斯基首席安全研究員大衛·埃姆說。“今年,物理基礎設施的脆弱性變得很明顯,因此我們可能會看到針對水下電纜和光纖分配中心的攻擊。”
攻擊工具多樣化復雜化
Cobalt Strike已成為APT組織中的流行工具,因為它為攻擊者(以及當用于其合法目的時,紅隊和滲透測試人員)提供了漏洞利用后的能力、隱蔽的通信渠道和協作的能力。網絡安全公司Trellix的安全研究員萊安德羅·貝拉斯科 (Leandro Velasco)表示,紅隊工具“在從國家資助的APT到出于政治動機的威脅組織的無數活動中出現”。
然而,隨著防御者越來越關注檢測Cobalt Strike和流行的Metasploit Framework,威脅參與者已經轉向替代方案,包括商業攻擊模擬工具Brute Ratel C4和開源工具Sliver。
“Brute Ratel C4 ……特別危險,因為它的設計旨在避免被防病毒和EDR系統檢測到,”卡巴斯基的Emm說。他說,其他新興工具包括Manjusaka,它為Windows和Linux編寫了用Rust編寫的植入程序,以及用于后期開發的遠程開發和控制包inja。
身份攻擊更加廣泛
在冠狀病毒大流行之后,遠程工作——以及支持此類工作的云服務——變得越來越重要,導致攻擊者將這些服務作為身份攻擊的目標。例如,微軟公司在其報告中表示,每秒發生921次攻擊,數量比過去一年增加了74%。
事實上,身份已成為保護基礎設施和企業安全的關鍵組成部分,同時也成為APT組織的主要目標。CrowdStrike的邁耶斯說,在過去一年中,CrowdStrike調查的每一次違規和入侵都有一個身份組成部分。
“我們過去常說信任,但要核實,但新的口頭禪是先核實再信任,”他說。“這些攻擊者已經開始瞄準身份的軟肋……這是系統的一個復雜部分。”
IT供應鏈攻擊更加惡化
對SolarWinds的攻擊和Log4J2中被廣泛利用的漏洞表明,軟件供應中的漏洞為攻擊者提供了機會,公司應該期望APT組織通過對軟件供應鏈的攻擊來創建自己的漏洞。
雖然目前還沒有重大事件發生,但攻擊者已經針對Python生態系統進行了針對開源存儲庫的依賴混淆攻擊和針對Python開發人員的網絡釣魚攻擊。總體而言,針對開發人員和公司的攻擊數量在過去一年中增加了650%以上。
此外,APT參與者正在尋找供應商和供應商關系中的弱點并加以利用。例如,根據微軟的報告,今年1月,與伊朗有關聯的 DEV-0198組織通過使用來自第三方物流公司的被盜憑據入侵了一家以色列云提供商。
“過去一年的活動表明,威脅行為者……比組織本身更了解組織信任關系的情況,”報告稱。“這種增加的威脅強調了組織需要了解并強化其數字資產的邊界和入口點。”
Trellix的Velasco說,為了加強對APT組織和高級攻擊的防御,公司應該定期驗證他們的網絡安全衛生,制定和部署事件響應策略,并將可操作的威脅情報源集成到他們的流程中。他說,為了使身份攻擊更加困難,多因素身份驗證應該成為常規。
“到2023年,簡單的安全規劃不足以防御或阻止攻擊者,”Velasco說。“系統防御者需要實施更主動的防御方法。”
原文鏈接
https://www.darkreading.com/threat-intelligence/advanced-cyberattackers-disruptive-hits-new-technologies
來源:網空閑話