2023年APT攻击走向何方：更大胆、更复杂、更具破坏性？

网络攻击的猛烈程度凸显了过去一年高级持续威胁(APT)攻击的一个变化：2022年，地缘政治紧张局势加剧，网络行动随之成为各国政府的首选战略。专家表示，虽然俄罗斯和其他国家过去曾使用网络攻击来支持军事行动，但这场正在进行的战争代表了迄今为止最持久的网络行动，而且毫无疑问将在来年继续进行。

11月，乌克兰总统透露，该国的IT防御系统抵御了1,300多次俄罗斯网络攻击，包括对卫星通信基础设施的攻击。

微软威胁情报中心公司副总裁兼杰出工程师John Lambert在公司上个月发布的《2022年数字防御报告》中表示，军事冲突将与网络犯罪一起成为APT组织背后的驱动力。

他说：“乌克兰的冲突提供了一个非常典型的例子，说明网络攻击如何演变为在地面军事冲突的同时影响世界。” “电力系统、电信系统、媒体和其他关键基础设施都成为物理攻击和网络攻击的目标。”

虽然俄罗斯对APT攻击的增加是去年发生的最明显的变化，但APT正在不断发展。越来越多的人转向关键基础设施，采用军民两用工具和离地技术，并精确定位软件供应链以接近目标公司。

网络犯罪分子正在使用越来越复杂的工具，但APT技术通常归因于民族国家的行动，这意味着公司需要更加了解高级威胁参与者使用的技术以及他们可能如何受到地缘政治问题的激励，网络安全服务公司CrowdStrike高级副总裁Adam Meyers说。

“没有一种统一的威胁——它会随着业务垂直和地理位置的不同而变化，”他说。“我们多年来的口头禅 - 没有恶意软件问题，你有对手问题，如果你考虑那些对手是谁，他们追求什么以及他们如何运作，那么你会处于更好的位置来防御他们。”

卫星通信等关键基础设施成为重点目标

2021年，对石油和天然气分销商Colonial Pipeline的攻击凸显了网络安全漏洞可能对美国经济产生的影响。同样，今年对 Viasat卫星通信系统的攻击（可能是俄罗斯发起的）表明APT威胁参与者继续专注于通过网络攻击破坏关键基础设施。这一趋势在过去一年中势头强劲，微软警告说，该公司作为警报向客户发出的民族国家通知(NSN)的数量增加了一倍以上，其中 40%的攻击针对关键基础设施，而在美国，这一比例在前一年为20%。

关键基础设施不仅仅是民族国家行为者的目标。卡巴斯基在其最近发布的APT预测中表示，专注于勒索软件的网络犯罪分子还以关键基础设施公司为目标，并采取黑客和泄密策略。

“我们相信，2023年，我们将看到创纪录数量的破坏性和损毁性网络攻击，影响政府、工业和关键的民用基础设施——例如，可能是电网或公共广播，”卡巴斯基首席安全研究员大卫·埃姆说。“今年，物理基础设施的脆弱性变得很明显，因此我们可能会看到针对水下电缆和光纤分配中心的攻击。”

攻击工具多样化复杂化

Cobalt Strike已成为APT组织中的流行工具，因为它为攻击者（以及当用于其合法目的时，红队和渗透测试人员）提供了漏洞利用后的能力、隐蔽的通信渠道和协作的能力。网络安全公司Trellix的安全研究员莱安德罗·贝拉斯科 (Leandro Velasco)表示，红队工具“在从国家资助的APT到出于政治动机的威胁组织的无数活动中出现”。

然而，随着防御者越来越关注检测Cobalt Strike和流行的Metasploit Framework，威胁参与者已经转向替代方案，包括商业攻击模拟工具Brute Ratel C4和开源工具Sliver。

“Brute Ratel C4 ......特别危险，因为它的设计旨在避免被防病毒和EDR系统检测到，”卡巴斯基的Emm说。他说，其他新兴工具包括Manjusaka，它为Windows和Linux编写了用Rust编写的植入程序，以及用于后期开发的远程开发和控制包inja。

身份攻击更加广泛

在冠状病毒大流行之后，远程工作——以及支持此类工作的云服务——变得越来越重要，导致攻击者将这些服务作为身份攻击的目标。例如，微软公司在其报告中表示，每秒发生921次攻击，数量比过去一年增加了74%。

事实上，身份已成为保护基础设施和企业安全的关键组成部分，同时也成为APT组织的主要目标。CrowdStrike的迈耶斯说，在过去一年中，CrowdStrike调查的每一次违规和入侵都有一个身份组成部分。

“我们过去常说信任，但要核实，但新的口头禅是先核实再信任，”他说。“这些攻击者已经开始瞄准身份的软肋......这是系统的一个复杂部分。”

IT供应链攻击更加恶化

对SolarWinds的攻击和Log4J2中被广泛利用的漏洞表明，软件供应中的漏洞为攻击者提供了机会，公司应该期望APT组织通过对软件供应链的攻击来创建自己的漏洞。

虽然目前还没有重大事件发生，但攻击者已经针对Python生态系统进行了针对开源存储库的依赖混淆攻击和针对Python开发人员的网络钓鱼攻击。总体而言，针对开发人员和公司的攻击数量在过去一年中增加了650%以上。

此外，APT参与者正在寻找供应商和供应商关系中的弱点并加以利用。例如，根据微软的报告，今年1月，与伊朗有关联的 DEV-0198组织通过使用来自第三方物流公司的被盗凭据入侵了一家以色列云提供商。

“过去一年的活动表明，威胁行为者……比组织本身更了解组织信任关系的情况，”报告称。“这种增加的威胁强调了组织需要了解并强化其数字资产的边界和入口点。”

Trellix的Velasco说，为了加强对APT组织和高级攻击的防御，公司应该定期验证他们的网络安全卫生，制定和部署事件响应策略，并将可操作的威胁情报源集成到他们的流程中。他说，为了使身份攻击更加困难，多因素身份验证应该成为常规。

“到2023年，简单的安全规划不足以防御或阻止攻击者，”Velasco说。“系统防御者需要实施更主动的防御方法。”

原文链接

https://www.darkreading.com/threat-intelligence/advanced-cyberattackers-disruptive-hits-new-technologies

声明：本文来自网空闲话，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。