[[439910]]

在過去的 12 個月中，APT 威脅的風(fēng)格和嚴(yán)重程度不斷在變化。

在預(yù)測2022 年的高級威脅預(yù)測之前，讓我們先看看研究人員對 2021 年所做的預(yù)測。

• APT 發(fā)起者從攻擊者那里購買初始網(wǎng)絡(luò)訪問權(quán)限

去年，研究人員就預(yù)見到APT 發(fā)起者會利用暗網(wǎng)，因為攻擊者會在那里出售他們竊取的公司訪問權(quán)限。這一預(yù)測非常準(zhǔn)確，就在前幾天黑莓發(fā)布了一份報告，圍繞一個名為Zebra 2104的組織展開攻擊，該組織似乎是“初始訪問代理”。根據(jù)他們的研究，Zebra 2014 為勒索軟件運營商提供了進入一些受害者的初步立足點。但更有趣的是，盡管 StrongPity APT 完全專注于情報收集，但它似乎也使用了他們的服務(wù)。

• 越來越多的國家將法律起訴作為其網(wǎng)絡(luò)戰(zhàn)略的一部分

2020 年，研究人員就預(yù)測各國政府將采取法律起訴來引起人們對 APT 組織活動的關(guān)注，這一趨勢在去年進一步得到驗證。研究人員還預(yù)測各國將開始充分利用法律來打擊攻擊者，這被證明是絕對正確的。

4 月 15 日，白宮正式將 SolarWinds 供應(yīng)鏈攻擊歸咎于俄羅斯。在宣布這一消息的同時，財政部表示還要對幾家參與攻擊的公司進行制裁。

7 月 1 日，美國國家安全局、聯(lián)邦調(diào)查局、CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)和英國的 NCSC 發(fā)布了聯(lián)合咨詢警告，警告全球發(fā)生數(shù)百起暴力攻擊未遂事件， 這些攻擊是由Sofacy(又被稱為APT28或Fancy Bear)發(fā)起的，攻擊目標(biāo)包括政府和軍事機構(gòu)、國防承包商、政黨和咨詢公司、物流公司、能源公司、大學(xué)、律師事務(wù)所和媒體公司。

7月19日，美國宣布將在北約、歐盟和英國的支持下，譴責(zé)“網(wǎng)絡(luò)空間中不負(fù)責(zé)任和破壞穩(wěn)定的行為”。白宮的聲明特別提到了最近對Microsoft Exchange零日漏洞的利用。美國司法部還起訴了4名APT40成員從事非法計算機網(wǎng)絡(luò)活動。

以色列國防軍 (IDF) 聲稱，攻擊者一直在使用釣魚攻擊來引誘以色列士兵安裝間諜軟件。攻擊者使用 Facebook、Instagram 和 Telegram 上的六個社交媒體資料來吸引男性目標(biāo)的注意力，最終誘使他們在自己的手機上安裝據(jù)稱提供私人聊天功能的應(yīng)用程序。

9月24日，歐盟就自2017年3月以來一直在進行的旨在詆毀北約的“槍手”(Ghostwriter)虛假信息行動發(fā)表了一份聲明。據(jù)稱，這場攻擊涉及攻擊新聞網(wǎng)站或政府官員的社交媒體賬戶，以發(fā)布偽造文件、假新聞和誤導(dǎo)性觀點，以影響選舉，破壞當(dāng)?shù)氐恼紊鷳B(tài)系統(tǒng)，并制造對北約的不信任。盡管面臨威脅，歐盟最終決定還是不實施制裁。

• 更多硅谷公司將對零日經(jīng)紀(jì)商采取行動

在研究人員發(fā)布去年的預(yù)測后不久，微軟、谷歌、思科和戴爾加入了 Facebook 與 NSO 的法律戰(zhàn)爭中。法律訴訟仍在進行中，但據(jù)研究人員所知，目前還沒有針對其他零日或攻擊軟件供應(yīng)商的額外訴訟。

簡而言之，預(yù)測被證明是正確的，但也有可能是硅谷在等待第一次審判的結(jié)果，然后才對其他經(jīng)紀(jì)商采取行動。然而，11月3日，美國商務(wù)部向零日市場發(fā)出了一個非常強烈的信號，將幾家公司(NSO、Positive Technologies、COSEINC、Candiru)列入制裁清單，原因是“網(wǎng)絡(luò)工具交易”違反美國國家安全。

• 增加網(wǎng)絡(luò)設(shè)備的針對性

當(dāng)研究人員編寫此預(yù)測時，主要考慮的是針對虛擬網(wǎng)絡(luò)設(shè)備的所有惡意活動的延續(xù)。正如本文第一部分所述，最突出的軟件漏洞最終會影響不同的程序(例如 Microsoft Exchange)。盡管如此，研究人員還是觀察到了一些攻擊者，例如 APT10，他們正在利用這些漏洞來劫持虛擬網(wǎng)絡(luò)會話。

但這一預(yù)測也以另一種方式實現(xiàn)了，由APT31策劃的一場非常有趣的活動在2021年浮出水面。攻擊者利用受感染的 SOHO 路由器網(wǎng)絡(luò)(特別是 Pakedge RK1、RE1 和 RE2 模型)并將其用作匿名網(wǎng)絡(luò)并托管 C2。

• 5G漏洞的出現(xiàn)

2020 年是5G 技術(shù)發(fā)展的關(guān)鍵一年。研究人員預(yù)測這方面的漏洞會逐漸增多，果然2021 年就發(fā)現(xiàn)了許多與 5G 相關(guān)產(chǎn)品的漏洞，甚至可能是協(xié)議本身的漏洞。爭議似乎主要局限于法律領(lǐng)域，但仍有一些有趣的研究，確定可能允許攻擊者提取憑據(jù)或位置信息的安全問題。

• 勒索贖金

事實證明，自2019年以來就出現(xiàn)的勒索贖金攻擊就一直非常猖狂，已經(jīng)成為網(wǎng)絡(luò)攻擊者的日常操作。然而，從眾多執(zhí)法機構(gòu)和官員的各種逮捕和聯(lián)合聲明來看，很明顯，對勒索軟件問題的反應(yīng)正在變得更有條理。10月，美國政府對REvil的活動進行了回?fù)簟?/p>

• 更具破壞性的攻擊

事實證明，這個預(yù)測是準(zhǔn)確的。 2021 年最具標(biāo)志性的網(wǎng)絡(luò)事件之一是對 Colonial Pipeline 的勒索軟件攻擊。在攻擊過程中，Colonial Pipeline的設(shè)備受到影響，進而導(dǎo)致美國出現(xiàn)嚴(yán)重的供應(yīng)問題?？坡迥釥柟艿肋\輸公司被迫支付 440 萬美元的贖金，但幸運的是，美國司法部追回了 230 萬美元。

2021 年 7 月，一場網(wǎng)絡(luò)攻擊使伊朗交通部及其國家鐵路系統(tǒng)的網(wǎng)站奔潰，導(dǎo)致火車服務(wù)大范圍中斷，這是一種前所未見的可重復(fù)使用的擦拭器惡意軟件“Meteor”發(fā)起攻擊的結(jié)果。后來，在 10 月，類似的攻擊影響了伊朗所有的加油站。沒有任何組織聲稱對這兩起攻擊事件負(fù)責(zé)。

• 攻擊者將繼續(xù)利用疫情

2020年，研究人員看到多個APT組織針對參與COVID-19疫苗開發(fā)的學(xué)術(shù)機構(gòu)和研究中心發(fā)起攻擊。其中包括帶有WellMess惡意軟件的DarkHotel和APT29(又名CozyDuke和CozyBear)(由英國國家網(wǎng)絡(luò)安全中心發(fā)布)。今年，研究人員又看到ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat等多個APT組織嘗試使用COVID-19誘餌來攻擊目標(biāo)。通過跟蹤，研究人員將該攻擊歸因于一個名為SideCopy的攻擊者，該攻擊者使用與covid -19相關(guān)的誘餌，針對亞洲和中東的外交和政府組織，以及托管惡意HTA和JS文件的受攻擊網(wǎng)站。活動有多個方面，包括執(zhí)行鏈，使用的惡意軟件，基礎(chǔ)設(shè)施重疊，PDB路徑和其他 TTP，這讓研究人員想起在同一地區(qū)運營的其他組織，例如 SideWinder、OrigamiElephant、Gorgon group 或 Transparent Tribe。然而，沒有一個發(fā)現(xiàn)的相似之處足以將這組活動歸因于已知的攻擊組織。

以下是研究人員預(yù)測的2022 年的一些攻擊趨勢

• 私人供應(yīng)商開發(fā)的監(jiān)控軟件會進一步增加 APT 攻擊規(guī)模

如上所述，今年，私人供應(yīng)商開發(fā)的監(jiān)控軟件的使用成為人們關(guān)注的焦點。考慮到這項業(yè)務(wù)的潛在盈利能力，以及該軟件對目標(biāo)人群的影響，研究人員相信此類軟件的供應(yīng)商將發(fā)揮更大的作用，至少在政府尋求對其使用進行監(jiān)管之前。已經(jīng)有一些跡象表明這種情況正在發(fā)生。 2021 年 10 月，美國商務(wù)部工業(yè)與安全局 (BIS) 推出了一項臨時最終規(guī)則，該規(guī)則定義了商業(yè)監(jiān)控軟件何時需要出口許可證：目的是防止向其他國家傳播監(jiān)控工具，同時允許合法的安全研究和交易繼續(xù)進行。

與此同時，惡意軟件供應(yīng)商和攻擊性安全行業(yè)將致力于支持新老玩家的持續(xù)發(fā)力。

• 大量移動設(shè)備受到攻擊

十多年來，針對移動設(shè)備的惡意軟件斷斷續(xù)續(xù)地出現(xiàn)在新聞中。這與主流操作系統(tǒng)的流行程度密切相關(guān)。到目前為止，移動設(shè)備上最流行的兩種操作系統(tǒng)是iOS和Android以及其他基于Android/ linux的復(fù)制品。從一開始，他們就有非常不同的理念，iOS依賴于一個封閉的應(yīng)用程序商店，只允許經(jīng)過審查的應(yīng)用程序，而Android則更加開放，允許用戶直接在設(shè)備上安裝第三方應(yīng)用程序。這導(dǎo)致了針對這兩個平臺的惡意軟件類型的巨大差異;雖然基于android的終端受到大量網(wǎng)絡(luò)犯罪惡意軟件的困擾(盡管無法擺脫APT的攻擊)，但iOS主要是先進國家支持的網(wǎng)絡(luò)間諜的目標(biāo)。在2021年，Pegasus 項目為原本晦澀的 iOS 零點擊零日攻擊世界帶來了新的攻擊方向;并且在野外報告的 iOS 零日漏洞比任何其他年份都多。

從攻擊者的角度來看，移動設(shè)備是理想的目標(biāo)，它們包含有關(guān)其私人生活的詳細信息，而且感染很難預(yù)防或檢測。與用戶可以選擇安裝安全套件的 PC 或 Mac 不同，此類產(chǎn)品在 iOS 上要么癱瘓，要么不存在。這為 APT 創(chuàng)造了一個絕佳的機會，任何國家資助的攻擊都不想錯過。2022年，研究人員將看到針對移動設(shè)備的更復(fù)雜的攻擊被揭露。

• 更多供應(yīng)鏈攻擊

今年研究人員看到了一些值得注意的供應(yīng)鏈攻擊，我們已經(jīng)在上面討論了 APT 發(fā)起者采用這種方法的情況。但研究人員也看到攻擊者利用供應(yīng)商安全方面的漏洞來危害受感染公司的客戶。突出的示例包括 5 月對美國石油管道系統(tǒng)的攻擊、6 月對全球肉類生產(chǎn)商的攻擊以及 7 月針對 MSP(托管服務(wù)提供商)及其客戶的攻擊。此類攻擊代表供應(yīng)鏈中某處漏洞被攻擊者給利用了，這些供應(yīng)鏈漏洞對攻擊者來說特別有價值。因此，供應(yīng)鏈攻擊將成為 2022 年及以后的增長趨勢。

• 繼續(xù)利用居家辦公的趨勢

隨著疫情趨勢變得越來越嚴(yán)峻，居家辦公已經(jīng)成了一種趨勢。由于家庭網(wǎng)絡(luò)安全防護較差，這將繼續(xù)為攻擊者提供破壞公司網(wǎng)絡(luò)的機會。比如使用社會工程來獲取憑證和對企業(yè)服務(wù)進行暴力攻擊，以期找到保護不力的服務(wù)器。此外，由于許多人繼續(xù)使用自己的設(shè)備，攻擊者將尋找新機會利用未受保護或未打補丁的家用計算機作為進入企業(yè)網(wǎng)絡(luò)的入口。

• META地區(qū)APT攻擊增加，特別是非洲

造成這種情況的主要驅(qū)動因素將是全面加劇的地緣政治緊張局勢，從而影響基于間諜活動的網(wǎng)絡(luò)攻擊活動的增加。歷史上，地緣政治一直是影響網(wǎng)絡(luò)攻擊的主要因素——經(jīng)濟、技術(shù)和外交事務(wù)等其他因素，目的是為了國家安全目的竊取敏感數(shù)據(jù)。盡管當(dāng)前疫情嚴(yán)重，但至少自 2020 年 1 月以來，中東和土耳其的地緣政治緊張局勢已顯著加劇，并且可能會繼續(xù)如此。

非洲已經(jīng)成為城市化速度最快的地區(qū)，吸引了數(shù)百萬美元的投資。與此同時，非洲大陸上的許多國家在海上貿(mào)易方面處于戰(zhàn)略地位。這一點以及該地區(qū)防御能力的不斷提高，使研究人員相信2022年將在META地區(qū)，尤其是非洲發(fā)生重大APT攻擊。

• 對云安全和外包服務(wù)的攻擊激增

由于云計算提供的便利性和可擴展性，越來越多的公司將云計算納入其業(yè)務(wù)模式。 DevOps 活動導(dǎo)致許多公司采用基于微服務(wù)并在第三方基礎(chǔ)設(shè)施上運行的軟件架構(gòu)，這些基礎(chǔ)設(shè)施通常只需要一個密碼或API密鑰就可以被接管。

從更廣泛的意義上說，這一預(yù)測涉及在線文檔編輯、文件存儲、電子郵件托管等外包服務(wù)。第三方云提供商現(xiàn)在集中了足夠多的數(shù)據(jù)來吸引攻擊者的注意，并將成為復(fù)雜攻擊的主要目標(biāo)。

• 低級攻擊的回歸：Bootkit病毒再次被濫用

Bootkit是更高級的Rootkit，該概念最早于2005年被eEye Digital公司在他們的“BootRoot"項目中提及，該項目通過感染MBR(磁盤主引記錄)的方式，實現(xiàn)繞過內(nèi)核檢查和啟動隱身?？梢哉J(rèn)為，所有在開機時比Windows內(nèi)核更早加載，實現(xiàn)內(nèi)核劫持的技術(shù)，都可以稱之為Bootkit?？ò退够? 2021 年發(fā)布的報告表明，對 bootkit 的攻擊性研究依然活躍：要么現(xiàn)在隱身收益超過風(fēng)險，要么低級開發(fā)變得更容易獲得。研究人員預(yù)計會在 2022 年發(fā)現(xiàn)更高級的此類攻擊。此外，隨著安全啟動變得越來越普遍，攻擊者將需要在此安全機制中找到漏洞以繞過它并繼續(xù)部署他們的惡意工具。

本文翻譯自：https://securelist.com/advanced-threat-predictions-for-2022/104870/如若轉(zhuǎn)載，請注明原文地址。