2020威胁预测回顾
虚假标志攻击
使用虚假标志已成为APT转移研究人员注意力的惯用伎俩,MontysThree和DeathStalker的攻击活动中都出现了虚假标志。在DeathStalker中,攻击者将Sofacy证书元数据合并到其基础结构中,从而迷惑研究人员。
从勒索软件到目标勒索软件
勒索软件发生转变,攻击者使用更具攻击性的方法向受害者索要金钱。今年每个星期都会有大型组织被勒索资金的消息,还看到了“经纪人”的出现,他们主动与攻击者进行谈判,以试图降低赎金。 一些攻击者在加密数据之前先窃取数据并以此威胁受害者。
新的银行攻击手段
今年还没有看到对支付系统的任何重大攻击,金融机构仍然受到FIN7,CobaltGroup,Silent和Magecart等专业网络犯罪组织以及Lazarus等APT的威胁。
基础架构攻击和针对非PC目标的攻击
Lazarus MATA框架扩展,Turla的Penquin_x64后门开发以及5月针对欧洲超级计算中心的攻击都说明了APT的活动不仅限于Windows。 TunnelSnake操作中使用了多平台,多体系结构的工具,例如Termite和Earthworm。 这些工具能够在目标机器上创建隧道,传输数据并生成远程Shell,支持x86,x64,MIPS(ES),SH-4,PowerPC,SPARC和M68k。 还发现了MosaicRegressor框架,该框架包括一个受感染的UEFI固件镜像,旨在将恶意软件植入受感染的计算机。
亚欧贸易路线地区袭击事件增加
发现一些APT针对的新的目标国家,以及各种针对科威特,埃塞俄比亚,阿尔及利亚,缅甸和中东政府目标的恶意软件。还观察到StrongPity正在升级版本(StrongPity4),并攻击土耳其以外的中东地区。
越来越复杂的攻击方法
除了上述UEFI恶意软件外,还发现将合法的云服务(YouTube,Google Docs,Dropbox,Firebase)用作攻击基础架构的一部分 。
重点转移到移动攻击上
越来越多的APT组织开发针对移动设备的工具,例如OceanLotus,透明部落,OrigamiElephant等。
2021威胁预测
网络访问权限交易
去年观察到许多使用通用恶意软件(例如Trickbot)的目标勒索软件攻击,攻击者在目标网络中建立控制点,并出售网络准入凭证。组织应更加关注通用恶意软件,并在每台受感染的计算机上执行基本的响应处理,阻止攻击者进一步部署更复杂的攻击。
法律起诉成为网络战略一部分
政府会采取“点名羞辱”的方式引起人们对APT组织活动的关注。政府“持续参与”战略将在明年开始见效,并会有多国开始效仿,尤其是对美国的起诉进行“针锋相对”的报复。美国网络司令部认为,网络空间战争具有根本性质的不同,需要与对手进行全面接触,干扰他们的行动,方式之一就是引导情报机构进行调查——从某种意义上说,这是一种通过情报解密引导私人研究的方式。
网络设备目标增加
攻击者将更加关注VPN网关等网络设备中的漏洞。今年以来更多的公司依赖VPN,远程工作生成了另一个潜在的攻击向量:通过社会工程方法获取用户凭证,获得对企业VPN的访问。
5G漏洞
5G今年备受关注,美国更是阻止华为产品进入该国和其盟国。对5G安全性的关注意味着,无论是公共还是私人研究员都在关注华为和其他公司的5G产品,寻找加密漏洞、可疑后门等问题。随着5G使用量的增加,越来越多的设备依赖于它,攻击者将花费更多的精力寻找漏洞。
“威胁”要钱
这些年来,勒索团伙使用的策略发生变化和改进。攻击已经从随机的、投机性的传播,发展成了高针对性攻击。攻击者会根据支付能力、数据重要度以及攻击产生的影响筛选目标。如果受害者未能支付赎金,他们就会发布窃取的数据。随着勒索团伙寻求收益最大化,这一趋势可能会进一步发展。
更具破坏性的攻击
生活中越来越多的方面依赖于互联网,因此出现了比以往更大的攻击面。将来可能会看到更多破坏性攻击,可能是针对关键基础设施的定向攻击; 也可能是附带性的损害,例如对教育机构,邮政和公共交通的攻击。
攻击者将继续利用COVID-19
COVID-19颠覆世界并将继续影响我们的生活,攻击者也将继续利用这一点进行深入攻击。
原文链接
来源:freebuf.com 2020-11-20 09:43:44 by: Kriston
请登录后发表评论
注册