对未来进行预测是一件棘手的事情。尽管我们没有能够揭示未来的水晶球,但我们可以尝试使用过去12个月中观察到的趋势做出有根据的猜测,以识别攻击者可能在近期内寻求未来利用的领域。
让我们开始反思我们对2020年的预测。
虚假标志攻击(假旗)的下一个层次
今年,我们还没有看到像伪造恶意模块那样使它看起来像另一个威胁参与者的作品那样引人注目的事情。但是,使用虚假标志无疑已成为APT小组试图将注意力转移到其活动之外的一种既定方法。今年值得注意的例子包括MontysThree和DeathStalker的竞选活动。有趣的是,在DeathStalker案中,攻击者将臭名昭著的Sofacy的证书元数据合并到其基础结构中,来误导防守方的归因操作。
从勒索软件到目标勒索软件
去年,我们重点介绍了向目标勒索软件的转变,并预测攻击者将使用更具攻击性的方法从受害者那里勒索金钱。今年,几乎没有一周没有任何消息试图从大型组织中勒索资金,包括最近对美国多家医院的袭击。我们还看到了“经纪人”的出现,他们愿意与攻击者进行谈判,以试图降低赎金的费用。一些攻击者似乎施加了更大的压力,即在加密数据之前先窃取数据并威胁要发布;并在最近的一次事件中,影响了大规模的心理治疗实践,攻击者发布了患者的敏感数据。
新的网上银行和支付攻击媒介
今年我们还没有看到对支付系统的任何戏剧性攻击。尽管如此,金融机构仍然是FIN7,CobaltGroup,Silent和Magecart等专业网络犯罪组织以及Lazarus等APT威胁参与者的攻击目标。
更多的基础设施攻击和针对非PC目标的攻击
APT威胁行动者并未将其活动限制在Windows上,例如Lazarus的MATA框架的扩展,Turla的Penquin_x64后门的开发以及5月针对欧洲超级计算中心的目标。我们还看到在TunnelSnake操作中使用了多平台,多体系结构的工具,例如Termite和Earthworm 。这些工具能够在目标机器上创建隧道,传输数据并生成远程Shell,从而支持x86,x64,MIPS(ES),SH-4,PowerPC,SPARC和M68k。最重要的是,我们还发现了我们称为MosaicRegressor的框架,其中包括一个受感染的UEFI固件映像,该映像旨在将恶意软件丢弃到受感染的计算机上。
沿着亚洲和欧洲之间贸易路线的地区的攻击日益增多
在2020年,我们观察到一些APT威胁参与者针对的是以前不太受到关注的国家。我们看到华语演员使用的各种恶意软件针对科威特,埃塞俄比亚,阿尔及利亚,缅甸和中东的政府目标。我们还观察到StrongPity正在部署其主植入物的新的改进版本,称为StrongPity4。2020年,我们发现了位于土耳其以外中东地区的StrongPity4感染的受害者。
攻击方法越来越复杂
除了上述UEFI恶意软件外,我们还看到合法的云服务(YouTube,Google Docs,Dropbox,Firebase)已用作攻击基础架构的一部分(地理围栏攻击或托管恶意软件,用于C2通信)。
对移动攻击的关注点进一步改变
从我们今年发布的报告中可以明显看出这一点。每年,我们已经看到越来越多的APT参与者开发针对移动设备的工具。今年的威胁行为者包括TwoSail Junk背后的威胁行为者OceanLotus,以及Transparent Tribe,OrigamiElephant等。
个人信息的滥用:从深层的假货到DNA泄漏
在近距离和人身攻击中,泄漏/被盗的个人信息比以往任何时候都得到了更多的利用。威胁行动者比以往任何时候都更害怕与受害者进行积极的持续通信,这是他们的鱼叉式网络钓鱼行动的一部分,他们致力于破坏目标系统。例如,我们在拉撒路(Lazarus)的ThreatNeedle活动中以及在DeathStalker努力迫使受害者启用宏的过程中都看到了这一点。犯罪分子使用AI软件模仿高级管理人员的声音,诱使经理将超过24万英镑转入欺诈者控制的银行帐户;与政府和执法机构用于监控面部识别软件。
将我们的注意力转向未来,这些是根据我们今年观察到的趋势,我们认为将在来年集中的一些发展。
APT威胁参与者将从网络罪犯那里购买初始网络访问权限
去年,我们观察到许多使用通用恶意软件(例如Trickbot)的目标勒索软件攻击,从而在目标网络中立足。我们还观察到有针对性的勒索软件攻击与建立良好的地下网络(如Genesis)之间的联系,这些网络通常以被盗的凭证进行交易。我们认为,APT参与者将开始使用相同的方法来破坏其目标。组织应更加关注通用恶意软件,并在每台受感染的计算机上执行基本的事件响应活动,以确保不使用通用恶意软件来部署复杂的威胁。
越来越多的国家将法律起诉作为其网络战略的一部分
几年前,我们预测政府将诉诸“命名和羞辱”,以引起对敌对APT团体活动的关注。在过去的12个月中,我们已经看到了几起案例。我们认为,美国网络司令部的“持久参与”战略将在来年开始硕果累累,并导致其他州效仿,尤其是对美国起诉书的“针锋相对”报复。持续参与需要公开发布有关对手工具和活动的报告。美国网络司令部认为,网络空间的战争本质上是不同的,它要求与敌方专职接触以破坏其作战。他们这样做的方法之一是提供威胁情报界可以用来引导新调查的指标-在某种意义上,
以这种方式“燃烧”的工具对于攻击者而言变得更难使用,并且可能破坏过去的活动,而这些活动本来就不为人知。面对这种新威胁,计划攻击的对手必须在其风险/收益计算中考虑额外的费用(丢失工具或暴露这些工具的可能性增加)。
公开APT组的工具集并不是什么新鲜事:Shadow Brokers的连续泄漏提供了一个引人注目的示例。但是,这是第一次通过国家机构以官方身份进行。虽然无法量化威慑的影响,尤其是在没有进入讨论此类问题的外交渠道的情况下,但我们认为,更多国家将在2021年遵循这一战略。首先,传统上与美国结盟的国家可能会开始复制这一过程,然后稍后,此类披露的目标可能会作为报复的形式而效仿。
更多硅谷公司将对零日经纪人采取行动
直到最近,零日经纪人都在利用著名的商业产品进行交易。微软,谷歌,Facebook等大公司似乎对交易几乎没有关注。但是,在过去一年左右的时间里,有一些引人注目的案件,据称这些帐户是使用WhatsApp漏洞(包括Jeff Bezos和Jamal Khashoggi)入侵的。在2019年10月,WhatsApp提起诉讼,指控总部位于以色列的NSO Group利用了其软件中的漏洞; NSO出售的技术被用来针对20个不同国家/地区的1,400多名客户,其中包括人权活动家,记者和其他人。一名美国法官随后裁定诉讼可以继续进行。该案的结果可能会产生深远的影响,其中最重要的一点是可能导致其他公司对处理零日漏洞的公司提起法律诉讼。我们认为,不断增加的公众压力以及声誉受损的风险,可能会导致其他公司效仿WhatsApp的做法,对零日经纪人采取行动,以向其客户证明他们正在寻求保护自己。
网络设备的定位增加
随着组织安全性整体改善的趋势,我们认为参与者将更加关注利用VPN网关等网络设备中的漏洞。我们已经开始看到这种情况发生了–有关更多详细信息,请参见此处,此处和此处。这与向在家工作的转变齐头并进,需要更多的公司在其业务中依赖VPN设置。对远程工作的日益关注以及对VPN的依赖,开辟了另一种潜在的攻击媒介:通过现实世界中的社会工程方法(例如“诱捕”)收集用户凭据获得对企业VPN的访问。在某些情况下,这可能使攻击者甚至可以完成间谍活动目标,而无需在受害者的环境中部署恶意软件。
5G漏洞的出现
5G今年吸引了很多关注,美国对友好国家施加了很大的压力,以阻止它们购买华为产品。在许多国家/地区,也有许多关于可能的健康风险的恐吓故事等。这种对5G安全的关注意味着,无论是公共还是私人研究人员,肯定会在研究华为和其他公司的产品,以发现实施问题,加密漏洞的迹象。甚至后门。任何此类缺陷肯定会引起媒体的广泛关注。随着5G使用率的提高,更多设备变得依赖于它提供的连接性,攻击者将更有动力寻找可以利用的漏洞。
索要金钱“有威胁”
多年来,我们已经看到勒索软件帮派使用的策略有一些变化和完善。最为明显的是,攻击已从分发给大量潜在受害者的随机,推测性攻击演变为针对性强的攻击,一次需要从单个受害者身上获得更高的回报。根据受害者的支付能力,对加密数据的依赖以及攻击的广泛影响,精心选择受害者。尽管勒索软件帮派做出了不以医院为目标的承诺,但也没有任何部门被认为是不可逾越的。交付方法还针对目标组织进行了定制,正如我们全年对医疗中心和医院的攻击所见。
我们还看到勒索软件帮派试图通过威胁威胁,以在公司未能支付攻击者要求的赎金的情况下发布被盗数据来获取更大的杠杆作用。随着勒索软件帮派寻求最大的投资回报率,这一趋势可能会进一步发展。
勒索软件问题已变得十分普遍,以至外国资产管理办公室(OFAC)向受害者发布了指示,并澄清说,支付勒索款项可能构成违反国际制裁的行为。我们将此声明解释为美国当局对网络犯罪世界进行更广泛镇压的开始。
今年,迷宫和索迪诺基比帮派都率先提出了一种“联盟”模式,涉及团体之间的合作。尽管如此,勒索软件生态系统仍然非常多样化。将来,我们可能会看到一些主要的勒索软件参与者,他们将开始专注于他们的活动并获得类似APT的功能。但是,在不久的将来,较小的帮派将继续采用既定的方法,该方法依靠piggy带僵尸网络和采购第三方勒索软件。
更具破坏性的攻击
我们生活中越来越多的方面变得越来越依赖技术和互联网连接。结果,我们呈现出比以往更大的攻击面。因此,将来我们可能会看到更多破坏性攻击。一方面,这种破坏可能是由旨在影响关键基础架构的定向,精心策划的攻击造成的。另一方面,它可能是附带的损害,它是针对针对我们日常生活中使用的组织的大规模勒索软件攻击的副作用而发生的,例如教育机构,超级市场,邮政和公共交通。
攻击者将继续利用COVID-19大流行
COVID-19颠覆了世界,今年影响了我们生活的几乎每个方面。各种各样的攻击者迅速抓住机会,充分利用了对这一话题的浓厚兴趣,其中包括APT威胁参与者。正如我们之前所指出的,这并不意味着TTP发生了变化,而只是一个持久的关注话题,可以用作社会工程学的诱饵。大流行将继续影响我们的生活一段时间。威胁参与者将继续利用这一点在目标系统中立足。在过去六个月中,已经有针对APT小组的报告,这些小组针对的是COVID-19研究中心。英国国家网络安全中心(NCSC)表示,APT29(又名公爵和舒适熊)针对COVID-19疫苗开发。只要大流行持续下去,这将仍然是他们的战略利益目标。
来源:freebuf.com 2020-11-20 10:30:26 by: makaisghr
请登录后发表评论
注册