卡巴斯基发布2021年APT预测报告

首页 / 业界 / 报告 /  正文
作者:CNTIC情报组编译
来源:国家网络威胁情报共享开放平台
发布于:2020-11-23
卡巴斯基(Kaspersky)发布了2021年的高级威胁趋势预测报告。报告首先回顾了去年的高级威胁,然后根据今年的观察,预测了未来一年将会出现更多攻击形式。比如针对5G的攻击,以COVID-19为热门话题的社工手法,以及通过“vishing”获取企业内网访问权限等的攻击方式。报告指出,为了应对以上攻击,更多的机构应该采取必要的防御措施,保护自身的网络安全。国家也需要通过法律的手段,加强对网络犯罪的打击力度。

APT攻击

卡巴斯基的报告首先对2020年高级威胁的特点进行了回顾:

1、伪造身份攻击
伪造其他攻击者的攻击特征是APT组织惯用的策略,这样能够误导安全分析人员,隐匿身份。今年,值得关注的攻击活动是MontysThree和DeathStalker,其中DeathStalker使用了Sofacy的证书,来误导分析人员。

2、针对性勒索攻击
去年,卡巴斯基预测攻击者会使用更有针对性的方式向受害者勒索钱财。而今年,几乎每周都会发生勒索钱财的事件,包括最近对美国多家医院的袭击。甚至还出现了“中间人”,他们能够与攻击者进行谈判,以降低赎金。一些攻击者会在加密数据之前先窃取数据,然后向受害者施压——威胁公布机密数据,以达到获取赎金的目的。在最近针对心理治疗机构的勒索事件中,攻击者公开了患者的敏感数据。

3、线上支付的新型攻击手段
今年还没有看到任何针对支付系统的大规模攻击。但是,金融机构仍是FIN7,Silence,CobaltGroup,Magecart以及Lazarus等APT组织的攻击目标。

4、更多的非PC端攻击
APT组织并没有将活动局限于Windows平台,比如Lazarus组织的MATA框架,Turla的Penquin_x64后门。今年还出现了多平台、多架构工具的使用,比如在TunnelSnake攻击行动中使用的Termite和Earthworm。这些工具能够在目标机器上传输数据和建立远程shell,支持x86、x64、MIPS(ES)、SH-4、PowerPC、SPARC和M68k等架构。除此之外,卡巴斯基还发现了包含受损UEFI固件镜像的MosaicRegressor框架,其用于将恶意软件释放到受感染机器上。

5、亚洲和欧洲之间贸易沿线地区的攻击事件增多
在2020年,卡巴斯基观察到几个APT组织将此前不太受关注的国家作为攻击目标。有一些恶意软件攻击了科威特、埃塞俄比亚、阿尔及利亚、缅甸和中东的政府机构。除此之外,StrongPity在他们的主要攻击组件StrongPity4的基础上进行了新的改良,感染了土耳其以外的中东地区。

6、攻击方式复杂化
除了上面提到的UEFI恶意软件,合法云服务(YouTube,Google Docs, Dropbox, Firebase)也作为了攻击基础设施的一部分(无论是区域限定攻击,还是托管恶意软件并用于C2通信)。

7、更多的移动设备攻击
越来越多的APT组织开发了针对移动设备的工具,包括OceanLotus(海莲花),TwoSail Junk背后的组织,还有Transparent Tribe,OrigamiElephant等其他APT组织。

8、个人信息的滥用
更多的泄露或者被盗的个人信息被用于威胁攻击。APT组织不再像以前那样需要与受害者持续通信,以感染目标系统。例如,在Lazarus的“ThreatNeedle”攻击活动中,试图引诱受害者启用宏。攻击者还使用人工智能软件模仿高管的声音,欺骗一名经理将超过24万英镑转入攻击者的银行账户。

接下来,卡巴斯基根据今年观察到的趋势特点,对未来一年的高级威胁趋势进行了预测。

1、APT组织将会购买基础设施
在过去的一年里,许多有针对性的勒索软件攻击使用通用恶意软件,如Trickbot,以获得目标网络的访问权限。卡巴斯基还观察到了针对性的勒索软件攻击和地下经济之间的联系,比如用窃取的证书进行交易的Genesis。APT组织将会使用同样的方法来进行攻击活动。

2、越来越多的国家将进行法律起诉
卡巴斯基曾预测,各国政府将采取“点名羞辱”的方式,以引起人们对敌对的APT组织的关注。美国网络司令部(Cyber Command)持续性的公开发布敌对APT组织的工具和活动的报告,这一举措会导致其它国家效仿,尤其是为了报复美国的指控。美国网络司令部(Cyber Command)认为网络空间的战争需要与对手全面交战,以干扰他们的行动,比如提供一些威胁指标,让威胁情报机构可以利用这些指标展开新的调查。

暴露组织的工具集并不是什么新鲜事:影子经纪人泄密就是一个典型的例子。然而,这是第一次以官方身份通过国家机构进行这项工作。卡巴斯基认为2021年将有更多国家实施这一战略:与美国结盟的国家可能会首先开始,随后,被披露的目标国家可能会作为一种报复形式,纷纷效仿。

3、更多的企业将会对0day经纪人采取行动
最近,0day经纪人售卖一些知名商业产品的漏洞,在过去一年左右的时间里,出现了一些备受瞩目的案件,比如WhatsApp的漏洞导致一些名人账号被盗——包括亚马逊CEO贝索斯和记者贾马尔·卡舒吉。2019年10月,WhatsApp提起诉讼,指控位于以色列的NSO组织利用了其软件中的一个漏洞,攻击了20个不同国家的1400多个客户,包括人权活动人士、记者等。一位美国法官随后裁定,该诉讼将被受理。该案件的结果可能会导致其他公司对利用0day漏洞进行攻击的APT组织进行法律维权。卡巴斯基认为,面对公众的压力,其他公司将会效仿WhatsApp,对0day经纪人采取行动,以证明他们正在努力保护客户的合法权益。

4、增加以网络设备为目标的攻击行为
疫情期间居家办公增多,有更多的企业依赖VPN开展业务。远程工作需求日益增加,而对vpn的依赖,打开了另一个潜在的攻击形式:APT组织可以通过社会工程方法(如“vishing”)获取用户登录VPNs的凭证,以获得访问企业内部网络权限。这意味着攻击者不用向受害者主机部署恶意软件就可以达成他们的入侵目标。

5、5G漏洞
今年,5G吸引了全球各地的广泛关注,随之而来的是对5G安全的关注。随着5G使用量的增加,越来越多的设备开始依赖5G,攻击者将有更大的动机寻找可以利用的5G漏洞。

6、“恐吓”式勒索
这些年来,勒索软件团伙的策略已逐渐在演变。攻击已经从随机的、大批量的攻击潜在受害者,演变为高度定向的攻击,能够从单一受害者一次性勒索巨额钱款。攻击者根据受害者的支付能力、加密数据的重要程度以及攻击产生的影响力等,精心挑选目标群体。

如果一家公司拒绝支付攻击者要求的赎金,攻击者就会威胁公布被盗数据,以此来获取最大效益。随着勒索软件团伙寻求收益最大化,这一趋势可能会进一步发展。

今年,Maze和Sodinokibi倡导各组织之间的加盟合作。虽然,目前勒索软件的生态系统仍然非常多样化,但是,未来主流勒索软件攻击者可能会合作,以获得类似APT组织的能力。不过卡巴斯基预测,在未来的一段时间里,较小的团伙将继续采用现有的方法,依靠僵尸网络和第三方勒索软件。

7、更多的破坏性攻击
人们的生活越来越多依赖于互联网,因此未来很可能会看到更广泛的破坏性攻击。一方面,这种破坏可能是由旨在影响关键基础设施的定向、精心策划的攻击。另一方面,可能是对教育机构、超市、邮政服务和公共交通等大规模的勒索软件攻击,这将会影响到人们的正常生活。

8、持续以COVID-19为话题的攻击
今年,新冠肺炎几乎影响了人们生活的方方面面,世界因此发生了天翻地覆的变化。包括APT组织在内的攻击者们很快抓住了这个机会,利用了人们对这个话题的浓厚兴趣展开了攻击行动。在未来一段时间内,新冠肺炎将继续影响我们的生活,而威胁组织将继续利用这一点在目标系统中获取访问权限。在过去6个月中,有APT组织将目标对准了COVID-19研究中心。英国国家网络安全中心(NCSC)表示,APT29(又名Dukes,Cozy Bear)的攻击目标就是针对COVID-19疫苗开发。

点击此处查看报告原文。