试图预测未来几乎是一件不太可能的事情。不过,尽管我们没有能够预测未来的水晶球,但我们可以尝试利用过去12个月中观察到的趋势做出一些合理的猜测,从而确定攻击者在近期内可能会寻求和利用的领域。
让我们先回顾一下我们曾对2020年作出的预测。
· 虚旗攻击的下一个阶段
今年,我们还没有看到类似Olympic Destroyer一样,将一个恶意模块打造得看起来像另一个威胁者的作品,这实在是太戏剧性了。但是,使用虚旗无疑已成为APT小组转移别人关注的一种既定方法。今年值得注意的事件还包括MontysThree和DeathStalker。有趣的是,在DeathStalker的案例中,威胁者将臭名昭着的Sofacy证书元数据合并到其基础结构中进行了秘密交易,以获取他们的操作被错误归因的机会。
· 从勒索软件到目标勒索软件
去年,我们重点介绍了向目标勒索软件的转变,并预测攻击者将使用更具攻击性的方法从受害者那里勒索金钱。今年,几乎每周都发生了有人试图从大型组织勒索资金的消息,包括最近对美国多家医院的袭击。我们还看到了“经纪人”的出现,他们提出与攻击者进行谈判,以试图降低赎金的费用。一些攻击者似乎对受害者施加了更大的压力,即在加密数据之前窃取数据,并威胁要发布数据;并在最近的一次事件中,由于攻击者发布了患者的敏感数据,这甚至影对许多病人的心理治疗产生了严重的影响。
· 新的网上银行和支付攻击载体
今年我们还没有看到对支付系统的比较引人注目的攻击。尽管如此,金融机构仍然是FIN7、CobaltGroup、Silent和Magecart等专业网络犯罪组织以及Lazarus等APT威胁者的攻击目标。
· 更多的基础架构攻击和针对非PC目标的攻击
从Lazarus的MATA框架扩展、Turla的Penquin_x64后门开发以及5月针对欧洲超级计算中心的案例可见,APT威胁行动者并未将其活动限制在Windows上。我们还看到了在TunnelSnake的操作中使用了多平台、多体系结构的工具,例如Termite和Earthworm,这些工具能够在目标机器上创建隧道、传输数据并生成远程Shell,从而支持x86,x64,MIPS(ES),SH-4,PowerPC,SPARC和M68k。最重要的是,我们还发现了被称为MosaicRegressor的框架,其中包括一个受感染的UEFI固件映像,该映像旨在将恶意软件投放到受感染的计算机上。
· 沿亚欧之间贸易路线沿线地区的攻击日益增加
2020年,我们观察到一些APT威胁参与者针对的目标是以前不太受到关注的国家。我们看到攻击者使用各种恶意软件攻击科威特、埃塞俄比亚、阿尔及利亚、缅甸和中东的政府机构。此外,我们还观察到StrongPity正在部署其最新版本的主植入物,这一版本被称为StrongPity4。2020年,我们发现了位于土耳其以外中东地区的感染了StrongPity4的受害者。
· 攻击方法越来越复杂
除了上面提到的UEFI恶意软件外,我们还看到合法的云服务(YouTube,Google Docs,Dropbox,Firebase)已作为攻击基础架构的一部分被使用(地理围栏攻击或托管恶意软件,用于C2通信)。
· 进一步关注移动攻击
从我们今年发布的报告中可以明显看出这一点。近年来,我们已经看到越来越多的APT参与者开发出了针对移动设备的工具。今年的威胁工具包括TwoSail Junk背后的威胁行为者OceanLotus,以及Transparent Tribe,OrigamiElephant等。
· 个人信息的滥用:从伪造到DNA泄漏
在近距离攻击和人身攻击中使用到了更多被泄漏或是被盗的个人信息。威胁者比以往任何时候都更敢于与受害者进行积极的通信,这是他们鱼叉式网络钓鱼行动的一部分,他们致力于破坏目标系统。例如,Lazarus的ThreatNeedle活动以及DeathStalker的行为都反映了这一点,他们都在努力迫使受害者启用宏。犯罪分子使用AI软件一名高管的声音,诱使经理将超过24万元的英镑转入诈骗者控制的银行帐户。
如果说要对未来做出一些预见,我们认为以上就是基于目前所观察到的情况,在未来一年集我们需要重点关注的问题。
APT威胁者将从网络罪犯那里购买初始网络访问权限
去年,我们观察到许多使用通用恶意软件(例如Trickbot)的具有针对性的勒索软件攻击,在目标网络中站稳了脚跟。我们还观察到,这些有针对性的勒索软件攻击与类似Genesis这样的成熟的地下网络之间建立了联系,这些网络经常相互交换盗取的凭证。我们认为,APT参与者将开始使用相同的方法来破坏其目标。各类组织应更加关注通用恶意软件,并在每台受感染的计算机上运行基本事件响应活动,以确保通用恶意软件未被用于部署复杂的威胁。
越来越多的国家将法律诉讼纳入其网络战略的一部分
几年前,我们预测政府将采取“点名批评”的方式,以引起人们对敌对APT组织活动的关注。在过去的12个月中,我们已经看到了几起案例。我们认为,美国网络司令部的“持久参与”战略将在来年开始见效,并引起其他国家的效仿。持续参与战略包括公开发布关于威胁者的工具和活动的报告。美国网络司令部认为,网络空间的战争在本质上是不同的,需要与对手进行全职接触,以干扰他们的行动。他们这样做的原因之一是,威胁情报机构可以利用这些来促进新调查,在某种意义上,这是一种通过情报解密来定向私人研究的方法。
以这种方式被公开的工具,对攻击者而言使用起来将会非常困难,并且可能会暴露过去不为人知的活动。面对这种新的威胁,威胁者必须在其风险/收益计算中考虑额外的成本(如丢失工具,或暴露这些工具的可能性大大增加)。
APT组的工具库被暴露并不是什么新鲜事:Shadow Brokers的连续泄漏就是一个鲜活的例子。但是,这是第一次由国家机构以官方身份进行的操作。虽然无法量化威慑的影响,尤其是在没有外交渠道讨论这些问题的情况下,但我们相信,更多国家将在2021年将会遵循这一战略。首先,向来与美国结盟的一些国家可能会开始模仿这个操作,随后会开始模仿所披露的目标。
更多硅谷公司将对0day的经纪人采取行动
近年来,0day经纪人都在利用一些漏洞交易知名的商业产品。微软,谷歌,Facebook等大公司似乎很少关注此类交易。但是在过去一年左右的时间里,发生了一些引人注目的案件,据称这些案件是使用WhatsApp漏洞,包括Jeff Bezos和Jamal Khashoggi等入侵帐户的。在2019年10月,WhatsApp提起诉讼,指控位于以色列的NSO Group利用了其软件中的漏洞,NSO出售的技术被用来针对20个不同国家和地区的1,400多名客户,其中包括人权活动人士、记者和其他人。一名美国法官随后裁定,该诉讼可以继续进行。该案的结果可能会产生深远的影响,其中最重要的一点是,这可能导致其他公司对利用0day漏洞进行交易的公司提起法律诉讼。我们认为,不断增加的公众压力以及声誉受损的风险,可能会使其他公司效仿WhatsApp的做法,对0day经纪人采取行动,以向其客户证明他们正在想办法保护客户的安全。
对网络应用平台的关注增加
随着组织安全性的全面提高,我们认为威胁者将更加倾向于利用VPN网关等网络设备中的漏洞。实际上,这种情况已经发生了,详情请点击Forget Your Perimeter:
· RCE in Pulse Connect Secure (CVE-2020-8218)(https://www.gosecure.net/blog/2020/08/26/forget-your-perimeter-rce-in-pulse-connect-secure/)
· SonicWall VPN Portal Critical Flaw (CVE-2020-5135)(https://www.zdnet.com/article/hacker-groups-chain-vpn-and-windows-bugs-to-attack-us-government-networks/)
· Hacker groups chain VPN and Windows bugs to attack US government networks(https://www.tripwire.com/state-of-security/vert/sonicwall-vpn-portal-critical-flaw-cve-2020-5135/)。
这与疫情期间居家远程工作的趋势密切相关,因为这使得更多的公司在其业务中依赖VPN设置。对远程工作的日益关注以及对VPN的依赖,开辟了另一种潜在的攻击媒介:通过现实世界中的社会工程方法(例如“VIGHY”)收集用户凭据以获得对企业VPN的访问。在某些情况下,这可能使攻击者甚至无需在受害者的环境中部署恶意软就可以完成间谍活动目标。
5G漏洞的出现
5G今年吸引了很多关注,美国对其友好国家施加了很大的压力,以阻止它们购买华为产品。在许多国家和地区也有类似的关于可能存在健康风险的恐吓性报导。这种对5G安全的关注意味着无论是公共还是私人机构的研究人员肯定都在关注华为和其他同类公司的产品,以发现实施问题、加密漏洞甚至后门的迹象。任何此类漏洞肯定会引起媒体的广泛关注。随着5G使用量的增加,以及越来越多的设备依赖于5G,攻击者将更加积极地寻找可以利用的漏洞。
威胁:索要赎金
多年来,勒索软件团伙使用的策略发生了一些变化和完善。最值得注意的是,攻击已从随机的、投机性的攻击演变为具有针对性的攻击,并且每一次攻击都使得受害者付出了相当大的代价。攻击者根据受害者的支付能力、对加密数据的依赖以及攻击的影响,精心选择受害者。尽管勒索团伙承诺不以医院为攻击目标,但也没有任何部门被认为是不可供给的禁区,正如这一年我们都在见证勒索团伙对医疗中心和医院的攻击。
我们还看到,如果一家公司没能支付攻击者所要求赎金,勒索软件团伙就会威胁说要发布所窃取的数据。随着勒索软件团伙在寻求投资回报的最大化,这一趋势可能会进一步发展。
勒索软件问题已变得十分普遍,以至外国资产管理办公室(OFAC)向受害者发布了声明,告知受害者支付勒索款项可能构成违反国际制裁的行为。我们将此声明解读为美国当局对网络犯罪世界进行更广泛打击的开始。
今年,Maze和Sodinokibi两大团伙都率先提出了一种“附属”模式,涉及团伙之间的合作。尽管如此,勒索软件生态系统仍然非常多样化。在不久的将来,我们可能会看到一些主要的威胁者将变得更加活跃并获得类似APT的功能。但是,规模较小的团伙将继续采用依靠僵尸网络和第三方勒索软件等固有的方法。
更具破坏性的攻击
我们生活中越来越多的地方都在变得越来越依赖技术和互联网,我们将遭受更广泛的攻击。因此,将来我们可能会看到更多破坏性的攻击。一方面,这种破坏可能是一些定向的、有组织的攻击造成的。另一方面,这些损害可能是附带的结果,是大规模勒索软件针对我们日常生活中常见组织(例如教育机构,超级市场,邮政和公共交通等)进行攻击所产生的副作用。
攻击者将继续利用COVID-19疫情
今年,COVID-19使得我们周围的世界发生了翻天覆地的变化,几乎影响了我们生活的每个方面。各种各样的攻击者,包括APT威胁行为者,迅速抓住机会,充分利用了人们对这一话题的兴趣。但正如我们之前所指出的,这并不意味着TTPs发生了变化,而只是一个可以被他们用作社会工程诱饵的话题。在未来一段时间内,大流行病将持续影响我们的生活,威胁者也将继续利用这一点在目标系统中立足。在过去的六个月中,有报告称APT群体将目标对准了COVID-19研究中心。英国国家网络安全中心(NCSC)表示,APT29(又名Dukes and Cozy Bear)瞄准了COVID-19疫苗的开发。只要疫情还在持续,这就仍然会是是他们攻击的目标。
