2023年APT攻击趋势预测:下一个WannaCry即将出现!

卡巴斯基安全研究与分析团队GReAT对2023年的APT攻击进行了分析预测。

网络攻击愈演愈烈,全世界人们都应当时刻做好应对准备。卡巴斯基安全研究与分析团队GReAT在上一年对高级威胁的预估分析均得到印证,近日,团队又对2023年的APT攻击进行了分析预测。

破坏性攻击的兴起

2022年残酷的地缘政治变化,将在未来几年内产生持续的连带影响。历史表明,这种紧张局势总是转化为网络活动的增加——有时是为了收集情报,有时是为了发出外交信号。我们预计,冲突的白热化将导致2023年出现前所未有的严重网络攻击。

具体而言,我们预计明年将观察到创纪录数量的破坏性APT攻击,严重影响政府部门和关键行业。需要注意的是,其中一部分很可能难以追溯,攻击者将制造出“随机事故”的假象,其余的将伪装成勒索软件攻击或黑客操作的形式,以便为幕后黑手提供足够的借口。

此外,我们还担心部分APT攻击将会针对民用基础设施(例如能源网或公共广播)以及难以抵御物理破坏的水下电缆和光纤。

邮件服务器成为优先目标

在过去的几年里,我们看到APT攻击者越来越关注电子邮件软件,它们意味着大量软件堆栈,必须支持许多协议,并且必须面向互联网才能正常运行。邮件市场头部产品Microsoft Exchange和Zimbra都面临着关键漏洞(预身份验证RCE),这些漏洞在补丁发布之前就被攻击者大量利用。

我们认为,对邮件软件漏洞的研究才刚刚开始。邮件服务器祸不单行,既拥有APT攻击者感兴趣的关键情报,又提供了可以想象的最大攻击面。2023 年很可能是所有主要电子邮件软件的零日之年。我们鼓励系统管理员立即为这些计算机设置监视系统,因为修补(即使是及时修补)也可能不足以保护它们。

下一个WannaCry

据统计,一些规模最大、影响最广的网络攻击每6-7年发生一次。最近的事件要追溯到2017年臭名昭著的WannaCry勒索软件攻击,利用极其强大的永恒之蓝漏洞自动传播到易受攻击的机器。

幸运的是,能够创建蠕虫的漏洞很少见且相距甚远,并且需要满足许多条件才能适用(漏洞利用的可靠性、目标计算机的稳定性等)。很难预测下一次何时会出现,但我们会大胆猜测它将在明年发生。增加此类事件可能性的一个潜在原因是,世界上最高水平的攻击者可能至少拥有一种合适的漏洞可利用,而当前的紧张局势大大增加了ShadowBrokers式黑客和漏洞攻击发生的可能性。

APT目标转向空间技术领域

距离美国战略防御计划(绰号“星球大战”)计划将军事能力扩展到包括空间技术,已经过去了近40年。虽然这些事情在1983年似乎有点牵强,但有几个国家成功地干扰了环绕地球的卫星。

APT攻击者已经能够劫持卫星通信,如果Viasat事件有任何迹象,那么APT攻击者将来可能会越来越多地将注意力转向对卫星技术的操纵和干扰,从而使此类技术的安全性变得更加重要。

“入侵-泄露”是新的黑夜

关于“网络战”是否真的会发生仍然存在很多争论。但很显然,一种新的混合冲突形式目前正在展开,其中就包括“入侵-泄露”行动。

这种手法包括突破目标,公开发布内部文件和电子邮件。勒索软件组织已经将这种策略作为向受害者施压的一种方式,但APT攻击者可能会利用这种策略来达到纯粹的破坏性目的。在过去, APT组织曾泄露竞争威胁集团的数据,或创建网站传播个人信息。虽然很难从旁观者的角度对此进行评估,但他们现在无疑已是形势所趋,并将在2023年涌现大量案例。

更多APT集团将从CobaltStrike转向其他替代品

CobaltStrike于2012年发布,是一种威胁模拟工具,旨在帮助红队了解攻击者可以用来渗透网络的方法。不幸的是,它已经与Metasploit框架一起成为网络犯罪集团和APT攻击者的首选工具。但我们认为,一些攻击者将开始使用其他替代方案。

Brute Ratel C4是替代方案之一,这是一种高度危险的商业攻击模拟工具,旨在避免防病毒和EDR保护的检测。另一个替代方案是开源攻击性工具Sliver。

除了攻击者滥用的现成产品外,APT工具集中可能还包含其他工具。其中一款,Manjusaka,被宣传为CobaltStrike框架的仿制品。这个工具的植入物是用 Windows 和 Linux 的 Rust 语言编写的。用Golang编写的C&C功能齐全的版本是免费提供的,可以轻松生成具有自定义配置的新植入物。另一个是Ninja,这是一种提供大量命令的工具,允许攻击者控制远程系统,避免检测并深入目标网络。

总体而言,我们怀疑CobaltStrike受到了防御者的过多关注(特别是在基础设施方面),并且APT组织将尝试使其工具集多样化,以保持不被发现。

基于信号情报的恶意软件

自从斯诺登事件揭露美国国家安全局使用的FoxAcid/Quantum黑客系统以来,已经过去了近10年。它们涉及利用“与美国电信公司的合作伙伴关系”,将服务器放置在互联网主干网的关键位置,从而使它们能够进行man-on-the-side攻击。这是可以想象的最强大的攻击向量之一,因为它们允许受害者在没有任何交互作用的情况下被感染。此类攻击极难被发现,但我们预测,它们将在2023年变得越来越普遍。

无人机黑客攻击

使用商业级无人机来实现近距离黑客攻击。近年来民用无人机在航程和能力上大步提升。安装一个恶意的Wi-Fi接入点或IMSI捕捉器并不复杂,抑或是有足够工具允许收集用于离线破解Wi-Fi密码的WPA握手。另一种攻击场景是使用无人机将恶意U盘丢在禁区内,希望路人捡到并将其插入设备。总之,我们认为这是一种有可能的攻击向量,可能会被大胆的攻击者或已经擅长混合物理和网络入侵的专家所使用。

此次GReAT团队所预测的部分结果正如我们此前多次强调的,APT攻击组织不会一成不变,他们积极寻求技术创新与手法多变,并且将目标更多地转向关键基础设施领域。近期我国发布的《关基安全保护要求》也已经明确对组织提出了持续性攻防演练、采取模拟网络攻击检测实际防护和响应能力等措施要求。塞讯安全度量验证平台利用真实自动化APT攻击场景来帮助企业持续验证安全防御有效性,7*24全天候追踪互联网攻击组织,及时更新攻击库,还原攻击手法,为各组织、企业提供丰富的验证手段。

| 参考来源

https://securelist.com/advanced-threat-predictions-for-2023/107939/