卡巴斯基：2022年APT威脅趨勢預測

近日，卡巴斯基在其官方博客上發布了《2022 年APT威脅趨勢預測》并在2021年現狀基礎上，給出了對2022年高級可持續威脅攻擊（APT）網絡安全威脅的八大趨勢預測。過去一年中，APT的攻擊風格和威脅程度不斷演變。盡管其性質不斷變化，但仍可以從最近的APT趨勢總結經驗，以預測未來一年可能出現的情況。

2021基礎現狀

APT攻擊者從網絡罪犯處購買初始網絡訪問權

去年，預測表明APT和網絡犯罪世界在操作層面上變得更為松散，APT攻擊者將利用深網市場，出售所入侵公司的訪問權。這一預測似乎已經實現了。黑莓公司發布了一份報告，該報告圍繞名為Zebra 2104的實體展開，該實體是一個 “初始訪問經紀人”。據研究，Zebra 2104已經為勒索軟件運營商提供了入侵受害者的最初立足點。更有趣的是，盡管StrongPity APT完全專注于情報收集，但也使用了他們的服務。由于這是在攻擊準備階段發生的活動，通常無法看到，APT和網絡犯罪間可能存在更多不為人知的互動。

增加網絡設備目標

編寫該預測時，主要考慮所有針對VPN設備的惡意活動的延續性。如本文第一部分所述，最突出的軟件漏洞最終反而影響了不同的程序（如Microsoft Exchange）。但還是有攻擊者（如APT10）利用這些漏洞劫持了VPN會話。但這一預測也以另一種方式實現了。2021年，由APT31策劃的一個非常有趣的活動浮出水面。在活動中，攻擊者利用了受感染的SOHO路由器網絡（特別是Pakedge RK1、RE1和RE2型號），將其作為匿名網絡并托管C2s。

5G漏洞出現

2020年是圍繞5G技術發展的緊張局勢加劇的一年。我們預計它們會變得更糟，2021年它們將表現出來的方式之一是發現和發布與5G相關的產品中的漏洞，甚至可能是協議本身中的漏洞。爭議似乎主要局限于法律領域，但仍有一些有趣的研究，確定了可能允許攻擊者提取憑據或位置信息的安全問題。

用威脅手段索要贖金

“威脅”贖金自2019年以來實施的“增強”勒索軟件策略已被證明足夠有效，足以成為犯罪劇本的一個組成部分。然而，從眾多執法機構和官員的各種逮捕和聯合聲明來看，很明顯，對勒索軟件問題的反應正變得更加有組織。10月，美國政府開展了進攻行動，以破壞REVIL的活動。這種日益增長的壓力及構成的生存威脅反映在勒索軟件生態系統的當前趨勢中。涉及被盜數據的勒索策略屢試不爽，可能不是犯罪集團當前的焦點。

攻擊更具破壞性

這一預測被證明是準確的。2021年最具標志性的網絡事件之一是對Colonial Pipeline的勒索軟件攻擊。在攻擊過程中，管理管道的設備受到影響，進而在美國造成重大供應問題。該基礎設施非常關鍵，以至于受害者感到被迫支付440萬美元的贖金，但幸運的是美國司法部追回230萬美元。

2021年7月，從未出現的雨刷（Meteor）使伊朗鐵路系統癱瘓。雪上加霜的是滯留乘客被邀請通過電話向地方當局投訴，這可能會影響到另一個政府職能部門的服務質量。10月份，類似的襲擊影響了該國所有加油站。

持續利用疫情

在2020年期間，多個APT團體針對參與開發COVID-19疫苗的學術機構和研究中心。這包括DarkHotel和APT29（又名CozyDuke和CozyBear）及其WellMess惡意軟件（由英國國家網絡安全中心（NCSC）鑒定）。今年，幾個APT組織試圖在其目標中使用COVID-19誘餌，如ScarCruft、LuminousMoth、EdwardsPhesant、BountyGlad、Kimsuky和ReconHellcat。我們追蹤到一個有趣的活動集群，后來能夠將其歸咎于一個公開稱為SideCopy的行為人，該活動針對亞洲和中東的外交和政府組織，使用與COVID-19有關的誘餌以及寄存惡意HTA和JS文件的受損網站。該活動涉及多個方面，包括執行鏈、使用的惡意軟件、基礎設施重疊、PDB路徑和其他TTP，與在同一地區活動的其他團體類似，如SideWinder、OrigamiElephant、Gorgon group 和Transparent Tribe。然而，發現的相似點都不足以將這組活動歸咎于已知的攻擊者。

現在，把注意力轉向未來。以下是在2022年的發展趨勢預測。

2022八大趨勢預測

私營部門支持新APT參與者的涌入

如上所述，今年，私人供應商開發的監控軟件的使用受到了關注。考慮到這項業務的潛在盈利能力，以及該軟件對目標用戶的影響，這類軟件的供應商被認為將發揮更大的作用，至少在政府尋求規范使用前是如此。有跡象表明這種情況已經發生。2021年10月，美國商務部工業和安全局（BIS）引入了一項臨時最終規則，規定商業監視軟件何時需要出口許可證：目的是防止向受軍備控制的國家分發監控工具，同時允許合法的安全研究和交易繼續進行。

與此同時，惡意軟件供應商和攻擊性安全行業將致力于在運營中支持新參與者的行動。

移動設備暴露在廣泛的攻擊之下

十多年來，針對移動設備的惡意軟件在新聞中斷斷續續出現。這與主流操作系統的流行密切相關。迄今為止，移動設備最流行的兩個操作系統是iOS和Android（以及其他基于Android/Linux的克隆）。從一開始，他們就有著截然不同的理念：iOS依賴于封閉的應用商店，只允許安裝經過審查的應用，而Android則更加開放，允許用戶直接在設備上安裝第三方應用。這導致了針對這兩個平臺的惡意軟件類型的巨大差異；基于Android的終端受到許多惡意軟件的困擾（盡管沒有擺脫APT攻擊），iOS主要是先進國家贊助的網絡間諜的目標。2021年，Pegasus項目為原本晦澀難懂的iOS零點、零日攻擊世界帶來了新的維度；而在野報告的iOS零日攻擊比任何一年都多。

從攻擊者的角度來看，移動設備是理想的目標，因其與主人如影隨形，包含其私人生活細節，感染難以預防或檢測。與PC或Mac不同，用戶可以選擇安裝安全套件，而這些產品在iOS上不是被削弱就是不存在。這為APT創造了一個特別的機會，任何國家支持的攻擊者都不想錯過這個機會。

供應鏈攻擊加劇

今年有一些值得注意的供應鏈攻擊，上面已經討論了APT攻擊者采用這種方法的情況。同時也看到網絡犯罪分子利用供應商安全方面的弱點，以損害被受害公司的客戶。突出的例子包括：5月對美國石油管道系統的攻擊、6月對全球肉類生產商的攻擊，以及7月對MSP（管理服務提供商）及其客戶的攻擊。這類攻擊代表了對供應鏈中某個環節的入侵；對攻擊者來說，它們特別有價值，因為提供了一舉進入其他目標的踏腳石。由于這個原因，供應鏈攻擊將成為2022年及以后的一個增長趨勢。

居家辦公的持續利用

盡管世界各地放寬了大流行病的封鎖規則，但許多員工仍遠程辦公，并且在未來成為主流趨勢。這將繼續為攻擊者提供破壞企業網絡的機會。這包括使用社會工程來獲取憑據和對企業服務進行暴力攻擊，以找到弱防護服務器。此外，由于大量用戶使用個人設備，而不是由企業IT團隊鎖定的設備，攻擊者將尋找新的機會利用未受保護或未打補丁的家用電腦，作為進入企業網絡的媒介。

META地區，APT入侵攻擊增加

這一趨勢的主要驅動力主要是地緣政治的全面緊張，繼而造成基于間諜的網絡攻擊活動的日益增長。在經濟、技術和外交事務等其他因素中，地緣政治歷來是影響網絡入侵的主要因素，其目的是竊取敏感數據用于國家安全目的。盡管目前的大流行病形勢影響著全球，但自2020年1月以來，中東和土耳其的地緣政治緊張局勢不斷加劇，并可能延續下去。

非洲已經成為城市化速度最快的地區，并吸引了數百萬美元的投資。同時，該大陸的許多國家在海上貿易方面處于戰略地位。這一點以及該地區防御能力的不斷提高，使我們相信2022年在中東，土耳其和非洲（META），特別是非洲，將出現重大的APT攻擊事件。

針對云安全和外包服務的攻擊激增

由于云計算提供的便利性和可擴展性，越來越多的公司正在將云計算納入其商業模式。Devops運動導致許多公司采用基于微服務的軟件架構，并在第三方基礎設施上運行，這些基礎設施通常只需要一個密碼或API密鑰就可以被接管。

這一最新的范例具有開發人員可能無法完全理解的安全含義，其中防御者幾乎沒有可見性，而且到目前為止，APT組織還沒有真正進行研究。相信后者將首先迎頭趕上。

從更廣泛的意義上講，這一預測涉及在線文檔編輯、文件存儲、電子郵件托管等外包服務。第三方云提供商集中了大量數據以吸引攻擊者注意，并將成為復雜攻擊的主要目標。

低級攻擊的回歸：引導程序再成 “熱門”

由于低級別的植入物具有造成系統故障的固有風險，以及創建這些植入物所需的復雜程度，攻擊者往往避而遠之。卡巴斯基在2021年發布的報告表明，對引導程序的攻擊性研究還在繼續：要么是隱蔽性收益現在超過風險，要么是低級別的開發更易獲取。預計在2022年將會發現更多此類先進的植入物。此外，隨著安全引導變得普遍，攻擊者將需要在此安全機制中找到利用或漏洞，以繞過并繼續部署其工具。

各國公布可接受的網絡犯罪實踐標準

過去十年中，整個行業觀察到一個趨勢，即網絡空間正變得越來越政治化，特別網絡戰爭方面。去年，我們預測，起訴等法律手段將成為西方國武庫的戰略部分，以增加攻擊成本。

然而，問題是：譴責網絡攻擊的國家，同時也以進行網絡攻擊而聞名。為了使抗議得更具影響力，公布區別可接受的和不可接受的網絡攻擊標準必不可少。2022年，卡巴斯基認為一些國家將公布網絡犯罪分類標準，準確地詳細說明哪些類型的攻擊載體（例如，供應鏈）和行為（例如，破壞性，影響民用基礎設施等）是禁區。