隨著 2022 年接近尾聲��,從測(cè)試數(shù)量的角度審視這個(gè)動(dòng)蕩的一年中最令人擔(dān)憂的威脅��,提供了一個(gè)基于威脅的視角���,即是什么觸發(fā)了網(wǎng)絡(luò)安全團(tuán)隊(duì)檢查他們對(duì)特定威脅的脆弱程度��。這些是在2022 年 1 月 1 日至 12 月 1 日期間使用Cymulate 安全態(tài)勢(shì)管理平臺(tái)驗(yàn)證彈性時(shí)經(jīng)過(guò)最多測(cè)試的威脅。
與 Cobalt Strike 和 Sliver 框架(都是為紅隊(duì)商業(yè)化生產(chǎn)和設(shè)計(jì)����,但被威脅行為者盜用和濫用)相關(guān),這種新興的攻擊框架有可能被惡意行為者廣泛使用����。
Manjusaka 在 Rust 中攜帶 Windows 和 Linux 植入物����,并免費(fèi)提供現(xiàn)成的 C2 服務(wù)器�����,并有可能創(chuàng)建自定義植入物�。
Manjusaka 從一開(kāi)始就是為犯罪使用而設(shè)計(jì)的���,2023 年可以定義為犯罪使用的增加���,因?yàn)樗敲赓M(fèi)分發(fā)的�����,并且會(huì)減少犯罪對(duì)濫用商用模擬和仿真框架的依賴(lài),例如 Cobalt Strike���、Sliver����、 Ninja���、Bruce Ratel C4等
在撰寫(xiě)本文時(shí)�����,沒(méi)有跡象表明曼殊薩卡的創(chuàng)作者是國(guó)家贊助的����。
Powerless Backdoor 是今年最流行的與伊朗相關(guān)的威脅,旨在避免 PowerShell 檢測(cè)��。它的功能包括下載瀏覽器信息竊取器和鍵盤(pán)記錄器����、加密和解密數(shù)據(jù)���、執(zhí)行任意命令以及激活終止進(jìn)程����。
歸因于伊朗的直接威脅數(shù)量已從 8 個(gè)躍升至 17 個(gè),是 2021 年同期的兩倍多。然而���,自 9 月 14 日美國(guó)財(cái)政部外國(guó)資產(chǎn)控制辦公室 (OFAC)對(duì)伊朗網(wǎng)絡(luò)行為者實(shí)施制裁以來(lái),它已經(jīng)大大放緩�,從那時(shí)起逐漸歸咎于伊朗的一次攻擊。
伊朗當(dāng)前的政治緊張局勢(shì)無(wú)疑會(huì)影響 2023 年的襲擊頻率,但在現(xiàn)階段�,很難評(píng)估這些頻率是會(huì)增加還是會(huì)減少����。
針對(duì)美國(guó)各州政府的 APT 41
APT 41 targeting U.S. State Governments
APT41已經(jīng)被標(biāo)記為在 2021 年非常活躍�,在 2022 年沒(méi)有放緩的跡象��,對(duì) APT41 活動(dòng)的調(diào)查發(fā)現(xiàn)了針對(duì)美國(guó)州政府的蓄意攻擊活動(dòng)的證據(jù)����。
APT 41 使用偵察工具��,例如 Acunetix、Nmap���、SQLmap�、OneForAll�、subdomain3�、subDomainsBrute 和 Sublist3r。它還會(huì)發(fā)起大量攻擊類(lèi)型��,例如網(wǎng)絡(luò)釣魚(yú)���、水坑攻擊和供應(yīng)鏈攻擊���,并利用各種漏洞初步危害受害者��。最近�,有人看到他們使用公開(kāi)可用的工具 SQLmap 作為初始攻擊向量��,在網(wǎng)站上執(zhí)行 SQL 注入。
今年 11 月�����,一個(gè)新的子組 Earth Longhi 加入了與 APT 41 相關(guān)的綽號(hào)列表(ARIUM����、Winnti、LEAD�、WICKED SPIDER、WICKED PANDA���、Blackfly����、Suckfly、Winnti Umbrella�、Double Dragon)����。
今年 CISA 標(biāo)記的另外兩起朝鮮的攻擊事件包括使用 Maui 勒索軟件和加密貨幣盜竊活動(dòng)。Lazarus 子集團(tuán) BlueNoroff 今年似乎已經(jīng)從加密貨幣專(zhuān)業(yè)領(lǐng)域分支出來(lái)���,也瞄準(zhǔn)與加密貨幣連接的 SWIFT 服務(wù)器和銀行����。自 2022 年 1 月 1 日以來(lái)���,Cymulate 將七種直接威脅與 Lazarus 聯(lián)系起來(lái)�。
由于與俄羅斯的沖突�����,烏克蘭處于高度戒備狀態(tài)�,通過(guò)挫敗針對(duì)高壓變電站的網(wǎng)絡(luò)物理攻擊企圖證明了其有效性��。該攻擊被稱(chēng)為 Industroyer2�,以紀(jì)念 2016 年的 Industroyer 網(wǎng)絡(luò)攻擊��,顯然是針對(duì)烏克蘭的發(fā)電站,但收效甚微,導(dǎo)致基輔部分地區(qū)的電力中斷約一小時(shí)。
Industroyer2 定制目標(biāo)級(jí)別包括針對(duì)特定變電站的唯一參數(shù)的靜態(tài)指定可執(zhí)行文件集。
不幸的是�����,烏克蘭在保護(hù)其關(guān)鍵設(shè)施方面的網(wǎng)絡(luò)彈性無(wú)力抵御動(dòng)能攻擊�����,而俄羅斯現(xiàn)在似乎選擇了更傳統(tǒng)的軍事手段來(lái)摧毀發(fā)電站和其他民用設(shè)施�。據(jù)ENISA稱(chēng),烏克蘭與俄羅斯沖突的副作用是針對(duì)政府�、公司和能源����、交通����、銀行和數(shù)字基礎(chǔ)設(shè)施等重要部門(mén)的網(wǎng)絡(luò)威脅再次出現(xiàn)。
總之,在今年最受關(guān)注的五個(gè)威脅中����,有四個(gè)與國(guó)家支持的威脅行為者直接相關(guān)�����,第五個(gè)背后的威脅行為者不為人知,地緣政治緊張局勢(shì)似乎是最緊迫的威脅擔(dān)憂的根源對(duì)于網(wǎng)絡(luò)安全團(tuán)隊(duì)��。
由于國(guó)家支持的攻擊者通??梢栽L問(wèn)大多數(shù)公司無(wú)法獲得的網(wǎng)絡(luò)資源��,因此針對(duì)復(fù)雜攻擊的先發(fā)制人防御應(yīng)集中在安全驗(yàn)證和持續(xù)流程上���,重點(diǎn)是識(shí)別和關(guān)閉上下文安全漏洞����。
