防御者必須應(yīng)對(duì)的持續(xù)威脅之一是 APT：高級(jí)持續(xù)威脅。APT 攻擊者使用比典型攻擊者更復(fù)雜的策略來(lái)破壞網(wǎng)絡(luò)，例如部署特洛伊木馬或其他簡(jiǎn)單的軟件。例如，APT 攻擊者可能會(huì)在較長(zhǎng)時(shí)間內(nèi)采用復(fù)雜的間諜技術(shù)，并讓組織內(nèi)部的眾多個(gè)人參與其中，以實(shí)現(xiàn)其最終目標(biāo)。

盡管任何規(guī)模的公司都可能成為目標(biāo)，但引人注目的 APT 攻擊通常針對(duì)知名公司、關(guān)鍵基礎(chǔ)設(shè)施或政府。然而，我們看到這些類型的攻擊超出了這些特定類型的目標(biāo)，令人擔(dān)憂的是傳統(tǒng)的網(wǎng)絡(luò)犯罪組織現(xiàn)在也在使用它們。我們?cè)絹?lái)越多地看到，這些威脅不僅在不斷發(fā)展，而且不良行為者也在從這些技術(shù)中學(xué)習(xí)并將其應(yīng)用于其他類型的攻擊方法。

APT 的演變

Wiper 惡意軟件很好地說(shuō)明了 APT 類型的活動(dòng)和常見(jiàn)網(wǎng)絡(luò)犯罪如何融合。擦除器是我們經(jīng)常看到民族國(guó)家行為者使用的工具，而非 APT 犯罪團(tuán)伙通常傳播勒索軟件等惡意軟件。

去年我們看到這種情況顯著擴(kuò)大。我們?cè)谌ツ晟习肽暧^察到擦除惡意軟件的死灰復(fù)燃，而這種毀滅性的攻擊策略在下半年才擴(kuò)大了其灘頭陣地。我們的 FortiGuard 實(shí)驗(yàn)室研究人員發(fā)現(xiàn)，擦拭器惡意軟件向新國(guó)家的傳播導(dǎo)致 2022 年第三季度至第四季度擦拭器活動(dòng)增加了 53%。

盡管擦除惡意軟件最初是由民族國(guó)家 APT 行為者開(kāi)發(fā)和傳播的，特別是在俄羅斯-烏克蘭戰(zhàn)爭(zhēng)期間，但我們現(xiàn)在正在見(jiàn)證其規(guī)模擴(kuò)大和全球部署。網(wǎng)絡(luò)犯罪組織越來(lái)越多地在其不斷擴(kuò)大的網(wǎng)絡(luò)犯罪即服務(wù) (CaaS) 網(wǎng)絡(luò)中使用這些新型病毒。擦除器惡意軟件構(gòu)成的威脅現(xiàn)在比以往任何時(shí)候都更加普遍，所有公司都可能成為目標(biāo)。此外，網(wǎng)絡(luò)犯罪分子目前正在創(chuàng)建自己的擦除軟件，該軟件正在整個(gè) CaaS 組織中輕松使用。

不僅僅是雨刮器正在從 APT 中汲取教訓(xùn)

除了攻擊者用來(lái)實(shí)現(xiàn)更具破壞性的新目標(biāo)之外，廣泛的網(wǎng)絡(luò)犯罪攻擊策略也變得更有針對(duì)性。這是傳統(tǒng)網(wǎng)絡(luò)犯罪的一個(gè)變化，因?yàn)?APT 組織通常以其專注的策略而聞名。

安全研究團(tuán)隊(duì)最近注意到該領(lǐng)域的兩個(gè)重要發(fā)展。第一個(gè)是 SideCopy 的秘密工作。SideCopy APT 組織因使用類似的 TTP（策略、技術(shù)和程序）而聞名，有時(shí)還使用與另一個(gè)來(lái)自巴基斯坦的名為“Transparent Tribe”的組織相同的基礎(chǔ)設(shè)施。SideCopy 被認(rèn)為是透明部落的一個(gè)分支。據(jù)稱，該團(tuán)伙被命名為“SideCopy”，因?yàn)樗麄兪褂昧藦闹挠《韧{組織 SideWinder 中提取的感染鏈來(lái)逃避檢測(cè)。盡管 SideCopy 主要針對(duì) Windows 系統(tǒng)，但有人聲稱他們已經(jīng)用惡意軟件感染了 Mac 和 Linux 計(jì)算機(jī)。

第二個(gè)是Donot APT，也稱為SectorE02 和APT-C-35。至少自2016年以來(lái)，該威脅行為者就以斯里蘭卡、孟加拉國(guó)、尼泊爾和巴基斯坦的企業(yè)和民眾為目標(biāo)。為了找到受害者，Donot 使用帶有惡意文檔的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件。

我們看到該團(tuán)伙繼續(xù)用惡意文件瞄準(zhǔn)受害者。2023年初，我們看到該攻擊者使用惡意文檔。我們發(fā)現(xiàn)的大多數(shù)惡意文檔可以追溯到2021年左右，但所有這些惡意文檔都與過(guò)去30天內(nèi)注冊(cè)的域名相關(guān)聯(lián)。這表明威脅行為者在2023年2月和3月的活動(dòng)中使用了之前創(chuàng)建的惡意文檔。

保持進(jìn)化領(lǐng)先地位

隨著 APT 開(kāi)始與傳統(tǒng)網(wǎng)絡(luò)犯罪融合，網(wǎng)絡(luò)犯罪分子越來(lái)越多地試圖尋找繞過(guò)安全、檢測(cè)、情報(bào)和控制的方法。他們投入更多時(shí)間進(jìn)行偵察，并致力于將新興技術(shù)轉(zhuǎn)化為武器。他們的攻擊正在轉(zhuǎn)向更有針對(duì)性的性質(zhì)，使用精確的技術(shù)。

與其他安全問(wèn)題一樣，沒(méi)有單一的答案或快速解決方案可以保護(hù)公司免受此類活動(dòng)的影響。根據(jù)最新的實(shí)時(shí)威脅數(shù)據(jù)進(jìn)行主動(dòng)、基于行為的檢測(cè)仍然是您可以采取的最佳預(yù)防措施之一。配備了這些有用的情報(bào)，組織將能夠更好地保護(hù)自己免受威脅行為者工具包的侵害。保護(hù)混合網(wǎng)絡(luò)的邊緣需要集成的、人工智能和機(jī)器學(xué)習(xí)驅(qū)動(dòng)的網(wǎng)絡(luò)安全平臺(tái)，該平臺(tái)具有卓越的檢測(cè)和響應(yīng)能力，并由可操作的威脅情報(bào)提供支持。無(wú)論用戶是在現(xiàn)場(chǎng)還是遠(yuǎn)程，零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 對(duì)于保護(hù)對(duì)工作或?qū)W習(xí)中的應(yīng)用程序的訪問(wèn)至關(guān)重要。

防守方的回應(yīng)

由于 CaaS 的擴(kuò)展，安全團(tuán)隊(duì)將繼續(xù)面臨大量威脅，這些威脅變得越來(lái)越復(fù)雜并出現(xiàn)新的變體。如上所述，組織必須集中精力集成其安全技術(shù)并部署自己的工具和策略，以保護(hù)其網(wǎng)絡(luò)免受高級(jí)持續(xù)威脅的發(fā)展。