进网络安全行业群
卡巴斯基全球研究和分析团队监控着 900 多个 APT(高级持续威胁)组织和操作。每年年底,我们都会回顾并评估那些塑造了威胁形势的最复杂的攻击。这些见解使我们能够预测新兴趋势,并更清楚地了解 APT 未来一年可能的发展方向。
在 KSB 系列的这篇文章中,我们回顾了过去一年的趋势,反思了我们对 2024 年的预测,并对 2025 年的预期提供了见解。
去年预测回顾
移动、可穿戴设备和智能设备的创意利用的兴起
我们去年发现的 Operation Triangulation 揭示了一个独特的攻击链,该攻击链涉及 Apple 设备(包括在 iOS 和 watchOS 上运行的设备)的漏洞利用。这些漏洞利用了多个漏洞,涉及 WebKit 和 XNU 内核以及 Apple 处理器等组件。
正如预期的那样,我们在 2024 年继续观察到涉及 Apple 设备漏洞利用的攻击。例如,今年 1 月,Apple 分享了 Safari 浏览引擎中的 CVE-2024-23222 远程代码执行漏洞,可能已被用于网络攻击。此外,今年秋天,Apple 还披露了另外两个最有可能在野外使用的漏洞:XNU 内核的 CVE-2024-23225 和RTKit 的 CVE-2024-23296。
至于 Android 设备,它们仍然是老练威胁行为者的有利可图的目标。11 月,谷歌发布了有关“可能受到有限、有针对性的利用”的两个漏洞的信息:CVE-2024-43093 和 CVE-2024-43047。有趣的是,后者就像 Operation Triangulation 中使用的漏洞利用之一一样,利用了涉及硬件处理器的缺陷。正如我们所看到的,有针对性的威胁行为者对利用涉及移动设备硬件组件的漏洞越来越感兴趣。
结论:预测已实现 ✅
使用消费者和企业软件和设备构建新的僵尸网络
国际网络安全社区已开始投入大量精力来打击命令和控制服务器,使威胁行为者(包括高级威胁行为者)更难从其基础设施长期进行恶意活动。为了对抗这些研究人员的努力,一些高级威胁行为者最近开始构建自己的僵尸网络并使用它们来发起网络攻击。
例如,今年 1 月,美国政府破坏了一个僵尸网络,该僵尸网络由受感染的 Ubiquiti Edge OS 路由器组成,该路由器由 Sofacy(又名 APT28)威胁行为者运营。这些设备最初感染了 Moobot,这是一种基于 Mirai 的恶意软件,然后用于部署其他脚本并促进对各种实体的针对性攻击、收集凭据、代理网络流量、建立反向 SSH 隧道、托管欺骗性登录页面,以及控制其他感染了 Python 后门的远程系统。
此外,在 2024 年,我们观察到多个讲中文的行为者使用僵尸网络进行针对性攻击。其中一种僵尸网络是 Quad7,它由 Storm-0940 行为者安装在受感染的路由器上,用于进行密码喷洒。今年看到的另一个例子是 KV-Botnet,它被部署在易受攻击的防火墙、路由器和 IP 摄像头上,用于隐藏其幕后黑手 Volt Typhoon 的恶意活动。
结论:预测已实现 ✅
内核级代码执行的障碍越来越被规避(内核 Rootkit 再次火热)
每当威胁行为者成功闯入机器时,他们总是希望尽可能地提升自己的权限。具体来说,目标参与者通常希望实现的一项特权是访问内核。这允许攻击者禁用或篡改安全解决方案,以及安装 rootkit 植入物以秘密执行恶意活动。
到 2024 年,BYOVD(自带易受攻击的驱动程序)仍然是访问内核的最流行的技术,并且比往年使用得更广泛。例如,在 2024 年第 2 季度,我们看到 BYOVD 的使用量增加了 23%。这种增加很可能是由于目前操作系统中没有内置有效的方法来对抗这种技术。虽然 Windows 实施了易受攻击驱动程序的阻止列表,但它很少更新(每年仅 1-2 次),这使得行为者非常容易利用已知的易受攻击的驱动程序。
但是,一些安全解决方案正在尝试实施机制来防止利用易受攻击的驱动程序,迫使威胁行为者通过在设备上已安装的可用于执行内核空间升级的 Windows 驱动程序中查找漏洞来适应。例如,今年 Lazarus 利用 CVE-2024-21338(AppLocker 驱动程序中的一个漏洞)来部署 FudModule rootkit。
结论:预测已实现 ✅
国家资助行为者的网络攻击增长
年复一年,我们看到越来越多的老练威胁行为者发起的攻击,2024 年也不例外。例如,今年我们报告称,从 1 月到 6 月观察到的 APT 攻击检测增加了 25%。在这一年中,我们在博客上介绍了这些攻击中最有趣的事件。
值得注意的是,我们还观察到,老练的参与者不仅提高了活动的数量,还提高了活动的质量。这在 Lazarus APT 的情况下尤为明显,特别是它在 5 月份对加密货币投资者的攻击。
这些攻击是经过精心策划的——为了进行这些攻击,Lazarus 窃取了与加密货币相关的电脑游戏的源代码,推广了与该游戏相关的社交媒体账户,并获得了用于感染访问游戏网站的目标的独特零日漏洞链的访问权限。所有这些活动都必须花费这个参与者几个月的工作,这表明组织努力水平非凡。
结论:预测已实现 ✅
网络战中的黑客行动主义:地缘政治冲突的新常态
正如我们之前预测的那样,我们观察到今年黑客行动组织的攻击有所增加,特别是那些在俄乌和以色列哈马斯冲突背景下活动的攻击。就俄乌冲突而言,我们报道的著名黑客组织包括 Twelve、Head Mare 和 Crypt Ghouls。总的来说,我们观察到俄乌冲突中的黑客活动家变得更加熟练,也更专注于攻击政府、制造和能源实体等大型组织。通过关注这些目标,黑客组织使普通人更容易看到他们攻击的后果。
我们还观察到,在以色列-哈马斯冲突中活动的黑客活动家也采取了相同的活动模式。例如,最近在该领域观察到的一次攻击是针对以色列信用卡支付系统的 DDoS 攻击。这场冲突中的网络攻击特别有趣的是,它们的目标范围已经远远超出了冲突区域。例如,今年,亲巴勒斯坦的黑客组织 BlackMeta 攻击了与冲突无关的 Internet Archive 网站。
结论:预测已实现 ✅
供应链攻击即服务:运营商批量购买访问
今年,我们还没有看到任何对其目标造成重大损害的供应链攻击。然而,2024 年一个特别值得注意的供应链攻击是 XZ Utils 后门,我们在一篇由三部分组成的博客文章中对此进行了介绍。鉴于后门影响了多个流行的 Linux 发行版,如果社区没有发现,这种攻击的后果会严重得多。我们可能已经看到被入侵公司的网络被出售给高级参与者。
结论:预测未实现 ❌
鱼叉式网络钓鱼将通过可访问的生成式 AI 进行扩展
自从生成式 AI 出现以来,多个威胁行为者(包括出于经济动机和国家资助的威胁行为者)已经开始使用这项技术来提高他们的攻击效率。对于网络钓鱼攻击尤其如此,因为生成式 AI 工具现在能够撰写编写良好、图文并茂的网络钓鱼电子邮件。
人工智能被用于目标活动的一个值得注意的案例是对 companн KnowBe4 的攻击失败,其中一名据称来自 Lazarus 威胁组织的黑客在申请工作时使用人工智能欺骗了公司的人力资源部门。例如,作为工作申请的一部分,他们使用了通过 AI 工具处理的库存照片,以使其更加可信。在 AI 的帮助下,他们能够欺骗公司,获得工作并获得对内部网络的访问权限;然而,该公司的 SOC 很快就发现了进一步的黑客攻击企图。
结论:预测已实现 ✅
更多提供 hack-for-hire 服务的团体出现
虽然我们已经看到犯罪软件领域出现了新的雇佣黑客组织,但我们还没有观察到任何新的具有商业动机的威胁行为者进行类似于 APT 通常进行的复杂网络攻击。
结论:预测未实现 ❌
MFT 系统处于网络威胁的最前沿
去年,涉及 MOVEit 和 GoAnywhere 等 MFT 系统的事件对受感染的组织造成了严重损害。尽管这些攻击发生在一年前,但它们对受影响公司的影响至今仍能感受到。例如,几天前,据称在 MOVEit 漏洞攻击过程中泄露的与亚马逊员工相关的个人数据在网络犯罪论坛上泄露。
今年,网络安全社区还在 MFT 系统中发现了几个漏洞,这些漏洞正在被广泛利用。其中之一是 CVE-2024-0204,它允许攻击者绕过 GoAnywhere MFT 中的身份验证。另一个例子是 CVE-2024-5806,这是 MOVEit Transfer 中的类似漏洞。然而,今年网络安全社区为应对对 MFT 系统的攻击做好了更充分的准备,因此涉及这些漏洞的攻击的后果并不像去年那样严重。
判决:预测部分实现
APT 对 2025 年的预测
黑客行动主义联盟将在 2025 年升级
近年来,黑客行动主义团体开始将其行动与社会政治冲突紧密联系。虽然它们最初的努力主要集中在引起公众关注,但现在我们看到它们追求更具实质性的目标,并对现实世界产生影响,例如针对全球导航卫星系统(GNSS)进行攻击。
今年,我们目睹了黑客行动主义的演变,一些团体组成了具有共同动机的联盟和论坛。这些联盟不仅限于军事冲突——例如,“神圣联盟”的成立,它声称联合了 70 个活跃的黑客组织。。黑客行动主义的联盟也会因快速发展的事件而出现。例如黑客行动主义分子联合起来破坏法国网站,以回应 Telegram 首席执行官帕维尔·杜罗夫 (Pavel Durov) 被捕。
虽然共同的目标可以团结和激励恶意行为,但工具和基础设施的共享也是此类联盟的重要组成部分,可以实现更雄心勃勃的目标。
通过这种策略,黑客行动主义变得更加强大,因此我们预计在未来看到更有组织和有影响力的活动,甚至可能包括勒索软件的部署。在某些情况下,黑客行动主义攻击可能表明他们攻击的结构缺乏安全资金。
到 2025 年,物联网将成为 APT 日益增长的攻击媒介
物联网设备的迅速激增,预计到 2030 年将从目前的 180 亿台增长到 320 亿台,这带来了创新和越来越多的安全挑战。随着摄像头、开关和插头等智能设备变得越来越普遍,它们为互联网增加了无数新的连接,每个连接都有其自身的潜在漏洞。
许多 IoT 设备依赖远程服务器进行控制,但管理这些服务器的公司的安全实践通常不明确,从而导致其基础设施上出现新的潜在攻击媒介。此外,IoT 设备经常在嵌入式系统上运行,其固件可以轻松找出漏洞。许多较旧的设备依赖于具有已知安全漏洞的过时库,这使得它们容易受到利用。
用于控制这些设备的移动应用程序的激增增加了另一层风险。由于可用的应用程序如此之多,很难验证每个应用程序的合法性,这为攻击者创造了传播虚假应用程序以控制 IoT 设备的机会。供应链风险也令人担忧;恶意行为者可以在制造过程中植入恶意软件,如某些 Android 电视盒所示。
针对开源项目的供应链攻击不断增加
今年一个臭名昭著的活动是 XZ 的后门,XZ 是流行的 Linux 发行版中广泛使用的开源压缩工具。攻击者使用社会工程技术来获得对软件开发环境的持续访问权限,并且多年来一直未被发现。本案例凸显了当前开源生态系统的一些关键方面,其中许多重要项目仅由少数开发人员(有时甚至由单个开发人员)维护,他们通常无法抵御复杂的国家资助的 APT 组织。
XZ 案并不出乎意料,但它揭示了一个真正的问题。它引起了网络安全社区和其他各种组织的注意,他们可能会开始改进对开源项目的监控。虽然供应链攻击的数量可能不会增加,但我们肯定会发现更多正在进行中的供应链攻击案例。
C++ 和 Go 恶意软件以适应开源生态系统
随着开源项目越来越多地采用最新版本的 C++ 和 Go,威胁行为者将需要使其恶意软件适应这些广泛使用的语言。到 2025 年,我们可以预期迁移到这些语言的 APT 组织和网络犯罪分子将显著增加,利用它们在开源项目中日益广泛的应用来谋取利益。
虽然其他编程语言将继续不那么频繁地使用,但 C++ 和 Go 将成为恶意软件开发中最常见的语言,因为攻击者利用这些语言的优势和漏洞来渗透系统并绕过安全防御。
扩大 AI 在国家附属行为体手中的使用
去年,我们预测 APT 组织将使用 AI 来增强鱼叉式网络钓鱼攻击。此后,OpenAI 报告称终止了与国家附属威胁行为者相关的账户,凸显了 APT 组织如何利用大型语言模型 (LLM) 进行鱼叉式网络钓鱼、文本翻译、脚本生成和开源研究,以创建更具针对性的内容。我们的最新发现表明,Lazarus 利用 AI 生成的图像来推广一个虚假游戏网站,该网站利用 Chrome 零日漏洞窃取加密货币。
我们相信,使用 LLM 将成为攻击者的标准做法,就像防御者越来越多地将 AI 和机器学习工具纳入其网络安全策略一样。攻击者可能会使用 LLM 进行侦察 – LLM 可以自动执行识别漏洞和收集有关特定技术的信息的过程,使攻击者更容易找到目标中的弱点。他们在创建恶意脚本和在漏洞利用后活动中生成命令时将更多地依赖 AI,以增加成功的机会。
攻击者也有可能试图通过创建本地 LLM 或掩盖他们在公共平台上的行为来向 OpenAI 等公司隐藏他们的活动——使用多个账户,谨慎输入,并最大限度地减少与 Google、OpenAI、Microsoft 等企业平台共享的数据。
Deepfakes 将被 APT 组使用
必须特别注意深度伪造的兴起,这些伪造正在迅速发展并构成重大风险。过去,我们通常认为视频、图片和语音是可靠的信息来源。然而,随着 deepfake 技术的改进和变得更加容易获得,这种信任正受到越来越多的挑战。2024 年,深度伪造被用于备受瞩目的骗局,例如在视频通话中模仿 CEO 的声音并与 YouTube 镜头一起使用以欺骗员工,或者使用各种公开可用的视频和其他镜头制作新的虚假视频以诱骗一家香港公司的员工转移约 2550 万美元。
这些攻击如此有效的原因植根于人类心理学:当人们听到他们认识的声音时,他们会本能地相信这个信息。过去,语音冒充并不被视为主要威胁,这就是为什么此类骗局如此令人信服的原因。然而,人工智能技术的出现彻底改变了这种范式。今天,新服务意味着 deepfake 视频和录音可以从少量真实样本中生成,很容易从社交媒体资料或其他侦察方法收集。
虽然我们已经看到网络犯罪分子使用 AI 语音克隆进行诈骗,但我们预计 APT 将越来越多地将这项技术纳入他们的工具包中,以冒充关键个人,创建极具说服力的消息或视频来欺骗员工、窃取敏感信息或进行其他恶意活动。
后门 AI 模型
各行各业的企业广泛采用 AI 模型,使这些模型成为网络犯罪分子和国家支持的威胁行为者越来越有吸引力的目标。开源和微调的 AI 模型的广泛分布增加了这些模型被木马化或后门化的风险。
到 2025 年,我们很可能会看到 APT 组织以流行的开源 AI 模型和数据集为目标,引入可能难以检测和广泛传播的恶意代码或偏见。
APT 活动中 BYOVD(自带易受攻击的驱动程序)漏洞的兴起
正如我们已经提到的,BYOVD(自带易受攻击的司机)技术已成为 2024 年的趋势。该技术允许攻击者利用驱动程序中的漏洞来提升权限、绕过安全措施,并在勒索软件活动和 APT 攻击中部署复杂的有效负载。
驱动程序在硬件和软件之间的通信中起着关键作用,但它们也可以作为攻击者的强大网关,尤其是在内核级别被利用时。易受攻击的驱动程序允许攻击者以高权限执行恶意代码,从而可能导致长期间谍活动、数据盗窃和网络渗透。尽管一些安全供应商实施了各种机制来防止此类攻击,但传统的安全措施很难应对其复杂性。这些驱动程序是合法软件,可能是促进正常系统功能所必需的,因此很难区分它们的合法使用和恶意使用。确保它们仅用于合法目的也并非易事。
展望未来,这一趋势预计将持续到 2025 年。随着攻击者越来越擅长利用低级漏洞,此类攻击的复杂性可能会增加,我们可能会看到更精细的技术,例如利用过时的或第三方驱动程序,这些驱动程序通常不会受到安全漏洞的审查。
| 来源:卡巴斯基
