防御者必须应对的持续威胁之一是 APT:高级持续威胁。APT 攻击者使用比典型攻击者更复杂的策略来破坏网络,例如部署特洛伊木马或其他简单的软件。例如,APT 攻击者可能会在较长时间内采用复杂的间谍技术,并让组织内部的众多个人参与其中,以实现其最终目标。
尽管任何规模的公司都可能成为目标,但引人注目的 APT 攻击通常针对知名公司、关键基础设施或政府。然而,我们看到这些类型的攻击超出了这些特定类型的目标,令人担忧的是传统的网络犯罪组织现在也在使用它们。我们越来越多地看到,这些威胁不仅在不断发展,而且不良行为者也在从这些技术中学习并将其应用于其他类型的攻击方法。
APT 的演变
Wiper 恶意软件很好地说明了 APT 类型的活动和常见网络犯罪如何融合。擦除器是我们经常看到民族国家行为者使用的工具,而非 APT 犯罪团伙通常传播勒索软件等恶意软件。
去年我们看到这种情况显着扩大。我们在去年上半年观察到擦除恶意软件的死灰复燃,而这种毁灭性的攻击策略在下半年才扩大了其滩头阵地。我们的 FortiGuard 实验室研究人员发现,擦拭器恶意软件向新国家的传播导致 2022 年第三季度至第四季度擦拭器活动增加了 53%。
尽管擦除恶意软件最初是由民族国家 APT 行为者开发和传播的,特别是在俄罗斯-乌克兰战争期间,但我们现在正在见证其规模扩大和全球部署。网络犯罪组织越来越多地在其不断扩大的网络犯罪即服务 (CaaS) 网络中使用这些新型病毒。擦除器恶意软件构成的威胁现在比以往任何时候都更加普遍,所有公司都可能成为目标。此外,网络犯罪分子目前正在创建自己的擦除软件,该软件正在整个 CaaS 组织中轻松使用。
不仅仅是雨刮器正在从 APT 中汲取教训
除了攻击者用来实现更具破坏性的新目标之外,广泛的网络犯罪攻击策略也变得更有针对性。这是传统网络犯罪的一个变化,因为 APT 组织通常以其专注的策略而闻名。
安全研究团队最近注意到该领域的两个重要发展。第一个是 SideCopy 的秘密工作。SideCopy APT 组织因使用类似的 TTP(策略、技术和程序)而闻名,有时还使用与另一个来自巴基斯坦的名为“Transparent Tribe”的组织相同的基础设施。SideCopy 被认为是透明部落的一个分支。据称,该团伙被命名为“SideCopy”,因为他们使用了从著名的印度威胁组织 SideWinder 中提取的感染链来逃避检测。尽管 SideCopy 主要针对 Windows 系统,但有人声称他们已经用恶意软件感染了 Mac 和 Linux 计算机。
第二个是Donot APT,也称为SectorE02 和APT-C-35。至少自2016年以来,该威胁行为者就以斯里兰卡、孟加拉国、尼泊尔和巴基斯坦的企业和民众为目标。为了找到受害者,Donot 使用带有恶意文档的鱼叉式网络钓鱼电子邮件。
我们看到该团伙继续用恶意文件瞄准受害者。2023年初,我们看到该攻击者使用恶意文档。我们发现的大多数恶意文档可以追溯到2021年左右,但所有这些恶意文档都与过去30天内注册的域名相关联。这表明威胁行为者在2023年2月和3月的活动中使用了之前创建的恶意文档。
保持进化领先地位
随着 APT 开始与传统网络犯罪融合,网络犯罪分子越来越多地试图寻找绕过安全、检测、情报和控制的方法。他们投入更多时间进行侦察,并致力于将新兴技术转化为武器。他们的攻击正在转向更有针对性的性质,使用精确的技术。
与其他安全问题一样,没有单一的答案或快速解决方案可以保护公司免受此类活动的影响。根据最新的实时威胁数据进行主动、基于行为的检测仍然是您可以采取的最佳预防措施之一。配备了这些有用的情报,组织将能够更好地保护自己免受威胁行为者工具包的侵害。保护混合网络的边缘需要集成的、人工智能和机器学习驱动的网络安全平台,该平台具有卓越的检测和响应能力,并由可操作的威胁情报提供支持。无论用户是在现场还是远程,零信任网络访问 (ZTNA) 对于保护对工作或学习中的应用程序的访问至关重要。
防守方的回应
由于 CaaS 的扩展,安全团队将继续面临大量威胁,这些威胁变得越来越复杂并出现新的变体。如上所述,组织必须集中精力集成其安全技术并部署自己的工具和策略,以保护其网络免受高级持续威胁的发展。