正文

盘点:2022年地缘政治背景下的五大直接威胁

admin
admin V管理员 /0 评论 /226 阅读
0110
此篇文章发布距今已超过673天,您需要注意文章的内容或图片是否可用!

随着 2022 年接近尾声,从测试数量的角度审视这个动荡的一年中最令人担忧的威胁,提供了一个基于威胁的视角,即是什么触发了网络安全团队检查他们对特定威胁的脆弱程度。这些是在2022 年 1 月 1 日至 12 月 1 日期间使用Cymulate 安全态势管理平台验证弹性时经过最多测试的威胁。

文殊坂

Manjusaka

发布日期:

2022 年 8 月

与 Cobalt Strike 和 Sliver 框架(都是为红队商业化生产和设计,但被威胁行为者盗用和滥用)相关,这种新兴的攻击框架有可能被恶意行为者广泛使用。

Manjusaka 在 Rust 中携带 Windows 和 Linux 植入物,并免费提供现成的 C2 服务器,并有可能创建自定义植入物。

地缘政治背景

Manjusaka 从一开始就是为犯罪使用而设计的,2023 年可以定义为犯罪使用的增加,因为它是免费分发的,并且会减少犯罪对滥用商用模拟和仿真框架的依赖,例如 Cobalt Strike、Sliver、 Ninja、Bruce Ratel C4等

在撰写本文时,没有迹象表明曼殊萨卡的创作者是国家赞助的。

无力后门

PowerLess Backdoor

发布日期:

2022 年 2 月

Powerless Backdoor 是今年最流行的与伊朗相关的威胁,旨在避免 PowerShell 检测。它的功能包括下载浏览器信息窃取器和键盘记录器、加密和解密数据、执行任意命令以及激活终止进程。

地缘政治背景

归因于伊朗的直接威胁数量已从 8 个跃升至 17 个,是 2021 年同期的两倍多。然而,自 9 月 14 日美国财政部外国资产控制办公室 (OFAC)对伊朗网络行为者实施制裁以来,它已经大大放缓,从那时起逐渐归咎于伊朗的一次攻击。

伊朗当前的政治紧张局势无疑会影响 2023 年的袭击频率,但在现阶段,很难评估这些频率是会增加还是会减少。

针对美国各州政府的 APT 41

APT 41 targeting U.S. State Governments

发布日期:

2022 年 3 月

APT41已经被标记为在 2021 年非常活跃,在 2022 年没有放缓的迹象,对 APT41 活动的调查发现了针对美国州政府的蓄意攻击活动的证据。

APT 41 使用侦察工具,例如 Acunetix、Nmap、SQLmap、OneForAll、subdomain3、subDomainsBrute 和 Sublist3r。它还会发起大量攻击类型,例如网络钓鱼、水坑攻击和供应链攻击,并利用各种漏洞初步危害受害者。最近,有人看到他们使用公开可用的工具 SQLmap 作为初始攻击向量,在网站上执行 SQL 注入。

今年 11 月,一个新的子组 Earth Longhi 加入了与 APT 41 相关的绰号列表(ARIUM、Winnti、LEAD、WICKED SPIDER、WICKED PANDA、Blackfly、Suckfly、Winnti Umbrella、Double Dragon)。Earth Longhi 被发现针对台湾、中国、泰国、马来西亚、印度尼西亚、巴基斯坦和乌克兰的多个部门。

地缘政治背景

根据Microsoft 2022 年数字防御报告,“来自中国的许多攻击都是由其发现和编译“零日漏洞”的能力提供支持的——这是安全社区以前不知道的软件中独特的未修补漏洞。中国收集了这些漏洞,在一项新法律要求中国的实体在与他人分享之前,向政府报告他们发现的漏洞之后,似乎有所增加。”

对国防部行业的LoLzarus 网络钓鱼攻击

LoLzarus Phishing Attack on DoD Industry

发布日期:

2022 年 2 月

被称为 LolZarus 的网络钓鱼活动试图引诱美国国防部门的求职者。Qualys Threat Research 最初确定了该活动,并将其归因于朝鲜威胁演员 Lazarus(又名 Dark Seoul、Labyrinth Chollima、Stardust Chollima、BlueNoroff 和 APT 38)。该组织隶属于朝鲜侦察总局,具有政治和经济动机,以 2016 年对 Sondy 的高调攻击和 2017 年的 WannaCry 勒索软件攻击而闻名。

LolZarus 网络钓鱼活动依赖于至少两个恶意文档,Lockheed_Martin_JobOpportunities.docx和salary_Lockheed_Martin_job_opportunities_confidential.doc,它们滥用带有别名的宏来重命名所使用的 API,并依赖 ActiveX Frame1_Layout 来自动执行攻击。该宏随后加载了 WMVCORE.DLL Windows Media dll 文件,以帮助传递旨在劫持控制并与命令和控制服务器连接的第二阶段 shellcode 有效载荷。

地缘政治背景

今年 CISA 标记的另外两起朝鲜的攻击事件包括使用 Maui 勒索软件和加密货币盗窃活动。Lazarus 子集团 BlueNoroff 今年似乎已经从加密货币专业领域分支出来,也瞄准与加密货币连接的 SWIFT 服务器和银行。自 2022 年 1 月 1 日以来,Cymulate 将七种直接威胁与 Lazarus 联系起来。

工业大亨2

Industroyer2

发布日期:

2022 年 4 月

由于与俄罗斯的冲突,乌克兰处于高度戒备状态,通过挫败针对高压变电站的网络物理攻击企图证明了其有效性。该攻击被称为 Industroyer2,以纪念 2016 年的 Industroyer 网络攻击,显然是针对乌克兰的发电站,但收效甚微,导致基辅部分地区的电力中断约一小时。

Industroyer2 定制目标级别包括针对特定变电站的唯一参数的静态指定可执行文件集。

地缘政治背景

不幸的是,乌克兰在保护其关键设施方面的网络弹性无力抵御动能攻击,而俄罗斯现在似乎选择了更传统的军事手段来摧毁发电站和其他民用设施。据ENISA称,乌克兰与俄罗斯冲突的副作用是针对政府、公司和能源、交通、银行和数字基础设施等重要部门的网络威胁再次出现。

总之,在今年最受关注的五个威胁中,有四个与国家支持的威胁行为者直接相关,第五个背后的威胁行为者不为人知,地缘政治紧张局势似乎是最紧迫的威胁担忧的根源对于网络安全团队。

由于国家支持的攻击者通常可以访问大多数公司无法获得的网络资源,因此针对复杂攻击的先发制人防御应集中在安全验证和持续流程上,重点是识别和关闭上下文安全漏洞。

声明:本文来自E安全,版权归作者所有。


ZhouSa.com-周飒博客