2024年高级持续性威胁（APT）九大预测

预测一

过去一年有一个重大发现，即"三角行动”（Operation Triangulation)。这是一项新的、非常隐蔽的间谍活动，攻击目标是iOS设备，我们同事的设备也遭到了攻击。在调查过程中，我们的团队在iOS中发现了五个漏洞，其中包括四个零日漏洞。这些漏洞不仅影响智能手机和平板电脑，还影响笔记本电脑、可穿戴设备和智能家居设备，包括Apple TV和Apple Watch。未来，我们可能会看到更多利用消费设备和智能家居技术进行高级攻击的偶发案例。iOS设备可能不是唯一的目标：其他设备和操作系统也可能面临风险。

威胁行为者的一个创新途径是扩大了监控范围，将智能家居摄像头、联网汽车系统等设备纳入监控范围。这些设备不管是新的还是旧的，都可能存在漏洞、配置错误或软件过时等问题，因此很容易成为攻击者的目标。

这一新兴趋势的另一个值得注意的方面是“静默”漏洞利用交付方法。在”三角行动"攻击中，漏洞利用程序通过iMessage悄然发送，无需用户交互即可激活。未来几年，我们可能会看到漏洞利用程序的其他交付方法，例如：

• 通过流行的跨平台聊天工具进行零点击攻击，无需与潜在受害者进行互动即可成功实施攻击。

• 通过短信或消息应用程序发送的一键式恶意链接，受害者可能会在不知情的情况下通过打开这些链接触发攻击。

• 恶意行为者拦截网络流量，例如，利用Wi-Fi网络漏洞进行攻击，虽然这种攻击方法不常见，但可能很有效。

为了防范复杂的攻击和针对性威胁，保护个人和企业设备至关重要。除了传统的反病毒产品外，XDR、SIEM和MDM平台等解决方案还支持集中收集数据、加速分析并关联来自各种来源的安全事件，从而促进对复杂事件的快速响应。

预测二

使用消费者和企业软件和设备构建新的僵尸网络

一个众所周知的事实：无论是企业还是个人使用的常用软件和设备都存在漏洞。每隔一段时间就会发现新的高严重性漏洞。根据Statista的数据，2022年发现的漏洞数量创下新高，超过25,000个。通常，用于研究漏洞的资源有限，而且发现的漏洞并不总是得到及时修复。这引起了人们对可能出现新的、大规模和秘密建立的僵尸网络的担忧，这些僵尸网络能够进行针对性攻击。

创建僵尸网络需要在设备所有者不知情的情况下，在大量设备上隐蔽安装恶意软件。APT组织可能会发现这种战术很有趣，原因有几点。首先，它允许威胁行为者在看似广泛的攻击背后掩盖其攻击的目标性质，使防御者难以确定攻击者的身份和动机。此外，植根于消费设备或软件或合法组织的僵尸网络可以方便地掩盖攻击者的真实基础设施。此外，植根于消费者设备或软件或属于合法组织的僵尸网络可以方便地掩盖攻击者的真实基础设施。它们可以充当代理服务器、中间C2（命令和控制）集线器，在网络配置错误的情况下，还可以充当入侵组织的潜在入口。

僵尸网络本身并不是一种新的攻击工具。例如，几年前，一个由超过65,000台家用路由器组成的僵尸网络被用来代理其他僵尸网络和APT的恶意流量。另一个例子是在远程工作变得普遍之后出现的，它与通过感染了类似僵尸网络的远程访问特洛伊木马程序（RAT)的小型办公室/家庭办公室路由器针对远程工作人员的APT活动有关。考虑到最近披露的大量漏洞，我们预计在未来还会出现新的此类攻击。

僵尸网络驱动的攻击将不仅限于APT组织，也可能被网络罪犯所采用。这些攻击的隐蔽性给检测带来了挑战，同时为攻击者提供了大量机会来渗透组织的基础架构并在其中建立存在。

预测三

内核级代码执行的障碍越来越少（内核rootkit再次成为热门）

随着KMCS（内核模式代码签名）、PatchGuard、HVCl（虚拟机监控程序保护的代码完整性）和安全内核架构等现代安全措施在最近的Windows版本中的引入，微软的目标是减少rootkit和类似低级攻击的流行。这些经典的攻击方法在以大量rootkit变体为特征的早期时代非常流行。在过去几年中，尽管存在这些新的保护机制，我们还是目睹了许多APT行为者和网络犯罪组织成功地在目标系统的内核模式下执行代码。今年报告的几起Windows硬件兼容性计划（WHCP）滥用行为导致了Windows内核信任模型的泄露。2021年6月，NetfilterRootkit登上报道，之后微软发布了一份公告，详细说明了它在中国游戏社区中被用作地理位置作弊的手段。Bitdefender随后在2021年10月披露了FiveSys,这是一种rootkit,主要用于针对在线游戏玩家，主要目标是窃取凭证和游戏内购买劫持。Mandiant报告了最后一次已知的滥用行为，揭露了Poortry恶意软件，该恶意软件已被用于多起网络攻击，包括基于勒索软件的事件。2023年7月，我们私下报告了新的Fivesys签名变种。

我们预计三个关键载体的数量将增加，这将进一步增强威胁行为者的能力：

• EV证书和被盗代码签名证书的地下市场将增加。

• 更多滥用开发人员账户，通过Microsoft代码签名服务（如 WHCP）对恶意代码进行签名。

• 当前威胁参与者的TTP库中BYOVD（自带易受攻击的驱动程序）持续增加。

预测四

国家支持的网络攻击增多

据联合国估计，去年世界见证了50多起真实世界的冲突，暴力冲突达到了二战以来的最高水平。现在，任何政治对抗都必然包括网络因素，因为它们已成为任何冲突的默认部分，而且这一趋势还将进一步发展。在乌克兰发生的BlackEnergy APT攻击是过去十年的一个突出例子，它以针对媒体公司的破坏性行动、破坏工业控制系统和从事网络间谍活动而闻名。目前参与网络战的潜在参与者分布广泛，从俄乌冲突地区的CloudWizard APT活动到最近以色列-哈马斯冲突中引发的一系列网络攻击。例如，其中包括被称为“Storm-1133”（由Microsoft报道）的威胁行为者对以色列能源、国防和电信组织的网络攻击，以及使用恶意版本的RedAlert-Rocket Alerts 应用程序针对以色列的安卓用户进行攻击。据CyberScoop报道，一个名为Predtory Sparrow的黑客组织在持续冲突中中断了近一年后重新浮出水面。

未来，我们预计随着地缘政治紧张局势的加剧，国家支持的网络攻击将会激增。这些攻击不会局限于全球的关键基础设施、政府部门或国防公司；媒体组织也将面临越来越大的风险。在当前地缘政治紧张局势加剧的情况下，媒体组织可能被那些试图利用它们进行反宣传或散布假消息的人选为目标。

黑客将主要关注数据窃取、IT基础设施破坏和长期间谍活动。网络破坏活动可能也会增加。攻击者不仅会加密数据，还会销毁数据，对容易受到政治攻击的组织构成重大威胁。这还包括针对个人或组织的特定针对性攻击。这些攻击可能涉及破坏个人的设备以访问他们工作的组织、使用无人机定位特定目标、使用恶意软件进行窃听等等。

预测五

网络战中的黑客主义：地缘政治冲突的新常态

数字化融入冲突的另一个例子是黑客主义。很难想象没有黑客主义者参与的未来冲突。黑客主义者可以通过多种方式影响网络安全。首先，他们可以进行实际的网络攻击，包括DDoS攻击、数据盗窃或破坏、网站涂改等。其次，黑客主义者可能会做出虚假的黑客攻击声明，从而导致不必要的调查，导致SOC分析师和网络安全研究人员遭遇警报疲劳。例如，在正在进行的以色列与哈马斯的冲突中，一个黑客组织声称他们在10月初袭击了以色列Dorad私人发电站。尽管随后的研究表明，他们在网上发布的数据是在2022年6月被另一个组织泄露的，但花费了时间和资源才发现没有发生新的数据泄露。黑客还会使用Deepfake，这是一种很容易获得的工具，用于冒名顶替和提供虚假信息，还有一些备受瞩目的案例，例如黑客在抗议期间中断伊朗国家电视台的广播。总之，随着地缘政治紧张局势的加剧，短期内没有缓解的前景，我们预计黑客主义活动将会增加，既有破坏性的，也有用于散布虚假信息的。

预测六

供应链攻击作为一种服务：运营商的批量访问购买

攻击者通过供应商、集成商或开发商实现其目标的趋势越来越明显。这意味着中小型公司通常缺乏防范APT攻击的强大保护，正在成为黑客访问重量级企业的数据和基础设施的门户，而这些重量级的企业则是黑客们的终极目标。为了说明我们现在看到的供应链攻击的严重程度，我们不妨回顾一下2022年和2023年被广泛讨论的Okta入侵事件。这家身份管理公司为全球18,000多家客户提供服务，其中每个客户都可能遭到入侵。

这些攻击的动机可能从为了获取经济利益到进行间谍活动各不相同，加剧了这种威胁的令人担忧的性质。例如，臭名昭著的APT组织Lazarus一直在磨练其供应链攻击能力。更值得注意的是，臭名昭著的Gopuram后门被发现与AppleJeus（属于Lazarus的一种后门）共存，该后门是通过臭名昭著的3CX黑客攻击部署的，影响全球受害者。这次攻击具有高度针对性，对加密货币公司特别感兴趣，这可能表明攻击者的最终目的是获取经济利益。

随着供应链攻击在威胁行为者中变得越来越流行，2024年可能会迎来相关活动的新阶段。这种趋势可能会以各种方式演变。首先，流行的开源软件可以用于攻击特定的企业开发人员。此外，影子市场可能会推出新产品，包括针对各种软件供应商和IT服务供应商的访问包服务。因此，那些对策划供应链攻击感兴趣的人，如果能够接触到大量潜在受害者，就可以仔细选择他们的首选目标进行大规模攻击。这样做，威胁行为者可能会将供应链攻击的效率提升到一个新的水平。

预测七

利用可访问的生成式人工智能扩大鱼叉式网络钓鱼的规模

现在，聊天机器人和人工智能生成工具已经非常普及，而且很容易获得。威胁行为者并没有忽视这一趋势，他们正在合法解决方案的基础上开发自己的黑帽聊天机器人。例如，WormGPT是一种明确为恶意使用而设计的语言模型，声称基于开源语言模型GPTJ。其他模型，如xxxGPT、WolfGPT、FraudGPT、DarkBERT等，缺乏合法解决方案中存在的内容限制，这使得它们对那些利用这些模型进行恶意目的的攻击者具有吸引力。

这些工具的出现可能会促进鱼叉式网络钓鱼消息的大规模生产，这通常是APT和其他攻击的第一步。其意义不仅在于能够快速制作出具有说服力和文笔优美的钓鱼邮件。还包括能够生成用于冒充的文件和模仿特定个人（例如受害者的商业伙伴或同事）的风格邮件的能力。未来一年，攻击者预计将开发新的方法来自动对目标进行间谍活动。这可能包括从受害者的线上信息中自动收集数据，例如社交媒体帖子、媒体评论或创作专栏：任何与受害者身份相关的内容都可能会被收集。这些信息将使用生成工具进行处理，以特定个人的风格和声音创建各种文本或音频消息。

与此同时，网络安全意识和预防措施(包括威胁情报和主动监控和检测）的重要性将继续增加。

预测八

出现更多提供黑客雇佣服务的组织

黑客雇佣组织专门从事渗透系统并提供数据盗窃服务。他们的客户包括私家侦探、律师事务所、商业竞争对手以及那些缺乏此类攻击技术技能的人。这些网络雇佣军公开宣传他们的服务，其目标客户是对这些服务感兴趣的实体。

我们的全球研究与分析团队（GReAT)就追踪着这样一个组织，名为DeathStalker。它主要针对律师事务所和金融公司，提供黑客攻击服务，充当信息中介，而不是发动传统的APT。他们使用带有恶意文件附件的鱼叉式网络钓鱼邮件来控制受害者的设备并窃取敏感数据。

这些组织由技术娴熟的黑客组成，按等级组织，由领导者管理团队。他们在暗网平台上做广告并采用各种技术，包括恶意软件、网络钓鱼和其他社会工程方法。它们通过使用匿名通信和VPN来避免被发现，并造成从数据泄露到声誉受损等各种影响。黑客雇佣组织的服务不仅限于网络间谍，还延伸到商业间谍。他们可能会收集竞争对手的数据，例如并购交易、扩张计划、财务和客户信息。

这种黑客服务在全球范围内的发展势头日益强劲，我们预计它将在来年得到发展。由于对此类服务的需求，一些APT团体可能会扩大其业务，因为它们需要创造收入来维持其活动并补偿其操作人员。

预测九

MFT系统处于网络威胁的最前沿

随着数字环境的不断发展，网络威胁的复杂性和复杂性也在不断提高。托管文件传输（MFT）系统是这种不断变化的情况的核心，这种系统旨在安全地在组织之间传送敏感数据。MFT解决方案拥有大量机密信息，包括知识产权、财务记录和客户数据，已成为现代业务运营中不可或缺的一部分。这些解决方案促进了内部和外部的无缝数据共享，从而成为提高组织效率的基石。但是，这一关键角色也使它们成为网络对手的靶子，特别是勒索软件参与者，他们正在不遗余力地利用数字漏洞进行金融勒索。

2023年发生的涉及 MOVEit和GoAnywhere等MFT系统的事件揭示了这些关键数据传输管道中的潜在漏洞。由CLOP勒索软件团伙策划的MovelT入侵，以及对Fortra的GoAnywhereMFT平台的利用，突出了如何利用单个漏洞来泄露敏感数据、中断运营并索要赎金。

展望未来，影响MFT系统的威胁形势将会升级。经济利益的诱惑和造成大量运营中断的可能性可能会助长针对MFT系统的针对性攻击激增。MFT系统的复杂架构，加上它们与更广泛的业务网络的集成，可能隐藏着随时可以被利用的安全漏洞。随着网络对手不断磨练自己的技能，利用MFT系统内的漏洞预计将成为一个更加明显的威胁载体。

针对MFT系统的网络威胁发展轨迹凸显了一个迫在眉睫的现实：重大数据泄露和金融勒索的可能性将继续上升。2023年的事件清楚地提醒人们MFT系统存在固有漏洞，需要强有力的网络安全措施来保护这些关键的数据传输渠道。

有鉴于此，强烈建议组织对其MFT解决方案进行全面审查，以发现和消除潜在的安全漏洞。实施强大的数据丢失防护（DLP)解决方案、对敏感数据进行加密以及培养网络安全意识文化，都是加强MFT系统抵御新出现的网络威胁的审慎步骤。随着网络威胁范围的不断扩大，包括MFT系统在内的主动网络安全措施将在保护组织数据资产和确保在面对不断变化的网络威胁时的运营弹性方面发挥至关重要的作用。

2023年发生的事是对各组织加强其MFT系统网络安全的强烈号召。未来，网络威胁必将变得更加复杂，企业有责任走在时代前列，确保其MFT系统的完整性和安全性，以挫败网络对手的邪恶计划。