1、?M A I N P O I N T S?ABSTRACT?025262835660656768CATALOGUE 三、IoT 路由器等成为 APT 团伙攻击的前哨站 四、Driftingcloud:一个新的 0day 漏洞利用团伙 六、强大的 Chrome 生态,更多的漏洞 七、��������国产之觞第五章 2023 年高级持续性威胁预测 一、受地缘政治冲突影响,APT 攻击活动持续加剧 二、对受害国本土软件的漏洞利用愈加频繁 三、瞄准关键基础设施的破坏越发泛滥 四、各类新型钓鱼攻击活动将频繁出现 附录 1 全球主要 APT 组织列表附录 2 奇安信威胁情报中心
2、附录 3 红雨滴团队(RedDrip Team)附录 �������4 参考链接69696970707747576邮箱:ti_ 电话:95015 官网:https:/目录/全球高级持续性威胁(APT)2022 年度报告?全球高级持续性威胁(APT)2022 年度报告69三、IoT 路由器等成为 APT 团伙攻击的前哨站APT 团伙攻击时往往需要隐藏自身回连 C2 服务器,以防止后续安全人员的溯源。2022 年,奇安信红雨滴团队捕获到多起海莲花攻击 IoT 路由/防火墙设备的事件��������。该团伙通过近两年披露的一些路由/防火墙 nday 漏洞,对外网上没有修复的路由/防火墙设备进行攻击,或将入侵
3、的路由设备作为木�����马回连 C2服务器的中转跳板,从而隐藏自己真实的 C2 服务器地址,或通过攻陷的防火墙设备进入目标内网。此类手法已经成为当下海莲花团伙的标配攻击手段。四、Driftingcloud:一个新的 0day 漏洞利用团伙Volexity 于 2022 年 6 月分别披露了两起定向攻击事件,这两起攻击中都使用了 0day 漏洞,其中一个漏Sophos 防火墙的远程代码执行漏洞 CVE-2022-1040。当通过漏洞攻陷 Sophos 防火墙后,攻击者利用对防火墙的访问权限修改了针对特定目标网站的 �������DNS 响应,以实现 MITM 攻击,这使攻击者能从对网站内容管理系统(CMS)的管理访问
4、中拦截用户凭据和会话 cookie,并以此进行后续的攻击。该漏洞最早由安全人员通过 VirusTotal 发现,并命名为 Follina。漏洞利用和去年的 CVE-2021-40444 有保护视图。后续发现微软实际上在攻击不久前就已经尝试修复该问题,但是依旧存在 rtf 文件格式绕过的问题,最后通过 MSDT ��������协议中的一处 PowerShell 注入导致最终的代码执行。图 4.5 Driftingcloud 0day 漏洞攻击流程第四章 大量 0day 漏洞被用于 APT 攻击/全球高级持续性威胁(APT)2022 年度报告?全球高级持续性威胁(APT)2022 年度报告71第五章 2023年
5、高级持续性威胁预测我们基于 2022 年 APT 威胁的态势以及近年来 APT 威胁组织和活动的变化情况对 2023 年高级持续性威胁进行预测。一、受地缘政治冲突影响,APT 攻击活动持续加剧2022 年全球局势不断趋于紧张,不少存在地缘政治冲突的地区走向对抗的态势。受国家利益驱使,全球的 APT 组织将更加活跃,尤其是针对政府、外交、国防军事行业的定向攻击仍将处于高位,攻击者或将以更频繁的攻击、更隐蔽的手段窃取这些行业的情报机密。二、对受害国本����土软件的漏洞利用愈加频繁由于主流软件得到全球范围的充分关注,对此类产品的漏洞利用在复杂度、时间与金钱成本上都比较高。虽然主流软件产品的 0day 作为
6、 APT 组织的大杀器会长期存在,但根据 2022 年的攻击活动,我们推测对受害国本土软件的漏洞利用将成为具有一定技术能力的 APT 组织的常规手段。本土软件由于使用人群有限,关注度较少,利用成本相对较低,并且更加具有针对性,对它们的漏洞利用在未来的 APT 攻击活动中可能会更加频繁地出现。三、瞄准关键基础设施的破坏越发泛滥平常时期 APT 攻击对关键基础设施的攻击主要着眼于建立长期访问据点,获取敏感信息。而非常时期这些入侵活动就会转变成破坏性攻击,瘫痪关键基础设施的功能,甚至影响社会运转。俄乌冲突期间,乌克兰境内的卫星通信服务商遭受数�������据擦除攻击,导致通信服务中����断。Sandworm 组织试图借助针对工控设备的恶意软件和多种数据擦除器,破坏乌克兰某电力供应商的变电站与电网。这些攻击事件给我们敲响警钟,在局势紧张的背景下,针对关键基础设施的网络攻击将只多不少。第五章 2023 年高级持续性威胁预测/全球高级持续性威胁(APT)2022 年度报告?
sgpjbg002
工作日 8:30 - 17:30
报告分类
