В новом отчете «Лаборатории Касперского» изложена точка зрения компании на перспективный ландшафт постоянных угроз на 2024 год. Существующие методы APT будут продолжать использоваться, и, вероятно, появятся новые, такие как рост использования искусственного интеллекта, хактивизм и нацеленность на технологии умного дома. Также, вероятно, появятся новые ботнеты и руткиты, а также может увеличиться количество услуг наемных хакеров, равно как и атаки на цепочки поставок, которые могут предоставляться в качестве услуги на подпольных форумах киберпреступников.
Перейти к:
Расширение использования мобильных устройств и технологий «умного дома»
Операция Триангуляциякак выяснилось в прошлом году, выявила очень сложную кампанию кибершпионажа, в основном ориентированную на устройства iOS и использующую пять уязвимостей, включая четыре уязвимости нулевого дня.
Примечательной особенностью этих эксплойтов является то, что они нацелены не только на смартфоны Apple, но также на планшеты, ноутбуки, носимые устройства, устройства Apple TV и Apple Watch и могут использоваться для подслушивания.
Игорь Кузнецов, директор группы глобальных исследований и анализа «Лаборатории Касперского», рассказал TechRepublic в письменном интервью: «Вредоносное ПО действительно можно использовать для подслушивания. Недавний пример — модуль записи с микрофона в операции «Триангуляция». Его функции не ограничиваются ожидаемыми, например, продолжительность записи; он включает в себя сложные функции, такие как остановка записи при активации экрана устройства или остановка записи при записи системных журналов».
По мнению Касперского, злоумышленники APT могут расширить свои усилия по наблюдению, включив в него больше устройств, оснащенных технологиями умного дома, таких как камеры умного дома и подключенные автомобильные системы. Это особенно интересно для злоумышленников, поскольку эти устройства часто не контролируются, не обновляются и не исправляются, а также могут быть неправильно настроены. Это также вызывает беспокойство, поскольку в наши дни все больше людей работают из дома, и их компании могут быть атакованы через слабые места в устройствах для домашних работников.
Появятся новые ботнеты
Ботнеты, как правило, более распространены в киберпреступной деятельности по сравнению с APT, однако Касперский ожидает, что последний начнет использовать их чаще.
Первая причина – внести еще большую путаницу в защиту. По мнению исследователей, атаки с использованием ботнетов могут «скрыть целевой характер атаки за, казалось бы, широко распространенными атаками». В этом случае защитникам может быть сложнее приписать атаку злоумышленнику, и они могут поверить, что столкнулись с типичной широкомасштабной атакой.
Вторая причина — маскировка инфраструктуры злоумышленников. Ботнет может действовать как сеть прокси, а также как промежуточные серверы управления и контроля.
Касперский упоминает Дело ZuoRAT которая использовала маршрутизаторы небольших офисов/домашних офисов для заражения устройств вредоносным ПО и ожидает увидеть новые атаки такого рода в 2024 году.
Будет развернуто больше кода уровня ядра.
Microsoft усилила защиту Windows от руткитов, этих вредоносных фрагментов кода, выполняющих код на уровне ядра, с помощью ряда мер безопасности, таких как подписывание кода в режиме ядра или архитектура безопасного ядра, и это лишь некоторые из них.
С точки зрения злоумышленника, запускать код на уровне ядра стало сложнее, но это оставалось возможным. «Лаборатория Касперского» наблюдала, как многочисленные APT-угрозники и киберпреступники выполняли код в режиме ядра целевых систем, несмотря на все новые меры безопасности от Microsoft. Недавние примеры включают Сетевой фильтр руткит, FiveSys руткит и ПОВОРОДНАЯ ИЗДЕЛИЯ вредоносное ПО.
Касперский считает, что три фактора предоставят злоумышленникам возможность запуска кода уровня ядра в операционных системах Windows:
- Сертификаты расширенной проверки и украденные сертификаты подписи кода будут все чаще распространяться/продаваться на подпольных рынках.
- Увеличение злоупотреблений учетными записями разработчиков с целью подписания вредоносного кода через службы подписи кода Microsoft, такие как программа совместимости оборудования Windows.
- Увеличение БЬЁВД Атаки (принеси свой собственный уязвимый драйвер) в арсеналах злоумышленников
Еще больше хактивизма, связанного с APT
Касперский заявляет, что «трудно представить какой-либо будущий конфликт без участия хактивистов», что можно сделать несколькими способами. Бег Распределенный отказ в обслуживании атаки становится все более распространенным, наряду с ложными заявлениями о взломах, которые приводят к ненужным расследованиям для исследователей кибербезопасности и обработчиков инцидентов.
Дипфейки и инструменты выдачи себя за другое лицо/дезинформации также все чаще используются субъектами угроз.
Кроме того, можно проводить деструктивные и разрушительные операции. Использование дворники в нескольких текущих политических конфликтах или срыв власти в Украине являются хорошими примерами обоих типов операций.
Атаки на цепочку поставок как услуга
Малому и среднему бизнесу часто не хватает надежной защиты от APT-атак, и они используются хакерами в качестве шлюзов для доступа к данным и инфраструктуре их реальных целей.
Ярким примером является утечка данных Октакомпания по управлению идентификацией, в 2022 и 2023 годах затронула более 18 000 клиентов по всему миру, которые потенциально могли быть скомпрометированы позже.
Касперский считает, что тенденция атак на цепочки поставок может развиваться по-разному. Для начинающих, программное обеспечение с открытым исходным кодом может быть скомпрометировано целевыми организациями. Затем подпольные рынки могут представить новые предложения, такие как пакеты полного доступа, обеспечивающие доступ к различным поставщикам программного обеспечения или поставщикам ИТ-услуг, предлагая реальные атаки на цепочку поставок как услугу.
Больше групп в бизнесе по найму хакеров
Касперский ожидает увидеть больше групп, работающих так же, как DeathStalkerпечально известного злоумышленника, который нацелен на юридические фирмы и финансовые компании, предоставляет хакерские услуги и выступает в качестве информационного брокера, а не действует как традиционный злоумышленник APT, по мнению исследователей.
Ожидается, что некоторые группы APT будут использовать услуги по найму хакеров и расширять свою деятельность по продаже таких услуг, поскольку это может быть способом получения дохода для поддержания всей их деятельности по кибершпионажу.
Кузнецов рассказал TechRepublic: «Мы видели, как злоумышленники APT атаковали разработчиков, например, во время атак Winnti на игровые компании. Эта хакерская группа известна своими точными атаками на частные компании по всему миру, особенно в игровой сфере. Их основная цель — кража исходных кодов игровых онлайн-проектов и цифровых сертификатов законных поставщиков программного обеспечения. Хотя на данный момент это является спекулятивным, не должно быть никаких препятствий для таких субъектов угроз в расширении своих услуг, если есть рыночный спрос».
Увеличение использования ИИ для целевого фишинга
Глобальный рост использования чат-ботов и генеративный ИИ Инструменты принесли пользу во многих секторах за последний год. Киберпреступники и субъекты угроз APT начали использовать генеративный искусственный интеллект в своей деятельности. большие языковые модели, явно разработанные для вредоносных целей. В этих генеративных инструментах ИИ отсутствуют этические ограничения и ограничения по содержанию, присущие аутентичным реализациям ИИ.
Киберпреступники обнаружили, что такие инструменты способствуют массовому производству фишингового контента электронной почты, который часто используется в качестве начального вектора заражения при атаке на организации. Сообщения, написанные этими инструментами, более убедительны и хорошо написаны по сравнению с сообщениями, написанными киберпреступниками. Это также может имитировать стиль письма конкретных людей.
Касперский ожидает, что злоумышленники разработают новые методы автоматизации кибершпионажа. Одним из методов могла бы стать автоматизация сбора информации, связанной с жертвами, во всех аспектах их присутствия в Интернете: социальных сетях, веб-сайтах и т. д., если она связана с личностью жертвы.
Ориентация на системы MFT будет расти
Системы управляемой передачи файлов стали обязательными для многих организаций для безопасной передачи данных, включая интеллектуальную собственность или финансовые отчеты.
В 2023 году нападения на Подвинь это и GoAnywhere выявило, что злоумышленники-вымогатели были особенно заинтересованы в атаке на эти системы, но другие злоумышленники могли быть не менее заинтересованы в компрометации MFT.
Как отметил Касперский, «сложная архитектура систем MFT в сочетании с их интеграцией в более широкие бизнес-сети потенциально таит в себе слабые места в системе безопасности, которые готовы к использованию. Поскольку киберзлоумышленники продолжают оттачивать свои навыки, ожидается, что эксплуатация уязвимостей в системах MFT станет более выраженным вектором угрозы».
Как защититься от этих APT-угроз
Для защиты от APT-атак необходимо защитить личные и корпоративные устройства и системы.
В корпоративной среде использование таких решений, как расширенное обнаружение и реагирование, информация о безопасности и управление событиями и управление мобильными устройствами системы значительно помогают обнаруживать угрозы, централизовать данные, ускорять анализ и сопоставлять события безопасности из различных источников.
Настоятельно рекомендуется внедрить строгий контроль доступа. Принцип наименьших привилегий всегда должен использоваться для любого ресурса. Многофакторную аутентификацию следует использовать везде, где это возможно.
Сегментация сети может ограничить исследование скомпрометированных сетей злоумышленником. Критические системы, в частности, должны быть полностью изолированы от остальной части корпоративной сети.
Организации должны иметь актуальную план реагирования на инцидент это поможет в случае APT-атаки. План должен содержать шаги, которые необходимо предпринять, а также список людей и служб, к которым можно обратиться в случае возникновения чрезвычайной ситуации. Этот план следует регулярно проверять путем моделирования атак.
СКАЧАТЬ это Политика реагирования на инциденты от TechRepublic Премиум
Необходимо проводить регулярные проверки и оценки для выявления потенциальных уязвимостей и слабых мест в корпоративной инфраструктуре. Ненужные или неизвестные устройства, обнаруженные в инфраструктуре, следует отключить, чтобы уменьшить поверхность атаки.
ИТ-команды должны иметь доступ к каналам данных Cyber Threat Intelligence, которые содержат новейшие тактики, методы и процедуры APT, а также последние индикаторы компрометации. Их следует запускать в корпоративной среде, чтобы постоянно проверять отсутствие признаков компрометации со стороны злоумышленника APT.
Также рекомендуется сотрудничество с коллегами из отрасли для усиления коллективной защиты от APT и обмена передовым опытом и мыслями.
Все системы и устройства должны быть обновлены и исправлены, чтобы избежать риска заражения общей уязвимостью.
Пользователи должны быть обучены обнаруживать кибератаки, особенно целевой фишинг. Им также нужен простой способ сообщить в ИТ-отдел о подозрении в мошенничестве, например, с помощью нажимаемой кнопки в почтовом клиенте или в браузере.
Раскрытие информации: Я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.
2023-11-20 23:43:35
1700537636
#Прогнозы #Касперского #по #устойчивым #угрозам #на #год