Trace Id is missing

Den årlige gjennomgangen av trusselinformasjon for 2023: Viktig innsikt og utvikling

Del
En rød sirkel på himmelen

Det har vært et fantastisk år for Microsoft trusselinformasjon. Den store mengden trusler og angrep som avdekkes gjennom de mer enn 65 billionene signaler vi overvåker daglig, har gitt oss mange infleksjonspunkter, særlig siden vi legger merke til et skifte i hvordan trusselaktører skalerer og utnytter statlig støtte. Det siste året har presentert flere angrep enn noen gang tidligere, og angrepskjedene blir mer komplekse for hver dag som går. Oppholdstiden har blitt kortere. Taktikker, teknikker og prosedyrer (TTP-er) har utviklet seg til å ha en smidigere og mer unnvikende art. Å se tilbake på detaljer fra disse hendelsene hjelper oss med å se mønstre slik at vi kan avgjøre hvordan vi skal svare på nye trusler, og forutse i hvilken retning de flytter seg neste gang. Gjennomgangen av TTP-ene fra 2023 tar sikte på å gi en omfattende oversikt over trusselinformasjonlandskapet gjennom det vi har observert fra hendelser rundt om i verden. Her er noen av høydepunktene som både Sherrod DeGrippo og jeg ønsker å dele sammen med noen videosnutter tatt fra diskusjonen vi hadde på Ignite 2023.

John Lambert,
Microsoft Corporate Vice President and Security Fellow

Navneklassifisering av trusselaktører

I 2023 skiftet Microsoft til en ny navneklassifisering for trusselaktører, med vær som tema, som (1) bedre samsvarer med den økende kompleksiteten, skalaen og det økende volumet til moderne trusler, og (2) gir en måte å referere til motstandsgrupper på som er mer organisert, enkel og lett å huske.1

Microsoft kategoriserer trusselaktører i fem hovedgrupper:

Påvirkningsoperasjoner der nasjonalstater står bak: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

I den nye klassifiseringen representerer en værhendelse eller et familienavn én av de ovenstående kategoriene. Trusselaktørene i samme værfamilie får et adjektiv, for å skille ulike grupper, med unntak av grupper i utvikling, som får firesifrede numre.

Trender for taktikker, teknikker og prosedyrer (TTP-er) for 2023

Unngå tilpassede verktøy og skadelig programvare

Trusselaktørgrupper som legger vekt på å gjøre seg usynlige, har selektivt unngått bruken av tilpasset skadelig programvare. De bruker i stedet verktøy og prosesser som finnes på offerets enhet, for å skjule seg sammen med andre trusselaktører som bruker liknede metoder for å starte angrep. 2

Microsofts viseadministrerende direktør og sikkerhetsansvarlig, John Lambert, gir en kort kommentar til hvordan trusselaktører unngår glorete tilpassede verktøy for å gjøre seg usynlige. Se videoen nedenfor:

Kombinere cyber- og påvirkningsoperasjoner (IO)

I løpet av sommeren observerte Microsoft at enkelte statlige aktører kombinerte metodene til cyberoperasjoner og påvirkningsoperasjoner (IO) til en ny hybrid vi har kalt «cyberaktiverte påvirkningsoperasjoner». Den nye taktikken hjelper aktørene med å øke, overdrive eller kompensere for mangler i nettverkstilgangen eller evnene til cyberangrep. 3 Cybermetoder omfatter taktikker slik som datatyveri, uleseliggjøring, DDOS og løsepengevirus i kombinasjon med påvirkningsmetoder slik som datalekkasjer, sokkedukker, etterligning av ofre, sosiale medier, og SMS/e-postkommunikasjon.
Nettvennlig samling av cyber- og påvirkningsmetoder

Kompromittering av kantenheter på SOHO-nettverk

Trusselaktørene samler skjulte nettverk fra kantenheter på nettverk, på små kontorer og hjemmekontor (SOHO), og bruker programmer som hjelper med å finne sårbare endepunkter rundt om i verden. Denne teknikken kompliserer kjennetegnene, og får angrepene til å se ut som de kommer fra hvor som helst.4

I denne videoen på 35 sekunder utdyper Microsofts John Lambert hvorfor trusselaktører synes kantenheter på SOHO-nettverk er svært attraktive mål. Se videoen nedenfor:

Trusselaktører får innledningsvis tilgang gjennom diverse metoder

I Ukraina og andre steder har Microsoft trusselinformasjon-forskere observert at trusselaktører får innledningsvis tilgang til målene ved hjelp av en mangfoldig verktøykasse. Vanlige taktikker og teknikker har inkludert utnyttelse av Internett-tilkoblede applikasjoner, bakdørspiratversjoner av programvare og målrettet phishing. 5 reaktivt, økte raskt cyber- og påvirkningsoperasjoner etter Hamas-angrepene mot Israel.

Etterligning av ofre for å tilføre troverdighet

En økende trend i cyberaktiverte påvirkningsoperasjoner involverer etterligning av påståtte offerorganisasjoner, eller ledende figurer i disse organisasjonene, for å tilføre troverdighet i virkningen av cyberangrepene eller kompromitteringen. 6

Rask innføring av offentliggjorte POC-er for innledningsvis tilgang og utholdenhet

Microsoft har i økt grad observert visse statlige undergrupper som tar i bruk offentliggjort konseptbevis (POC) -kode kort tid etter utgivelsen, for å utnytte sårbarheter i Internett-tilkoblede applikasjoner. 7

 

Figuren nedenfor illustrer to angrepskjeder som er foretrukket av en statlig undergruppe Microsoft har observert. I begge kjedene bruker angriperne Impacket for å flytte seg sidelengs.

Illustrasjon av angrepskjede.

Trusselaktørers forsøk på å bruke masseutsending av SMS for å kontakte en målgruppe

Microsoft observerte flere aktører som forsøkte å bruke masseutsending av SMS, for å øke forsterkningen og de psykologiske effektene til cyberpåvirkningsoperasjonene. 8

Figuren nedenfor viser to sidestilte SMS-meldinger fra trusselaktører som utgir seg for å være et israelsk sportsnettverk. Meldingen til venstre inneholder en kobling til en uleseliggjort Sport5-nettside. Meldingen til høyre var «Hvis du verdsetter livet ditt, ikke reis til landene våre».

Atlas Group Telegram: Skjermbilde av SMS som utgis for å være en israelsk sportskanal.

Sosiale medieoperasjoner øker det effektive målgruppeengasjementet

Skjulte påvirkningsoperasjoner har nå begynt å kommunisere med målgrupper på sosiale medier i mye større grad enn det som er observert tidligere, og representerer høyere nivå av kompleksitet og kultivering av nettbaserte IO-ressurser.9

 

Nedenfor er en Black Lives Matter-grafikk som opprinnelig ble lastet opp av en statlig gruppes automatiske konto. Syv timer senere var den lastet opp på nytt av en konto som utga seg for å være en amerikansk konservativ-velger.

Uttalelse som støtter Black Lives Matter, fordømmer diskriminering og politivold og forfekter verdighet og trygghet

Spesialisering innenfor løsepengevirusøkonomien

Løsepengevirusoperasjoner i 2023 har bevegd seg mot spesialisering, og valgt å fokusere på et lite område med funksjoner og tjenester. Denne spesialiseringen har en splintrende effekt, og sprer komponenter med løsepengevirusangrep på tvers av flere leverandører i en kompleks illegal økonomi. Som svar på dette sporer Microsoft trusselinformasjon leverandører individuelt, og legger merke til trafikken i innledningsvis tilgang og deretter andre tjenester.10

 

I et videosegment som er tatt fra Ignite, beskriver sjef for trusselinformasjon i Microsoft trusselinformasjon, Sherrod DeGrippo, den nåværende tilstanden til løsepengevirustjenesteøkonomien. Se videoen nedenfor:

Stabil bruk av tilpassede verktøy

Selv om noen grupper aktivt unngår tilpasset skadelig programvare for å gjøre seg usynlige (se «Unngå tilpassede verktøy og skadelig programvare» over), har andre gått bort fra offentlig tilgjengelige verktøy og enkle skript til fordel for skreddersydde tilnærminger som krever mer komplekse metoder.11

Målrettet infrastruktur

Selv om infrastrukturorganisasjoner – vannbehandlingsanlegg, maritime operasjoner, transportorganisasjoner – ikke har verdifulle data som tiltrekker mye cyberspionasje på grunn av manglende informasjonsverdi, har de likevel verdi nå det gjelder avbrudd. 12

 

Microsofts John Lambert gir en kort beskrivelse av paraokset til cyberspionasje: et mål som tilsynelatende mangler data. Se videoen nedenfor:

Som du ser fra informasjonen i de 11 punktene fra 2023, som vi nettopp har gjennomgått, er trussellandskapet i kontinuerlig utvikling, og kompleksiteten og frekvensen til cyberangrepene fortsetter å øke. Det er ingen tvil om at de over 300 trusselaktørene som vi følger, alltid vil prøve noe nytt og kombinerer dette med de testede og anerkjente TTP-ene. Det er dette vi elsker med disse trusselaktørene, mens vi analyserer dem og forstår identitetene deres. Vi kan forutsi det neste trekket deres. Og nå med generativ kunstig intelligens kan vi gjøre dette raskere, og vil bli flinkere til å utestenge angripere tidligere.

 

Når det er sagt: la oss flytte oss videre til 2024.

 

Hvis du vil ha nyheter og informasjon om trusselinformasjon, kan du få en orientering i «drive-thruen». Sjekk ut Microsoft trusselinformasjon-podkasten,ledet av Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Et år med russisk hybrid krigføring i Ukraina. Side 14

  6. [6]

    Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning. Side 11.

  7. [7]
  8. [8]

    Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning. Side 11.

  9. [9]

    Digitale trusler fra Øst-Asia øker i omfang og effektivitet. Side 6

  10. [10]

    Et år i Intel: Høydepunkter fra Microsofts globale posisjon mot APT-er

  11. [11]

    Iran tyr til cyberaktiverte påvirkningsoperasjoner for større virkning. Side 12.

  12. [12]

    Et år i Intel: Høydepunkter fra Microsofts globale posisjon mot APT-er

Cyberbaserte påvirkningsoperasjoner Nasjonalstat Trusselaktører

Relaterte artikler

Russiske trusselaktører står klare til å utnytte krigstrettheten

Russiske cyber- og påvirkningsoperasjoner vedvarer mens krigen i Ukraina fortsetter. Microsoft trusselinformasjon legger frem de siste datatrussel- og påvirkningsaktivitetene de siste seks månedene.
Mer informasjon

Volt Typhoon retter seg mot den kritiske infrastrukturen i USA med LotL-teknikker

Microsoft trusselinformasjon avdekket en økning i cyberaktiverte påvirkningsoperasjoner fra Iran. Få trusselinnsikt med informasjon om nye teknikker og hvor fremtidige trusler kan komme fra.
Mer informasjon

Løsepengevirus som tjeneste: Industrialisert nettkriminalitet satt i et nytt lys

Microsoft trusselinformasjon undersøker et år med cyber-. og påvirkningsoperasjoner i Ukraina, avdekker nye trender innen cybertrusler, og hva vi kan forvente idet krigen går inn i sitt andre år.
Mer informasjon

Følg Microsoft Sikkerhet