Trace Id is missing

2023 年威脅情報年度回顧:關鍵深入解析和發展

共用
天空中的紅色圓圈

對於 Microsoft 威脅情報來說,這是令人難以置信的一年。我們每天監測的超過 65 萬億個信號揭示了大量威脅和攻擊,由此為我們提供了許多拐點,而當我們注意到威脅執行者在如何擴展和利用民族國家支援上發生的變化時,尤其如此。去年出現的攻擊較以往任何時候都多,攻擊鏈也變得日益複雜。停留時間縮短。技術、策略和程序(TTP)在本質上變得更加靈活和迴避。回顧這些事件的細節有助於我們了解模式,使得我們確定如何應對新威脅,並預測它們下一步可能朝哪個方向發展。我們對 2023 年 TPP 的審查旨在通過我們在世界各地事件中觀察到的情況,全面概述威脅情報形勢。以下是 Sherrod DeGrippo 和我想與您分享的一些重點項目,以及我們在 Ignite 2023 上的討論中的一些視訊片段。

John Lambert,
Microsoft 公司副總裁兼安全研究員

威脅行為者命名分類法

2023年,Microsoft 轉向了一種以天氣為主題的威脅行為者新命名分類法,該分類法(1)更好地匹配現代威脅日益加劇的複雜性、規模和數量,並(2)提供更有條理、更令人難忘和更簡單的方法來參考敵人群組。1

Microsoft 將威脅行為者分為五個關鍵群組:

民族國家影響力行動:Blizzard、Tempest、Flood、Tsunami、Storm、Sandstorm 和 Sleet。

在我們的新分類法中,天氣事件或姓氏代表上述類別之一。同一天氣系列中的威脅行為者被賦予形容詞,用來區分不同的群體,但開發中的群體除外,這些群體被賦予四位數。

2023 年技術、策略和程序(TTPs)趨勢

迴避自訂工具和惡意軟體

重視隱身性的威脅行為者群組有選擇地避免使用自訂惡意軟體。取而代之的是,他們利用受害者設備上的現有工具和流程來掩蓋自己,跟隨其他威脅行為者一起使用類似的方法來發起攻擊。2

Microsoft 公司副總裁兼安全研究員 John Lambert 簡要評論了威脅行為者如何迴避張揚的自訂工具以實現隱身。立即觀看以下影片:

組合網路和影響力行動(IO)

今年夏天,Microsoft 觀察到某些民族國家行為者將網路行動和影響力行動(IO)的策略合為一種新型混合體,我們將其命名為「網路影響力行動」。這種新策略有助於攻擊行為者增強、誇大或彌補其網路存取或網路攻擊能力的缺陷。3 網路方法包括數據盜竊、污損、DDoS 和勒索軟體等策略,並與數據洩露、傀儡、冒充受害者、社交媒體和簡訊/電子郵件通信等影響方法組合。
網路和影響方法的網路友善陣列

危及 SOHO 網路邊緣裝置

威脅行為者正在從小型辦公室/家庭辦公室(SOHO)網路邊緣裝置組裝隱蔽網路,甚至使用程式來協助定位世界各地的易受攻擊端點。這種技術使歸因複雜化,令攻擊幾乎可從任何地方出現。4

在這段 35 秒的視訊中,Microsoft 的 John Lambert 詳細闡述了為什麼威脅行為者會發現 SOHO 網路邊緣裝置是如此有吸引力的目標。立即觀看以下影片:

威脅行為者通過各種方式獲得初始訪問許可權

在烏克蘭和別處,Microsoft 威脅情報研究人員觀察到威脅行為者使用各種工具包獲得對目標的初始訪問許可權。常見的策略和技術包括利用面向互聯網的應用程式、後門盜版軟體和魚叉式網路釣魚。 5在哈馬斯襲擊以色列后,他們的網路和影響力行動反應迅速而且激增。

冒充受害者以增加可信度

網路影響行動的一個增長趨勢是冒充所謂的受害者組織或這些組織中的主要人物,以增加網路攻擊或入侵影響的可信度。 6

快速採用公開披露的 POC 進行初始存取和持久存取

Microsoft 日漸觀察到,某些民族國家子群組在發佈后不久採用公開披露的概念驗證(POC)代碼,以此利用面向互聯網的應用程式中的漏洞。 7

 

下圖說明 Microsoft 觀察到的民族國家子群組所青睞的兩條攻擊鏈。在這兩條鏈中,攻擊者都使用 Impacket 橫向移動。

攻擊鏈圖示。

威脅行為者嘗試使用群發簡訊聯繫目標受眾

Microsoft 觀察到多個行為者試圖使用群發傳訊來增強其網路影響行動的擴大和心理影響。8

下圖顯示了來自威脅行為者冒充以色列體育網路的兩條並排簡訊。左側的訊息包含指向汙損的 Sport5 網頁的連結。關於右邊戰爭的資訊,「如果你熱愛自己的生活,請勿前往我們的國家旅行。」

Atlas Group 電報:冒充以色列體育網簡訊的螢幕擷取畫面。

社交媒體行動提高了受眾的有效參與度

隱蔽影響行動現已開始在社交媒體上成功地與目標受眾互動,其程度比以前觀察到的要大,代表了在線 IO 資產的複雜性和養成程度更高。9

 

下面是「黑人的命也是命」的圖片,最初是由一個民族國家團體的自動帳戶上傳的。七個小時後,它被一個冒充美國保守派選民的帳戶重新上傳。

支援黑人生命攸關的聲明,譴責歧視、警察暴力、倡導尊嚴和安全

勒索軟體經濟內部的專業化

2023 年的勒索軟體運營商趨向於專業化,選擇專注於小範圍的功能和服務。這種專業化具有分裂效應,將複雜的地下經濟中勒索軟體攻擊的組成部分分散到多個供應商。作為回應,Microsoft 威脅情報單獨跟蹤供應商,注意到初始存取中的流量,然後是其他服務。10

 

在 Ignite 的視頻片段中,Microsoft 威脅情報戰略總監 Sherrod DeGrippo 描述了勒索軟體服務經濟的現狀。立即觀看以下影片:

穩定使用自訂工具

雖然一些群組正在積極避免出於隱身目的的自訂惡意軟體(參見上面的「避免自訂工具和惡意軟體」),但其他組織已從公開可用的工具和簡單的指令碼轉向需要更複雜技術的自訂方法。11

目標基礎結構

儘管由於缺乏情報價值,基礎結構組織(水處理設施、海上作業、運輸組織)沒有吸引大多數網路間諜活動的寶貴數據,但它們確實提供了顛覆性價值。 12

 

Microsoft 的 John Lambert 簡要介紹了網路間諜悖論:一個似乎沒有數據的目標。立即觀看以下影片:

從我們剛剛回顧的 2023 年 11 項的詳細資訊中可見,威脅形勢不斷演變,網路攻擊的複雜性和頻率不斷上升。毫無疑問,我們跟蹤的 300+ 位威脅行為者始終會嘗試新方法,並將其與久經考驗的真實 TTP 相結合。這便是我們熱衷於這些威脅行為者的原因,當我們分析並了解其角色時,可以預測他們的下一步行動。現在有了生成式人工智慧,我們可以更快地做到這一點,並且可以在更早地驅逐攻擊者上做得更好。

 

話雖如此,讓我們前進至 2024 年。

 

若要獲取可在得來速中消化的威脅情報新聞和資訊,請查看由 SherrodDeGrippo 主持的Microsoft 威脅情報播客

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    俄羅斯在烏克蘭混合作戰的一年。第 14 頁

  6. [6]

    伊朗轉向網路影響力作戰以取得更大效果。第 11 頁

  7. [7]
  8. [8]

    伊朗轉向網路影響力作戰以取得更大效果。第 11 頁

  9. [9]

    來自東亞數位威脅的廣度和有效性不斷增加。第 6 頁

  10. [10]

    在英特爾的一年:Microsoft 全域打擊 APT 行動重點項目

  11. [11]

    伊朗轉向網路影響力作戰以取得更大效果。第 12 頁

  12. [12]

    在英特爾的一年:Microsoft 全域打擊 APT 行動重點項目

網路影響力行動 國家/地區 威脅執行者

相關文章

俄羅斯的威脅行為者趁勢深入,準備抓住戰爭疲勞

俄羅斯的網路以及其影響力的作業隨著烏克蘭戰爭爾持續地留存。Microsoft 威脅情報詳細揭露了過去六個月最新的網路威脅和影響力活動。
深入了解

Volt Typhoon 採用離地攻擊技術以美國關鍵基礎結構為目標

Microsoft 威脅情報發現伊朗境外的網路影響力作戰增加。透過新技術的詳細資訊以及未來潛在威脅的位置來取得威脅見解。
深入了解

勒索軟體即服務:工業化網路犯罪的新面貌

Microsoft 威脅情報研究了烏克蘭一年來的網路和影響力行動,揭示了網路威脅的新趨勢,以及戰爭進入第二年時的預期。
深入了解

關注 Microsoft