防御者必須應(yīng)對的持續(xù)威脅之一是 APT：高級持續(xù)威脅。APT 攻擊者使用比典型攻擊者更復(fù)雜的策略來破壞網(wǎng)絡(luò)，例如部署特洛伊木馬或其他簡單的軟件。例如，APT 攻擊者可能會在較長時間內(nèi)采用復(fù)雜的間諜技術(shù)，并讓組織內(nèi)部的眾多個人參與其中，以實現(xiàn)其最終目標。

盡管任何規(guī)模的公司都可能成為目標，但引人注目的 APT 攻擊通常針對知名公司、關(guān)鍵基礎(chǔ)設(shè)施或政府。然而，我們看到這些類型的攻擊超出了這些特定類型的目標，令人擔(dān)憂的是傳統(tǒng)的網(wǎng)絡(luò)犯罪組織現(xiàn)在也在使用它們。我們越來越多地看到，這些威脅不僅在不斷發(fā)展，而且不良行為者也在從這些技術(shù)中學(xué)習(xí)并將其應(yīng)用于其他類型的攻擊方法。

APT 的演變

Wiper 惡意軟件很好地說明了 APT 類型的活動和常見網(wǎng)絡(luò)犯罪如何融合。擦除器是我們經(jīng)?？吹矫褡鍑倚袨檎呤褂玫墓ぞ撸?APT 犯罪團伙通常傳播勒索軟件等惡意軟件。

去年我們看到這種情況顯著擴大。我們在去年上半年觀察到擦除惡意軟件的死灰復(fù)燃，而這種毀滅性的攻擊策略在下半年才擴大了其灘頭陣地。我們的 FortiGuard 實驗室研究人員發(fā)現(xiàn)，擦拭器惡意軟件向新國家的傳播導(dǎo)致 2022 年第三季度至第四季度擦拭器活動增加了 53%。

盡管擦除惡意軟件最初是由民族國家 APT 行為者開發(fā)和傳播的，特別是在俄羅斯-烏克蘭戰(zhàn)爭期間，但我們現(xiàn)在正在見證其規(guī)模擴大和全球部署。網(wǎng)絡(luò)犯罪組織越來越多地在其不斷擴大的網(wǎng)絡(luò)犯罪即服務(wù) (CaaS) 網(wǎng)絡(luò)中使用這些新型病毒。擦除器惡意軟件構(gòu)成的威脅現(xiàn)在比以往任何時候都更加普遍，所有公司都可能成為目標。此外，網(wǎng)絡(luò)犯罪分子目前正在創(chuàng)建自己的擦除軟件，該軟件正在整個 CaaS 組織中輕松使用。

不僅僅是雨刮器正在從 APT 中汲取教訓(xùn)

除了攻擊者用來實現(xiàn)更具破壞性的新目標之外，廣泛的網(wǎng)絡(luò)犯罪攻擊策略也變得更有針對性。這是傳統(tǒng)網(wǎng)絡(luò)犯罪的一個變化，因為 APT 組織通常以其專注的策略而聞名。

安全研究團隊最近注意到該領(lǐng)域的兩個重要發(fā)展。第一個是 SideCopy 的秘密工作。SideCopy APT 組織因使用類似的 TTP（策略、技術(shù)和程序）而聞名，有時還使用與另一個來自巴基斯坦的名為“Transparent Tribe”的組織相同的基礎(chǔ)設(shè)施。SideCopy 被認為是透明部落的一個分支。據(jù)稱，該團伙被命名為“SideCopy”，因為他們使用了從著名的印度威脅組織 SideWinder 中提取的感染鏈來逃避檢測。盡管 SideCopy 主要針對 Windows 系統(tǒng)，但有人聲稱他們已經(jīng)用惡意軟件感染了 Mac 和 Linux 計算機。

第二個是Donot APT，也稱為SectorE02 和APT-C-35。至少自2016年以來，該威脅行為者就以斯里蘭卡、孟加拉國、尼泊爾和巴基斯坦的企業(yè)和民眾為目標。為了找到受害者，Donot 使用帶有惡意文檔的魚叉式網(wǎng)絡(luò)釣魚電子郵件。

我們看到該團伙繼續(xù)用惡意文件瞄準受害者。2023年初，我們看到該攻擊者使用惡意文檔。我們發(fā)現(xiàn)的大多數(shù)惡意文檔可以追溯到2021年左右，但所有這些惡意文檔都與過去30天內(nèi)注冊的域名相關(guān)聯(lián)。這表明威脅行為者在2023年2月和3月的活動中使用了之前創(chuàng)建的惡意文檔。

保持進化領(lǐng)先地位

隨著 APT 開始與傳統(tǒng)網(wǎng)絡(luò)犯罪融合，網(wǎng)絡(luò)犯罪分子越來越多地試圖尋找繞過安全、檢測、情報和控制的方法。他們投入更多時間進行偵察，并致力于將新興技術(shù)轉(zhuǎn)化為武器。他們的攻擊正在轉(zhuǎn)向更有針對性的性質(zhì)，使用精確的技術(shù)。

與其他安全問題一樣，沒有單一的答案或快速解決方案可以保護公司免受此類活動的影響。根據(jù)最新的實時威脅數(shù)據(jù)進行主動、基于行為的檢測仍然是您可以采取的最佳預(yù)防措施之一。配備了這些有用的情報，組織將能夠更好地保護自己免受威脅行為者工具包的侵害。保護混合網(wǎng)絡(luò)的邊緣需要集成的、人工智能和機器學(xué)習(xí)驅(qū)動的網(wǎng)絡(luò)安全平臺，該平臺具有卓越的檢測和響應(yīng)能力，并由可操作的威脅情報提供支持。無論用戶是在現(xiàn)場還是遠程，零信任網(wǎng)絡(luò)訪問 (ZTNA) 對于保護對工作或?qū)W習(xí)中的應(yīng)用程序的訪問至關(guān)重要。

防守方的回應(yīng)

由于 CaaS 的擴展，安全團隊將繼續(xù)面臨大量威脅，這些威脅變得越來越復(fù)雜并出現(xiàn)新的變體。如上所述，組織必須集中精力集成其安全技術(shù)并部署自己的工具和策略，以保護其網(wǎng)絡(luò)免受高級持續(xù)威脅的發(fā)展。