本文总结了卡巴斯基实验室对2023年APT威胁格局预测的回顾，并提出了2024年的预测。

主要内容包括：

2023预测回顾：

1. 破坏性攻击继续发生

2. 邮件服务器仍是首要目标 

3. 没有发生新的网络勒索病毒大流行

4. APT尚未大规模利用卫星技术

5. 持续看到黑客入侵和信息泄露 

6. Cobalt Strike依然是攻击的首选框架

7. 看到通过通信服务提供商网络实现的零点击攻击

2024预测：

1. 移动和可穿戴设备面临更多攻击 

2. 消费类软件可能被利用建立新的僵尸网络

3. 内核级攻击有回潮趋势

4. 国家支持的APT将持续增加

5. 黑客行为会成为地缘政治紧张的一部分

6. 供应链攻击趋于自动化和专业化

7. AI助力更具针对性的网络钓鱼

8. 市场出现更多网络攻击服务团体

9. MFT系统成为重点攻击目标

本文最有趣的预测和发现有以下几点：

1. 消费类设备和软件可能被利用来组建新的僵尸网络。随着智能家居、可穿戴设备的普及，以及消费软件漏洞的存在，攻击者可以隐秘地控制大量这样的设备，作为攻击基础设施和跳板。这是一种值得警惕的新型威胁。

2. AI助力的目标钓鱼。利用生成式AI，攻击者可以自动化分析目标并生成定制化的钓鱼信息，大大提高了钓鱼攻击的效率和隐蔽性。这种手段的出现将对网络安全形成新的挑战。

3. 内核级攻击可能卷土重来。由于攻击者不断突破各种代码执行防护，rootkit和内核级恶意代码可能会捷兴。这将严重威胁系统安全。

4. 供应链攻击实现自动化。通过购买各种服务供应商的访问权，攻击者可以实现大规模自动化的供应链攻击。这种手段极大地降低了攻击门槛。

5. 黑客组织提供网络攻击服务。这种网络犯罪模式的形成，使得任何人都可以轻松获得网络攻击能力，对普通企业安全构成严重威胁。

高级持续威胁（APT）是最危险的威胁，因为它们采用复杂的工具和技术，而且通常高度针对性且难以检测。在全球危机和地缘政治对抗加剧的背景下，这些复杂的网络攻击甚至更加危险，因为通常牵涉的利益更大。 

卡巴斯基全球研究与分析小组（GReAT）监控大量APT组织，分析趋势，并试图预测未来发展，以领先威胁形势的变化，保护客户的安全。在本文中，我们将回顾去年的趋势，看哪些2023年的预测成真了，并尝试预测2024年会发生什么。

对去年预测的回顾

1. 破坏性攻击的兴起

去年12月，在我们发布2023年预测后不久，据报道俄罗斯政府机构遭到一种名为CryWiper的数据清除病毒的袭击。该恶意软件伪装成勒索软件，要求受害者“解密”数据付费。但是，它并没有加密数据，而是有目的地破坏了受影响系统中的数据。

1月，ESET发现了一种新的清除工具，通过Active Directory GPO在乌克兰进行了部署。他们将该清除工具SwiftSlicer归因于Sandworm（又名Hades）。

6月，微软发布了一份关于Cadet Blizzard的报告，该威胁行为体在2022年初针对乌克兰政府机构发动了WhisperGate和其他清除工具。除了乌克兰的政府机构、执法部门、IT服务和急救服务之外，该威胁行为体还瞄准了欧洲、中亚和拉丁美洲的组织。

总而言之，虽然我们没有看到2022年同等规模的攻击，但明显有一些重大攻击。

结论：部分实现 🆗

2. 邮件服务器成为首要目标

6月，Recorded Future警告称，BlueDelta（又名Sofacy、APT28、Fancy Bear和Sednit）利用Roundcube Webmail漏洞入侵了多个组织，包括参与航空基础设施的政府机构和军事实体。该威胁行为体利用有关俄乌冲突的新闻诱使用户打开包含漏洞利用的有害邮件（CVE-2020-35730、CVE-2020-12641和CVE-2021-44026）。使用恶意脚本，攻击者将目标的传入电子邮件重定向到攻击者控制的电子邮件地址，从受感染的帐户收集数据。

7月，我们报告了Owowa的更新变种，用于针对俄罗斯的目标。我们能够将Owowa的部署与类似已知CloudAtlas活动的基于邮件的入侵链GOFFEE联系起来。

8月，TeamT5和Mandiant在早期关于影响Barracuda电子邮件安全网关（ESG）设备的远程命令注入漏洞（CVE-2023-2868）的研究的基础上，进一步详细描述了UNC4841威胁行为体使用的TTP。UNC4841部署了全新设计的恶意软件，以在补丁发布前后不久受到入侵的少数高优先级目标上维持存在。这包括使用SKIPJACK和DEPTHCHARGE后门以及FOXTROT/FOXGLOVE启动程序。该威胁行为体瞄准了各种行业的广泛目标。美国网络安全和基础设施安全局（CISA）提供了与CVE-2023-2868利用相关的更多IoC。

结论：预测实现 ✅

3. 下一个想哭勒索软件

幸运的是，新的网络流行病没有发生。

结论：预测未实现 ❌

4. APT目标转向卫星技术、生产商和运营商

最近几年唯一已知的利用卫星技术的攻击事件是2022年的KA-SAT网络黑客攻击。我们在2023年没有看到任何类似事件。

结论：预测未实现 ❌ 

5. 黑客入侵和泄密是新的黑色（和黯淡的）

4月，我们报告了KelvinSecurity，一个黑客团体。该组织的动机是社会政治和金钱，但不一致。攻击针对全球公共或私人组织。泄密通常在黑暗网络、消息组或该组自己的平台上出售，有些免费提供。

5月，Ars Technica报道，在今年3月微星国际（MSI）遭受勒索软件攻击后，BootGuard私钥已被盗。如果攻击者能获得这些私钥，他们可以对他们的恶意软件进行数字签名，以便代码被MSI计算机信任并运行（启用了Intel芯片和BootGuard的PC上的固件只有在使用适当密钥进行数字签名时才会运行）。

8月，Recorded Future威胁研究部门Insight Group报告，自今年3月以来，BlueCharlie（之前被称为TAG-53，也称为Blue Callisto、Callisto或Calisto、COLDRIVER、Star Blizzard（之前称为SEABORGIUM）和TA446）被研究人员链接到94个新域，表明该组正在积极修改其基础设施以响应有关其活动的公开披露。该威胁行为体侧重于为间谍活动和黑客入侵和泄密行动收集信息，瞄准各行业的组织，例如政府、高等教育、国防和政治部门、非政府组织（NGO）、活动家、新闻从业者、智库和国家实验室。

结论：预测实现✅

6. 更多APT团伙将从Cobalt Strike转向其他替代品

我们正在密切关注类似工具，其中之一是BruteRatel，但Cobalt Strike仍然被用作攻击的首选框架。

结论：预测未实现 ❌

7. SIGINT交付的恶意软件

9月，Citizen Lab发布了一份关于埃及著名反对派人士Ahmed Eltantawy的报告。这位政治人物成为一种以前未被发现的“零日”攻击的目标，目的是感染他的手机间谍软件。

在8月和9月的几个月中，Citizen Lab报告说，Eltantawy经历了一种更危险的网络注入攻击形式，不需要他采取任何行动，比如点击任何东西。

Citizen Lab的报告进行了检查，以确定网络注入的确切位置。它确定注入点位于两家埃及电信运营商之间的连接中。仅依靠技术数据，该实验室无法确定中间框位于哪一侧的连接。尽管如此，Citizen Lab研究人员怀疑，该攻击可能涉及与运营商的一个用户数据库集成。

根据Citizen Lab的说法，执行对Eltantawy的攻击将需要在Eltantawy的埃及通信服务提供商的网络上安装PacketLogic系统，尽管研究人员没有指控ISP与攻击同谋。

结论：预测实现✅

8. 无人机黑客!

虽然2022年有公开报道称无人机用于黑客Wi-Fi网络，但没有类似2023年事件的报道。

结论：预测未实现 ❌

2024年APT预测

现在，让我们看看可能的高级持续威胁格局的未来。

针对移动设备、可穿戴设备和智能设备的创造性利用的兴起

去年是一个重大发现的一年：“三角测量行动”，一项新的、非常隐蔽的针对iOS设备（包括我们同事的设备）的间谍活动。在调查过程中，我们的团队确定了iOS中的五个漏洞，包括四个零日漏洞。这些漏洞不仅影响智能手机和平板电脑，还扩展到笔记本电脑、可穿戴设备和智能家居小工具，包括Apple TV和Apple Watch。展望未来，我们可能会预见更多偶尔的高级攻击利用消费类设备和智能家居技术。iOS设备可能不是唯一的目标：其他设备和操作系统也可能面临风险。

攻击者的一个创造性途径是将监视工作扩展到智能家居摄像头、连接汽车系统等设备。许多这些新旧设备由于漏洞、配置错误或过时的软件而容易受到攻击，使它们成为攻击者有吸引力且易于攻击的目标。

这一新兴趋势的另一个显着方面是“无声”利用交付方法。在“三角测量行动”中，利用方法通过iMessage悄悄交付，并在没有用户交互的情况下激活。在即将到来的一年中，我们可能会看到利用交付的替代方法，例如：

- 通过流行的跨平台即时通讯软件进行零次点击，允许在不与潜在受害者交互的情况下进行攻击

- 通过SMS或消息应用程序发送含有恶意链接的单击，受害者可能会毫不知情地通过打开这些链接触发攻击

- 拦截网络流量，例如，利用Wi-Fi网络，这是一种不太常见但可能有效的方法

为了防范复杂的攻击和有针对性的威胁，个人和公司设备的保护都是至关重要的。XDR、SIEM和MDM等解决方案，除了传统的反病毒产品之外，能够集中收集数据、加快分析并关联来自各种源的安全事件，从而促进对复杂事件的快速响应。

利用消费者和企业软件及设备构建新的僵尸网络

这是众所周知的事实：普遍使用的软件和设备中存在漏洞，无论是企业还是个人使用。定期会发现新的高危和严重漏洞。根据Statista的数据，2022年发现的漏洞数量创历史新高，超过25，000个。通常很少投入资源研究漏洞，它们也不一定能及时修复。这引发了新的、大规模而隐蔽地建立僵尸网络的潜在可能性，这些网络能够进行有针对性的攻击。

创建僵尸网络涉及在大量设备上隐秘安装恶意软件，而设备所有者并不知情。APT组织可能因多种原因对这种策略感兴趣。首先，它允许威胁行为体将其攻击掩盖在看似普遍的攻击之后，使得防御者很难确定攻击者的身份和动机。此外，植根于消费者设备或软件、或属于合法组织的僵尸网络，方便地隐藏了攻击者的真实基础设施。它们可以作为代理服务器、中间C2中心，并在网络配置错误的情况下，成为进入组织的潜在入口点。

僵尸网络本身并不是新的攻击工具。例如，几年前，超过65，000台家用路由器的僵尸网络被用于为其他僵尸网络和APT代理恶意流量。另一个例子与远程工作普及化相关，涉及通过感染了类似僵尸网络的远程访问木马（RAT）的小型办公室/家庭办公室路由器来针对远程工作者的APT活动。鉴于最近披露的大量漏洞，我们预计在未来一年会看到这种新型攻击。

僵尸网络驱动的攻击不会仅限于APT组织，网络犯罪分子也可能采用这种方式。这些攻击的隐蔽性质给检测带来挑战，同时为攻击者提供了大量机会渗透并在组织的基础设施中建立存在。

越来越多地规避内核代码执行障碍（内核Rootkit又火了）

- 地下市场EV证书和被盗代码签名证书的增加

- 更多开发者帐户的滥用，通过微软代码签名服务（如WHCP）获得恶意代码签名

- 当前威胁行为体TTP兵器库中BYOVD（携带你自己的漏洞驱动程序）的持续增加

国家支持的网络攻击增长

去年，世界见证了50多个正在进行的现实世界冲突，这是二战以来暴力冲突的最高水平，根据联合国的估计。任何政治对抗现在本质上都包括网络元素，因为它们已经成为任何冲突的默认组成部分，这一趋势将进一步发展。BlackEnergy APT针对乌克兰媒体公司的攻击、破坏工业控制系统并进行网络间谍活动的著名例子可追溯到上个十年。当前可能参与网络战的行为体范围广泛，从俄乌冲突地区的CloudWizard APT运动，到以色列和哈马斯最近的一系列攻击引发的网络攻击。这些包括例如微软报告的威胁行为体“Storm-1133”针对以色列能源、国防和电信组织的网络攻击，以及针对以色列安卓用户的恶意红色警报火箭警报应用程序。根据CyberScoop的报道，在近一年的休整之后，被称为掠食麻雀的黑客组织重新出现。 

展望未来，随着地缘政治紧张局势加剧，我们预计国家支持的网络攻击数量激增。这不仅限于全球关键基础设施、政府部门或国防公司；媒体组织也将面临日益增长的风险。在当前地缘政治紧张的气氛下，寻求利用它们进行反宣传或散布虚假信息的人可能会将媒体组织选为目标。 

黑客的重点将主要是数据盗窃、破坏IT基础设施和长期间谍。网络破坏运动也可能激增。攻击者不仅会加密数据；他们会销毁它，对易受政治驱动攻击影响的组织构成重大威胁。这还将包括针对个人或团体的具体目标攻击。这些攻击可能涉及利用个人的设备以获得他们工作的组织的访问权限，使用无人机定位特定目标，使用恶意软件进行窃听等等。

网络战中的黑客行为：地缘政治冲突中的新常态

冲突中数字融合的另一个实例是黑客行为。很难想象任何未来的冲突不会有黑客行为体参与。黑客行为体可能以多种方式影响网络安全。首先，他们可以发动实际的网络攻击，包括DDoS攻击、数据盗窃或破坏、网站变造等。其次，黑客行为体可以提出虚假的黑客声明，导致不必要的调查，随后SOC分析师和网络安全研究人员警报疲劳。例如，在仍在进行的以色列-哈马斯冲突中，一个黑客组织声称他们在10月初攻击了以色列Dorad民营发电站。尽管后续研究发现，他们在线发布的数据是另一组织在2022年6月泄露的，但确定没有发生新泄露仍需要时间和资源。深度伪造也在使用中，它是易于获取的用于冒充和散布虚假信息的工具，以及其他高调案例，例如黑客中断伊朗国家电视台的广播抗议。总而言之，随着地缘政治紧张局势在可预见的未来没有减缓的迹象，我们预计将看到黑客行为活动的增加，无论是破坏性的还是旨在传播虚假信息的。

供应链攻击即服务：运营商批量购买访问权限

越来越多的攻击者通过供应商、集成商或开发人员来实现目标。这意味着通常缺乏抵御APT攻击的强大保护能力的中小企业，正在成为黑客进入其最终目标即大企业的数据和基础设施的网关。为了说明供应链攻击的规模，我们目前所看到的，你可以回顾2022和2023 Okta的广为人知的安全漏洞。这个身份管理公司为全球超过1.8万客户提供服务，每个客户都可能受到潜在的危害。

这些攻击背后的动机可能各不相同，从获利到网络间谍，都令人担忧。例如，臭名昭著的APT组织Lazarus一直在完善其供应链攻击能力。更引人注目的是，在全球受害者中发现的臭名昭著的Gopuram后门与苹果Jeus后门共存，后者被归因于Lazarus。这次攻击非常有针对性，明显对加密货币公司很感兴趣，这可能表明攻击者的最终目标是获利。

随着供应链攻击在威胁行为体中越来越流行，2024年可能会开启相关活动的新阶段。这一趋势可能以各种方式发展。首先，流行的开源软件可能被用来针对特定的企业开发人员。此外，地下市场可能会推出新的产品，包括针对各种软件供应商和IT服务提供商的访问权限捆绑销售。因此，那些有兴趣策划供应链攻击的人，只要能获得大量潜在受害者的访问权，就可以仔细挑选他们偏爱的目标，发动大规模攻击。通过这样做，威胁行为体可能将供应链攻击的效率提升到一个新水平。

敲诈勒索电子邮件将借助可访问的生成式AI有所扩展 

聊天机器人和生成式AI工具现已广泛应用，并且易于获取。威胁行为体没有忽视这一趋势，他们正在开发自己的黑帽子聊天机器人，基于合法解决方案。例如，WormGPT，一个明确设计用于恶意目的的语言模型，声称它基于开源语言模型GPTJ。其他模型，如xxxGPT、WolfGPT、FraudGPT、DarkBERT等，没有合法解决方案中的内容限制，这使它们对利用这些模型进行恶意目的的攻击者具有吸引力。

这些工具的出现可能会促进大规模生产针对性网络钓鱼消息，这通常是APT和其他攻击的第一步。其重要性不仅在于能够快速创建有说服力和文字流畅的消息。它还包括模拟特定个人（如业务合作伙伴或受害者的同事）的能力。在未来一年，攻击者预计将开发新的方法来自动监控他们的目标。这可能包括使用生成工具自动收集受害者在线存在的各种文本或音频消息，如社交媒体帖子、媒体评论或撰写的专栏：任何与受害者身份相关的内容。

与此同时，网络安全意识培训以及预防措施（包括威胁情报和积极的监控和检测）的重要性将继续增长。

更多提供网络攻击服务的团体出现

网络攻击服务（或网络雇佣兵服务）团体专门渗透系统并提供数据盗窃服务。他们的客户包括私家侦探、律师事务所、商业竞争对手以及缺乏进行此类攻击技术技能的人。这些网络佣兵公开宣传他们的服务并瞄准感兴趣的实体。 

我们全球研究与分析小组（GReAT）跟踪的这样一个团体是DeathStalker。它侧重于律师事务所和金融公司，提供黑客服务并充当信息经纪人，而不是作为传统的APT运作。他们使用包含恶意文件附件的钓鱼电子邮件来控制受害者的设备并窃取敏感数据。

这些团体由技术娴熟的黑客组成，实行层级管理，由领导者管理团队。他们在暗网平台上做广告，并采用各种技术，包括恶意软件、网络钓鱼和其他社会工程方法。他们采用匿名通信和VPN进行自我调整，以避免被检测到，并造成从数据泄露到声誉损害等各种影响。网络攻击服务团体的服务一般不仅限于网络间谍，还扩展到商业间谍活动。例如，他们可能会收集有关竞争对手的信息，例如并购交易、扩张计划、财务和客户信息。

这种方法正在全球范围内获得势头，我们预计它将在未来一年有所发展。由于这种服务的需求量，一些APT组织可能会扩大业务范围以获得收入来维持其活动和补偿其操作人员。

MFT系统成为网络威胁的焦点

随着数字环境不断发展，网络威胁的复杂性和精细程度也在提高。在这种不断变化的环境中，扮演关键角色的是托管文件传输（MFT）系统，它被设计用来在组织之间安全地传输敏感数据。存放大量机密信息，包括知识产权、财务记录和客户数据，MFT解决方案已成为现代商业运作中必不可少的部分。它促进内部和外部的无缝数据共享，因此成为组织效率的基石。但是，这一关键角色也使其成为网络敌人的瞄准目标，特别是勒索软件行为体，他们不懈地利用数字漏洞进行财务勒索。  

2023年发生的涉及MFT系统的事件，如Cl0p勒索软件团伙对MOVEit的攻击，以及Fortra的GoAnywhere MFT平台被利用，凸显了这些关键数据传输渠道内在的潜在漏洞。MOVEit漏洞的利用以及GoAnywhere MFT平台的利用表明，单一漏洞的利用能够用于数据泄露、业务中断并要求赎金。

展望未来，影响MFT系统的威胁格局正蓄势待发。财务收益的吸引力和可能造成重大业务中断的潜力，可能会助长针对MFT系统的目标攻击激增。MFT系统错综复杂的架构，以及它们与更广泛的商业网络的整合，可能孕育易受利用的安全漏洞。随着网络敌手继续提高技能，利用MFT系统中的漏洞预计会成为一个更突出的威胁向量。

针对MFT系统的网络威胁轨迹凸显一个迫在眉睫的现实：数据泄露和财务勒索的潜在风险将继续上升。2023年的事件警示组织，MFT系统中固有的漏洞以及采取强大网络安全措施保护这些关键数据传输渠道的迫切需要。

鉴于此，强烈建议组织进行全面审查其MFT解决方案，以识别和缓解潜在的安全漏洞。实施强大的数据丢失防护（DLP）解决方案、加密敏感数据以及培育网络安全意识文化，都是加固MFT系统抵御日益增多的网络威胁的审慎之举。随着网络威胁前景继续扩大，MFT系统的积极网络安全措施将至关重要，以保护组织的数据资产并确保面对网络威胁的运营弹性。  

2023年的叙事呼吁组织应加强MFT系统周边的网络安全设备。当我们进入一个网络威胁必将变得更复杂的未来时，组织有责任保持领先，确保MFT系统的完整性和安全，以挫败网络敌手的邪恶计划。