過(guò)去三個(gè)月�,高級(jí)可持續(xù)性威脅活動(dòng)的主要浪潮是由供應(yīng)鏈攻擊和零日漏洞驅(qū)動(dòng)的。SolarWind公司用于監(jiān)控IT基礎(chǔ)設(shè)施的Orion IT軟件被入侵��,導(dǎo)致18,000多個(gè)客戶(hù)網(wǎng)絡(luò)被安裝了一個(gè)定制后門(mén)��,而Microsoft Exchange Server中的一個(gè)漏洞導(dǎo)致歐洲����、俄羅斯和美國(guó)出現(xiàn)了一系列新的攻擊活動(dòng)。這些是卡巴斯基第一季度APT報(bào)告中最重要的發(fā)現(xiàn)����。
高級(jí)威脅行為者仍在不斷改變他們的策略���,磨礪他們所使用的工具集,發(fā)起新的攻擊浪潮��。因此����,為了讓用戶(hù)和組織了解他們所面臨的威脅�,卡巴斯基全球研究和分析團(tuán)隊(duì)(GReAT)提供了關(guān)于高級(jí)持續(xù)性威脅領(lǐng)域最重要發(fā)展情況的季度報(bào)告。在過(guò)去的這個(gè)季度��,他們注意到兩波主要的攻擊活動(dòng)�����。
第一波攻擊活動(dòng)是由SolarWinds入侵事件引起的��,該IT管理服務(wù)提供商用于監(jiān)控IT基礎(chǔ)設(shè)施的Orion IT軟件被入侵��。這導(dǎo)致一種被稱(chēng)為Sunburst的定制后門(mén)被安裝到了超過(guò)18,000個(gè)客戶(hù)網(wǎng)絡(luò)上��。受害者中包括許多北美�����、歐洲、中東和亞洲的大型企業(yè)和政府機(jī)構(gòu)�����。
經(jīng)過(guò)仔細(xì)檢查該后門(mén)��,卡巴斯基研究人員注意到它與之前發(fā)現(xiàn)的被稱(chēng)為Kazuar的后門(mén)有相似之處���,而這種后門(mén)最早于2017年被發(fā)現(xiàn)����,而且與臭名昭著的Turla APT組織有關(guān)����。這意味著Kazuar和Sunburst幕后的攻擊者可能有所關(guān)聯(lián)。
第二波攻擊活動(dòng)是由Microsoft Exchange Server的零日漏洞造成的����,目前這個(gè)漏洞已經(jīng)得到修補(bǔ)。3月初�,一個(gè)被稱(chēng)為HAFNIUM的新的APT行為者被發(fā)現(xiàn)利用這些漏洞發(fā)起了一系列“受限制和針對(duì)性的攻擊”。在3月的第一周�����,大約有1,400臺(tái)服務(wù)器遭到漏洞利用被攻擊,其中大多數(shù)服務(wù)器都位于歐洲和美國(guó)��?�?紤]到一些服務(wù)器多次成為攻擊目標(biāo)����,看上去似乎有多個(gè)組織在利用這些漏洞實(shí)施攻擊。事實(shí)上����,到3月中旬�,卡巴斯基發(fā)現(xiàn)另一起利用相同漏洞并針對(duì)俄羅斯的攻擊。這次的攻擊行動(dòng)似乎與HAFNIUM有一些關(guān)聯(lián)��,還與卡巴斯基之前調(diào)查的一些已知攻擊集群活動(dòng)存在聯(lián)系�。
臭名昭著的APT組織Lazarus也被報(bào)告發(fā)起了新的攻擊活動(dòng)集群,這些攻擊也利用了零日漏洞�����。這一次��,該組織使用社交工程手段說(shuō)服安全研究人員下載受感染的Visual Studio項(xiàng)目文件或引誘受害者進(jìn)入其博客,然后安裝一種Chrome漏洞利用程序�����。這些誘餌經(jīng)常圍繞著零日漏洞�����。第一波攻擊發(fā)生在1月����,第二波發(fā)生在3月,而且這些攻擊還伴隨著一波假冒的社交媒體賬戶(hù)和假冒公司��,目的是更有效地欺騙受害者�����。
經(jīng)過(guò)仔細(xì)檢查��,卡巴斯基研究人員注意到�,該攻擊活動(dòng)中使用的惡意軟件與ThreatNeedle是一致的。ThreatNeedle是Lazarus開(kāi)發(fā)的一款后門(mén)程序�����,在2020年年中被發(fā)現(xiàn)用來(lái)針對(duì)國(guó)防工業(yè)進(jìn)行攻擊。
另一波有趣的零日漏洞攻擊行動(dòng)被稱(chēng)為T(mén)urtlePower����,這些攻擊主要針對(duì)巴基斯坦和中國(guó)的政府實(shí)體以及電信機(jī)構(gòu),據(jù)稱(chēng)這些攻擊活動(dòng)與BitterAPT組織有關(guān)�����。這個(gè)目前已經(jīng)得到修補(bǔ)的漏洞的起源似乎與“Moses”有關(guān)��,Moses是一個(gè)代理組織�����,在過(guò)去兩年開(kāi)發(fā)了至少五個(gè)漏洞利用程序����,其中有些漏洞利用程序被BitterAPT和DarkHotel所利用��。
“上季度最大的收獲可能是了解了成功的供應(yīng)鏈攻擊的破壞性可以有多大��。要完全了解SolarWinds的全部攻擊范圍�����,可能還需要幾個(gè)月。好消息是���,整個(gè)安全社區(qū)現(xiàn)在都在討論這些類(lèi)型的攻擊——以及我們應(yīng)當(dāng)如何做來(lái)應(yīng)對(duì)它們�����。前三個(gè)月的形勢(shì)也提醒我們盡快為設(shè)備打補(bǔ)丁的重要性�����。零日漏洞仍將是APT組織攻擊受害者最常見(jiàn)和最有效的方式�,甚至通過(guò)令人驚訝的非常有創(chuàng)意的方式進(jìn)行�����,正如Lazarus最近的攻擊行動(dòng)所顯示的那樣����,”全球研究和分析團(tuán)隊(duì)(GReAT)高級(jí)安全研究員Ariel Jungheit評(píng)論說(shuō)。
要了解更多有關(guān)第一季度APT威脅形勢(shì)詳情�,請(qǐng)?jiān)L問(wèn)Securelist.
為了保護(hù)你的企業(yè)免受高級(jí)可持續(xù)威脅活動(dòng)的影響,卡巴斯基專(zhuān)家建議:
盡管安裝針對(duì)最新漏洞的補(bǔ)丁程序����。一旦下載和安裝補(bǔ)丁�����,威脅行為者就無(wú)法再利用這些漏洞進(jìn)行攻擊���。
對(duì)組織的IT基礎(chǔ)設(shè)施進(jìn)行定期安全審計(jì),以發(fā)現(xiàn)安全缺口和包含漏洞的系統(tǒng)��。
端點(diǎn)保護(hù)解決方案中的漏洞和補(bǔ)丁管理功能可以大大簡(jiǎn)化IT安全管理人員的任務(wù)����。
安裝反APT和EDR解決方案,開(kāi)啟威脅發(fā)現(xiàn)和檢測(cè)功能以及事件調(diào)查和修復(fù)功能�。為您的SOC團(tuán)隊(duì)提供最新的威脅情報(bào),并定期為他們提供專(zhuān)業(yè)培訓(xùn)�。上述所有服務(wù)都可以通過(guò)卡巴斯基專(zhuān)家安全框架獲取。
關(guān)于卡巴斯基
——END——
更多網(wǎng)站設(shè)計(jì)��、網(wǎng)頁(yè)設(shè)計(jì)等相關(guān)內(nèi)容�����,歡迎您咨詢(xún)中山網(wǎng)訊科技�!
責(zé)任編輯:中山網(wǎng)站建設(shè)
【網(wǎng)訊網(wǎng)絡(luò)】國(guó)家高新技術(shù)企業(yè)》十二年專(zhuān)注軟件開(kāi)發(fā),網(wǎng)站建設(shè)��,網(wǎng)頁(yè)設(shè)計(jì)��,APP開(kāi)發(fā)��,小程序�,微信公眾號(hào)開(kāi)發(fā),定制各類(lèi)企業(yè)管理軟件(OA�����、CRM����、ERP、OMS訂單管理系統(tǒng)���、WMS進(jìn)銷(xiāo)存管理軟件等)�����!服務(wù)熱線:0760-88610046���、13924923903�,http://www.denorpool.com
