CrowdStrike全球威胁报告:云入侵上升75%
作者 | 晶颜123
编 | 疯狂冰淇淋
| 概述 |
近日,CrowdStrike发布了《2024年全球威胁报告》,揭示了网络攻击的最新趋势。报告指出,网络攻击生态系统仍在持续增长,CrowdStrike在2023年观察到了34个新的威胁参与者。同时,攻击者正越来越多地瞄准云环境,以满足其牟利需求,某些情况下甚至允许攻击者到达内部部署的服务器。
供应链攻击也经常被滥用,允许威胁行为者轻松攻击多个目标。在技术领域运营的组织或将面临更高的风险,因为他们为世界各地的许多组织提供服务,而几乎每一起信任关系的妥协都源于对上游商业软件供应商的入侵。此外,网络边缘的报废产品和未管理设备也是攻击目标。
| 基于身份的攻击和社会工程攻击仍然占据着中心位置 |
虽然网络钓鱼仍然是从目标组织的员工那里获取凭据的有效方法,但其他身份验证数据也被用于进行攻击。无论网络安全攻击的动机是什么,基于身份和社会工程的攻击仍然占据着中心位置。
例如,FANCY BEAR威胁参与者在2023年进行了网络钓鱼活动,并开发了一个自定义工具包从雅虎邮件和ukr.net网络邮件用户处收集凭据。该工具包使用了“browser -in- browser”技术,并添加了多因素身份验证拦截功能,以收集身份验证中使用的一次性密码。
SCATTERED SPIDER威胁行为组织则使用短信网络钓鱼(smishing)和语音网络钓鱼(vishing)来获取凭据。此外,该黑客组织还利用早期对电信机构的入侵,对目标员工进行SIM卡交换操作;一旦SIM卡交换激活,该威胁组织就可以直接接收带有OTP代码的SMS消息。此外,该威胁组织还经常使用住宅代理(residential proxies)绕过基于目标物理位置的检测。
API密钥和秘密也是攻击者的目标——只要API密钥或秘密不被更改,拥有这些信息的网络犯罪分子就可以保持无限期的访问权限。与此同时,Cookie会话和令牌盗窃也在被威胁行为者积极滥用。
此外,攻击者还会窃取或伪造Kerberos票据,以获得对可以脱机破解的加密凭据的访问权限。CrowdStrike观察到,Kerberoasting攻击激增了583%。
| 云环境入侵增加75% |
CrowdStrike指出,从2022年到2023年,全球云环境入侵增加了75%(见下图)。
【图1:云环境入侵案例的增长情况】
在CrowdStrike的分析中,该团队将“云意识”(residential proxies)案例——即攻击者意识到云环境并利用它的案例、“云不可知”(cloud-agnostic)案例——即攻击者没有意识到云环境或不使用云环境进行了区分。
结果显示,从2022年到2023年,云意识案例增加了110%,而云不可知案例增加了60%。
调查还显示,有经济动机的网络犯罪分子在攻击云环境方面最为活跃;在所有涉及云的入侵中,它们占比高达84%,而有针对性的入侵仅占16%。
在整个2023年,SCATTERED SPIDER主要推动了云意识活动的增加,其攻击活动占总案例的29%。该威胁组织在目标云环境中展示了先进而复杂的入侵技术,以保持持久性、获取凭据、横向移动和渗漏数据。
例如,SCATTERED SPIDER威胁组织经常使用受害者的Microsoft 365环境来搜索VPN指令,然后使用VPN访问目标组织的内部网络并在其内部横向移动。
| 利用第三方关系使攻击者更容易攻击数百个目标 |
根据CrowdStrike的报告显示,有针对性的入侵行为者在2023年一直试图利用信任关系来访问多个垂直领域和地区的组织。
对于攻击者来说,这些攻击具有极高的投资回报率:攻击提供IT服务的第三方或软件供应链中的第三方可能导致数百或数千个后续目标。这些攻击还可以更有效地帮助攻击者瞄准更具价值的组织。
例如,JACKPOT PANDA威胁组织利用CloudChat(赌博社区常用的一款聊天应用程序)的木马安装程序,最终用名为XShade的恶意软件感染了用户。在另一个案例中,身份未知的威胁行为者通过合法的软件更新过程分发恶意软件,最终入侵了一家印度信息安全软件供应商。
据CrowdStrike称,在不久的将来,信任关系的妥协将继续吸引有针对性的入侵行为者。在技术领域运营的组织或将面临更高的风险,因为他们为世界各地的许多组织提供服务。
| 2023年增加了34个新的威胁参与者 |
在2023年期间,CrowdStrike观察到34个新的威胁参与者,总数达到232。除了这些已知的威胁参与者,CrowdStrike还追踪了130多个活跃的恶意活动集群。
专门的数据泄露网站显示,被暴露的受害者数量比2022年增加了76%,这使得2023年的受害者总数达到4615人。新出现的大型游戏狩猎(Big Game Hunting,BGH)玩家是受害者数量猛增的因素之一。
【图2:泄露网站上披露的受害者数量】
总的来说,BITWISE SPIDER、ALPHA SPIDER、GRACEFUL SPIDER、RECESS SPIDER和BRAIN SPIDER是攻击主力军,所披露受害者占总数的77%。其中,BITWISE SPIDER和ALPHA SPIDER历来都名列前茅,分别在2022年和2023年位居DLS披露受害者最多的第一名和第二名。
RECESS SPIDER和BRAIN SPIDER分别在2022年年中和2023年1月开始了自己的勒索软件行动。自那以后,它们的地位越来越突出,在2023年的DLS排名中位居第四(RECESS SPIDER)和第五(BRAIN SPIDER)。GRACEFUL SPIDER自2016年开始运营,通常进行小批量攻击,在2023年利用了三个零日漏洞,从全球数百名受害者那里窃取了数据。
【图3:泄露网站披露贴数最高的威胁组织排名】
| 攻击者正在以更快的速度破坏网络 |
在目标网络上获取初始立足点通常只是攻击的第一阶段;一旦成功进入,攻击者还需要突破第一个被攻破的设备,并横向移动到网络的其他部分,才能达到他们的目标。
交互式网络犯罪入侵活动的平均时间从2022年的84分钟下降到2023年的62分钟,最快的时间仅为2分7秒。
在CrowdStrike提供的一个示例中,攻击者在开始网络侦察操作并获取系统信息后31秒就植入了合法工具。然后,攻击者还植入了额外的文件,在3分钟内添加了更多的工具,包括勒索软件(见下图)。
【图4:交互式电子犯罪入侵的剖析图】
根据该报告,攻击者还通过使用更少的恶意软件和更有效的手段(例如使用窃取的凭证和利用信任关系漏洞)来赢得时间。到2023年,无恶意软件活动占所有检测活动的75%,而2022年这一数字为71%,2021年之前还不到62%。身份攻击的成功以及从初始访问代理处购买有效凭据诠释了使用较少恶意软件的趋势。
| 攻击者的目标是网络边缘网络 |
由于端点检测和响应传感器的使用越来越多,威胁行为者已经调整了他们的攻击策略,开始通过瞄准网络边缘设备来进行初始访问和横向移动(见下图)。
【图5:一般网络上的托管和非托管目标】
企业网络中的某些设备不一定受到安全解决方案的监视。特别是,边缘网关设备通常基于过时的架构,因此容易受到攻击者可能利用的多个漏洞的攻击。例如,防火墙和VPN平台的漏洞在2023年被用来袭击了思科、思杰和F5,路由器、移动电话或NAS/备份存储也可能受到攻击。
CrowdStrike强调了2023年观察到的另一个趋势:攻击者将重点放在已经停止受支持的产品利用上。这些产品不再打补丁,而且通常不允许部署现代安全解决方案,因此成为攻击者的目标,他们正在积极开发漏洞来滥用这些产品。
| 缓解建议 |
让身份保护成为必需品
优先考虑云原生应用保护平台(CNAPP)
获得对关键风险领域的可见性
效率就是生命
建立网络安全文化
精彩推荐