最新的网络安全新闻与俄罗斯入侵乌克兰有关
一般的网络安全 / 2021年恰当的s(国家)国

2021年恰当的s(国家)国

2021年恰当的s(国家)国
肖恩Nikkel
从肖恩Nikkel那里了解更多
2021年8月12日 | 10 分钟阅读

尽管似乎自2017年以来,每年都是勒索软件之年, 今年有望成为勒索软件之年, 在规模和戏剧性方面, 就像美高梅集团app下载刚刚写的 美高梅集团app下载的第二季度报告. 尽管2021年整个犯罪世界都发生了这样的事件, 人们可能很容易忘记民族国家的存在, 还在做他们最擅长的事攻破目标,泄露数据. 在某些情况下,他们还涉足勒索软件,美高梅集团app下载将会看到. 记住这一点, 让美高梅集团app下载把注意力转移到美高梅集团app下载所有人都面临的网络安全威胁上(或许可以暂时远离勒索软件). 

到目前为止, 美高梅集团app下载已经看到了一些相当重大的袭击,它们要么是有标记的,要么是直接由一个民族国家行为者发起的. 这些攻击也有一些背离常规的策略或回归常规的策略. 因为美高梅集团app下载最近有心情追忆往事,尤其是在回顾过去之后 供应链, ransomware和各种 犯罪的演员美高梅集团app下载这次来谈谈apt.

伊朗:小猫们的行动

我从伊朗开始,因为他们在2021年很忙, 大多数人可能没有意识到这一点,因为很多恰当的新闻都聚焦在中国和俄罗斯. 让美高梅集团app下载来谈谈他们的能力, 与中国和俄罗斯的同行相比,他们在全球舞台上是一个相对较新的参与者. 仍然, 他们在应用程序妥协方面表现出了专业知识, 社会工程, 系统工具的使用, 以及彻底的数据销毁.

尤其是在沙特阿拉伯遭受毁灭性袭击后, 伊朗有一些威胁行动者,他们的专长从针对石油和能源行业、持不同政见者圈子到记者, 咨询顾问, 以及政府和国防部门的其他工作人员. 他们也不回避针对学术界. 他们通常的目标都在中东, 特别是以色列, 沙特阿拉伯, 和阿联酋, 来支持地区目标,并破坏逊尼派和海湾国家的霸权. 此外,他们还涉足了欧洲和北美. 网络间谍和网络战与伊朗的代理战略非常契合, 总是远离直接行动,因为这让伊朗政府对事情保持距离和否认. 也, 这种不对称战争很方便地为与伊朗的政治和意识形态对手进行冷战提供了一种低成本的方法.

最近的事态发展是一名伊朗演员被认为是恰当的35, 或帝国的小猫, 在几个月的时间里,通过社交媒体和电子邮件使用各种诱饵,在脸谱网上伪造个人资料,以一名国防承包商为目标. 在7月, 的构建脸谱网 发布了有关活动的信息,这些活动使用了启用了宏的Office文件,这些文件被配置为删除一个允许进一步秘密访问的木马. 这并不是伊朗第一次把手伸进众所周知的社交媒体饼干罐里. 这一活动是伊朗行为者的一个标志,至少可以追溯到2017年, 当时,其他团体正在使用LinkedIn和WhatsApp等应用程序,以伊朗感兴趣的各个行业的用户为目标.

理解恰当的35技术
理解恰当的35技术. 来源:美高梅集团app下载探照灯

除了成为朋友和社交媒体上的影响者, 伊朗行动者被认为与对以色列的袭击有关, 沙特阿拉伯, 黎巴嫩, 以及今年的阿联酋, 以及美国和欧洲的其他目标,时间为2021年3月至至少5月. 研究人员看到了一个新的与伊朗有关的威胁行动者的到来, 以及目标的扩大, 这是一场由人们熟知的演员“迷人的小猫”发起的运动,目标是学者和各种政府官员,根据一项研究,这些人试图获得文凭 趋势科技Anomali

根据技术分析,伊朗对定制恶意软件的熟练程度在持续增长. 有大量证据表明,恶意软件正在被积极开发,以逃避所有这些攻击的检测. 除了, 伊朗的行为者继续表现出使用操作系统工具和流程来建立持久性和不被发现的专业知识. 同样,一些观察到的活动指标也会使用看似合法的域名,使其看起来尽可能的无害,或者将合法的域名隐藏在常规的DNS流量中.

一个有趣的提示 IronNet研究人员 关注伊朗未来潜在的地缘政治动机. 这只是打着伊朗与俄罗斯和中国各种合作框架的幌子, 2021年,哪些国家将继续在世界舞台上取得重大进展. 双方的合作大多集中在国防领域(自然),并涉及技术和其他材料合作等领域. 中国将在该国进行一些投资, 而俄罗斯则希望加强网络安全关系, 在其他目标, 会在外交舞台上给美国及其盟友带来麻烦吗. 随着时间的推移,这种合作的结果只会变得更加明显, 但这些发展值得关注. 

俄罗斯:熊从不睡觉

在2021年太阳风袭击之后, 随着俄罗斯在全球范围内的间谍活动日益增多,与俄罗斯结盟的威胁行动者继续从事贸易活动. 美高梅集团app下载在找出常见的嫌疑人, 恰当的28和恰当的29, 因为有些事件是令人兴奋的案例研究, 主要是由于使用了新的战术. 

越来越多的证据表明,古老的恰当的29,又名舒适熊,重新回到业务,作为 风险IQ研究 随着7月发现指挥控制基础设施的活跃而被发现. 也, 作为对安全部门的一种致意, 据报道,他们使用了与去年针对COVID研究的攻击中看到的相同的恶意软件. 在这些攻击中看到的大多数基础设施都利用了来自欧洲和美国的合法主机提供商的IP地址空间,使事情变得更加有趣.

继续讨论俄罗斯繁忙的7月(另见:勒索软件参与者的失踪和再现), 谷歌的研究人员 不仅能将一系列零日事件与一家神秘的安全公司联系起来,还能与据信与诺贝尔奖威胁演员有关的演员联系起来——这个名字在2021年初的太阳风事件中应该很熟悉吧. 然而, 而不是关注Windows的漏洞, 这一活动主要针对特定的LinkedIn用户,并利用iOS漏洞在目标系统上投放Cobalt Strike信标.

最后,最近的一次 联合预警 美国和英国情报和执法部门揭露了一系列暴力破解攻击,这些攻击利用了多个VPN供应商和Tor服务,这些服务被认为是恰当的28, 又名漂亮的熊. 紧跟云计算的潮流, 恰当的28在2019年至2021年初使用Kubernetes集群进行攻击. 一旦目标, 他们利用一些公开的漏洞和各种谍报技术来销毁和获取证件, 访问电子邮件和其他敏感信息, 并通过Outlook将数据过滤成小块,以避免检测到大规模的文件过滤.

探照灯的恰当的28档案页.
探照灯的恰当的28档案页.

中国:熊猫变得狡猾了

有这么多的威胁集团可供他们处置, 吉文最近宣布了地缘政治和战略目标, 如果认为与中国结盟的国家没有在扩张和发展自己的业务,那就太愚蠢了. 正如美高梅集团app下载在今年的袭击事件中看到的那样, 中国的活动指向了勒索软件的新用途, 随着可能的错误标志操作和新/旧技术手动传播恶意软件通过硬件. 随着中国继续在全球舞台上找到自己的位置, 美高梅集团app下载可能会继续看到一些常见的间谍活动和数据外泄, 以及区域政策的影响.

就在上个月, 电脑发出哔哔声 写了一项新的运动,涉及东南亚各地的国家,该运动使用创新的新方法传播恶意软件, 即通过被感染的USB驱动器和隐藏在眼皮底下的恶意软件. 伪装成良性文件的更新和Zoom可执行文件被证明是恶意的, 而且它们似乎能在硬件间自我传播.

在最近的另一个转折中, FireEye研究人员 指出,目前针对以色列的行动被认为与伊朗有关,但却带有一些中国演员的标记. 尽管在目录命名中植入了一些错误的标志, 使用泄露的伊朗后门, 和其他系统通知, 基础设施和技术都具备了一个知名中国演员的所有素质, UNC215. 该参与者积极地使用和修改策略,通过删除攻击工件来逃避检测,同时也使用系统工具隐藏在视线中. 

最终,2021年初出现了一种 主要攻击 与恰当的27相关的游戏公司, 又名使者熊猫, 也显示了一个不同以往的方法,使用勒索软件. 有趣的是, 这并不是第一次与这个行动者相关的活动有经济动机. 另一家公司大约在同一时间发表了研究结果,称此前已经发现了与恰当的27相关的加密挖矿活动, 基于使用中的技术和工具集的分析.

恰当的27的威胁配置

攻击从未停止

对于任何参与网络安全游戏的人来说,今年都是又一个辉煌的一年. 美高梅集团app下载需要向那些每天都在阻止这些攻击的过度劳累和压力重重的蓝队致以崇高的敬意, 一天多次. 事实上,没有比这更成功的攻击了,这充分说明了阻止攻击的技能和工具的结合. 

攻击者, 犯罪和其他, 是否在不断完善他们的战术,以找到装甲上的一个缺口来发动攻击. 尽管美高梅集团app下载讨论了伊朗问题, 俄罗斯, 这里和中国, 在全球范围内,许多其他威胁行动者也在使用同样的伎俩, 但有时会更专注, 不同利害关系的区域规模. 尽管美高梅集团app下载已经看到了更多的证据,表明攻击者与时俱进,使用Cobalt Strike这样的工具, 同时, 他们还在使用可靠的方法, 有时会利用几个月甚至几年前就应该修补的漏洞. 

Cobalt Strike:现在是如此的炙手可热(且无处不在). 来源:@x0rz通过推特.

组织不需要孤军奋战, 但他们必须做点什么, 尽管这只是一堆疯狂的威胁和对防御系统不利的可能性. 已经有太多关于最佳实践和合理政策的文章了,美高梅集团app下载在这里就不再赘述了, 但美高梅集团app下载可以帮助您了解您所面临的日常风险. 是否需要 威胁情报,理解 资产风险,或发现 技术泄漏美高梅集团app下载可以成为你防御的一部分.

美高梅集团app下载有各种威胁行动者的资料和其他有用的情报,让你随时了解情况, 当美高梅集团app下载在网上为美高梅集团app下载的客户提供最新信息时. 如果你有兴趣看看Searchlight如何为你工作,你可以 试驾 七天,在那里,您可以访问美高梅集团app下载的图书馆超过500个威胁演员简介. 

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10