与此同时,亚洲的攻击活动正在增加,特别是新的威胁组织,而传统的高级威胁组织在开展攻击行动时也变得更加有选择性。卡巴斯基最新的季度威胁情报摘要介绍了来自世界各地的这些以及其他APT趋势。
上季度三个月APT趋势总结来自卡巴斯基的私人威胁情报研究和其他信息来源,涵盖了公司研究人员认为每个人都应该注意的主要发展情况。
2010年第一季度的APT研究证实了亚洲地区的APT攻击活动持续增长,各种攻击活动在东南亚、韩国和日本等地涌现。卡巴斯基看到一些新的APT组织发动了具有创意,并且有时候是低成本的新的攻击行动,他们与CactusPete和Lazarus等知名APT组织共存。
最重要的是,人们对移动平台作为攻击和传播恶意软件分发手段的兴趣预计会增加。卡巴斯基最近分享了一些攻击行动报告,这些攻击专注于使用移动平台进行攻击,其中包括针对香港用户并攻击iOS和安卓设备的LightSpy水坑攻击行动以及被称为 PhantomLance的针对东南亚受害者的安卓网络间谍攻击行动。值得注意的是,这两个攻击行动都成功利用了多个在线平台,从论坛、社交媒体到Google Play应用商店,展示了聪明的恶意软件传播方法。
针对亚洲的APT攻击者并不是唯一开发移动植入物的攻击组织。例如,TransparentTribe实施了一场名为 “USBWorm ”的新模块开发活动,针对阿富汗和印度的受害者进行攻击,开发了一种新的用来感染安卓设备的植入物。所使用的恶意软件是 “AhMyth ”安卓RAT的修改版,这是一种开源恶意软件,可以通过GitHub获取。
此外,自3月中旬以来,有多个不同的APT组织利用COVID-19疫情来引诱受害者,但这并不意味着TTP出现了有意义的变化,而只是利用热门话题来撼动那些易遭受攻击的用户。Kimsuky、Hades和DarkHotel等APT组织使用了疫情这一话题。
“APT攻击行动在疫情期间并没有停止。事实上,有些威胁组织以不同的方式利用了这一事件,例如宣布暂时不以卫生机构为目标,试图提高自己的声誉。但是,我们的研究结果表明,经济利益和地缘政治仍然是APT活动的主要驱动力,特别是对于过去两年中出现的威胁组织来说,他们目前正在巩固其作为持续性恶意攻击者的地位。移动平台在新的攻击行动中获得更大吸引力,因为有新的参与者带来了创新的解决方案,而经验丰富的攻击者的活动几乎看不到了。这可能是我们所面临的环境变化的结果。像往常一样,我必须补充一点,我们不一定具有完全的可见性,并且有些攻击活动尚未得到我们的关注或充分理解。因此,防范已知和未知威胁对每个人仍然至关重要,”卡巴斯基全球研究和分析团队首席安全研究院Vicente Diaz说。
第一季度APT趋势报告总结了卡巴斯基订阅威胁情报报告的发现,其中还包括用来进行取证分析和进行恶意软件追踪的感染迹象(IOC)数据和YARA规则。更多详情,请联系:intelreports@kaspersky.com
为了避免成为已知或未知威胁组织发动的针对性攻击的受害者,卡巴斯基研究人员建议采取以下措施:
- 为您的SOC团队提供对最新威胁情报的访问,从而了解网络罪犯和威胁组织使用的最新工具、技术和策略。
- 要获得端点级别的检测、调查和进行及时的事故修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 确保您的端点安全解决方案提供对移动设备的保护。这些解决方案应该能够防止网络威胁和针对移动平台的恶意软件,并且具有应用和设备控制功能。
- 除了采用基础的端点保护外,还需要部署企能够在早期阶段在网络层面检测高级威胁的企业级安全解决方案,例如卡巴斯基反针对性攻击平台。
- 由于很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的,所以为员工引入安全意识培训并教授实用安全技巧非常重要。例如可以使用卡巴斯基自动化安全意识平台。
要阅读完整版2020年第一季度APT趋势报告,请访问Securelist.
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
