卡巴斯基:2025年高级持续性威胁(APT)趋势预测

2024-11-27 09:51

卡巴斯基的全球研究与分析团队持续监控着超过900个高级持续性威胁(APT)组织及其行动。基于这些观察与分析结果,我们不仅能够深刻洞悉当前的安全态势,还能准确预测新兴的安全趋势,并精确把握APT在未来一年可能的发展动向。


开源项目面临的供应链攻击持续攀升


今年,开源压缩工具XZ后门事件备受瞩目,这款在Linux发行版中广泛应用的工具,被攻击者利用社会工程学手段长期潜伏,并获取了对软件开发环境的持续访问权限,且多年间一直未被察觉。这一事件不仅揭示了开源生态系统在安全防护上的脆弱性,更凸显了当前开源项目面临的一个关键问题:许多关键且重要的项目往往由极少数甚至单个开发人员维护,他们在面对复杂且资金雄厚的国家资助APT组织时,往往力不从心,难以进行有效的防御。


XZ后门事件引起了网络安全社区及社会各界的广泛关注,促使他们开始重新审视并加强对开源项目的安全监控。尽管我们可能无法立即看到供应链攻击的总数有所减少,但可以预见的是,随着安全意识的提升和监控手段的加强,目前正在进行的供应链攻击被发现的数量将会大幅增加。


物联网成为APT攻击媒介


随着物联网(IoT)设备的爆炸式增长,预计将从当前的180亿件激增至2030年的320亿件,这一趋势也伴随着日益严峻的安全挑战。智能摄像头、智能开关及智能插头等设备的普及,为互联网增添了数以亿计的新连接点,而每个连接点都可能潜藏着安全风险。


众多IoT设备依赖于远程服务器进行操控,而这些服务器的安全管理往往存在漏洞,为攻击者提供了可乘之机。此外, IoT设备通常运行于嵌入式系统上,其固件易于遭受漏洞攻击。许多老旧设备仍使用存在已知安全缺陷的过时库,使得它们极易被攻击者利用。


物联网移动应用程序的激增进一步加剧了安全风险。面对海量的应用程序,验证其合法性变得异常困难,这也为攻击者提供了散布恶意应用程序以控制 IoT设备的机会。同时,供应链风险也不容忽视,恶意行为者有可能在设备制造过程中植入恶意软件,如某些Android电视盒。


更为严峻的是,当前缺乏有效的防御措施。防御者面对这些设备时如同盲人摸象,难以洞察其潜在威胁。与去年相比,今年安全状况并未得到显著改善,我们预测,未来攻击者将继续利用这些未受充分保护的设备进行恶意活动。


C++和Go语言:恶意软件的新趋势


随着开源项目日益倾向于采用最新版本的C++和Go语言,威胁行为者正积极调整策略,以适应这两种在开源社区中普及的编程语言。我们预测,2025年,将有更多的APT组织和网络犯罪分子迁移到C++和Go语言平台,利用这些语言在开源项目中的广泛应用,以实施更为隐蔽和高效的攻击。


C++和Go语言将凭借其强大的性能和灵活性,在恶意软件开发中占据了越来越重要的地位。攻击者利用这些语言的特性和潜在漏洞,能够更轻松地渗透系统,绕过传统的安全防御措施。他们将不断挖掘C++和Go语言的深层能力,开发出更为复杂且难以检测的恶意软件。


AI在国家附属行为体中的应用扩大


去年,我们曾预测,APT组织将运用人工智能(AI)技术来强化鱼叉式网络钓鱼攻击的效果。随后,OpenAI采取终止与国家附属威胁行为体相关联的账户的行动,便有力地证明了这一预测的准确性和紧迫性。这一事件不仅揭示了APT组织如何借助大型语言模型(LLM)在鱼叉式网络钓鱼、文本翻译、脚本生成以及开源研究等多个领域大展拳脚,以打造更具个性化和欺骗性的内容,更凸显了AI技术在网络安全领域的双刃剑特性。


在我们的最新发现中,黑客组织Lazarus利用AI生成的图像来诱骗用户访问一个虚假的游戏网站,该网站更是巧妙地利用了Chrome浏览器的零日漏洞,能悄无声息地窃取用户的加密货币。这一案例再次证明了攻击者在利用AI技术方面所具备的创造力和破坏性。


我们预测,未来使用LLM将成为攻击者的标准操作程序,正如防御者日益将AI和机器学习工具融入其网络安全策略一样。攻击者可能会利用LLM进行更为深入的侦察活动,通过自动化识别漏洞和收集特定技术的信息,使攻击者能够更轻松地锁定目标中的薄弱环节。在创建恶意脚本以及漏洞利用的活动中,攻击者对AI的依赖也将进一步加深,以最大限度地提高攻击的成功率。


同时,为了规避OpenAI等公司的监控和打击,攻击者还可能采取更加隐蔽的策略,如构建本地的LLM模型,或者通过多个账户的使用,来掩盖其在公共平台上的活动痕迹,从而最大限度地减少与企业平台如Google、OpenAI、Microsoft等共享的数据量,以降低被发现的风险。


AI模型面临后门攻击威胁


随着AI模型在各行各业的广泛应用,它们已逐渐成为网络犯罪分子重点攻击对象。特别是那些经过开源和微调后的AI模型,由于其广泛的分布特性,面临着极高的木马化或植入后门的风险。


我们预测,2025年,APT组织极有可能锁定流行的开源AI模型及数据集,在其中嵌入难以察觉且易于广泛传播的恶意代码或偏见性指令。这些被植入后门的AI模型,不仅可能泄露企业的敏感信息,还可能被用于执行更复杂的网络攻击,如数据窃取、系统渗透破坏等。


APT组织将Deepfakes纳入攻击手段


深度伪造(Deepfakes)技术的迅猛发展正对信息安全构成前所未有的挑战。以往,视频、图片和语音通常被视为可靠的信息来源,但随着Deepfakes技术的不断精进和日益普及,这种信任正遭受前所未有的冲击。


今年,Deepfakes技术已被用于制造多起备受瞩目的骗局,例如,通过模仿CEO的声音,并结合YouTube素材制作视频通话,成功欺骗了公司内部员工;又如,利用公开可用的视频和其他素材,创建逼真的假视频,导致一家香港公司的员工被骗走约2550万美元的巨额资金。


这些攻击之所以如此奏效,其根源在于人类心理学中的固有弱点:当听到熟悉的声音时,人们往往会本能地相信所传递的信息。过去,语音冒充技术并未被视为主要威胁,因此当这类骗局出现时,往往能够轻易取得人们的信任。


随着人工智能技术的飞速发展,这一范式已被彻底颠覆。如今,借助新兴的服务,Deepfakes视频和录音可以从极少量的真实样本中生成,而这些样本很容易通过社交媒体资料或其他侦察手段获得。


目前,越来越多网络犯罪分子利用AI语音克隆技术进行诈骗。我们预测,APT组织也将这项技术纳入其工具包中,通过冒充关键个人,制作极具说服力的消息或视频,以此来进行欺诈行为、窃取敏感信息或执行其他恶意活动。


黑客行动主义联盟的全面升级


近年来,黑客行动主义团体逐渐将行动焦点对准社会政治冲突,从早期单纯吸引公众注意,转变为追求更具破坏性和实际影响力的目标,如针对全球导航卫星系统(GNSS)的渗透与破坏。


今年,黑客行动主义领域迎来了变革,多个团体基于共同理念组建联盟与论坛,形成了强大的合力。这些联盟不仅涉足军事冲突,如“神圣联盟(Holy League)”的成立,声称联合了70个活跃的黑客团体;还展现出对突发事件的快速响应能力,如黑客行动主义者联手攻击法国网站,以抗议Telegram首席执行官Pavel Durov被捕。


共同目标虽能凝聚恶意力量,但工具和基础设施的共享才是此类联盟实现更大野心目标的基石。通过共享资源,黑客行动主义联盟能够突破技术壁垒,实施更为复杂、高效的攻击。


随着这种策略的不断深化,黑客行动主义势力愈发强大,预示着未来其活动将更加有序、专业且影响深远。我们预测,未来黑客行动主义可能会采取更为激进和隐蔽的手段,如勒索软件的广泛部署,对全球网络安全构成严重威胁。


同时,部分黑客行动主义攻击所暴露出的资金安全问题,也反映出其组织结构在财务管理方面的薄弱环节,为防范和打击黑客行动主义提供了新的线索和突破口。


APT攻击中BYOVD技术崛起


BYOVD(bring your own vulnerable driver) 技术是2024年网络安全领域的一大热点,该技术通过挖掘驱动程序中的安全漏洞,为攻击者提供了提升权限、突破安全防御的新途径,并在勒索软件活动和APT攻击中被用于部署复杂的有效载荷。


驱动程序作为硬件与软件之间的桥梁,在系统中发挥着至关重要的作用。然而,一旦被攻击者盯上,它们就可能成为极具威胁的攻击入口,尤其是在内核级别被利用时,其威胁更为严峻。借助易受攻击的驱动程序,攻击者能够获取高权限,进而执行恶意代码,实施长期间谍活动、数据窃取和网络渗透等恶意行为。


尽管一些安全供应商已经采取了多种措施来防范此类攻击,但传统的安全措施在面对BYOVD技术的复杂性时显得力不从心。这些驱动程序本身是合法且必要的软件组件,对于维持系统的正常功能至关重要,很难准确区分其合法使用与恶意使用之间的界限。确保它们仅被用于合法目的,无疑是一项极具挑战性的任务。


我们预测,2025年BYOVD技术的利用趋势预计将持续增强。随着攻击者技能的不断提升,此类攻击的复杂性可能会进一步升级。我们可能会看到更先进的攻击手段的出现,例如攻击者利用过时或第三方驱动程序作为攻击媒介,因为这些驱动程序往往缺乏严格的安全审查,更容易成为攻击者的首选目标。


文章来源:https://securelist.com/ksb-apt-predictions-2025/114582/,本文由网安加社区编译。