2、國產(chǎn)軟件成為APT攻擊新目標
2024年,國產(chǎn)軟件漏洞首次被Project Zero收錄,這一變化折射出我國軟件生態(tài)在快速發(fā)展中面臨的安全威脅���。例如,APT-C-60組織利用某國產(chǎn)辦公軟件的任意代碼執(zhí)行漏洞(CVE-2024-7262)開展高級滲透并竊取敏感數(shù)據(jù)���。
3、供應鏈攻擊成為新的軟肋
攻擊者通過第三方組件投毒進行供應鏈攻擊,滲透企業(yè)環(huán)境,污染鏈條極難追溯����。如2024年,Lazarus組織利用Chrome瀏覽器JavaScript引擎V8中的兩個0day漏洞,對全球加密貨幣參與者和投資者發(fā)起惡意攻擊以謀取經(jīng)濟利益。
縱觀APT:“全流程作戰(zhàn)”的攻擊技術狂飆
APT組織的攻擊技巧不斷推陳出新�����、迭代升級,涵蓋初始打點���、執(zhí)行/持久化���、防御規(guī)避��、收集/竊取等多個階段�。
初始打點階段,新型釣魚手法花樣頻出,開源軟件供應鏈投毒頻發(fā),AI也加速了0day漏洞的利用��。例如,海蓮花�����、Bitter等APT組織使用MSC文件對科研人員開展釣魚攻擊,可天然繞過傳統(tǒng)殺軟檢測�����。海蓮花組織則通過偽造GitHub安全工具,利用開發(fā)人員的信任對其實施定向攻擊�����。
執(zhí)行/持久化階段,Rootkit等內核級對抗進化升級���。攻擊者逐步實現(xiàn)了對系統(tǒng)內核的深度掌控。例如,2024年,SkidMap組織的Rootkit攻擊技術進化,可持久化控制目標系統(tǒng)且致盲傳統(tǒng)安全軟件;首個專門針對Linux系統(tǒng)的UEFI Bootkit(命名為Bootkitty)也首度現(xiàn)世��。
防御規(guī)避階段,對抗EDR并致盲/關閉/卸載的事件和工具不斷曝光。攻擊者對 EDR(端點檢測與響應)等安全軟件的關注度持續(xù)上升,涉及與安全軟件正面抗衡并成功關閉或禁用安全軟件的攻擊事件顯著增加����。
收集/竊取階段,竊密組件迭代迅速��。為了避免惡意軟件被一網(wǎng)打盡,APT組織的竊密組件通常與遠控木馬分開投遞��。如SideWinder組織在2024年對后滲透組件進行了大規(guī)模更新,使用自研的“StealerBot”后滲透工具包,實施針對中東和非洲政府機關��、關鍵基礎設施單位的攻擊活動,極大地增強了攻擊的隱蔽性和靈活性��。
攻擊升維:生成式AI(GenAI)重塑APT攻防格局
生成式AI技術的迅速發(fā)展,極大地降低了APT攻擊的門檻,提升了攻擊的隱蔽性和成功率����。攻擊者借助AI可以快速生成復雜攻擊鏈路、優(yōu)化payload制作�����、編寫免殺代碼,并通過深度偽造技術實施社會工程學攻擊��。
例如,利用AI批量生產(chǎn)釣魚話術,攻擊者向韓國某高校教授投遞的「學術會議邀請函」均由ChatGPT輸出,行文風格�����、引用文獻與本人研究內容高度相似。Lazarus組織利用AI生成NFT坦克游戲頁面,吸引加密貨幣玩家,進而竊取其私鑰�����。攻擊者利用AI工具快速分析,僅22分鐘就將新披露的0day漏洞轉化為攻擊工具,給防御方的窗口期大幅縮短����。
在2025年,生成式AI的潛力和用途必將在攻防對抗中持續(xù)呈指數(shù)級增長。AI本身作為工具,關鍵在于其被使用的方式和目的�。確保防守方比攻擊方更有效地利用AI技術,將成為未來網(wǎng)絡攻防中的關鍵。安全廠商需繼續(xù)謹慎應對攻擊者利用AI工具加速進行的各類攻擊,并將AI技術應用于自身的業(yè)務與運營中,使其成為網(wǎng)絡安全防護的重要力量���。
地緣視角:全球博弈擴張加速APT攻擊演變
全球政治和經(jīng)濟形勢的變化正在加速APT威脅的演變�����。地緣政治博弈的緊張局勢催生了更多情報竊取型網(wǎng)絡攻擊,如Patchwork組織針對中國�、巴基斯坦等國的科研機構,使用LNK文件和開源遠控工具,竊取軍事相關的研究數(shù)據(jù)�。
全球經(jīng)濟衰退和動蕩則加劇了針對加密貨幣、敏感信息與科技情報的經(jīng)濟型攻擊活動���。2024年,東亞地區(qū)的黑客發(fā)動了四十余次復雜的攻擊活動,從全球加密貨幣平臺盜走了價值13億美元的資產(chǎn),這一數(shù)字創(chuàng)下了年度新高��。
這些現(xiàn)象昭示著,網(wǎng)絡黑產(chǎn)犯罪活動與APT組織的技術界限逐漸模糊��。據(jù)統(tǒng)計,每三起網(wǎng)絡攻擊中就有一起是勒索軟件攻擊,且攻擊手法和技巧已與常規(guī)APT組織幾乎無異,然而許多企業(yè)和組織的安全建設仍難以應對這種高水平的網(wǎng)絡攻擊威脅�。APT攻擊的防御與溯源挑戰(zhàn)也從政府等關鍵行業(yè)延展到更多與經(jīng)濟、科技和民生發(fā)展相關的行業(yè)��。
防御視角:構建主動防御“安全防線” 化危機為轉機
技術的進步既為攻擊者提供了新的工具,也為防御者帶來了新的機遇��。面對不斷演變的威脅,企業(yè)和組織需構建“技術+管理+人員”的全面防御體系,同時充分利用AI技術來提升防御效能�。
在用AI重塑安全的路上,深信服安全GPT直擊用戶最關心的「高威脅���、高影響��、高價值」場景,從依賴規(guī)則升級為基于攻擊意圖理解能力的威脅檢測模式,具備對未知攻擊的意圖理解��、異常判定����、混淆還原能力,在Web流量檢測和釣魚郵件檢測上效果都遠超傳統(tǒng)方案����。
?通過3000萬黑樣本與2000萬白樣本的混合樣本測試驗證,對比傳統(tǒng)引擎,安全GPT針對Web流量的威脅檢出率從45.6%提升至95.7%,誤報率從21.4%下降到4.3%。在3萬高對抗釣魚樣本測試中,安全GPT檢出率達到94.8%,誤報率小于0.1%,檢測準確率是傳統(tǒng)防釣魚類產(chǎn)品的4倍+����。
未來,伴隨AI等技術的發(fā)展,網(wǎng)絡戰(zhàn)場的攻防對抗將更為激烈��。防御方只有不斷提升主動防御能力,筑牢數(shù)字時代的“安全防線”,方能化危機為轉機,維護網(wǎng)絡空間的安全與穩(wěn)定���。
前往【深信服科技】公眾號或官網(wǎng),可下載報告完整版。
