在2023年，网络攻击威胁仍在不断演进。其中，高级持续性威胁（APT）始终是最危险的一类威胁。随着全球性危机和地缘政治对抗活动升级，高级威胁格局进一步加剧。为了保护自身利益，企业组织需要做好网络安全事件的应对准备，并预测未来的发展趋势。

高级持续威胁(APT)是最危险的威胁，因为它们采用复杂的工具和技术，并且通常具有很强的针对性，难以检测。在全球危机和不断升级的地缘政治对抗中，这些复杂的网络攻击更加危险，因为往往有更多的风险。近日，卡巴斯基公司的安全研究与分析团队GReAT对2024年高级威胁（APT）攻击的发展趋势进行了展望和预测。

以下内容是GReAT团队对2024年APT攻击趋势的预测：

01 针对移动、可穿戴和智能设备的创造性利用兴起

研究人员发现了针对iOS设备的新型隐秘式间谍活动，称为“三角测量行动”。这些漏洞不仅影响智能手机和平板电脑，还扩展到笔记本电脑、可穿戴设备和智能家居设备。未来可能会看到更多针对消费设备和智能家居技术的高级攻击，不仅限于iOS设备，其他设备和操作系统也可能面临风险。威胁行为者还开始将监视范围扩展到智能家庭摄像头、联网汽车系统等设备。由于漏洞、配置错误或过时的软件，这些设备易受攻击，成为攻击者的目标。

02 用消费者和企业软件/设备构建新的僵尸网络

常用软件和设备存在漏洞，新的高危漏洞也会不时被发现。据Statista的数据显示，2022年发现的漏洞数量达到了创纪录的2.5万个。专用于研究漏洞的资源有限，无法及时修复，这引发了人们对可能出现新的大规模秘密建立的僵尸网络进行有针对性攻击的担忧。创建僵尸网络意味着在用户不知情的情况下，在多个设备上秘密安装恶意软件。APT组织可能对这种策略感兴趣，因为它可以隐藏攻击的目标性质，使防御者难以确定攻击者的身份和动机。僵尸网络可以作为代理服务器、中间C2集线器或潜在入口点，对攻击者的真实基础设施进行掩盖。

03 内核rootkit再次复苏

微软引入了现代安全措施，如KMCS、PatchGuard和HVCI，以减少rootkit和类似低级攻击的流行。然而，一些APT行为者和网络犯罪组织仍然成功地在目标系统的内核模式下执行恶意代码。近年来，出现了滥用Windows硬件兼容性程序（WHCP）的情况，导致Windows内核信任模型被破坏。

预计下述三个关键因素将进一步增强威胁行为者的这种能力：

地下市场中不断增长的EV证书和被盗代码签名证书需求；

更多的开发者账号被滥用，以通过微软代码签名服务（如WHCP）获得恶意代码签名；

在当前威胁参与者的TTP武器库中，自带易受攻击驱动程序持续增加。

04 由国家支持的网络攻击活动日益增多

据联合国估计，去年世界上发生了50多起正在进行的现实冲突，暴力冲突达到了二战以来的最高水平。现在任何政治对抗都必然包含网络元素，成为任何冲突的默认部分。2024年，预计黑客活动在地缘政治紧张局势加剧的情况下将增加，包括国家支持的网络攻击和针对媒体机构的攻击。黑客的目标包括数据窃取、IT基础设施破坏、长期间谍活动和网络破坏活动，个人和团体可能成为特定目标。这些攻击可能包括破坏个人设备以进入他们工作的组织，使用无人机定位特定目标，使用恶意软件进行窃听等等。

05 网络战成为地缘政治冲突的新常态

黑客行动主义在地缘政治冲突中表现突出。黑客活动分子通过实际的网络攻击（DDoS攻击、数据盗窃或破坏、网站入侵等）、虚假的黑客声明和深度伪造（Deepfakes）等方式影响网络安全。随着地缘政治紧张局势加剧，预计黑客活动将继续增加，并具有破坏性和传播虚假信息的特点。

06 供应链攻击服务

攻击者通过供应商、集成商或开发人员来实现他们的目标。中小型企业缺乏APT攻击防护，成为黑客访问主要企业数据和基础设施的入口。供应链攻击的规模不可忽视，动机涉及经济利益和网络间谍活动。在2024年，供应链攻击可能进入新阶段，使用开源软件和影子市场提供的访问包。这使得攻击者可以接触到大量潜在受害者，并选择大规模攻击目标。

07 由生成式AI进行扩展的鱼叉式钓鱼攻击

聊天机器人和生成式人工智能工具越来越普遍且易于获取。威胁行为者也开始开发用于恶意目的的黑帽聊天机器人，如WormGPT。生成式AI工具不仅能快速编写有说服力和措辞精炼的信息，还能生成用于模拟和模仿特定个人风格的文档。在未来一年里，预计攻击者将开发新的方法来自动对其目标进行间谍活动。这可能包括从受害者的在线状态（如社交媒体帖子、媒体评论或撰写的专栏）自动收集与受害者身份相关的数据。

08 更多组织开始提供雇佣黑客的服务

黑客组织提供渗透系统和数据盗窃服务，客户包括私家侦探、律师事务所和商业竞争对手。目前，雇佣黑客组织的服务已超越网络间谍，延伸到商业间谍活动，可能收集竞争对手的并购、扩张、财务和客户信息。这种趋势在全球范围内蓬勃发展，预计将在明年继续扩大。一些APT集团可能扩大业务以产生收入并支持成员活动。

09 MFT系统处于网络威胁的前沿

MFT解决方案包含大量机密信息，包括知识产权、财务记录和客户数据，在现代业务运营中已成为不可或缺的一部分，它们促进了内部和外部的无缝数据共享。2023年涉及MFT系统的事件（如MOVEit和GoAnywhere）揭示了这些关键数据传输管道中的潜在漏洞。在2024年，针对MFT系统的威胁将继续升级，攻击者可能利用系统漏洞获取利益或造成严重中断。

来源：安全内参

参考链接：https://securelist.com/