2022年行至尾聲，這一年世界可謂發生了巨大變化。但始終不變的是，網絡攻擊威脅仍然在持續發展，而且絲毫沒有消退的跡象。無論身處何處，世界各地的人們都應該為可能的網絡安全事件做好應對準備，因此設法預見未來的趨勢將會大有裨益。

2022年APT預測回顧

日前，卡巴斯基公司的安全研究與分析團隊GReAT對2023年高級威脅（APT）攻擊的發展趨勢進行了展望和預測，不過在具體分享其預測觀點之前，首先回顧一下去年該團隊對2022年高級威脅主要預測觀點的實際結果。

預測1、移動設備將受到廣泛攻擊

實際結果：未實現

在2022年確實發生了一些針對移動設備的攻擊事件，但目前沒有發現造成重大影響和后果的移動安全事件。

預測2、更多的供應鏈攻擊

實際結果：部分實現

目前，利用供應鏈進行攻擊的數量正在快速增長，盡管沒有重大事件，但是我們看到了很多案例。

預測3、基于遠程工作模式的攻擊

實際結果：預測成功

在2022 年，企業組織的安全建設仍將落后于新冠疫情對企業業務開展的變革性影響。由于遠程辦公模式成為常態，很多員工是在匆忙狀態下部署遠程訪問工具，其中有大量的配置錯誤和安全漏洞。

預測4、對云安全和外包服務的攻擊激增；

實際結果：預測成功

云身份安全公司Okta被攻擊是2022年最有影響的安全事件之一，這證明了老練的攻擊者滲透進主要的云服務平臺是多么容易。而CISA也在今年5 月發布公告，警告各大托管服務提供商，因為他們發現針對這一行業的惡意活動明顯增加。

預測5、低級別組件漏洞利用攻擊回歸

實際結果：預測成功

2022 年在低級別組件中發現了 22 個高嚴重性漏洞，這表明其中存在了巨大的攻擊面。這種高度復雜的植入攻擊通常非常少見，一年內發生了多個單獨的安全事件表明了非常重要的信號。

2023年APT發展態勢預測

以下是GReAT團隊對2023年APT攻擊趨勢的預測：

1、破壞性攻擊再次興起

盡管近年來的APT攻擊多以商業利益作為主要攻擊目標，但是在2022年，地緣政治沖突變得更加激烈，這種變化可能將在未來多年持續，歷史表明，這種緊張關系總是會引發網絡攻擊活動的進一步增加——有時是為了情報收集，有時是作為外交信號的一種手段。因此，我們預計2023年將出現前所未有的嚴重網絡攻擊。

具體而言，我們預計2023年將會觀察到創紀錄數量的破壞性APT攻擊，重點影響政府部門和關鍵行業。需要注意的一點是，其中一部分攻擊很有可能被偽裝成采取“勒索軟件攻擊”（pseudo-ransomware）或黑客活動的形式，以便為真正的攻擊者提供合理的推諉理由。

此外，我們還擔心，針對民用基礎設施（例如能源電網或公共廣播）的APT網絡攻擊將會發生，包括水下電纜和光纖集線器在某些情況下也不再安全。

2、郵件服務器成為優先目標

在過去幾年里，我們發現APT攻擊者越來越關注電子郵件軟件。企業級郵件市場的領導者（包括Microsoft Exchange和Zimbra等）都面臨著嚴重的漏洞威脅，在相關補丁發布之前，攻擊者就會利用這些漏洞。

我們相信，針對郵件軟件漏洞的研究才剛剛開始。郵件服務器正面臨雙重不幸的境遇：一方面，它是APT參與者感興趣的關鍵情報的“集中營”；另一方面，它是企業安全防護中最大的攻擊面。2023年很可能是所有主要電子郵件服務商遭遇零日攻擊的最嚴重一年。

3、新一代WannaCry或出現

據統計，一些規模巨大、影響惡劣的網絡病毒每6-7年就會發生一次。上一起這類事件還要追溯到臭名昭著的WannaCry勒索軟件蠕蟲，它利用極其強大的“永恒之藍”（EternalBlue）漏洞自動傳播到易受攻擊的計算設備上。

盡管能夠生成蠕蟲的漏洞十分罕見，且需要滿足多種條件，很難預測究竟什么時候會發現這一起這樣的漏洞，但我們可以大膽猜測，并把它設想在明年。增加此類事件發生可能性的一個潛在原因是，惡意行為者可能已經發現并擁有至少一種合適的漏洞可以利用，而當前的緊張局勢極大地增加了發生shadowbrokers（影子經紀人，永恒之藍漏洞泄露的始作俑者）式黑客攻擊和泄漏的機會。

4、APT攻擊目標轉向太空領域

由于政府部門和私營組織對太空競賽的興趣日益濃厚，以及近來網絡安全研究集中在衛星漏洞問題上，明年將會出現更多面向太空設施的網絡攻擊事件。盡管看起來衛星設備可能超出大多數APT威脅的影響范圍，但研究人員發現，黑客已經可以使用一種簡易但便捷的設備與衛星進行通信。此外，很多老舊的衛星設備可能不具備現代化的安全控制措施。

事實上，太空網絡安全威脅早已出現。2022年2月24日，美國和歐盟組織就公開宣稱，某東歐國家對屬于Viasat的商用衛星通信網KA-SAT發起網絡攻擊，利用“錯誤配置的VPN”漏洞，獲得訪問權限，并橫向移動到KA-SAT網絡管理部分，隨后執行命令使得調制解調器的內存溢出，使它們無法使用。如果Viasat事件是一個跡象，那么APT威脅組織很可能在未來更多地將注意力轉向操縱和干擾衛星技術，使此類技術的安全形勢變得更加嚴峻。

5、“入侵-泄密”戰術盛行

關于“網絡戰”是否真的會大規模爆發，仍有很多爭論。然而，一種新的混合沖突形式正在展開，包括“入侵-泄密”行動。這種威脅攻擊手法包括侵入目標并公開其內部文件和電子郵件。勒索軟件組織已經大量將這種策略作為對受害者施加壓力的一種方式，而APT攻擊者未來可能會利用它來達到純粹的破壞性目的。在過去，我們曾看到APT攻擊者估計泄露競爭威脅組織的數據，或創建網站傳播個人信息。雖然很難從旁觀者的角度評估它們的危害，但它們現在正成為APT威脅發展的一部分，而且2023年將涉及更多的實際案例。

6、從CobaltStrike轉向其他替代方案

2012年發布的CobaltStrike是一個威脅模擬工具，旨在幫助安全紅隊了解攻擊者可以用來滲透網絡的方法。不幸的是，與Metasploit框架一樣，它已經成為網絡犯罪集團和APT威脅攻擊者的最常用工具。不過，研究人員發現，有一些威脅攻擊者已經開始使用其他替代方案。

其中一個替代方案是Brute Ratel C4，這是一個商業級攻擊模擬工具，極具危險性，因為它的設計可以繞過防病毒和EDR工具的檢測。另一個則是開源對抗性工具Sliver。除了以上現成的產品外，APT工具包還可能包括其他工具，例如Manjusaka、C&C全功能版本和Ninja等。

總的來說，我們認為由于CobaltStrike已經受到了防御者的太多關注，因此APT組織將嘗試多樣化他們的工具包，以避免被發現。

7、基于無線電的信號情報（SIGINT）

信號情報技術是隨著軍用無線電技術的發展而發展起來的情報技術，是電子戰的一個分支。美國國防部對信號情報SIGINT的定義是：一種包括了通信情報（COMINT）、電子情報（ELINT）和儀器信號情報（FISINT）的信息組合，其傳輸方式可能有很多種，包括有線、無線電、光纖傳輸等等，但信號情報最主要處理的是無線電波。簡而言之，信號情報就是從截獲的通信、電子和外國儀器的信號中獲得的情報。

如今，距離斯諾登曝光“棱鏡門”事件已經過去了近10年。美國國家安全局利用與美國電信公司的合作關系，將服務器放置在互聯網骨干網絡的關鍵位置，以實施“man-on-the-side”攻擊。這種攻擊方式類似于中間人攻擊，只是中間人攻擊是完全控制一個網絡節點，而man-on-the-side攻擊則是攻擊者監聽通信信道利用時間差注入新數據。這種攻擊非常難以發現，但我們預測，它們在2023年將會變得越來越普遍。

8、無人機攻擊

這里說的“無人機攻擊”并非是對用于監視甚至軍事支援的無人機實施的黑客攻擊（盡管這也可能發生），而是使用商用級無人機實現近距離黑客攻擊。目前，面向公眾的無人機獲得了更強大的航程和能力。用流氓Wi-Fi接入點或IMSI接收器操縱一個無人機并不費事；或者有足夠的工具來收集用于離線破解Wi-Fi密碼的WPA握手信息。另一種攻擊方案是使用無人機在限制區域投放惡意USB密鑰，然后希望路人能撿起并將其插入設備。總而言之，我們相信這是一個很有威脅的攻擊載體，可能會被一部分的攻擊者或已經擅長混合物理和網絡入侵的黑客使用。

參考資料：https://securelist.com/advanced-threat-predictions-for-2023/107939/