Red Canary 的 2024 資安 威脅 報告 剛於本週發布,它根據 2023 年全年來近 60,000 個 威脅 進行分析。
該分析追蹤「企圖入侵者」在全年所使用的最常使用的 MITRE ATT&CK 技術。值得注意的是,雲端帳戶攻擊大幅增加,但這或許不足為奇。其中注目現象是濫用電子郵件轉寄規則 (T1114.003) 的情況大幅增加。「企圖入侵者」在遭到入侵的電子郵件帳戶中建立電子郵件轉寄規則,以收集敏感資訊,同時向合法使用者隱藏可疑的電子郵件活動。
此威脅已在 Red Canary 的 6.2% 客戶中偵測到,並被列為 2023 年的第 4 大威脅,與 2022 年相比增加了近 600%。另一個偵測到的以雲端為中心的攻擊技術是 MITRE 的 T1078.004,偵測次數比前一年增加了 16 倍。雲端攻擊成長的重要因素之一是網路 API 的使用和濫用日益增加。
儘管 CVE 增加,但用戶本身仍然是主要的威脅媒介,而其身分仍然是主要的威脅。該報告指出 Scattered Spider「非常擅長對使用者、客服或 IT 支援技術人員,以及行動服務供應商進行社交工程,以透過任何必要的方式存取身分管理平台」。
Red Canary 報告補充說:「組織必須透過廣泛的安全控制來強化身分保護,並制定全面的身分風險管理計畫,考量身分供應商、IT 支援人員,甚至行動服務供應商。」
對抗性和防禦性 AI(特別是生成式 AI)的使用正在增加,但到目前為止,防禦者佔了上風。該報告指出,雖然 AI 可能會增加攻擊的規模和複雜性,但「它們不會就我們強化保安而重新部署…我們相信 AI 的好處將遠大於對手使用 AI 所帶來的風險的些微增加。」
Mac 裝置的威脅正在增加,竊取程式活動、反射式程式碼載入 (relective code loading) 和 AppleScript 濫用情況增加。反射式程式碼載入試圖在記憶體中直接執行惡意軟體酬載,繞過磁碟從而避免 EDR 工具、商業防毒 (AV) 產品和 Apple 自有的內建 XProtect AV 及 Hardened Runtime偵測和回應。
惡意廣告不再只是關於廣告軟體,也用於傳遞其他惡意軟體。2023 年偵測到的最顯著的威脅是 Red Canary 稱為 Charcoal Stork 的群組。此威脅於 2023 年才出現,但到年底已成為該公司的偵測次數最多的威脅,在所有客戶中發現的比例接近 15%。它是一種惡意廣告,但傳播的範圍不只廣告軟體。
值得注意的是,它可以導致傳送 ChromeLoader 和 SmashJacker(瀏覽器劫持程式,這兩個都出現在 Red Canary 2023 年偵測次數最多的前十名威脅中)。ChromeLoader 已被牽連在隨後的勒索軟體傳遞中,而 Charcoal Stork 似乎成功地利用惡意廣告來宣傳其作為各種惡意軟體的初始存取仲介的角色。
Red Canary 專門在攻擊進行中進行早期偵測和快速回應。這會讓其遠程測量資料偏重於早期的威脅,而不是遇上滲透和/或加密偵測後才做出反應的事件回應人員所遇到的後期的威脅。
在勒索軟體統計資料中可以找到一個範例。由於該公司以早期偵測為前提,其在偵測勒索軟體「前兆」方面的成功,讓任何一個勒索軟體集團都無法進入 2023 年的二十大威脅。這可能暗示勒索軟體暫時平息,但不代表一定如此。