Trace Id is missing

Threat Intelligence i 2023 – et tilbageblik på året: Vigtige indsigter og udviklinger

Del
En rød cirkel på himlen

Det har været et utroligt år for Microsoft Threat Intelligence. Alene mængden af trusler og angreb, der afsløres gennem de mere end 65 billioner signaler, vi overvåger dagligt, har givet os mange vendepunkter, især da vi bemærker et skift i, hvordan trusselsaktører skalerer og udnytter støtte fra nationalstater. Den seneste år har præsenteret flere angreb end nogensinde før, og angrebskæderne bliver mere komplekse hver dag. Hviletiderne er afkortet. Taktikker, teknikker og procedurer (TTP'er) har udviklet sig til at have en mere diskret og undvigende natur. Når vi ser tilbage på detaljerne for disse hændelser, hjælper det os med at se mønstrene, så vi kan afgøre, hvordan vi reagerer på nye trusler og gør antagelser om, hvilken retning de efterfølgende kan bevæge sig i. Vores gennemgang af TTP'er fra 2023 har til hensigt at give en omfattende oversigt over landskabet for oplysninger om trusler gennem det, vi har observeret i hændelser verden over. Her er nogle af de højdepunkter, som både Sherrod DeGrippo og jeg gerne vil dele med dig, sammen med nogle videoudklip fra vores samtale på Ignite 2023.

John Lambert,
Microsoft Corporate Vice President og Security Fellow

Taksonomi for navngivning af trusselsaktører

I 2023 skiftede Microsoft til en ny taksonomi for navngivning af trusselsaktører med vejrtema, som (1) bedre matcher den stigende kompleksitet, skala og volumen for moderne trusler og (2) giver en mere organiseret og nem måde at henvise til fjendtlige grupper på, som også er nem at huske.1

Microsoft kategoriserer trusselsaktører i fem hovedgrupper:

Påvirkningsoperationer fra nationstater: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

I vores taksonomi repræsenterer en vejrhændelse eller et familienavn en af ovenstående kategorier. Trusselsaktører inden for den samme vejrfamilie gives et adjektiv for at skelne mellem forskellige grupper, bortset fra grupper under udvikling, som tildeles firecifrede numre.

2023's tendenser for taktikker, teknikker og procedurer (TTP'er) for trusler

Undgåelse af tilpassede værktøjer og malware

Trusselsaktørgrupper, der lægger vægt på at være diskrete, har selektivt undgået brugen af tilpasset malware. I stedet bruger de værktøjer og processer, der eksisterer på offerets enhed, for at skjule sig selv sammen med andre trusselsaktører, der bruger lignende metoder til at lancere angreb. 2

Microsofts Corporate Vice President og Security Fellow, John Lambert, kommenterer kort på, hvordan trusselsaktører undgår synlige tilpassede værktøjer for at flyve under radaren. Se videoen nedenfor:

Kombination af cyber- og påvirkningsoperationer (IO)

I løbet af sommeren observerede Microsoft, at bestemte nationalstatsaktører kombinerede metoderne fra cyberoperationer og påvirkningsoperationer (IO) i en ny hybrid, som vi har navngivet "cyberdrevne påvirkningsoperationer". Denne nye taktik hjælper aktører med at booste, overdrive eller kompensere for områder, hvor deres netværksadgang eller cyberangrebsevner kommer til kort. 3 cybermetoder inkluderer taktikker såsom datatyveri, skamfering, DDoS og ransomware, kombineret med påvirkningsmetoder såsom datalæk, sockpuppets, efterligning af ofre, sociale medier og sms-/mailkommunikation.
Webvenlig matrix med cyber- og påvirkningsmetoder

Kompromittering af kantenheder på SOHO-netværk

Trusselsaktører samler skjulte netværk fra små kontorers/hjemmekontorers (SOHO) netværks kantenheder og bruger endda disse programmer til at hjælpe med at lokalisere sårbare slutpunkter verden over. Denne teknik gør tilskrivning mere vanskelig, da den får angreb til at se ud til at komme fra næsten alle placeringer.4

I denne video på 35 sekunder forklarer Microsofts John Lamper, hvorfor trusselsaktører ser kantenheder på SOHO-netværk som så attraktive mål. Se videoen nedenfor:

Trusselsaktører får indledende adgang via mange forskellige metoder

I Ukraine og andre steder har Microsoft Threat Intelligence-researchere set, at trusselsaktører får adgang til mål med et mangfoldigt værktøjssæt. De almindelige taktikker og teknikker har inkluderet udnyttelse af internetrettede programmer, piratkopieret software med indførte bagdøre og spydphishing. 5 reaktiv og hurtig forøgelse af deres cyber- og påvirkningsoperationer efter Hamas-angrebene for at modvirke Israel.

Efterligning af ofre for at tilføje troværdighed

En fremvoksende tendens inden for cyberdrevne påvirkningsoperationer involverer efterligning af påståede offerorganisationer og ledende figurer i disse organisationer for at føje troværdighed til effekten af cyberangrebet eller kompromitteringen. 6

Hurtig ibrugtagning af offentligt afslørede POC'er for indledende adgang og vedholdenhed

Microsoft har i stigende grad observeret, at bestemte nationalstats-undergrupper tager offentligt afsløret proof of concept-kode (POC) i brug kort efter frigivelsen heraf for at udnytte sårbarheder i internetrettede programmer. 7

 

Figuren nedenfor illustrerer to angrebskæder, som foretrækkes af nationalstats-undergrupper, som Microsoft har observeret. I begge kæder bruger personerne med ondsindede hensigter Impacker til at bevæge sig lateralt.

Illustration af angrebskæde.

Trusselsaktører forsøger at bruge masseafsendelse af sms-beskeder til at kontakte en stor målgruppe

Microsoft observerede flere aktører, som forsøgte at bruge masseafsendelse af sms-beskeder til at øge forstærkningen og de psykologiske virkninger af deres cyberpåvirkningsoperationer. 8

Figuren nedenfor præsenterer side om side to sms-beskeder fra trusselsaktører, der udgiver sig for at være en israelsk sports-tv-station. Beskeden til venstre indeholder et link til en skamferet Sport5-webside. Beskeden på højre siger krigerisk: "Hvis du er glad for at leve, skal du ikke rejse til vores lande".

Telegram for Atlas Group: Skærmbillede af en sms, der udgiver sig for at være en israelsk sportsstation.

Operationer på sociale medier øger den effektive målgruppeinteraktion

Skjulte påvirkningsoperationer er nu begyndt at interagere vellykket med målgrupper på sociale medier i en større udstrækning end tidligere observeret, hvilket afspejler højere sofistikations- og kultiveringsniveauer for online IO-aktiver.9

 

Nedenfor ses en Black Lives Matter-grafik, der oprindeligt blev uploadet af en nationalstatsgruppes automatiserede konto. Syv timer senere blev den uploadet igen af en konto, der udgav sig for at være en konservativ vælger i USA.

Erklæring, der støtter Black Lives Matter, som fordømmer diskrimination og politivold og taler for værdighed og sikkerhed

Specialisering i ransomware-økonomien

Ransomware-operatører har i 2023 bevæget sig mod specialisering, hvor de har valgt at fokusere på et lille udvalg af færdigheder og tjenester. Denne specialisering har en spredende effekt, hvor komponenter af et ransomware-angreb spredes på tværs af flere udbydere i en kompleks undergrundsøkonomi. I modsvar hertil sporer Microsoft Threat Intelligence udbydere individuelt og bemærker, hvilke der bevæger sig i indledende adgang og derefter andre tjenester.10

 

I et videosegment taget fra Ignite beskriver Microsoft Threat Intelligences Director of Threat Intelligence Strategy, Sherrod DeGrippo, den aktuelle tilstand for økonomien for ransomware-tjenester. Se videoen nedenfor:

Stabil brug af tilpasset værktøjsudvikling

Mens nogle grupper aktivt undgår brugerdefineret malware med henblik på at flyve under radaren (se "Undgåelse af tilpassede værktøjer og malware" ovenfor), har andre bevæget sig væk fra offentligt tilgængelige værktøjer og enkle scripts til fordel for skræddersyede tilgange, der kræver mere sofistikeret håndværk.11

Målretning af infrastruktur

Selvom infrastrukturorganisationer – spildevandsanlæg, maritime operationer, transportorganisationer – ikke har den slags værdifulde data, der tiltrækker mest cyberspionage grundet manglende efterretningsværdi, tilbyder de ofte forstyrrelsesværdi. 12

 

Microsofts John Lambert præsenterer kort cyberspionageparadokset: et mål, der ikke ser ud til at have nogen data. Se videoen nedenfor:

Som du kan se fra detaljerne i de 11 elementer fra 2023, som vi lige har gennemgået, udvikler trusselslandskabet sig fortsat, og sofistikationen og hyppigheden af cyberangreb fortsætter med at stige. Der er ingen tvivl om, at de over 300 trusselsaktører, som vi sporer, altid vil finde noget nyt og kombinere det med gennemprøvede TTP'er. Det er det, vi godt kan lide ved disse trusselsaktører: Når vi analyserer dem og forstår deres personligheder, kan vi forudsige deres næste træk. Og nu kan vi med generativ AI gøre dette hurtigere, og vi vil være bedre til at udelukke personer med ondsindede hensigter hurtigere.

 

Når det er sagt, så lad os bevæge os frem til 2024.

 

For at få nyheder og oplysninger fra Threat Intelligence, som du kan læse, mens du venter i drive-in, kan du se Microsoft Threat Intelligence-podcasten, som Sherrod DeGrippo er vært for.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Et år med russisk hybrid krigsførelse i Ukraine. Side 14

  6. [6]

    Iran gør brug af cyberdrevne påvirkningsoperationer for at få større effekt. Side 11.

  7. [7]
  8. [8]

    Iran gør brug af cyberdrevne påvirkningsoperationer for at få større effekt. Side 11.

  9. [9]

    Digitale trusler fra Det østlige Asien vokser i omfang og effektivitet. Side 6

  10. [10]

    Et år inden for efterretning: Højdepunkter fra Microsofts globale indsats mod APT'er

  11. [11]

    Iran gør brug af cyberdrevne påvirkningsoperationer for at få større effekt. Side 12.

  12. [12]

    Et år inden for efterretning: Højdepunkter fra Microsofts globale indsats mod APT'er

Cyberpåvirkningsoperationer Nationalstat Trusselsaktører

Relaterede artikler

Russiske trusselsaktører forbereder sig på at udnytte krigstræthed

Russiske cyber- og påvirkningsoperationer bliver ved, mens krigen i Ukraine fortsætter. Microsoft Threat Intelligence beskriver de seneste cybertrusler og påvirkningsaktiviteter i løbet af de sidste seks måneder.
Få mere at vide

Volt Typhoon retter sig mod USA's kritiske infrastruktur med teknikker med eksisterende værktøjer i systemet

Microsoft Threat Intelligence afslørede øgede cyberaktiverede påvirkningsoperationer fra Iran. Få indsigt i trusler med detaljer om nye teknikker, og hvor der er risiko for fremtidige trusler.
Få mere at vide

Ransomware as a service: Den industrialiserede cyberkriminalitets nye ansigt

Microsoft Threat Intelligence undersøger et år med cyber- og påvirkningsoperationer i Ukraine, afdækker nye tendenser inden for cybertrusler, og hvad vi kan forvente, når krigen går ind i sit andet år.
Få mere at vide

Følg Microsoft Security