Trace Id is missing

En tillbakablick på hotinformationsåret 2023: Viktiga insikter och utveckling

Dela
Röda cirklar på himlen

Det har varit ett otroligt år för Microsoft Threat Intelligence. Enbart den enorma mängd hot och attacker i sig, som avslöjas genom de mer än 65 biljoner signaler vi övervakar dagligen, har gett oss många böjningspunkter, särskilt eftersom vi ser en förändring i hur hotaktörerna skalar och utnyttjar nationalstatliga stöd. Det senaste året har det förekommit fler attacker än någonsin tidigare, och attackkedjorna blir mer komplexa för varje dag som går. Tiderna till upptäckt har blivit kortare. Taktikerna, teknikerna och procedurerna (TTP) har blivit smidigare och mer undvikande till sin natur. Genom att se tillbaka på detaljerna kring dessa incidenter kan vi lättare se mönstren så att vi kan bestämma hur man lämpligast ska reagera på nya hot och förutse i vilken riktning de kan röra sig härnäst. Syftet med vår granskning av taktikerna, teknikerna och procedurerna från 2023 är att ge en heltäckande översikt över hotinformationslandskapet genom vad vi kunnat observera vid incidenter runt om i världen. Detta är några av de viktigaste punkterna som både Sherrod DeGrippo och jag vill dela med oss av tillsammans med några videoklipp från vår diskussion på Ignite 2023.

John Lambert,
Microsoft Corporate Vice President and Security Fellow

Namngivningstaxonomi för hotaktörer

2023 övergick Microsoft till en ny namngivningstaxonomi av hotaktörer med ett väderbaserat tema som (1) bättre matchar de moderna hotens ökande komplexitet, omfattning och volym och (2) ger ett sätt att referera till hotaktörsgrupperna som är mer organiserat, enklare att komma ihåg och mer smidigt.1

Microsoft kategoriserar hotaktörerna i fem huvudgrupper:

Påverkansoperationer från nationella statsaktörer: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

I vår nya taxonomi representeras respektive kategori av en väderhändelse eller ett familjenamn. Hotaktörer inom samma vädergrupp får ett adjektiv som särskiljer olika grupper, förutom grupper under utveckling, vilka får fyrsiffriga nummer.

Trender för hotaktörers taktiker, tekniker och procedurer (TTP) under 2023

Undvika anpassade verktyg och skadlig programvara

Hotaktörsgrupper som väljer att arbeta i det fördolda har valt att undvika användning av anpassad skadlig programvara. Istället använder de verktyg och processer som finns på offrets enhet så att de han hålla sig dolda tillsammans med andra hotaktörer som använder liknande metoder för att starta attacker. 2

Microsoft Corporate Vice President and Security Fellow John Lambert kommenterar kortfattat hur hotaktörer undviker uppseendeväckande anpassade verktyg så att de istället kan arbeta i det fördolda. Titta på videon nedan:

Kombination av cyberoperationer och påverkansoperationer

Under sommaren kunde Microsoft observera hur vissa nationalstatliga aktörer kombinerade metoderna för cyberoperationer och påverkansoperationer till en ny hybrid som vi har valt att kalla ”cyberaktiverade påverkansoperationer”. Med den här nya taktiken kan hotaktörerna öka, överdriva eller kompensera för brister i deras nätverksåtkomst eller cyberattackskapacitet. 3 Cybermetoderna omfattar taktik som datastöld, destruktion, DDoS och utpressningstrojaner i kombination med påverkansmetoder som dataläckor, sockpuppet-konton, offerimitationer, sociala medier och SMS/e-postkommunikation.
Webbanpassad matris av cyber- och påverkansmetoder

Kompromettera gränsenheter för SOHO-nätverk

Hotaktörer sätter ihop dolda nätverk från gränsenheter i småkontors-/hemmakontorsnätverk (SOHO), och använder till och med program med vilka de kan lokalisera sårbara slutpunkter runt om i världen. Den här tekniken gör attributionen svårare, och attacker kan dyka upp från praktiskt taget var som helst.4

I den här 35 sekunder långa videon förklarar Microsofts John Lambert varför hotaktörerna tycker att SOHO-nätverksenheter är sådana attraktiva mål. Titta på videon nedan:

Hotaktörer skaffar sig initial åtkomst på olika sätt

Microsoft Threat Intelligence-forskare har observerat att hotaktörer, i Ukraina och på andra håll, har skaffat sig initial åtkomst till sina mål med hjälp av en mångsidig verktygslåda. Bland vanliga taktiker och tekniker märks exploatering av Internetanslutna program, piratkopierade bakdörrsprogram och nätfiske. 5 reaktiva, snabbt ökande sina cyber- och påverkansoperationer efter Hamas-attackerna för att motverka Israel.

Vinna förtroende genom att utge sig för att vara offer

En tilltagande trend i de cyberaktiverade påverkansoperationerna är att man utger sig för att vara angripna organisationer, eller ledande figurer i dessa organisationer, i syfte att skänka trovärdighet åt cyberattackens eller komprometteringens effekter. 6

Snabb tillämpning av offentligt röjda koncepttest som ska ge initial åtkomst och persistens

Microsoft har observerat att nationalstatliga undergrupper i allt högre grad har tillämpat offentligt röjda koncepttestskoder kort efter det att de släppts, så att de kan exploatera sårbarheter i Internetanslutna program. 7

 

I figuren nedan visas två attackkedjor som Microsoft har observerat att en nationalstatlig undergrupp ofta använder sig av. Impacket använder sig av båda kedjorna för att röra sig lateralt.

Bild av attackkedja.

Hotaktörer försöker nå sin målgrupp med hjälp av massutskick av e-post

Microsoft observerade att flera aktörer försökte använda sig av massutskick av e-post för att förhöja sina cyberpåverkansoperationers psykologiska effekter. 8

På bilden nedan visas sida vid sida två SMS-meddelanden från hotaktörer som utger sig för att vara israeliska sportnätverk. Meddelandet till vänster innehåller en länk till en saboterad Sport5-webbsida. Meddelandet till höger innehåller varningen “”Om du är rädd om ditt liv, ska du inte resa till våra länder”.

Atlas Group Telegram: Skärmbilder av sms som ser ut att komma från ett israeliskt sportnätverk.

Sociala medieoperationer ökar målgruppsengagemanget på ett effektivt sätt

Hemliga påverkansoperationer har nu börjat engagera målgrupper på sociala medier i en högre utsträckning än vad man tidigare har sett och man kan se mer avancerade och utvecklade onlinetillgångar för informationsoperationer.9

 

Nedan visas en Black Lives Matter-bild som initialt laddades upp av ett automatiserat konto för en nationalstatlig grupp. Sju timmar senare laddades den upp igen av ett konto som utgav sig representera en amerikansk konservativ väljare.

Uttalande som stöder Black Lives Matter, fördömer diskriminering och polisvåld samt förespråkar värdighet och trygghet

Specialisering i utpressningstrojansekonomin

Utpressningstrojansoperatörer har under 2023 blivit alltmer specialiserade och valt att fokusera på ett litet utbud av funktioner och tjänster. Denna specialisering har en splittrande effekt och sprider komponenterna i en utpressningstrojansattack via flera leverantörer i en komplex underjordisk ekonomi. Som svar spårar Microsoft Threat Intelligence enskilda providrar, och registrerar den initiala åtkomsttrafiken och därefter andra tjänster.10

 

I ett videosegment taget från Ignite beskriver Sherrod DeGrippo, Microsoft Threat intelligence Director of Threat Intelligence Strategy, utpressningstrojansekonomins aktuella status. Titta på videon nedan:

Kontinuerlig verktygsanpassning

Medan vissa grupper aktivt undviker anpassad skadlig programvara när de ska genomföra operationer i det fördolda (se ”Undvika anpassade verktyg och skadlig programvara” ovan), så har andra lämnat allmänt tillgängliga verktyg och enkla skript till förmån för skräddarsydda metoder som kräver mer sofistikerat hantverk.11

Inriktning på infrastruktur

Även om olika typer av infrastruktur – avloppssystem och vattenrening, maritima verksamheter, transportverksamheter – inte har den typ av värdefulla data som är mest lockande för cyberspioner på grund av den begränsade informationen, så kan kompromettering av denna struktur åstadkomma ansenliga störningar. 12

 

Microsofts John Lambert ger en kort presentation av cyberspionagets paradox: ett mål som till synes saknar data. Titta på videon nedan:

Som du kan se av informationen om de 11 posterna från 2023 som vi just har granskat, så är hotlandskapet under kontinuerlig utveckling, och cyberattackernas sofistikering och frekvens fortsätter att öka. Det råder ingen tvekan om att de mer än 300 hotaktörer vi spårar alltid kommer att prova något nytt och kombinera det nya det med de beprövade taktikerna, teknikerna och procedurerna. Det är det vi älskar med dessa hotaktörer när vi analyserar dem och lär oss förstå deras personligheter – nämligen att vi kan förutsäga deras nästa drag. Och nu med generativ AI kan vi alla göra detta snabbare, och vi kommer att bli bättre på att tvinga bort angriparna.

 

Med detta sagt kan vi gå vidare till 2024.

 

Om du vill ha nyheter och information om Threat Intelligence kan du ta del av The Microsoft Threat Intelligence Podcast som leds av Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Ett år av rysk hybridkrigföring i Ukraina. Sida 14

  6. [6]

    Iran satsar på cyberbaserade påverkansåtgärder eftersom de ger större effekt. Sida 11.

  7. [7]
  8. [8]

    Iran satsar på cyberbaserade påverkansåtgärder eftersom de ger större effekt. Sida 11.

  9. [9]

    Digitala hot från Östasien ökar, både vad gäller bredd och effektivitet. Sida 6

  10. [10]

    Ett år med Intel: Höjdpunkter från Microsofts Global Stand Against APTs

  11. [11]

    Iran satsar på cyberbaserade påverkansåtgärder eftersom de ger större effekt. Sida 12.

  12. [12]

    Ett år med Intel: Höjdpunkter från Microsofts Global Stand Against APTs

Cyberpåverkansoperationer Nationella statsaktörer Hotaktörer

Relaterade artiklar

De ryska hotaktörerna jobbar ihärdigt vidare, och förbereder sig på att utnyttja krigströttheten

Ryska cyber- och påverkansoperationer fortsätter medan kriget i Ukraina fortskrider. Microsoft Threat Intelligence beskriver de senaste cyberhots- och påverkansaktiviteterna under de närmast föregående sex månaderna.
Mer information

Volt Typhoon attackerar kritisk amerikansk infrastruktur med hjälp av LOTL-tekniker (Living-Off-the-Land)

Microsoft Threat Intelligence har avslöjat ett växande antal cyberaktiverade påverkanskampanjer från Iran. Få hotinsikter med information om nya tekniker och var potentialen för framtida hot ligger.
Mer information

Utpressningstrojaner som en tjänst: Den industriella cyberkriminalitetens nya ansikte

Microsoft Threat Intelligence undersöker ett år av cyber- och påverkansoperationer i Ukraina, avslöjar nya trender inom cyberhot och vad vi kan vänta oss när kriget går in på sitt andra år.
Mer information

Följ Microsoft Security