随着民族国家组织转变策略柏拉图区块链数据智能,微软警告零日激增。 垂直搜索。 人工智能。

随着民族国家团体转变策略,微软警告零日峰值

时间戳记:4年2022月5日晚上30:XNUMX

将国家支持的网络组织视为遥远威胁的企业安全主管可能想要重新审视这一假设,而且要匆忙。

过去一年中,世界各地最近发生的几起地缘政治事件刺激了针对港口当局、IT 公司、政府机构、新闻机构、加密货币公司和宗教团体等关键目标的民族国家活动急剧增加。

微软的分析 全球威胁格局 在过去的一年里, 4月XNUMX日发布, 显示针对关键基础设施的网络攻击翻了一番,从占所有民族国家攻击的 20% 增加到公司研究人员检测到的所有攻击的 40%。

此外,他们的策略也在发生变化——最值得注意的是,微软记录了零日漏洞利用的增加。

多种因素导致民族国家威胁活动增加

不出所料,微软将大部分飙升归因于俄罗斯支持的与乌克兰战争相关并支持该国战争的威胁组织的攻击。 其中一些攻击的重点是破坏乌克兰的基础设施,而另一些则与间谍活动有关,包括美国和其他北约成员国的目标。 微软在过去一年检测到的俄罗斯支持的网络攻击中有 48% 是针对北约国家的; 其中 XNUMX% 是针对这些国家的 IT 服务提供商的。

虽然乌克兰战争推动了俄罗斯威胁组织的大部分活动,但其他因素推动了由中国、朝鲜和伊朗赞助的组织的攻击增加。 例如,伊朗团体的袭击在该国总统更迭后升级。 

微软表示,它观察到伊朗团体在以色列发动了破坏性的磁盘擦除攻击,以及它所描述的针对美国和欧盟目标的黑客和泄密行动。 以色列的一次袭击在该国引发了紧急火箭信号,而另一次袭击试图从受害者的系统中删除数据。

朝鲜团体袭击事件的增加恰逢该国导弹试验的激增。 许多攻击都集中在从航空航天公司和研究人员那里窃取技术。

微软表示,与此同时,中国的组织增加了间谍活动和数据窃取攻击,以支持该国在该地区施加更大影响力的努力。 他们的许多目标包括了解中国认为对实现其目标具有战略重要性的信息的组织。

从软件供应链到 IT 服务提供商链

在此期间,与其他行业相比,民族国家行为者对 IT 公司的攻击更为严重。 IT 公司,如云服务提供商和托管服务提供商,占这些组织今年针对的组织的 22%。 其他受到严重打击的行业包括更传统的智囊团和非政府组织的受害者(17%)、教育(14%)和政府机构(10%)。

微软表示,针对 IT 服务提供商的攻击旨在通过破坏单个受信任的供应商来同时危害数百个组织。 去年对 Kaseya 的袭击,导致 勒索软件最终被分发 对成千上万的下游客户来说,就是一个早期的例子。 

今年还有其他几起事件,其中包括 XNUMX 月份,一名伊朗支持的演员入侵了一家以色列云服务提供商,试图渗透该公司的下游客户。 在另一个案例中,总部位于黎巴嫩的名为 Polonium 的组织通过其云服务提供商获得了数家以色列国防和法律组织的访问权限。 

微软指出,对 IT 服务供应链日益增长的攻击代表了国家集团对软件供应链的通常关注点的转变。

Microsoft 为减轻这些威胁而建议的措施包括审查和审核上游和下游服务提供商关系、委派特权访问管理负责人以及根据需要强制执行最低特权访问。 该公司还建议公司审查不熟悉或未经审计的合作伙伴关系的访问权限,启用日志记录,审查 VPN 和远程访问基础设施的所有身份验证活动,并为所有帐户启用 MFA

零天的上升

微软观察到的一个显着趋势是,民族国家团体正在花费大量资源来逃避组织为防御复杂威胁而实施的安全保护。 

“就像企业组织一样,对手开始利用自动化、云基础设施和远程访问技术的进步来扩大他们对更广泛目标的攻击,”微软说。

这些调整包括快速利用未修补漏洞的新方法、扩展企业入侵技术,以及增加使用合法工具和开源软件来混淆恶意活动。 

这一趋势最令人不安的表现之一是民族国家行为者在其攻击链中越来越多地使用零日漏洞利用。 微软的研究表明,就在今年 41 月至 2021 月期间,针对 2022 年 XNUMX 月至 XNUMX 年 XNUMX 月期间的 XNUMX 个零日漏洞发布了补丁。

据微软称,中国支持的威胁行为者最近特别擅长发现和发现零日漏洞。 该公司将这一趋势归因于 2021 年 XNUMX 月生效的中国新法规; 它要求该国的组织在与其他任何人披露信息之前,将他们发现的任何漏洞报告给中国政府当局进行审查。

属于此类别的零日威胁示例包括 CVE-2021-35211,SolarWinds Serv-U 软件中的一个远程代码执行漏洞,在 2021 年 XNUMX 月修补之前被广泛利用; CVE-2021-40539, a 关键身份验证绕过漏洞 在 Zoho ManageEngine ADSelfService Plus 中,已于去年 XNUMX 月修补; 和 CVE-2022-26134, 中的一个漏洞 Atlassian Confluence 工作区 在 XNUMX 月补丁发布之前,中国威胁行为者正在积极利用这一点。

微软警告说:“这项新规定可能使中国政府中的一些人能够储存报告的漏洞以将其武器化,”并补充说,这应该被视为将零日漏洞利用作为国家优先事项的重要一步。

.

时间戳记:

更多来自 暗读