過去兩年,16 個高階持續性威脅 (APT) 組織以中東組織為目標,對政府機構、製造公司和能源產業進行網路攻擊。
根據 27 月發布的分析,APT 攻擊者主要針對沙烏地阿拉伯、阿拉伯聯合大公國和以色列的組織,包括 Oilrig 和 Molerats 等知名組織,以及 Bahamut 和 Hexane 等鮮為人知的實體。XNUMX 由網路安全服務公司 Positive Technologies提供。
研究人員表示,這些組織的目的是獲取訊息,使其國家贊助者獲得政治、經濟和軍事優勢。他們記錄了 141 起可歸因於這些組織的成功攻擊。
Positive Technologies 的高級資訊安全分析師 Yana Avezova 表示:“公司應該關注攻擊該地區的 APT 組織正在使用哪些策略和技術。” “中東地區的公司可以了解這些組織通常如何運作,並相應地為某些步驟做好準備。”
該網路安全公司利用其分析來確定APT 攻擊者最常用的攻擊類型,包括用於初始存取的網路釣魚、加密和偽裝其惡意程式碼以及使用常見應用程式層協定(例如網路中繼聊天(IRC))進行通訊或 DNS 請求。
在 16 個 APT 參與者中,包括 APT 35 和 Moses Staff 在內的 XNUMX 個組織與伊朗有聯繫,Molerats 等 XNUMX 個組織與哈馬斯有聯繫,還有 XNUMX 個組織與中國有聯繫。該分析僅涵蓋了被認為既複雜又持久的組織的網路攻擊,Positive Technologies 將某些組織(例如 Moses Staff)提升為 APT 狀態,而不是作為駭客活動組織。
“在研究過程中,我們得出的結論是,某些被某些供應商歸類為黑客行動主義者的團體實際上並不是黑客行動主義者,” 報告說並補充道,“經過更深入的分析,我們得出的結論是,Moses Staff 的攻擊比黑客行動主義組織的攻擊更為複雜,該組織比黑客行動主義組織通常構成的威脅更大。”
主要初始向量:網路釣魚攻擊、遠端利用
該分析將每個組織使用的各種技術映射到 MITRE AT&CK 框架,以確定在中東活動的 APT 組織中最常用的策略。
獲得初始存取權限的最常見策略包括網路釣魚攻擊(由 11 個 APT 組織使用)以及利用面向公眾的應用程式中的漏洞(由 XNUMX 個組織使用)。其中三個組織還使用部署到網站的惡意軟體作為針對訪客的水坑攻擊的一部分,這也稱為路過式下載攻擊。
報告稱:“大多數 APT 組織都會透過有針對性的網路釣魚來對企業系統發動攻擊。” 「大多數情況下,這涉及包含惡意內容的電子郵件活動。除了電子郵件之外,一些攻擊者(例如 APT35、Bahamut、Dark Caracal、OilRig)還使用社交網路和通訊工具進行網路釣魚攻擊。”
一旦進入網絡,除了一組之外,所有群組都會收集有關環境的信息,包括作業系統和硬件,而大多數群組(81%) 還枚舉系統上的使用者帳戶並收集網路配置資料(69%) 。報告。
雖然「靠土地為生」已成為網路安全專業人士的主要擔憂,但幾乎所有攻擊者(94%)都從外部網路下載了額外的攻擊工具。報告稱,16 個 APT 組織中有 XNUMX 個使用 IRC 或 DNS 等應用層協定來促進下載。
注重長期控制
Positive Technologies 在報告中指出,APT 組織通常專注於對基礎設施的長期控制,並在「地緣政治關鍵時刻」變得活躍。為了防止他們成功,公司應該注意他們的具體策略,但也要專注於強化他們的資訊和營運技術。
Positive Technologies 的 Avezova 表示,資產清點和優先順序、使用事件監控和事件回應以及培訓員工更多地了解網路安全問題都是實現長期安全的關鍵步驟。
“簡而言之,遵守以結果為導向的網路安全的關鍵原則非常重要,”她補充說,“首先要採取的措施是應對最常用的攻擊技術。”
在這 16 個組織中,大多數針對六個不同中東國家的組織: 14 個針對沙烏地阿拉伯; 12 阿聯酋; 10 以色列;九個喬丹;其中八架分別針對埃及和科威特。
該公司在報告中表示,雖然政府、製造業和能源是最常見的目標產業,但大眾媒體和軍事工業複合體也成為越來越常見的受害者目標。
報告指出,隨著關鍵產業的目標不斷增加,組織應將網路安全視為一項重要措施。
「主要目標應該是消除不可容忍事件的可能性,即阻止組織實現其營運或策略目標或因網路攻擊而導致其核心業務嚴重中斷的事件,」公司在報告中指出。 “這些事件由組織的最高管理層定義,並為網路安全戰略奠定基礎。”
