防御者必須應對的持續威脅之一是 APT：高級持續威脅。APT 攻擊者使用比典型攻擊者更復雜的策略來破壞網絡，例如部署特洛伊木馬或其他簡單的軟件。例如，APT 攻擊者可能會在較長時間內采用復雜的間諜技術，并讓組織內部的眾多個人參與其中，以實現其最終目標。

盡管任何規模的公司都可能成為目標，但引人注目的 APT 攻擊通常針對知名公司、關鍵基礎設施或政府。然而，我們看到這些類型的攻擊超出了這些特定類型的目標，令人擔憂的是傳統的網絡犯罪組織現在也在使用它們。我們越來越多地看到，這些威脅不僅在不斷發展，而且不良行為者也在從這些技術中學習并將其應用于其他類型的攻擊方法。

APT 的演變

Wiper 惡意軟件很好地說明了 APT 類型的活動和常見網絡犯罪如何融合。擦除器是我們經常看到民族國家行為者使用的工具，而非 APT 犯罪團伙通常傳播勒索軟件等惡意軟件。

去年我們看到這種情況顯著擴大。我們在去年上半年觀察到擦除惡意軟件的死灰復燃，而這種毀滅性的攻擊策略在下半年才擴大了其灘頭陣地。我們的 FortiGuard 實驗室研究人員發現，擦拭器惡意軟件向新國家的傳播導致 2022 年第三季度至第四季度擦拭器活動增加了 53%。

盡管擦除惡意軟件最初是由民族國家 APT 行為者開發和傳播的，特別是在俄羅斯-烏克蘭戰爭期間，但我們現在正在見證其規模擴大和全球部署。網絡犯罪組織越來越多地在其不斷擴大的網絡犯罪即服務 (CaaS) 網絡中使用這些新型病毒。擦除器惡意軟件構成的威脅現在比以往任何時候都更加普遍，所有公司都可能成為目標。此外，網絡犯罪分子目前正在創建自己的擦除軟件，該軟件正在整個 CaaS 組織中輕松使用。

不僅僅是雨刮器正在從 APT 中汲取教訓

除了攻擊者用來實現更具破壞性的新目標之外，廣泛的網絡犯罪攻擊策略也變得更有針對性。這是傳統網絡犯罪的一個變化，因為 APT 組織通常以其專注的策略而聞名。

安全研究團隊最近注意到該領域的兩個重要發展。第一個是 SideCopy 的秘密工作。SideCopy APT 組織因使用類似的 TTP（策略、技術和程序）而聞名，有時還使用與另一個來自巴基斯坦的名為“Transparent Tribe”的組織相同的基礎設施。SideCopy 被認為是透明部落的一個分支。據稱，該團伙被命名為“SideCopy”，因為他們使用了從著名的印度威脅組織 SideWinder 中提取的感染鏈來逃避檢測。盡管 SideCopy 主要針對 Windows 系統，但有人聲稱他們已經用惡意軟件感染了 Mac 和 Linux 計算機。

第二個是Donot APT，也稱為SectorE02 和APT-C-35。至少自2016年以來，該威脅行為者就以斯里蘭卡、孟加拉國、尼泊爾和巴基斯坦的企業和民眾為目標。為了找到受害者，Donot 使用帶有惡意文檔的魚叉式網絡釣魚電子郵件。

我們看到該團伙繼續用惡意文件瞄準受害者。2023年初，我們看到該攻擊者使用惡意文檔。我們發現的大多數惡意文檔可以追溯到2021年左右，但所有這些惡意文檔都與過去30天內注冊的域名相關聯。這表明威脅行為者在2023年2月和3月的活動中使用了之前創建的惡意文檔。

保持進化領先地位

隨著 APT 開始與傳統網絡犯罪融合，網絡犯罪分子越來越多地試圖尋找繞過安全、檢測、情報和控制的方法。他們投入更多時間進行偵察，并致力于將新興技術轉化為武器。他們的攻擊正在轉向更有針對性的性質，使用精確的技術。

與其他安全問題一樣，沒有單一的答案或快速解決方案可以保護公司免受此類活動的影響。根據最新的實時威脅數據進行主動、基于行為的檢測仍然是您可以采取的最佳預防措施之一。配備了這些有用的情報，組織將能夠更好地保護自己免受威脅行為者工具包的侵害。保護混合網絡的邊緣需要集成的、人工智能和機器學習驅動的網絡安全平臺，該平臺具有卓越的檢測和響應能力，并由可操作的威脅情報提供支持。無論用戶是在現場還是遠程，零信任網絡訪問 (ZTNA) 對于保護對工作或學習中的應用程序的訪問至關重要。

防守方的回應

由于 CaaS 的擴展，安全團隊將繼續面臨大量威脅，這些威脅變得越來越復雜并出現新的變體。如上所述，組織必須集中精力集成其安全技術并部署自己的工具和策略，以保護其網絡免受高級持續威脅的發展。