2023 网络安全报告 YOUDESERVETHEBESTSECURITY 目录 第1章:2023年网络安全报告引言 MAYAHOROWITZ 04 第2章:2022年重要网络事件时间表第3章:2022年网络安全趋势 20 俄乌冲突 22 Wipers作乱之年 26 黑客行为逐渐成为地缘政治舞台上的主要角色 30 合法工具武器化 3438 勒索软件—重点从加密转向数据勒索移动终端恶意软件形势—信任熟悉事物的风险 41 云端:第三方威胁 07 19 44 63 68 75 85 97 107 第5章:引人注目的全球性漏洞第6章:事件响应相关见解第7章:2023年首席信息安全官洞察:干扰和破坏第8章:防患于未然第9章:恶意软件系列说明第10章:结语 第4章:全局分析 第1章 CHECKPOINT 2023年安全报告 引言 第1章 MAYAHOROWITZ CheckPoint研究副总裁 1976年,英国女王伊丽莎白二世发出第一封皇室电子邮件。邮件通过ARPANET发送,比互联网问世早了7年,比第一次有记录的网络黑客攻击则早了整整13年。 近半个世纪过去,电子邮件已发展演变成为主流的通信方式,也是威胁执行者发起攻击时普遍使用的工具。事实上,CheckPointResearch(cp<r>)年度安全报告显示,2022年,在所有基于文件的在野攻击中,通过电子邮件传递的占比较之前增加,达到86%,创造了惊人的记录。 在这份安全报告中,我们将讨论cp<r>过去一年观察到的另外一些趋势。俄乌冲突展现了传统热战如何通过控制战进一步升级,并随着黑客行为的快速变化影响更广泛的威胁格局,还会影响独立威胁执行者选择执行官方任务的方式。Wipers恶意软件在这场冲突中的使用也有所增加,这一趋势已由一些执行者利用,以至于2022年全球范围内的Wipers攻击次数超过前十年的总和。传统网络犯罪亦有变化—2022年,威胁执行者开始在行动中使用更多合法工具,包括原生操作系统文件、IT软件和渗透测试工具,这些都有助于让他们设法瞒天过海。在其勒索软件攻击中,威胁执行者开始跳过加密过程,他们意识到经济回报主要来自数据泄露,以及用公布受害者数据相要挟。在对移动设备的攻击中,攻击者习惯于模仿合法应用程序,而在云端威胁环境中,公司数据多数是在处于第三方托管状态时面临风险,很容易因为错误配置、过度授权的角色和权限以及公开存储的访问密钥而受到攻击。 2022接近尾声之际,我们见证了生成式人工智能领域的巨大进步,相应技术现已走近普罗 大众,能够在几秒钟内按需生成高度专业化的文本(包括代码)。迈入2023年,我们应谨记,这项技术可能很快就会被威胁执行者采用,制作出更多恶意电子邮件,内容质量甚至优于通常由威胁执行者撰写的邮件,所附带的恶意软件和恶意代码也往往有无穷无尽的变种。这再次证明在整个IT基础设施中防御零日攻击的重要性,包括电子邮件、终端、网络、云端及之间的各个环节。 CheckPointSoftware致力于确保针对所有向量为客户带来预防为先的最佳安全防护。CheckPointResearch很高兴提供这份年度安全报告,帮助客户提升认知、提高警惕,进而共同防范下一次网络攻击。 MayaHorowitz CheckPointSoftwareTechnologies研究副总裁 2022年 重要网络事件时间表 第2章 一月 乌克兰遭到大规模网络攻击,多个政府网站和部门网站陷入瘫痪。威胁执行者在该国外交部网站上发布威胁信息,大意是“乌克兰人!...你们所有相关信息都已公开。颤抖吧,做好最坏的打算。”研究人员还发现相关证据,表明目前存在针对乌克兰多个组织的重大行动,其中利用了伪装成勒索软件的恶意软件,这些软件可能导致系统无法运行。 由伊朗国家广播公司运营的多个电视频道和一家广播电台在某流亡反对派团体发起的复杂攻击中城池失守。黑客组织Edalat-eAli(阿里的正义)侵入电视台网站,并播放了一段表达强烈反对态度的视频。 在视频开始的画面里,一群人聚集在德黑兰阿扎迪体育场高呼“独裁者去死”(指最高领袖阿里·哈梅内伊),然后镜头一转,出现了与电影《V字仇杀队》主角相似的蒙面男子的特写,该男子口称“哈梅内伊害怕了,政权摇摇欲坠”。CheckPointResearch对其中一次攻击进行了深度技术分析。CPR随即查明了这次行动中使用的部分工具,包括使用破坏性Wipers恶意软件的证据。 乌克兰伊朗 二月 严重的勒索软件攻击扰乱了比利时、德国和荷兰的石油港口码头运营,影响了至少17个港口,导致成品油货轮装卸受阻。BlackCat网络犯罪组织疑为此次攻击的幕后黑手。 乌克兰一直深陷针对其武装部队、国防部、公共广播电台和国家银行网站的一系列针对性DDoS攻击的风暴中。美国政府已正式认定这些攻击系由俄罗斯武装部队总参谋部所为。 CHECKPOINTSOFTWARE|2023年安全报告8 第2章 政府支持的攻击组织利用俄乌冲突从事网络间谍活动 CPR观察到,世界各地的高级持续性威胁(APT)组织正在发起新活动,或是迅速调整正在进行的活动,他们以战争为诱饵,通过鱼叉式网络钓鱼邮件锁定受害者。 https://research.checkpoint.com/2022/state-sponsored-attack-groups-capitalise-on-russia-ukraine-war-for-cyber-espionage/ CheckPointResearch发布了对俄乌冲突中网络攻击的观察数据。针对乌克兰政府和军方的网络攻击在冲突开始后的前三天激增了196%;针对俄罗斯组织的网络攻击增加了4%;使用东斯拉夫语的网络钓鱼电子邮件增加了7倍。 在OpenSea宣布他们计划进行合约迁移之后,CheckPointResearch观察到黑客利用升级过程对NFT用户实施诈骗,成功盗走数百万美元。 比利时 德国荷兰 乌克兰 三月 由世界各地的网络特工和志愿者组成的乌克兰“IT军队”声称,他们已对俄罗斯和白俄罗斯的多个重点网站发动攻击,造成这些网站陷入瘫痪,其中包括克里姆林宫的官方网站。 受Lapsus$勒索软件团伙攻击,NVIDIA发生信息泄露,其中2份被盗的代码签名证书用于签署该公司的驱动程序和可执行文件。攻击者已开始使用这些证书来签署恶意软件,希望避开安全解决方案。勒索软件团伙Lapsus$表示对芯片巨头NVIDIA遭遇的入侵事件负责。他们声称还成功突破了韩国制造商Samsung的防线,并且在网上公开了190GB的敏感数据。 CHECKPOINTSOFTWARE|2023年安全报告9 第2章 俄罗斯规模最大的肉类生产商之一MiratorgAgribusinessHolding遭受重大网络攻击。威胁执行者使用WindowsBitLocker对受害者的IT系统进行全量加密,并要求支付赎金。这次攻击导致分销业务中断数日。 俄罗斯 四月 CheckPointResearch(CPR)披露,世界各地高级持续性威胁组织(APT)利用俄乌冲突作为诱饵进行的攻击大幅增加。大多数攻击始于鱼叉式网络钓鱼电子邮件,其中包含带有恶意宏的文档,这些邮件会植入Loki.Rat一类的恶意软件。 新Spring4shell漏洞(CVE-2022-22965)自4月初以来一直频频遭到恶意利用,威胁执行者借由该漏洞发动Mirai僵尸网络攻击。新加坡地区是受影响最严重的地理区域之一。CheckPoint Research透露,在Spring4Shell漏洞攻击爆发后4天内,全球有16%的组织受到影响。VMware已发布安全更新,以修复其产品中这一严重的远程代码执行缺陷。 CheckPointResearch发现“ALHACK”,这是一组ALAC音频格式的漏洞,可能已被用来在全球三分之二的移动设备上远程执行代码。这些漏洞影响了采用两大移动芯片组制造商MediaTek和Qualcomm所生产的芯片的Android智能手机。 CheckPointResearch发现Everscale区块链钱包中存在漏洞。 如果利用该漏洞,攻击者将完全控制受害者的钱包和后续资金。该漏洞在名为EverSurf的Everscale网络版钱包中发现。EverSurf在GooglePlay商店和Apple的AppStore中提供,是Everscale区块链网络的跨平台信使服务、区块链浏览器兼加密货币钱包。 新加坡 CHECKPOINTSOFTWARE|2023年安全报告10 第2章 区块链安全101 每年都有普通民众在区块链黑客攻击中损失钱财。会不会是区块链这种技术本质上并不安全?又或者我们都错过了一些方面,这些方面可以拯救该行业,拯救向其中投入血汗钱的数百万用户,让他们免于每年浪费数十亿美元? 请进入我们的播客频道CP<RADIO>,收听这篇有见地的播客 https://research.checkpoint.com/2022/blockchain-security-101/ 五月 在Conti团伙发起毁灭性勒索软件攻击后,哥斯达黎加宣布进入紧急状态。此次攻击影响了众多政府组织,包括财政部、社保基金部门,以及科学、创新、技术和电信部门。据估计,与税务和海关平台相关的中断造成高达2亿美元的损失。据称,Conti勒索软件团伙在其领导人宣布重组业务后,已将他们的基础设施下线。这一消息于Conti向哥斯达黎加发起勒索数日后流出,据信,Conti成员目前正在迁移和更名,转为小规模勒索软件团体。 美国伊利诺伊州拥有157年历史的林肯学院宣布将无限期关闭,学校运营此前因发生于2021年 12月的重大勒索软件攻击而遭受重创。 俄罗斯银行服务公司Sberbank在过去一个月中成为亲乌克兰黑客的持续攻击目标。该银行近期遭受了有记录以来规模最大的分布式拒绝服务(DDoS)攻击,峰值流量高达450GB/秒。 黑客组织Turla对奥地利经济商会、北约平台和波罗的海国防学院展开一系列踩点活动。 CHECKPOINTSOFTWARE|2023年安全报告11 第2章 从WannaCry到Conti,勒索软件的演进如何改变威胁格局:数说这五年 https://www.checkpoint.com/ransomware-hub/ 六月 乌克兰CERT发布警告称,俄罗斯黑客(可能是政府支持的APT组织Sandworm)利用MicrosoftWindows支持诊断工具中的Follina超危漏洞(CVE-2022-30190)发起攻击。此次行动利用带有DOCX附件的恶意电子邮件,目标指向乌克兰媒体和新闻机构。 有记录以来规模最大的HTTPSDDoS攻击近日被有效化解,攻击峰值达到每秒2600万次请求。此次攻击瞄准的是Cloudflare客户,来源于云服务提供商而非住宅互联网服务提供商,并且利用了遭入侵的虚拟机。 Microsoft已发布旨在解决已在野利用的超危Follina漏洞(编号CVE-2022-30190)的修复程序,建议用户执行紧急更新和修补。 据报道,俄罗斯情报机构增加了针对42个不同国家/地区支持乌克兰的政府和非政府组织的攻击,目的是获取来自北约国家机构的敏感信息。 CHECKPOINTSOFTWARE|2023年安全报告12 第2章 面对Follina漏洞,CheckPoint是最早向客户提供保护措施的供应商之一 CheckPoint客户在发现Follina的当天(5月30日)即受到保护。利用HarmonyEndpoint和威胁仿真行为保护 https://blog.checkpoint.com/2022/05/31/follina-zero-day-vulnerability-in-microsoft-office-check-point-customers-rem