点击下方图片获取下载地址
不断演变的威胁形势是我们经常在网络安全行业的网络研讨会和演讲中听到的一个术语。
这个包罗万象的术语旨在涵盖一连串的威胁团体及其不断发展的策略,但在许多方面,它未能真正认识到他们能力的增长。
对于 APT 团体来说尤其如此,多年来,他们表现出了显著的提升,能够不被发现,并执行那些策划他们所开展的更广泛活动的人的指令。
Rapid7 Labs 的最新研究报告探讨了朝鲜 Kimsuky 威胁组织的策略。
报告的发布旨在让人们了解这个技术娴熟、勤奋好学的威胁组织不断演变的能力。
更重要的是,为支持安全团队实施防御策略提供必要的见解。
这项研究的主要见解包括:
定位能力
本文详细介绍了 Kimsuky 的传递方式,主要集中在电子邮件上,但当然,其中一个关键要素是确定目标对象以及最有效的诱饵可能是什么。
从历史上看,该威胁组织在后者方面尤其成功,他们花费了大量的时间和金钱来识别应该重点关注的“个人”。
人们很容易耸耸肩,说安全意识是防止所有此类初始入侵媒介的灵丹妙药。
现实是,只要有正确的手段,我们所有人都会受到影响。
该威胁组织能够瞄准并危害全球个人,这表明其引发受害者反应的能力令人震惊。
不断发展的技术能力
正如今年早些时候详细介绍的那样,我们看到技术创新源于逃避受害者环境中的安全控制的需求。
在这种情况下,我们详细介绍了从 LNK 构建器概念验证中衍生的 .LNK 文件有效载荷的使用。
然而,这只是冰山一角,还有许多其他有效载荷使用替代方法传递。
这非常有信心地表明,持续改进工具是必要的。
就像该小组中致力于强大 OSINT 的组成部分(如上所述)一样,该小组中很可能有一部分致力于技术创新,以此作为逃避检测的手段。
例如,这使得该组织能够开发出可以随意使用的恶意软件库;但更重要的是,它可以随着防御技术的改进而得到构建和发展。
始终处于移动状态
依赖声誉作为识别恶意基础设施的工具,但这种依赖正在迅速变得无效。
说得客气一点正如论文中所展示的那样,我们看到 Kimsuky 在全球范围内建立了基础设施,但会根据需要迅速利用新域名。
这只是该组织如何理解和发展在识别新目标时快速行动的能力的另一个例子。
随后,该出版物提供了可采取的防御措施的战术性、可操作性见解。
例如,本文中包含了覆盖范围的完整详细信息,以及威胁行为者采取的持久性措施,这是追溯威胁搜寻期间妥协的关键指标。
本文中详述的所有 TTP 也纳入了 Rapid7 产品组合的检测范围。