盘点：2022 年地缘政治背景下的五大直接威胁

随着 2022 年接近尾声，从测试数量的角度审视这个动荡的一年中最令人担忧的威胁，提供了一个基于威胁的视角，即是什么触发了网络安全团队检查他们对特定威胁的脆弱程度。这些是在2022 年 1 月 1 日至 12 月 1 日期间使用Cymulate 安全态势管理平台验证弹性时经过最多测试的威胁。

与 Cobalt Strike 和 Sliver 框架（都是为红队商业化生产和设计，但被威胁行为者盗用和滥用）相关，这种新兴的攻击框架有可能被恶意行为者广泛使用。

Manjusaka 在 Rust 中携带 Windows 和 Linux 植入物，并免费提供现成的 C2 服务器，并有可能创建自定义植入物。

Powerless Backdoor 是今年最流行的与伊朗相关的威胁，旨在避免 PowerShell 检测。它的功能包括下载浏览器信息窃取器和键盘记录器、加密和解密数据、执行任意命令以及激活终止进程。

APT41已经被标记为在 2021 年非常活跃，在 2022 年没有放缓的迹象，对 APT41 活动的调查发现了针对美国州政府的蓄意攻击活动的证据。

APT 41 使用侦察工具，例如 Acunetix、Nmap、SQLmap、OneForAll、subdomain3、subDomainsBrute 和 Sublist3r。它还会发起大量攻击类型，例如网络钓鱼、水坑攻击和供应链攻击，并利用各种漏洞初步危害受害者。最近，有人看到他们使用公开可用的工具 SQLmap 作为初始攻击向量，在网站上执行 SQL 注入。

今年 11 月，一个新的子组 Earth Longhi 加入了与 APT 41 相关的绰号列表（ARIUM、Winnti、LEAD、WICKED SPIDER、WICKED PANDA、Blackfly、Suckfly、Winnti Umbrella、Double Dragon）。Earth Longhi 被发现针对台湾、中国、泰国、马来西亚、印度尼西亚、巴基斯坦和乌克兰的多个部门。

被称为 LolZarus 的网络钓鱼活动试图引诱美国国防部门的求职者。Qualys Threat Research 最初确定了该活动，并将其归因于朝鲜威胁演员 Lazarus（又名 Dark Seoul、Labyrinth Chollima、Stardust Chollima、BlueNoroff 和 APT 38）。该组织隶属于朝鲜侦察总局，具有政治和经济动机，以 2016 年对 Sondy 的高调攻击和 2017 年的 WannaCry 勒索软件攻击而闻名。

LolZarus 网络钓鱼活动依赖于至少两个恶意文档，Lockheed_Martin_JobOpportunities.docx和salary_Lockheed_Martin_job_opportunities_confidential.doc，它们滥用带有别名的宏来重命名所使用的 API，并依赖 ActiveX Frame1_Layout 来自动执行攻击。该宏随后加载了 WMVCORE.DLL Windows Media dll 文件，以帮助传递旨在劫持控制并与命令和控制服务器连接的第二阶段 shellcode 有效载荷。

由于与俄罗斯的冲突，乌克兰处于高度戒备状态，通过挫败针对高压变电站的网络物理攻击企图证明了其有效性。该攻击被称为 Industroyer2，以纪念 2016 年的 Industroyer 网络攻击，显然是针对乌克兰的发电站，但收效甚微，导致基辅部分地区的电力中断约一小时。

Industroyer2 定制目标级别包括针对特定变电站的唯一参数的静态指定可执行文件集。