网络安全公司CrowdStrike报告称，通过跟踪全球威胁行为者的活动，他们发现了33个新的威胁行为者，且针对云架构的攻击增长了95%，这是一年来检测到的最大增幅。与2021年相比，涉及“云意识（cloud-conscious）”威胁行为者的案件几乎增加了2倍。

CrowdStrike在其发布的《2023年全球威胁报告》中表示：

“这种增长表明，电子犯罪和民族国家行为体正采用知识和谍报技术来越来越多地利用云环境，而且这种趋势只会日趋明显。”

云安全“乌云密布”

CrowdStrike的报告除了指出了大量新的威胁行为者之外，还发现了基于身份的威胁、云漏洞利用、民族国家间谍活动以及将之前修补过的漏洞重新武武化的攻击的激增。

此外，CrowdStrike高级情报副总裁Adam Meyers表示，云漏洞利用增加了三倍，威胁行为者正专注于渗透容器和云操作的其他组件。

Meyers解释称，

“这种增长趋势非常明显。去年‘云意识’恶意行为者增加了288%，企业向云原生平台的结构性转变，使云环境对黑客更具吸引力。15年前，Mac电脑比其他任何电脑都更安全，原因并不是因为Mac电脑本身就安全，而是因为它们在市场上所占的份额很小，所以攻击者没有优先考虑它们。如今的云也是如此，它就在那里，但尚未完全吸引攻击者的目光。如今，云安全是开箱即用的，但组织需要持续监控它，并对其进行更改和定制，这将有助于改变组织的云安全态势。”

CrowdStrike表示，云意识强的参与者正通过使用有效账户、重置密码或放置旨在持久保存在系统中的web shell来获得初始云访问权限，然后试图通过凭据和云提供商的实例元数据服务获得访问权限。

在大多数情况下，威胁行为者采取了恶意行动，如取消帐户访问、终止服务、破坏数据和删除资源。报告发现：

• 80%的网络攻击使用基于身份的技术来破坏合法凭据并试图逃避检测；
• 访问代理服务的广告同比增长了112%，这是电子犯罪威胁领域的一部分，涉及向威胁行为者出售访问权限。

数据提取变得更加容易

CrowdStrike的网络安全研究追踪到，去年恶意软件的使用持续减少，2022年，无恶意软件（malware-free）活动占所有检测的71%，高于2021年的62%。这在一定程度上与对手频繁滥用有效凭据以促进在受害环境中的访问和持久性有关。

云原生观测公司Chronosphere的首席执行官Martin Mao表示，端点实时监控的普及使得恶意软件的插入不再那么有利可图。现在，恶意软件不仅更容易监控，而且还有标准化的解决方案通过提供网络基础设施来缓解这类攻击。

近日，拥有2500万用户的密码管理器LastPass遭到攻击，这在很大程度上说明了防范数据窃贼入侵的难度，无论是通过社交工程还是通常不会被恶意软件攻击的漏洞进入。据悉，这是同一名黑客对LastPass发起的第二次攻击，事件起因是攻击者针对了一名员工家用电脑上媒体软件的一个漏洞，从而泄露了大量未加密的客户数据。

网络犯罪分子从勒索软件转向数据窃取勒索

据CrowdStrike估计，去年进行数据盗窃和敲诈勒索的攻击者数量增加了20%。

据报道，一名被CrowdStrike称为“Slippery Spider”的攻击者在2022年2月和3月发起了高调的攻击，包括针对微软、英伟达、Okta、三星和其他公司的数据盗窃和勒索活动。该组织利用公开的Telegram渠道泄露数据，包括受害者的源代码、员工证书和个人信息。

CrowdStrike称，另一个名为“Scattered Spider”的组织将社会工程工作重点放在客户关系管理和业务流程外包上，使用钓鱼页面来获取Okta、vpn或边缘设备的认证凭据。Scattered Spider会让目标共享多因素身份验证代码，或者通过通知疲劳使它们不堪重负。

Meyers认为，

“数据敲诈比部署勒索软件要容易得多。它不像恶意软件那样有被发现的风险，因为从定义上看，恶意软件是恶意代码，大多数公司都有专门的工具来检测它。而攻击者现在正在卸下重担，转而采取更安全、轻松地勒索方式。”

零信任是无恶意软件（malware-free）混乱的关键

威胁行为者从勒索软件转向数据渗漏，反映了黑客活动分子、国家行为者和网络犯罪分子之间的平衡转变：获取数据比发起恶意软件攻击更容易，因为许多公司现在在其端点和其他基础设施有利位置都部署有强大的反恶意软件防御。而数据勒索与锁定系统一样，都具备勒索赎金的强大动机。

Meyers介绍称，

“进行数据勒索的犯罪分子确实在改变勒索软件背后的逻辑。数据对组织来说是最关键的东西，所以有必要以不同的方式看待这个世界，人们开始将信息武器化，例如，威胁要泄露数据来破坏一个组织或国家。”

零信任是对抗这种趋势的有效方法，因为最小化访问颠覆了基础设施安全的“信任然后验证”模型，使得攻击者的横向移动变得更加困难，因为在最弱的接入点——经过验证的员工也可以被欺骗——存在更多的检查点。

黑客活动分子、民族国家行为者在全球范围内增长

CrowdStrike将叙利亚、土耳其和哥伦比亚加入到其现有的恶意东道国（malefactor host countries）名单中。数据还显示，去年交互式入侵总体上增长了50%，这表明，人类对手越来越希望逃避反病毒保护和机器防御。

在其调查结果中，Log4Shell、ProxyNotShell和Follina（只是微软28个零日补丁和1200个补丁中的两个）等遗留漏洞被广泛利用。

值得注意的调查结果还包括：

• 威胁行为者的速度越来越快；目前，电子犯罪爆发的平均时间为84分钟，低于2021年的98分钟。CrowdStrike的Falcon团队将爆发时间测量为对手横向移动——从一个最初受损的主机转移到受害者环境中的另一个主机——所花费的时间。
• CrowdStrike指出，引导受害者下载恶意软件和SIM卡交换以规避多因素身份验证的盗版行为有所增加。
• CrowdStrike发现，与俄罗斯有关联的参与者使用情报收集策略，甚至伪造勒索软件的数量激增，这表明克里姆林宫打算扩大目标领域和地区，在这些领域和地区，破坏性行动被认为具有政治风险。

新恶意行为者涌现

CrowdStrike表示，通过跟踪全球威胁行为者的活动，他们发现了33个新的威胁行为者。其中包括来自越南的Buffalo、韩国的Crane、伊朗的Kitten、巴基斯坦的Leopard、黑客主义组织Jackal，以及来自土耳其、印度、格鲁吉亚和朝鲜的其他组织。

CrowdStrike还报告称，在俄乌冲突爆发的第一年，一个名为“Gossamer Bear”的恶意行为者进行了证书网络钓鱼操作，目标是政府研究实验室、军事供应商、物流公司和非政府组织。

多技能是云防御者和工程师的关键

攻击者正在使用各种TTP强行进入云环境并横向移动。事实上，CrowdStrike发现有效的云帐户和面向公众的应用程序在初始云访问中的使用都有所增加。该公司还报告称，与云基础设施发现和使用有效的高特权帐户相比，更多的参与者旨在发现云帐户。

从事云基础设施和应用程序工作的工程师需要越来越多的技能，不仅要了解安全，还要了解如何为企业或企业管理、计划、架构和监控云系统。

原文链接：

https://www.techrepublic.com/article/crowdstrike-attackers-cloud-exploits-data-theft/