Mandiant：40%入侵攻擊優先盜取數據

2023-06-052023-06-05 benny

Google Cloud旗下網絡防禦及威脅情報供應商Mandiant公布了其M-Trends 2023報告，調查結果顯示，全球網絡攻擊停留時間中位數 (即從網絡入侵開始到被識別之間的時間) 持續下降，與2021年的21天相比，2022年下降至16天。而勒索軟件攻擊事件的百分比亦有所下降。

營運環境多變勒索軟件攻擊微降

Google Cloud Mandiant Intelligence副總裁Sandra Joyce指出：「雖然沒有數據明確顯示勒索軟件攻擊輕微下降的主原，但營運環境的多種變化可能是導至數字調下的原因。這些因素包括但並不限於：政府與執法部門針對勒索軟件服務及個人的攻擊行動，使攻擊者需要重組或建立新的合作夥伴；烏克蘭紛爭使攻擊者重新調整其初期入侵行動，以及巨集指令可能自動被封鎖的網絡環境。同時，企業對勒索軟件事件的偵測、預防或恢復措施亦日益完善及有效。」

就威脅偵測方式作出比較時，Mandiant觀察到因過去或現存的外部實體安全措施而得到警示的企業數目整體上升。以美洲為總部的企業，55%的網絡安全事件透過外部第三方識別 (去年的數字為40%)，為美洲在過去六年取得外部識別的最高百分比。同樣地，根據2022年的調查，歐洲，中東及非洲 (EMEA) 的企業，有74%的入侵透過外部第三方識別，較2021年高62%。

Mandiant專家指出，在2021年至2022年期間作出的全球調查中，勒索軟件攻擊事件的百分比有所下降。與2021年的23%相比，2022年勒索軟件攻擊事件佔調查事件的18%，是Mandiant自2020年就勒索軟件攻擊作出調查以來錄得的最低百分比。

網絡間諜活動及惡意軟件家族數量全球性增加

Mandiant調查了當俄羅斯於2022年2月24日入侵烏克蘭前後所發生的網絡間諜活動及資料操作。值得留意的是，Mandiant在烏克蘭被入侵前發現了UNC2589及APT28的間諜活動，並觀察到烏克蘭於2022年首四月所發生的網絡攻擊事件，比過去八年的總破壞力更強大。

Mandiant於2022年開始追蹤588個全新惡意軟件家族，揭示了攻擊者持續擴展入侵方式。在最新追蹤的惡意軟件家族中，首五位為後門程式 (34%)、下載程式 (14%)、植入程式 (11%)、勒索軟件 (7%) 及啟動程式 (launchers) (5%)。多年來，這些惡意軟件進佔排行榜高位，而後門程式在新型惡意軟件家族類型中仍佔三份一。

後門程式BEACON佔入侵事件15%

與往年一樣，多功能後門程式BEACON是Mandiant 在調查中最常見的惡意軟件家族。於2022年，BEACON在Mandiant調查的所有入侵事件中佔15%，迄今仍是跨地區調查中最多的惡意軟件，並被各種Mandiant所追蹤的威脅組織使用，如俄羅斯和伊朗等國家支持的攻擊者、商業威脅組織以及逾700個不明組織。根據報告，BEACON的普及性，與其普遍程度、容易與惡意軟件配合和簡易使用的特質有關。

Google Cloud Mandiant Consulting首席技術總監Charles Carmakal指出：「Mandiant調查了數宗全新、越趨精明及高效的入侵事件。攻擊者利用地下網絡罪案市場的數據，透過語音電話及短信進行社會詐騙工程，甚至試圖賄賂員工以獲得企業網絡訪問權。這些惡意組織對企業構成重大威脅，令即使具備强大網絡保安程式的企業亦難以抵禦。隨著企業持續建立他們的保安團隊、基礎設施和防禦能力，防範並抵禦這些威脅攻擊已成爲企業設計營運策略的一部分。」

其他M-Trends 2023報告的摘要：

入侵方式：網絡漏洞連續第三年以32%成為攻擊者最常使用的入侵方式。雖然較2021年的37%低，網絡漏洞仍然是攻擊者最主要的入侵方式。與2021年的12%相比，佔22%的網絡釣魚 (Phishing) 亦再次成爲第二常見的入侵方式。
受影響行業：與2021年的9%相較，與政府有關的機構佔調查事件的25%，反映了Mandiant就針對烏克蘭作出的網絡攻擊活動事件所作出的支援。2022年首四個最常被攻擊者入侵的行業與2021年的結果一致，分別為商業及專業服務、金融業、科技，以及醫療保健行業。這些行業皆輕易成爲懷有經濟及間諜行動動機的攻擊者的目標。
身份盜竊：Mandiant調查發現，2022年身份信息盜竊及買賣事件比往年有所增加。調查經常發現，重複使用密碼或在公司裝置上使用個人賬戶，是導致大部分身份資料於企業外部環境被盜取並藉此入侵企業的原因。
數據竊取：Mandiant專家指出2022年發生的入侵事件中，40%以數據盜竊為優先。與往年相比，Mandiant防禦者觀察到威脅攻擊者在2022年更頻繁地試圖竊取或進行數據盜竊活動。
北韓使用加密貨幣：除了一貫的情報收集任務和網絡攻擊外，朝鮮企業在2022年對盜用加密貨幣產生更大的興趣。這類營運利潤豐厚，并可能會在2023年期間持續增加。

數碼轉型為攻擊者提供新機會

Google Cloud Mandiant港澳區總經理徐伊芬表示：「網絡攻擊通常會對企業造成重大影響，其構成的影響範圍并不局限於IT系統。由於威脅形勢不斷演變，因此隨時了解與企業行業及地區相關的資訊内容有助於在網絡攻擊事件發生之前、期間和之後作出決策。許多香港企業正迅速進行數碼轉型，雖然數碼轉型有利於企業及其客戶的業務發展，但同時也爲攻擊者透過漏洞獲取敏感資料提供了新機會。企業在進行數碼轉型時必須監察其攻擊面以了解未知的資產風險，並採取主動的風險管理行動。」

Mandiant-Google Cloud北亞區總經理徐海國認為，即使有更好的備份方案，也可能會還原潛伏的威脅攻擊程式。因此最重要是找出隱藏威脅，堵塞漏洞。