高级持续性威胁在2024年将如何发展？(2)

尽管采取了安全措施，从攻击者的角度来看，在内核级运行代码变得更加困难，但依然可行。卡巴斯基观察到仍有许多APT攻击者和网络罪犯在目标系统的内核模式下执行代码。最近的攻击包括Netfilter rootkit，FiveSys rootkit和 POORTRY恶意软件。
卡巴斯基认为，以下三个因素将赋予攻击者在Windows操作系统中运行内核级代码的能力：
扩展验证证书和盗窃的代码签名证书将越来越多地在地下市场传播/出售。
越来越多的人滥用开发者账户，通过微软的代码签名服务（如Windows硬件兼容程序）获得恶意代码签名。
网络攻击更多地指向BYOVD（自身存在问题的驱动程序）。

APT活动成为地缘政治冲突的新常态

卡巴斯基表示，“很难想象没有黑客参与的未来冲突。”网络战可以通过多种方式实现，运行分布式拒绝服务攻击（DDoS）已经变得越来越普遍，虚晃的黑客声明也会导致网络安全研究人员和事件处理人员不得不进行不必要的调查，深度伪造（Deepfakes）和虚假信息工具也被频频搬上政治博弈的角逐场。

供应链攻击即服务愈加流行

中小型企业通常缺乏抵御APT攻击的强大安全防御，并被黑客用作访问其真正目标的数据和基础设施的通道。
具有代表性的例子是身份管理公司Okta遭遇的数据泄露事件，其漏洞在2022年和2023让全球超过18，000名客户面临威胁。
卡巴斯基认为，供应链攻击趋势可能会以多种方式演变。首先，开源软件可能会被用来针对特定的企业开发人员。此外，地下市场会引入新的产品，如提供对各种软件供应商或IT服务供应商的完全访问包，以服务的形式提供真正的供应链攻击。

更多组织将提供雇佣黑客的业务

卡巴斯基推测未来将会看到更多的组织像DeathStalker一样运作。这个黑客团伙主要攻击律师事务所和金融机构，提供黑客服务并充当信息经纪人，而不是像传统的APT团伙那样运作。
一些APT组织可能会提供“雇佣黑客”服务，扩大其活动范围来售出此类服务。他们可以借此赚取收入以维持其网络间谍活动。
卡巴斯基表示已经观察到APT攻击者针对开发者的进攻，例如，在游戏领域因精确攻击全球私人公司而臭名昭著的Winnti组织，他们的主要目标是窃取在线游戏项目的源代码和合法软件供应商的数字证书。虽然在这是推测，但如果有市场需求，此类攻击者应该会毫不犹豫地拓展服务。