2025年网络安全威胁趋势深度分析

qife122
5 阅读11分钟

A 2025 Threat Trends Analysis

随着2025年渐近尾声并进入假期季节,是时候回顾并反思网络安全行业发生的一切。该领域的成员深知,虽然每一年都不尽相同,但有些趋势往往会年复一年地伴随我们,因此记住所发生之事至关重要,以便我们为未来几个月做好准备。

据此,现已归属我们的某机构编制了一份报告,指出2025年威胁行为者如何利用复杂的社会工程学技术和利用关键漏洞来攻击美国的各个组织。

我们识别出了一系列贯穿全年的协调性攻击活动和趋势,涉及诸如Luna Moth和Akira等威胁行为者组织。这些组织利用了网络钓鱼、假冒身份以及利用远程访问工具和漏洞的组合。攻击活动通常始于令人信服的社会工程学骗局,例如假冒IT支持电话或外部发件人访问内部沟通渠道,最终导致部署远程访问工具、恶意软件,有时甚至是勒索软件。

今年观察到的被最频繁利用的漏洞涉及网络设备和VPN网关,攻击者持续试图绕过身份验证并获取持久访问权限。

在2025年上半年,我们观察到攻击者使用越来越隐蔽的战术,例如假冒身份以绕过传统安全措施。一些威胁组织雇佣外部人员进入目标组织担任IT职位,使攻击者能够隐藏起来。这些不断演变的策略常常利用人为错误并结合多种技术。

我们的"事件准备与响应"团队观察到,在2025年有三个主要的活动和趋势扰乱了传统的威胁格局:

  1. Luna Moth威胁行为者组织 使用回拨式网络钓鱼活动,主要针对律师事务所。这些活动通常始于令人信服的社会工程学骗局,例如假冒IT支持电话或外部发件人访问内部沟通渠道,最终导致部署远程访问工具、恶意软件,有时甚至是勒索软件。
  2. Akira威胁行为者组织 利用了SonicWall漏洞CVE-2024-40766(一个不当访问控制缺陷)以及CVE-2024-53704(该漏洞可劫持活跃的VPN会话)。Akira还通过SEO投毒策略,利用Bumblebee恶意软件作为初始访问工具。Akira组织创建了一个模仿合法IT工具的相似域名。受害者被重定向到恶意网站,并被引导安装木马化的安装程序。一旦执行,安装程序就会部署Bumblebee恶意软件。
  3. 威胁行为者在复杂的社会工程学活动中利用了微软Quick Assist。这些攻击通过来自被入侵外部账户的语音呼叫或Microsoft Teams消息发起,提示使用Quick Assist,最终导致受害者系统被入侵。

随着攻击者继续操纵人类行为,组织必须优先考虑行为检测而非传统的启发式方法,以领先于新兴威胁。

2025年的趋势是什么?

趋势一:Luna Moth

我们将Luna Moth组织与多起数据盗窃和勒索事件联系起来,特别是针对律师事务所和金融机构等专业服务组织。他们的方法始于一封冒充公司内部IT或安全团队成员的钓鱼邮件。威胁行为者引导受害者拨打一个虚假的帮助台号码。一旦攻击者与受害者建立联系,他们就会发送使用Zoho Assist或Atera等远程访问工具的邀请。在受害者授予对其设备的访问权限后,攻击者会转向通过WinSCP或重命名版本的Rclone进行数据窃取。

一旦窃取完成,Luna Moth组织会通过打电话或发邮件骚扰受害组织,迫使他们支付赎金。

我们对Luna Moth事件的调查展示了一致的模式:网络钓鱼和IT身份假冒导致远程访问、数据盗窃和最终的勒索。随着这一攻击链的确立,我们现在转向下一个新兴趋势,该趋势围绕着一个活跃威胁组织的活动。

趋势二:Akira

在2025年,我们观察到Akira附属组织的活跃度是第二活跃威胁行为者的三倍。今年识别出Akira活动的两个不同趋势。

SonicWall漏洞:我们的调查发现,Akira威胁行为者组织及其附属组织利用SonicWall防火墙中的两个漏洞获取对组织环境的初始访问权限。

  • CVE-2024-40766 发布于2024年8月,涉及SonicWall防火墙设备中由于第六代到第七代防火墙迁移导致的访问控制不当缺陷。本地用户密码在迁移过程中被转移且之后未被重置。
  • CVE-2024-53704 发布于2025年1月。该漏洞利用影响运行版本7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件的身份验证绕过。

设备漏洞为攻击者提供了对目标环境的初始访问,为后续活动建立了可靠的立足点。

Bumblebee加载器:我们观察到使用欺骗性域名诱骗受害者安装恶意版本的RVTools。这些网站设计用于出现在搜索引擎结果中,引诱毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行,Bumblebee恶意软件就会被部署。这些入侵迅速从单个受感染主机升级,横向移动到整个环境,窃取凭据,安装持久性远程访问工具,并使用SFTP客户端窃取数据。攻击最终以部署Akira勒索软件加密关键系统而告终。

总之,Akira利用欺骗性域名作为恶意软件的入口点,迅速升级为恶意软件部署、横向移动、数据盗窃和最终的勒索软件执行。

趋势三:Quick Assist/Teams呼叫

我们观察到利用微软Quick Assist进行社会工程学活动导致勒索软件引爆的恶意活动有所增加。这些攻击通常始于来自外部账户的语音呼叫或Microsoft Teams消息。在某些情况下,威胁行为者会预先进行邮件轰炸,然后再进行Teams呼叫,从而在接收者中制造出一种紧迫感和担忧。这些互动旨在说服受害者他们正在接受来自内部IT或安全团队的技术支持。

在通话过程中,威胁行为者说服受害者启动Quick Assist并分享对其设备的访问权限。由于Quick Assist以登录用户的上下文运行,分享访问权限使攻击者获得了与用户相同的权限。

我们观察到后续的命令序列,共同展示了在入侵后进行活动的系统性方法。初始阶段涉及广泛的情报收集,使用了诸如tasklistsysteminfowhoaminet sessionnslookupipconfig /all等命令。威胁行为者利用包括nltest /dclistnltest /domain_trusts /all_trusts在内的命令来枚举域控制器和信任关系,这为攻击者提供了对组织网络的宝贵洞察。

我们还观察到使用了合法的Windows SSH可执行文件ssh.exe并带有反向隧道标志,这在受感染的主机和外部服务器之间创建了一个隐蔽通道,并绕过了典型的入站防火墙限制。使用curl.exe的下载命令被用来检索可执行文件,包括远程管理工具。

我们观察到多种持久化机制,包括计划任务操作、注册表修改和WMI事件订阅的组合。攻击者使用ScreenConnect和AnyDesk等远程访问工具来维持持久性。文件操作通过批处理脚本自动化,这些脚本创建目录、合并和提取文件,并删除证据以逃避检测。威胁行为者还被观察到映射驱动器、窃取数据并通过最初的受害主机进行枚举。至少在一种情况下,威胁行为者还使用PSExec部署了Black Basta勒索软件。

让我们看看被最频繁利用的漏洞

根据我们2025年上半年的观察,被最频繁利用的漏洞涉及网络中间设备,特别是防火墙和SSL VPN等安全远程访问网关。

  • CVE-2024-40766:在SonicWall设备中发现了一个关键的不当访问控制漏洞,影响第5代、第6代和较早的第7代防火墙。此缺陷允许未经授权访问资源,并可能导致防火墙崩溃。虽然该漏洞于2024年9月首次披露,但某中心在2025年7月左右观察到对启用SSLVPN的第七代防火墙的主动利用。此漏洞允许攻击者未经授权访问网络、绕过MFA并部署勒索软件,最常见的是Akira。
  • CVE-2024-53704:首次发布于2025年1月,此漏洞是一个身份验证绕过,影响版本为7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件。此缺陷允许攻击者绕过MFA、访问私人信息并在无需身份验证的情况下中断VPN会话。
  • CVE-2024-55591:此零日漏洞影响FortiOS和FortiProxy。该缺陷允许攻击者通过特制的Node.js websocket请求远程绕过身份验证并获得网络设备的管理员权限。
  • CVE-2025-0282:对Ivanti Connect Secure VPN设备中零日漏洞的主动利用,可能归因于UNC5221。此缺陷允许通过基于堆栈的缓冲区溢出进行未经身份验证的远程代码执行。我们注意到,利用此漏洞的攻击者会部署PHASEJAM和SPAWN等恶意软件来安装Web Shell、在环境中持久存在、逃避检测、窃取凭据、窃取敏感数据并删除证据。
  • CVE-2025-31324:对SAP NetWeaver Visual Composer中关键漏洞的主动利用首次于2025年4月报告。此漏洞允许攻击者在Windows和Linux服务器上上传和执行任意文件。此漏洞与Python反向Shell、Web Shell文件以及下载/执行额外恶意软件(加密货币矿工和远程访问工具)相关。攻击者使用Base64编码混淆命令,并通过上传恶意JSP文件保持持久性。

恶意软件

下图展示了2025年观察到的最频繁出现的十大恶意软件家族,数据来源于我们的事件响应活动。百分比表示每个恶意软件家族在所有案例中的占比。

威胁行为者

此图展示了2025年至今观察到的十大最活跃威胁行为者。数据来源于我们的事件响应调查,反映了每个威胁行为者被识别的案例百分比。

观察到的技术

我们在上述多个趋势中观察到以下技术。

2025年跨活动观察到的技术:

  • T1021.004 SSH
  • T1046 网络服务发现
  • T1059.001 PowerShell
  • T1071.001 Web协议
  • T1105 输入工具传输
  • T1136.002 域账户
  • T1219 远程访问软件
  • T1560.001 通过工具归档
  • SF1562.00c 禁用/修改EDR/AV

工具

我们观察到"就地取材"技术和社会工程学的使用增加,这提供了更简单的攻击途径。攻击者滥用环境中已有的合法工具,从而降低了被传统端点检测与响应工具检测到的机会。

此图展示了2025年至今观察到的前20个工具。数据来源于我们的事件响应调查,反映了每个工具被识别的案例百分比。

按类型划分的最常观察到的工具:

  • 文件传输/同步
    • Rclone
    • WinSCP
    • Filezilla
  • 远程访问/支持
    • Quick Assist
    • AnyDesk
    • Zoho Assist
    • ConnectWise
  • 网络扫描/管理
    • SoftPerfect Network Scanner
    • Advanced IP Scanner
    • Nmap
  • 命令行/脚本/实用程序
    • PsExec
    • OpenSSH
    • curl
    • cmd
    • Net
    • quser
    • Nltest
    • netstat
  • 压缩/归档
    • 7-Zip
    • WinRAR
  • 安全/渗透测试
    • Mimikatz
    • Impacket
  • 软件/生产力
    • Microsoft Office Outlook Desktop
    • Outlook Desktop for Mac
    • eM Client
    • PerfectData Software

展望未来

近几个月来,复杂的社会工程学活动有所增加,导致攻击者采用越来越隐蔽的战术。虽然存在诸如网络钓鱼和漏洞利用等传统威胁,但攻击者越来越依赖假冒身份来实现其目标。

这些攻击成功地利用了人为错误并绕过了技术防御,这表明未来的趋势将是攻击者继续专注于操纵人类行为以实现其目标。因此,有必要更多地关注行为检测而非启发式方法,以保持警惕并领先于威胁行为者。

avatar
文章
阅读
粉丝