Zeljka Zorz 报道： 同时被两个可能互不关联的网络攻击组织入侵，对任何组织来说都是一场噩梦，但这也可能带来意想不到的一线希望：其中更“喧闹”的入侵可能会将注意力引向一个更隐蔽、否则可能潜伏数月而不被察觉的威胁。

双重打击

在一份最新发布的报告中，Positive Technologies 的威胁研究人员详细介绍了两起俄罗斯公司安全事件的调查结果。他们将这些攻击归因于：

• QuietCrabs：一个据信源自亚洲、专注于网络间谍活动的威胁行为者。
• Thor：一个一直以俄罗斯公司为目标，使用LockBit和Babuk勒索软件进行攻击的威胁组织。

这两个组织都利用了 Microsoft Sharepoint Server 和 Ivanti 解决方案 中的公开已知漏洞来实现初始访问，具体漏洞包括：

• CVE-2025-53770 (Microsoft Sharepoint Server)
• CVE-2024-21887、CVE-2025-4427、CVE-2025-4428、CVE-2023-38035 (Ivanti)

入侵链解析

调查揭示，这两个组织利用相同的漏洞链（通过 Microsoft SharePoint 和 Ivanti 产品）获得了对受害者网络初始访问权限。

• 勒索软件活动：Thor 组织在获得访问权限后，迅速部署了勒索软件，这种“大张旗鼓”的活动立即引起了安全团队的注意。
• 网络间谍活动：与此同时，QuietCrabs 组织则采取了截然不同的策略。他们利用初始立足点进行了横向移动，在目标网络中秘密建立了持久的后门访问，旨在悄无声息地长期窃取敏感信息。

在 Positive Technologies 的报告中指出，正是勒索软件攻击引发的“警报噪音”，促使安全团队进行了深入调查，从而意外发现了已经潜伏了一段时间、更为隐蔽的 QuietCrabs 网络间谍活动。这种“喧闹”的入侵，反而成为了暴露长期隐秘威胁的催化剂。

结论与启示

这个案例凸显了现代网络威胁的复杂性，组织可能同时面临不同类型攻击者的风险。它也说明了：

1. 及时修补公开已知的常见漏洞至关重要，因为它们是攻击者最常用的初始入侵载体。
2. 安全监控不仅需要关注像勒索软件这样明显的“噪音”事件，还应具备检测异常、隐蔽的横向移动和持久化活动的能力，以发现潜在的长期渗透。

阅读更多信息，请访问 Help Net Security。