威胁攻击者18分钟内突破企业基础设施

攻击者正在加速对企业网络的渗透：在过去三个月（2025年6月1日至8月31日），从初始入侵到横向移动的平均时间（称为“突破时间”）降至仅18分钟。

在一个引人注目的事件中，“Akira”勒索软件操作者在入侵SonicWall VPN后仅用6分钟就完成了横向移动。这种快速节奏凸显了组织急需弥补检测漏洞并自动化响应流程。

主要攻击技术分析

驱动式攻击仍是最主要的入侵途径，占事件的34%，这得益于活跃的“Oyster”（又名Broomstick）攻击活动。Oyster操作者利用SEO投毒和恶意广告，将受害者引诱到被木马化的IT工具下载站点，如“puttysystems[.]com”。这些站点通过恶意DLL（例如twain_96.dll）提供后门，然后使用受信任的Windows二进制文件（如Rundll32.exe）执行，以实现隐蔽性和持久性。

虽然驱动式攻击仍是主要的初始访问策略，但基于USB的攻击正在激增，与“Gamarue”恶意软件相关的事件呈上升趋势。

横向移动技术演变

**SMB滥用激增至29%**用于横向移动 本期Oyster占真实阳性事件的45%，较上一季度的2.17%大幅上升。该活动的自动化SEO投毒说明了AI和自动化如何使威胁行为者能够以最少的手动工作扩展和完善攻击。

虽然RDP仍然是顶级的横向移动技术（在超过50%的案例中使用），但基于SMB的勒索软件操作从10%增加到29%，几乎增长了两倍。诸如Akira之类的勒索软件家族利用被泄露的凭据访问网络文件共享并执行远程加密。通过使用SMB，攻击者完全绕过了端点防御，悄悄加密文件服务器上的数据。在一个Akira事件中，操作者在初始登录后19分钟内记录了远程加密。这些策略揭示了以端点为中心的安全性的关键漏洞：绕过端点的攻击需要网络级保护和文件共享活动的持续监控。

新兴威胁载体

未经授权的IP-KVM设备激增328% 本报告期内，未经授权的键盘、视频和鼠标 over IP（IP-KVM）设备激增了328%。这些硬件工具通常部署在高安全性或气隙环境中，创建了规避传统EDR解决方案的带外访问路径。国家行为者（56.7%的案例）利用像TinyPilot这样的IP-KVM渗透端点可见性有限的网络。即使是意外的内部人员，当他们使用IP-KVM绕过公司控制时也会引入风险。八月份的一个案例中，一个JetKVM设备在工作站上安装了两次，使外部攻击者能够重新启动服务器、安装后门和外泄数据——所有这些直到硬件级监控启动才被发现。

自动化和AI的影响

自动化和AI正在重塑威胁格局。GLOBAL勒索软件现在为分支机构提供AI驱动的谈判聊天机器人和移动管理面板，而Oyster的SEO投毒完全自动化，以大规模生成令人信服的虚假页面。本报告期内，数据泄露站点上列出的勒索软件受害者总体下降了4.52%。Akira、“SafePay”和“Play”的增长放缓，受害者数量分别下降了9.42%、23.14%和35.54%。

这些创新缩短了反应时间并提高了精确度，迫使防御者采用互补的自动化进行检测和遏制。使用ReliaQuest GreyMatter自动遏制的组织平均遏制时间（MTTC）从11.99小时降至4.49分钟。

被忽视的漏洞

尽管有新颖的AI驱动策略，但许多成功的漏洞利用的是未修补或配置错误的系统，而不是零日漏洞。Akira利用已知的SonicWall VPN漏洞（CVE-2024-40766）实现了6分钟的突破。Qilin针对Fortinet FortiGate漏洞（CVE-2024-55591和CVE-2024-21762）在本期内入侵了26家公用事业公司。由于Lumma在五月份被取缔，信息窃取程序活动总体下降，但随着攻击者通过破解软件和“ClickFix”网络钓鱼诱饵分发它，Lumma重新反弹。新的窃取程序——Acreed、Vidar和Stealc——正在多样化凭据窃取方法，强调了强大的SaaS和云控制的必要性。

防护建议

为了超越当今移动最快的对手，组织必须：

• 强化USB策略，禁用自动运行，强制执行设备允许列表，并部署端点监控以阻止Gamarue风格的感染。
• 在RDP和SMB会话上强制执行MFA和网络级监控，以检测异常访问和远程加密活动。
• 部署实时硬件监控解决方案（例如Armis）和网络访问控制，以检测未经授权的IP-KVM设备。
• 将软件下载限制在公司控制的门户，并监控IT工具的使用，以阻止使用被盗证书签名的木马化二进制文件。
• 自动化检测和响应工作流，将遏制时间缩短至分钟，而不是小时。

在威胁行为者可以在20分钟内从入侵转向全网威胁的时代，快速检测、自动化响应和无懈可击的安全卫生是保持领先的唯一途径。