洞悉2025年网络安全威胁趋势:社会工程、漏洞利用与新兴攻击手法

本文基于LevelBlue的调查,深入分析了2025年主要的网络安全威胁趋势,包括Luna Moth和Akira等团伙利用的社会工程攻击、关键漏洞(如SonicWall、Fortinet)的利用情况、常见恶意软件与攻击工具,并强调了行为检测的重要性。

A 2025 Threat Trends Analysis

2025年即将结束,进入假期季节,现在是回顾和反思网络安全行业所发生事件的好时机。该领域的成员都知道,虽然每年情况不尽相同,但有些趋势往往会年复一年地持续,因此记住发生过的事情对于我们为未来几个月做好准备至关重要。

在此背景下,现已并入LevelBlue的Stroz Friedberg编写了一份报告,指出2025年威胁行为者如何利用复杂的社会工程技术和关键漏洞来针对美国各地的组织。 我们在全年识别出一系列涉及Luna Moth和Akira等威胁行为者团体的协调活动和趋势。 这些团体利用了网络钓鱼、冒充以及远程访问工具和漏洞利用的组合手段。活动通常始于一个令人信服的社会工程骗局,例如虚假的IT支持电话或外部发件人访问内部通信渠道,从而导致远程访问工具、恶意软件以及有时是勒索软件的部署。 今年观察到的最常被利用的漏洞涉及网络设备和VPN网关,攻击者持续寻求绕过身份验证并获得持久访问权限。

在今年上半年,我们观察到攻击者使用日益隐秘的策略,例如冒充以绕过传统安全措施。一些威胁团体雇佣外部人员进入目标组织担任IT职位,使作恶者能够保持隐藏状态。这些不断演变的策略常常利用人为错误并组合多种技术。

LevelBlue的事件准备和响应团队观察到在2025年扰乱了传统威胁格局的三项主要活动和趋势:

  1. Luna Moth威胁行为者团体 使用了回拨网络钓鱼活动,主要针对律师事务所。这些活动通常始于一个令人信服的社会工程骗局,例如虚假的IT支持电话或外部发件人访问内部通信渠道,从而导致远程访问工具、恶意软件以及有时是勒索软件的部署。
  2. Akira威胁行为者团体 利用了SonicWall漏洞CVE-2024-40766(一个不正确的访问控制缺陷)以及CVE-2024-53704(该漏洞可劫持活跃的VPN会话)。Akira还通过SEO投毒策略利用Bumblebee恶意软件作为初始访问工具。Akira团体创建了一个模仿合法IT工具的仿冒域。受害者被重定向到恶意网站,并被引导安装被木马化的安装程序。一旦执行,该安装程序就会部署Bumblebee恶意软件。
  3. 威胁行为者利用Microsoft Quick Assist进行复杂的社会工程活动。这些攻击通过来自已入侵外部账户的语音电话或Microsoft Teams消息发起,促使使用Quick Assist,从而导致受害者系统被入侵。

随着攻击者继续操纵人类行为,组织必须优先考虑行为检测而非传统的启发式方法,以保持领先于新出现的威胁。

2025年的趋势是什么?

趋势1:Luna Moth

LevelBlue将Luna Moth团体与多起数据盗窃和勒索事件联系起来,特别是针对律师事务所和金融机构等专业服务组织。

他们的方法始于一封冒充公司内部IT或安全团队成员的钓鱼邮件。威胁行为者指示受害者拨打一个虚假的帮助台号码。一旦攻击者与受害者建立了联系,他们会发送使用Zoho Assist或Atera等远程访问工具的邀请。在受害者授予对其设备的访问权限后,攻击者转向通过WinSCP或重命名版本的Rclone进行数据窃取。

一旦窃取完成,Luna Moth团体通过电话或电子邮件骚扰受害组织,迫使他们支付赎金。

LevelBlue对Luna Moth事件的调查表明了一种一致的模式,即网络钓鱼和IT冒充导致远程访问、数据盗窃和最终的勒索。随着这一进展的确立,我们现在转向下一个新出现的趋势,围绕与一个活跃威胁团体相关的活动。

图1:Luna Moth数据盗窃与勒索攻击链。

趋势2:Akira

在2025年,LevelBlue观察到Akira关联组织的活动频率是次活跃威胁行为者的三倍。今年识别出Akira活动的两个不同趋势。

SonicWall漏洞 LevelBlue的调查发现,Akira威胁行为者团体及其关联组织利用SonicWall防火墙中的两个漏洞来获得对组织环境的初始访问权限。

  • CVE-2024-40766 于2024年8月发布,涉及SonicWall防火墙设备中因第六代向第七代防火墙迁移导致的不正确访问控制缺陷。本地用户密码在迁移过程中被转移且未随后重置。
  • CVE-2024-53704 于2025年1月发布。该漏洞利用了影响运行版本7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件的身份验证绕过。

设备漏洞为攻击者提供了对目标环境的初始访问权限,为进一步活动建立了可靠的立足点。

Bumblebee加载器 LevelBlue观察到使用仿冒域名诱骗受害者安装恶意版本的RVTools。这些网站旨在出现在搜索引擎结果中,引诱毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行,就会部署Bumblebee恶意软件。这些入侵迅速从单个受感染主机升级,横向移动穿过环境,收集凭证,安装持久的远程访问工具,并使用SFTP客户端窃取数据。

攻击以部署Akira勒索软件并加密关键系统而告终。

总之,Akira利用仿冒域作为恶意软件的入口点,迅速升级到恶意软件部署、横向移动、数据盗窃和最终的勒索软件执行。概述了攻击的进展后,下一节将探讨与社会工程活动和数据盗窃相关的更广泛趋势。

图3. Bumblebee加载器攻击链。

趋势3:Quick Assist/Teams呼叫

LevelBlue观察到利用Microsoft Quick Assist执行社会工程活动从而导致勒索软件引爆的恶意活动有所增加。

这些攻击通常始于来自外部账户的语音电话或Microsoft Teams消息。在某些情况下,威胁行为者会先进行邮件轰炸,然后再进行Teams呼叫,在收件人中制造出高度的紧迫感和担忧。这些互动旨在使受害者相信他们正在收到来自内部IT或安全团队的技术支持。

在通话过程中,威胁行为者说服受害者启动Quick Assist并分享对其设备的访问权限。由于Quick Assist在已登录用户的上下文中运行,共享访问权限为攻击者提供了与该用户相同的权限。

LevelBlue观察到后续的命令序列,共同展示了一种有条不紊的入侵后活动方法。初始阶段涉及广泛的信息收集,使用诸如 tasklistsysteminfowhoaminet sessionnslookupipconfig /all 等命令。威胁行为者利用包括 nltest /dclistnltest /domain_trusts /all_trusts 在内的命令来枚举域控制器和信任关系,这为攻击者提供了对组织网络的宝贵洞察。

LevelBlue还观察到使用合法的Windows SSH可执行文件 ssh.exe 和反向隧道标志,这创建了从被入侵主机到外部服务器的隐蔽通道,并绕过了典型的入站防火墙限制。使用 curl.exe 的下载命令被用来检索可执行文件,包括远程管理工具。

LevelBlue观察到多种持久化机制,包括计划任务操作、注册表修改和WMI事件订阅的组合。攻击者使用ScreenConnect和AnyDesk等远程访问工具来维持持久性。文件操作使用批处理脚本自动化,这些脚本创建目录、合并和提取文件并删除证据以逃避检测。还观察到威胁行为者映射驱动器、窃取数据并通过初始受害主机进行枚举。在至少一个实例中,威胁行为者还使用PSExec部署了Black Basta勒索软件。

图4. Teams Quick Assist攻击链。

让我们看看最常被利用的漏洞

根据LevelBlue在2025年上半年的观察,最常被利用的漏洞涉及网络中间设备,特别是防火墙和安全远程访问网关,如SSL VPN。

  1. CVE-2024-40766 在SonicWall设备中发现了一个关键的不正确访问控制漏洞,影响第5代、第6代和较早的第7代防火墙。此缺陷允许未经授权访问资源,也可能导致防火墙崩溃。虽然此漏洞于2024年9月首次披露,但Huntress在2025年7月左右观察到对启用SSLVPN的第七代防火墙的主动利用。该漏洞允许攻击者获得对网络的未经授权访问、绕过MFA并部署勒索软件(最常见的是Akira)。

  2. CVE-2024-53704 首次发布于2025年1月,该漏洞是影响SonicWall防火墙版本7.1.x、7.1.2-7019和8.0.0-8035的SSL VPN组件的身份验证绕过。此缺陷允许攻击者绕过MFA、访问私人信息并在未经身份验证的情况下中断VPN会话。

  3. CVE-2024-55591 此零日漏洞影响FortiOS和FortiProxy。该缺陷允许攻击者通过精心构造的Node.js websocket请求远程绕过身份验证并获得网络设备的管理员权限。

  4. CVE-2025-0282 对Ivanti Connect Secure VPN设备中零日漏洞的主动利用,很可能归因于UNC5221。此缺陷允许通过基于堆栈的缓冲区溢出进行未经身份验证的远程代码执行。LevelBlue指出,利用此漏洞的攻击者部署PHASEJAM和SPAWN等恶意软件,以安装Webshell、在整个环境中持久存在、逃避检测、收集凭证、窃取敏感数据并删除证据。

  5. CVE-2025-31324 对SAP NetWeaver Visual Composer中关键漏洞的主动利用于2025年4月首次报告。此漏洞利用允许攻击者在Windows和Linux服务器上上传和执行任意文件。该漏洞与Python反向shell、Webshell文件以及下载/执行其他恶意软件(加密货币挖矿程序和远程访问工具)有关。攻击者使用Base64编码来混淆命令,并通过上传恶意JSP文件来维持持久性。

该可视化展示了2025年全年被利用最多的漏洞,数据来源于LevelBlue进行的DFIR调查。百分比代表每个漏洞在所有被识别案例中的比例。

图5. 2025年被利用最多的五大漏洞。

恶意软件

下图说明了2025年最常观察到的十大恶意软件家族,数据来源于LevelBlue进行的DFIR活动。百分比表示每个恶意软件家族在所有案例中的占比。

图6. 2025年主要恶意软件。

威胁行为者

此图展示了2025年迄今为止观察到的最活跃的十大威胁行为者。数据来源于LevelBlue进行的DFIR调查,反映了每个威胁行为者在所有被识别案例中的百分比。

图7. 2025年主要威胁行为者。

观察到的技术

LevelBlue在上述多个趋势中观察到以下技术。

2025年跨活动观察到的技术

  • T1021.004 SSH
  • T1046 网络服务发现
  • T1059.001 PowerShell
  • T1071.001 Web协议
  • T1105 入口工具转移
  • T1136.002 域账户
  • T1219 远程访问软件
  • T1560.001 通过实用程序归档
  • SF1562.00c 禁用/修改EDR/AV

工具

LevelBlue观察到“离地攻击”(Living off the Land)技术和社会工程的增加,这提供了更简单的攻击向量。攻击者滥用环境中已经存在的合法工具,从而降低了被传统终端检测与响应(EDR)工具检测到的机会。

此图展示了2025年迄今为止观察到的前20种工具。数据来源于LevelBlue进行的DFIR调查,反映了每种工具在所有被识别案例中的百分比。

图8. 2025年主要工具。

按类型分类的最常观察到的工具:

  • 文件传输/同步:
    • Rclone
    • WinSCP
    • Filezilla
  • 远程访问/支持:
    • Quick Assist
    • AnyDesk
    • Zoho Assist
    • ConnectWise
  • 网络扫描/管理:
    • SoftPerfect Network Scanner
    • Advanced IP Scanner
    • Nmap
  • 命令行/脚本编写/实用程序:
    • PsExec
    • OpenSSH
    • curl
    • cmd
    • Net
    • quser
    • Nltest
    • netstat
  • 压缩/归档:
    • 7-Zip
    • WinRAR
  • 安全/渗透测试:
    • Mimikatz
    • Impacket
  • 软件/生产力:
    • Microsoft Office Outlook Desktop
    • Outlook Desktop for Mac
    • eM Client
    • PerfectData Software

展望未来

近几个月来,复杂的社会工程活动有所增加,导致攻击者采用了日益隐秘的策略。虽然传统威胁如网络钓鱼和漏洞利用仍然存在,但攻击者越来越依赖冒充来实现其目标。

这些攻击成功地利用了人为错误并绕过了技术防御,这表明未来的趋势将是攻击者继续专注于操纵人类行为以实现其目标。更加注重聚焦的行为检测而非启发式方法,对于保持警惕并领先于威胁行为者是必要的。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次