CrowdStrike:高级威胁行为者带来的网络威胁新时代已至
新闻分析
2025年8月4日 · 9分钟阅读 · 云安全、端点防护、威胁与漏洞管理
该公司的最新威胁狩猎报告强调了当今威胁组织的速度和AI复杂性,并为防御者提供了跟上步伐的策略。
CrowdStrike的研究人员在这家网络安全巨头的《2025威胁狩猎报告》中总结道,CISO及其团队正在进入一个网络威胁的“新时代”,其特点是高级威胁行为者以“商业级效率”运作。
“这些对手以战略精确性运作,以最大化影响并快速实现目标,”CrowdStrike在报告中表示。“创新是智取和破坏进取型对手的关键基石。”
新兴对抗策略中最主要的是快速采用AI技术。“更高级的对手使用生成式AI来增加复杂性、提高操作速度并增强能力,”CrowdStrike高级副总裁Adam Meyers在新闻发布会上表示。
“我们可以看到他们使用生成式AI创建更复杂的钓鱼攻击,”Meyers说。“他们将其用于商业电子邮件妥协诈骗。他们使用自然语言等技术制作更具说服力的钓鱼内容。他们还使用生成式AI创建身份。”
阻止这些更有效对手的挑战在于,他们严重依赖通过社会工程利用难以控制的人为因素(现在通常由AI辅助),并针对IT管辖范围外的非托管设备以隐藏自己不被检测。
在报告中,CrowdStrike提供了精选组织的案例研究,以说明防御者面临威胁的高级性质,并根据这些组织的基本领域或操作范围(如跨域、身份、云、端点和漏洞)对其进行分类。
跨域:Blockade Spider和Operator Panda
跨域对手在各种领域(包括身份系统、端点和云)进行分散行动,以更好地避免检测或使其行动更难被识别为协调努力的一部分。
“这正在成为常态,”Meyers说。“不再新奇或例外。当我谈论跨域攻击时,我指的是跨越安全环境中多个域的事物。”例如,“一旦他们破坏了身份,而不是针对端点,他们使用这些身份转向云,”他说。“然后他们使用它转向非托管设备。”
CrowdStrike提供了两个威胁行为者的案例研究:一个被称为Blockade Spider的“电子犯罪”对手和一个中国国家威胁组织Operator Panda,两者都依赖跨域攻击。
2025年初,CrowdStrike观察到Blockade Spider通过非托管VPN访问网络,在那里执行了多项操作,包括尝试从Veeam备份和复制配置数据库中转储凭据并删除备份文件。该组织还多次尝试干扰CrowdStrike的Falcon传感器。
尽管Blockade Spider深度嵌入目标网络,CrowdStrike能够完全监视其交互,客户最终能够关闭威胁行为者的访问。
关于Operator Panda(更广为人知的是Salt Typhoon),CrowdStrike发现,在2024年中,该组织通过利用运行Cisco IOS和Cisco IOS XE的Cisco交换机,针对一家美国电信实体和一家美国咨询与专业服务公司。为了更好地隐藏活动,Operator Panda清除了受损Cisco交换机的日志。
他们还链式利用漏洞,利用一个漏洞创建本地用户账户,然后利用该账户滥用Cisco Web UI功能中不同组件的另一个漏洞,从而能够在设备上运行任意命令。
身份威胁:Scattered Spider
面向身份的对手利用人类弱点,通过社会工程和基于AI的工具获取受损凭据,以访问网络。
基于语音的钓鱼是一种日益突出的基于身份的攻击工具,去年使用量增加了443%,据Myers称。“到2025年底,这一数字有望翻倍,”他说。“因此,基于语音的钓鱼继续是威胁行为者利用某些安全控制或绕过某些安全控制的巨大机会,通常呼叫帮助台并说,‘嘿,我是环境中的合法用户,无法访问我的账户,需要密码重置。’”
“Scattered Spider在社会工程攻击的演变中确实引领了潮流,”Meyers说。
经过一段休眠期后,该组织在2025年4月强势回归,从事冒充活动以访问众多组织。在其报告中,CrowdStrike表示,在2025年的一次勒索软件事件中,Scattered Spider从初始访问到加密在24小时内完成,远快于2024年的平均35.5小时和2023年的80小时。这已成为行业趋势,勒索软件团伙在初始入侵后不到一天内勒索受害者。
云威胁:Genesis Panda和Murky Panda
在过去12个月中,CrowdStrike观察到与中国关联组织相关的云入侵增加了40%。“云是理想目标,”Meyers说。“它巨大。拥有大量数据。通常,中国关联对手可以采用一些创新策略,例如使用ORB[操作中继盒]网络避免检测并使其活动更难被察觉。”
在其报告中,CrowdStrike强调了Genesis Panda的案例。自至少2024年3月以来,该组织能够使用云服务支持工具部署、命令和控制(C2)通信以及数据外泄,针对云服务提供商(CSP)账户以扩大访问并建立替代持久性形式。2024年10月,CrowdStrike识别出在云计算实例上运行的Genesis Panda植入物的手动键盘活动,可能使用云VM的受损凭据针对组织的云账户。
2025年3月初,CrowdStrike识别出一次入侵,其中Genesis Panda通过利用面向公众的Jenkins服务器后查询实例元数据服务(IMDS)获取目标组织云提供商账户的凭据。该组织然后添加SSH密钥并在云服务账户上创建后门访问密钥,后来重用以重新获得访问。
另一个中国组织Murky Panda通过合作伙伴组织与其云租户之间的信任关系针对云环境,特别是在北美。
2024年底,CrowdStrike响应了一起事件,其中Murky Panda可能入侵了一家北美实体的供应商,使用供应商的管理员访问权限向受害者实体的Entra ID租户添加临时后门账户。Murky Panda然后后门了几个与Active Directory管理和电子邮件相关的预先存在的Entra ID服务原则。
端点威胁:Glacial Panda
端点威胁行为者在延长的时间线上运作,以隐秘和持久性等待以维持访问、收集数据并为未来操作做准备,中国关联对手掌握了这种方法。
“这些对手展示了对其端点、威胁猎人必须启用以查看这些端点的内容以及使用的检测类型的深入了解,”Meyers说。“因此,对手已经学会了防御者如何操作以及威胁猎人如何查看,并寻求避免检测。”
其中一个这样的对手是一个称为Glacial Panda的中国关联组织,CrowdStrike称其在整个电信行业运作,可能进行针对性入侵以收集情报,主要针对电信公司的Linux系统,包括支持旧技术的遗留系统。
Glacial Panda在受损Linux主机上部署特洛伊化的OpenSSH工具,以记录用户认证事件并通过跟踪到其他主机的远程连接支持横向移动,这是一种CrowdStrike称为ShieldSlide的技术。
漏洞威胁:Graceful Spider
CrowdStrike在2024年观察到的52%的漏洞与初始访问相关,利用面向互联网的应用程序是一种普遍方法,突显了漏洞管理在管理零日利用中的重要性。
“电子犯罪行为者能够快速从国家行为者发现其中一个零日并在博客文章中记录时吸取教训,”Meyers说。“然后电子犯罪行为者可以获取该信息并快速武器化以进行更广泛的利用。”
在其报告中,CrowdStrike指向涉及Graceful Spider组织的事件以及其在2024年底如何影响Cleo数据传输产品。
2024年12月7日,CrowdStrike检测到Windows和Linux服务器上多个Cleo产品的疑似利用,跨不同部门和地理区域的Cleo实例受到入侵。基于威胁行为者的目标、速度、范围和策略,CrowdStrike确定该活动可能是一个零日文件上传漏洞利用,导致与早期漏洞相关的远程代码执行。
防御者的关键要点
基于CrowdStrike报告中的趋势,Meyers为防御者提供了一些关键要点。
实施身份威胁检测。 当涉及身份威胁时,“推出身份威胁检测响应是保护这些身份的工具之一,确保您有足够的威胁狩猎来狩猎这些身份,”他说。
MFA是必须的。 正如多年来的标准安全建议,“使用良好的多因素认证(意味着不是SMS)推出多因素认证至关重要,”Meyers补充道。
强化云。 另一个要点是“防御云,”Meyers说。“云越来越被识别为未实施适当云安全的组织的软点。”
弥补跨域可见性差距。 “这意味着工具化身份,工具化云,并通过找到这些非托管设备并向其部署EDR等工具来获得对非托管设备的可见性,”Meyers说。“如果它们不支持EDR,则将它们工具化到下一代SIEM[安全信息和事件管理]解决方案中。”
检查您的补丁优先级。 “许多组织仍然根据漏洞的关键性进行修补,”Meyers说。“我们主张……了解哪些漏洞正在被利用并立即修补它们。CISA每周发布已知被利用漏洞,更新组织他们看到的内容。因此,将补丁模型基于正在被利用的内容并首先修补那些漏洞非常重要。”
了解您的敌人。 “了解您的对手很重要,”Meyers说。“了解这些威胁行为者是谁,他们如何操作,他们在做什么,以及他们如何变化以工具化您的防御。”