CrowdStrike：高级威胁行为者带来的网络安全新纪元已至

网络安全巨头CrowdStrike在其《2025威胁狩猎报告》中指出，CISO及其团队正进入一个网络威胁的"新纪元"，这一时代的特征是高级威胁行为者以"商业级效率"运作。

“这些对手以战略精确性操作，以最大化影响并快速实现目标，“CrowdStrike在报告中表示。“创新是智取和破坏进取型对手的关键基石。”

新兴对抗策略中最主要的是快速采用AI技术。“更高级的对手使用生成式AI来增加复杂度、提高操作速度并增强能力，“CrowdStrike高级副总裁Adam Meyers在新闻发布会上表示。

跨域威胁：Blockade Spider和Operator Panda

跨域对手在不同领域进行分散行动，包括身份系统、端点和云，以更好地避免检测或使其行动更难被识别为协调努力的一部分。

CrowdStrike提供了两个威胁行为者的案例研究：被称为Blockade Spider的"电子犯罪"对手和中国国家威胁组织Operator Panda，两者都依赖跨域攻击。

2025年初，CrowdStrike观察到Blockade Spider通过非托管VPN访问网络，执行了多项操作，包括尝试从Veeam备份和复制配置数据库中转储凭证并删除备份文件。

关于Operator Panda（更广为人知的名字是Salt Typhoon），CrowdStrike发现该组织在2024年中期通过利用运行Cisco IOS和Cisco IOS XE的Cisco交换机，针对美国电信实体和咨询专业服务公司。

面向身份的对手利用人类弱点，通过社会工程和基于AI的工具获取受损凭证来获得网络访问权限。

语音钓鱼是一种基于身份的攻击工具，去年使用量增加了443%。“到2025年底，这一数字有望翻倍，“Meyers表示。

过去12个月中，CrowdStrike观察到与中国有关联的云入侵增加了40%。“云是理想目标，“Meyers说。“它庞大，拥有大量数据。”

CrowdStrike在报告中强调了Genesis Panda的案例。自2024年3月以来，该组织能够使用云服务支持工具部署、命令和控制（C2）通信以及数据外泄。

另一个中国组织Murky Panda通过合作伙伴组织与其云租户之间的信任关系瞄准云环境，特别是在北美。

端点威胁行为者在延长的时间线上操作，以隐秘和持久性等待维持访问、收集数据并为未来行动做准备，中国关联对手精通这种方法。

一个这样的对手是中国关联组织Glacial Panda，CrowdStrike称其在整个电信行业运作，可能进行针对性入侵以收集情报。

2024年CrowdStrike观察到的漏洞中有52%与初始访问相关，利用互联网暴露应用程序是普遍方法，凸显了漏洞管理在管理零日利用中的重要性。

基于CrowdStrike报告中的趋势，Meyers为防御者提供了几个关键要点：

“了解你的对手很重要，“Meyers说。“了解这些威胁行为者是谁、他们如何操作、他们在做什么以及他们如何变化来配置你的防御。”