2025年威胁趋势深度剖析:网络攻击技术演进与防御挑战

本文基于LevelBlue的安全调查,深度分析了2025年主要的网络安全威胁趋势,包括Luna Moth和Akira攻击组织的技术手段、高频被利用的漏洞、流行恶意软件及攻击工具,揭示了社会工程学与漏洞利用结合的复杂攻击链。

A 2025 Threat Trends Analysis

随着2025年接近尾声并进入假期季,现在是回顾和反思网络安全行业发生事件的好时机。该社区的成员都明白,虽然每年情况不尽相同,但有些趋势往往年复一年地伴随着我们,因此记住所发生的事至关重要,这能让我们为未来几个月将要发生的事情做好准备。

基于此,现已并入LevelBlue的Stroz Friedberg公司编制了一份报告,指出2025年威胁行为者如何利用复杂的社会工程学技术并利用关键漏洞来针对美国的组织。 我们在全年识别了一系列涉及威胁行为者团体(如Luna Moth和Akira)的协调性活动和趋势。 这些团体利用了网络钓鱼、身份冒充以及远程访问工具和漏洞利用的组合。活动通常始于令人信服的社会工程学骗局,例如伪造的IT支持电话或外部发件人访问内部沟通渠道,最终导致远程访问工具、恶意软件,有时甚至是勒索软件的部署。 今年观察到的最常被利用的漏洞涉及网络设备和VPN网关,攻击者持续试图绕过身份验证并获取持久性访问权限。

在今年上半年,我们观察到攻击者使用日益隐蔽的策略,例如身份冒充,以绕过传统安全措施。一些威胁组织雇佣外部人员在其目标组织内担任IT职位,使得作恶者能够保持隐蔽。这些不断演变的策略常常利用人为错误并结合多种技术。 LevelBlue的事件准备与响应团队观察到2025年扰乱了传统威胁格局的三个主要活动和趋势:

  1. Luna Moth威胁行为者组织利用回拨钓鱼活动,主要针对律师事务所。这些活动通常始于令人信服的社会工程学骗局,例如伪造的IT支持电话或外部发件人访问内部沟通渠道,导致远程访问工具、恶意软件,有时是勒索软件的部署。
  2. Akira威胁行为者组织利用了SonicWall漏洞CVE-2024-40766(一个不当访问控制缺陷)以及CVE-2024-53704(该漏洞允许劫持活跃的VPN会话)。Akira还通过SEO投毒策略利用Bumblebee恶意软件作为初始访问工具。Akira组织创建了一个模仿合法IT工具的相似域名。受害者被重定向到恶意网站,并被引导安装经过木马化的安装程序。一旦执行,该安装程序便会部署Bumblebee恶意软件。
  3. 威胁行为者在复杂的社会工程学活动中利用了Microsoft Quick Assist。这些攻击通过来自已遭入侵的外部账户的语音电话或Microsoft Teams消息发起,诱使受害者使用Quick Assist,最终导致受害者系统被入侵。

随着攻击者继续操纵人类行为,组织必须优先考虑行为检测而非传统启发式方法,以保持领先于新出现的威胁。

2025年的趋势是什么?

趋势一:Luna Moth

LevelBlue将Luna Moth组织与多起数据盗窃和勒索事件联系起来,特别是针对律师事务所和金融机构等专业服务组织。 他们的方法始于一封冒充公司内部IT或安全团队成员的钓鱼电子邮件。威胁行为者引导受害者拨打一个伪造的帮助台号码。一旦攻击者与受害者建立联系,他们会发送使用Zoho Assist或Atera等远程访问工具的邀请。在受害者授予对其设备的访问权限后,攻击者便转向通过WinSCP或重命名版本的Rclone进行数据窃取。 一旦窃取完成,Luna Moth组织会通过电话或电子邮件骚扰受害组织,向他们施压要求付款。 LevelBlue对Luna Moth事件的调查展示了一种一致的模式:网络钓鱼和IT身份冒充导致远程访问、数据盗窃和最终的勒索。随着这一进程的确立,我们现在转向下一个新兴趋势,其核心是与活跃威胁组织相关的活动。

图1:Luna Moth数据盗窃与勒索攻击链。

趋势二:Akira

2025年,LevelBlue观察到Akira附属组织的出现频率是次常见威胁行为者的三倍。今年识别出Akira活动的两个不同趋势。 SonicWall漏洞 LevelBlue的调查发现,Akira威胁行为者组织及其附属组织利用SonicWall防火墙中的两个漏洞来获取对组织环境的初始访问权限。 CVE-2024-40766于2024年8月发布,涉及SonicWall防火墙设备中因第六代防火墙迁移至第七代而产生的不当访问控制缺陷。本地用户密码在迁移过程中被转移且随后未被重置。 图2. SonicWall漏洞。 CVE-2024-53704于2025年1月发布。此漏洞利用了影响运行版本7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件的身份验证绕过漏洞。 设备漏洞提供了对目标环境的初始访问,为后续活动建立了可靠的立足点。 Bumblebee加载器 LevelBlue观察到利用仿冒域名诱骗受害者安装恶意版本的RVTools。这些网站旨在出现在搜索引擎结果中,引诱毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行,Bumblebee恶意软件便被部署。这些入侵从单个受感染主机迅速升级,横向移动穿过环境,窃取凭据,安装持久性远程访问工具,并使用SFTP客户端窃取数据。 攻击以部署Akira勒索软件、加密关键系统而告终。 总之,Akira利用仿冒域名作为恶意软件的入口点,迅速升级为恶意软件部署、横向移动、数据盗窃和最终的勒索软件执行。在概述了攻击进程之后,下一节探讨与社会工程学活动和数据盗窃相关的更广泛趋势。

图3. Bumblebee加载攻击链。

趋势三:Quick Assist/Teams电话

LevelBlue观察到利用Microsoft Quick Assist进行社会工程学活动、最终导致勒索软件引爆的恶意活动有所增加。 这些攻击通常始于来自外部账户的语音电话或Microsoft Teams消息。在某些情况下,威胁行为者会先通过邮件轰炸来为Teams电话做铺垫,在接收者中制造一种高度紧迫和担忧的氛围。这些互动旨在让受害者相信他们正在接受来自内部IT或安全团队的技术支持。 在通话过程中,威胁行为者说服受害者启动Quick Assist并共享对其设备的访问权限。由于Quick Assist以登录用户的上下文运行,共享访问权限使攻击者获得了与用户相同的权限。 LevelBlue观察到的后续命令序列共同展示了入侵后活动的一种有条不紊的方法。初始阶段涉及广泛的信息收集,使用了诸如tasklistsysteminfowhoaminet sessionnslookupipconfig /all等命令。威胁行为者利用包括nltest /dclistnltest /domain_trusts /all_trusts在内的命令来枚举域控制器和信任关系,这为攻击者提供了关于组织网络的宝贵洞察。 LevelBlue还观察到合法Windows SSH可执行文件ssh.exe与反向隧道标志的配合使用,这创建了从被入侵主机到外部服务器的隐蔽通道,并绕过了典型的入站防火墙限制。使用curl.exe的下载命令被用来检索可执行文件,包括远程管理工具。 LevelBlue观察到多种持久化机制,包括计划任务操作、注册表修改和WMI事件订阅的组合。攻击者使用ScreenConnect和AnyDesk等远程访问工具来维持持久性。文件操作通过批处理脚本自动化,这些脚本创建目录、合并和提取文件,并删除证据以逃避检测。威胁行为者还被观察到映射驱动器、窃取数据以及通过初始受害主机进行枚举。在至少一个实例中,威胁行为者还使用PSExec部署了Black Basta勒索软件。

图4. Teams快速协助攻击链。

看看最常被利用的漏洞

根据LevelBlue在2025年上半年的观察,最常被利用的漏洞涉及网络中介设备,特别是防火墙,以及SSL VPN等安全远程访问网关。 CVE-2024-40766 在SonicWall设备中发现了一个严重的不当访问控制漏洞,影响第5代、第6代和较旧的第7代防火墙。此漏洞允许未经授权的资源访问,也可能导致防火墙崩溃。虽然此漏洞于2024年9月首次披露,但Huntress在2025年7月左右观察到对启用了SSLVPN的第七代防火墙的主动利用。此漏洞允许攻击者未经授权访问网络,绕过MFA,并最常部署Akira勒索软件。 CVE-2024-53704 于2025年1月首次发布,此漏洞是影响SonicWall防火墙版本7.1.x、7.1.2-7019和8.0.0-8035的SSL VPN组件的身份验证绕过漏洞。此缺陷允许攻击者绕过MFA,访问私人信息,并在无需身份验证的情况下中断VPN会话。 CVE-2024-55591 此零日漏洞影响FortiOS和FortiProxy。该缺陷允许攻击者通过精心构造的Node.js WebSocket请求远程绕过身份验证并获得网络设备的管理员权限。 CVE-2025-0282 对Ivanti Connect Secure VPN设备中零日漏洞的主动利用,很可能归因于UNC5221。此漏洞允许通过基于栈的缓冲区溢出进行未经身份验证的远程代码执行。LevelBlue指出,利用此漏洞的攻击者会部署PHASEJAM和SPAWN等恶意软件,以安装Web Shell,在环境中持久化,逃避检测,窃取凭据,窃取敏感数据并删除证据。 CVE-2025-31324 对SAP NetWeaver Visual Composer中一个关键漏洞的主动利用首次于2025年4月报告。此漏洞允许攻击者在Windows和Linux服务器上上传和执行任意文件。此漏洞与Python反向Shell、Web Shell文件以及下载/执行额外的恶意软件(加密货币挖矿程序和远程访问工具)有关。攻击者使用Base64编码来混淆命令,并通过上传恶意的JSP文件来维持持久性。

此可视化展示了2025年全年被利用最多的漏洞,数据来源于LevelBlue进行的数字取证与事件响应调查。百分比代表每个漏洞在案例中被识别的比例。

图5. 2025年被利用最多的五大漏洞。

恶意软件

下图说明了2025年最常观察到的十大恶意软件家族,数据来源于LevelBlue进行的数字取证与事件响应调查。百分比表示每个恶意软件家族在所有案例中的占比。

图6. 2025年主要恶意软件。

威胁行为者

此图代表了2025年迄今为止观察到的最活跃的十大威胁行为者。数据来源于LevelBlue进行的数字取证与事件响应调查,反映了每个威胁行为者在案例中被识别的百分比。

图7. 2025年主要威胁行为者。

观察到的技术

LevelBlue在上述多个趋势中观察到了以下技术。

2025年跨活动观察到的技术

  • T1021.004 SSH
  • T1046 网络服务发现
  • T1059.001 PowerShell
  • T1071.001 Web协议
  • T1105 工具传入传输
  • T1136.002 域账户
  • T1219 远程访问软件
  • T1560.001 通过工具归档
  • SF1562.00c 禁用/修改EDR/AV

工具

LevelBlue观察到“就地取材”技术和社会工程学的使用有所增加,这提供了更简单的攻击向量。攻击者滥用了环境中已有的合法工具,从而降低了被传统端点检测与响应工具检测到的机会。 此图代表了2025年迄今为止观察到的前20大工具。数据来源于LevelBlue进行的数字取证与事件响应调查,反映了每个工具在案例中被识别的百分比。

图8. 2025年主要工具。

按类型划分的最常观察到的工具: 文件传输/同步:

  • Rclone
  • WinSCP
  • Filezilla

远程访问/支持

  • Quick Assist
  • AnyDesk
  • Zoho Assist
  • ConnectWise

网络扫描/管理

  • SoftPerfect Network Scanner
  • Advanced IP Scanner
  • Nmap

命令行/脚本编写/实用程序

  • PsExec
  • OpenSSH
  • curl
  • cmD
  • Net
  • quser
  • Nltest
  • netstat

压缩/归档

  • 7-Zip
  • WinRAR

安全/渗透测试

  • Mimikatz
  • Impacket

软件/生产力

  • Microsoft Office Outlook Desktop
  • Outlook Desktop for Mac
  • eM Client
  • PerfectData Software

展望未来

近几个月,复杂社会工程学活动的兴起,导致攻击者采用了日益隐蔽的策略。虽然存在网络钓鱼和漏洞利用等传统威胁,但攻击者越来越依赖身份冒充来实现其目标。 这些攻击成功地利用了人为错误并绕过了技术防御,这表明未来的趋势将是攻击者继续专注于操纵人类行为以实现其目标。将更多重点放在有针对性的行为检测而非启发式方法上,对于保持警惕并领先于威胁行为者是必要的。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次