Rapid7 2025年第一季度事件响应发现

初始攻击向量

Rapid7的2025年第一季度事件响应数据突出了几个关键的初始攻击向量趋势，分享了Rapid7事件响应团队调查事件的显著案例，并按行业深入分析了威胁数据，以及事件日志中常见的恶意软件片段。

没有部署MFA解决方案是否仍然是威胁行为者最感兴趣的漏洞？无论您是在商业服务还是媒体和通信行业工作，是否会看到相同的恶意软件组合？一个搜索引擎查询可能造成多大的问题？

最后一个问题的答案是"非常大"。至于其他问题…

有效账户/无MFA：位居榜首

在Rapid7 IR团队调查的事件中，有效账户凭证（没有MFA保护组织免受滥用）仍然是组织面临的最大障碍，占本季度所有事件的56%。

暴露的RDP服务作为IAV占事件的6%，但攻击者在44%的事件中更普遍地滥用这些服务。这告诉我们第三方仍然是组织安全卫生的重要考虑因素。

漏洞利用：盔甲上的裂缝

Rapid7的IR服务团队观察到2025年第一季度有几个漏洞被用作或可能被用作IAV。例如，CVE-2024-55591是制造业事件的IAV，这是一个基于websocket的竞争条件认证绕过漏洞，影响Fortinet的FortiOS和FortiProxy旗舰设备。成功利用后能够以super_admin用户身份执行任意CLI控制台命令。

一项调查显示，攻击者使用上述漏洞利用易受攻击的防火墙设备，并创建具有合法外观名称的本地和管理员账户。这允许访问防火墙仪表板，其中可能包含有关设备用户、配置和网络流量的有用信息。

暴露的RMM工具：通往勒索软件的路径

如上所述，6%的IAV事件是暴露的远程监控和管理工具的结果。RMM用于远程管理和访问设备，通常用于获得初始访问权限，或构成导致勒索软件的攻击链的一部分。

一项调查显示，某个版本的SimpleHelp存在多个关键权限提升和远程代码执行漏洞，包括CVE-2024-57726、CVE-2024-57727和CVE-2024-57728。

SEO投毒：快速搜索导致灾难

SEO投毒可能不是您的优先事项列表中的重要项目，但它仍然有可能对网络造成严重破坏。这里的问题不是常规搜索结果中的恶意条目，而是典型搜索上方的付费赞助广告。

这项调查揭示了一个关于两个搜索结果的故事，其中一个导致真正用于监控虚拟环境工具的下载，另一个导致恶意软件。当面临两个选择时，瞬间决定选择了后者，随后是一系列逐步升级的入侵、数据外泄，最终是勒索软件。

攻击者行为观察

无处不在的BunnyLoader：追踪顶级恶意软件威胁

BunnyLoader是2025年第一季度Rapid7观察到的最多产的恶意软件即服务加载程序，具有剪贴板和凭据窃取、键盘记录以及部署额外恶意软件等丰富功能。

BunnyLoader不仅在上述5个行业中处于领先地位，在13个行业中的12个都处于领先地位，所有观察到的事件中有40%涉及这种经常更新的恶意软件。

目标组织：制造业磁铁

在Rapid7 IR团队观察到的事件中，制造业组织在超过24%的事件中成为目标，是2025年第一季度最受针对的行业。

制造业是国家行为体的攻击向量，因为它是全球贸易的重要组成部分。这也是一个拥有许多传统和较旧操作技术的领域。

结论

2025年第一季度更像是成功策略的改进，而不是全新的创新。我们的第一季度勒索软件分析显示，威胁行为者对运转良好的机器进行了精简调整，我们在这里发现许多相同的"进化而非革命"模式。

这种进展特别适用于通过无MFA保护的有效账户进行初始访问的情况。我们预计，在企业继续为熟练（和非熟练）攻击者留下容易进入的途径时，这种情况的流行度不会下降。

此外，从看似无害的在线搜索中产生的严重泄露风险强调了组织重新检查基本安全最佳实践的必要性，同时部署强大的检测和响应能力。