Rapid7 2025年第一季度事件响应发现

Chris Boyd
2025年6月4日 | 最后更新于2025年8月1日 | 8分钟阅读

初始访问向量

下面，我们重点介绍了Rapid7 IR团队调查案例中IAV的关键驱动因素。虽然您会注意到几个向量（如暴露的远程桌面协议（RDP）服务和SEO投毒）分布相当均匀，但其中一个在危害组织方面明显领先：没有启用多因素身份验证（MFA）的有效/活动账户的被盗凭据。

有效账户凭据——没有MFA保护组织免受滥用——仍然是Rapid7 IR团队调查的组织中最大的障碍，占本季度所有事件的56%。暴露的RDP服务作为IAV占事件的6%，但攻击者在44%的事件中更普遍地滥用它们。这告诉我们，第三方仍然是组织安全卫生的重要考虑因素。

有效账户/无MFA：首要威胁

Rapid7经常呼吁对有效账户和MFA实施更严格的控制。根据关键发现，2025年第一季度56%的事件涉及有效账户/无MFA作为初始访问向量。事实上，自2024年第三季度以来变化很小，最近两个季度几乎没有差异。

漏洞利用：防御裂缝

Rapid7的IR服务团队观察到2025年第一季度有几个漏洞被用作或可能被用作IAV。例如，CVE-2024-55591是制造业事件的IAV，这是一个基于WebSocket的竞态条件认证绕过漏洞，影响Fortinet的FortiOS和FortiProxy旗舰设备。成功利用后，攻击者能够以super_admin用户身份执行任意CLI控制台命令。CVE-2024-55591公告于2025年初发布，并在野外广泛利用。

一项调查显示，攻击者使用上述漏洞利用易受攻击的防火墙设备，并创建具有合法名称（如“Admin”、“I.T.”、“Support”）的本地和管理员账户。这允许访问防火墙仪表板，其中可能包含有关设备用户、配置和网络流量的有用信息。创建了允许利用远程VPN服务的策略，类似事件中观察到的近一个月的驻留时间可能表明初始访问代理（IAB）活动，或可能意图进行数据外泄和勒索软件。

暴露的RMM工具：勒索软件路径

如上所述，6%的IAV事件是暴露的远程监控和管理（RMM）工具的结果。RMM用于远程管理和访问设备，通常用于获得初始访问权限，或构成导致勒索软件的攻击链的一部分。

一项调查显示，一个版本的SimpleHelp易受多个关键权限提升和远程代码执行漏洞影响，包括CVE-2024-57726、CVE-2024-57727和CVE-2024-57728。这些CVE针对SimpleHelp远程访问解决方案。利用CVE-2024-57727允许未经认证的攻击者泄露SimpleHelp“技术员”密码哈希。如果破解，攻击者可以以远程访问技术员身份登录。最后，攻击者可以利用CVE-2024-57726和CVE-2024-57728分别提升为SimpleHelp管理员并触发远程代码执行。CVE-2024-57727于2025年2月添加到CISA KEV。

易受攻击的RMM解决方案用于获得初始访问权限，威胁行为者使用PowerShell创建Windows Defender排除项，最终目标是在目标系统上部署INC勒索软件。

SEO投毒：搜索导致的灾难

SEO投毒，曾经是各地搜索引擎的祸害，可能不是您的优先事项。然而，它仍然有可能对网络造成严重破坏。这里的问题不是常规搜索结果中的恶意条目，而是典型搜索上方的付费赞助广告。注意有多少赞助结果位于与此事件相关的真实网站之上：

多个赞助搜索位于官方（和所需）搜索结果之上。这项调查揭示了一个关于两个搜索结果的故事，一个导致真正下载用于监控虚拟环境的工具，另一个导致恶意软件。当面临两个选项时，一瞬间的决定选择了后者，随后是一系列升级的入侵、数据外泄和最终勒索软件。

一个模仿网站提供伪装成真正软件的恶意软件。在初始入侵的同一天，攻击者使用受损凭据通过RDP横向移动，安装了多个RMM工具，如AnyDesk和SplashTop。威胁行为者可能搜索不安全存储的密码文件并针对密码管理器。他们还尝试修改和/或禁用各种安全工具以逃避检测，并创建本地账户以实现持久性并避免域范围密码重置。

未经授权的WinSCP版本用于从多个系统外泄几百GB的敏感公司数据，完成此任务后仅剩几个任务。第一个：尝试通过篡改卷影复制服务（VSS）、清除事件日志、删除文件以及尝试针对主要备份进行数据破坏来抑制系统恢复。第二个：部署Qilin勒索软件和勒索笔记，指示受害者通过TOR链接沟通，否则数据将发布到他们的泄漏站点。

Qilin在我们2025年第一季度顶级勒索软件组的泄漏帖子频率中排名第7，从1月到3月累计111个帖子。以在医疗保健、制造业和金融领域进行双重勒索攻击而闻名，Qilin（尽管其名称，但已知不是中文使用者，而是俄语使用者）最近也被朝鲜威胁行为者Moonstone Sleet部署。

攻击者行为观察

无处不在的BunnyLoader：追踪顶级恶意软件威胁

BunnyLoader，即恶意软件即服务（MaaS）加载器，拥有丰富的能力，包括剪贴板和凭据盗窃、键盘记录以及部署额外恶意软件的能力，是Rapid7在2025年第一季度看到的最多产的存在之一。在许多情况下，它还与许多其他反复出现的有效载荷和战术链式连接。

真正强调这一点：BunnyLoader是我们关注的几乎每个行业中最常观察到的有效载荷。无论我们谈论制造业、医疗保健、商业服务还是金融，它通常远远领先于其他。以下是我们对第一季度5个最目标行业的发现：

BunnyLoader不仅在上述5个行业中处于领先地位，而且在13个行业中的12个总体领先，40%的所有事件涉及这种经常更新的恶意软件。这40%的总数中，略超过一半涉及虚假CAPTCHA（通常用于受害者执行恶意代码），恶意/受损网站在BunnyLoader案例中占四分之一。恶意文档，可能陷阱恶意软件或为潜在钓鱼攻击铺平道路，仅占所有BunnyLoader出现记录的9%。首次于2023年以250美元的终身使用成本出售，其持续开发和广泛功能使其成为预算有限的恶意行为者的有吸引力的选择。

目标组织：制造业磁铁

制造业组织在Rapid7 IR团队观察的事件中占24%以上，根据Rapid7的勒索软件分析和IR团队观察，是第一季度最目标的行业。下图比较了Rapid7的行业范围数据（包括各种有效载荷和战术）与勒索软件泄漏帖子特定数据。在这两种情况下，制造业都远远领先于其他行业；这反映了其作为过去几年勒索软件组最受欢迎目标之一的地位。

制造业是国家攻击向量的目标，因为它是全球贸易的重要组成部分。它也是一个拥有许多遗留和较旧操作技术（OT）的领域。将未修补的遗留系统与复杂的供应链结合，您将面临国家行为者认为有吸引力的目标风险。当考虑到许多制造组织与政府有关键合同时，攻击如果不迅速解决可能导致严重中断。

结论

2025年第一季度类似于成功战术的精细化，而不是全新的创新。我们的第一季度勒索软件分析显示，威胁行为者对一台运转良好的机器进行了流线型调整，我们在这里发现许多相同的“进化，而非革命”模式。

这种进展特别适用于通过无MFA保护的有效账户进行初始访问的情况。我们预计，在企业继续向熟练（和不熟练）攻击者开放和提供容易进入途径的同时，其流行度不会下降。

此外，看似无害的在线搜索导致严重泄露的风险强调了组织重新检查基本安全最佳实践以及部署强大检测和响应能力的必要性。解决这些关键关注领域的企业将更好地防御不应不可避免的数据外泄和恶意软件部署。

2025年第一季度事件响应洞察：初始访问向量与恶意软件威胁分析

Rapid7发布的2025年第一季度事件响应报告揭示了初始访问向量的关键趋势，包括无MFA的有效账户利用、漏洞攻击及SEO投毒等威胁。报告还分析了BunnyLoader恶意软件的行业分布及制造业的高风险态势。