Rapid7 2025年第一季度事件响应发现

初始访问向量

Rapid7事件响应（IR）团队调查案例中的初始访问向量（IAV）数据显示，虽然暴露的远程桌面协议（RDP）服务和SEO投毒等向量分布较为平均，但未启用多因素认证（MFA）的有效/活跃账户凭证被盗明显是攻击者入侵组织的首要途径。

有效账户/无MFA：高居榜首

2025年第一季度56%的事件涉及有效账户/无MFA作为初始访问向量。自2024年第三季度以来该数据几乎无变化，最近两个季度保持稳定。

漏洞利用：防御体系的裂缝

Rapid7 IR团队观察到2025年第一季度多个漏洞被用作IAV。例如CVE-2024-55591（影响Fortinet FortiOS和FortiProxy的WebSocket竞态条件认证绕过漏洞），成功利用后可超级管理员身份执行任意CLI命令。攻击者利用该漏洞创建伪装账户，访问防火墙仪表盘，并可能进行数据渗出和勒索软件攻击。

暴露的RMM工具：勒索软件通道

6%的IAV事件源于暴露的远程监控管理（RMM）工具。例如存在权限提升和远程代码执行漏洞（CVE-2024-57726/57727/57728）的SimpleHelp版本，攻击者可破解密码哈希后提升权限，最终部署INC勒索软件。

SEO投毒：搜索引发的灾难

通过付费赞助广告投放恶意链接的SEO投毒仍然具有破坏性。某案例中，用户下载伪装成合法环境监控工具的恶意软件后，攻击者通过RDP横向移动，窃取数百GB数据，并最终部署Qilin勒索软件。

攻击者行为观察

无处不在的BunnyLoader

BunnyLoader恶意软件即服务（MaaS）加载器成为2025年第一季度最活跃的威胁，在13个行业中的12个出现，涉及40%的事件。50%通过虚假验证码传播，25%通过恶意网站传播。

制造业成为重点目标

制造业在Rapid7观察到的事件中占比超24%，是勒索软件组织最常攻击的行业。遗留系统、复杂供应链和政府关键合同使其成为国家级攻击者的理想目标。

结论

2025年第一季度呈现"进化而非革命"的模式。无MFA保护的有效账户访问方式持续流行，企业需重新审视基本安全实践并部署强健的检测响应能力。