2025年第一季度网络安全事件响应趋势:MFA缺失、BunnyLoader恶意软件与制造业成攻击焦点

Rapid7 2025年第一季度事件响应数据显示,56%的安全事件因未启用多因素认证(MFA)导致。BunnyLoader恶意软件在13个行业中的12个成为主要威胁,制造业是最受攻击的行业。报告还分析了SEO投毒、RMM工具漏洞及初始访问向量演变趋势。

Rapid7 2025年第一季度事件响应发现

初始访问向量分析

Rapid7事件响应(IR)团队在2025年第一季度的调查案例中,发现了几种主要的初始访问向量(IAV)趋势。虽然暴露的远程桌面协议(RDP)服务和SEO投毒等向量分布较为均匀,但在危害组织方面,有一个向量明显领先:窃取有效/活跃账户的凭证且未启用多因素认证(MFA)

有效账户凭证/无MFA:头号威胁

  • 在Rapid7 IR团队调查的事件中,56% 的事件涉及有效账户凭证且无MFA保护
  • 自2024年第三季度以来,这一比例几乎没有变化

暴露的RDP服务:第三方风险

  • 作为IAV,暴露的RDP服务占事件的6%
  • 但攻击者在44%的事件中更普遍地滥用RDP服务
  • 这表明第三方仍然是组织安全卫生中的重要考虑因素

漏洞利用:防护裂缝

Rapid7 IR服务团队在2025年第一季度观察到几个被用作或可能被用作IAV的漏洞。

CVE-2024-55591案例

  • 影响Fortinet的FortiOS和FortiProxy旗舰设备
  • 基于WebSocket的竞争条件认证绕过漏洞
  • 成功利用后,攻击者能够以super_admin用户身份执行任意CLI控制台命令
  • 该漏洞在2025年初发布公告,并在野外被广泛利用

在一次调查中,攻击者使用此漏洞利用易受攻击的防火墙设备,创建具有合法名称的本地和管理员账户(如"Admin"、“I.T."、“Support”)。这使得他们能够访问防火墙仪表板,可能包含有关设备用户、配置和网络流量的有用信息。

暴露的RMM工具:勒索软件的路径

6%的IAV事件是暴露的远程监控和管理(RMM)工具的结果。

SimpleHelp漏洞案例

  • 涉及多个关键权限提升和远程代码执行漏洞
  • 包括CVE-2024-57726、CVE-2024-57727和CVE-2024-57728
  • CVE-2024-57727允许未经认证的攻击者泄露SimpleHelp"技术员"密码哈希
  • 如果破解成功,攻击者可以以远程访问技术员身份登录
  • 攻击者随后可利用CVE-2024-57726和CVE-2024-57728分别提升为SimpleHelp管理员并触发远程代码执行

易受攻击的RMM解决方案被用于获得初始访问权限,威胁行为者使用PowerShell创建Windows Defender排除项,最终目标是在目标系统上部署INC勒索软件。

SEO投毒:快速搜索导致灾难

SEO投毒虽然可能不是优先考虑的问题,但仍然有可能对网络造成严重破坏。问题不在于常规搜索结果中的恶意条目,而在于典型搜索上方的付费赞助广告。

调查发现

  • 一个搜索结果指向正版虚拟环境监控工具下载
  • 另一个搜索结果指向恶意软件
  • 瞬间决策选择了后者,导致了一系列入侵、数据泄露和最终的勒索软件攻击

在初始入侵的同一天,攻击者使用受损凭证通过RDP横向移动,安装了AnyDesk和SplashTop等多个RMM工具。威胁行为者可能搜索不安全存储的密码文件并针对密码管理器。他们还试图修改和/或禁用各种安全工具以逃避检测,并创建本地账户以实现持久性并避免域范围密码重置。

使用未经授权的WinSCP版本从多个系统外泄数百GB敏感公司数据。完成任务后,只剩下几个任务:试图通过篡改卷影复制服务(VSS)、清除事件日志、删除文件以及试图针对主要备份进行数据销毁来抑制系统恢复;部署Qilin勒索软件和勒索说明,指示受害者通过TOR链接沟通,否则数据将发布到他们的泄露网站。

攻击者行为观察

无处不在的BunnyLoader:追踪顶级恶意软件威胁

BunnyLoader是2025年第一季度Rapid7观察到的最多产的恶意软件即服务(MaaS)加载程序,具有剪贴板和凭证窃取、键盘记录以及部署额外恶意软件等多种功能。

关键发现

  • BunnyLoader是几乎所有关注行业中最常观察到的有效载荷
  • 在13个行业中的12个行业中位居首位,40%的所有观察到的事件涉及此经常更新的恶意软件
  • 这40%中略超过一半涉及虚假CAPTCHA(通常用于让受害者执行恶意代码)
  • 恶意/受损网站在BunnyLoader案例中占四分之一
  • 恶意文档仅占所有BunnyLoader出现记录的9%

该恶意软件于2023年首次以250美元的终身使用费用出售,其持续开发和广泛的功能使其成为预算有限的恶意行为者的有吸引力的选择。

目标组织:制造业磁铁

制造业组织在Rapid7 IR团队观察到的事件中占比超过24%,是2025年第一季度最受攻击的行业。

原因分析

  • 制造业是全球贸易的重要组成部分,是国家行为体的攻击向量
  • 该领域有许多遗留和较旧的操作技术(OT)
  • 未修补的遗留系统与复杂的供应链相结合,构成了国家行为体认为有吸引力的目标风险
  • 许多制造组织与政府有关键合同,攻击如果不能迅速解决,可能会造成严重破坏

结论

2025年第一季度更像是成功策略的精细化,而不是全新的创新。我们的第一季度勒索软件分析显示,威胁行为者对一个运转良好的机器进行了流线型调整,我们在这里发现了许多相同的"进化而非革命"模式。

这种进展特别适用于通过无MFA保护的有效账户进行初始访问的情况。我们预计,在企业继续为熟练(和不熟练)攻击者留下容易进入的途径时,这种方式的流行度不会下降。

此外,看似无害的在线搜索可能导致严重泄露的风险,强调了组织重新审视基本安全最佳实践以及部署强大检测和响应能力的必要性。解决这些关键关注领域的企业将更好地防御不应不可避免的数据外泄和恶意软件部署。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次