Cybereason TTP简报2025年第三季度:LOLBINs与CVE漏洞利用主导
主要发现
Q3数据显示,组织网络安全与威胁行为者所用技术之间的差距并未缩小。我们观察到多因素认证(MFA)绕过和漏洞利用的成功率更高,内部威胁案例不断增加,先前仅由高级威胁行为者使用的检测规避战术正在成为常态。
最常见威胁类型
- 商业邮件入侵(BEC):仍是最主要的威胁事件类型,占比从H1的37%上升至46%
- 勒索软件:保持第二大常见事件类型,占比39%
- 内部威胁:从H1的2%跃升至Q3的7%,部分原因是朝鲜远程工作计划活动增加
初始入侵向量
- 网络钓鱼:在Q3保持主导地位(50%)
- 漏洞利用(CVE):跃升至第二位(31%),较H1(15%)增长超一倍,主要由于CVSS评分超过9.5的CVE增加
Q3最常观察到的CVE
| CVE编号 | 受影响系统 |
|---|---|
| CVE-2025-53770 | 本地部署Microsoft SharePoint Server |
| CVE-2025-30406 | Gladinet CentreStack |
| CVE-2025-24477 | Fortinet FortiOS |
| CVE-2024-53704 | SonicWall SonicOS SSL-VPN |
| CVE-2024-40766 | SonicWall SonicOS |
CVE-2024-40766深度分析:SonicWall SonicOS漏洞
Akira组织在Q3期间通过利用CVE-2024-40766获取的用户凭证未经授权访问SonicWall设备。许多受影响的SonicWall在打补丁前已遭入侵。即使在已打补丁的设备上,如果管理员未重置所有SSL VPN凭证,威胁行为者仍能利用先前窃取的信息获取访问权限。
MFA实施率上升但绕过技术同步增长
从H1到Q3,定期实施MFA的组织从53%上升至75%。然而,MFA被绕过的比例也增加至73%。这表明钓鱼工具包、中间人攻击(AiTM)和会话令牌拦截仍然是普遍威胁。
最受攻击的行业与公司规模
金融服务仍然是常见目标行业,但本季度攻击在各行业分布更加均匀,金融服务、制造业和零售/电子商务与酒店业并列首位,各占11%。
收入在100万至1000万美元之间的组织最常受到影响,表明即使是小型企业也需要专注于完善其网络防御。
入侵路径中的战术
TTP简报提供了跨越入侵路径五个阶段的数据:
- 威胁行为者继续利用多种工具保持持久性,包括Anydesk和Netscan,也越来越多地利用新工具如impacket和pinggy
- 凭证窃取仍然是提升权限的常用方法,利用Mimikatz和DCSync等工具
- 威胁行为者继续专注于数据外泄,使用WinRar和WinSCP等工具
无文件攻击技术阻碍检测
我们在Q3调查中观察到无文件二进制(LOLBINs)使用率达到17%,高于H1的2025年13%。这些受信任的内置系统工具让攻击者更容易与合法活动混合,逃避检测,并在不部署恶意软件的情况下进行攻击。
驻留时间分析
38%的案例具有31天以上的驻留时间,低于H1的45%。导致较长驻留时间的一个因素与初始访问经纪人(IABs)有关,他们获取未经授权的访问权限,然后将其出售给另一个威胁行为者组织。
减少驻留时间可以通过适当的事件响应计划来解决,缩短检测和DFIR供应商参与之间的时间。此外,实施多项网络安全控制措施可以降低事件发生的可能性、驻留时间和影响。