2025年第3期威胁情报执行报告:网络攻击新趋势与防御策略

本报告分析了2025年3-4月全球威胁态势变化,重点探讨朝鲜黑客渗透企业、Black Basta勒索软件运营细节及后量子密码迁移策略,为企业安全防御提供关键洞察。

威胁情报执行报告 – 2025年第3卷

撰写:Sophos反威胁部门研究团队
2025年7月3日

执行摘要

反威胁部门™(CTU)研究团队分析安全威胁以帮助组织保护其系统。基于3月和4月的观察,CTU™研究人员确定了全球威胁态势中以下值得注意的问题和变化:

  • 人力资源部门的网络安全教训
  • Black Basta泄露提供战略要点
  • 为未来保障网络安全,现在就要开始

人力资源部门的网络安全教训

威胁行为者越来越多地瞄准那些网络安全并非首要考虑的企业部门。
CTU研究人员持续调查朝鲜正在进行的活动,该活动旨在将欺诈性员工嵌入西方组织。朝鲜政府有多个目标:通过工资产生收入以规避制裁、进行网络间谍活动、获取访问权限以窃取加密货币以及执行勒索操作。可能是对美国组织意识提高的反应,朝鲜国家支持的威胁团体(如NICKEL TAPESTRY)也增加了对欧洲和日本组织的瞄准。除了冒充美国候选人外,申请日本和美国职位的欺诈性员工还在简历中采用越南、日本和新加坡的身份。
候选人并非其所声称身份的可疑迹象包括数字篡改的库存照片、申请过程中姓名或声音的变化、无法验证的就业历史以及请求使用自己的设备和虚拟桌面基础设施。申请人越来越多地使用AI篡改照片、生成简历和参加面试,女性身份的数量也有所增加。一旦被雇用,这些员工可能窃取数据或加密货币钱包并在系统上部署恶意软件。人力资源(HR)和招聘专业人员必须能够识别欺诈性候选人以保护其组织。
NICKEL TAPESTRY和GOLD BLADE等其他团体也专注于HR员工和招聘人员。CTU研究人员观察到GOLD BLADE在网络钓鱼攻击中瞄准人才招聘员工,这可能是企业间谍活动的一部分。上传到受害者外部求职网站的PDF简历包含恶意代码,最终导致系统受损。这些攻击影响了加拿大、澳大利亚和英国的组织。
CTU研究人员建议组织教育HR员工有关网络钓鱼和社会工程学攻击的风险,特别是有关朝鲜欺诈性员工带来的危险。组织应建立报告可疑候选人和其他恶意活动的流程。

下一步行动建议
确保招聘人员进行候选人验证检查,并在招聘过程和入职后采取额外措施验证身份。

Black Basta泄露提供战略要点

公开暴露的聊天日志揭示了Black Basta勒索软件操作的细节。
对首先发布到文件共享服务然后到Telegram的Black Basta聊天日志的分析并未从根本上改变CTU研究人员对勒索软件态势的理解。然而,日志确实包含有关GOLD REBELLION威胁团体操作的信息。它们还强化了组织维护良好网络防御的重要性。勒索软件攻击在很大程度上仍然是机会主义的,即使像GOLD REBELLION这样的团体在获得初始访问后执行分类以评估受害者作为勒索软件目标的可行性。组织不能放松防御。
勒索软件和勒索团体在有利于他们时进行创新;例如,Anubis为其附属机构提供异常广泛的选择,DragonForce试图重新品牌化为一个卡特尔。然而,经过验证的方法和策略仍然流行。泄露确认GOLD REBELLION是许多利用旧漏洞获取访问的勒索软件团体之一。识别和利用零日漏洞需要技术技能和资源,但当易受旧缺陷影响的未修补系统仍然丰富时,这些投资是不必要的。聊天日志还显示GOLD REBELLION成员经常利用被盗凭据访问网络。日志包含多个组织的用户名和密码。为了防御这些攻击,组织必须尽快修补漏洞,并必须保护网络免受捕获凭据的信息窃取者的侵害。
像GOLD HARVEST等其他网络犯罪团体一样,GOLD REBELLION也在攻击中使用社会工程技术。威胁行为者冒充IT帮助台工作人员通过Microsoft Teams联系受害者。聊天日志包含多次关于在这些攻击中使用有效技术的讨论。组织需要及时了解社会工程诡计以及如何应对它们。组织还必须确保第二道防线能够识别和停止攻击,如果社会工程努力成功。
这些日志的发布可能导致GOLD REBELLION停止其操作,因为自2025年1月以来它没有向其泄露网站发布受害者。团体成员和附属机构有选择:他们可能迁移到其他勒索软件操作甚至单独执行攻击。网络防御者可以将从聊天日志中学到的教训应用到更广泛的对抗勒索软件威胁的斗争中。

下一步行动建议
培训员工识别和抵抗不断演变的社会工程技术,以对抗重要的初始访问向量。

为未来保障网络安全,现在就要开始

迁移到与后量子密码学兼容的技术要求组织现在开始规划。
保护组织免受网络威胁可能感觉像维护防洪设施以应对需要立即解决的一波波问题。推迟思考似乎还有几年之遥的威胁(如量子计算)可能很诱人。然而,减轻这些威胁可能需要大量准备。
自2020年以来,英国国家网络安全中心(NCSC)发布了一系列关于量子计算带来的威胁以及如何为其做准备的文件。量子计算可能破解当前加密方法的能力将要求组织升级到能够支持后量子密码学(PQC)的技术。此升级对于维护其系统和数据的机密性和完整性是必要的。技术标准化已经开始——美国国家标准与技术研究院(NIST)于2024年8月发布了前三个相关标准。
2025年3月,NCSC发布了关于迁移到PQC时间表的指南。此信息主要针对大型和国家关键基础设施组织。较小的组织可能从供应商那里获得指导和帮助,但仍需要意识到此问题。完全迁移到PQC的截止日期是2035年,但中期目标设定为在2028年前定义迁移目标、进行发现和制定初步计划,以及在2031年前开始最高优先级迁移并对计划进行必要改进。指南说主要目标是在不增加网络安全风险的情况下集成PQC,这需要早期和彻底的规划。
指南承认迁移对许多组织来说将是一项重大任务,特别是在包括旧系统的环境中。它同样明确表示迁移无法避免。选择延迟的组织将暴露自己于量子计算攻击带来的重大风险。虽然指南针对英国组织,但它也对其他国家的组织有用,并可能对其他主要技术迁移工作有益。

下一步行动建议
阅读NCSC指南并考虑PQC可能对您未来10年的技术投资和增长计划产生的影响。

结论

网络威胁态势不断波动,但许多波动是可预测的。它们可能来自新技术的标准化,这将导致不同类型的威胁,或者来自威胁行为者继续利用旧的安全漏洞。及时了解威胁情报是安全战略规划的重要组成部分。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次