A 2025 Threat Trends Analysis

随着2025年接近尾声并进入假期季，是时候回顾一下网络安全行业所发生的事件了。业界的成员们都知道，虽然每年的情况不尽相同，但总有一些趋势会年复一年地伴随着我们，因此记住过去发生的事情对我们为未来几个月做好准备至关重要。

鉴于此，现已成为LevelBlue一部分的Stroz Friedberg编制了一份报告，指出2025年威胁行为者如何利用复杂的社会工程学技术和关键漏洞来针对美国的组织。

我们识别出了全年一系列涉及威胁行为者团体（如Luna Moth和Akira）的协调攻击活动和趋势。这些团体利用了网络钓鱼、假冒身份以及利用远程访问工具和漏洞的组合。攻击活动通常始于令人信服的社会工程学方案，例如假冒IT支持电话或外部发件人访问内部通信渠道，最终导致部署远程访问工具、恶意软件，有时甚至是勒索软件。

今年观察到的最常被利用的漏洞涉及网络设备和VPN网关，攻击者持续试图绕过身份验证并获取持久性访问权限。

在今年上半年，我们观察到攻击者使用了越来越隐蔽的策略，例如假冒身份以绕过传统的安全措施。一些威胁组织雇佣外部人员在目标组织内担任IT职位，使攻击者得以隐藏。这些不断演变的策略通常利用了人为错误并综合了多种技术。

LevelBlue的事件准备与响应团队观察到2025年三大颠覆了传统威胁格局的主要攻击活动和趋势：

1. Luna Moth威胁行为者团体使用了回调式网络钓鱼攻击活动，主要针对律师事务所。这些攻击通常始于令人信服的社会工程学方案，例如假冒IT支持电话或外部发件人访问内部通信渠道，最终导致部署远程访问工具、恶意软件，有时甚至是勒索软件。
2. Akira威胁行为者团体利用了SonicWall漏洞CVE-2024-40766（一个不当的访问控制缺陷）以及CVE-2024-53704（该漏洞允许劫持活跃的VPN会话）。此外，Akira还通过SEO投毒策略利用Bumblebee恶意软件作为初始访问工具。该组织创建了一个模仿合法IT工具的仿冒域名。受害者被重定向到恶意网站，并被诱导安装带有木马的安装程序。一旦执行，该安装程序便会部署Bumblebee恶意软件。
3. 威胁行为者在复杂的社会工程学攻击活动中利用了Microsoft Quick Assist。这些攻击通过来自被入侵的外部账户的语音电话或Microsoft Teams消息发起，诱导受害者使用Quick Assist，从而导致受害者系统被入侵。

随着攻击者继续操纵人类行为，组织必须优先考虑行为检测，而非传统的启发式方法，以保持领先于新出现的威胁。

2025年的趋势有哪些？

趋势一：Luna Moth

LevelBlue将Luna Moth组织与多起数据盗窃和勒索事件联系起来，特别是针对律师事务所和金融机构等专业服务组织。他们的方法始于一封冒充公司内部IT或安全团队成员的钓鱼邮件。威胁行为者引导受害者拨打一个假的帮助台电话。一旦攻击者与受害者建立联系，他们就会发送使用Zoho Assist或Atera等远程访问工具的邀请。在受害者授予对其设备的访问权限后，攻击者转向通过WinSCP或重命名版本的Rclone进行数据窃取。

数据窃取完成后，Luna Moth组织通过电话或电子邮件骚扰受害组织，向其施加压力迫使其支付赎金。 LevelBlue对Luna Moth事件的调查显示出一种一致的模式：网络钓鱼和IT身份假冒导致远程访问、数据盗窃，并最终发展为勒索。明确了这一进展过程后，我们现在转向下一个新出现的趋势，围绕一个活跃的威胁组织展开。

图1：Luna Moth 数据盗窃与勒索攻击链。

趋势二：Akira

2025年，LevelBlue观察到Akira附属组织的活动频率是第二大常见威胁行为者的三倍。今年识别出了Akira活动的两个明显趋势。

SonicWall 漏洞 LevelBlue的调查发现，Akira威胁行为者组织及其附属组织利用SonicWall防火墙中的两个漏洞来获得对组织环境的初始访问权限。 CVE-2024-40766发布于2024年8月，涉及SonicWall防火墙设备中由于第六代防火墙迁移到第七代防火墙而产生的不当访问控制缺陷。本地用户密码在迁移过程中被转移，且随后未被重置。

图2. SonicWall漏洞。 CVE-2024-53704发布于2025年1月。该漏洞利用了影响运行版本7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件的身份验证绕过问题。

设备漏洞为针对性的环境提供了初始访问权限，为进一步的活动建立了可靠的立足点。

Bumblebee 加载器 LevelBlue观察到使用仿冒域名诱骗受害者安装恶意版本的RVTools。这些网站旨在出现在搜索引擎结果中，引诱毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行，Bumblebee恶意软件就会被部署。这些入侵会从单个受感染主机迅速升级，横向移动到整个环境，窃取凭据，安装持久性远程访问工具，并使用SFTP客户端窃取数据。

攻击以部署Akira勒索软件、加密关键系统而告终。

总而言之，Akira利用仿冒域名作为恶意软件的入口点，迅速升级为恶意软件部署、横向移动、数据盗窃，并最终执行勒索软件。概述了攻击的进展后，下一节将探讨与社会工程学攻击活动和数据盗窃相关的更广泛趋势。

图3. Bumblebee加载器攻击链。

趋势三：Quick Assist/Teams 呼叫

LevelBlue观察到利用Microsoft Quick Assist执行社会工程学攻击活动，最终导致勒索软件爆发的恶意活动有所增加。

这些攻击通常始于来自外部账户的语音电话或Microsoft Teams消息。在某些情况下，威胁行为者在发起Teams呼叫前会先进行邮件轰炸，制造一种紧迫感和焦虑感。这些互动旨在让受害者相信他们正在接受来自内部IT或安全团队的技术支持。

在通话过程中，威胁行为者说服受害者启动Quick Assist并分享对其设备的访问权限。由于Quick Assist以登录用户的上下文运行，分享访问权限为攻击者提供了与该用户相同的权限。

LevelBlue观察到了随后的命令序列，这些命令共同展示了一种有条不紊的入侵后活动方法。初始阶段涉及广泛的信息收集，使用了诸如tasklist、systeminfo、whoami、net session、nslookup和ipconfig /all等命令。威胁行为者利用包括nltest /dclist和nltest /domain_trusts /all_trusts在内的命令来枚举域控制器和信任关系，这为攻击者提供了有关组织网络的宝贵信息。

LevelBlue还观察到使用合法的Windows SSH可执行文件ssh.exe配合反向隧道标志，在被入侵的主机和外部服务器之间创建了一个隐蔽通道，绕过了典型的内向防火墙限制。使用curl.exe的下载命令被用来检索可执行文件，包括远程管理工具。

LevelBlue观察到多种持久化机制，包括计划任务操作、注册表修改和WMI事件订阅的组合。攻击者使用诸如ScreenConnect和AnyDesk等远程访问工具来保持持久性。文件操作通过批处理脚本自动化，这些脚本创建目录、合并和提取文件，并删除证据以逃避检测。威胁行为者还被观察到映射驱动器、窃取数据以及通过最初的受害主机进行枚举。在至少一个实例中，威胁行为者还使用PSExec部署了Black Basta勒索软件。

图4. Teams Quick Assist 攻击链。

看看最常被利用的漏洞

根据LevelBlue在2025年上半年的观察，最常被利用的漏洞涉及网络中继设备，特别是防火墙和SSL VPN等安全远程访问网关。

CVE-2024-40766 在SonicWall设备中发现了一个严重的不当访问控制漏洞，影响第5代、第6代和较旧的第7代防火墙。此缺陷允许未经授权访问资源，也可能导致防火墙崩溃。虽然该漏洞于2024年9月首次披露，但Huntress在2025年7月左右观察到对启用了SSLVPN的第七代防火墙的主动利用。此漏洞允许攻击者未经授权访问网络，绕过MFA，并部署勒索软件，最常见的是Akira。

CVE-2024-53704 该漏洞首次发布于2025年1月，是一个身份验证绕过漏洞，影响版本为7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙的SSL VPN组件。此缺陷允许攻击者绕过MFA，未经身份验证访问私人信息并中断VPN会话。

CVE-2024-55591 此零日漏洞影响FortiOS和FortiProxy。该漏洞允许攻击者通过精心构造的Node.js websocket请求远程绕过身份验证并获取网络设备的管理员权限。

CVE-2025-0282 针对Ivanti Connect Secure VPN设备的零日漏洞的主动利用，很可能归因于UNC5221。此漏洞允许通过基于堆栈的缓冲区溢出进行未经身份验证的远程代码执行。LevelBlue指出，利用此漏洞的攻击者部署诸如PHASEJAM和SPAWN等恶意软件来安装Web shell，在整个环境中保持持久性，逃避检测，窃取凭据，窃取敏感数据并删除证据。

CVE-2025-31324 SAP NetWeaver Visual Composer中一个关键漏洞的主动利用于2025年4月首次报告。此漏洞利用允许攻击者在Windows和Linux服务器上上传和执行任意文件。该漏洞与Python反向shell、Web shell文件以及下载/执行其他恶意软件（加密货币挖矿程序和远程访问工具）有关。攻击者使用Base64编码混淆命令，并通过上传恶意JSP文件保持持久性。

此可视化展示了2025年被利用最多的漏洞，数据来源于LevelBlue进行的DFIR调查。百分比代表每个漏洞在所有案例中被识别的比例。

图5. 2025年被利用最多的5个漏洞。

恶意软件

下图说明了2025年最常观察到的十大恶意软件家族，数据来源于LevelBlue进行的DFIR事件。百分比表示每个恶意软件家族在所有案例中的占比。

图6. 2025年主要恶意软件。

威胁行为者

此图显示了截至2025年观察到的最活跃的十大威胁行为者。数据来源于LevelBlue进行的DFIR调查，反映了每个威胁行为者在案例中被识别的百分比。

图7. 2025年主要威胁行为者。

观察到的技术

LevelBlue在上述多个趋势中观察到了以下技术。

2025年各攻击活动中观察到的技术

• T1021.004 SSH
• T1046 网络服务发现
• T1059.001 PowerShell
• T1071.001 Web协议
• T1105 入口工具传输
• T1136.002 域账户
• T1219 远程访问软件
• T1560.001 通过实用程序归档
• SF1562.00c 禁用/修改EDR/AV

工具

LevelBlue观察到"无文件攻击"技术和社会工程学的使用有所增加，这提供了更简单的攻击向量。攻击者滥用了环境中已有的合法工具，从而降低了被传统端点检测与响应（EDR）工具检测到的机会。

此图显示了截至2025年观察到的最常用的20种工具。数据来源于LevelBlue进行的DFIR调查，反映了每种工具在案例中被识别的百分比。

图8. 2025年主要工具。

按类型划分最常观察到的工具：

文件传输 / 同步：

• Rclone
• WinSCP
• FileZilla

远程访问 / 支持

• Quick Assist
• AnyDesk
• Zoho Assist
• ConnectWise

网络扫描 / 管理

• SoftPerfect Network Scanner
• Advanced IP Scanner
• Nmap

命令行 / 脚本 / 实用程序

• PsExec
• OpenSSH
• curl
• cmd
• Net
• quser
• Nltest
• netstat

压缩 / 归档

• 7-Zip
• WinRAR

安全 / 渗透测试

• Mimikatz
• Impacket

软件 / 生产力

• Microsoft Office Outlook Desktop
• Outlook Desktop for Mac
• eM Client
• PerfectData Software

展望未来

近几个月来，复杂的社会工程学攻击活动有所增加，导致攻击者采用了越来越隐蔽的策略。虽然存在传统威胁，如网络钓鱼和漏洞利用，但攻击者越来越依赖假冒身份来实现其目标。

这些攻击成功地利用了人为错误并绕过了技术防御，这表明未来的趋势将是攻击者继续专注于操纵人类行为来实现其目标。为了保持警惕并领先于威胁行为者，有必要更多地关注聚焦于行为的检测，而非启发式方法。