2025年威胁趋势分析与攻击手法深度解析

A 2025 Threat Trends Analysis

随着2025年临近尾声并进入假期季，现在是回顾和反思网络安全行业所发生事件的好时机。网络安全社区的成员们都清楚，虽然每年情况不尽相同，但总有一些趋势年复一年地伴随我们，因此记住过去发生的事至关重要，这有助于我们为未来几个月可能发生的事件做好准备。

基于此，现已归属于我们的一项报告指出，2025年威胁行为者利用复杂的社会工程技术和关键漏洞，攻击了全美各地的组织。

我们识别出贯穿全年的系列协同攻击活动与趋势，涉及如Luna Moth和Akira等威胁组织。

这些组织利用了网络钓鱼、冒充、以及利用远程访问工具和漏洞的组合。攻击活动通常始于一个具有说服力的社会工程方案，例如假冒的IT支持电话或外部发件人访问内部通信渠道，最终导致远程访问工具、恶意软件乃至勒索软件的部署。

今年观察到最常被利用的漏洞涉及网络设备和VPN网关，攻击者持续寻求绕过认证并获取持久访问权限。

在2025年上半年，我们观察到攻击者使用日益隐秘的策略，例如通过冒充来绕过传统安全措施。一些威胁组织甚至雇佣外部人员，使其在目标组织内获取IT职位，从而让攻击者得以隐藏。这些不断演变的策略常常利用了人为错误并结合了多种技术。

我们的应急准备与响应团队观察到在2025年扰乱了传统威胁格局的三大主要攻击活动和趋势：

• Luna Moth威胁组织利用回拨式网络钓鱼活动，主要针对律师事务所。这些活动通常始于一个具有说服力的社会工程方案，例如假冒的IT支持电话或外部发件人访问内部通信渠道，最终导致远程访问工具、恶意软件乃至勒索软件的部署。
• Akira威胁组织利用了SonicWall漏洞CVE-2024-40766（一个不当访问控制缺陷）以及CVE-2024-53704（该漏洞可劫持活跃的VPN会话）。Akira还通过SEO投毒策略利用Bumblebee恶意软件作为初始访问工具。Akira组织创建了一个模仿合法IT工具的仿冒域名。受害者被重定向到恶意网站，并被诱导安装木马化的安装程序。一旦执行，该安装程序便会部署Bumblebee恶意软件。
• 威胁行为者在复杂的社会工程活动中利用了Microsoft Quick Assist。这些攻击通过来自已泄露外部帐户的语音电话或Microsoft Teams消息发起，诱使受害者使用Quick Assist，最终导致其系统被攻陷。

随着攻击者继续操纵人类行为，组织必须优先考虑行为检测而非传统的启发式方法，以领先于新出现的威胁。

2025年的趋势是什么？

趋势 1: Luna Moth

我们已将Luna Moth组织与众多数据窃取和敲诈勒索事件联系起来，其特别针对律师事务所和金融机构等专业服务组织。

他们的攻击始于一封冒充公司内部IT或安全团队成员的钓鱼邮件。威胁行为者引导受害者拨打一个虚假的帮助台号码。一旦攻击者与受害者建立联系，他们会发送邀请，要求使用Zoho Assist或Atera等远程访问工具。在受害者授予对其设备的访问权限后，攻击者转向数据窃取，通常通过WinSCP或重命名版本的Rclone。

一旦窃取完成，Luna Moth组织会通过打电话或发邮件骚扰受害组织，向其施压以迫使其付款。

我们对Luna Moth事件的调查揭示了一个一致的模式：网络钓鱼和IT冒充导致远程访问、数据窃取和最终的敲诈勒索。随着这一进程的明确，我们现在转向下一个新趋势，其核心是与一个活跃威胁组织相关的活动。

图 1: Luna Moth数据窃取与敲诈勒索攻击链。

趋势 2: Akira

在2025年，我们观察到Akira附属组织的活跃程度是次活跃威胁行为者的三倍。今年识别出Akira活动的两个不同趋势。

SonicWall漏洞

我们的调查发现，Akira威胁组织及其附属组织利用SonicWall防火墙中的两个漏洞来获取对组织环境的初始访问权限。

• CVE-2024-40766 于2024年8月发布，涉及SonicWall防火墙设备因第六代防火墙迁移到第七代防火墙而存在的访问控制不当缺陷。本地用户密码在迁移过程中被转移，且后续未重置。
• CVE-2024-53704 于2025年1月发布。该漏洞利用影响SonicWall防火墙运行版本7.1.x、7.1.2-7019和8.0.0-8035的SSL VPN组件的认证绕过。

设备漏洞为目标环境提供了初始访问权限，为后续活动建立了可靠的立足点。

Bumblebee加载器

我们观察到利用仿冒域名诱骗受害者安装恶意版本RVTools的情况。这些网站被设计为出现在搜索引擎结果中，引诱毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行，Bumblebee恶意软件便被部署。这些入侵活动从单一受感染主机迅速升级，横向移动于整个环境，窃取凭据，安装持久性远程访问工具，并使用SFTP客户端窃取数据。

攻击最终以部署Akira勒索软件、加密关键系统而告终。

总之，Akira利用仿冒域名作为恶意软件的入口点，迅速升级到恶意软件部署、横向移动、数据窃取和最终的勒索软件执行。在概述了攻击进程之后，下一节将探讨与社会工程活动和数据窃取相关的更广泛趋势。

图 3. Bumblebee加载攻击链。

趋势 3: Quick Assist/Teams呼叫

我们观察到利用Microsoft Quick Assist进行社会工程活动并导致勒索软件引爆的恶意活动有所增加。

这些攻击通常始于来自外部帐户的语音电话或Microsoft Teams消息。在某些情况下，威胁行为者会预先进行邮件轰炸，然后再发起Teams呼叫，从而在收件人中制造一种紧迫感和忧虑感。这些互动旨在说服受害者他们正在接受内部IT或安全团队的技术支持。

在通话过程中，威胁行为者说服受害者启动Quick Assist并共享对其设备的访问权限。由于Quick Assist以登录用户的上下文运行，共享访问权限使攻击者获得了与用户相同的权限。

我们观察到的后续命令序列共同展示了一种有条不紊的入侵后活动方法。初始阶段涉及广泛的侦察，使用了诸如 tasklist、systeminfo、whoami、net session、nslookup 和 ipconfig /all 等命令。威胁行为者利用包括 nltest /dclist 和 nltest /domain_trusts /all_trusts 在内的命令来枚举域控制器和信任关系，这为攻击者提供了对组织网络的宝贵洞察。

我们还观察到使用合法的Windows SSH可执行文件 ssh.exe 并附带反向隧道标志，这在受感染主机与外部服务器之间创建了一个隐蔽通道，并绕过了典型的入站防火墙限制。使用 curl.exe 的下载命令被用来检索可执行文件，包括远程管理工具。

我们观察到了多种持久化机制，包括计划任务操纵、注册表修改和WMI事件订阅的组合。攻击者使用ScreenConnect和AnyDesk等远程访问工具来维持持久化。文件操作使用批处理脚本自动化，这些脚本创建目录、合并和提取文件、并删除证据以逃避检测。还观察到威胁行为者映射驱动器、窃取数据并通过初始受害主机进行枚举。至少在一个实例中，威胁行为者还使用PSExec部署了Black Basta勒索软件。

图 4. Teams快速协助攻击链。

让我们看看最常被利用的漏洞

根据我们在2025年上半年的观察，最常被利用的漏洞涉及网络中继设备，特别是防火墙和安全的远程访问网关，如SSL VPN。

• CVE-2024-40766：在SonicWall设备中发现了一个关键的不当访问控制漏洞，影响第5代、第6代和较早的第7代防火墙。此漏洞允许未经授权访问资源，也可能导致防火墙崩溃。虽然该漏洞于2024年9月首次披露，但有报告在2025年7月左右观察到对启用SSLVPN的第七代防火墙的活跃利用。该漏洞允许攻击者未经授权访问网络，绕过MFA，并部署勒索软件，最常见的是Akira。
• CVE-2024-53704：首次发布于2025年1月，该漏洞是影响SonicWall防火墙版本7.1.x、7.1.2-7019和8.0.0-8035的SSL VPN组件的认证绕过漏洞。此漏洞允许攻击者绕过MFA，未经认证访问私有信息并中断VPN会话。
• CVE-2024-55591：这个零日漏洞影响FortiOS和FortiProxy。该漏洞允许攻击者通过精心构造的Node.js websocket请求远程绕过认证并获取网络设备的管理员权限。
• CVE-2025-0282：对Ivanti Connect Secure VPN设备中零日漏洞的活跃利用，可能归因于UNC5221。该漏洞允许通过基于堆栈的缓冲区溢出进行未经认证的远程代码执行。我们注意到，利用此漏洞的攻击者会部署如PHASEJAM和SPAWN等恶意软件来安装Web shell，在环境中持久化，逃避检测，窃取凭据，窃取敏感数据并删除证据。
• CVE-2025-31324：对SAP NetWeaver Visual Composer中关键漏洞的活跃利用于2025年4月首次报告。此漏洞允许攻击者在Windows和Linux服务器上上传和执行任意文件。该漏洞与Python反向shell、Web shell文件以及下载/执行额外恶意软件（加密货币矿工和远程访问工具）有关。攻击者使用Base64编码来混淆命令，并通过上传恶意的JSP文件来维持持久化。

该可视化显示了整个2025年最常被利用的漏洞，数据来源于我们进行的数字取证与事件响应调查。百分比代表每个漏洞被识别出的案例比例。

图 5. 2025年被利用最多的前5个漏洞。

恶意软件

下图展示了2025年最常观察到的十大恶意软件家族，数据来源于我们进行的数字取证与事件响应事件。百分比表示每个恶意软件家族在所有案例中的占比。

图 6. 2025年主要恶意软件。

威胁行为者

此图代表了截至2025年观察到的最活跃的十大威胁行为者。数据来源于我们进行的数字取证与事件响应调查，反映了每个威胁行为者被识别出的案例百分比。

图 7. 2025年主要威胁行为者。

观察到的技术

我们在上述多个趋势中观察到了以下技术。

2025年跨活动观察到的技术

• T1021.004 SSH
• T1046 网络服务发现
• T1059.001 PowerShell
• T1071.001 Web协议
• T1105 入口工具转移
• T1136.002 域账户
• T1219 远程访问软件
• T1560.001 通过实用程序归档
• SF1562.00c 禁用/修改EDR/AV

工具

我们观察到“离地攻击”技术和社会工程学的增加，这提供了更简单的攻击途径。攻击者滥用了环境中已有的合法工具，从而降低了被传统端点检测与响应工具检测到的机会。

此图代表了截至2025年观察到的前20种工具。数据来源于我们进行的数字取证与事件响应调查，反映了每种工具被识别出的案例百分比。

图 8. 2025年主要工具。

按类型划分的最常观察到的工具：

• 文件传输/同步:
  • Rclone
  • WinSCP
  • Filezilla
• 远程访问/支持
  • Quick Assist
  • AnyDesk
  • Zoho Assist
  • ConnectWise
• 网络扫描/管理
  • SoftPerfect Network Scanner
  • Advanced IP Scanner
  • Nmap
• 命令行/脚本/实用程序
  • PsExec
  • OpenSSH
  • curl
  • cmD
  • Net
  • quser
  • Nltest
  • netstat
• 压缩/归档
  • 7-Zip
  • WinRAR
• 安全/渗透测试
  • Mimikatz
  • Impacket
• 软件/生产力
  • Microsoft Office Outlook Desktop
  • Outlook Desktop for Mac
  • eM Client
  • PerfectData Software

展望未来

近几个月来，复杂的社会工程活动有所增加，导致攻击者采用了日益隐秘的策略。虽然存在传统的威胁，如网络钓鱼和漏洞利用，但攻击者越来越依赖冒充来实现其目标。

这些攻击成功地利用了人为错误并绕过了技术防御，这表明未来的趋势将是攻击者继续专注于操纵人类行为来实现其目标。因此，有必要更加注重聚焦于行为检测而非启发式方法，以保持警惕并领先于威胁行为者。FINISHED