A 2025 Threat Trends Analysis

随着2025年接近尾声并步入假日季节，现在是回顾和反思网络安全行业一年来所发生事件的好时机。业界人士都明白，虽然每年的情况不尽相同，但某些趋势往往会年复一年地持续存在。因此，牢记过去发生的事情对我们准备应对未来几个月的挑战至关重要。

在此背景下，一份报告指出，2025年的威胁行为者利用复杂的社会工程技术和关键漏洞，针对全美各地的组织发起攻击。

我们在全年识别出一系列涉及威胁组织（如Luna Moth和Akira）的协同攻击活动和趋势。这些组织利用了网络钓鱼、假冒身份、远程访问工具和漏洞的组合。攻击活动通常始于令人信服的社会工程骗局，例如假冒IT支持电话或外部发件人访问内部通信渠道，最终导致远程访问工具、恶意软件乃至勒索软件的部署。今年最常被利用的漏洞涉及网络设备和VPN网关，攻击者不断试图绕过身份验证并获取持久访问权限。

在今年上半年，观察到攻击者使用日益隐蔽的战术，例如通过假冒身份绕过传统安全措施。一些威胁组织甚至雇佣外部人员在目标组织内部担任IT职位，使攻击者能够保持隐蔽。这些不断演变的策略常常利用人为错误并结合多种技术。

2025年，我们观察到三大主要攻击活动和趋势扰乱了传统的威胁格局：

1. Luna Moth威胁组织：该组织利用回电网络钓鱼活动，主要针对律师事务所。这些活动通常始于令人信服的社会工程骗局，例如假冒IT支持电话或外部发件人访问内部通信渠道，最终导致远程访问工具、恶意软件乃至勒索软件的部署。
2. Akira威胁组织：该组织利用了SonicWall漏洞CVE-2024-40766（一个访问控制不当的缺陷）以及CVE-2024-53704（该漏洞可以劫持活跃的VPN会话）。此外，Akira还通过SEO投毒策略利用Bumblebee恶意软件作为初始访问工具。该组织创建了模仿合法IT工具的仿冒域名，将受害者重定向至恶意网站，并引导他们安装木马化的安装程序。一旦执行，该安装程序便会部署Bumblebee恶意软件。
3. Microsoft Quick Assist被利用：威胁行为者在复杂的社会工程活动中利用了Microsoft Quick Assist。这些攻击通过来自已泄露外部账户的语音电话或Microsoft Teams消息发起，诱导受害者使用Quick Assist，最终导致其系统被入侵。

随着攻击者继续操纵人类行为，组织必须将行为检测置于传统启发式检测之上，以保持对新兴威胁的领先。

2025年的主要趋势是什么？

趋势一：Luna Moth

Luna Moth组织与多起数据盗窃和勒索事件相关联，专门针对律师事务所和金融机构等专业服务组织。

他们的攻击始于一封冒充公司内部IT或安全团队成员的钓鱼邮件。威胁行为者引导受害者拨打虚假的帮助台号码。一旦攻击者与受害者建立联系，便会发送使用远程访问工具（如Zoho Assist或Atera）的邀请。在受害者授予对其设备的访问权限后，攻击者便转向数据窃取，通常使用WinSCP或重命名版本的Rclone。

一旦数据窃取完成，Luna Moth组织会通过电话或电子邮件骚扰受害组织，向其施压以迫使其支付赎金。

对Luna Moth事件的调查揭示了一种一致的模式：网络钓鱼和IT身份假冒导致远程访问、数据盗窃和最终的勒索。在明确了这一攻击流程后，我们转向下一个围绕活跃威胁组织活动的新兴趋势。

图1：Luna Moth数据盗窃与勒索攻击链。

趋势二：Akira

在2025年，观察到Akira附属组织的活动频率是次活跃威胁组织的三倍。今年识别出Akira活动的两个显著趋势。

SonicWall漏洞
调查发现，Akira威胁组织及其附属组织利用SonicWall防火墙中的两个漏洞来获取对组织环境的初始访问权限。

• CVE-2024-40766于2024年8月披露，涉及SonicWall防火墙设备因第六代向第七代防火墙迁移而产生的访问控制不当缺陷。本地用户密码在迁移过程中被转移且随后未重置。
  图2. SonicWall漏洞。
• CVE-2024-53704于2025年1月披露。该漏洞利用了影响运行版本7.1.x、7.1.2-7019和8.0.0-8035的SonicWall防火墙SSL VPN组件的身份验证绕过漏洞。

设备漏洞为攻击者提供了对目标环境的初始访问权限，建立了可靠的活动立足点。

Bumblebee Loader
观察到利用仿冒域名诱骗受害者安装恶意版本RVTools的情况。这些网站被设计成出现在搜索引擎结果中，诱使毫无戒心的用户下载恶意软件。一旦恶意安装程序被执行，Bumblebee恶意软件便被部署。这些入侵行为迅速从单个受感染主机升级，横向移动到整个环境，窃取凭证，安装持久性远程访问工具，并使用SFTP客户端窃取数据。

攻击最终以部署Akira勒索软件并加密关键系统而告终。

总之，Akira利用仿冒域名作为恶意软件的入口点，迅速升级为恶意软件部署、横向移动、数据盗窃和最终的勒索软件执行。在概述了攻击过程后，下一节将探讨与社会工程活动和数据盗窃相关的更广泛趋势。

图3. Bumblebee加载器攻击链。

趋势三：Quick Assist/Teams Call

观察到利用Microsoft Quick Assist实施社会工程活动并导致勒索软件引爆的恶意活动有所增加。

这些攻击通常始于来自外部账户的语音电话或Microsoft Teams消息。在某些情况下，威胁行为者会预先进行邮件轰炸，然后再进行Teams呼叫，从而在收件人中制造高度的紧迫感和担忧。这些互动旨在让受害者相信他们正在接受来自内部IT或安全团队的技术支持。

在通话过程中，威胁行为者说服受害者启动Quick Assist并共享对其设备的访问权限。由于Quick Assist以登录用户的上下文运行，共享访问权限为攻击者提供了与该用户相同的特权。

观察到后续的命令序列共同展示了攻击者在入侵后活动中的系统性方法。初始阶段涉及广泛的信息收集，使用了诸如tasklist、systeminfo、whoami、net session、nslookup和ipconfig /all等命令。威胁行为者利用包括nltest /dclist和nltest /domain_trusts /all_trusts在内的命令来枚举域控制器和信任关系，这为攻击者提供了有关组织网络的宝贵信息。

还观察到使用合法的Windows SSH可执行文件ssh.exe配合反向隧道标志，在受感染主机和外部服务器之间创建隐蔽通道，从而绕过典型的入站防火墙限制。使用curl.exe的下载命令被用于检索可执行文件，包括远程管理工具。

观察到多种持久化机制，包括计划任务操作、注册表修改和WMI事件订阅的组合。攻击者使用诸如ScreenConnect和AnyDesk等远程访问工具来维持持久性。文件操作通过批处理脚本自动化，这些脚本创建目录、合并和提取文件，并删除证据以逃避检测。还观察到威胁行为者映射驱动器、窃取数据并通过初始受害主机进行枚举。在至少一个实例中，威胁行为者还使用PSExec部署了Black Basta勒索软件。

图4. Teams快速协助攻击链。

回顾最常被利用的漏洞

根据2025年上半年的观察，最常被利用的漏洞涉及网络中介设备，特别是防火墙和安全远程访问网关，如SSL VPN。

• CVE-2024-40766：在SonicWall设备中发现了一个关键的访问控制不当漏洞，影响第5代、第6代和较旧的第7代防火墙。此漏洞允许未经授权访问资源，并可能导致防火墙崩溃。虽然此漏洞于2024年9月首次披露，但观察到在2025年7月左右，针对启用了SSLVPN的第七代防火墙的活跃利用。该漏洞允许攻击者未经授权访问网络，绕过MFA，并部署勒索软件，最常见的是Akira。
• CVE-2024-53704：首次发布于2025年1月，此漏洞是影响SonicWall防火墙版本7.1.x、7.1.2-7019和8.0.0-8035的SSL VPN组件的身份验证绕过漏洞。此缺陷允许攻击者绕过MFA，访问私有信息，并在未经身份验证的情况下中断VPN会话。
• CVE-2024-55591：此零日漏洞影响FortiOS和FortiProxy。该漏洞允许攻击者通过精心构造的Node.js websocket请求远程绕过身份验证并获得网络设备的管理员权限。
• CVE-2025-0282：针对Ivanti Connect Secure VPN设备的零日漏洞的活跃利用，可能归因于UNC5221。此漏洞允许通过基于堆栈的缓冲区溢出实现未经身份验证的远程代码执行。观察到攻击者利用此漏洞部署恶意软件，例如PHASEJAM和SPAWN，以安装Web shell，在环境中保持持久性，逃避检测，窃取凭证，窃取敏感数据并删除证据。
• CVE-2025-31324：首次于2025年4月报告的对SAP NetWeaver Visual Composer中关键漏洞的活跃利用。此漏洞允许攻击者在Windows和Linux服务器上上传和执行任意文件。该漏洞与Python反向shell、Web shell文件以及下载/执行其他恶意软件（加密货币矿工和远程访问工具）相关联。攻击者使用Base64编码来混淆命令，并通过上传恶意JSP文件来保持持久性。

此可视化展示了2025年全年被利用最多的漏洞，数据来源于我们进行的DFIR调查。百分比代表每个漏洞在案例中被识别的比例。

图5. 2025年被利用最多的五大漏洞。

恶意软件

下图说明了2025年最常观察到的十大恶意软件家族，数据来源于我们进行的DFIR调查。百分比表示每个恶意软件家族在所有案例中的占比。

图6. 2025年主要恶意软件。

威胁行为者

此图代表了2025年迄今为止观察到的十大最活跃威胁行为者。数据来源于我们进行的DFIR调查，反映了每个威胁行为者在案例中被识别的百分比。

图7. 2025年主要威胁行为者。

观察到的技术

在以上描述的多个趋势中观察到了以下技术。

2025年各活动中观察到的技术

• T1021.004 SSH
• T1046 网络服务发现
• T1059.001 PowerShell
• T1071.001 网络协议
• T1105 入侵工具转移
• T1136.002 域账户
• T1219 远程访问软件
• T1560.001 通过实用程序归档
• SF1562.00c 禁用/修改EDR/AV

工具

观察到"离地攻击"技术和社会工程的增加，这提供了更简单的攻击向量。攻击者滥用环境中已存在的合法工具，从而降低了被传统端点检测与响应工具检测到的可能性。

此图代表了2025年迄今为止观察到的前20种工具。数据来源于我们进行的DFIR调查，反映了每种工具在案例中被识别的百分比。

图8. 2025年主要工具。

按类型划分最常观察到的工具：

• 文件传输/同步:
  • Rclone
  • WinSCP
  • Filezilla
• 远程访问/支持
  • Quick Assist
  • AnyDesk
  • Zoho Assist
  • ConnectWise
• 网络扫描/管理
  • SoftPerfect Network Scanner
  • Advanced IP Scanner
  • Nmap
• 命令行/脚本/实用程序
  • PsExec
  • OpenSSH
  • curl
  • cmd
  • Net
  • quser
  • Nltest
  • netstat
• 压缩/归档
  • 7-Zip
  • WinRAR
• 安全/渗透测试
  • Mimikatz
  • Impacket
• 软件/生产力
  • Microsoft Office Outlook Desktop
  • Outlook Desktop for Mac
  • eM Client
  • PerfectData Software

展望未来

近几个月来，复杂的社会工程活动有所增加，导致攻击者采用了日益隐蔽的策略。虽然存在网络钓鱼和漏洞利用等传统威胁，但攻击者越来越依赖假冒身份来实现其目标。

这些攻击成功利用了人为错误并绕过了技术防御，这表明未来的趋势将是攻击者继续专注于操纵人类行为来实现其目标。将重点更多地放在有针对性的行为检测而非启发式检测上，对于保持警惕并领先于威胁行为者至关重要。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）