网络入侵新态势：凭证窃取与边界漏洞利用激增，钓鱼攻击持续衰退

黑白之道 2025-05-02 14:26

根据 Verizon 和谷歌旗下 Mandiant 的独立报告数据，网络犯罪分子的初始入侵手段正在发生显著转变。Mandiant 事件响应团队指出，攻击者更倾向于利用目标环境中现有工具，而非构建新恶意软件或配置漏洞利用后工具。

01

入侵手段演变趋势

Mandiant 调查显示，2024年漏洞利用占初始入侵原因的33%，其次是凭证窃取（16%，2023年为10%）和钓鱼攻击（14%）。尽管钓鱼攻击不断改进社会工程手段，但其作为初始入侵方式的比例持续下降——从2022年的近25%降至2023年的17%，再到2024年的14%。

“虽然邮件钓鱼仍是获取初始访问的常见有效手段，但攻击者可通过多种渠道获取凭证，”Mandiant 在年度《
M-Trends
》报告中指出，”包括在地下论坛购买泄露凭证、从大规模数据泄露中挖掘凭证，以及通过键盘记录器和信息窃取程序主动窃取凭证。这凸显了实施多因素认证（MFA，优先选择符合FIDO2标准的MFA方法）的重要性。”

02

边界设备漏洞成主攻目标

漏洞利用已连续五年成为最主要的初始入侵方式（占33%），尽管较2023年下降5%。值得注意的是，攻击重点明显转向网络边界设备，这一趋势与
Verizon
报告相呼应——过去一年中，安全设备正通过
零日漏洞
成为主要攻击目标。

Mandiant观察到的三大高危漏洞包括：
– Palo Alto Networks PAN-OS软件GlobalProtect VPN中的零日命令注入漏洞（CVE-2024-3400）

• 影响Ivanti Connect Secure VPN和Ivanti Policy Secure设备的两个漏洞（CVE-2023-46805与CVE-2024-21887）

• FortiClient终端管理服务器中的SQL注入漏洞（CVE-2023-48788）

其他重要入侵途径包括：Web应用入侵（9%）、初始访问经纪人转售的既有入侵通道（8%）、暴力破解攻击（7%）以及以朝鲜IT工作者虚假求职为代表的内鬼威胁（5%）。

03

旧设备可能包含的敏感数据

2024年Mandiant调查的入侵事件中，35%以经济利益为目的（其中勒索软件占21%）。数据窃取是37%攻击的主要目标，部分与金融动机重叠，但也包括网络间谍活动及为后续横向移动准备的凭证窃取。

令人担忧的是，57%的受害组织通过第三方（而非内部监测）发现系统遭入侵。攻击者平均驻留时间为11天（较2023年增加1天），但通过外部渠道发现的入侵平均驻留时间仍达26天。

“2018-2024年的调查显示，驻留时间持续缩短，”Mandiant指出，”一周内发现入侵的比例从2023年的43.3%升至2024年的45.1%。”

04

威胁组织与恶意软件新趋势

Mandiant将威胁组织分为三类：高级持续威胁（APT）、金融威胁（FIN）和未分类集群（UNC）。2024年新增追踪737个威胁集群，其中55%以金融为目的，8%从事网络间谍活动。

在恶意软件方面，2024年仅发现632个新家族（83个用于实际攻击），延续了过去三年的下降趋势。”这显示攻击者更倾向利用目标环境现有工具，而非开发新恶意软件，”报告强调，”越来越多入侵完全不使用恶意软件。”

观察到的恶意软件类型中，
后门程序
占35%，勒索软件占14%。曾被滥用的Cobalt Strike工具使用率从2021年的21%骤降至5%，这得益于执法部门去年查封了600台非法版本C2服务器。

05

云环境与凭证安全防护

在勒索软件攻击中，暴力破解（26%）、凭证窃取与漏洞利用（各21%）是主要入侵途径。云账户则主要通过钓鱼（39%）和凭证窃取（35%）遭入侵，其中68%导致数据泄露。

为应对凭证威胁，Mandiant建议：
– 部署抗中间人攻击（AiTM）的
MFA
方案（如FIDO2安全密钥）

• 严格区分个人与工作设备使用

• 禁用浏览器自动填充功能

• 持续开展安全意识培训

文章来源：freebuf

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END