根據 Sophos 分析,
2024 年中小企業(SMB)的資安事件中,30% 的攻擊來自遭入侵的網路邊界設備。這類設備包括 VPN 設備、防火牆及其他遠端存取設備。Sophos 威脅偵測與回應(MDR)的追蹤數據顯示,這些設備已成為網路入侵的主要來源,其中 VPN 漏洞利用佔所有攻擊事件的 19%。
2024年,25% 的勒索軟體和資料外洩事件都是從入侵 VPN 設備開始的。
網路邊界設備因為通常缺乏端點偵測與回應(EDR)等資安工具的支援,成為駭客覬覦的目標。在Google Cloud Next 2025大會中,Google 威脅情報副總裁 Sandra Joyce 強調,駭客正持續對這些設備的漏洞發起攻擊。
Sophos 也指出,妥善管理所有系統的生命週期是預防大多數攻擊的關鍵,這包括網路路由器、防火牆、VPN 設備,以及面向網際網路的應用程式和伺服器。若設備未及時更新修補或已超過供應商支援期限,就容易成為資安情資掮客和勒索軟體攻擊者的目標。這些攻擊者會進行大規模網路掃描,專門尋找易受攻擊的系統。
根據最新報告,駭客越來越頻繁地濫用合法遠端存取工具,而這些工具在 34% 的資安事件中都扮演關鍵角色。
攻擊者主要利用這些工具來隱藏初期入侵後的行動,包括部署惡意程式以及命令和控制工具。研究人員發現,攻擊者常透過濫用試用版或使用盜版授權來部署這些工具。2024 年,Sophos 觀察發現
最常被濫用的遠端存取工具有 PSExec、AnyDesk 和 ScreenConnect。
遠端勒索攻擊劇增
研究報告指出,
「遠端」勒索軟體攻擊呈現顯著上升趨勢。相較於 2023 年增加了 50%,與 2022 年相比更大幅成長 141%。這類遠端勒索攻擊源自未納管的設備,超出一般端點防護軟體的偵測範圍。攻擊者透過網路檔案共享連線,直接存取並加密其他機器上的檔案,無須在目標設備上執行勒索軟體。
此手法能有效規避惡意程式掃描、行為偵測和其他防禦機制的監控。
Sophos MDR 追蹤的中小企業資安事件中,以勒索軟體和資料竊取攻擊最為常見,約佔 30% 的比例。不過,由於資安防禦能力提升,加上部分主要勒索軟體即服務(RaaS)組織遭到瓦解,2024 年的整體事件數量較 2023 年有所下降。
社交工程手法的新趨勢
Sophos 最新研究發現,攻擊者持續改良其社交工程策略,不僅規避偵測工具,更提升攻擊效率。2024年出現的主要社交工程趨勢如下:
- Microsoft Teams 語音詐騙:2024 年下半年,研究人員發現針對 Microsoft Teams 的混合式攻擊手法。攻擊者先向目標組織的特定人員發送釣魚郵件,再利用自有的 365 帳號,透過 Microsoft Teams 假冒技術支援進行通話。
- 多重要素驗證釣魚:因應 MFA 普及,攻擊者發展出即時竊取憑證和驗證碼的新方法。2024年常見使用 Tycoon 和 EvilProxy 等釣魚即服務平台。
- 生成式 AI 應用:網路犯罪分子日益利用生成式 AI 工具執行社交工程,包括產生假帳號的圖片、影片和文字內容,用於與目標溝通時掩飾其語言能力不足和身分問題。
- QR 碼釣魚攻擊:攻擊者在釣魚郵件中採用 QR 碼來隱藏惡意連結和附件,以規避傳統資安防護機制。
本文轉載自 InfosecurityMagazine。