網路犯罪集團的欺騙手法日益精密化。雲端及人工智慧驅動託管安全服務供應商 LevelBlue 最新資安報告揭露了駭客如何運用社交工程和合法工具,在被發現前悄然於受害環境中橫向移動。
資安事件被偵測到的階段分析(資料來源:LevelBlue)
近幾個月來,受資安事件影響的客戶數量激增近三倍,事件比率從 2024 年底的 6% 急升至 2025 年初的 17%,且半數以上攻擊始於初始存取階段。更令人擔憂的是,
駭客入侵後行動極為迅速:從系統遭入侵到橫向移動的平均時間已縮短至不到 60 分鐘,某些案例甚至在 15 分鐘內完成。
這些高速攻擊主要歸因於駭客巧妙運用常見工具。
遠端桌面協定(RDP)仍是跨系統移動的首選方式,而遠端監控與管理(RMM)軟體則廣泛用於維持長期存取權限。LevelBlue 發現許多案例中,攻擊者在同一主機上同時安裝多種 RMM 工具。此外,
隧道工具可幫助駭客繞過防火牆並掩蓋活動痕跡。雖然這些戰術並非創新,但如今它們以更高的精準度和自動化程度被執行。
LevelBlue 首席威脅研究員 Fernando Martinez Sidera 表示,2025 年上半年最顯著的趨勢是駭客的欺騙技術變得更加精密。
駭客已不再侷限於傳統商業電子郵件詐騙(BEC),轉而採用精準的社交工程手法誘使使用者開啟系統後門。一旦成功入侵,他們迅速部署遠端存取木馬(RAT)並清除入侵痕跡,使其能以驚人速度在網路中橫向移動。Sidera 強調,這並非短暫現象,預計這種趨勢將持續到 2026 年。
值得注意的另一趨勢是商業電子郵件入侵(BEC)相關事件的減少。雖然 BEC 仍佔初始入侵管道的最大比例(57%),但已從上一報告期的 74% 顯著下降。這種轉變主要與假驗證碼(CAPTCHA)詐騙和技術支援冒充攻擊的急劇增加有關。社交工程手法現在佔初始入侵方式的 39%,幾乎是 2024 年底比率的三倍。
最常被提及的惡意活動是
ClickFix 釣魚攻擊。在這類攻擊中,使用者被誘騙將一行程式碼複製到 Windows 執行對話框中。這些惡意連結偽裝成常見的驗證碼或安全提示,讓使用者誤以為在進行身分驗證,實際上卻執行了連接外部伺服器並下載惡意程式的 PowerShell 指令。這類惡意負載主要是遠端存取木馬(RAT),如 NetSupport、Quasar 或 Lumma 竊密程式。值得注意的是,ClickFix 相關活動在短短六個月內激增超過 1,400%。
駭客成功入侵系統後,會利用遠端監控管理(RMM)工具與隧道技術維持存取權限。Plink 和 Ngrok 等工具被廣泛用於建立隱蔽連線。由於這些活動與正常 IT 維護操作極為相似,防禦者難以辨識異常。更令人憂心的是,某些案例中同一台主機會同時安裝兩到三種 RMM 工具。
延伸閱讀:北韓、伊朗、俄羅斯APT集團升級攻擊技巧 ClickFix成網路間諜新利器
惡意程式趨勢也反映出這種攻擊模式。
Lumma 竊密程式成為 2025 年初最普遍的資訊竊取工具,它專門攻擊 Windows 系統,可收集瀏覽器資料、登入憑證和加密貨幣錢包資訊,主要通過釣魚郵件或假驗證碼頁面散布。遠端存取木馬(RAT)也同樣猖獗,如 AsyncRAT、Remcos 和 StealC 等。這些工具不僅提供攻擊者完整的遠端控制權,還能作為發動後續攻擊的跳板。
閱讀更多:2025年第一季 5大活躍惡意程式威脅
值得注意的是,儘管資料竊取事件持續增加,勒索軟體和加密事件卻呈明顯下降趨勢。LevelBlue 觀察到勒索軟體案例減少了 78%,未授權存取事件更是下降了 94%。然而,這並非意味著威脅已消失,反而可能暗示攻擊者已進化到能在不觸發警報的情況下達成目標。
資安防禦人員必須保持高度警覺,並督促組織強化使用者教育訓練,尤其著重於防範假驗證碼等社交工程技術。同時,
應嚴格管控 PowerShell、指令碼執行和隧道工具的使用權限。實施網路區隔、限制系統間橫向移動,以及定期審查端點安全政策,都是不可或缺的基本防護措施。
本文轉載自 HelpNetSecurity。