根據美國資安研究機構 Recorded Future 的 Insikt Group 最新報告指出,
2025年上半年已知的漏洞攻擊中,超過半數(53%)來自國家級駭客組織,這些攻擊主要為達成戰略性與地緣政治目的。
研究人員指出,這些發現顯示了資源充足的國家級駭客組織具備日益增強的能力,可在漏洞公開後迅速將這些弱點武器化。地緣政治目標,如網路間諜活動和監控,是這些威脅行為者的主要動機。國家級駭客的參與表明這些威脅並非隨機或機會性攻擊,而是針對特定領域或高價值系統的目標性持續性進階威脅(APT)行動。
中國政府支持的駭客組織是大多數國家級駭客攻擊活動的來源。這些組織自2024年以來持續針對邊緣基礎設施和企業解決方案進行攻擊。
在2025年上半年,疑似與中國有關的
駭客組織 UNC5221 利用的漏洞數量最多。該組織專門針對Ivanti 產品進行攻擊,包括 Endpoint Manager Mobile、
Connect Secure 和 Policy Secure 等解決方案。
延伸閱讀:Ivanti漏洞風險從「低」升級為「關鍵」:中國駭客組織UNC5221積極利用中
以金錢為動機的駭客團體則佔據了剩餘 47% 的漏洞攻擊,27% 來自於涉及竊取與詐騙但與勒索軟體無關的攻擊者,而 20% 則歸因於勒索軟體和勒索活動的集團。
研究人員預測,針對邊緣安全設備、遠端存取工具和網路閘道層軟體的漏洞攻擊,將持續是國家級及金錢導向駭客組織的首要目標。這些系統作為加密流量和特權訪問的中介,具有高度策略價值,因此成為高回報的攻擊標的。值得注意的是,微軟是受攻擊最多的廠商,其產品佔所有漏洞攻擊的 17%。
大多數漏洞攻擊不需要身分驗證
Insikt Group 於 8 月 28 日發布的《2025上半年惡意程式與漏洞趨勢》報告顯示,已揭露的通用漏洞與弱點(CVE)總數較去年同期增加 16%。
在這六個月期間,攻擊者利用了 161 個不同的漏洞進行攻擊,相較於 2024 上半年的 136 個明顯增多。值得注意的是,這 161 個弱點中,
高達 69% 無需任何身分驗證即可被利用,而 48% 可透過網路進行遠端攻擊。
研究人員指出,這種明顯傾向於無需身分驗證且可遠端利用的漏洞,意味著攻擊者可直接從網際網路對脆弱目標發動攻擊,完全不需要任何憑證或內部存取權限。
此外,30% 的被利用 CVE 可實現遠端程式碼執行(RCE),讓攻擊者能夠完全控制受害系統。
ClickFix成為初始存取的新興技術
2025年上半年,勒索軟體攻擊者採用了多種新型初始存取技術。其中
ClickFix 社交工程攻擊明顯增加。ClickFix 透過假冒的錯誤訊息或驗證提示,誘使受害者複製並執行惡意腳本。這種策略利用了使用者傾向自行解決問題而非通報資訊部門的心理。由於受害者主動執行惡意程式,這種手法能有效繞過現有的資安防護機制。
延伸閱讀:美國FBI與CISA緊急示警:Interlock勒索軟體攻擊活動急劇升溫
在 2025 年 1 月和 2 月,研究人員發現 Interlock 攻擊集團在其攻擊活動中採用 ClickFix 技術。隨後,該組織更進一步使用了
FileFix 技術(ClickFix 升級版),攻擊者不再利用對話框,而是誘導使用者將惡意檔案路徑直接貼到 Windows 檔案總管的地址列中。
閱讀更多:Interlock 勒索軟體集團釋出新型遠端存取木馬 展開大規模攻擊
Insikt Group 評估,由於 ClickFix 具有高成功率,若無廣泛的防禦措施來降低其有效性,這種技術很可能在 2025 年剩餘時間持續成為駭客偏好的初始入侵手法。成功入侵後,勒索軟體集團已開始更頻繁使用自帶安裝程式(BYOI)技術來繞過端點偵測與回應(EDR)系統,同時透過即時掛鉤(JIT)和記憶體注入的客製化惡意載荷來規避安全檢測。
本文轉載自 InfosecurityMagazine。