報告：身分攻擊激增32%，密碼破解與社交工程成主要威脅

2025 / 10 / 30

編輯部

微軟 2025 年數位防禦報告指出，駭客大量利用竊取的身分憑證入侵企業網路，冒充員工或承包商進行資料竊取與勒索軟體攻擊。報告顯示，2025 年上半年身分攻擊事件激增 32%，其中超過 97% 的攻擊手法仍是傳統的密碼破解。

微軟企業副總裁 Amy Hogan-Burney 表示，儘管網路威脅日益複雜，絕大多數惡意登入嘗試仍採用大規模密碼猜測攻擊。駭客從憑證外洩事件中取得使用者帳號與密碼，再進行批次攻擊。

延伸閱讀：逾半數網路攻擊與敲詐及勒索軟體威脅有關

資訊竊取程式與社交工程成新興威脅

除了傳統密碼攻擊，駭客正採用更多元的手法竊取憑證。資訊竊取程式的使用量大幅增加，這類惡意軟體能靜默收集大量憑證與敏感資訊，駭客取得後可自行使用或在地下論壇販售。報告特別提到過去一年最活躍的資訊竊取程式之一 Lumma Stealer，微軟也參與了針對它的打擊行動。

另一項值得關注的趨勢是 IT 詐騙的興起。駭客直接致電企業服務台要求重設密碼，這種社交工程手法近期因 Scattered Spider 組織發動的多起高調攻擊而受到關注，凸顯了社交工程在現代網路犯罪中的重要性。

報告追蹤了 2024 年 7 月至 2025 年 6 月的威脅趨勢，發現 IT 公司與各級政府機關是最常遭受攻擊的目標。駭客也廣泛利用多個重要漏洞，包括影響檔案分享工具 Cleo 的 CVE-2024-50623，以及 Fortinet、BeyondTrust 和 SimpleHelp 等知名工具的安全漏洞。

勒索軟體攻擊手法演變

微軟事件應變團隊指出，在可確認攻擊目的的案例中，19% 涉及勒索軟體。資安公司 Intel 471 的資料顯示，過去一年有 120 種勒索軟體變種攻擊了 71 個產業，超過半數受害者位於美國。

勒索軟體攻擊目標出現明顯轉移。在勒索軟體外洩網站公布的受害者中，近半數企業年營收不到 5000 萬美元。駭客日益倚重社交工程手法取得或重設憑證，尤其是語音釣魚（Vishing）和技術支援詐騙。

研究人員表示，今年多個威脅行為者發動了以服務台為主題的社交工程攻擊，透過 Teams 等通訊平台與目標溝通，並使用 Windows 內建的 Quick Assist 工具進行遠端存取。

勒索軟體即服務（Ransomware-as-a-Service）生態系統具有高度靈活性。微軟現在追蹤特定威脅行為者，而非單一勒索軟體家族，因為許多駭客會使用多種勒索軟體。例如，網路犯罪組織 Octo Tempest 在一年內就使用了 Dragon Force、RansomHub 和 Qilin 等多種勒索軟體，顯示駭客能輕易在不同勒索軟體服務之間切換。

閱讀更多：勒索軟體「卡特爾聯盟」成形　朝日啤酒遭攻擊損失恐達 3.35 億美元

防毒軟體排除設定成為攻擊新途徑

駭客開始利用防毒軟體的排除設定來規避偵測。IT 或資安團隊通常會設定排除規則，避免防毒軟體浪費資源掃描可信任的檔案或目錄。

研究人員解釋，駭客會尋找設定過於寬鬆的排除規則，利用這些漏洞在人為操作的入侵過程中停用或繞過防禦機制。在今年觀察到的人為操作勒索軟體事件中，30% 的攻擊者利用排除設定繞過防毒防禦。

儘管威脅持續演變，好消息是勒索軟體攻擊達到加密階段的速度已經放緩。微軟的事件追蹤數據顯示，2024–2025 年的成長率僅為 7%，相較於 2023–2024 年的 102% 大幅下降。

微軟瓦解 Rhysida 勒索軟體攻擊行動

微軟在 10 月初成功瓦解了一波針對 Teams 使用者的 Rhysida 勒索軟體攻擊，撤銷了超過 200 個用於簽署惡意 Teams 安裝程式的憑證。

發動攻擊的威脅組織 Vanilla Tempest 使用了多個仿冒 Microsoft Teams 的網域，例如 teams-install[.]top、teams-download[.]buzz 等，散布帶有 Oyster 後門程式（也稱為 Broomstick 或 CleanUpLoader）的假冒 MSTeamsSetup.exe 檔案。

微軟指出，Vanilla Tempest 是以金錢為動機的威脅組織，專門部署勒索軟體並竊取資料進行勒索。該組織自 2021 年 6 月開始活動，經常鎖定教育、醫療、IT 與製造業發動攻擊。在以 Vice Society 名義活動期間，曾使用多種勒索軟體，包括 Hello Kitty/Five Hands 和 Zeppelin。