供应链漏洞

CI/CD 管道为攻击者提供了进入生产的可信路径。被破坏的构建系统允许插入恶意代码、泄露环境机密或修改推送到生产注册表的工件。Jenkins、GitHub Actions、GitLab Runners 和自托管代理在运行时通常会提升权限，并尽量减少出口监控。

恶意软件包插入利用了对第三方依赖关系的信任。攻击者利用错字抢占、repo-jacking 或冒充贡献者等手段木马库，然后发布到开放源。如果被下游项目使用，恶意代码就会在构建或安装过程中执行，通常会在未经检查的情况下进入生产过程。

相关文章云供应管道攻击剖析

供应链入侵通过在已签名、已验证的人工制品范围内运行，绕过了运行时防御系统。防御者必须强制执行出处，应用可重现的构建，并采用软件物料清单（SBOM）验证，以减少风险。管道机密，尤其是授予云访问权限的管道机密，必须自动轮换，并保持绝对最小的范围。

OT 和 IoT 攻击

IT 和 OT 的融合为工业环境带来了威胁，而这些威胁以前只针对数字系统。与此同时，物联网生态系统的扩展速度超过了大多数组织的安全防护能力，往往会暴露出未经充分测试的固件和未受管理的应用程序接口。

工业控制系统

协议操纵针对的是确定的、未经验证的 OT 协议，如 Modbus、DNP3 和 Profinet。这些协议缺乏加密或身份验证，允许攻击者注入命令、读取进程状态或修改传感器值，从而造成实际后果。在通过平面网络直接访问 PLC 的环境中，对手可以实时操控阀门、继电器或控制回路。

固件破坏将攻击引向深入，在引导加载程序或控制器一级嵌入恶意代码。攻击者通过被入侵的更新服务器或不安全的现场升级协议，植入代码，这些代码会在重启后持续存在，无法被常规检测到。有些变体会延迟紧急停机或干扰安全联锁。

现代 ICS 环境通常包含桥接主机 - 与 OT 和 IT 网络具有双重连接功能的 Windows 机器。这些都成为支点。如果没有严格的分隔，对手只需横向移动几步，就能从网络钓鱼电子邮件转入工厂控制。

物联网僵尸网络

物联网 僵尸网络仍然是大规模 DDoS 攻击和凭证充塞活动的主导力量。Mirai 变种因其源代码可用性、易修改性和默认密码扫描逻辑而占据主导地位。如果被入侵，路由器、DVR 和智能传感器等设备就会转发 C2 服务器的指令，并通过 HTTP 泛洪或 DNS 放大来压垮目标。

利用 API 可让攻击者访问管理平面。许多物联网平台公开的应用程序接口缺乏身份验证、允许权限升级或返回过于冗长的元数据。攻击者利用这些端点定位设备、重放遥测数据或部署固件降级，从而重新引入已知漏洞。

物联网生态系统很少强制执行安全入职。打补丁和远程管理也是如此。换句话说，如果不立即采取可见性和策略控制措施，加入网络的设备就会成为攻击面的一部分。大多数人不知道，攻击者也知道这一点。

网络攻击案例研究

最近的攻击揭示了威胁行为者如何利用错位控制、扁平架构或用户信任假设来制造结构性弱点。

MOVEit Mass-Exfiltration 入侵事件

2023 年 5 月，Clop 利用 Progress 软件公司 MOVEit Transfer 产品中的一个零日漏洞，发起了近期历史上最大的数据盗窃活动之一。该漏洞允许未经身份验证的 SQL 注入，使攻击者能够从 MOVEit 服务器大规模部署 web shell 和外渗文件。

几周内，数百家组织（政府机构、大学和金融机构）的 MOVEit 服务器被入侵。攻击者部署了自动化系统，以扩大对全球实例的访问。随后，他们又通过泄密网站进行勒索威胁。受害者包括壳牌石油公司、英国广播公司和美国。能源部。

The 数据泄露事件暴露了第三方文件传输管理 (MFT) 服务的系统性风险。许多组织未能将 MOVEit 服务器与敏感网段隔离，这使得攻击者在入侵后可以直接进入内部系统。

相关文章MOVEit Transfer SQL 注入漏洞：CVE-2023-34362、CVE-2023-35036 和 CVE-2023-35708

米高梅酒店社交工程入侵事件

2023 年 9 月，美高梅国际酒店集团遭受攻击，因为威胁行为者利用 LinkedIn 资料识别 IT 服务台员工，并通过电话以社交方式设计访问凭证。在入侵系统后，该组织部署了勒索软件，破坏了多家赌场和酒店的运营。

攻击者隶属于 Scattered Spider 组织，他们利用合法的 RMM 工具横向移动并禁用安全软件。停电影响了数字房间钥匙、游戏系统和支付终端一个多星期。公开文件显示，财务影响超过 1 亿美元。

这一漏洞突出了两点。首先，攻击者现在使用基于电话的借口和行为洞察来绕过身份控制。其次，许多企业 SOC 无法检测到合法管理工具在活动期间被滥用的情况。

2024 年医疗保健勒索软件浪潮

在整个 2024 年，勒索软件攻击在整个医疗保健行业激增。ALPHV、LockBit 和 Rhysida 的目标客户是医院、保险提供商和电子病历供应商。常见的入口点包括 RDP 暴露、VPN 漏洞和从员工工作站获取的信息窃取者凭据。

这些攻击通常包括在加密前进行数据外渗，泄露被盗病人记录以增加压力。在某些情况下，重症监护系统还出现了脱机。由于依赖传统软件和缺乏不可更改的备份，恢复时间长达数周。

医疗保健机构由于运行扁平化的内部网络、依赖过时的端点软件以及缺乏应用层分隔而深受其害。勒索软件操作员以外科手术般的精确度利用了这些条件，表明特定行业的合规性并不等同于运行复原力。

全球大选期间的人工智能辅助网络钓鱼

2024 年初，协调一致的网络钓鱼活动利用生成式人工智能冒充选举官员和可信的公众人物。Deepfake 音频信息和人工智能编写的电子邮件针对多个国家的选举工作人员、选民数据库和竞选团队，包括美国、印度和几个欧盟成员国（美联社新闻）。

这些宣传活动利用语言模型用当地方言创建令人信服的信息，并根据公共新闻报道周期进行动态调整。一些行动将电子邮件网络钓鱼与人工智能生成的电话相搭配，以加强紧迫性或可信度。攻击者获取凭证，操纵选民信息系统，并在网上泄露敏感的规划文件。

这些攻击突显了生成模型如何降低社会工程学的成本并提高其有效性。由于人为响应触发器和各辖区身份验证流程不一致，公共机构，即使是拥有加固基础设施的公共机构，仍然容易受到攻击。

相关文章: DeepSeek 被诱骗生成 SQL 注入和横向移动代码

工具、平台和基础设施

攻击者不再从头开始编写漏洞利用程序，也不再手动构建基础架构。它们在一个成熟的工具和服务生态系统中运行，反映了合法的软件开发实践。

恶意软件系列

Cobalt Strike 仍是目前被仿效和滥用最多的开发后框架。它最初是为红色团队设计的，可通过 HTTP、DNS 或命名管道实现有效载荷暂存、命令执行、横向移动和信标功能。威胁行为者经常部署修改了睡眠间隔、自定义混淆和禁用IoC 的破解版本。

Sliver 是一种开源替代方案，在安全团队和对手中都很受欢迎。它采用 Go 语言编写，可编译到多种架构，支持加密的点对点 C2，并提供快速定制功能。它的模块化架构使其很难被指纹识别，也很难在不同的操作系统中被检测到。

Havoc 代表了最新一代的后剥削工具包，旨在绕过现代 EDR。Havoc 于 2023 年底公开发布，包括内存有效载荷生成、沙箱规避和加密 C2 通道，旨在融入普通网络协议。由于其签名与 Cobalt Strike 重叠极少，它在附属勒索软件组中迅速流行起来。

相关文章Palo Alto Networks Unit 42 跟踪的威胁行为者团体

进攻型安全框架

Metasploit 仍是自动开发和有效载荷交付的基础。它支持漏洞利用链、反向外壳生成和内存暂存。Metasploit 的定期模块更新使其成为攻击者寻找进入过时系统的低摩擦路径的可靠资源。

Empire 由 PowerShell 构建，后来移植到 Python 3，专门从事 Windows 环境下的无文件攻击。它支持权限升级、凭证转储和 Kerberos 票据操作，所有这些都使用本地工具。由于 Empire 依赖于 PowerShell 远程登录、AMSI 规避和模块化脚本，因此它在网络钓鱼活动中仍具有重要意义，因为在这些活动中，本机执行是首选。

此类框架缩短了从发现漏洞到利用漏洞之间的时间。利用维护良好的库和针对企业弱点量身定制的预制模块，入侵者可以从扫描转向入侵。

初始接入经纪

接入即服务 "已发展成为一个正式的供应链。中间商入侵系统、提取凭证、验证网络存在，并将访问权拍卖给勒索软件制作者、数据挖掘者或间谍组织。访问级别包括 RDP、VPN、Citrix 网关、Active Directory 和云管理控制台。

暗网市场为交换提供了便利。Exploit、BreachForums（直至关闭）和 RuTOR 等论坛提供的列表有正常运行时间保证、行业垂直分类，甚至还有被入侵环境的预览。许多经纪人在严格的信誉模式下运作，使用托管和中间商来确保交易的完整性。

买家通常会在数小时内采取行动。货币化的速度意味着，一旦凭证出现在这些市场上，检测窗口就会崩溃。在横向移动已经开始或数据外泄触发外部通知之前，许多组织仍未意识到其风险。

利用经济

零时差经纪人是独立研究人员与民族国家或商业买家之间的桥梁。这些公司私下运作，为广泛部署的平台上的远程代码执行漏洞出价数十万美元。

中介漏洞经常绕过供应商的协调。买方要求获得开发的专有权，允许他们在不公开披露的情况下进行操作使用。一些经纪人专门从事地区业务，而另一些经纪人则为多个政府提供服务，这些政府的利益领域相互重叠，造成了重复开发。

HackerOne 和 Bugcrowd 等 Bug-bounty 平台具有不同的功能。它们激励大规模负责任的信息披露，但一些研究人员在私人提议失败后，会把悬赏作为一种退路。在某些情况下，通过悬赏披露的漏洞会在灰色市场工具链中被重新打包，尤其是在原始报告缺乏漏洞利用细节的情况下。

攻击基础设施继续向模块化、转售和自动化方向发展。未能监控这一生态系统的捍卫者将落后于形势。

网络攻击的影响

IBM 的《2025 年数据泄露成本报告》显示，数据泄露的平均成本为 445 万美元，其中美国企业的平均成本为 948 万美元。计算结果不包括监管罚款、法律赔偿和保险费上涨，这些因素往往会使总风险增加一倍。

运营中断

对于 86% 的组织而言，网络攻击会影响业务运营，停机时间有延长和增加的趋势。对于 SaaS 提供商或实时物流运营商来说，即使是四小时的中断也会影响整个客户生态系统。

破坏通常从上游开始。入侵发生后，供应商的可用性、质量或数据完整性下降。一次以 OT 为目标的攻击就可能导致生产延迟数月。在基于云的生态系统中，相互依存关系会放大故障，一个平台的宕机会影响到相关服务。

事件控制经常会中断核心业务。为了隔离传播，安全团队必须撤销令牌、重新映像系统、关闭网段并暂停 CI/CD 管道。即使避免了勒索软件的侵袭，但遏制勒索软件也会使创收功能停滞不前。

声誉受损

在漏洞标题和客户信息泄露之后，企业面临信誉崩溃的问题。利益相关者往往不仅质疑技术故障，而且质疑公司应对措施的道德姿态。

信任丧失的速度很快。上市公司在披露后股价下跌，医疗保健和金融等行业长期表现不佳。在私募市场，如果安全控制显得不足，投资者可能会推迟融资或降低估值。

市场信心的丧失会延伸到第三方。当信任度降低时，影响的范围无法用金钱来衡量。

全球信息泄露通知要求

GDPR 时间表

根据《通用数据保护条例》（GDPR），组织必须在发现涉及欧盟居民个人数据泄露的 72 小时内通知其监管机构。如果未能遵守这一时限，即使是无意为之，企业也将面临高达全球年营业额 4% 的罚款。

该法规还规定，如果外泄事件对受影响个人的权利和自由造成高风险，包括凭证被盗、行为特征分析或任何可能助长进一步利用的数据，则必须及时通知受影响个人。大多数组织之所以拖延，是因为他们不清楚事件是否达到了 "高风险 "门槛。监管机构表示，在涉及消费者数据的情况下，很难容忍模棱两可的说法。

CIRCIA 的任务

在美国，《关键基础设施网络事件报告法》（CIRCIA）将于 2026 年全面实施，但基本要求已经适用。受保护实体必须在 72 小时内向网络安全和基础设施安全局 (CISA) 报告重大网络事件，并在 24 小时内报告勒索软件付款情况。

CIRCIA 适用于 16 个关键基础设施部门，包括能源、金融、交通和公共卫生。报告必须包括

事件范围

被利用的漏洞

受影响的资产类型

采取的缓解措施

特定行业规则

财务复原力指南

在金融服务领域，监管机构现在将网络安全视为系统性风险。美国美国货币监理署 (OCC)、巴塞尔委员会和欧洲银行管理局已出台指导意见，要求董事会进行安全监督，其中包括维护恢复手册和证明关键功能的连续性。

从 2025 年 1 月起在欧盟范围内生效的《数字运行复原力法案》（DORA）将这些期望编纂成法律。DORA 要求对事件进行分类，并在发现后数小时内进行强制报告。此外，它还要求对运行恢复能力进行持续测试，包括与第三方提供商进行红队测试。不合规公司将面临监管制裁和市场审查。

医疗保健 HIPAA 执行

在美国，《健康保险可携性与责任法案》（HIPAA）仍然是保护健康信息的主要监管框架。民权办公室 (OCR) 规定在发现漏洞后 60 天内向受影响的个人发出通知，并要求承保实体维护符合 NIST 指南的审计日志、访问控制和加密标准。

利害关系不仅仅是罚款。根据《经济与临床健康信息技术法案》（HITECH），企业可能面临民事诉讼、多机构调查和长期合规监控，这往往需要加快资本支出，以实现网络安全控制的现代化。

检测、响应和情报

预防影响首先要做好准备，有能力检测异常情况、调查跨环境信号，并在恶意活动达到目的之前将其瓦解。

假设驱动的威胁捕猎

有效的猎杀会根据企业遥测数据对攻击者的行为进行建模，并寻找不会触发自动检测的活动证据。一种假设可能是，被入侵的服务账户被重新用于使用远程管理工具进行横向移动。猎人通过身份验证日志、PowerShell 脚本和资产的长期行为来验证这一理论。然后，通过验证狩猎创建的检测结果将被纳入 SOC 工作流程。

指示器旋转

从已知指标出发，可加快发现相关漏洞。威胁猎手可摄取 IoC 并将其与端点、网络和云遥测相关联。与加载器绑定的单个哈希值可能会暴露多个受感染主机或共享 C2 基础设施。

攻击者经常在不同活动中重复使用战术。通过透视发现共同的操作特征，并揭示最初妥协之外的范围。当与 VirusTotal、PassiveTotal 或 GreyNoise 等丰富资源搭配使用时，透视可在影响产生之前隔离敌方行为。

事件应对准备

游戏手册开发

投资者关系手册规定了组织如何在压力下做出反应。无论是凭证泄露还是供应链滥用，攻击矢量都需要一个量身定制的检测和验证序列、遏制步骤、升级触发器和恢复工作流。战术手册让团队不必浪费时间即兴发挥。

有效的游戏手册包括

记录系统

角色分配

法律和监管接触点

触发外部通信的标准

僵化的脚本在真正的入侵中会失效，这也是为什么要对 playbook 进行测试、版本控制并与实际遥测源绑定的原因。应对措施必须考虑到攻击者行为的变化、内部依赖性和退化环境的现实。

危机传播渠道

危机公关需要预定义的内部和外部渠道、行政发言人、法律审查节奏和清晰的信息传递。高管必须与法律、运营和公共关系部门协调，因为错误陈述可能违反美国证券交易委员会的披露规则或引发监管机构的调查。沟通必须反映当前的取证状态，确认哪些已经确认，哪些正在审查，以及何时更新。

网络威胁情报

从内部遥测、商业馈送、ISAC 和开源渠道汇总高保真威胁情报。情报必须包括背景细节（即基础设施的使用情况、TTP、瞄准逻辑、归因可信度）。只提供 IP 而不提供上下文的馈送会降低信号质量，并使 SOC 因误报而不堪重负。

有效的计划会区分三种类型的情报：

战略情报为长期防御规划提供信息。

战术情报推动即时检测工程。

业务情报将入侵与活动、基础设施重叠或威胁行为者的技术联系起来。

情报汇集中心将情报与侦查、调查和应对结合起来。如果不对端点、云、网络、身份和第三方遥测进行跨域整合，企业就会错过相关性。

成熟的团队在摄取、标记会话、工件或流程时，会使用风险评分和上下文标签来丰富遥测内容。分析师可以跨层分析，从 DNS 查询到身份行为，再到 SaaS 管理员日志，而不会浪费时间。

新出现的网络攻击趋势

攻击面的变化速度比大多数组织更新战术手册的速度还要快。针对当前状态风险制定的防御战略往往会在未来状态速度下失效。现在的威胁形势包括对手利用计算进行扩展、利用模型进行调整，以及在防御者读完标准之前利用结构转换。