从伪造的验证码到远程攻击工具 (RAT)：2025 年网络欺骗威胁趋势

https://cyber.levelblue.com/asset/f66dfc10-9ffa-48de-ae7a-df517a842a3a/original/TTR-LevelBlue-Threat-Trends-2025-Edition-Two.pdf

网络犯罪分子的谎言越来越厉害了。这是 LevelBlue 最新报告的要点。该报告概述了攻击者如何利用社会工程学和合法工具，在被发现之前悄无声息地潜入网络环境。

在这短短的时间内，受安全事件影响的客户数量几乎增加了两倍。这一比例从2024年末的6%跃升至2025年初的17%。超过一半的事件始于初始访问阶段。攻击者一旦入侵，便迅速行动。从入侵到横向移动的平均时间不到60分钟。在某些情况下，甚至不到15分钟。

这种速度之所以可能，是因为攻击者仍然依赖熟悉的工具。远程桌面协议 (RDM) 仍然是从一个系统迁移到另一个系统的最常用方法。远程监控和管理 ( RMM ) 软件被广泛用于保持访问活跃。LevelBlue 发现许多在同一主机上安装多个 RMM 工具的案例。隧道实用程序可帮助攻击者绕过防火墙并隐藏其活动。这些策略并非新鲜事物，但它们的使用正变得更加精准和自动化。

2025 年上半年一个引人注目的发展是，威胁行为者的欺骗手段变得更加精明。他们超越了传统的 BEC 方案，使用有针对性的社会工程学手段来操纵用户打开大门。一旦进入网络，他们就会部署远程访问木马并迅速掩盖踪迹，从而以惊人的速度在网络中横向移动。这并非昙花一现的趋势——我们完全预计这种转变将持续到 2026 年。

另一个趋势是与商业电子邮件入侵相关的事件数量下降。BEC 仍然占初始访问的最大份额，为 57%，但较上一报告期的 74% 有所下降。这种变化与伪造验证码诈骗和帮助台冒充的急剧增加有关。社会工程学目前占初始访问方法的 39%，几乎是 2024 年底的三倍。

ClickFix是最常被提及的恶意活动。在这些攻击中，用户被诱骗将一行代码复制到 Windows 的“运行”框中。这段代码看起来像是常规的验证码或安全提示。但实际上，用户并没有进行任何验证，而是启动了一个 PowerShell 命令，该命令会连接到外部服务器并下载恶意软件。有效载荷通常是远程访问木马，例如 NetSupport、Quasar 或Lumma Stealer。与 ClickFix 相关的活动在短短六个月内增长了 1400% 以上。

一旦攻击者进入系统，他们就会依靠 RMM 工具和隧道技术的组合来维持访问权限。Plink 和 Ngrok 等工具通常用于创建隐藏连接。这些连接会融入正常的 IT 操作，使防御者更难发现。有些案例涉及同时安装两个甚至三个 RMM 工具。

恶意软件趋势也反映了这种方法。Lumma Stealer 是 2025 年初最常见的信息窃取程序。它以 Windows 系统为目标，收集浏览器数据、凭证和加密货币钱包。它通常通过钓鱼邮件或伪造的验证码页面进行传播。远程访问木马也很活跃，包括AsyncRAT、Remcos 和 StealC。每种木马都为攻击者提供了完全的远程访问权限和发起新攻击的能力。

虽然数据盗窃案件不断增加，但勒索软件和加密事件却有所减少。LevelBlue 发现勒索软件案件下降了 78%，未经授权的访问事件下降了 94%。但这并不意味着威胁已经消失。这很可能表明攻击者在没有触发警报的情况下得到了他们想要的东西。

防御者应该注意。该报告敦促各组织重视用户培训，尤其要防范诸如伪造验证码之类的社会工程学手段。报告还建议对 PowerShell、脚本执行和隧道工具进行更严格的控制。此外，对网络进行分段、限制横向移动以及审查端点安全策略也是关键步骤。