三月份揭示的主要網絡安全威脅 2025

尤金·洛阿里斯

訊息

行進 2025 已經看到了網絡威脅策略的顯著發展, 隨著勒索軟件小組採用新技術並擴大其操作. 安全研究人員已經確定了本月的幾個高影響力威脅, 包括公司間諜集團轉向勒索軟件, 新的EDR逃避工具, 複雜的民族國家攻擊, 和針對企業的欺騙性網絡釣魚運動. 這項全面的分析涵蓋了安全專業人士和企業應了解的最重要的網絡安全發展.

主要網絡安全威脅 – 行進 2025 主要網絡安全威脅 – 2025 年 3 月 不同部門的影響評估 金融服務 衛生保健 政府 製造業 信息技術/管理服務提供商 高的 中等的 低的 QW密碼 勒索軟體 EDR殺戮者 工具 麻雀門 後門 假文件 轉換器 假塞姆拉什 網路釣魚

來源: 分析數據來自 安克諾斯威脅研究單位 結合行業影響評估

紅捲進化: 企業間諜組織利用 QWCrypt 發起首個勒索軟件活動

三月 26, 2025, 安全研究人員發現,臭名昭著的黑客組織 RedCurl (也被稱為地球卡普雷和紅狼) 已從傳統的企業間諜活動轉向首次部署勒索軟件. 這一戰略支點標誌著該集團策略的重大演變, 技巧, 和程序 (TTP).

QWCrypt勒索軟件技術分析

新發現的勒索軟件菌株, 命名為 QWCrypt, 專門針對虛擬機, 對於擁有虛擬化基礎設施的組織來說尤其危險. 該惡意軟件的攻擊鏈始於包含 HR 主題誘餌的複雜魚叉式網絡釣魚電子郵件. 這些電子郵件傳遞惡意 PDF 和 ISO 文件,這些文件通過合法的 Adob​​​​e 可執行文件旁加載惡意軟件, 利用受信任的應用程序路徑來逃避檢測.

攻擊階段 技術細節
初始訪問 帶有 HR 主題誘餌的魚叉式網絡釣魚電子郵件,其中包含惡意 PDF 和 ISO 文件
執行 通過合法的 Adob​​​​e 可執行文件旁加載惡意軟件
堅持 註冊表修改和使用系統權限創建的計劃任務
橫向運動 憑證盜竊和利用未修補的漏洞
影響 虛擬機加密, 導致整個基礎設施無法運行

該勒索軟件的設計似乎模仿了 LockBit 和 HardBit 等知名組織的元素, 可能會混淆歸因工作. 尤其, 研究人員尚未確定與這些攻擊相關的專用洩漏站點, 引發有關贖金需求是否真實,或者勒索軟件部署是否分散了該組織傳統間諜活動注意力的疑問.

目標和地理分佈

RedCurl 歷來針對加拿大的組織, 德國, 挪威, 英國, 和美國. 該組織轉向勒索軟件運營可能會將其威脅範圍從數據盜竊擴大到這些地區的運營中斷.

EDR殺戮者: RansomHub 的安全規避工具鏈接多個網絡犯罪組織

在整個三月跟踪的重大進展中, 安全研究人員通過使用名為 EDRKillShifter 的通用安全規避工具,發現了三個不同的網絡犯罪組織之間的聯繫. 這個工具, 最初是為 RansomHub 勒索軟件即服務的附屬機構開發的 (RaaS) 手術, 利用易受攻擊的驅動程序來禁用端點檢測和響應 (EDR) 軟體.

工具功能和技術細節

EDRkillShifter 代表了先進的 “帶上你自己的易受攻擊的驅動程序” (自備設備) 禁用安全防禦的方法. 該工具針對合法但易受攻擊的系統驅動程序, 利用它們關閉操作系統內的保護措施. 部署成功後, 它有效地使安全工具無法察覺後續的惡意活動.

新發現的威脅行為者, 稱為四路切換器, 已觀察到在多個勒索軟件組織發起的攻擊中使用了 EDRKillShifter, 包括:

  • 勒索中心
  • 玩勒索軟件
  • 美杜莎勒索軟件
  • BianLian ransomware

研究人員通過分析共享的 EDRKillShifter 樣本和命令與控制服務器基礎設施證實了這些群體之間的聯繫, 演示如何在不同的勒索軟件操作之間共享工具.

防禦建議

由於這些攻擊需要管理訪問權限, 組織可以實施多種預防措施:

  1. 對已知易受攻擊的驅動程序實施驅動程序阻止列表
  2. 使用 Windows Defender 的驅動程序阻止列表功能進行保護
  3. 監控驅動程序加載事件, 特別是那些與第三方工具相關的
  4. 部署先進的 EDR 解決方案,可以檢測禁用安全軟件的嘗試
  5. 實施強大的訪問控制以防止攻擊者獲得管理權限

EDR 殺手的崛起凸顯了勒索軟件策略的一個令人擔憂的趨勢, 隨著威脅行為者不斷適應繞過日益複雜的安全防禦.

中國APT組織FamousSparrow使用ShadowPad進化攻擊工具包

安全研究人員發現針對美國的針對性攻擊. 貿易組織和墨西哥一家研究機構歸因於中國先進的持續威脅 (易於) 組名麻雀. 該活動, 3月初首次發現 2025, 涉及部署該組織的簽名 SparrowDoor 後門以及 ShadowPad 惡意軟件 - 標記使用此特定工具的第一個觀察到的 FamousSparrow 實例.

攻擊的技術細節

對該活動的分析揭示了 SparrowDoor 的兩個新版本, 包括顯著增強的模塊化變體,具有改進的命令執行能力. 攻擊順序遵循民族國家行為者熟悉的模式:

  1. 初始訪問: 利用過時的 Windows Server 和 Microsoft Exchange Server 漏洞
  2. 堅持: 部署複雜的 Web shell 以維護訪問
  3. 有效負載交付: 安裝 SparrowDoor 後門和 ShadowPad 惡意軟件

SparrowDoor 的模塊化版本支持多種高級功能, 包括:

  • 擊鍵記錄以防止憑證被盜
  • 用於數據洩露的文件傳輸
  • 進程操縱以保持隱秘性
  • 用於視覺情報收集的遠程桌面捕獲

影子墊, 通常與中國國家支持的威脅行為者相關的模塊化後門, 顯著擴展了 FamousSparrow 的功能, 建議中國 APT 組織之間潛在的合作或工具共享.

聯邦調查局警告: 假冒文件轉換器竊取信息並部署勒索軟件

聯邦調查局丹佛外地辦事處在觀察到有關虛假在線文檔轉換器被用來竊取敏感信息和部署勒索軟件的報告增加後,發布了緊急警告. 這個警告, 3月發布 20, 2025, 突出了針對個人和企業用戶的一個令人擔憂的趨勢.

攻擊如何進行

網絡犯罪分子創建欺騙性網站,聲稱提供免費文檔轉換服務,但隱藏惡意意圖:

  1. 搜索文檔轉換工具的用戶會遇到這些網站, 經常通過 Google 廣告進行推廣
  2. 這些網站看似合法,實際上可能提供承諾的轉換功能
  3. 當用戶上傳文檔進行轉換時, 這些網站從文件內容中提取敏感信息
  4. 返回的轉換後的文件包含建立遠程訪問的嵌入式惡意軟件
  5. 在更嚴重的情況下, 勒索軟件已部署, 加密受害者的文件

研究人員已經確定了多個指標來幫助識別這些欺詐性轉換器網站:

警告標誌 細節
領域年齡 通常是在過去註冊的 30 天
隱私權政策 隱私信息缺失或極其模糊
聯繫信息 沒有合法的業務聯繫方式
SSL證書 通常使用經過最少驗證的免費證書
網站設計 合法服務的克隆,稍加修改

通過這些服務傳遞的惡意軟件可以提取各種敏感信息, 包括名字, 密碼, 加密貨幣種子, 和銀行憑證, 給受害者造成重大經濟損失.

防止假冒轉換器攻擊

為了防範這些威脅, FBI 建議採取多項預防措施:

  • 僅使用已建立的, 信譽良好的文件轉換工具和服務
  • 安裝可以識別惡意網站的全面安全軟件
  • 上傳敏感文件前驗證網站合法性
  • 處理敏感信息時考慮使用離線轉換工具
  • 定期備份關鍵文件,以便在遭受勒索軟件攻擊時進行恢復

對於已經成為這些騙局受害者的企業和個人, 一個提示 惡意軟件刪除過程 對於減輕潛在損害至關重要.

SEO 專業人士成為複雜網絡釣魚活動的目標

新發現的網絡釣魚活動專門針對 SEO 專業人士,使用虛假的 Semrush Google Ads 竊取 Google 帳戶憑據. 塞姆拉什, 一個流行的 SaaS 平台,提供 SEO 工具, 在線廣告, 和內容營銷, 在這場針對性很強的活動中被冒充.

活動細節和目標

安全分析師認為巴西威脅組織是此次活動的幕後黑手, 其具體目的是捕獲 Google Ads 帳戶以發起進一步的惡意廣告攻擊. 該操作展示了對數字營銷生態系統的深入理解:

  1. 攻擊者模仿 Semrush 的界面創建令人信服的網絡釣魚網站
  2. 這些網站使用與 Semrush 類似的域名,但具有不同的頂級域名
  3. 受害者被迫通過以下方式進行身份驗證 “使用谷歌登錄” 功能性
  4. 輸入憑據時, 攻擊者可以訪問受害者的 Google 帳戶
  5. 此訪問權限可導致 Google Analytics 和 Google Search Console 中的敏感業務數據被盜

在相關開發中, 另一項正在進行的網絡釣魚活動是利用 Google 搜索結果中的虛假 DeepSeek 廣告來傳播 Heracles MSIL 木馬, 針對加密貨幣錢包的信息竊取惡意軟件. 該活動使用贊助的 Google 搜索結果將受害者引導至傳播信息竊取程序的惡意網站.

行業影響與預防

這些網絡釣魚活動凸顯了針對特定專業群體的針對性攻擊的不斷演變的性質. SEO 和數字營銷專業人員應實施額外的安全措施, 包括:

  • 對所有 Google 帳戶啟用多重身份驗證
  • 輸入憑據之前仔細驗證登錄頁面的 URL
  • 使用具有網絡釣魚檢測功能的密碼管理器
  • 對用於軟件服務的 Google Ads 持懷疑態度, 即使它們出現在搜索結果的頂部
  • 在全公司範圍內實施有關這些特定威脅的安全意識培訓

組織還應考慮實施 全面的安全解決方案 可以自動檢測並阻止網絡釣魚嘗試和惡意軟件下載.

協同防禦: 應對不斷變化的威脅形勢

正如這些威脅所表明的, 網絡犯罪策略的複雜性和影響力不斷發展. 組織應採用多層安全方法,包括:

  1. 漏洞管理: 維護最新的系統清單並定期修補, 特別是對於 Microsoft Exchange 等面向互聯網的應用程序.
  2. 電子郵件安全: 部署高級電子郵件過濾解決方案來檢測和阻止複雜的網絡釣魚嘗試, 尤其是那些使用 HR 主題誘餌的人.
  3. EDR/XDR 解決方案: 實施現代端點保護平台,可以檢測並響應禁用安全工具的嘗試.
  4. 安全意識: 對員工進行定期培訓, 特別關注識別網絡釣魚嘗試和可疑網站.
  5. 事件響應計劃: 開發並定期測試事件響應程序,以確保在發生安全漏洞時快速遏制和恢復.

勒索軟件操作的融合, 民族國家策略, 有針對性的網絡釣魚活動創造了一個充滿挑戰的安全環境,需要保持警惕並採取主動防禦措施. 通過隨時了解新出現的威脅並實施適當的安全控制, 組織可以在這個不斷變化的環境中減少風險暴露.

對於擔心潛在感染的個人和企業, 考慮使用類似的工具 木馬清除器 掃描並消除可能已經危害您系統的惡意軟件.

聚氨酯酸:win32/rdpwrap – 該怎麼辦?

發表評論