网络威胁分析：2025年上半年恶意软件与漏洞趋势报告

加入网络安全AI安全群

请在公众号 发消息 群

本报告详细分析了2025年上半年的网络威胁趋势，揭示漏洞利用、恶意软件和勒索软件等领域的关键变化，并为组织提供应对策略。

一、研究背景

研究问题：文章聚焦于2025年上半年全球网络安全威胁的动态变化，特别是漏洞披露数量增加、恶意软件战术演变以及移动威胁和勒索软件新型攻击模式的崛起。这些问题的重要性在于帮助安全团队理解当前威胁环境的关键趋势，从而制定更有效的防御策略，以应对不断扩大的攻击面和复杂化攻击手段。

研究难点：研究过程中面临的主要挑战包括如何从海量数据中识别最相关的漏洞和威胁活动，特别是在公开漏洞利用（PoC）增多的情况下确定优先级；对恶意软件行为进行分类并与MITRE ATT&CK框架对齐的技术复杂性；以及跟踪国家支持行为者快速武器化漏洞的能力。此外，新兴移动恶意软件和无接触支付威胁的检测与缓解也带来了技术上的难题。

文献综述：文章引用了Recorded Future Triage提交数据、Insikt Group报告及MITRE ATT&CK矩阵中的相关技术细节，同时结合了美国网络安全和基础设施安全局（CISA）已知被利用漏洞目录（KEV）等权威资源。这些资料共同构成了对2024年至2025年间漏洞利用趋势、恶意软件战术和勒索软件创新模式的全面分析基础。

二、漏洞利用趋势

关键发现：2025年上半年共披露了23,667个CVE，比2024年上半年增加了16%。攻击者积极利用了161个漏洞，其中42%有公开的PoC漏洞利用。微软产品占被利用漏洞的17%，边缘安全和网关设备同样占比17%。69%的被利用漏洞不需要认证，近三分之一允许远程代码执行。

微软主导漏洞利用：微软产品在被积极利用的漏洞中占据首位，有28个，其中二十个针对Windows。攻击者还集中于边缘安全和网关产品，如SSL-VPNs和下一代防火墙。这些设备在网络边界终止VPN、解密流量并建立网络信任，因此成为高价值目标。

UNC5221聚焦Ivanti产品：威胁行动者利用这些漏洞进行各种攻击，国家资助的活动占观察到的一半以上。中国国家资助的行动者或疑似与中国有关的团体在地理上占多数。UNC5221利用了最高数量的漏洞，特别偏好Ivanti产品。

三、恶意软件趋势

主要发现：遗产恶意软件家族如Sality和Tofsee重新成为主要威胁，Sality在配置型C2检测中排名第一。商品远程访问木马（RAT）如AsyncRAT、XWorm和Remcos在Recorded Future Triage数据中显著出现，反映了威胁行动者对支持持久访问和数据盗窃工具的持续偏好。

MITRE ATT&CK战术：TA0011（命令与控制）是最常观察到的TTP，记录了超过194,000次事件。其他常用技术包括数据加密、本地数据盗窃和凭证滥用，突显出货币化和横向移动的重要性。

勒索软件新TTPs：勒索软件威胁行动者在整个攻击链中采用了新的TTPs，包括基于ClickFix的社会工程初始访问、通过BYOI技术规避EDR以及使用JIT钩子和内存注入来绕过检测的定制payload。

四、移动恶意软件

不断扩大的领域：2025年上半年识别出至少11种新的恶意软件，包括RAT、信息窃取器和间谍软件，并且九种已知的恶意软件继续使用或复苏。银行木马采用覆盖和NFC中继攻击进行现实世界欺诈，而Magecart运营商扩展到WooCommerce并使用模块化e-skimmers来逃避检测。

威胁行为者策略：威胁行为者依赖长期建立的TTPs交付移动恶意软件，主要结合社会工程策略如smishing和vishing，以虚假下载和品牌冒充诱骗受害者安装恶意APK。他们还利用Google Play等官方商店和供应链妥协来分发恶意软件。

无障碍服务滥用：一旦安装，Android目标恶意软件经常滥用品牌的无障碍服务，这是一种长期的TTP，授予对受感染设备的广泛控制。GodFather引入了一种新的虚拟化基础覆盖技术，有效绕过标准覆盖检测机制。

五、勒索软件

创新吸引附属机构：2025年上半年，勒索软件领域继续发展，CL0P在相对安静的2024年后回归。新兴的勒索软件群体获得吸引力，可能反映了LockBit基础设施拆解和ALPHV退出骗局后留下的真空和不确定性。

新初始访问和防御规避技术：Interlock勒索软件在2025年初使用ClickFix进行社会工程攻击。行动者还使用“EDR杀手”工具终止防御软件，并采用新的“带自己的安装程序”（BYOI）技术来禁用EDR。

有效载荷部署：Qilin勒索软件攻击使用自定义和高度混淆的.NET基础加载程序NETXLOADER来交付勒索软件payload和SmokeLoader进入内存。此外，勒索软件威胁行动者在入侵过程中使用合法和双重用途的软件工具。

六、Magecart感染

持续高感染率：2025年上半年，Magecart e-skimming继续大规模威胁在线商家。数千个电子商务域名受到影响，保持Magecart为支付安全的广泛关注点。操作者继续利用2024年推出的恶意软件包和策略，同时扩展到新平台。

技术进化：Magecart掠取技术在2025年上半年继续演化。威胁行动者尝试更加隐蔽的加载方法以逃避检测，例如使用模块化的Google Tag Manager容器链来隐藏JavaScript代码并建立WebSocket连接进行实时数据泄露。

七、总结

研究发现总结：2025年上半年的网络安全威胁环境呈现出快速演变的特点，边缘安全设备、远程访问工具和网关层软件成为国家资助和经济驱动威胁行动者的首要目标。遗产恶意软件和新型恶意软件共同存在，远程访问木马和勒索软件采用新技术规避检测。

重要性阐述：这些发现表明组织需要优先修补互联网面对的系统，特别是网关和边缘安全产品。检测能力必须扩展到端点遥测之外，包括行为监控、C2流量分析和Web环境中脚本混淆检测。投资威胁情报对于跟上快速变化的战术至关重要，组织应重新审视移动设备政策并加强应用审查和用户意识。

未来展望：预计到2025年底，边缘安全设备、远程访问工具和其他网关层软件将继续成为主要目标。随着漏洞披露和补丁实施之间的差距扩大，威胁行动者将更频繁地利用这些漏洞。移动恶意软件将在网络犯罪活动中扮演越来越重要的角色，特别是在无接触支付欺诈和虚拟化规避技术方面。

文件已上传至星球。

近七天上传文件列表

扫码加入知识星球：网络安全攻防（HVV）

下载本篇和全套资料

HVV（红队蓝队资料、威胁情报、技战法）

渗透测试、漏洞、代码审计、APT、DDOS、

勒索病毒、CTF、逆向