安全期刊20250331
发布时间:
2025-03-31
来源:
作者:
访问量:
IDC预计2028年中国网络安全市场规模将超170亿美元,五年复合增长率9.2%
乌克兰国家铁路遭受大规模网络攻击,在线购票系统瘫痪,铁路运营未受影响
关键基础设施网络安全威胁增加,OT环境风险加剧
勒索软件攻击激增132%,但赎金支付减少35%
Oracle深陷网络安全风波,被指云基础设施遭大规模数据泄露
BlackLock勒索软件数据泄露站点存在LFI漏洞
RedCurl战术转变开始部署QWCrypt勒索软件
Cyber Av3ngers部署新型恶意软件IOCONTROL攻击美国燃料管理系统
CISA披露油气制造业关键设备面临高危漏洞威胁
黑客组织Weaver Ant长期潜伏电信网络
黑客组织UAT-5918针对中国台湾地区关键基础设施发起攻击
TXOne Networks发布Stellar 3.2版本增强OT威胁检测与响应能力
IDC预计2028年中国网络安全市场规模将超170亿美元,五年复合增长率9.2%
国际数据公司(IDC)于近日发布了2025年V1版《全球网络安全支出指南》(IDC Worldwide Security Spending Guide)。IDC数据显示,2023年全球网络安全IT总投资规模为2,150亿美元,并有望在2028年增至3,770亿美元,五年复合增长率(CAGR)为11.9%。IDC预测,中国网络安全市场规模从2023年的110亿美元增长至2028年的171亿美元,五年复合增长率为9.2%。
受宏观经济与疫情影响,中国网络安全支出和上期预测相比小幅降低。国家在网络安全、数据安全、个人信息保护等方面的政策法规不断完善,持续为行业重要数据以及个人信息给予坚实的保障,未来中国网络安全市场将更加成熟。云化、服务化成为当前中国安全技术市场的主要发展方向,网络安全软件和服务市场持续增长,五年复合增长率分别为11.5%和11.9%。
聚焦网络安全硬件市场,随着企业和个人对网络安全的重视程度不断增强,合规政策成为一项重要的推动力。与此同时,频发的威胁攻击也推动了网络安全硬件投资的增长。IDC预测,面对更加复杂的网络威胁环境和不断提高的合规要求,统一威胁管理(Unified Threat Management)的市场份额将持续上升,占安全硬件市场投资近七成。而硬件防火墙(Firewall)市场逐年缩小,份额或将所剩无几。
网络安全软件市场中,信息与数据安全软件(Information and Data Security Software)以15.5%的五年复合增长率成为安全软件最大子市场。在数字化时代,数据价值的提升也伴生更多风险,企业对数据保护的重视程度不断提高,更加注重确保数据的机密性、完整性和可用性,增加了在数据安全软件领域的投资。聚焦终端设备安全,随着多终端接入模式的深化与远程办公场景的普及,企业需要应对分散化、复杂化的安全威胁,提高了对终端设备安全的需求,也将促进该市场的迅速发展。除此之外,网络安全软件借助AI与机器学习技术,实时分析海量数据,自动检测潜在威胁,迅速做出智能响应,并依据业务风险调整防护策略,为企业提供全方位的安全保障,为企业在数字化转型过程中应对不断演变的威胁提供了有力支持。
在网络安全服务市场中,IDC定义下的安全服务由托管安全服务(Managed Security Services),项目类服务(Project Oriented)和支持类服务(Support Services)组成。在细分市场中,政策合规性的要求与企业安全意识的提升,拉动了安全咨询服务(Consulting Services)和托管安全服务(Managed Security Services)的需求,五年复合增长率分别为7.2%和19.0%。
从终端用户的投资来看,政府(Government)、金融服务(Financial Services)、电信(Telecommunications)仍是网络安全支出前三的行业,2024年支出占比分别为26.0%、17.3%和14.0%。国务院发布的《网络数据安全管理条例》强调了数据从收集、存储、使用到销毁的全流程安全要求。政府、金融服务与电信等行业因数据密集性与敏感性,对网络安全需求更高,更需要重点加强网络安全风险防控,因此近六成网络安全支出来自于这些终端用户。
此外,《中国制造2025》提出支持企业技术突破和产业升级,制造业积极尝试新的安全技术,逐渐向智能制造转型,带来了新的安全建设的增长,提高了网络安全相关支出。保护知识产权、保障供应链及数据安全、满足合法合规要求是驱动制造业在网络安全方面投资的重要因素。制造业相关细分行业中,高科技与电子产品行业与汽车行业在网络安全方面的投资增长迅速。电子产品中数字技术深度渗透、互联设备增加,自动驾驶与车联网使汽车行业高度依赖网络与数据。因此,这两个行业均需要面对复杂多样的网络安全威胁。IDC预测,高科技与电子产品(High Tech and Electronics)与汽车行业(Automotive)五年复合增长率将分别达到10.3%与11.3%。
IDC定义下的企业规模分为超大型企业(Very Large Business(1000+))、大型企业(Large Business(500-999))、中型企业(Medium Business(100-499))、小型企业(Small Business(10-99))、小型办公室(Small Office(1-9))和消费者(Consumer)。在网络安全市场中,终端用户还是以超大型企业为主,占市场总投资规模近七成。近年来,随着网络安全意识的普及与威胁攻击的频发,中小型企业在网络安全投资也逐步增强。IDC预测,中型企业五年复合增长率将达到10.2%。
IDC中国企业级分析师张文蕙表示,随着数字经济加速发展,人工智能、大数据等新兴技术在各行业深度渗透,带来了新的机遇和挑战。特别是生成式AI技术的快速迭代,在推动产业智能化转型的同时,也伴生了新的安全威胁,促使企业和政府部门必须扩大安全需求范围,重点完善数据保护机制、提升全员安全意识。
当前中国经济转型升级背景下,网络安全已成为数字经济健康发展的重要基石。国家层面持续强化政策引导,《网络安全法》《数据安全法》等法规实施形成刚性约束,各行业在合规要求下加速构建主动防御体系。同时,安全技术厂商正积极探索AI赋能安全防护的创新路径,通过技术突破,进一步提升中国安全产品防护效能,促进网络安全软件市场良性发展。
乌克兰国家铁路遭受大规模网络攻击,在线购票系统瘫痪,铁路运营未受影响
乌克兰国家铁路运营商Ukrzaliznytsia近日遭遇大规模网络攻击,导致其在线购票服务瘫痪,乘客无法通过移动应用和网站购票。此次攻击迫使大量乘客前往人工售票窗口购买车票,导致售票点人满为患、排队时间过长、延误严重,引发广泛不满。
铁路是乌克兰国内及国际旅行最可靠、相对安全的方式,因此这次攻击对公共交通系统影响重大。Ukrzaliznytsia已通过多个官方渠道发布声明,确认事件发生,并向乘客致歉。
Ukrzaliznytsia迅速采取措施,应对购票需求激增的情况,包括增加售票点工作人员。然而由于需求量过大,售票窗口仍然排起长队。
为减轻影响,军人被允许在列车上直接向列车员购票。此外,已在线购票但无法下载车票的乘客,可使用电子邮件中的PDF副本,或在发车前20分钟到车站寻求帮助。同时Ukrzaliznytsia呼吁次日出行的乘客暂缓购票,以减少当天的购票压力。
尽管在线售票系统遭到破坏,Ukrzaliznytsia强调列车运行未受影响,仍按计划运营,没有延误。该机构表示,过去几年经历的多次网络攻击已促使其加强应对机制,并提高了系统的抗攻击能力。
在公告中,Ukrzaliznytsia指出:“敌人的关键目标未能实现,列车运行稳定,所有运营流程已切换至备份模式。”铁路系统不仅能够在面对物理攻击时保持运营,甚至连“最狡猾的网络攻击”也无法令其停摆。
Ukrzaliznytsia将此次攻击描述为“高度系统化且多层次的攻击”,并表示已与乌克兰安全局(SBU)网络部门及政府计算机应急响应小组(CERT-UA)展开合作,以修复安全漏洞并恢复受影响的系统。目前尚未提供具体的恢复时间表。
尽管面临挑战,Ukrzaliznytsia表示,其网络安全措施已大幅加强,未来仍将持续优化应对方案,以确保铁路系统的稳定运行。
网络安全服务公司Bridewell最新报告显示,关键国家基础设施组织在数据隐私、网络韧性和云安全方面的挑战与去年一致。调查发现,OT环境中潜在攻击途径众多,云服务和互联网接入成为重点关注问题。尽管OT云化仍在初期阶段,但安全风险令人担忧。而NIS法规限制直接互联网访问,但部分CNI组织仍因业务需求连接OT系统,使其更关注相关风险。
报告指出,OT领域的风险认知与现实可能存在偏差。例如大多数专家预计远程访问是最主要的攻击途径,但调查结果未显示这一趋势。特别是在能源行业,Ofgem积极推动NIS法规的执行,但37%的能源企业仍对云安全感到担忧。广播媒体组织主要关注互联网访问(45%),而中央政府更关注弱用户凭证(35%)。
恶意软件和网络钓鱼仍是最主要的两类安全威胁,其次是云平台攻击。OT与IT系统日益紧密的互联性使得恶意软件更容易传播,整体威胁较去年有所增加。此外,DDoS攻击的威胁感知上升71%,社交工程攻击风险增加,这与网络钓鱼事件的增长以及企业安全意识的提升有关。
过去一年,95%的英国CNI组织经历了数据泄露,其中25%是被攻击者通知后才发现问题。同时,83%的组织对AI驱动的网络钓鱼攻击表示担忧,而95%的组织已在运营中采用AI工具。
Bridewell报告称,OT与IT的外包比例相似,整体变化不大,但安全运营外包需求上升,而托管检测与响应(MDR)能力在IT领域略有下降。漏洞管理成为CNI企业关注的重点,其次是缺乏安全监控和ICS/OT协议的不安全性。
Bridewell表示,漏洞管理在IT中较为成熟,但不完全适用于OT。由于ICS组件本身安全性不足,企业往往从IT视角来看待漏洞管理。然而,修补可编程逻辑控制器(PLC)成本高昂,即使完成修补,仍难以阻止攻击者在已入侵网络的情况下发送指令。
随着网络威胁的演变,Bridewell CEO Anthony Young强调,CNI组织必须优先提升事件检测和响应能力,增强网络安全成熟度,并强化供应链防御。尤其在AI影响力日益增加的情况下,企业需保持主动性,确保国家关键基础设施安全。
56%的CNI组织计划在明年增加网络安全投资。虽然2024年网络安全投入曾大幅下降,但当前IT和OT的预算均有增长趋势。然而,最终投资是否落实仍受预算约束影响。
Bridewell指出,41%的组织正对现有员工进行技能再培训,以应对未来两到三年的网络安全人才缺口,比例较去年的43%略有下降。CNI组织正通过再培训、外部合作及学徒项目培养网络安全人才。
37%的CNI组织因勒索软件攻击损失超50万英镑,69%的组织在应对勒索软件攻击时耗时达六小时,尽管整体响应速度有所提升。其中,22%的组织可在一小时内应对勒索软件攻击,21%可在一小时内应对数据泄露,20%可在一小时内应对供应链攻击。
网络钓鱼仍是最常见的攻击方式之一,并与恶意软件和未经授权的系统访问并列。Bridewell强调,成功的网络钓鱼攻击往往是勒索软件或恶意软件攻击的前奏,企业需加强防范。
在不同行业中,水务行业在数据泄露事件响应方面表现突出,50%的组织能在一小时内响应,而整体平均值仅为29%。保险行业35%的组织能在一小时内应对勒索软件攻击,而铁路行业仅12%。
Bridewell指出,未来最成功的CNI组织将优化检测流程,提高安全工具的效率,并与监管机构和合作伙伴紧密协作,以符合不断演变的安全标准。投资于人员、流程和技术将是打造安全、韧性未来的关键。
网络安全最佳实践仍然至关重要,包括定期执行基础安全措施和遵循安全卫生规范。如果AI驱动的威胁无法突破企业防线,其影响力也将受限。报告强调,CNI组织应与专业第三方合作,以确保较高的网络安全信心能够真正转化为有效防御能力。
2025年3月25日,AI驱动托管扩展检测与响应(MXDR)服务提供商Ontinue发布了《2024年下半年威胁情报报告》,该报告由其高级威胁运营团队撰写,全面分析了最新的网络威胁。报告显示,勒索软件攻击数量激增132%,尽管赎金支付减少了35%,但攻击者正调整策略,更加依赖数据外泄威胁来迫使受害者支付赎金。
报告强调,“中间人攻击”(AiTM)的使用频率大幅上升。AiTM攻击允许攻击者窃取身份验证令牌,绕过多因素认证(MFA),使受害者即使启用了额外的安全措施,依然可能遭受账户劫持。与此同时,PlugX远程访问木马(RAT)依然是活跃威胁,与信息窃取恶意软件相关的指挥与控制(C2)流量也在持续上升,表明攻击者正在利用更隐蔽的方法渗透目标网络。
报告还揭示了Vishing(语音钓鱼)攻击的爆炸式增长。攻击者利用AI语音克隆技术生成高度逼真的深度伪造(deepfake)音频,冒充高管、技术支持人员或银行客服,以诱骗受害者泄露账户凭据或批准恶意交易。
2025年第一季度,Vishing攻击事件相比前一季度暴增1633%。许多攻击诱导受害者访问伪造的微软技术支持页面(托管在.shop域名上),并拨打虚假客服号码。这一趋势表明,社交工程与AI技术结合,使网络欺诈手段更加精细和难以察觉。
攻击者正在利用微软官方工具进行渗透,以规避传统安全防护手段,例如:微软Quick Assist远程支持工具原用于IT远程支持,但攻击者滥用它绕过安全防护,远程控制受害设备。Windows Hello生物识别密钥被攻击者用于窃取身份凭据,使其能够绕过传统密码认证,伪装成合法用户进行访问。
这些滥用行为使恶意操作与合法IT活动界限模糊,传统的安全监控难以察觉此类攻击,要求企业采用持续行为分析和威胁检测来识别异常行为。
随着企业强化传统安全措施,攻击者正在调整恶意软件的传播方式,其中最明显的趋势包括滥用恶意浏览器扩展,特别是在Google Chrome,攻击者利用恶意扩展投递信息窃取恶意软件。这些扩展即使在系统重装后仍能存活,当用户重新导入浏览器配置时,设备可能再次被感染。此外攻击者利用恶意广告伪装成合法软件广告,诱骗受害者手动复制并执行恶意PowerShell代码,直接植入系统。此类无文件攻击更加隐蔽,使传统防病毒软件难以检测,企业需加强端点检测与响应(EDR)策略来应对此类威胁。
报告指出,尽管勒索软件攻击增长132%,但赎金支付率下降了35%。这主要归因于以下几个因素:企业增强了数据备份,可在遭受攻击后迅速恢复数据,减少支付赎金的必要性。事件响应能力增强,企业更擅长识别、遏制和恢复受攻击系统。监管机构施加压力,部分国家出台法律禁止企业支付赎金,以遏制勒索软件的蔓延。
面对这一挑战,攻击者开始加大“数据泄露勒索”力度,即窃取敏感数据并以公开披露为要挟,迫使受害者支付赎金,即使数据已被备份,也难以避免声誉损害。
Ontinue高级威胁运营总监Balazs Greksza警告表示,“攻击者正在利用AI驱动的欺骗技术、隐蔽的恶意软件传播手段,以及持续的社交工程攻击,使企业面临前所未有的安全挑战。组织必须加快安全防御升级,强化对高级网络钓鱼、Vishing攻击和恶意软件的防护,同时提升勒索软件和凭据窃取的防御能力。”
Oracle深陷网络安全风波,被指云基础设施遭大规模数据泄露
最近,全球知名企业Oracle被卷入了一场网络安全争议。网络安全公司CloudSEK声称,Oracle Cloud遭遇了一次重大数据泄露,黑客窃取了600万条敏感记录。然而Oracle迅速发布声明,坚决否认存在任何安全漏洞,称黑客泄露的数据与Oracle Cloud无关。这一事件在网络安全行业引发了广泛关注和质疑。
上周网络安全网站Hackread.com发表了一篇报道,援引CloudSEK的调查结果,指控Oracle Cloud遭到黑客攻击。一名自称“rose87168”的黑客声称,已成功入侵Oracle的单点登录(SSO)系统,并窃取了大量敏感信息,包括SSO和LDAP凭据、OAuth2密钥、以及客户租户信息。黑客声称通过攻破关键SSO端点login.us2.oraclecloud.com,获取了超过14万租户的数据。
消息曝光后,Oracle迅速做出回应,全面否认存在数据泄露问题,并发布了声明:Oracle Cloud未遭受任何攻击,所有客户数据仍然安全。黑客披露的凭据与Oracle Cloud无关,并非其基础设施的一部分。没有任何Oracle Cloud客户受到影响。Oracle的回应直接与CloudSEK的调查结果相矛盾,这引发了业内专家的强烈质疑。
面对Oracle的否认,CloudSEK在最新分析中再次反驳,并表示掌握了确凿证据,证明Oracle的云基础设施确实遭到了攻击。
CloudSEK的研究人员表示,他们在2025年3月21日发现了一系列可疑活动,并追踪到了黑客利用的生产环境SSO端点(login.us2.oraclecloud.com)。
通过进一步调查,CloudSEK发现,该端点曾被用于生产环境,并被Oracle官方GitHub账户“oracle-quickstart”存储库引用。黑客利用受损域进行OAuth2 API身份验证,访问了Oracle Cloud的相关服务。该端点在OneLogin和Rainfocus等企业的配置中被确认使用,并非Oracle所称的“无关系统”。这些发现表明,Oracle的否认可能站不住脚。
CloudSEK进一步披露了一些受影响的真实客户域名,并对其进行了验证,发现确实属于Oracle Cloud的客户。部分被确认的客户包括:sbgtv.com、nexinfo.com、nucor-jfe.com、rapid4cloud.com、cloudbasesolutions.com。这些域名出现在GitHub存储库和Oracle合作伙伴文档中,并非虚假信息或测试账户。
此外CloudSEK发现,黑客泄露的端点仍在被使用,并且它可以被用于远程身份验证和访问,这意味着数据泄露的风险仍然存在。
如果此次数据泄露属实,可能带来的影响十分严重。CloudSEK警告表示,600万条敏感记录暴露,包括SSO和LDAP加密密码,可能导致未授权访问和数据泄露。OAuth2密钥和JKS文件的泄露,可能使黑客长期控制受影响的企业服务。黑客可能利用这些数据进行企业间谍活动、身份盗窃,甚至实施进一步的攻击。目前黑客正向受影响的企业索要赎金,威胁要出售或公开泄露数据,增加了企业的财务和声誉风险。
CloudSEK首席执行官Rahul Sasi表示,公司坚持基于证据的透明调查,而非无端推测。建议所有可能受影响的企业立即采取以下安全措施:更改SSO和LDAP凭据,防止黑客进一步访问系统;启用多因素认证(MFA),提升账户安全性;检查服务器日志,寻找可疑的身份验证活动;监控暗网论坛,留意是否有泄露的数据被出售;联系Oracle安全团队,查明潜在漏洞并修复。
尽管Oracle坚决否认数据泄露,但网络安全专家对其说法提出了质疑。Deepwatch首席信息安全官Chad Cragle认为,Oracle必须正面回应CloudSEK的指控,以维护自身的信誉。他指出,“如果没有数据泄露,黑客如何能够在Oracle Cloud子域上传文件?即便没有发生全面入侵,这也说明黑客成功绕过了某些安全机制。”
Fenix24联合创始人兼CISO Heath Renfrow同样表示担忧。他认为,黑客在Oracle Cloud基础设施的登录子域上传文件,本身就是极其严重的安全事件。“无论Oracle如何解释,这种情况都说明黑客至少获得了部分访问权限,企业客户应当采取预防措施。”
BlackLock勒索软件数据泄露站点存在LFI漏洞
Resecurity近日发现,BlackLock勒索软件团伙的数据泄露站点存在本地文件包含(LFI)漏洞,成功暴露了其明网IP和背后服务器的关键信息。
BlackLock一直依赖这个数据泄露站点在TOR上发布被窃取的受害者数据,而漏洞的存在使Resecurity能够借助其Web应用配置缺陷,提取出托管隐藏服务的网络基础设施信息、IP地址和服务端的敏感数据。
通过这些信息,安全研究人员得以深入调查BlackLock团伙的真实网络环境,并成功干扰其后续的攻击行动。BlackLock是目前增长最快的勒索软件之一,受害者遍布多个行业,包括电子、学术、宗教、国防、医疗、科技、IT服务商及政府机构,受害者分布于阿根廷、巴西、法国、美国、英国等多个国家。仅在去年第四季度,其数据泄露帖子数量就环比增长了1425%,被普遍认为是2025年最有潜力成为主流的RaaS(勒索即服务)组织。
Resecurity通过对该漏洞的利用,获得了大量以前未曾披露的重要信息,包括威胁团伙使用的网络架构、登录日志、关联的ISP和托管服务商信息、MEGA网盘账号(共计8个),以及通过rclone工具同步的被盗企业数据。这些信息不仅揭示了BlackLock的具体操作方式,还协助Resecurity成功阻止了一些潜在攻击,并提前向未公开的受害者发出预警,避免其成为下一个目标。
进一步分析表明,BlackLock实际上是El Dorado勒索软件的重塑版本,其成员很可能还参与了Mamona等其他勒索软件项目。此前,Mamona勒索软件曾因明网IP泄露而引发其成员恐慌,随后迅速下线。此次BlackLock遭到的重创与Mamona类似,目前BlackLock和Mamona的数据泄露站点均已无法访问。
另一知名勒索软件组织DragonForce正趁机吸纳BlackLock部分附属成员,试图接管其市场和资源。Resecurity认为,DragonForce很有可能会接手BlackLock的附属成员基础,形成新一轮更具威胁性的勒索攻击力量。
此次LFI漏洞的利用为安全行业提供了一个重要样本,说明即使是隐藏在TOR网络中的犯罪基础设施,也可能因低级别的Web应用漏洞而暴露关键信息。同时也说明公开情报和技术手段的结合,依然能有效威慑和打击活跃的勒索软件组织。
RedCurl战术转变开始部署QWCrypt勒索软件
RedCurl是一个自2018年以来活跃的威胁组织,因长期从事隐蔽的企业间谍活动而知名。此前该组织主要通过网络钓鱼、数据窃取等方式针对全球多家企业发起攻击,随着活动的扩展,受害者数量不断增加。然而近日Bitdefender实验室发现,RedCurl开始在入侵的企业网络内部署勒索软件,这是其首次在行动中加入勒索软件元素,标志着其战术出现显著转变。
根据Bitdefender的报告,RedCurl在大多数情况下仍保持其一贯的行为模式,即通过长期潜伏在受害企业网络中,实施数据窃取。然而在最近的一起案例中,RedCurl突破常规,部署了名为“QWCrypt”的勒索软件。这一变化可能与虚拟化技术的广泛应用有关,当前大量企业采用虚拟机承载核心业务系统,这也使得勒索团伙逐渐将攻击目标从传统服务器转向虚拟化平台。
与常见的针对VMware ESXi的勒索软件不同,QWCrypt专门针对Hyper-V虚拟化平台。攻击通常通过携带“.IMG”附件的钓鱼邮件发起,伪装成求职简历。用户一旦点击,IMG文件中的屏保程序会借助Adobe合法程序实现DLL Sideloading,下载恶意载荷并通过计划任务建立持久化。RedCurl还利用多种“系统自带工具”,例如定制的wmiexec进行横向移动,以及“Chisel”工具建立隧道和远程桌面访问,以绕过常规安全检测。
在勒索软件部署前,RedCurl会通过加密的7z压缩包和多阶段PowerShell脚本关闭防御。QWCrypt具有丰富的命令行参数,能够灵活指定是否加密Hyper-V虚拟机、排除特定虚拟机、强制关闭或终止虚拟机进程等。例如在部分攻击中,RedCurl使用excludeVM参数避免加密作为网络网关的虚拟机,防止直接导致企业内网中断。
QWCrypt采用XChaCha20-Poly1305加密算法,对文件加密后会添加“.locked$”或“.randombits$”扩展名。其还支持间断加密、按文件大小加密等策略,提高加密效率。勒索信以“!!!how_to_unlock_randombits_files.txt$”命名,其内容混合了LockBit、HardBit和Mimic等多个知名勒索团伙的元素。
RedCurl并未建立专门的数据泄露站用于双重勒索,使得外界怀疑其此次部署勒索软件的真实动机。Bitdefender提出了两种可能性,RedCurl可能作为网络雇佣军,为第三方执行情报窃取和破坏性任务,在部分情况下,当客户未能支付情报费用时,便会以勒索作为补救的变现手段。RedCurl已逐步向勒索软件攻击转型,但仍以秘密谈判为主,避免高调公开数据泄露,保持低调和隐秘性。
此次RedCurl部署QWCrypt,代表其从纯粹的情报窃取向混合型攻击组织转变。Bitdefender表示,RedCurl的战术变化对网络安全防御提出更高要求,其未来的攻击行为、作战目标及背后动机值得持续关注。
近期,安全公司Flashpoint发现一款名为“IOCONTROL”的新型恶意软件,针对OT和IoT系统,对美国和以色列燃料管理基础设施构成严重威胁。IOCONTROL于2024年12月首次被监测到,被归因于长期活跃的亲伊朗黑客组织“Cyber Av3ngers”,该组织此前频繁发动反以色列的网络攻击。
IOCONTROL是基于Linux环境开发的,具备专门针对OT和IoT场景的能力,具备持久化、远程控制、监控、数据窃取和操纵工业过程等功能。Flashpoint指出,该组织此次行动利用了近年大幅增长的凭证窃取成果(2024年同比增长33%),以被盗账户为初始突破口,成功渗透受害目标的燃料管理和工业控制系统。
Flashpoint分析表明,IOCONTROL具有模块化、针对IoT场景高度定制的特性,其核心由UPX加壳的二进制程序构成,同时具备加密的C2通信和多种监视功能。恶意软件主要通过利用互联网上暴露的工业控制系统漏洞,借助轻量化的MQTT协议规避常见的网络检测工具,成功实现隐蔽通信。
在技术细节上,IOCONTROL通过经过改造的UPX加壳器混淆自身,篡改了二进制的magic value,导致常见的UPX工具无法直接解压和分析,增加了分析难度。但Flashpoint研究人员成功复原了magic bytes,完成了解压和深入分析。
IOCONTROL的持久化机制包括创建两个关键目录(/tmp/iocontrol/和/etc/rc3.d)并赋予完全读、写、执行权限,作为恶意载荷的存储和持久化环境;向/etc/rc3.d/S99iocontrol路径注入自启动脚本,确保系统每次启动时自动执行,同时脚本内置看门狗机制,若恶意进程被杀死则自动重启,保证稳定常驻。
通过向CloudFlare发起DNS请求解析C2地址,并建立MQTT通道进行加密通信,周期性向C2服务器发送包括内核版本、主机名、时区等在内的系统元数据,其通信数据采用AES-256-CBC加密,密钥和IV则来源于运行时环境变量中以GUID哈希值派生的0_0和0_1变量。
此外Flashpoint还在地下论坛BreachForums发现IOCONTROL开发者正在尝试出售该恶意软件,表明该威胁有可能扩散至更多威胁团伙中。这种结合了IoT场景协议、凭证入侵、持久化和数据窃取能力的复合型恶意软件,对依赖OT和IoT的燃料、能源等关键基础设施构成了极高的威胁。
Flashpoint警告,随着中东地区局势升温,关键基础设施面临的网络威胁也在迅速升级,尤其是OT和IoT系统,亟需高度重视。受害组织应立即采取防护措施,包括及时为IoT和工业控制系统打补丁、严格实施网络分段、重点监测MQTT等轻量协议的异常流量,并完善凭证安全管理,以应对该类新兴威胁。
CISA披露油气制造业关键设备面临高危漏洞威胁
美国网络安全和基础设施安全局(CISA)于2025年3月25日发布了4份工业控制系统(ICS)安全通告,揭示ABB、Rockwell Automation和因幡电机产业(Inaba Denki Sangyo)等厂商产品存在的多个高危漏洞,CVSS v4评分范围在5.1至9.3之间,可能导致拒绝服务、任意代码执行、设备接管及未经授权访问。受影响的设备广泛应用于石油天然气、制造业和商业设施等关键基础设施领域。
第1份通告ICSA-25-084-01披露ABB RMC-100流量计算机漏洞CVE-2022-24999,存在于Web UI的REST接口,CVSS v4评分8.7。受影响版本包括RMC-100(2105457-036至2105457-044)和RMC-100 LITE(2106229-010至2106229-016)。攻击者可通过特制消息引发接口拒绝服务(DoS),需重启接口才能恢复。ABB建议升级至RMC-100客户包2105452-048或RMC-100 LITE客户包2106260-017,且在非必要时禁用REST接口。
第2份通告ICSA-25-084-02涉及Rockwell Automation Verve Asset Manager1.39及以前版本。漏洞(CVE-2025-1449,CWE-1287)由于Legacy Active Directory Interface的Web管理接口对变量缺乏适当过滤,CVSS v4评分8.9。若攻击者具备管理员权限,可在容器中执行任意命令。Legacy ADI自1.36版本起已废弃。Rockwell已发布1.40版本进行修复,并建议用户加强网络隔离及使用安全的远程访问手段。
第3份通告ICSA-25-084-03针对Rockwell Automation的440G TLS-Z安全装置v6.001版本,漏洞(CVE-2020-27212,CWE-74)出现在STM32L4芯片的JTAG接口访问控制中,CVSS v4评分7.3。具备物理接触权限且技术能力较高的攻击者,可通过绕过JTAG接口保护,进而完全控制设备。该漏洞无法通过远程方式利用,Rockwell建议通过限制物理接触、仅允许授权人员操作,并遵循《系统安全设计指南》保障安全。
第4份通告ICSA-25-084-04披露Inaba Denki Sangyo CHOCO TEI WATCHER mini(IB-MCT001)系列设备存在4个漏洞,包括客户端认证不足(CVE-2025-24517,CVSS v4:8.7)、密码可恢复存储(CVE-2025-24852,CVSS v4:5.1)、弱密码策略(CVE-2025-25211,CVSS v4:9.3)以及强制浏览漏洞(CVE-2025-26689,CVSS v4:9.3)。攻击者可借此窃取密码、实现越权访问及篡改配置。目前厂商尚未发布补丁,仅建议用户在安全的局域网内部署设备,同时配合防火墙、VPN和物理安全管控。
CISA强调,随着IT与OT环境的融合,ICS安全风险持续增大。CISA建议用户尽快应用可用补丁、采用网络分区隔离关键系统、加强远程访问安全和物理访问控制,尤其是针对Rockwell 440G TLS-Z等物理可控的设备。对于如CHOCO TEI WATCHER mini等尚无补丁的产品,需特别依赖网络隔离作为临时防御措施。CISA同时建议企业在部署防御措施前进行风险评估,并及时报告疑似安全事件。目前尚无相关漏洞被公开利用的案例。
黑客组织Weaver Ant长期潜伏电信网络
网络安全公司Sygnia近日披露了一个新发现的APT组织Weaver Ant,该组织依赖Web Shell在电信供应商中保持长期访问权限,进行网络间谍活动。
该组织的活动是在调查某亚洲电信提供商的网络攻击事件时发现的。当时一个在修复过程中被禁用的受损账户被重新启用,而该操作是从一台内部服务器发起的,引起了安全专家的关注。调查发现,这台服务器已被攻击者控制长达四年,并感染了Chopper Web Shell,使其可以远程访问和控制系统。即使经过多次清除和修复,Weaver Ant仍能保持访问权限,并不断调整战术以适应环境变化。
Sygnia的调查揭示了多个Web Shell的存在,包括一个经过AES加密的Chopper变种,可以绕过自动化检测机制。此外还发现了一种全新的Web Shell,被命名为INMemory,该工具支持载荷的内存执行,有效规避传统的基于磁盘扫描的检测方式。
攻击者主要在外部服务器上部署加密的Chopper Web Shell,并使用ASPX和PHP编写,以便在不同环境中运行。这些受感染服务器成为攻击者的入口,使其能够渗透受害者的网络,并建立长期的访问权限。
Web Shell规避检测方式包括关键词规避,可有效负载的字段使用特定参数名称,导致防火墙在日志中自动隐藏相关信息。攻击者利用超过防火墙字符限制的有效负载,使其无法完整检测。INMemory直接在内存中执行恶意代码,避免磁盘检测,并使用Base64编码混淆代码,提高检测难度。
在确定Weaver Ant仍然活跃后,Sygnia采取了隐秘监控策略,包括端口镜像分析和自动解密Web Shell隧道流量,最终揭示了多个有效负载和其持久性机制。
Weaver Ant的Web Shell部署特别极简,部分Web Shell仅由一行代码组成,例如修改版的Chopper,用于执行更复杂的恶意载荷。攻击者使用递归HTTP隧道技术建立“第二阶段”Web Shell,扩展对内网资源的访问,并转发恶意请求到其他 Web Shell。
攻击者利用已受感染的服务器作为代理,在不同网络分段中操作,即便目标服务器不直接连接互联网,也能通过被攻陷的外围服务器进行攻击。Web Shell之间传输的恶意载荷经过多层加密,每一层Web Shell使用硬编码密钥依次解密,以增加分析难度。
Weaver Ant采取了一系列方法绕过安全监控,包括修改事件跟踪进程,隐藏关键安全日志。通过覆盖AmsiScanBuffer函数,使Windows反恶意软件扫描接口(AMSI)失效,确保恶意PowerShell命令可以执行而不被拦截。使用Windows模块执行PowerShell命令,而不直接启动PowerShell进程,从而避免常规安全监测。
在完成初步渗透后,Weaver Ant进一步进行横向移动和数据窃取。攻击者使用Invoke-SMBClient PowerShell模块访问SMB共享,获取更多敏感信息,并扩展其控制范围。攻击者通过使用NTLM哈希(而非明文密码)访问高权限账户,这些账户的密码通常多年未更改,从而实现持久访问和横向扩展。
Weaver Ant展现了高度专业的网络间谍战术,利用Web Shell、HTTP隧道、日志篡改等手段在目标系统中长期潜伏。该组织善于规避安全检测,持续演化攻击技术,保持持久访问权限,并进行横向扩展和数据窃取。
黑客组织UAT-5918针对中国台湾地区关键基础设施发起攻击
Cisco Talos近期发现了一项名为UAT-5918的恶意攻击活动,该组织自2023年以来一直活跃,主要目标是窃取信息,并利用Webshell和开源工具执行入侵后的活动,目的是在受害者环境中长期保持访问权限,进行凭据窃取。研究人员发现UAT-5918在战术、技术、程序(TTPs)以及受害者类型上,与Volt Typhoon、Flax Typhoon、Earth Estries和Dalbit等APT组织的入侵行为存在高度重叠。
UAT-5918主要针对台湾地区的组织进行攻击,目标行业包括电信、医疗保健、信息技术以及其他关键基础设施部门。该组织通常通过利用暴露在互联网上的Web服务器和应用服务器的N-day漏洞获得初始访问权限,随后使用各种开源工具进行网络侦察,在受害企业内部进行横向移动。其行动与多个APT组织的战略目标一致。
Cisco Talos研究人员Jung soo An、Asheer Malhotra、Brandon White和Vitor Ventura指出,UAT-5918的攻击活动主要是手动执行的,核心目标是窃取信息。攻击者在发现的子域和可访问的互联网服务器上部署Webshell,以建立多个进入受害组织的入口。此外UAT-5918还会窃取凭据,获取本地和域级用户凭据,并创建新的管理员账户,以便后续通过RDP访问重要终端。
UAT-5918采用的主要工具包括FRPC、FScan、In-Swor、Earthworm和Neo-reGeorg等。其凭据窃取手段包括转储注册表Hive、NTDS数据库,并使用Mimikatz以及浏览器凭据提取器获取账户信息。随后这些凭据被用于横向移动,通过RDP、WMIC(PowerShell远程管理)或Impacket进行进一步攻击。
Cisco Talos研究发现,UAT-5918的攻击手法与多个已知APT组织存在重叠。例如与Volt Typhoon一样,该组织使用ping和In-Swor进行网络发现,收集系统信息、逻辑驱动器信息,并使用浏览器凭据提取器进行凭据窃取。此外UAT-5918依赖开源工具(如FRP、Earthworm和Impacket)建立控制通道,而不会使用自定义恶意软件。
UAT-5918还使用Tropic Trooper组织曾用的工具,如FRP、FScan、In-Swor和Neo-reGeorg,甚至其文件路径和文件命名方式也与Tropic Trooper相似。此外Tropic Trooper组织使用的Crowdoor Loader和SparrowDoor恶意软件,与Earth Estries组织存在重叠。
Earth Estries也是UAT-5918采用的战术、技术和工具的关键交叉点,例如FRP、FScan、Webshells、Impacket以及Living-off-the-Land Binaries(LoLBins)。与此同时,UAT-5918和Dalbit也有相似的攻击方式,均使用端口扫描工具、代理工具、反向shell和侦察技术进行攻击。
UAT-5918还使用了一些尚未被其他APT组织公开使用的工具,如LaZagne、SNetCracker、PortBrute和NetSpy。研究人员推测,这些工具可能是UAT-5918专属,或者尚未被其他组织披露。
UAT-5918通常通过利用已知漏洞的未打补丁服务器获得初始访问权限。攻击成功后,首先进行初步侦察,以识别用户、域信息和系统数据。攻击者使用“cmdkey”命令执行初步的凭据侦察,并下载红队工具以执行进一步的攻击操作。
部分情况下,UAT-5918会禁用Microsoft Defender对其工作目录的扫描,以隐藏恶意活动。此外攻击者使用NirSoft CurrPorts和TCPView工具监控当前与受感染主机的连接情况,这些工具可能用于额外的网络侦察,以寻找可以横向移动的目标。
PowerShell脚本被用于尝试SMB登录特定终端,进一步扩展攻击面。研究人员发现,凭据窃取是UAT-5918的关键战术之一,使用Mimikatz、LaZagne和浏览器凭据窃取工具获取敏感信息。攻击者还会周期性地进行网络侦察,寻找新的终端目标,并尝试使用RDP或Impacket进行访问。
在攻击过程中,UAT-5918会在受感染终端枚举本地和共享驱动器,以寻找感兴趣的数据,包括机密文档、数据库导出、备份文件和应用程序配置文件等。在某次攻击中,UAT-5918使用SQLCMD[.]exe工具创建数据库备份,以便进行数据窃取。
2月份Cisco Talos披露了针对多家美国电信公司的大规模入侵活动。研究发现,攻击者通过获取受害者的合法登录凭据,成功访问Cisco设备,并在受害者网络中长期保持访问权限。攻击者能够在多个供应商设备上维持访问,在某些情况下,攻击者甚至在目标网络中潜伏长达三年之久。
TXOne Networks发布Stellar 3.2版本增强OT威胁检测与响应能力
TXOne Networks宣布推出Stellar 3.2版本,进一步扩展其在OT环境中的端点防护和威胁检测响应能力。Stellar作为专为OT场景设计的安全解决方案,解决了传统IT端点检测与响应(EDR)工具在OT环境中常见的稳定性和生产力问题,为用户提供更具上下文感知的威胁检测能力。
TXOne Networks首席执行官Terence Liu指出,EDR常见的“告警疲劳”在OT环境下更为突出,安全团队常常因缺乏OT设备的背景信息,被大量误报所困扰。例如自动化脚本使用的过期凭证仍被EDR误判为异常,而Stellar 3.2能够通过增强的设备状态可见性,准确识别真正有威胁的异常,显著提升安全事件调查效率。
新版Stellar引入了多项核心能力:
态势感知能力:为用户提供集中式的设备行为监控界面,并通过行为分析辅助判断潜在的业务中断风险,帮助OT安全团队快速定位安全隐患。
资产基线生成优化:通过引入网络行为数据,增强Stellar的机器学习模型,全面描绘资产行为基线,降低异常事件的误判率,减少安全人员的排查成本。
影响风险快照:新增可视化界面,聚焦受威胁的关键资产及其行为趋势,帮助安全团队快速评估潜在威胁的影响范围及攻击过程。
作为TXOne Networks针对ICS和OT设备推出的专业化终端保护产品,Stellar 3.2可识别近40,000种OT应用,搭载自主研发的网络物理系统检测与响应(CPSDR)技术,支持对现代及遗留Windows系统的安全防护,抵御来自恶意软件、未授权变更等多种攻击。
TXOne Networks强调,Stellar 3.2的设计重点是贴合OT安全环境实际,既能有效提升威胁检测准确性,又不影响设备稳定性和生产效率,帮助企业应对日益严峻的OT安全挑战。
上一条:
下一条:
相关信息
