暗网威胁和暗市预测；零日漏洞利用趋势

科技 2025-01-08 07:57 山东

微信公众号 计算机与网络安全

2025年暗网威胁和暗市预测

去年的预测回顾

为恶意软件（加密工具）提供 AV 规避的服务数量将增加

我们持续监控地下市场是否有新的“加密工具”出现，这些“加密工具”是专门设计用于混淆恶意软件样本中的代码的工具。这些工具的主要目的是使安全软件无法检测到代码。到 2024 年，我们的专家观察表明，这些加密者的商业广告确实获得了动力。Cryptor 开发人员正在引入新技术来逃避安全解决方案的检测，并将这些进步整合到他们的恶意软件产品中。

这些工具的定价保持不变，从每月订阅 100 美元的暗网论坛上可用的加密工具到高达 20,000 美元的高级私人订阅不等。优质私有解决方案的开发和分销已经发生转变，与公开发行相比，这种解决方案正变得越来越普遍。

结论：预测已实现✅

“Loader” 恶意软件服务将继续演变

正如预期的那样，“loader”恶意软件家族的供应在 2024 年保持不变。这些装载机展示了广泛的功能，从价格低廉的大规模分布式装载机到根据详细规格量身定制的高度专业化装载机，价格高达数千美元。

加载器供应示例

此外，威胁行为者似乎越来越多地使用多种编程语言。例如，恶意软件的客户端组件可能是用 C++ 开发的，而服务器端管理面板是用 Go 实现的。

除了种类繁多的加载器产品外，我们还看到了对启动特定感染链的特定功能的需求。

搜索具有特定要求的 loader 的示例

结论：预测已实现 ✅

加密资产窃取服务将继续在暗网市场上增长

2024 年，我们观察到黑市中“流失者”的活动激增。这些是旨在窃取受害者加密资产（例如代币或 NFT）的恶意工具。全年都会出现新的 drainer，并在各种暗网平台上积极推广。总的来说，在地下市场上讨论drainer的独特主题数量从 2022 年的 55 个增加到 2024 年的 129 个，这是非常了不起的。同时，这些帖子经常作为重定向到 Telegram。

暗网上关于 drainers 的唯一线程数量

事实上，2024 年，Telegram 频道成为了与 drainer 相关活动的重要中心。

含有引导潜在合作者至 Telegram 的链接的暗网帖子

Drainer 开发人员越来越专注于为他们的长期客户提供服务，现在大多数活动都是通过仅限邀请的渠道进行的。

在功能方面，drainers 在很大程度上保持一致，继续强调整合对新的加密相关资产的支持，例如新兴硬币、代币和 NFT。2024 年还发现了第一个移动 drainer。

结论：预测已实现 ✅

黑色流量计划将在地下市场非常受欢迎

2024 年，地下市场上黑色贩卖计划的受欢迎程度保持不变。黑色流量经销商通过欺骗性广告推广恶意登录页面来维持他们的运营。这些服务在地下市场的销售活动仍然强劲，需求保持稳定，进一步凸显了主流广告投放平台在恶意软件分发方面的有效性。这种方法仍然是希望接触更广泛受众的网络犯罪分子的热门选择，对在线用户构成持续威胁。

结论：部分实现

比特币混币器和清洗服务的演变和市场动态

2024 年，宣传加密货币“清洗”解决方案的服务数量没有显着增加。大多数成熟和流行的服务都在市场上保持了存在，竞争格局几乎没有变化。

结论：预测未实现 ❌

我们对 2025 年的预测

通过承包商泄露数据

在滥用公司与承包商的关系（信任关系攻击）时，威胁行为者首先渗透到供应商的系统，然后获得对目标组织的基础设施或数据的访问权限。在某些情况下，这些攻击会导致重大数据泄露，例如据称攻击者通过破坏第三方承包商来访问 Ticketmaster 的 Snowflake 云帐户。另一个采用这种策略的著名威胁行为者是 IntelBroker——据报道，该行为者及其相关团伙通过第三方入侵了诺基亚、福特等公司、包括 Microsoft 在内的许多思科客户和其他公司。

名为 IntelBroker 的行为者在流行的暗网论坛上的个人资料

我们预计，到 2025 年，通过承包商发起的攻击导致主要最终目标的数据泄露数量将继续增长。云平台和 IT 服务通常会存储和处理来自多个组织的公司数据，因此仅一家公司的漏洞就可能为许多其他公司打开大门。值得注意的是，数据泄露不一定非要影响关键资产才具有破坏性。并非暗网上的每一个数据泄露广告都是真正严重事件的结果。一些 “优惠” 可能只是市场推广的材料;例如，某些数据库可能会结合公开可用或以前泄露的数据，并将其呈现为突发新闻，或者简单地声称是知名品牌的违规行为。通过围绕实际旧（可能无关紧要）的数据进行炒作，网络犯罪分子可以引发公众关注、制造嗡嗡声并损害供应商及其客户的声誉。

IntelBroker 的暗网帖子声称特斯拉数据泄露，后来经过编辑，声称是第三方电动汽车充电公司的泄露

总的来说，我们注意到暗网上企业数据库广告的频率总体上有所增加。例如，在一个热门论坛上，2024 年 8 月至 11 月的相应帖子数量与去年同期相比增长了 40%，并达到数次峰值。

2023 年 8 月至 2024 年 11 月在一个热门论坛上分发数据库的暗网帖子数量

虽然这种增长部分可能归因于旧泄漏的重新发布或合并，但网络犯罪分子显然对分发泄露的数据感兴趣——无论是新的、旧的，甚至是假的。因此，到 2025 年，我们不仅可能会看到公司数据黑客攻击和承包商泄露的增加，而且数据泄露的整体增加。

将犯罪活动从 Telegram 迁移到暗网论坛

尽管 2024 年 Telegram 上的网络犯罪活动激增，但我们预计影子社区将重新迁移到暗网论坛。正如其管理员所指出的那样，影子 Telegram 频道越来越多地被禁止：

来自威胁行为者宣布禁止其 Telegram 频道和帐户的消息示例

预计网络犯罪分子返回或涌入暗网论坛将加剧这些资源之间的竞争。为了脱颖而出并吸引新的受众，论坛运营商可能会开始引入新功能并改善数据交易的条件。这些可能包括自动托管服务、简化的争议解决流程以及改进的安全性和匿名措施。

针对网络犯罪集团的高调执法行动增加

2024 年是全球备受瞩目的网络犯罪斗争的重要一年。世界已经见证了许多成功的行动——Cronos 对抗 LockBit、关闭 BreachForums、逮捕 WWH 俱乐部成员、Magnus 对抗 RedLine 和 Meta 窃取者以及 Endgame 对抗 TrickBot、IcedID 和 SmokeLoader 等的成功举措等等。卡巴斯基还积极为打击网络犯罪的执法工作做出贡献。例如，我们支持国际刑警组织协调的行动来破坏 Grandoreiro 恶意软件操作，在 2024 年奥运会期间帮助打击网络犯罪，并为旨在打击针对性网络钓鱼、勒索软件和信息窃取程序等网络威胁的 Synergia II 行动做出了贡献。我们还协助国际刑警组织和 AFRIPOL 联合行动，打击非洲各地的网络犯罪。这些案例和许多其他案例凸显了执法部门和网络安全组织之间的协调与合作。

我们预计 2025 年将增加对知名网络犯罪集团基础设施和论坛的打击和取缔。然而，为了应对 2024 年的成功运营，威胁行为者可能会改变策略并退回到更深入、更匿名的暗网层。我们还预计会看到封闭论坛的出现和仅限邀请的访问模式的增加。

窃取者和吸取者在暗网上作为服务的推广将增加

多年来，加密货币一直是网络犯罪分子的主要目标。他们以各种伪装引诱加密用户访问诈骗网站和 Telegram 机器人，并为信息窃取者和银行木马添加加密窃取功能。随着比特币的价格创下一个又一个纪录，专门用于从受害者钱包中窃取加密货币代币的 drainers 的流行可能会在未来一年持续下去。

信息窃取程序是另一种类型的恶意软件，它会从用户的设备中收集敏感信息，包括加密货币钱包的私钥、密码、浏览器 cookie 和自动填充数据。近年来，我们目睹了由这种恶意软件驱动的凭证泄露急剧增加，我们预计这种趋势将继续下去——并在某种意义上发展。最有可能的是，我们将看到新的盗贼家族的出现，以及已经存在的盗贼家族的活动增加。

窃取者和 drainer 都可能越来越多地作为暗网上的服务进行推广。恶意软件即服务（MaaS）或“订阅”是一种暗网商业模式，涉及租赁软件来执行网络攻击。通常，此类服务的客户提供一个个人帐户，他们可以通过该帐户控制攻击以及技术支持。它降低了潜在网络犯罪分子所需的初始专业知识门槛。

通过 MaaS 模型提供的窃取程序示例

除了暗网上以窃取者或吸取者本身为特色的出版物外，我们还看到寻找 traffers 的帖子——帮助网络犯罪分子分发和推广窃取者、吸取者或诈骗和网络钓鱼页面的人。

Traffer 搜索 drainer 的示例

搜寻 cryptoscam 的示例（不是 drainer）

勒索软件组的碎片化

明年，我们可能会看到勒索软件团伙分裂成更小的独立实体，使其更难追踪，并允许网络犯罪分子在不受察觉的情况下以更大的灵活性进行操作。卡巴斯基数字足迹情报数据显示，与 2023 年相比，2024 年专用泄漏站点（DLS）的数量增长了 1.5 倍。尽管有这种增长，但与上一年相比，每月的平均独立帖子数量保持不变。

勒索软件运营商还可能继续利用泄露的恶意软件源代码和构建器来创建自己的自定义版本。这种方法大大降低了新组的进入门槛，因为他们可以避免从头开始开发工具。专用泄密站点（DLS）也是如此：低技能网络犯罪分子可能会使用臭名昭著的团体泄露的 DLS 源代码来创建他们博客的几乎完全相同的副本——我们已经可以在暗网上看到这种情况。

LockBit 的 DLS

DarkVault 的 DLS 几乎是 LockBit 的精确复制品

中东地区不断升级的网络威胁：黑客行动主义和勒索软件呈上升趋势

根据卡巴斯基数字足迹情报（DFI）的数据，2024 年上半年与中东暗网活动相关的最令人担忧的网络安全威胁之一是黑客活动。由于当前的地缘政治局势，该地区的这些威胁有所增加，如果紧张局势不缓解，这种威胁可能会继续上升。

卡巴斯基 DFI 研究人员观察到该地区超过 11 起黑客行动和各种行为者。与当前的地缘政治不稳定相一致，黑客行动主义攻击已经从分布式拒绝服务（DDoS）和网站污损转变为数据泄露和目标组织受损等关键后果。

另一个可能在该地区保持高度活跃的威胁是勒索软件。在过去两年中，中东地区的勒索软件攻击受害者数量激增，从 2022-2023 年的平均每六个月 28 人大幅上升到 2024 年上半年的 45 人。这种趋势可能会持续到 2025 年。

零日漏洞利用七大趋势

未修补的漏洞一直是攻击者入侵企业系统的重要手段，尤其是零日漏洞。由于这些漏洞没有修复方案，攻击者可以在防御团队来不及应对之前迅速发动攻击。2024年，零日漏洞数量再次大幅增长，攻击者借此获得了先发优势，成为攻击企业网络和数据的关键武器。

虽然所有零日漏洞都需要被CISO及安全团队密切关注并及时修复，但其中有些漏洞因其关键性、创新攻击方式或对企业资产的巨大影响，值得特别留意。这些漏洞不仅揭示了攻击者的新兴目标，还暴露了攻击手法的演变。以下是2024年零日漏洞利用的七大重要趋势，CISO和企业安全团队应特别关注。

针对网络安全设备的零日攻击增多

2024年，攻击者开始更多地瞄准网络边缘设备，如VPN网关、防火墙、电子邮件安全网关和负载均衡系统。这些设备在企业网络中具有关键作用，功能强大，但安全性较差，往往缺乏足够的监控和更新。攻击者通过这些设备突破网络边界，获取对企业内部网络的访问权限。

例如今年年初，Ivanti Connect Secure和Ivanti Policy Secure等设备就暴露了多个零日漏洞，包括身份验证绕过（CVE-2023-46805）和命令注入（CVE-2024-21887），这些漏洞被组合成攻击链，成功被黑客组织利用。除此之外，像Citrix、Fortinet、Palo Alto Networks等厂商的设备也接连遭遇零日漏洞攻击，凸显了网络边缘设备的高风险。

重点漏洞关注如下：

Citrix NetScaler ADC和NetScaler Gateway（CVE-2023-6548，代码注入；CVE-2023-6549，缓冲区溢出）

Ivanti Connect Secure（CVE-2024-21893，服务器端请求伪造）

Fortinet FortiOS SSL VPN（CVE-2024-21762，任意代码执行）

Palo Alto Networks PAN-OS（CVE-2024-3400，命令注入）

Cisco Adaptive Security Appliance（CVE-2024-20359，任意代码执行；CVE-2024-20353，拒绝服务）

Check Point Quantum安全网关和CloudGuard网络安全（CVE-2024-24919，路径遍历导致信息泄露）

Cisco NX-OS交换机（CVE-2024-20399，CLI命令注入）

Versa Networks Director（CVE-2024-39717，任意文件上传和执行）

Ivanti Cloud Services Appliance（CVE-2024-8963，路径遍历导致远程代码执行）

Ivanti Cloud Services Appliance（CVE-2024-9381，路径遍历与CVE-2024-8963链式利用）

Ivanti Cloud Services Appliance（CVE-2024-9379，SQL注入导致应用程序接管，链式利用CVE-2024-8963）

Ivanti Cloud Services Appliance（CVE-2024-9380，操作系统命令注入与CVE-2024-8963链式利用）

Fortinet FortiManager（CVE-2024-47575，缺少认证导致完整系统妥协）

Cisco Adaptive Security Appliance（CVE-2024-20481，远程访问VPN拒绝服务）

Palo Alto PAN-OS（CVE-2024-0012，不当认证与CVE-2024-9474，命令注入链式利用）

在未修补的网络边缘设备和应用程序中，已知漏洞（N day）依旧被攻击者利用，这使得这些系统成为2024年攻击者的主要目标。

远程监控和管理工具仍是攻击者的目标

远程监控和管理（RMM）工具一直是勒索软件攻击的常见目标，尤其在初始访问阶段。RMM工具广泛应用于托管服务提供商（MSP）和企业网络管理中，成为攻击者入侵企业网络的首选途径之一。

2021年，REvil勒索软件集团曾通过Kaseya VSA服务器的漏洞进行攻击，而2024年2月，攻击者又开始利用ConnectWise ScreenConnect中的两个零日漏洞。这两个漏洞分别为CVE-2024-1708（路径遍历问题）和CVE-2024-1709（身份验证绕过）。通过这些漏洞，攻击者能够访问初始设置向导并重置管理员密码，而该向导本应仅在初次安装时运行，并在应用程序设置完成后受到保护。

这些漏洞的存在表明，RMM工具依然是攻击者的重要目标，且由于其在企业网络管理中的关键作用，一旦受到攻击，可能带来严重的安全隐患。

管理文件传输成为攻击重点

随着勒索软件团伙攻击手段的多样化，管理文件传输（MFT）软件也成为了攻击者的新目标。攻击者通过MFT软件获得初始访问权限，然后进一步渗透企业网络，甚至窃取敏感数据。

2024年12月，攻击者开始利用Cleo LexiCom、VLTrader和Harmony等三款企业文件传输产品中的一个任意文件写入漏洞（CVE-2024-55956）。该漏洞类似于2024年10月Cleo产品中已修复的另一个漏洞（CVE-2024-50623），后者也允许任意文件写入和文件读取。研究称，尽管这两个漏洞位于相同的代码库，并通过相同的端点进行访问，但它们是不同的漏洞，无需链式利用即可单独被利用。

攻击者可以利用CVE-2024-55956将恶意文件写入应用程序的自动启动目录，并通过内置功能执行该文件，从而下载额外的恶意软件负载。这类漏洞使得MFT软件成为了企业网络中的安全薄弱点，给攻击者提供了新的入侵路径。

2023年，Cl0p勒索软件集团曾利用MOVEit Transfer中的一个零日SQL注入漏洞（CVE-2023-34362）窃取了大量企业的数据。今年，MOVEit Transfer再次曝出两个关键的身份验证绕过漏洞（CVE-2024-5806和CVE-2024-5805），这些漏洞的曝光引发了对新一轮攻击浪潮的担忧，尤其是在勒索软件团伙曾多次针对MFT产品展开攻击的背景下。

CI/CD工具漏洞带来软件供应链风险

CI/CD（持续集成与持续交付）工具已成为攻击者渗透企业网络并破坏软件开发流程的关键目标，这些工具不仅为攻击者提供进入企业网络的途径，还可能导致软件开发流水线的受损，进一步引发软件供应链攻击。2020年，SolarWinds Orion软件供应链攻击便是通过CI/CD工具入侵开发环境，植入恶意代码，造成了全球范围的影响。

2024年1月，研究人员发现Jenkins中的路径遍历漏洞（CVE-2024-23897），该漏洞可能导致代码执行。此漏洞被评为关键漏洞，源自软件处理命令行界面（CLI）命令的方式。尽管该漏洞在公开披露时已有修复补丁，因此不算零日漏洞，但攻击者依然迅速采取行动，并在3月开始有迹象显示该漏洞的利用程序已被出售。到了8月，美国网络安全和基础设施安全局（CISA）将其列入已知漏洞利用目录，因为勒索软件集团已开始利用该漏洞入侵企业网络并窃取敏感数据。

开源供应链遭遇攻击者渗透

CI/CD工具漏洞并不是唯一能够入侵开发或构建环境的方式，恶意开发者也可能通过供应链中的漏洞来获取源代码或植入后门。今年，研究人员揭露了一起长达数年的渗透活动，其中一名恶意开发者使用假身份逐步获得开源项目的信任，并成为XZ Utils库的维护者——这是一种广泛使用的数据压缩库。

该恶意开发者在XZ Utils代码中添加了一个后门，旨在通过SSH实现对系统的未经授权访问。这个后门是偶然被发现的——幸运的是，在恶意版本进入稳定的Linux发行版之前就被发现了。此漏洞（CVE-2024-3094）突显了开源生态系统中供应链攻击的风险，许多生产关键和广泛使用的软件库的项目由于人员短缺和资金不足，往往在接纳新开发者时缺乏足够的审查。

2024年12月，攻击者利用GitHub Actions中的脚本注入漏洞，对PyPI上的Ultralytics YOLO开源AI库的版本进行入侵和后门攻击。类似的脚本注入漏洞已经被文档化，并且可能影响许多托管在GitHub上的项目。这表明，开源供应链的安全漏洞仍然是攻击者渗透的重要手段。

AI热潮带来新的安全隐患

随着AI技术的快速发展，许多企业开始将各种AI框架、库和平台部署到云基础设施中，以提升业务效率。然而，很多企业在使用这些AI相关平台时，往往未能妥善配置安全设置，这使得它们成为了攻击者的新目标。除配置不当外，AI平台本身也可能存在漏洞，允许攻击者访问敏感的知识产权，甚至在服务器上获取访问权限。

今年，一些Jupyter Notebooks实例（用于数据可视化和机器学习的交互式计算平台）成为了僵尸网络的攻击目标，被感染用来进行加密货币挖矿。像Google和AWS这样的云提供商也提供Jupyter Notebooks的托管服务。2024年，Jupyter Notebooks漏洞（CVE-2024-35178）允许未经身份验证的攻击者泄露运行该服务器的Windows用户的NTLMv2密码哈希。如果该密码被破解，攻击者可以利用该凭证向网络中的其他机器执行横向渗透。

安全功能绕过让攻击更具威胁

尽管远程代码执行漏洞始终是修补的优先事项，但攻击者往往也会利用一些较为“轻微”的漏洞，尤其是特权提升或安全功能绕过漏洞，这些漏洞在攻击链中起着重要作用。

今年，攻击者利用Windows中的多个零日漏洞绕过了SmartScreen提示，使得攻击者能够执行从互联网上下载的恶意文件。SmartScreen是Windows的一项内置安全功能，能够标记并警告带有“网络标记”的可疑文件。对于通过电子邮件附件或下载传播恶意软件的攻击者来说，任何能够绕过SmartScreen的攻击手段都是极为有效的。

此外，特权提升漏洞同样对攻击者非常有用，它可以让恶意代码获得管理员权限。2024年，Windows和Windows Server共报告了11个零日特权提升漏洞，而仅有5个零日远程代码执行漏洞。这些漏洞使得攻击者可以在受害系统上获得更高权限，进一步扩大攻击范围。

2024年零日漏洞的七大趋势揭示了攻击者在攻击手法上的不断进化，以及他们越来越多地瞄准企业网络中关键的新兴领域。面对这些复杂且不断变化的威胁，企业和网络安全团队需要提高警惕，加强防护，通过及时修复已知漏洞、持续监控和加强漏洞管理，企业可以有效减轻零日漏洞带来的风险，提升整体安全防御能力。

| 来源：卡巴斯基，安全客

计算机与网络安全

帮助网络安全从业者学习与成长