威胁情报(TI)焦点趋势报告
AI智能总结
方法论▪数据由Kroll网络安全威胁情报团队在初步范围界定阶段以及Kroll项目生命周期内进行收集和处理。▪Kroll 目前通过每月焦点报道,按月度和季度报告数据和季度威胁态势报告。▪Kroll TI月度即时焦点基于Kroll网络事件应急响应项目的情报,在这些项目中,我们被聘请来应对、管理或减轻网络安全事件。Kroll的事件响应工作基于从数千个Kroll网络数据与弹性团队每年处理的事务。 tlp: 清除 不包含内部威胁是威胁类型的参与2025年4月关键要点头部勒索软件变种初始访问方法•AKIRA(38%) •麒麟(23%) •玩(7%) •SILENT(7%)•BRAIN密码(7%)•KILLSEC(7%) •MIMIC(7%)•网络钓鱼:链接(32%)•利用公共应用程序(25%)•外部远程服务(18%) •网络钓鱼:非技术性(7%) * 受影响最严重的行业主要威胁事件类型•制造(16%)•专业、科学和技术服务(15%) •金融与保险(15%) •医疗卫生和社会救济(7%) •批发贸易(7%)•电子邮箱妥协(35%)•勒索软件(24%)•内部威胁(18%) •网络入侵(7%) •恶意软件(8%) tlp: 清除 2025年4月受影响最大的行业是制造业行业分析2025年4月▪在4月份,针对制造业的威胁最常涉及有效账户和利用公共应用程序作为初始访问方法。▪电子邮箱妥协是影响金融和保险业以及专业、科学和技术服务业。▪电子邮箱妥协和勒索软件是影响制造业的顶级威胁事件类型。金融和保险,以及专业、科学和技术服务是2nd2025年4月受影响最严重的行业▪四月份,针对最常涉及的两大行业的威胁网络钓鱼:链接和有效账户作为初始访问方法。 tlp: 清除 10%5%7%3%3%4%25%28%20%24%29%15%受影响最严重的行业前六个月专业,科学,和技术支持服务11月24日12月24日1月25日02-2503-2504-25零售贸易11月24日12月24日1月25日02-2503-2504-25 ▪2025年4月影响分析对于内部威胁事件,最观察到的影响是▪对影响进行加密的数据▪数据窃取以造成影响▪金融诈骗▪知识产权盗窃▪在Kroll勒索软件事件中,主要影响是数据窃取(数据窃取以造成影响).▪制造报告了所有威胁类型中最确认的影响包括:金融盗窃是KROLL观察到的最常见的影响2025年4月 知识产权盗窃。tlp: 清除 勒索软件分析2025年4月▪在4月,制造业是瑞士公司业务范围内勒索软件攻击者的主要目标行业。▪勒索软件攻击者主要通过利用面向公众的服务获得了初始访问权限应用于外部远程服务,例如VPN。观察到的最频繁的VPN是Watchguard。▪勒索软件行为者控制的羞辱网站和博客上被发布的目标中,制造业是受害者的主要行业。▪北美是受害者被部署到勒索软件行为者控制下的首要地区羞辱网站和博客。Akira是最常见的勒索软件变体由克罗尔于2025年4月 tlp: 清除 19%25%勒索软件:最受影响的行业2025年4月制造批发贸易专业,科学和技术服务 38%23%8%勒索软件:主要变种2025年4月AKIRA麒麟玩 13131418192032496465勒索软件:行动者控制网站列表来源:Intel4712025年4月AKIRA麒麟玩制造消费者/工业者专业服务房地产技术LYNXINC夜之森北美洲欧洲亚洲南美洲大洋洲DRAGONFORCELOCKBITJBABUK美国加拿大意大利德国英国巴西 3%6%7%按威胁类型划分的事故2025年4月邮箱劫持勒索软件内部威胁网络入侵恶意软件未授权访问 16%9%20%11%41%40%19%33%威胁类型趋势*未授权访问表示未授权访问 - 网络 和 未授权访问 - 云/存储库 访问 高度可能因小数而变化 |前六个月11月24日12月24日1月25日02-25未授权访问*11月24日12月24日1月25日02-25 *此数据不包括Insider Threat为威胁类型的参与情况初始访问方法2025年4月网络钓鱼:链接利用面向公众的应用程序外部远程服务网络钓鱼:非技术性有效账户网络钓鱼:语音 2025年4月关键洞察▪更多信息可以在以下Kroll博客文章中找到:https://www.kroll.com/en/insights/publications/cyber/pdfast-but-luckily-not-so-furious▪这个下载的二进制文件,名为PDF.exe,被Kroll分析,并创建和执行一个随机命名的PyArmor打包的可执行文件。▪更新程序通过计划任务运行,该任务下载并执行来自actor-的二进制文件通过几个 PowerShell 命令控制命令和控制 (C2) 域。▪科洛尔检测和安全技术将威胁遏制并根除,从而阻止了进一步恶意行动的发生。2025年4月,KROLL观察到围绕“PDFAST”软件的广泛恶意活动 tlp: 清除 2025年4月热门漏洞CVECVE-2023-5360*CVE-2025-31161*CVE-2025-31324*CVE-2025-29824 未授权访问:一个未授权的行为者无意中或恶意地访问了一个网络。威胁事件类型网络入侵:一个攻击者未经授权访问了Web应用程序或网站代码以进行恶意活动。例如通过SQL注入窃取信用卡数据或篡改网站。勒索软件:一个威胁行为者在网络内进行恶意活动,随后索要财务赎金的事件。通常包括数据窃取、数据加密和勒索的组合。恶意软件:一个组织受到恶意软件或病毒的侵害,但未提出经济要求。例如包括勒索软件活动(如QakBot、Emotet)或信息窃取者(如Vidar、Raccoon)。邮箱劫持:一个电子邮件账户被第三方恶意访问的事件(例如,账户)被接管),一个网络钓鱼邮件/活动被识别,或者一个组织的电子邮件被用于或遭到篡改以进行欺诈活动,例如商业电子邮件妥协。 tlp: 清除 初始访问方法Drive-By Compromise:通过正规网站妥协。外部远程服务:通过VPN、RDP和其他设备等远程访问服务进行妥协。硬件添加:添加计算设备以获取访问权限。利用面向公众的应用程序:利用漏洞或配置错误获取访问权限。网络钓鱼:附件:使用附加在电子邮件中的恶意软件。网络钓鱼:链接:在电子邮件中使用链接导致凭证丢失和/或下载恶意软件。网络钓鱼:非技术性:使用社会工程学技巧欺骗用户,例如电子邮件冒充、欺骗。网络钓鱼:服务:使用第三方服务,例如社交媒体,发送定向消息。网络钓鱼:语音:使用电话或团队通话诱骗目标透露敏感信息。通过可移动介质进行复制:通过像 U 盘或可移动存储设备这样的设备传播恶意软件。供应链泄露:攻击组织供应链中的薄弱环节(例如,第三方漏洞)。有效账户:使用合法凭证非法访问系统。可信关系:通过有权访问预期受害者的组织进行妥协 :数据操作:攻击者可能会篡改数据以影响业务流程、决策或隐藏恶意活动。事件影响金融盗窃:攻击者可能通过勒索、欺诈或直接盗窃来窃取金融资产。破坏篡改网站、应用程序或数字内容以散布错误信息、恐吓或宣传。磁盘擦除:破坏或损坏磁盘数据以使系统无法使用,通常是为了破坏活动或勒索软件。端点拒绝服务账户访问移除:攻击者可能通过删除、锁定或更改来拒绝合法用户访问帐户凭据。数据窃取以造成影响:攻击者可能会窃取并导出敏感数据,以造成损害、破坏运营、损害声誉或为财务或战略利益而利用。对影响进行加密的数据:攻击者可能会加密数据以拒绝访问,勒索赎金或使数据永久无法访问。数据销毁:攻击者可能会销毁系统或网络上的数据以中断可用性,通常使恢复变得困难。 :利用或瘫痪终端设备,以阻止正常用户访问或操作。 tlp: 清除 阻止系统恢复:攻击者可能会删除备份并禁用恢复选项以防止系统恢复。网络拒绝服务:通过洪水攻击或利用网络资源,降低或完全停止在线服务。事件影响(续)系统关机/重启:强行重启或关闭系统以破坏运营、抹除证据或协助进一步攻击。固件损坏:篡改或损坏固件以禁用硬件、破坏功能或持续恶意软件。资源劫持:窃取计算资源(例如CPU、GPU、带宽)用于未经授权的任务,如加密货币挖矿或僵尸网络。知识产权盗窃:攻击者可能会通过间谍活动、内部威胁或网络入侵窃取专有或敏感知识产权,以获得竞争优势、经济优势或战略优势。 tlp: 清除 请见下方Kroll网络威胁情报团队近期出版物和即将举行的活动实现微软XDR成熟度的关键步骤 (+免费自我评估工具)额外资源每周网络威胁情报简报Kroll 研究员在加密货币盗窃中发现新型恶意软件科洛尔网络威胁情报团队与我们的安全运营中心和我们的 offensive security 团队协同工作,为我们的客户提供最新的威胁情报每周更新。kroll 揭露了“前奏”和“德尔菲斯”恶意软件正在发动加密货币盗窃,通过社会工程学在社交平台x上部署了“恶魔”——赋予黑客完全控制权以窃取资产扩展检测和响应(XDR)凭借其加速和简化调查、威胁猎手和响应的能力,有可能显著提升组织的安防防御。然而,成功采用XDR以实现全面可见性需要一些重要的考量。Kroll概述了有效XDR采用和实施策略的关键要素,并列出了组织应采取的步骤来最大化其技术投资。 tlp: 清除 定义交通灯协议 (TLP)颜色tlp:red非公开披露,受限仅供参与者。tlp:amber+strict有限披露,受限对参与者组织的仅。tlp:amber有限披露,受限致参与者组织和客户。tlp:green有限披露,受限到社区。tlp:清除信息公开不限于。 © 2025 Kroll, LLC. 所有权利保留。KR24111720关于Kroll如需更多信息,请联系:作为领先独立的金融和风险管理咨询解决方案提供商,Kroll利用我们的独特洞察力、数据和科技,帮助客户应对复杂的挑战。Kroll的全球团队延续了公司近100年在风险、治理、交易和估值领域建立的信任专家历史。我们的先进解决方案和智慧为客户提供所需的远见,以创造持久的竞争优势。在Kroll,我们的价值观定义了我们是谁,以及我们如何与客户和社区合作。了解更多kroll.com.美国的企业并购咨询、融资及二级市场咨询服务由Kroll Securities, LLC(FINRA/SIPC成员)提供。英国的企业并购咨询、融资及二级市场咨询服务由Kroll Securities Ltd.提供,该公司由金融行为管理局(FCA)授权和监管。印度的估值咨询服务由Kroll Advisory Private Limited(前身为Duff & Phelps India Private Limited)提供,该公司持有印度证券交易委员会(SEBI)颁发的第一类投资银行牌照。基思·沃热塞克总经理 1 443 295 5082keith.wojcieszek@kroll.com 乔治·格拉夫高级副总裁 +44 7584999104george.glass@kroll.com
