執行摘要
我們看到五個主要的新興趨勢正在重塑威脅形勢。
-
首先,威脅行動者正在強化傳統的勒索軟體與敲詐手法,並且採取故意破壞營運的攻擊行動。在 2024 年,Unit 42 回應的事件中有 86% 涉及業務中斷 — 影響層面包括營運停擺、聲譽受損或兩者兼具。
-
其次,軟體供應鏈與雲端攻擊的頻率和複雜性仍不斷增加。在雲端環境中,威脅行動者常潛伏在錯誤設定的環境中,伺機掃描大型網路以尋找有價值的數據。在單一活動中,攻擊者會掃描超過 2.3 億個獨特目標以取得敏感資訊。
-
第三,入侵速度不斷地加快 (透過自動化和簡化的駭客工具套件進一步增強),讓防禦者的偵測與回應時間大幅縮短。在近五分之一的案例中,數據外洩發生在受到攻擊的第一個小時內。
-
第四,企業面臨內部威脅的風險增加,因為像是北韓等國家級攻擊者會鎖定企業竊取資訊,並資助其本身的國家計畫。2024 年,與北韓有關的內部威脅案例增加兩倍。
-
第五,對於 AI 輔助式攻擊的早期觀察顯示,AI 能夠大幅提升入侵的規模與速度。
在這些趨勢之中,我們還觀察到多管齊下的攻擊方法,也就是威脅行動者會同時針對攻擊範圍中的多個領域發動攻擊。事實上,Unit 42 回應的事件中有 70% 涉及三個或更多層面,凸顯了同時保護端點、網路、雲端環境及人為因素的必要性。在人為因素方面,我們調查的近一半安全事件 (44%) 涉及網頁瀏覽器,包括網路釣魚攻擊、惡意重新導向和惡意軟體下載。
根據多年的經驗,我們從數以千計的事件回應中找出讓對手得以成功的三大關鍵因素:複雜性、可視性的落差和過度信任。此外,像是支離破碎的安全架構、不受管理的資產和過於寬鬆的帳戶權限都讓攻擊者有了可乘之機。
為了因應這些挑戰,安全領導者必須加快達到零信任的旅程,減少整個生態系統中的隱性信任。同樣重要的是保護應用程式和雲端環境從開發到執行階段的整個過程,確保錯誤設定和弱點等問題能夠迅速地解決。最後,透過跨內部部署、雲端和端點日誌的整合可視性以及自動化驅動的威脅偵測與補救,讓安全營運能夠看到更多資訊並更快地做出回應,這一點至關重要。
1.簡介
在我擔任事件回應者的二十年職業生涯中,我目睹威脅形勢和攻擊者策略的無數次變遷。
當勒索軟體首次出現時,檔案加密就成為網路罪犯的首選策略。鎖定檔案、索取贖金以提供解密金鑰,然後尋找下一個目標。然而,隨著備份技術日趨成熟,雙重敲詐勒手法變得更加普遍。網路罪犯利用騷擾手段 (至今仍然如此) 威脅企業:「付錢,否則我們將洩露敏感數據。」但是即便如此,這種策略的效果也在逐漸減弱。
我幾乎每個月都會收到數據外洩的通知。我偶爾仍會開啟並閱讀這些郵件,但我得承認更多時候這些訊息都直接進了垃圾桶。和許多人一樣,我投資身分竊取防護軟體,並遵循最佳實務來維持良好的網路健康情況。然而,面對這些不斷湧現的通知,人們難免會產生這樣的想法:「我的數據又被洩露,那又怎樣?」這種麻木的心態確實令人不安。儘管公眾對此漠不關心,數據外洩仍然可能對公司造成重大損害。
過去一年,攻擊者的重心再次轉變,開始針對企業營運進行蓄意破壞。這項出於經濟動機的新型敲詐手法首重於破壞行動 — 攻擊者會蓄意破壞系統、讓客戶無法進入其環境,並迫使企業長時間停擺 — 確保其攻擊行動能夠造成最大規模的衝擊,藉此向受害企業勒索贖金。
2024 年,Unit 42 處理超過 500 起重大網路攻擊事件。這些事件讓受害的大型企業面臨敲詐、網路入侵、數據竊取、高進階持續性威脅等挑戰。攻擊目標涵蓋 所有主要產業領域,影響範圍遍及 38 個國家。
這些入侵事件以前所未有的速度展開,使我們幾乎難以招架,導致嚴重的營運中斷和連鎖影響 — 從業務停擺、服務中斷到高達 數十億 美元的損失。在每一起事件中,情勢都已惡化至安全營運中心 (SOC) 不得不請求增援的地步。
當 Unit 42 接到通報時,我們的事件回應團隊會迅速展開行動以遏制威脅、調查事件並恢復營運。危機過後,我們與客戶合作強化其安全狀況,以抵禦未來的攻擊。
Unit 42 的使命相當明確:保護數位世界免於遭受網路威脅。我們的團隊全天候在世界各地運作, 致力於阻止威脅行動者、追蹤不斷演進的威脅,並協助企業預防和復原,即使面對最複雜的攻擊也能從容應對。
本報告旨在引導您了解我們的重要發現以及可採取行動的:
-
新出現的威脅和趨勢:探索未來可能出現的威脅,包括以破壞行動主導的敲詐手法、AI 輔助攻擊、雲端與軟體供應鏈攻擊、國家層級的內部威脅,以及攻擊速度的提升。
-
威脅行動者成功: 分析從初始存取到造成影響的過程中,最常見的有效策略、技術和程序。
-
給防禦者的建議:為高階主管、資訊安全長和安全團隊提供實用指南,協助他們加強防禦、提高靈活度並且能更有效地因應威脅。
在閱讀本報告時,不僅要考量目前發生的威脅,還必須思考未來的趨勢,以及您的企業如何做好準備以因應日益複雜的威脅環境。
SAM RUBIN
Unit 42 諮詢與威脅情報資深副總裁
2.新出現的威脅和趨勢
在 2025 年,企業將面臨由出於經濟動機的網路罪犯、資源充足的國家級攻擊者、內部威脅計劃以及意識形態驅動的駭客激進分子所構成的複雜威脅組合。儘管敲詐勒索仍是犯罪集團的主要手段,但是複雜的國家級攻擊者正將目標鎖定在關鍵基礎結構、供應鏈和各主要產業。由於擁有特殊存取權限的承包商和員工可以繞過外部防禦,使得內部風險日益加劇,而駭客激進分子則會利用社群媒體網路協調大規模破壞行動。
在這樣的背景下,Unit 42 確定對企業影響最顯著且最直接的五大關鍵趨勢:蓄意造成破壞的敲詐勒索、軟體供應鏈和雲端漏洞、不斷加快的攻擊速度、北韓內部威脅以及 AI 輔助式威脅。
趨勢 1。業務營運中斷:第三波勒索型攻擊
隨著防禦能力的提升、備份技術更加普及且成功率提高,網路健康情況的管理也日趨成熟。攻擊者被迫創新其攻擊手法,以確保能夠持續獲得、甚至提高勒索贖金。
勒索型攻擊在過去十年中不斷演變:從加密到滲透和多重勒索技術,再到故意破壞。儘管勒索軟體仍然是主要威脅,但攻擊者已從單純加密數據轉向更具破壞性的策略,例如騷擾利益相關者以及威脅將展開會導致長時間業務停擺的重大攻擊行動。
在 2024 年,Unit 42 回應的事件中 86% 都造成某種形式的損失。其中包括:
- 徹底的業務中斷
- 與資產和詐欺相關的損失
- 公開的攻擊導致品牌和市場受損
- 營運成本上升、法律與合規成本增加等問題
我們可以將勒索型攻擊的演變分為三個階段。
第一波:最初,攻擊手法是以加密為主
加密貨幣的興起讓網路罪犯能夠在風險降低的情況下,進行更大規模的犯罪活動。威脅行動者迅速採用勒索軟體作為一種有利可圖的攻擊方法,具體而言就是挾持重要檔案以獲取贖金,並要求受害者支付加密貨幣以解鎖檔案。加密貨幣自此成為勒索軟體攻擊的關鍵推動因素:
- 降低攻擊者被識別的風險
- 降低網路罪犯的進入門檻
- 協助攻擊者規避執法機構和國際制裁
在早期的勒索軟體攻擊中,攻擊手法相對簡單。入侵系統、加密檔案,然後撤離。這段時期的 Unit 42 調查很少發現數據外洩的跡象。
攻擊者現在變得更加老練,經常將加密與數據竊取和雙重敲詐勒威脅結合起來,但加密本身仍然是首選策略。事實上,Unit 42 最新的事件回應數據顯示,加密仍然是勒索案件中最常見的手法,並在過去四年間保持相對穩定。
隨著企業逐步改善數據備份實務,僅依靠加密作為勒索手法的效果已不如以往。備份有助於讓更多企業更快地恢復 — 在 2024 年,近一半 (49.5%) 遭入侵的受害者能夠透過備份恢復。如圖 1 所示,這一數字約為 2022 年的五倍,當時只有 11% 的受害者能夠透過備份恢復。
圖 1:2022 至 2024 年間,成功透過備份還原加密檔案的受害者比例上升了 360%。
然而,這些防禦措施對於防止攻擊者公開或出售被竊取的數據幾乎無能為力。
第二波:透過數據外洩增加籌碼
隨著單純依賴加密已漸漸失去效用,攻擊者轉向一種新的勒索手法:數據外洩與隨後的騷擾。除了利用外洩的數據以透過勒索和騷擾等手段來施壓受害者之外,出於經濟動機的攻擊者還獲得了額外的收入來源,例如在暗網市場上拍賣數據。
攻擊者威脅要公開洩露敏感資訊,並經常設立洩漏網站,將其聲稱的受害者曝光。有些人甚至會向員工和客戶大量發送惡意訊息。
然而,儘管數據竊取仍然是常見的手法,其效果卻出於多種原因開始下降。而數據外洩麻痺的現象更讓暗網外洩已經難以對受害者施加足夠壓力來促使其支付贖金。
根據身分竊取資源中心發佈的 2023年外洩報告外洩報告,光是 2023 年就有 3.53 億名受害者的數據遭到洩露。此外,儘管攻擊者通常會履行其承諾,但企業也越來越擔心他們是否會不遵守承諾。
事實上,在 2024 年涉及數據竊取的案件中,只有不到三分之二的攻擊者提供數據刪除的證據 (僅 58%)。在某些情況下,Unit 42 發現,儘管威脅行動者聲稱已提供所謂的「證據」,但實際上仍保留部分資料。儘管三分之二的比例仍然占大多數,但這數字卻遠遠不及大多數受害者在支付 (通常過高) 贖金時所期望的確定性。
公開洩漏網站的數據也支持這一趨勢。在 2022 至 2023 年間,洩漏網站的受害者數量增加高達 50%,但在 2024 年卻僅增加 2%。這說明威脅行動者意識到洩漏網站勒索的方式可能已難以迫使受害者支付贖金。
為了讓勒索策略奏效,攻擊者會製造恐懼來吸引受害者的全部注意力。為了達成這一目標,威脅行動者將不斷演變其手法以維持破壞力並保持優勢。
這並不意味著攻擊者已放棄數據洩露的策略。正如表 1 所示,威脅行動者仍花了超過一半的時間竊取數據,而他們利用騷擾的手法也正在穩定上升。然而,威脅行動者正在採取更多的策略來確保他們能獲得報酬。
| 勒索手法 | 2021 | 2022 | 2023 | 2024 |
|---|---|---|---|---|
| 加密 | 96% | 90% | 89% | 92% |
| 數據竊取 | 53% | 59% | 53% | 60% |
| 騷擾 | 5% | 9% | 8% | 13% |
表 1: 勒索相關案件中勒索策略的普遍性。
蓄意破壞已成為經濟動機攻擊演變的下一個階段,因為威脅行動者會不斷加強力道來引起受害者的注意。
第三波:蓄意破壞營運
攻擊者開始著重於第三種策略來加大施壓力度:蓄意破壞。在 Unit 42 於 2024 年所回應的事件中,有 86% 造成某種程度的損失,無論是對營運、聲譽,或其他方面都產生破壞性影響。
Unit 42 觀察到攻擊者會將加密技術與數據竊取相結合,並進一步透過其他策略造成企業的危害。他們會破壞受害者的品牌聲譽,或騷擾其客戶與合作夥伴。此外,攻擊者還會刪除虛擬機並摧毀資料 (第 5.1 節會針對攻擊者在此類攻擊中使用的 MITRE ATT&CK 技術提供完整分析)。
我們觀察到,攻擊者會針對依賴廣泛合作夥伴網路營運的受害者進行破壞。企業必須先封鎖部分網路來遏制威脅行動者並加以補救後才能恢復營運時,其合作夥伴將被迫中斷連線。一旦重新上線,隨著合作夥伴重新連線網路,重新認證程序會造成進一步的中斷。
技術純熟的攻擊者會利用這些手法針對企業發動攻擊,包括醫療、餐旅、製造以及關鍵基礎結構等領域,其目的不僅是破壞企業營運,還波及其合作夥伴與客戶,造成更廣泛的衝擊。
隨著企業面臨長時間營運停擺、合作夥伴與客戶關係緊張以及業務盈虧壓力,威脅行動者會趁機勒索更高的贖金。另一方面,企業為了盡快恢復系統運作並將財務損失 (可能高達數百萬甚至數十億美元) 降到最低,將被迫支付更高的贖金。2024 年的勒索初始中位數金額來到 125 萬美元,相較 2023 年的 69.5 萬美元,大幅增加近 80%。
另外,我們也從威脅行動者的角度來分析企業的支付能力以檢視其勒索金額。(這通常基於威脅行動者從公開資訊來源獲得的企業財務狀況所得出的估計。)2024 年的勒索初始中位數金額約為受害企業預估年度營收的 2%。一半的初始勒索要求佔受害企業預估年營收的 0.5% 至 5% 之間。在極端情況下,部分攻擊者甚至要求超過受害企業的預估年營收。
然而,儘管勒索金額有所增加,Unit 42 在談判最終支付金額 (對於選擇支付贖金的客戶) 方面仍取得一定成效。因此,2024 年的勒索金額中位數僅增加 3 萬美元,達到 26.75 萬美元。當企業選擇支付贖金時,實際支付金額的中位數低於預估營收的 1% (0.6%)。因此,Unit 42 在談判中通常能將初始勒索金額中位數削減超過 50%。
反制對策:面對日益增加的破壞行動時能保持彈性
面對以破壞為目的的威脅行動者時,營運彈性是一個關鍵考量因素:如果關鍵系統癱瘓或敏感資料遭鎖定而無法存取,企業是否能持續運作?哪些業務對於維持營運來說至關重要?您的損壞復原和備份策略是什麼?關鍵合作夥伴是否已準備好在遭受攻擊時切換至新系統?
最好的方法就是透過定期測試與事件模擬以驗證技術性控制是否有效、訓練因應團隊,並評估企業維持核心服務的能力。專注於營運彈性,不僅能減輕攻擊行動立即造成的財務影響,還能保護企業的長期聲譽與利害關係人的信任 — 這些都是在日益動盪的網路安全形勢中至關重要的資產。
勒索行動以及隨之而來的加密、數據竊取、騷擾與蓄意破壞,都不是曇花一現的趨勢。網路安全策略必須持續演進以因應攻擊者不斷變化的技術策略,同時也要意識到威脅行動者會持續適應並試圖突破更強的防禦措施。
趨勢 3。速度:攻擊速度越來越快,防禦者的反應時間也越來越短
Unit 42 觀察到,隨著越來越多的威脅行動者採用自動化、勒索軟體即服務 (RaaS) 模型和生成式 AI (GenAI) 來簡化其活動,網路攻擊速度已大幅提升。這些工具讓攻擊者能夠快速識別弱點、製作令人信服的社交工程誘餌,並最終大規模且更快速地執行攻擊。
不斷加快的攻擊速度迫使全球企業重新評估其應變能力,並優先採用早期偵測機制。在許多情況下,短短數小時內就能決定攻擊者是否成功達成目標,包括數據竊取、加密或營運中斷。隨著攻擊者不斷精進其手法並加快攻擊速度,企業必須採取主動安全措施並加強快速事件回應,而這樣的需求已變得至關重要。
Unit 42 衡量攻擊速度的方法之一是測量數據外洩時間 — 即攻擊者在初始入侵後,需要多久的時間洩露竊取的數據。
2024 年,在 Unit 42 處理的攻擊案例中,數據外洩的平均時間約為兩天。這樣的速度確實值得注意,因為企業通常需要數天才能偵測到入侵行動並進行補救。
在進一步分析數據洩露速度最快的一系列案例後,其外洩速度更令人感到憂心。
-
在四分之一的案例中,從入侵到數據外洩的時間不到五小時。
這一速度比 2021 年快了將近三倍,在當時速度最快的 25% 案例中,數據外洩在 15 小時以內發生。
對於大部分事件,攻擊者的速度甚至更快。
- 在約五分之一的案例 (19%) 中,從入侵到數據外洩的時間不到一小時。
在 Unit 42 最近處理的三起案件中,我們觀察到攻擊者行動的速度:
RansomHub (Unit 42 的追蹤記錄為 Spoiled Scorpius) 透過缺乏多因素驗證的 VPN 存取市政府的網路。在取得立足點後的 7 小時內,威脅行動者從網路中竊取 500 GB 的數據。
威脅行動者暴力破解 VPN 帳戶以獲得對大學的存取權限。在識別出未受 XDR 保護的系統後,他們在 18 小時內部署勒索軟體並竊取數據。
Muddled Libra (亦稱 Scattered Spider) 成功透過社交工程入侵某服務供應商的服務台,進而取得特殊存取管理 (PAM) 帳戶的權限。透過此存取權限,他們擷取儲存的憑證並入侵網域權限帳戶 - 所有這些動作都在短短 40 分鐘內完成。在獲得網域存取權限後,該威脅行動者成功破解密碼管理庫,並將一個遭入侵的帳戶新增至客戶的雲端環境中,進一步提升權限以進行數據的洩露。
相較於以往,防禦者識別、回應和遏制攻擊的時間變得更少。在某些情況中,他們的回應時間甚至不到一個小時。
然而,我們在縮短停留時間方面仍取得進展,這段時間指的是攻擊者在受害者環境中存在的天數,直到企業發現或偵測到攻擊者為止。2024 年的停留時間相較於 2023 年縮短 46%,從 13 天降至 7 天。這延續自 2021 年以來觀察到的停留時間縮短趨勢,當時的平均停留時間為 26.5 天。
反制對策:防禦速度更快的攻擊
為了能有效因應日益加快的攻擊速度,請考慮採用以下策略:
- 評估偵測和回應速度:追蹤並推動平均偵測時間 (MTTD) 和平均回應時間 (MTTR) 的持續改進代表著您的 SOC 速度正逐漸提升。
- 充分利用 AI 驅動的分析:相較於手動方法,集中分析數據來源並即時識別異常情況能夠更快找出關鍵警示。
- 使用自動化劇本:預先定義遏制行動,以便在幾分鐘內隔離遭入侵的端點或鎖定使用者帳戶。
- 連續測試:定期進行桌面和紅隊演習,以確保您的 SecOps 團隊能夠更為順暢地從偵測轉換至回應動作。
- 優先處理高風險資產:將快速回應能力聚焦於最關鍵的系統,因為這些系統的停機或數據遺失造成的損失最為嚴重。
在成功整合即時可視性、AI 見解和自動化工作流程後,您甚至可以超越行動速度最快的對手。
趨勢 4。內部威脅的崛起:
北韓的內部威脅熱潮
內部威脅對任何企業而言都是最難以察覺的風險之一,因為攻擊者會利用企業賴以營運的高度存取權限與彼此之間的信任關係。由於內部威脅能夠規避許多外部防禦措施,使其行動更難以被偵測。
近期北韓的國家級威脅組織曾安排特務人員擔任國際企業的技術職位,藉此發動更具破壞性的內部威脅攻擊。我們追蹤的 Wagemole (亦稱為「IT Workers」) 也將工程職位本身轉變為新的攻擊範圍。此舉為北韓 政權帶來數億美元及其他強勢貨幣的收入。
北韓威脅行動者會利用盜取或偽造的身分,並附上詳細的技術履歷來參與傳統的招聘程。這些技術履歷可能包含透過身分操縱獲得的真實推薦,以及能通過基本驗證的過往工作經歷。
2024 年,我們處理的事件回應案例中約有 5% 與內部威脅有關,而與北韓有關的內部威脅案件數量相較於前一年則增加三倍之多。雖然對於這類威脅的意識提升能讓更多客戶開始注意這些威脅,但更重要的是,這些攻擊者仍然在持續行動。
在面對這樣的威脅時,沒有哪個部門能置身事外。到 2024 年,這些行動者的影響範圍擴大到金融服務、媒體、零售、物流、娛樂、電信、IT 服務和政府國防業務承包商等領域。大型科技公司仍是最主要的目標。
這類攻擊行動通常鎖定雇用合約制技術人員的企業。由於以下原因,人力派遣公司經常在不知情的情況下助長了北韓 IT 工作者計劃:
- 簡化的驗證程序,可滿足快速招聘需求
- 有限的身分驗證機制
- 對於外包人力派遣業者的可視性不足
- 在競爭激烈的市場中快速填補職缺的壓力
儘管北韓特務人員已成功獲取部分全職職位,但合約制勞動力仍然是其最常用的滲透管道。
這些特務人員的技術水準已大幅提升。他們曾經高度依賴商業遠端管理工具,但最近已轉而採用更微妙的方法。
最令人擔憂的是有越來越多人使用硬體式 KVM-over-IP 解決方案 — 這些小型裝置可直接連接到目標系統的視訊與 USB 連接埠以提供遠端控制能力,因此能夠規避大部分的端點監控工具。這些裝置會安裝在目標企業自行提供的電腦上,等於是讓威脅行動者有了可乘之機。
Visual Studio Code 的通道功能原本是為了合法的遠端開發所設計,現在卻遭到威脅行動者所利用,作為維持存取權限的隱蔽通道。
這類行動的特性帶來偵測上的挑戰,因為許多特務人員確實具備真正的專業技術。他們的存取不僅看起來合法,事實上也確實合法。他們在依指派執行任務的同時,也在暗中遂行真正的目標。
一旦成功滲透企業,這些內部人員除了非法領取薪資以資助政權外,還會從事各種惡意活動:
-
數據外洩:有系統地洩漏敏感業務數據和內部文件-使用安全策略、漏洞報告和訪談指南來更好地逃避偵測,同時針對客戶數據、原始程式碼和智慧財產權。
-
未經授權的工具部署:引入遠端管理和其他未經授權的工具來維持存取權限或為進一步利用做好準備。
-
修改原始程式碼:取得原始程式碼儲存庫的存取權限後,威脅行動者可能會植入後門程式碼以獲得未授權的系統存取權限而影響更廣泛的企業,或篡改金融交易。
-
勒索:在某些情況下,特務人員會利用遭竊的數據要求贖金,威脅洩漏專屬資訊。有些時候他們不只是威脅,還會真的採取行動。
-
虛假推薦:威脅行動者可能會推薦其同夥加入企業,進而促使公司雇用更多假冒的 IT 工作者。在某些情況下,被推薦的員工就只是推薦人本人的分身,使用不同的虛假身分冒充其他人。
北韓 IT 工作者計劃已從單純的賺取收入行動轉變為更具迴避性的內部威脅策略,針對全球各種類型的企業發動攻擊。北韓政權對這些行動的策略性投資,顯示出對於這種手法的長期依賴。
因此企業必須改變其勞動管理方式和安全性來防範這類威脅。
因應內部威脅需要的不僅僅是技術控制。而是必須仰賴一種安全意識文化以及對於使用者活動的主動監控,特別式對於具有較高權限的個人來說更是如此。
實施最低權限存取政策並根據徹底的背景調查結果採取行動,有助於降低遭濫用的風險。此外,企業也應密切注意各項行為指標,例如異常數據傳輸或即將離職員工在最後一刻的大量系統存取。在此過程中,企業必須能夠整合不同數據來源的指標。某種行為本身看似無害,但若與其他跡象結合,可能就有必要進一步調查來找出潛在威脅。
最終,我們必須在信任與驗證之間取得平衡。一次內部事件就有可能破壞企業多年來的成果、讓智慧財產權遭到威脅,並危害企業聲譽。透過內部程序的強化、監控權限存取並強調各個層級的安全性,企業就可以大幅降低發生內部威脅事件的機率。
趨勢 5。AI 輔助式攻擊的出現
儘管仍處於早期階段,GenAI 的惡意使用卻已徹底改變了網路威脅形勢。攻擊者利用 AI 驅動的方法來發動 更具說服力的網路釣魚攻擊、自動化惡意軟體開發,並 加快攻擊鏈的推進速度,使網路攻擊更難偵測且執行速度更快。雖然目前對抗性 GenAI 的應用更偏向漸進式發展而非顛覆性變革,但切勿錯估形勢:GenAI 正在改變攻擊者的進攻能力。
GenAI 工具,特別是 LLM,正遭受國家級 APT 以及出於經濟動機的網路罪犯所利用,以簡化並加強攻擊力道。這些技術可自動執行過去需要大量人工操作的複雜任務,進而加速整個攻擊生命週期。
例如,LLM 能夠精確模仿一般商務場合的企業通訊,以前所未有的準確性撰寫極具說服力的網路釣魚郵件。這不僅提升了網路釣魚活動的成功率,也讓傳統基於特徵碼的防禦機制更難偵測這類威脅。惡意組織更開始兜售能夠生成逼真深偽內容的工具 (其價格從免費版本到「企業方案」不等,部分產品最低每月僅需 249 美元)。
在惡意軟體開發領域,LLM 可協助產生和混淆惡意程式碼,使攻擊者能夠建立可規避標準偵測機制的多型態惡意軟體。在自動建立入侵指令碼並強化惡意軟體承載後,對抗性 AI 為低技術層級的威脅行動者降低了技術障礙,進一步擴大潛在攻擊者的目標範圍。此外,AI 驅動的工具更增強識別和利用弱點的能力。
AI 輔助式攻擊最深遠的影響之一就是網路攻擊速度和效率的提升。過去需要數天或數週才能完成的任務,現在只需數分鐘即可完成。
為了驗證這一點,Unit 42 研究人員模擬一場勒索軟體攻擊,試圖整合每個攻擊階段的 GenAI 行動。下方圖 3 顯示攻擊速度的差異:在未使用 GenAI 時,攻擊所需的時間 (基於我們在 IR 調查中觀察到的中位數時間),相較於使用 GenAI 時的攻擊速度。
使用 AI
不使用 AI
圖 3:模擬攻擊中,使用 AI 輔助技術前後的速度差異。
我們的測試將滲透時間從平均兩天縮短到了 25 分鐘— 快了將近 100 倍。雖然這些都只是實驗室的測試結果,但不難看出,這種從偵察到利用的快速推進確實大幅縮短了「攻擊影響時間」(time-to-impact),使企業更難及時因應並減輕損害。
這些策略可以協助您防範 AI 輔助式攻擊:
-
部署 AI 驅動的偵測,以機器速度發現惡意模式,針對不同來源的數據建立關聯性。
-
訓練員工識別 AI 生成的網路釣魚、深偽和具有針對性的社交工程行動。
-
在桌面演習中結合使用 AI 策略的對抗性模擬,為快速、大規模的攻擊做好準備。
-
開發自動化工作流程,以便您的 SOC 能夠在威脅轉移或洩漏數據之前進行遏制。
3.威脅行動者如何成功:通用的有效策略、技術和程序
威脅行動者持續提高攻擊的速度、規模和複雜性。這使得他們能夠在短時間內造成廣泛的損害,讓企業難以偵測他們的活動並有效地進行緩解。
在我們的案例數據中,我們注意到兩個主要趨勢:
威脅行動者經常透過多種途徑對企業發動攻擊。
在深入研究威脅行動者如何實現其目標時,我們發現他們正從社交工程轉而攻擊端點、雲端資源和其他領域,如表 2 所示。
| 攻擊途徑 | 案例百分比 |
|---|---|
| 端點 | 72% |
| 人員 | 65% |
| 身分 | 63% |
| 網路 | 58% |
| 電子郵件 | 28% |
| 雲端 | 27% |
| 應用程式 | 21% |
| SecOps | 14% |
| 數據庫 | 1% |
表 2: 我們觀察到的威脅行動者攻擊途徑。
在 84% 的安全事件中,威脅行動者會經由多個途徑對其目標發動攻擊 (其中 70% 的案例涉及三種或更多途徑)。在我們處理的一些事件中,威脅行動者的攻擊途徑甚至多達八個。
由於攻擊手法日益複雜,我們需要統一檢視所有的數據來源。在 85% 的案例中,Unit 42 事件回應人員必須存取多種類型的數據來源才能完成調查。防禦者應準備好存取並有效地處理來自整個企業不同來源的資訊。
瀏覽器是威脅的主要管道。
在我們調查的安全事件中,有近一半 (44%) 涉及透過員工瀏覽器發起或協助的惡意活動。其中包括網路釣魚、濫用 URL 重新導向和惡意軟體下載,對手會利用瀏覽器工作階段發動攻擊,而未遭到有效偵測或攔截。
使用者會與惡意連結、網域或檔案進行互動,再加上安全控制不夠充分,最終導致企業遭到入侵。企業必須提高可視性並在瀏覽器層級實施強大的控制,透過偵測、封鎖和回應等手段防止威脅進一步擴散。
接下來的章節將介紹我們對於入侵活動的觀察,以及透過 Unit 42 案例數據獲得的常見攻擊技術相關見解。
3.1.入侵:廣泛且具針對性的社交工程不斷發展
在 2024 年,網路釣魚再次成為 Unit 42 案例中最常見的初始存取途徑,佔約四分之一 (23%) 的事件,如圖 4 所示。
圖 4:多年來在 Unit 42 回應的事件中觀察到的初始存取途徑。其他社交工程包括 SEO 污染、惡意廣告、簡訊詐騙、MFA 轟炸和服務台入侵。其他初始存取途徑還包括濫用信任關係或工具,以及內部威脅等。
僅分析初始存取途徑本身並無法提供完整脈絡。不同的初始存取途徑通常對應於不同的威脅行動者特徵與攻擊目標。例如,當威脅行動者透過網路釣魚入侵時,最常見的事件類型就是商業電子郵件入侵 (佔 76% 的案例),其次是敲詐勒索,特別是勒索軟體 (近 9%)。
儘管國家級攻擊者在所有事件中的佔比不高,但造成的衝擊卻更大,且經常利用軟體/API 弱點作為初始存取途徑。
防禦者應注意威脅行動者使用先前洩露憑證的頻率,他們通常會向初始存取掮客購買這些憑證。在深網與暗網進行搜尋時,我們經常可以發現先前洩露的憑證。
一些不太常見的初始存取途徑可能會導致重大損害。例如,Unit 42 持續觀察到網路犯罪組織 Muddled Libra 會對服務台進行社交工程來獲取企業的存取權限。然而,其他威脅行動者也會利用相同的手法,例如某個來自奈及利亞出於經濟動機的攻擊者。
使用這種手法的攻擊者無需使用惡意軟體即可進行詐騙,他們通常利用偽造的身分文件,或透過地理定位取得與受害者所在城市相符的 VoIP 電話號碼來增加可信度。在我們的數據中,針對性攻擊的比例已從 2022 年的 6% 上升至 2024 年的 13%。
反制對策:防範社交工程攻擊
防禦者應持續採用深度防禦策略 (Defense-in-Depth) 以因應常見的初始存取途徑,並最大程度地降低威脅行動者成功入侵系統後造成的衝擊。
對於員工的安全訓練絕對必要,因為它能協助員工提升防範社交工程攻擊的能力。此外,訓練內容不應侷限於網路釣魚和魚叉式網路釣魚等主題。完整課程也應包含:
- 提升實體安全的策略 (例如防止尾隨進入)
- 防止裝置遺失的最佳實務
- 如果裝置遭竊或無人看管時該怎麼辦
- 內部威脅指標
- 服務台通話中應注意的危險訊號
- 深偽的跡象
3.2.Unit 42 案例數據中的攻擊技術見解
根據我們在 2024 年針對最老練的攻擊者所觀察到的策略與技術,威脅情報分析師為防禦者總結出三項關鍵見解:
- 攻擊者會使用任何形式的存取權限。即使威脅組織似乎鎖定其他目標,企業仍應做好準備以防範自身遭到攻擊。
- 進階攻擊者不一定會使用複雜的攻擊手法。如果簡單的方法能達成目標,他們也會選擇使用。
- 儘管勒索攻擊相當盛行,但並非所有威脅行動者都樂於曝光。例如,國家級層級的攻擊者通常會潛伏在遭入侵的網路,尤其是透過「就地取材」技術以避免洩露行蹤。
接下來的章節將更深入探討國家級威脅組織及具有其他動機的行動者所使用的技術。
許多企業並不重視針對特定行為者的防禦並認為這些攻擊者的目標是其他對象。然而,許多威脅行動者一再證明,持續性的攻擊團體往往會在達成最後目標的過程中影響許多企業。
在 2024 年,Unit 42 追蹤到多家企業遭國家級威脅行動者入侵。這些攻擊者並不一定是透過間諜活動來實現目標。有時,他們會控制受害裝置以支援未來的攻擊行動 ( T1584 - 入侵基礎結構)。
例如,眾所周知,Insidious Taurus (又稱 Volt Typhoon) 會濫用這些機會性入侵的裝置 (通常是面向網際網路的網路路由器和物聯網資產) 來建立殭屍網路,以代理形式命令及控制發送給其他受害者或來自這些受害者的網路流量。
據觀察,攻擊者還會鎖定並入侵技術供應商,以收集特定的敏感客戶資訊,甚至利用對於下游受害者的互連存取 (T1199 - 信任關係)。
即使您不是威脅行動者的直接目標,您的網路仍可能面臨遭受威脅的風險。
「進階持續性威脅」一詞往往讓人產生一種錯覺,認為這些攻擊者的行動必然是新穎且高度複雜的手法。但實際上,即使是資源充足的攻擊者,往往也會選擇阻力最小的路徑來達成目標這包括利用已知 (甚至是舊的) 弱點 (T1190 - 利用面對公開環境的應用程式)、簡單地濫用合法的遠端存取功能 (T1133 - 外部遠端服務) 或使用常見的現有線上服務竊取資訊 (T1567 - 透過 Web 服務外洩)。
我們看到網路上經常重複出現的系統性問題和錯誤,例如錯誤設定和遭暴露的面向網際網路裝置。這些都會降低惡意行動者的障礙。
大多數安全事件涉及以財務為動機的威脅行動者,其中許多人不僅行動迅速,還會主動曝光以便進行勒索。然而,我們也看到在一些事件中,攻擊者會刻意避開觸發警示並努力規避防禦機制以進行間諜活動等目的。
攻擊者有時會隱藏在預期使用者活動的「雜訊」中,進一步利用網路的複雜性。他們會利用遭入侵環境的合法特徵,這種方法稱為「就地取材」。攻擊者透過此方法獲得的成功,凸顯了防禦者在區分正常與惡意活動時,經常面臨難以管理的挑戰。
以一個相當常見的真實案例來說,當您觀察到以下動作時,您能立即分辨這是系統管理員的操作,還是進階持續性威脅 (APT) 嗎?
- 執行的命令
- 系統設定變更
- 登入
- 網路流量
| 技術 | 2024 年趨勢 |
|---|---|
| T1078 - 有效帳戶 |
這是最常見的初始存取途徑之一,在所有與此策略相關的分類技術類型中佔比超過 40%。它可能是由身分和存取管理以及攻擊範圍管理 (ASM) 方面的弱點所造成的,例如:
|
| T1059 - 命令和指令碼解譯器 |
這是最重要的執行技術 (例如,超過 61% 的與執行策略相關的案例都以這種方式濫用 PowerShell)。其他經常被濫用的系統公用程式包括其他原生 Windows、Unix、網路裝置和用於執行各種任務的 應用程式特定殼層。 |
| T1021 - 遠端服務 |
對這些服務的濫用是橫向移動中最常見的技術 (據觀察,在與此策略相關的分類技術中,超過 86% 均涉及遠端服務)。這進一步凸顯重複使用合法憑證的趨勢。我們看到他們並沒有以更傳統的方式使用這些憑證,而是透過內部網路協定進行身分驗證,例如 RDP (超過 48% 的案例)、SMB (超過 27% 的案例)和 SSH (超過 9% 的案例)。 |
表 3: Unit 42 IR 案例中最突出的就地取材技術。
除了就地取材之外,我們還觀察到許多行動者 (尤其是涉及勒索軟體的攻擊者) 試圖使用 EDR 停用工具來「修改環境」,作為其行動的一部分。在觀察到的與防禦迴避相關的分組技術中,近 30% 涉及 T1562 - 破壞防禦。其中包括一些子技術,例如:
雖然存在許多攻擊手法,但我們觀察到越來越多的入侵事件涉及威脅行動者濫用自帶易受攻擊驅動程式 (BYOVD) 技術。他們使用這種技術來獲得所需的權限,藉此規避甚至攻擊安裝在遭入侵主機上的 EDR 和其他防禦措施。相關技術包括:
反制對策:防範常見的有效 TTP
防禦者應清楚掌握涵蓋企業內部與外部的攻擊範圍。定期評估哪些數據或裝置可被存取或暴露於面向公眾的網際網路,並將危險的遠端存取設定與錯誤設定降至最低。當定期的安全更新已不再支援用於執行該系統的作業系統時,建議可將其移除,並留意自身系統 (包括舊系統) 的弱點,尤其是那些已有公開 PoC程式碼的弱點。
維持可執行的環境基準,包括帳戶、軟體/應用程式及其他獲准使用的活動。實作強大的日誌記錄並利用分析工具來協助快速在多個數據來源之間建立連線以偵測異常行為模式。
4.給防禦者的建議
本節將深入探討攻擊者最常利用的系統性問題,以及針對性的因應策略。若能主動處理這些因素,企業就可以大幅降低網路風險、增強靈活性,並在因應當前與新興威脅時保持決定性優勢。
4.1.常見的影響因素
常見的影響因素幾乎都是使威脅行為者一再得逞的系統性問題。在主動解決這些問題後,企業就可以降低遭到網路攻擊的可能性與影響。
我們從數千起事件中識別出三個主要影響因素:複雜性、可視性的落差和過度信任。這些因素使初始存取變得更容易,讓威脅得以不受控制地升級,並加劇整體損害。因此,若能主動解決這些問題,將可大幅強化防禦能力並提升靈活性。
現今的 IT 和安全環境往往像是一個由舊型應用程式、附加的基礎結構以及未完成的轉型計畫所拼湊而成的組合。這導致許多企業必須依賴 50 種以上互不相關的安全工具。這些工具大多是為了因應特定威脅而臨時添購的,且通常因為缺乏整合而導致數據孤島的產生,使團隊無法維持對於環境的統一觀點。
在我們調查的事件中,有 75% 的初始入侵關鍵證據其實已存在於日誌中。然而,由於系統複雜且缺乏整合,導致這些資訊無法立即取得或有效運用,讓攻擊者得以利用這些漏洞而不被發現。
同時,整合多個數據來源對於有效偵測與回應至關重要。約 85% 的事件需要找出多個數據來源之間的關聯性,才能全面了解其範圍與影響。將近一半 (46%) 的事件需要關聯來自四個或更多來源的數據。當這些系統無法互相通訊,或是遙測數據不完整時,關鍵線索就會被隱藏起來,直到為時已晚。
案例說明:
在一起勒索軟體攻擊中,端點偵測與回應 (EDR) 系統捕捉到橫向移動,但初始入侵的跡象卻隱藏在未受監控的網路日誌中。這種支離破碎的可視性延遲威脅偵測,讓攻擊者有充足的時間竊取數據並部署勒索軟體承載。
企業範圍內的可視性是高效安全營運的骨幹,但可視性落差依然普遍存在。雲端服務更是特別具有挑戰性。Unit 42 發現,個別企業平均每個月會啟用 300 種新的雲端服務。一旦缺乏適當的執行階段可視性,SecOps 團隊就無法意識到暴露和攻擊。不受管理和不受監控的資產 — 無論是端點、應用程式還是影子 IT — 都為攻擊者提供輕易入侵企業環境的途徑。
事實上,安全工具和管理問題是近 40% 案例的影響因素。這些漏洞使攻擊者能夠建立立足點、進行橫向移動並提升權限,而不被發現。
案例說明:
在單一事件中,Muddled Libra 使用特權使用者帳戶來提升客戶 AWS 環境中的權限,授予其數據外洩的權限。由於該雲端服務並未與企業的 SOC 或 SIEM 整合,這一可疑活動最初未被發現。
過於寬鬆的存取權限是一項嚴重的風險。在我們處理的事件中,攻擊者經常利用過於寬鬆的帳戶權限和不夠充分的存取控制來增強攻擊力道。
事實上,在 41% 的事件中,至少有一個與身分和存取管理問題相關的影響因素,包括過於寬鬆的帳戶和角色權限。這將會導致橫向移動、敏感資訊和應用程式存取,並最終使攻擊者得逞。
在這方面,雲端環境也特別容易受到攻擊:Unit 42 發現在近一半的雲端相關事件中,至少有一個與身分和存取管理問題相關的影響因素,包括過於寬鬆的帳戶和角色權限。
在許多案例中,攻擊者獲得的存取權限遠超過其所入侵角色所應該擁有的權限範圍。一旦透過網路釣魚、憑證竊取或弱點利用獲得初始存取權限,這種過度信任就能讓攻擊者快速提升權限、竊取數據並破壞營運。
案例說明:
在一起 IT 服務公司的事件中,攻擊者利用過於寬鬆的管理員帳戶權限,在暴力破解未啟用多因素驗證的 VPN 後,進行橫向移動並提升權限。這種過度信任讓攻擊者能夠在 700 台 ESXi 伺服器上部署勒索軟體,最終癱瘓公司的核心業務營運並影響 9,000 多個系統。
4.2.給防禦者的建議
在解決複雜性、可視性的落差和過度信任等問題後,企業就可以大幅降低網路攻擊的風險和影響。這不僅能避免長時間停機與昂貴的入侵補救成本,還能維持業務連續性與利益關係人的信心。以下建議包括主動解決這些系統性問題的策略。
5.附錄:按策略、調查類型和其他案例數據劃分的 MITRE ATT&CK® 技術
5.1 按策略劃分的 MITRE ATT&CK 技術概觀
以下一系列圖表 (圖 5-16) 顯示我們觀察到的特定戰術相關 MITRE ATT&CK® 技術。請注意,此處所顯示的百分比表示,相較於其他識別出的技術,每項技術在各自對應策略中的普遍程度。這些百分比並不代表這些技術在案例中出現的頻率。
- 初始存取
- 探索
- 執行
- 持續性
- 權限提升
- 防禦迴避
- 憑證存取
- 橫向移動
- 收集
- 命令與控制
- 外洩
- 影響
圖 5:與初始存取策略相關的技術相對普遍性觀察分析
5.2.按地區和產業劃分的數據
我們在 2024 年最常進行的調查類型是網路入侵 (約佔全部案例的 25%)。這種類型的調查比例較高其實是個好消息,因為我們只有在觀察到網路入侵且未偵測到其他惡意活動時,才會使用此分類。我們認為此類調查比例的上升代表著,至少在某些情況下,客戶能夠在攻擊鏈的較早階段求助於我們,在攻擊者伺機入侵其他目標之前提前加以防範。
雖然所有產業及地區的防禦者普遍關注相似的安全問題,但我們觀察到不同區域和產業之間仍存在某些差異。
在北美地區,商業電子郵件入侵發生率僅次於網路入侵 (分別為 19% 和 23%)。在歐洲、中東與非洲地區,如果考慮所有勒索類型 (無論是否加密),我們數據中的勒索行為略高於網路入侵 (分別為 31% 和 30%)。
從我們的產業數據來看,勒索行為顯然是一個極為重要的關注點。在高科技產業中,無論是否使用加密,勒索行為都是最主要的調查類型 (22%)。製造業也是如此,該產業最常出現在勒索軟體組織的暗網洩漏網站上 (25%)。
商業電子郵件入侵仍然是一大威脅,特別是對於金融服務 (25% 的案例)、專業和法律服務 (23%) 以及批發和零售 (21%) 來說更是如此。
除了涉及或影響企業雲端服務的大部分案例以外,我們還發現主要針對雲端控制平面或數據平面入侵的案例數量雖少但呈現成長趨勢。這包括佔整體案例 4%,但在高科技、專業和法律服務等產業中的佔比更高 (兩者均佔 9%)。這些專門針對雲端發動的攻擊有可能產生重大影響。如果雲端控制平面受到攻擊,攻擊者可以取得對於企業整個雲端基礎結構的存取權限。考量到雲端中通常儲存的數據類型與範圍,針對數據平面發動的攻擊可能會導致大規模的敏感數據洩露。
按地區劃分的調查類型
- 北美洲
- 歐洲、中東和非洲
圖 17:按地區劃分的調查類型 - 北美
按產業劃分的調查類型
下方的圖 19-24 呈現與我們事件回應數據中佔比最高的六大產業相關的主要調查類型分析。
- 高科技
- 專業和法律服務
- 製造
- 批發零售
- 金融服務
- 醫療
圖 19:按產業劃分的調查類型 - 高科技
6.數據和方法
本報告的數據來源包括 Unit 42 在 2023 年 10 月至 2024 年 12 月期間處理的 500 多起案例,以及追溯至 2021 年的其他案件數據。
我們的客戶範圍從員工少於 50 人的小型公司,一直到擁有超過100,000 名員工的財星 500 大企業、全球前 2000 大企業以及政府組織。
受影響的企業總部位於 38 個不同的國家/地區。在這些案例中,約 80% 的目標企業位於美國。與歐洲、中東和亞太地區企業相關的案例則佔剩餘的 20%。攻擊行動通常會對企業總部所在地以外的地區產生影響。
我們將這些案例數據與我們的威脅研究見解相結合,這些見解主要是根據產品遙測數據,以及對暗網洩漏網站和其他開放原始碼數據的觀察。
事件回應人員也分享其根據與客戶之間的合作,對於主要趨勢進行的觀察。
有幾項因素可能會影響我們數據的性質,包括與擁有更成熟安全狀況的大型企業合作的趨勢。我們還選擇我們認為能夠揭露新興趨勢的代表性案例,對於某些主題來說,這代表著著重於數據集的較小部分。
對於某些主題來說,我們選擇篩選數據以去除可能扭曲結果的因素。例如,我們提供事件回應服務來協助我們的客戶調查 CVE-2024-3400 的潛在影響,這導致該弱點出現在數據集的次數過多而失真。因此我們在某些地方對數據進行修正以消除這種過度代表性。
我們始終秉持的指導原則是向讀者提供有關當前和未來威脅形勢的見解,以提升防禦能力。