攻擊者以一系列富有創(chuàng)意且高效的戰(zhàn)術(shù)武裝自己，利用一切可行手段精準(zhǔn)突破系統(tǒng)防線。

2024年，黑客們找到了各種狡猾的方法潛入系統(tǒng)，從利用人類好奇心進(jìn)行的說服力極強的網(wǎng)絡(luò)釣魚詐騙，到暴露技術(shù)維護(hù)漏洞的殘酷軟件缺陷，他們玩得不亦樂乎。這一年，各種巧妙的入侵事件頻發(fā)，充分顯示了用戶習(xí)慣與安全實踐之間的巨大差距。

Enterprise Strategy Group的高級分析師梅琳達(dá)·馬克斯(Melinda Marks)表示：“雖然每年都會出現(xiàn)新型攻擊，但重要的是要認(rèn)識到，黑客總是會尋找最容易的入侵途徑，這就意味著安全團(tuán)隊缺乏可見性或控制力的領(lǐng)域，他們需要降低這些領(lǐng)域的風(fēng)險?！?/p>

下面讓我們深入了解今年攻擊者繞過防御的主要方式。

X-day漏洞讓用戶補丁更新忙不停

2024年發(fā)生了幾起近年來記憶中最具破壞性的零日漏洞(Zero-day)和N日漏洞(N-day)利用事件，其中一些甚至被高調(diào)的黑客利用來突破關(guān)鍵系統(tǒng)，并發(fā)動國家級別的持久性攻擊。

Enterprise Strategy Group的首席分析師戴夫·格魯伯(Dave Gruber)引用了一項針對當(dāng)年的勒索軟件研究表示：“根據(jù)我們的研究，軟件和配置漏洞是主要的初始攻擊點。對于較小規(guī)模的企業(yè)而言，初始攻擊點更可能是通過商業(yè)合作伙伴，而較大規(guī)模企業(yè)的初始攻擊點則更可能與軟件漏洞相關(guān)?！?/p>

雖然補丁更新工作讓安全團(tuán)隊忙得不可開交，但其中一些漏洞的利用尤其具有破壞性。

1. Fortinet漏洞被國家支持的行為者零日利用：2024年10月，F(xiàn)ortinet對其FortiManager平臺中的一個關(guān)鍵(CVSS 9.8/10)遠(yuǎn)程代碼執(zhí)行(RCE)漏洞發(fā)出警告，該漏洞被追蹤為CVE-2024-47575，攻擊者正積極利用此漏洞竊取IP地址、憑證和配置等敏感數(shù)據(jù)，未發(fā)現(xiàn)惡意軟件或后門。這一被利用的漏洞已與國家支持的行為者Volt Typhoon相關(guān)聯(lián)。

2. Check Point漏洞助伊朗黑客入侵：8月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)就CheckPoint安全網(wǎng)關(guān)軟件中的一個關(guān)鍵漏洞(CVE-2024-24919)發(fā)出警告。該漏洞的CVSS評分較高(8.6/10)，使得Pioneer Kitten和Peach Sandstorm等伊朗黑客組織能夠利用該公司安全解決方案中的信息披露弱點。據(jù)報道，該漏洞在野外被積極利用，攻擊者借此訪問使用VPN和移動接入組件的系統(tǒng)中的敏感數(shù)據(jù)。

3. Ivanti Connect漏洞遭濫用：2023年12月，研究人員在Ivanti的Connect Secure和Policy Secure網(wǎng)關(guān)中發(fā)現(xiàn)了兩個串聯(lián)的零日漏洞，分別為CVE-2023-46805和CVE-2024-21887。這些漏洞允許未經(jīng)身份驗證的遠(yuǎn)程代碼執(zhí)行，使攻擊者能夠竊取配置、更改文件，并在被攻破的VPN設(shè)備中設(shè)置反向隧道。攻擊者瞄準(zhǔn)醫(yī)療和制造等關(guān)鍵行業(yè)，利用先進(jìn)的橫向移動和持久性技術(shù)獲取知識產(chǎn)權(quán)和敏感數(shù)據(jù)。此次活動凸顯了未打補丁的企業(yè)軟件的風(fēng)險，Ivanti在努力發(fā)布緩解措施的同時也在開發(fā)補丁。

4. Cleo的王冠落入持續(xù)黑客之手：12月，Cleo的LexiCom、VLTrader和Harmony系統(tǒng)中的漏洞讓黑客利用了一個不完整的補丁，影響了10多家企業(yè)。攻擊者利用該漏洞上傳并運行惡意代碼，暴露敏感數(shù)據(jù)。Huntress檢測到此次入侵，并建議斷開系統(tǒng)連接，直到發(fā)布完整的修復(fù)程序。

5. MOVEit影響延續(xù)至2024年：由Clop勒索軟件組織利用的MOVEit漏洞(CVE-2023-35708)自2023年起就引發(fā)了廣泛的數(shù)據(jù)泄露事件，其重大影響一直持續(xù)到2024年。Progress Software的MOVEit Transfer中的這一SQL注入漏洞使攻擊者能夠從全球超過2600家企業(yè)中竊取敏感數(shù)據(jù)，目標(biāo)行業(yè)包括政府、醫(yī)療和教育。Clop改變了策略，不再使用勒索軟件，而是依靠數(shù)據(jù)盜竊和公開曝光來向受害者施壓。此次攻擊凸顯了在不斷演變的網(wǎng)絡(luò)犯罪手段面前，及時打補丁和強化數(shù)據(jù)安全的至關(guān)重要性。

2024年，無論是已打補丁還是未打補丁的漏洞都造成了廣泛問題，凸顯了軟件缺陷仍是黑客的主要入侵途徑，然而，也有好消息傳來，一份報告表明，改進(jìn)的補丁實踐有助于改變局面，在這一年中，零日漏洞利用在影響力和嚴(yán)重性上超過了N日攻擊。

網(wǎng)絡(luò)釣魚誘餌愈發(fā)狡猾

2024年，網(wǎng)絡(luò)釣魚仍然是首要的攻擊手段，不法分子利用AI制造出極具說服力的詐騙，甚至連頂尖的檢測工具也無法總是識別。今年的網(wǎng)絡(luò)釣魚恥辱榜上有幾個重大活動。

6. 微軟用戶遭俄羅斯網(wǎng)絡(luò)釣魚者欺騙：由于其在企業(yè)環(huán)境中的主導(dǎo)地位，微軟成為主要網(wǎng)絡(luò)釣魚活動(如俄羅斯Midnight Blizzard發(fā)起的活動)的首要目標(biāo)。該APT組織瞄準(zhǔn)了100多家組織，使用虛假電子郵件誘騙受害者下載惡意的RDP文件。這些文件使攻擊者能夠訪問敏感的企業(yè)數(shù)據(jù)，凸顯了網(wǎng)絡(luò)釣魚戰(zhàn)術(shù)日益復(fù)雜，以及多因素認(rèn)證(MFA)和更好的終端安全等防御措施的迫切需求。

7. 新型網(wǎng)絡(luò)釣魚現(xiàn)身：11月，一場狡猾的網(wǎng)絡(luò)釣魚活動被發(fā)現(xiàn)利用DocuSign的Envelopes API發(fā)送看似合法的虛假發(fā)票，誘騙收件人批準(zhǔn)未經(jīng)授權(quán)的付款。攻擊者使用付費的DocuSign賬戶繞過安全過濾器，偽造PayPal和Norton等品牌的文檔。受害者在不知情的情況下簽署了交易，導(dǎo)致重大財務(wù)損失，這凸顯了需要更強的驗證和多因素認(rèn)證來應(yīng)對此類創(chuàng)造性攻擊。

8. 阿里巴巴和Adobe用戶被騙泄露憑證：2024年的其他重大活動瞄準(zhǔn)了兩個網(wǎng)絡(luò)釣魚新手——阿里巴巴和Adobe，采用了頗為相似的戰(zhàn)術(shù)。阿里巴巴詐騙通過關(guān)于訂單糾紛的虛假電子郵件誘騙企業(yè)泄露憑證，而Adobe用戶則面臨模仿文檔共享請求的網(wǎng)絡(luò)釣魚電子郵件，導(dǎo)致憑證被盜。

2024年，網(wǎng)絡(luò)釣魚導(dǎo)致了全球36%的所有入侵事件，再次證明了其為何是黑客制造混亂的經(jīng)典首選手段。

供應(yīng)鏈脫軌

這一年發(fā)生了幾起大型供應(yīng)鏈攻擊事件，造成了重大且持久的損害，其中一些影響可能會延續(xù)到2025年。黑客變得更具創(chuàng)造力，瞄準(zhǔn)受信任的平臺和第三方供應(yīng)商，擾亂全球行業(yè)。下面快速回顧一下今年最具影響力的兩起黑客攻擊事件，它們制造了持續(xù)的網(wǎng)絡(luò)安全挑戰(zhàn)。

9. 經(jīng)審核的機器人襲擊Discord用戶：3月，擁有超過17萬名Discord成員的Top.gg機器人社區(qū)遭到供應(yīng)鏈攻擊，第三方機器人驗證工具Colorama被攻破。攻擊者在工具的更新中注入惡意代碼，獲得機器人權(quán)限。這使他們能夠抓取用戶數(shù)據(jù)、劫持令牌，并在經(jīng)過驗證的機器人中傳播網(wǎng)絡(luò)釣魚鏈接，造成迅速破壞，并侵蝕社區(qū)內(nèi)的信任。

10. 大規(guī)模PyPI黑客攻擊曝光：11月，攻擊者被發(fā)現(xiàn)利用拼寫蹲占(typosquatting)和依賴混淆(dependency confusion)技巧，瞄準(zhǔn)流行的Python包倉庫PyPI。他們上傳偽裝成受信任庫的惡意包，欺騙開發(fā)者下載。一旦安裝，這些包就會釋放鍵盤記錄器、后門和竊取數(shù)據(jù)的工具，使數(shù)千名開發(fā)者及其項目面臨風(fēng)險。此次入侵迅速蔓延，影響了企業(yè)和開源應(yīng)用程序。

除了這些攻擊外，SolarWinds和MOVEit供應(yīng)鏈泄露事件的后續(xù)影響也在這一年持續(xù)發(fā)酵，這兩起事件均影響了數(shù)百家組織。

馬克斯表示：“隨著第三方和開源代碼使用量的增加，攻擊者正在尋找可擴展的領(lǐng)域，如API和軟件供應(yīng)鏈，這些領(lǐng)域存在被篡改的潛力。如果沒有合適的工具和流程來幫助安全團(tuán)隊高效工作，他們很難管理這些領(lǐng)域。”

2024年網(wǎng)絡(luò)安全“失誤”讓黑客有機可乘

2024年，內(nèi)部風(fēng)險和應(yīng)用程序配置錯誤為嚴(yán)重的網(wǎng)絡(luò)混亂打開了大門。無論是員工數(shù)據(jù)泄露還是云設(shè)置出錯，這些漏洞都為黑客提供了輕松的入侵途徑。以下是今年最令人失望的事件概述。

11. 假工作，真數(shù)據(jù)劫案：14名朝鮮特工冒充IT工作人員，使用被盜身份和虛假設(shè)置獲得遠(yuǎn)程工作。在六年的時間里，他們竊取了8800萬美元，竊取敏感數(shù)據(jù)并勒索雇主。另一件蹊蹺事是，假冒的朝鮮自由職業(yè)者幫助繞過制裁并泄露商業(yè)信息，證明內(nèi)部風(fēng)險可能成為朝鮮民主主義人民共和國政權(quán)的金礦。

12. 客戶AWS配置錯誤導(dǎo)致數(shù)據(jù)泄露：12月，配置錯誤的AWS實例使客戶憑證和專有代碼等敏感數(shù)據(jù)暴露。黑客瞄準(zhǔn)了數(shù)百萬個面向公眾的網(wǎng)站，從數(shù)千個配置錯誤的設(shè)置中竊取數(shù)據(jù)。此次入侵凸顯了強健的云配置實踐的至關(guān)重要性。

除了上述主要入侵點外，這一年還發(fā)生了黑客利用被攻破的人類和機器憑證進(jìn)行二次感染的事件，如《紐約時報》源代碼被黑和互聯(lián)網(wǎng)檔案館事件。

Enterprise Strategy Group的高級分析師托德·蒂曼(Todd Thiemann)表示：“非人類身份是攻擊面中迅速增長的一部分，在2024年受到了更多關(guān)注。我們在這一領(lǐng)域的研究顯示，盡管組織表示他們?nèi)狈Ψ侨祟惿矸莸目梢娦?，?2%的組織要么知道，要么懷疑他們的非人類賬戶或憑證已被攻破?！?/p>

他補充說，2023年Okta和Cloudflare遭遇了備受矚目的事件，而2024年則發(fā)生了與非人類身份泄露相關(guān)的事件，如互聯(lián)網(wǎng)檔案館和Sisense客戶數(shù)據(jù)泄露事件。