FortiGuard Labs发布报告：网络威胁日渐自动化和迅捷

近日，FortiGuard Labs发布了《2025 年全球威胁形势报告》，报告揭示了网络攻击在规模和复杂性上急剧升级，攻击者正在利用自动化、商业化工具和人工智能系统地侵蚀防御者的传统优势，行业正在面临不容乐观的发展境遇，现将部分观点摘录如下，以供参考。

自动扫描的威胁日益严峻

攻击者们正在大力投资自动化、侦察和可扩展操作，他们追求速度、隐蔽性和可伸缩性，以极快的速度进行寻找系统中可以攻击到的漏洞。2024年，网络空间中的主动扫描量全球增长了16.7%，FortiGuard Labs每月观察到数十亿次 扫描尝试，相当于每秒36,000次扫描，这些扫描旨在发现明显的漏洞，并探索关键基础设施，以确定哪些资产可以以最小的努力被利用。这也表明攻击者对暴露的数字基础设施进行了复杂而大规模的信息收集，涉及电信、工业、OT/ICS和金融服务等关键领域，其中SIP(VoIP)在检测到的扫描中占49%以上。

图 2024月度行为趋势分析

漏洞利用量正在飙升

虽然2024年新披露的漏洞的平均利用时间相对稳定，但利用尝试规模激增，FortiGuard Labs记录了超过970亿次利用尝试，反映出自动化程度提高和跨行业的广泛攻击。这也表明网络犯罪分子正在持续探测暴露的系统，那么接下来的问题不再是组织是否会成为攻击目标，而是何时以及以多快的速度成为目标。Ivanti产品中的命令注入漏洞，在披露后仅六天就被利用。

攻击者不再需要手动识别漏洞，而是利用自动扫描、机器学习和精心打包的漏洞利用工具包将新披露的安全漏洞武器化。

Windows SMB信息泄露漏洞(CVE-2017-0147)仍然是攻击者通过服务器消息块(SMB)协议渗透企业网络时最青睐的目标之一，在2024年的攻击尝试中占比26.7%。而Netcore Netis硬编码密码(CVE-2019 -18935) 这个物联网漏洞占所有攻击尝试的8%。

Telegram仍然是共享漏洞利用和基础设施的主要协调中心，为原本分散的威胁团体提供了一层操作上的统一性。

针对物联网设备的攻击激增

超过20%的记录在案的攻击企图针对物联网设备，这突显出许多组织未能像对待传统IT资产那样严格对待物联网安全。 攻击者利用默认凭证、过时的固件和暴露的管理接口来获得持久性，并将这些设备作为跳板，实施更大规模的攻击，这些物联网设备也经常作为僵尸网络的安全港。

最易受攻击的物联网设备是路由器、摄像头和网络硬件，其中路由器占比最高，其次是监控摄像头。

云端成为新的“战场”

云为企业提供了必要的敏捷性和可扩展性，但同时也是企业暴露于不断演变的攻击途径，以 云为中心的攻击正变得更加复杂，云环境如今已成为攻击者利用配置错误、身份泄露和不安全API的战场，攻击者利用自动化扫描与多阶段渗透技术，将配置错误、暴露凭证及脆弱API转化为突破口。FortiCNAPP监测数据显示，云攻击的损失在稳步上升。

云配置错误仍然是阿喀琉斯之踵。开放存储桶和过度授权身份仍然是主要的攻击向量。利用面向公众的应用程序仍然是普遍存在的漏洞利用策略。

API安全现在是首要任务。攻击者越来越多地滥用云API以横向移动、提升权限和提取敏感 数据。

多阶段云攻击是新的常态。攻击者现在将凭证窃取、身份识别和API滥用结合起来，以最大 限度地提高攻击影响，而不是使用单向攻击。

勒索软件即服务（RaaS）生态系统持续扩张

全球网络犯罪正步入协作化、模块化的新阶段，勒索软件即服务（RaaS）生态系统持续扩张，新的组织不断涌现并建立双重和三重勒索模式，2024年，RansomHub(13%)，LockBit 3.0(12%)、Play(8%) 和 Medusa(4%)是最活跃的勒索软件组织。

从目标行业来看，制造业占17%、商业服务占11%、建筑和零售占9%。而美国(61%)、英国(6%)和加拿大(5%) 则是受影响最大的三个国家。

2024年有13个新组织崛起，至少有6个主要的RaaS服务在地下论坛上被宣传，包括PlayBoy、Rape、Medusa、Wing、BE-AST和Cicada 。

AI正在为网络犯罪供应链提供超级动力

人工智能的发展降低了网络犯罪的门槛，攻击者利用AI生成钓鱼邮件文本、欺诈性的法律文件、网络钓鱼页面和恶意代码，帮助攻击者改进骗局并进行大规模社会工程活动；利用AI语音合成工具克隆声音，深度伪造诈骗电话；利用聊天机器人模仿客户支持代表，使用AI生成的对话来欺骗受害者分享如信用卡信息、 MFA代码和密码等敏感信息。

暗网已经成为滋生罪恶的“温床”

暗网已经从单纯的网络犯罪分子的避难所演变为网络攻击的供应链，成为实施精准化、规模化攻击的核心枢纽。FortiGuard Labs监测显示，暗网已形成从凭证窃取、漏洞武器化到AI自动化攻击的完整产业链。攻击者在发动入侵前往往已完成数月策划，通过暗网市场获取现成资源包——包括企业VPN凭证（占IAB交易量20%）、RDP接入权限（占IAB交易量19%）、Webshells等，这将迫使防御体系必须建立基于暗网情报的前瞻性响应机制。