2024年,针对SaaS的网络攻击激增,Entra ID每秒拦截的密码攻击高达7000次,同比增长75%;网络钓鱼攻击增长58%,造成35亿美元的损失(数据来源:微软2024年数字防御报告)。 黑客们越来越擅长利用合法使用模式掩盖攻击行为,SaaS安全形势日益严峻。
展望2025年,安全团队必须加强SaaS安全风险评估,及时发现漏洞,并采用SSPM工具进行持续监控,积极防御系统安全。
以下是一些值得关注的“全明星”网络威胁行为者,他们堪称网络攻击界的MVP、新星和战略大师:
1. ShinyHunters:最有价值球员
攻击风格:精准狙击(网络犯罪组织)
主要战绩:Snowflake、Ticketmaster和Authy
著名事件:利用一个配置错误攻破165多家机构。
ShinyHunters在2024年疯狂作案,席卷各大SaaS平台,窃取了Authy和Ticketmaster等平台的敏感数据。他们的攻击手段并非利用供应商漏洞,而是利用Snowflake客户忽视的一个配置错误。因此,ShinyHunters能够在无需MFA的情况下渗透、窃取和勒索这些Snowflake用户。
🏀 幕后分析: ShinyHunters如同暗网中的全明星球员,轻松利用SaaS配置错误。他们高调出售窃取的数据,引发竞价大战和独家泄露。仅Snowflake泄露事件就引发了广泛恐慌,因为凭证信息泄露导致关键系统出现广泛漏洞。
💡SaaS安全教训: Snowflake事件暴露了客户端安全疏忽,而非供应商的过失。企业未能强制执行MFA、定期轮换凭证和实施白名单,导致系统容易受到未经授权的访问。
2. ALPHV (BlackCat):欺骗大师
攻击风格:战略机动(勒索软件即服务,RaaS)
主要战绩:Change Healthcare、Prudential(医疗保健和金融)
著名事件:与RansomHub的2200万美元“退出骗局”。
ALPHV,又名BlackCat,在2024年上演了最大胆的攻击之一。他们在利用泄露的凭证从Change Healthcare勒索2200万美元后,伪造了FBI在其泄露网站上进行查封的消息,误导当局和附属机构。但真正的戏剧性事件发生在附属机构RansomHub公开指控ALPHV卷款潜逃,甚至分享了比特币交易作为证据。尽管遭到背叛,该附属机构还是公布了被盗数据,导致Change Healthcare支付了赎金却仍然丢失了数据。
🏀 幕后分析: ALPHV和RansomHub之间的闹剧如同网络犯罪肥皂剧,充斥着相互矛盾的故事和激烈的指责。尽管一片混乱,但ALPHV对Prudential等公司的攻击巩固了其作为年度最强大勒索软件参与者的声誉。
💡SaaS安全教训: 预防措施包括:通过暗网监控跟踪凭证泄露,并实施单点登录 (SSO) 以简化身份验证并降低凭证风险。检测和响应措施包括:跟踪身份验证活动,及早发现泄露的凭证,并应用帐户暂停策略以防止暴力攻击。
3. RansomHub:年度最佳新秀
攻击风格:机会主义进攻(勒索软件即服务,RaaS)
主要战绩:Frontier Communications(电信和基础设施)
著名事件:卷入ALPHV的2200万美元骗局。
RansomHub于2024年初从Knight Ransomware的灰烬中崛起,成为最活跃的勒索软件参与者之一。他们以机会主义策略而闻名,并因与ALPHV (BlackCat) 的合作而登上头条。他们在Change Healthcare泄露事件中扮演的角色影响了超过1亿美国公民,突显了他们利用SaaS漏洞(包括错误配置、弱身份验证和第三方集成)的能力,最大限度地扩大了其影响范围。
🏀 幕后分析: 在被ALPHV抛弃并失去Change Healthcare泄露事件的2200万美元赎金分成后,RansomHub仍然持有被盗数据——这一强硬举动让他们得以继续参与游戏。尽管遭到背叛,但这位新秀威胁行为者以更加坚定的决心重返赛场,全年攻破多家知名企业,包括Frontier Communications。即使在艰难的第一个赛季之后,他们仍然坚持留在勒索软件联盟中。
💡SaaS安全教训: 警惕利用窃取的个人信息进行更具说服力的网络钓鱼攻击。实施身份威胁检测工具,监控帐户接管和用户活动异常的迹象,以便及时识别和响应潜在的泄露事件。
4. LockBit:年度关键球员
攻击风格:无情进攻(勒索软件即服务,RaaS)
主要战绩:Evolve Bank & Trust的供应链效应(金融科技)
著名事件:FBI的“克罗诺斯行动”未能彻底将其关闭。
LockBit 统治着勒索软件领域,尽管FBI和NCA一直在努力 dismantling their infrastructure,但他们仍然不断发起攻击,就像斯蒂芬·库里一样——在压力之下始终表现出色。针对金融科技公司(如Evolve Bank & Trust)的高调攻击,以及对Affirm和Wise等更多公司的供应链影响,巩固了LockBit作为SaaS攻击联盟中最稳定进攻球员的地位。
🏀 幕后分析: 尽管“克罗诺斯行动” disrupting their servers and seized critical infrastructure,但该组织以坚定的决心反弹,并在其泄露网站上嘲讽当局,大胆宣称“你无法阻止我”。2024年12月,我们看到了早些时候逮捕一名 alleged LockBit developer 的最新消息——突出了“克罗诺斯行动”的持续性,表明这场全球打击行动远未结束。
💡SaaS安全教训: 优先考虑第三方供应商风险评估,并保持对SaaS应用程序连接的可见性,及早发现利用途径。使用具有威胁检测、UEBA(用户和实体行为分析)和异常检测功能的活动监控工具来实时发现可疑行为。
5. Midnight Blizzard (APT29):沉默的操作者
攻击风格:防御性渗透(高级持续性威胁,APT)
主要战绩:TeamViewer(远程访问工具)
著名事件:以泄露为掩护进行无声 espionage。
在国家支持的 espionage 方面,Midnight Blizzard(又名 APT29)就像科怀·伦纳德 flawlessly defensive play,悄悄拦截数据并在不引起注意的情况下进行战略行动。该组织由俄罗斯国家资源支持,专门攻击关键系统,2024 年的 TeamViewer 事件尤为突出。这个组织并不张扬——他们不会留下勒索信息或在暗网论坛上吹嘘。相反,他们 quietly exfiltrate sensitive data,留下几乎无法追踪的数字足迹。与勒索软件组织不同,像 Midnight Blizzard 这样的国家支持的行为者专注于网络 espionage,谨慎地收集情报而不会触发任何警报。
🏀 幕后分析: Midnight Blizzard 不会追求速胜——他们渗透、等待和观察。利用国家级策略,他们在网络中隐藏数月甚至数年,提取 valuable intelligence 而不引起任何警报。虽然该公司最终控制了 TeamViewer 泄露事件,但目标的性质揭示了 Midnight Blizzard 的意图——专注于广泛使用的高价值组织,旨在利用这些立足点作为对下游目标进行更广泛攻击的跳板。
💡SaaS安全教训: 对关键 SaaS 应用程序中的泄露保持警惕,这些应用程序通常是民族国家行为者的目标。执行定期配置审核以降低风险,并确保安全访问控制,例如多因素身份验证 (MFA)。主动审核有助于最大程度地减少泄露影响并限制利用途径。
第六人:值得关注和被冷落的 talent
Hellcat(值得关注): 一个勒索软件组织,在 2024 年底突然出现,并对施耐德电气进行了确认的攻击。他们的迅速崛起和初步成功预示着 2025 年可能会采取更激进的策略。
Scattered Spider(被冷落的 talent): 这个混合社会工程组织曾经是网络犯罪的主要参与者,但在遭到逮捕和法律打击后,现在却坐在了冷板凳上。虽然他们的活动有所放缓,但专家警告说,现在就将他们排除在外还为时过早。
这两个组织都值得关注——一个是因为它的势头,另一个是因为它的声誉和潜在的复出。
🔑 2025 年的关键要点:
- 错误配置仍然是主要目标:
威胁行为者继续利用被忽视的 SaaS 错误配置,访问关键系统和敏感数据。定期审核、强制执行 MFA 和凭证轮换是必不可少的防御措施。 - 身份基础设施受到攻击:
攻击者利用窃取的凭证、API 操纵和隐秘的渗透来绕过防御。监控泄露的凭证、强制执行强大的 MFA、异常检测和身份监控对于防止泄露至关重要。 - 影子 IT 和供应链作为切入点:
未经授权的 SaaS 应用程序和应用程序到应用程序的集成会造成隐藏的漏洞。持续监控、主动监督和自动修复对于降低风险敞口至关重要。
多层 SaaS 安全解决方案的基础始于自动持续风险评估,以及将持续监控工具集成到您的安全管理中。
这并不是他们的最后一场演出。安全团队必须保持警惕,做好准备,迎接新一年的挑战,抵御世界上最多产的威胁行为者。
原文始发于微信公众号(技术修道场):2025年SaaS安全威胁:警惕这些“全明星”黑客!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论