远程访问入侵通常通过网络钓鱼发起

[prisilabr03]

网络钓鱼仍然是主要的攻击媒介，它越来越多地利用人类行为，并超越了传统的基于电子邮件的方案。人工智能驱动的网络钓鱼和 SEO 投毒使攻击更具欺骗性，而回拨网络钓鱼则诱使受害者拨打欺诈性支持热线并安装远程协助软件来提取数据。Black Basta 的垃圾邮件活动通过 Teams 消息冒充 IT 支持人员以获取未经授权的访问权限。Qilin 等组织的 SEO 投毒会误导用户下载恶意软件，而 RansomHub 的语音钓鱼 (语音网络钓鱼) 则使用伪造的号码窃取 VPN 凭据并绕过 MFA。攻击者还使用短信网络钓鱼 (smishing) 和欺诈性社交媒体互动来诱骗用户泄露敏感信息或安装恶意软件。

仍然是一个严重威胁。VPN 是常见的攻击目标，攻击者通过 Ivanti 和 Fortinet 中的漏洞、从信息窃取者那里窃取的凭据或暴力攻击来利用这些凭据。初始访问代理通常会优先考虑勒索软件团体提供的这些凭据，然后再将它们卖到地下市场上，这进一步表明除了短信或电子邮件之外，还需要有能够抵御网络钓鱼的 MFA。与此同时，零日漏洞和未修补的漏洞在应用补丁 立陶宛 whatsapp 数据 之前继续被利用。Cl0p 最近针对 Cleo 文件传输工具中的漏洞，而民族国家行为者则专注于 Ivanti VPN 弱点。缓慢的补救周期、公共漏洞利用工具包和补丁管理挑战使高严重性 CVE 容易受到广泛利用。


渗漏[ TA0010 ]：2024 年第 4 季度，渗漏重回 MITRE ATT&CK 策略榜首，在 87% 的观察案例中出现（高于 76%），并在全年四个季度中的三个季度中排名第一。它仍然是勒索软件操作的核心组成部分，要么是基于加密的攻击的前兆，要么是唯一的目标。

横向移动[ TA0008 ]：横向移动降至第二位，占比 74%（之前为 84%），主要原因是使用远程服务（例如远程桌面协议 (RDP) 和安全外壳 (SSH)）以及通过 PSExec 进行横向工具传输。这种策略在几乎每次攻击中都是一个关键阶段，因为攻击者在初始访问后会深入受感染的环境。SSH 是连接到虚拟化基础架构（例如 VMware ESXi）以对主机进行加密攻击的常用方法。