Mandiant的《M-Trends 2025》报告揭示了攻击者应对防御提升的快速变化，并强调了凭证窃取的重要性。报告分析了初始感染媒介的变化趋势，漏洞利用仍是最常见途径，但凭证窃取已超越钓鱼邮件。此外，报告特别关注了朝鲜IT工作者的威胁，认为其可能向欧洲等地区扩张，并呼吁加强检测。报告基于Mandiant的事件调查数据和谷歌威胁情报组的研究成果，提供了关于威胁情报的重要见解。

🔑 报告指出，漏洞利用仍然是最常见的初始攻击途径，占比33%。尽管如此，凭证窃取（16%）已超越钓鱼邮件（14%）成为第二大常见途径。

🎣 钓鱼攻击的减少可能与用户警惕性提高、操作系统防护增强以及安全控制措施更有效有关。同时，攻击者转向窃取凭证，部分归因于信息窃取程序的广泛使用，如Vidar、Raccoon和RedLine Stealer。

🕵️‍♀️ Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267，强调其潜在的扩张趋势，并警告欧洲等地区加强检测。这些人员可能被用于窃取知识产权和部署恶意软件，对西方产业构成威胁。

HackerNews 编译，转载请注明出处：

Mandiant的《M-Trends 2025》报告最核心的启示在于，攻击者正在快速调整其攻击手段以应对防御能力的提升，这种对抗永无止境。

作为行业威胁情报的重要来源，Mandiant年度M-Trends报告整合了该公司自身事件调查数据与谷歌威胁情报组（GTIG）的研究成果。但要充分理解报告价值，必须首先了解其调查方法。

首先，尽管Mandiant是事件调查领域的重要参与者，但其数据采集规模相较于其他主要安全厂商（如EDR供应商）存在局限性。这并不影响Mandiant数据的价值，但意味着这些数据不能简单等同于全球统计数据。典型例证可见“受攻击行业”部分——金融业以17.4%占比居首，医疗行业仅以9.3%位列第五。

这种分布不应被视作全球行业攻击目标的真实反映。数据存在未量化的客户偏差（金融业相比医疗行业更有能力负担Mandiant的服务）。这种偏差的未知程度因该公司决定隐藏统计所依据的具体事件数量（或客户数量）而加剧，报告中仅提及“全球范围内超过45万小时的事件响应服务时长”。

这个总时长虽然令人印象深刻，但无法反映包含的事件或调查数量（如果调查周期长，可能对应少量事件；若调查快速完成，则可能对应大量事件）。

Mandiant咨询公司欧洲、中东和非洲区董事总经理Stuart McKenzie解释其统计逻辑：事件性质可能导致混淆。“我们可能在调查某事件时发现第二个威胁方——这应视为独立事件还是原事件的延续？有时一次调查可能发现三到四个不同事件。因此，我们以服务时长作为衡量标准，这能更清晰体现工作量。”

只要读者明确这些是Mandiant客户统计数据而非全球攻击数据，就不会削弱其价值。同时，报告整体价值因Mandiant与谷歌威胁情报组的联合研究而得到提升。

M-Trends报告重点内容

初始感染媒介

漏洞利用（33%）连续第五年成为最常见初始攻击途径（虽低于去年的38%）。值得注意的是，凭证窃取（16%）今年超过钓鱼邮件（14%）升至第二位，背后原因复杂。

McKenzie分析：“用户对钓鱼攻击的警惕性提高，操作系统防护增强，安全控制措施更有效。”但攻击者并未停滞。“随着防御者修补漏洞的能力提升，漏洞利用效率降低。随着反钓鱼技术发展，钓鱼攻击吸引力下降。”攻击者转向替代方法，目前表现为大量使用窃取凭证。

这种现象部分归因于信息窃取程序的广泛高效使用。报告警告：“典型信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含窃取凭证的日志数量持续增加；相比通过钓鱼邮件投递恶意软件，发现并使用这些凭证作为初始感染手段更为容易。

McKenzie补充解释：“钓鱼攻击减少可能源于安全工具的改进，例如Mark of the Web（MotW）阻碍了恶意软件部署。”MotW是Windows系统的特性，可检测并标记来自不可信源的文件，阻止或警示其运行。

有趣的是，他认为AI辅助钓鱼不会改变这种趋势。“虽然AI能生成更复杂的钓鱼诱饵，但钓鱼攻击的主要用途仍将是为更大规模攻击获取凭证，而非直接分发恶意软件。因此，钓鱼正从恶意软件传播手段演变为复杂攻击链中的一环，辅助其他攻击方法。”

这并不意味着钓鱼威胁降低，而是其角色从初始感染媒介转变为其他攻击途径的助推器。防御者需更关注密码卫生管理、定期更换，以及更有效地使用多因素认证（MFA）来应对凭证攻击。

朝鲜IT工作者

值得注意的新动向是Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267。这种划分的合理性可能不会立即显现，但存在两方面依据：第一，他们使用“协助者”表明存在某种外部组织；第二，更重要的是，鉴于朝鲜对互联网的严格管控，这些人员若未获政府默许则无法获得境外就业机会。

若Mandiant的逻辑成立，则意味着受国家支持的朝鲜IT工作者未来可能被归入一个或多个APT组织。但目前，McKenzie评论道：“远程工作者趋势让我联想到勒索软件早期阶段。像SamSam这样的组织曾在美国非常活跃，当时欧洲、中东和非洲地区认为‘我们没这种问题’。”

但随着时间推移（或许迫于美国执法机构压力），这些组织开始寻找新目标。勒索软件从美国蔓延至全球。

“朝鲜远程工作者在美国的高度活跃应该对其他国家机构具有警示意义。我们已观察到其向欧洲和其他地区的扩张。”早期动机被认为是赚取外汇资助朝鲜武器计划，虽然这仍是事实，但威胁不会止步于此。一旦这些“外国代理人”渗入西方产业，他们还能窃取知识产权和部署恶意软件。

Mandiant特别向欧洲传递的信息是：切勿将UNC5267视为轻微威胁。即使该集群尚未升级为APT，也需加强朝鲜工作者的检测能力。执法机构无法通过逮捕个别人员来瓦解该组织，也不存在可摧毁的基础设施——这种APT将具备不同形式的持久性。

 

 

 

---

消息来源： securityweek；

本文由 HackerNews.cc 翻译整理，封面来源于网络； 

转载请注明“转自 HackerNews.cc”并附上原文