近日,谷歌威胁情报团队(GTIG)发布了其年度研究报告,确认在2025年,共有90个零日漏洞被攻击者在真实环境中积极利用。虽然这个数字低于2023年100个的历史峰值,但明显高于2024年的78个,这表明针对零日漏洞的利用活动依然保持着持续活跃的态势。
报告揭示了一个显著的趋势转变:攻击者的目标正在发生变化。过去,零日漏洞的利用大多集中在浏览器等终端应用上,但近年来的攻击重点已逐渐转向企业基础设施、移动操作系统以及网络边缘设备。这些系统通常拥有更高的网络权限,一旦被成功攻破,攻击者便能更轻松地获得企业内部网络的长期访问权限,危害性极大。
在攻击主体方面,一个值得关注的变化是商业监控供应商(Commercial Surveillance Vendors, CSV) 的活动显著增加。这些公司专门开发复杂的漏洞利用工具,并将其出售给政府机构用于监控目的。在2025年,其利用的零日漏洞数量已经超过了传统的国家级间谍组织。与此同时,针对移动平台的零日漏洞数量回升至15个,攻击者往往需要通过多个漏洞组合,形成完整的攻击链,才能突破现代移动设备层层加固的安全防护机制。
从攻击目标的分布来看,企业技术产品占据了所有被利用零日漏洞的48%。其中,网络设备 和安全设备(如防火墙、VPN网关等)成为了重要的攻击对象。这些设备通常部署在网络的核心或边界位置,同时又缺乏像终端那样完善的实时安全监测能力。因此,它们一旦被利用,攻击者往往能获得既隐蔽又持久的控制权限。
报告还指出,一些国家级黑客组织持续针对网络边缘设备开展长期的间谍活动。例如,被认为与中国有关的攻击组织(如UNC3886、UNC5221)就被发现利用这些设备进行长期潜伏,以窃取情报并维持其网络访问权限。
此外,攻击者的目标范围也在不断扩大。2025年的“BRICKSTORM”恶意软件行动表明,部分国家级攻击者开始专门针对科技公司,窃取其源代码和技术知识产权。通过获取软件源代码,攻击者能够更快地分析和发现新的漏洞,从而形成一个“发现漏洞-利用漏洞-发现更多漏洞”的恶性循环。同时,以经济利益为首要目的的网络犯罪组织也在增加对零日漏洞的利用,他们在2025年利用了9个零日漏洞。这一现象显示,高级的漏洞利用攻击已不再是国家级行为体的专属,网络犯罪集团也正在加入这场“军备竞赛”。
谷歌的研究人员警告称,随着人工智能技术被更广泛地应用于漏洞挖掘和攻击程序开发,未来零日漏洞的发现和利用速度可能会进一步加快。因此,企业需要采取多层次的纵深防御策略,这包括实施网络分段、进行实时资产盘点与管理,以及建立软件物料清单(SBOM) 等。这些措施能帮助企业在新的漏洞被公开时,迅速定位到受影响的系统,并及时实施修复或缓解方案。
总体而言,2025年的零日漏洞利用情况清晰地显示,网络攻击的焦点正从传统的终端应用转向更具战略价值的基础设施层面。无论是企业还是政府机构,都需要投入更多精力来加强网络设备 和关键业务系统的安全防护,以应对日益复杂和高级的漏洞攻击威胁。如果你想了解更多实战案例和防护思路,可以到 云栈社区 的安全板块与同行交流探讨。 | 
发表于 2 小时前
|
查看: 2|
回复: 0
