HackerNews 编译，转载请注明出处： Mandiant的《M-Trends 2025》报告最核心的启示在于，攻击者正在快速调整其攻击手段以应对防御能力的提升，这种对抗永无止境。 作为行业威胁情报的重要来源，Mandiant年度M-Trends报告整合了该公司自身事件调查数据与谷歌威胁情报组（GTIG）的研究成果。但要充分理解报告价值，必须首先了解其调查方法。 首先，尽管Mandiant是事件调查领域的重要参与者，但其数据采集规模相较于其他主要安全厂商（如EDR供应商）存在局限性。这并不影响Mandiant数据的价值，但意味着这些数据不能简单等同于全球统计数据。典型例证可见“受攻击行业”部分——金融业以17.4%占比居首，医疗行业仅以9.3%位列第五。 这种分布不应被视作全球行业攻击目标的真实反映。数据存在未量化的客户偏差（金融业相比医疗行业更有能力负担Mandiant的服务）。这种偏差的未知程度因该公司决定隐藏统计所依据的具体事件数量（或客户数量）而加剧，报告中仅提及“全球范围内超过45万小时的事件响应服务时长”。 这个总时长虽然令人印象深刻，但无法反映包含的事件或调查数量（如果调查周期长，可能对应少量事件；若调查快速完成，则可能对应大量事件）。 Mandiant咨询公司欧洲、中东和非洲区董事总经理Stuart McKenzie解释其统计逻辑：事件性质可能导致混淆。“我们可能在调查某事件时发现第二个威胁方——这应视为独立事件还是原事件的延续？有时一次调查可能发现三到四个不同事件。因此，我们以服务时长作为衡量标准，这能更清晰体现工作量。” 只要读者明确这些是Mandiant客户统计数据而非全球攻击数据，就不会削弱其价值。同时，报告整体价值因Mandiant与谷歌威胁情报组的联合研究而得到提升。 M-Trends报告重点内容 初始感染媒介 漏洞利用（33%）连续第五年成为最常见初始攻击途径（虽低于去年的38%）。值得注意的是，凭证窃取（16%）今年超过钓鱼邮件（14%）升至第二位，背后原因复杂。 McKenzie分析：“用户对钓鱼攻击的警惕性提高，操作系统防护增强，安全控制措施更有效。”但攻击者并未停滞。“随着防御者修补漏洞的能力提升，漏洞利用效率降低。随着反钓鱼技术发展，钓鱼攻击吸引力下降。”攻击者转向替代方法，目前表现为大量使用窃取凭证。 这种现象部分归因于信息窃取程序的广泛高效使用。报告警告：“典型信息窃取程序包括Vidar、Raccoon和RedLine Stealer。”暗网上包含窃取凭证的日志数量持续增加；相比通过钓鱼邮件投递恶意软件，发现并使用这些凭证作为初始感染手段更为容易。 McKenzie补充解释：“钓鱼攻击减少可能源于安全工具的改进，例如Mark of the Web（MotW）阻碍了恶意软件部署。”MotW是Windows系统的特性，可检测并标记来自不可信源的文件，阻止或警示其运行。 有趣的是，他认为AI辅助钓鱼不会改变这种趋势。“虽然AI能生成更复杂的钓鱼诱饵，但钓鱼攻击的主要用途仍将是为更大规模攻击获取凭证，而非直接分发恶意软件。因此，钓鱼正从恶意软件传播手段演变为复杂攻击链中的一环，辅助其他攻击方法。” 这并不意味着钓鱼威胁降低，而是其角色从初始感染媒介转变为其他攻击途径的助推器。防御者需更关注密码卫生管理、定期更换，以及更有效地使用多因素认证（MFA）来应对凭证攻击。 朝鲜IT工作者 值得注意的新动向是Mandiant将朝鲜IT工作者归类为独立威胁集群UNC5267。这种划分的合理性可能不会立即显现，但存在两方面依据：第一，他们使用“协助者”表明存在某种外部组织；第二，更重要的是，鉴于朝鲜对互联网的严格管控，这些人员若未获政府默许则无法获得境外就业机会。 若Mandiant的逻辑成立，则意味着受国家支持的朝鲜IT工作者未来可能被归入一个或多个APT组织。但目前，McKenzie评论道：“远程工作者趋势让我联想到勒索软件早期阶段。像SamSam这样的组织曾在美国非常活跃，当时欧洲、中东和非洲地区认为‘我们没这种问题’。” 但随着时间推移（或许迫于美国执法机构压力），这些组织开始寻找新目标。勒索软件从美国蔓延至全球。 “朝鲜远程工作者在美国的高度活跃应该对其他国家机构具有警示意义。我们已观察到其向欧洲和其他地区的扩张。”早期动机被认为是赚取外汇资助朝鲜武器计划，虽然这仍是事实，但威胁不会止步于此。一旦这些“外国代理人”渗入西方产业，他们还能窃取知识产权和部署恶意软件。 Mandiant特别向欧洲传递的信息是：切勿将UNC5267视为轻微威胁。即使该集群尚未升级为APT，也需加强朝鲜工作者的检测能力。执法机构无法通过逮捕个别人员来瓦解该组织，也不存在可摧毁的基础设施——这种APT将具备不同形式的持久性。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

Google宣布，其提议的价值54亿美元的收购网络安全公司Mandiant的交易现在已经完成。这家互联网巨头早在3月份就首次透露了收购上市公司Mandiant的计划，在Mandiant从其前任所有者FireEye剥离后不到一年的时间里，作为与私募股权公司Symphony Technology Group的12亿美元交易的一部分。 今后，Mandiant将在Google Cloud的支持下运营，但Mandiant的品牌将继续存在。 Google云首席执行官Thomas Kurian在一篇博文中写道：”我们将保留Mandiant品牌，并继续Mandiant的使命，即让每个组织免受网络威胁并对他们的准备工作充满信心。” Mandiant仪表板 作为与亚马逊和微软并列的所谓”三大”公共云供应商之一，Google对潜在客户的重大承诺是，它将保持他们所有数据和基础设施的安全。这意味着不断推出新产品以应对不断变化的威胁，有时也意味着收购具有专业知识的老牌企业，以加强Google的安全主张。 而这正是Google通过Mandiant得到的东西，它在安全数据收集能力方面得到了很大的提升，更不用说接触到数百名安全人员了。 Kurian说：”将Google云现有的安全组合与Mandiant领先的网络威胁情报相结合，将使我们能够提供一个安全运营套件，帮助全球企业在安全生命周期的每个阶段保持保护。凭借Google的数据处理规模、人工智能和机器学习的新颖分析方法以及对消除整类威胁的关注，Google Cloud和Mandiant将帮助企业重塑安全，以满足我们快速变化的世界的要求。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46820 封面来源于网络，如有侵权请联系删除

知名的勒索软件团伙LockBit 2.0当地时间6月6日声称它拥有来自谷歌子公司Mandiant的数据，该公司是威胁情报和事件响应领域的明星企业。 据多家新闻网站报道，LockBit团伙的数据泄露网站现在将Mandiant.com列为受害者之一，并附有“所有可用数据将被公布”的通知。该勒索软件组织当天早些时候在其数据泄露网站上发布了一个新页面，称他们据称从Mandiant 窃取的356,841个文件将在网上泄露。 该团伙的暗网泄密网站在计时器显示距离倒计时结束仅剩不到三个小时的时间。 由于泄漏页面上的文件列表为空，LockBit尚未透露它声称从Mandiant的系统中窃取了哪些文件。但是，该页面显示一个名为“mandiantyellowpress.com.7z”的 0 字节文件，该文件似乎与 mandiantyellowpress[.]com 域（6日当天注册）有关。访问此页面会重定向到 ninjaflex[.]com 站点。BleepingComputer 联系LockBit索赔的更多细节时，这家威胁情报公司表示尚未找到违规的证据。 Mandiant通过发表声明迅速回应了记者的置评请求：“Mandiant 知道这些与LockBit相关的声明。在这一点上，我们没有任何证据支持他们的说法。我们将继续关注事态的发展。”Mandiant 营销传播高级经理Mark Karayan向 BleepingComputer做了如上表态。 巧合的是，LockBit声明发布之际，全球最大的网络安全会议之一 RSA会议在旧金山开幕。 这也是在Mandiant表示有证据表明它命名为UNC2165的威胁组织已经不再使用Hades勒索软件而转而支持LockBit之后的四天。报告认为，这是因为美国已经制裁了名为Evil Corp的团伙。Mandiant说，UNC2165似乎是Evil Corp的附属机构，因此勒索软件压力的转变可能是试图将该团伙与受制裁实体拉开距离， Mandiant最初是一家独立公司，2013年12月被FireEye以10亿美元收购。2021年6月FireEye被 Symphony Technology Group以12亿美元收购后，谷歌以 54亿美元收购Mandiant，目标是将其整合到它的谷歌云部门。 Emsisoft的威胁分析师Brett Callow警告不要从表面上接受LockBit的说法。“LockBit过去曾做出虚假声明，我怀疑这是其中的另一个。事实上，对于 Mandiant最近的报道声称Evil Corp正在使用LockBit的附属计划试图逃避 [美国] 制裁，这很可能只不过是一个巨魔。LockBit将宣布的时间安排在RSAC的开始这一事实也可能表明它是一个旨在引起尴尬的巨魔。” 移动应用和网站安全提供商The Media Trust的首席执行官Chris Olson表示同意。“由于Mandiant声称‘我们没有任何证据’来支持LockBit的说法，这是一个发展中的故事，我们应该持保留态度。过去，LockBit在其网站上发布了名称， 只是在没有解释的情况下删除了它们 ——它还通过第三方供应商窃取了组织的数据，同时错误地声称直接破坏了受害者。在更多信息出现之前，Mandiant的故事可能会朝着这两个方向发展。 LockBit勒索软件团伙自 2019年9月以来一直作为勒索软件即服务 (RaaS) 活跃，并在勒索软件参与者被禁止在网络犯罪论坛上发帖后于2021年6月重新启动为LockBit 2.0 RaaS。“LockBit采用勒索软件即服务 (RaaS) 模型，这意味着无法直接识别可能发起此漏洞的行为者。自从Mandiant开始在全球网络战的前线行动以来，这对于 Mandiant所获得的敌人来说可能是一种有用的策略。2013年，它牵连中国参与者参与网络间谍活动——2020年，它帮助调查了应对SolarWinds黑客事件负责的俄罗斯组织。最近，它一直在追踪总部位于俄罗斯的网络犯罪组织“Evil Corp”，该组织已开始与LockBit合作以逃避美国的制裁。 “目前，我们不知道LockBit的说法是否属实。但如果是这样，它们可能会对网络安全研究公司产生严重影响，这些公司越来越多地成为全球网络参与者的目标。” 过去遭受LockBit 2.0变种攻击的勒索软件受害者包括保加利亚国家难民署、法国司法部和埃森哲。   转自 网空闲话，原文链接：https://mp.weixin.qq.com/s/dLZLVvQVAzCYNYFLV5zOow 封面来源于网络，如有侵权请联系删除