2026年网络安全报告-CheckPoint

微信扫码，打开到小程序

2026年 网络安全报告 第14版 目录： 01 引� 04 全� 分析 05 �点关注 漏洞 06 2026 年 �测 07 建� 08 暴�� ����� 02 ��安全�势 03 人工智�在��安全� 业�布局 不止�子�件：多渠� ��交�� 2025 年勒��件 �态�� 从侦察到控制：2025 年�� 冲�对���影响 引�01 LOTEM FINKELSTEIN VP 研究院 引言 2025 年，威�形势��演变，整个��安全�� 境和各�威��关�性强，也更加�以�控。我 们对全��测数据和事件�分析揭�了�前�� 威�形势发�了根本性��变，其标志是新�攻 击�和新技术�出�。攻击�正在将人工智�、 �份滥�、信息泄�利�和勒��件整合到他们 �攻击活动中。 最显��变化是攻击实施时�执��度和�模 �在加快。数据显�，攻击�正在将��、执� 及其影响��各�形式关��来，从人工智�� 动��交���动�到勒��件，并�步向数据 �动�勒��济�变。���备和暴��基�� 施�来�多地��作攻击��板。2025年，�些 模式在各地区和�业中�持���发�，凸显了 新技术���应�到实�中并产�切实影响� �势。 人工智�正是���变�典型例�。本报告人工 智�加剧了�个�变，它增强了攻击�活动�� 标、�模和�应性，同时也会影响��优先�和 ��响应。 我们�报告基于实�发��攻击事件和�实数 据。接下来���将深入探�攻击��中攻击� �域，以及不同�技术如何加强�御彼此之�， 以及哪些暴�模式最常导�影响。�为��威� 形势�发展��以及 2026 年最关����提供 了必���景。 �您仔���本报告中呈��数据和���果。 Lotem Finkelstein，���副总� ��安全�势 02 不止电子邮件： 多渠�� �交�� 在所有��中，哪个攻击�最容易�利�？ 对于 2025 年�攻击�来�，�案在于人� 因�。在�交��中，威��为��图�� 操�受害�，使其提供初始��权�，从� 实�入侵。在��攻击中，威��为�会以 员工、外包人员和�三方服务提供商为� 标，以�取对����或敏感信息���权 �。�然�些攻击��为不如利��件或� 件漏洞�攻击严�，但它们�成��坏可� 与其它方式�成��坏一样严�。 多年来，�����件一�是�交�����手 段，各��机构也日�意�到�些威�。然�，到 2025年，对�交���关�攻击不再局�于传�� �子�件，�是��了多平台、�渠�和�度定向 �攻击方式，利���、即时��应�和实时�份 冒��手段。与此同时攻击�也改�了基于�子� 件和浏�器�攻击方式，�向了�如ClickFix及其变 ��交互�动型技术。�些方法引导�户完成�似 合法�操作流�，从���安全控制，并在�户不 �情�情况下执�恶意�件。 �些方法已导�全�数�万次攻击尝�，并�成多 �影响巨大�商业数据泄�事件，�全�企业带来 �大�济损失。 ClickFix：将执行权转移到 用户身上的社交诈骗方式 ClickFix是2025年最重要的社交诈骗技术之一。 ClickFix 最早于 2024 年被发现，它是一种初始 访问方法，攻击者通过向用户展示虚假指令来诱 骗其执行恶意操作。这些指令通常通过被入侵或 攻击者控制的网站、恶意广告或品牌冒充电子邮 件传播，其设计与常规验证步骤（例如验证码、 验证检查或错误修复）非常相似。由于这些步骤 看起来像是继续正常活动所必需的合法步骤， 用户会被诱骗运行攻击者控制的内容，最终导致 恶意软件的传播。 图 1：ClickFix 攻击流�图 攻击�将 ClickFix � �放�在恶意/�入侵 ���中 受害��� ClickFix �� 攻击�将受害�引导�托� ClickFix ����� 攻击�投放恶意� 件有效�� 受害�按照 ClickFix �技术�明操作 受害���攻击����恶 意内容，导����入侵 Malvertising �子�件 垃圾�件�� SEO投毒 攻击�活动 受害�活动 第 2 章 CHECK POINT �件 | 2026 年��安全报告 7 �技术利�了�户�信任和�循技术指令�习 惯。�于其�单易�、可扩展且�够��某些安 全控制，ClickFix 已��明�常有效，因为恶意操 作是��户手动执��，�不是��传��基于 文件�感染�传播。因此，ClickFix �应��� 增�。2025 年，ClickFix �活动比上一年增加了 � 500%，并且在�一半有�录�恶意�件中� 有发�。 �技术已�广泛应�于各�威��域，包括一些 �名������团，例如 RedLine 和 Lumma, 它们�划了大�模�信息�取�动，以及在攻击 中投放有效��，传播Interlock勒��件感染。 与此同时，新兴恶意�件家族也�来�多地使� ClickFix作为其初始攻击�径。�期�例子包括� 对�国居民� MonsterV2 信息�取�序活动，以 及 Check Point ���分析� PureHVNC RAT � 序活动。�了出于�济动机���，多个国家支 持� APT ��也��了 ClickFix 作为���传播 机制，�不是他们更传��初始��技术。 ClickFix �成功催�了更多���同�攻击技术 ���交����关事件。2025 年年中，威� �为�开始�� FileFix，�是一�源� ClickFix �技术，它��滥�合法�操作��工作流�来 �取初始��权�以��受害���备。FileFix 依�于恶意或�入侵���来�发一个标准� Windows �源��器�口，�户在��口中� 指����似必��内容文件�径。此操作会导 2025年，CLICKFIX的活动较 去年增长了约500%，并且 在近一半的有记录恶意软件 活动中被观察到。 图2：ClickFix���例，包含�假����提� 第 2 章 CHECK POINT �件 | 2026 年��安全报告 8 �攻击�控制�内容�执�，从�在不使�传� 恶意�件传播方式�情况下实�入侵。FileFix 最 初作为概念���推出，但几周内就�攻击�应 �在实�攻击中。从�时�，多个活��攻击活 动利��技术来投放恶意�件有，包括 Interlock RAT 和 StealC 信息�取�序，��明成功��交 ��方法从��到实�应��变��度有多快。 与此同时，攻击�已将 ClickFix �攻击手段从 代�执�扩展到�户入侵。ConsentFix 于 2025 年底出�，它将�似��交��原�应�于云 �境。它���户完成合法� Microsoft/Azure OAuth �录流�。然后攻击�指��户复制并 ��包含 OAuth 授权��本地主机 URL 到攻击 �控制�容器��中。�取�授权��于�取令 �，并在无��取密�和完成多因��份�� (MFA) �情况下���户� Microsoft �户。 ClickFix 及其变�在 2025 年�流�已扩展 到 Windows �境之外。威��为�专��对 macOS �户发�攻击活动，并利� ClickFix 技 术攻击 Linux ��。正如我们在����工具包 中�到��样，ClickFix 开始商品化，例如 IUAM ClickFix Generator �工具包�出�，使攻击�� 够创建�度可定制��平台 ClickFix 攻击活动， 并��大�模地应��技术。 ��受害�在其����上发�恶意活动，反映 了攻击��交�����更广泛�变，即利� �户对��、浏�器和云�份平台�合法流�� 信任。 基于语音的社交诈骗—— 重大攻击的首选武器 2025年，������和�份冒充攻击显�增 多，成为一�利��户信任��效手段。在�些 攻击中，攻击�伪�成受信任或权威人士，并在 ��有�对性�侦察后，使��先准备好��本… 向受害�施压，�使其�取��凭�、更改 MFA 代�或授予����权��措施。历史上与低复 杂度��消��欺�，即基于����份冒充， 已�演变成一�以企业为中心�入侵技术，�在 对大型���攻击中�初步��。 2025年，�对�名品��复杂威���将基于 ����份冒充攻击�定为为���技术。�些 攻击���深入�侦察，利�多��信平台与受 害�互动，并执�复杂�多�段�交���本 以�到其攻击��。在一些案例中，���动� 攻击活动使攻击��够�得初始��权�，从� 发动了当年一些最具�坏性和影响力�企业�� 入侵。 历史上与低复杂度的消费者欺 诈、电话诈骗相关基于身份冒 充的攻击已经演变为以企业为 中心的入侵。用于在大型组织 中获得初步立足的技巧。 第 2 章 CHECK POINT �件 | 2026 年��安全报告 9 最值得注意�是，此次活动与以�济利�为�� �威��为�有关，例如 Scattered Spider 和� 常��为 Scattered LAPSUS$ Hunters (SLH) � ��。Scattered Spider（也��为 UNC3944 / Octo Tempest）是一个�效�、专注于入侵�� �，以�份中心化�初始��技术��名，包括 冒充服务台和 IT 供应商、多因��份���劳以 及 SIM 卡交换�户接�。SLH 是�与 Scattered Spider、LAPSUS$ 和 ShinyHunters �关��� �、���似�工具和��共同实施。�三个�� �有����企业入侵和勒��录。�去值得注意 �攻击事件包括 Shiny Hunters 在 2024 年入侵 � 国�信巨头 AT&T，���因此�得了�� 35 万 �元���；同时 Scattered Spider 在2023年对 MGM Resorts 也实施了攻击。 Lapsus$ 在 2022 年���入侵��三方支持提供商攻击了�份�� 公司 Okta。 高影响力的企业攻击事件 SLH与2025年发��几�影响巨大�事件有关， 在�些事件中，���动��交��成为�对大 型企业���初始入侵�径，从��取数据。� �和勒�。2025 年 4 月，Scattered Spider � �有�对性��交���动，并�以广泛�侦 察，入侵入侵了�国�售商 Marks & Spencer � ��。攻击�收�了有关�公司成员和内�流 ����信息，使他们�够在��为 Marks & Spencer 提供支持��三方服务台提供商时， 成功地冒充成功地冒充合法成员。攻击���一 名技术支持工�师��密�以�取��权�，从 ���了 DragonForce 勒��件。此次事件�使 ����暂停在��单一个多月，并扰乱了实体 店���，导�客户数据��。�公司后来估� 损失了�3亿���利润。�接事件响应和恢复成 本� 1.36 亿��。 2025年，语音驱动的社交诈 骗成为首要学科初始访问向量, 在影响较大的企业数据泄露事 件中发挥着重要作用，导致数 据盗窃和勒索。 第 2 章 CHECK POINT �件 | 2026 年��安全报告 10 本报告来源于三个皮匠报告站（www.sgpjbg.com）,由用户Id:1181721下载,文档Id:1167474,下载日期:2026-03-26 另一�案例中，�国汽�制�商捷���（JLR） 于2025年8月成为SLH�攻击�标。攻击�入侵了 其内���，�取了客户数据，并强制关�了IT 和�产�境，导��产中断数周。�然没有技术 �估�果�公布，但报告显�，此次入侵可�涉 及�对 IT 支持团���交��，�与 SLH 之前 �活动一�。据估�，此次事件�成�损失�为 19亿��。 图 3：Scattered Spider入侵���� Scattered Spider ����取 M&S 客户�个人数据 Scattered Spider �客�� 在 M&S ���上��了 DragonForce 勒��件， 并加密了公司数据。 Scattered Spider攻击� 利�各�技术扩大对广 泛������围，从 �入侵��。 Scattered Spider 对 M&S �员工及其工作流���了 广泛�侦察。 IT承包商员工授予攻 击���权� Scattered Spider 攻击�很可����� ����三方IT承包商，冒充����� 员工，�求��密�/多因��份�� 攻击�活动 受害�活动 第 2 章 CHECK POINT �件 | 2026 年��安全报告 11 2025年初，以�������攻击手段��名� 威���ShinyHunters（也���为UNC6040） �对各���Salesforce�境发�定向攻击，以� 取大�模数据。��和勒�。攻击�主��对� 国企业���分支机构�员工。他们冒充公司内 �IT支持人员来��受害�。授予��权�或披� 敏感信息���取凭�，最�导� Salesforce � 数据��取。攻击��后声�，此次攻击活动影 响了� 40 家��，其中包括多家全��名品�， 并导�� 10 亿条�录��取。�些�法尚未得到 �实。 图 4：ShinyHunters 对 Salesforce 夫人攻击 ShinyHunters 攻 击���使� Salesforce �公司 �员工，冒充 IT 支持人员。 ShinyHunters 攻击 �指�受害�提供 凭�和多因��份 �� (MFA) 代�。 ShinyHunters 操作 员指�受害�将恶 意应��序�接到 Salesforce ��。 或� 受害���凭�/应 ��序授予攻击� 对 Salesforce �� �权�。 ShinyHunters 从 Salesforce 中�取客 户数据。 ShinyHunters 从云平台�取 客户数据。 ShinyHunters 横向 �动到其它云平台 （Okta、Microsoft）。 攻击�活动 受害�活动 第 2 章 CHECK POINT �件 | 2026 年��安全报告 12 �有报告显�，在多�案例中，与SLH�态�� �关�个人均来��方国家。公开��捕�录和 ��书中列出了具有�国、�国和欧洲国��个 人。�或�可以��为何�些操作�具备如此� ����和文化�景，从��够对欧洲和北�机 构发�基于����份冒充攻击。 �了企业入侵之外，��冒充仍然是���欺� 手段，尤其是在�对普�公民�以�济利�为� ����中。在�些案例中，攻击��常会冒充 ��机构或加密�币平台，�使受害����� 或泄��户凭�，从�实��户��。根据 FBI �报告，2025 年�������欺�和�户�� 事件�成�损失�� 2.5 亿�元。 语音身份冒充已成为一种 趋势 基于����交��技术日�成功，推动了�� �态��对熟��模仿操作员��求增加，同时 也催�了人工智��动���模仿工具及其服务 市场。总体而言，利用语音模仿攻击个人和知名 企业是 2025 年社交诈骗发展的主要趋势之一， 一些影响巨大的攻击活动给受影响的组织造成了 巨大的经济和运营损失。 受害者发起的社交诈骗 2025 年，我们 observable 到受害�发��（入 �）�交���势日�增�，攻击�故意引导� 标主动发���，从�增加互动�合法性。 Check Point Research 发�，其中一�名为 ZipLine �攻击活动，攻击�会滥����公共“ ��我们”��，伪�成合法�商业咨�。��� 方法促使员工在其正常工作���围内，主动与 攻击���后�沟�。攻击��后会与受害�� ���数周��子�件交流，然后发�恶意 ZIP �件来�� MixShell 恶意�件。��攻击活动主 ��对制�业�业�企业。 语音冒充攻击的广泛应用，无 论是针对个人还是知名企业， 都是2025年社交诈骗发展趋 势的显著特征之一。一些影响 巨大的攻击活动给受影响的组 织造成了巨大的财务和运营损 失。 第 2 章 CHECK POINT �件 | 2026 年��安全报告 13 在与 UNC6229 有关�攻击活动中也发��似� 受害�发�模式，�些活动��标是��和数字 广告�业�个人，��是劫持企业。广告和�交 媒体�户。�攻击�在合法平台和攻击�控制� ��上发布�假招�信息，�使受害�主动�� 招��岗位。最初�沟�是无害�、个性化�， 旨在建�信任，然后�向恶意投放或����� ��接�取凭�。 �然攻击�发�������件成功��常� 低，但����受害�主动发�或持�沟�� 场景，��交互流�，可以显�提�攻击��可 信度，并增加攻击成功�可�性。 商业通信平台上的社交诈 骗活动 威��为�正日�将�交��活动扩展到�子� 件以外��交媒体平台和即时��应�，�些平 台��户�期和安全控制往往�为�弱。�些互 动�常与传�������标�似，例如��受 害�执�恶意文件或泄�凭�，同时利��户� 惕性低和�乏专��安全控制措施。 ���三方即时��平台，攻击�可以在更�正 式��境中与�标互动，从�更容易建�信任。 ���变反映了一�更广泛��势，即利��些 正在����信渠�。�出传�企业安全��� 围。 例如，伊朗APT�� Nimbus Manticore �活动 就�发�冒充企业利�LinkedIn上�专业人士与 员工互动。另一个伊朗APT��“受�教��曼提 �尔”（Educated Manticore）多年来一�利� WhatsApp�即时��平台���交��。�� 方法在2025年仍然有效，因为攻击����正式 �沟�渠�与受害�建�信任，同时又游�于传 �企业�安全�控和控制之外。 最后，威��为��来�多地�向企业协作平 台，例如Microsoft Teams和Slack，作为�交�� �渠�。当����允�外��户发��天或� �时，�些平台为攻击�提供了一个�度可信� �境，攻击�可以在其中冒充内�IT人员或服务 提供商，并��文本、��或���接与员工互 动。 在�去一年中�测到�多�攻击活动�利� Microsoft Teams 作为初始���径。攻击�伪 �成内� IT 支持人员，��受控� Microsoft 365 �户向员工发�消息或拨打��。受害�� 常会���安���支持工具，从��得对其� ��完全交互式��权�。然后，攻击�会滥 �此�