2025年夏季网络安全攻击事件激增

据统计，2025年夏季网络攻击事件频发。勒索软件重创医院，零售巨头遭遇数据泄露，保险公司遭到钓鱼攻击，国家支持的黑客组织也发起了破坏性攻击行动。从隐蔽的PowerShell加载器到SharePoint零日漏洞利用，攻击者让防御者疲于应对。

本报告剖析了夏季影响最严重的几起事件，以及安全团队在面对攻击浪潮来临前可采取的措施。

医疗行业日益增长的勒索软件风险

医院经不起网络攻击，攻击者们深谙此道。今年夏天，勒索软件团伙将目标对准医疗行业，利用患者身份数据的价值和医疗服务的紧迫性大肆牟利。

Interlock成美国医疗行业主要威胁

2025年7月22日，美国网络安全与基础设施安全局、联邦调查局和卫生与公众服务部联合发布的公告指出，Interlock是医疗与公共卫生（HPH）领域的主要威胁。仅2025年，该组织就涉嫌参与约14起事件，其中三分之一的受害者是医疗服务机构。

Interlock的特别之处在于其使用的“FileFix”工具——这是一种PowerShell启动器，能将恶意脚本隐藏在诱饵文件路径后。它诱使用户通过文件资源管理器运行恶意程序，从而绕过常规安全检测。

Rhysida勒索软件攻击另一家美国医疗中心

2025年7月8日，Rhysida勒索软件团伙据称泄露了佛罗里达手部中心的敏感数据，包括医疗影像、驾照和保险信息等。 这家为Punta Gorda、Port Charlotte和Fort Myers地区患者提供服务的诊所，被要求在7天内对该勒索软件团伙作出回应，否则会将数据公开。

Qilin复用Scattered Spider战术，掀起医疗行业数据泄露浪潮

2025年6月，Qilin成为最活跃的勒索软件团伙，记录在案的受害者达81家，其中52家来自医疗行业。 该团伙利用Fortinet产品的未修复漏洞（CVE-2024-21762和CVE-2024-55591）获取访问权限，部署勒索软件，并窃取电子健康记录（EHRs）、保险记录等敏感数据。

为最大化施压，Qilin不仅进行数据加密，还采用法律主题的勒索手段——例如设置“联系律师”功能和自动化谈判工具，以促使受害者更快支付赎金。

多家零售业品牌在网络犯罪浪潮中遭入侵

2025年夏季，零售业也未能躲过席卷而来的网络攻击浪潮。

路易威登遭遇本季度第三次数据泄露

2025年7月2日，英国路易威登发生数据泄露事件，导致客户联系信息和购买记录外泄。这是三个月内路威酩轩集团（LVMH）旗下品牌遭遇的第三起泄露事件，此前迪奥和韩国路易威登已先后中招。

7月10日，英国警方逮捕了四名嫌疑人，他们涉嫌参与对M&S、Co-op和Harrods的网络攻击。 据称，该团伙与Scattered Spider存在关联。Scattered Spider是一个本土黑客团伙，以社会工程学手段见长，并与DragonForce等勒索软件运营商合作，这表明本土网络犯罪分子对大型零售商的影响正日益扩大。 

DragonForce攻击美国零售连锁品牌Belk

2025年5月7日至11日，知名零售商Belk遭遇数据泄露。DragonForce声称对此负责，并表示窃取了156GB的客户及员工数据，包括姓名、社会安全号码、电子邮件、订单历史和人力资源文件。在赎金谈判陷入僵局后，这些数据被发布到其泄露网站上。

据了解，DragonForce于2023年末首次出现，以勒索软件即服务（RaaS）卡特尔模式运作。截至2025年3月，其列出的受害者约有136家，其中不少是美国和英国的零售企业。

UNC3944的攻击目标从零售业转向保险业

2025年4月至5月，UNC3944利用以身份为核心的社会工程学、语音钓鱼、多因素认证（MFA）疲劳攻击、冒充服务台以及域名仿冒等手段，入侵了英国的M&S、Co-op和Harrods等零售商。

2025年6月中旬，研究人员发现，UNC3944已将攻击目标从零售业转向美国的保险公司。

·2025年6月12日，美国Aflac发现并遏制了一起未授权访问事件，客户和员工的个人数据（包括社会安全号码、健康索赔信息等）可能已遭泄露。

·6月上旬至中旬，保险公司Erie Insurance和Philadelphia Insurance Companies也报告了类似的网络干扰事件，导致业务中断。

这些入侵事件与UNC3944已知的战术特征相符，不过攻击者并未部署勒索软件，系统仍能运行。

涵盖国家背景的网络活动与地缘政治因素

今年夏天的网络威胁并非都以牟利为目的。有国家支持的黑客和黑客活动分子也纷纷现身，利用动荡的地缘政治环境发起攻击。

·2025年6月14日至17日：亲以色列的黑客活动组织Predatory Sparrow攻击了伊朗的Sepah银行，扰乱了银行业务；随后又入侵了加密货币交易所Nobitex，将约9000万美元的加密货币转入销毁钱包，使其永久失效。

·2025年6月30日：美国国土安全部与网络安全与基础设施安全局联合发布警报，警告伊朗可能对美国和欧洲的关键基础设施发起网络报复。

这些事件表明，网络冲突现已成为地缘政治紧张局势的前沿延伸，其影响可远超出国界和行业范畴。

关键漏洞引起公众关注

今年夏天，在一场名为“ToolShell”的大规模网络间谍活动中，多个微软SharePoint漏洞被利用。

·CVE-2025-53770是一个严重的远程代码执行漏洞，允许未授权攻击者在易受攻击的本地SharePoint服务器上运行任意代码。威胁者利用该漏洞部署webshell、窃取凭据，并在企业网络中横向移动。2025年7月20日，CISA将该漏洞纳入其已知被利用漏洞（KEV）目录。

·CVE-2025-49704和CVE-2025-49706在被用于连环攻击后，也于7月22日被加入KEV目录。这两个漏洞可实现身份验证绕过和代码注入，即使用户已修复了早期漏洞，攻击者仍能利用未打补丁的SharePoint系统。

ToolShell活动的目标涵盖美国、欧洲和中东的各类组织，包括政府机构、能源公司和电信提供商。安全研究人员表示，攻击者可能逆向破解了微软7月“补丁星期二”发布的修复程序，从而开发出针对CVE-2025-53770的绕过方法。

从夏季频发的网络安全事件中能学到什么

从医院到零售巨头，从保险公司到国家层面，这个夏天暴露出即便是防御最严密的环境也存在漏洞。以下是安全团队接下来应采取的措施：

1.及时打补丁——在关键行业尤其重要。可从CISA的KEV条目和高严重性CVE开始，但不止于此。还要深入思考一个更严峻的问题：你所在的组织是否属于攻击者的目标类型？所以要验证每个CVE在你的环境中是否真的可被利用。

2.将身份安全加固作为新的安全边界。今年夏天，社会工程学手段比恶意软件更奏效。要阻止MFA攻击，加强服务台验证，并限制特权访问。

3.对人员进行培训，因为他们是漏洞的突破口。Scattered Spider等团伙并未利用某个CVE，而是利用了相关人员钻了安全空子。企业定期开展模拟演练，更新钓鱼攻击场景，并让高风险岗位人员做好应对真实诱饵的准备尤其重要。

4.关注初始访问后的动向。像Interlock和Qilin这样的网络犯罪团伙不只是投放勒索软件，他们还会横向移动、囤积数据并规避检测。应针对PowerShell滥用、凭据窃取和隐秘数据外泄等技术手段实施行为监控。

5.不要忽视遗留系统和被遗忘的基础设施。ToolShell活动利用了未打补丁的本地SharePoint服务器，其中许多运行的是不受支持或过时的版本。无论是老旧的本地SharePoint、各类设备还是未受监控的遗留设备，对于无法升级的要进行隔离；对于无法打补丁的要加强监控；对于被忽视的要及时更换。