2024年5月25日,谷歌云举办了一场关于最新网络威胁趋势的新闻发布会。谷歌威胁情报团队(GTIG)副首席分析师卢克·麦克纳马拉(Luke McNamara)在会上介绍了当前网络攻击的态势。
麦克纳马拉指出,GTIG将威胁组织分为三类:国家支持的高级持续性威胁(APT)、以金钱为目的的网络犯罪团伙(FIN)以及未分类的威胁组织(UNC)。
他总结了当前网络威胁的四大趋势:一是威胁的规模和范围不断扩大;二是攻击者更加注重隐藏自身行为以避免被发现;三是全球地缘政治环境变化影响了黑客组织的活动模式;四是AI技术在攻击者中被广泛应用,整体安全形势正在发生重大变化。
根据GTIG的分析,日本近年来位列全球第六大网络攻击目标国。
此外,麦克纳马拉分享了2025年网络事件响应的最新数据,指出漏洞利用仍占32%,为最主要的攻击方式,但基于电子邮件的钓鱼攻击有所减少,而语音钓鱼攻击呈上升趋势。
攻击者通过冒充组织内部人员,拨打帮助台电话,指示更改账户信息,随后利用该账户进行入侵。
零日漏洞攻击自2021年以来持续增长,2025年已确认90起相关事件。麦克纳马拉强调,开源软件供应链攻击急剧增加,攻击者通过NPM、PyPI、GitHub Actions等平台推送恶意代码,诱使企业下载,进而窃取认证信息和机密数据。
他还提到,日本多家企业和政府机构使用的KnowledgeDeliver平台成为攻击目标,攻击者通过植入Bluebeam和Cobalt Strike信标等工具,逐步推进攻击行动。
此外,来自中国的网络犯罪组织利用“钓鱼即服务”(Phishing-as-a-Service, PHaaS)针对日本发起攻击,PayPay账户成为典型目标。麦克纳马拉指出,这类攻击流程高度自动化,技术日趋成熟。
AI技术在攻击的各个阶段被广泛应用,尤其是在情报收集和问题排查环节,推动攻击规模、速度和复杂度的提升。
他举例说明,曾发现利用双因素认证逻辑漏洞进行入侵的案例,及时与供应商合作,减少了损失。同时介绍了名为“HONESTCUE”的攻击手法,通过向Gemini API发送代码指令,实现恶意程序的下载和执行,增加检测难度。
在日本,疑似中国背景的威胁组织利用“Hexstrike MCP”工具,结合AI实现攻击自动化。
麦克纳马拉总结道,未来将有更多实验性攻击者利用AI进行攻击,整体威胁的范围、速度和复杂度将进一步加剧。
针对近期备受关注的Mythos漏洞,麦克纳马拉表示,该工具使漏洞发现变得更容易。为了应对攻击者,必须快速发现并及时修补漏洞,安全防护将进入速度竞赛阶段。虽然理想状态是从一开始就编写安全代码,但短期内仍需依赖快速响应。
