2025年度全球網(wǎng)絡(luò)安全與網(wǎng)絡(luò)攻擊重大事件盤點

2025年是網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵一年，重大網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露事件頻發(fā)，威脅組織聲名狼藉程度再創(chuàng)新高，零日漏洞也在多起事件中被惡意利用。不過，部分事件的影響力或關(guān)注度尤為突出。以下是綜合評選出的2025年十四個極具影響力網(wǎng)絡(luò)安全熱點話題及摘要，排名不分先后。

14. PornHub數(shù)據(jù)泄露事件

勒索團伙ShinyHunters從第三方分析服務(wù)商Mixpanel竊取了PornHub高級會員的行為數(shù)據(jù)，并以此對其實施勒索。

攻擊者聲稱竊取的數(shù)據(jù)量約94GB，包含超過2億條訂閱用戶的觀看、搜索及下載記錄，威脅若不滿足勒索要求將公開這些數(shù)據(jù)。

盡管此次泄露未涉及財務(wù)憑證，但詳細成人內(nèi)容瀏覽記錄的潛在公開風(fēng)險，可能會對受影響用戶造成嚴重的個人聲譽損害。

過往類似敏感關(guān)系數(shù)據(jù)泄露事件，如Ashley Madison數(shù)據(jù)泄露事件已被證實與現(xiàn)實世界的傷害相關(guān)聯(lián)。

13. ClickFix社會工程學(xué)攻擊

2025年，ClickFix攻擊被包括國家背景黑客組織和勒索軟件團伙在內(nèi)的眾多威脅組織廣泛采用。該攻擊最初僅針對Windows系統(tǒng)的惡意軟件活動，隨后迅速擴展至macOS和Linux平臺，通過攻擊植入信息竊取器、遠程控制木馬及其他惡意軟件。

ClickFix社會工程學(xué)攻擊通過構(gòu)建特定網(wǎng)頁實施：先顯示錯誤提示或問題預(yù)警，再提供“修復(fù)方案”。這些虛假內(nèi)容可能包括錯誤信息、安全警告、驗證碼驗證或更新通知，誘導(dǎo)訪客執(zhí)行PowerShell或Shell命令以“解決問題”。

受害者最終會因執(zhí)行攻擊者提供的惡意PowerShell或Shell命令，導(dǎo)致自身設(shè)備被感染。

ClickFix攻擊采用多種誘騙手段，包括偽造Windows更新界面、TikTok平臺上的虛假軟件激活視頻，以及附帶視頻教程的虛假驗證碼驗證——教程會指導(dǎo)受害者復(fù)制粘貼可下載并執(zhí)行惡意軟件的命令。

ClickFix 攻擊顯示虛假的 Windows 更新屏幕

研究人員發(fā)現(xiàn)針對macOS的ClickFix變種，誘騙用戶在終端中運行惡意Shell命令以安裝信息竊取器；Linux用戶也未能幸免，APT36組織曾通過釣魚活動專門針對該系統(tǒng)發(fā)起攻擊。

ClickFix攻擊在2025年持續(xù)演變，研究人員與威脅組織不斷推出該社會工程學(xué)攻擊的新變種。近期發(fā)現(xiàn)的ConsentFix變種，通過濫用Azure CLI OAuth流程劫持微軟賬戶，誘騙受害者完成OAuth授權(quán)流程以獲取訪問令牌；另一變種FileFix則利用Windows文件資源管理器地址欄，誘導(dǎo)用戶執(zhí)行惡意PowerShell命令。

根據(jù)最新發(fā)現(xiàn)，ClickFix攻擊進一步商業(yè)化，出現(xiàn)名為“ErrTraffic”的付費平臺，可自動化發(fā)起基于ClickFix的惡意軟件攻擊。

12. 15億美元ByBit加密貨幣盜竊案

2月，攻擊者從ByBit的冷錢包中竊取約15億美元的以太坊，這是有記錄以來規(guī)模最大的加密貨幣盜竊案之一。

調(diào)查顯示該盜竊案與朝鮮 Lazarus黑客組織有關(guān)，美國聯(lián)邦調(diào)查局隨后證實該組織對此負責(zé)。據(jù)悉，攻擊通過入侵一名Safe{Wallet}開發(fā)者的設(shè)備實施，該設(shè)備被用于ByBit的錢包運營業(yè)務(wù)。攻擊者利用對開發(fā)者設(shè)備的控制權(quán)操縱交易審批流程，最終掏空冷錢包。

除ByBit外，其他加密貨幣交易所和錢包也遭遇攻擊：Phemex被盜8500萬美元，Cetus Protocol被盜2.23億美元，BigONE泄露事件造成2700萬美元損失，Trust Wallet的數(shù)千名用戶因攻擊遭受700萬美元損失。

另一起備受關(guān)注的事件中，親以色列黑客入侵伊朗Nobitex交易所，銷毀了約9000萬美元的加密貨幣。

11. Oracle數(shù)據(jù)盜竊攻擊

勒索團伙Clop利用甲骨文企業(yè)資源規(guī)劃套件（Oracle E-Business Suite，EBS）中的多個零日漏洞，發(fā)起大規(guī)模數(shù)據(jù)盜竊活動，Oracle成為主要攻擊目標(biāo)。

Clop團伙利用Oracle EBS中一個未修復(fù)的零日漏洞（CVE-2025-61882）入侵服務(wù)器并竊取數(shù)據(jù)。根據(jù)CrowdStrike和Mandiant的報告，漏洞利用最早始于7月，數(shù)據(jù)盜竊活動在8月達到頂峰。

10月，Clop勒索團伙開始向受影響企業(yè)發(fā)送郵件，威脅若不支付贖金將公開竊取的數(shù)據(jù)。

Clop 勒索團伙向Oracle EBS 套件用戶發(fā)送勒索郵件

第二個Oracle零日漏洞（CVE-2025-61884）由勒索團伙ShinyHunters在Telegram上泄露利用工具（PoC）后被披露。Oracle已悄悄修復(fù)該漏洞，但目前尚不清楚ShinyHunters是否成功利用其竊取數(shù)據(jù)。

已披露遭Clop勒索團伙相關(guān)Oracle攻擊的機構(gòu)包括：哈佛大學(xué)、達特茅斯學(xué)院、賓夕法尼亞大學(xué)、菲尼克斯大學(xué)、Logitech、GlobalLogic、大韓航空及Envoy等。

10. DDoS攻擊強度持續(xù)升級

2025年，全球多地組織遭遇創(chuàng)紀(jì)錄的分布式拒絕服務(wù)攻擊。Cloudflare緩解的多起攻擊事件顯示，DDoS攻擊平臺的攻擊強度不斷提升，峰值分別達到5.6太比特/秒、7.3太比特/秒、11.5太比特/秒，后續(xù)更出現(xiàn)22.2太比特/秒的超強攻擊。

攻擊強度的大幅增長主要源于Aisuru僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)已成為多起史上最大規(guī)模DDoS攻擊的核心驅(qū)動力。

微軟報告稱，Aisuru僵尸網(wǎng)絡(luò)曾利用50多萬個IP地址，對Azure發(fā)起峰值15太比特/秒的攻擊；Cloudflare后續(xù)披露，該僵尸網(wǎng)絡(luò)還發(fā)起過規(guī)模更大的29.7太比特/秒DDoS攻擊。

創(chuàng)紀(jì)錄的 Aisuru 僵尸網(wǎng)絡(luò)攻擊數(shù)據(jù)圖表

過去幾年，DDoS攻擊服務(wù)已成為全球執(zhí)法機構(gòu)的打擊目標(biāo)。2025年，多國當(dāng)局聯(lián)合取締多個“按次收費DDoS服務(wù)”平臺，逮捕平臺運營管理者。

歐洲刑警組織還宣布瓦解親俄黑客組織NoName057(16)，該組織此前多次參與DDoS攻擊活動。

9. 開發(fā)者供應(yīng)鏈攻擊激增

網(wǎng)絡(luò)犯罪分子愈發(fā)將目標(biāo)對準(zhǔn)開發(fā)者，濫用開源軟件包和擴展程序倉庫，將其轉(zhuǎn)變?yōu)閻阂廛浖职l(fā)平臺。在npm倉庫中，攻擊者多次展示平臺可被用于推廣惡意軟件包的漏洞。

IndonesianFoods攻擊活動向npm倉庫批量上傳數(shù)十萬余個垃圾軟件包和惡意軟件包；更具針對性的供應(yīng)鏈攻擊則劫持每周下載量達數(shù)百萬次的合法軟件包。

破壞性最嚴重的攻擊活動之一是Shai-Hulud惡意軟件攻擊，該攻擊感染數(shù)百個npm軟件包，用于竊取開發(fā)者密鑰和API密鑰。

在新 Shai-Hulud 活動中被盜取秘密的 GitHub 倉庫

攻擊者還多次針對集成開發(fā)環(huán)境（IDE）擴展市場發(fā)起攻擊，包括微軟VSCode Marketplace和OpenVSX平臺。

名為Glassworm的攻擊活動多次卷土重來，通過VSCode擴展程序分發(fā)惡意軟件、竊取加密貨幣、安裝挖礦程序，并下載包括早期勒索軟件在內(nèi)的額外攻擊載荷。

Python軟件包索引（PyPi）也成為攻擊目標(biāo)，惡意PyPi軟件包和釣魚活動通過竊取云憑證或植入后門入侵開發(fā)者系統(tǒng)。為此，PyPi平臺推出新管控措施以限制惡意更新。

8. 朝鮮IT工作者相關(guān)安全威脅

2025年，朝鮮IT工作者滲透西方企業(yè)的行為，成為組織面臨的重大身份安全威脅。

美國政府表示，這些IT工作者將收入輸送給朝鮮政權(quán)，為其武器計劃及其他項目提供資金支持。與利用軟件漏洞不同，朝鮮相關(guān)行為體愈發(fā)通過偽造身份、借助中介或合法就業(yè)等方式滲透西方企業(yè)，且往往長期未被發(fā)現(xiàn)。

美國當(dāng)局在至少16個州搗毀運營點——當(dāng)?shù)貐f(xié)助者代表朝鮮威脅組織接收企業(yè)配發(fā)的筆記本電腦，并為其提供從朝鮮遠程訪問企業(yè)環(huán)境的通道。

調(diào)查人員還揭露多起招募工程師出租或出售個人身份的活動，使朝鮮特工能夠通過背景調(diào)查、獲取工作機會，并以虛假身份訪問企業(yè)內(nèi)部系統(tǒng)。最終有五人承認協(xié)助實施此類計劃。2025年，美國財政部多次對參與相關(guān)計劃的朝鮮個人、掩護公司及銀行家實施制裁。

此外，雖與朝鮮IT工作者計劃無直接關(guān)聯(lián)，2025年Contagious Interview攻擊活動也有所增加，該攻擊濫用招聘面試流程作為惡意軟件分發(fā)渠道。

其中一起攻擊中，朝鮮黑客通過深度偽造Zoom通話冒充企業(yè)高管，誘騙目標(biāo)安裝macOS惡意軟件；另一起攻擊則通過虛假技術(shù)面試，誘導(dǎo)開發(fā)者安裝作為“評估任務(wù)”的惡意npm軟件包，進而分發(fā)惡意軟件。

7. AI提示注入攻擊

2025年，人工智能系統(tǒng)已嵌入幾乎所有生產(chǎn)力工具、瀏覽器和開發(fā)者環(huán)境，研究人員據(jù)此發(fā)現(xiàn)一類新型漏洞——提示注入攻擊。

與傳統(tǒng)軟件漏洞不同，提示注入攻擊利用AI模型的指令解讀邏輯，通過輸入精心設(shè)計或隱藏的內(nèi)容，覆蓋或繞過AI原有的指導(dǎo)規(guī)則和安全防護，從而操縱其行為。

這類攻擊誘使AI系統(tǒng)將不可信內(nèi)容視為指令，導(dǎo)致模型泄露敏感數(shù)據(jù)、生成惡意輸出或執(zhí)行非預(yù)期操作，且無需利用代碼本身的漏洞。

多起高關(guān)注度事件展現(xiàn)了此類新型攻擊的危害：

研究人員發(fā)現(xiàn)微軟365 Copilot存在零點擊數(shù)據(jù)泄露漏洞，通過包含隱藏提示注入的特制郵件，無需用戶交互即可泄露敏感信息；

谷歌Gemini被曝存在通過郵件摘要和日歷邀請實施提示注入的漏洞，可能被用于釣魚攻擊和數(shù)據(jù)竊取；

AI編程助手和IDE工具可被注入惡意提示，進而執(zhí)行或推薦有害代碼；

CometJacking攻擊濫用Perplexity的Comet AI瀏覽器中的提示注入漏洞，誘騙系統(tǒng)訪問關(guān)聯(lián)服務(wù)（如郵件、日歷）中的敏感數(shù)據(jù)；

其他提示注入攻擊則將隱藏指令嵌入壓縮圖像中，人類無法識別，但AI系統(tǒng)可讀取并執(zhí)行。

6. 針對服務(wù)臺的社會工程學(xué)攻擊

2025年，威脅組織重點通過社會工程學(xué)攻擊targeting業(yè)務(wù)流程外包（BPO）服務(wù)商和IT服務(wù)臺，以入侵企業(yè)網(wǎng)絡(luò)。

此類攻擊不依賴軟件漏洞或惡意軟件，而是誘騙服務(wù)臺工作人員繞過安全控制，為攻擊者提供員工賬戶訪問權(quán)限。

據(jù)報道，與Scattered Spider組織相關(guān)的黑客冒充員工，欺騙Cognizant服務(wù)臺授予賬戶訪問權(quán)限，該社會工程學(xué)攻擊引發(fā)針對高知特的3.8億美元訴訟。

黑客與服務(wù)臺之間的通話記錄

其他威脅組織也采用此類攻擊手段，名為Luna Moth的組織通過冒充IT支持人員，入侵多家美國企業(yè)。

谷歌報告稱，Scattered Spider組織通過濫用外包服務(wù)臺獲取內(nèi)部系統(tǒng)訪問權(quán)限，專門針對美國保險公司發(fā)起攻擊。

零售企業(yè)也承認，針對服務(wù)臺的社會工程學(xué)攻擊直接導(dǎo)致多起大規(guī)模勒索軟件攻擊和數(shù)據(jù)泄露事件。

瑪莎百貨證實，攻擊者通過社會工程學(xué)攻擊入侵其網(wǎng)絡(luò)并發(fā)起勒索軟件攻擊；Co-op也披露，在一起濫用支持人員的勒索軟件事件后發(fā)生數(shù)據(jù)泄露。

針對瑪莎百貨和Co-op等零售企業(yè)的攻擊，英國政府發(fā)布關(guān)于服務(wù)臺和BPO服務(wù)商防范社會工程學(xué)攻擊的指導(dǎo)意見。

5. 內(nèi)部人員威脅

2025年，內(nèi)部人員威脅造成巨大影響，多起高關(guān)注度事件顯示，擁有可信訪問權(quán)限的員工或顧問（無論是故意濫用權(quán)限，還是離職后權(quán)限未被撤銷）均可能導(dǎo)致大規(guī)模損失。

Coinbase披露一起影響69461名客戶的數(shù)據(jù)泄露事件，后續(xù)一名前Coinbase支持人員因涉嫌協(xié)助黑客入侵系統(tǒng)被逮捕。

CrowdStrike披露，其檢測到一名內(nèi)部人員向黑客提供信息，包括內(nèi)部系統(tǒng)截圖。據(jù)悉，該內(nèi)部人員從一個名為Scattered Lapsus$ Hunters的組織獲得2.5萬美元報酬，該組織名稱暗示其與Scattered Spider、Lapsus$和ShinyHunters等威脅組織存在關(guān)聯(lián)。該內(nèi)部人員在向黑客提供CrowdStrike網(wǎng)絡(luò)訪問權(quán)限前，其行為已被檢測到。

內(nèi)部人員行為還影響金融機構(gòu)：FinWise銀行披露一起與內(nèi)部人員相關(guān)的數(shù)據(jù)泄露事件，影響約68.9萬名美國第一金融（American First Finance）客戶；另一起事件中，一名銀行員工以僅920美元的價格出售自己的憑證，這些憑證隨后被用于巴西中央銀行1.4億美元的盜竊案。

多起事件還體現(xiàn)出心懷不滿的員工或前員工構(gòu)成的威脅：

一名開發(fā)者因創(chuàng)建“終止開關(guān)”（kill switch）意圖破壞前雇主系統(tǒng)，被判處四年監(jiān)禁；Coupang的一起數(shù)據(jù)泄露事件追溯至一名離職后仍保留系統(tǒng)訪問權(quán)限的前員工；

此外，某勒索軟件團伙曾試圖招募英國廣播公司（BBC）記者，以協(xié)助入侵該媒體機構(gòu)。

4. 大規(guī)模IT系統(tǒng)中斷事件

2025年，一系列大規(guī)模IT系統(tǒng)中斷事件擾亂全球服務(wù)和平臺，凸顯全球商業(yè)對云基礎(chǔ)設(shè)施的高度依賴。盡管這些事件均非由網(wǎng)絡(luò)安全漏洞引發(fā)，但其影響極為顯著，因此值得列入本年度重大熱點事件。

2025年最具影響力的系統(tǒng)中斷事件包括：

Heroku全球outage導(dǎo)致數(shù)百個網(wǎng)絡(luò)應(yīng)用下線，影響對外服務(wù)和內(nèi)部工具使用；

微軟DNS故障導(dǎo)致Microsoft 365、Azure服務(wù)及眾多組織的應(yīng)用程序無法正常運行；

谷歌將本年度最大規(guī)模云平臺中斷事件歸因于API管理問題，導(dǎo)致依賴其云基礎(chǔ)設(shè)施的多項服務(wù)廣泛故障；

AWS outage導(dǎo)致亞馬遜Prime視頻、Perplexity等眾多依賴亞馬遜云服務(wù)的平臺下線；

Cloudflare遭遇多起故障事件，其中一起源于針對正在被利用的React2Shell漏洞的緊急補丁部署，導(dǎo)致其全球網(wǎng)絡(luò)服務(wù)暫時中斷。

3. Salesforce數(shù)據(jù)盜竊攻擊

2025年，Salesforce成為大規(guī)模數(shù)據(jù)盜竊和勒索活動的頻繁目標(biāo)，威脅組織愈發(fā)關(guān)注該平臺及其不斷擴展的第三方服務(wù)生態(tài)。

盡管Salesforce自身未被入侵，但攻擊者多次通過泄露賬戶、OAuth令牌和第三方服務(wù)漏洞獲取客戶數(shù)據(jù)，導(dǎo)致多起高關(guān)注度數(shù)據(jù)泄露事件。

這些攻擊主要與勒索團伙ShinyHunters相關(guān)，影響多個行業(yè)的企業(yè)，包括科技、航空、網(wǎng)絡(luò)安全、保險、零售和奢侈品行業(yè)。

受Salesforce數(shù)據(jù)盜竊攻擊影響的企業(yè)包括谷歌、Cisco、Chanel、Pandora、安聯(lián)人壽、農(nóng)夫保險 、Workday等。

ShinyHunters勒索團伙最終搭建專門的數(shù)據(jù)泄露網(wǎng)站，對受影響企業(yè)實施勒索。

ShinyHunters Salesforce 泄漏網(wǎng)站

此類攻擊的一個重要特點是入侵與Salesforce直接對接的第三方SaaS平臺。攻擊者入侵Salesloft、Drift等服務(wù)，竊取可訪問關(guān)聯(lián)Salesforce實例的OAuth令牌和憑證。

這些供應(yīng)鏈攻擊影響眾多企業(yè)，包括谷歌、Cloudflare、Zscaler、Tenable、CyberArk、Elastic、BeyondTrust、Proofpoint、JFrog、Nutanix、Qualys、Rubrik、Cato Networks、Palo Alto Networks等。

Salesforce還調(diào)查了一起與Gainsight數(shù)據(jù)泄露相關(guān)的客戶數(shù)據(jù)盜竊事件，該事件利用了在Salesloft、Drift攻擊中竊取的OAuth令牌。

2. 零日漏洞攻擊

2025年，零日漏洞仍是網(wǎng)絡(luò)犯罪分子用于入侵企業(yè)網(wǎng)絡(luò)、實施數(shù)據(jù)盜竊、網(wǎng)絡(luò)間諜活動和勒索軟件攻擊的常用手段。

網(wǎng)絡(luò)邊緣設(shè)備和互聯(lián)網(wǎng)暴露服務(wù)是主要攻擊目標(biāo)，因其處于互聯(lián)網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間的關(guān)鍵位置。

思科（ASA防火墻、IOS系統(tǒng)、AsyncOS系統(tǒng)、ISE設(shè)備）、思杰（Citrix NetScaler）、Ivanti Connect Secure、SonicWall、FreePBX和CrushFTP等產(chǎn)品的零日漏洞均被在野活躍利用。

微軟SharePoint是本年度零日漏洞攻擊的最大目標(biāo)之一，其ToolShell漏洞被多個勒索軟件團伙利用，用于部署網(wǎng)頁后門、竊取敏感數(shù)據(jù)并維持在企業(yè)網(wǎng)絡(luò)中的持久控制權(quán)。

Windows系統(tǒng)漏洞也多次被濫用，包括快捷方式處理和日志服務(wù)相關(guān)漏洞。 消費級和企業(yè)級軟件也未能幸免，7-Zip和WinRAR的零日漏洞在釣魚活動中被利用，以繞過安全防護并安裝惡意軟件。

利用7-zip零日漏洞的釣魚郵件樣本

多起事件涉及商業(yè)間諜軟件和執(zhí)法部門使用未披露漏洞解鎖移動設(shè)備。

1. 人工智能驅(qū)動型攻擊

2025年，人工智能（AI）成為攻擊者的得力工具，他們在入侵過程中依賴大型語言模型（LLMs），并利用其編寫和部署惡意軟件。

安全研究人員和廠商報告稱，越來越多的攻擊利用AI實現(xiàn)更快的漏洞利用、開發(fā)自適應(yīng)惡意軟件，并擴大攻擊規(guī)模。

谷歌警告稱，已在野外發(fā)現(xiàn)新型AI驅(qū)動惡意軟件家族，部分可根據(jù)受害者環(huán)境動態(tài)調(diào)整行為。影響數(shù)千個GitHub賬戶的S1ngularity攻擊表明，AI工具可被用于自動化偵察和憑證竊取。

概念驗證惡意軟件（如PromptLock勒索軟件）利用AI大型語言模型輔助加密、數(shù)據(jù)盜竊和攻擊實施。

除惡意軟件外，AI還被用于加速漏洞利用嘗試。HexStrike等工具可快速分析并利用已知漏洞，降低利用N日漏洞所需的時間和技術(shù)門檻。

威脅組織還發(fā)布專用大型語言模型，如WormGPT 4和KawaiiGPT，使網(wǎng)絡(luò)犯罪分子能夠不受限制和安全防護約束地開發(fā)AI驅(qū)動型惡意軟件。

截至2025年底，AI對攻擊者而言已不再是實驗性工具，而是加快惡意軟件開發(fā)、實現(xiàn)攻擊自動化、降低攻擊門檻的常規(guī)手段。

參考及來源：https://www.bleepingcomputer.com/news/security/the-biggest-cybersecurity-and-cyberattack-stories-of-2025/