近年来,随着全球数字化和信息化进程的加速,企业的网络安全风险不断上升。2025年,谷歌发布的威胁情报报告中警告称,自三月份以来,一个疑似与中国有关联的黑客团伙在众多企业网络中潜伏,进行持续性的信息窃取和渗透行动。该团伙主要通过利用零日漏洞与后门技术,深入入侵法律服务、软件即服务(SaaS)、业务流程外包(BPO)以及科技等多个行业的网络系统。谷歌对此次行动的细节进行了详细披露,揭示了这场代号为UNC5221的攻击行动背后的复杂面貌,反映出当前网络安全环境的高度危险性和挑战。谷歌威胁情报团队指出,攻击者多年来积累了相当高的技术水平,他们利用漏洞入侵常规安全设备难以防护的网络边缘设备,从而在目标网络中隐匿长达393天之久而不被察觉。令人关注的是,这些后门程序,尤其是被称为BRICKSTORM的恶意软件,能够绕过传统的端点检测和响应(EDR)工具,使得受害企业的安全监控体系难以发出警报,导致攻击难以早期发现与遏制。
BRICKSTORM的一个显著特征是内置SOCKS代理功能,使攻击者能够通过受感染设备直接连接并远程访问企业内部系统和应用,极大提升了攻击的隐蔽性和持久性。针对这些特点,谷歌旗下的Mandiant安全团队及时发布了免费的扫描工具,帮助企业在非传统安全保护的系统上识别是否存在BRICKSTORM活动。该工具对Linux和BSD等多种平台设备有效,解决了此前安全团队无法轻易监测这些关键边缘设备潜伏风险的难题。此次攻击活动的复杂度不仅体现在攻击手法,还包括针对目标的多重选择。报告中提及,黑客团伙习惯性攻击VMware vCenter和ESXi虚拟化平台,获取合法凭证后横向移动,进一步深化对目标网络的控制。在至少一起案例中,攻击者甚至在受害企业展开应急响应调查期间,修改后门策略延时启动,证实了其持续监控及快速调整战术以维持长期存在的能力。
除技术层面,攻击者还瞄准关键人物的邮件账户,借助微软Entra ID的企业应用权限实施邮箱全面读取,窃取涉及经济及情报利益相关的信息资料。该举措揭示了攻击团队不仅技术成熟,也充分了解目标组织内部结构与信息价值,配合网络渗透手段,实现数据的高效窃取。值得注意的是,攻击团队在行动中不断创新并多样化其恶意软件。BRICKSTORM的多个变种通过代码混淆技术Garble和最新的自定义库进一步加固,甚至植入延时功能,伪装程度令传统的基于特征码的检测方法几乎失效。此外,Mandiant在监测过程中未发现该团伙重复使用C2指挥服务器或恶意样本,这也让基于指示物的威胁检测陷入困境,推动安全防护向行为和战术技术流程(TTP)检测转变。此次网络攻击事件暴露出企业及安全生态对边缘设备安全防护的薄弱环节。
相较于常规终端和服务器,网络硬件、VPN设备以及Web管理接口等边缘组件常未集成先进的检测手段,成为黑客优先利用的突破点。事件中被频繁利用的Ivanti Connect Secure设备的零日漏洞频发,成为中方黑客持续发力的重点。谷歌与Mandiant均指出,Ivanti产品三年来屡遭零日攻击,不断被专家们视为网络安全"高危地带",企业亟须高度警惕。应对此类隐蔽攻击,专家建议企业应全面梳理资产,尤其是不常包含在安全监控体系中的网络边缘设备和系统。通过建立完整的设备和管理IP清单,结合日志分析,追踪异常的网络行为,包括设备异常连接互联网、不明凭证访问、针对核心虚拟化平台的敏感操作等信号,是发现潜藏威胁的关键。利用谷歌和Mandiant提供的检测工具及策略,辅以威胁情报的动态更新,安全团队可以更有效地监测和响应潜伏在网络深处的隐秘攻击。
网络安全专家还强调了技术之外的人为因素防护。对涉密的关键人员邮箱需加强权限和访问管理,启用最小权限原则、双因素身份验证及异常登录监控,妥善防止邮箱被恶意应用滥用,成为确保整体安全态势的重要环节。综上,自2025年三月以来谷歌揭露的中国关联间谍团伙潜伏众多企业网络的事实,不仅反映出现代网络攻击在技术和策略上的多样化和隐蔽化,也体现出全球网络安全防护体系面临的严重挑战。各行业企业必须全面提升边缘设备的安全防御能力,加强安全监测装备升级、资产清单管理和威胁猎捕能力,结合持续的安全培训和策略调整,筑牢网络安全防线,才能有效遏制这类高级持续威胁(APT)的威胁扩散。面对不断演进的网络攻击形态,全球企业唯有积累经验、借助先进工具、同步国际威胁情报,方能最大化降低潜在损失,实现信息资产和业务的持续安全保障。 。
