黑客利用11,600多个恶意软件系列攻击工业自动化系统

全球工业自动化系统正面临前所未有的网络威胁，安全研究人员在 2025 年第一季度检测到了多达 11,679 个针对关键基础设施的不同恶意软件家族。

一份全面的威胁形势报告披露了这一令人震惊的数字，凸显了针对各个行业工业控制系统 (ICS) 的攻击的复杂性和多样性，在此期间，约有 21.9% 的受监控工业计算机遭遇了恶意活动的阻止。

在工业领域中，生物识别技术实施尤其容易受到攻击，成为攻击目标的系统比例最高，并且是唯一一个与上一季度相比攻击尝试次数有所增加的行业。

这一趋势表明攻击者越来越关注工业环境中的新技术集成。

Securelist 的研究人员发现了一种针对工业目标的复杂多阶段攻击方法，其中初始攻击通常利用基于互联网的威胁，包括恶意脚本、网络钓鱼页面和受感染的网站。

这些初始感染媒介随后会传递更危险的有效载荷，包括间谍软件、勒索软件和加密矿工，在工业网络内建立持久访问，并可能允许横向移动到更敏感的系统。

互联网仍然是主要的攻击媒介，研究人员注意到，包括内容分发网络 (CDN)、云存储服务和消息应用程序在内的合法平台被大量利用来传播恶意代码。

由于攻击者利用受信任的域来托管和传播恶意软件，这种策略使得传统的基于信誉的安全措施变得不那么有效。

基于电子邮件的威胁也呈现出令人担忧的增长态势，恶意文档数量与上一季度相比增加了 1.1 倍。

调查显示，2025 年第一季度攻击者的方法发生了有趣的变化，其中网络矿工的比例增长最为显著，与上一季度相比增长了 1.4 倍。

这表明，出于经济动机的威胁行为者越来越多地劫持工业计算资源用于加密货币挖掘操作，这可能会导致关键制造环境中的运营中断、能源成本增加和系统性能下降。

从最初的入侵到网络渗透

在这些攻击中观察到的主要感染机制遵循精心策划的序列，旨在逃避检测，同时最大限度地提高持久性。

初始访问通常始于用户通过有针对性的网络钓鱼活动访问受感染的网站，攻击者越来越多地使用合法的互联网服务来绕过安全控制。

在分析攻击链时，研究人员发现威胁行为者经常部署恶意脚本，这些脚本充当更复杂的恶意软件的投放器或加载器。

一个特别令人担忧的趋势是恶意脚本/网络钓鱼页面与随后的间谍软件感染之间存在很强的相关性，这种相关性在 2025 年前三个月达到了比 2024 年同期更高的水平。这种联系表明攻击渠道已经完善，最初的攻击很快就会引发数据盗窃能力。

攻击者在网络穿越过程中经常重复相同的策略、技术和程序 (TTP)，尤其是利用恶意脚本和已建立的命令和控制 (C2) 通道在工业网络内横向移动。

安全专家建议工业组织实施基于策略的阻止潜在易受攻击的服务，特别是在很少需要此类服务的运营技术 (OT) 网络中。

此外，应特别注意可移动媒体、网络文件夹和受感染的备份文件，因为这些仍然是试图通过工业网络传播的蠕虫和病毒的常见载体。

随着这些威胁的不断演变，全面的安全监控和细分已成为工业网络安全战略的重要组成部分。