Google 零日漏洞报告 2025:90 个被利用的漏洞,企业攻击激增
Google Threat Intelligence Group 的年度零日漏洞分析揭示了 2025 年期间90 个在野被利用的漏洞——其中近半数针对企业安全产品、网络设备和云基础设施。间谍软件供应商和与中国相关的 APT 在归因中占主导地位。与此同时,一起影响 340 万患者的医疗数据泄露和新的无文件恶意软件活动表明,持续的漏洞扫描已不再是可选项。
📊 Google 2025 零日漏洞全景:关键数据
💡 GTIG 年度零日漏洞追踪
Google Threat Intelligence Group (GTIG) 每年追踪在野被利用的零日漏洞。2025 年报告是有记录以来最高的年份之一,确认90 个零日漏洞被利用——从 2024 年的 73 个增加,接近 2021 年 97 个的峰值。
向企业的转变
最重要的发现:90 个零日漏洞中约 45 个(50%)直接针对企业产品,而非消费者终端。这代表了与前几年的重大转变,此前浏览器和移动操作系统主导着零日漏洞利用格局。
| 类别 | 零日漏洞(2025) | 百分比 | 与 2024 年对比趋势 |
|---|---|---|---|
| 企业安全产品 | ~20 | 22% | 🔺 大幅上升 |
| 网络/VPN 设备 | ~15 | 17% | 🔺 上升 |
| 云/SaaS 平台 | ~10 | 11% | 🔺 上升 |
| 移动 OS(iOS/Android) | ~18 | 20% | 🔻 下降 |
| 浏览器 | ~12 | 13% | 🔻 下降 |
| 桌面 OS | ~15 | 17% | ➡️ 稳定 |
归因:谁在利用零日漏洞?
90 个零日漏洞中不到一半能归因于特定的威胁行为者,但主要群体描绘了一幅清晰的画面:
⚠️ 2025 年主要零日漏洞利用者
1. 商业间谍软件供应商——NSO Group、Intellexa 和新进入者继续主导零日漏洞利用,约占已归因零日漏洞的 30%。
2. 与中国相关的 APT 组织——多个中国国家支持的组织(Salt Typhoon、Volt Typhoon、APT41)利用以企业为重点的零日漏洞,针对网络设备和云平台。
3. 与俄罗斯相关的组织——主要利用 Microsoft 产品中的零日漏洞针对乌克兰和欧洲目标。
4. 朝鲜——日益精密化,针对加密货币平台和开发者工具。
企业产品为何成为首要目标
多个因素解释了向企业目标的转变:
- 每个漏洞更高的投资回报率——单个 VPN 设备漏洞即可提供对整个企业网络的访问
- 有限的 EDR 可见性——许多企业设备缺乏终端检测和响应代理
- 缓慢的补丁周期——企业产品的补丁部署通常需要数周到数月
- 信任假设——安全产品本身被隐式信任,使得利用后果极为严重
- 供应链杠杆——入侵一个企业供应商可以获得对数千下游客户的访问权限
🏥 TriZetto 医疗数据泄露:340 万患者信息暴露
⚠️ 大规模医疗数据暴露
TriZetto Provider Solutions(Cognizant 子公司)披露了一起影响 3,433,965 人的数据泄露事件。攻击者在近一年内——从 2024 年 11 月到 2025 年 10 月——保持了未授权访问。
泄露时间线
| 日期 | 事件 |
|---|---|
| 2024年11月19日 | 未授权访问开始 |
| 2025年10月2日 | 检测到可疑活动 |
| 2025年12月9日 | 通知受影响的供应商 |
| 2026年2月 | 开始通知客户 |
| 2026年3月6日 | Maine 总检察长备案确认 340 万人受影响 |
暴露的数据类型
- 个人身份信息——全名、地址、出生日期、社会保障号码
- 医疗记录——Medicare 受益人 ID、保险会员号码、供应商名称
- 保险数据——健康保险公司名称、资格验证记录
- 人口统计信息——额外的人口统计和健康信息
317 天的驻留时间(从初始访问到检测)尤其令人担忧,凸显了持续监控和自动化威胁检测的必要性。Cognizant 此前因 2020 年 Maze 勒索软件事件和通过其服务台发生的与 Scattered Spider 相关的泄露而受到审查。
🦠 VOID#GEIST:无文件多阶段恶意软件活动
⚠️ 高级无文件攻击链
Securonix 研究人员记录了 VOID#GEIST,这是一个复杂的多阶段恶意软件活动,通过无文件执行技术投递 XWorm、AsyncRAT 和 Xeno RAT。
攻击链分析
- 初始访问——通过网络钓鱼邮件从 TryCloudflare 域获取批处理脚本
- 诱饵展示——Chrome 以全屏方式打开虚假的财务 PDF 作为视觉干扰
- 隐藏执行——PowerShell 使用
-WindowStyle Hidden重新执行批处理脚本 - 持久化——放置在启动目录中(无注册表修改,无权限提升)
- 载荷获取——下载包含加密 shellcode 和 Python 加载器的 ZIP 压缩包
- 内存执行——Python 运行时通过 Early Bird APC 注入将 shellcode 解密并注入
explorer.exe
💡 为什么这很重要
VOID#GEIST 活动代表了行业从独立可执行文件向模块化、基于脚本的投递框架的更广泛转变。每个阶段单独来看都显得无害,模仿合法的管理活动。使用来自 python.org 的合法嵌入式 Python 运行时消除了依赖项,并规避了应用程序白名单。
投递的载荷
| RAT | 功能 | 加密文件 |
|---|---|---|
| XWorm | 完全远程访问、键盘记录、屏幕捕获、持久化 | new.bin |
| AsyncRAT | 异步 C2 通信、插件可扩展性、凭据窃取 | pul.bin |
| Xeno RAT | 开源 RAT,具备 HVNC、麦克风/摄像头访问功能 | xn.bin |
🌐 Cisco SD-WAN 和 Rockwell ICS:更多活跃利用
Cisco Catalyst SD-WAN
Cisco 已确认两个最近修补的 Catalyst SD-WAN 漏洞——CVE-2026-20128 和 CVE-2026-20122——现正在野外被积极利用。运行受影响 SD-WAN 配置的组织应立即应用补丁或实施建议的变通方案。
Rockwell Automation ICS 漏洞
一个最初在 2021 年披露并缓解的 Rockwell Automation 漏洞已被确认在针对工业控制系统的攻击中被积极利用。这凸显了 OT/ICS 环境中一个持久的挑战:即使补丁存在,由于运营限制和停机顾虑,往往也不会被应用。
⚠️ ICS/OT 风险
如果您的组织运行 Rockwell 可编程逻辑控制器(PLC),请立即验证补丁状态。远程利用 ICS 系统可能导致物理过程操控、安全系统绕过和运营中断。
🔒 LeakBase 论坛被关闭——142,000 用户
在一个积极的进展中,LeakBase 网络犯罪论坛已被执法部门关闭,嫌疑人已被逮捕。这个被盗凭据交易市场自 2021 年以来一直活跃,拥有 142,000 名注册用户,交易泄露的凭据、个人数据和泄露数据库。
虽然打击行动提供了临时性的干扰,但历史表明,被迫迁移的用户通常会在几周内转移到替代论坛。组织应利用这个窗口期:
- 检查其凭据是否出现在已知的泄露数据库中
- 强制重置任何已泄露账户的密码
- 在所有关键系统上启用多因素认证(MFA)
🛡️ 建议措施
面向企业安全团队
- 优先修补企业产品——VPN 设备、防火墙和安全产品现在是主要的零日漏洞目标
- 部署持续自动化扫描——手动漏洞评估无法跟上每年 90+ 个零日漏洞的节奏
- 监控无文件执行模式——关注 PowerShell 隐藏窗口、Python 运行时下载和 APC 注入特征
- 减少驻留时间——TriZetto 泄露事件 317 天的驻留时间展示了延迟检测的代价
- 修补 ICS/OT 系统——Rockwell 和类似系统中的旧漏洞在披露数年后仍在被积极利用
面向医疗组织
- 审计 Web 门户安全——TriZetto 的泄露源自处理保险资格数据的 Web 门户
- 实施网络分段——限制任何单一入侵的影响范围
- 部署行为分析——检测未授权访问模式,尤其是包含 PHI 的数据库
- 审查第三方供应商安全——您供应商的安全态势就是您的安全态势