剣 KENSAI
← All posts · security · 2026-03-07 · 3 min

Google 零日漏洞报告 2025:90 个被利用的漏洞,企业攻击激增

Google Threat Intelligence Group 的年度零日漏洞分析揭示了 2025 年期间90 个在野被利用的漏洞——其中近半数针对企业安全产品、网络设备和云基础设施。间谍软件供应商和与中国相关的 APT 在归因中占主导地位。与此同时,一起影响 340 万患者的医疗数据泄露和新的无文件恶意软件活动表明,持续的漏洞扫描已不再是可选项。


📊 Google 2025 零日漏洞全景:关键数据

💡 GTIG 年度零日漏洞追踪

Google Threat Intelligence Group (GTIG) 每年追踪在野被利用的零日漏洞。2025 年报告是有记录以来最高的年份之一,确认90 个零日漏洞被利用——从 2024 年的 73 个增加,接近 2021 年 97 个的峰值。

向企业的转变

最重要的发现:90 个零日漏洞中约 45 个(50%)直接针对企业产品,而非消费者终端。这代表了与前几年的重大转变,此前浏览器和移动操作系统主导着零日漏洞利用格局。

类别 零日漏洞(2025) 百分比 与 2024 年对比趋势
企业安全产品 ~20 22% 🔺 大幅上升
网络/VPN 设备 ~15 17% 🔺 上升
云/SaaS 平台 ~10 11% 🔺 上升
移动 OS(iOS/Android) ~18 20% 🔻 下降
浏览器 ~12 13% 🔻 下降
桌面 OS ~15 17% ➡️ 稳定

归因:谁在利用零日漏洞?

90 个零日漏洞中不到一半能归因于特定的威胁行为者,但主要群体描绘了一幅清晰的画面:

⚠️ 2025 年主要零日漏洞利用者

1. 商业间谍软件供应商——NSO Group、Intellexa 和新进入者继续主导零日漏洞利用,约占已归因零日漏洞的 30%
2. 与中国相关的 APT 组织——多个中国国家支持的组织(Salt Typhoon、Volt Typhoon、APT41)利用以企业为重点的零日漏洞,针对网络设备和云平台。
3. 与俄罗斯相关的组织——主要利用 Microsoft 产品中的零日漏洞针对乌克兰和欧洲目标。
4. 朝鲜——日益精密化,针对加密货币平台和开发者工具。

企业产品为何成为首要目标

多个因素解释了向企业目标的转变:


🏥 TriZetto 医疗数据泄露:340 万患者信息暴露

⚠️ 大规模医疗数据暴露

TriZetto Provider Solutions(Cognizant 子公司)披露了一起影响 3,433,965 人的数据泄露事件。攻击者在近一年内——从 2024 年 11 月到 2025 年 10 月——保持了未授权访问。

泄露时间线

日期 事件
2024年11月19日 未授权访问开始
2025年10月2日 检测到可疑活动
2025年12月9日 通知受影响的供应商
2026年2月 开始通知客户
2026年3月6日 Maine 总检察长备案确认 340 万人受影响

暴露的数据类型

317 天的驻留时间(从初始访问到检测)尤其令人担忧,凸显了持续监控和自动化威胁检测的必要性。Cognizant 此前因 2020 年 Maze 勒索软件事件和通过其服务台发生的与 Scattered Spider 相关的泄露而受到审查。


🦠 VOID#GEIST:无文件多阶段恶意软件活动

⚠️ 高级无文件攻击链

Securonix 研究人员记录了 VOID#GEIST,这是一个复杂的多阶段恶意软件活动,通过无文件执行技术投递 XWorm、AsyncRAT 和 Xeno RAT。

攻击链分析

  1. 初始访问——通过网络钓鱼邮件从 TryCloudflare 域获取批处理脚本
  2. 诱饵展示——Chrome 以全屏方式打开虚假的财务 PDF 作为视觉干扰
  3. 隐藏执行——PowerShell 使用 -WindowStyle Hidden 重新执行批处理脚本
  4. 持久化——放置在启动目录中(无注册表修改,无权限提升)
  5. 载荷获取——下载包含加密 shellcode 和 Python 加载器的 ZIP 压缩包
  6. 内存执行——Python 运行时通过 Early Bird APC 注入将 shellcode 解密并注入 explorer.exe

💡 为什么这很重要

VOID#GEIST 活动代表了行业从独立可执行文件向模块化、基于脚本的投递框架的更广泛转变。每个阶段单独来看都显得无害,模仿合法的管理活动。使用来自 python.org 的合法嵌入式 Python 运行时消除了依赖项,并规避了应用程序白名单。

投递的载荷

RAT 功能 加密文件
XWorm 完全远程访问、键盘记录、屏幕捕获、持久化 new.bin
AsyncRAT 异步 C2 通信、插件可扩展性、凭据窃取 pul.bin
Xeno RAT 开源 RAT,具备 HVNC、麦克风/摄像头访问功能 xn.bin

🌐 Cisco SD-WAN 和 Rockwell ICS:更多活跃利用

Cisco Catalyst SD-WAN

Cisco 已确认两个最近修补的 Catalyst SD-WAN 漏洞——CVE-2026-20128CVE-2026-20122——现正在野外被积极利用。运行受影响 SD-WAN 配置的组织应立即应用补丁或实施建议的变通方案。

Rockwell Automation ICS 漏洞

一个最初在 2021 年披露并缓解的 Rockwell Automation 漏洞已被确认在针对工业控制系统的攻击中被积极利用。这凸显了 OT/ICS 环境中一个持久的挑战:即使补丁存在,由于运营限制和停机顾虑,往往也不会被应用。

⚠️ ICS/OT 风险

如果您的组织运行 Rockwell 可编程逻辑控制器(PLC),请立即验证补丁状态。远程利用 ICS 系统可能导致物理过程操控、安全系统绕过和运营中断。


🔒 LeakBase 论坛被关闭——142,000 用户

在一个积极的进展中,LeakBase 网络犯罪论坛已被执法部门关闭,嫌疑人已被逮捕。这个被盗凭据交易市场自 2021 年以来一直活跃,拥有 142,000 名注册用户,交易泄露的凭据、个人数据和泄露数据库。

虽然打击行动提供了临时性的干扰,但历史表明,被迫迁移的用户通常会在几周内转移到替代论坛。组织应利用这个窗口期:


🛡️ 建议措施

面向企业安全团队

  1. 优先修补企业产品——VPN 设备、防火墙和安全产品现在是主要的零日漏洞目标
  2. 部署持续自动化扫描——手动漏洞评估无法跟上每年 90+ 个零日漏洞的节奏
  3. 监控无文件执行模式——关注 PowerShell 隐藏窗口、Python 运行时下载和 APC 注入特征
  4. 减少驻留时间——TriZetto 泄露事件 317 天的驻留时间展示了延迟检测的代价
  5. 修补 ICS/OT 系统——Rockwell 和类似系统中的旧漏洞在披露数年后仍在被积极利用

面向医疗组织

  1. 审计 Web 门户安全——TriZetto 的泄露源自处理保险资格数据的 Web 门户
  2. 实施网络分段——限制任何单一入侵的影响范围
  3. 部署行为分析——检测未授权访问模式,尤其是包含 PHI 的数据库
  4. 审查第三方供应商安全——您供应商的安全态势就是您的安全态势