SaaS安全大考：黑客“全明星”盘点与2025年备战指南

2024年，全明星针对SaaS的安全网络威胁激增
，仅在Entra ID中，大考每秒阻止的黑客密码攻击频次就高达7000次 ，比前一年增加了75% ，盘点钓鱼攻击尝试增加了58%，年备南造成了35亿美元的全明星损失（来源：Microsoft Digital Defense Report 2024）。黑客通常通过合法使用模式来规避检测
。安全

进入2025年，大考安全团队必须优先考虑SaaS安全风险评估以发现漏洞 ，黑客并采用SSPM工具持续监控，盘点主动进行系统防御。年备南

以下是全明星2025年需要重点关注的源码下载SaaS威胁行为者：

1. ShinyHunters

攻击风格：精准射击（网络犯罪组织）

最大受害者：Snowflake
、Ticketmaster 和 Authy

“爆炸性”事件：利用一处配置错误，安全攻破了165多家组织。大考

2024年ShinyHunters以无情的SaaS漏洞攻击席卷了整个网络世界 ，泄露了包括Authy和Ticketmaster在内的多个平台的敏感数据。他们的攻击并非利用供应商的漏洞，而是抓住了 Snowflake客户忽视的一处配置错误。这些用户并未启用多因素认证（MFA）或妥善保护其SaaS环境，因此 ，亿华云ShinyHunters能够轻松渗透、窃取数据并勒索这些Snowflake用户
。

SaaS安全启示 ：Snowflake事件暴露了客户端的重大安全疏忽，而非供应商的失误
。

企业未能强制执行MFA 、定期轮换凭证或实施允许列表，导致系统容易遭受未经授权的访问。

2. ALPHV（BlackCat）

攻击风格：战略操控（勒索软件即服务 ，RaaS）

最大受害者：Change Healthcare 、Prudential（医疗保健与金融领域）

“爆炸性”事件
： 与RansomHub的2200万美元退出骗局 。

ALPHV
，又名BlackCat，云计算在2024年上演了年度最大胆的操作之一。在通过窃取的凭证从 Change Healthcare勒索了2200万美元后 ，他们竟然伪造了FBI查封的页面 
，以误导执法机构和合作伙伴。更戏剧的是，作为合作伙伴的RansomHub公开指控ALPHV独吞赎金并让他们空手而归，甚至分享了一笔比特币交易作为证据
。尽管遭到背叛，RansomHub仍公布了被盗数据，导致Change Healthcare既支付了赎金又失去了数据 。高防服务器

SaaS安全启示 ：通过暗网监控追踪凭证泄露，并强制执行单点登录（SSO）以简化身份验证流程，降低凭证风险。

跟踪身份验证活动 ，尽早检测到被泄露的凭证 ，并应用账户暂停策略以防止暴力破解攻击。

3. RansomHub

攻击风格：机会主义攻击（勒索软件即服务，RaaS）

最大受害者 ： Frontier Communications （电信与基础设施领域）

“爆炸性”事件：卷入ALPHV 的2200万美元骗局风波。

2024 年初 ，RansomHub从Knight Ransomware的废墟中崛起，成为最活跃的勒索软件团伙之一 。他们以机会主义策略而闻名，建站模板因与 ALPHV（BlackCat）的合作登上头条。他们在Change Healthcare事件中的角色影响了超过1亿美国公民 ，突显了他们利用SaaS漏洞（包括配置错误、弱身份验证和第三方集成）的能力，并最大限度地扩大了自己的影响范围和影响力
。

SaaS安全启示
：警惕利用窃取的个人信息进行的钓鱼攻击 ，这些攻击更具欺骗性 。

实施身份威胁检测工具 ，监控账户劫持迹象和用户活动异常
，以便及时识别并响应潜在的免费模板数据泄露
。

4. LockBit

攻击风格：持续进攻（勒索软件即服务  ，RaaS）

最大受害者： Evolve Bank&Trust的供应链效应（金融科技领域）

“爆炸性”事件  ：FBI的“Cronos 行动”未能彻底将其消灭 。

尽管 FBI 和NCA（英国国家犯罪局）不断努力摧毁其基础设施，LockBit 在勒索软件的“赛场”上仍然占据主导地位。针对Evolve Bank&Trust等金融科技公司的高调行动，以及对Affirm和Wise等更多公司的供应链影响，巩固了LockBit作为SaaS攻击联盟中最稳定进攻者的地位。

SaaS安全启示：优先进行第三方供应商风险评估，并保持对 SaaS 应用连接的可视性，以便尽早发现潜在的利用路径。

使用具备威胁检测、 UEBA（用户和实体行为分析）以及异常检测功能的活动监控工具，实时发现可疑行为。

5. Midnight Blizzard（APT29）

攻击风格：防御性渗透（高级持续性威胁，APT）

最大受害者 ： TeamViewer （远程访问工具）

“爆炸性”事件
：突破防线 ，开展无声间谍活动 。

这个组织得到了俄罗斯国家资源的支持
，专门攻击关键系统，2024年TeamViewer 成为其突出目标 。这个组织并不张扬——不会留下勒索信或在暗网论坛上吹嘘。相反，他们悄无声息地窃取敏感数据，留下的数字足迹微乎其微，几乎无法追踪。与勒索软件团伙不同，像Midnight Blizzard这样的国家支持组织专注于网络间谍活动 ，低调地收集情报而不触发任何警报
。

SaaS 安全启示 ：对关键 SaaS 应用的入侵保持警惕，这些应用往往是国家级行为者的目标 。定期进行配置审计以降低风险 ，并确保实施多因素认证（MFA）等安全访问控制措施 。

主动审计有助于最小化入侵影响并限制利用路径。

第六人
：值得关注的其他团体

Hellcat：一个在2024年底崭露头角的勒索软件团伙，已确认对施耐德电气（Schneider Electric）发起攻击
。他们的迅速崛起和初期成功预示着2025年可能会采取更激进的策略。

Scattered Spider ：这个混合型社交工程团伙曾是网络犯罪领域的主要参与者，在遭到逮捕和法律打击后暂时沉寂。尽管他们的活动有所减少，但专家警告称 ，现在断言他们出局还为时过早
。

这两个团体都值得关注——一个是因为其发展势头
，另一个是因为其声誉和潜在东山再起的可能性
。

2025年的关键要点错误配置仍是主要目标：威胁行为者继续利用被忽视的SaaS错误配置 ，获取关键系统和敏感数据的访问权限。定期审计、强制MFA和凭证轮换是必不可少的防御措施。身份基础设施遭受攻击 ：攻击者利用窃取的凭证
、 API操作和隐蔽的数据外泄绕过防御。监控凭证泄露、实施强MFA  、异常检测和身份监控是防止入侵的关键
。影子IT和供应链成为切入点：未经授权的SaaS应用和应用间集成会产生隐藏的漏洞。持续监控、主动监督和自动化修复对于降低风险至关重要。

多层SaaS安全解决方案的基础始于自动化的持续风险评估，并将持续监控工具集成到安全管理中。

这并非他们的最后一舞，安全团队必须时刻保持高度警惕  ，为迎接新的一年做好准备
，继续抵御全球最活跃的威胁行为者 。

而不是等待下一次的入侵。

参考链接 ：https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html