SaaS安全大考：黑客“全明星”盘点与2025年备战指南

2024年，全明星针对SaaS的安全网络威胁激增
，仅在Entra ID中 ，大考每秒阻止的黑客密码攻击频次就高达7000次 ，比前一年增加了75%
，盘点钓鱼攻击尝试增加了58%
 ，年备南造成了35亿美元的全明星损失（来源：Microsoft Digital Defense Report 2024） 。黑客通常通过合法使用模式来规避检测。安全

进入2025年，大考安全团队必须优先考虑SaaS安全风险评估以发现漏洞 ，黑客并采用SSPM工具持续监控 ，盘点主动进行系统防御
。年备南

以下是全明星2025年需要重点关注的源码库SaaS威胁行为者：

1. ShinyHunters

攻击风格：精准射击（网络犯罪组织）

最大受害者 ：Snowflake 、Ticketmaster 和 Authy

“爆炸性”事件 ：利用一处配置错误，安全攻破了165多家组织。大考

2024年ShinyHunters以无情的SaaS漏洞攻击席卷了整个网络世界 ，泄露了包括Authy和Ticketmaster在内的多个平台的敏感数据。他们的攻击并非利用供应商的漏洞，而是抓住了 Snowflake客户忽视的一处配置错误 。这些用户并未启用多因素认证（MFA）或妥善保护其SaaS环境
，因此
，云计算ShinyHunters能够轻松渗透 、窃取数据并勒索这些Snowflake用户。

SaaS安全启示：Snowflake事件暴露了客户端的重大安全疏忽，而非供应商的失误。

企业未能强制执行MFA 、定期轮换凭证或实施允许列表，导致系统容易遭受未经授权的访问 。

2. ALPHV（BlackCat）

攻击风格：战略操控（勒索软件即服务 ，RaaS）

最大受害者：Change Healthcare 、Prudential（医疗保健与金融领域）

“爆炸性”事件 ： 与RansomHub的2200万美元退出骗局 。

ALPHV，又名BlackCat ，亿华云在2024年上演了年度最大胆的操作之一 。在通过窃取的凭证从 Change Healthcare勒索了2200万美元后 ，他们竟然伪造了FBI查封的页面 ，以误导执法机构和合作伙伴。更戏剧的是 ，作为合作伙伴的RansomHub公开指控ALPHV独吞赎金并让他们空手而归  ，甚至分享了一笔比特币交易作为证据 。尽管遭到背叛 ，RansomHub仍公布了被盗数据 ，导致Change Healthcare既支付了赎金又失去了数据。免费模板

SaaS安全启示：通过暗网监控追踪凭证泄露，并强制执行单点登录（SSO）以简化身份验证流程 ，降低凭证风险
。

跟踪身份验证活动，尽早检测到被泄露的凭证，并应用账户暂停策略以防止暴力破解攻击 。

3. RansomHub

攻击风格 ：机会主义攻击（勒索软件即服务，RaaS）

最大受害者： Frontier Communications （电信与基础设施领域）

“爆炸性”事件：卷入ALPHV 的2200万美元骗局风波。

2024 年初，RansomHub从Knight Ransomware的废墟中崛起 ，成为最活跃的勒索软件团伙之一。他们以机会主义策略而闻名，服务器租用因与 ALPHV（BlackCat）的合作登上头条。他们在Change Healthcare事件中的角色影响了超过1亿美国公民 ，突显了他们利用SaaS漏洞（包括配置错误、弱身份验证和第三方集成）的能力 ，并最大限度地扩大了自己的影响范围和影响力
。

SaaS安全启示：警惕利用窃取的个人信息进行的钓鱼攻击 ，这些攻击更具欺骗性 。

实施身份威胁检测工具 ，监控账户劫持迹象和用户活动异常
，以便及时识别并响应潜在的香港云服务器数据泄露
。

4. LockBit

攻击风格：持续进攻（勒索软件即服务
 ，RaaS）

最大受害者
： Evolve Bank&Trust的供应链效应（金融科技领域）

“爆炸性”事件 ：FBI的“Cronos 行动”未能彻底将其消灭 。

尽管 FBI 和NCA（英国国家犯罪局）不断努力摧毁其基础设施，LockBit 在勒索软件的“赛场”上仍然占据主导地位。针对Evolve Bank&Trust等金融科技公司的高调行动 ，以及对Affirm和Wise等更多公司的供应链影响，巩固了LockBit作为SaaS攻击联盟中最稳定进攻者的地位。

SaaS安全启示  ：优先进行第三方供应商风险评估 ，并保持对 SaaS 应用连接的可视性 ，以便尽早发现潜在的利用路径 。

使用具备威胁检测、 UEBA（用户和实体行为分析）以及异常检测功能的活动监控工具，实时发现可疑行为。

5. Midnight Blizzard（APT29）

攻击风格  ：防御性渗透（高级持续性威胁
，APT）

最大受害者
： TeamViewer （远程访问工具）

“爆炸性”事件
：突破防线，开展无声间谍活动 。

这个组织得到了俄罗斯国家资源的支持，专门攻击关键系统 ，2024年TeamViewer 成为其突出目标
 。这个组织并不张扬——不会留下勒索信或在暗网论坛上吹嘘。相反，他们悄无声息地窃取敏感数据，留下的数字足迹微乎其微，几乎无法追踪
。与勒索软件团伙不同，像Midnight Blizzard这样的国家支持组织专注于网络间谍活动 ，低调地收集情报而不触发任何警报 。

SaaS 安全启示 ：对关键 SaaS 应用的入侵保持警惕 ，这些应用往往是国家级行为者的目标。定期进行配置审计以降低风险，并确保实施多因素认证（MFA）等安全访问控制措施。

主动审计有助于最小化入侵影响并限制利用路径。

第六人 ：值得关注的其他团体

Hellcat：一个在2024年底崭露头角的勒索软件团伙，已确认对施耐德电气（Schneider Electric）发起攻击。他们的迅速崛起和初期成功预示着2025年可能会采取更激进的策略。

Scattered Spider：这个混合型社交工程团伙曾是网络犯罪领域的主要参与者 ，在遭到逮捕和法律打击后暂时沉寂
。尽管他们的活动有所减少，但专家警告称，现在断言他们出局还为时过早。

这两个团体都值得关注——一个是因为其发展势头，另一个是因为其声誉和潜在东山再起的可能性。

2025年的关键要点错误配置仍是主要目标：威胁行为者继续利用被忽视的SaaS错误配置
，获取关键系统和敏感数据的访问权限。定期审计 、强制MFA和凭证轮换是必不可少的防御措施。身份基础设施遭受攻击：攻击者利用窃取的凭证 、 API操作和隐蔽的数据外泄绕过防御
。监控凭证泄露
、实施强MFA  、异常检测和身份监控是防止入侵的关键。影子IT和供应链成为切入点 ：未经授权的SaaS应用和应用间集成会产生隐藏的漏洞。持续监控、主动监督和自动化修复对于降低风险至关重要。

多层SaaS安全解决方案的基础始于自动化的持续风险评估 ，并将持续监控工具集成到安全管理中 。

这并非他们的最后一舞，安全团队必须时刻保持高度警惕，为迎接新的一年做好准备，继续抵御全球最活跃的威胁行为者
。

而不是等待下一次的入侵。

参考链接：https://thehackernews.com/2025/01/from-22m-in-ransom-to-100m-stolen.html