IBM X-Force 2025 年威胁情报指数显示，基于身份的网络攻击在 2024 年占据了近三分之一的入侵事件，而通过电子邮件传播信息窃取器的行为激增了 84%。

　　报告指出，30% 的入侵涉及滥用有效凭证，这是有效登录与利用面向公众的应用程序作为初始访问主要途径的第二年。

　　信息窃取器的使用以及在暗网上出售被盗凭证，有助于此类基于身份的入侵，并且信息窃取器似乎正在取代持久后门，成为通过电子邮件网络钓鱼传播的最常见恶意软件载荷之一。

　　报告指出：“通过电子邮件在终端上部署持久恶意软件，更有可能被终端检测与响应（EDR）解决方案检测到，迫使威胁行为者调整策略，重点关注身份。” 这表现为信息窃取器的使用增加，并转向凭证网络钓鱼。

　　2024 年，在暗网论坛上的信息窃取器广告出现频率增加了 12%，其中最常被宣传的信息窃取器是 Lumma Stealer（也称为 LummaC2）。根据 IBM 的数据，2024 年通过虚假登录网站进行的凭证网络钓鱼也有所增加。

　　研究人员观察到去年电子邮件网络钓鱼和恶意软件策略发生了变化，恶意 URL 和 PDF 附件的使用增加，而 ZIP 和 RAR 附件分别减少了 70% 和 45%。PDF 是恶意电子邮件中最常见的附件文件，占恶意附件的 45% 以上。

　　攻击者倾向于使用加密或十六进制编码等混淆方法，将恶意 URL 隐藏在 PDF 中，或者将 URL 隐藏在压缩流中。这使得与直接作为附件或存档传递恶意软件相比，电子邮件扫描器更难检测到恶意内容。

　　面向公众的应用程序中的漏洞利用也占了 30% 的入侵事件，包括 26% 的关键基础设施攻击。在暗网上讨论最多的漏洞是 CVE-2024-21762，这是 Fortinet FortiOS 中的一个远程代码执行（RCE）漏洞。

　　IBM 称，前 10 大最受关注的漏洞都有公开的利用方法或在过去一年内被积极利用，其中 60% 的顶 级漏洞在披露后两周内就有了公开的利用方法。

　　为应对日益增长的身份威胁，IBM 建议将身份解决方案整合到统一的 “身份架构” 中，以避免身份解决方案彼此孤立，并建议优先为所有员工使用多因素认证（MFA）。

　　强大的数据保护措施，如加密和使用强大的访问控制，也可以防止凭证的盗窃和泄露，而人工智能驱动的威胁检测方法可以更有效地发现并快速响应基于凭证的攻击。