根據卡巴斯基工業控制系統網路緊急應變小組(ICS CERT)發表的 2025 第一季《工業自動化系統威脅情勢》報告指出,當前 ICS 工控系統面臨三大主要安全威脅,其中以來自網路的威脅最為嚴重,其次是電子郵件與可攜式儲存裝置。
研究結果顯示,2025 年第一季全球有 21.9% 的 ICS 電腦曾遭到駭客封鎖式惡意攻擊活動,儘管企業持續加碼網安投資,但這個數字仍然保持不變。區域上的差異更描繪出一幅令人擔憂的畫面,非洲受影響的系統比例最高,達 29.6%,東南亞緊隨其後(29.1%),北歐的比例(10.7%)最低。這些數字的差異突顯了各區域在資安成熟度與基礎設施防護方面的重大落差。
卡巴斯基分析師指出,網際網路威脅主要以限制存取的網站資源、惡意腳本、釣魚頁面、網路挖礦工具與間諜軟體的形式出現,以便在 ICS 電腦對外連線時,利用系統漏洞加以入侵。此外,攻擊者的手法也日益複雜,他們會利用分布在遭刼持網站上的 C&C 主控基礎設施以及內容遞送網路(CDN)來散播惡意封包負載。
在所監測的系統中,尤以非洲遭遇了最集中的網際網路攻擊,比例高達 12.76%,其次是東南亞(12.32%),南亞占了 10.83% 。俄羅斯在本季度的網路威脅增幅最大,成長了 1.29 個百分點;中亞則增加了 1.04 個百分點。
駭客先以 JavaScript 偵察工具蒐集系統資訊,再下載植入惡意封包負載
技術分析顯示,網路犯罪者會利用遭入侵的合法網站與 CDN,來規避傳統的資安防線。這些攻擊通常會誘使員工造訪看似無害的web資源,但這些網站早已被植入惡意腳本,以便能蒐集不同工業系統的基本資料,並建立持久的存取管道。
惡意程式的部署過程通常採用多階段感染手法,初期透過以 JavaScript 為基礎的偵察工具來蒐集系統資訊,後續再下載惡意封包負載。攻擊者還會鎖定過時的內容管理系統(CMS),研究人員就曾觀察到新一波的攻擊,專門鎖定使用過時 ASPRO 模板(適用於 Bitrix CMS 平台)打造的網站。這些遭入侵的網站最終淪為攻擊待命區,以便將基於瀏覽器的惡意軟體或惡意可執行檔散布至工業環境裡。
該報告並揭露當前攻擊鏈有愈來愈常使用無檔案執行(fileless execution)技術的趨勢,攻擊者常將 PowerShell 指令碼嵌入至表面上合法的檔案捷徑中,以便直接在系統記憶體裡執行惡意加密貨幣挖礦程式碼。此手法有助於攻擊者躲避以特徵碼為基礎的傳統偵測機制,並在通常缺乏全面端點監控能力的工業網路中維持潛伏狀態。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
