网络威胁者为何瞄准越南?
地缘政治紧张局势和地区影响
越南在南海争端中的作用以及与美国、日本和东盟国家的战略联盟使其成为国家支持的网络间谍活动的主要目标,特别是来自寻求国防、政府政策和关键基础设施情报的中APT 组织。
经济增长与工业间谍活动
作为东南亚增长最快的经济体之一,越南的制造业、能源和金融行业是知识产权盗窃和网络工业间谍活动的主要目标,朝鲜和俄罗斯的 APT 组织积极瞄准其技术和电信行业。
扩大数字和金融基础设施
越南的快速数字化转型和金融科技增长吸引了勒索软件运营商、金融欺诈者和银行恶意软件,而其不断增长的加密货币采用使其成为交易所妥协、诈骗和加密相关网络欺诈的热点。
供应链漏洞
作为区域制造业中心,越南的供应链与全球科技巨头深度融合,这使其容易受到供应链攻击,攻击者利用第三方供应商、物流公司和 IT 服务提供商进行间谍活动和破坏。
关键基础设施和能源行业风险
越南的能源、电信和运输部门越来越多地成为国家支持的破坏和网络勒索的目标,而制造业和能源领域采用工业物联网 (IIoT) 引入了新的网络物理攻击媒介。
网络安全框架薄弱和内部威胁
尽管网络安全政策不断完善,但执法方面的差距、熟练专业人员的短缺以及网络成熟度薄弱使越南容易受到攻击,而内部威胁、商业电子邮件入侵 (BEC) 和有针对性的网络钓鱼活动继续利用组织的弱点。
暗网趋势
CYFIRMA 发现针对越南的网络攻击活动有所增加,2024 年共发生 9 起,高于 2023 年的 8 起。这一趋势表明威胁形势正在加剧,可能是由地缘政治紧张局势、金融部门脆弱性和数字化转型的不断发展所致。
针对越南的攻击活动
CYFIRMA 的分析显示,俄罗斯行为者专注于以经济为动机的网络犯罪和地缘政治不稳定,而 Lazarus 等朝鲜团体则进行以收入为导向的攻击以资助国家目标。越南的战略产业仍然是高优先级目标,这进一步凸显了增强网络弹性和主动防御策略的必要性。
威胁行为者针对越南
越南的地缘政治风险因素
- 美越战略伙伴关系——与西方日益增长的联盟:越南与美国升级的全面战略伙伴关系加强了贸易、国防和技术联系,使越南成为印度-太平洋地区的关键参与者,同时加剧了与周边的摩擦。
- 朝鲜与越南的接触——金融和外交关系:越南强大的加密货币采用和银行业吸引了朝鲜的金融活动,引发了对非法交易和国际监管合规性的担忧。
- 俄越关系及能源依赖:越南与俄罗斯的能源和军事关系仍然至关重要,但在全球对俄罗斯实施制裁的背景下,平衡莫斯科与西方的关系变得越来越复杂。
- 东盟与地区安全动态:越南积极参与东盟的安全和经济框架,但地区网络犯罪、政治不稳定和战略竞争限制了更深入的合作。
- 经济增长与供应链整合:越南崛起为全球制造业和科技中心,增强了其经济,但也使其面临贸易争端、地缘政治风险和供应链依赖性转变的风险。
CYFIRMA 的分析发现,有多种可疑威胁行为者针对越南展开攻击,其中 Lazarus Group、Stone Panda 和 MISSION2025 最为活跃。国家支持的 APT 和以经济为目的的网络犯罪分子的存在凸显了不断变化的风险格局。
可疑威胁行为者
CYFIRMA 的观察结果显示,网络应用程序 (25) 和操作系统 (12) 是最受关注的攻击面,反映出对面向网络的漏洞和系统级漏洞的持续关注。针对应用服务器、基础设施软件和 VPN 解决方案的攻击表明,一种旨在破坏核心基础设施和基于凭证的访问的不断发展的策略,这进一步凸显了对强大的补丁管理和主动安全控制的需求。
最受攻击的技术
CYFIRMA 的观察表明,未知恶意软件 (21) 最为普遍,这表明攻击者使用自定义或不断发展的威胁来逃避检测。Cobalt Strike、PlugX RAT 和 Winnti 的存在凸显了攻击者的高级策略,可能用于持久性和横向移动。Cl0p 和 Ryuk 勒索软件的加入表明,国家支持的间谍活动和以经济为目的的网络犯罪活动正在活跃地混合在一起。
最常观察到的恶意软件
勒索软件
逐年海拔:高
2023 年,CYFIRMA 记录了 4,723 名经过验证的勒索软件受害者,而 2024 年,这一数字增加到 5,123 名,所有行业同比增长 8.5%。
越南的勒索软件攻击受害者从 2023 年的 12 人减少到 2024 年的 8 人,表明报告的事件数量暂时减少。然而,这并不意味着威胁减弱——勒索软件即服务 (RaaS) 操作和有针对性的勒索活动仍然活跃。勒索软件团体的策略不断演变,包括双重勒索和供应链入侵,这需要持续保持警惕并增强网络弹性策略。
针对越南的勒索软件组织
制造业 (30%) 仍然是越南勒索软件攻击的首要目标,反映出攻击者专注于破坏供应链和窃取知识产权。消费品和服务 (15%) 以及房地产和建筑 (10%) 也面临重大威胁,凸显出勒索软件正将重点放在关键经济部门上。教育、医疗保健、能源和 IT 成为勒索软件攻击的目标,凸显出风险格局正在不断扩大。
CYFIRMA 的分析强调,金融服务、工业集团和政府是越南最受攻击的行业。IT 服务和电信紧随其后,反映出对手将重点放在关键基础设施和数据丰富的行业上。银行、航空航天和交通运输成为攻击目标,凸显了越南经济和国家安全部门面临的网络风险日益增加。
越南的主要目标行业
2023 年初,Hive 被攻陷导致勒索软件活动暂时放缓。然而,随后 Cl0p 利用 MOVEit 漏洞推动勒索软件活动激增。
同样,2024 年初由 LockBit3 被取缔所导致的放缓也是短暂的,因为关联公司转向了其他勒索软件即服务 (RaaS),而 RansomHub 迅速出现以填补 RaaS 生态系统的空白。
越南的勒索软件受害者
LockBit3 (30%) 仍然是针对越南的最活跃的勒索软件组织,其次是 Stormous (15%) 和 KillSec (15%),这表明既有成熟的勒索软件即服务 (RaaS) 运营,也有新兴威胁行为者。包括 Alphv、RansomHub 和 BlackByte 在内的各种勒索软件组织的存在,凸显了持续存在的威胁形势,这些威胁主要集中在数据泄露、金融勒索和运营中断上。
2024 年勒索软件攻击目标行业 - 越南
- 国家间谍活动增多——俄罗斯和朝鲜的 APT 组织继续以政府、金融和制造业为目标,重点是盗窃知识产权和地缘政治情报。
- 金融和勒索软件威胁激增——LockBit3、Stormous 和 KillSec 引领勒索软件活动,针对制造业、消费品和房地产,强调数据勒索和运营中断。
- 供应链攻击的扩展——威胁行为者越来越多地利用 IT 服务提供商、软件供应商和云平台来渗透更大的企业。
- 关键基础设施遭受攻击——能源、电信和金融服务是主要目标,攻击者利用 Web 应用程序、操作系统和 VPN 中的漏洞。
- 网络犯罪即服务 (CaaS) 的增长——越南网络犯罪集团不断演变,参与商业电子邮件泄露 (BEC)、数据泄露和地下市场,为全球网络犯罪网络作出贡献。
- 监管压力和合规挑战——新的网络安全法、数据本地化要求和更严格的执法要求组织遵守不断变化的法规并加强合规策略。
