黑客活动分子与僵尸网络推高 DDoS 攻击浪潮:2025 年七月网络攻击态势分析
NETSCOUT最新分析报告显示,2025年7月期间,由僵尸网络驱动的分布式拒绝服务(DDoS)攻击呈现急剧上升趋势,每日攻击事件数以千计,且存在明显的黑客活动分子参与迹象。
报告指出:"7月份由僵尸网络驱动的DDoS活动持续处于高位,在美国假日期间出现压力峰值,同时商品化僵尸网络的自动化攻击仍在继续。"当月NETSCOUT共观测到超过2万起DDoS攻击事件,日均超过600起。7月3日单日攻击量突破1100起,较月平均水平高出约71%。
攻击手法呈现以下特征:
TCP SYN洪泛攻击最为突出,近3000起多向量复合攻击日益复杂,结合TCP、DNS和放大技术攻击目标同时消耗设备状态和带宽资源黑客组织活动分析黑客组织NoName057(16)再次成为主要威胁来源。该组织宣称对200多起攻击负责,占7月份700余起黑客活动分子相关事件的显著比例。其攻击模式与观测到的流量特征高度吻合,包括:
HTTP/2 POST洪泛TCP ACK洪泛TCP SYN洪泛攻击活动主要针对政府机构、交通网络和金融服务部门,采用快速向量轮换策略,单次攻击可持续数分钟。NETSCOUT强调:"虽然某些组织倾向于夸大其活动,在网站因无关原因下线时邀功,但NoName057(16)的声明往往与可观测的攻击活动相符。"
其他活跃的黑客组织包括Keymous+、TEAM FEARLESS、Dark Storm Team和Z-ALLIANCE,但其攻击规模相对较小。
基础设施与攻击向量报告发现网络基础设施持续承压:"TCP 80和443端口是最常见的组合,出现在900多起独立攻击中,反映出面向网络的基础设施面临持续压力。"攻击者还持续利用VPN相关端口(500和4500),表明其对破坏远程访问服务的持续兴趣。
在UDP协议方面,443、80和53端口成为主要目标,凸显加密流量和DNS服务的滥用问题。
地理分布与设备漏洞地理分析显示:
蒙古是最大单一攻击来源国,发起超1000次攻击攻击主要来自受感染的IoT设备和路由器毛里求斯与南非是最常见的跨国攻击组合,涉及100余起协同攻击攻击者主要利用存在多年的设备漏洞,包括:
CVE-2015-2051(D-Link路由器)CVE-2017-17215(华为HG532路由器)CVE-2017-16894NETSCOUT指出:"尽管这些漏洞已存在多年,但由于设备未打补丁、默认凭证薄弱以及安全措施不足,它们仍然有效。"Mirai变种继续通过Telnet暴力破解和默认凭证利用推动僵尸网络扩张,7月份还观察到针对VStarcam C7824WIP摄像头和Actiontec C1000A路由器的攻击增加。
