日益严峻的网络威胁要求加强全球防御与合作

微软客户每天面临超过6亿次的网络犯罪分子和国家支持的攻击，这些攻击包括勒索软件、钓鱼攻击以及身份盗窃等。再次证明了与国家有关联的威胁行为者展示了在网络操作——无论是间谍活动、破坏还是影响——在更广泛的地缘政治冲突中持续发挥着辅助作用。此外，在网络攻击升级的过程中，我们越来越多地发现网络犯罪团伙与国家支持的团体之间存在合谋，并且它们共享工具和技术。 

我们必须找到一种方法来遏制这种恶意的网络活动。这包括继续加强我们的数字领域，以保护各级的网络、数据和人员。然而，这一挑战不仅仅通过执行一系列网络安全措施就能完成，而是需要从个人用户到企业高管再到政府领导人都专注于并致力于网络安全的基础建设。

这些是第五年度报告的一些见解微软数字防御报告涵盖2023年7月至2024年6月的趋势。 

国有机构越来越多地利用网络犯罪分子及其工具。 

在过去的一年里，微软观察到国家行为者为了获取经济利益而采取行动，招募网络犯罪分子收集情报，特别是关于乌克兰军队的情报，并利用了信息窃取器、命令和控制框架以及其他社区中网络犯罪分子所青睐的工具。具体来说： 

• 俄罗斯网络威胁行为者似乎将其一些网络间谍活动外包给了犯罪集团，特别是针对乌克兰的行动。2024年6月，一个疑似网络犯罪团体使用商品恶意软件入侵了至少50台乌克兰军事设备。 

• 伊朗国家级别的行为体利用勒索软件进行了一场网络驱动的影响操作，推销被盗的以色列约会网站数据。他们提出以费用的形式删除特定个人在他们的数据库中的资料。 

• 朝鲜开始涉足勒索软件领域。一个新识别的朝鲜行为体开发了一种名为FakePenny的定制勒索软件，在从受影响网络中窃取数据后，将其部署在航空航天和国防组织中——展示了情报收集和货币化的动机。 

国家层面的活动在活跃的军事冲突地区或区域紧张地带高度集中。 

除了美国和英国之外，我们观察到的与国家有关的网络威胁活动主要集中在以色列、乌克兰、阿拉伯联合酋长国和台湾。此外，伊朗和俄罗斯利用了俄乌战争和以 Hamas 为代表的以色列冲突，通过宣传运动传播分裂性和误导性信息，将影响范围扩展到了冲突地区的地理边界之外，展示了混合战争的全球化性质。 

• 大约75%的俄罗斯目标位于乌克兰或北约成员国，莫斯科试图收集西方对战争政策的情报。 

• 中文威胁行为者的目标努力与前几年类似，仍然集中在特定的地理区域——台湾是重点，东南亚国家也是目标，并且每个地区的攻击强度也保持不变。 

• 伊朗在以色列问题上给予了极大的关注，特别是在以色列与哈马斯战争爆发之后。由于美国和海湾国家（包括阿联酋和巴林）与以色列的关系正常化以及德黑兰认为这些国家都在支持以色列的战争努力，伊朗继续针对这些国家进行活动。 

俄罗斯、伊朗和中国关注美国大选 

俄罗斯、伊朗和中国都利用当前的地缘政治问题来推动在美国大选前在国内敏感议题上的分歧，试图影响美国观众偏向某一政党或候选人，或者削弱选举作为民主基础的信心。正如我们此前报道的，伊朗以及俄罗斯一直最为活跃，并且我们预计在接下来的两周内，随着美国大选的临近，这种活跃程度将继续加速。 

此外，微软观察到与选举相关的同形域或伪造链接的数量急剧增加，这些链接传递网络钓鱼和恶意软件负载。我们认为这些域名既是出于获利目的的网络犯罪活动的例子，也是国家威胁行为者为追求政治目标而进行侦察的例子。目前，我们正在监测超过10,000个同形域以检测可能的身份冒充行为。我们的目标是确保微软不托管恶意基础设施，并告知可能成为此类身份冒充威胁受害者的客户。 

以经济动机为目的的网络犯罪和欺诈仍然是一种持久的威胁 

尽管国家资助的网络攻击仍然令人担忧，以经济动机驱动的网络攻击也同样值得关注。在过去一年中，微软观察到： 

• 与去年同期相比，勒索软件攻击增加了2.75倍。然而重要的是，达到加密阶段的勒索攻击减少了三倍。最常见的初始访问技术仍然是社会工程学——特别是电子邮件钓鱼、短信钓鱼和语音钓鱼，但也包括身份盗用以及利用面向公众的应用程序或未修补的操作系统的漏洞。 

• 自2022年以来，科技诈骗案件激增了400%。在过去的一年里，微软观察到技术诈骗流量显著增加，每日频率从2023年的7,000次飙升至2024年的100,000次。超过70%的恶意基础设施活跃时间不到两小时，这意味着它们可能在被发现之前就已经消失了。这种快速周转率强调了更加敏捷和有效的网络安全措施的需求。 

威胁行为者正在试验生成式人工智能 

去年，我们开始看到威胁行为者——无论是网络犯罪分子还是国家行为体——都在试验人工智能。正如人工智能被越来越多地用于帮助人们提高效率一样，威胁行为者也在学习如何利用人工智能的高效性来针对受害者。在影响力操作中，与中国有关联的行为者倾向于使用AI生成的图像，而与俄罗斯有关联的行为者则跨媒介使用以音频为主的AI。到目前为止，我们还没有观察到这些内容对受众产生影响是有效的。 

但人工智能与网络安全的故事也有可能是乐观的。尽管还处于早期阶段，人工智能已经通过作为工具帮助安全专业人员在极短的时间内处理大量警报、恶意代码文件及其相应的影响分析，从而展示了其对网络安全的好处。我们继续创新我们的技术，以寻找新的方式利用人工智能来增强和加强网络安全。 

协作仍然是加强网络安全的关键。 

每天针对微软客户的网络攻击超过6亿次，必须采取相应的措施来减少整体的网络攻击数量。有效的威慑可以通过两种方式实现：拒绝入侵或对恶意行为施加后果。微软继续尽我们的一份力量来减少入侵，并已承诺通过我们的措施来保护自己和客户。安全未来倡议. 

虽然行业必须通过提高网络安全来更好地阻止攻击者的努力，但这需要与政府行动相结合，以施加后果进一步遏制最具破坏性的网络攻击。只有将防御和威慑结合起来才能取得成功。近年来，人们非常关注在网络空间中发展国际行为规范。然而，迄今为止这些规范的违反缺乏有意义的后果，国家级别的攻击未被遏制，反而在数量和侵略性上不断增加。为了改变这种局面，公共部门和私营部门都需要表现出自觉性和承诺，以便攻击者不再占据优势。 

微软继续与社区分享重要的威胁情报，包括我们最近的 cyber信号研究教育行业中的网络安全风险. 

标签：人工智能, 人工智能, 中国, 网络攻击, 网络犯罪, 网络安全, 选举, 选举, 生成式AI, 哈马斯, 同形字, 伊朗, 以色列, 恶意软件, 微软数字防御报告, 北约, 朝鲜, 网络钓鱼, 俄罗斯, 安全未来倡议, 科技诈骗, 乌克兰, 英国, 美国