NETSCOUT最新分析報告顯示，2025年7月期間，由僵尸網絡驅動的分布式拒絕服務(DDoS)攻擊呈現急劇上升趨勢，每日攻擊事件數以千計，且存在明顯的黑客活動分子參與跡象。

攻擊規模與特征

報告指出："7月份由僵尸網絡驅動的DDoS活動持續處于高位，在美國假日期間出現壓力峰值，同時商品化僵尸網絡的自動化攻擊仍在繼續。"當月NETSCOUT共觀測到超過2萬起DDoS攻擊事件，日均超過600起。7月3日單日攻擊量突破1100起，較月平均水平高出約71%。

攻擊手法呈現以下特征：

• TCP SYN洪泛攻擊最為突出，近3000起
• 多向量復合攻擊日益復雜，結合TCP、DNS和放大技術
• 攻擊目標同時消耗設備狀態和帶寬資源

黑客組織活動分析

黑客組織NoName057(16)再次成為主要威脅來源。該組織宣稱對200多起攻擊負責，占7月份700余起黑客活動分子相關事件的顯著比例。其攻擊模式與觀測到的流量特征高度吻合，包括：

• HTTP/2 POST洪泛
• TCP ACK洪泛
• TCP SYN洪泛

攻擊活動主要針對政府機構、交通網絡和金融服務部門，采用快速向量輪換策略，單次攻擊可持續數分鐘。NETSCOUT強調："雖然某些組織傾向于夸大其活動，在網站因無關原因下線時邀功，但NoName057(16)的聲明往往與可觀測的攻擊活動相符。"

其他活躍的黑客組織包括Keymous+、TEAM FEARLESS、Dark Storm Team和Z-ALLIANCE，但其攻擊規模相對較小。

基礎設施與攻擊向量

報告發現網絡基礎設施持續承壓："TCP 80和443端口是最常見的組合，出現在900多起獨立攻擊中，反映出面向網絡的基礎設施面臨持續壓力。"攻擊者還持續利用VPN相關端口(500和4500)，表明其對破壞遠程訪問服務的持續興趣。

在UDP協議方面，443、80和53端口成為主要目標，凸顯加密流量和DNS服務的濫用問題。

地理分布與設備漏洞

地理分析顯示：

• 蒙古是最大單一攻擊來源國，發起超1000次攻擊
• 攻擊主要來自受感染的IoT設備和路由器
• 毛里求斯與南非是最常見的跨國攻擊組合，涉及100余起協同攻擊

攻擊者主要利用存在多年的設備漏洞，包括：

• CVE-2015-2051（D-Link路由器）
• CVE-2017-17215（華為HG532路由器）
• CVE-2017-16894

NETSCOUT指出："盡管這些漏洞已存在多年，但由于設備未打補丁、默認憑證薄弱以及安全措施不足，它們仍然有效。"Mirai變種繼續通過Telnet暴力破解和默認憑證利用推動僵尸網絡擴張，7月份還觀察到針對VStarcam C7824WIP攝像頭和Actiontec C1000A路由器的攻擊增加。