今年 8 月，随着师生陆续返校，全球范围内针对教育机构的网络攻击出现显著上升趋势。 2025 年 1 月至 7 月，教育行业机构平均每周遭遇 4356 次攻击，较去年同期增长 41%。这些攻击形式多样，既包括用于窃取凭据的钓鱼域名攻击，也包括旨在入侵网络、窃取敏感数据的复杂恶意代码投放攻击。 恰逢开学季高峰期的 “主题式钓鱼攻击” 活动，进一步加剧了此类威胁的数量与复杂程度 —— 攻击者利用终端用户的紧迫感以及对数字平台的依赖实施攻击。 各地区教育机构均受到攻击，但亚太地区（APAC）机构面临的攻击最为猛烈，平均每家机构每周遭遇 7869 次攻击。

北美地区的攻击增幅最为显著，同比上升 67%；欧洲和非洲地区的攻击增幅则分别为 48% 和 56%。

从国家层面来看，意大利每家机构平均遭遇 8593 次攻击，位居首位；紧随其后的是中国香港（5399 次）、葡萄牙（5488 次）和美国（2912 次）。

Check Point（网络安全公司）的分析师指出，攻击的规模与时间节点表明，攻击者正利用开学季数字活动量的季节性激增，以实现最大攻击影响并规避检测。

除攻击数量激增外，攻击者的技术手段也在不断升级。仅 7 月一个月，就有超过 1.8 万个模仿学术机构的新域名被注册，其中每 57 个域名中就有 1 个被标记为恶意或可疑域名。

这些域名通常会托管模仿微软登录界面的仿冒页面。Check Point 的研究人员发现，在多起攻击活动中，恶意软件有效载荷通过看似无害的 SVG 附件或含二维码（QR 码）的 PDF 表单进行投放，进而实现凭据窃取和二次加载器部署。

感染机制

深入分析恶意软件的攻击链可见，其采用了旨在实现 “持久化驻留” 与 “规避检测” 的多阶段感染流程。

初始入侵始于一封钓鱼邮件，邮件中包含特制的 SVG 文件，或伪装成大学通知的 PDF 文件。

用户打开文件后，SVG 文件会调用内嵌的 JavaScript 脚本，从 “拼写混淆域名”（typo-squatted domain，指模仿正规域名但存在拼写错误的恶意域名）获取恶意有效载荷。 csharp

// 简化的加载器注入代码片段
using System;
using System.Diagnostics;
using System.Runtime.InteropServices;

class Injector {
    [DllImport("kernel32.dll")] static extern IntPtr OpenProcess(int a, bool b, int c);
    [DllImport("kernel32.dll")] static extern bool WriteProcessMemory(IntPtr h, IntPtr addr, byte[] data, int size, out IntPtr written);
    [DllImport("kernel32.dll")] static extern IntPtr CreateRemoteThread(IntPtr h, IntPtr lp, uint sz, IntPtr start, IntPtr arg, uint flags, out IntPtr id);

    static void Main(string[] args) {
        Process target = Process.Start("svchost.exe");
        IntPtr h = OpenProcess(0x1F0FFF, false, target.Id);
        byte[] shellcode = Convert.FromBase64String("..."); // 加密的有效载荷
        WriteProcessMemory(h, target.MainModule.BaseAddress, shellcode, shellcode.Length, out _);
        CreateRemoteThread(h, IntPtr.Zero, 0, target.MainModule.BaseAddress, IntPtr.Zero, 0, out _);
    }
}

上述有效载荷是一个.NET 可执行文件，会在内存中解密，并将一个轻量级恶意软件加载器植入 Windows “启动”（Startup）文件夹，以实现持久化驻留。

指标	数值
全球平均每周攻击次数	4356 次
同比增长率	+41%
亚太地区平均每周攻击次数	7869 次
北美地区同比增长率	+67%
欧洲地区同比增长率	+48%
非洲地区同比增长率	+56%
意大利每家机构攻击次数	8593 次
美国每家机构攻击次数	2912 次
7 月学术主题恶意域名占比	每 57 个中有 1 个

攻击者通过 “进程空洞化”（process hollowing）技术实现检测规避：加载器先启动一个合法进程（如 svchost.exe），释放该进程的内存空间，再将恶意代码注入到这个 “空洞化” 的进程实例中。

关键术语补充说明

1. Back-to-School Season（开学季）：指每年学生结束假期、返回学校开始新学年的时间段，此时教育机构的数字活动（如系统登录、在线注册、资料传输等）会显著增加。
2. Typo-Squatted Domain（拼写混淆域名）：攻击者注册的模仿正规域名但存在轻微拼写错误（如将 “google.com” 改为 “goog1e.com”）的域名，用于诱导用户误访问并实施攻击。
3. SVG（Scalable Vector Graphics，可缩放矢量图形）：一种基于 XML 的图像格式，支持内嵌 JavaScript 脚本，攻击者常利用这一特性植入恶意代码。
4. Process Hollowing（进程空洞化）：一种恶意代码注入技术，通过启动合法进程并清空其内存，再注入恶意代码，使恶意活动伪装成正常进程运行，以规避安全检测。
5. svchost.exe：Windows 系统中的系统服务宿主进程，负责运行多个系统服务，攻击者常利用其 “合法性” 伪装恶意代码。