网络第5域

国内企业遭高级勒索团伙利用多个漏洞批量攻击投毒

字号+作者: 来源:安全内参 2023-12-14 00:00 评论(创建话题) 收藏成功收藏本文

截至发稿时间,已有多个攻击对象被数据加密勒索。1.摘要电信安全水滴实验室情报狩猎追踪发现,在2023年11月28日至12月8日,境外高级勒索团伙疑似利用某OA管'...

截至发稿时间,已有多个攻击对象被数据加密勒索。

1.摘要otr品论天涯网

电信安全水滴实验室情报狩猎追踪发现,在2023年11月28日至12月8日,境外高级勒索团伙疑似利用某OA管理系统、某审批管理系统、某资源管理系统的漏洞攻击中国境内能源、高新科技、数据中心、金融和生物制药等行业的二十余个企业、部门,植入后门后尝试内网横移窃取数据并投递Mallox勒索木马加密数据。截至发稿时间,已有多个攻击对象被数据加密勒索。otr品论天涯网

otr品论天涯网

在此,电信安全建议各企业、各部门高度重视本次Mallox勒索团伙攻击预警,及时排查内部是否存在网络威胁并及时升级系统版本,充分利用威胁情报进行自查,强化生产和办公网络隔离,加强重要数据和服务器备份,收敛不必要的互联网暴露面。otr品论天涯网

表1:勒索攻击专项详情otr品论天涯网

2.详情otr品论天涯网

2.1 威胁追踪otr品论天涯网

otr品论天涯网

通过多种技术手段持续对境外高级勒索团伙做攻击威胁狩猎与检测,并发现境外Mallox勒索团伙对中国境内多个攻击对象展开专项渗透和勒索攻击,攻击资产和攻击手法具有高度同源相似性。根据狩猎分析攻击对象的内网攻击路径和武器库判断,勒索团伙攻击者疑似通过漏洞利用方式渗透到高新科技和数据中心等企业内部网络。勒索团伙专项攻击行动各项风险指标如下:otr品论天涯网

表2:Mallox勒索团伙各项攻击风险指标otr品论天涯网

2.2 风险分析otr品论天涯网

otr品论天涯网

为了更准确地分析勒索团伙的整体攻击行动风险状态,本文采用自研专利数据分析模型刻画分析攻击行动中的活跃程度。otr品论天涯网

2.2.1.威胁风险分析otr品论天涯网

狩猎追踪发现,勒索团伙在本次攻击行动中,攻击威胁风险指数【1】峰值在12月3日,核实确认为12月2日新增攻击对象(疑似芯片企业)所致。这也说明勒索团队对该攻击对象进行了高强度攻击,而12月4日高威胁风险指数值由高新增攻击对象量形成。如图Mallox威胁日志指数分析:otr品论天涯网

表3:威胁风险指数分析otr品论天涯网

2.2.2.数据风险分析otr品论天涯网

根据攻击数据风险指数【2】来看,指数趋势基本与威胁风险指数一致,在12月4日的数据风险指数中数据泄露风险指数与指令数据传输风险指数差异不大,说明勒索团伙正在对某个攻击对象进行高频率的内网横移攻击活动。otr品论天涯网

表4:数据风险指数分析otr品论天涯网

2.3 综合线索分析攻击者otr品论天涯网

otr品论天涯网

综合线索分析攻击者,将从勒索团伙的攻击手法、工作时间、攻击链路这三个维度进行分析。otr品论天涯网

2.3.1.攻击手法分析otr品论天涯网

►攻击涉及漏洞及产品otr品论天涯网

从涉及国内的20多个攻击对象关联分析判断,勒索团伙先后利用国内三个产品(某OA管理系统、某审批管理系统、某资源管理系统)的漏洞进行攻击,上传webshell后门,随后部署内网代理和内网横移攻击。otr品论天涯网

表5:产品漏洞披露信息otr品论天涯网

►漏洞利用与披露时间差otr品论天涯网

经终端日志排查验证,勒索团伙使用的漏洞为11月中下旬所披露,且漏洞披露时间与被勒索团伙利用的时间差最长22天,最短只有3天,充分说明勒索团伙具备漏洞武器库收集和补充能力。otr品论天涯网

表6:产品漏洞披露与被勒索团伙利用时间差otr品论天涯网

2.3.2.工作时间分析otr品论天涯网

分析勒索团伙在整个攻击行动中涉及攻击对象的起始攻击时钟信息发现,起始攻击主要集中在每天的9时—18时,执行数据加密操作则是集中在凌晨(运维难发觉异常),即说明勒索团伙攻击者工作时间与国内工作时间基本吻合。otr品论天涯网

表7:起始攻击时钟分析otr品论天涯网

2.3.3.攻击链路分析otr品论天涯网

►整体攻击行动攻击链路otr品论天涯网

勒索团伙整个攻击行动从12月1日至7日,利用上述3个漏洞成功向20多个攻击对象植入webshell后门,并根据攻击对象价值评估内网横移攻击优先级排期。otr品论天涯网

图1:互联网攻击链路还原otr品论天涯网

►攻击路径分析otr品论天涯网

如上攻击链路所述,勒索团伙攻击者成功向攻击对象植入后门后,评估确定对攻击对象内网横移攻击后,会植入网络代理木马设置网络代理,并上传内网横移武器库(fscan等扫描工具)和勒索木马套件。攻击者利用fscan采集到的资产网络架构和账号信息后,重点渗透数据服务器和业务生产服务器,成功获取服务器权限后尝试窃取并回传数据,随后加载运行勒索木马进行数据加密。otr品论天涯网

图2:内网攻击路径分析otr品论天涯网

2.4 综合线索分析攻击对象otr品论天涯网

otr品论天涯网

虽然目前勒索团伙攻击者已经成功向20多个攻击对象网络植入后门,但已被执行数据加密勒索攻击行为的只有个别攻击对象,且优先向数据中心和高新科技进行内网横移攻击。otr品论天涯网

表8: 攻击对象分析otr品论天涯网

2.4.1.资产空间测绘分析otr品论天涯网

对勒索团伙利用的系统漏洞做全网资产测绘,发现大量同类产品资产在11月10日后仍在互联网暴露。otr品论天涯网

表9:互联网空间测绘漏洞关联产品分析otr品论天涯网

图3:风险资产暴露测绘otr品论天涯网

2.4.2.涉及行业/地区分析otr品论天涯网

如上攻击对象明细显示,勒索团伙攻击者在植入后门环节上并没有明显针对行业对象(覆盖数据中心、高新科技、能源、通信、金融和生物制药等),但在内网横移攻击环节,攻击者会重点倾向数据中心和高新科技企业,因为潜在敲诈对象的业务运营数字化和可支付巨额赎金的概率是勒索团伙重点评估维度。otr品论天涯网

表10:勒索攻击对象行业统计otr品论天涯网

otr品论天涯网

勒索攻击对象地区归属分析了解,本次Mallox勒索团伙攻击主要在东部沿海省份,且集中在广东省内。otr品论天涯网

表11:勒索攻击对象各省/市统计otr品论天涯网

综合多维信息评估后可得出结论,该勒索组织攻击线索现在仍有较高的勒索攻击预警和联防联控价值,且仍对该组织攻击资产进行持续化跟踪,并及时定向做出预警。otr品论天涯网

3.处置建议otr品论天涯网

3.1 前置预警建议otr品论天涯网

otr品论天涯网

►1.做好重要数据和生产运营服务器备份;otr品论天涯网

►2.做好内网访问权限划分隔离;otr品论天涯网

►3.加强数据防泄漏安全建设;otr品论天涯网

►4.前置攻击资产拦截封堵;otr品论天涯网

►5.加强终端安全防护与威胁识别能力;otr品论天涯网

►6.收敛互联网出口暴露面;otr品论天涯网

►7.订阅电信安全公司的黑客组织/团伙威胁追踪前置情报预警服务;otr品论天涯网

►8.加固内外网系统、服务、插件等版本升级;otr品论天涯网

3.2 联防联控建议otr品论天涯网

otr品论天涯网

►1.根据攻击源情报信息(154.39.*.*/185.239.*.*)进行自查;otr品论天涯网

otr品论天涯网

►2.做好互联网出口服务器后门排查与清理;otr品论天涯网

►3.做好内部安全运营,落实威胁及时响应,防止大范围内网横移;otr品论天涯网

►4.订阅中国电信安全公司的黑客组织/团伙威胁追踪预警情报服务,通过专业情报前置狩猎方式,实现前置预警拦截和联防联控。otr品论天涯网

otr品论天涯网

若需专项勒索行动ioc情报,请于本公众号后台发送“Mallox情报”获取。otr品论天涯网

otr品论天涯网

otr品论天涯网

文章注解:otr品论天涯网

【1】威胁风险指数:自研专利数据分析模型,威胁风险指数越高,攻击活动越强烈。otr品论天涯网

【2】数据分线指数:自研专利数据分析模型,数据分线指数越高,既说明攻击活动强弱,更表达攻击活动双向数据传输情况。otr品论天涯网

otr品论天涯网

供稿:水滴实验室otr品论天涯网

编辑:宁信子otr品论天涯网

校对:李雪otr品论天涯网

otr品论天涯网

执行主编:田金英otr品论天涯网

otr品论天涯网

主编:冯晓冬otr品论天涯网

otr品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]