Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

admin 2022年3月23日13:34:41评论506 views字数 1813阅读6分2秒阅读模式

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

长按二维码关注

腾讯安全威胁情报中心


腾讯安全能力运营团队


近日,腾讯安全威胁情报中心检测到有攻击者利用Shiro反序列化高危漏洞、Apache Log4j2 高危漏洞对企业实施勒索攻击,最终投递Tellyouthepass勒索病毒。攻击活动导致Tellyouthepass勒索病毒事件呈上升趋势,Windows、Linux双平台均有受害情况发生。


Tellyouthepass勒索病毒在国内出现于2020年7月,该勒索病毒家族早期利用永恒之蓝漏洞攻击传播,也使用ms16-032内核提权漏洞进行提权攻击。


2021年12月,腾讯安全威胁情报中心检测到Tellyouthepass勒索病毒利用Apache Log4j2漏洞攻击某企业OA系统。由于该OA系统基于java开发,受Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)影响严重,存在漏洞的系统因此被攻陷后投递Tellyouthepass勒索病毒。


Tellyouthepass勒索病毒家族热衷于使用各类热门漏洞武器攻击传播,同时使用RSA+AES的方式对文件进行加密,被病毒加密后的文件暂无法解密。


我们提醒政企机构尽快进行相关风险排查,及时修复高危漏洞,防止遭受该勒索病毒影响。

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

被Tellyouthepass勒索病毒加密破坏的文件


Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

Tellyouthepass勒索软件在受害者系统留下勒索信息


Tellyouthepass勒索软件也会攻击linux操作系统:

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

 

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


详细技术分析可参考腾讯安全威胁情报中心之前发表的文章:《Tellyouthepass勒索病毒携带永恒之蓝攻击模块袭击内网》。


腾讯安全威胁情报中心观察到,自2021年12月以来,攻击者利用Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)攻击云主机的情况时有出现:

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


漏洞攻击成功后,部分攻击者会尝试通过恶意class投递勒索病毒。

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


最近,腾讯安全检测到攻击者使用Shiro反序列化漏洞攻击,投递恶意载荷的情况出现。攻击者在受害系统的tmp目录投递名为.kernal1或.iscsi_eh,.kthrotld 的勒索病毒攻击载荷,病毒加密后的文件会被添加.locked扩展名,黑客要求受害者支付0.1 BTC以恢复数据。

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

腾讯T-Sec云防火墙拦截到恶意攻击流量


Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

攻击后执行恶意脚本,在tmp目录植入.iscsi_eh,.kthrotld勒索模块


Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

Linux的受害主机也被勒索0.1BTC


腾讯安全解决方案:

腾讯T-Sec主机安全(云镜)支持查杀Tellyouthepass勒索病毒及其最新变种

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


腾讯T-Sec iOA零信任安全管理系统已支持实时查杀拦截Tellyouthepass勒索病毒及最新变种:

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


腾讯安全专家建议企业客户参考以下措施加固系统:

1.积极排查主机是否受Log4j远程代码执行高危漏洞(CVE-2021-44228)和Shiro反序列化漏洞的影响。通用的安全漏洞修复、防御方案建议,可参考腾讯安全官网的操作指引(https://s.tencent.com/research/report/157)。


2.关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;


3.关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。


4.推荐企业安全运维配置腾讯云防火墙采用微信扫码验证登录主机,取消传统的账号密码方式登录。仍在使用账号密码登录的,建议强制使用复杂密码,并定期更换;


5.对重要文件和数据(数据库等数据)进行定期非本地备份,确保极端事件发生时,可以快速恢复系统。


IOCs

IP:

74.119.193.68


URL:

hxxp://74.119.193.68/ss64


MD5:

5e6b3458cc56e95ed39a47819e6ba021

208b931d57da8414661cbba6e71a57b0


Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响


关于腾讯安全威胁情报中心


腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

长按二维码关注

腾讯安全威胁情报中心

Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

原文始发于微信公众号(腾讯安全威胁情报中心):Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月23日13:34:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响http://cn-sec.com/archives/836871.html

发表评论

匿名网友 填写信息