长按二维码关注
腾讯安全威胁情报中心
腾讯安全能力运营团队
近日,腾讯安全威胁情报中心检测到有攻击者利用Shiro反序列化高危漏洞、Apache Log4j2 高危漏洞对企业实施勒索攻击,最终投递Tellyouthepass勒索病毒。攻击活动导致Tellyouthepass勒索病毒事件呈上升趋势,Windows、Linux双平台均有受害情况发生。
Tellyouthepass勒索病毒在国内出现于2020年7月,该勒索病毒家族早期利用永恒之蓝漏洞攻击传播,也使用ms16-032内核提权漏洞进行提权攻击。
2021年12月,腾讯安全威胁情报中心检测到Tellyouthepass勒索病毒利用Apache Log4j2漏洞攻击某企业OA系统。由于该OA系统基于java开发,受Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)影响严重,存在漏洞的系统因此被攻陷后投递Tellyouthepass勒索病毒。
Tellyouthepass勒索病毒家族热衷于使用各类热门漏洞武器攻击传播,同时使用RSA+AES的方式对文件进行加密,被病毒加密后的文件暂无法解密。
我们提醒政企机构尽快进行相关风险排查,及时修复高危漏洞,防止遭受该勒索病毒影响。
被Tellyouthepass勒索病毒加密破坏的文件
Tellyouthepass勒索软件在受害者系统留下勒索信息
Tellyouthepass勒索软件也会攻击linux操作系统:
详细技术分析可参考腾讯安全威胁情报中心之前发表的文章:《Tellyouthepass勒索病毒携带永恒之蓝攻击模块袭击内网》。
腾讯安全威胁情报中心观察到,自2021年12月以来,攻击者利用Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)攻击云主机的情况时有出现:
漏洞攻击成功后,部分攻击者会尝试通过恶意class投递勒索病毒。
最近,腾讯安全检测到攻击者使用Shiro反序列化漏洞攻击,投递恶意载荷的情况出现。攻击者在受害系统的tmp目录投递名为.kernal1或.iscsi_eh,.kthrotld 的勒索病毒攻击载荷,病毒加密后的文件会被添加.locked扩展名,黑客要求受害者支付0.1 BTC以恢复数据。
腾讯T-Sec云防火墙拦截到恶意攻击流量
攻击后执行恶意脚本,在tmp目录植入.iscsi_eh,.kthrotld勒索模块
Linux的受害主机也被勒索0.1BTC
腾讯安全解决方案:
腾讯T-Sec主机安全(云镜)支持查杀Tellyouthepass勒索病毒及其最新变种
腾讯T-Sec iOA零信任安全管理系统已支持实时查杀拦截Tellyouthepass勒索病毒及最新变种:
腾讯安全专家建议企业客户参考以下措施加固系统:
1.积极排查主机是否受Log4j远程代码执行高危漏洞(CVE-2021-44228)和Shiro反序列化漏洞的影响。通用的安全漏洞修复、防御方案建议,可参考腾讯安全官网的操作指引(https://s.tencent.com/research/report/157)。
2.关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;
3.关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
4.推荐企业安全运维配置腾讯云防火墙采用微信扫码验证登录主机,取消传统的账号密码方式登录。仍在使用账号密码登录的,建议强制使用复杂密码,并定期更换;
5.对重要文件和数据(数据库等数据)进行定期非本地备份,确保极端事件发生时,可以快速恢复系统。
IOCs
IP:
74.119.193.68
URL:
hxxp://74.119.193.68/ss64
MD5:
5e6b3458cc56e95ed39a47819e6ba021
208b931d57da8414661cbba6e71a57b0
关于腾讯安全威胁情报中心
腾讯安全威胁情报中心是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员、安全运维人员快速、准确地对可疑威胁事件进行预警、处置和溯源分析。
长按二维码关注
腾讯安全威胁情报中心
原文始发于微信公众号(腾讯安全威胁情报中心):Tellyouthepass勒索病毒家族利用多个漏洞攻击传播,Windows、Linux均受影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论