360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

SLLAQZX發表於2022-01-11

近日,三六零集團(股票程式碼:601360.SH,以下簡稱“360”)網路安全響應中心(以下簡稱“360CERT”)釋出《網路安全十二月月報》(以下簡稱十二月月報”),對十二月份安全漏洞分析、網路安全重大事件、勒索病毒攻擊態勢等內容進行了梳理,為網路安全等相關人員提供精準的網路安全態勢走向,便於更好的掌握網路安全發展趨勢。 

本月攻擊態勢主要聚焦了殭屍網路攻擊、釣魚郵件攻擊和針對Web應用和資料庫的攻擊三方面。12月份Windows平臺殭屍網路總體攻擊趨勢相對較為平穩,未⻅較⼤幅度的增⻓或減少。但值得注意的是,8220”挖礦殭屍網路將Apache Log4j2遠端程式碼執⾏漏洞CVE2021-44228加⼊武器庫中,並利⽤該漏洞對⽹絡中暴露的致遠OA發起攻擊。

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

此外,在釣魚郵件攻擊方面,釣魚攻擊趨勢相比較11月有所上漲,原因在於Emotet僵⼫⽹絡在本月提高了攻擊頻次。Emotet殭屍網路重新運作之後,對其攻擊⽅式進⾏了較⼤的改動在釣⻥惡意⽂檔的使⽤上,使⽤了帶有Office DDE的⽂檔作為釣⻥載荷;在惡意程式碼的執行為式上,使⽤rundll32載入惡意dll的方式代替過去的使⽤PowerShell執行惡意程式碼的方式。由於Emotet殭屍網路的活躍,本月釣魚攻擊趨勢大大受到Emotet殭屍網路攻擊趨勢的影響。

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

安全漏洞

 

2021年12⽉,360CERT共收錄27個漏洞,其中嚴重8個,⾼危15個,中危4個。主要漏洞型別包含程式碼執⾏、許可權提升、緩衝區溢位、SQL注⼊等。涉及的⼚商主要是Apache 、Windows、Google、Mozilla等。

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

其中,最為值得關注的是Apache Log4j 2遠端程式碼執⾏漏洞。129日,360CERT監測發現Apache Log4j 2存在JNDI遠端程式碼執⾏,漏洞編號:CVE-2021-44228漏洞等級:嚴重,漏洞評分:10.0。

 

Apache Log4j 2是⼀個開源的⽇志記錄元件,使⽤⾮常的⼴泛。Apache Log4j2 2.0-beta9  2.15.0(安全版本 2.12.2、2.12.3 和 2.3.1 除外)配置、⽇志訊息和引數中使⽤的 JNDI 功能部件不能防範攻擊者控制的 LDAP 和其他與 JNDI 相關的端點。啟⽤訊息查詢替換後,能夠控制⽇志訊息或⽇志訊息引數的攻擊者可以執⾏從 LDAP 伺服器載入的任意程式碼。

 

安全事件

 

本月收錄安全事件251項,話題集中在資料洩露、惡意程式、⽹絡攻擊⽅⾯,涉及的組織 Microsoft Google Twitter FacebookAppleFBIYouTube等。涉及的⾏業主要包含IT服務業、製造業、⾦融業、政府機關及社會組織、醫療⾏業等。

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

在十二月月報中,重點梳理了10APT事件其中Lazarus組織偽造洛克希德·⻢丁⼯作機會的攻擊活動為本期熱點。2021年下半年,360高階威脅研究院發現了來⾃同⼀個組織Lazarus的多起攻擊活動,根據該組織的攻擊特徵分析顯⽰,發現該組織利⽤其特有攻擊載荷NukeSped進⾏攻擊活動,該攻擊載荷是Lazarus組織御用攻擊武器,根據之前卡巴斯基披露該載荷的相關分析,可以看出其武器後⻔功能豐富,且該樣本迭代較快,本次捕獲樣本為未披露過的NukeSped相關型別樣本。

 

此外,在十二月月報中,還重點回顧了包括惡意程式事件、資料安全事件、網路攻擊事件和其他事件在內的14起重點事件,並梳理了安全事件的時間線。

 

惡意程式

 

2021年12月,全球新增的活躍勒索病毒家族: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt為本⽉新增的雙重勒索病毒家族。其中消失很⻓⼀段時間的TellYouThePass勒索病毒家族透過利Log4j2漏洞卷⼟重來。

 

此外,針對本⽉勒索病毒受害者所中勒索病毒家族進⾏統計,Magniber家族佔43.64%居⾸位,其次是佔⽐11.01% 的TellYouThePass,phobos家族以9.87%位居第三。根據360安全⼤腦監控到的資料看,從12⽉初開始,攻擊者開始利⽤最新的Log4j2漏洞傳播TellYouThePass勒索病毒家族,使⽤致遠OA⽤⼾受災嚴重。


360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

360解密大師本月解密資料看,解密量最的是Sodinokibi,其次是GandCrab。使⽤解密⼤師解密⽂件的⽤⼾數量最⾼的是被Crysis家族加密的裝置,其次是被 CryptoJoker家族加密的裝置。

360CERT網路安全十二月月報 | “雙重勒索”攻擊模式愈演愈烈

面對嚴峻的勒索病毒威脅態勢,360安全⼤腦分別為個人使用者和企業使用者給出有針對性的安全建議。希望能夠幫助儘可能多的使用者全方位的保護電腦保安,免受勒索病毒感染。並在十二月月報中重點提示:無論是個⼈使用者還是企業使用者,都不建議支付贖金。支付贖⾦不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。可以嘗試透過備份、資料恢復、資料修復等手段挽回部分損失。


相關文章