360CERT網絡安全十二月月報 | 警惕勒索病毒家族通過Apache Log4j2漏洞卷土重來
責編:gltian |2022-01-11 11:24:24近日,三六零集團(股票代碼:601360.SH,以下簡稱“360”)網絡安全響應中心(以下簡稱“360CERT”)發布《網絡安全十二月月報》(以下簡稱“十二月月報”),對十二月份安全漏洞分析、網絡安全重大事件、勒索病毒攻擊態勢等內容進行了梳理,為網絡安全等相關人員提供精準的網絡安全態勢走向,便于更好的掌握網絡安全發展趨勢。
本月攻擊態勢主要聚焦了僵尸網絡攻擊、釣魚郵件攻擊和針對Web應用和數據庫的攻擊三方面。12月份Windows平臺僵尸網絡總體攻擊趨勢相對較為平穩,未?較?幅度的增?或減少。但值得注意的是,“8220”挖礦僵尸網絡將Apache Log4j2遠程代碼執?漏洞CVE2021-44228加?武器庫中,并利?該漏洞對?絡中暴露的致遠OA發起攻擊。
此外,在釣魚郵件攻擊方面,釣魚攻擊趨勢相比較11月有所上漲,原因在于Emotet僵??絡在本月提高了攻擊頻次。Emotet僵尸網絡重新運作之后,對其攻擊?式進?了較?的改動在釣?惡意?檔的使?上,使?了帶有Office DDE的?檔作為釣?載荷;在惡意代碼的執行為式上,使?rundll32加載惡意dll的方式代替過去的使?PowerShell執行惡意代碼的方式。由于Emotet僵尸網絡的活躍,本月釣魚攻擊趨勢大大受到Emotet僵尸網絡攻擊趨勢的影響。
安全漏洞
2021年12?,360CERT共收錄27個漏洞,其中嚴重8個,?危15個,中危4個。主要漏洞類型包含代碼執?、權限提升、緩沖區溢出、SQL注?等。涉及的?商主要是Apache 、Windows、Google、Mozilla等。
其中,最為值得關注的是Apache Log4j 2遠程代碼執?漏洞。12月9日,360CERT監測發現Apache Log4j 2存在JNDI遠程代碼執?,漏洞編號:CVE-2021-44228,漏洞等級:嚴重,漏洞評分:10.0。
Apache Log4j 2是?個開源的?志記錄組件,使??常的?泛。Apache Log4j2 2.0-beta9 ? 2.15.0(安全版本 2.12.2、2.12.3 和 2.3.1 除外)配置、?志消息和參數中使?的 JNDI 功能部件不能防范攻擊者控制的 LDAP 和其他與 JNDI 相關的端點。啟?消息查找替換后,能夠控制?志消息或?志消息參數的攻擊者可以執?從 LDAP 服務器加載的任意代碼。
安全事件
本月收錄安全事件251項,話題集中在數據泄露、惡意程序、?絡攻擊??,涉及的組織 有:Microsoft 、Google 、Twitter 、Facebook、Apple、FBI、YouTube等。涉及的?業主要包含IT服務業、制造業、?融業、政府機關及社會組織、醫療?業等。
在十二月月報中,重點梳理了10起APT事件。其中Lazarus組織偽造洛克希德·?丁?作機會的攻擊活動為本期熱點。2021年下半年,360高級威脅研究院發現了來?同?個組織Lazarus的多起攻擊活動,根據該組織的攻擊特征分析顯?,發現該組織利?其特有攻擊載荷NukeSped進?攻擊活動,該攻擊載荷是Lazarus組織御用攻擊武器,根據之前卡巴斯基披露該載荷的相關分析,可以看出其武器后?功能豐富,且該樣本迭代較快,本次捕獲樣本為未披露過的NukeSped相關類型樣本。
此外,在十二月月報中,還重點回顧了包括惡意程序事件、數據安全事件、網絡攻擊事件和其他事件在內的14起重點事件,并梳理了安全事件的時間線。
惡意程序
2021年12月,全球新增的活躍勒索病毒家族有: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt為本?新增的雙重勒索病毒家族。其中消失很??段時間的TellYouThePass勒索病毒家族通過利用Log4j2漏洞卷?重來。
此外,針對本?勒索病毒受害者所中勒索病毒家族進?統計,Magniber家族占?43.64%居?位,其次是占?11.01% 的TellYouThePass,phobos家族以9.87%位居第三。根據360安全?腦監控到的數據看,從12?初開始,攻擊者開始利?最新的Log4j2漏洞傳播TellYouThePass勒索病毒家族,使?致遠OA??受災嚴重。
從360解密大師本月解密數據看,解密量最?的是Sodinokibi,其次是GandCrab。使?解密?師解密?件的??數量最?的是被Crysis家族加密的設備,其次是被 CryptoJoker家族加密的設備。
面對嚴峻的勒索病毒威脅態勢,360安全?腦分別為個人用戶和企業用戶給出有針對性的安全建議。希望能夠幫助盡可能多的用戶全方位的保護計算機安全,免受勒索病毒感染。并在十二月月報中重點提示:無論是個?用戶還是企業用戶,都不建議支付贖金。支付贖?不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。可以嘗試通過備份、數據恢復、數據修復等手段挽回部分損失。