360CERT网络安全十二月月报 | 警惕勒索病毒家族通过Apache Log4j2漏洞卷土重来

近日,三六零集团(股票代码:601360.SH,以下简称“360”)网络安全响应中心(以下简称“360CERT”)发布《网络安全十二月月报》(以下简称“十二月月报”),对十二月份安全漏洞分析、网络安全重大事件、勒索病毒攻击态势等内容进行了梳理,为网络安全等相关人员提供精准的网络安全态势走向,便于更好的掌握网络安全发展趋势。

本月攻击态势主要聚焦了僵尸网络攻击、钓鱼邮件攻击和针对Web应用和数据库的攻击三方面。12月份Windows平台僵尸网络总体攻击趋势相对较为平稳,未⻅较⼤幅度的增⻓或减少。但值得注意的是,“8220”挖矿僵尸网络将Apache Log4j2远程代码执⾏漏洞CVE2021-44228加⼊武器库中,并利⽤该漏洞对⽹络中暴露的致远OA发起攻击。

image001

此外,在钓鱼邮件攻击方面,钓鱼攻击趋势相比较11月有所上涨,原因在于Emotet僵⼫⽹络在本月提高了攻击频次。Emotet僵尸网络重新运作之后,对其攻击⽅式进⾏了较⼤的改动在钓⻥恶意⽂档的使⽤上,使⽤了带有Office DDE的⽂档作为钓⻥载荷;在恶意代码的执行为式上,使⽤rundll32加载恶意dll的方式代替过去的使⽤PowerShell执行恶意代码的方式。由于Emotet僵尸网络的活跃,本月钓鱼攻击趋势大大受到Emotet僵尸网络攻击趋势的影响。

image002

安全漏洞

2021年12⽉,360CERT共收录27个漏洞,其中严重8个,⾼危15个,中危4个。主要漏洞类型包含代码执⾏、权限提升、缓冲区溢出、SQL注⼊等。涉及的⼚商主要是Apache 、Windows、Google、Mozilla等。

image003

image004

其中,最为值得关注的是Apache Log4j 2远程代码执⾏漏洞。12月9日,360CERT监测发现Apache Log4j 2存在JNDI远程代码执⾏,漏洞编号:CVE-2021-44228,漏洞等级:严重,漏洞评分:10.0。

Apache Log4j 2是⼀个开源的⽇志记录组件,使⽤⾮常的⼴泛。Apache Log4j2 2.0-beta9 ⾄ 2.15.0(安全版本 2.12.2、2.12.3 和 2.3.1 除外)配置、⽇志消息和参数中使⽤的 JNDI 功能部件不能防范攻击者控制的 LDAP 和其他与 JNDI 相关的端点。启⽤消息查找替换后,能够控制⽇志消息或⽇志消息参数的攻击者可以执⾏从 LDAP 服务器加载的任意代码。

安全事件

本月收录安全事件251项,话题集中在数据泄露、恶意程序、⽹络攻击⽅⾯,涉及的组织 有:Microsoft 、Google 、Twitter 、Facebook、Apple、FBI、YouTube等。涉及的⾏业主要包含IT服务业、制造业、⾦融业、政府机关及社会组织、医疗⾏业等。

image005

在十二月月报中,重点梳理了10起APT事件其中Lazarus组织伪造洛克希德·⻢丁⼯作机会的攻击活动为本期热点。2021年下半年,360高级威胁研究院发现了来⾃同⼀个组织Lazarus的多起攻击活动,根据该组织的攻击特征分析显⽰,发现该组织利⽤其特有攻击载荷NukeSped进⾏攻击活动,该攻击载荷是Lazarus组织御用攻击武器,根据之前卡巴斯基披露该载荷的相关分析,可以看出其武器后⻔功能丰富,且该样本迭代较快,本次捕获样本为未披露过的NukeSped相关类型样本。

此外,在十二月月报中,还重点回顾了包括恶意程序事件、数据安全事件、网络攻击事件和其他事件在内的14起重点事件,并梳理了安全事件的时间线。

恶意程序

2021年12月,全球新增的活跃勒索病毒家族有: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族,其中Bl@ckt0r、Karakurt为本⽉新增的双重勒索病毒家族。其中消失很⻓⼀段时间的TellYouThePass勒索病毒家族通过利用Log4j2漏洞卷⼟重来。

此外,针对本⽉勒索病毒受害者所中勒索病毒家族进⾏统计,Magniber家族占⽐43.64%居⾸位,其次是占⽐11.01% 的TellYouThePass,phobos家族以9.87%位居第三。根据360安全⼤脑监控到的数据看,从12⽉初开始,攻击者开始利⽤最新的Log4j2漏洞传播TellYouThePass勒索病毒家族,使⽤致远OA⽤⼾受灾严重。

image006

从360解密大师本月解密数据看,解密量最⼤的是Sodinokibi,其次是GandCrab。使⽤解密⼤师解密⽂件的⽤⼾数量最⾼的是被Crysis家族加密的设备,其次是被 CryptoJoker家族加密的设备。

image007

面对严峻的勒索病毒威胁态势,360安全⼤脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全,免受勒索病毒感染。并在十二月月报中重点提示:无论是个⼈用户还是企业用户,都不建议支付赎金。支付赎⾦不仅变相鼓励了勒索攻击行为,而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。

上一篇:2022年,哪些安全技术创新值得期待?

下一篇:《网络安全审查办法》三版对比看“审查启示”