近日,Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被曝光,各类攻击团伙乘虚而入,经深信服云端数据监测,已经出现团伙利用此漏洞发起勒索攻击。
12月13日,深信服终端安全团队和安服应急响应中心联合监测到一个名为Tellyouthepass的勒索病毒,该团伙已对双平台进行攻击。深信服捕获到大量Tellyouthepass勒索病毒拦截日志,如图所示。
重点关注!遭受Tellyouthepass勒索攻击均为某OA系统
仅在12月12日17:00-19:00、12月13日17:00-19:00时间段内,已有多个省份不同行业的用户数据遭到加密,且均为某OA系统。
(数据来源:深信服威胁情报团队)
该团伙主要利用漏洞公开到修复的时间差进行批量扫描攻击,由于漏洞已具有完整的POC,使其具有集成快、覆盖范围广、攻击时难以感知的特点。与常规的勒索病毒攻击相比,此类攻击的受影响较大的是存在漏洞的服务器,暂不具有内网自动横向的功能,但加密后数据无法直接解密,同样面临高额的勒索赎金。
云端监测
深信服安全专家通过云蜜罐和云端防护日志监测,Tellyouthepass勒索针对某OA系统和某开源项目使用log4j2的漏洞共发起上千次起攻击,且通过拦截日志发现同一时间出现大量Tellyouthepass勒索病毒拦截记录。
12月12日 18:07:21
终端日志排查,攻击者利用漏洞进行入侵;
终端日志
12月12日 18:08:25
EDR查杀日志排查,深信服EDR拦截阻断勒索病毒加密,并自动进行隔离;
EDR查杀日志
针对捕获的勒索病毒样本,安全专家进行了深入分析,针对该团伙利用CVE-2021-44228进行批量攻击,执行命令后下载勒索病毒文件到C:\debug.exe并执行,病毒执行后与后台IP进行通信:
对主机磁盘进行扫描
对每个磁盘下的文件进行扫描
在每个目录下写入README.html文件
对文件进行加密。
释放勒索信内容如下
加密后的文件如下,会修改文件后缀为.locked
Linux系统的勒索病毒行为相似,在入侵后执行文件,与后台IP进行通信:
停止关键服务:
扫描linux文件路径:
写入勒索文本:
找到可加密的文件后通知加密协程:
勒索文本如下:
值得注意的是,Tellyouthepass勒索病毒已经不是第一次利用高危漏洞发起攻击,早在去年,其已利用永恒之蓝漏洞攻击多个组织单位。
本文作者:Further_eye
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/171335.html
必填 您当前尚未登录。 登录? 注册
必填(保密)