疑似借助用友畅捷通T+的勒索攻击爆发 火绒安全可查杀
2023-06-13 09:14:26 时间
火绒安全实验室监测,疑似借助用友畅捷通T+传播的勒索病毒模块异常活跃(FakeTplus病毒)。火绒工程师排查某勒索现场时发现,病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒。火绒安全软件可成功查杀该病毒。
火绒安全查杀图
排查发现,黑客首先会通过漏洞或其他方式向受害者终端投放后门病毒模块。黑客可以通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密的)。之后通过后门模块在内存中加载执行勒索病毒,根据火绒威胁情报系统统计得出病毒传播趋势,如下图所示:
FakeTplus病毒传播趋势图
在被投毒的现场中可以看到,后门病毒模块位于用友畅捷通T+软件的bin目录中,相关文件情况如下图所示:
被投毒现场后门病毒模块文件位置情况
某被投毒现场中,后门病毒模块的被投放时间,与受害用户使用的用友畅捷通T+软件模块升级时间相近,畅捷通T+软件更新的文件和恶意模块的时间对比图,如下图所示:
时间对比图
被勒索后,需要支付0.2个比特币(目前大概27,439人民币),黑客留下的勒索信,如下图所示:
勒索信
后门模块代码逻辑
附录
病毒 HASH:
HUORONG
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
相关文章
- 服务器防御DDoS的方法,一文解决DDoS攻击
- 9月业务安全月报 | 西北工业大学遭美国国家安全局攻击;顶象发布人脸识别白皮书;《网络安全法》或迎来修改
- 【火绒安全周报】数字安全Entrust遭勒索攻击/推特账户数据遭泄露
- 医疗行业屡遭攻击,火绒安全提供专项安防方案
- 什么是udp攻击?udp攻击的基本原理是什么
- DOS攻击手段_ddos攻击原理与防御方法
- Lockbit 再次攻击两地公共部门
- MySQL注入攻击:防范网站安全威胁(mysql注入攻击)
- 服务器FTP攻击导致Linux服务器面临的威胁(ftp入侵linux)
- 硬核观察 | 弱密码“solarwinds123”可能是导致 SolarWinds 事件的攻击入口
- 浅谈拒绝服务攻击的原理与防御(3):反射DDOS攻击利用代码
- 如何应对远程攻击:保护Linux密码安全(远程破解linux密码)
- MySQL 注入攻击: 理解并安全防护(mysql注入语句)
- Linux缓冲区溢出攻击:防范安全的关键技术(linux缓冲区溢出攻击)
- 网管教你预防黑客DdoS攻击的技巧
- 测试你的安全:Oracle数据库渗透攻击(oracle数据库渗透)
- Linux防御DDos攻击:保护尽量安全(ddos linux)
- 『SQL Server遭遇木马攻击,危机四伏』(SQLserver木马)
- 【Linux环境下防止DDos攻击的软件准备】(linux防ddos软件)
- MSSQL注入攻击: 间接撬动信息安全大门(mssql注入环境)
- 攻击防护网站安全用Redis 加强抵御恶意攻击(用 redis 防止恶意)
- IIS服务器防范攻击3条安全设置技巧