在2023年11月28日至12月8日，境外高级勒索团伙疑似利用某OA管理系统、某审批管理系统、某资源管理系统的漏洞攻击中国境内能源、高新科技、数据中心、金融和生物制药等行业的二十余个企业、部门，植入后门后尝试内网横移窃取数据并投递Mallox勒索木马加密数据。截至发稿时间，已有多个攻击对象被数据加密勒索。

在此，电信安全建议各企业、各部门高度重视本次Mallox勒索团伙攻击预警，及时排查内部是否存在网络威胁并及时升级系统版本，充分利用威胁情报进行自查，强化生产和办公网络隔离，加强重要数据和服务器备份，收敛不必要的互联网暴露面。

通过多种技术手段持续对境外高级勒索团伙做攻击威胁狩猎与检测，并发现境外Mallox勒索团伙对中国境内多个攻击对象展开专项渗透和勒索攻击，攻击资产和攻击手法具有高度同源相似性。根据狩猎分析攻击对象的内网攻击路径和武器库判断，勒索团伙攻击者疑似通过漏洞利用方式渗透到高新科技和数据中心等企业内部网络。

为了更准确地分析勒索团伙的整体攻击行动风险状态，本文采用自研专利数据分析模型刻画分析攻击行动中的活跃程度。

勒索团伙在本次攻击行动中，攻击威胁风险指数【1】峰值在12月3日，核实确认为12月2日新增攻击对象（疑似芯片企业）所致。这也说明勒索团队对该攻击对象进行了高强度攻击，而12月4日高威胁风险指数值由高新增攻击对象量形成。

攻击涉及漏洞及产品

从涉及国内的20多个攻击对象关联分析判断，勒索团伙先后利用国内三个产品（某OA管理系统、某审批管理系统、某资源管理系统）的漏洞进行攻击，上传webshell后门，随后部署内网代理和内网横移攻击。

漏洞利用与披露时间差

经终端日志排查验证，勒索团伙使用的漏洞为11月中下旬所披露，且漏洞披露时间与被勒索团伙利用的时间差最长22天，最短只有3天，充分说明勒索团伙具备漏洞武器库收集和补充能力。

工作时间分析

分析勒索团伙在整个攻击行动中涉及攻击对象的起始攻击时钟信息发现，起始攻击主要集中在每天的9时—18时，执行数据加密操作则是集中在凌晨（运维难发觉异常），即说明勒索团伙攻击者工作时间与国内工作时间基本吻合。

整体攻击行动攻击链路

勒索团伙整个攻击行动从12月1日至7日，利用上述3个漏洞成功向20多个攻击对象植入webshell后门，并根据攻击对象价值评估内网横移攻击优先级排期。

攻击路径分析

如上攻击链路所述，勒索团伙攻击者成功向攻击对象植入后门后，评估确定对攻击对象内网横移攻击后，会植入网络代理木马设置网络代理，并上传内网横移武器库（fscan等扫描工具）和勒索木马套件。攻击者利用fscan采集到的资产网络架构和账号信息后，重点渗透数据服务器和业务生产服务器，成功获取服务器权限后尝试窃取并回传数据，随后加载运行勒索木马进行数据加密。

涉及行业/地区分析

勒索团伙攻击者在植入后门环节上并没有明显针对行业对象（覆盖数据中心、高新科技、能源、通信、金融和生物制药等），但在内网横移攻击环节，攻击者会重点倾向数据中心和高新科技企业，因为潜在敲诈对象的业务运营数字化和可支付巨额赎金的概率是勒索团伙重点评估维度。本次Mallox勒索团伙攻击主要在东部沿海省份，且集中在广东省内。

前置预警

1.做好重要数据和生产运营服务器备份；

2.做好内网访问权限划分隔离；

3.加强数据防泄漏安全建设；

4.前置攻击资产拦截封堵；

5.加强终端安全防护与威胁识别能力；

6.收敛互联网出口暴露面；

7.订阅电信安全公司的黑客组织/团伙威胁追踪前置情报预警服务；

8.加固内外网系统、服务、插件等版本升级；

联防联控建议

1.根据攻击源情报信息（154.39.*.*/185.239.*.*）进行自查；

2.做好互联网出口服务器后门排查与清理；

3.做好内部安全运营，落实威胁及时响应，防止大范围内网横移；

4.订阅中国电信安全公司的黑客组织/团伙威胁追踪预警情报服务，通过专业情报前置狩猎方式，实现前置预警拦截和联防联控。