报告编号:CERT-R-2023-167
报告来源:360CERT
报告作者:360CERT
更新日期:2023-05-18
Tellyouthepass勒索软件在我国属于知名的头部勒索软件家族,该家族擅长利用Web应用漏洞对运行应用的服务器发起勒索攻击。在2022 年8月底发生的针对某财务记账系统的勒索攻击事件就是该家族所为。即便仅从流行程度来说,该家族也曾多次占据国内勒索软件流行榜 的榜首位置。在2023年已经过去的这前4个月中,该家族的传播略显沉寂。但自从时间进入5月以来,该家族则又展开了新一轮疯狂的攻击——仅5月刚刚过去的这上半个月,我们就检测到了其针对服务器发起的两次较大规模的勒索攻击。
NC服务器勒索攻击
Tellyouthepass在本月发动的第一次攻击事件出现在5月6日16时49分左右,本轮攻击的高峰则出现在5月8日0时~1时的区间内。而攻击目 标为某NC服务器软件,攻击者所使用的主要漏洞包括:
– NC accept接口文件上传漏洞漏洞
– NC NCInvokerServlet 接口任意代码执行漏洞
漏洞利用成功后,攻击者会向受攻击的服务器上传冰蝎WebShell,而该WebShell则会接收攻击者发送的恶意模块并将恶意模块加载进内存中执行。
图2 冰蝎WebShell内容
恶意模块被加载到内容中后,会释放Tellyouthepass勒索软件代码,而后对当前系统环境进行探测并结束数据库进程,最终调用之前释放的勒索代码完成加密工作。
文档安全管理系统攻击事件
第二此攻击事件的高峰出现在5月15日20时~21时的区间内,此次攻击的目标则是亿赛通电子文档安全管理系统。
图4 攻击亿赛通产品勒索过程进程树
从攻击发起的时间点来看,攻击者显然实在有意挑选非工作时间来尽可能避免攻击行为被过早的察觉。此次攻击中所用到的漏洞也都是之前厂商已经修补过的已知漏洞——只不过目前尚有大量设备未及时安装相应的更新补丁程序。
而一旦在入侵行为得手后,Tellyouthepass后续使用的勒索攻击手段则继续沿用与第一次攻击中相同的内存木马攻击——即通过在受害者机器上部署的WebShell直接下发并加载勒索模块,勒索软件的宿主进程就是Web应用服务的主程序。此类攻击方法的“优点”是能够避开 很多传统安全软件的检测,提高其攻击成功率。
而勒索软件本身,和之前的也比较相似,同样存在结束特定服务器进程、删除用户备份、跳过某些关键目录等常规操作,最终通过RSA+AES两种算法实现对文件的最终加密行为。
图5 勒索软件核心功能代码
具有较大影响力的Tellyouthepass勒索软件家族相关公开事件:
– 2020年7月27日
Tellyouthepass勒索病毒利用永恒之蓝漏洞来袭,已有企业受害
– 2021年12月15日
国内出现利用OA软件中内置的Apache Log4j2组件漏洞扩散Tellyouthepass 勒索软件事件
– 2021年12月19日
TellYouThePass勒索病毒利用Log4J2漏洞在Linux及Windows平台复活
– 2022年1月11日
TellYouThePass勒索软件基于跨平台语言Golang重写后卷土重来
– 2022年8月30日
TellYouThePass利用畅捷通0day发动勒索攻击
鉴于Tellyouthepass在本月发起的这两次有一定规模的攻击事件均为针对企业的服务器或管理系统一类对外公共设备发起的攻击。我们提醒广大用户——尤其是政企单位内负责服务器运营维护的管理人员,除了进行较为常规的安全防护外,我们也有针对性的给出如下需要尤其重点关注的安全防护建议:
1. 对于无需对公网开放的服务,建议将其架设至内网,或设置访问限制,减少来自互联网的网络攻击。
2. 管理员应检查搭建的各类Web应用,关注官方补丁发布情况,尽早完成安全补丁的更新。
3. 使用360终端安全产品,其针对服务器的保护功能,以及对漏洞的防御功能,可以有效缓解和抵御各类利用Web应用漏洞进行勒索投毒 的攻击,保障服务器安全。
4. 对于已经中招的设备,可以使用360终端安全产品,查杀勒索软件,对系统进行安全加固。
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360终端安全管理系统
360终端安全管理系统在360安全大脑极智赋能下,以云计算、大数据、人工智能等新技术为支撑,是面向企业级客户提供端点安全(EPP)、主机安全(CDRCWPP)、高级威胁检测与响应(EDR)等各类能力和功能的同一平台管理产品。
创新领先的场景化管理方式,对勒索防护、挖矿防护、HW对抗、重大事件保障、APT防护、等保合规、数据安全防护等场景实现高效的终端安全运营管理。
2023年05月18日 360高级威胁研究分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT推出了安全通告特制版报告订阅服务,以便用户做资料留存、传阅研究与查询验证。
今后特制报告将不再提供公开下载,用户可扫描下方二维码进行服务订阅。
https://cert.360.cn/
进入官网查看更多资讯
原文始发于微信公众号(三六零CERT):Tellyouthepass活跃攻击预警