昨日,疑似以用友为代表的国产财务管理软件遭到勒索软件的攻击。此次攻击为无差别攻击,已知涉及的应用包括广联达、管家婆,用友、金蝶、致远.....
据白泽安全实验室的威胁情报监测,360安全响应中心首先收到用户反馈称“计算机文件被.locked后缀的勒索病毒加密”。此次攻击从8月28日21时30分左右开始,一直持续到 8 月 29 日 1 时左右,截至29号,研究人员已经确认来自该勒索病毒的攻击案例已超2000余例,且该数量仍在不断上涨。据统计国内受影响的省份包括:北京,上海,山东,江苏,浙江、广东、安徽、四川、福建、河北等地。下图是勒索提示信息截图。
攻击来源
根据安全人员的远程排查,目前可以确认此次勒索攻击利用了某客户关系管理(CRM)系统的漏洞,通过漏洞执行恶意命令并加密文件。下图是进程树截图。
通过分析勒索病毒留下的提示信息,该病毒与之前流行的TellYouThePass勒索病毒为关联家族,可能就是TellYouThePass的最新变种。该勒索软件向受害者索要0.2比特币(目前大概相当于27,439人民币)的赎金。下图是勒索信截图。
相关漏洞情况
根据威胁情报监测,勒索攻击的源头疑似为某流行企业财务管理软件中潜在的0day漏洞。通过对其官方已发布的补丁和漏洞细节进行反复对比,确认此漏洞尚无补丁,为0day漏洞。相关漏洞为Web类漏洞,漏洞触发效果为RCE,漏洞触发过程为反序列化远程代码执行。
相关勒索软件情况
TellYouThePass勒索软件于2019年首次披露,是一款以牟取经济利益为目的的勒索软件,攻击者旨在加密文件并要求付费恢复文件。该软件使用Golang语言开发 ,使其更容易跨平台攻击更多不同类型的操作系统,尤其是macOS和Linux。2022年初,TellYouThePass与Apache Log4j(CVE-2021-44228)远程执行漏洞利用代码(Log4Shell)一起使用,开展勒索攻击活动。
值得一提的是,通过与攻击者的沟通邮件可以判定对方也是中文使用者,沟通全程使用中文进行对话,且语句非常自然。
相关勒索攻击实例
据白泽安全实验室的威胁情报监测,火绒安全实验室披露了一起相关勒索攻击实例。攻击者疑似借助用友畅捷通T+传播勒索病毒模块(FakeTplus病毒)。病毒模块的投放时间与受害者使用的用友畅捷通T+软件模块升级时间相近,不排除黑客通过供应链污染或漏洞的方式进行投毒,如下图所示。
火绒安全研究人员发现,攻击者首先通过漏洞或其他方式向受害者终端投放后门病毒模块;然后通过访问后门模块(Load.aspx)来执行任意恶意模块(恶意模块数据被AES算法加密);最后通过后门模块在内存中加载执行勒索病毒。在攻击实例中可以发现,后门病毒模块位于用友畅捷通T+软件的bin目录中,相关文件情况如下图所示。