独家洞察|Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产

发布于 作者:

独家洞察|Mallox勒索团伙疑似继续利用产品漏洞攻击投毒国内数百个资产

运营保障部 中国电信安全 2025-05-28 01:14

2025年2月至5月,中国电信安全公司·MSSP团队及华南区域中心发现,境外高级勒索团伙疑似利用20多款产品的漏洞攻击中国境内数据中心、外贸、教育、医疗及物业管理等行业,涉及数百个企业/部门。
根据多个事件现场排查及全网风险态势分析,多数失陷资产遭勒索木马快速加密数据,部分被植入后门后试图内网横移。因此,建议各企业、各部门重视Mallox勒索团伙攻击预警,排查内部威胁,升级系统版本,强化网络隔离,做好数据和服务器备份,减少互联网暴露面。****

攻击对象

数据中心、外贸、教育、医疗及物业管理等行业

攻击者归属

境外高级勒索黑产团伙

攻击性质

勒索

威胁等级

严重

攻击时间

2025/2/27 -2025/5/11

攻击向量

漏洞利用、远程控制、内网横移、勒索加密

攻击复杂度

最终目的

获取控制权限,加密数据信息

表1:攻击事件详情

1

Mallox勒索组织画像分析

1.1.威胁追踪

从2025年2月至5月期间,电信安全持续监测到境外高级持续性威胁组织Mallox勒索团伙对我国关键信息基础设施发动了大规模定向攻击,攻击特征呈现为“波浪式”,攻击活动主要集中在三个爆发周期:

  • 2月底至3月初:2月27日出现单日119次攻击的峰值;

  • 3月底至4月初:3月31日(38次)和4月1日(33次)形成小高峰;

  • 5月上旬:5月2日-11日连续爆发,其中5月7日达到168次的最高记录。

图1 Mallox勒索新增失陷资产分析

攻击模式分析:攻击趋势呈现“爆发-休眠-再爆发”的循环特征,推测攻击者调配攻击资源进行漏洞攻击。部分日期(尤其在4月)出现完全空白记录,但在5月2日后发动持续高强度攻击,推测攻击者在4月期间优化攻击手段,完善自动化工具。攻击时间分布特征分析:5月累计新增失陷资产量531个,5月2日-11日连续爆发,其中5月7日新增168个失陷资产,达到单日资产失陷量最高纪录。

月份

新增失陷资产量

2月

119

3月

113

4月

53

5月

531

表2:Mallox勒索新增失陷资产量详情

1.2.攻击链路分析

结合历史事件线索持续追踪Mallox勒索团伙攻击动态结果表明,Mallox勒索团伙已构建起完整的自动化攻击体系,具备以下典型特征:

1. 在集成开源工具的同时,也拥有定制化的攻击工具集,包括:

  • 多版本后门程序,可避免终端杀毒软件查杀,追踪终端无文件落地模式;

  • 集成开源内网扫描工具,如fscan改良版等,避免追踪溯源趋向同化攻击特征,同时减少武器化开发工作量;

  • 在内网横移时,使用隐蔽通信代理工具和模块化勒索载荷。

2. 在攻击过程中,具备标准化攻击流程。追求尽可能实现高度自动化和流程化,直接数据加密的攻击目的强于数据窃取。

图2 Mallox攻击链路画像

Mallox勒索团伙已发展出高度成熟的攻击体系,其攻击链各环节紧密衔接,具有明显的自动化特征,针对Mallox勒索团伙威胁需要落实战术阶段部署纵深防御措施。

1.3.综合线索分析攻击对象

1.3.1.省份分析

根据失陷IP资产的归属地统计,Mallox勒索团伙的攻击活动呈现明显的区域性分布特征,主要集中在我国经济发达地区及关键基础设施集中的省份,广东、北京、上海、浙江四省市合计占比超50%,表明攻击者倾向于针对数字化程度高、企业密集的区域。

图3 Mallox勒索攻击事件各省风险分布

广东的制造业与数据中心可能成为重点攻击目标,北京等地的高失陷量与其庞大的互联网资产基数及暴露面管理不足相关,上海、浙江的外贸与金融行业属于勒索重点攻击行业。因此,广东、北京、上海、浙江等高风险省份实施专项威胁监测,排查同类漏洞利用痕迹。

1.3.2.资产空间测绘分析

根据对部分事件单位的现场取证及空间资产测绘分析,梳理出以下互联网暴露资产及其风险系数。数据显示,部分系统因漏洞利用风险较高,成为攻击者的重点目标。互联网暴露高风险资产集中在
*捷通-TPlus(占比61%)
暴露程度显著高于其他系统,是攻击者的首要突破点。

图4 Mallox勒索攻击失陷资产互联网暴露风险分析

此外,失陷
资产互联网暴露高风险
还存在于OA、ERP、CRM系统(如U8CRM、时空KSOA、*源云-ERP)等20多个产品等。经终端取证分析,攻击者会针对暴露在互联网的高风险系统进行精准打击。如系统暴露在公网,若存在未修复漏洞,可能被勒索团伙利用,需采取主动防御措施降低潜在威胁。

2

处置建议

2.1.前置预警建议

  1. 做好重要数据和生产运营服务器备份;

  2. 做好内网访问权限划分隔离;

  3. 加强数据防泄漏安全建设;

  4. 前置攻击资产拦截封堵,落实战术阶段部署纵深防御措施;

  5. 加强终端安全防护与威胁识别能力;

  6. 收敛互联网出口暴露面;

  7. 订阅黑客组织/团伙威胁追踪前置预警服务;

  8. 加固内外网系统、服务、插件等版本升级。

2.2.联防联控建议

  1. 根据攻击源情报信息进行自查;

  2. 做好互联网出口服务器后门排查与清理;

  3. 做好内部安全运营,落实威胁及时响应,防止大范围内网横移;

  4. 订阅黑客组织/团伙威胁追踪预警服务,通过专业线索前置狩猎方式,实现前置预警拦截和联防联控;

  5. 订阅MSSP服务,由MSSP服务团队实时监测,及时拦截,快速应急响应。

3

推荐方案

中国电信云堤·MSSP安全托管服务是中国电信安全公司面向所有客户推出的安全托管服务,
依托“云端运营+属地化服务”支撑力量,通过标准化安全运营流程,打造运营商特色“O2O”一体化托管式安全运营服务。

  1. 支持接入多类安全产品数据(云悉、安全大脑、云镜、能力池、网站安全专家等),提供7*24威胁监测及通告服务;

  2. 多种套餐按需选择:标准版(7*24监测及通告)、高级版(+专属服务经理+服务群+暴露面梳理及评估)、增强版(+漏洞管理/弱口令梳理);

  3. 安全态势看得见(由多类告警到统一事件)、安全事件有人管(由简单告知到处置建议)、安全风险早预警(由被动响应到主动服务)。

📞
欢迎联系客户经理下单试用,或拨打售前咨询电话:
4009259120

供稿:运营保障部

排版:武云龙

编辑:李雪

校对:
陈师慧

执行主编:田金英

主编:冯晓冬

推荐阅读

你想了解的“云堤”安全托管服务(MSSP)在这!

安全护智 智惠安全,中国电信一站式大模型安全能力平台重磅发布!