新增这几款Web应用入侵渠道，“Mallox”勒索病毒攻击警惕快速传播

Mallox（又被称作Target Company）最早出现于2021年6月中旬，并在2021年10月开始进入国内。其采用RaaS（勒索软件即服务）模式运营，将企业作为其攻击目标。近期安全监测发现到大量该团伙针对企业的Web应用发起攻击，被攻击的Web应用包括：蓝凌OA系统、浙大恩特客户资源管理系统、IPguard 审批管理系统。

上述平台的技术漏洞成为了黑客展开攻击的切入点。安全专家已经对Mallox勒索病毒的行为模式进行了严格的分析和核查，并发现该病毒通过如下三个恶意IP地址实施网络攻击：185.239.226.79、185.239.227.173、154.39.152.37。被攻击的系统会受到文件加密的威胁，并随之出现勒索赎金的要求。初步调查表明，攻击者可能借助最近一个月内曝光的文件上传、文件读取和远程代码执行（RCE）漏洞来发动攻击。

所有区域各部门务必立即通知相关行业和单位，细致排查本单位信息化系统与上述恶意IP地址的外联情况。各单位必须迅速响应，采取如下处置措施：

全面检查网络日志，确认是否存在来自已知恶意IP地址的访问记录。

即刻断开与上述IP地址的网络连接，阻断潜在的数据泄露和进一步的勒索软件传播。

严格审查存在漏洞的系统，特别是公开披露的文件上传、文件读取和RCE漏洞，立即应用安全补丁或采取临时应对措施。

强化内网隔离措施，以避免横向移动和进一步的系统感染。

IT部门应该启动紧急防御机制，并加强终端安全监控。推荐采取以下临时防御手段：

限制不必要的外部访问，实施网络白名单策略。

加强网络边界的防御功效，部署和优化入侵检测系统（IDS）和入侵防御系统（IPS）。

增加数据的备份频率，确保重要数据的多个副本存在于隔离的安全环境。

在此，我们强烈呼吁所有单位和组织密切关注并及时跟进此次预警，牢牢把握数据安全的防线，保护个人和集体的利益不受损害。

修复建议

一、排查OA 和内网机器是否已被感染

（1）用D 盾工具扫描受控服务器，攻击者webshell 是明文，可以扫出。

（2）用everything 在受控服务器上搜component.ini 文件，目录下的jsp 都是木马文件。

（3）看防火墙/IPS 有没有三个恶意IP 对OA 的连接情况（C段都看看）

（4）用everything 在内网机器上搜windows_encryptor 关键词，如果有命中说明也受控了。

（5）看内网域控是否正常，是否有额外的管理员账号或不是他们自己创建的账号。