工业互联网网络安全情况通报（2024年第4期）

一、工业互联网安全监测情况

2024年4月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件42.88万次，环比上升3.1%，共286家工业企业遭受网络攻击。截至4月末，省级平台监测联网工业企业3210家，其中重点工业企业540家。

从网络攻击类型方面看，网络嗅探占比最大，共35.01万次，环比下降6.2%，占网络攻击总数的81.7%；木马后门事件数量排名第二、数量增幅最大，占网络攻击总数的2.9%，环比上升145.4%；命令执行事件数量降幅最大，环比下降64.4%。

从网络攻击来源方面看，由境外IP发起的网络攻击41.53万次，占网络攻击总量的96.8%，以美国、英国和德国等国家居多。其中源自美国的最多，发起网络攻击28.04万次，占境外网络攻击总数的67.5%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年4月，监测发现重点工业企业非法外联事件3283次，占重点工业企业网络攻击总数的1.3%，环比上升62.2%。

对非法外联事件进行分析，外联通信次数前三的恶意IP/域名分别为：fget-career.com、imddos.my03.com和antpool.com，威胁类型均为恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年4月，监测发现重点工业企业遭受的木马后门攻击数10391次，占重点工业企业网络攻击总数的4.1%，环比上升426.4%。活跃的木马后门主要为Bladabindi backdoor、Sality backdoor和Ramnit worm，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年4月，监测发现重点工业企业挖矿事件数1688次，占重点工业企业网络攻击总数的0.7%，环比上升7.2%。对挖矿事件分析发现，通信次数最多的矿池IP为76.223.54.146。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年4月，向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵阳德昌祥药业有限公司存在弱口令漏洞

2024年4月，工业互联网安全漏洞检测发现贵阳德昌祥药业有限公司WEB系统（http://*z*.com/z*gs/admin/）存在弱口令漏洞，可获得web应用管理员权限，导致敏感数据泄露。

建议企业及时进行系统账户审计，及时排查修改弱口令账户，口令应满足一定的复杂度，信息安全最佳实践的密码策略密码必须包含大写字母、小写字母、数字和特殊符号，长度大于8位。

案例2：贵州安达科技能源股份有限公司感染木马后门

2024年4月，省级平台监测发现贵州安达科技能源股份有限公司IP（117.*.*.136、117.*.*.134）感染木马后门。主动外联恶意域名_ superyou.zapto.org，监测存在木马后门通信流量，该恶意域名威胁类型为Bladabindi后门、njRAT远控和Spybot蠕虫等多种恶意程序远控端。

建议企业立即在边界网络设备或其他安全设备对恶意域名进行封堵；核查企业局域网中与恶意域名通信的主机，对主机进行病毒查杀。