工业互联网网络安全情况通报（2023年第10期）

一、工业互联网安全监测情况

2023年10月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共16.64万次，环比下降37%，共243家工业企业遭受网络攻击。截止10月，省级平台监测发现联网工业企业1063家，重点工业企业纳入省级平台监测540家。

从网络攻击类型来看，主要以网络嗅探为主，共13.14万次，占网络攻击总数的79%，环比下降46.2%。WEB攻击事件数量排名第二，占网络攻击总数的2.2%。木马后门数量排名第三，占网络攻击总数的1.3%。2023年10月勒索事件数量增幅最大，环比上升3493.3%，但数量仅占网络攻击总数的0.3%。

从境外网络攻击看，本月监测发现由境外IP发起的网络攻击12.99万次万次，占网络攻击总量的78%。从境外网络攻击来源来看，以美国、英国和荷兰等国家居多，其中源自美国的最多，发起网络攻击8.47万次，占境外网络攻击总数的65.2%。

二、工业互联网网络安全分析

（一）非法外联分析

2023年10月，监测发现重点工业企业非法外联事件511次，占重点工业企业网络攻击总数的0.5%，环比下降31.3%。

对非法外联事件进行分析，通报企业均遭受来自恶意IP  42.194.250.177、43.143.95.205的网络攻击，该恶意IP威胁类型为CobaltStrike远控，主动外联该IP存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2023年10月，监测发现重点工业企业遭受的木马后门攻击数共656次，活跃的木马后门主要为Ramnit worm，木马后门远程控制端域名为fget-career.com，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2023年10月，向6家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州某磷化工公司感染木马后门

2023年10月，省级平台监测发现贵州某磷化工公司IP（117.*.*.178）存在特洛伊木马通信事件，主动请求解析恶意域名fget-career.com，该域名为Ramnit蠕虫病毒、njRAT病毒的远控端。

建议企业立即在边界网络设备或其他安全设备对恶意IP/域名进行封堵；核查企业局域网中与恶意IP/域名通信的主机，对主机进行病毒查杀。

案例2、贵州某电子公司感染挖矿病毒

2023年10月，省级平台监测发现贵州某电子公司IP（117.*.*.68）遭受网络攻击感染挖矿木马，存在与恶意IP（185.165.169.188、103.252.119.227和89.147.111.210）的通信流量，恶意IP的威胁情报为公共矿池，从流量特征识别出挖矿行为，挖矿客户端软件为XMRig/6.19.0 (Linux x86_64) libuv/1.44.2，感染挖矿木马的主机为Linux操作系统。

建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。