工业互联网网络安全情况通报（2023年第12期）

一、工业互联网安全监测情况

2023年12月，贵州省级工业互联网安全态势感知平台（以下简称“省级平台”）监测发现网络攻击事件共19.82万次，环比下降21.4%，共244家工业企业遭受网络攻击。截至2023年12月，省级平台监测联网工业企业3123家，重点工业企业纳入省级平台监测540家。

从网络攻击类型方面来看，主要以网络嗅探为主，共15.15万次，占网络攻击总数的76.4%，环比下降23.9%。WEB攻击事件数量排名第二，占网络攻击总数的8.1%，非法外联事件增长幅度最大，环比上升142.6%，占网络攻击总数的2.2%。

从境外网络攻击方面看，本月监测发现由境外IP发起的网络攻击13.79万次，占网络攻击总量的69.6%。从境外网络攻击来源来看，以美国、英国和荷兰等国家居多，其中源自美国的最多，发起网络攻击7.98万次，占境外网络攻击总数的57.9%。

二、工业互联网网络安全分析

1、非法外联分析

2023年12月，监测发现重点工业企业非法外联事件2323次，占重点工业企业网络攻击总数的1.56%，上升419.69%。

对非法外联事件进行分析，外联通信次数前三的恶意IP/域名分别为：auto.c3pool.org、42.194.250.177和143.92.32.15，威胁类型均为恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP在网络出口拦截通信，及时对内网主机进行病毒查杀。

2、木马后门分析

2023年12月，监测发现重点工业企业遭受的木马后门攻击数共1975次，占重点工业企业网络攻击总数的1.33%，环比上升64.58%。活跃的木马后门主要为Win.Gh0stRAT，木马后门危害较大，涉及到的工业企业应高度重视，积极整改处置。

3、挖矿事件分析

2023年12月，监测发现重点工业企业挖矿事件数共619次，占重点工业企业网络攻击总数的0.41%。对挖矿事件分析发现，通信次数最多的矿池IP为69.16.230.227（美国）。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

省通信管理局通过省级平台开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2023年12月，向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1、贵州益佰制药股份有限公司感染木门后门

2023年12月，省级平台监测发现贵州益佰制药股份有限公司IP（58.*.*.189）感染木马后门。主动外联恶意IP_ 38.55.184.74、38.55.184.90，存在木马后门通信流量，威胁类型为“银狐”木马。

建议企业立即在边界网络设备或其他安全设备对恶意IP/域名进行封堵；核查企业局域网中与恶意IP/域名通信的主机，对主机进行病毒查杀。

案例2、贵州万隆印务有限公司感染挖矿病毒

2023年12月，省级平台监测发现贵州万隆印务有限公司IP（117.*.*.208）遭受网络攻击感染挖矿木马，存在与恶意IP_69.16.230.227和恶意域名junk.soquare.com、loop.sawmilliner.com的通信流量，从流量特征识别出挖矿行为，挖矿客户端软件为XMRig/2.8.3 (Windows NT 6.1)，感染挖矿木马的主机为windows操作系统。

建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。