工业互联网网络安全情况通报（2024年第11期）

一、工业互联网安全监测情况

2024年11月经监测发现工业互联网攻击事件102.62万次，环比上升97.1%，共涉及495家工业企业，较上月增加134家，主要原因为监测平台新增六盘水市的覆盖。截至11月末，监测联网工业企业3403家，其中重点工业企业609家。

从网络攻击类型方面看，漏洞利用攻击最多，共50.75万次，占网络攻击总数的49.5%;其次为异常流量事件，共33.38万次，占网络攻击总数的32.5%。恶意软件感染事件数量增幅最大，共0.73万次；木马后门事件数量降幅最大，环比下降75%。

从网络攻击来源方面看，由境外IP发起的网络攻击58.96万次，占网络攻击总量的57.5%，环比上升79.6%，其中源自美国的最多，发起网络攻击30.39万次，占境外网络攻击总数的51.5%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年11月，监测发现重点工业企业非法外联事件967次，占重点工业企业网络攻击总数的0.1%，环比上升56.7%。对非法外联事件进行分析，外联通信次数最多域名为hot.tenchier.com，威胁类型CoinMiner、WannaMine恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年11月，监测发现重点工业企业遭受的木马后门攻击数共565次，占重点工业企业网络攻击总数的0.07%，环比下降80.1%。活跃的木马后门威胁对象主要为Bladabindi backdoor ，远控通信域名为superyou.zapto.org，木马后门危害较大，涉及工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年11月，监测发现重点工业企业挖矿事件数共517次，占重点工业企业网络攻击总数的0.07%，环比下降61.6%。对挖矿事件分析发现，通信次数较多的矿池IP为13.248.252.114、76.223.54.146，挖矿客户端软件为XMRig/2.8.3 (Windows NT 6.1; Win64; x64)，感染挖矿木马病毒的主机为Windows。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

（四）恶意软件分析

2024年11月，监测发现重点工业企业恶意软件通信事件数共3238次，占重点工业企业网络攻击总数的0.4%。对恶意软件感染情况进行分析发现，通信次数较多的IP为220.85.164.108、121.154.69.21和175.215.223.247，感染最多的恶意软件为MALWARE-CNC Unix.Trojan.Mirai，感染恶意软件会导致主机远程控制和数据泄露，建议安装杀毒软件检测和清除计算机系统中的恶意软件。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年11月，向10家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在Springboot Actuator未授权访问漏洞

2024年11月，工业互联网安全漏洞检测发现贵州某企业的管理系统（http://111.*.*.40:18080）存在Springboot Actuator未授权访问漏洞，Actuator是Spring Boot提供的服务监控和管理中间件，但默认配置下存在接口未授权访问的风险，攻击者可以利用此漏洞访问敏感信息，如网站流量、内存信息、数据库连接信息等。/heapdump接口会暴露应用程序的内存和线程信息，可能被攻击者用于分析应用程序的内部状态，进而发动更精确的攻击。建议企业根据需求禁用全部或部分Actuator接口，及时升级到最新的版本，获取最新的安全修复。

案例2：贵州某企业存在代码文件泄露漏洞

2024年11月，工业互联网安全漏洞检测发现贵州某企业系统（http://58.*.*.207:8888）存在代码文件泄露漏洞，源代码文件压缩包可未授权公开访问下载，建议企业及时排查审计系统内可公开下载的文件，删除或者设置访问控制。