工业互联网网络安全情况通报（2025年第2期）

一、工业互联网安全监测情况

2025年2月，经监测发现工业互联网网络攻击238.31万次，环比下降12.1%，共涉及791家工业企业。截至2月末，监测联网工业企业3682家，其中重点工业企业725家。

从网络攻击类型方面看，主要以网络嗅探最多，共121.28万次，占网络攻击总数的50.9%；其次为异常流量，共36.65万次，占网络攻击总数的15.4%。挖矿事件数量增幅最大，环比上升147%；恶意软件数量降幅最大，环比下降71.8%。

从网络攻击来源方面看，监测发现由境外IP发起的网络攻击126.96万次，占网络攻击总量的53.3%，共遭受来自境外114个国家的网络攻击，以美国、英国和印度等国家居多，其中源自美国的最多，发起网络攻击69.58万次，占境外网络攻击总数的54.8%。

从地市遭受网络攻击方面看，本月网络攻击次数排名前三的地市为遵义市、黔南州和贵阳市，其中遵义市遭受网络攻击数量最多，共100.05万次，占网络攻击总数的41.98%。

二、工业互联网网络安全分析

（一）恶意软件分析

2025年2月，监测发现重点工业企业恶意软件通信共1.09万次，占重点工业企业网络攻击总数的0.7%，环比下降74.7%。对恶意软件感染情况进行分析发现，通信次数最多的IP为180.141.35.55，恶意软件为MALWARE-CNC Win.Trojan.NetWiredR，感染恶意软件会导致主机远程控制和数据泄露，建议安装杀毒软件检测和清除计算机系统中的恶意软件。

（二）非法外联分析

2025年2月，监测发现重点工业企业非法外联8659次，占重点工业企业网络攻击总数的0.6%，环比上升16.7%。对非法外联事件进行分析，通信次数最多的恶意域名为xmr.crypto-pool.fr、sim.jiovt.com，威胁类型主要为CoinMiner挖矿木马远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（三）挖矿事件分析

2025年2月，监测发现重点工业企业挖矿事件461次，占重点工业企业网络攻击总数的0.03%，环比上升166.5%。对挖矿事件分析发现，通信次数较多的矿池IP为13.248.169.48、76.223.54.146和217.156.66.145。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

三、重点工业企业网络安全通报

贵州省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2025年2月，向9家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在挖矿木马通信事件

2025年2月，平台监测发现贵州某企业IP（202.*.*.218）遭受网络攻击感染挖矿木马，存在与恶意IP 217.156.66.145的通信流量，从流量特征识别出登录矿池行为（"jsonrpc":"2.0","method":"login","params":{"login":"AI003","pass":"X20250115","agent":"XMRig/6.22.0 (Windows NT 10.0; Win64; x64) libuv/1.48.0 gcc/13.2.0"……}），感染挖矿木马的主机为Windows操作系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在FTP匿名访问漏洞

2025年2月，工业互联网安全漏洞检测发现贵州某企业系统（202.*.*.213）存在FTP匿名访问漏洞，FTP服务（21端口），可通过匿名漏洞直接登录FTP服务器，可下载敏感数据，上传恶意文件从而获取系统权限，建议企业关闭匿名登录功能，禁止将FTP服务在互联网开放，建议使用防火墙限制IP白名单等方式进行访问控制。