工业互联网网络安全情况通报（2024年第12期）

一、工业互联网安全监测情况

2024年12月经监测发现工业互联网攻击事件239.78万次，环比上升133.7%，共涉及978家工业企业，较上月增加483家，主要原因为监测平台新增毕节市、铜仁市、黔东南州、黔西南州和黔南州的覆盖。截至2月末，监测联网工业企业3684家，其中重点工业企业725家。

从网络攻击类型方面看，主要以异常流量事件最多，共83.54万次，占网络攻击总数的34.8%；其次为漏洞利用攻击事件，共64万次，占网络攻击总数的26.7%。暴力破解攻击事件数量增幅最大，共21.28万次，数量是上月的183倍。

从网络攻击来源方面看，监测发现由境外IP发起的网络攻击共61.23万次，占网络攻击总量的25.5%，环比上升3.9%，其中源自美国的最多，发起网络攻击22.41万次，占境外网络攻击总数的36.6%。

二、工业互联网网络安全分析

（一）非法外联分析

2024年12月，监测发现重点工业企业非法外联事件1920次，占重点工业企业网络攻击总数的0.1%，环比上升98.6%。对非法外联事件进行分析,威胁类型主要为CobaltStrike恶意程序远控端，主动外联存在网络安全风险，疑似感染木马后门，建议企业根据威胁通报将恶意IP/域名在网络出口拦截通信，及时对内网主机进行病毒查杀。

（二）木马后门分析

2024年12月，监测发现重点工业企业遭受的木马后门攻击数共477次，占重点工业企业网络攻击总数的0.03%，环比下降15.6%。活跃的木马后门威胁对象主要为Bladabindi backdoor，远控通信域名为superyou.zapto.org，木马后门危害较大，涉及工业企业应高度重视，积极整改处置。

（三）挖矿事件分析

2024年12月，监测发现重点工业企业挖矿事件数共1112次，占重点工业企业网络攻击总数的0.07%，环比上升115.1%。对挖矿事件分析发现，通信次数较多的矿池IP为185.215.113.66、13.248.169.48。挖矿事件是主机被渗透成功获取服务器权限后，植入挖矿木马，造成计算资源和电力资源的大量消耗，同时加大企业数据泄露风险，企业应高度重视，及时整改处置。

（四）恶意软件分析

2024年12月，监测发现重点工业企业恶意软件通信事件数共10430次，占重点工业企业网络攻击总数的0.7%，环比上升217.7%。对恶意软件感染情况进行分析发现，通信次数较多的IP为202.104.66.210和101.32.199.27，感染较多的恶意软件为Unix.Trojan.Mirai和CoinMiner，感染恶意软件会导致主机远程控制和数据泄露，建议安装杀毒软件检测和清除计算机系统中的恶意软件。

三、重点工业企业网络安全通报

省通信管理局开展工业互联网安全威胁监测与通报，指导督促工业企业整改修复网络安全威胁。2024年12月，向13家重点工业企业下发威胁信息处置通知单和安全分析报告，网络安全通报案例如下：

案例1：贵州某企业存在挖矿木马通信事件

2024年12月，平台监测发现贵州某企业IP（119.*.*.70）遭受网络攻击感染挖矿木马，存在与恶意IP 141.94.115.174、64.120.114.165、188.165.76.243和85.31.47.166的通信流量，从流量特征识别出挖矿行为，挖矿客户端软件为XMRig/6.22.0 (Linux x86_64)，感染挖矿木马的主机为Linux操作系统。建议企业立即核查企业局域网中与矿池IP通信的主机，对主机进行病毒查杀，漏洞扫描与修复，清除后门、异常进程、服务、系统账号和计划任务等。

案例2：贵州某企业存在弱口令漏洞

2024年12月，工业互联网安全漏洞检测发现贵州某企业系统（http://111.*.*.41:4200）存在弱口令漏洞，建议企业及时进行账户审计，排查所有账户弱口令情况，建议口令应满足一定的复杂度，信息安全最佳实践的密码策略密码必须包含大写字母、小写字母、数字和特殊符号，长度大于8位。