近期,网络安全监测机构发现一个被称为“橙月”(OrangeMoon)的高级持续性威胁(APT)攻击活动在八月份异常活跃,其攻击频率和复杂性显著上升,对、金融、能源及高科技企业构成严重威胁。本预警旨在通报相关情况,提升各单位的防范意识与应对能力。
一、 威胁概况
“橙月”攻击组织通常利用鱼叉式钓鱼邮件、水坑攻击及漏洞利用链进行初始入侵。邮件主题常涉及行业会议邀请、政策更新通知、合作项目洽谈等,具有高迷惑性。附件或链接中携带的恶意文档会利用Office零日漏洞或已知漏洞(如CVE-2021-40444等)执行恶意代码。一旦得手,攻击者会投放多级后门,逐步渗透内网,窃取核心数据、加密关键文件或长期潜伏。
二、 攻击特征
1. 载荷投递:恶意文档多伪装为“.docx”、“.pdf”格式,启用宏或诱导启用编辑功能。近期出现利用合法软件(如远程管理工具)签名进行伪装的情况。
2. 通信隐蔽:使用加密通信与受控域名(常动态生成)联系命令与控制(C&C)服务器,通信流量混入正常HTTPS流量,难以识别。
3. 横向移动:入侵后,利用窃取的凭证、Pass-the-Hash等技术在内网横向扩散,重点搜索数据库服务器、文件共享服务器及开发环境。
4. 数据窃取:对敏感数据进行筛选、打包、压缩,采用分时段、小流量方式外传,避免触发流量告警。
三、 防护建议
1. 立即排查:检查八月份以来收到的可疑邮件,特别是发件人可疑、主题紧迫、要求启用宏或点击链接的邮件。审查内部服务器是否存在异常账号、计划任务及网络连接。
2. 强化防御:
及时更新操作系统、办公软件及安全软件,修补已知漏洞。
禁用Office宏执行,或设置为仅允许受信任位置宏运行。
部署终端检测与响应(EDR)系统,加强网络边界流量监控与异常行为分析。
对重要数据实施加密存储与访问审计,严格执行最小权限原则。
3. 提升意识:组织全员网络安全培训,强调不打开来源不明的邮件附件与链接,对内网异常现象(如系统变慢、未知进程)立即报告。
4. 应急准备:更新网络安全事件应急预案,确保隔离、排查、清除、恢复流程清晰。若已遭受攻击,立即隔离受影响系统,保留相关日志,并向主管单位及国家网络安全应急机构报告。
四、 总结
“橙月”威胁在橙色八月呈现高发态势,其手段专业、目标明确。各单位需保持高度警惕,将本预警内容传达至相关部门及人员,切实落实防护措施,确保网络与数据安全。
(落款单位)
网络安全应急响应中心
XXXX年XX月XX日