近日，三六零集团(股票代码：601360.SH，以下简称“360”)网络安全响应中心（以下简称“360CERT”）发布《网络安全十二月月报》（以下简称“十二月月报”），对十二月份安全漏洞分析、网络安全重大事件、勒索病毒攻击态势等内容进行了梳理，为网络安全等相关人员提供精准的网络安全态势走向，便于更好的掌握网络安全发展趋势。

本月攻击态势主要聚焦了僵尸网络攻击、钓鱼邮件攻击和针对Web应用和数据库的攻击三方面。12月份Windows平台僵尸网络总体攻击趋势相对较为平稳，未⻅较⼤幅度的增⻓或减少。但值得注意的是，“8220”挖矿僵尸网络将Apache Log4j2远程代码执⾏漏洞CVE2021-44228加⼊武器库中，并利⽤该漏洞对⽹络中暴露的致远OA发起攻击。

此外，在钓鱼邮件攻击方面，钓鱼攻击趋势相比较11月有所上涨，原因在于Emotet僵⼫⽹络在本月提高了攻击频次。Emotet僵尸网络重新运作之后，对其攻击⽅式进⾏了较⼤的改动在钓⻥恶意⽂档的使⽤上，使⽤了带有Office DDE的⽂档作为钓⻥载荷；在恶意代码的执行为式上，使⽤rundll32加载恶意dll的方式代替过去的使⽤PowerShell执行恶意代码的方式。由于Emotet僵尸网络的活跃，本月钓鱼攻击趋势大大受到Emotet僵尸网络攻击趋势的影响。

安全漏洞

2021年12⽉，360CERT共收录27个漏洞，其中严重8个，⾼危15个，中危4个。主要漏洞类型包含代码执⾏、权限提升、缓冲区溢出、SQL注⼊等。涉及的⼚商主要是Apache 、Windows、Google、Mozilla等。

其中，最为值得关注的是Apache Log4j 2远程代码执⾏漏洞。12月9日，360CERT监测发现Apache Log4j 2存在JNDI远程代码执⾏，漏洞编号：CVE-2021-44228，漏洞等级：严重，漏洞评分：10.0。

Apache Log4j 2是⼀个开源的⽇志记录组件，使⽤⾮常的⼴泛。Apache Log4j2 2.0-beta9 ⾄ 2.15.0（安全版本 2.12.2、2.12.3 和 2.3.1 除外）配置、⽇志消息和参数中使⽤的 JNDI 功能部件不能防范攻击者控制的 LDAP 和其他与 JNDI 相关的端点。启⽤消息查找替换后，能够控制⽇志消息或⽇志消息参数的攻击者可以执⾏从 LDAP 服务器加载的任意代码。

安全事件

本月收录安全事件251项，话题集中在数据泄露、恶意程序、⽹络攻击⽅⾯，涉及的组织 有：Microsoft 、Google 、Twitter 、Facebook、Apple、FBI、YouTube等。涉及的⾏业主要包含IT服务业、制造业、⾦融业、政府机关及社会组织、医疗⾏业等。

在十二月月报中，重点梳理了10起APT事件。其中Lazarus组织伪造洛克希德·⻢丁⼯作机会的攻击活动为本期热点。2021年下半年，360高级威胁研究院发现了来⾃同⼀个组织Lazarus的多起攻击活动，根据该组织的攻击特征分析显⽰，发现该组织利⽤其特有攻击载荷NukeSped进⾏攻击活动，该攻击载荷是Lazarus组织御用攻击武器，根据之前卡巴斯基披露该载荷的相关分析，可以看出其武器后⻔功能丰富，且该样本迭代较快，本次捕获样本为未披露过的NukeSped相关类型样本。

此外，在十二月月报中，还重点回顾了包括恶意程序事件、数据安全事件、网络攻击事件和其他事件在内的14起重点事件，并梳理了安全事件的时间线。

恶意程序

2021年12月，全球新增的活跃勒索病毒家族有: CarckVirus、Miner、Razer、Youneedtopay、Bl@ckt0r、Karakurt等家族，其中Bl@ckt0r、Karakurt为本⽉新增的双重勒索病毒家族。其中消失很⻓⼀段时间的TellYouThePass勒索病毒家族通过利用Log4j2漏洞卷⼟重来。

此外，针对本⽉勒索病毒受害者所中勒索病毒家族进⾏统计，Magniber家族占⽐43.64%居⾸位，其次是占⽐11.01% 的TellYouThePass，phobos家族以9.87%位居第三。根据360安全⼤脑监控到的数据看，从12⽉初开始，攻击者开始利⽤最新的Log4j2漏洞传播TellYouThePass勒索病毒家族，使⽤致远OA⽤⼾受灾严重。

从360解密大师本月解密数据看，解密量最⼤的是Sodinokibi，其次是GandCrab。使⽤解密⼤师解密⽂件的⽤⼾数量最⾼的是被Crysis家族加密的设备，其次是被 CryptoJoker家族加密的设备。

面对严峻的勒索病毒威胁态势，360安全⼤脑分别为个人用户和企业用户给出有针对性的安全建议。希望能够帮助尽可能多的用户全方位的保护计算机安全，免受勒索病毒感染。并在十二月月报中重点提示：无论是个⼈用户还是企业用户，都不建议支付赎金。支付赎⾦不仅变相鼓励了勒索攻击行为，而且解密的过程还可能会带来新的安全风险。可以尝试通过备份、数据恢复、数据修复等手段挽回部分损失。