事件概述

近期，有客户反馈服务器文件被加密，新华三攻防实验室立即响应。在排查过程中，发现中毒主机上有大量MSSQL爆破日志及PowerShell运行日志。通过对日志及关联样本进行分析，最终判定此次攻击为“匿影”组织所为。