近日,微步安全服务团队日常巡检中发现,有攻击者仿冒了金融、央企等20多家企业的VPN站点,意图发起大规模水坑攻击,传播远控木马。
仿冒单位站点如下:
XXX资金清算中心有限责任公司VPN
XXX信VPN – 中国XX银行股份有限公司
上海XX交易所准入系统
XX信VPN – XX银行股份有限公司
XXX资金清算中心有限责任公司VPN
XX信VPN – XXXX银行股份有限公司
中国XXXX研究所 – XX专用VPN
中国XXXX集团有限公司VPN
XX信 VPN – 中国XX建X集团有限公司
上海XX交易所门户
中国第XXX集团有限公司
XXXhome科技有限
中国XX安全消防准入系统
中国XX集团XX公司
中国XXXX信息化平台专用VPN
中国XX安全消防准入系统
XX银行XX分行VPN系统
XX信 VPN – 中国XX建X集团有限公司
中国XXXX信息化平台专用VPN
XX银行XX分行VPN系统
中国XXX备集团有限公司
XX集团有限公司
XXXhome科技有限
国家XXXX信息中心
XX信息技术服务有限责任公司
中国XX证券股份有限公司
中国XX有限责任公司信息技术部
中国XX证券股份有限公司
XX信息技术服务有限责任公司
XX集团有限公司
XX银行股份有限公司准入系统
中国XXXX集团有限公司VPN
XX汽车集团有限公司 – Access
中国XXXX集团有限公司VPN
上海XX交易所门户
-
微步安全服务团队日常巡检发现,语雀平台上存在多个企业所谓“内部运维记录文档”,内含VPN服务地址、账号密码,但经过逐一排查,均非对应企业所有,怀疑攻击者仿冒文档发起水坑攻击; -
对仿冒站点下载的VPN应用进行分析,经微步云沙箱S检测并未发现异常,不过由于该VPN版本过于老旧,因此运行后被系统要求更新; -
在使用该VPN程序连接仿冒VPN地址,且安装更新包后,微步终端安全管理平台OneSEC检出软件更新包为远控木马,确定存在水坑攻击,属于典型的白加黑绕过手法; -
进一步通过微步X情报社区进行测绘发现,语雀平台以及GitHub上存在20多个类似仿冒站点,影响范围较大; -
8月9日傍晚,微步安全服务团队检测到所有仿冒站点统一下线,应为同一团伙所为。截至目前,上述相关下线站点均未再次上线,微步将对后续发展进行持续跟踪。
1. 攻击者仿冒了20多家金融机构、央企等的内部VPN应用下载站点,其中部分站点在GitHub、语雀平台上进行传播,对应仿冒站点均在7月26日之后上线。
|
|
|
|
|
|
|
|
|
;
|
|
|
|
|
|
|
|
|
微步终端安全平台OneSEC可对本事件中的恶意代码进行精准的检测,并详细记录所执行的恶意动作。以下是典型检测内容。
-
样本在内存中执行动态生成代码:
-
内存异常:
-
恶意代码加载执行后,会下发执行其他组件在终端上实现进一步的信息搜集。
-
清除附件恶意文件 C:\Users\Public\Libraries\gwupdate.exe; -
清除VPN软件安装目录下的恶意文件version.dll;
-
封禁loader地址120.26.59.198:443等。
47.99.85.25:443
原文始发于微信公众号(微步在线):警惕!大规模VPN水坑攻击来袭
