1
事件概述
近日,微步安全服务团队日常巡检中发现,有攻击者仿冒了金融、央企等20多家企业的VPN站点,意图发起大规模水坑攻击,传播远控木马。
鉴于本次攻击危害较大,可导致攻击者窃取敏感信息和远程控制受害终端,建议用户尽快封禁仿冒VPN服务站点以及相关C2地址,并检测、查杀恶意代码,IoC参见附录。
仿冒单位站点如下:
XXX资金清算中心有限责任公司VPN
XXX信VPN - 中国XX银行股份有限公司
上海XX交易所准入系统
XX信VPN - XX银行股份有限公司
XXX资金清算中心有限责任公司VPN
XX信VPN - XXXX银行股份有限公司
中国XXXX研究所 - XX专用VPN
中国XXXX集团有限公司VPN
XX信 VPN - 中国XX建X集团有限公司
上海XX交易所门户
中国第XXX集团有限公司
XXXhome科技有限
中国XX安全消防准入系统
中国XX集团XX公司
中国XXXX信息化平台专用VPN
中国XX安全消防准入系统
XX银行XX分行VPN系统
XX信 VPN - 中国XX建X集团有限公司
中国XXXX信息化平台专用VPN
XX银行XX分行VPN系统
中国XXX备集团有限公司
XX集团有限公司
XXXhome科技有限
国家XXXX信息中心
XX信息技术服务有限责任公司
中国XX证券股份有限公司
中国XX有限责任公司信息技术部
中国XX证券股份有限公司
XX信息技术服务有限责任公司
XX集团有限公司
XX银行股份有限公司准入系统
中国XXXX集团有限公司VPN
XX汽车集团有限公司 - Access
中国XXXX集团有限公司VPN
上海XX交易所门户
2
事件经过
微步安全服务团队日常巡检发现,语雀平台上存在多个企业所谓“内部运维记录文档”,内含VPN服务地址、账号密码,但经过逐一排查,均非对应企业所有,怀疑攻击者仿冒文档发起水坑攻击;
对仿冒站点下载的VPN应用进行分析,经微步云沙箱S检测并未发现异常,不过由于该VPN版本过于老旧,因此运行后被系统要求更新;
在使用该VPN程序连接仿冒VPN地址,且安装更新包后,微步终端安全管理平台OneSEC检出软件更新包为远控木马,确定存在水坑攻击,属于典型的白加黑绕过手法;
进一步通过微步X情报社区进行测绘发现,除语雀平台以及GitHub存在多个类似仿冒笔记外,互联网还存在20多个类似仿冒站点,影响范围较大;
8月9日傍晚,微步安全服务团队检测到所有仿冒站点统一下线,应为同一团伙所为。截至目前,上述相关下线站点均未再次上线,微步将对后续发展进行持续跟踪。
3
主要攻击步骤
图:伪造公司内部OA登录入口,诱导用户访问仿冒VPN站点
图:仿冒VPN下载页面
2. 通过仿冒站点下载后会得到一个正常的VPN安装包GWSetup.exe,该文件本身并非恶意,具备合法数字签名。
静态信息如下:
| SHA256 | eab58c18fa7a36d77cb0d62c73b0d5ad674f1a37a1073d5ba50d7e12ee7efcee |
| 样本大小
| 8.01 MB |
| 样本格式 | PE32 |
3. 安装后,点击运行该VPN软件,由于版本为2022年,触发更新需求。
4. 填入上述伪造OA页面中给出的VPN连接地址47.100.204.210,VPN程序执行下载更新任务,更新过程中下载恶意DLL文件,下载完成后该VPN程序加载恶意DLL文件,导致执行木马。经微步测试,使用最新版VPN连接该恶意IP仍会触发下载恶意DLL并执行恶意行为。
;
5. 更新完毕后会发现在安装目录多了几个文件。
前缀为skin的为皮肤文件,而version.dll则是黑DLL,其静态信息如下:
| SHA256 | bebbb1bb1394d4bce92f85d90145eeee9406c2fef2b5580eed6fe10f7577335b |
| 样本大小
| 10.08 MB |
| 样本格式 | DLL
|
4
EDR检测
微步终端安全平台OneSEC可对本事件中的恶意代码进行精准的检测,并详细记录所执行的恶意动作。以下是典型检测内容。
5
处置建议
清除附件恶意文件 C:\Users\Public\Libraries\gwupdate.exe;
清除VPN软件安装目录下的恶意文件version.dll;
封禁loader地址120.26.59.198:443等。
附录-IOC
C2:
47.99.85.25:443
loader:
47.100.204.210:443
120.26.59.198:443
120.55.14.61:443
101.37.253.250:443
47.100.240.59:443
· END ·