警惕！大规模VPN水坑攻击来袭

事件概述

近日，微步安全服务团队日常巡检中发现，有攻击者仿冒了金融、央企等20多家企业的VPN站点，意图发起大规模水坑攻击，传播远控木马。

鉴于本次攻击危害较大，可导致攻击者窃取敏感信息和远程控制受害终端，建议用户尽快封禁仿冒VPN服务站点以及相关C2地址，并检测、查杀恶意代码，IoC参见附录。

仿冒单位站点如下：

XXX资金清算中心有限责任公司VPN
XXX信VPN - 中国XX银行股份有限公司
上海XX交易所准入系统
XX信VPN - XX银行股份有限公司
XXX资金清算中心有限责任公司VPN
XX信VPN - XXXX银行股份有限公司
中国XXXX研究所 - XX专用VPN
中国XXXX集团有限公司VPN
XX信 VPN - 中国XX建X集团有限公司
上海XX交易所门户
中国第XXX集团有限公司
XXXhome科技有限
中国XX安全消防准入系统
中国XX集团XX公司
中国XXXX信息化平台专用VPN
中国XX安全消防准入系统
XX银行XX分行VPN系统
XX信 VPN - 中国XX建X集团有限公司
中国XXXX信息化平台专用VPN
XX银行XX分行VPN系统
中国XXX备集团有限公司
XX集团有限公司
XXXhome科技有限
国家XXXX信息中心
XX信息技术服务有限责任公司
中国XX证券股份有限公司
中国XX有限责任公司信息技术部
中国XX证券股份有限公司
XX信息技术服务有限责任公司
XX集团有限公司
XX银行股份有限公司准入系统
中国XXXX集团有限公司VPN
XX汽车集团有限公司 - Access
中国XXXX集团有限公司VPN
上海XX交易所门户

事件经过

微步安全服务团队日常巡检发现，语雀平台上存在多个企业所谓“内部运维记录文档”，内含VPN服务地址、账号密码，但经过逐一排查，均非对应企业所有，怀疑攻击者仿冒文档发起水坑攻击；
对仿冒站点下载的VPN应用进行分析，经微步云沙箱S检测并未发现异常，不过由于该VPN版本过于老旧，因此运行后被系统要求更新；
在使用该VPN程序连接仿冒VPN地址，且安装更新包后，微步终端安全管理平台OneSEC检出软件更新包为远控木马，确定存在水坑攻击，属于典型的白加黑绕过手法；
进一步通过微步X情报社区进行测绘发现，除语雀平台以及GitHub存在多个类似仿冒笔记外，互联网还存在20多个类似仿冒站点，影响范围较大；
8月9日傍晚，微步安全服务团队检测到所有仿冒站点统一下线，应为同一团伙所为。截至目前，上述相关下线站点均未再次上线，微步将对后续发展进行持续跟踪。