长亭百川云 - 文章详情

警惕!大规模VPN水坑攻击来袭

ThreatBook

72

2024-08-12

1

事件概述

近日,微步安全服务团队日常巡检中发现,有攻击者仿冒了金融、央企等20多家企业的VPN站点,意图发起大规模水坑攻击,传播远控木马。


鉴于本次攻击危害较大,可导致攻击者窃取敏感信息和远程控制受害终端,建议用户尽快封禁仿冒VPN服务站点以及相关C2地址,并检测、查杀恶意代码,IoC参见附录。

仿冒单位站点如下:

XXX资金清算中心有限责任公司VPN
XXX信VPN - 中国XX银行股份有限公司
上海XX交易所准入系统
XX信VPN - XX银行股份有限公司
XXX资金清算中心有限责任公司VPN
XX信VPN - XXXX银行股份有限公司
中国XXXX研究所 - XX专用VPN
中国XXXX集团有限公司VPN
XX信 VPN - 中国XX建X集团有限公司
上海XX交易所门户
中国第XXX集团有限公司
XXXhome科技有限
中国XX安全消防准入系统
中国XX集团XX公司
中国XXXX信息化平台专用VPN
中国XX安全消防准入系统
XX银行XX分行VPN系统
XX信 VPN - 中国XX建X集团有限公司
中国XXXX信息化平台专用VPN
XX银行XX分行VPN系统
中国XXX备集团有限公司
XX集团有限公司
XXXhome科技有限
国家XXXX信息中心
XX信息技术服务有限责任公司
中国XX证券股份有限公司
中国XX有限责任公司信息技术部
中国XX证券股份有限公司
XX信息技术服务有限责任公司
XX集团有限公司
XX银行股份有限公司准入系统
中国XXXX集团有限公司VPN
XX汽车集团有限公司 - Access
中国XXXX集团有限公司VPN
上海XX交易所门户


2

事件经过

  1. 微步安全服务团队日常巡检发现,语雀平台上存在多个企业所谓“内部运维记录文档”,内含VPN服务地址、账号密码,但经过逐一排查,均非对应企业所有,怀疑攻击者仿冒文档发起水坑攻击;

  2. 对仿冒站点下载的VPN应用进行分析,经微步云沙箱S检测并未发现异常,不过由于该VPN版本过于老旧,因此运行后被系统要求更新;

  3. 在使用该VPN程序连接仿冒VPN地址,且安装更新包后,微步终端安全管理平台OneSEC检出软件更新包为远控木马,确定存在水坑攻击,属于典型的白加黑绕过手法;

  4. 进一步通过微步X情报社区进行测绘发现,除语雀平台以及GitHub存在多个类似仿冒笔记外,互联网还存在20多个类似仿冒站点,影响范围较大;

  5. 8月9日傍晚,微步安全服务团队检测到所有仿冒站点统一下线,应为同一团伙所为。截至目前,上述相关下线站点均未再次上线,微步将对后续发展进行持续跟踪。



3

主要攻击步骤

1. 攻击者仿冒了20多家金融机构、央企等的内部VPN应用下载站点,其中部分站点在GitHub、语雀平台上进行传播,对应仿冒站点均在7月26日之后上线。

图:伪造公司内部OA登录入口,诱导用户访问仿冒VPN站点

图:仿冒VPN下载页面

2. 通过仿冒站点下载后会得到一个正常的VPN安装包GWSetup.exe,该文件本身并非恶意,具备合法数字签名。

静态信息如下:

| SHA256 | eab58c18fa7a36d77cb0d62c73b0d5ad674f1a37a1073d5ba50d7e12ee7efcee |
| 样本大小
| 8.01 MB |
| 样本格式 | PE32 |


3. 安装后,点击运行该VPN软件,由于版本为2022年,触发更新需求。

4. 填入上述伪造OA页面中给出的VPN连接地址47.100.204.210,VPN程序执行下载更新任务,更新过程中下载恶意DLL文件,下载完成后该VPN程序加载恶意DLL文件,导致执行木马。经微步测试,使用最新版VPN连接该恶意IP仍会触发下载恶意DLL并执行恶意行为。

5. 更新完毕后会发现在安装目录多了几个文件。

前缀为skin的为皮肤文件,而version.dll则是黑DLL,其静态信息如下:

| SHA256 | bebbb1bb1394d4bce92f85d90145eeee9406c2fef2b5580eed6fe10f7577335b |
| 样本大小
| 10.08 MB |
| 样本格式 | DLL


|


4

EDR检测

微步终端安全平台OneSEC可对本事件中的恶意代码进行精准的检测,并详细记录所执行的恶意动作。以下是典型检测内容。

  • 样本在内存中执行动态生成代码:

  • 内存异常:

  • 恶意代码加载执行后,会下发执行其他组件在终端上实现进一步的信息搜集。


5

处置建议

  • 清除附件恶意文件 C:\Users\Public\Libraries\gwupdate.exe;

  • 清除VPN软件安装目录下的恶意文件version.dll;

  • 封禁loader地址120.26.59.198:443等。


附录-IOC



C2:

47.99.85.25:443

loader:

47.100.204.210:443

120.26.59.198:443

120.55.14.61:443

101.37.253.250:443

47.100.240.59:443



· END ·

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2