境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

威胁简报

日前,境外 APT 组织 Darkhotel(APT-C-06) 利用深信服 VPN 升级漏洞,对国内政府机构、重要企业实施网络攻击。攻击者利用深信服 M6.3R1 和 M6.1 版本的 VPN 服务器漏洞或弱口令实现入侵劫持,并修改控制服务器配置下发伪造升级程序 SangforUPD.exe (携带木马),进而获取受害主机的控制权,收集重要科研、政策情报,或盗取、破坏重要数据资产和基础设施。目前国内受影响节点数量超过 200,主要分布在北京、上海等重点经济区域。 深信服已经确认该漏洞,并发布相关补丁程序:

境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

威胁样本

本次涉及的远控木马之一 SangforUPD.exe 安装后能够形成对受害者持久化的控制,通过访问 C2 获取 shellcode 和下一阶段载荷进行进一步操作。以下是检测该样本的主机特征和网络特征。

伪装深信服 VPN 客户端程序,图标与真实图标相同。
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告
运行后拷贝自身到 appdata\roaming\sangfor\ssl\SangforUPD.exe
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告
木马程序加载后,使用 HTTP 协议连接 C2:103.216.221.19 时请求中携带特定字符串“------974767299852498929531610575”
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

**

**

影响范围 :

1. 据披露信息显示上百台 VPN 服务器遭到劫持;
2. 基于样本的创建时间和情报库关联时间判断,攻击活动开始于数月前;
3. 由于目前属于抗疫时期,远程办公用户颇多。受害者个人计算机上的重要文件和上网信息可能已遭泄露。

安全建议:

**
**

1. 第一时间自检 VPN 服务器是否存在漏洞并下载官方发布补丁,更新最新深信服 VPN 软件;
2. 利用杀毒引擎扫描主机目录“appdata\roaming\sangfor\ssl”、VPN 服务器目录“/sf/htdocsback/com/win/”,检测是否被植入木马;
3. 检查包含字符串“Sangfor”的主机启动项是否正常;
4. 网络管理员限制 VPN 服务器 4330 端口连接,仅允许少量授信用户访问;
5. 增强密码防护意识,个人和使用强密码;
6. 针对企业内网加强全流量分析,确认是否有其他木马及异常行为;

相关 IOC

103.216.221.19a32e1202257a2945bf0f878c58490af8c5d5cb99291fa4b2a68b5ea3ff9d9f9a967fcf185634def5177f74b0f703bdc0
文章来源:水滴安全实验室
猜你喜欢这是赤裸裸打网络安全从业者的脸!昨晚停网后,我写了一段代码破解了隔壁小姐姐的 wifi 密码 ...有黑客正在通过骨干网络发动中间人攻击 国内多个省市区均受攻击影响
女黑客盗取源代码预卖 1 亿美刀
手机坏了,微信的聊天记录能恢复吗?
最近收到 U 盘礼品,请注意!怎样从零学起成为一名黑客?
安装输入法后用户主页被篡改,男子“种木马”牟利被判刑
数以万计的私人 Zoom 录像被无意上传到视频云 供任何人在线观看
境外 APT 组织利用深信服 VPN 漏洞入侵事件通告

境外 APT 组织利用深信服 VPN 漏洞入侵事件通告你点的每个赞,我都认真当成了喜欢

来源链接:mp.weixin.qq.com