注意!终端管理工具MobaXterm中文版暗藏木马陷阱
一、概述
近期,奇安信网络安全部在日常运营过程中通过天擎EDR发现,有攻击者以知名终端管理工具MobaXterm中文版为诱饵传播木马程序,威胁情报中心跟进了此次事件,并进行了分析拓展。
MobaXterm本身有免费版本,但用户界面目前不支持中文,攻击者抓住了国内用户这方面的需求,在CSDN和知乎等社区平台发布文章推广带有后门的MobaXterm下载地址。下载得到的压缩包中携带恶意载荷,最终会加载Gh0st木马,执行远程控制和窃密行为。 二、事件详情
国内搜索引擎搜索"MobaXterm中文版",搜索结果中排名第一的文章就是在推广带毒的MobaXterm。
CSDN显示该用户于10月19日创建,目前已注销,从11月4日开始发布文章,发布的7篇文章基本是在推广带毒的MobaXterm应用。
攻击者在知乎也发布了一篇推广"MobaXterm中文版"的文章。
带毒应用的托管域名(mobaxterm[.]info)模仿成与MobaXterm有关。左上角包含MobaXterm图标的图片上还有CSDN水印("CSDN @cantaly"),水印中的ID(cantaly)也在该带毒应用的CSDN推广文章中出现。
而MobaXterm的官方网站域名为mobaxterm.mobatek.net。
攻击者使用的域名注册时间是11月3日,就在CSDN和知乎文章发布前不久。
该域名自注册以来的访问趋势如下。
三、样本行为
带毒应用的压缩包有如下内容,其中at.mdb文件是主要恶意载荷(后续也会从C2服务器再次拉取at.mdb)。
执行流程如下:
(1) MobaXtermPersonal.exe请求mobaxterm[.]info,下载3dsystem.exe;
(2) MobaXtermPersonal.exe以/f at.mdb参数启动3dsystem.exe,通过DCOM跨进程的方式绕过UAC,提权后的3dsystem.exe自我复制为DirectXh.exe、ManagerBack.exe,并放到不同目录下;
(3) 提权后的3dsystem.exe将DirectXh.exe注册为自启动服务实现持久化,DirectXh.exe作为服务启动后,进行联网行为,并加载文件at.mdb,最终执行Gh0st后门。
Gh0st后门的配置信息如下。
我们通过线索拓展,发现了在此次样本以外更多的与攻击活动相关的C2信息(详见IOC列表)。 四、总结
近年来,利用付费软件破解版和国外软件汉化版为诱饵的软件投毒事件层出不穷,软件使用者需要加强安全意识,仔细鉴别软件下载地址是否为真实官方地址,不使用网上来历不明的软件,避免成为网络攻击者的猎物。
奇安信红雨滴团队在此提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs SHA1 85382BF068218068C0946C15301CC7E949B21BA7 (MobaXtermPersonal.exe, 15609856 字节) 917B4816AA8C40A6F68B564D01E15FE7204D5600 (DirectXh.exe, 53688字节) A4B09B68DE8955B25A65C32C08BCB6A41314E7E7 (at.mdb, 2505216字节) C2 mobaxterm[.]info xumming[.]net www[.]supbrowser.[]com:80 abc[.]masktable[.]com www[.]masktable[.]com *.xumming[.]net *.mobaxterm[.]info *.supbrowser[.]com *.masktable[.]com *.hi4089[.]com macdn[.]cloudcache[.]org macache[.]globalacceleration[.]net xinggedafanzei[.]com qlxytj[.]xyz agentclub[.]shop agentclub[.]vip 103.29.70.153:443 43.154.38.3:443 43.155.103.75:443 13.212.84.85:443 154.204.56.229:443 URL hxxp://mobaxterm.info/soft/MobaXterm中文版.zip hxxp://mobaxterm.info/soft/3dsystem.exe hxxp://mobaxterm.info/soft/at.mdb
文章来源:奇安信威胁情报中心
剧毒植物知道哪些但是这些植物同样要知道,它们甚至碰一下就有生命危险。1。南天竹南天竹是一种有毒的植物,主要的毒性为南天竹碱南丁宁碱,而且整株都是有毒的,在养护期间不要用手摸,尤其是有伤口的植株,更
OPPOReno8科技感满满,前辈机皇猝不及防,新一波降价来袭每年衣服的流行色都在变,手机产品也不例外。想要得到当下年轻人的审美并不容易,但总有一些手机厂商不需要在意时尚潮流,因为不管什么颜色出来都会流行,就像我们今天要说的OPPOReno8
首个!北京擘盒科技有限公司入驻北京CBD全球创新创业云中心北京CBD全球创新创业云中心,是在数字世界中创造的集创新交流资本孵化与企业服务于一体的时空融合数字空间,是北京CBD数字经济发展的重要布局。云中心集合了创业辅导培训创业路演产品发布
电动旅游观光车有哪些用途?电动旅游观光车以其独特的用途,往返于主要旅游景点购物中心公园等游乐场所,不仅给游客带来快乐,而且减少了游客的疲劳,增加了旅途的乐趣。旅游观光车电动旅游观光车分为有轨道电动观光列车和
比特币白皮书中本聪抽象的。纯粹的点对点版本的电子现金将允许在线支付直接从一方发送到另一方,而无需通过金融机构。数字签名提供了部分解决方案,但如果仍然需要受信任的第三方来防止双重支出,那么主要的好处就
分布式存储成趋势!国内存储技术再突破,OPPO推动CubeFS发展近年来,随着科技的快速发展,大规模数据存储成为常态,超大容量快速变化的IO需求,对存储的弹性运维及TCO都提出了更高要求。因此传统存储已经不再能满足企业发展的需求,取而代之的是基于
SpringBoot自定义starter开发分布式任务调度实践概述需求在前面的博客Java定时器演进过程和生产级分布式任务调度ElasticJob代码实战中,我们已经熟悉ElasticJob分布式任务的应用,其核心实现为elasticjobl
多端开发用工具提升经验任何一种技术在所处的行业或边缘行业总会找到多多少少的相通之处。这种相通之处可以很好地让人去掌握及应用,但不能就行业间的差异带来实质性的成本下降,即使是行业自身内部的个性化差异也如此
晒干豆角,直接放太阳下晒不好吃容易坏,牢记2点,香味浓耐保存夏天光照时间长,温度高,雨水多,是植物们都非常喜欢的季节,仿佛有着吸收不完的阳光雨露,可以自由生长。所以夏天是四季中食材最为丰富的时候,这个季节的蔬菜新鲜又便宜。中国人一种有着居安
田径天才石雨豪跳远保持亚洲纪录,百米准备接棒苏炳添有一些上了年纪的体育迷肯定熟悉一个人美国田径选手卡尔刘易斯。此人不仅曾经是奥运会的百米飞人,也在跳远项目上一度独占鳌头。在自己的运动生涯中,他一共获得了5枚短跑金牌和4枚跳远金牌。
鸡蛋鸭蛋鹅蛋鹌鹑蛋,谁的营养价值更高?该怎么选择随着社会的发展经济的进步,人们的饮食结构也日益丰富起来,人们的餐桌上突然就多了许多营养丰富的食物。不仅有各种蔬菜,还有各种肉类以及各种饮料,这样很多人无从选择,他们都有各自的营养,