连续6年不跑路的安全速度最适合国人VPN
事件概述
近日,奇安信威胁情报中心在日常分析中发现一个伪装成快连VPN的恶意安装包。该安装包在运行后,除了释放正常签名的快连VPN安装软件外,还暗中植入定制化版本的gh0st远控木马。这一事件引发了安全专家的高度关注。
团伙背景
金眼狗(奇安信内部跟踪编号APT-Q-27)是一个针对东南亚博彩、狗推相关人员及海外华人群体的黑客团伙。其业务范围包括远程控制、挖矿、DDoS攻击等,且与奇安信追踪的更大攻击团伙Miuuti Group有关。金眼狗团伙曾多次利用水坑网站托管恶意软件安装包,向受害者设备植入木马。
攻击流程分析
以快连VPN恶意安装包为例,攻击流程如下:
水坑网站
搜索引擎中搜索“快连VPN”时,可能出现托管恶意安装包的水坑网站(letssvpn[.]vip),该域名模仿快连VPN的英文名。攻击者可能对该网站进行了SEO优化,使其出现在搜索结果首页。
安装程序
恶意安装包的基本信息如下:
- MD5: dddbd75aab7dab2bde4787001fd021d3
- 文件名: Kuaivpn-n-3.msi
- 文件大小: 43.34 MB
- 上传时间: 2024-03-12 09:52:33 UTC
其中包含kuaivpn.exe文件,安装程序将其释放到C:\Program Files\Kuaivpn\Kuaivpn\Kuai\tdata\emoji目录下并运行。
木马植入
kuaivpn.exe释放了一个ZIP压缩包,其中包含正常的快连VPN安装程序。随后,该程序从内部嵌套的数据中解密出一个DLL文件并加载,调用其导出函数_levnc。
Loader
fhbemb.exe通过动态加载调用libemb.dll的导出函数ProcessMain。该恶意DLL为Loader程序,查找同目录下的LP.TXT文件,从中解密出远控木马并加载运行。
木马特征
木马程序为修改版的gh0st RAT,内置多个C2服务器的IP和端口,支持通过插件扩展功能,具有多种控制指令。
防护建议
奇安信威胁情报中心提醒用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明链接,不点击未知来源的邮件附件,及时备份重要文件并更新安装补丁。
结论
近年来,伪装成正常软件应用的攻击事件频发,攻击者利用虚假的软件下载网站来提高可信度。用户在下载和安装软件时应保持警惕,确保软件来源的安全,以防止恶意代码的植入。
相关MD5信息
- 恶意安装包: dddbd75aab7dab2bde4787001fd021d3
- Telegram伪装包: 2d1b91d56e5ef47fa06e8e5ed2fe0b2c
- Potato伪装包: a183c68b826104404e85fc05aacd58bf
注意: 在下载任何软件前,请务必确认其来源的安全性,避免遭受恶意软件攻击。
