威脅簡報

日前，境外APT組織Darkhotel(APT-C-06)利用深信服VPN升級漏洞，對國內政府機構、重要企業實施網絡攻擊。攻擊者利用深信服M6.3R1和M6.1版本的VPN服務器漏洞或弱口令實現入侵劫持，并修改控制服務器配置下發偽造升級程序SangforUPD.exe（攜帶木馬），進而獲取受害主機的控制權，收集重要科研、政策情報，或盜取、破壞重要數據資產和基礎設施。目前國內受影響節點數量超過200，主要分布在北京、上海等重點經濟區域。

深信服已經確認該漏洞，并發布相關補丁程序。

威脅樣本

本次涉及的遠控木馬之一SangforUPD.exe安裝后能夠形成對受害者持久化的控制，通過訪問C2獲取shellcode和下一階段載荷進行進一步操作。以下是檢測該樣本的主機特征和網絡特征。

偽裝深信服VPN客戶端程序，圖標與真實圖標相同。

運行后拷貝自身到appdata\roaming\sangfor\ssl\SangforUPD.exe

木馬程序加載后，使用HTTP協議連接C2：103.216.221.19時請求中攜帶特定字符串“------974767299852498929531610575”

影響范圍:

1. 據披露信息顯示上百臺VPN服務器遭到劫持；

2. 基于樣本的創建時間和情報庫關聯時間判斷，攻擊活動開始于數月前；

3. 由于目前屬于抗疫時期，遠程辦公用戶頗多。受害者個人計算機上的重要文件和上網信息可能已遭泄露。

安全建議：

1. 第一時間自檢VPN服務器是否存在漏洞并下載官方發布補丁，更新最新深信服VPN軟件；

2. 利用殺毒引擎掃描主機目錄“appdata\roaming\sangfor\ssl”、VPN服務器目錄“/sf/htdocsback/com/win/”，檢測是否被植入木馬；

3. 檢查包含字符串“Sangfor”的主機啟動項是否正常；

4.網絡管理員限制VPN服務器4330端口連接，僅允許少量授信用戶訪問；

5. 增強密碼防護意識，個人和使用強密碼；

6. 針對企業內網加強全流量分析，確認是否有其他木馬及異常行為；

相關IOC

103.216.221.19

a32e1202257a2945bf0f878c58490af8

c5d5cb99291fa4b2a68b5ea3ff9d9f9a

967fcf185634def5177f74b0f703bdc0

來源：水滴安全實驗室

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明