一、事件概述
接有关部门通报,ValleyRAT木马属于银狐木马变种,发现攻击者仿冒火绒安全、Line聊天软件、有道翻译等,累计发现多个C2域名,解析地址大多指向161.248.87.250、161.248.87.175两个IP地址,近一个月内的被控制IP规模达到2.5万。
二、ValleyRAT木马传播方式
通过溯源分析,相关攻击者通过仿冒火绒安全、Line聊天软件、有道翻译等官方网站,诱导用户下载运行的方式传播ValleyRAT木马。结合威胁情报、网络空间测绘、钓鱼网站的友情链接等数据,发现21个伪造的网站,其中12个仍然存活,包括huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdaoq.com等。
三、防范处置措施
为避免不必要的损失,建议通过官方网站统一采购、下载正版软件,尽量不打开来历不明的网页链接,不安装来源不明的软件,当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行病毒查杀、隔离清理。
| 序号 |
仿冒网站域名 |
仿冒对象 |
存活状态 |
| 1 |
huoronga.com |
火绒 |
存活 |
| 2 |
huorongsecurity.top |
火绒 |
存活 |
| 3 |
huorongpc.com |
火绒 |
存活 |
| 4 |
huorongcn.com |
火绒 |
不存活 |
| 5 |
huorongh.com |
火绒 |
不存活 |
| 6 |
huorongs.com |
火绒 |
不存活 |
| 7 |
pc-huorong.com |
火绒 |
不存活 |
| 8 |
huorong-zh.com |
火绒 |
不存活 |
| 9 |
win-huorong.com |
火绒 |
不存活 |
| 10 |
huoronge.com |
火绒 |
不存活 |
| 11 |
huorongr.com |
火绒 |
不存活 |
| 12 |
huorongt.com |
火绒 |
不存活 |
| 13 |
googleyzq1.com |
Google Authenticator验证器 |
存活 |
| 14 |
lineopc.com |
Line聊天软件 |
存活 |
| 15 |
linerpc.com |
Line聊天软件 |
存活 |
| 16 |
kuaifancn.com |
快帆VPN |
存活 |
| 17 |
youdaou.com |
有道翻译 |
存活 |
| 18 |
youdaoq.com |
有道翻译 |
存活 |
| 19 |
telegramrn.org |
Telegram聊天软件 |
存活 |
| 20 |
teamsqs.com |
Teams协同办公 |
存活 |
| 21 |
gmailpc.com |
Gmail邮箱 |
存活 |
