一、事件概述
接有关部门通报,VaevRAT木马属于银狐木马变种,发现攻击者仿冒火绒安全、Line聊天软件、有道翻译等,累计发现多个C2域名,解析地址大多指向161.248.87.250、161.248.87.175两个IP地址,近一个月内的被控制IP规模达到2.5万。
二、ValleyRAT木马传播方式
通过溯源分析,相关攻击者通过仿冒火绒安全、Line聊天软件、有道翻译等官方网站,诱导用户下载运行的方式传播ValevRAT木马。结合威胁情报、网络空间测绘、钓鱼网站的友情链接等数据,发现21个伪造的网站,其中12个仍然存活,包括huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdoq.com等。
三、结论和防范措施
为避免不必要的损失,建议通过官方网站统一采购、下载正版软件,尽量不打开来历不明的网页链接,不安装来源不明的软件,当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
如发生相关网络安全事件,各单位第一时间联系信息化工作办公室安全中心(联系电话:67885015),并采取有效措施将负面影响降到最低。
注:来源于教育部安管平台。
