一、事件概述
接有关部门通报,ValleyRAT木马属于银狐木马变种,发现攻击者仿冒火绒安全、Line聊天软件、有道翻译等,累计发现多个C2域名,解析地址大多指向161.248.87.250、161.248.87.175两个IP地址,近一个月内的被控制IP规模达到2.5万。
二、ValleyRAT木马传播方式
通过溯源分析,相关攻击者通过仿冒火绒安全、Line聊天软件、有道翻译等官方网站,诱导用户下载运行的方式传播ValleyRAT木马。结合威胁情报、网络空间测绘、钓鱼网站的友情链接等数据,发现21个伪造的网站,其中12个仍然存活,包括huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdaoq.com等(详见附件)。
三、结论和防范措施
为避免不必要的损失,建议通过官方网站统一采购、下载正版软件,尽量不打开来历不明的网页链接,不安装来源不明的软件,当发现主机感染僵尸木马程序后,立即核实主机受控情况和入侵途径,并对受害主机进行清理。
如发生网络和数据安全事件,各单位应按照教育系统网络和数据安全事件应急预案要求,及时报告并采取有效措施将负面影响降到最低。
特此通报。
