一、事件概述

接有關(guān)部門(mén)通報(bào)，ValleyRAT木馬屬于銀狐木馬變種，發(fā)現(xiàn)攻擊者仿冒火絨安全、Line聊天軟件、有道翻譯等，累計(jì)發(fā)現(xiàn)多個(gè)C2域名，解析地址大多指向161.248.87.250、161.248.87.175兩個(gè)IP地址，近一個(gè)月內(nèi)的被控制IP規(guī)模達(dá)到2.5萬(wàn)。

二、ValleyRAT木馬傳播方式

通過(guò)溯源分析，相關(guān)攻擊者通過(guò)仿冒火絨安全、Line聊天軟件、有道翻譯等官方網(wǎng)站，誘導(dǎo)用戶(hù)下載運(yùn)行的方式傳播ValleyRAT木馬。結(jié)合威脅情報(bào)、網(wǎng)絡(luò)空間測(cè)繪、釣魚(yú)網(wǎng)站的友情鏈接等數(shù)據(jù)，發(fā)現(xiàn)21個(gè)偽造的網(wǎng)站，其中12個(gè)仍然存活，包括huoronga.com、huorongsecurity.top、huorongpc.com、lineopc.com、youdaoq.com等（詳見(jiàn)附件）。

三、結(jié)論和防范措施

為避免不必要的損失，建議通過(guò)官方網(wǎng)站統(tǒng)一采購(gòu)、下載正版軟件，盡量不打開(kāi)來(lái)歷不明的網(wǎng)頁(yè)鏈接，不安裝來(lái)源不明的軟件，當(dāng)發(fā)現(xiàn)主機(jī)感染僵尸木馬程序后，立即核實(shí)主機(jī)受控情況和入侵途徑，并對(duì)受害主機(jī)進(jìn)行清理。

如發(fā)生網(wǎng)絡(luò)和數(shù)據(jù)安全事件，各單位應(yīng)按照教育系統(tǒng)網(wǎng)絡(luò)和數(shù)據(jù)安全事件應(yīng)急預(yù)案要求，及時(shí)報(bào)告并采取有效措施將負(fù)面影響降到最低。

特此通報(bào)。