4月6日，深信服官方發表《關於境外非法組織利用深信服SSL VPN裝置下發惡意檔案併發起APT攻擊活動的說明》（詳見參考文獻），稱境外黑客組織利用其SSL VPN裝置發起惡意攻擊，綠盟科技威脅情報中心對該事件密切關注，對該事件做了整體的梳理和分析，提請廣大使用者關注自己的SSL VPN裝置，注意自查（受該事件影響的深信服SSL VPN裝置版本號為M6.3R1、M6.1版本），並及時更新相關補丁。

綠盟科技威脅情報中心已支援對該事件的檢測（網址：https://nti.nsfocus.com）。

事件概況

境外黑客組織通過非法手段控制部分深信服SSL VPN裝置，並利用客戶端升級漏洞（本次漏洞為SSL VPN裝置Windows客戶端升級模組簽名驗證機制的缺陷）下發惡意檔案到客戶端，從而進行APT攻擊活動，綠盟威脅情報中心已支援對該事件的IOC檢測，詳情如下：

涉及到該事件的C&C伺服器的威脅知識圖譜如下：

 

涉及到該事件的幾個典型惡意檔案詳情如下：

處置建議

1、 依照深信服官方給出的處置建議（詳見參考文獻），建議使用者限制外網或非信任IP訪問VPN伺服器的4430控制檯管理埠，阻斷黑客針對VPN伺服器管理後臺進行的攻擊；並儘快從官方渠道安裝相關補丁

2、 使用綠盟威脅情報中心釋出的IOC進行檢測，採用專殺工具對木馬檔案徹底查殺。

相關威脅情報

完整IOC（持續更新中）：

1、C&C：103.216.221.19

2、檔名：SangforUD.EXE，MD5：a32e1202257a2945bf0f878c58490af8,

3、檔名：SangforUD.EXE，MD5：967fcf185634def5177f74b0f703bdc0

4、檔名：SangforUD.EXE，MD5：c5d5cb99291fa4b2a68b5ea3ff9d9f9a

5、檔名：e58b8de07372b9913ca2fbd3b103bb8f.virus，

MD5：e58b8de07372b9913ca2fbd3b103bb8f

6、檔名：m.exe，MD5：429be60f0e444f4d9ba1255e88093721

7、檔名：93e9383ae8ad2371d457fc4c1035157d887a84bbfe66fbbb3769c5637de59c75，

MD5：18427cdcb5729a194954f0a6b5c0835a

8、檔名：SANARISOR.EXE，MD5：a93ece16bf430431f9cae0125701f527

參考文獻

https://mp.weixin.qq.com/s/lKp_3kPNEycXqfCnVPxoDw