注意！终端管理工具MobaXterm中文版暗藏木马陷阱

近期，奇安信网络安全部在日常运营过程中通过天擎EDR发现，有攻击者以知名终端管理工具MobaXterm中文版为诱饵传播木马程序，威胁情报中心跟进了此次事件，并进行了分析拓展。

MobaXterm本身有免费版本，但用户界面目前不支持中文，攻击者抓住了国内用户这方面的需求，在CSDN和知乎等社区平台发布文章推广带有后门的MobaXterm下载地址。下载得到的压缩包中携带恶意载荷，最终会加载Gh0st木马，执行远程控制和窃密行为。

(1) MobaXtermPersonal.exe请求mobaxterm[.]info，下载3dsystem.exe；

(2) MobaXtermPersonal.exe以/f at.mdb参数启动3dsystem.exe，通过DCOM跨进程的方式绕过UAC，提权后的3dsystem.exe自我复制为DirectXh.exe、ManagerBack.exe，并放到不同目录下；

(3) 提权后的3dsystem.exe将DirectXh.exe注册为自启动服务实现持久化，DirectXh.exe作为服务启动后，进行联网行为，并加载文件at.mdb，最终执行Gh0st后门。

近年来，利用付费软件破解版和国外软件汉化版为诱饵的软件投毒事件层出不穷，软件使用者需要加强安全意识，仔细鉴别软件下载地址是否为真实官方地址，不使用网上来历不明的软件，避免成为网络攻击者的猎物。

奇安信红雨滴团队在此提醒广大用户，切勿打开社交媒体分享的来历不明的链接，不点击执行未知来源的邮件附件，不运行夸张标题的未知文件，不安装非正规途径来源的APP。做到及时备份重要文件，更新安装补丁。

若需运行，安装来历不明的应用，可先通过奇安信威胁情报文件深度分析平台（https://sandbox.ti.qianxin.com/sandbox/page）进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

SHA1

85382BF068218068C0946C15301CC7E949B21BA7 （MobaXtermPersonal.exe, 15609856 字节）

917B4816AA8C40A6F68B564D01E15FE7204D5600 （DirectXh.exe, 53688字节）

A4B09B68DE8955B25A65C32C08BCB6A41314E7E7 （at.mdb, 2505216字节）

C2

mobaxterm[.]info

xumming[.]net

www[.]supbrowser.[]com:80

abc[.]masktable[.]com

www[.]masktable[.]com

*.xumming[.]net

*.mobaxterm[.]info

*.supbrowser[.]com

*.masktable[.]com

*.hi4089[.]com

macdn[.]cloudcache[.]org

macache[.]globalacceleration[.]net

xinggedafanzei[.]com

qlxytj[.]xyz

agentclub[.]shop

agentclub[.]vip

103.29.70.153:443

43.154.38.3:443

43.155.103.75:443

13.212.84.85:443

154.204.56.229:443

URL

hxxp://mobaxterm.info/soft/MobaXterm中文版.zip

hxxp://mobaxterm.info/soft/3dsystem.exe

hxxp://mobaxterm.info/soft/at.mdb