MobaxTerm本身具有免费版本，但是用户界面当前不支持中文。攻击者抓住了国内用户的需求，并在CSDN和Zhihu等社区平台上发表了文章，以促进使用后门的Mobaxterm下载地址。下载的压缩软件包带有恶意有效载荷，并最终将加载GH0st Trojan以执行遥控和窃取。

二、事件详情

国内搜索引擎搜索“ Mobaxterm中文版本”，而搜索结果中的第一篇文章是促进有毒的Mobaxterm。

CSDN显示用户是在10月19日创建的，已被取消。它已于11月4日发表。发表的7篇文章基本上是在促进有毒的Mobaxterm应用程序。

攻击者还发表了一篇文章，宣传了Zhihu上的“ Mobaxterm中文版本”。

带有毒药应用程序的托管域名（MobaxTerm [。] Info）被模仿与MobaxTerm有关。在左上角包含MobaxTerm图标的图像上，还有一个CSDN水印（“ CSDN @cantaly”）。水印中的ID（Cantaly）也出现在CSDN促销文章中，并具有有毒应用。

Mobaxterm官方网站的域名是Mobaxterm.mobatek.net。

攻击者使用的域名于11月3日注册，不久之后CSDN和Zhihu文章发表。

该域名的访问趋势由于其注册如下。

三、样本行为

带有毒药应用程序的压缩软件包具有以下内容，at.mdb文件是主要的恶意有效负载（AT.MDB也将来还将从C2服务器再次提取）。

执行过程如下：

（1）mobaxTermPersonal.exe请求mobaxterm [。]信息并下载3DSystem.exe;

（3）权威升级后，3DSystem.EXE将DirectXH.EXE作为实现持久性的自动服务。 DirectXH.exe作为服务启动后，它进行网络行为并加载文件为.mdb，并最终执行GH0ST后门。

GH0ST后门的配置信息如下。

通过线索扩展，我们发现了更多与此样本之外攻击活动相关的C2信息（有关详细信息，请参见IOC列表）。

四、总结

近年来，软件中毒事件已在许多方面使用付费软件破解版本和外国软件中文版本作为诱饵出现。软件用户需要加强其安全意识，仔细确定软件下载地址是否是真正的官方地址，并且不使用Internet上具有未知来源的软件以避免成为网络攻击者的猎物。

如果您需要运行并安装未知来源的应用程序，则可以首先使用Qianxin威胁智能文件深入分析平台（3https://sandbox.ti.qianxin.com/sandbox/page）。当前，它支持对包括Windows和Android平台在内的各种格式的文件进行深入分析。

目前，基于Qi\’anxin威胁智能中心的威胁智能数据的全部产品，包括Qi\’anxin威胁智能智能平台（TIP），Tianqing，Tianyan Advanced Thratext Thratection检测系统，Qi\’anxin ngsoc，Qi\’anxin ngsoc，Qi\’anxin Capitys et et et et et et Qi\’anxin Cations warnessions at Awareneses at Awareness at Awarenese at Awarenese at Awaression，已支持对此类攻击的精确检测。