概述
自2025年初以来, DeepSeek作为国内领先的大语言模型迅速走红,其本地部署需求呈现指数级增长,与此同时,在开发者社区广泛传播的“一条命令完成私有化部署”、“消费级显卡推理优化”等便捷方案,却成为黑产组织绘制定向攻击蓝图的技术路标。
奇安信威胁情报中心近期捕获的多个伪造DeepSeek本地部署工具包,经关联溯源分析显示:攻击者首先构建高仿的水坑网站,之后再针对“DeepSeek本地部署”、“深度求索”等高频检索关键词实施搜索引擎投毒。此类攻击手法与此前披露的善于使用银狐等木马的黑产组织UTG-Q-1000历史活动及技术手段存在同源性。
攻击方式
该团伙制作并部署高度仿制水坑网站的方式诱骗相关用户下载安装其伪造的DeepSeek本地部署工具:
攻击者编写的木马通过在安装包中内置正常DeepSeek本地部署工具安装程序进行伪装:
样本分析
该示例样本使用常见黑产手法,将黑DLL隐藏在MSI安装包中:
随着受害者运行安装包将调用黑DLL的恶意导出函数:
该黑DLL内嵌了压缩包,运行过程中使用硬编码的密码 "puli@09" 将下一阶段所需文件解压到ProgramData目录下:
解压的下一阶段文件包含了一个黑DLL文件 "UnityPlayer.dll" 及两个伪装成PNG格式的恶意文件 "data.ini"、"view.res":
UnityPlayer.dll主要作用分为两部分:
1. 读取文件 "view.res" 中内嵌的shellcode代码写入注册表 "AiServer"。
2. 读取并执行文件 "data.ini" 中内嵌的shellcode代码,这段shellcode将会利用PoolParty技术对explorer.exe进行注入:
此时注入explorer.exe的新shellcode代码将解密一个DLL并调用,该DLL将会启动一个新的 "explorer.exe" 进程同时注入之前写入注册表 "AiServer" 的shellcode代码:
注册表 "AiServer" 的shellcode代码将解密出最终的Payload,经过分析确认payload为银狐WinOS远控,硬编码C2服务器地址为 "47.76.197.205:4433/47.76.197.205:10443" :
关联
此次DeepSeek本地化部署事件通过关联分析,除样本的技术手段与UTG-Q-1000团伙一致外,其资产也与该团伙存在重叠,同时我们在回溯过程中发现同一技术手段及黑文件被运用在UTG-Q-1000团伙的“财务组”,因此我们将本次仿冒deepseek本地化部署的攻击事件归属到UTG-Q-1000。有关UTG-Q-1000的介绍,可以参考去年发布的 《“银狐”攻击事件频发,幕后黑产组织UTG-Q-1000起底》[1]。
UTG-Q-1000此前还搭建了DeepSeek聊天客户端的水坑网站:
值得注意的是,我们发现该团伙在搭建此类水坑网站时存在“偷懒”的行为,他们基于同一框架批量部署了不同的水坑站点,而进一步分析发现,在共享顶级域名的不同水坑网站中,攻击者均通过JS文件调用将下载请求统一重定向至了同一子域名的恶意URL链接,因此同域下的不同水坑下载的木马文件将会是相同的:
对应的木马程序也同样“偷懒”,其并不通过释放常规的白安装文件进行伪装,而是直接触发恶意行为流程(推测这一现象源于攻击团伙的便利性考量,同域下的多个水坑网站复用了同一子域名目录下的木马文件,导致其无法构建差异化的感染流程)。
经过分析,该框架下不同域的对应样本执行过程虽然不尽相同,但最终都将释放远程控制木马例如Gh0st、银狐WinOS、FatalRAT:
总结
随着国产AI公司深度求索的大模型DeepSeek爆红,各类仿冒网站、灰黑产攻击也层出不穷,无论是2月份奇安信披露过的仿冒钓鱼网站、还是本次披露的UTG-Q-1000仿冒的deepseek本地部署下载站,都是因为黑灰产行业看到了deepseek带来的大量“商机”。
除了上面提到的针对DeepSeek的木马程序之外,还需要警惕针对开发者的DeepSeek主题钓鱼诈骗行为,此类诈骗域名除了会支付推广费购买广告外,还会在各类技术论坛及技术文档中伪装为官方相关程序下载地址。虽然这些虚假网站并不一定会下载木马程序,但会以各种方式欺诈用户缴费。
我们建议使用者在访问、使用DeepSeek相关服务时,务必确认访问的是官方网站。对于其他域名,除非能够确认其身份真实性,否则不建议进行深度交互,尤其是涉及到用户名密码、下载安装部署等操作时,需要慎之又慎。
若需运行或安装来历不明的应用,可先通过奇安信情报沙箱(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
38.45.126.170:4433
38.45.126.170:10443
154.91.90.102:4433
154.91.90.102:10443
45.192.168.6:4433
45.192.168.6:10443
45.192.168.11:4433
45.192.168.11:10443
206.238.220.50:4433
206.238.220.50:10443
192.238.134.113:4433
192.238.134.113:10443
27.50.63.24:4433
27.50.63.24:10443
134.122.135.105:4433
134.122.135.105:10443
27.124.17.7:4433
27.124.17.7:10443
45.194.37.102:4433
45.194.37.102:10443
154.91.83.136:4433
154.91.83.136:10443
27.124.17.49:4433
27.124.17.49:10443
27.50.63.8:4433
27.50.63.8:10443
121.127.241.29:4433
121.127.241.29:10443
45.192.168.10:4433
45.192.168.10:10443
137.220.135.197:4433
137.220.135.197:10443
47.76.197.205:4433
47.76.197.205:10443
154.91.90.234:4433
154.91.90.234:10443
8.217.221.239:4433
38.181.21.125:4433
38.181.21.125:10443
154.23.176.39:4433
154.23.176.39:10443
45.192.168.12:4433
45.192.168.12:10443
81.31.208.17:4433
81.31.208.17:10443
45.194.36.59:4433
45.194.36.59:10443
192.238.134.52:4433
192.238.134.52:10443
hk1.index2028.com
ttest.dalaozijid.com
winsa.cc
perineptunium.s3.ap-east-1.amazonaws.com
pub-cde06bcbe3a3479296fa21daf4bb5af3.r2.dev
ovulating.s3.ap-east-1.amazonaws.com
wdkjtrn.top
munhgbs.top
kiujwwb.top
yujherr.top
edcxf3.icu
sxg5d.icu
qscfz2.icu
hnjuol.icu
xcbhsn.icu
djkim3s.icu
dcfey5.icu
mxvc5.icu
shdjm0.icu
qknhb4.icu
2sdcgy.icu
4wevnn.icu
sopekr3.icu
vmksjn5.icu
opwisk8.icu
4uioslrj.icu
oegwli3.icu
sfplfwk3.icu
djm43j.icu
bajnsk4.icu
ujkvmk3.icu
sdlhai0.icu
sjflilso3.icu
fjsmfn5.icu
eodpl4.icu
sdfriskb2.icu
sfhsle3.icu
2wisklf.icu
xcvsh3.icu
mnbhn2.icu
dfklike.icu
xskifj6.icu
wsxc2i9.icu
cdfve2.icu
rtgdwbh6.top
hnbgvc2.top
poyjuh.top
fvcdry6.top
lomjh6.top
xdcfw.top
nilaike.top
weopflk.top
tgbnhy.top
cjdmnki.top
rtyfgv.top
rfdvs.top
rdjjha.top
szluanxin.com
gtbfhj.top
dijnhf.top
ipokfl.top
xcdjmkie.top
sofklrt.top
vkwklai.top
xrkljk.top
voepfkg.top
widnfkr.top
qiwjsk.icu
sderfg.top
pleirkb.top
qowmske.icu
sxwopd.icu
xreklq.top
edsliw.top
yiyiwangke.top
deepseek-pc.com
47.83.225.15:8006
hjppasghj.top
v2rayng-pc.com
v2rayng-cn.net
参考链接
[1].https://mp.weixin.qq.com/s/aQmJT3VZWh3QF0OZXT2RoQ
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。