去评论
dz插件网

hostloc出现狗屎一般的加工引流例子

婷姐
2024/01/25 13:28:17
zhoumo310
LNMP[.]org 一键安装包和 Oneinstack被黑产团伙收购
https://loc.xiu.ee/thread-1267381-1-1.html

idceve.com
LNMP[.]org 一键安装包和 Oneinstack被黑产团伙收购

国内安全公司安天发布的消息,安天监测到 Mac 破解软件站 MACYY 分发多款带毒破解软件。这些破解软件全部与开发和运维相关,专门针对运维人士,试图通过运维人士入侵企业内网。值得注意的是,背后的黑产团伙此前收购了 LNMP[.]org 一键安装包和 Oneinstack,并且通过这两个集成 Web 环境投毒,本质上也是针对运维人士。
被投毒的软件目前检测到的包括SecureCRT、FinalShell、Navicat、UltraEdit、微软远程桌面。请下载过破解软件的 Mac 用户以及 IT 运维人员对 Mac 和 Linux 服务器进行排查,排查方法见链接。
相关文章网址:安天官网https://www.antiy.cn/research/notice&report/research_report/DarkMozzie.html

安天官网
“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动分析
近期,安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例,并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马,利用国内非官方下载站发布,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。

此下载站目前可下载数十个破解软件,其中五款运维工具包含恶意文件,这五款运维工具集中在服务运维工具分类中,安天CERT判断该事件针对的目标为国内IT运维人员。当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站,如果下载执行了含有恶意文件的运维工具,那么恶意文件会连接攻击者服务器下载并执行远控木马,攻击者可通过此远控木马窃取主机中的数据和文件,确定受害者及所在单位的信息,为后续横向渗透做准备。

安天CERT以攻击者发起的一起实际行动为案例,揭示攻击者横向渗透的手段:攻击者使用远程控制的方式窃取了受害者macOS操作系统主机中的文件;下载并使用fscan、nmap等工具对受害者的内网进行扫描,以获取内网更多服务器和主机的信息;利用口令破解、漏洞利用等渗透手段尝试获取更多服务器和主机的系统权限,横向渗透成功后在服务器上部署并运行hellobot后门。在此次行动中,虽然攻击者的横向渗透水平相对较弱,但是依然成功获取了服务器的系统权限。入侵成功后可能导致数据被窃、信息泄露、被长期监视等安全风险。

安天CERT的分析人员在搜索站搜索“Mac破解软件”等关键字时,该下载站在Google搜索站排名第一,在Bing搜索站排名第七。从该下载站的下载数量来看,含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大,且大部分威胁情报平台尚未标记相关的恶意IoC情报,故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查。

该黑产团伙采用供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序,主要攻击目标是IT运维人员,攻击范围涵盖了Windows、Linux以及macOS等操作系统。此外,该团伙使用经过精心构造的域名,并对下载的载荷文件进行混淆处理,以规避安全产品的检测,因此安天CERT用“暗蚊”组织命名该团伙。

在即将发布该报告时,安天CERT关联到了近期深信服披露的报告《【高级持续威胁(APT)】谁是“amdc6766”:一年四起供应链投毒事件的幕后黑手》[1],发现此次事件攻击活动中攻击者可能与友商披露的攻击者为同一批团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具,两起事件针对的目标重合;在诱饵工具名称和域名的伪装方面思路相似;载荷使用了相同的域名。
https://www.antiy.cn/research/notice&report/research_report/DarkMozzie.html