【资讯】针对网站运维的供应链攻击 – 通过Mac破解软件与一键包传播

浏览: 133 次浏览 作者: 去年夏天 分类: 技术文章,碎碎谈,资讯 发布时间: 2024-01-24 16:53

昨天 安天CERT 披露了一起利用Mac软件下载站进行投毒和攻击下游用户案例,以此取得政企机构内部关键主机桥头堡,进行横向渗透的攻击活动。安天没明说是哪个下载站,但通过披露的消息“在谷歌搜索 Mac 破解软件时该网站排名第一,在必应搜索 Mac 破解软件时该网站排名第七。”,他说的应该是MACYY.CN
然后好玩的来了:被群友提醒后,我去参观了一下,结果发现网页底部有个熟悉的名字 金华市矜贵网络科技有限公司。这就有十分意思了。


《金华矜贵》是谁

如果你看过我之前的文章 慢讯:知名 Web 集成环境军哥版 LNMP 一键安装包投毒事件,疑似为官方行为? ,可能注意到了,收购LNMP.org的公司也是这个 金华矜贵。
目前一键安装工具 oneinstack 也已经被他们收购,他们还准备收购 LAMP 结果被拒绝了。他们还运营着 服务器面板 WDCP。


(最近他们貌似把网站都搬到国外,取消备案了)

非常神奇的事情出现了,除了 WDCP 面板本体,每个网站都在被 金华矜贵 悄无声息的收购后。出现了供应链投毒情况。 Lnmp.org、oneinstack、macyy.cn的安装包,都出现了安装包被添加后门程序的情况。(合理怀疑这个 WDCP 面板的情况也不太妙啊)

哪些软件有问题

  • Mac 软件:SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop
  • 一键安装包:Lnmp.org,oneinstack

可以很明显看出,Mac 软件均为开发和运维相关的,一键包都是网站基础环境。

黑产的目的

除了安天提到的,针对以上软件,一键包的后门程序,深信服也发现这个黑产团伙利用多种攻击手段,包括仿冒 AMH、宝塔、XShell、Navicat 等软件客服,发布破解版 等有针对性的对网站运维人员进行攻击。

很明显,这些全都是,服务器运维常用工具,黑产折腾半天,核心目的就是控制运维所持有权限的服务器。拿到服务器权限后能干啥呢?无非是四个路子:加密文件勒索公司个人;窃取服务器内数据出售或勒索;将服务器作为其他黑产行为跳板(比如DDos),挖矿。
从黑产这次攻击从2023年3月开始准备攻击用域名,将后门上传到VT测试其免杀效果,到9月份上传带后门的 Mac 破解软件。期间8月份买下了 LNMP 一键包。9月份一键包包出现后门。紧接着买了oneinstack,同月安装包也出现后门,然后收购 LAMP 失败。

以上所有行为全是顶着金华市矜贵网络科技有限公司的名字干的,黑产如此高调使用这个名字,明显公司身份就是个壳。估计公司法人可能就是个掏钱找的,用来顶包的“雇佣法人”。

如何排查是否中招

  1. 对于 Mac 用户

– 如果今年 你下载过上述软件,一键包,都请自查一下。
– 可以检查 /tmp/ 目录中是否存在.test、.fseventsd 文件,检查 / Users/Shared/ 目录中是否存在.fseventsd 文件,并检查该文件是否被设置为开机自启动;

  1. 对于 Linux 系统:

– 检查 /usr/sbin/cron(或 crond)文件近期是否被改动;
– 检查 /usr/sbin/cron(或 crond)文件所依赖的动态链接库中是否存在 libdb.so.2 文件;
– 检查 libdb.so.2 文件是否存在问题:检查 MD5 是否为 F23ED5D991CF0C8AA8378774E8FA93FE,或者检查 libdb.so.2 文件的改动时间是否与 /usr/sbin/cron(或 crond)文件的改动时间相近。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据