軟件破解站分發帶毒軟件專門攻擊Mac用戶 請Mac用戶立即自查 – 藍點網
據國內安全公司安天發布的軟件最新消息,安天日前監測到一組利用非官方軟件下載站進行投毒和攻擊下游客戶的破解案例,這些惡意軟件均為 Mac 相關軟件破解版,站分自查天津津南外圍大學生(服務)vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達也就是發帶針對 Mac 用戶。
安天 CERT 進行分析時發現在谷歌搜索 Mac 破解軟件時該網站排名第一,毒軟在必應搜索 Mac 破解軟件時該網站排名第七。專擊
而黑客的門攻目的則是通過下載站投放攜帶病毒的軟件來入侵 Mac,成功入侵 Mac 后再通過其他工具在企業內部網絡中進行橫向傳播,用戶用戶最后用戶和企業面臨數據被竊取、立即藍點信息泄露、軟件被長期監視等安全風險。破解
MACYY.CN 及金華矜貴:
根據安天 CERT 透露的信息,藍點網發現這個下載站就是發帶天津津南外圍大學生(服務)vx《189-4143》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達 MACYY.CN,值得注意的毒軟是該網站似乎也被金華市矜貴網絡科技有限公司收購。
近期關注藍點網的專擊網友或許還記得金華矜貴,這家公司早前收購了集成 Web 環境 Lnmp.org、oneinstack,還準備收購 LAMP 結果被拒絕。
而收購之后 Lnmp.org 一鍵安裝包以及 oneinstack 均被添加了后門程序,因此看到藍點網看到 MACYY.CN 網站名稱中標注的公司名稱后,大概就明白了。
相關內容:
1.知名Web集成環境Lnmp.org一鍵安裝包被投毒 請各位站長立即檢查服務器
2.繼LNMP后oneinstack也被金華矜貴收購 該公司還試圖買下LAMP
3.繼LNMP后oneinstack也被添加了后門程序 建議用戶不要使用這類腳本
黑客的目的是什么?
先是收購一鍵安裝包這類的集成 Web 環境進行投毒,現在又收購 Mac 軟件破解站來投毒,本質目的似乎都是為了服務器,也就是通過供應鏈攻擊來入侵開發者和企業的服務器。
入侵服務器的目的無非是為了竊取數據,目前倒是還沒發現部署勒索軟件的情況,不過僅僅是竊取數據已經給企業造成嚴重威脅。
這個黑客團伙的行為在 2023 年其實也被另一家信息安全公司深信服盯上了,深信服也發現這個黑產團伙利用多種攻擊手段,包括仿冒 AMH、寶塔、XShell、Navicat 等軟件有針對性的對運維人員進行攻擊。
此次安天發現的攻擊行為與深信服此前發現的黑產團伙能夠關聯起來,背后都指向這個名為金華矜貴的公司,不過黑客敢如此高調大概率這個公司也只是個殼子。
被植入后門的軟件:
包括 SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop。
可以看到這些軟件均為開發和運維相關的,這和之前深信服發現這個黑產團伙針對運維人員發起攻擊是一致的。
排查是否中招:
如果你曾經在 MACYY 或者其他下載站下載過上述軟件的破解版,那最好盡快自查。
可以檢查 /tmp/ 目錄中是否存在.test、.fseventsd 文件,檢查 / Users/Shared/ 目錄中是否存在.fseventsd 文件,并檢查該文件是否被設置為開機自啟動;
對于 Linux 系統:
檢查 /usr/sbin/cron(或 crond)文件近期是否被改動;
檢查 /usr/sbin/cron(或 crond)文件所依賴的動態鏈接庫中是否存在 libdb.so.2 文件;
檢查 libdb.so.2 文件是否存在問題:檢查 MD5 是否為 F23ED5D991CF0C8AA8378774E8FA93FE,或者檢查 libdb.so.2 文件的改動時間是否與 /usr/sbin/cron(或 crond)文件的改動時間相近。
