2025 年 5 月,微步情报局在日常威胁狩猎中,发现了一个以企业IT 运维人员为主要攻击目标的新黑产团伙。
2025 年 5 月,微步情报局在日常威胁狩猎中,发现了一个以企业IT 运维人员为主要攻击目标的新黑产团伙。该团伙拥有较强的技术能力,已导致数百家企业用户、大量 PC 和服务器中招。微步将其命名为夜枭,特点如下:
1、直指 IT 运维,危害较大:该团伙通过仿冒常见运维工具,诱导运维人员下载恶意软件,窃取服务器 IP 地址、账号密码等敏感信息,远程控制服务器,危害较大。
2、影响范围广,大量 PC 和服务器感染:本次攻击活动已导致数百家用户、大量PC 和服务器感染,涉及教育、金融、国央企等多个行业,微步已检测到攻击达数万次。
3、持续时间长,攻击资源丰富:夜枭最早的攻击活动出现于 2024 年底,期间高频更新C2 地址以及远控样本,目前仍在持续更新中。
4、技术手段高超,隐蔽性强:夜枭具备深度定制、开发恶意软件的较强技术实力,同时使用了 Windows 和 Linux 恶意软件,其 Linux 远控木马仅在使用时触发恶意代码,传统杀毒软件等检测手段很难发现。
目前,微步威胁感知平台 TDP 、下一代威胁情报平台 NGTIP、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS、威胁防御系统 OneSIG、终端安全管理平台 OneSEC,均已支持对此次攻击的检测与防护。
「夜枭」利用SEM手段增加钓鱼网站访问量
2025 年 4 月,微步情报局发现,在搜索引擎搜索「Xshell」、「WinSCP」、「PuTTY 下载」、「宝塔」等运维软件关键字,搜索引擎返回的结果中包含恶意的钓鱼网站。钓鱼网站来自网页推广商,利用了搜索引擎 SEM 机制将自己搜索结果排名靠前,甚至高于官方网站结果。
以仿冒宝塔钓鱼为例。从 2025 年开始,宝塔技术论坛上就不断有人讨论关于仿冒宝塔钓鱼网站的情况,论坛管理员也不断发帖提醒。与此同时,夜枭不断更新 C2 地址以及远控工具,包括 SparkRAT、Supershell 等,每次回连的 C2 也会随之发生变化,以混淆视听并绕过安全设备的检测,并且目前仍在持续更新中。
同时攻击 PC 和服务器,窃取账密完成远控
木马仿冒软件主要分为两大类。
第一类是针对 Windows 办公终端的 PuTTY,Xshell,WinSCP。当用户访问对应钓鱼网站并点击下载之后,会得到携带后门的软件安装包。
其中,针对开源的运维软件(PuTTY,WinSCP)是基于源码进行修改编译,增加了后门代码,运维人员在使用它们连接服务器时候触发恶意代码,将服务器的 IP 地址,端口,账户密码等敏感信息上传到攻击者服务器。OneSEC 检测到伪装为 PuTTY 的恶意软件如下:
针对商业的运维软件(Xshell)是基于 nsis 重新打包了软件安装程序,使用白加黑的技术加载恶意 dll 程序到 Xshell 进程中,hook ssh 相关的导出函数去截获敏感信息,最后上传到攻击者服务器。
第二类是针对服务器的宝塔软件。当用户点击钓鱼网站中的「立即免费安装」,跳转到宝塔安装页面,攻击者替换了安装脚本命令中的服务器地址,变成攻击者服务器。
受害者使用攻击者钓鱼网站中的安装命令,则会从攻击者服务器下载安装脚本。该脚本在宝塔官方的安装脚本上添加了恶意代码,窃取服务器外网地址、内网地址、用户名和密码等敏感信息,以及下载并执行恶意软件,来远程控制受害者服务器。微步云沙箱 S 对服务器恶意样本检出如下:
广大企业安全运营团队应当立刻采取措施,积极应对活跃黑产,成立专项运营小组、制定计划,尤其是针对运维人员机器进行详细排查:
1. 封禁钓鱼网站、C2;
2. 排查运维人员管理服务器的登录日志,确保没有异常登录行为;
3. 收敛企业对外登录入口,避免账密被攻击者窃取后可直接登录;
4. 当发现有失陷时,需明确中招员工身份,排查其经常访问的系统,制定针对性的应急处置和修复计划,使用 EDR、HIDS 等,分别检测、清除 PC 终端和服务器上的恶意代码;
5. 对包括运维人员在内的全体员工进行安全意识培训,定期修改密码,不要随意点击不明链接、下载安全性未知的软件。
来源:互联网
