该内容已被发布者删除 该内容被自由微信恢复
文章于 2021年9月18日 被检测为删除。
查看原文
被用户删除
其他

注意!macOS平台多款常用工具遭APT投毒攻击,iterm2、navicat、snailsvn 在列 | 微步情报

微步情报局 微步在线研究响应中心 2021-09-15


TAG:软件供应链攻击、macOS、iterm2、navicat、snailsvn、投毒、APT攻击

TLP(报告转发及使用不受限制)

日期:2021年9月14日


1
摘要

近期,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者利用广告网站来推广被投毒的运维工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。并且经过微步情报局关联分析,与2020年11月份开源端口转发工具 rinetd 遭投毒事件在攻击手法一致。

此次攻击所用的木马程序具备收集数据并将数据上传至 C&C 服务器的能力,包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。

微步情报局秉承共建安全生态的原则,建议高度重视本次软件供应链投毒攻击,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。公众号后台回复关键词“投毒”获取IOC。

微步在线安全 DNS(OneDNS)/TDP/TIP 已支持对此次攻击事件的检测,如需协助,请与我们联系:contactus@threatbook.cn
2

事件概要


攻击目标

全行业

攻击时间

2021年5月至今

攻击向量

供应链攻击

攻击复杂度

最终目的

窃取数据

3

事件详情

2021年9月,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者注册 iterm2[.]net、securcrt[.]com 等域名来搭建仿冒官方站点来提供被投毒软件的下载。

iterm2 官方站点:

假冒的 iterm2 官方站点:
当前假冒 iterm2 官方站点的内容:

攻击者利用广告网站来推广被投毒的工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。目前已有相关受害者在知乎反馈因搜索 iterm2 关键词点击跳转后遭到攻击。


(图 | 知乎用户潘小潘 https://zhuanlan.zhihu.com/p/408746101)

以被投毒的工具iterm2为例进行分析:

被投毒的 iterm2 在运行后,会请求 URL http://47.75.123.111/g.py 来下载恶意 python 脚本。
g.py 是 python 编写的木马程序,具备收集数据并将数据上传至 C&C 服务器的能力,包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。收集到的数据会首先被写到 /Users/{username}/Library/Logs/tmp/ 目录的文件中,然后上传文件到 http://47.75.123.111/u.php?id=


此外,在47.75.123.111上存在多款木马,包括GoogleUpdate(MD5:96013240f62f846de82304fbcad8b653)、Host(MD5:b5795a5fab6c28771b22f72c2ce5b3ff)等。

GoogleUpdate 会连接47.75.122.251:443 CobaltStrike 服务器,Host 为 Wirenet 后门程序,其 C&C 域名为 dns.serversntp.com


4

处置建议

1.根据威胁情报,排查网络中从仿冒站点下载安装工具的主机,逐台清理。

2.微步在线云端已更新相关情报,建议更新 TDP 、TIP 、OneEDR 情报至最新版本,并全面覆盖贵单位网络区域。

3.加强应用软件安装规范,避免安装不可靠来源的第三方应用,建议通过 AppStore 以及官方网站安装应用软件。




关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。


: . Video Mini Program Like ,轻点两下取消赞 Wow ,轻点两下取消在看

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存