注意!macOS平台多款常用工具遭APT投毒攻击,iterm2、navicat、snailsvn 在列 | 微步情报
TAG:软件供应链攻击、macOS、iterm2、navicat、snailsvn、投毒、APT攻击
TLP:白(报告转发及使用不受限制)
日期:2021年9月14日
摘要
近期,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者利用广告网站来推广被投毒的运维工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。并且经过微步情报局关联分析,与2020年11月份开源端口转发工具 rinetd 遭投毒事件在攻击手法一致。
此次攻击所用的木马程序具备收集数据并将数据上传至 C&C 服务器的能力,包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。
微步情报局秉承共建安全生态的原则,建议高度重视本次软件供应链投毒攻击,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。公众号后台回复关键词“投毒”获取IOC。
事件概要
攻击目标 | 全行业 |
攻击时间 | 2021年5月至今 |
攻击向量 | 供应链攻击 |
攻击复杂度 | 高 |
最终目的 | 窃取数据 |
事件详情
2021年9月,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者注册 iterm2[.]net、securcrt[.]com 等域名来搭建仿冒官方站点来提供被投毒软件的下载。
iterm2 官方站点:
攻击者利用广告网站来推广被投毒的工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。目前已有相关受害者在知乎反馈因搜索 iterm2 关键词点击跳转后遭到攻击。
(图 | 知乎用户潘小潘 https://zhuanlan.zhihu.com/p/408746101)
以被投毒的工具iterm2为例进行分析:
GoogleUpdate 会连接47.75.122.251:443 CobaltStrike 服务器,Host 为 Wirenet 后门程序,其 C&C 域名为 dns.serversntp.com。
处置建议
1.根据威胁情报,排查网络中从仿冒站点下载安装工具的主机,逐台清理。
2.微步在线云端已更新相关情报,建议更新 TDP 、TIP 、OneEDR 情报至最新版本,并全面覆盖贵单位网络区域。
3.加强应用软件安装规范,避免安装不可靠来源的第三方应用,建议通过 AppStore 以及官方网站安装应用软件。
关于微步在线研究响应团队
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。
微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。