记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

警惕!macOS平台多款常用工具遭APT投毒攻击

2021-09-16 03:04

1、摘要

近期,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者利用广告网站来推广被投毒的运维工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。并且经过微步情报局关联分析,与2020年11月份开源端口转发工具 rinetd 遭投毒事件在攻击手法一致。

此次攻击所用的木马程序具备收集数据并将数据上传至 C&C 服务器的能力,包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。

微步情报局秉承共建安全生态的原则,建议高度重视本次软件供应链投毒攻击,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。

微步在线安全 DNS(OneDNS)/TDP/TIP 已支持对此次攻击事件的检测,如需协助,请与我们联系:contactus@threatbook.cn

2、事件概要

攻击目标

全行业

攻击时间

2021年5月至今

攻击向量

供应链攻击

攻击复杂度

最终目的

窃取数据

3、事件详情

2021年9月,微步情报局监测发现,macOS 平台上的多款常用运维工具遭攻击者投毒,包括 iterm2、navicat、snailsvn 等。攻击者注册 iterm2[.]net、securcrt[.]com 等域名来搭建仿冒官方站点来提供被投毒软件的下载。

iterm2 官方站点:

假冒的 iterm2 官方站点:

当前假冒 iterm2 官方站点的内容:

攻击者利用广告网站来推广被投毒的工具,在某搜索引擎的相关搜索结果中排名前列,这使得该问题影响范围十分广泛。目前已有相关受害者在知乎反馈因搜索 iterm2 关键词点击跳转后遭到攻击。

(图 | 知乎用户潘小潘 https://zhuanlan.zhihu.com/p/408746101)

以被投毒的工具iterm2为例进行分析:

被投毒的 iterm2 在运行后,会请求 URL http://47.75.123.111/g.py 来下载恶意 python 脚本。

g.py 是 python 编写的木马程序,具备收集数据并将数据上传至 C&C 服务器的能力,包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。收集到的数据会首先被写到 /Users/{username}/Library/Logs/tmp/ 目录的文件中,然后上传文件到 http://47.75.123.111/u.php?id=

此外,在47.75.123.111上存在多款木马,包括GoogleUpdate(MD5:96013240f62f846de82304fbcad8b653)、Host(MD5:b5795a5fab6c28771b22f72c2ce5b3ff)等。

GoogleUpdate 会连接47.75.122.251:443 CobaltStrike 服务器,Host 为 Wirenet 后门程序,其 C&C 域名为dns.serversntp.com

4、处置建议

1.根据威胁情报,排查网络中从仿冒站点下载安装工具的主机,逐台清理。

2.微步在线云端已更新相关情报,建议更新 TDP 、TIP 、OneEDR 情报至最新版本,并全面覆盖贵单位网络区域。

3.加强应用软件安装规范,避免安装不可靠来源的第三方应用,建议通过 AppStore 以及官方网站安装应用软件。

声明:本文来自微步在线研究响应中心,版权归作者所有。


知识来源: https://www.secrss.com/articles/34375

阅读:131916 | 评论:0 | 标签:apt 攻击 mac

想收藏或者和大家分享这篇好文章→复制链接地址

“警惕!macOS平台多款常用工具遭APT投毒攻击”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁