首页 科技正文

新黑产团伙“夜枭”!目标IT运维,大量用户中招

2025-06-12 09:19:22 围观 : 198 次 0 评论

2025年5月,微步情报局在日常威胁狩猎中发现了一个企业IT运维人员为主要攻击目标的新黑产团伙该团伙拥有较强的技术能力,已导致数百家企业用户、大量PC和服务器中招微步将其命名为“夜枭”,特点如下:

1、直取IT运维,危害该团伙通过仿冒常见运维工具,诱导运维人员下载恶意软件,窃取服务器IP地址、账号密码等敏感信息,远程控制服务器,危害大。

2、影响范围广,大量PC和服务器感染:本次攻击活动已导致数百家用户、大量PC和服务器感染,涉及教育金融国央企等多个行业,微步已检测到攻击达数万次

3、持续时间长,攻击资源丰富:夜枭最早的攻击活动出现于2024年底,期间高频更新C2地址以及远控样本,目前仍在持续更新中。

4、技术手段高超,隐蔽性强:夜枭具备深度定制、开发恶意软件的较强技术实力,同时使用了WindowsLinux恶意软件,其Linux远控木马仅在使用时触发恶意代码,传统杀毒软件等检测手段很难发现。

鉴于本次攻击危害较大,建议用户尽快封禁钓鱼网站以及相关C2,检测、清除PC和服务器上的恶意代码,IOC参见附录。当发现有失陷时,需明确中招员工身份,排查其经常访问的系统,制定针对性的应急处置和修复计划。

目前,微步威胁感知平台TDP 、下一代威胁情报平台NGTIP、威胁情报云API 、云沙箱S、沙箱分析平台OneSandbox、互联网安全接入服务OneDNS、威胁防御系统OneSIG、终端安全管理平台OneSEC,均已支持对此次攻击的检测与防护。

本次详细报告不支持线上公开获取,如有需求,请联系微步工作人员。

01
事件概况


攻击目标
运维人员、中小型网站站长
攻击时间
2024年12月至今
攻击方式
部署虚假运维软件下载页面,并通过SEO、SEM提高钓鱼网站在搜索引擎排行诱导下载
仿冒软件
PuTTY、Xshell、WinSCP、宝塔等
攻击平台
Windows、Linux
攻击目的
窃取服务器IP地址、账号密码、远程控制服务器

02
事件经过

2025年4月,微步情报局发现,在搜索引擎搜索“Xshell”、“WinSCP”、“PuTTY下载”、“宝塔”等运维软件关键字,搜索引擎返回的结果中包含恶意的钓鱼网站。
钓鱼网站来自网页推广商,利用了搜索引擎SEM机制将自己搜索结果排名靠前,甚至高于官方网站结果。

访问该广告跳转至钓鱼网站:

夜枭最早的攻击活动可以追溯到2024年底,期间不断有技术人员发现并曝光在技术论坛上,引起广泛关注。以仿冒宝塔钓鱼为例。从2025年开始,宝塔技术论坛上就不断有人讨论关于仿冒宝塔钓鱼网站的情况,论坛管理员也不断发帖提醒。

与此同时,夜枭不断更新C2地址以及远控工具,包括SparkRAT、Supershell等,每次回连的C2也会随之发生变化,以混淆视听并绕过安全设备的检测,并且目前仍在持续更新中。


03
攻击详情

木马仿冒软件主要分为两大类。

第一类是针对Windows办公终端的PuTTY,Xshell,WinSCP。当用户访问对应钓鱼网站并点击下载之后,会得到携带后门的软件安装包。

其中,针对开源的运维软件(PuTTY,WinSCP)是基于源码进行修改编译,增加了后门代码,运维人员在使用它们连接服务器时候触发恶意代码,将服务器的IP地址,端口,账户密码等敏感信息上传到攻击者服务器。

下图所示OneSEC检测伪装为PuTTY恶意软件。

针对商业的运维软件(Xshell)是基于nsis重新打包了软件安装程序,使用白加黑的技术加载恶意dll程序到Xshell进程中,hook ssh相关的导出函数去截获敏感信息,最后上传到攻击者服务器。

第二类是针对服务器的宝塔软件当用户点击钓鱼网站中的“立即免费安装”,跳转到宝塔安装页面,攻击者替换了安装脚本命令中的服务器地址,变成攻击者服务器。

受害者使用攻击者钓鱼网站中的安装命令,则会从攻击者服务器下载安装脚本该脚本在宝塔官方的安装脚本上添加了恶意代码,窃取服务器外网地址、内网地址、用户名和密码等敏感信息,以及下载并执行恶意软件,来远程控制受害者服务器。微步云沙箱S和OneSandbox均支持对相关样本的检测。


04
处置建议
微步建议广大企业安全运营团队立刻采取措施,积极应对活跃黑产,成立专项运营小组、制定计划,尤其是针对运维人员机器进行详细排查:
  • 封禁钓鱼网站、C2,详情参见附录;
  • 排查运维人员管理服务器的登录日志,确保没有异常登录行为;
  • 收敛企业对外登录入口,避免账密被攻击者窃取后可直接登录;
  • 使用EDR、HIDS等,分别检测、清除PC终端和服务器上的恶意代码;
  • 对包括运维人员在内的全体员工进行安全意识培训,定期修改密码,不要随意点击不明链接、下载安全性未知的软件。

05
附录:部分IOC

钓鱼

skqq.jcjydzsw.cn

eiwq.jcjydzsw.cn

xshell.jcjydzsw.cn

quit.jcjydzsw.cn

pcdla.lhkbgz.cn

dlpczx.lhkbgz.cn

uuhsa.rzlbw.cn

malware

dolowdeopen.com

xz.appdoner.com

bt.jcjydzsw.cn

btdownload.xyz

down3696.oss-cn-hongkong.aliyuncs.com

btdown.xyz

downbt.cc

C2

a88.mee333.com

00.mg

a87.mee333.com

lc.liuddiase1li.com

lc.yusfezu99.com

lc.zhanas1fa32.com


· END ·

标签 软件微步在线
上一篇:会议 | 大北农反刍科技集团东北区辽宁盛得大北农红5月加速度发展创业工作会成功召开 下一篇:“吸金”体质,生财有底气!

相关文章

发表评论
最近发表
推荐文章
智读头条丨国务院办公厅关于健全基本医疗保险参保长效机制的指导意见(附政策解读)

智读头条丨国务院办公厅关于健全基本医疗保险参保长效机制的指导意见(附政策解读)

听说美好社区最近挺火的 你指的是这件吗?

听说美好社区最近挺火的 你指的是这件吗?

蕴意于内,人生宽境赋雅趣

蕴意于内,人生宽境赋雅趣

随机文章
热评文章
标签列表