2025年5月,微步情报局在日常威胁狩猎中,发现了一个以企业IT运维人员为主要攻击目标的新黑产团伙。该团伙拥有较强的技术能力,已导致数百家企业用户、大量PC和服务器中招。微步将其命名为夜枭,特点如下:
1、直指IT运维,危害较大:该团伙通过仿冒常见运维工具,诱导运维人员下载恶意软件,窃取服务器IP地址、账号密码等敏感信息,远程控制服务器,危害较大。
2、影响范围广,大量PC和服务器感染:本次攻击活动已导致数百家用户、大量PC和服务器感染,涉及教育、金融、国央企等多个行业,微步已检测到攻击达数万次。
3、持续时间长,攻击资源丰富:夜枭最早的攻击活动出现于2024年底,期间高频更新C2地址以及远控样本,目前仍在持续更新中。
4、技术手段高超,隐蔽性强:夜枭具备 定制、开发恶意软件的较强技术实力,同时使用了Windows和Linux恶意软件,其Linux远控木马仅在使用时触发恶意代码,传统杀毒软件等检测手段很难发现。
目前,微步威胁感知平台TDP 、下一代威胁情报平台NGTIP、威胁情报云API 、云沙箱S、沙箱分析平台OneSandbox、互联网安全接入服务OneDNS、威胁防御系统OneSIG、终端安全管理平台OneSEC,均已支持对此次攻击的检测与防护。
“夜枭”利用SEM手段增加钓鱼网站访问量
2025年4月,微步情报局发现,在搜索引擎搜索“Xshell”、“WinSCP”、“PuTTY下载”、“宝塔”等运维软件关键字,搜索引擎返回的结果中包含恶意的钓鱼网站。钓鱼网站来自网页推广商,利用了搜索引擎SEM机制将自己搜索结果排名靠前,甚至高于官方网站结果。
以仿冒宝塔钓鱼为例。从2025年开始,宝塔技术论坛上就不断有人讨论关于仿冒宝塔钓鱼网站的情况,论坛管理员也不断发帖提醒。与此同时,夜枭不断更新C2地址以及远控工具,包括SparkRAT、Supershell等,每次回连的C2也会随之发生变化,以混淆视听并绕过安全设备的检测,并且目前仍在持续更新中。
同时攻击PC和服务器,窃取账密完成远控
木马仿冒软件主要分为两大类。
第一类是针对Windows办公终端的PuTTY,Xshell,WinSCP。当用户访问对应钓鱼网站并点击下载之后,会得到携带后门的软件安装包。
其中,针对开源的运维软件(PuTTY,WinSCP)是基于源码进行修改编译,增加了后门代码,运维人员在使用它们连接服务器时候触发恶意代码,将服务器的IP地址,端口,账户密码等敏感信息上传到攻击者服务器。OneSEC检测到伪装为PuTTY的恶意软件如下:
针对商业的运维软件(Xshell)是基于nsis重新打包了软件安装程序,使用白加黑的技术加载恶意dll程序到Xshell进程中,hook ssh相关的导出函数去截获敏感信息,最后上传到攻击者服务器。
第二类是针对服务器的宝塔软件。当用户点击钓鱼网站中的“立即免费安装”,跳转到宝塔安装页面,攻击者替换了安装脚本命令中的服务器地址,变成攻击者服务器。
受害者使用攻击者钓鱼网站中的安装命令,则会从攻击者服务器下载安装脚本。该脚本在宝塔官方的安装脚本上添加了恶意代码,窃取服务器外网地址、内网地址、用户名和密码等敏感信息,以及下载并执行恶意软件,来远程控制受害者服务器。微步云沙箱S对服务器恶意样本检出如下:
广大企业安全运营团队应当立刻采取措施,积极应对活跃黑产,成立专项运营小组、制定计划,尤其是针对运维人员机器进行详细排查:
1. 封禁钓鱼网站、C2;
2. 排查运维人员管理服务器的登录日志,确保没有异常登录行为;
3. 收敛企业对外登录入口,避免账密被攻击者窃取后可直接登录;
4. 当发现有失陷时,需明确中招员工身份,排查其经常访问的系统,制定针对性的应急处置和修复计划,使用EDR、HIDS等,分别检测、清除PC终端和服务器上的恶意代码;
5. 对包括运维人员在内的全体员工进行安全意识培训,定期修改密码,不要随意点击不明链接、下载安全性未知的软件。
