日本精品一区二区三区高清 久久

ITBear旗下自媒體矩陣:

黑產(chǎn)新威脅“夜梟”來襲!企業(yè)IT運(yùn)維如何防范?

   時間:2025-05-20 15:54:06 來源:ITBEAR編輯:快訊團(tuán)隊(duì) 發(fā)表評論無障礙通道

近期,網(wǎng)絡(luò)安全領(lǐng)域出現(xiàn)了一股新的威脅,一個專門針對企業(yè)IT運(yùn)維人員的新黑產(chǎn)團(tuán)伙“夜梟”浮出水面。該團(tuán)伙憑借高超的技術(shù)手段,已經(jīng)讓數(shù)百家企業(yè)、大量PC和服務(wù)器遭受攻擊,波及教育、金融、國有企業(yè)等多個關(guān)鍵行業(yè)。這一發(fā)現(xiàn)由微步情報局在日常威脅狩獵過程中揭示。

“夜梟”團(tuán)伙的攻擊手法極具針對性,他們通過制作仿冒的運(yùn)維工具軟件,誘導(dǎo)運(yùn)維人員下載并安裝惡意軟件。這些惡意軟件能夠竊取服務(wù)器IP地址、賬號密碼等敏感信息,進(jìn)而實(shí)現(xiàn)對服務(wù)器的遠(yuǎn)程控制。由于直接針對IT運(yùn)維這一關(guān)鍵崗位,該團(tuán)伙的攻擊行為造成了極大的危害。

此次攻擊活動的波及范圍極為廣泛,大量PC和服務(wù)器被感染。微步情報局的數(shù)據(jù)顯示,攻擊次數(shù)已達(dá)數(shù)萬次,顯示出“夜梟”團(tuán)伙擁有強(qiáng)大的攻擊資源和持續(xù)作戰(zhàn)的能力。自2024年底首次被發(fā)現(xiàn)以來,該團(tuán)伙不斷更新其C2地址和遠(yuǎn)控樣本,以規(guī)避安全設(shè)備的檢測,目前其攻擊活動仍在持續(xù)進(jìn)行中。

“夜梟”團(tuán)伙的技術(shù)手段同樣令人印象深刻。他們不僅具備深度定制和開發(fā)惡意軟件的能力,還同時使用了針對Windows和Linux系統(tǒng)的惡意軟件。特別是其Linux遠(yuǎn)控木馬,僅在使用時才會觸發(fā)惡意代碼,這使得傳統(tǒng)的殺毒軟件等檢測手段難以發(fā)現(xiàn)其蹤跡,進(jìn)一步增強(qiáng)了其隱蔽性。

為了應(yīng)對這一威脅,微步情報局已經(jīng)在其威脅感知平臺TDP、下一代威脅情報平臺NGTIP等多個安全產(chǎn)品中加入了針對“夜梟”團(tuán)伙攻擊的檢測與防護(hù)功能。這些安全產(chǎn)品能夠及時發(fā)現(xiàn)并阻止“夜梟”團(tuán)伙的攻擊行為,為企業(yè)用戶提供全方位的安全保障。

“夜梟”團(tuán)伙還利用了搜索引擎SEM機(jī)制來增加其釣魚網(wǎng)站的訪問量。當(dāng)用戶在搜索引擎中搜索“Xshell”、“WinSCP”等運(yùn)維軟件關(guān)鍵字時,搜索結(jié)果中往往會包含惡意的釣魚網(wǎng)站。這些釣魚網(wǎng)站通過網(wǎng)頁推廣商的操作,使得其排名靠前,甚至高于官方網(wǎng)站,從而更容易誘導(dǎo)用戶點(diǎn)擊并下載惡意軟件。

以仿冒寶塔軟件的釣魚網(wǎng)站為例,自2025年以來,寶塔技術(shù)論壇上不斷有用戶討論關(guān)于仿冒寶塔釣魚網(wǎng)站的情況。與此同時,“夜梟”團(tuán)伙不斷更新其C2地址和遠(yuǎn)控工具,包括SparkRAT、Supershell等,每次回連的C2地址都會發(fā)生變化,以混淆視聽并繞過安全設(shè)備的檢測。

“夜梟”團(tuán)伙的木馬仿冒軟件主要分為兩大類:一類是針對Windows辦公終端的PuTTY、Xshell、WinSCP等軟件;另一類是針對服務(wù)器的寶塔軟件。當(dāng)用戶訪問釣魚網(wǎng)站并點(diǎn)擊下載后,會得到攜帶后門的軟件安裝包。這些后門軟件能夠在用戶連接服務(wù)器時觸發(fā)惡意代碼,將服務(wù)器的敏感信息上傳到攻擊者服務(wù)器,進(jìn)而實(shí)現(xiàn)對服務(wù)器的遠(yuǎn)程控制。

針對寶塔軟件的釣魚攻擊尤為狡猾。當(dāng)用戶點(diǎn)擊釣魚網(wǎng)站中的“立即免費(fèi)安裝”按鈕后,會跳轉(zhuǎn)到寶塔安裝頁面。然而,攻擊者已經(jīng)替換了安裝腳本命令中的服務(wù)器地址,將其改為攻擊者自己的服務(wù)器。當(dāng)用戶使用攻擊者提供的安裝命令時,就會從攻擊者服務(wù)器下載安裝腳本。該腳本在寶塔官方的安裝腳本上添加了惡意代碼,用于竊取服務(wù)器敏感信息和下載并執(zhí)行惡意軟件。

面對這一嚴(yán)峻威脅,廣大企業(yè)安全運(yùn)營團(tuán)隊(duì)?wèi)?yīng)立即采取行動,積極應(yīng)對活躍的黑產(chǎn)團(tuán)伙。建議成立專項(xiàng)運(yùn)營小組,制定詳細(xì)的應(yīng)對計劃,并針對運(yùn)維人員機(jī)器進(jìn)行詳細(xì)排查。具體措施包括封禁釣魚網(wǎng)站和C2地址、排查運(yùn)維人員管理服務(wù)器的登錄日志、收斂企業(yè)對外登錄入口以及使用EDR、HIDS等安全產(chǎn)品檢測并清除惡意代碼等。

舉報 0 收藏 0 打賞 0評論 0
 
 
更多>同類資訊
全站最新
熱門內(nèi)容
網(wǎng)站首頁  |  關(guān)于我們  |  聯(lián)系方式  |  版權(quán)聲明  |  RSS訂閱  |  開放轉(zhuǎn)載  |  滾動資訊  |  爭議稿件處理  |  English Version
 
主站蜘蛛池模板: 渝北区| 福贡县| 定边县| 海林市| 明光市| 福贡县| 新沂市| 贡觉县| 铜梁县| 包头市| 东光县| 安仁县| 南丰县| 海兴县| 资溪县| 西充县| 宿州市| 康乐县| 塔河县| 黔东| 务川| 二连浩特市| 湖南省| 碌曲县| 微博| 乌苏市| 马鞍山市| 延寿县| 惠安县| 安吉县| 玛纳斯县| 绿春县| 枣庄市| 凤冈县| 安远县| 房山区| 剑阁县| 通化县| 乳源| 温宿县| 大同县|