近期,网络安全领域出现了一股新的威胁,一个专门针对企业IT运维人员的新黑产团伙“夜枭”浮出水面。该团伙凭借高超的技术手段,已经让数百家企业、大量PC和服务器遭受攻击,波及教育、金融、国有企业等多个关键行业。这一发现由微步情报局在日常威胁狩猎过程中揭示。
“夜枭”团伙的攻击手法极具针对性,他们通过制作仿冒的运维工具软件,诱导运维人员下载并安装恶意软件。这些恶意软件能够窃取服务器IP地址、账号密码等敏感信息,进而实现对服务器的远程控制。由于直接针对IT运维这一关键岗位,该团伙的攻击行为造成了极大的危害。
此次攻击活动的波及范围极为广泛,大量PC和服务器被感染。微步情报局的数据显示,攻击次数已达数万次,显示出“夜枭”团伙拥有强大的攻击资源和持续作战的能力。自2024年底首次被发现以来,该团伙不断更新其C2地址和远控样本,以规避安全设备的检测,目前其攻击活动仍在持续进行中。
“夜枭”团伙的技术手段同样令人印象深刻。他们不仅具备深度定制和开发恶意软件的能力,还同时使用了针对Windows和Linux系统的恶意软件。特别是其Linux远控木马,仅在使用时才会触发恶意代码,这使得传统的杀毒软件等检测手段难以发现其踪迹,进一步增强了其隐蔽性。
为了应对这一威胁,微步情报局已经在其威胁感知平台TDP、下一代威胁情报平台NGTIP等多个安全产品中加入了针对“夜枭”团伙攻击的检测与防护功能。这些安全产品能够及时发现并阻止“夜枭”团伙的攻击行为,为企业用户提供全方位的安全保障。
“夜枭”团伙还利用了搜索引擎SEM机制来增加其钓鱼网站的访问量。当用户在搜索引擎中搜索“Xshell”、“WinSCP”等运维软件关键字时,搜索结果中往往会包含恶意的钓鱼网站。这些钓鱼网站通过网页推广商的操作,使得其排名靠前,甚至高于官方网站,从而更容易诱导用户点击并下载恶意软件。
以仿冒宝塔软件的钓鱼网站为例,自2025年以来,宝塔技术论坛上不断有用户讨论关于仿冒宝塔钓鱼网站的情况。与此同时,“夜枭”团伙不断更新其C2地址和远控工具,包括SparkRAT、Supershell等,每次回连的C2地址都会发生变化,以混淆视听并绕过安全设备的检测。
“夜枭”团伙的木马仿冒软件主要分为两大类:一类是针对Windows办公终端的PuTTY、Xshell、WinSCP等软件;另一类是针对服务器的宝塔软件。当用户访问钓鱼网站并点击下载后,会得到携带后门的软件安装包。这些后门软件能够在用户连接服务器时触发恶意代码,将服务器的敏感信息上传到攻击者服务器,进而实现对服务器的远程控制。
针对宝塔软件的钓鱼攻击尤为狡猾。当用户点击钓鱼网站中的“立即免费安装”按钮后,会跳转到宝塔安装页面。然而,攻击者已经替换了安装脚本命令中的服务器地址,将其改为攻击者自己的服务器。当用户使用攻击者提供的安装命令时,就会从攻击者服务器下载安装脚本。该脚本在宝塔官方的安装脚本上添加了恶意代码,用于窃取服务器敏感信息和下载并执行恶意软件。
面对这一严峻威胁,广大企业安全运营团队应立即采取行动,积极应对活跃的黑产团伙。建议成立专项运营小组,制定详细的应对计划,并针对运维人员机器进行详细排查。具体措施包括封禁钓鱼网站和C2地址、排查运维人员管理服务器的登录日志、收敛企业对外登录入口以及使用EDR、HIDS等安全产品检测并清除恶意代码等。
