軟件破解站分發(fā)帶毒軟件專門攻擊Mac用戶 請Mac用戶立即自查 – 藍(lán)點(diǎn)網(wǎng)

 人參與 | 時(shí)間:2025-11-24 19:24:14

據(jù)國內(nèi)安全公司安天發(fā)布的軟件最新消息,安天日前監(jiān)測到一組利用非官方軟件下載站進(jìn)行投毒和攻擊下游客戶的破解案例,這些惡意軟件均為 Mac 相關(guān)軟件破解版,站分自查濟(jì)南歷城怎么約小姐酒店上門vx《192-1819-1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)也就是發(fā)帶針對 Mac 用戶。

安天 CERT 進(jìn)行分析時(shí)發(fā)現(xiàn)在谷歌搜索 Mac 破解軟件時(shí)該網(wǎng)站排名第一,毒軟在必應(yīng)搜索 Mac 破解軟件時(shí)該網(wǎng)站排名第七。專擊

而黑客的門攻目的則是通過下載站投放攜帶病毒的軟件來入侵 Mac,成功入侵 Mac 后再通過其他工具在企業(yè)內(nèi)部網(wǎng)絡(luò)中進(jìn)行橫向傳播,用戶用戶最后用戶和企業(yè)面臨數(shù)據(jù)被竊取、立即藍(lán)點(diǎn)信息泄露、軟件被長期監(jiān)視等安全風(fēng)險(xiǎn)。破解

軟件破解站分發(fā)帶毒軟件專門攻擊Mac用戶 請下載過破解軟件的站分自查Mac用戶自查

MACYY.CN 及金華矜貴:

根據(jù)安天 CERT 透露的信息,藍(lán)點(diǎn)網(wǎng)發(fā)現(xiàn)這個(gè)下載站就是發(fā)帶濟(jì)南歷城怎么約小姐酒店上門vx《192-1819-1410》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá) MACYY.CN,值得注意的毒軟是該網(wǎng)站似乎也被金華市矜貴網(wǎng)絡(luò)科技有限公司收購。

近期關(guān)注藍(lán)點(diǎn)網(wǎng)的專擊網(wǎng)友或許還記得金華矜貴,這家公司早前收購了集成 Web 環(huán)境 Lnmp.org、oneinstack,還準(zhǔn)備收購 LAMP 結(jié)果被拒絕。

而收購之后 Lnmp.org 一鍵安裝包以及 oneinstack 均被添加了后門程序,因此看到藍(lán)點(diǎn)網(wǎng)看到 MACYY.CN 網(wǎng)站名稱中標(biāo)注的公司名稱后,大概就明白了。

相關(guān)內(nèi)容:

1.知名Web集成環(huán)境Lnmp.org一鍵安裝包被投毒 請各位站長立即檢查服務(wù)器

2.繼LNMP后oneinstack也被金華矜貴收購 該公司還試圖買下LAMP

3.繼LNMP后oneinstack也被添加了后門程序 建議用戶不要使用這類腳本

黑客的目的是什么?

先是收購一鍵安裝包這類的集成 Web 環(huán)境進(jìn)行投毒,現(xiàn)在又收購 Mac 軟件破解站來投毒,本質(zhì)目的似乎都是為了服務(wù)器,也就是通過供應(yīng)鏈攻擊來入侵開發(fā)者和企業(yè)的服務(wù)器。

入侵服務(wù)器的目的無非是為了竊取數(shù)據(jù),目前倒是還沒發(fā)現(xiàn)部署勒索軟件的情況,不過僅僅是竊取數(shù)據(jù)已經(jīng)給企業(yè)造成嚴(yán)重威脅。

這個(gè)黑客團(tuán)伙的行為在 2023 年其實(shí)也被另一家信息安全公司深信服盯上了,深信服也發(fā)現(xiàn)這個(gè)黑產(chǎn)團(tuán)伙利用多種攻擊手段,包括仿冒 AMH、寶塔、XShell、Navicat 等軟件有針對性的對運(yùn)維人員進(jìn)行攻擊。

此次安天發(fā)現(xiàn)的攻擊行為與深信服此前發(fā)現(xiàn)的黑產(chǎn)團(tuán)伙能夠關(guān)聯(lián)起來,背后都指向這個(gè)名為金華矜貴的公司,不過黑客敢如此高調(diào)大概率這個(gè)公司也只是個(gè)殼子。

被植入后門的軟件:

包括 SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop。

可以看到這些軟件均為開發(fā)和運(yùn)維相關(guān)的,這和之前深信服發(fā)現(xiàn)這個(gè)黑產(chǎn)團(tuán)伙針對運(yùn)維人員發(fā)起攻擊是一致的。

排查是否中招:

如果你曾經(jīng)在 MACYY 或者其他下載站下載過上述軟件的破解版,那最好盡快自查。

可以檢查 /tmp/ 目錄中是否存在.test、.fseventsd 文件,檢查 / Users/Shared/ 目錄中是否存在.fseventsd 文件,并檢查該文件是否被設(shè)置為開機(jī)自啟動;

對于 Linux 系統(tǒng):

檢查 /usr/sbin/cron(或 crond)文件近期是否被改動;

檢查 /usr/sbin/cron(或 crond)文件所依賴的動態(tài)鏈接庫中是否存在 libdb.so.2 文件;

檢查 libdb.so.2 文件是否存在問題:檢查 MD5 是否為 F23ED5D991CF0C8AA8378774E8FA93FE,或者檢查 libdb.so.2 文件的改動時(shí)間是否與 /usr/sbin/cron(或 crond)文件的改動時(shí)間相近。

頂: 72878踩: 17448