Akira 借假 OpManager 下載頁落手,IT admin 要改下載 SOP
Tech News

Akira 借假 OpManager 下載頁落手,IT admin 要改下載 SOP

圖片:via iThome — https://www.ithome.com.tw/news/177131
TechLab 編輯部(譯)·

Bing 搜尋結果投毒拉到木馬 MSI,風險喺權限同備份

搜工具都會踩雷

iThome 報道呢宗 Akira case,講嘅係 SEO poisoning(搜尋結果投毒),最刺眼嘅地方係入口太日常,payload 新唔新反而唔係重點:有人喺 Bing 搜 ManageEngine OpManager,結果去到仿冒下載頁,攞到一個木馬化 MSI installer。The DFIR Report 原文講,呢個 installer 會擺低 BumbleBee loader,之後再拉 AdaptixC2 入嚟,令一次「搵企業工具」變成內網入侵起點。

點解 IT admin 特別值錢

一般釣魚係搏用戶亂撳,呢次精準好多:OpManager、Advanced IP Scanner 呢類工具平時就係 IT team 會搵,執行嗰個帳戶好多時有 server 或 Active Directory 權限。The DFIR Report 指,攻擊者入到第一部機之後,好快轉去 domain controller 同 backup server,攞 AD 資料庫、掃 credentials,再用 FileZilla/SFTP 搬走超過 75GB 資料;Akira 第一輪加密大約喺初始入侵後 44 小時出現,兩日後再打子 domain。

Akira 已經係成熟勒索生意

Akira 唔係新名。FBI、CISA、Europol EC3 同荷蘭 NCSC 2024 年 joint advisory 已經講過,Akira 由 2023 年 3 月起打過北美、歐洲同澳洲好多類公司同基建,入口常見有冇 MFA 嘅 VPN、RDP、phishing 同 stolen credentials。今次假下載頁只係換咗入場方式,後段仍然熟口熟面:攞權限、郁 backup、偷資料、最後加密。

搜尋結果唔等於信任

呢宗係 Bing,但風險唔止 Bing。Google、Bing 嘅廣告位同 SEO 結果,對好多公司 IT 嚟講都係「快啲搵下載」嘅入口;攻擊者買廣告或者推高假頁 ranking,就可以排喺你平時會撳嗰啲位。講真,IT team 日日叫同事唔好亂撳 link,自己下載 admin tool 時都係同一套心理弱點:見到產品名、見到似官方嘅版面,就放低戒心。

下載 SOP 要落到檔案層面

一句「用官方網站」唔夠。比較實際嘅做法係 bookmark vendor 官方下載頁、唔用搜尋結果入面嘅 download shortcut、下載後先對 SHA256、再睇 code signing publisher 同 certificate 狀態;ManageEngine 官方 OpManager 下載頁本身就有 SHA256 欄位,而家官方頁顯示 Windows trial 係 OpManager.exe、Linux 係 .bin,如果手上突然變成 MSI,至少要先停低核對 vendor 文件。MSI/EXE 如果由 Downloads、Desktop、臨時 share 開出,EDR 應該要響;admin workstation 最好用普通帳戶上網,安裝先用受控提升。

權限同備份最易爆

The DFIR Report 提到攻擊者去到 backup server,仲嘗試攞 Veeam credentials,呢步好值得警醒。好多公司以為有 backup 就夠,但 ransomware 最鍾意先摷 backup,再刪 shadow copy,最後先加密。備份帳戶要同 domain admin 分開,MFA 同 vault 要有,immutable 或 offline copy 要定期試 restore;冇試過 restore 嘅 backup,只係一個心理安慰。

偵測唔好淨係追 hash

呢類案最易令人追 IOC,但 hash 好快過期。有用好多嘅係行為:MSI 喺用戶目錄執行後生出奇怪子 process、內網突然出現 remote admin tool、短時間內查 domain admins、建立新 admin 帳戶、server 裝 FileZilla 又有大流量向外走。呢啲 signal 唔使知道惡意 domain 全名都睇到,啱晒用 EDR、SIEM 同身份日誌做 correlation。

本地 IT team 要改習慣

香港 SME、學校、診所、零售後台好多時靠 IT 外判或者細 team 撐住,下載 monitoring、remote admin、scanner 工具成日都係急住救火。呢宗 case 值得擺入 MSP 同內部 IT 嘅 SOP:官方網址由密碼庫或文件庫開、下載同安裝分兩個人覆核、高權限帳戶唔好用嚟瀏覽網頁,backup restore 每季試一次。下一次中招,未必由同事附件開始,admin 自己搵工具嗰一刻都可以係入口。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook