
Akira 借假 OpManager 下載頁落手,IT admin 要改下載 SOP
Bing 搜尋結果投毒拉到木馬 MSI,風險喺權限同備份
搜工具都會踩雷
iThome 報道呢宗 Akira case,講嘅係 SEO poisoning(搜尋結果投毒),最刺眼嘅地方係入口太日常,payload 新唔新反而唔係重點:有人喺 Bing 搜 ManageEngine OpManager,結果去到仿冒下載頁,攞到一個木馬化 MSI installer。The DFIR Report 原文講,呢個 installer 會擺低 BumbleBee loader,之後再拉 AdaptixC2 入嚟,令一次「搵企業工具」變成內網入侵起點。
點解 IT admin 特別值錢
一般釣魚係搏用戶亂撳,呢次精準好多:OpManager、Advanced IP Scanner 呢類工具平時就係 IT team 會搵,執行嗰個帳戶好多時有 server 或 Active Directory 權限。The DFIR Report 指,攻擊者入到第一部機之後,好快轉去 domain controller 同 backup server,攞 AD 資料庫、掃 credentials,再用 FileZilla/SFTP 搬走超過 75GB 資料;Akira 第一輪加密大約喺初始入侵後 44 小時出現,兩日後再打子 domain。
Akira 已經係成熟勒索生意
Akira 唔係新名。FBI、CISA、Europol EC3 同荷蘭 NCSC 2024 年 joint advisory 已經講過,Akira 由 2023 年 3 月起打過北美、歐洲同澳洲好多類公司同基建,入口常見有冇 MFA 嘅 VPN、RDP、phishing 同 stolen credentials。今次假下載頁只係換咗入場方式,後段仍然熟口熟面:攞權限、郁 backup、偷資料、最後加密。
搜尋結果唔等於信任
呢宗係 Bing,但風險唔止 Bing。Google、Bing 嘅廣告位同 SEO 結果,對好多公司 IT 嚟講都係「快啲搵下載」嘅入口;攻擊者買廣告或者推高假頁 ranking,就可以排喺你平時會撳嗰啲位。講真,IT team 日日叫同事唔好亂撳 link,自己下載 admin tool 時都係同一套心理弱點:見到產品名、見到似官方嘅版面,就放低戒心。
下載 SOP 要落到檔案層面
一句「用官方網站」唔夠。比較實際嘅做法係 bookmark vendor 官方下載頁、唔用搜尋結果入面嘅 download shortcut、下載後先對 SHA256、再睇 code signing publisher 同 certificate 狀態;ManageEngine 官方 OpManager 下載頁本身就有 SHA256 欄位,而家官方頁顯示 Windows trial 係 OpManager.exe、Linux 係 .bin,如果手上突然變成 MSI,至少要先停低核對 vendor 文件。MSI/EXE 如果由 Downloads、Desktop、臨時 share 開出,EDR 應該要響;admin workstation 最好用普通帳戶上網,安裝先用受控提升。
權限同備份最易爆
The DFIR Report 提到攻擊者去到 backup server,仲嘗試攞 Veeam credentials,呢步好值得警醒。好多公司以為有 backup 就夠,但 ransomware 最鍾意先摷 backup,再刪 shadow copy,最後先加密。備份帳戶要同 domain admin 分開,MFA 同 vault 要有,immutable 或 offline copy 要定期試 restore;冇試過 restore 嘅 backup,只係一個心理安慰。
偵測唔好淨係追 hash
呢類案最易令人追 IOC,但 hash 好快過期。有用好多嘅係行為:MSI 喺用戶目錄執行後生出奇怪子 process、內網突然出現 remote admin tool、短時間內查 domain admins、建立新 admin 帳戶、server 裝 FileZilla 又有大流量向外走。呢啲 signal 唔使知道惡意 domain 全名都睇到,啱晒用 EDR、SIEM 同身份日誌做 correlation。
本地 IT team 要改習慣
香港 SME、學校、診所、零售後台好多時靠 IT 外判或者細 team 撐住,下載 monitoring、remote admin、scanner 工具成日都係急住救火。呢宗 case 值得擺入 MSP 同內部 IT 嘅 SOP:官方網址由密碼庫或文件庫開、下載同安裝分兩個人覆核、高權限帳戶唔好用嚟瀏覽網頁,backup restore 每季試一次。下一次中招,未必由同事附件開始,admin 自己搵工具嗰一刻都可以係入口。
參考來源
- iThome — Akira勒索軟體攻擊者以搜尋引擎最佳化中毒手法,誘導IT管理員下載惡意安裝程式 — original report
- The DFIR Report:From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira — 主要技術來源,交代 OpManager 假下載頁、BumbleBee、AdaptixC2、44 小時入侵時間線同資料外流。
- The DFIR Report Flash Alert:From Bing Search to Ransomware — 補充早期公開警報、Swisscom 相關案例同可用嘅偵測方向。
- ManageEngine OpManager 官方下載頁 — 核對官方下載檔名、下載入口同 SHA256 欄位。
- FBI / CISA / EC3 / NCSC-NL:#StopRansomware Akira Ransomware — Akira 背景、常見入侵入口、工具同勒索手法資料。
- CISA:#StopRansomware Guide — 備份、EDR、allowlisting 同 ransomware 防線建議。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







