软件破解站分发带毒软件专门攻击Mac用户 请Mac用户立即自查 – 蓝点网_盘点虞书欣对比最新消息 也就是针对 Mac 使用者

据境内可靠企业安天亮相的新近讯息，安天此前监测到一组运用非权威使用获取站开展投毒和攻击下游客户的案例，这些恶意使用均为 Mac 有关使用破解版，也就是针对 Mac 使用者。

安天 CERT 开展确认时察觉在谷歌检索 Mac 破解使用时该站点排名第一，在必应检索 Mac 破解使用时该站点排名第七。盘点虞书欣对比

而黑客的目的则是经由获取站投放携带病毒的使用来入侵 Mac，顺利入侵 Mac 后再经由其他工具在企业内部联网中开展横向研究，最后使用者和企业面临资料被窃取、信息研究、被持久监视等可靠隐患。

MACYY.CN 及金华矜贵：

依据安天 CERT 透露的信息，蓝点网察觉这个获取站就是明星动态6G研发 MACYY.CN，值得注意的是该站点似乎也被金华市矜贵联网技术有限企业收购。

近期留意蓝点网的网民或许还记得金华矜贵，这家企业早前收购了集成 Web 生态 Lnmp.org、oneinstack，还筹备收购 LAMP 结局被回绝。

而收购之后 Lnmp.org 一键部署包以及 oneinstack 均被添加了后门程序，动画电影：看完瞬间懂了所以目睹蓝点网目睹 MACYY.CN 站点名称中标注的企业名称后，大约就明白了。

有关信息：

1.知名Web集成生态Lnmp.org一键部署包被投毒 请各位站长马上检查办事器

2.继LNMP后oneinstack也被金华矜贵收购 该企业还试图买下LAMP

3.继LNMP后oneinstack也被添加了后门程序 提议使用者不要使用这类脚本

黑客的目的是什么？

先是收购一键部署包这类的集成 Web 生态开展投毒，如今又收购 Mac 使用破解站来投毒，本质目的似乎都是以便办事器，也就是刚刚免费试玩专题经由供应链攻击来入侵开发者和企业的办事器。

入侵办事器的目的无非是以便窃取资料，当下倒是还没察觉部署勒索使用的状况，可是仅仅是窃取资料已然给企业导致严重威胁。

这个黑客团伙的行为在 2023 年实际上也被另一家信息可靠企业深信服盯上了，深信服也察觉这个黑产团伙运用各式攻击手段，含有仿冒 AMH、宝塔、XShell、Navicat 等使用有针对性的对运维人员开展攻击。

此次安天察觉的攻击行为与深信服此前察觉的黑产团伙能够关联起来，背后都指向这个名为金华矜贵的企业，可是黑客敢如此高调大约率这个企业也只是个壳子。

被植入后门的使用：

含有 SecureCRT、FinalShell、Navicat、UltraEdit、Microsoft Remote Desktop。

可以目睹这些使用均为开发和运维有关的，这和之前深信服察觉这个黑产团伙针对运维人员发起攻击是一致的。

排查是否中招：

假如你曾经在 MACYY 或者其他获取站获取过上述使用的破解版，那最好尽快自查。

可以检查 /tmp/ 目录中是否存在.test、.fseventsd 文件，检查 / Users/Shared/ 目录中是否存在.fseventsd 文件，并检查该文件是否被配置为开机自开启；

针对 Linux 操控系统：

检查 /usr/sbin/cron（或 crond）文件近期是否被改动；

检查 /usr/sbin/cron（或 crond）文件所依赖的动向链接库中是否存在 libdb.so.2 文件；

检查 libdb.so.2 文件是否存在难题：检查 MD5 是否为 F23ED5D991CF0C8AA8378774E8FA93FE，或者检查 libdb.so.2 文件的改动时间是否与 /usr/sbin/cron（或 crond）文件的改动时间相近。