主机圈近期,火绒安全情报中心监测到一场正在针对运维人员开展的钓鱼攻击活动。火绒情报信息显示,此次钓鱼活动来自APT组织的Winnti团伙,该团伙自2009年起活跃至今,最初主要针对游戏行业发动攻击,其通过部署带有有效数字证书签名的恶意软件,窃取游戏社区的虚拟货币及源代码等敏感信息。此次钓鱼攻击通过伪造运维人员常用的SSH连接工具——FinalShell软件的官网,分发远程控制木马(Gh0st)的恶意样本。此类攻击通常以软件更新、破解版或绿色版软件为诱饵,诱导用户下载并执行恶意程序,进而实现窃取敏感信息、持久化控制、横向渗透等恶意行为。目前,火绒安全产品可对上述病毒进行拦截查杀,建议广大用户及时更新病毒库以提高防御能力。
伪装官网的钓鱼网站网址为finalshell.cn,钓鱼网站页面如下。
钓鱼网站
官方网站的网址为hostbuf.com,官网页面如下。
FinalShell网站
在企业服务器维护过程中,SSH工具是运维人员不可或缺的助手。然而,如果SSH客户端被恶意植入后门程序,本地存储的服务器连接信息(如IP地址、端口、用户名等)会被自动收集并上传。此类后门程序通常具备持久化能力,能在系统中长期潜伏,持续监控并窃取新增的连接信息,同时还会通过内存抓取技术获取当前会话中的明文密码,并完整盗取.ssh目录下的私钥文件及其对应的加密口令。攻击者一旦获得这些SSH凭证,便能以合法身份登录目标服务器,窃取敏感数据、进行内网横向渗透,甚至部署勒索软件或破坏系统配置,导致服务中断。
由于SSH凭证通常拥有较高的系统权限,利用SSH工具发动的攻击往往能够绕过常规的安全防护措施,伪装成正常的运维管理操作,使得此类攻击难以被及时发现。这可能导致企业面临核心数据泄露、系统瘫痪以及合规风险等多重威胁。