2025年5月，微步情报局在日常威胁狩猎中，发现了一个以企业IT运维人员为主要攻击目标的新黑产团伙。该团伙拥有较强的技术能力，已导致数百家企业用户、大量PC和服务器中招。微步将其命名为夜枭，特点如下：

1、直指IT运维，危害较大：该团伙通过仿冒常见运维工具，诱导运维人员下载恶意软件，窃取服务器IP地址、账号密码等敏感信息，远程控制服务器，危害较大。

2、影响范围广，大量PC和服务器感染：本次攻击活动已导致数百家用户、大量PC和服务器感染，涉及教育、金融、国央企等多个行业，微步已检测到攻击达数万次。

3、持续时间长，攻击资源丰富：夜枭最早的攻击活动出现于2024年底，期间高频更新C2地址以及远控样本，目前仍在持续更新中。

4、技术手段高超，隐蔽性强：夜枭具备深度定制、开发恶意软件的较强技术实力，同时使用了Windows和Linux恶意软件，其Linux远控木马仅在使用时触发恶意代码，传统杀毒软件等检测手段很难发现。

目前，微步威胁感知平台TDP 、下一代威胁情报平台NGTIP、威胁情报云API 、云沙箱S、沙箱分析平台OneSandbox、互联网安全接入服务OneDNS、威胁防御系统OneSIG、终端安全管理平台OneSEC，均已支持对此次攻击的检测与防护。

“夜枭”利用SEM手段增加钓鱼网站访问量

2025年4月，微步情报局发现，在搜索引擎搜索“Xshell”、“WinSCP”、“PuTTY下载”、“宝塔”等运维软件关键字，搜索引擎返回的结果中包含恶意的钓鱼网站。钓鱼网站来自网页推广商，利用了搜索引擎SEM机制将自己搜索结果排名靠前，甚至高于官方网站结果。

以仿冒宝塔钓鱼为例。从2025年开始，宝塔技术论坛上就不断有人讨论关于仿冒宝塔钓鱼网站的情况，论坛管理员也不断发帖提醒。与此同时，夜枭不断更新C2地址以及远控工具，包括SparkRAT、Supershell等，每次回连的C2也会随之发生变化，以混淆视听并绕过安全设备的检测，并且目前仍在持续更新中。

     同时攻击PC和服务器，窃取账密完成远控

木马仿冒软件主要分为两大类。

第一类是针对Windows办公终端的PuTTY，Xshell，WinSCP。当用户访问对应钓鱼网站并点击下载之后，会得到携带后门的软件安装包。

其中，针对开源的运维软件（PuTTY，WinSCP）是基于源码进行修改编译，增加了后门代码，运维人员在使用它们连接服务器时候触发恶意代码，将服务器的IP地址，端口，账户密码等敏感信息上传到攻击者服务器。OneSEC检测到伪装为PuTTY的恶意软件如下：

针对商业的运维软件（Xshell）是基于nsis重新打包了软件安装程序，使用白加黑的技术加载恶意dll程序到Xshell进程中，hook ssh相关的导出函数去截获敏感信息，最后上传到攻击者服务器。

第二类是针对服务器的宝塔软件。当用户点击钓鱼网站中的“立即免费安装”，跳转到宝塔安装页面，攻击者替换了安装脚本命令中的服务器地址，变成攻击者服务器。

受害者使用攻击者钓鱼网站中的安装命令，则会从攻击者服务器下载安装脚本。该脚本在宝塔官方的安装脚本上添加了恶意代码，窃取服务器外网地址、内网地址、用户名和密码等敏感信息，以及下载并执行恶意软件，来远程控制受害者服务器。微步云沙箱S对服务器恶意样本检出如下：

广大企业安全运营团队应当立刻采取措施，积极应对活跃黑产，成立专项运营小组、制定计划，尤其是针对运维人员机器进行详细排查：

1. 封禁钓鱼网站、C2；

2. 排查运维人员管理服务器的登录日志，确保没有异常登录行为；

3. 收敛企业对外登录入口，避免账密被攻击者窃取后可直接登录；

4. 当发现有失陷时，需明确中招员工身份，排查其经常访问的系统，制定针对性的应急处置和修复计划，使用EDR、HIDS等，分别检测、清除PC终端和服务器上的恶意代码；

5. 对包括运维人员在内的全体员工进行安全意识培训，定期修改密码，不要随意点击不明链接、下载安全性未知的软件。

「免责声明」：以上页面展示信息由第三方发布，目的在于传播更多信息，与本网站立场无关。我们不保证该信息(包括但不限于文字、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。相关信息并未经过本网站证实，不对您构成任何投资建议，据此操作，风险自担，以上网页呈现的图片均为自发上传，如发生图片侵权行为与我们无关，如有请直接微信联系g1002718958。