【IT admin注意】黑客用假網絡診斷工具網站 散播Bumblebee惡意軟件
外媒近日揭露一場針對 IT 管理員的大規模惡意軟件攻擊事件,黑客利用偽冒的 Zenmap 與 WinMTR 網絡管理工具網站,散播名為 Bumblebee 的惡意軟件。這些網站透過 SEO 技術提升排名,誘騙受害者下載惡意軟件安裝檔案,再次凸顯 IT 管理員需保持警惕的重要性。
IT 管理員屬黃金目標
因為 IT 管理員擁有訪問及修改系統的權限,所以一直是黑客眼中的「黃金目標」。透過入侵他們的電腦設備或帳戶,黑客便可以輕易滲透企業內部網絡,實現橫向移動攻擊,甚至部署後續惡意程式如勒索軟件或信息竊取工具等。而在這次發現的攻擊事件中,黑客便借用 Zenmap 和 WinMTR 等被 IT 管理員廣泛使用的網絡診斷工具,企圖引誘目標人物安裝假軟件。
在這次事件中,黑客首先建立了 Zenmap 及 WinMTR 的偽冒網站,畫面像真程度高,並直接提供偽冒軟件的下載連結。黑客透過這些連結散播被植入惡意軟件的安裝檔案,例如 zenmap-7.97.msi 及 WinMTR.msi。受害者如果不慎安裝,雖然仍可使用合法軟件的功能,但惡意編碼亦會同時在在裝置上暗中安裝 Bumblebee 惡意軟件,這款惡意軟件不單能夠收集設備資訊,也能進一步部署勒索軟件、信息竊取工具等額外惡意功能。
利用 SEO 提升排名
為提升偽冒網站的可信度並吸引更多 IT 人員訪問,黑客採用了多種策略。首先,他們利用 SEO 技術提升偽冒網站在 Google 和 Bing 等搜索引擎中的排名,讓目標人物在搜索相關工具時更容易點擊進入。其次,網站內含有由 AI 生成的內容,營造出專業且可信的外觀,降低目標的防範心理。此外,下載頁面與官方網站的設計幾乎一樣,讓到訪者難以察覺異常。
除了 Zenmap 與 WinMTR,網絡安全專家還發現黑客針對其他合法的開源工具進行了類似攻擊,例如 Hanwha WisenetViewer 監控管理軟件及 Milestone XProtect 影像管理軟件等。此外,RVTools 的官方網站甚至遭受 DDoS 攻擊而停用,增加目標人物到訪偽冒網站的可能性。
為免成為下一個受害者,IT 人員應只從官方網站或受信任的軟件管理平台下載工具,切勿輕信搜索引擎結果。下載後,務必檢查安裝檔案的 Hash,確認檔案未被竄改。最重要是應接受定期的安全培訓,提升對偽冒網站的警覺性。只有保持警惕,才能有效防範類似攻擊。
