安全警报!红帽遭攻击:570GB核心开发库泄露|黑客组织瞄准全球中文IIS服务器
关键词
核心开发库泄露
🔍 事件概要
-
时间线
- 2025.10.6ShinyHunters公开勒索声明,要求红帽10.10前支付赎金
- 泄露数据570GB压缩文件 / 28,000个内部开发库 / 800份客户机密报告(CER)
-
关键影响方
包括 Walmart、HSBC、加拿大央行、Atos 集团、美国运通、防务部和法国 SFR 公司等
⚠️ 攻击链路拆解
| 阶段 | 操作主体 | 攻击细节 |
|---|---|---|
| 初始入侵 | Crimson Collective | 利用GitLab漏洞攻破咨询项目实例 |
| 数据窃取 | Crimson Collective | 窃取28k开发库(含Ansible/OpenShift代码) |
| 勒索升级 | ShinyHunters EaaS平台 | 搭建专属泄露平台,威胁全网公开数据 |
| 黑产协作 | Scattered Lapsus$ Hunters | 提供谈判渠道和暗网流量支持 |
🔧 泄露数据类型与风险
💣 客户参与报告(CER):
- 客户网络拓扑图(含内网IP段、物理设备布局)
- 企业级基础设施部署文档(K8s集群配置/SDN架构)
💻 开发库核心资产:
- Ansible Playbook历史版本(含硬编码凭证)
- Openshift测试环境密钥(关联红帽云原生服务)
- 内核开发团队内部讨论记录(潜在0day漏洞线索)
🕳️ 攻击入口点剖析:GitLab实例
-
红帽官方声明
▶ 涉事实例仅用于"短期咨询项目"
▶ 未回应是否存留客户生产环境数据 -
黑客披露证据
▶ 样本含多份沃尔玛私有化部署方案(签署日期2024Q3)
▶ GitHub关联仓库检测到相同CER片段(已触发DMCA删除)
💰 黑产商业模式:EaaS(勒索即服务)
| 模块 | 运作规则 | 资金流向 |
|---|---|---|
| 攻击实施方 | 提供初始入侵能力(如GitLab漏洞利用) | 获得赎金的70% |
| 平台运营方 | ShinyHunters提供勒索谈判、数据托管服务 | 抽成30%(含Tor服务器成本) |
| 渠道合作方 | 暗网论坛推广/洗钱通道搭建 | 按交易额收取5%-10%佣金 |
⏳ 当前进展与应对
- 威胁倒计时10月10日前未支付赎金将全网公开数据
-
企业自查建议
▶ 核查是否使用红帽咨询项目交付件(2023-2025年度)
▶ 优先重置Ansible Tower服务账号密码
▶ 监控GitHub/GitLab是否存在敏感代码片段泄露
📢 关联情报
- IOCShinyHunters泄露平台域名(需Tor访问)已进入VirusTotal恶意库
- 防御参考红帽KB#20251007-001《遭遇未授权访问后的密钥轮换指南》
关键词
黑产
🔍核心攻击画像
🌐活跃区域:印度、泰国、越南、加拿大、巴西
🎯重点目标:
▸ 🏫 大学(占比38%)
▸ 🖥️ 科技公司(26%)、📡 电信服务商(22%)
▸ 其他:金融机构、政府外包技术部门
🛠️攻击工具链:
🌐中文痕迹:
▸ 部分恶意代码含简体中文调试字符串
▸ 暗网赃物交易渠道涉及中文匿名论坛
⚡四步攻陷流程图
1️⃣ 初探漏洞
▸ 利用IIS服务器未限制文件类型的弱点,上传ASP.NET Web BackDoor后门
▸ 路径示例:C:/inetpub/wwwroot/[REDACTED]/Html/hw/server.ashx
2️⃣ 权限统治
第一个脚本用于安装 IIS 模块,具体内容请见 Talos DragonRank和Trend Micro 的博客文章。
C:\Windows\system32\cmd.exe /c C:\ProgramData\iis.bat
图 5. 设置服务器以实现持久性和 SEO 欺诈。
第二个脚本用于在 Windows 系统上配置 RDP 设置和相关网络活动,包括过去的 RDP 使用情况、RDP 监听端口、RDP 服务的状态、相关的网络活动,以及配置 Windows 防火墙以允许 RDP。
C:\Windows\system32\cmd.exe /c C:\ProgramData\fuck.bat
图 6.配置 RDP 设置以允许传入连接。
第三组脚本旨在使用“inetinfo.exe”创建并立即触发持久的高权限计划任务,然后列出所有系统计划任务。inetinfo.exe 是一个合法文件“WMI V2 提供程序代码生成工具”,攻击者使用它进行 DLL 侧加载并在内存中运行 Cobalt Strike。Cobalt Strike 的详细分析将在下一节中介绍。
C:\Windows\system32\cmd.exe /c C:\ProgramData\1.bat
图 7.inetinfo.exe 用于侧载 Cobalt Strike 信标。
▸ 创建隐藏账户admin$,部署SoftEther VPN+FRP反向代理远程操控
3️⃣ 数据收割
▸ 使用Everything工具快速检索高价值数据:
- 🔑 AWS密钥、📜 SSL证书(.crt文件)
- 📝 数据库配置文件、🔒 浏览器密码本
▸ 数据打包路径:C:\Users\admin$\Desktop\loade\
4️⃣ SEO欺诈闭环
▸ 植入BadIIS模块篡改搜索引擎排名:
- 🎰 赌博网站(泰语/葡萄牙语界面优先)
- 📲 恶意APP下载(伪装安卓/iOS正规应用)
▸ 流量劫持逻辑:
if User-Agent == "Googlebot":
注入反向代理代码 → 提升赌博网站SEO权重
else:
重定向至博彩页面(随机选择C2服务器)
🕵️♂️技术亮点与隐蔽手法
🔸 Cobalt Strike载荷三重套娃:
1. wmicodegen.dll(合法文件外壳)
2. Base64加密的第二阶段Shellcode
3. 自定义反射加载器udrl.x64.dll
🔸 反侦察设计:
- 使用D_Safe_Manage工具阻止其他黑客入侵同一服务器
- 任务计划伪装:通过inetinfo.exe加载恶意模块
🇨🇳中国关联风险预警
1️⃣ 供应链穿透可能:
▸ 被控服务器涉及在华外资企业(如电信设备东南亚供应商)
▸ 攻击者窃取的.gitconfig、.aws/config可能包含中国开发团队凭证
2️⃣ 国内仿冒攻击预判:
▸ 监测到攻击脚本含xxm|dabo|lingdu等拼音特征路径匹配规则
▸ 赌博网站域名注册信息与中国地下黑产重叠度达63%
3️⃣ 企业防御短板:
▸ 82%受害服务器存在:
- IIS文件上传功能未做类型过滤
- 默认账户未禁用+弱密码策略
🛡️防御指南(针对国内机构)
1️⃣ 紧急自查项:
检查所有IIS服务器是否存在以下路径:
C:\Users\Public\Libraries\install_VPN.bat
C:\ProgramData\iis.bat/fuck.bat/1.bat
2️⃣ 权限治理:
▸ 禁用Guest账户,定期审计Remote Desktop Users组
▸ 限制NOTEPAD.EXE访问*.crt、*.config敏感文件
3️⃣ 流量监控重点:
▸ 异常外联域名特征:
*.cdn-nginx[.]live、cdn-ssl[.]shop
▸ 突发性谷歌爬虫(User-Agent: Googlebot)请求激增
⚙️推荐工具链:
- Cisco Secure Endpoint(检测BadIIS模块)
- 深信服下一代防火墙(识别Cobalt Strike C2心跳包)
- 360安全卫士企业版(拦截恶意计划任务)
文章来源:安全圈
官方 