1、摘要

近期，微步情报局监测发现，macOS 平台上的多款常用运维工具遭攻击者投毒，包括 iterm2、navicat、snailsvn 等。攻击者利用广告网站来推广被投毒的运维工具，在某搜索引擎的相关搜索结果中排名前列，这使得该问题影响范围十分广泛。并且经过微步情报局关联分析，与2020年11月份开源端口转发工具 rinetd 遭投毒事件在攻击手法一致。

此次攻击所用的木马程序具备收集数据并将数据上传至 C&C 服务器的能力，包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。

微步情报局秉承共建安全生态的原则，建议高度重视本次软件供应链投毒攻击，并根据附件 IOC 及时排查相关企业/部门内部是否存在相关网络威胁，保护自身安全。

微步在线安全 DNS（OneDNS）/TDP/TIP 已支持对此次攻击事件的检测，如需协助，请与我们联系：contactus@threatbook.cn。

2、事件概要

3、事件详情

2021年9月，微步情报局监测发现，macOS 平台上的多款常用运维工具遭攻击者投毒，包括 iterm2、navicat、snailsvn 等。攻击者注册 iterm2[.]net、securcrt[.]com 等域名来搭建仿冒官方站点来提供被投毒软件的下载。

iterm2 官方站点：

假冒的 iterm2 官方站点:

当前假冒 iterm2 官方站点的内容：

攻击者利用广告网站来推广被投毒的工具，在某搜索引擎的相关搜索结果中排名前列，这使得该问题影响范围十分广泛。目前已有相关受害者在知乎反馈因搜索 iterm2 关键词点击跳转后遭到攻击。

（图 | 知乎用户潘小潘 https://zhuanlan.zhihu.com/p/408746101）

以被投毒的工具iterm2为例进行分析:

被投毒的 iterm2 在运行后，会请求 URL http://47.75.123.111/g.py 来下载恶意 python 脚本。

g.py 是 python 编写的木马程序，具备收集数据并将数据上传至 C&C 服务器的能力，包含当前操作系统的信息、应用列表、主机名和 IP 地址的映射关系、用户名、本地 IP、git 全局信息、bash 历史记录、zsh 历史记录等。收集到的数据会首先被写到 /Users/{username}/Library/Logs/tmp/ 目录的文件中，然后上传文件到 http://47.75.123.111/u.php?id=

此外，在47.75.123.111上存在多款木马，包括GoogleUpdate（MD5:96013240f62f846de82304fbcad8b653）、Host（MD5:b5795a5fab6c28771b22f72c2ce5b3ff）等。

GoogleUpdate 会连接47.75.122.251:443 CobaltStrike 服务器，Host 为 Wirenet 后门程序，其 C&C 域名为dns.serversntp.com。

4、处置建议

1.根据威胁情报，排查网络中从仿冒站点下载安装工具的主机，逐台清理。

2.微步在线云端已更新相关情报，建议更新 TDP 、TIP 、OneEDR 情报至最新版本，并全面覆盖贵单位网络区域。

3.加强应用软件安装规范，避免安装不可靠来源的第三方应用，建议通过 AppStore 以及官方网站安装应用软件。

声明：本文来自微步在线研究响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。