FinalShell 是個頗為知名的終端連線工具,日前火絨安全發現有駭客團伙註冊 FinalShell.cn 域名進行釣魚,向開發者和運維人員提供帶有後門的版本用於收集敏感資訊。
火絨情報資訊顯示此次釣魚活動來自 APT (高階持續性威脅) 組織的 Winnti 團隊,該團隊自 2009 起活躍至今,最初主要針對遊戲行業發起攻擊用於竊取敏感資訊和原始碼等。
此次 FinalShell 釣魚網站的目標同樣是收集資訊,火絨安全團隊進行分析發現,FinalShell 帶毒版本會釋放後門程式用於收集資訊,涵蓋微信和 Telegram 等即時通訊工具。
本身這個終端工具的使用者基本都是開發者和運維人士,因此如果不慎下載帶毒版本則可能會造成資訊洩露,如果駭客拿到伺服器的 SSH 密碼或金鑰則可以連線伺服器執行更多惡意操作,例如竊取軟體原始碼、植入病毒、部署勒索軟體或進行其他破壞。
值得注意的是 FinalShell.cn 這個域名本身價值不菲,從 WHOIS 資訊反查可以看到駭客使用的註冊郵箱 [email protected] 還註冊多個釣魚域名,這些域名全部是是 CN 字尾的。
CN 域名註冊局也就是 CNNIC 並不免費提供 WHOIS 資訊保護,這也是註冊資訊可以公開查詢的原因,至於為什麼註冊選擇 CN 域名或許是因為 CN 域名首年註冊價格都比較便宜的緣故。
問題是考慮到部分域名價值不菲拿來釣魚著實讓人有些驚訝,目前谷歌安全瀏覽服務已經攔截這個域名,所以即便是價值不菲也沒太大用處,被攔截後這個域名基本上就是廢了。
這個駭客註冊的其他釣魚域名還有 telegram5.cn、letsvpn.cn、teiegrm.cn 等,這些域名全部都是用於仿冒和釣魚的,在這裡也提醒各位透過搜尋引擎查詢內容時一定要仔細辨別避免訪問釣魚網站中毒。
最後 FinalShell 的官方網站是:https://www.hostbuf.com/