根据一份新的事件报告,Bing 搜索 ManageEngine OpManager 导致一名 IT 用户进入一个虚假下载页面,该页面传播恶意软件,并最终传播 Akira 勒索软件。
这次攻击始于 SEO 中毒,这是一种将恶意网站推入可信软件名称搜索结果的技术。在这种情况下,攻击者使用类似的 ManageEngine OpManager 页面来诱骗用户下载木马 MSI 安装程序。
该事件被记录在案DFIR 报告,该公司表示,在大约 44 小时内,入侵从最初的恶意软件执行转移到跨根域部署 Akira 勒索软件。
攻击是如何开始的
受害者在 Bing 上搜索ManageEngine OpManager,IT 团队用来跟踪路由器、交换机、服务器、防火墙、负载均衡器、虚拟机和其他基础设施的网络监控平台。
用户没有到达合法的供应商页面,而是登陆了 opmanager[.]pro,这是一个看起来像真正的软件下载网站的欺骗性域名。然后,该页面将受害者重定向到 download-center[.]online,该中心传送了恶意安装程序。
安装程序名为 ManageEngine-OpManager.msi。它部署了真正的 OpManager 软件作为诱饵,但它也通过 DLL 侧面加载上演了 BumbleBee 恶意软件。
| 阶段 | 发生了什么 | 影响 |
|---|---|---|
| 搜索 | 用户在 Bing 中搜索 ManageEngine OpManager | SEO 中毒在路径中放置了一个虚假的下载网站 |
| 假冒网站 | 受害者已达到 opmanager[.]pro | 该页面冒充了可信的 IT 工具 |
| 安装人员 | ManageEngine-OpManager.msi 已执行 | BumbleBee加载器通过DLL侧面加载启动 |
| C2访问 | AdaptixC2 信标已部署 | 攻击者获得了实际键盘访问权限 |
| 勒索软件 | Akira 被上演为 locker.exe | 系统在整个环境中都被加密 |
假冒安装程序的目标是 IT 管理员
OpManager 的选择并不是随机的。网络监控工具通常由管理员安装,这些用户可能在服务器、网络共享和域系统上拥有更高的权限。
这才造就了假货OpManager下载特别危险。成功的诱饵不仅仅会感染普通工作站。它增加了有权访问敏感基础设施的人执行死刑的机会。
恶意MSI将三个文件放入临时文件夹中:合法的OpManager安装程序、名为consent.exe的合法Windows二进制文件以及用作BumbleBee加载程序的恶意msimg32.dll文件。
- ManageEngine_OpManager_64bit.exe 充当诱饵安装程序。
- consent.exe 是加载链中被滥用的合法进程。
- msimg32.dll 作为 BumbleBee 第一阶段加载程序运行。
- MSI 使用了与 LLC Resource+ 绑定的已撤销代码签名证书。
BumbleBee 打开了 AdaptixC2 的大门
执行后,BumbleBee 与攻击者基础设施建立了命令和控制通信。大约五个小时后,攻击者部署了 AdgNsy.exe,这是一个注入了 AdaptixC2 shellcode 的重命名的 Windows 地址簿实用程序。
AdaptixC2 信标为攻击者提供了一个用于发现、持久性、横向移动和凭证盗窃的稳定通道。然后,攻击者运行常见的发现命令(包括 systeminfo、nltest 和 whoami)来映射网络并识别域资产。
这DFIR调查表示,威胁行为者创建了新的特权域帐户,并将 RustDesk 作为 Windows 服务安装在多台服务器上以维持访问。
| 工具或文件 | 在入侵中的作用 |
|---|---|
| 熊蜂 | 假安装程序提供的初始恶意软件加载程序 |
| 适配C2 | 用于后续活动的命令和控制框架 |
| 铁锈桌 | 作为 Windows 服务安装的远程访问工具以实现持久性 |
| 文件齐拉 | 用于通过 SFTP 进行数据泄露 |
| 储物柜.exe | 加密过程中使用的 Akira 勒索软件二进制文件 |
攻击者在加密前窃取数据
攻击者并没有直接进行加密。他们首先扩大访问范围、收集凭据并进行数据盗窃。这种模式与现代勒索软件操作相匹配,其中勒索行为通常将加密与被盗数据结合起来。
第二天和第三天,攻击者使用 RDP 横向移动,到达域控制器,并使用 wbadmin.exe 提取 NTDS.dit Active Directory 数据库。他们还在多个主机上转储 LSASS 内存,并从 PostgreSQL 数据库中提取 Veeam 凭证。
攻击者使用 FileZilla 将超过 75GB 的数据泄露到乌克兰的外部服务器。被盗数据包括文件共享、敏感用户凭据和 SYSVOL 域配置数据。
Akira 勒索软件在首次感染后约 44 小时内部署。勒索软件二进制文件被伪装成locker.exe,并在加密系统之前使用Windows Management Instrumentation删除卷影副本。
攻击者后来返回并加密了一个子域,将损害扩大到初始域之外。这次回访表明了为什么事件响应团队必须验证整个 Active Directory 林,而不仅仅是在第一波期间加密的系统。
CISA的Akira 勒索软件咨询说 Akira 参与者使用双重勒索策略,在加密之前泄露数据,并通过泄露站点威胁向受害者施压。
- 最初的访问来自有毒的搜索结果。
- 假冒安装程序通过 DLL 侧面加载交付 BumbleBee。
- AdaptixC2 启用手动入侵活动。
- 攻击者创建了特权域帐户。
- 他们在加密前泄露了超过 75GB 的数据。
- Akira 勒索软件部署在根域,后来又部署在子域。
为什么SEO中毒对企业有效
SEO 中毒之所以有效,是因为它滥用了正常的用户行为。 IT 团队经常在日常工作中搜索软件下载、驱动程序、实用程序和文档。
攻击者通过为受信任的企业工具创建搜索优化的虚假页面来利用这种习惯。如果该页面看起来合法并且提供有效的安装程序,那么即使有经验的用户也可能会错过恶意包装程序。

当目标软件属于 IT 运营时,风险就会增加。下载网络扫描仪、监控工具、VPN 客户端或远程管理软件的用户通常比普通员工拥有更多的权限。
| 防守差距 | 为什么它帮助了攻击者 | 需要改进什么 |
|---|---|---|
| 基于搜索的下载 | 用户信任搜索结果而不是已知的供应商 URL | 使用添加书签的供应商门户和软件目录 |
| MSI执行 | 特洛伊木马安装程序在高价值系统上运行 | 阻止未签名或不受信任的 MSI 文件 |
| 管理员权限 | IT 帐户执行增加了攻击者的影响范围 | 将管理员帐户与网页浏览分开 |
| 远程访问工具 | RustDesk 提供持久性 | 关于新远程访问服务的警报 |
| 凭证存储 | Veeam 和 AD 凭证成为目标 | 监控备份和域凭据访问 |
安全团队应监控哪些内容
防御者应该监视冒充企业软件的相似域,尤其是管理员使用的工具。品牌监控应包括搜索结果、新注册的域名以及复制供应商品牌的下载页面。
端点团队还应该监视从异常位置执行的 Windows 二进制文件。在这次入侵中,consent.exe从用户控制的文件夹运行并加载了恶意本地DLL,这是DLL侧面加载的强烈迹象。
网络团队应监控意外的 AdaptixC2、BumbleBee、RustDesk、FileZilla、反向 SSH 隧道、Cloudflare 隧道以及来自通常不使用这些工具的服务器的出站 SFTP 活动。
- 对在正常 Windows 路径之外运行的consent.exe 发出警报。
- 尽可能阻止临时文件夹、下载文件夹和网络共享中的 MSI 执行。
- 关于新创建的域管理员或企业管理员帐户的警报。
- 监控作为服务安装的 RustDesk 和其他远程访问工具。
- 检查通过环回或隧道工具路由的 RDP 活动。
- 检测 LSASS 转储和对 NTDS.dit 的可疑访问。
- 通过 FileZilla 或 SFTP 跟踪大型出站传输。
如何降低有毒搜索结果的风险
组织不应仅依赖用户判断。安全团队应提供经过批准的软件门户,实施应用程序控制,并阻止用户从未知下载站点安装管理工具。
管理员应直接从已知供应商域或内部软件包存储库下载软件。他们应该避免在通过赞助或不熟悉的搜索结果到达网站后安装工具。

CISA的晃指导建议采取强有力的身份保护、网络分段、离线备份、漏洞管理以及勒索软件相关行为监控。
| 优先事项 | 行动 |
|---|---|
| 即时 | 阻止已知恶意域和 IOC 参与事件 |
| 即时 | 查看管理员用户最近执行的 MSI |
| 高的 | 限制将软件下载到批准的存储库 |
| 高的 | 将特权管理与互联网浏览分开 |
| 进行中 | 监控搜索结果是否冒充公司工具和供应商 |
妥协指标
以下指标与报告的活动和相关活动相关。安全团队应在阻止之前根据自己的环境对其进行验证,因为某些基础设施可能会随着时间的推移而发生变化或变得不活动。
| 类型 | 指标 | 描述 |
|---|---|---|
| 领域 | opmanager[.]pro | 模仿 ManageEngine OpManager 的相似域 |
| 领域 | 在线下载中心[.] | 为木马安装程序提供服务的交付网关 |
| 领域 | 在线下载服务器[.] | 早期浪潮中的相关交付网关 |
| 领域 | 软服务器[.]在线 | 早期浪潮中的相关交付网关 |
| 领域 | zenmap[.]pro | 模仿 Zenmap 的相似域名 |
| 领域 | ip-scanner[.]org | 高级 IP 扫描仪模拟域 |
| IP地址 | 188.40.187[.]145 | BumbleBee C2 基础设施 |
| IP地址 | 109.205.195[.]211 | BumbleBee C2 和 AdaptixC2 有效负载传输 |
| IP地址 | 172.96.137[.]160 | AdaptixC2 信标基础设施 |
| 文件 | ManageEngine-OpManager.msi | 木马 MSI 安装程序 |
| 文件 | msimg32.dll | BumbleBee 第一级装载机 |
| 文件 | 执行程序 | 重命名的 Windows 地址簿实用程序注入了 AdaptixC2 shellcode |
| 文件 | 储物柜.exe | Akira 勒索软件二进制文件 |
| 帐户 | 备份_DA / 备份_EA | 入侵期间创建的恶意域帐户 |
底线
这次攻击展示了普通的软件搜索如何成为勒索软件入侵的第一步。该威胁并不是从零日漏洞或复杂的网络钓鱼电子邮件开始的。它始于值得信赖的搜索习惯。
对于防守者来说,教训是显而易见的。特权用户的软件下载需要更严格的控制,搜索引擎结果不应充当企业工具的信任边界。
组织应结合批准的软件分发、应用程序控制、特权访问分离、端点监控和勒索软件就绪备份。如果没有这些控制,一个虚假的安装程序可以给攻击者足够的时间从单一下载转移到全域勒索软件事件。
FAQ
Bing 搜索是如何导致 Akira 勒索软件的?
一名用户在 Bing 中搜索 ManageEngine OpManager,并通过 SEO 中毒访问了一个虚假的下载页面。该页面提供了一个木马 MSI 安装程序,该安装程序启动了 BumbleBee 恶意软件,随后启用了 AdaptixC2 访问和 Akira 勒索软件部署。
什么是勒索软件攻击中的 SEO 中毒?
SEO 中毒是一种攻击者操纵搜索结果的策略,以便为受信任的软件或品牌搜索显示恶意页面。然后,受害者可能会从看似合法的虚假网站下载恶意软件。
攻击者为何冒充 ManageEngine OpManager?
攻击者可能选择 ManageEngine OpManager,因为 IT 管理员使用它进行网络监控。这些用户通常拥有更高的权限,这可以使成功的感染对于勒索软件操作者来说更有价值。
Akira 勒索软件之前使用过什么恶意软件?
假安装程序将 BumbleBee 部署为第一阶段加载程序。然后,BumbleBee 帮助交付了一个 AdaptixC2 信标,攻击者将其用于发现、持久性、横向移动、凭证盗窃和勒索软件准备。
组织如何防御类似的攻击?
组织应使用经过批准的软件存储库,阻止不受信任的 MSI 执行,将管理员帐户与 Web 浏览分开,监视 DLL 侧面加载,对新的特权帐户发出警报,并维护脱机备份以进行勒索软件恢复。
