【紧急】使用macwk.com的请立即暂停访问
导读
2.23 号更新:
事件描述:网站上出现被APT组织投毒的数据库管理应用Nicat Premium。相关木马与2021年9月份微步情报局披露的安全事件-macOS平台上多款常用运维工具遭APT投毒攻击中使用的木马相同,因此将攻击者归属为Winnti族组织。
事件发生原因:
我将域名 macwk.com 于2022年02月11号取消备案接入,在备案接入确认取消成功后的当天将域名转让给了乙方。因乙方取得域名后重新备案需要时间,而网站又需要正常运行,乙方购买了不需要备案的Hongkong云服务器作为网站的服务器。经过昨天一晚上的排查以及和微步沟通后得到的结果,大致将事情的经过还原了出来:在乙方接手期间因重新配置服务器环境以及没有配置相应的防护策略从而被黑客利用导致了数据库遭到了恶意篡改。
事件经过及处理21号晚上在某些QQ群中曾有人爆料网站在1.30号后更新的应用可能存在后门,得到消息后我第一时间协助已方对应用进行了排查,但遗憾的是没有发现问题。22号,北京微步出具了一份安全报告,该报告中指出网站被APT组织投毒,被投毒的应用是数据库管理应用Nicat Premium。得到消息后第一时间乙方移除了该应用的下载地址。我协助乙方进行了全面的排查。排查后发现,该应用的下载地址在2022年02月15号至2022年02月21号之间由https://macwk.lanzout.com/iWuQ8zeo3r变更为 https://mac.konlonair.com/02/Nicat%20Premium_16.07_macwk.com.dmg,该下载包存在被黑客篡改的情况。乙方紧急对数据库进行备份恢复并关闭了相关服务器端口。
微步安全报告中提到了1.30号仅仅是以应用的更新日期作为依据,实际的时间约为:2022年02月15号至2022年02月21号中午之间。在其它时间段以及在该时间段未下载 Nicat Premium 的用户不受影响。
大家可以在终端执行以下命令来自查:
ls -ah /Applications/Nicat Premium.app/Contents/Frameworks/libcrypto.2.dylib复制代码 如果提示 no such file 则说明无问题,如其它提示则已中招。如果刚好中招请:
卸载该应用
修改数据库密码
修改服务器密码
修改电脑密码
无需过分恐慌。如果对此应用有依赖可以下载:https://macwk.lanzout.com/iWuQ8zeo3ri,这是我在1.30号打包的。
关于我目前的状态
网站在2022.1.29号发布了全站通知告知大家因个人身体原因网站将交付给第三方维护,最终网站于2022.2.11号正式转让给第三方,我本人从2.2号开始已不再负责该网站的所有工作也无任何权限。大家未来可以对网站进行监督,如果未来出现此类安全问题请继续曝光。
对乙方的要求
要求乙方加强服务器防护,对网站接口的访问权限进行必要的鉴权。
要求乙方购买第三方防护以防止被黑客恶意攻击。
要求乙方加强应用的审核机制,防范安全问题的发生。
要求乙方未来使用自建下载节点防止未知安全问题的发生。
要求乙方未来加强内部人员的审核,避免内部人员出现问题。
最后虽然因身体原因我不得不离开这一行,虽然从做网站到交付给第三方我从未做过恶,但是总归还是辜负了大家对我的信任就这么离开了,真诚的对大家说声抱歉!!!真心祝大家未来一切都好!!!
文字地址:https://docs.qq.com/doc/DUFhlYnZsdGZlYXNh
最新消息(2.21)
-----------------------------------------------------------
macwk.com是免费的mac 应用破解网站,目前一直是免费下载的,本人所有的破解软件都在上面下载
不过年后站长转给第三方,并且2.21日更新的应用已发现病毒