“游蛇”黑产利用仿冒的WPS Office下载站传播远控木马

主要观点总结

本文主要描述了名为“游蛇”的黑产团伙通过仿冒WPS Office下载站传播远控木马的事件。该团伙自2022年下半年开始活跃，针对国内用户发起了大量攻击活动，造成了企业和个人的一定损失。文章提供了对攻击过程的详细分析，包括样本分析、攻击载荷执行体全生命周期与安全产品关键能力映射矩阵等，并给出了使用工具排查与处置的方法。同时，提供了相关的IoCs（Indicator of Compromise）和参考资料。

关键观点总结

关键观点1: “游蛇”黑产团伙通过仿冒WPS Office下载站传播恶意软件

黑产团伙利用仿冒的WPS Office下载站，诱导用户下载捆绑后门的安装程序，进而在用户的计算机中释放恶意文件，执行远控木马等恶意操作。

关键观点2: 攻击过程分析

攻击过程包括仿冒网站页面、虚假安装程序、文件加载与执行、内存加载远控木马、创建注册表启动项实现持久化等步骤。攻击者主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，其传播的恶意文件变种多、免杀手段更换频繁且攻击目标涉及行业广泛。

关键观点3: 安全工具排查与处置

用户可以在安天垂直响应平台下载使用“游蛇”专项排查工具和安天系统安全内核分析工具对“Gh0st”木马进行排查和清除。同时，安天智甲终端安全系列产品可以有效查杀和防御本次发现病毒样本，对本地磁盘进行实时监测，对新增文件自动化进行病毒检测，并具备驱动级主动防御模块，可以对进程行为进行实时监控。

关键观点4: IoCs和参考资料

提供了相关的IoCs（Indicator of Compromise），包括MD5值、域名、文件路径等。同时，给出了安天针对“游蛇”威胁的历史报告和相关资料的链接，以便进一步了解和防范该威胁。

免责声明