“游蛇”黑产攻击肆虐，速启专项排查与处置

主要观点总结

本文主要介绍了名为“游蛇”的黑产团伙自2022年下半年以来针对国内用户发起的攻击活动，包括其使用的恶意文件传播、伪装成文档和软件的恶意程序、免杀手段更新等特点。提供了对此黑产团伙的样本分析、终端安全防护建议、使用的工具排查与处置方法，以及相关的IoCs（Indicator of Compromises）信息。

关键观点总结

关键观点1: “游蛇”黑产团伙的攻击活动

“游蛇”黑产团伙自2022年下半年开始活跃，主要通过即时通讯软件、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件，对企业及个人造成损失。其传播的恶意文件变种多，攻击目标涉及行业广泛，持续对恶意软件及免杀手段进行更新。

关键观点2: 伪装成文档的恶意程序分析

“游蛇”黑产团伙近期多使用Qt库开发的恶意程序，执行后会进行反调试检测，并执行大量无效代码以阻碍分析。然后释放“白加黑”组件，包含多个恶意文件，最终执行上线模块及登录模块。

关键观点3: 伪装成应用软件的恶意MSI安装程序分析

攻击者将“白加黑”组件隐藏在MSI安装程序中，其中包含正常应用软件安装程序及其他数十个正常文件，以此迷惑用户。MSI安装程序将释放“白加黑”组件并执行其“run”函数，最终加载执行恶意DLL文件。

关键观点4: 终端安全防护建议

建议企业用户部署专业的终端安全防护产品，对本地新增和启动文件进行实时检测，并周期性进行网内病毒扫描。可以使用安天智甲终端安全系列产品，依托安天自研威胁检测引擎和内核级主动防御能力，有效查杀病毒样本。

关键观点5: 排查与处置方法

用户可以在安天垂直响应平台中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具对“游蛇”木马进行排查和清除。工具可以有效检测操作系统中潜在的窃密木马、后门及黑客工具等恶意程序并辅助专业人员开展手动处置工作。

免责声明