“游蛇”黑产团伙(又名“银狐”、“谷堕大盗”、“UTG-Q-1000”等)自2022年下半年开始活跃至今,针对国内用户发起了大量攻击活动,以图窃密和诈骗,对企业及个人造成了一定的损失。该黑产团伙主要通过即时通讯软件(微信、企业微信等)、搜索引擎SEO推广、钓鱼邮件等途径传播恶意文件,其传播的恶意文件变种多、免杀手段更换频繁且攻击目标所涉及的行业广泛。
安天持续对“游蛇”黑产团伙进行跟踪,发布多篇报告。近期,两类较为活跃的恶意样本持续传播:第一类是伪装成文档的恶意程序,此类恶意程序多使用Qt库进行开发,也存在部分恶意程序是在开源软件代码的基础上添加恶意代码形成的,通过释放“白加黑”组件最终执行后门文件。第二类是伪装成应用软件的恶意MSI安装程序,包含正常应用软件安装程序以及其他数十个正常文件,攻击者将“白加黑”组件隐藏在其中,最终执行上线模块及登录模块。
“游蛇”黑产团伙仍在频繁地对恶意软件及免杀手段进行更新,并且由于该黑产团伙使用的远控木马及攻击组件的源代码在网络中流传,因此存在更多恶意变种,每天有大量的用户遭受攻击并被植入远控木马。安天CERT建议用户从官方网站下载安装应用程序,避免点击安全性未知的可执行程序、脚本、文档等文件,以免遭受“游蛇”攻击造成损失。
2.1 伪装成文档的恶意程序列表列举
样本文件名称 |
2025年4月份第一批信息列表pdf.exe |
2025年省局辖区315晚会企业曝光名单.exe |
2025年4月第二批信息公示pdf.exe |
2025年4月第一批公示文件pdf.exe |
2025年稳岗补贴名单.exe |
关于清明节,放假安排,大家自己查看.exe |
稽查人员名单.exe |
2.1.1 通过QT库开发的恶意程序
此类DLL文件会对当前进程进行判断,然后注入至目标进程的内存中执行,目前发现此类DLL文件的目标进程包括svchost.exe、spoolsv.exe、explorer.exe、winlogon.exe等。
通过COM接口为释放的“白加黑”组件创建计划任务,计划任务名称为“.NET Framework NGEN v4.0.30318”。
该载荷是一个原名称为“Server64.dll”的DLL文件,是“游蛇”黑产团伙使用的后门文件,具有网络通信、下载文件、远程控制、窃密等多种功能。
2.1.2 篡改开源软件代码形成的恶意程序
其中的恶意可执行程序是攻击者在开源软件的源代码基础上,添加恶意的功能函数后形成的。而后缀名为“.dll”的文件则是经过加密的二进制文件。
2.2 伪装成应用软件的恶意MSI安装程序列表举例
表 2‑2相关样本文件名称
样本文件名称 |
Google AI Browser v2.4.1.msi |
Youdao Translates v1.1.1.msi |
King of WPS v1.1.7.msi |
Sogou AI inputs v2.1.4.msi |
DeepSeek AI Assiant v2.4.5.msi |
用户可以在安天垂直响应平台(https://vs2.antiy.cn)中下载使用“游蛇”专项排查工具和安天系统安全内核分析工具对“游蛇”木马进行排查和清除。
“游蛇”专项排查工具可用于排查“游蛇”黑产团伙在攻击活动中投放的加载器和加载至内存中的远控木马。
是一款面向威胁检测与威胁分析人员的Windows系统深度分析工具,其能够有效检测操作系统中潜在的窃密木马、后门及黑客工具等恶意程序并辅助专业人员开展手动处置工作,具有已知威胁有效检测,未知威胁及时发现,顽固感染一键处置等功能特点。
图 3‑1安天垂直响应平台
3.1 使用“游蛇”专项排查工具排查“游蛇”木马
由于“游蛇”黑产团伙使用的攻击载荷迭代较快,且持续更新免杀技术,为了更精准、更全面的清除受害主机中存在的威胁,客户在使用专项排查工具检出威胁后,可以联系安天应急响应团队([email protected])。
图 3‑2 使用“游蛇”专项排查工具发现恶意进程
3.2 使用安天系统安全内核分析工具清除“游蛇”木马
发现“游蛇”威胁后,用户可以在安天垂直响应平台下载使用ATool对“游蛇”木马进行清除。例如,在ATool的“进程管理”页面中,右键点击恶意进程“uc.exe”:先点击“在Windows文件管理器中定位”定位“uc.exe”所在的路径,然后点击“终止”结束“uc.exe”进程,最后删除“uc.exe”所在路径中的所有文件。
图 3‑3使用ATool工具定位、终止恶意进程
在ATool的“计划任务”页面中,使用“查找”功能搜索恶意进程名称,发现并删除恶意计划任务。
图 3‑4通过恶意进程名称查找恶意计划任务
此外,ATool针对可执行对象支持四个对象维度的信誉查询,即“发布者信誉”、“内容信誉”、“行为信誉”和“路径信誉(位置信誉)”。点击工具上方的“信誉分析”按钮能够执行对当前清单对象的云端信誉查询,从而帮助用户发现系统中的潜在威胁。
图 3‑5使用ATool的“信誉分析”功能发现恶意进程
4.1 部署安天智甲加强终端文件接收和执行防护
建议企业用户部署专业的终端安全防护产品,对本地新增和启动文件进行实时检测,并周期性进行网内病毒扫描。(以下简称“智甲”)依托安天自研威胁检测引擎和内核级主动防御能力,可以有效查杀本次发现病毒样本。
智甲可对本地磁盘进行实时监测,对新增文件自动化进行病毒检测,对发现病毒可在其落地时第一时间发送告警并进行处置,另外,安天AVLSDK威胁检测引擎支持提取恶意代码最核心的部分作为检测特征,可有效应对恶意代码的变形与衍生,更能提升智甲产品对游蛇变种病毒的查杀效果。
图 4‑1发现病毒时,智甲第一时间捕获并发送告警
智甲还为用户提供统一管理平台,管理员可通过平台集中查看网内威胁事件详情,并批量进行处置,提高终端安全运维效率。
图 4‑2提供统一管理平台对威胁事件高效处置
90D4BA33990011A5C8A203AC236B3B8C |
470C3D37A8E518BD8D728D01CFBE3647 |
24B970B2C9D988DC74E7F945D0866017 |
DA5CF5E3158057D0D7B6D6F2D17DD888 |
BA8F5D8DF47283A34A71EB03DDE3C36B |
039E9EF2E283E8341B297DA686182412 |
FE2D6987326CDFF72DC3AA378C1B8680 |
FCA4C875B3E1AD8CD50D18450B08D14A |
D6435074233583A7CB4A6FA2FE09FA8B |
89AAE1127681E672E7D836D0DB372847 |
18.166.199[.]216 |
13.215.69[.]47 |
43.199.120[.]146 |
52.128.225[.]126 |
https://www.antiy.cn/research/notice&report/research_report/20221024.html
https://www.antiy.cn/research/notice&report/research_report/20230324.html
https://www.antiy.cn/research/notice&report/research_report/20230330.html
https://www.antiy.cn/research/notice&report/research_report/20230518.html
https://www.antiy.cn/research/notice&report/research_report/TrojanControl_Analysis.html
https://www.antiy.cn/research/notice&report/research_report/SnakeTrojans_Analysis.html
https://www.antiy.cn/research/notice&report/research_report/SwimSnakeTrojans_Analysis.html
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis.html
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202404.html
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202406.html
https://www.antiy.cn/research/notice&report/research_report/SwimSnake_Analysis_202412.html
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...