魔窟“WannaCry”专杀工具魔窟“WannaCry”免疫工具魔窟“WannaCry”文件解密工具更多内容参见：安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告

Healthcare不幸成为BlackCat勒索攻击组织成员“Notchy”所发动攻击的目标[4]。这次攻击导致公司的部分业务系统遭到加密，还使得数以TB计的敏感数据被窃。面对这种情况，Change

点击上方"蓝字"关注我们吧！01概述勒索软件（Ransomware）是一种极具破坏性的计算机恶意程序。近年来，它已成为全球组织机构主要的网络安全威胁之一，被攻击者作为牟取非法经济利益的犯罪工具。攻击者为增加受害方支付勒索赎金的概率和提升赎金金额，从仅恶意加密数据演变为采用“窃取文件+加密数据”双重勒索策略，更有甚者，在双重勒索的基础上增加DDoS攻击和骚扰与受害方有关的第三方等手段，演变为“多重勒索”。一旦遭受勒索软件攻击，组织机构的正常运营将受到严重影响，可能导致业务中断、数据被窃取和恶意加密。攻击者以数据恢复和曝光威胁受害方并勒索赎金。数据涵盖文档、邮件、数据库和源代码等多种格式文件；赎金可采用数字货币进行支付，如比特币、门罗币和以太币等。攻击者通常设定赎金支付期限，并随时间推移提高金额。有时即使支付赎金，被恶意加密的文件也无法得到完全恢复。勒索攻击组织利用多种手段公开受害方的敏感信息，并以此为威胁，迫使受害方支付赎金或满足其他非法要求，以避免其数据被进一步泄露或出售。

点击上方"蓝字"关注我们吧！01概览“游蛇”黑产团伙自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、频繁更换免杀手段及基础设施、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产团伙针对财税人员传播恶意Excel文件，诱导用户点击其中的超链接跳转至钓鱼网站，从中下载执行恶意程序。恶意程序执行后加载恶意的Index.asp文件，然后分多个阶段下载执行恶意AutoHotKey、Python脚本、以及两段Shellcode，最终在受害者计算机的内存中执行远控木马。该远控木马具备键盘记录、剪贴板监控、屏幕截图等基本窃密功能，并支持接收执行多种远控命令。“游蛇”黑产团伙攻击者通常会利用远控木马控制受害者计算机中的即时通讯软件，冒充受害者身份进行后续的攻击、诈骗活动。“游蛇”黑产团伙仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本、文档等文件，以免遭受“游蛇”攻击，造成不必要的损失。经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。排查方案详见本文第四章节，相关防护建议详见第五章节。02技术梳理在此次攻击活动中，攻击者投放的诱饵文件是名称为“（六月）偷-漏涉-稅-违规企业名单公示.xlsx”的Excel文件，诱导用户点击其中的“点击查看”，从而跳转至钓鱼网站中。图

最终通过系统加固、边界防御、扫描过滤、主动防御以及文档安全等多方面的驱动加强，提升整体的安全防护能力。图2

点击上方"蓝字"关注我们吧！01概述近期，安天CERT通过网络安全监测发现了一起新的挖矿木马攻击事件，该挖矿木马从2023年11月开始出现，期间多次升级组件，目前版本为3.0。截止到发稿前，该挖矿木马攻击事件持续活跃，感染量呈上升态势。主要特点是隐蔽性强、反分析、DLL劫持后门和shellcode注入等，因此安天CERT将该挖矿木马命名为“匿铲”。在此次攻击活动中，攻击者利用了两个比较新颖的技术以对抗反病毒软件，第一个技术是滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR，这个技术通过一个主体的PowerShell脚本、一个独立的PowerShell脚本和一个控制器（内存加载的小型可执行文件）来完成，主体的PowerShell脚本用于下载并安装反病毒软件的旧版本内核驱动程序，独立的PowerShell脚本用于解密并内存加载控制器，控制器用来控制内核驱动程序。虽然被滥用的旧版本内核驱动程序早已更新，但目前仍能被非法利用并有效结束大多数反病毒软件。第二个技术是利用MSDTC服务加载后门DLL，实现自启动后门，达到持久化的目的。这个技术利用了MSDTC服务中MTxOCI组件的机制，在开启MSDTC服务后，该组件会搜索oci.dll，默认情况下Windows系统不包含oci.dll。攻击者会下载后门DLL重命名为oci.dll并放在指定目录下，通过PowerShell脚本中的命令创建MSDTC服务，这样该服务会加载oci.dll后门，形成持久化操作。经验证，安天智甲终端防御系统不会被反病毒软件的旧版本内核驱动程序所阻断，也能够对该后门DLL的有效查杀。02攻击流程“匿铲”挖矿木马首先会从放马服务器上下载名为“get.png”的PowerShell脚本，解码后执行哈希验证、创建计划任务、禁用系统自带杀毒软件和创建服务等操作。之后会下载“kill.png”脚本和“delete.png”、“kill(1).png”两个压缩文件，脚本解码出shellcode代码，shellcode代码经过解密得到控制器（一个可执行文件）并注入到powershell.exe进程中，两个压缩文件经过解压缩得到反病毒厂商的旧版本内核驱动程序“aswArPots.sys”和“IObitUnlockers.sys”，由控制器调用，终止杀毒软件和EDR程序等。还会根据受害主机自身系统型号下载对应的“86/64.png”的压缩文件，解压缩后会得到oci.dll文件，通过MSDTC服务调用实现DLL劫持后门。在“get.png”脚本中还看到了下载“backup.png”脚本的地址，但下载函数还未实现，可能后续版本会加，该脚本主要功能是发送心跳接收命令等。最后“get.png”脚本会下载“smartsscreen.exe”程序，该程序会下载挖矿程序及其组件进行挖矿。图2‑1

安天睿甲云上勒索防护方案总体思路事前阶段：通过细粒度的资产识别和全面的风险核查，发现风险暴露面，并提供针对性的系统加固、补丁修复、行为基线、网络基线等事前加固手段，收敛暴露面。图2

主机边界防御：在边界侧，智甲通过分布式主机防火墙和介质管控功能，拦截扫描、入侵数据包，阻断攻击载荷传输，拦截U盘、光盘等插入自动运行，使勒索攻击难以获得主机入口；3.

依托执行体治理升级勒索防护能力”专题1.勒索攻击的模式与波音遭遇攻击事件复盘在安天“反勒索新抓手

点击上方"蓝字"关注我们吧！在安天“反勒索新抓手

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！4月25日，安天“反勒索新抓手

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概览“游蛇”黑产自2022年下半年开始活跃至今，针对国内用户发起了大量钓鱼攻击和诈骗活动。该类黑产传播的恶意程序变种多、更新免杀手段快、更换基础设施频繁、攻击目标所涉及的行业广泛。近期，安天CERT监测到“游蛇”黑产针对与金融、财务相关的企业及人员进行攻击活动。攻击者投放的初始恶意文件主要有三类：可执行程序、CHM文件、商业远控软件“第三只眼”，伪造的文件名称大多与财税、资料、函件等相关。由于商业远控软件“第三只眼”提供多方面的远程监控及控制功能，并且将数据回传至厂商提供的子域名服务器、根据qyid值识别控制端用户，攻击者无需自己搭建C2服务器，因此恶意利用该软件进行的攻击活动近期呈现活跃趋势。“游蛇”黑产仍在频繁地对恶意软件、免杀手段以及相关基础设施进行更新，每天依旧有一定数量的用户遭受攻击并被植入远控木马。安天CERT建议用户接收文件时保持警惕，避免点击安全性未知的可执行程序、脚本等文件，以免遭受“游蛇”攻击，造成不必要的损失。建议未购买使用“第三只眼”远控软件的用户，使用流量监测设备检查网络中是否存在与“dszysoft.com”及其子域名相关的连接记录，若存在则表明可能被恶意植入了相关远控，用户也可以考虑对相关域名进行封禁。经验证，安天智甲终端防御系统（简称IEP）可实现对该类远控木马的有效查杀。相关防护建议详见本文第四章节。02技术梳理近期，安天CERT监测到攻击者投放的初始恶意文件主要有三类，伪造的文件名称大多与财税、资料、函件等相关。表2‑1

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述挖矿木马通过各种手段将挖矿程序植入受害者的计算机中，在用户不知情的情况下，利用受害者计算机的运算能力进行挖矿，从而获取非法收益。目前已知多个威胁组织（例如，H2Miner、“8220”等）传播挖矿木马，致使用户系统资源被恶意占用和消耗、硬件寿命被缩短，严重影响用户生产生活，妨害国民经济和社会发展。2023年，安天CERT发布了多篇针对挖矿木马的分析报告，现将2023年典型的挖矿木马梳理形成组织/家族概览，进行分享。表1

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述勒索软件（Ransomware）是一种极具破坏性的计算机木马程序。近年来，它已成为全球组织机构主要的网络安全威胁之一，被威胁行为体作为牟取非法经济利益的犯罪工具。威胁行为体为增加受害方支付勒索赎金的概率和提升赎金金额，从仅恶意加密数据演变为采用“窃取文件+加密数据”双重勒索策略，更有甚者，在双重勒索的基础上增加DDoS攻击和骚扰与受害方有关的第三方等手段，演变为“多重勒索”。一旦遭受勒索软件攻击，组织机构的正常运营将受到严重影响，可能导致业务中断、数据被窃取和恶意加密。威胁行为体以数据恢复和曝光威胁受害方并勒索赎金。数据涵盖文档、邮件、数据库和源代码等多种格式文件；赎金可采用真实货币或虚拟货币（如比特币）。威胁行为体通常设定赎金支付期限，并随时间推移提高金额。有时即使支付赎金，被恶意加密的文件也无法得到完全恢复。2023年中，勒索攻击事件屡屡发生，威胁行为体通过广撒网式的非定向模式和有针对性的定向模式开展勒索攻击，造成勒索攻击持续活跃的因素之一是勒索软件即服务（Ransomware

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述近期，安天CERT发现一组利用非官方软件下载站进行投毒和攻击下游用户案例，并深入分析了攻击者在网管运维工具上捆绑植入macOS平台远控木马，利用国内非官方下载站发布，以此取得政企机构内部关键主机桥头堡，进行横向渗透的攻击活动。此下载站目前可下载数十个破解软件，其中五款运维工具包含恶意文件，这五款运维工具集中在服务运维工具分类中，安天CERT判断该事件针对的目标为国内IT运维人员。当运维人员寻找macOS平台下免费或破解的运维工具时可能会搜索到该下载站，如果下载执行了含有恶意文件的运维工具，那么恶意文件会连接攻击者服务器下载并执行远控木马，攻击者可通过此远控木马窃取主机中的数据和文件，确定受害者及所在单位的信息，为后续横向渗透做准备。安天CERT以攻击者发起的一起实际行动为案例，揭示攻击者横向渗透的手段：攻击者使用远程控制的方式窃取了受害者macOS操作系统主机中的文件；下载并使用fscan、nmap等工具对受害者的内网进行扫描，以获取内网更多服务器和主机的信息；利用口令破解、漏洞利用等渗透手段尝试获取更多服务器和主机的系统权限，横向渗透成功后在服务器上部署并运行hellobot后门。在此次行动中，虽然攻击者的横向渗透水平相对较弱，但是依然成功获取了服务器的系统权限。入侵成功后可能导致数据被窃、信息泄露、被长期监视等安全风险。安天CERT的分析人员在搜索站搜索“Mac破解软件”等关键字时，该下载站在Google搜索站排名第一，在Bing搜索站排名第七。从该下载站的下载数量来看，含有恶意文件的五款运维工具下载总量已超3万次。安天CERT评估此次攻击活动影响范围较大，且大部分威胁情报平台尚未标记相关的恶意IoC情报，故披露此次攻击活动。建议在该下载站下载过这类运维工具的用户进行自查。该黑产团伙采用供应链投毒、伪造官方软件网站、以及利用破解软件等多种方式传播恶意程序，主要攻击目标是IT运维人员，攻击范围涵盖了Windows、Linux以及macOS等操作系统。此外，该团伙使用经过精心构造的域名，并对下载的载荷文件进行混淆处理，以规避安全产品的检测，因此安天CERT用“暗蚊”组织命名该团伙。在即将发布该报告时，安天CERT关联到了近期深信服披露的报告《【高级持续威胁(APT)】谁是“amdc6766”：一年四起供应链投毒事件的幕后黑手》[1]，发现此次事件攻击活动中攻击者可能与友商披露的攻击者为同一批团伙。本次事件中用于传播的工具都是IT运维人员日常使用频次较高的软件工具，两起事件针对的目标重合；在诱饵工具名称和域名的伪装方面思路相似；载荷使用了相同的域名。02详细情况2.1

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！按语：2023年12月30日，安天发布长篇分析报告《波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考》，包括事件的技术分析、过程还原、损失评估等内容，总结威胁发展趋势和防御侧的共性缺陷，对防范RaaS+定向勒索攻击提出了针对性建议。原报告2万5千字，部分读者反馈文献过长不便于阅读，建议我们选择重点章节单独重发。今日我们将报告关键章节第4章第1、2节，即攻击过程分析内容以独立篇目重新发送，对相关内容感兴趣的读者可点击《完整报告》阅读原报告。1攻击过程复盘步骤1：LockBit勒索组织（后称攻击者）针对波音公司的Citrix

点击上方"蓝字"关注我们吧！01前言2016年前后，勒索攻击的主流威胁形态已经从勒索团伙传播扩散或广泛投放勒索软件收取赎金，逐渐转化为RaaS+定向攻击收取高额赎金的运行模式。RaaS为Ransomware

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述近期，安天CERT捕获到一个Mirai僵尸网络新变种，针对MIPS、ARM和X86等多种架构，利用弱口令感染目标，并等待控制指令进行DDoS攻击。由于该僵尸网络文件名以“Aqua*”命名，我们将其命名为Aquabot。经分析，Aquabot僵尸网络至少迭代过2个版本。其中v1以Mirai开源框架为基础开发，主要功能为进程管理、弱口令扫描和DDoS攻击。2023年11月捕获的最新v2样本在v1基础上针对进程管理、隐匿和传播等功能进行迭代，同时增加了检测设备进程启动参数，以防止设备重启、关机和断电从而延长其生存时间的功能。经验证，安天探海威胁检测系统（简称PTD）能够实现对该僵尸网络C2通信的精准检测。02安全建议随着安全威胁泛化，物联网僵尸网络得到了快速发展，Aquabot僵尸网络基于Mirai开源框架、模块复用和定制化开发完成了多次迭代。由于IoT设备型号各异、存储空间局限、自身安全防护能力有限，难以“外挂”第三方安全产品，并且需要保持长期联网在线运行，对此，安天建议：1.

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述2023年下半年，安天CERT（安全研究与应急处理中心）在日常邮件监测中发现，境外APT攻击组织通过模仿我“慧眼行动”官方组织机构，向相关科研机构发送钓鱼邮件，以附件形式投放特洛伊木马，以实施后续攻击。邮件包含一个压缩包附件，压缩包内为一个构造的可执行文件。该文件基于文件名、图标和与正常文件捆绑三种伪装方式，模仿成相关活动的申报客户端。打开可执行文件后，会连接到攻击者服务器下载后续攻击载荷，最终通过后门在受害者机器与攻击者C2服务器之间建立管道SHELL以实现远程控制。安天CERT基于代码、线索分析和综合研判，基本确认相关攻击来自南亚某国，但目前尚无充分信息确定关联到安天已经命名的具备同一国家背景的已知威胁行为体，但也尚不能完全判定其是一个新的攻击组织，按照安天对威胁行为体的命名规则，临时使用“X象”作为其命名，我们会持续监测、跟踪分析攻击者的后续攻击活动，将在归因条件成熟时，修订其组织命名。02攻击活动分析2.1

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！“睿甲”系列产品，全面防护云工作负载安天云工作负载防护系列产品（含云主机安全、微隔离、容器安全），致力于面向IDC、公有云、私有云、混合多云等异构场景，采用“一个探针，弹性组合多种安全能力”的技术架构，提供含资产清点、风险发现、合规基线、主机入侵防护、RASP、主机WAF、容器安全、微隔离、威胁溯源等能力统一的工作负载防护。安天云安全系列三款产品在2021~2022年陆续正式发布后，基于系统侧安全的共性特点，复用了安天终端防护类系列产品“智甲”品牌运营。为充分展示安天产品对云安全需求的有效支撑，向客户表明安天防护先进IT场景、保障客户数字化转型的战略雄心，安天云安全系列产品正式启用单独产品品牌“睿甲”。1睿甲主机安全检测响应系统安天睿甲主机安全检测响应系统（原“安天智甲云主机安全监测系统”），面向海量异构的工作负载，提供全面的资产识别、风险评估、实时入侵检测防御、威胁溯源等能力，并可扩展RASP、主机WAF、微隔离等安全能力，实现对业务主机持续进行安全监测分析，进而达成预测、防护、检测和响应的安全运营闭环。图1

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概览近期，安天CERT监测到“游蛇”黑产团伙（“银狐”）针对财务人员及小店商家客服（快手、抖音、微信视频号、小红书等平台）的新一轮钓鱼攻击活动。在本轮攻击活动中，该团伙将恶意程序伪装成文档文件并打包成压缩包文件，通过“黑产团伙—代理人—招募成员—寻找目标”的模式进行传播，诱导用户执行从而获取受害主机的远程控制权。安天CERT在本次攻击活动中捕获到两种.NET恶意程序。第一种恶意程序被用于针对财务人员进行投放，属于加载器，执行后释放两层恶意载荷并最终执行Gh0st远控木马；第二种恶意程序被用于针对小店商家客服进行投放，是使用某开源远控项目生成的受控端程序。安天CERT在《“游蛇”黑产团伙专题分析报告》[1]中揭示了该黑产团伙常用的诈骗套路及变现方式。该团伙目前对目标范围进行收缩，主要针对各类财务人员及电商客服进行钓鱼攻击，并在感染成功后进行后续的诈骗活动：该团伙对财务人员进行攻击后，主要通过控制财务人员微信添加高仿账号的方式，冒充领导的身份诱导财务人员进行转账；对小店商家等电商客服进行攻击后，则主要通过控制客服微信对其客户进行恶意拉群的方式，冒充客服的身份对其客户进行诈骗。经验证，安天智甲终端防御系统（简称IEP）可实现对上述远控木马的有效查杀。安天安全威胁排查工具可以检出“游蛇”木马，ATool系统安全内核分析工具可以发现并清除“游蛇”木马（详见第四、五章）。02关联分析在本轮攻击活动中，“游蛇”黑产团伙对目标范围进行了收缩，主要针对各类财务人员及小店商家客服（快手、抖音、微信视频号、小红书等平台）进行钓鱼攻击活动。图2‑1

点击上方"蓝字"关注我们吧！系统深度分析工具ATool是安天实验室在2006年开始发布更新的一款系统安全内核分析和RootKit检测工具，长期以免费工具的方式在互联网提供下载。近日安天更新发布了ATool

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

SDK配套恶意代码知识库，可输出关键行为映射标签533种，可输出ATT&CK威胁攻击框架技战术标签139种，覆盖率为64.29%，基本上覆盖了ATT&CK框架中的全部可静态检测的标签数量。安天AVL

点击上方"蓝字"关注我们吧！01概述近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营[1]，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布未满足攻击者需求的受害者信息和窃取到的数据。截至2023年10月16日，开源情报共披露223名受害者信息（含DLS发布的196名）。攻击者在需求被满足或出于其他原因，会移除受害者信息和窃取到的数据，实际受害者数量远超过这个数字。PLAY勒索软件使用“RSA+AES”算法对文件进行加密，暂未发现公开的解密工具。攻击者攻击成功后会要求受害者通过暗网地址或邮箱联系。表1‑1