91欧美一区二区三区综合在线,国产在线精品一区二区三区不卡,欧美日本亚洲,日韩国产三级,一区二区三区不卡视频,亚洲免费在线播放,欧美激情精品久久久久久久

IT之家 5 月 23 日消息，國家t國國家互聯(lián)網(wǎng)應急中心（CNCERT）今日公告，互聯(lián)CNCERT 和安天聯(lián)合監(jiān)測到“游蛇”黑產(chǎn)團伙（IT之家注：又名“銀狐”、急中家互“谷墮大盜”、心主“UTG-Q-1000”等）組織活動頻繁，聯(lián)網(wǎng)攻擊者采用搜索引擎 SEO 推廣手段，應急

偽造 Chrome 瀏覽器下載站偽造站與正版官網(wǎng)高度相似，中心招聘極具迷惑性用戶一旦誤信并下載惡意安裝包，國家t國游蛇遠控木馬便會植入系統(tǒng)并實現(xiàn)對目標設備的互聯(lián)遠程操控，盜取敏感數(shù)據(jù)等操作通過跟蹤監(jiān)測發(fā)現(xiàn)其每日上線境內(nèi)肉雞數(shù)（以 IP 數(shù)計算）最多已超過 1.7 萬

。急中家互攻擊活動分析攻擊者搭建以“Chrome 瀏覽器”為誘餌的心主釣魚網(wǎng)站，誘導受害者從網(wǎng)站下載惡意安裝包。聯(lián)網(wǎng)

圖 1 釣魚網(wǎng)站示例 1

圖 2 釣魚網(wǎng)站示例 2攻擊者搭建了多個釣魚網(wǎng)站，應急下載時又跳轉(zhuǎn)至多個下載鏈接，中心招聘具體如下表所示。國家t國表 1 釣魚網(wǎng)絡地址及惡意安裝包下載地址

下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。

圖 3 下載的惡意安裝包壓縮包存在兩個文件，其中 chromex64.exe 是一個文件解壓程序，另一個是正常的 dll 文件，但文件名以日月年格式命名，疑似惡意程序更新日期。

圖 4 惡意安裝包中的文件chromex64.exe 運行后將默認在 C:\Chr0me_12.1.2 釋放文件其中包含舊版本 Chrome 瀏覽器相關(guān)文件，由于該軟件不是正常安裝，導致瀏覽器無法正常更新。

圖 5 安裝程序釋放的文件同時會解壓程序在桌面創(chuàng)建快捷方式，但快捷方式中實際初始運行的是本次活動投放的惡意文件，攜帶參數(shù)運行，不僅啟動自身，還啟動 Chrome 瀏覽器進程，以掩蓋該惡意快捷方式功能

圖 6 偽裝的 Chrome 快捷方式對應路徑文件如下，采用 dll 側(cè)加載（白 + 黑）形式執(zhí)行。

圖 7 實際投放的惡意文件在內(nèi)存中解密并執(zhí)行 shellcode，該 shellcode 實質(zhì)為 dll 格式的 Gh0st 遠控木馬家族變種。

圖 8 內(nèi)存中的 Gh0st 遠控木馬該 dll 加載后，連接 C2 地址 duooi.com:2869，其中的域名是 2025 年 2 月 19 日注冊的，目前最新樣本主要請求該域名。

圖 9 連接 C2 地址基于情報關(guān)聯(lián)域名解析的 IP 地址，發(fā)現(xiàn)攻擊者基于任務持續(xù)注冊域名，并硬編碼至加密的 shellcode 文件中，部分舊有域名也更換 IP 地址，樣本分析期間所有域名又更換了兩次解析 IP 地址。

表 2 C2 域名變化

樣本對應的 ATT&CK 映射圖譜

圖 10 技術(shù)特點對應 ATT&CK 的映射ATT&CK 技術(shù)行為描述表如下。表 3 ATT&CK 技術(shù)行為描述表

感染規(guī)模通過監(jiān)測分析發(fā)現(xiàn)，國內(nèi)于 2025 年 4 月 23 日至 5 月 12 日期間，“游蛇”黑產(chǎn)團伙使用的 Gh0st 遠控木馬日上線肉雞數(shù)最高達到 1.7 萬余臺，C2 日訪問量最高達到 4.4 萬條，累計已有約 12.7 萬臺設備受其感染。

每日境內(nèi)上線肉雞數(shù)情況如下

圖 11 每日上線境內(nèi)肉雞數(shù)防范建議請廣大網(wǎng)民強化風險意識，加強安全防范，避免不必要的經(jīng)濟損失，主要建議包括：（1）建議通過官方網(wǎng)站統(tǒng)一采購、下載正版軟件如無官方網(wǎng)站建議使用可信來源進行下載，下載后使用反病毒軟件進行掃描并校驗文件 HASH。

（2）盡量不打開來歷不明的網(wǎng)頁鏈接，不要安裝來源不明軟件（3）加強口令強度，避免使用弱口令，密碼設置要符合安全要求，并定期更換建議使用 16 位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務器使用相同口令。

（4）梳理已有資產(chǎn)列表，及時修復相關(guān)系統(tǒng)漏洞（5）安裝終端防護軟件，定期進行全盤殺毒（6）當發(fā)現(xiàn)主機感染僵尸木馬程序后，立即核實主機受控情況和入侵途徑，并對受害主機進行清理相關(guān) IOC樣本 MD5：A1EAD0908ED763AB133677010F3B9BD7

ED74A6765F2FFEE35565395142D8B8B410FAC344D2F74D47FF79FE4A6D19765EIP：104[.]233.164.13161[.]110.5.21137[.]220.131.139

137[.]220.131.140DOMAIN：hiluxo[.]comtitamic[.]comsimmem[.]comgolomee[.]comduooi[.]comsadliu[.].comURL：

http[:]//google-chrom.cnhttps[:]//google-chrom.cnhttps[:]//chrome-html.comhttps[:]//am-666.comhttps[:]//

chrome-admin.com/https[:]//zhcn.down-cdn.com/chromex64.ziphttps[:]//cdn.downoss.com/chromex64.ziphttps[:]

//oss.downncdn.com/chromex64.ziphttps[:]//cdn-kkdown.com/chromex64.zip