工信部安全警报：黑客借SEO排名大规模传播恶意软件

工信部发布紧急安全警报：黑客借SEO排名大规模传播恶意软件

10月23日消息，据国家工业和信息化部网络安全威胁和漏洞信息共享平台（CSTIS）今日发布通报，监测发现一场大规模、高度复杂的网络攻击活动。攻击者通过操纵搜索引擎优化（SEO）排名，广泛传播恶意软件，已导致多起用户信息泄露与系统被控事件。平台呼吁相关单位及个人用户立即采取防范措施。

四步精密攻击链，层层递进规避检测

根据CSTIS的分析，此次攻击链条设计精密，环环相扣，主要分为四个阶段：

• 搜索欺诈与诱导： 攻击的起点是搜索引擎。攻击者伪造了高仿真的钓鱼网站，通过操纵SEO技术使其在搜索结果中排名靠前。当用户点击这些链接后，会被重定向至恶意页面，并由一个名为“nice.js”的脚本窃取设备参数，发送至攻击者服务器。
• 动态载荷投递： 服务器在获取设备信息后，会分两层JSON响应，向用户下发一个捆绑了正版软件（如DeepL安装器）与恶意组件（Winos变种EnumW.dll）的MSI安装包。该安装包会利用提权操作，在系统目录中释放55个碎片文件并激活恶意代码。
• 多重反分析规避： 恶意软件具备极强的反侦察能力。它会验证自身是否由合法进程启动、检测系统时钟间隔以判断是否处于分析环境，并检查ACPI表及桌面文件数量来识别虚拟机。只有通过所有这些检测，它才会将55个碎片重组为真正的恶意数据文件“emoji.dat”，并释放干扰文件以迷惑安全软件。
• 持久化潜伏与全面窃密： 最后，恶意软件会根据电脑的防护状态选择潜伏机制：若存在安全软件，则劫持文件管理器进程；若无，则直接篡改系统启动项。在成功潜伏后，它会创建使用动态AES密钥加密的凭证文件，连接远程控制（C2）服务器，并启动全方位的监控，包括键盘记录、屏幕捕获、窃取加密私钥等，危害极大。
  

官方发布紧急防护建议

针对此次复杂的网络攻击，工业和信息化部网络安全威胁和漏洞信息共享平台提出以下关键防护建议：

• 强化数据备份： 立即组织排查，并定期对核心数据进行离线备份。
• 严控软件来源： 严格核验软件域名真实性，坚决杜绝运行来源不明的程序。
• 及时修复漏洞： 第一时间修复系统及软件漏洞，阻断恶意软件的提权路径。
• 提升安全意识： 加强员工反钓鱼培训，学会识别SEO欺诈和伪装启动项。
• 部署终端防护： 同步部署先进的终端行为监控系统，全面封堵网络攻击风险。
  

附：相关威胁指标（IOC）

为便于企业及安全厂商进行排查和封堵，平台同步公布了部分相关危害指标（IOC），包括文件哈希值、恶意域名与IP地址等。

文件哈希值：
a32d14f28c44ec6f9b4ad961b2eb4f778077613bdf206327a2afa92a7307d31a、ea59f20b418c9aa4551ac35f8398810e58735041d1625e77d13e369a701e273c 等。

恶意域名示例：
deepl-fanyi[.]com、aisizhushou[.]com、telegramni[.]com、wps1[.]com 等。

恶意IP地址示例：
137[.]220[.]152[.]99、43[.]248[.]172[.]13、202[.]95[.]8[.]47 等。

附相关 IOC 信息如下：

a32d14f28c44ec6f9b4ad961b2eb4f778077613bdf206327a2afa92a7307d31a

ea59f20b418c9aa4551ac35f8398810e58735041d1625e77d13e369a701e273c

b15b642930f8903f7e8c4d8955347575afd2f2abee2ee2d612ba381442026bfd

2a1ae074a0406de514b3ab03c1747fd43813d8bad9c164f390103a0480f9a6aa

c3afd8224cea7a743a3dea8437ff7ed6f89a62cd8f6787c4f27593faec9fc4cb

66787d80ec42a289030bb080fa1ad596e60bd0db92dc6e1e9d66921ea23ccd0e

deepl-fanyi[.]com

aisizhushou[.]com

telegramni[.]com

wps1[.]com

wws[.]c4p11[.]shop

bucket00716[.]s3[.]ap-southeast-2[.]amazonaws[.]com

znrce3z[.]oss-ap-southeast-1[.]aliyuncs[.]com

xiazai1[.]aisizhushou[.]io

xiazai2[.]aisizhushou[.]io

137[.]220[.]152[.]99

43[.]248[.]172[.]13

202[.]95[.]8[.]47

27[.]124[.]13[.]32