鑽石舞台

目前幾乎可以肯定發起攻擊的黑客是使用中文的黑客，至於這使用中文的黑客是不是國內的黑客還無法確定。

另外黑客的攻擊目標是境外非法博彩網站，至於目的暫時不清楚，不知道是為了搞破壞還是想截留非法資金。

具有專業技能且目標非常明確：

安全公司分析發現黑客使用的工具集比較複雜且屬於精心製作的，顯然這是個黑客團伙而不是單個黑客行為。

該黑客團伙使用複雜的工作流程實現持久化和自我更新，即感染目標設備後可以隨時更新模塊實現惡意行為。

攻擊目標則主要是位於東南亞的非法博彩網站，目前有不少詐騙團伙躲在東南亞尤其是菲律賓架設博彩網站。

這些網站是黑客的主要目標，但問題在於通常這類非法博彩網站經常被同行攻擊，因此安全防禦不會特別差。

那黑客怎麼打開突破口呢？答案就是冒充金山向向詐騙團伙發送帶毒電子郵件 , 裡面包含虛假的WPS安裝包。

冒充工行/騰訊：

虛假的安裝包里包含更新程序，黑客利用 WPS 更新程序的漏洞實現通信，可以在目標設備上執行多種操作。

要利用此漏洞需要修改註冊表，修改完成完成後黑客可以在目標系統上獲得持久性並且可以控制更新過程等。

安全公司分析發現黑客下發的惡意文件通過update.wps.cn分發，這域名屬於金山但服務器IP地址卻對不上。

這說明黑客在某些未知環節實現了劫持，讓詐騙團伙更新時下載的是惡意文件，惡意文件還冒充各種大公司。

例如有文件使用的簽名是騰訊公司，有文件使用的名稱是工行的ICBC，然後再檢測是否安裝360安全衛士等。

這些行為多半用來忽悠詐騙團伙避免未知文件引起關注，檢測其他安全軟件應該是用來使用對應的應對策略。

比較滑稽的是黑客還使用堅果雲網盤來分發內容，藍點網剛剛測試發現黑客已經將登錄賬號和密碼都修改了。

黑吃黑還是搞破壞：

對WPS來說黑客此次利用的漏洞危害還是非常高的 , 所幸漏洞及時修復且黑客似乎並未向其他目標發起攻擊。

至於黑客為何要將目標放在東南亞的非法博彩網站上暫時還不清楚，有可能是黑吃黑也有可能是進去搞破壞。

如果是黑吃黑黑客可能會收集信息想辦法將這些非法博彩網站的資金截留然後通過某種方式轉到自己的賬戶。

如果是搞破壞的話估計會在感染後將詐騙團伙的數據刪除，但通常這類網站跑路概率也很高說不好就會被抓。

但無論是哪種目的後續的工作都不容易，畢竟感染一台非法博彩網站客服電腦後續還要想辦法感染其他設備。

由於安全公司無法找到黑客感染後的工作內容，所以具體是哪種目的以及後續的攻擊方法我們是沒法知道了。