2025年第一季的資安情勢仍然緊張,駭客持續開發新型的攻擊手法並優化其惡意程式。本文將介紹五個值得關注的惡意程式家族。
NetSupport RAT利用ClickFix手法進行攻擊
2025年初,威脅行為者開始採用名為 ClickFix 的技術來散布 NetSupport 遠端存取木馬(RAT)。攻擊者會在被入侵的網站中植入假的驗證碼頁面,藉此誘使使用者執行惡意的 PowerShell 指令,最終導致 NetSupport RAT 被下載並執行。
一旦成功安裝,攻擊者就能完全掌控受害系統,包括即時監控螢幕、操作檔案,以及執行任意指令。
NetSupport RAT 採用多種戰術、技術和程序(TTPs)來維持持久性、規避偵測和蒐集系統資料。主要包括
修改登錄檔開機鍵值和透過 wscript.exe 執行腳本來維持持久性;
讀取電腦名稱、檢查系統語言和存取環境變數來進行系統探查;以及
投放合法的 Windows 執行檔並建立網路連線物件來規避防禦和進行 C2 通訊。
NetSupport RAT 的主要技術特徵:
- 即時查看及控制受害者螢幕
- 在受感染系統上傳輸及操作檔案
- 遠端執行系統指令及 PowerShell 腳本
- 擷取剪貼簿內容,包含密碼及敏感資料
- 記錄鍵盤輸入以竊取憑證
- 控制系統程序及服務的執行狀態
- 透過開機資料夾、登錄檔或排程任務達成持久性
- 利用程序注入及程式碼混淆來規避偵測
- 以加密流量維持與攻擊者的隱密連線
Lynx勒索軟體
Lynx 是一個高度組織化的勒索軟體即服務(RaaS)組織,以提供完整的合作夥伴計畫和先進的加密技術聞名。該組織基於早期的 INC 勒索軟體,不僅強化了功能,更將攻擊範圍擴展至全球各產業。
Lynx 提供使用者友善的後台控制面板,讓合作夥伴可設定受害者資料、生成客製化勒索軟體,並管理資料外洩時程。其簡易的結構化設計使其成為操作最直覺的勒索軟體之一,連技術能力有限的人也能輕易使用。
Lynx 以高達 80% 的贖金分成來吸引合作夥伴,一旦受害者拒絕支付贖金,被竊取的資料就會在資料外洩網站上公開。
2025 年 2 月,Lynx 入侵澳洲卡車經銷商 Brown and Hurley,聲稱竊取了約 170GB 的敏感資料,其中包括人力資源文件、商業合約、客戶資料和財務記錄。在此之前的 2025 年 1 月,Lynx 也入侵了美國企業證券法律事務所 Hunter Taubman Fischer & Li LLC。
Lynx 勒索軟體的主要技術特徵:
- 預設加密所有檔案,涵蓋本機磁碟、網路共用和可移動媒體
- 可在 RaaS 後台設定特定目標檔案類型、資料夾或副檔名
- 加密前會竊取敏感資料,包含文件、憑證和財務資訊
- 以加密通道(如 HTTPS 或自訂通訊協定)傳輸竊取的資料
- 刪除 Volume Shadow Copy 並停用 Windows 還原功能,防止系統復原
- 運用 RestartManager 關閉可能影響加密的應用程式
- 採用憑證竊取技術,從瀏覽器、Windows 憑證管理員和網路裝置擷取密碼
- 利用 DGA 產生的域名和 Tor 匿名流量維持 C2 連線
- 能偵測虛擬機和沙箱環境,並調整行為規避分析
- 在記憶體中執行而不寫入磁碟,以躲避偵測
AsyncRAT:利用Python惡意程式與TryCloudflare通道
2025年初,資安研究人員揭露了一起精密的惡意程式攻擊行動。此攻擊運用了 AsyncRAT 遠端存取木馬,其特色為高效能的非同步通訊功能。攻擊者巧妙地結合了 Python 惡意程式,並透過濫用 TryCloudflare 通道來強化其隱蔽性和持久性。
攻擊始於一封含有 Dropbox 連結的釣魚郵件,受害者點擊連結後,會下載含有網際網路捷徑(URL)的 ZIP 壓縮檔。此檔案隨後會透過 TryCloudflare 網址下載 Windows 捷徑(LNK)檔案。當 LNK 檔案執行後,會觸發一連串指令碼,包含 PowerShell、JavaScript 和批次檔,最後下載並執行 Python 惡意程式。
此惡意程式會部署多個惡意程式家族,包括
AsyncRAT、
Venom RAT 和
XWorm,並採用固定金鑰和鹽值的 AES 加密方式,使資安工具難以分析其通訊內容。
AsyncRAT 技術特徵:
- 執行遠端指令、監控使用者活動及管理系統檔案
- 竊取敏感資訊,包含帳號密碼及個人資料
- 透過修改系統登錄檔和開機啟動資料夾來維持長期存取權限
- 利用混淆及加密技術來規避資安防護偵測
Lumma資料竊取程式:濫用GitHub發布功能散布惡意程式
2025年初,資安專家揭露了一起涉及 Lumma 資料竊取惡意程式的精心策劃攻擊行動。攻擊者透過 GitHub 的發布功能來散布此惡意程式,藉由該平台的可信度來規避資安防護機制。
當 Lumma 竊取程式執行後,會啟動多項惡意活動,包括下載並執行 SectopRAT、Vidar、Cobeacon 以及其他 Lumma 變種等威脅程式。
Lumma 竊取程式的技術特徵:
- 利用 GitHub 發布功能散布,透過可信平台規避資安偵測
- 竊取瀏覽器存取憑證、Cookie、加密貨幣錢包和系統資訊
- 即時將竊取的資料傳送至遠端伺服器
- 下載並執行其他惡意程式,如 SectopRAT、Vidar 和 Cobeacon
- 透過修改登錄檔和開機啟動項目來維持存取權限
- 可經由網路型資安監控工具偵測其惡意通訊模式
InvisibleFerret:潛伏於假求職信件中的隱形威脅
近期社交工程攻擊中,網路犯罪分子透過 InvisibleFerret 這款以 Python 程式語言開發的隱匿式惡意程式,入侵毫無防備的受害者。
這款惡意程式偽裝成合法軟體,藉由假求職面試活動進行攻擊。駭客假扮成人資主管,誘騙專業人士下載含有惡意程式的工具。
InvisibleFerret 攻擊最關鍵的環節是 BeaverTail 的部署。BeaverTail 是一個惡意的 NPM 模組,負責傳送可攜式 Python 環境(p.zip)來執行惡意程式。作為多層攻擊鏈的第一階段,BeaverTail 會部署 InvisibleFerret,這個具備進階混淆和持久性機制的隱匿式後門程式,使其更難被發現。
InvisibleFerret 技術特徵:
- 惡意程式使用混淆且複雜的 Python 腳本,增加分析和偵測的難度
- InvisibleFerret 能自動搜尋並竊取機敏資料,包含原始程式碼、加密貨幣錢包和個人檔案
- 此程式為第二階段載入程式,主要由名為 BeaverTail 的混淆型 JavaScript 資料竊取程式部署
- 能在受感染系統中建立持久性,以維持存取和控制權限
本文轉載自 TheHackerNews。