威脅警報：全球大規模釣魚攻擊正在蔓延

2025 / 08 / 29

編輯部

一波新釣魚攻擊活動正在全球快速擴散，目標鎖定 Windows 用戶。這次攻擊的威脅等級遠超過去的釣魚詐騙，因為駭客不僅竊取帳號密碼，更會在企業網路中植入遠端存取木馬（RAT），建立長期潛伏的後門。

根據 Fortinet 旗下 FortiGuard Labs 最新研究，此攻擊活動已達到「全球規模」，重災區包括製造業、科技業、醫療保健業、建築業及零售餐旅業。最令人擔憂的是，攻擊規模正以驚人速度成長，短短兩週內偵測數量就增加了一倍以上。

駭客利用精心設計的社交工程手法，包括偽裝成未接來電通知、假冒採購訂單等「緊急事件」，誘騙受害者點擊惡意連結。更狡猾的是，他們會盜用受害者的公司標誌和電郵資訊，製作極具說服力的仿冒網頁，大幅提升攻擊成功率。

技術解密：高度複雜的攻擊手法

此次攻擊活動採用了多層次的技術策略，讓傳統防護措施難以招架。攻擊流程從一個小型混淆腳本開始，將受害者重新導向個人化的釣魚網站，接著誘使下載 JavaScript 檔案作為 UpCrypter 載入程式，最終部署多種遠端存取木馬，包括 PureHVNC、DCRat 和 Babylon RAT。

駭客運用了先進的反偵測技術來規避安全防護。他們大量使用混淆和垃圾程式碼隱藏惡意軟體的真實目的，並設計了環境掃描機制，當偵測到鑑識工具、除錯器或虛擬機環境時會自動重新啟動。最關鍵的是，UpCrypter 能直接在記憶體中執行後續攻擊階段，完全不將惡意負載寫入磁碟，成功規避大多數防毒軟體的偵測。

地下駭客論壇上流通的現成釣魚套件，讓即使技術能力有限的攻擊者也能快速建立完整的惡意程式傳播系統，大幅降低了發動複雜攻擊的門檻。

防禦對策：建構全方位資安防護

面對這種新型態威脅，資安專家建議企業必須建立多層次防禦體系。Deepwatch 資安賦能總監 Frankie Sclafani 強調，防護策略應該涵蓋電子郵件過濾、員工培訓和系統更新三大面向。

在電子郵件防護方面，企業需要部署強大的郵件過濾器，確保惡意郵件在抵達員工收件匣前就被攔截。同時，持續的員工資安意識培訓至關重要，讓員工能夠識別最新的攻擊手法和社交工程誘餌。此外，網頁應用程式防火牆、端點偵測與回應（EDR）系統和防毒軟體都必須保持最新狀態。

針對攻擊活動中大量使用的 PowerShell 惡意指令碼，專家建議實施專門的控制措施。這包括強制執行 PowerShell 指令碼簽署，僅允許執行具有受信任發行者數位簽章的指令碼；啟用受限語言模式來限制 PowerShell 功能；以及防止使用敏感指令集和 .NET 類別。

主動防護：威脅情報與監控策略

除了被動防護措施，企業還應該採取主動的威脅偵測策略。透過威脅情報服務和導入已知的危害指標（IoCs），可以在攻擊發生前就主動攔截威脅。

Bambenek 顧問公司總裁 John Bambenek 特別指出，監控從開啟 HTML 附件到啟動 PowerShell 的完整事件鏈，能夠提供快速且有效的攻擊偵測方法。他也建議重新檢視 PowerShell 的存取權限，因為「並非所有使用者都需要存取 PowerShell」，特別是當攻擊鏈從 Outlook.exe 開始時。

這次攻擊活動提醒現代網路威脅已經不再是單純的資料竊取，而是要建立長期控制權的系統性入侵。企業必須認知到，這不僅是一次性的安全事件，而是一場持續性的資安戰爭，需要透過技術防護、人員培訓和威脅情報的整合應用，才能有效保護企業網路安全。

本文轉載自 DarkReading。

RAT UpCrypter PowerShell