資安研究人員最近發現了一起名為「MostereRAT」的新型釣魚攻擊活動。這種遠端存取木馬(RAT)專門鎖定 Windows 系統,一旦成功入侵,攻擊者便能完全控制受害電腦。
發現此威脅的 Fortinet 旗下 FortiGuard Labs 表示,此攻擊活動的獨特之處在於其多層次的進階規避技術。
該惡意程式使用中國開發的「易語言」(EPL)編寫,這在網路攻擊中極為罕見,並採用多階段執行方式來隱藏其惡意行為。
這款惡意程式能夠停用安全工具、阻擋防毒軟體的網路流量,並利用雙向 TLS (mTLS)技術與其指揮控制(C2)伺服器建立安全通訊連線。
攻擊鏈與傳播方式
此攻擊活動始於釣魚郵件,這些郵件偽裝成合法商業查詢,主要鎖定日本用戶。受害者點擊連結後,系統會下載一個包含隱藏壓縮檔的 Word 文件,該文件誘使用戶開啟內嵌的可執行檔,從而啟動惡意程式。
該可執行檔會解密其元件並將它們安裝至系統目錄。隨後,它會建立多個系統服務確保持久性,部分服務以系統級權限運行,以獲取最高存取權限。在完成操作前,程式會顯示一則簡體中文的虛假錯誤訊息,宣稱檔案不相容,這是誘導受害者進一步散播惡意檔案的策略。
長期策略性目標
研究員指出,
此惡意程式的設計反映出攻擊者具有長期性、策略性及適應性強的目標。它能夠擴充功能、部署額外惡意負載,並運用迴避技術躲避偵測。這些特徵顯示駭客意圖在被入侵的系統中維持持久控制,最大化利用受害者資源,並持續存取有價值的資料。
這類釣魚攻擊採用常見手法,透過惡意電子郵件誘使日本 Windows 使用者點擊連結進入惡意網站。一旦點擊,網站會自動下載包含嵌入式壓縮檔的武器化 Word 文件。這些釣魚郵件經過精心設計,偽裝成合法商業通訊,外觀與普通商業查詢無異。
此惡意軟體的特別之處在於其模組使用源自中國的程式語言「易語言」(EPL) 所編寫,駭客極少用於惡意程式開發。Fortinet 指出,
使用易語言的目的是使防禦者更難檢測和分析該惡意程式,因為大多數資安防護工具並未針對這種語言進行最佳化。
惡意程式功能與遠端存取特性
一旦成功植入系統,此遠端存取木馬(RAT)可執行多項危險操作,包括:
- 鍵盤側錄與系統資訊蒐集
- 下載並執行多種格式的惡意載荷(EXE、DLL、EPK 或 shellcode)
- 建立隱藏管理者帳號確保持久駐留
- 啟動遠端控制工具(AnyDesk、TightVNC 和 RDP Wrapper)
根據 FortiGuard Labs 的研究,此惡意程式的部分基礎設施與 2020 年曝光的銀行木馬有關。其演變明確展示駭客如何持續精進 MostereRAT 的技術,以規避現代資安偵測系統。
本文轉載自 DarkReading、InfosecurityMagazine。