新惡意程式 LucidRook 鎖定台灣 NGO 與大學發動魚叉式釣魚攻擊

Cisco Talos 於 4 月 8 日發布威脅情報報告，揭露一個先前未曾記錄的威脅行動者 UAT-10362，自 2025 年 10 月起針對台灣非政府組織（NGO）與疑似大學機構發動魚叉式釣魚攻擊，部署名為 LucidRook 的新型惡意程式。該惡意程式採用 Lua 直譯器與 Rust 編譯函式庫的模組化架構，具備高度隱匿性與彈性化攻擊能力，台灣公民社會與學術機構應提高警覺。

攻擊活動概述

Cisco Talos 研究人員 Ashley Shen 指出，LucidRook 是一款精密的載入程式，透過在動態連結程式庫（DLL）中嵌入 Lua 5.4.8 直譯器與 Rust 編譯函式庫，下載並執行分階段的 Lua 位元組碼（bytecode）酬載。這種設計使攻擊者能夠在不修改核心惡意程式的情況下更新功能，同時限制鑑識人員的可見性。

根據調查，攻擊者透過合法郵件基礎設施發送魚叉式釣魚郵件，郵件中包含縮短網址，導向受密碼保護的 RAR 或 7-Zip 壓縮檔下載連結，解壓密碼則直接附於郵件內文中。這種手法既能繞過部分郵件安全閘道的檢測，又能確保只有目標收件者能夠開啟惡意檔案。

兩條感染鏈的技術細節

Talos 識別兩條 LucidRook 感染鏈，兩者皆採用多階段感染機制並濫用 DLL 側載（DLL side-loading）技術。

第一條感染鏈以 Windows 捷徑檔（LNK）為起點，攻擊者將 LNK 檔案偽裝為 PDF 文件圖示誘騙受害者點擊。一旦執行，該捷徑會觸發 PowerShell 腳本，利用 LOLBAS（Living Off the Land Binaries and Scripts）技術啟動隱藏路徑中的二進位檔案，再透過 DLL 搜尋順序劫持載入名為 LucidPawn 的植入程式（dropper），LucidPawn 進一步側載 LucidRook。為掩護惡意活動，程式會同時開啟偽造的台灣政府公文作為誘餌。

第二條感染鏈使用偽裝為趨勢科技 Worry-Free Business Security 防毒軟體的 .NET 執行檔，被包裝在名為「Cleanup(密碼：33665512).7z」的壓縮檔中，檔名明確針對繁體中文使用者設計。執行後會顯示「清理完成」的假訊息視窗以降低戒心，同時在背景完成惡意程式部署。

地理圍欄鎖定台灣環境

LucidPawn 植入程式實作了地理圍欄（geofencing）反分析機制，透過 GetUserDefaultUILanguage() API 查詢系統語言設定，僅在符合台灣繁體中文環境（zh-TW，LANGID 0x0404）時才會繼續執行。此設計確保惡意程式僅在預定目標地理區域內執行，同時避免在常見分析沙箱環境中被觸發而曝光。

調查顯示，LucidRook 的命令與控制（C2）基礎設施濫用了憑證外洩的 FTP 伺服器。Talos 識別出兩台位於台灣的 C2 伺服器，皆由印刷公司營運。這些公司在官方網站公開列出 FTP 憑證作為「檔案上傳服務」，Talos 指出這種做法在台灣本地印刷業者間相當普遍，實際上創造了可被威脅行動者重新利用為低成本 C2 暫存伺服器的公開可存取基礎設施。

LucidKnight 偵察工具與分層攻擊架構

Talos 在追蹤相關樣本時發現另一款名為 LucidKnight 的偵察工具，能夠收集系統資訊並以 RSA 加密後打包成 ZIP 檔案，再透過 Gmail SMTP 外傳至臨時電子郵件地址，郵件主旨偽裝為中文「體育資訊平台」。LucidKnight 與 LucidRook 的並存顯示 UAT-10362 採用分層式工具組架構，可能先以輕量級工具進行目標側寫，評估價值後再部署較重量級的 LucidRook 載入程式。

Talos 報告指出：「多語言模組化設計、分層反分析功能、以隱匿為導向的酬載處理機制，以及對遭駭或公共基礎設施的依賴，顯示 UAT-10362 是具備成熟操作技術的有能力威脅行動者。」其攻擊模式顯示這是針對性而非機會主義式的行動，優先考量彈性、隱匿性與針對特定受害者的任務執行能力。

台灣的 NGO、學術機構及相關組織應立即檢視近期收到的可疑郵件，特別留意包含縮短網址或密碼保護壓縮檔的郵件。資安團隊應監控 PowerShell 異常執行行為、DLL 側載活動，以及與外部 FTP 伺服器的異常連線。Cisco Talos 已在報告中公布完整的入侵指標（IoC），建議組織將這些指標納入威脅情報平台與端點偵測規則中。

本文轉載自thehackernews。