行業新聞與部落格

網路安全研究人員發現了一個網路釣魚活動，該活動傳播一種新型惡意軟體 MostereRAT。該遠端訪問木馬 (RAT) 以 Microsoft Windows 系統為目標，使攻擊者能夠完全控制受感染的計算機。

據發現該威脅的 FortiGuard 實驗室稱，此次攻擊活動的獨特之處在於其對高階規避技術的分層運用。該惡意軟體採用簡易程式語言 (EPL) 編寫，這是一種基於中文的程式語言，在網路攻擊中很少使用，並且依靠多個階段來隱藏惡意行為。

它可以禁用安全工具、阻止防病毒流量並使用相互 TLS (mTLS) 與其命令和控制 (C2) 伺服器建立安全通訊。

攻擊鏈和交付

該活動始於看似合法商業諮詢的網路釣魚電子信箱，主要針對日本使用者。一旦受害者點選連結，就會下載包含隱藏存檔的 Word 文件。該檔案會引導使用者開啟嵌入的可執行檔案，從而啟動惡意軟體。

該可執行檔案會解密其元件並將其安裝在系統目錄中。然後，它會建立服務以確保永續性，其中一些服務會以 SYSTEM 許可權執行，以獲得最大訪問許可權。在關閉之前，該程式會顯示一條偽造的簡體中文訊息，暗示檔案不相容，這是一種旨在鼓勵進一步傳播的策略。

Deepwatch 高階網路威脅情報分析師 Lauren Rucker 表示：“鑑於最初的攻擊媒介是導致惡意連結和網站下載的網路釣魚電子信箱，瀏覽器安全是防禦的關鍵領域。”

她補充說，實施限制自動下載和限制使用者許可權的政策有助於防止升級到 SYSTEM 或 TrustedInstaller。

MostereRAT 使用多種方法來干擾安全保護。它可以禁用 Windows 更新、終止防病毒程序並阻止安全工具與其伺服器通訊。

該惡意軟體還透過模仿 Windows 系統上最強大的帳戶之一 TrustedInstaller 來提升許可權。

BeyondTrust 的現場首席技術官 James Maude 解釋說：“雖然這種惡意軟體使用了一些創造性的技術，透過將新穎的指令碼語言與受信任的遠端訪問工具結合在一起來逃避檢測，但它仍然遵循一種常見的模式，即利用沒有應用程式控制的特權過高的使用者和端點。”

功能和遠端訪問工具

一旦建立，RAT 將支援多種功能，包括：

• 鍵盤記錄和系統資訊收集

• 下載並執行 EXE、DLL、EPK 或 shellcode 格式的有效載荷

• 建立隱藏的管理員帳戶以實現永續性

• 執行遠端訪問工具，如 AnyDesk、TightVNC 和 RDP Wrapper

FortiGuard Labs 指出，該惡意軟體的部分基礎設施此前與 2020 年報告的銀行木馬有關。它演變為MostereRAT凸顯了威脅行為者如何不斷改進技術以逃避現代檢測系統。

Maude 強調了降低許可權和控制應用程式的重要性。“如果移除本地管理員許可權，就能大大減少攻擊面，並限制惡意軟體感染的影響。”他總結道。