行業新聞與博客

MostereRAT 使用隱身策略攻擊 Windows 用户

2025年09月11日|亞洲註冊

網絡安全研究人員發現了一個網絡釣魚活動，該活動傳播一種新型惡意軟件 MostereRAT。該遠程訪問木馬 (RAT) 以 Microsoft Windows 系統為目標，使攻擊者能夠完全控制受感染的計算機。

據發現該威脅的 FortiGuard 實驗室稱，此次攻擊活動的獨特之處在於其對高級規避技術的分層運用。該惡意軟件採用簡易編程語言 (EPL) 編寫，這是一種基於中文的編程語言，在網絡攻擊中很少使用，並且依靠多個階段來隱藏惡意行為。

它可以禁用安全工具、阻止防病毒流量並使用相互 TLS (mTLS) 與其命令和控制 (C2) 服務器建立安全通信。

該活動始於看似合法商業諮詢的網絡釣魚電郵，主要針對日本用户。一旦受害者點擊鏈接，就會下載包含隱藏存檔的 Word 文檔。該文件會引導用户打開嵌入的可執行文件，從而啓動惡意軟件。

該可執行文件會解密其組件並將其安裝在系統目錄中。然後，它會創建服務以確保持久性，其中一些服務會以 SYSTEM 權限運行，以獲得最大訪問權限。在關閉之前，該程序會顯示一條偽造的簡體中文消息，暗示文件不兼容，這是一種旨在鼓勵進一步傳播的策略。

Deepwatch 高級網絡威脅情報分析師 Lauren Rucker 表示：“鑑於最初的攻擊媒介是導致惡意鏈接和網站下載的網絡釣魚電郵，瀏覽器安全是防禦的關鍵領域。”

她補充説，實施限制自動下載和限制用户權限的政策有助於防止升級到 SYSTEM 或 TrustedInstaller。

MostereRAT 使用多種方法來干擾安全保護。它可以禁用 Windows 更新、終止防病毒進程並阻止安全工具與其服務器通信。

該惡意軟件還通過模仿 Windows 系統上最強大的帳户之一 TrustedInstaller 來提升權限。

BeyondTrust 的現場首席技術官 James Maude 解釋説：“雖然這種惡意軟件使用了一些創造性的技術，通過將新穎的腳本語言與受信任的遠程訪問工具結合在一起來逃避檢測，但它仍然遵循一種常見的模式，即利用沒有應用程序控制的特權過高的用户和端點。”

一旦建立，RAT 將支持多種功能，包括：

FortiGuard Labs 指出，該惡意軟件的部分基礎設施此前與 2020 年報告的銀行木馬有關。它演變為MostereRAT凸顯了威脅行為者如何不斷改進技術以逃避現代檢測系統。

Maude 強調了降低權限和控制應用程序的重要性。“如果移除本地管理員權限，就能大大減少攻擊面，並限制惡意軟件感染的影響。”他總結道。

下一篇：無