行业新闻与博客

MostereRAT 使用隐身策略攻击 Windows 用户

2025年09月11日|亚洲注册

网络安全研究人员发现了一个网络钓鱼活动，该活动传播一种新型恶意软件 MostereRAT。该远程访问木马 (RAT) 以 Microsoft Windows 系统为目标，使攻击者能够完全控制受感染的计算机。

据发现该威胁的 FortiGuard 实验室称，此次攻击活动的独特之处在于其对高级规避技术的分层运用。该恶意软件采用简易编程语言 (EPL) 编写，这是一种基于中文的编程语言，在网络攻击中很少使用，并且依靠多个阶段来隐藏恶意行为。

它可以禁用安全工具、阻止防病毒流量并使用相互 TLS (mTLS) 与其命令和控制 (C2) 服务器建立安全通信。

该活动始于看似合法商业咨询的网络钓鱼电子邮件，主要针对日本用户。一旦受害者点击链接，就会下载包含隐藏存档的 Word 文档。该文件会引导用户打开嵌入的可执行文件，从而启动恶意软件。

该可执行文件会解密其组件并将其安装在系统目录中。然后，它会创建服务以确保持久性，其中一些服务会以 SYSTEM 权限运行，以获得最大访问权限。在关闭之前，该程序会显示一条伪造的简体中文消息，暗示文件不兼容，这是一种旨在鼓励进一步传播的策略。

Deepwatch 高级网络威胁情报分析师 Lauren Rucker 表示：“鉴于最初的攻击媒介是导致恶意链接和网站下载的网络钓鱼电子邮件，浏览器安全是防御的关键领域。”

她补充说，实施限制自动下载和限制用户权限的政策有助于防止升级到 SYSTEM 或 TrustedInstaller。

MostereRAT 使用多种方法来干扰安全保护。它可以禁用 Windows 更新、终止防病毒进程并阻止安全工具与其服务器通信。

该恶意软件还通过模仿 Windows 系统上最强大的帐户之一 TrustedInstaller 来提升权限。

BeyondTrust 的现场首席技术官 James Maude 解释说：“虽然这种恶意软件使用了一些创造性的技术，通过将新颖的脚本语言与受信任的远程访问工具结合在一起来逃避检测，但它仍然遵循一种常见的模式，即利用没有应用程序控制的特权过高的用户和端点。”

一旦建立，RAT 将支持多种功能，包括：

FortiGuard Labs 指出，该恶意软件的部分基础设施此前与 2020 年报告的银行木马有关。它演变为MostereRAT凸显了威胁行为者如何不断改进技术以逃避现代检测系统。

Maude 强调了降低权限和控制应用程序的重要性。“如果移除本地管理员权限，就能大大减少攻击面，并限制恶意软件感染的影响。”他总结道。

下一篇：无