AllaKore、PureRAT 和劫持載入器激增,憑證盜竊和遠端存取激增
2025年7月22日,《The Hacker News》揭露,駭客組織「Greedy Sponge」自2021年起持續針對墨西哥組織發動金融詐騙攻擊,此次手法結合竊取憑證與部署遠端存取木馬(RAT),廣泛襲擊的產業包括零售、農業、公共服務、娛樂、製造、交通、商業服務、資本財與銀行等。該集團透過修改過的 AllaKore RAT,能針對銀行憑證和單一驗證資訊進行竊取,並回傳至指揮控制伺服器(C2),以進行財務詐騙。
攻擊流程與技術演進
初始入侵方式
攻擊者透過釣魚郵件或惡意驅動網站(drive-by compromise),散布形如「Actualiza_Policy_v01.zip」的 ZIP 壓縮檔。此檔內含合法的 Chrome Proxy 程式以及木馬化的 MSI 安裝檔,該 MSI 檔具備 .NET 下載器與 PowerShell 清除指令,可下載並執行修改後的 AllaKore RAT 。
RAT 功能大幅強化
修改過的 AllaKore RAT 提供鍵盤記錄、螢幕截圖、檔案上下傳與遠端控制等能力,尤以針對銀行登入資訊的提取功能為主,支援抽取多種驗證憑證、攔截二次驗證資料等 。
SystemBC 與 SOCKS5 代理 攻擊還會利用 SystemBC 在 Windows 主機上設置 SOCKS5 代理,以作為 C2 與受害者間的中介通信路徑
。
地理圍堵(Geofencing)
原先在感染階段即偵測是否為墨西哥地區,後來改為在伺服器端判定,若非目標地區則不傳送真正 payload,以規避情報與分析 。
其他惡意工具崛起
除了 AllaKore,2025年5月由 eSentire 發現的釣魚攻擊中,駭客使用新型加密工具 Ghost Crypt 向全球散布 PureRAT。此類攻擊常以冒充客戶名義寄送 PDF 檔,附帶程式壓縮檔,並透過社交工程電話製造緊迫感,誘使受害者安裝。Ghost Crypt 具備繞過 Microsoft Defender 的能力,還可加載各式 stealers、loaders、RATs(如 Lumma、Rhadmanthys、StealC、BlueLoader、PureLoader、DCRat、XWorm)。
同時,還觀察到 Neptune RAT(又名 MasonRAT)透過 JavaScript 蜜餌散播,侵入後竊取敏感資料、截圖、鍵盤記錄、植 Clipper 以竊取密碼,並下載其他惡意 DLL。另外,利用 Inno Setup 安裝程式投放 Hijack Loader(AKA IDAT Loader),進而下載 RedLine 資訊竊取程式,形成新攻擊鏈 。
危害與應對策略
重大威脅:憑證與驗證資訊竊取
駭客透過 AllaKore RAT、PureRAT、Neptune RAT 等惡意工具,大規模竊取使用者憑證與 MFA 資訊,進行金融詐騙與身份冒用。
攻擊手法多元且規避檢測
使用 ZIP/MSI/DLL sideloading、啟發式地理圍堵、加密程式與 code injection 等技術,使攻擊更隱蔽且難以追蹤。
提升攻擊效率的 MaaS 工具興起
Ghost Crypt、Hijack Loader 等惡意加密包或加載器,透過訂閱形式擴散攻擊能力,降低了使用門檻與成本。
建議防禦對策
強化郵件防範機制
實施風險篩選、沙箱分析及檔案行為檢測,針對 ZIP/MSI/PDF 附加檔設置攔截與警示。
啟用多因素驗證(MFA)
除憑證外,需搭配動態 OTP、應用程式認證或硬體金鑰,提高帳號安全性。
部署端點偵測與回應(EDR)
能偵測 SystemBC、DLL sideloading 等異常行為,並監控已知惡意 C2 流量。
定期漏洞修補與地區限制設定
對 MSI 安裝器、瀏覽器、JavaScript 引擎進行更新,並針對非業務地區採取地理封鎖。
使用威脅情報與行為指標共享
與資安社群合作,交換 IoC(如 Ghost Crypt、Neptune RAT、Hijack Loader)資訊,提升偵測率。
建立緊急應變計畫
若發現被入侵,應立即隔離受影響系統、啟動重置憑證、進行回溯與移除工作。
資料來源:https://thehackernews.com/2025/07/credential-theft-and-remote-access.html