FortiGuard 實驗室的網路安全研究人員近期發現了一種名為 MostereRAT 的新型惡意軟體威脅，該威脅正透過針對 Windows 裝置的網路釣魚活動進行傳播。這場攻擊始於精心設計的網路釣魚電子郵件，這些郵件偽裝成合法的商業諮詢，旨在欺騙日本的企業與個人用戶。攻擊者利用高明的社交工程手法，讓收件人相信這是一封真實且重要的信件，從而誘騙他們點擊惡意連結。

當受害者不幸點擊電子郵件中的惡意連結時，一個受感染的檔案便會自動下載到他們的電腦中。這個檔案並非直接的可執行程式，而是巧妙地引導受害者開啟一個內含惡意程式的嵌入式壓縮檔案。此舉目的在於繞過部分基礎的檔案掃描與過濾機制，讓惡意軟體能更順利地進入受害者的系統。

MostereRAT 是一種遠端存取木馬(RAT)，它是一種惡意軟體，允許攻擊者遠端完全控制計算機，就像他們坐在電腦前面一樣。 這意味著一旦系統被感染，駭客將擁有等同於使用者本人的權限，能夠隨意執行命令、存取檔案、竊取資料，甚至安裝其他惡意酬載。這種等級的控制權，對任何企業或個人用戶而言，都是一場災難性的資安危機。

為了成功入侵並長期潛伏，MostereRAT 採用了多種先進且複雜的技術來規避偵測。首先，其程式碼是以一種名為「簡易程式語言」（Easy Programming Language，EPL）的獨特語言編寫，這種語言在資安界並不常見，因此能有效增加資安分析人員進行逆向工程和分析的難度。這就像駭客為惡意軟體穿上了一層特殊的保護衣，使其難以被傳統的資安工具所辨識。

此外，MostereRAT 還會主動採取措施，禁用受害者電腦上的各種安全工具，包括常見的防毒軟體和 Windows 內建的資安防護功能。它會透過阻擋相關的網路流量來達成此目的，確保自身在系統內的行動不受干擾。這種行為模式顯示出該惡意軟體的高度惡意性與自我保護能力。

在與其命令與控制（C2）伺服器進行通訊時，MostereRAT 運用了相互 TLS（mTLS）加密技術。這項技術不僅能加密通訊內容，更能驗證伺服器與客戶端的身份，使其網路流量看起來就像是正常的、經過加密的合法通訊，從而成功隱藏在大量網路數據中，逃避監控與攔截。

當成功在受害者的電腦上站穩腳步後，MostereRAT 就會部署並利用合法的遠端存取工具來達成其惡意目的。報告指出，駭客利用了 AnyDesk 和 TightVNC 等知名軟體，這些工具本身是無害的，但一旦被駭客惡意利用，便成為了遠端控制和數據收集的強大武器。駭客透過這些工具，可以輕易地收集系統中的機密資訊，並進一步植入其他惡意程式，擴大其對系統的控制範圍。

為了確保能夠長期控制受感染的系統，MostereRAT 還會建立一個隱藏的使用者帳號，並賦予其系統管理員權限。這個隱藏帳號使得駭客即使在受害者意識到異狀並試圖清理惡意程式後，仍然能夠透過這個「後門」重新進入系統，實現長期且持續性的威脅。這種持久性手法使得 MostereRAT 成為一種難以根除的資安威脅。

面對 MostereRAT 這種高階惡意軟體的威脅，企業和個人都必須採取積極的防禦措施。 Fortinet 已經針對 MostereRAT 開發了相應的防護措施，但技術防禦只是其中一環。更重要的是，必須從源頭上加強人員的資安意識教育。

首先，組織應定期對員工進行資安培訓，特別是關於如何識別和防範社交工程攻擊的課程。教導員工辨識可疑的電子郵件、不點擊來路不明的連結，以及不要隨意開啟可疑的附件，是防止此類攻擊的第一道防線。此外，建立嚴格的瀏覽器安全政策，限制員工從不受信任的來源下載檔案，也能有效降低感染風險。

其次，企業應確保所有的作業系統、應用程式和資安軟體都保持在最新狀態。及時的更新能修補已知的漏洞，防止駭客利用這些弱點進行攻擊。同時，部署多層次的資安防護系統，包括端點偵測與回應（EDR）工具、網路流量監控系統以及入侵偵測系統（IDS），可以幫助企業在駭客入侵的早期階段就發現並攔截威脅。

總結來說，MostereRAT 惡意軟體事件再次提醒我們，網路威脅正在變得越來越複雜和隱蔽。駭客不再僅僅依賴技術漏洞，而是將技術與人性弱點相結合，發動更具欺騙性的攻擊。這場資安戰役不僅僅是技術的較量，更是人與人、意識與意識之間的博弈。企業和個人必須持續提升資安防禦能力，並將資安意識融入日常工作與生活中，才能有效應對這些日益嚴峻的挑戰，確保數位資產的安全。