引言：金融世界的全新暗影

在全球化的金融市場中，速度與資訊是制勝的關鍵。然而，當交易與數據傳輸日益依賴數位管道時，也為惡意攻擊者創造了新的機會。近期，一種名為神鼠（GodRat）的全新遠端存取木馬（RAT）正悄然鎖定全球的金融機構、交易與券商公司，對其核心資產構成嚴重威脅。與過去的攻擊不同，GodRat的威脅之處在於它利用舊有的惡意程式碼基礎，結合現代化的攻擊手法，展現了駭

威脅分析：神鼠（GodRat）木馬的技術特徵

神鼠木馬並非憑空出現，它被資安研究人員確認為基於Gh0st RAT的進化版本。Gh0st RAT是一個歷史悠久的惡意程式，其原始碼早在2008年就已外洩，並被多個中國駭客組織廣泛利用。而神鼠木馬被認為是Winnti（又稱APT41）等中國駭客組織常用的另一種Gh0st RAT變種AwesomePuppet的延伸。這種延續性表明，即使是舊的惡意程式碼，只要經過客製化與功能擴充，依然能成為現代資安防禦體系的難題。

1. 遠端控制：完全控制受害者的電腦，執行檔案操作、鍵盤側錄與螢幕監控。
2. 資訊竊取：能夠竊取如Chrome與Edge瀏覽器中的帳號密碼等敏感資訊。

3. 多重酬載部署：GodRat能作為一個多功能後門，用來下載並執行其他惡意程式，例如另一款著名的遠端木馬AsyncRAT。

鎖定目標：金融與交易公司

• 財務數據與客戶資料：這些是勒索、詐騙與身分盜用的主要目標。
• 專有交易演算法：對於交易公司而言，其演算法是核心智慧財產，一旦被竊取，可能導致數百萬美元的損失與競爭優勢的喪失。

• 市場操控的潛力：掌握內部交易資訊或能遠端控制交易系統，可能被用於進行內線交易或市場操縱。

入侵途徑與攻擊模式

1. 入侵載體：駭客利用Skype等即時通訊軟體，將惡意檔案偽裝成合法文件，例如偽裝成**螢幕保護程式檔案（.SCR）**的金融文件。這類檔案的偽裝性高，容易誘騙使用者點擊。
2. 隱藏惡意程式碼：攻擊者使用隱寫術（steganography），將惡意程式碼巧妙地隱藏在圖像文件中。當受害者打開這個看似無害的圖像時，隱藏在其中的惡意程式碼就會被執行，從而與命令與控制（C2）伺服器建立連接，並最終下載GodRat木馬。

3. 多階段攻擊：一旦GodRat被成功部署，它便會利用其外掛程式化的架構，在受害者的電腦中持續進行惡意活動，竊取數據並下載其他惡意酬載，形成一個複雜而難以根除的資安威脅鏈。

防禦與應對建議

• 強化端點保護：部署先進的**端點偵測與回應（EDR）**工具，以即時監控可疑行為，並阻止惡意程式的執行。
• ​​​​​​​網路流量監控：利用**網路安全監控（NSM）**系統來分析網路流量，偵測任何與已知的惡意C2伺服器之間的異常通訊。
• 員工資安意識訓練：這是最關鍵的一環。定期對員工進行資安培訓，教育他們如何識別網路釣魚郵件、可疑的即時通訊訊息，以及辨別異常的檔案類型。
• ​​​​​​​多因子認證（MFA）：在所有系統上啟用多因子認證，即使帳號密碼被竊取，也能防止未經授權的存取。

• 定期更新與修補：確保所有軟體、作業系統與安全工具都保持最新狀態，修補已知的漏洞，以降低攻擊面。

結論