近年来,勒索软件和远程访问木马的蔓延成为全球网络安全的重要隐患,尤其是随着AllaKore RAT、PureRAT以及Hijack Loader等恶意软件的广泛使用,远程访问和凭证窃取恶意活动呈现出显著增长趋势。针对这一现象,众多安全公司和研究团队密切关注这些工具的发展动态和攻击路径,揭示其背后的黑客组织及作案手法。以墨西哥为主要攻击地区的AllaKore RAT,其变种和组合使用进一步加剧了针对多行业的威胁。自2021年以来,被称为“Greedy Sponge”的金融动机黑客组织,利用这一恶意远控木马持续对零售、农业、公共部门、娱乐、制造、运输、商业服务、资本货物及银行业展开攻击。安全研究机构Arctic Wolf Labs发现,AllaKore RAT重点针对银行凭证和独特认证信息的窃取,黑客通过C2服务器控制,实现精准的金融欺诈。攻击往往始于精心设计的钓鱼邮件或驱动型攻击,受害者无意中打开带有恶意ZIP压缩包的文件,从而植入包含合法Chrome代理程序和篡改的MSI安装文件的组合载荷。
MSI文件负责部署.NET下载器,该程序从远程服务器拉取远控木马和清理脚本,有效隐藏其存在。值得注意的是,AllaKore持续在拉美地区特别是墨西哥和巴西有活跃攻击记录,显示该组织的高持久性和针对性。虽然技术不算极度复杂,但其稳定的基础设施和持续多年的运作,说明这一攻击模式对其极具成效。另一个备受关注的威胁是2025年初暴露的PureRAT,借助新型的加密工具Ghost Crypt实现了更高隐蔽性。Ghost Crypt背后的开发者提供多样化密码绕过方案,使恶意DLL可以通过进程注入技术成功避开Microsoft Defender等主流杀毒软件的侦测。此次PureRAT攻击利用社交工程手段伪装成新客户,发送包含恶意压缩包的PDF文件,再施加电话催促,制造执行的紧迫感,引诱受害者迅速打开。
从而实现DLL注入至合法Windows进程的步骤,以隐藏恶意活动。此外,Neptune RAT(又称MasonRAT)在近几个月也渐成主流威胁。通过JavaScript钓鱼陷阱散布,Neptune RAT能抓取敏感信息、截屏、按键记录并投放剪贴板篡改木马,构成了全面的信息窃取工具。该工具与早期的XWorm共享加密机制,但新版加入大量重构,攻防水平显著提升。此类远程控制木马的成功展现了黑客对加密及持久性技术的不懈追求,进一步加剧目标企业的被攻风险。同时,Hijack Loader(亦称IDAT Loader)与附带的RedLine信息窃取器结合,成为另一致命攻击组合。
恶意利用Inno Setup安装器脚本能力来加载二阶载荷的技术,复制了D3F@ck Loader的成功模式,显示攻击者对安装程序载荷链技术的不断创新。通过这种方法,攻击者不仅绕过了初步安全检查,还能利用Windows平台的合法安装流程完成恶意代码植入,极大提升了感染规模和持久性。面对这些威胁,企业必须提升多层防御意识和能力。加强对钓鱼邮件、恶意附件的识别培训,部署先进的邮件安全网关和APT防护工具,能够在源头切断大部分攻击载体。多因素认证的应用能有效抑制凭证被盗后滥用风险。加强网络流量监控,尤其是对可疑代理连接、远控通讯的检测和实时响应,是发现隐蔽入侵的关键。
具体措施包括应用零信任安全模型,限制远程访问权限,结合行为分析和异常检测实现对高危操作的快速识别和阻断。国际安全社区对恶意软件样本的持续共享和威胁情报更新,也为构建更智能的防御体系提供了宝贵支持。此外,国家和行业主管机构应加强法规制订和信息披露,推动企业形成协同防御机制。综合来看,AllaKore、PureRAT以及Hijack Loader的流行反映了当今网络攻击多样化和持久化的现实。它们通过精准的社会工程、强大的加密技术及巧妙的载荷组合,成功渗透并掌控目标系统,对金融及核心基础设施构成巨大威胁。只有通过提升安全意识、强化技术防御及建立有效的应急响应体系,才能在这场看不见的战争中守护数字资产安全。
随着未来网络安全形势日趋严峻,深刻理解和应对这些新型远控木马和信息窃取工具,将成为每个组织不可回避的挑战,也是维护全球网络生态健康的重要保障。
