資安公司Recorded Future旗下的資安團隊Insikt Group近期發布研究報告,揭示了與金融犯罪組織FIN7有關的駭客組織GrayAlpha所利用的新型基礎設施與攻擊方式。報告中說明了GrayAlpha如何運用多樣化的感染途徑,以部署遠端管理工具並實施進一步的惡意活動。
Insikt Group的研究發現了GrayAlpha近期建立的惡意網路架構,包括用於散播惡意酬載的網域名稱及相關IP位址。其中一項發現是一個名為PowerNet的客製化PowerShell惡意程式載入工具,專門用於解壓縮並執行NetSupport RAT遠端存取木馬。除此之外,還發現了另一個名為MaskBat的客製化惡意程式載入工具,這些工具的共同目標,都是為了在受感染的系統上建立入侵點。
GrayAlpha主要使用三種方式散布NetSupport RAT,第一種是設置假的瀏覽器或軟體更新網站,自2024年4月以來,GrayAlpha持續利用偽冒的瀏覽器更新網站進行資安攻擊。這些釣魚網站甚至會偽裝成多種知名的產品和服務,例如:Google Meet、LexisNexis、CNN、華爾街日報以及Advanced IP Scanner等,企圖誘騙使用者點擊、下載惡意軟體。
第二種是偽冒7-Zip下載網站;第三種是利用TAG-124惡意流量導向系統(Traffic Distribution System, TDS)。雖然這三種方法被同時用來散布NetSupport RAT,但目前僅有偽冒7-Zip下載網站仍持續活躍,甚至有新的網域名稱在2025年4月被註冊,顯示其持續進行攻擊。
相關資安建議措施:
建立並執行應用程式白名單:確保只有經過准許的軟體能在系統中運行,以阻斷惡意軟體的執行。
定期舉辦資安教育訓練:提升員工對各種釣魚網站、惡意軟體傳播手法、不明連結及其他潛在資安威脅的警覺性。
定期並持續更新資安偵測機制:及時識別並阻斷GrayAlpha這類持續演變的資安威脅活動。
請勿透過非官方網站下載或安裝軟體與應用程式,並應特別留意域名是否包含異常字元、域名前綴是否有增減字元,或是否使用不常見的頂級域名,以防止誤入釣魚網站或下載惡意程式
更多關於駭客組織GrayAlpha攻擊手法及相關的入侵指標(IoC),請參閱完整研究報告:https://www.recordedfuture.com/research/grayalpha-uses-diverse-infection-vectors-deploy-powernet-loader-netsupport-rat
資料來源:
https://go.recordedfuture.com/hubfs/reports/cta-2025-0613.pdf