Atroposia RAT

Atroposia 是一款在地下论坛上销售的商用远程访问木马 (RAT)。它赋予操作者对受感染机器的深度隐蔽控制权，并提供一套丰富的工具包，用于窃取数据、操纵网络行为以及探测系统漏洞。由于其功能强大且具有规避机制，一旦确认设备上存在 Atroposia，必须立即将其清除。

该恶意软件威胁以三种付费等级提供给潜在“客户”：

月租金：200美元

每季度：500 美元（三个月）

半年付：900 美元（六个月）

隐身、持久性和命令频道

Atroposia 的设计旨在保持隐蔽。它可以自动提升权限（绕过用户帐户控制），采用多种持久化技术以确保在重启后仍然存在，并且能够躲避杀毒软件的检测。它与运营商命令控制服务器的通信经过加密，其网页式控制面板简化了恶意任务的执行，即使是技能一般的犯罪分子也能轻松上手。

隐藏式遥控和文件处理

Atroposia 的一个标志性功能是隐藏的远程桌面组件（名为“HRDP Connect”），它会在受害者的计算机上打开一个不可见的会话，使远程攻击者能够在用户不知情的情况下与桌面进行交互。此外，Atroposia 还包含一个文件管理器，允许攻击者浏览驱动器和文件夹、搜索文件、下载、删除或远程执行文件。

大规模收集和隐蔽包装

该远程访问木马（RAT）包含一个抓取器，它能按文件扩展名或关键字搜索文件，并将匹配项打包成一个受密码保护的 ZIP 文件。它可以完全在内存中组装和打包数据，也可以利用内置的系统工具，从而最大限度地减少磁盘上的残留痕迹，并增加取证检测的难度。

凭证和钱包盗窃能力

Atroposia 的窃取模块会收集各种敏感信息：已保存的浏览器密码、企业应用程序和 VPN 客户端的凭据、即时通讯程序中的数据、密码管理器数据（如有）以及加密货币钱包信息。它还会捕获剪贴板内容（用户复制或剪切的任何内容），并记录和存储这些条目。它甚至可以覆盖剪贴板内容，替换已复制的钱包地址或凭据——这种技术可用于盗取资金或劫持账户。

网络操纵和DNS劫持

该恶意软件可以更改 DNS 设置或拦截域名查询，从而在用户不知情的情况下将受害者的浏览器重定向到攻击者控制的虚假网站（例如，伪造的登录页面）。由于浏览器可能仍然显示预期的 URL，受害者可能会误以为自己访问的是合法网站，从而被诱骗输入凭据。

漏洞扫描和升级机会

Atroposia 内置扫描器，可检查受感染主机是否存在缺失补丁、配置缺陷和软件过时等问题。在企业环境中，这可以发现高价值目标——例如未打补丁的 VPN 客户端、权限提升漏洞或其他安全隐患——攻击者随后会利用这些漏洞扩大网络访问权限。

系统遥测和远程控制实用程序

除了数据窃取和远程桌面功能外，该远程访问木马还能收集系统元数据（IP 地址、操作系统版本、地理位置和其他环境信息），列出并管理正在运行的进程，并支持远程关机和重启操作。该工具包还包含一些影响较小的实用工具，这些工具共同提供了广泛的操作灵活性。

感染通常是如何发生的

恶意或武器化文档（例如，通过电子邮件分发的受感染的 PDF 或其他附件）

软件盗版包、恶意广告、虚假技术支持、P2P/共享文件、欺骗性下载网站、第三方安装程序以及类似渠道

这些传播方式成功的原因：攻击者依靠社会工程（伪造文档、诱人的下载或运行文件的请求）或滥用漏洞和欺骗性安装程序——大多数感染发生在用户被诱骗执行恶意软件时。

影响概要

Atroposia 能够实现全面的数据外泄（文件、凭证、剪贴板数据、加密钱包）、隐蔽远程控制、通过 DNS 篡改进行网络重定向，以及为进一步利用进行侦察。其隐蔽的架构（权限提升、持久化、内存打包、加密 C2 服务器和隐藏的远程会话）使其对个人和组织都构成极大的威胁。

立即响应

如果怀疑或检测到系统中存在 Atroposia 恶意软件，请立即断开设备与网络的连接，尽可能保留日志以供分析，并尽快清除该恶意软件。由于攻击者可以利用窃取的凭据和横向路径，因此应将任何入侵都视为潜在的广泛传播，并考虑轮换密码、撤销令牌以及开展更广泛的内部调查。