Atroposia RAT

Atroposia 是一款在地下論壇上銷售的商用遠端存取木馬 (RAT)。它賦予操作者對受感染機器的深度隱蔽控制權，並提供一套豐富的工具包，用於竊取資料、操縱網路行為以及探測系統漏洞。由於其功能強大且具有規避機制，一旦確認設備上存在 Atroposia，必須立即將其清除。

此惡意軟體威脅以三種付費等級提供給潛在「客戶」：

月租金：200美元

每季：500 美元（三個月）

半年付：900 美元（六個月）

隱身、持久性和命令頻道

Atroposia 的設計旨在保持隱蔽。它可以自動提升權限（繞過用戶帳戶控制），採用多種持久化技術以確保在重新啟動後仍然存在，並且能夠躲避防毒軟體的偵測。它與運營商命令控制伺服器的通訊經過加密，其網頁式控制面板簡化了惡意任務的執行，即使是技能一般的犯罪分子也能輕鬆上手。

隱藏式遙控和檔案處理

Atroposia 的一個標誌性功能是隱藏的遠端桌面元件（名為「HRDP Connect」），它會在受害者的電腦上開啟一個不可見的會話，使遠端攻擊者能夠在使用者不知情的情況下與桌面互動。此外，Atroposia 還包含一個檔案管理器，可讓攻擊者瀏覽驅動器和資料夾、搜尋檔案、下載、刪除或遠端執行檔。

大規模收集和隱藏包裝

此遠端存取木馬（RAT）包含一個抓取器，它能按檔案副檔名或關鍵字搜尋文件，並將匹配項打包成一個受密碼保護的 ZIP 文件。它可以完全在記憶體中組裝和打包數據，也可以利用內建的系統工具，從而最大限度地減少磁碟上的殘留痕跡，並增加取證檢測的難度。

憑證和錢包盜竊能力

Atroposia 的竊取模組會收集各種敏感資訊：已儲存的瀏覽器密碼、企業應用程式和 VPN 用戶端的憑證、即時通訊程式中的資料、密碼管理器資料（如有）以及加密貨幣錢包資訊。它還會捕獲剪貼簿內容（使用者複製或剪下的任何內容），並記錄和儲存這些條目。它甚至可以覆蓋剪貼簿內容，替換已複製的錢包地址或憑證——這種技術可用於盜取資金或劫持帳戶。

網路操縱和DNS劫持

該惡意軟體可以更改 DNS 設定或攔截網域查詢，從而在使用者不知情的情況下將受害者的瀏覽器重定向到攻擊者控制的虛假網站（例如，偽造的登入頁面）。由於瀏覽器可能仍顯示預期的 URL，受害者可能會誤以為自己造訪的是合法網站，從而被誘騙輸入憑證。

漏洞掃描和升級機會

Atroposia 內建掃描器，可檢查受感染主機是否有缺失修補程式、設定缺陷和軟體過時等問題。在企業環境中，這可以發現高價值目標——例如未打補丁的 VPN 用戶端、權限提升漏洞或其他安全隱患——攻擊者隨後會利用這些漏洞擴大網路存取權限。

系統遙測和遠端控制實用程式

除了資料竊取和遠端桌面功能外，此遠端存取木馬還能收集系統元資料（IP 位址、作業系統版本、地理位置和其他環境資訊），列出並管理正在運行的進程，並支援遠端關機和重新啟動操作。該工具包還包含一些影響較小的實用工具，這些工具共同提供了廣泛的操作靈活性。

感染通常是如何發生的

惡意或武器化文件（例如，透過電子郵件分發的受感染的 PDF 或其他附件）

軟體盜版包、惡意廣告、虛假技術支援、P2P/分享檔案、欺騙性下載網站、第三方安裝程式以及類似管道

這些傳播方式成功的原因：攻擊者依靠社會工程（偽造文件、誘人的下載或運行文件的請求）或濫用漏洞和欺騙性安裝程式——大多數感染發生在用戶被誘騙執行惡意軟體時。

影響概要

Atroposia 能夠實現全面的資料外洩（檔案、憑證、剪貼簿資料、加密錢包）、隱藏式遠端控制、透過 DNS 篡改進行網路重定向，以及為進一步利用進行偵察。其隱藏的架構（權限提升、持久化、記憶體打包、加密 C2 伺服器和隱藏的遠端會話）使其對個人和組織都構成極大的威脅。

立即回應

如果懷疑或偵測到系統中存在 Atroposia 惡意軟體，請立即中斷裝置與網路的連接，盡可能保留日誌以供分析，並儘快清除該惡意軟體。由於攻擊者可以利用竊取的憑證和橫向路徑，因此應將任何入侵都視為潛在的廣泛傳播，並考慮輪換密碼、撤銷令牌以及進行更廣泛的內部調查。