印度用戶遭釣魚攻擊：Blackmoon 後門惡意軟體網路間諜活動分析

近期，印度用戶成為一波精心策劃的網路釣魚攻擊的目標，駭客冒充印度稅務部門，透過釣魚郵件散布名為 Blackmoon 的多階段後門程式。根據 eSentire TRU 的分析報告，這起攻擊事件不僅涉及個人資料竊取，更懷疑是一起有組織的網路間諜活動，旨在竊取政府或企業的機密資訊（The Hacker News, 2026）。

攻擊手法剖析

Blackmoon 的攻擊鏈分為多個階段，每個階段都經過精心設計，以規避安全檢測並確保持久性控制：

Stage 1 – 偽裝與誘騙：駭客透過釣魚郵件，冒充印度稅務部門，誘使受害者下載惡意壓縮檔。這些郵件通常利用報稅季的緊張心理，提高受害者的點擊率。
Stage 2 – 惡意程式植入：一旦受害者執行下載的檔案，系統會解壓縮並安裝正常的通訊軟體（如 LINE），但同時也會釋放惡意程式。例如，集時安全技術團隊發現，駭客透過購買 Google 廣告，將假的 LINE 通訊軟體網站置頂，誘騙使用者下載含有 Blackmoon 的版本（InTimeSec, 2026）。
Stage 3 – 持久性控制：惡意程式會將自身寫入服務，並在 %UserProfile%\Appdata\Roaming\ 路徑下建立隱藏檔案，與駭客的中繼站進行連線。例如，OTGContainer.exe 會透過 BBC.exe（實為 7z.exe）解壓縮產生，並執行後續的惡意行為。
Stage 4 – Payload 解密與執行：所有惡意負載均使用 RC4 加密，每個 payload 的解密金鑰不同。Loader（如 VNLInit_64.dll）會對加密的 payload（如 Hrtfsdherheey）進行解密，並執行最終的惡意程式。

技術細節與防護建議

Blackmoon 的攻擊手法展示了現代網路間諜活動的複雜性。駭客不僅利用社交工程學手法誘騙受害者，還透過多階段的惡意程式設計，確保攻擊的隱蔽性與持久性。以下是一些關鍵的技術細節與防護建議：

惡意程式的隱蔽性：Blackmoon 會偽裝成合法的應用程式，並透過正常的安裝流程進行散布。例如，駭客會將惡意程式與正常的 LINE 安裝程式綁定，使得使用者在安裝時難以察覺異常（InTimeSec, 2026）。
持久性機制：惡意程式會將自身寫入系統服務，並在多個路徑下建立隱藏檔案，以確保即使系統重新啟動，仍能維持控制權。例如，BOTorNE.DEF 和 Microsoft.bob 等檔案會被放置在不同的目錄下，以規避安全軟體的檢測。
網路通訊：Blackmoon 會與駭客的中繼站進行通訊，以接收進一步的指令或傳輸竊取的資料。這些通訊通常使用加密協定，以避免被網路監控工具發現。

為了防範此類攻擊，企業與個人用戶應採取以下防護措施：