1. 簡介

網路安全威脅持續演變，財務動機的威脅行為者(Threat Actor)不斷精進其策略、技術與程序（Tactics, Techniques, and Procedures, TTPs）。本報告聚焦於兩個特定的惡意軟體家族：AllaKore RAT與SystemBC，這兩個家族在近期攻擊攻擊中被觀察到。AllaKore RAT是一款自2015年起流通的開源遠端存取工具，而SystemBC則是自2019年出現的多平台惡意軟體代理工具。本分析旨在剖析其技術能力與運作方法，並從近期觀察及公開的威脅情報中提取洞見。

2. AllaKore遠端存取木馬（RAT）

AllaKore RAT是一款功能強大且多用途的間諜與資料竊取工具。最初以Delphi語言編寫，其功能包括鍵盤記錄、螢幕截圖、檔案上傳/下載以及遠端控制被滲透的設備[1]。近期變種如AllaSenha顯示其持續發展與針對特定金融實體的適應性[2]。

2.1. 技術能力

AllaKore RAT的核心功能圍繞於全面的遠端存取與資料竊取。它使攻擊者能夠對受感染系統保持隱秘控制，促進各種惡意攻擊。該工具能夠捕捉螢幕截圖與記錄鍵盤輸入，使其在竊取敏感資訊（如銀行認證與Token）方面特別有效[3]。檔案操作功能進一步允許竊取有價值的資料以及部署額外的malicious payload。

2.2. 感染途徑與傳遞

AllaKore RAT攻擊活動的初始感染途徑通常涉及客製化的安裝程式。這些安裝程式，經常是木馬化的Microsoft軟體安裝程式（MSI）檔案，設計用於傳遞修改版的AllaKore RAT。在某些情況下，會使用.NET下載器作為感染鏈的中間階段[1]。傳遞機制已演進，近期攻擊活動採用通用政策更新命名模式（例如： InstalarActualiza_Policy.msi ）以顯得合法並繞過初始檢測[1]。

2.3. 持續性機制

AllaKore RAT採用多種持續性機制以確保其在被滲透的系統上的持續存在。一個顯著的方法是將惡意軟體的更新版本下載到設備的啟動資料夾[1]。這確保RAT在每次系統啟動時執行，保持攻擊者的持續存取。反組譯分析揭示了建立與維持這種持續性的複雜步驟，通常涉及從常用應用程式資料目錄執行二次感染[1]。

3. SystemBC

SystemBC是一款以C語言編寫的多平台惡意軟體代理工具(Malware proxy tool )。由於其在建立隱秘通訊渠道與促進額外惡意軟體部署方面的有效性，廣泛被各類Threat actor採用[4]。

3.1. 技術能力

SystemBC主要作為SOCKS5代理，允許攻擊者通過被滲透的系統路由其惡意流量。此功能使Threat actor能夠匿名化其攻擊、繞過網路限制並在運作中保持低調[5]。除了代理功能外，SystemBC還能下載並執行額外的惡意軟體，使其成為多階段攻擊中的多用途工具[1]。其作為現成的Tor後門進一步增強了對勒索軟體運營者及其他網路犯罪分子的吸引力[6]。

3.2. 攻擊鏈中的角色

SystemBC在攻擊鏈中通常扮演二次感染角色。在初始入侵後，AllaKore RAT或其他主要惡意軟體可能將SystemBC傳遞至受害者系統[1]。這允許攻擊者為後續攻擊階段（如資料竊取或勒索軟體部署）建立更具彈性且隱蔽的通訊渠道。SystemBC的模組化特性使其能整合進各種攻擊框架，使其成為複雜網路攻擊中的靈活組件[7]。

4. 攻擊鏈分析

涉及AllaKore RAT與SystemBC的攻擊鏈通常始於惡意安裝程式的傳遞。該安裝程式常偽裝成合法軟體更新，部署.NET下載器與用於清理的PowerShell腳本。隨後，.NET下載器繼續下載並部署客製化的AllaKore RAT Payload[1]。

一旦AllaKore RAT建立，它可能會將SystemBC作為二次感染傳遞。這種多階段方法使攻擊者即使某個組件被檢測或移除，仍能在被滲透的網路中保持立足點。攻擊鏈後期使用伺服器端地理圍欄進一步顯示攻擊者試圖規避檢測並限制對最終Payload的存取[1]。

5. 程式碼與架構分析

對惡意軟體樣本的分析提供了其內部運作的洞見。例如， InstalarActualiza_Policy.msi 檔案由Advanced Installer構建，部署 Gadget.exe （內部命名為 Tweaker.exe ），負責下載並部署AllaKore RAT[1]。對AllaKore更新與持續性機制的反組譯揭示了實現持續性的特定API呼叫與routine，例如將檔案放置於啟動資料夾並從 %Appdata%\Roaming\ 執行二次感染[1]。

6. 結論

Greedy Sponge威脅團體對AllaKore RAT與SystemBC的利用凸顯了財務動機網路威脅的持續演變。其TTPs的不斷精進，包括客製化惡意軟體變種、複雜的傳遞機制以及強大的持續性技術，對網路安全防禦構成重大挑戰。深入了解這些工具及其運作方法對於開發有效的檢測與緩解策略至關重要。組織必須優先考慮強大的端點安全、網路監控與員工培訓，以對抗此類多面向威脅。

參考文獻

1. Arctic Wolf Labs. Greedy Sponge Targets Mexico with AllaKore RAT and SystemBC.
2. The Hacker News. Brazilian Banks Targeted by New AllaKore RAT Variant Called AllaSenha.
3. BlackBerry. Mexican Banks and Cryptocurrency Platforms Targeted With AllaKore RAT.
4. Malpedia. SystemBC (Malware Family).
5. Bitsight. SystemBC: The Multipurpose Proxy Bot Still Breathes.
6. Sophos. Ransomware operators use SystemBC RAT as off-the-shelf Tor backdoor.
7. Kroll. Inside The SYSTEMBC Malware Server.