近期一個以採購為主題的社交工程攻擊活動「Dark Vision」,正針對台灣、德國、美國及瑞典的製造業、營建業與科技業發動攻擊。攻擊者會以某供應商名義冒名發送郵件 ( 主旨:Purchase Inquiry with Product Sample Attached ) 並夾帶惡意 PDF 文件檔,一旦受害者開啟附件,便會被引導對外下載另一個惡意壓縮檔「LZH」,藉以部署「Dark Vision RAT」後門程式,以取得遠端控制受害電腦的能力。博通賽門鐵克已針對上述攻擊活動更新多項端點防護特徵,請保持各項定義檔更新以強化防護。
Symantec可攔阻特徵類型
| 檔案防護特徵 | 可攔阻版本 |
| Trojan.Gen.2Trojan.Gen.NPE
Trojan.Pidief |
檔案防護特徵碼:2025/10/27 rev.2 |
| 說明文件 | Dark Vision campaign: Procurement email → fake PDF update → LZH archive → signed PE + DLL |
銳傑科技建議
端點防護系統強化事項
- 確認伺服器及端點電腦端點防護系統狀態並保持定義檔持續更新。
- 開啟端點防護自我防護功能並設定為攔截,同時啟用密碼保護,設定移除及停用密碼,並限制用戶端例外設定的權限。
- 優先評估導入Symantec EDR (SEDR) 系統,SEP 用戶無需額外安裝 Agent 即可啟用,升級授權後可強化:
- 確保所有端點行為皆可被監控與記錄,增加企業內部即時偵測與反應能力,提高威脅可視性。
- 透過 EDR 事件記錄與時間軸功能,完整追蹤攻擊來源、傳播途徑與影響範圍,強化事件調查與分析能力,加速資安團隊應變處置。
- 透過行為分析技術,對合法工具的行為進行檢測,以因應 (Living-off-the-Land, LOTL) 新形態攻擊。
參考來源
Dark Vision campaign: Procurement email → fake PDF update → LZH archive → signed PE + DLL