AtlasCross RAT: Giả mạo phần mềm quen thuộc, chiếm quyền máy tính người dùng

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.759 bài viết
AtlasCross RAT: Giả mạo phần mềm quen thuộc, chiếm quyền máy tính người dùng
WhiteHat Team
Các chuyên gia an ninh mạng phát hiện nhóm tội phạm mạng Silver Fox đang mở rộng chiến dịch tấn công nhắm vào người dùng tại khu vực châu Á. Bằng cách giả mạo các phần mềm phổ biến như VPN, ứng dụng nhắn tin hay video trực tuyến, tin tặc đã phát tán một loại mã độc điều khiển từ xa hoàn toàn mới mang tên AtlasCross RAT. Điều đáng lo ngại là chiến dịch này không chỉ tinh vi về kỹ thuật mà còn khai thác trực tiếp thói quen sử dụng phần mềm quen thuộc của người dùng.
1775097920089.png

Nhóm Silver Fox (còn được biết đến với nhiều định danh khác như Void Arachne hay Valley Thief). Nhóm này từ lâu đã nổi tiếng với các biến thể của Gh0st RAT (một dòng mã độc điều khiển từ xa). Lần này, chúng nâng cấp công cụ tấn công với AtlasCross RAT, là một phiên bản mới có khả năng né tránh bảo mật và kiểm soát hệ thống sâu hơn. Mục tiêu của chiến dịch trải rộng trên nhiều quốc gia châu Á như Nhật Bản, Malaysia, Indonesia, Thái Lan và Ấn Độ, đặc biệt tập trung vào nhân sự tài chính và quản lý trong doanh nghiệp.

Chiến dịch AtlasCross RAT là một dạng tấn công social engineering kết hợp malware. Tin tặc không cần khai thác lỗi kỹ thuật cụ thể mà lợi dụng chính sự tin tưởng của người dùng vào các thương hiệu phần mềm quen thuộc. Nên mức độ nguy hiểm thực tế sẽ rất cao do khả năng đánh lừa người dùng và vượt qua các cơ chế bảo mật truyền thống.​

Cơ chế tấn công: Từ website giả mạo đến chiếm quyền máy tính

Chuỗi tấn công bắt đầu bằng việc người dùng truy cập vào các website giả mạo, có tên miền gần giống với các thương hiệu nổi tiếng như Zoom, Telegram, Signal hay Microsoft Teams. Các trang web này sẽ dụ người dùng tải về file cài đặt chứa mã độc. Đáng chú ý là người dùng gần như không nhận ra bất kỳ dấu hiệu bất thường nào trong lúc toàn bộ quá trình này diễn ra.

Khi người dùng thực thi:​
  • Một phần mềm hợp pháp (ví dụ như ứng dụng thật) được hiển thị để đánh lạc hướng​
  • Song song lúc đó là một file cài đặt đã bị trojan hóa sẽ được chạy ngầm​
Tiếp theo, mã độc thực hiện các bước:​
  • Tải và giải mã cấu hình điều khiển (C2) từ xa​
  • Kết nối đến máy chủ điều khiển qua cổng TCP riêng​
  • Tải payload giai đoạn 2 và thực thi AtlasCross RAT trực tiếp trong bộ nhớ​

Khả năng của AtlasCross RAT: Nguy hiểm ở mức nào?

AtlasCross RAT không chỉ đơn thuần là phần mềm gián điệp mà là một công cụ kiểm soát toàn diện:​
  • Theo dõi hoạt động người dùng và đánh cắp dữ liệu​
  • Chiếm quyền điều khiển máy từ xa​
  • Tiêm mã độc vào các ứng dụng phổ biến như WeChat​
  • Chiếm quyền phiên RDP (remote desktop)​
  • Vô hiệu hóa phần mềm bảo mật nội địa​
  • Tạo cơ chế duy trì lâu dài trong hệ thống​
Đặc biệt, mã độc sử dụng kỹ thuật mã hóa ChaCha20 và framework PowerChell để thực thi PowerShell trực tiếp trong bộ nhớ, đồng thời vô hiệu hóa các cơ chế bảo vệ như AMSI hay logging của hệ thống.​

Rủi ro và hậu quả khi bị tấn công

Nếu bị nhiễm AtlasCross RAT, người dùng và doanh nghiệp có thể đối mặt với:​
  • Mất toàn bộ dữ liệu nhạy cảm​
  • Bị theo dõi và kiểm soát thiết bị từ xa​
  • Rò rỉ thông tin tài chính, tài khoản nội bộ​
  • Bị lợi dụng làm bàn đạp tấn công vào hệ thống doanh nghiệp​
  • Thiệt hại tài chính và uy tín nghiêm trọng​
Với doanh nghiệp, đặc biệt là bộ phận tài chính, hậu quả có thể dẫn đến gian lận, chuyển tiền trái phép hoặc mất kiểm soát hệ thống nội bộ.​

Phạm vi và mức độ ảnh hưởng

Chiến dịch này mang tính tổ chức cao, với việc đăng ký hàng loạt domain giả mạo chỉ trong một ngày cho thấy sự chuẩn bị kỹ lưỡng. Ngoài ra, việc sử dụng chứng chỉ ký số hợp lệ (bị đánh cắp) từ một doanh nghiệp tại Việt Nam càng làm tăng độ tin cậy giả mạo, giúp mã độc dễ dàng vượt qua kiểm tra bảo mật. Không chỉ dừng lại ở một chiến dịch đơn lẻ, nhóm Silver Fox còn liên tục thay đổi chiến thuật, từ file PDF độc hại đến công cụ RMM hợp pháp và cả mã độc viết bằng Python, cho thấy mức độ linh hoạt và nguy hiểm cao.​

Khuyến nghị từ chuyên gia an ninh mạng

Do đây không phải lỗ hổng phần mềm, việc phòng tránh phụ thuộc vào kiểm soát hành vi và nhận thức người dùng:​
  • Không tải phần mềm từ website lạ, kể cả khi tên miền giống thương hiệu​
  • Kiểm tra kỹ domain, tránh các biến thể sai chính tả​
  • Không mở file cài đặt nhận qua email, mạng xã hội nếu chưa xác minh​
  • Sử dụng giải pháp bảo mật có khả năng phát hiện hành vi bất thường​
  • Giám sát lưu lượng mạng bất thường, đặc biệt là kết nối TCP lạ​
  • Triển khai kiểm soát ứng dụng và hạn chế quyền thực thi​
Khi các phần mềm quen thuộc bị giả mạo một cách tinh vi, ranh giới giữa “an toàn” và “nguy hiểm” trở nên mong manh hơn bao giờ hết. Trong bối cảnh đó, mỗi hành động nhỏ như tải phần mềm hay truy cập một website cũng cần được cân nhắc kỹ lưỡng. Bởi chỉ một lần bất cẩn, người dùng có thể vô tình mở cửa cho cả một hệ thống bị kiểm soát từ xa.​
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Zero-day Ivanti EPMM bị khai thác: Chiếm quyền máy chủ chỉ trong vài giây
  • OpenClaw Trap: Dự án GitHub giả phát tán mã độc nhắm tới đội dev và các game thủ
  • Telegram giả mạo phát tán mã độc nhiều tầng, chạy trực tiếp trong RAM
  • Microsoft cảnh báo chiến dịch giả mạo VPN, phát tán mã độc đánh cắp thông tin
  • 72 quốc gia phối hợp cùng INTERPOL vô hiệu hóa hơn 45.000 máy chủ độc hại toàn cầu
  • CronRAT: Mã độc Linux mới được lập lịch chạy vào ngày 31/2
    • Thẻ
    atlascross rat châu á payload python silver fox
    Bên trên