Một loại mã độc Atroposia truy cập từ xa (RAT) mới, tinh vi đã xuất hiện trên các chợ đen tội phạm mạng, cung cấp cho kẻ tấn công một bộ công cụ toàn diện để truy cập máy tính từ xa ẩn, đánh cắp thông tin xác thực và thao túng mạng với mức giá phải chăng. Sự xuất hiện của mã độc Atroposia đại diện cho một mối đe dọa mạng đáng kể, cho phép cả những kẻ tấn công ít kinh nghiệm cũng có thể thực hiện các cuộc xâm nhập phức tạp.

Sự trỗi dậy của Atroposia RAT trong hệ sinh thái tội phạm mạng

Các nhà nghiên cứu bảo mật tại Varonis gần đây đã phát hiện ra mã độc Atroposia được rao bán trên các diễn đàn ngầm.

Điều này làm nổi bật cách các khả năng tấn công mạng tiên tiến ngày càng được đóng gói thành các nền tảng thân thiện với người dùng.

Atroposia là bước phát triển mới nhất trong các bộ công cụ tội phạm “plug-and-play”, cùng với các nền tảng mới được phát hiện như SpamGPT và MatrixPDF.

Hệ sinh thái các công cụ tấn công tự động này đang ngày càng mở rộng.

SpamGPT: Nền tảng spam do AI điều khiển

SpamGPT hoạt động như một nền tảng “spam-as-a-service” dựa trên AI. Nó tự động tạo các chiến dịch lừa đảo (phishing), phá mã SMTP/IMAP và tối ưu hóa khả năng gửi thư.

Về cơ bản, nó tái sử dụng các tính năng chiến dịch cấp độ marketing cho các mục đích độc hại.

MatrixPDF: Công cụ tạo PDF vũ khí hóa

MatrixPDF hoạt động như một công cụ tạo tệp PDF vũ khí hóa. Nó biến các tệp PDF thông thường thành cơ chế phát tán lừa đảo và mã độc.

Công cụ này bổ sung các lớp phủ, chuyển hướng và các hành động nhúng được thiết kế để né tránh các bộ lọc bảo mật email.

Các bộ công cụ mô-đun này cho thấy cách các khả năng khám phá, phân phối và né tránh đang được hợp nhất vào các bảng điều khiển trực quan.

Điều này giúp các kỹ thuật tấn công tiên tiến dễ dàng tiếp cận hơn đối với những kẻ tấn công có kỹ năng kỹ thuật tối thiểu.

Với mức giá khoảng 200 đô la mỗi tháng, 500 đô la cho ba tháng hoặc 900 đô la cho sáu tháng, khả năng chi trả và giao diện thân thiện của Atroposia làm cho các khả năng tấn công mạnh mẽ trở nên phổ biến.

Trước đây, những khả năng này đòi hỏi chuyên môn đáng kể để triển khai.

Kỹ thuật ẩn danh và duy trì quyền truy cập

Mã độc Atroposia sử dụng giao tiếp máy chủ C2 (command-and-control) được mã hóa để đánh bại các hệ thống kiểm tra lưu lượng.

Điều này đảm bảo các hoạt động của nó không bị phát hiện.

Nó tự động leo thang đặc quyền thông qua việc bỏ qua UAC (User Account Control), cấp quyền truy cập cấp quản trị viên cho kẻ tấn công.

Nhiều cơ chế duy trì (persistence mechanisms) đảm bảo mã độc sống sót qua các lần khởi động lại hệ thống. Điều này cho phép Atroposia hòa nhập liền mạch vào các hệ thống bị xâm nhập.

Khả năng này giúp nó tránh bị phần mềm diệt virus phát hiện và duy trì quyền truy cập lâu dài mà không cảnh báo người dùng hoặc đội ngũ bảo mật IT.

Tính năng HRDP Connect: Chiếm quyền điều khiển ẩn danh

Một trong những khả năng nguy hiểm nhất của mã độc Atroposia là tính năng máy tính từ xa ẩn, được gọi là “HRDP Connect”.

Tính năng này thiết lập các phiên máy tính từ xa hoàn toàn vô hình, không hiển thị bất kỳ dấu hiệu nào của việc điều khiển từ xa trên màn hình nạn nhân.

Mức độ kiểm soát này có nghĩa là kẻ xâm nhập có thể âm thầm lục lọi tài liệu, mã nguồn hoặc cơ sở dữ liệu trên máy trạm của người dùng hoặc các thư mục chia sẻ mạng.

Các công cụ đánh cắp dữ liệu của Atroposia được thiết kế để không cần tệp (filelessly) và trích xuất thông tin hàng loạt.

Mã độc tạo một phiên máy tính để bàn bí mật trong nền — về cơ bản là một đăng nhập bóng ma vô hình.

Điều này cho phép kẻ tấn công tương tác với hệ thống bị xâm nhập với đầy đủ đặc quyền, trong khi người dùng hợp pháp hoàn toàn không hề hay biết về sự xâm nhập.

Khả năng RDP ẩn này cho phép kẻ xâm nhập thực hiện giám sát hoạt động của người dùng theo thời gian thực hoặc chiếm quyền điều khiển các phiên đã xác thực mà không bị phát hiện.

Kẻ tấn công có thể mở ứng dụng, xem các tài liệu hoặc email nhạy cảm, và thao túng quy trình làm việc như thể họ là người dùng hợp pháp.

Điều này làm suy yếu nghiêm trọng tính toàn vẹn của phiên làm việc của nhân viên thông qua sự hiện diện “man-in-the-desktop” một cách im lặng.

Ngay cả các hệ thống giám sát truy cập từ xa truyền thống cũng có thể không phát hiện được hoạt động của HRDP.

Điều này là do nó bỏ qua các thông báo máy tính từ xa tiêu chuẩn và các lời nhắc người dùng đã đăng nhập.

Điều này cho phép kẻ tấn công thực hiện các hoạt động gián điệp và đánh cắp dữ liệu dưới danh nghĩa phiên làm việc của chính người dùng.

Khả năng đánh cắp và rò rỉ dữ liệu

Mã độc Atroposia cung cấp cho kẻ tấn công quyền truy cập hệ thống tệp từ xa toàn diện thông qua một trình quản lý tệp tích hợp.

Trình quản lý này cung cấp giao diện tương tự như trình khám phá (explorer-like view) cho các ổ đĩa và thư mục.

Chức năng này cho phép duyệt từ xa các thư mục, tìm kiếm các tệp nhạy cảm, tải xuống hoặc xóa dữ liệu, và thực thi tệp trên máy của nạn nhân.

Mô-đun Grabber và kỹ thuật tàng hình

Mô-đun Grabber chuyên dụng của mã độc có thể tự động săn lùng các tệp theo phần mở rộng hoặc từ khóa. Ví dụ, nó có thể tìm tất cả các tệp PDF hoặc CSV.

Sau đó, nó nén chúng vào các kho lưu trữ được bảo vệ bằng mật khẩu để trích xuất dữ liệu.

Bằng cách đóng gói và trích xuất dữ liệu trong bộ nhớ và tận dụng các công cụ hệ thống hợp pháp, Atroposia giảm thiểu dấu vết trên đĩa (on-disk footprint).

Điều này thực hiện các kỹ thuật trích xuất không tệp (fileless exfiltration) một cách hiệu quả, để lại dấu vết tối thiểu cho các hệ thống ngăn chặn mất dữ liệu truyền thống.

Mô-đun Stealer và mục tiêu thông tin xác thực

Một mô-đun stealer chuyên biệt nhắm mục tiêu vào thông tin đăng nhập đã lưu, ví điện tử tiền mã hóa và các tệp ứng dụng nhắn tin.

Thông tin xác thực cho các ứng dụng doanh nghiệp, mạng riêng ảo (VPN) và trình quản lý mật khẩu là những mục tiêu chính để xâm nhập mạng sâu hơn.

Đặc biệt, thông tin liên quan đến các dịch vụ như SSH thường là mục tiêu béo bở cho các cuộc tấn công tiếp theo.

Thao túng mạng và giám sát thời gian thực

Ngoài việc đánh cắp dữ liệu điểm cuối, mã độc Atroposia còn chủ động thao túng lưu lượng mạng thông qua một mô-đun chiếm quyền điều khiển DNS (DNS hijacking).

Mô-đun này cho phép kẻ tấn công tùy ý chuyển hướng các truy vấn DNS của hệ thống bị nhiễm.

Kẻ điều hành có thể gán địa chỉ IP giả cho các tên miền hợp pháp. Điều này làm cho bất kỳ nỗ lực nào của máy nạn nhân để truy cập các tên miền đã định đều bị chuyển hướng âm thầm đến các máy chủ do kẻ tấn công kiểm soát.

Khả năng này mở ra các con đường cho các cuộc tấn công lừa đảo và “man-in-the-middle”.

Nó cho phép kẻ tấn công chuyển hướng các cổng đăng nhập doanh nghiệp đến các trang web độc hại trông giống hệt, để thu thập thông tin xác thực trong khi URL vẫn hiển thị chính xác trong trình duyệt.

Bằng cách chiếm quyền điều khiển DNS ở cấp độ máy chủ, Atroposia bỏ qua các biện pháp bảo vệ DNS bên ngoài.

Nó thậm chí có thể xâm phạm các kết nối HTTPS bằng cách hướng nạn nhân đến các máy chủ giả mạo. Việc kẻ tấn công lạm dụng truy vấn DNS để né tránh phòng thủ và trích xuất dữ liệu không phải là mới.

Kỹ thuật này có thể triển khai các bản cập nhật phần mềm giả mạo, chèn nội dung độc hại hoặc trích xuất dữ liệu thông qua các đường hầm DNS.

Mã độc cũng giám sát clipboard của người dùng theo thời gian thực, thu thập bất cứ thứ gì được sao chép hoặc cắt trên các máy bị xâm nhập, bao gồm mật khẩu, khóa API, đoạn mã nguồn và tin nhắn bí mật.

Mô-đun quét lỗ hổng và kiến trúc plugin

Một mô-đun quét lỗ hổng tích hợp cho phép mã độc Atroposia thực hiện kiểm tra bảo mật cục bộ sau khi xâm nhập ban đầu.

Nó liệt kê các bản vá bị thiếu, cấu hình không an toàn và các phiên bản phần mềm dễ bị tấn công.

Hoạt động trinh sát này cung cấp cho kẻ tấn công một lộ trình về các điểm yếu có thể khai thác trong môi trường doanh nghiệp.

Nó có khả năng tiết lộ các ứng dụng VPN lỗi thời hoặc các lỗ hổng leo thang đặc quyền chưa được vá, có thể làm sâu sắc thêm chỗ đứng của chúng.

Kiến trúc plugin mô-đun cho phép kẻ tấn công chỉ triển khai các chức năng cụ thể khi cần thiết để duy trì sự tàng hình trong khi thực hiện các hoạt động có mục tiêu.

Mối đe dọa đối với An ninh Mạng doanh nghiệp

Sự xuất hiện của mã độc Atroposia cùng với SpamGPT và MatrixPDF minh họa sự chuyển đổi của tội phạm mạng thành một ngành dịch vụ.

Trong đó, các khả năng tấn công tinh vi không còn đòi hỏi chuyên môn kỹ thuật mà chỉ cần khả năng tiếp cận tài chính vào các thị trường ngầm.

Sự dân chủ hóa các công cụ tấn công tiên tiến này đại diện cho một sự thay đổi cơ bản trong bối cảnh mối đe dọa.

Nó mở rộng nhóm kẻ tấn công tiềm năng và hạ thấp rào cản gia nhập đối với các cuộc tấn công mạng phức tạp chống lại môi trường doanh nghiệp. Các tổ chức cần tăng cường các biện pháp an ninh mạng để đối phó hiệu quả với những mối đe dọa này.