Một mối đe dọa mạng mới dưới dạng Trojan truy cập từ xa (RAT) mang tên CastleRAT đã xuất hiện, nhắm mục tiêu vào các hệ thống Windows trên toàn cầu. Mã độc này cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn các máy tính bị xâm nhập, tạo ra rủi ro nghiêm trọng về an toàn thông tin.

CastleRAT được phát hiện lần đầu vào khoảng tháng 3 năm 2025. Sự xuất hiện của nó đánh dấu một diễn biến đáng lo ngại trong bức tranh an ninh mạng.

Kiến Trúc và Khả Năng của CastleRAT

Mã độc CastleRAT được phát triển với hai biến thể chính, mỗi phiên bản có các đặc điểm và khả năng khác nhau:

• Phiên bản Python: Đây là một biến thể nhẹ, có thể được sử dụng cho các cuộc tấn công ban đầu hoặc khi yêu cầu về tài nguyên hệ thống thấp.
• Phiên bản C biên dịch: Đây là biến thể mạnh mẽ hơn, cung cấp các khả năng nâng cao. Bao gồm ghi lại thao tác bàn phím (keystroke capture), chụp màn hình (screen grabs) và các phương pháp cài đặt bền vững (persistence mechanisms) để đảm bảo duy trì quyền truy cập trên hệ thống bị lây nhiễm.

Khả năng chiếm quyền điều khiển từ xa toàn diện là trọng tâm của CastleRAT, cho phép kẻ tấn công thực hiện nhiều hành động độc hại trên máy chủ.

Cơ Chế Giao Tiếp và Thu Thập Thông Tin

CastleRAT thiết lập kết nối với máy chủ chỉ huy và kiểm soát (C2) thông qua giao thức mã hóa RC4. Khóa mã hóa được mã hóa cứng trong mã độc, làm tăng tính bảo mật của kênh giao tiếp này từ góc độ kẻ tấn công.

Sau khi triển khai thành công, mã độc bắt đầu quá trình thu thập thông tin về hệ thống bị lây nhiễm. Các dữ liệu được thu thập bao gồm:

• Tên máy tính (computer name)
• Tên người dùng (username)
• GUID của máy (Machine GUID)
• Địa chỉ IP công cộng (public IP address)
• Chi tiết sản phẩm hệ điều hành (product details)

Những thông tin này sau đó được truyền về cho kẻ tấn công thông qua kênh C2 đã được mã hóa. Sau đó, máy chủ bị lây nhiễm sẽ nhận lệnh và các công cụ bổ sung từ máy chủ C2, cho phép kẻ tấn công thực thi các lệnh từ xa và mở rộng phạm vi xâm nhập.

Kỹ Thuật Lẩn Tránh Phát Hiện và Tuồn Dữ Liệu Độc Đáo

Các nhà nghiên cứu bảo mật tại Splunk đã xác định rằng CastleRAT sử dụng nhiều kỹ thuật tinh vi được ánh xạ theo khung MITRE ATT&CK. Điều này cho thấy mức độ phức tạp và khả năng lẩn tránh của mối đe dọa mạng này. Nghiên cứu của Splunk cung cấp phân tích chi tiết về các chiến thuật này, giúp các tổ chức hiểu rõ hơn về cách thức hoạt động của mã độc.

Mã độc này không chỉ thu thập thông tin hệ thống cơ bản mà còn sử dụng các dịch vụ web miễn phí như ip-api.com để lấy địa chỉ IP công cộng. Thông tin này được dùng cho việc báo hiệu định kỳ (regular beaconing) tới máy chủ C2, giúp duy trì kết nối và theo dõi vị trí của nạn nhân.

Clipboard Hijacking: Phương Thức Tuồn Dữ Liệu Lén Lút

Một trong những kỹ thuật độc đáo và đáng chú ý nhất của CastleRAT là việc thu thập dữ liệu clipboard (clipboard data harvesting). Mã độc khởi chạy nhiều luồng (threads) bên trong tiến trình của nó, mỗi luồng đảm nhiệm một hoạt động độc hại khác nhau để tối ưu hóa hiệu quả tấn công.

Luồng thu thập clipboard được thiết kế để nhắm mục tiêu vào những người dùng thường xuyên sao chép các thông tin nhạy cảm như thông tin đăng nhập (credentials) hoặc địa chỉ ví tiền điện tử (cryptocurrency addresses). Đây là một phương pháp hiệu quả để thu thập các dữ liệu như tên người dùng, mật khẩu và chuỗi ví điện tử mà người dùng vô tình đặt vào clipboard.

Điểm tinh vi nằm ở cơ chế tuồn dữ liệu. Thay vì mở các socket mạng hoặc gọi các API mạng rõ ràng dễ bị phát hiện xâm nhập, CastleRAT chiếm quyền điều khiển clipboard và mô phỏng các hành động dán (paste actions) để tuồn dữ liệu ra ngoài một cách lén lút. Mã độc sao chép thông tin thu thập được vào clipboard, sau đó gọi hàm SendInput() để dán dữ liệu vào các ứng dụng trông có vẻ vô hại hoặc các trường nhập liệu không đáng ngờ.

Kỹ thuật này mang lại hai lợi ích chính cho kẻ tấn công:

• Giảm thiểu dấu vết mạng: Hoạt động này giảm đáng kể các dấu vết mạng “ồn ào” (noisy network artifacts) thường thấy trong các quá trình tuồn dữ liệu truyền thống.
• Hòa trộn với hoạt động người dùng: Quá trình tuồn dữ liệu được hòa trộn vào hoạt động thông thường của người dùng, làm cho việc phát hiện xâm nhập trở nên cực kỳ khó khăn đối với các giải pháp an ninh mạng truyền thống.

Chiến Lược Phát Hiện và Chỉ Báo Xâm Phạm (IoC) cho CastleRAT

Để đối phó hiệu quả với mối đe dọa mạng CastleRAT và các biến thể của nó, các tổ chức cần triển khai các chiến lược giám sát và phát hiện xâm nhập toàn diện. Mặc dù mã độc sử dụng các kỹ thuật lẩn tránh, vẫn có những chỉ báo có thể giúp nhận diện sự hiện diện của nó.

Các chỉ báo xâm phạm (IoC) và hoạt động cần giám sát bao gồm:

• Kết nối đi bất thường: Theo dõi các kết nối mạng đi từ hệ thống nội bộ tới các địa chỉ IP hoặc miền không xác định, đặc biệt là các kết nối tới các dịch vụ web miễn phí như ip-api.com hoặc các máy chủ C2 nghi ngờ.
• Tải xuống PowerShell một dòng: Giám sát việc thực thi các lệnh PowerShell một dòng, đặc biệt là các lệnh tải xuống và thực thi tệp từ xa. Mã độc thường sử dụng PowerShell cho các tác vụ tải về hoặc thiết lập ban đầu.
• Tệp nhị phân không mong muốn: Kiểm tra sự xuất hiện của các tệp nhị phân (binaries) không rõ nguồn gốc hoặc không được ủy quyền trong các thư mục người dùng (ví dụ: AppData, Temp) hoặc các vị trí hệ thống bất thường khác.
• Lưu lượng RC4 được mã hóa: Phân tích lưu lượng mạng để tìm kiếm các gói dữ liệu được mã hóa bằng RC4, đặc biệt là các luồng có khóa mã hóa cứng hoặc cấu trúc bất thường.

Việc kết hợp các công cụ giám sát hành vi (behavioral monitoring) và phân tích lưu lượng mạng nâng cao là yếu tố then chốt để chủ động phát hiện xâm nhập và giảm thiểu rủi ro từ CastleRAT. Đây là một mối đe dọa mạng đòi hỏi sự cảnh giác cao độ và các biện pháp bảo mật chủ động.