Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Chuột AtlasCross

Chuột AtlasCross

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT), Công cụ quản lý từ xa
Dịch sang:

Một chiến dịch tấn công mạng quy mô lớn đang tích cực nhắm mục tiêu vào người dùng nói tiếng Trung Quốc thông qua các tên miền giả mạo (typosquatted domains) bắt chước các thương hiệu phần mềm đáng tin cậy. Các trang web lừa đảo này được thiết kế để phát tán một loại mã độc truy cập từ xa (RAT) chưa từng được ghi nhận trước đây, có tên là AtlasCross RAT. Chiến dịch này lợi dụng lòng tin của người dùng vào các ứng dụng được sử dụng rộng rãi, bao gồm các phần mềm VPN, nền tảng nhắn tin mã hóa, công cụ hội nghị video, phần mềm theo dõi tiền điện tử và phần mềm thương mại điện tử.

Hệ thống này bao gồm mười một tên miền độc hại đã được xác nhận, mạo danh các dịch vụ nổi tiếng như Surfshark VPN, Signal, Telegram, Zoom và Microsoft Teams. Việc mạo danh có chủ đích này làm tăng khả năng lây nhiễm thành công bằng cách khai thác sự quen thuộc của thương hiệu.

Hồ sơ tác nhân đe dọa: Nhóm Cáo Bạc (Silver Fox Collective)

Chiến dịch này được cho là do một nhóm tội phạm mạng khét tiếng của Trung Quốc có tên gọi Silver Fox thực hiện. Nhóm này hoạt động dưới nhiều bí danh khác nhau, bao gồm SwimSnake, The Great Thief of Valley (Kẻ trộm thung lũng), UTG-Q-1000 và Void Arachne. Các nhà nghiên cứu an ninh mạng coi nhóm này là một trong những mối đe dọa mạng hoạt động mạnh nhất trong những năm gần đây, đặc biệt là do chúng liên tục nhắm mục tiêu vào các nhân viên quản lý và tài chính trong các tổ chức.

Nhóm Silver Fox sử dụng nhiều phương thức lây nhiễm khác nhau như nền tảng nhắn tin, email lừa đảo và các trang web phân phối phần mềm giả mạo. Mục tiêu của nhóm bao gồm điều khiển hệ thống từ xa, đánh cắp dữ liệu nhạy cảm và gian lận tài chính.

Sự tiến hóa của phần mềm độc hại: Từ Gh0st RAT đến AtlasCross

Sự xuất hiện của AtlasCross RAT đánh dấu một bước tiến đáng kể trong bộ công cụ phần mềm độc hại của Silver Fox. Các hoạt động trước đây chủ yếu dựa vào các biến thể bắt nguồn từ Gh0st RAT, bao gồm ValleyRAT (còn được gọi là Winos 4.0), Gh0stCringe và HoldingHands RAT (Gh0stBins). AtlasCross đại diện cho một sự phát triển tinh vi hơn, tích hợp các cơ chế tàng hình, thực thi và duy trì hoạt động được nâng cao.

Phân tích chuỗi lây nhiễm: Từ mồi nhử đến kết liễu

Chuỗi tấn công bắt đầu bằng các trang web giả mạo lừa người dùng tải xuống các tệp lưu trữ ZIP. Các tệp lưu trữ này chứa các trình cài đặt triển khai cả một ứng dụng mồi nhử hợp pháp và một tệp nhị phân Autodesk bị nhiễm mã độc. Trình cài đặt độc hại khởi chạy một trình tải shellcode để giải mã cấu hình được nhúng có nguồn gốc từ Gh0st RAT.

Quá trình này trích xuất thông tin chi tiết về máy chủ điều khiển (C2) và lấy tải trọng giai đoạn hai từ tên miền 'bifa668.com' qua cổng TCP 9899. Giai đoạn cuối cùng dẫn đến việc thực thi AtlasCross RAT trong bộ nhớ, làm giảm đáng kể khả năng bị phát hiện bởi các công cụ bảo mật truyền thống.

Cơ sở hạ tầng độc hại: Tên miền bị vũ khí hóa

Chiến dịch này thể hiện một hệ thống cơ sở hạ tầng được phối hợp chặt chẽ, với hầu hết các tên miền độc hại được đăng ký vào ngày 27 tháng 10 năm 2025, cho thấy sự lên kế hoạch có chủ đích. Các tên miền được xác nhận được sử dụng để phát tán phần mềm độc hại bao gồm:

app-zoom.com
eyy-eyy.com
kefubao-pc.com
quickq-quickq.com
signal-signal.com
telegrtam.com.cn
trezor-trezor.com
ultraviewer-cn.com
wwtalk-app.com
www-surfshark.com
www-teams.com

Những tên miền này bắt chước rất sát các dịch vụ hợp pháp, thường kết hợp những biến thể nhỏ về kiểu chữ hoặc dấu hiệu nhận biết khu vực để tránh gây nghi ngờ.

Lạm dụng lòng tin: Chứng chỉ ký mã bị đánh cắp

Tất cả các trình cài đặt độc hại được xác định đều được ký bằng cùng một chứng chỉ ký mã Extended Validation (EV) bị đánh cắp, được cấp cho công ty DUC FABULOUS CO., LTD, có trụ sở tại Hà Nội, Việt Nam. Việc tái sử dụng chứng chỉ này trong nhiều chiến dịch phần mềm độc hại không liên quan cho thấy sự lưu hành rộng rãi trong hệ sinh thái tội phạm mạng. Chiến thuật này làm tăng tính hợp pháp của các tập tin nhị phân độc hại và giúp vượt qua các biện pháp phòng thủ an ninh.

Các tính năng nâng cao: Bên trong AtlasCross RAT

AtlasCross RAT giới thiệu một bộ khả năng mạnh mẽ được thiết kế cho việc hoạt động lén lút, duy trì và kiểm soát. Nó tích hợp khung PowerChell, một công cụ thực thi PowerShell C/C++ gốc, nhúng trực tiếp môi trường thực thi ngôn ngữ chung .NET (CLR) vào tiến trình phần mềm độc hại.

Trước khi thực thi các lệnh, phần mềm độc hại vô hiệu hóa các cơ chế bảo mật quan trọng như AMSI, ETW, Chế độ ngôn ngữ hạn chế và ghi nhật ký ScriptBlock. Việc liên lạc với máy chủ điều khiển được mã hóa bằng ChaCha20 với các khóa ngẫu nhiên cho mỗi gói được tạo ra thông qua việc tạo số ngẫu nhiên dựa trên phần cứng.

Các chức năng chính bao gồm:

  • Tiêm DLL có chủ đích vào WeChat
  • Chiếm đoạt phiên giao thức máy tính từ xa (RDP)
  • Chấm dứt kết nối ở cấp độ TCP từ các công cụ bảo mật của Trung Quốc như 360 Safe, Huorong, Kingsoft và QQ PC Manager.
  • Thao tác hệ thống tập tin và thực thi lệnh shell
  • Duy trì trạng thái hoạt động thông qua việc tạo tác vụ theo lịch trình.

Chiến lược tác chiến: Lừa dối trên quy mô lớn

Silver Fox sử dụng chiến lược tên miền nhiều lớp để duy trì uy tín và tránh bị phát hiện. Điều này bao gồm việc sử dụng lỗi chính tả để chiếm đoạt tên miền, thao túng tên miền và điều khiển DNS, thường kết hợp với các quy ước đặt tên theo khu vực cụ thể để giảm sự nghi ngờ của người dùng. Khả năng sao chép một cách thuyết phục các dịch vụ hợp pháp đóng vai trò quan trọng trong hiệu quả của chiến dịch.

Các phương thức tấn công đang mở rộng khắp châu Á

Ít nhất từ tháng 12 năm 2025, nhóm này đã mở rộng hoạt động sang nhiều quốc gia, bao gồm Nhật Bản, Malaysia, Philippines, Thái Lan, Indonesia, Singapore và Ấn Độ. Các phương thức tấn công đã phát triển theo thời gian, chuyển từ email lừa đảo kèm tệp đính kèm PDF độc hại sang việc lợi dụng các công cụ giám sát và quản lý từ xa hợp pháp nhưng bị cấu hình sai như SyncFuture TSM.

Các chiến dịch tiếp theo cũng đã triển khai một phần mềm đánh cắp thông tin dựa trên Python được ngụy trang dưới dạng ứng dụng WhatsApp. Hoạt động trước đó vào tháng 1 năm 2026 liên quan đến các chiêu trò lừa đảo về thuế nhắm vào người dùng Ấn Độ bằng phần mềm độc hại Blackmoon.

Kho vũ khí linh hoạt: Các hoạt động chống tội phạm mạng thích ứng

Silver Fox thể hiện tính linh hoạt cao trong hoạt động bằng cách kết hợp nhiều họ phần mềm độc hại và kỹ thuật khác nhau. Việc sử dụng ValleyRAT cùng với các công cụ RMM và các phần mềm đánh cắp dữ liệu tùy chỉnh dựa trên Python cho phép thích ứng nhanh chóng với các chuỗi lây nhiễm. Tính linh hoạt này hỗ trợ cả các chiến dịch cơ hội quy mô lớn và các cuộc tấn công có mục tiêu, chiến lược hơn.

Nhóm này vận hành theo mô hình hai hướng, cân bằng giữa các cuộc tấn công diện rộng và các hoạt động tinh vi hơn được thiết kế để truy cập hệ thống lâu dài và xâm nhập mạng sâu hơn.

Tấn công lừa đảo có chủ đích với độ chính xác cao: Nhắm mục tiêu vào các nạn nhân doanh nghiệp

Bên cạnh các chiến dịch quy mô lớn, Silver Fox còn thực hiện các cuộc tấn công lừa đảo có chủ đích nhắm vào các ngành công nghiệp cụ thể, đặc biệt là các nhà sản xuất Nhật Bản. Các cuộc tấn công này sử dụng các chiêu trò rất thuyết phục liên quan đến việc tuân thủ thuế, điều chỉnh lương, thay đổi công việc và các kế hoạch sở hữu cổ phần của nhân viên.

Sau khi được triển khai, ValleyRAT cho phép kẻ tấn công thực hiện các thao tác sau:

  • Giành quyền điều khiển từ xa hoàn toàn các hệ thống bị nhiễm virus.
  • Thu thập dữ liệu nhạy cảm và dữ liệu tài chính
  • Theo dõi hoạt động của người dùng trong thời gian thực
  • Duy trì sự ổn định trong mạng.

Mức độ truy cập này cho phép các tác nhân đe dọa leo thang các cuộc tấn công, đánh cắp thông tin mật và chuẩn bị cho các giai đoạn khai thác tiếp theo trong môi trường bị xâm nhập.

xu hướng

Xem nhiều nhất

Đang tải...