Chuột Atroposia
Atroposia là một Trojan truy cập từ xa (RAT) được giao dịch thương mại, được quảng cáo trên các diễn đàn ngầm. Nó cung cấp cho người điều khiển khả năng kiểm soát sâu, bí mật đối với các máy tính bị xâm nhập và một bộ công cụ phong phú để đánh cắp dữ liệu, thao túng hành vi mạng và thăm dò các điểm yếu khác của hệ thống. Do khả năng mở rộng và khả năng ẩn náu, bất kỳ sự hiện diện nào được xác nhận của Atroposia trên thiết bị đều cần được loại bỏ ngay lập tức.
Mối đe dọa phần mềm độc hại đang được cung cấp cho 'khách hàng' tiềm năng theo ba mức thanh toán:
Tiền thuê hàng tháng: 200 đô la
Hàng quý: 500 đô la (ba tháng)
Nửa năm một lần: 900 đô la (sáu tháng)
Mục lục
Tàng hình, kiên trì và kênh chỉ huy
Atroposia được thiết kế để ẩn mình. Nó có thể tự động leo thang đặc quyền (bỏ qua UAC), sử dụng nhiều kỹ thuật bảo mật để tồn tại sau khi khởi động lại, và được thiết kế để tránh bị phần mềm diệt virus phát hiện. Giao tiếp của nó với máy chủ chỉ huy và điều khiển của nhà điều hành được mã hóa, và bảng điều khiển kiểu web giúp đơn giản hóa việc thực hiện các tác vụ độc hại, ngay cả đối với tội phạm có kỹ năng trung bình.
Điều khiển từ xa ẩn và xử lý tập tin
Một tính năng đặc trưng là một thành phần máy tính từ xa ẩn (được tiếp thị là 'HRDP Connect') mở một phiên làm việc ẩn trên máy tính nạn nhân để kẻ tấn công từ xa có thể tương tác với máy tính mà không để lại dấu vết cho người dùng. Ngoài ra, Atroposia còn bao gồm một trình quản lý tệp cho phép kẻ tấn công duyệt ổ đĩa và thư mục, tìm kiếm tệp, tải xuống, xóa hoặc thực thi chúng từ xa.
Thu thập hàng loạt và đóng gói bí mật
RAT chứa một trình thu thập dữ liệu có khả năng tìm kiếm tệp theo phần mở rộng hoặc từ khóa và gom các kết quả trùng khớp vào một tệp ZIP được bảo vệ bằng mật khẩu. Nó có thể tập hợp và đóng gói dữ liệu hoàn toàn trong bộ nhớ hoặc dựa vào các tiện ích hệ thống tích hợp, giảm thiểu các hiện vật còn sót lại trên đĩa và làm phức tạp việc phát hiện pháp y.
Khả năng đánh cắp thông tin đăng nhập và ví
Mô-đun đánh cắp dữ liệu của Atroposia thu thập nhiều loại thông tin nhạy cảm: mật khẩu trình duyệt đã lưu, thông tin đăng nhập từ các ứng dụng kinh doanh và máy khách VPN, dữ liệu từ các chương trình nhắn tin, dữ liệu quản lý mật khẩu (nếu có) và thông tin ví tiền điện tử. Nó cũng thu thập nội dung clipboard (bất cứ thứ gì người dùng sao chép hoặc cắt), ghi nhật ký và lưu trữ các mục nhập đó. Nó thậm chí có thể ghi đè lên nội dung clipboard để thay thế địa chỉ ví hoặc thông tin đăng nhập đã sao chép — một kỹ thuật hữu ích để rút tiền hoặc chiếm đoạt tài khoản.
Thao túng mạng và chiếm quyền điều khiển DNS
Phần mềm độc hại có thể thay đổi cài đặt DNS hoặc chặn tìm kiếm tên để trình duyệt của nạn nhân tự động chuyển hướng đến các trang web giả mạo do kẻ tấn công kiểm soát (ví dụ: trang đăng nhập giả mạo). Vì trình duyệt vẫn có thể hiển thị URL mong muốn, nạn nhân có thể bị lừa nhập thông tin đăng nhập mặc dù nghĩ rằng họ đang truy cập một trang web hợp pháp.
Quét lỗ hổng và cơ hội leo thang
Atroposia bao gồm một trình quét kiểm tra máy chủ bị nhiễm để tìm các bản vá lỗi còn thiếu, cấu hình yếu và phần mềm lỗi thời. Trong môi trường doanh nghiệp, điều này có thể phát hiện các mục tiêu giá trị cao — máy khách VPN chưa được vá, lỗi leo thang đặc quyền hoặc các lỗ hổng khác — mà kẻ tấn công sau đó khai thác để mở rộng quyền truy cập trên toàn mạng.
Tiện ích đo từ xa và điều khiển từ xa của hệ thống
Ngoài việc đánh cắp dữ liệu và truy cập máy tính từ xa, RAT còn thu thập siêu dữ liệu hệ thống (địa chỉ IP, phiên bản hệ điều hành, định vị địa lý và các chi tiết môi trường khác), có thể liệt kê và quản lý các quy trình đang chạy, đồng thời hỗ trợ các thao tác tắt máy và khởi động lại từ xa. Bộ công cụ này cũng bao gồm các tiện ích bổ sung, ít tác động hơn, cùng nhau mang lại tính linh hoạt vận hành rộng rãi.
Nhiễm trùng thường xảy ra như thế nào
Tài liệu độc hại hoặc có tính chất vũ khí (ví dụ: tệp PDF bị nhiễm độc hoặc các tệp đính kèm khác được phân phối qua e-mail)
Các gói phần mềm vi phạm bản quyền, khai thác ổ đĩa, quảng cáo giả mạo, chương trình hỗ trợ kỹ thuật giả mạo, tệp P2P/chia sẻ, trang web tải xuống lừa đảo, trình cài đặt của bên thứ ba và các kênh tương tự
Lý do những phương pháp phát tán đó thành công: kẻ tấn công dựa vào kỹ thuật xã hội (tài liệu giả, tải xuống hấp dẫn hoặc yêu cầu chạy tệp) hoặc lợi dụng lỗ hổng và trình cài đặt lừa đảo — hầu hết các trường hợp nhiễm trùng xảy ra khi người dùng bị lừa thực thi phần mềm độc hại.
Tóm tắt tác động
Atroposia cho phép trích xuất dữ liệu toàn diện (tệp, thông tin đăng nhập, dữ liệu clipboard, ví tiền điện tử), điều khiển từ xa bí mật, chuyển hướng mạng thông qua giả mạo DNS và do thám để khai thác thêm. Kiến trúc ẩn của nó (leo thang đặc quyền, duy trì, đóng gói trong bộ nhớ, C2 được mã hóa và các phiên từ xa ẩn) khiến nó đặc biệt nguy hiểm cho cả cá nhân và tổ chức.
Phản hồi ngay lập tức
Nếu nghi ngờ hoặc phát hiện Atroposia trên hệ thống, hãy ngắt kết nối thiết bị khỏi mạng, lưu lại nhật ký để phân tích nếu có thể và xóa phần mềm độc hại càng sớm càng tốt. Vì người vận hành có thể sử dụng thông tin đăng nhập và các tuyến đường liên kết đã thu thập, hãy coi bất kỳ sự xâm phạm nào là có khả năng lan rộng và cân nhắc việc thay đổi mật khẩu, thu hồi mã thông báo và thực hiện một cuộc điều tra nội bộ rộng hơn.
