KarstoRAT - Mã độc RAT thế hệ mới giả dạng lưu lượng bảo mật để vượt mặt các hệ thống phòng thủ

Trong bối cảnh các cuộc tấn công mạng ngày càng trở nên tinh vi, sự xuất hiện của KarstoRAT – một loại mã độc điều khiển từ xa (Remote Access Trojan) dạng module – đang dấy lên hồi chuông cảnh báo lớn cho cộng đồng an ninh mạng. Điểm đáng sợ nhất của KarstoRAT không chỉ nằm ở khả năng đánh cắp dữ liệu mà còn ở kỹ thuật "ẩn mình" hoàn hảo dưới vỏ bọc của các phần mềm bảo mật hợp pháp.

KarstoRAT - Mã độc RAT thể hệ mới là gì? Khả năng "tàng hình" đáng kinh ngạc

KarstoRAT là một loại mã độc RAT mới được phát hiện với khả năng tùy biến cực cao nhờ cấu trúc module. Tại thời điểm phân tích, mã độc này đạt tỉ lệ 0/100 (Zero detections) trên VirusTotal, chứng tỏ khả năng vượt qua các trình quét truyền thống một cách dễ dàng.

Cơ chế cốt lõi của KarstoRAT là ngụy trang lưu lượng điều khiển (C2 traffic). Nó sử dụng User-Agent mang tên SecurityNotifier, khiến các hệ thống giám sát mạng lầm tưởng đây là lưu lượng từ các phần mềm bảo mật uy tín, từ đó kéo dài thời gian tồn tại (dwell time) và gây gián đoạn vận hành nghiêm trọng.

Cơ chế hoạt động: Tấn công có chọn lọc (Victim Profiling)

Thay vì phát tán tràn lan, KarstoRAT thực hiện chiến dịch tấn công có mục tiêu cụ thể. Quy trình bao gồm:

1. Kiểm tra thực thể: Sử dụng API api.ipify.org để xác định địa chỉ IP công cộng của nạn nhân.

2. Phân loại mục tiêu: Dựa trên quốc gia, mạng nội bộ hoặc IP cụ thể, mã độc sẽ quyết định có kích hoạt các module độc hại hay không.

3. Kích hoạt module độc lập: Các chức năng của C2 được quản lý tách biệt, cho phép kẻ tấn công triển khai có kiểm soát, khiến việc phát hiện và ngăn chặn ở giai đoạn đầu trở nên cực kỳ khó khăn.

Các tính năng nguy hiểm của KarstoRAT

KarstoRAT kết hợp nhuần nhuyễn giữa khả năng giám sát và điều khiển từ xa. Danh sách các hành vi độc hại bao gồm:

• Đánh cắp thông tin: Thu thập thông tin đăng nhập (credentials) và token định danh.

• Giám sát người dùng: Ghi lại thao tác bàn phím (keylogging), đánh cắp dữ liệu clipboard.

• Kiểm soát thiết bị: Chụp ảnh màn hình, tự động bật Webcam và ghi âm môi trường xung quanh.

• Quản lý tập tin: Tải lên các tệp thực thi độc hại (payloads) và đánh cắp tài liệu quan trọng ra bên ngoài (exfiltration).

Kỹ thuật duy trì sự hiện diện và leo thang đặc quyền

Để đảm bảo quyền kiểm soát lâu dài, KarstoRAT sử dụng các kỹ thuật sau:

• Duy trì (Persistence): Thiết lập thông qua Registry Run keys, thư mục Startup và tạo một Scheduled Task mang tên SystemCheck.

• Leo thang đặc quyền: Lạm dụng tệp thực thi hệ thống fodhelper.exe và chiếm quyền điều khiển đường dẫn Registry ms-settings\Shell\Open\command.

Xem ví dụ về quá trình thực thi trong phiên phân tích trực tiếp: https://app.any.run/tasks/7f289c04-c532-4879-836f-a3931822ed24/

Chỉ số nhận diện mối nguy hại (IOCs)

Dành cho các quản trị viên hệ thống và chuyên gia phản ứng sự cố, dưới đây là các thông số kỹ thuật của KarstoRAT:

Giải pháp bảo vệ đề xuất từ IPSIP Việt Nam

Để đối phó với những loại mã độc tinh vi như KarstoRAT, việc chỉ sử dụng các phần mềm diệt virus truyền thống là không đủ. Các doanh nghiệp cần một chiến lược phòng thủ đa lớp:

1. Giám sát an ninh mạng 24/7: Sử dụng dịch vụ SOC 24/7 (Security Operations Center) để phát hiện sớm các hành vi bất thường trong lưu lượng mạng, ngay cả khi chúng giả dạng lưu lượng bảo mật.

2. Đánh giá lỗ hổng định kỳ: Triển khai Dịch vụ Pentest (Đánh giá an ninh mạng) để tìm ra các lỗ hổng mà RAT có thể lợi dụng để xâm nhập.

3. Đào tạo nhận thức: Nâng cao kỹ năng nhận diện email lừa đảo cho nhân viên, vốn là con đường lây nhiễm chính của các loại RAT.

Bạn lo lắng về sự an toàn của hệ thống trước các loại mã độc mới như KarstoRAT? Hãy liên hệ với đội ngũ chuyên gia của IPSIP để được tư vấn giải pháp bảo mật toàn diện nhất!

Nguồn tham khảo: Cyber Security News, Any.Run Analysis.