MODBEACON: Mã độc RAT mới sử dụng gRPC streaming để ẩn mình trong kết nối C2
Nhóm tin tặc Silver Fox vừa bị phát hiện sử dụng MODBEACON, một loại Remote Access Trojan (RAT) viết bằng Rust với khả năng giao tiếp C2 qua gRPC streaming đầy tinh vi.
Các chuyên gia bảo mật từ QiAnXin vừa công bố báo cáo về MODBEACON, một loại Remote Access Trojan (RAT) mới được viết bằng ngôn ngữ Rust. Mã độc này được liên kết với nhóm tội phạm mạng Silver Fox, một tổ chức vốn nổi tiếng với các chiến dịch phát tán phần mềm độc hại thông qua kỹ thuật SEO poisoning và các trình cài đặt giả mạo.
Phương thức hoạt động tinh vi
Mặc dù bề ngoài các chiến dịch của Silver Fox có vẻ như là các hoạt động quy mô nhỏ, nhưng thực tế chúng được tổ chức rất bài bản. Nhóm này đóng vai trò như một “đại lý vũ khí mạng”, kết hợp giữa việc phát tán phần mềm độc hại diện rộng và cho thuê quyền truy cập vào các hệ thống đã bị xâm nhập cho các đối tượng khác.
MODBEACON được đánh giá là một framework C2 (Command-and-Control) chuyên nghiệp với kiến trúc dạng module. Điểm đáng chú ý nhất của mã độc này là:
- Giao tiếp qua gRPC: Sử dụng gRPC tunnel streaming để truyền tải dữ liệu, giúp các kết nối C2 trở nên khó bị phát hiện hơn.
- Tận dụng công nghệ proxy: Tái sử dụng lớp truyền tải từ các framework chống kiểm duyệt mã nguồn mở (như Xray/V2Ray) để làm kênh giao tiếp C2.
- Kiến trúc module: Loader và beacon được tách biệt, cấu hình có thể tiêm (injectable) vào bộ nhớ, hỗ trợ các plugin native-v3.
Khả năng tấn công
Sau khi xâm nhập thành công, MODBEACON hoạt động như một implant trong bộ nhớ (memory-resident), cho phép kẻ tấn công thực hiện nhiều hành vi độc hại như:
- Thu thập thông tin hệ thống (fingerprinting).
- Tải và thực thi các module bổ sung trong bộ nhớ.
- Duy trì kết nối heartbeat và báo cáo kết quả thực thi lệnh.
- Thiết lập cơ chế duy trì (persistence) thông qua các tác vụ đã lên lịch (scheduled tasks).
Cơ sở hạ tầng C2 của mã độc này hiện được lưu trữ trên các nền tảng phổ biến như Amazon và Cloudflare CDN, giúp kẻ tấn công dễ dàng ẩn mình trong lưu lượng truy cập hợp pháp.
Xu hướng mở rộng của Silver Fox
Sự xuất hiện của MODBEACON cho thấy Silver Fox đang không ngừng nâng cấp kho vũ khí của mình. Trước đó, nhóm này đã từng triển khai các dòng mã độc như Atlas RAT, ABCDoor, RomulusLoader và SilentRunLoader. Các chuyên gia cảnh báo rằng, với khả năng kết hợp giữa kỹ thuật social engineering, mã độc tùy chỉnh và các công cụ hậu xâm nhập, Silver Fox đang trở thành một mối đe dọa đáng gờm đối với các doanh nghiệp công nghệ, giáo dục và các tổ chức nhà nước tại khu vực châu Á.
Nguồn tham khảo: The Hacker News


No Comment! Be the first one.