Cảnh báo QuimaRAT: Malware đa nền tảng mới hoạt động theo mô hình MaaS
Các nhà nghiên cứu an ninh mạng vừa phát hiện QuimaRAT, một loại trojan truy cập từ xa (RAT) viết bằng Java, có khả năng tấn công linh hoạt trên Windows, Linux và macOS thông qua mô hình...
Các chuyên gia bảo mật từ LevelBlue vừa đưa ra cảnh báo về QuimaRAT, một loại trojan truy cập từ xa (RAT) dựa trên Java với khả năng tấn công đa nền tảng, bao gồm Windows, Linux và macOS. Công cụ này đang được rao bán công khai theo mô hình Malware-as-a-Service (MaaS) với mức giá dao động từ 150 USD cho một tháng đến 1.200 USD cho gói sử dụng trọn đời.
Table Of Content
Kiến trúc module linh hoạt
QuimaRAT được thiết kế với cấu trúc module, cho phép mở rộng tính năng thông qua các plugin được mã hóa. Những plugin này có thể được tải, gỡ bỏ hoặc cập nhật trực tiếp từ hệ thống command-and-control (C2). Tác giả của mã độc này còn cung cấp một bộ công cụ (builder) hỗ trợ xuất ra nhiều định dạng file như JAR, EXE, APP, SH, BAT và VBS, giúp kẻ tấn công dễ dàng tùy biến theo từng kịch bản phát tán.
Hệ sinh thái công cụ tấn công
Bộ công cụ Quima bao gồm bốn thành phần chính:
- Quima Control (QuimaRAT): Công cụ quản trị từ xa với hàng chục module hỗ trợ Windows, macOS và Linux.
- Quima Builder: Bộ công cụ tạo file thực thi hỗ trợ nhiều định dạng như XLL, LNK, VBS, JS, DOCM, v.v.
- Quima Loader: Dịch vụ phân phối payload thông qua bộ nhớ đệm trình duyệt (browser-cache).
- Quima Dropper: Trình tạo payload HTML/SVG.
Đáng chú ý, Quima Loader cho phép kẻ tấn công tạo ra các liên kết giả mạo (như thông báo cập nhật phần mềm hoặc CAPTCHA). Khi nạn nhân tải xuống và chạy file loader, nó sẽ thực thi payload chính trong khi vẫn có khả năng bypass các cơ chế bảo vệ như SmartScreen trên Windows.
Kỹ thuật tinh vi và khả năng duy trì
QuimaRAT sử dụng các thư viện Java Native Access (JNA) để tương tác trực tiếp với các API cấp thấp của hệ điều hành. Mã độc này có khả năng tự nhận diện môi trường, né tránh các sandbox hoặc máy ảo và thiết lập cơ chế persistence (duy trì sự hiện diện) thông qua Registry, Scheduled Tasks, crontab hoặc LaunchAgent tùy theo hệ điều hành.
Để đảm bảo tính ổn định, QuimaRAT tích hợp cơ chế watchdog để duy trì kết nối với server C2 qua TCP, WebSocket, TLS hoặc HTTPS. Ngoài ra, mã độc còn hỗ trợ các tính năng nâng cao như đánh cắp thông tin xác thực, thao tác clipboard, giám sát webcam và thực thi shellcode không cần file (fileless) trên Windows.
Các nhà nghiên cứu nhấn mạnh rằng QuimaRAT không chỉ là một mã độc đơn thuần mà là một nền tảng RAT module hóa. Với việc áp dụng các kỹ thuật làm rối mã (obfuscation) và khả năng thay đổi cấu hình C2 linh hoạt qua Pastebin, QuimaRAT được thiết kế để liên tục thay đổi dấu vết (fingerprint) nhằm tránh bị các giải pháp antivirus phát hiện.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.