Triton RAT là một công cụ truy cập từ xa (RAT) dựa trên Python, sử dụng Telegram để truy cập hệ thống từ xa và lấy cắp dữ liệu. Dưới đây là các thông tin chính về Triton RAT:
Tổng quan kỹ thuật
- Khởi đầu hoạt động: Triton RAT bắt đầu hoạt động bằng cách lấy token bot Telegram và chat ID được mã hóa Base64 từ Pastebin.
- Máy chủ Command and Control (C2): Phần mềm độc hại này giao tiếp với một bot Telegram, phục vụ như một máy chủ C2.
- Tính năng:
- Ghi lại phím (Keylogging): RAT có khả năng ghi lại các thao tác phím, cho phép kẻ tấn công thu thập thông tin nhạy cảm.
- Truy cập webcam: Nó cung cấp quyền truy cập vào webcam, cho phép kẻ tấn công ghi lại video và hình ảnh.
- Đánh cắp dữ liệu clipboard: Phần mềm độc hại có thể đánh cắp dữ liệu từ clipboard, bao gồm thông tin nhạy cảm như mật khẩu và thông tin đăng nhập.
- Đánh cắp mật khẩu: Nó nhắm tới mật khẩu đã lưu và cookie bảo mật Roblox (.ROBLOSECURITY), có khả năng vượt qua xác thực hai yếu tố (2FA) để truy cập trái phép vào tài khoản Roblox.
- Thu thập thông tin hệ thống: RAT thu thập thông tin hệ thống, bao gồm thông tin Wi-Fi và thực thi các lệnh shell từ xa.
- Ghi màn hình và thay đổi hình nền: Nó có thể ghi lại màn hình và thay đổi hình nền trên hệ thống bị nhiễm.
- Tải lên/tải xuống tệp: Phần mềm độc hại có thể tải lên hoặc tải xuống các tệp từ hệ thống bị nhiễm.
Cơ chế duy trì
- VBScript và Batch Scripts: Để duy trì tình trạng tồn tại, Triton RAT triển khai các payload thứ cấp qua VBScript và batch scripts. Một VBScript có tên
updateagent.vbsvô hiệu hóa Windows Defender, tạo bản sao lưu, lập lịch các tác vụ để duy trì tình trạng hoạt động và giám sát các quy trình cụ thể. - Các tác vụ theo lịch: Một batch script (
check.bat) tải xuống một tệp thực thi mang tênProtonDrive.exetừ Dropbox và lưu trữ nó trong một thư mục ẩn. Các tác vụ theo lịch được tạo ra để đảm bảo phần mềm độc hại hoạt động mỗi khi người dùng đăng nhập.
Chỉ số của sự thỏa hiệp (IOCs)
- Tệp thực thi ProtonDrive: Sự xuất hiện của tệp thực thi
ProtonDrive.exevà các hash liên quan là những chỉ số cho thấy có khả năng nhiễm Triton RAT. - Hoạt động bot Telegram: Giám sát hoạt động bất thường liên quan đến các bot Telegram là rất quan trọng để phát hiện phần mềm độc hại này.
Biện pháp phòng ngừa
- Bảo vệ điểm cuối: Triển khai các biện pháp bảo vệ điểm cuối mạnh mẽ là cần thiết để bảo vệ khỏi mối đe dọa đang phát triển này.
- Giám sát hoạt động bất thường: Các tổ chức nên theo dõi các hoạt động bất thường liên quan đến bot Telegram để phát hiện các nhiễm trùng tiềm tàng kịp thời.
Triton RAT đại diện cho một mối đe dọa đáng kể do khả năng toàn diện của nó và sự phụ thuộc vào các nền tảng phổ biến như Telegram để giao tiếp C2. Việc sử dụng các kỹ thuật chống phân tích khiến cho việc phát hiện qua các công cụ bảo mật trở nên phức tạp hơn.
