Một phần mềm độc hại mới được xác định có tên RoadK1ll đang cho phép các tác nhân đe dọa âm thầm di chuyển từ máy chủ bị xâm nhập sang các hệ thống khác trên mạng.
Mã độc này thực tế là Node.js được nhúng, giao tiếp thông qua giao thức WebSocket tùy chỉnh để duy trì quyền truy cập của kẻ tấn công và cho phép thực hiện các hoạt động tiếp theo. RoadK1ll được phát hiện bởi Blackpoint, nhà cung cấp dịch vụ phát hiện và phản hồi sự cố (MDR), trong một hoạt động ứng phó sự cố.
“Chức năng duy nhất của phần mềm độc hại này là biến một máy tính bị xâm nhập thành một điểm chuyển tiếp có thể điều khiển được, một bộ khuếch đại truy cập, thông qua đó kẻ tấn công có thể chuyển hướng đến các hệ thống, dịch vụ và phân đoạn mạng nội bộ”, Blackpoint cho biết.
Đáng lưu ý, RoadK1ll không dựa vào inbound listener trên máy chủ bị xâm nhập, mà nó thiết lập kết nối outbound WebSocket đến cơ sở hạ tầng do tin tặc kiểm soát, sau đó được sử dụng như một đường hầm để chuyển tiếp lưu lượng TCP theo yêu cầu.
Cách tiếp cận này cho phép kẻ tấn công không bị phát hiện trong thời gian dài và chuyển tiếp lưu lượng truy cập đến các hệ thống nội bộ thông qua một đường hầm WebSocket duy nhất.
“Kẻ tấn công có thể hướng dẫn RoadK1ll mở các kết nối đến các dịch vụ nội bộ, giao diện quản lý hoặc các máy chủ khác không được tiếp xúc trực tiếp với bên ngoài. Vì các kết nối này bắt nguồn từ máy tính bị xâm nhập, chúng kế thừa độ tin cậy và vị trí mạng của máy tính đó, từ đó vượt qua hiệu quả các biện pháp kiểm soát biên mạng”, các nhà nghiên cứu giải thích.
Hơn nữa, RoadK1ll hỗ trợ nhiều kết nối đồng thời trên cùng một đường hầm, cho phép người vận hành liên lạc với nhiều điểm đến cùng một lúc. Theo các nhà nghiên cứu, phần mềm độc hại này hỗ trợ một số lệnh nhất định, bao gồm:
- CONNECT: Lệnh này hướng dẫn thiết bị mở kết nối TCP đến máy chủ và cổng được chỉ định.
- DATA: Chuyển tiếp lưu lượng truy cập thô thông qua kết nối đang hoạt động.
- CONNECTED: Xác nhận kết nối được yêu cầu đã được thiết lập thành công.
- CLOSE: Chấm dứt kết nối đang hoạt động.
- ERROR: Trả về thông tin lỗi cho người vận hành.
Trong đó, lệnh CONNECT kích hoạt chức năng chính của RoadK1ll, đó là thiết lập kết nối outbound TCP đến mục tiêu liền kề, mở rộng phạm vi tấn công của kẻ xâm nhập vào mạng bị xâm phạm.
Chuyển hướng sang các hệ thống dễ tiếp cận hơn
Nếu kênh bị gián đoạn, công cụ này sẽ cố gắng khôi phục đường hầm WebSocket bằng cơ chế kết nối lại, cho phép kẻ tấn công duy trì quyền truy cập liên tục.
Cơ chế kết nối lại
Tuy nhiên, Blackpoint lưu ý rằng RoadK1ll thiếu cơ chế duy trì hoạt động truyền thống sử dụng khóa registry, tác vụ theo lịch trình hoặc dịch vụ. Thay vào đó, phần mềm độc hại chỉ hoạt động miễn là tiến trình của nó vẫn còn tồn tại.
Mặc dù vậy, các nhà nghiên cứu cho rằng mã độc “thể hiện một cách triển khai hiện đại và có mục đích hơn” đối với hoạt động liên lạc bí mật, khiến nó trở nên linh hoạt, hiệu quả và dễ triển khai. Điều này cũng cho phép kẻ tấn công di chuyển đến các hệ thống nội bộ và các phân đoạn của môi trường mà không thể truy cập được từ bên ngoài mạng.
Blackpoint cung cấp một tập hợp các chỉ báo về sự xâm phạm dựa trên máy chủ, bao gồm mã băm của RoadK1ll và địa chỉ IP mà kẻ tấn công sử dụng để liên lạc với phần mềm độc hại.