Tin bảo mật mới nhất: FUD Crypt nguy hiểm

tin bảo mật mới nhất cho thấy một nền tảng malware-as-a-service có tên FUD Crypt đang hạ thấp đáng kể rào cản tạo mã độc Windows. Dịch vụ này cho phép người thuê tải lên một file thực thi Windows và nhận lại một gói triển khai đa tầng, đa hình, có sẵn cơ chế persistence và kênh command-and-control (C2).

FUD Crypt và mô hình malware-as-a-service

FUD Crypt hoạt động từ fudcrypt.net và xử lý bất kỳ Windows executable nào được tải lên bởi người dùng đăng ký. Hệ thống sau đó tạo ra một gói triển khai đã được đóng gói hoàn chỉnh, giúp mã độc né tránh công cụ phát hiện truyền thống.

Điểm đáng chú ý của tin bảo mật mới nhất này là nền tảng không yêu cầu kỹ năng lập trình từ phía người thuê. Chỉ cần nạp một remote access tool hoặc information stealer, nền tảng sẽ trả về một bản build có cấu hình sẵn để vượt qua antivirus, Windows Defender và một số giải pháp EDR.

Ba gói dịch vụ và chi phí

Nền tảng cung cấp ba mức thuê bao với tính năng khác nhau:

• Starter: $800/tháng, hỗ trợ các carrier cơ bản như ProtonVPN và Zoom.
• Pro: $1,500/tháng, mở rộng sang Discord và OneDrive, kèm kiểm tra anti-VM.
• Enterprise: $2,000/tháng, mở khóa toàn bộ 20 carrier profiles, UAC bypass đầy đủ và tự động vô hiệu hóa Defender.

Nhóm phân tích đã phục hồi hạ tầng máy chủ và ghi nhận 200 người dùng, 334 bản build đã xác nhận, cùng 2.093 lệnh fleet được phát ra trên 32 máy bị xâm nhập trong khung thời gian 38 ngày.

Cơ chế ký số và tác động đến phát hiện xâm nhập

Một phần đáng chú ý trong tin bảo mật mới nhất này là việc các binary được ký bằng chứng chỉ gắn với Microsoft Trusted Signing. Kẻ vận hành đã đăng ký vào dịch vụ ký số của Microsoft, vượt qua xác minh danh tính và tạo ra các binary có Authenticode signature bắt nguồn từ chuỗi chứng chỉ của Microsoft.

Trong một số trường hợp, bốn tài khoản ký số đã được luân chuyển chỉ trong 6 tuần, và một tài khoản mới luôn được chuẩn bị trước khi tài khoản cũ hết hạn. Khi kiểm tra, chuỗi chứng chỉ hiển thị là “Microsoft Identity Verification Root CA”, khiến Windows SmartScreen không đưa ra cảnh báo như với một binary độc hại thông thường.

Đối với đội giám sát, đây là rủi ro bảo mật đáng kể vì file signed có thể trông giống phần mềm hợp lệ khi người dùng hoặc công cụ kiểm tra chữ ký xem xét bề ngoài.

Tham khảo thêm về kiến trúc và kiểm tra chữ ký tại Microsoft Trusted Signing.

DLL sideloading và chuỗi thực thi

Nền tảng này dựa trên DLL sideloading, trong đó một DLL độc hại được đặt cạnh ứng dụng hợp lệ để tự động được nạp khi ứng dụng chạy. Cách làm này giúp mã độc được thực thi dưới vỏ bọc của tiến trình tin cậy.

FUD Crypt hỗ trợ 20 carrier profiles, bao gồm Zoom, ProtonVPN, Slack, Visual Studio Code, OneDrive, CCleaner và một profile dùng WindowsDF.exe — một wrapper Defender đã đổi tên, tải mpclient.dll, thư viện tương tự mà Defender dùng cho engine quét.

Khi quan sát trong Task Manager, tiến trình có thể hiển thị như đang nạp thành phần Defender, trong khi payload độc hại chạy ở tầng bên dưới. Đây là một kỹ thuật né tránh quan sát rất hiệu quả đối với các hệ thống chỉ dựa vào tên tiến trình hoặc hành vi bề mặt.

Chuỗi né tránh bảo vệ

Sau khi DLL được kích hoạt, một chuỗi né tránh lớp sâu sẽ chạy trước khi payload chính được xử lý:

• AMSI bypass bằng hai cơ chế độc lập.
• Patch bộ nhớ trực tiếp để buộc AmsiScanBuffer trả lỗi ngay lập tức.
• Dùng hardware breakpoints trên CPU cùng vectored exception handler để chặn thực thi mà không đụng trực tiếp vào amsi.dll.
• ETW silencing bằng một patch một byte để cắt telemetry ở user mode.
• Process masquerading bằng cách ghi đè các trường trong Process Environment Block nhằm giả dạng thành explorer.exe.

Persistence và C2

FUD Crypt tự động thiết lập persistence ngay khi máy kết nối về C2. Máy chủ điều khiển tại mstelemetrycloud.com đẩy một registry run key có tên WindowsUpdateSvc trỏ tới binary của agent.

Ở các bản Enterprise, nền tảng còn tạo thêm một scheduled task có tên MicrosoftEdgeUpdateCore, chạy ở quyền cao nhất mỗi lần đăng nhập. Cách đặt tên này nhằm mô phỏng một dịch vụ cập nhật hợp lệ.

Payload được tải từ Dropbox, với Catbox.moe làm kênh dự phòng. Điều này khiến phát hiện tấn công dựa trên chuỗi tải xuống đơn giản trở nên kém hiệu quả hơn so với giám sát hành vi.

IOC cần theo dõi

• Domain: fudcrypt.net
• Domain: mstelemetrycloud.com
• File/Process name: WindowsDF.exe
• DLL: mpclient.dll
• Registry run key: WindowsUpdateSvc
• Scheduled task: MicrosoftEdgeUpdateCore
• Phương thức: DLL sideloading
• Phương thức: AMSI patching
• Phương thức: ETW patching
• Phương thức: PEB tampering / process masquerading

Điểm quan sát cho phòng thủ và phát hiện xâm nhập

Đội an ninh cần theo dõi các dấu hiệu bất thường sau trong an ninh mạng nội bộ:

• DLL sideloading từ thư mục phần mềm hợp lệ.
• Registry run key có tham chiếu tới mstelemetry.exe hoặc tên tương tự.
• Scheduled task mang tên giả mạo dịch vụ cập nhật hợp lệ.
• Outbound WebSocket tới mstelemetrycloud.com.
• Thay đổi quyền bộ nhớ và dấu hiệu process masquerading.

Giám sát hành vi là hướng phát hiện hiệu quả hơn so với chỉ dựa vào hash, vì nền tảng sử dụng polymorphic triple-layer encryption theo từng build để làm thay đổi mẫu nhận diện.

Tài liệu nghiên cứu gốc có thể tham khảo tại Ctrl-Alt-Intel research.

Ảnh hưởng hệ thống và rủi ro bảo mật

Về mặt kỹ thuật, mối đe dọa mạng này làm giảm đáng kể hiệu quả của cơ chế phòng vệ dựa trên chữ ký và danh tiếng file. Binary được ký số, đi kèm persistence và C2 tích hợp, có thể chạy lén dưới lớp ứng dụng hợp lệ và né nhiều biện pháp kiểm tra phổ biến.

Đối với môi trường Windows, rủi ro lớn nhất nằm ở chỗ payload có thể được triển khai như một gói đa tầng, tự vô hiệu hóa phần kiểm tra nội dung, rồi duy trì hiện diện bằng run key hoặc scheduled task. Điều này làm tăng đáng kể khả năng hệ thống bị xâm nhập mà không bị phát hiện sớm.

Phân tích này cho thấy cảnh báo CVE không phải trọng tâm của sự cố; thay vào đó là cách một nền tảng MaaS kết hợp ký số, sideloading và cơ chế né tránh để tạo ra công cụ xâm nhập có độ tin cậy cao hơn trong môi trường mục tiêu.