THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 03 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Nhóm Tick APT tấn công một nhà phát triển phần mềm DLP ở Đông Á

Ngày 14/03/2023, Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch tấn  công của nhóm Tick APT vào hệ thống mạng của một công ty Đông Á phát triển phần mềm ngăn chặn mất mát dữ liệu (DLP).

Tick ​​(còn được gọi là BRONZE BUTLER hoặc REDBALDKNIGHT) là một nhóm APT, bị nghi ngờ hoạt động ít nhất từ ​​năm 2006 , nhắm mục tiêu chủ yếu vào các quốc gia trong khu vực APAC. Nhóm này được quan tâm vì các hoạt động gián điệp mạng, tập trung vào việc đánh cắp thông tin mật và tài sản trí tuệ.

Những kẻ tấn công đã xâm phạm máy chủ cập nhật nội bộ của công ty DLP để phân phối phần mềm độc hại bên trong mạng của nhà phát triển phần mềm và cài đặt trojan vào các công cụ hợp pháp được công ty sử dụng, điều này dẫn đến việc thực thi phần mềm độc hại trên máy tính của khách hàng của công ty.

Trong quá trình xâm nhập, những kẻ tấn công đã triển khai một trình tải xuống không được biết đến trước đó có tên là ShadowPy, đồng thời chúng cũng triển khai backdoor Netboy (còn gọi là Invader ) và trình tải xuống Ghostdown.

ShadowPy là một trình tải xuống được phát triển bằng Python và được chuyển đổi thành tệp thực thi Windows (vssapi.dll) bằng phiên bản py2exe tùy chỉnh. Trình tải xuống liên hệ với C&C và nhận các tập lệnh Python để thực thi.

DLL độc hại chứa ba thành phần chính được mã hóa trong lớp phủ của nó: trình tải tùy chỉnh py2exe, công cụ Python và mã PYC. Đầu tiên, mã trình tải DLL định vị trình tải py2exe tùy chỉnh trong lớp phủ và giải mã nó bằng cách sử dụng XOR bảo toàn NULL với khóa là 0x56, sau đó nó tải nó vào bộ nhớ và đưa nó vào một quy trình svchost.exe mới mà nó tạo ra. Sau đó, trình tải py2exe tùy chỉnh được thực thi trên quy trình từ xa. Sự khác biệt giữa mã trình tải py2exe ban đầu và phiên bản tùy chỉnh được Tick sử dụng là trình tải tùy chỉnh đọc nội dung của vssapi.dll độc hại từ đĩa và tìm kiếm cho công cụ Python và mã PYC trong lớp phủ, trong khi bản gốc định vị công cụ và mã PYC trong phần resource.

Hình 1. Tổng quan các bước thực hiện để thực thi tải trọng PYC

Mã PYC là một trình tải xuống đơn giản với mục đích truy xuất tập lệnh Python và thực thi tập lệnh đó trong một luồng mới. Trình tải xuống này chọn ngẫu nhiên một URL từ danh sách (mặc dù đối với các mẫu đã phân tích chỉ có một URL) và tạo một ID duy nhất cho máy bị xâm nhập bằng cách tạo một chuỗi bao gồm dữ liệu sau:

  • Địa chỉ IP cục bộ của máy
  • Địa chỉ MAC
  • Tên người dùng (được trả về bởi biến môi trường %username% )
  • Tên miền và tên người dùng (kết quả của lệnh whoami )
  • Tên máy tính mạng (được trả về bởi hàm platform.node của Python )
  • Thông tin hệ điều hành (được trả về bởi hàm platform.platform của Python )
  • Thông tin kiến ​​trúc (được trả về bởi hàm platform.architecture của Python )

Cuối cùng, nó sử dụng abs (zlib.crc32(<STRING>)) để tạo giá trị sẽ dùng làm ID. ID được chèn vào giữa một chuỗi bao gồm các ký tự ngẫu nhiên và được làm xáo trộn thêm, sau đó nó được thêm vào URL như trong hình sau.

Nó gửi yêu cầu HTTP GET tới travelasist[.]com để nhận tải trọng mới được giải mã XOR bằng khóa một byte cố định, 0xC3 , sau đó được giải mã base64; kết quả được giải mã bằng thuật toán AES ở chế độ CFB với khóa 128 bit và IV được cung cấp cùng với tải trọng. Cuối cùng, nó được giải nén bằng zlib và được thực thi trong một luồng mới.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1195.002 Supply Chain Compromise: Compromise Software Supply Chain
Initial Access T1199 Trusted Relationship
Execution T1059.005 Command and Scripting Interpreter: Visual Basic
Execution T1059.006 Command and Scripting Interpreter: Python
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Persistence T1543.003 Create or Modify System Process: Windows Service
Persistence T1574.002 Hijack Execution Flow: DLL Side-Loading
Defense Evasion T1036.004 Masquerading: Masquerade Task or Service
Defense Evasion T1036.005 Masquerading: Match Legitimate Name or Location
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1027.001 Obfuscated Files or Information: Binary Padding
Defense Evasion T1055.002 Process Injection: Portable Executable Injection
Defense Evasion T1055.003 Process Injection: Thread Execution Hijacking
Discovery T1135 Network Share Discovery
Discovery T1120 Peripheral Device Discovery
Discovery T1057 Process Discovery
Discovery T1082 System Information Discovery
Discovery T1033 System Owner/User Discovery
Discovery T1124 System Time Discovery
Lateral Movement T1080 Taint Shared Content
Collection T1039 Data from Network Shared Drive
Collection T1113 Screen Capture
Command and Control T1071.001 Application Layer Protocol: Web Protocols
Command and Control T1132.001 Data Encoding: Standard Encoding
Command and Control T1573 Encrypted Channel
Exfiltration T1041 Exfiltration Over C2 Channel
Exfiltration T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage

Indicators of Compromise (IoCs)

Files / hash SHA-1

72BDDEAD9B508597B75C1EE8BE970A7CA8EB85DC

8BC1F41A4DDF5CFF599570ED6645B706881BEEED

4300938A4FD4190A47EDD0D333E26C8FE2C7451E

B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6

F54F91D143399B3C9E9F7ABF0C90D60B42BF25C9

FE011D3BDF085B23E6723E8F84DD46BA63B2C700

02937E4A804F2944B065B843A31390FF958E2415

C&C:

115.144.69[.]108         /  travelasist[.]com

110.10.16[.]56               /  mssql.waterglue[.]org

103.127.124[.]117

103.127.124[.]119         /  slientship[.]com

103.127.124[.]76

58.230.118[.]78          /  oracle.eneygylakes[.]com

192.185.89[.]178

Nguồn: https://www.welivesecurity.com/2023/03/14/slow-ticking-time-bomb-tick-apt-group-dlp-software-developer-east-asia/

1.2      Fortinet Zero-Day và phần mềm độc hại tùy chỉnh được sử dụng trong hoạt động gián điệp

Ngày 16/03/2023, Nhóm nghiên cứu của Mandiant tiết lộ các hoạt động gián điệp mạng khai thác lỗ hổng zero-day và triển khai phần mềm độc hại tùy chỉnh cho các hệ thống tiếp xúc với Internet như một vectơ tấn công ban đầu. Trong đó một kẻ tấn công có mối liên hệ với Trung Quốc bị nghi ngờ có thể đã có quyền truy cập vào môi trường của nạn nhân, sau đó triển khai các backdoor trên các giải pháp của Fortinet và VMware như một phương tiện để duy trì quyền truy cập liên tục vào môi trường nạn nhân.

Vào giữa năm 2022, Mandiant, phối hợp với Fortinet, đã điều tra việc khai thác và triển khai phần mềm độc hại trên nhiều giải pháp của Fortinet, bao gồm FortiGate (tường lửa), FortiManager (giải pháp quản lý tập trung) và FortiAnalyzer (nền tảng quản lý nhật ký, phân tích và báo cáo). Các bước sau đây mô tả chung các hành động mà kẻ tấn công đã thực hiện:

  • (1) Đã sử dụng khai thác zero-day truyền tải thư mục cục bộ (CVE-2022-41328) để ghi tệp vào các đĩa tường lửa FortiGate bên ngoài giới hạn thông thường được phép với quyền truy cập trình bao.
  • (2) Duy trì quyền truy cập liên tục với các đặc quyền Quản trị viên cấp cao trong Tường lửa FortiGate thông qua ICMP port knocking
  • (3) Phá vỡ các quy tắc tường lửa đang hoạt động trên các thiết bị FortiManager với tiện ích chuyển hướng lưu lượng truy cập thụ động, cho phép tiếp tục kết nối với các backdoor liên tục với đặc quyền Quản trị viên cấp cao
  • (4) Thiết lập duy trì kết nối trên các thiết bị FortiManager và FortiAnalyzer thông qua điểm cuối API tùy chỉnh được tạo trong thiết bị
  • (5) Đã tắt xác minh chữ ký số OpenSSL 1.1.0 của các tệp hệ thống thông qua mục tiêu làm hỏng các tệp khởi động

Mandiant gán hoạt động này cho UNC3886 , một nhóm nghi ngờ có mối quan hệ với Trung Quốc và được liên kết với khung phần mềm độc hại trình ảo hóa VMware ESXi mới được tiết lộ vào tháng 9 năm 2022. Tại thời điểm trình ảo hóa ESXi bị xâm phạm, Mandiant đã quan sát thấy UNC3886 kết nối trực tiếp từ các thiết bị FortiGate và FortiManager đến backdoor VIRTUALPITA nhiều lần.

Ngoài ra, các thiết bị FortiGate có bật chế độ tuân thủ Tiêu chuẩn xử lý thông tin liên bang (FIPS) đã không khởi động được sau khi khởi động lại. Khi chế độ FIPS được bật, tổng kiểm tra của hệ điều hành được so sánh với tổng kiểm tra của một hình ảnh sạch. Vì hệ điều hành đã bị can thiệp bởi kẻ tấn công, nên so sánh tổng kiểm tra không thành công và Tường lửa FortiGate không khởi động được.

Mandiant đã quan sát thấy hai kịch bản tấn công riêng biệt trong đó kẻ tân công lạm dụng các công nghệ của Fortinet để thiết lập quyền truy cập mạng. Vụ đầu tiên xảy ra khi kẻ tấn công đạt được quyền truy cập vào hệ sinh thái Fortinet trong khi thiết bị FortiManager tiếp xúc với internet.

Như trong Hình 2, các backdoor ngụy trang dưới dạng lệnh gọi API hợp pháp (THINCRUST) đã được triển khai trên cả thiết bị FortiAnalyzer và FortiManager. Sau khi tính bền vững (persistence) được thiết lập trên hai thiết bị, các tập lệnh FortiManager đã được sử dụng để triển khai các backdoor (CASTLETAP) trên các thiết bị FortiGate.

Hình 2: Luồng tấn công khi FortiManager có thể truy cập được từ Internet

Mandiant đã quan sát các kết nối SSH từ thiết bị Fortinet đến máy chủ ESXi, sau đó là quá trình cài đặt Gói cài đặt vSphere độc ​​hại có chứa backdoor VIRTUALPITA và VIRTUALPIE. Điều này cho phép tác nhân đe dọa truy cập liên tục vào các trình ảo hóa và cho phép kẻ tấn công thực thi các lệnh trên các máy ảo khách.

Kịch bản tấn công thứ hai xảy ra khi các thiết bị FortiManager có Danh sách kiểm soát truy cập mạng (ACL) được đặt để hạn chế quyền truy cập bên ngoài chỉ vào cổng TCP 541 (Giao thức FortiGate to FortiManager). Như trong Hình 3, kẻ tấn công đã triển khai tiện ích chuyển hướng lưu lượng mạng ( TABLEFLIP ) và reverse shell backdoor ( REPTILE ) trên thiết bị FortiManager để tạo các ACL mới. Với các quy tắc chuyển hướng được thiết lập bởi tiện ích TABLEFLIP, tác nhân đe dọa có thể truy cập backdoor REPTILE trực tiếp từ Internet để tiếp tục truy cập vào môi trường.

Hình 3: Kịch bản tấn công khi FortiManager giới hạn truy cập từ Internet

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1565.001 Stored Data Manipulation
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1070 Indicator Removal
Defense Evasion T1070.003 Clear Command History
Defense Evasion T1070.004 File Deletion
Defense Evasion T1078 Valid Accounts
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Defense Evasion T1202 Indirect Command Execution
Defense Evasion T1218.011 Rundll32
Defense Evasion T1222 File and Directory Permissions Modification
Defense Evasion T1497 Virtualization/Sandbox Evasion
Defense Evasion T1497.001 System Checks
Defense Evasion T1620 Reflective Code Loading
Credential Access T1552 Unsecured Credentials
Credential Access T1555.005 Password Managers
Discovery T1016 System Network Configuration Discovery
Discovery T1033 System Owner/User Discovery
Discovery T1057 Process Discovery
Discovery T1082 System Information Discovery
Discovery T1083 File and Directory Discovery
Discovery T1087 Account Discovery
Discovery T1518 Software Discovery
Collection T1074.001 Local Data Staging
Collection T1560 Archive Collected Data
Collection T1560.001 Archive via Utility
Execution T1059 Command and Scripting Interpreter
Execution T1059.001 PowerShell
Execution T1059.003 Windows Command Shell
Execution T1059.004 Unix Shell
Execution T1059.006 Python
Execution T1129 Shared Modules
Command and Control T1095 Non-Application Layer Protocol
Command and Control T1102.001 Dead Drop Resolver
Command and Control T1105 Ingress Tool Transfer
Command and Control T1571 Non-Standard Port
Command and Control T1573.001 Symmetric Cryptography
Discovery Lateral Movement T1021.004 SSH

Indicators of Compromise (IoCs)

Files / hash MD5

9ce2459168cf4b5af494776a70e0feda

b6e92149efaf78e9ce7552297505b9d5

53a69adac914808eced2bf8155a7512d

a388ebaef45add5da503e4bf2b9da546

88711ebc99e1390f1ce2f42a6de0654d

e2d2884869f48f40b32fb27cc3bdefff

53a69adac914808eced2bf8155a7512d

64bdf7a631bc76b01b985f1d46b35ea6

a86a8fe875a89816e5808588154a067e

3e43511c4f7f551290292394c4e21de7

Nguồn: https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem

 

1.3     Sharp Panda: gián điệp Trung Quốc tấn công các cơ quan chính phủ Đông Nam Á

Ngày 07/03/2023, nhóm nghiên cứu của Check Point đã tiết lộ một cuộc tấn công mới của chiến dịch Sharp Panda đang nhắm vào các cơ quan chính phủ ở Đông Nam Á, như Việt Nam, Indonesia và Thái Lan.

Các chiến dịch trước đây của Sharp Panda sử dụng một backdoor tùy chỉnh duy nhất có tên là VictoryDll. Nhưng trong cuộc tấn công mới này, kẻ tấn công sử dụng một phiên bản mới của  trình tải SoulSearcher và tải xuống khung mô-đun Soul.

Hình 4: Chuỗi lây nhiễm của phần mềm độc hại Soul

Những kẻ tấn công đã sử dụng email lừa đảo để xâm nhập vào các mạng được nhắm mục tiêu. Những email này thường chứa một tài liệu Word lừa đảo theo chủ đề chính phủ, sử dụng một  remote template để tải xuống và chạy một tài liệu RTF độc hại, chứa công cụ RoyalRoad khét tiếng. Sau khi vào bên trong, phần mềm độc hại bắt đầu một chuỗi các trình tải trong bộ nhớ, bao gồm một trình tải xuống DLL tùy chỉnh gọi là  “5.t Downloader”  và một trình tải giai đoạn hai SoulSearcher chịu trách nhiệm phân phối Soul backdoor cuối cùng.

Mô-đun chính của Soul chịu trách nhiệm giao tiếp với máy chủ C&C và mục đích chính của nó là nhận và tải các mô-đun bổ sung trong bộ nhớ. Điều thú vị là, cấu hình backdoor chứa một tính năng giống như “radio silence”, trong đó kẻ tấn công có thể chỉ định giờ cụ thể trong một tuần khi backdoor không được phép giao tiếp với máy chủ C&C.

Backdoor thực hiện một giao thức C&C tùy chỉnh, giao thức này hoàn toàn khác so với các phiên bản được thấy trước đây. Cả phiên bản cũ và mới đều dựa trên giao tiếp HTTP, nhưng phiên bản mới nhất có vẻ phức tạp hơn và sử dụng nhiều phương thức yêu cầu HTTP khác nhau như  GET,  POSTvà  DELETE. Các điểm cuối API cũng khác nhau và các yêu cầu C&C chứa các tiêu đề yêu cầu HTTP bổ sung. Về chức năng của backdoor, liệt kê dữ liệu khác với các phiên bản trước và được mở rộng hơn. Các lệnh C&C được hỗ trợ, với biến thể mới hơn chủ yếu tập trung vào việc tải các mô-đun bổ sung thực hiện thao tác với các tệp cục bộ, gửi tệp tới C&C và thực thi các lệnh từ xa.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566 Phishing: Spearphishing Attachment
Persistence T1574 Hijack Execution Flow
Discovery T1082 System Information Discovery
Discovery T1518.001 Software Discovery: Security Software Discovery
Discovery T1057 Process Discovery
Defense Evasion T1221 Template Injection
Defense Evasion T1218.011 System Binary Proxy Execution: Rundll32
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1112 Modify Registry
Command and Control T1573.001 Encrypted Channel: Symmetric Cryptography
Command and Control T1104 Multi-Stage Channels
Command and Control T1071.001 Application Layer Protocol: Web Protocols

Indicators of Compromise (IoCs)

C&C servers

45.76.190[.]210

45.197.132[.]68

45.197.133[.]23

103.78.242[.]11

103.159.132[.]96

103.173.154[.]168

103.213.247[.]48

139.180.137[.]73

139.180.138[.]49

152.32.243[.]17

office.oiqezet[.]com

File / Hash SHA256

32a0f6276fea9fe5ee2ffda461494a24a5b1f163a300bc8edd3b33c9c6cc2d17

ca7f297dc04acad2fab04d5dc2de9475aed4186805f6c237c10b8f56b384cf30

341dee709285286bc5ba94d14d1bce8a6416cb93a054bd183b501552a17ef314

9d628750295f5cde72f16da02c430b5476f6f47360d008911891fdb5b14a1a01

811a020b0f0bb31494f7fbe21893594cd44d90f77fcd1f257925c4ac5fabed43

b023e2b398d552aacb2233a6e08b4734c205ab6abf5382ec31e6d5aa7c71c1cb

81d9e75d279a953789cbbe9ae62ce0ed625b61d123fef8ffe49323a04fecdb3f

12c1a4c6406ff378e8673a20784c21fb997180cd333f4ef96ed4873530baa8d3

f2779c63373e33fdbd001f336df36b01b0360cd6787c1cd29a6524cc7bcf1ffb

7a7e519f82af8091b9ddd14e765357e8900522d422606aefda949270b9bf1a04

4747e6a62fee668593ceebf62f441032f7999e00a0dfd758ea5105c1feb72225

3541f3d15698711d022541fb222a157196b5c21be4f01c5645c6a161813e85eb

0f9f85d41da21781933e33dddcc5f516c5ec07cc5b4cff53ba388467bc6ac3fd

17f4a21e0e8c0ce958baf34e45a8b9481819b9b739f3e48c6ba9a6633cf85b0e

f8622a502209c18055a308022629432d82f823dd449abd9b17c61e363a890828

1a15a35065ec7c2217ca6a4354877e6a1de610861311174984232ba5ff749114

065d399f6e84560e9c82831f9f2a2a43a7d853a27e922cc81d3bc5fcd1adfc56

1e18314390302cd7181b710a03a456de821ad85334acfb55f535d311dd6b3d65

c4500ad141c595d83f8dba52fa7a1456959fb0bc2ee6b0d0f687336f51e1c14e

390e6820b2cc173cfd07bcebd67197c595f4705cda7489f4bc44c933ddcf8de6

d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0

df5fe7ec6ecca27d3affc901cb06b27dc63de9ea8c97b87bc899a79eca951d60

Nguồn:  https://research.checkpoint.com/2023/pandas-with-a-soul-chinese-espionage-attacks-against-southeast-asian-government-entities/

 

2     Malware

2.1     Phân tích mẫu mã độc của nhóm tấn công SharpPanda.

Sharp Panda là nhóm tấn công có nguồn gốc từ Trung Quốc với các chiến dịch gián điệp mạng tấn công vào chính phủ khu vực Đông Nam Á bao gồm Việt Nam, Thái Lan và Indonesia. NCS Threat Intelligence theo dõi hoạt động của nhóm tấn công, ghi nhận ShapPanda nhắm mục tiêu tới các cơ quan trọng yếu, cơ quan chính phủ tại Việt Nam, hoạt động xuyên suốt từ năm 2021. Nhóm tấn công thường xuyên sử dụng các file tài liệu giả mạo (decoy) sử dụng kỹ thuật Template Injection nhằm tải xuống và thực thi tập tin RTF khai thác lỗ hổng liên quan đến Equation Editor (CVE-2018-0798) trên các nền tảng Microsoft Word Office cũ chưa cập nhật bản vá. Từ đó lập lịch, triển khai các mã độc khác trong hệ thống nạn nhân và triển khai các module khác.

Phân tích file decoy (tệp tin mồi nhử)

Khoảng trong tháng 1, chúng tôi phát hiện file tài liệu giả mạo tóm tắt lý lịch của bộ công an. Khi người dùng mở file, tài liệu Word có form mẫu với tiêu đề “TÓM TẮT LÝ LỊCH” sẽ hiển thị nhằm lừa người dùng. Đồng thời sẽ tự động tải xuống file tại địa chỉ: “http[:]//139.180.137.73/YbZe6AQE/KJ8oqzlG.png”

Ở thời điểm phân tích, chúng tôi vẫn có thể tải xuống file KJ8oqzlG.png. Tệp tin có phần mở rộng là tệp tin ảnh .png nhưng thực chất file có định dạng RTF, được cấu hình để khai thác lỗ hổng bảo mật liên quan đến Equation Editor trên các nền tảng Microsoft Word Office phiên bản cũ chưa cập nhật bản vá.

Khi file rft được kích hoạt, shellcode được nhúng thực hiện:

  • Giải mã tập tin rf9da xuống đường dẫn %Temp%\rf9d.a
  • Tạo Task Scheduler với tên Task là Windows Update, task này thực hiện khởi chạy tiến trình rundll32.exe với tham số trỏ tới file rf9d.a gọi hàm StartA

Phân tích file rf9d.a

File rf9d.a là một PE file 32 bit, thực hiện các nhiệm vụ sau:

  • Thu thập thông tin về máy nạn nhân, các thông tin bao gồm: Hostname, OS Name, OS Version, System type, Username, Network, Antivirus.
  • Dữ liệu được mã hóa bằng thuật toán RC4 và base64 với khóa OrpVjy3w theo format sau trước khi gửi tới máy chủ C2: url encode(base64(rc4(data)))
  • Gửi dữ liệu đã mã hóa tới máy chủ C2 có IP 139.180.137.73 với đường dẫn 180.137.73/YbZe6AQE/A5mAY06l.php?Data=<data_encrypt>. Giao thức sử dụng là HTTPs

Sau khi gửi dữ liệu, mã độc chờ tải và thực thi các module khác. Mặc dù đã áp dụng một số cách thức, chúng tôi chưa thu được các mã độc ở các giai đoạn sau.

Gần đây, Check Point cũng đưa ra bài phân tích về một số mẫu liên quan đến SharpPanda. Dựa trên so sánh đối chiếu, chúng tôi tin rằng có những điểm tương đồng về mẫu mã độc, bao gồm những thông tin về các mẫu SoulSearcher loader và Soul Backdoor mà Checkpoint cung cấp.

SoulSearcher loader

SoulSearcher loader là giai đoạn 2 sau quá trình khởi tạo truy cập trên máy nạn nhân, backdoor(cửa hậu) được nhúng trong cấu hình định dạng XML. Mã độc sẽ tạo thread mới để load backdoor nếu mã độc đang chạy dưới các tiến trình svchost.exe, msdtc.exe hoặc spoolsv.exe. Khác với các phiên bản trước đây khi các config được lấy từ file mapping, file lưu trên ổ đĩa, phiên bản mới nhất lấy dữ liệu đã được encode base64 lưu trong registry tại đường dẫn  “HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\CONFIGEX”. Dữ liệu có cấu trúc như sau:

Dựa trên kiến trúc hệ thống, SoulSearcher sẽ thêm “32” hoặc “64” vào chuỗi “L’ServerBase”, tính toán MD5 của chuỗi đã gộp và tạo registry key với giá trị là payload đã được nén “HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies\[ServerBaseArch_md5]”

Nếu registry key được tạo, loader sẽ payload đã được nén này, giải mã và load vào bộ nhớ.

Soul Backdoor

Main module của Soul có nhiệm vụ chính giao tiếp với máy chủ C2, tải xuống các module mới để load vào bộ nhớ. Ở phiên bản gần đây nhất, backdoor giao tiếp với C&C sử dụng HTTP request với các đa dạng các phương thức như GET, POST và DELETE.

Để mã độc thực thị, yêu cầu phải truyền vào 2 tham số hoặc tham số  là “-v”, trong bài phân tích của CheckPoint, tham số là [ServerBaseArch_md5] -Startup

Payload sẽ được giải trích xuất và giải nén để thu được thông tin C2, thuật toán nén được sử dụng là LZMA. Cấu hình sau khi giải nén như sau:

Backdoor thực hiện thu thập các thông tin sau:

  • Tên và số lượng processors, dung lượng bộ nhớ và dung lượng đĩa
  • Kiến trúc hệ thống như tên phiên bản, CSDVersion, ProductId, RegisteredOwner, RegisteredOrganization, v.v…
  • Tên máy và thông tin về người dùng
  • Thông tin về time zone được truy xuất từ HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation and HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones registry
  • Địa chỉ IP local và địa chỉ IP public

Soul Backdoor commands

Commands chính của mã độc bao gồm:

Command ID Action Description
0x04 Execute command Create a thread that handles commands from the second set of commands.
0x0D Client keep-alive Mirror the request from the C&C server.
0x0E Restart C&C session Send DELETE request and restart the communication from client Hello.
0x0F Exit Send DELETE request and exit process forcefully.

 

Trong trường hợp lựa chọn command ID là 0x04, mã độc sẽ sinh ra thêm thread để thực thi các câu lệnh mới, command ID như sau:

Command ID Action Description
0xF Exit thread If the command_flag is on stop, exit the “command execution” thread. Otherwise do nothing
0x61 Install modules The server sends the number of modules to be written to the registry. Then the bot makes requests to the C&C server, once per module and writes it to a specified registry key. Validate the result by executing command 0x65 afterward.

All the registry keys are under Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies.

0x62 Delete modules Delete registry keys that are sent by the C&C in a string separated by semi-colons (;). Validate the result by executing command 0x65 afterward.
0x63 Validate modules Validate that modules are currently compatible with the system architecture. The modules are located in the registry, and registry keys names are sent by the C&C separated by a semi-colon.
0x64 Load module Load the specified module and call its export function Construct. The registry key where the module is stored is sent by the C&C server.
0x65 Enumerate modules Create a buffer with all registry keys under Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies in the format of %s:%f:; (key name and first 4 bytes of the value), then send the buffer back to the C&C.

 

Threat Intelligence Attribution

  • Kiểm tra địa chỉ IP của máy chủ C2 có vị trí tại Singapore.
  • Thông qua việc recon máy chủ C2, chúng tôi truy xuất được đường dẫn lưu thông tin các máy kích hoạt mã độc hoặc bị chiếm quyền điều khiển : “http[:]//139[.]180[.]137.73/YbZe6AQE/log.txt”. Thông tin thu được bao gồm: “Hostname”, “OS Name”, “OS Version”, “System type”, “Username”, “Network Info” và “Antivirus”. Kiểm tra các địa chỉ IP, chúng tôi ghi nhận IP từ nhiều quốc gia, trong đó có tới ít nhất 2 máy tính có IP thuộc lãnh thổ Việt Nam. Tuy nhiên, với việc kiểm tra địa chỉ MAC, chúng tôi xác định các máy tính này đều là máy ảo cài đặt trên môi trường ảo hóa Vmware. Có khả năng là các máy ảo sandbox hoặc các máy ảo phục vụ mục đích nghiên cứu, phân tích mã độc.

Indicators of Compromise (IoCs)

File Decoy (Microsoft Word Office):

FF0784A42FF3B242965EC290DB066D55

KJ8oqzlG.png (RTF file):

4779087477A9E27160745F416B762B89

Download.dll (rf9d.a – PE32):

2E7CFD8B8CF073E1B7276C8DC5C13B1F

SoulSearcher:

d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0

Soul Backdoor:

df5fe7ec6ecca27d3affc901cb06b27dc63de9ea8c97b87bc899a79eca951d60

C2: 139[.]180[.]137.73

Nguồn tham khảo: https://research.checkpoint.com/2023/pandas-with-a-soul-chinese-espionage-attacks-against-southeast-asian-government-entities/

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – March 2023

Trong tháng 3, Microsoft đã phát hành các bản vá cho 74 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Edge (Chromium-based); Microsoft Dynamics; Visual Studio; và Azure. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 67 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:

3.1.1     CVE-2023-23397 – Microsoft Outlook Elevation of Privilege Vulnerability.

CVSS: 9.1/10

Mô tả:  Lỗ hổng cho phép kẻ tấn công không cần xác thực có thể có được chuỗi Net-NTLMv2 hash của người dùng thông qua việc gửi email chứa mã khai thác, chuỗi hash này có thể được sử dụng để xác thực cho các tấn công khác. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.

Phiên bản ảnh hưởng:

Microsoft Outlook 2016 (64-bit edition)

Microsoft Outlook 2013 Service Pack 1 (32-bit editions)

Microsoft Outlook 2013 RT Service Pack 1

Microsoft Outlook 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2019 for 32-bit editions

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

3.1.2    CVE-2023-24880 – Windows SmartScreen Security Feature Bypass Vulnerability.

CVSS: 5.4/10

Mô tả: Lỗ hổng cho phép kẻ tấn công vượt qua (bypass) cơ chế bảo vệ Mark of the Web (MOTW). Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.

Phiên bản ảnh hưởng:

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880

3.1.3    CVE-2023-23392 – HTTP Protocol Stack Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi các đoạn mã bằng quyền SYSTEM mà không cần tương tác từ người dùng. Lỗ hổng này chỉ ảnh hưởng đến Windows 11 và Windows Server 2022

Phiên bản ảnh hưởng:

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392

 

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2023-25616 – Code Injection vulnerability in SAP Business Objects Business Intelligence Platform

CVSS: 9.9/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng

Phiên bản ảnh hưởng:

SAP Business Objects Business Intelligence Platform (CMC) – phiên bản 420 và 430

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10

https://launchpad.support.sap.com/#/notes/3245526

3.2.2   CVE-2022-38111/CVE-2022-47504/CVE-2022-47503/CVE-2022-47507/CVE-2023-23836 – SolarWinds Platform Deserialization of Untrusted Data

CVSS: 8.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công sử dụng tài khoản admin-level truy cập tới messaging service để thực thi các câu lệnh tùy ý.

Phiên bản ảnh hưởng:

SolarWinds Platform phiên bản 2022.4.1.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2023-1_release_notes.htm

https://www.solarwinds.com/trust-center/security-advisories

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38111

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47504

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47503

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47507

https://www.solarwinds.com/trust-center/security-advisories/cve-2023-23836

3.2.3   CVE-2022-47506 – SolarWinds Platform Directory Traversal Vulnerability

CVSS: 8.8/10

Mô tả:  SolarWinds tồn tại lỗ hổng Directory Traversal cho phép kẻ tấn công sửa cấu hình file configuration hoặc thực thi mã tùy ý.

Phiên bản ảnh hưởng:

SolarWinds Platform phiên bản 2022.4.1.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47506