Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Nhóm Tick APT tấn công một nhà phát triển phần mềm DLP ở Đông Á
Ngày 14/03/2023, Các nhà nghiên cứu của ESET đã phát hiện ra một chiến dịch tấn công của nhóm Tick APT vào hệ thống mạng của một công ty Đông Á phát triển phần mềm ngăn chặn mất mát dữ liệu (DLP).
Tick (còn được gọi là BRONZE BUTLER hoặc REDBALDKNIGHT) là một nhóm APT, bị nghi ngờ hoạt động ít nhất từ năm 2006 , nhắm mục tiêu chủ yếu vào các quốc gia trong khu vực APAC. Nhóm này được quan tâm vì các hoạt động gián điệp mạng, tập trung vào việc đánh cắp thông tin mật và tài sản trí tuệ.
Những kẻ tấn công đã xâm phạm máy chủ cập nhật nội bộ của công ty DLP để phân phối phần mềm độc hại bên trong mạng của nhà phát triển phần mềm và cài đặt trojan vào các công cụ hợp pháp được công ty sử dụng, điều này dẫn đến việc thực thi phần mềm độc hại trên máy tính của khách hàng của công ty.
Trong quá trình xâm nhập, những kẻ tấn công đã triển khai một trình tải xuống không được biết đến trước đó có tên là ShadowPy, đồng thời chúng cũng triển khai backdoor Netboy (còn gọi là Invader ) và trình tải xuống Ghostdown.
ShadowPy là một trình tải xuống được phát triển bằng Python và được chuyển đổi thành tệp thực thi Windows (vssapi.dll) bằng phiên bản py2exe tùy chỉnh. Trình tải xuống liên hệ với C&C và nhận các tập lệnh Python để thực thi.
DLL độc hại chứa ba thành phần chính được mã hóa trong lớp phủ của nó: trình tải tùy chỉnh py2exe, công cụ Python và mã PYC. Đầu tiên, mã trình tải DLL định vị trình tải py2exe tùy chỉnh trong lớp phủ và giải mã nó bằng cách sử dụng XOR bảo toàn NULL với khóa là 0x56, sau đó nó tải nó vào bộ nhớ và đưa nó vào một quy trình svchost.exe mới mà nó tạo ra. Sau đó, trình tải py2exe tùy chỉnh được thực thi trên quy trình từ xa. Sự khác biệt giữa mã trình tải py2exe ban đầu và phiên bản tùy chỉnh được Tick sử dụng là trình tải tùy chỉnh đọc nội dung của vssapi.dll độc hại từ đĩa và tìm kiếm cho công cụ Python và mã PYC trong lớp phủ, trong khi bản gốc định vị công cụ và mã PYC trong phần resource.
Hình 1. Tổng quan các bước thực hiện để thực thi tải trọng PYC
Mã PYC là một trình tải xuống đơn giản với mục đích truy xuất tập lệnh Python và thực thi tập lệnh đó trong một luồng mới. Trình tải xuống này chọn ngẫu nhiên một URL từ danh sách (mặc dù đối với các mẫu đã phân tích chỉ có một URL) và tạo một ID duy nhất cho máy bị xâm nhập bằng cách tạo một chuỗi bao gồm dữ liệu sau:
- Địa chỉ IP cục bộ của máy
- Địa chỉ MAC
- Tên người dùng (được trả về bởi biến môi trường %username% )
- Tên miền và tên người dùng (kết quả của lệnh whoami )
- Tên máy tính mạng (được trả về bởi hàm platform.node của Python )
- Thông tin hệ điều hành (được trả về bởi hàm platform.platform của Python )
- Thông tin kiến trúc (được trả về bởi hàm platform.architecture của Python )
Cuối cùng, nó sử dụng abs (zlib.crc32(<STRING>)) để tạo giá trị sẽ dùng làm ID. ID được chèn vào giữa một chuỗi bao gồm các ký tự ngẫu nhiên và được làm xáo trộn thêm, sau đó nó được thêm vào URL như trong hình sau.
Nó gửi yêu cầu HTTP GET tới travelasist[.]com để nhận tải trọng mới được giải mã XOR bằng khóa một byte cố định, 0xC3 , sau đó được giải mã base64; kết quả được giải mã bằng thuật toán AES ở chế độ CFB với khóa 128 bit và IV được cung cấp cùng với tải trọng. Cuối cùng, nó được giải nén bằng zlib và được thực thi trong một luồng mới.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1195.002 | Supply Chain Compromise: Compromise Software Supply Chain |
Initial Access | T1199 | Trusted Relationship |
Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic |
Execution | T1059.006 | Command and Scripting Interpreter: Python |
Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Persistence | T1543.003 | Create or Modify System Process: Windows Service |
Persistence | T1574.002 | Hijack Execution Flow: DLL Side-Loading |
Defense Evasion | T1036.004 | Masquerading: Masquerade Task or Service |
Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1027.001 | Obfuscated Files or Information: Binary Padding |
Defense Evasion | T1055.002 | Process Injection: Portable Executable Injection |
Defense Evasion | T1055.003 | Process Injection: Thread Execution Hijacking |
Discovery | T1135 | Network Share Discovery |
Discovery | T1120 | Peripheral Device Discovery |
Discovery | T1057 | Process Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1033 | System Owner/User Discovery |
Discovery | T1124 | System Time Discovery |
Lateral Movement | T1080 | Taint Shared Content |
Collection | T1039 | Data from Network Shared Drive |
Collection | T1113 | Screen Capture |
Command and Control | T1071.001 | Application Layer Protocol: Web Protocols |
Command and Control | T1132.001 | Data Encoding: Standard Encoding |
Command and Control | T1573 | Encrypted Channel |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Exfiltration | T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Indicators of Compromise (IoCs)
Files / hash SHA-1
72BDDEAD9B508597B75C1EE8BE970A7CA8EB85DC
8BC1F41A4DDF5CFF599570ED6645B706881BEEED
4300938A4FD4190A47EDD0D333E26C8FE2C7451E
B9675D0EFBC4AE92E02B3BFC8CA04B01F8877DB6
F54F91D143399B3C9E9F7ABF0C90D60B42BF25C9
FE011D3BDF085B23E6723E8F84DD46BA63B2C700
02937E4A804F2944B065B843A31390FF958E2415
C&C:
115.144.69[.]108 / travelasist[.]com
110.10.16[.]56 / mssql.waterglue[.]org
103.127.124[.]117
103.127.124[.]119 / slientship[.]com
103.127.124[.]76
58.230.118[.]78 / oracle.eneygylakes[.]com
192.185.89[.]178
1.2 Fortinet Zero-Day và phần mềm độc hại tùy chỉnh được sử dụng trong hoạt động gián điệp
Ngày 16/03/2023, Nhóm nghiên cứu của Mandiant tiết lộ các hoạt động gián điệp mạng khai thác lỗ hổng zero-day và triển khai phần mềm độc hại tùy chỉnh cho các hệ thống tiếp xúc với Internet như một vectơ tấn công ban đầu. Trong đó một kẻ tấn công có mối liên hệ với Trung Quốc bị nghi ngờ có thể đã có quyền truy cập vào môi trường của nạn nhân, sau đó triển khai các backdoor trên các giải pháp của Fortinet và VMware như một phương tiện để duy trì quyền truy cập liên tục vào môi trường nạn nhân.
Vào giữa năm 2022, Mandiant, phối hợp với Fortinet, đã điều tra việc khai thác và triển khai phần mềm độc hại trên nhiều giải pháp của Fortinet, bao gồm FortiGate (tường lửa), FortiManager (giải pháp quản lý tập trung) và FortiAnalyzer (nền tảng quản lý nhật ký, phân tích và báo cáo). Các bước sau đây mô tả chung các hành động mà kẻ tấn công đã thực hiện:
- (1) Đã sử dụng khai thác zero-day truyền tải thư mục cục bộ (CVE-2022-41328) để ghi tệp vào các đĩa tường lửa FortiGate bên ngoài giới hạn thông thường được phép với quyền truy cập trình bao.
- (2) Duy trì quyền truy cập liên tục với các đặc quyền Quản trị viên cấp cao trong Tường lửa FortiGate thông qua ICMP port knocking
- (3) Phá vỡ các quy tắc tường lửa đang hoạt động trên các thiết bị FortiManager với tiện ích chuyển hướng lưu lượng truy cập thụ động, cho phép tiếp tục kết nối với các backdoor liên tục với đặc quyền Quản trị viên cấp cao
- (4) Thiết lập duy trì kết nối trên các thiết bị FortiManager và FortiAnalyzer thông qua điểm cuối API tùy chỉnh được tạo trong thiết bị
- (5) Đã tắt xác minh chữ ký số OpenSSL 1.1.0 của các tệp hệ thống thông qua mục tiêu làm hỏng các tệp khởi động
Mandiant gán hoạt động này cho UNC3886 , một nhóm nghi ngờ có mối quan hệ với Trung Quốc và được liên kết với khung phần mềm độc hại trình ảo hóa VMware ESXi mới được tiết lộ vào tháng 9 năm 2022. Tại thời điểm trình ảo hóa ESXi bị xâm phạm, Mandiant đã quan sát thấy UNC3886 kết nối trực tiếp từ các thiết bị FortiGate và FortiManager đến backdoor VIRTUALPITA nhiều lần.
Ngoài ra, các thiết bị FortiGate có bật chế độ tuân thủ Tiêu chuẩn xử lý thông tin liên bang (FIPS) đã không khởi động được sau khi khởi động lại. Khi chế độ FIPS được bật, tổng kiểm tra của hệ điều hành được so sánh với tổng kiểm tra của một hình ảnh sạch. Vì hệ điều hành đã bị can thiệp bởi kẻ tấn công, nên so sánh tổng kiểm tra không thành công và Tường lửa FortiGate không khởi động được.
Mandiant đã quan sát thấy hai kịch bản tấn công riêng biệt trong đó kẻ tân công lạm dụng các công nghệ của Fortinet để thiết lập quyền truy cập mạng. Vụ đầu tiên xảy ra khi kẻ tấn công đạt được quyền truy cập vào hệ sinh thái Fortinet trong khi thiết bị FortiManager tiếp xúc với internet.
Như trong Hình 2, các backdoor ngụy trang dưới dạng lệnh gọi API hợp pháp (THINCRUST) đã được triển khai trên cả thiết bị FortiAnalyzer và FortiManager. Sau khi tính bền vững (persistence) được thiết lập trên hai thiết bị, các tập lệnh FortiManager đã được sử dụng để triển khai các backdoor (CASTLETAP) trên các thiết bị FortiGate.
Hình 2: Luồng tấn công khi FortiManager có thể truy cập được từ Internet
Mandiant đã quan sát các kết nối SSH từ thiết bị Fortinet đến máy chủ ESXi, sau đó là quá trình cài đặt Gói cài đặt vSphere độc hại có chứa backdoor VIRTUALPITA và VIRTUALPIE. Điều này cho phép tác nhân đe dọa truy cập liên tục vào các trình ảo hóa và cho phép kẻ tấn công thực thi các lệnh trên các máy ảo khách.
Kịch bản tấn công thứ hai xảy ra khi các thiết bị FortiManager có Danh sách kiểm soát truy cập mạng (ACL) được đặt để hạn chế quyền truy cập bên ngoài chỉ vào cổng TCP 541 (Giao thức FortiGate to FortiManager). Như trong Hình 3, kẻ tấn công đã triển khai tiện ích chuyển hướng lưu lượng mạng ( TABLEFLIP ) và reverse shell backdoor ( REPTILE ) trên thiết bị FortiManager để tạo các ACL mới. Với các quy tắc chuyển hướng được thiết lập bởi tiện ích TABLEFLIP, tác nhân đe dọa có thể truy cập backdoor REPTILE trực tiếp từ Internet để tiếp tục truy cập vào môi trường.
Hình 3: Kịch bản tấn công khi FortiManager giới hạn truy cập từ Internet
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1565.001 | Stored Data Manipulation |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1070 | Indicator Removal |
Defense Evasion | T1070.003 | Clear Command History |
Defense Evasion | T1070.004 | File Deletion |
Defense Evasion | T1078 | Valid Accounts |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Defense Evasion | T1202 | Indirect Command Execution |
Defense Evasion | T1218.011 | Rundll32 |
Defense Evasion | T1222 | File and Directory Permissions Modification |
Defense Evasion | T1497 | Virtualization/Sandbox Evasion |
Defense Evasion | T1497.001 | System Checks |
Defense Evasion | T1620 | Reflective Code Loading |
Credential Access | T1552 | Unsecured Credentials |
Credential Access | T1555.005 | Password Managers |
Discovery | T1016 | System Network Configuration Discovery |
Discovery | T1033 | System Owner/User Discovery |
Discovery | T1057 | Process Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1083 | File and Directory Discovery |
Discovery | T1087 | Account Discovery |
Discovery | T1518 | Software Discovery |
Collection | T1074.001 | Local Data Staging |
Collection | T1560 | Archive Collected Data |
Collection | T1560.001 | Archive via Utility |
Execution | T1059 | Command and Scripting Interpreter |
Execution | T1059.001 | PowerShell |
Execution | T1059.003 | Windows Command Shell |
Execution | T1059.004 | Unix Shell |
Execution | T1059.006 | Python |
Execution | T1129 | Shared Modules |
Command and Control | T1095 | Non-Application Layer Protocol |
Command and Control | T1102.001 | Dead Drop Resolver |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1571 | Non-Standard Port |
Command and Control | T1573.001 | Symmetric Cryptography |
Discovery Lateral Movement | T1021.004 | SSH |
Indicators of Compromise (IoCs)
Files / hash MD5
9ce2459168cf4b5af494776a70e0feda
b6e92149efaf78e9ce7552297505b9d5
53a69adac914808eced2bf8155a7512d
a388ebaef45add5da503e4bf2b9da546
88711ebc99e1390f1ce2f42a6de0654d
e2d2884869f48f40b32fb27cc3bdefff
53a69adac914808eced2bf8155a7512d
64bdf7a631bc76b01b985f1d46b35ea6
a86a8fe875a89816e5808588154a067e
3e43511c4f7f551290292394c4e21de7
Nguồn: https://www.mandiant.com/resources/blog/fortinet-malware-ecosystem
1.3 Sharp Panda: gián điệp Trung Quốc tấn công các cơ quan chính phủ Đông Nam Á
Ngày 07/03/2023, nhóm nghiên cứu của Check Point đã tiết lộ một cuộc tấn công mới của chiến dịch Sharp Panda đang nhắm vào các cơ quan chính phủ ở Đông Nam Á, như Việt Nam, Indonesia và Thái Lan.
Các chiến dịch trước đây của Sharp Panda sử dụng một backdoor tùy chỉnh duy nhất có tên là VictoryDll. Nhưng trong cuộc tấn công mới này, kẻ tấn công sử dụng một phiên bản mới của trình tải SoulSearcher và tải xuống khung mô-đun Soul.
Hình 4: Chuỗi lây nhiễm của phần mềm độc hại Soul
Những kẻ tấn công đã sử dụng email lừa đảo để xâm nhập vào các mạng được nhắm mục tiêu. Những email này thường chứa một tài liệu Word lừa đảo theo chủ đề chính phủ, sử dụng một remote template để tải xuống và chạy một tài liệu RTF độc hại, chứa công cụ RoyalRoad khét tiếng. Sau khi vào bên trong, phần mềm độc hại bắt đầu một chuỗi các trình tải trong bộ nhớ, bao gồm một trình tải xuống DLL tùy chỉnh gọi là “5.t Downloader” và một trình tải giai đoạn hai SoulSearcher chịu trách nhiệm phân phối Soul backdoor cuối cùng.
Mô-đun chính của Soul chịu trách nhiệm giao tiếp với máy chủ C&C và mục đích chính của nó là nhận và tải các mô-đun bổ sung trong bộ nhớ. Điều thú vị là, cấu hình backdoor chứa một tính năng giống như “radio silence”, trong đó kẻ tấn công có thể chỉ định giờ cụ thể trong một tuần khi backdoor không được phép giao tiếp với máy chủ C&C.
Backdoor thực hiện một giao thức C&C tùy chỉnh, giao thức này hoàn toàn khác so với các phiên bản được thấy trước đây. Cả phiên bản cũ và mới đều dựa trên giao tiếp HTTP, nhưng phiên bản mới nhất có vẻ phức tạp hơn và sử dụng nhiều phương thức yêu cầu HTTP khác nhau như GET, POSTvà DELETE. Các điểm cuối API cũng khác nhau và các yêu cầu C&C chứa các tiêu đề yêu cầu HTTP bổ sung. Về chức năng của backdoor, liệt kê dữ liệu khác với các phiên bản trước và được mở rộng hơn. Các lệnh C&C được hỗ trợ, với biến thể mới hơn chủ yếu tập trung vào việc tải các mô-đun bổ sung thực hiện thao tác với các tệp cục bộ, gửi tệp tới C&C và thực thi các lệnh từ xa.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566 | Phishing: Spearphishing Attachment |
Persistence | T1574 | Hijack Execution Flow |
Discovery | T1082 | System Information Discovery |
Discovery | T1518.001 | Software Discovery: Security Software Discovery |
Discovery | T1057 | Process Discovery |
Defense Evasion | T1221 | Template Injection |
Defense Evasion | T1218.011 | System Binary Proxy Execution: Rundll32 |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1112 | Modify Registry |
Command and Control | T1573.001 | Encrypted Channel: Symmetric Cryptography |
Command and Control | T1104 | Multi-Stage Channels |
Command and Control | T1071.001 | Application Layer Protocol: Web Protocols |
Indicators of Compromise (IoCs)
C&C servers
45.76.190[.]210
45.197.132[.]68
45.197.133[.]23
103.78.242[.]11
103.159.132[.]96
103.173.154[.]168
103.213.247[.]48
139.180.137[.]73
139.180.138[.]49
152.32.243[.]17
office.oiqezet[.]com
File / Hash SHA256
32a0f6276fea9fe5ee2ffda461494a24a5b1f163a300bc8edd3b33c9c6cc2d17
ca7f297dc04acad2fab04d5dc2de9475aed4186805f6c237c10b8f56b384cf30
341dee709285286bc5ba94d14d1bce8a6416cb93a054bd183b501552a17ef314
9d628750295f5cde72f16da02c430b5476f6f47360d008911891fdb5b14a1a01
811a020b0f0bb31494f7fbe21893594cd44d90f77fcd1f257925c4ac5fabed43
b023e2b398d552aacb2233a6e08b4734c205ab6abf5382ec31e6d5aa7c71c1cb
81d9e75d279a953789cbbe9ae62ce0ed625b61d123fef8ffe49323a04fecdb3f
12c1a4c6406ff378e8673a20784c21fb997180cd333f4ef96ed4873530baa8d3
f2779c63373e33fdbd001f336df36b01b0360cd6787c1cd29a6524cc7bcf1ffb
7a7e519f82af8091b9ddd14e765357e8900522d422606aefda949270b9bf1a04
4747e6a62fee668593ceebf62f441032f7999e00a0dfd758ea5105c1feb72225
3541f3d15698711d022541fb222a157196b5c21be4f01c5645c6a161813e85eb
0f9f85d41da21781933e33dddcc5f516c5ec07cc5b4cff53ba388467bc6ac3fd
17f4a21e0e8c0ce958baf34e45a8b9481819b9b739f3e48c6ba9a6633cf85b0e
f8622a502209c18055a308022629432d82f823dd449abd9b17c61e363a890828
1a15a35065ec7c2217ca6a4354877e6a1de610861311174984232ba5ff749114
065d399f6e84560e9c82831f9f2a2a43a7d853a27e922cc81d3bc5fcd1adfc56
1e18314390302cd7181b710a03a456de821ad85334acfb55f535d311dd6b3d65
c4500ad141c595d83f8dba52fa7a1456959fb0bc2ee6b0d0f687336f51e1c14e
390e6820b2cc173cfd07bcebd67197c595f4705cda7489f4bc44c933ddcf8de6
d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0
df5fe7ec6ecca27d3affc901cb06b27dc63de9ea8c97b87bc899a79eca951d60
2 Malware
2.1 Phân tích mẫu mã độc của nhóm tấn công SharpPanda.
Sharp Panda là nhóm tấn công có nguồn gốc từ Trung Quốc với các chiến dịch gián điệp mạng tấn công vào chính phủ khu vực Đông Nam Á bao gồm Việt Nam, Thái Lan và Indonesia. NCS Threat Intelligence theo dõi hoạt động của nhóm tấn công, ghi nhận ShapPanda nhắm mục tiêu tới các cơ quan trọng yếu, cơ quan chính phủ tại Việt Nam, hoạt động xuyên suốt từ năm 2021. Nhóm tấn công thường xuyên sử dụng các file tài liệu giả mạo (decoy) sử dụng kỹ thuật Template Injection nhằm tải xuống và thực thi tập tin RTF khai thác lỗ hổng liên quan đến Equation Editor (CVE-2018-0798) trên các nền tảng Microsoft Word Office cũ chưa cập nhật bản vá. Từ đó lập lịch, triển khai các mã độc khác trong hệ thống nạn nhân và triển khai các module khác.
Phân tích file decoy (tệp tin mồi nhử)
Khoảng trong tháng 1, chúng tôi phát hiện file tài liệu giả mạo tóm tắt lý lịch của bộ công an. Khi người dùng mở file, tài liệu Word có form mẫu với tiêu đề “TÓM TẮT LÝ LỊCH” sẽ hiển thị nhằm lừa người dùng. Đồng thời sẽ tự động tải xuống file tại địa chỉ: “http[:]//139.180.137.73/YbZe6AQE/KJ8oqzlG.png”
Ở thời điểm phân tích, chúng tôi vẫn có thể tải xuống file KJ8oqzlG.png. Tệp tin có phần mở rộng là tệp tin ảnh .png nhưng thực chất file có định dạng RTF, được cấu hình để khai thác lỗ hổng bảo mật liên quan đến Equation Editor trên các nền tảng Microsoft Word Office phiên bản cũ chưa cập nhật bản vá.
Khi file rft được kích hoạt, shellcode được nhúng thực hiện:
- Giải mã tập tin rf9da xuống đường dẫn %Temp%\rf9d.a
- Tạo Task Scheduler với tên Task là Windows Update, task này thực hiện khởi chạy tiến trình rundll32.exe với tham số trỏ tới file rf9d.a gọi hàm StartA
Phân tích file rf9d.a
File rf9d.a là một PE file 32 bit, thực hiện các nhiệm vụ sau:
- Thu thập thông tin về máy nạn nhân, các thông tin bao gồm: Hostname, OS Name, OS Version, System type, Username, Network, Antivirus.
- Dữ liệu được mã hóa bằng thuật toán RC4 và base64 với khóa OrpVjy3w theo format sau trước khi gửi tới máy chủ C2: url encode(base64(rc4(data)))
- Gửi dữ liệu đã mã hóa tới máy chủ C2 có IP 139.180.137.73 với đường dẫn 180.137.73/YbZe6AQE/A5mAY06l.php?Data=<data_encrypt>. Giao thức sử dụng là HTTPs
Sau khi gửi dữ liệu, mã độc chờ tải và thực thi các module khác. Mặc dù đã áp dụng một số cách thức, chúng tôi chưa thu được các mã độc ở các giai đoạn sau.
Gần đây, Check Point cũng đưa ra bài phân tích về một số mẫu liên quan đến SharpPanda. Dựa trên so sánh đối chiếu, chúng tôi tin rằng có những điểm tương đồng về mẫu mã độc, bao gồm những thông tin về các mẫu SoulSearcher loader và Soul Backdoor mà Checkpoint cung cấp.
SoulSearcher loader
SoulSearcher loader là giai đoạn 2 sau quá trình khởi tạo truy cập trên máy nạn nhân, backdoor(cửa hậu) được nhúng trong cấu hình định dạng XML. Mã độc sẽ tạo thread mới để load backdoor nếu mã độc đang chạy dưới các tiến trình svchost.exe, msdtc.exe hoặc spoolsv.exe. Khác với các phiên bản trước đây khi các config được lấy từ file mapping, file lưu trên ổ đĩa, phiên bản mới nhất lấy dữ liệu đã được encode base64 lưu trong registry tại đường dẫn “HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\CONFIGEX”. Dữ liệu có cấu trúc như sau:
Dựa trên kiến trúc hệ thống, SoulSearcher sẽ thêm “32” hoặc “64” vào chuỗi “L’ServerBase”, tính toán MD5 của chuỗi đã gộp và tạo registry key với giá trị là payload đã được nén “HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies\[ServerBaseArch_md5]”
Nếu registry key được tạo, loader sẽ payload đã được nén này, giải mã và load vào bộ nhớ.
Soul Backdoor
Main module của Soul có nhiệm vụ chính giao tiếp với máy chủ C2, tải xuống các module mới để load vào bộ nhớ. Ở phiên bản gần đây nhất, backdoor giao tiếp với C&C sử dụng HTTP request với các đa dạng các phương thức như GET, POST và DELETE.
Để mã độc thực thị, yêu cầu phải truyền vào 2 tham số hoặc tham số là “-v”, trong bài phân tích của CheckPoint, tham số là [ServerBaseArch_md5] -Startup
Payload sẽ được giải trích xuất và giải nén để thu được thông tin C2, thuật toán nén được sử dụng là LZMA. Cấu hình sau khi giải nén như sau:
Backdoor thực hiện thu thập các thông tin sau:
- Tên và số lượng processors, dung lượng bộ nhớ và dung lượng đĩa
- Kiến trúc hệ thống như tên phiên bản, CSDVersion, ProductId, RegisteredOwner, RegisteredOrganization, v.v…
- Tên máy và thông tin về người dùng
- Thông tin về time zone được truy xuất từ HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation and HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones registry
- Địa chỉ IP local và địa chỉ IP public
Soul Backdoor commands
Commands chính của mã độc bao gồm:
Command ID | Action | Description |
0x04 | Execute command | Create a thread that handles commands from the second set of commands. |
0x0D | Client keep-alive | Mirror the request from the C&C server. |
0x0E | Restart C&C session | Send DELETE request and restart the communication from client Hello. |
0x0F | Exit | Send DELETE request and exit process forcefully. |
Trong trường hợp lựa chọn command ID là 0x04, mã độc sẽ sinh ra thêm thread để thực thi các câu lệnh mới, command ID như sau:
Command ID | Action | Description |
0xF | Exit thread | If the command_flag is on stop, exit the “command execution” thread. Otherwise do nothing |
0x61 | Install modules | The server sends the number of modules to be written to the registry. Then the bot makes requests to the C&C server, once per module and writes it to a specified registry key. Validate the result by executing command 0x65 afterward.
All the registry keys are under Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies. |
0x62 | Delete modules | Delete registry keys that are sent by the C&C in a string separated by semi-colons (;). Validate the result by executing command 0x65 afterward. |
0x63 | Validate modules | Validate that modules are currently compatible with the system architecture. The modules are located in the registry, and registry keys names are sent by the C&C separated by a semi-colon. |
0x64 | Load module | Load the specified module and call its export function Construct. The registry key where the module is stored is sent by the C&C server. |
0x65 | Enumerate modules | Create a buffer with all registry keys under Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF\Assemblies in the format of %s:%f:; (key name and first 4 bytes of the value), then send the buffer back to the C&C. |
Threat Intelligence Attribution
- Kiểm tra địa chỉ IP của máy chủ C2 có vị trí tại Singapore.
- Thông qua việc recon máy chủ C2, chúng tôi truy xuất được đường dẫn lưu thông tin các máy kích hoạt mã độc hoặc bị chiếm quyền điều khiển : “http[:]//139[.]180[.]137.73/YbZe6AQE/log.txt”. Thông tin thu được bao gồm: “Hostname”, “OS Name”, “OS Version”, “System type”, “Username”, “Network Info” và “Antivirus”. Kiểm tra các địa chỉ IP, chúng tôi ghi nhận IP từ nhiều quốc gia, trong đó có tới ít nhất 2 máy tính có IP thuộc lãnh thổ Việt Nam. Tuy nhiên, với việc kiểm tra địa chỉ MAC, chúng tôi xác định các máy tính này đều là máy ảo cài đặt trên môi trường ảo hóa Vmware. Có khả năng là các máy ảo sandbox hoặc các máy ảo phục vụ mục đích nghiên cứu, phân tích mã độc.
Indicators of Compromise (IoCs)
File Decoy (Microsoft Word Office):
FF0784A42FF3B242965EC290DB066D55
KJ8oqzlG.png (RTF file):
4779087477A9E27160745F416B762B89
Download.dll (rf9d.a – PE32):
2E7CFD8B8CF073E1B7276C8DC5C13B1F
SoulSearcher:
d1a6c383de655f96e53812ee1dec87dd51992c4be28471e44d7dd558585312e0
Soul Backdoor:
df5fe7ec6ecca27d3affc901cb06b27dc63de9ea8c97b87bc899a79eca951d60
C2: 139[.]180[.]137.73
Nguồn tham khảo: https://research.checkpoint.com/2023/pandas-with-a-soul-chinese-espionage-attacks-against-southeast-asian-government-entities/
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – March 2023
Trong tháng 3, Microsoft đã phát hành các bản vá cho 74 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Edge (Chromium-based); Microsoft Dynamics; Visual Studio; và Azure. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 67 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-23397 – Microsoft Outlook Elevation of Privilege Vulnerability.
CVSS: 9.1/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực có thể có được chuỗi Net-NTLMv2 hash của người dùng thông qua việc gửi email chứa mã khai thác, chuỗi hash này có thể được sử dụng để xác thực cho các tấn công khác. Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2013 Service Pack 1 (32-bit editions)
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2019 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
3.1.2 CVE-2023-24880 – Windows SmartScreen Security Feature Bypass Vulnerability.
CVSS: 5.4/10
Mô tả: Lỗ hổng cho phép kẻ tấn công vượt qua (bypass) cơ chế bảo vệ Mark of the Web (MOTW). Microsoft ghi nhận lỗ hổng đang được khai thác bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
3.1.3 CVE-2023-23392 – HTTP Protocol Stack Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi các đoạn mã bằng quyền SYSTEM mà không cần tương tác từ người dùng. Lỗ hổng này chỉ ảnh hưởng đến Windows 11 và Windows Server 2022
Phiên bản ảnh hưởng:
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23392
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-25616 – Code Injection vulnerability in SAP Business Objects Business Intelligence Platform
CVSS: 9.9/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng
Phiên bản ảnh hưởng:
SAP Business Objects Business Intelligence Platform (CMC) – phiên bản 420 và 430
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=10
https://launchpad.support.sap.com/#/notes/3245526
3.2.2 CVE-2022-38111/CVE-2022-47504/CVE-2022-47503/CVE-2022-47507/CVE-2023-23836 – SolarWinds Platform Deserialization of Untrusted Data
CVSS: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công sử dụng tài khoản admin-level truy cập tới messaging service để thực thi các câu lệnh tùy ý.
Phiên bản ảnh hưởng:
SolarWinds Platform phiên bản 2022.4.1.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.solarwinds.com/trust-center/security-advisories
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-38111
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47504
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47503
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47507
https://www.solarwinds.com/trust-center/security-advisories/cve-2023-23836
3.2.3 CVE-2022-47506 – SolarWinds Platform Directory Traversal Vulnerability
CVSS: 8.8/10
Mô tả: SolarWinds tồn tại lỗ hổng Directory Traversal cho phép kẻ tấn công sửa cấu hình file configuration hoặc thực thi mã tùy ý.
Phiên bản ảnh hưởng:
SolarWinds Platform phiên bản 2022.4.1.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.solarwinds.com/trust-center/security-advisories/cve-2022-47506