Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 i-SOON – Công ty công nghệ liên kết với nhiều nhóm tấn công mạng tại Trung Quốc
Ngày 18/02/2024, một tài khoản ẩn danh trên Github đã đăng tải các thông tin bao gồm tài liệu và các đoạn trò chuyện liên quan đến Anxun (hay còn gọi là i-SOON – 安洵信息技术有限公司), một công ty công nghệ có trụ sở tại Trung Quốc, cung cấp chính dịch vụ xâm nhập và đào tạo về bảo mật an toàn thông tin cho các đơn vị ở Trung Quốc, bao gồm:
- Lực lượng cảnh sát thuộc bộ Công an Cộng hòa Nhân dân Trung Hoa – MPS.
- Lực lượng tình báo thuộc bộ An ninh quốc gia – MSS.
- Lực lượng quân sự, quân đội Giải phóng Nhân dân -PLA.
Từ các tài liệu bị lộ lọt, có ít nhất có 22 quốc gia là nạn nhân của i-SOON, trong đó có Việt Nam, tập trung chính vào các đơn vị chính phủ, viễn thông và giáo dục. Ngoài ra, i-SOON cũng hỗ trợ và ưu tiên các hoạt động trong nước với mục tiêu là các nhóm dân tộc và tôn giáo thiểu số và “ngành công nghiệp” cờ bạc. Thêm vào đó, chúng tôi cũng nhận thấy mối liên hệ về cơ sở hạ tầng, công cụ, mã độc giữa i-SOON với các nhóm tấn công APT đã biết trước đó như POISON CARP, RedHotel.
Các dữ liệu có chứa yếu tố Việt Nam
Dựa theo dữ liệu, các đơn vị/tổ chức thuộc Chính Phủ, hàng không, dầu khí ở Việt Nam có thể từng là nạn nhân hoặc mục tiêu của i-SOON. Danh sách bao gồm:
- Tòa án nhân dân tối cao
- Bộ Lao động, Thương binh và Xã hội Việt Nam
- Bộ kinh tế Việt Nam
- Bộ nội vụ Việt Nam
- Cục thống kê Việt Nam
- PVEP – Tổng công ty Thăm Dò Khai Thác Dầu Khí (trực thuộc tập đoàn Dầu khí Quốc Gia)
- Vietnam Airlines
Các dữ liệu liên quan đến Vietnam Airlines được mô tả là thông tin hành trình của người dùng sử dụng dịch vụ của Vietnam Airlines với các trường ID hành khách, nơi làm việc, điểm đến.
Bên cạnh các đơn vị nhà nước Việt Nam, các dữ liệu cũng đề cập tới dữ liệu dân số Đà Nẵng như hình ảnh bên dưới
i-SOON sử dụng ShadowPad backdoor
Các cấu hình như trong hình ảnh dưới đây thu được từ tài liệu lộ lọt, đặc biệt là chuỗi “MyTest” và đường dẫn “%ALLUSERPROFILE%\DRM\Test\Test.exe” cũng nằm trong sample liên quan đến ShadowPad chúng tôi đã thu thập được trước đó (ScatterBee – 8D1A5381492FE175C3C8263B6B81FD99AACE9E2506881903D502336A55352FEF)
Địa chỉ IP sau 118.31.3[.]116 được công bố vào khoảng tháng 5-2019 liên quan đến ShadowPad (https://github.com/SentineLabs/Shadowpad/blob/main/technical-indicators), trùng hợp với cấu hình và khoảng thời gian trong hình ảnh dưới đây
i-SOON sử dụng các mã độc trên môi trường Linux
Winti
Bên cạnh ShadowPAd, các dữ liệu lộ lọt cũng chỉ ra i-SOON cung cấp cho khách hàng các biến thể của Winti backdoor. Cửa sổ hiển thi trong hình ảnh dưới đây có tên Treadstone, trùng khớp với các cáo buộc từ Bộ Tư Pháp Hoa Kỳ tới các nhân viên thuộc công ty Chengdu404 về hành vi tấn công mạng quy mô lớn, trong đó có mô tả liên quan đến họ phần mềm mã độc Winnti (https://www.justice.gov/opa/press-release/file/1317206/dl).
Unknown Linux Malware
Một dòng mã độc khác có trong dữ liệu lộ lọt là Hector, theo tài liệu, Hector là backdoor sử dụng WebSocket over TLS (WSS) cho việc giao tiếp với máy chủ C2. Cách thức sử dụng WSS được bắt gặp trong KEYPLUNG, một backdoor từng được sử dụng bởi nhóm tấn công Trung Quốc trong đó có APT41. (Hector cũng hỗ trợ hệ điều cả hệ điều hành Windows)
POISON CARP – nhóm tấn công nhắm tới các thiết bị Mobile có liên kết với iSOON
Vào năm 2019, các báo cáo từ Citizen đã ghi nhận nhóm tấn công được cho là hậu thuẫn từ chính phủ Trung Quốc có tên POISON CARP nhắm mục tiêu tới khu vực Tây Tạng, tấn công khai thác các thiết bị Mobile bao gồm cả iOS và Android. Cơ sở hạ tầng trong chiến dịch này trùng khớp với các dữ liệu lộ lọt, cho thấy sự liên kết giữa iSOON và nhóm POISON CARP
Trong đoạn chat trao đổi có đề cập đến địa chỉ IP 74.120.172[.]10 địa chỉ này trước đây được liên kết với domain mailnotes[.]online. Domain này được đề cập trong báo cáo của Citizen Lab (https://citizenlab.ca/2019/09/poison-carp-tibetan-groups-targeted-with-1-click-mobile-exploits/). Đoạn chat cũng thảo luận về phần mềm độc hại (RAT) trên thiết bị Android. Ngoài ra, tại thời điểm công bố báo cáo mailnotes[.]online cũng được liên kết với địa chỉ IP 207.246.101[.]169, đồng thời cũng liên kết subdomain gmail.isooncloud[.]com.
1.2 Earth Krahang- Chiến dịch APT nhắm vào một số tổ chức chính phủ trên toàn thế giới, tập trung mạnh vào Đông Nam Á
Earth Krahang là nhóm APT hoạt động từ 2022, nhắm mục tiêu tới nhiều lĩnh vực giáo dục và viễn thông, tài chính, Công nghệ thông tin, thể thao… Chiến dịch này nhắm mục tiêu trên toàn thế giới, tập trung mạnh vào khu vực Đông Nam Á. Kẻ tấn công khai thác các máy chủ public ra môi trường Internet và gửi các mail lừa đảo trực tuyến để phát tán các backdoor. Chiến dịch này được cho là có mối liên hệ với chiến dịch Earth Lusca ở Trung Quốc.
Kẻ tấn công đã xâm nhập được ít nhất 70 tổ chức trên 23 quốc gia, trong đó có 48 tổ chức thuộc chính phủ. Trend Micro nhận định có khoảng 116 mục tiêu khác nhau bao gồm cả những mục tiêu chưa bị xâm phạm ở 35 quốc gia. Nhóm này đã có ít nhất 70 vụ xâm phạm được xác nhận, trong đó có 40 tổ chức liên kết với các chính phủ khác nhau trên thế giới.
Chiến thuật mà nhóm tấn công sử dụng là các backdoor đã được cài cắm trong cơ sở hạ tầng của các đơn vị chính phủ, sử dụng cơ sở hạ tầng này để tấn công các chính phủ khác. Nhóm tấn công cũng lạm dụng cơ sở hạ tầng để lưu trữ các payload, sử dụng các email đánh cắp của chính phủ để gửi email lừa đảo đến các mục tiêu khác. Ngoài ra, nhóm cũng cài đặt VPN trên hệ thống bị xâm nhập để chiếm quyền truy cập từ đó lấy thông tin xác thực email. Những thông tin xác thực này sau đó cũng sẽ được lạm dụng để gửi email lừa đảo trực tuyến, mục tiêu cuối cùng của nhóm là gián điệp mạng.
Một trong những vector khởi tạo ban đầu là dò quét các lỗ hổng bảo mật trên các máy chủ expose ra môi trường Internet, nhóm tấn công sử dụng đa dạng các công cụ scan trả phí cũng như mã nguồn mở, brute-force đường dẫn. Từ đó drop webshell và cài đặt backdoor. Hai lỗ hổng sau được kẻ tấn công hay sử dụng trong quá trình khai thác:
- CVE-2023-32315: command execution on OpenFire
- CVE-2022-21587: command execution on Oracle Web Applications Desktop Integrator
Với email phishing, kẻ tấn công cũng gửi các email đính kèm các file hoặc liên kết URL độc hại, với tên thường liên quan đến các chủ đề chính trị. Lợi dụng các lòng tin giữa các chính phủ, kẻ tấn công sử dụng các máy chủ web của chính phủ đã bị chiếm quyền điều khiển để lưu trữ payload hoặc gửi các email phishing từ chính email bị xâm phạm. Do sử dụng tên miền hợp pháp, các email này sẽ ít bị nghi ngờ hơn, đôi khi là bypass được một số domain blacklist
Các hành vi sau tấn công sau khai thác (Post-exploitation)
Nhóm tấn công sử dụng certutil để tải và cài đặt SoftEther VPN trên các máy bị chiếm quyền điều khiển. Các file tải xuống được đổi tên thành taskllst.exe, tasklist.exe hoặc tasklist_32.exe đối với Windows hoặc curl đối với Linux. Với việc có kết nối trên máy bị chiếm quyền, kẻ tấn công có thể thực hiện các hành vi tấn công khác như:
- Duy trì backdoor thông qua lập lịch
- Enable Remote Desktop
- Dump tiến trình LSASS để trích xuất thông tin tài khoản xác thực
- Dump SAM
- Scan mạng sử dụng Fscan
- Thực thi đoạn mã hoặc câu lệnh thông qua VMIC
- Leo thang đặc quyền sử dụng các công cụ như BadPotato, SweetPotato, GodPotato hoặc PrinterNotifyPotato trên hệ thống Windows
- Sử dụng các lỗ hổng bảo mật CVE-2021-4034, CVE-2021-22555 và CVE-2016-5195 leo thang đặc quyền trên hệ thống Linux
Trên các máy bị chiếm quyền, các backdoor bao gồm CobaltStrike và 2 custom backdoor RESHELL và XDealer. Bên cạnh các tính năng thu thập thông tin, drop file hoặc thực thi các câu lệnh hệ thống, backdoor XDealer này cũng có các tính năng chụp ảnh màn hình, đánh cắp dữ liệu clipboard, log keystrokes, hỗ trợ cả 2 môi trường Windows và Linux. Ngoài ra cũng ghi nhận nhóm tấn công sử dụng thêm PlugX và ShadowPad
ATT&CK MATRIX
Tactic | Technique | ID |
Reconnaissance | Active Scanning: Scanning IP Blocks | T1595.001 |
Active Scanning: Vulnerability Scanning | T1595.002 | |
Active Scanning: Wordlist Scanning | T1595.003 | |
Gether Victim Host Information | T1592 | |
Gether Victim Network Information | T1590 | |
Resource Development | Acquire Infrastructure: Domains | T1583.001 |
Acquire Infrastructure: Virtual Private Server | T1583.003 | |
Compromise Accounts: Email Account | T1586.002 | |
Compromise Infrastructure: Server | T1584.004 | |
Obtain Capabilities: Malware | T1588.001 | |
Obtain Capabilities: Code Signing Certificates | T1588.003 | |
Stage Capabilities: Upload Malware | T1608.001 | |
Stage Capabilities: Upload Tool | T1608.002 | |
Stage Capabilities: Link Target | T1608.005 | |
Initial Access | Exploit Public-Facing Application | T1190 |
Phishing: Spear phishing Attachment | T1566.001 | |
Phishing: Spear phishing Link | T1566.002 | |
Trusted Relationship | T1199 | |
Valid Accounts | T1078 | |
Execution | Command and Scripting Interpreter: PowerShell | T1059.001 |
Command and Scripting Interpreter: Windows Command Shell | T1059.003 | |
Command and Scripting Interpreter: Python | T1059.006 | |
Exploitation for Client Execution | T1203 | |
System Services: Service Execution | T1569.002 | |
User Execution: Malicious File | T1204.002 | |
Windows Management Instrumentation | T1047 | |
Persistence | Create or Modify System Process: Windows Service | T1543.003 |
External Remote Services | T1133 | |
Scheduled Task/Job: Scheduled Task | T1053.005 | |
Server Software Component: Web Shell | T1505.003 | |
Privilege Escalation | Exploitation for Privilege Escalation | T1068 |
Valid Accounts: Local Accounts | T1078.003 | |
Defense Evasion | Deobfuscate/Decode Files or Information | T1140 |
Hijack Execution Flow: DLL Side-Loading | T1574.002 | |
Impersonation | T1656 | |
Masquerading: Match Legitimate Name or Location | T1036.005 | |
Masquerading: Double File Extension | T1036.007 | |
Modify Registry | T1112 | |
Credential Access | Brute Force: Password Spraying | T1110.003 |
OS Credential Dumping: LSASS Memory | T1003.001 | |
OS Credential Dumping: Security Account Manager | T1003.002 | |
Steal Web Session Cookie | T1539 | |
Discovery | Account Discovery: Local Account | T1087.001 |
Account Discovery: Domain Account | T1087.002 | |
Permission Groups Discovery: Domain Groups | T1069.002 | |
Process Discovery | T1057 | |
System Owner/User Discovery | T1033 | |
System Service Discovery | T1007 | |
Lateral Movement | Exploitation of Remote Services | T1210 |
Internal Spear phishing | T1534 | |
Remote Services: Windows Remote Management | T1021.006 | |
Collection | Automated Collection | T1119 |
Email Collection | T1114 | |
Command and Control | Application Layer Protocol: Web Protocols | T1071.001 |
Encrypted Channel: Symmetric Cryptography | T1573 | |
Ingress Tool Transfer | T1105 | |
Protocol Tunneling | T1572 | |
Exfiltration | Automated Exfiltration | T1020 |
Indicators of Compromises (IoCs)
XDealer
10b2a7c9329b232e4eef81bac6ba26323e3683ac1f8a99d3a9f8965da5036b6f
18f4f14857e9b7e3aa1f6f21f21396abd5f421342b7f4d00402a4aff5a538fa1
1e278cfe8098f3badedd5e497f36753d46d96d81edd1c5bee4fc7bc6380c26b3
244c32c4809a5ea72dfd2a53d0c535f17ba3b33e4c3ee6ed229858d687a2563a
35f16e469047cf4ef78f87a616d26ec09e3d6a3d7a51415ea34805549a41dcfa
3f0aa01ed70bc2ab29557521a65476ec2ff2c867315067cc8a5937d63bcbe815
50cdd2397836d33a8dc285ed421d9b7cc69e38ba0421638235206fd466299dab
57f64f170dfeaa1150493ed3f63ea6f1df3ca71ad1722e12ac0f77744fb1a829
5a32bf21904387d469d4f8cdaff46048e99666fc9b4d74872af9379df7979bfe
6fd7697efc137faf2d3ad5d63ffe4743db70f905a71dbed76207beeeb04732f2
898a7527c065454ba9fad0e36469e12b214f5a3bd40a5ec7fcaf9b75afc34dce
c14f6ac5bcd8645eb80a612a6bf6d58c31b0e28e50be871f278c341ed1fa8c7c
d17fe5bc3042baf219e81cbbf991749dfcd8b6d73cf6506a8228e19910da3578
d31d135bc450eafa698e6b7fb5d11b4926948163af09122ca1c568284d8b33b3
e0f109836a025d4531ea895cebecc9bdefb84a0cc747861986c4bc231e1d4213
e42466863837a655b814d2fb6aa2381369b8c5a9fe100e512085617f775dac36
ee41eb21f439b1168ae815ca067ee91d84d6947397d71e214edc6868dbf4f272
XDealer loader
2e3645c8441f2be4182869db5ae320da00c513e0cb643142c70a833f529f28aa
8218c23361e9f1b25ee1a93796ef471ca8ca5ac672b7db69ad05f42eb90b0b8
XDealer installer
2e850cb2a1d06d2665601cefd88802ff99905de8bc4ea348ea051d4886e780ee
521b3add2ab6cee5a5cfd53b78e08ef2214946393d2a156c674606528b05763a
9ada058a558b7cadb238fc2c259f204369cd604e927f9712fd51262ca6987cb1
9d4e18ae979bdf6b57e685896b350b23c428d911eee14af133c3ee7d208f8a82
bb4e7b0c969895fc9836640b80e2bdc6572d214ba2ee55b77588f8a4eedea5a4
d176951b9ff3239b659ad57b729edb0845785e418852ecfeef1669f4c6fed61b
fe4fad660bb44e108ab07d812f8b1bbf16852c1b881a5e721a9f811cae317f39
Stealer module bundled with XDealer
01b09cb97a58ea0f9bf2b98b38b83f0cfc9f97f39f7bfd73a990c9b00bcdb66c
05b63707ca3cad54085e521aee84c7472ff7b3fe05e22fd65c8e2ee6f36c6243
241737842eb17676b3603e2f076336b7bc6304accef3057401264affb963bef8
5a6a0e01949799dc72c030b4ad8149446624dcd9645ba3eefda981c3fda26472
b4c470be7e434dac0b61919a6b0c5b10cf7a01a22c5403c4540afdb5f2c79fab
c377b79732e93f981998817e6f0e8664578b474445ba11b402c70b4b0357caab
f66a6b49a23cf3cc842a84d955c0292e7d1c0718ec4e78d4513e18b6c53a94ac
Archive files including XDealer
acfcf97ee4ff5cc7f5ecdc6f92ea132e29c48400ab6244de64f9b9de4368deb2
ccd4a648cc2c4a5bbcd148f9c182f4c9595440a41dd3ea289a11609063c86a6d
ea140cc8da39014c1454c3f6a036d5f43aa26c215cb9981ab2b7076f2388b73e
ffef75582ad185c58135cf02e347c0ad6d46751fcfbb803dc3e70b73729e6136
XDealer LNK files
4b653253049a65142f827706203de55f03abccbcddac3ed2171d79bf8186eda9
63b7d8c4c740c54ab91db94dd89b2c8313ecb7ba13524c646fdb10facf5c470d
6d03c6b7621990f84580eaa094393fbf896803c86779644506b115692b70bd64
f6993e767306d4cbf676bf3c4a56fc2ad1d5cb6c4f67563f6de2f28b79f2b934
XDealer VBS files
992d3df19c453a84b5b46c5742fb22686c65eb48cfc71b0bbc7e94c0ef13e66e
bb6afc28d610bfddcd0cf3497c152c081f63137fea9914a1fd461a0706c74288
XDealer Linux versions
15412d1a6b7f79fad45bcd32cf82f9d651d9ccca082f98a0cca3ad5335284e45
6302acdfce30cec5e9167ff7905800a6220c7dda495c0aae1f4594c7263a29b2
98b5b4f96d4e1a9a6e170a4b2740ce1a1dfc411ada238e42a5954e66559a5541
a2c3073fa5587f8a70d7def7fd8355e1f6d20eb906c3cd4df8c744826cb81d91
bf830191215e0c8db207ea320d8e795990cf6b3e6698932e6e0c9c0588fc9eff
ebdf3d3e0867b29e66d8b7570be4e6619c64fae7e1fbd052be387f736c980c8e
RESHELL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 Strike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42fecaaf47ed5606d4e4885ce821702a83bbaa4602a13ab0e9b933a04e373956
44b0479dd2debc68480c4cd4759466bf1aac8d3405b99071a61854cb63500448
d310f5baa1c39ada9f60b85ed134b7cd99a04d9a8869f24ec9f3bd28ce9de519
ShadowPad
0ff80e4db32d1d45a0c2afdfd7a1be961c0fbd9d43613a22a989f9024cc1b1e9
4529f3751102e7c0a6ec05c6a987d0cc5edc08f75f287dd6ac189abbd1282014
484578b6e7e427a151c309bdc00c90b1c0faf25a8581cace55e2c25ec34056e0
Hacktool AdFind
b1102ed4bca6dae6f2f498ade2f73f76af527fa803f0e0b46e100d4cf5150682
Hacktool bypassuac
d096c3a67634599bc47151f0e01a7423a3eb873377371b2b928c0d4f57635a1f
Hacktool Rubeus
7af402f4bd2b1a2d2d8b74fb7599860f3a90b7b6f66a519f2b4d31aeea2500aa
Hacktool Fscan
b19a46f99b649dc731ed5c8410bda7e0385d15e1b9aab1e467b05dccd7753865
bc422a4e1b6a351ac6fe73d496015cfa6a9dbd5e38566c6f44a59faff83ee95a
f34bd1d485de437fe18360d1e850c3fd64415e49d691e610711d8d232071a0b1
f4ea99dc41cb7922d01955eef9303ec3a24b88c3318138855346de1e830ed09e
Hacktool NBTScan
c9d5dc956841e000bfd8762e2f0b48b66c79b79500e894b4efa7fb9ba17e4e9e
CVE-2021-22555
a99bf162a8588b2f318c9460aef78851bd64e4826c2cb124984d2ab357a6beea
CVE-2021-4034
0f0663fc26b18212485149e3e22c3dd4b8900ea8dca7c084dbe09fef02cfdade
b153e10c95bb8bfa6dbf5835067c5b45840f057a38ef9b8871b6dc40edcf601f
c2bb47ac533d1413c829a1453b2b854b95aabebf1b26b446bd1ad0838f1e09de
Earth Krahang hosting and vpn servers
23[.]106[.]122[.]5
207[.]148[.]69[.]1
45[.]76[.]157[.]92
50[.]7[.]61[.]26
50[.]7[.]61[.]27
50[.]7[.]61[.]28
Earth Lusca hosting servers
207[.]148[.]75[.]122
45[.]32[.]33[.]17
RESHELL C&C servers
23[.]106[.]122[.]46
23[.]106[.]124[.]152
XDealer C&C servers
115[.]126[.]98[.]204
118[.]99[.]6[.]202
199[.]231[.]211[.]19
www[.]security-microsoft[.]net
update[.]centos-yum[.]com
update[.]microsoft-setting[.]com
update[.]windows[.]server-microsoft[.]com
Earth Krahang Cobalt Strike C&C servers
149[.]28[.]26[.]2
cdn-dev[.]helpkaspersky[.]top
data-dev[.]helpkaspersky[.]top
happy[.]gitweb[.]cloudns[.]nz
support[.]helpkaspersky[.]top
Earth Lusca Cobalt Strike C&C server
gtldgtld[.]store
softupdate[.]xyz
tfirstdaily[.]store
1.3 Sự gia tăng các hoạt động đánh cắp thông tin sử dụng Stealer liên quan đến các threat actor Việt Nam
Trong khoảng thời gian gần đây, gia tăng các threat actor Việt Nam phát triển và sử dụng các stealer nhắm mục tiêu chính đến việc ăn cắp thông tin trình duyệt, tài khoản Facebook nhằm thu lợi tài chính từ các hoạt động này. Đặc điểm chung của các threat actor này là sử dụng các ngôn ngữ dễ đọc như Python, C#, thuận lợi cho quá trình phát triển stealer, phát tán mã độc thông qua các tin nhắn hoặc bài đăng lừa đảo trên Facebook và sử dụng các bot của Telegram hoặc Discord làm nơi ghi lại dữ liệu bị đánh cắp.
VietCredCare, stealer được Group-IB đặt tên, phát hiện trong quá trình xử lý sự cố, nhắm mục tiêu tới người dùng ở Việt Nam, hoạt động ít nhất từ tháng 08/2022. VietCredCare xâm phạm thông tin đăng nhập của người dùng tại 9 cơ quan chính phủ Việt Nam, Cổng dịch vụ công Quốc gia của 12 tỉnh/thành phố, 65 trường Đại học, 4 sàn thương mại điện tử, 21 ngân hàng, 12 doanh nghiệp lớn của Việt Nam cùng với 1 số lượng lớn tài khoản truyền thông, các tổ chức nạn nhân được xác định ở 44 trong số 63 tỉnh thành của Việt Nam.
Stealer được cung cấp theo hình thức stealer-as-a-service, được phát triển và quản lý bởi người Việt. Sau khi mua các stealer này, người mua sẽ được cung cấp quyền truy cập vào channel trên Telegram cá nhân dưới dạng một con bot, nơi hiển thị các dữ liệu đã đánh cắp cũng như trao đổi với cá nhân cung cấp phần mềm độc hại, được thể hiện ở mô hình dưới đây
Các stealer này viết bằng ngôn ngữ C#, được giao bán rộng rãi trên cả Facebook và Telegram với các mô tả về tính năng bypass AV, firewall, v.v.
Các Stealer sẽ được người mua phát tán thông qua các trang web lừa đảo được chia sẻ qua các bài đăng trên mạng xã hội hoặc tin nhắn. Các trang web này cung cấp các phần mềm hợp pháp và được giả mạo bằng tên và biểu tượng của các phần mềm như Excel, Word, Acrobat Reader.
Phần mềm đánh cắp thông tin VietCredCare có khả năng tự động lọc ra các session cookie và thông tin tài khoản Facebook, đồng thời kiểm tra tài khoản này có phải tài khoản doanh nghiệp và số dư tín dụng quảng cáo có dương hay không. Với các tài khoản Facebook có lượng người theo dõi lớn, các tài khoản bị đánh cắp có thể bị lợi dụng để đăng tải các nội dung liên quan đến chính trị hoặc thu lợi tài chính thông qua gửi các liên kết lừa đảo, hoặc giao bán thông tin xác thực
Một loại Stealer khác, được viết bằng ngôn ngữ Python, đóng gói với Pyinstaller, sử dụng Github và Gitlab là nơi lưu trữ mã độc. Stealer này gồm nhiều giai đoạn
Stage 1
Bên trong các file nén sẽ chứa tập tin .bat, nhận nhiệm vụ tải xuống tệp tin mới sử dụng curl và dùng powershell để giải nén ra tệp tin script thứ 2
Stage 2
Tập tin script cmd thứ 2 vn.cmd nhận nhiệm vụ tải xuống và thực thi Python Infostealer
Script vn.cmd mở tải xuống 3 tệp tin từ GitLab và đổi tên thành các tệp tin sau:
- bat: tải xuống BAT script nằm trong thư mục Startup, chịu trách nhiệm thực thi project.py mỗi khi người dùng đăng nhập
- zip: bao gồm các packages của Python, cho phép thực thi project.py mà không cần cài đặt các packages trên máy nạn nhân
- py: thu thập thông tin xác thực từ nhiều trình duyệt khác nhau
Sau khi quá trình tải xuống hoàn tất, tập lệnh vn.cmd tiến hành thực thi project.py với module Python được trích xuất từ Document.zip.
Dễ để nhận thấy ngôn ngữ Việt Nam xuất hiện trong các đoạn script, bao gồm comment cũng như tên hàm:
Một trong những điểm đáng lưu ý, trong một số biến thể, các threat actor phát triển stealer cũng đã triển khai thêm các thành phần mã hóa, obfuscate vào trong code.
ATT&CK MATRIX
Tactic | Techniques / Sub-Techniques |
TA0001: Initial Access | T1566 – Phishing |
TA0002: Execution | T1059 – Command and Scripting Interpreter |
TA0003: Persistence | T1547 – Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
TA0005: Defense Evasion | T1070.004 – Indicator Removal: File Deletion |
TA0005: Defense Evasion | T1027 – Obfuscated Files or Information |
TA0006: Credential Access | T1539 – Steal Web Session Cookie |
TA0006: Credential Access | T1555.003 – Credentials from Password Stores: Credentials from Web Browsers |
TA0010: Exfiltration | T1041 – Exfiltration Over C2 Channel |
TA0010: Exfiltration | T1567 – Exfiltration Over Web Service |
TA0011: Command and Control | T1071.001 – Application Layer Protocol: Web Protocols |
1.4 ResumeLooters – Chiến dịch độc hại quy mô lớn nhắm vào các đơn vị tuyển dụng và công ty bán lẻ khu vực APAC
Gần đây, công ty an ninh mạng Group-IB vừa công bố nhóm tin tặc có tên ResumeLooters đã đánh cắp dữ liệu cá nhân của hơn 2 triệu người dùng bằng cách khai thác lỗ hổng SQL và XSS trên 65 website thương mại và việc làm. Mục tiêu tấn công tập trung vào khu vực Châu Á- Thái Bình Dương, chủ yếu nhắm vào các website tại Trung Quốc, Thái Lan, Ấn Độ, Việt Nam …
Trên máy chủ của kẻ tấn công, ResumeLooters chủ yếu sử dụng các công cụ như Sqlmap, Beef Framework, X-Ray, Metasploit , ARL và Dirsearch khai thác lỗ hổng trên các website cửa hàng bán lẻ và các trang tìm kiếm việc làm.
ResumeLooters thu thập tên, địa chỉ email, số điện thoại, lịch sử việc làm, trình độ học vấn và các thông tin liên quan khác của người tìm việc và bán dữ liệu bị đánh cắp trên các hội nhóm Trung Quốc thuộc nền tảng Telegram
ATT&CK MATRIX
Tactic | Name-ID | Description |
Active Scanning | Vulnerability Scanning: T1595.002 | The ResumeLooters group used X-Ray, Acunetix vulnerability scanners in order to find and execute vulnerabilities |
Active Scanning | Wordlist Scanning: T1595.003 | The ResumeLooters group used Dirsearch in order to find all available files and directories on the target web-site |
Acquire Infrastructure | Domains: T1583.001 | The ResumeLooters group used differents domain names for their malicious purposes |
Acquire Infrastructure | Server: T1583.004 | The ResumeLooters group used differents servers for their malicious purposes |
Initial Access | Drive-by Compromise: T1189 | The ResumeLooters group infected legitimate websites with XSS scripts |
Initial Access | Exploit Public-Facing Application: T1190 | The ResumeLooters group exploited SQL vulnerabilities on legitimate websites |
Execution | Command and Scripting Interpreter: PowerShell: T1059.001 | The ResumeLooters group downloaded and executed additional payload after gaining shell access to the servers |
Indicators
IPs
139.84.130[.]232
139.84.168[.]189
139.84.62[.]151
173.199.122[.]65
139.180.137[.]107
Domains
Recruit[.]iimjobs[.]asia
Recruiter[.]foundit[.]asia
admin[.]cloudnetsofe[.]com
8t[.]ae
sb8[.]co
qu3[.]cc
8r[.]ae
3×1[.]me
7o[.]ae
9gp[.]cc
URLs
http[://]139[.]84[.]130[.]232:8080/CcrN3QqWOeRx/iDDHJOuzw/1
http[://]139[.]84[.]130[.]232:8080/CcrN3QqWOeRx/KAGctYUci
http[://]139[.]84[.]130[.]232:8080/CcrN3QqWOeRx
http[://]139[.]180[.]137[.]107:9932/shell3.exe
2 Malware
2.1 Mustang Panda sử dụng DOPLUGS nhắm mục tiêu đến khu vực châu Á
Vào tháng 7 năm 2023, CheckPoint ghi nhận chiến dich tấn công có tên SMUGX nhắm mục tiêu tới khu vực Châu Âu. Tuy nhiên, theo ghi nhận chiến dịch này cũng nhắm mục tiêu tới khu vực châu Á trong đó có Việt Nam
Trong quá trình phân tích, do phát triển thêm hơn các tính năng so với mã độc PlugX các phiên bản cũ, TrendMicro đặt tên có biến thể này với tên DOPLUGS
Nguồn lây nhiễm ban đầu thông qua phishing, nạn nhân tải xuống file .msi, bên trong các file msi.dll, NoteLogger.dat and OneNotem.exe. Khi người dùng thực thi .msi, các file sẽ được sao chép vào thư mục C:\User\User\AppData. Thêm registry “HKEY_LOCAL_MACHINE/ SOFTWARE/ SOFTWARE/ Microsoft/ Windows/ CurrentVersion/ RunOneNote Update” trỏ đường dẫn đến file OnesNotem.exe hợp pháp. Load dll độc hại sẽ thực hiện đọc và giải mã dữ liệu trong file .dat với thuật toán RC4 key là “EtFOWV4hDJf6DA6W” sẽ thu được PlugX, đồng thời tạo kết nối tới C2 và sinh ra file decoy pdf nhằm lừa nạn nhân
Ngoài ra, các loại mã độc mới sẽ được tải xuống tùy thuộc vào command được định nghĩa sẵn trong backdoor
Nhìn chung, backdoor command được chia làm 2 nhóm. Với nhóm 1 là các command được kẻ tấn công tùy chỉnh, nhóm thứ 2 là các command sử dụng lại từ Plugx ban đầu. Ở DOPLUGS, backdoor command có đến 4 lệnh, với chức năng như sau:
Command | Chức năng |
0x7002 | Shell CMD (tính năng này có sẵn trong PlugX) |
0x1007 | Tách dữ liệu được ngăn cách bởi ký tự ‘,’ theo định dạng: {WINHTTP_OPTION_CONNECT_TIMEOUT},{sleep_time},
{WINHTTP_OPTION_SEND_TIMEOUT},{sleep_time} hoặc {WINHTTP_OPTION_RECEIVE_TIMEOUT},{sleep_time} |
0x3004 | Tải thêm các file từ C2, bao gồm DLL, EXE và DAT |
0x1005 | Xóa persistence trên máy bao gồm xóa key trong registry hoặc tự xóa chính bản thân thông qua tệp tin .bat |
Một biến thể khác thực hiện cùng chức năng nhưng thay đổi command ID thay vì 0x1007 sang 0x10000001, phiên bản DOPLUGS này submit từ trên Virustotal từ khu vực Việt Nam, lạm dụng ứng dụng hợp pháp Adobe
Với giá trị command ID 0x3004, các file sau được tải xuống từ C2 server
C&C source | Type | Filename | Mô tả | PlugX C&C server |
electrictulsa[.]com:443 | 1 | adobe_licensing_wf_helper.exe | File hợp pháp | web[.]bonuscave[.]com:8080 |
libcef.dll | DLL độc hại | |||
licensing.dat | Encrypt payload | |||
ivibers[.]com:443 hoặc meetviberapi[.]com:443 | 2 | Avastsz.exe | File hợp pháp | www[.]markplay[.]net:8080
images[.]markplay[.]net:443 |
SZBrowser.dll | DLL độc hại | |||
log.dat | Encrypt payload | |||
149[.]104[.]12[.]64:443 | 2 | Avastsz.exe | File hợp pháp | news[.]comsnews[.]com:443
news[.]comsnews[.]com:5938 images[.]kiidcloud[.]com:443 127[.]0[.]0[.]1:8080 127[.]0[.]0[.]1:8000 |
SZBrowser.dll | DLL độc hại | |||
log.dat | Encrypt payload |
Loại 1:
Tên File | SHA256 |
adobe_licensing_wf_helper.exe | 93624d0ad03998dd267ae8048ff05e25b5fd5f7b4116a2aff88c87d42422d5dc |
libcef.dll | 583941ca6e1a2e007f5f0e2e112054e44b18687894ac173d0e93e035cea25e83 |
licensing.dat | e3bae2e2b757a76db92ab017328d1459b181f8d98e04b691b62ff65d1e1be280 |
DOPLUGS sẽ khởi chạy adobe_licensing_wf_helper.exe mà không có bất kỳ đối số nào. Luồng thực thi sẽ như sau:
- Sử dụng adobe_licensing_wf_helper.exe cho mục đích persistence
- Inject bản thân vào %SystemRoot%\system32\WerFault.exe với đối số 601 0
- “%SystemRoot%\system32\WerFault.exe 601 0 sẽ thực thi backdoor command
Chức năng của đối số đầu tiên như sau:
Đối số | Chức năng |
None | Tương tự như 100 |
100 | Thiết lập persistence
– Thiết lập dịch vụ có tên Adobe Licensing Helper command %ProgramFiles%\Common Files\Adobe Licensing Helper\adobe_licensing_wf_helper.exe 600 0 – Tạo registry key tại Software\Microsoft\Windows\CurrentVersion\Run |
600 | Inject PlugX vào %SystemRoot%\system32\WerFault.exe với đối số 601 |
601 | Thực thi backdoor command |
609 | Gửi nhận dữ liệu thông qua pipe |
Loại 2:
Tên File | SHA256 |
Avastsz.exe | b975af70ee9bdfdc6e491b58dd83385f3396429a728f9939abade48d15941ea1 |
SZBrowser.dll | 60b3a42b96b98868cae2c8f87d6ed74a57a64b284917e8e0f6c248c691d51797 |
log.dat | eb9e557fac3dd50cc46a544975235ebfce6b592e90437d967c9afba234a33f13 |
Chức năng của đối số đầu tiên tương tự loại 1, chỉ thay đổi đối số từ 6xx sang 7xx
Một điểm khác so với loại 1 là quá trình giải mã, ở loại 1 dữ liệu sau khi giải mã sẽ ở dạng bản rõ (clear-text) trong khi ở loại 2, dữ liệu vẫn sẽ được mã hóa. Các cấu hình như C2 server, đường dẫn, registry name sẽ chỉ được giải mã khi cần sử dụng đến trong quá trình thực thi với khóa RC4 là “qwedfgx202211”
Ngoài ra, ở một số biến thể của DOPLUGS có tích hợp tính năng có tên KillSomeOne. Một module cho phép phát tán phần mềm độc hại, thu thập thông tin và đánh cắp dữ liệu thông qua USB
Trong biến thể này, loader là DLL được viết bằng golang với luồng thực thi cơ bản như sau:
- Đọc file encrypt payload InstanceFinderDlg.dat trong cùng thư mục với DLL
- Giải mã bằng thuật toán xóa, khóa 0x73
- Load decrypt payload bằng hàm main_NTCreateThreadEx
Payload cũng thực hiện kiểm ra đối số, nếu không có đối số nào được truyền vào payload thiết lập persistence, chức năng của các đối số như sau:
Đối số | Chức năng |
Không có đối số | Thiết lập persistence |
XXX (ngẫu nhiên 3 chữ số) | KillSomeOne thread / DOPLUGS backdoor |
-net | Thiết lập registry key tại System\CurrentControlSet\Control\Network\Version giá trị 1 |
“1” “0” | Enables kết nối Wi-Fi |
- Việc thiết lập persistence sẽ thực hiện thông qua các bước sau:
- Sao chép các tập tin vào thư mục
- Thiết lập giá trị trong registry Software\Microsoft\Windows\CurrentVersion\Run tại đường dẫn trỏ đến C:\Users\Public\HPSmartMZWx\HPSmart.exe xxx
- Thực thi C:\Users\Public\HPSmartMZWx\HPSmart.exe xxx.
- KillSomeOne xử lý 2 nhiệm vụ, xóa bỏ các dấu vết liên quan đến PlugX (bao gồm tệp tin, process, registry và lập lịch) và lây nhiễm thông thông qua USB, sử dụng API DeviceIoControl với tham số 0x2d1400 để nhận dạng USB, tạo 3 threads thực hiện:
- Thread 1: Enable tính năng ẩn các phần mở rộng của tệp tin và ẩn thư mục. Sau đó sao chép các tệp tin vào thư mục ẩn. Sao chép file khởi chạy giả mạo định dạng USB nhằm lừa người dùng thực thi
- Thread 2: Kiểm tra kết nối tới microsoft.com, nếu có kết nối, kiểm tra các file ở một số thư mục được định nghĩa trước, nếu các file không có phần mở rộng là .cmd, .bat và .dll thì thực hiện sao chép vào %userprofile%\AppData\Roaming\Render\1.0\, encode tên file với base64, encrypt nội dung file với key xor khởi tạo là 0x6D. Nếu kết nối thất bại đồng thời không có giá trị trong reigistry “System\\CurrentControlSet\\Control\\Network\\version”, mã độc sẽ thực thi batch script %temp%\edg{value of QueryPerformanceCounter}.bat nhằm thu thập thông tin máy nạn nhân, mã hóa và lưu file tại USB_volume}:\Usb Drive\1.0\ {value of SOFTWARE\CLASSES\ms-pu\CLSID}.dat
- Thread 3: Như mô tả ở trên, thread 3 chỉ thực thi khi các kết nối tới microsoft.com là không thành công và giá trị tại registry không tồn tại
- Enables kết nối Wi-Fi: Thực thi các câu lệnh năng enable kết nối Wifi
cmd.exe /c schtasks.exe /create /sc minute /mo 30 /tn “Security WIFI Script” /tr “netsh interface set interface “””Wireless Network Connection””” enabled” /ru SYSTEM /F&schtasks.exe /run /tn “Security WIFI Script”
cmd.exe /c schtasks.exe /create /sc minute /mo 30 /tn “Security WIFI2 Script” /tr “netsh interface set interface “””Wireless Network Connection 2″”” enabled” /ru SYSTEM /F&schtasks.exe /run /tn “Security WIFI2 Script” cmd.exe /c schtasks.exe /create /sc minute /mo 30 /tn “Security WIFI3 Script” /tr “netsh interface set interface “””Wireless Network Connection 3″”” enabled” /ru SYSTEM /F&schtasks.exe /run /tn “Security WIFI3 Script” |
Indicators of Compromise (IoCs)
Archive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651c096cf7043a01d939dff9ba58e4d69f15b2244c71b43bedb4ada8c37e8859
f8c1a4c3060bc139d8ac9ad88d2632d40a96a87d58aba7862f35a396a18f42e5
67c23db357588489031700ea8c7dc502a6081d7d1a620c03b82a8f281aa6bde6
b6f375d8e75c438d63c8be429ab3b6608f1adcd233c0cc939082a6d7371c09bb
88c8eb7d2a64e0f675cb2ac3da69cdf314a08a702a65c992bcb7f6d9ec15704b
12c584a685d9dffbee767d7ad867d5f3793518fb7d96ab11e3636edcc490e1bd
71bba2753da5006015bc890d30b1ed207a446e9f34c7e0157d6591bf573f3787
Payload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8615cc8487833522ffd014c0f0661b3d1bed7a4cb51138b1ee172173002192be
b6e88396594070a92cbf1c313858392b052703944162de64ce3ad494996bd177
583941ca6e1a2e007f5f0e2e112054e44b18687894ac173d0e93e035cea25e83
e3bae2e2b757a76db92ab017328d1459b181f8d98e04b691b62ff65d1e1be280
60b3a42b96b98868cae2c8f87d6ed74a57a64b284917e8e0f6c248c691d51797
eb9e557fac3dd50cc46a544975235ebfce6b592e90437d967c9afba234a33f13
16b62c9dc6060a19a5b64491b7242ace1c707dbe531b843c854fcc1dc39febbe
5dd7813fa8aad22bd6c80811c8c7300f114a8e7897a2bd46343a06884d774914
DOPLUGS
Archive
3fa7eaa4697cfcf71d0bd5aa9d2dbec495d7eac43bdfcfbef07a306635e4973b
a0c94205ca2ed1bcdf065c7aeb96a0c99f33495e7bbfd2ccba36daebd829a916
17225c9e46f809556616d9e09d29fd7c13ca90d25ae21e00cc9ad7857ee66b82
d0ca6917c042e417da5996efa49afca6cb15f09e3b0b41cbc94aab65a409e9dc
d64afd9799d8de3f39a4ce99584fa67a615a667945532cfa3f702adbe27724c4
Loader
c4627a5525a7f39205412a915fd52b93d83ef0115ee1b2642705fe1a08320692
39f8288ef21f5d6135f8418a36b9045c9758c4e7a4e4cab4aff4c1c6119f901a
42c18766b5492c5f0eaa935cf88e57d12ffd30d6f3cc2e9e0a3c0bdcdfa44ad5
9610cbcd4561368b6612cad1693982c43c8d81b0d52bb264c5f606f2478c1c58
Payload
4c1b5283f05322edfb0ef8b9d5cf75b62b558fcaefed921f1143765a3bd6248e
e6bc87e3e3d98a0a8db4fcd7cd5a9b89d4a7b125de450dfb8f387d2a9e09face
13c31dbbae53517a17f7e6c99031480babe2bd8a07151dbb7f344ab620f3ac11
ca1ada6770b85771f98e5c02310449ab73231034cfa78b8861850368208c7698
abd6521990e88bd18bbcba063744efe0ccac23063bb340720cc3f610d9b1c770
Launcher
77a49637bf4047959419c41867437957619d03059b5d3f8d9af26e6ae2347db6
f4f36c78cbf9901f224de427f42b390c83190c7c1cc4bce8b66f596e62df02d0
48e37bb7e1ac185d314f262894014e1337a3c14455cd987dd83ac220bae87b3a
Download
https://estmongolia[.]com/Үер
https://getfiledown[.]com/utdkt
https://getfiledown[.]com/vgbskgyu
https://getfilefox[.]com/enmjgwvt
C&C
ivibers[.]com:443
meetviberapi[.]com:443
iamc2c2[.]com:443
thisistestc2[.]com:443
electrictulsa[.]com:443
mongolianshipregistrar[.]com:443
103.107.104[.]37:443
149.104.12[.]64:443
185.82.216[.]184:443
195.211.96[.]99:443
195.123.246[.]26:22
149.104.12[.]64:443
45.83.236[.]105:443
45.131.179[.]179:22
45.131.179[.]179:443
45.131.179[.]179:5938
103.192.226[.]46:443
154[.]204.27.181:80
154[.]204.27.181:110
103[.]56.53.120:80
103[.]56.53.120:8080
176[.]113.69.91:443
45.251.240[.]55:443
45.251.240[.]55:8080
149.104.11[.]29:443
web.bonuscave[.]com:8080
www.markplay[.]net:8080
images.markplay[.]net:443
news.comsnews[.]com:443
news.comsnews[.]com:5938
images.kiidcloud[.]com:443
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – March 2024
Trong tháng 03, Microsoft đã phát hành các bản vá cho 59 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và Visual Studio; SQL Server; Windows Hyper-V; Skype; Microsoft Components for Android; và Microsoft Dynamics. Trong đó có 2 lỗ hổng được đánh giá mức độ Nghiêm trọng, 57 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-21407– Windows Hyper-V Remote Code Execution Vulnerability
CVSS: 8.1/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trong Windows Hyper-V. Bằng việc tạo các request khai thác gửi tới hardware resource trên môi trường ảo hóa, kẻ tấn công có thể escape VM và thực thi đoạn mã độc hại trên môi trường host. Khai thác lỗ hổng yêu cầu xác thực và có một số thông tin về môi trường.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 for x64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21407
3.1.2 CVE-2024-26198– Microsoft Exchange Server Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không được xác thực thực thi mã từ xa. Khai thác lỗ hổng yêu cầu lừa người dùng tương tác với tệp tin DLL độc hại được đặt trực tuyến (online directory) hoặc trong mạng cục bộ, dẫn đến việc thực thi mã từ xa.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2019 Cumulative Update 14
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
3.1.3 CVE-2024-21334– Open Management Infrastructure (OMI) Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: System Center Operations Manager một bộ các công cụ, một thành phần trong Microsoft System Center cung cấp các khả năng giám sát cơ sở hạ tầng một cách linh hoạt và tiết kiệm chi phí, đảm bảo hiệu suất và tính khả dụng của các ứng dụng quan trọng ở cả môi trường onprem hoặc cloud.
Tồn tai lỗ hổng use-after-free cho phép kẻ tấn công không cần xác thực, truy cập và thực thi các đoạn mã trong OMI instances.
Phiên bản ảnh hưởng:
Open Management Infrastructure
System Center Operations Manager (SCOM) 2022
System Center Operations Manager (SCOM) 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21334
3.1.4 CVE-2024-21400– | Microsoft Azure Kubernetes Service Confidential Container Elevation of Privilege Vulnerability.
CVSS: 9.0/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực truy cập vào node trên AKS Kubernetes và AKS Confidential Container, từ đó thu thập được các thông tin xác thực và thông tin tài nguyên khác trong hệ thống.
Phiên bản ảnh hưởng:
Azure Kubernetes Service Confidential Containers
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-21400
Lưu ý: Quý khách hàng cần đảm bảo đang phiên bản đang sử dụng cho az confcom và Kata Image là mới nhất trước khi thực hiện các cập nhật. Thông tin chi tiết xem thêm hướng dẫn của hãng
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024- 22252- Use-after-free vulnerability in XHCI USB controller
CVSS: 9.3/10
Mô tả: Quá trình VMX là quá trình quản lý chính của hypervisor, nhận nhiệm vụ quản lý và thực thi các hoạt động của máy ảo trên máy chủ vật lý.
Với quyền quản trị (local administrator) trên máy ảo, lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã trong quá trình VMX. Với Wmware Workstation và Vmware Fusion, lỗ hổng có cho phép thực thi đoạn mã độc hại trên host cài đặt Wmware Workstation và Vmware Fusion (escape sandbox).
Lỗ hổng được phát hiện và thử nghiệm thành công trong cuộc thi hacking Tifanfu Cup diễn ra ở Trung Quốc
Phiên bản ảnh hưởng:
VMware ESXi
VMware Workstation
VMware Fusion
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.vmware.com/security/advisories/VMSA-2024-0006.html
3.2.2 CVE-2024- 22253- Use-after-free vulnerability in UHCI USB controller
CVSS: 9.3/10
Mô tả: Với quyền quản trị (local administrator) trên máy ảo, lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã trong VMX. Với Wmware Workstation và Vmware Fusion, lỗ hổng cho phép thực thi đoạn mã độc hại trên host cài đặt Wmware Workstation và Vmware Fusion (escape sandbox).
Lỗ hổng được phát hiện và thử nghiệm thành công trong cuộc thi hacking Tifanfu Cup diễn ra ở Trung Quốc.
Phiên bản ảnh hưởng:
VMware ESXi
VMware Workstation
VMware Fusion
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.vmware.com/security/advisories/VMSA-2024-0006.html