Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Nhóm tấn công Earth Longzhi trở lại với các kĩ thuật mới
Đội nghiên cứu của TrendMicro đã phát hiện 1 chiến dịch tấn công mới được thực hiện bởi nhóm Earth Longzhi (1 nhóm nhỏ của APT41) nhắm đến các tổ chức tại Đài Loan, Thái Lan, Phi-líp-pin và Fiji.
Chiến dịch tấn công này lợi dụng 1 file thực thi của Windows Defender để thực hiện kĩ thuật DLL sideloading, đồng thời khai thác 1 driver chứa lỗ hổng, zamguard64.sys, để vô hiệu hóa các giải pháp bảo mật được cài đặt trên các máy chủ. Các chuyên gia nghiên cứu cũng phát hiện ra 1 kĩ thuật denial-of-service (DoS) mới mà nhóm này sử dụng để vô hiệu hóa các giải pháp bảo mật, được đặt tên “stack rumbling” thông qua Image File Execution Options (IFEO). Ngoài ra, nhóm tấn công còn thực hiện cài đặt các drivers dưới dạng các services ở mức kernel-level bằng cách sử dụng Microsoft Remote Procedure Call (RPC) thay vì sử dụng Windows API như thông thường.
Attack Vectors
Phân tích cho thấy Earth Longzhi thường có xu hướng bắt đầu các cuộc tấn công bằng cách khai thác các ứng dụng public, các máy chủ IIS và các máy chủ Microsoft Exchange để cài đặt Behinder webshell, thay vì gửi các tài liệu chứa mã độc qua email. Behinder webshell hỗ trợ nhiều chức năng backdoor bao gồm thao tác với file, thực thi câu lệnh từ xa (RCE), interactive shell và Socks5 proxy.
DLL sideloading
Mã độc được khởi chạy thông qua các file binary hợp pháp của Windows Defender, MpDlpCmd.exe và MpCmdRun.exe, thay vì thông qua mở các file tài liệu. File mã độc giả mạo thành 1 file dll hợp pháp, MpClient.dll, và được load bởi các file thực thi của Microsoft Defender. Quá trình điều tra cho thấy có 2 biến thể mã độc được triển khai thông qua kĩ thuật này: 1 mẫu là biến thể mới của Croxloader, và mẫu còn lại là 1 công cụ để vô hiệu hóa các giải pháp bảo mật, được đặt tên “SPHijacker”.
Biến thể mới của Croxloader
Các file binary của Windows Defender được Earth Longzhi khởi chạy như 1 system service, sau đó thực hiện load mẫu biến thể mới của Croxloader dưới dạng giả mạo file MpClient.dll. Mẫu này tiến hành đọc payload có tên MpClient.bin và giải mã nội dung payload. Mẫu Croxloader mới này gần như tương tự các mẫu cũ, ngoài trừ việc sử dụng 1 thuật toán giải mã khác. Thuật toán được sử dụng trong mẫu gốc là (SUB 0xA) XOR 0xCC, trong khi thuật toán dùng trong mẫu mới là (ADD 0x70) XOR 0xDD. Sau khi được giải mã, mã độc cuối cùng được xác định là 1 Cobalt Strike beacon.
Execution chain
Thay đổi thuật toán XOR
SPHijacker
SPHijacker, công cụ nhằm mục đích vô hiệu hóa các giải pháp bảo mật, triển khai 2 phương thực nhằm đạt được mục đích này. 1 phương thức thực hiện tắt các tiến trình chạy các giải pháp bảo mật thông qua sử dụng 1 driver có chứa lỗ hổng, zamguard64.sys (CVE-2018-5713). 1 phương thức khác sử dụng 1 kĩ thuật mới lần đầu được thấy trong các cuộc tấn công, được đặt tên “stack rumbling”. Stack rumbling thực hiện tấn công DoS lợi dụng các giá trị MinimumStackCommitInBytes chưa được khởi tạo trong registry key của IFEO, bằng cách đặt giá trị của MinimumStackCommitInBytes đủ lớn, một khi tiến trình mục tiêu khởi chạy sẽ dẫn đến crash do bị stack overflow.
Threat Hunting
Quá trình threat hunting của TrendMicro cũng phát hiện ra mẫu dropper Roxwrapper, trong đó có chứa Bigpipeloader đã từng được sử dụng trong chiến dịch tấn công trước đó của Earth Longzhi. Ngoài ra, đội nghiên cứu cũng phát hiện thêm dwm.exe, 1 công cụ leo thang đặc quyền mới lợi dụng Task Scheduler, và các file tài liệu mồi được viết bằng tiếng Việt và Indonesia, có thể được dùng cho các cuộc tấn công kế tiếp của nhóm.
File tài liệu mồi tiếng Việt
MITRE
Tactics | Techniques |
Credential Access | T1003.001 – OS Credential Dumping: LSASS Memory |
Execution | T1569.002 – System Services: Service Execution |
Defense Evasion | T1574.002 – Hijack Execution Flow: DLL Side-Loading
T1140 – Deobfuscate/Decode Files or Information T1070.004 – Indicator Removal: File Deletion T1036.005 – Match Legitimate Name or Location |
Persistence | T1053.005 – Scheduled Task |
Privelege Escalation | T1548.002 – Bypass User Account Control
T1068 – Exploitation for Privilege Escalation T1546.012 – Event Triggered Execution: Image File Execution Options Injection |
Indicators of Compromise (IoCs)
SHA256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194.31.53[.]128 C&C
198.13.47[.]158 C&C
207.148.115[.]125 C&C
64.227.164[.]34 C&C
evnpowerspeedtest[.]com C&C
www.updateforhours[.]com C&C
dns.eudnslog[.]com C&C
asis.downloadwindowsupdate[.]co C&C
194.31.53[.]128 Download site
198.13.47[.]158 Download site
1.2 Nhóm tấn công Lancefly sử dụng mẫu backdoor tùy chỉnh tấn công các tổ chức Nam và Đông Nam Á
Đội ngũ Symantec đã điều tra và phát hiện ra 1 chiến dịch tấn công của nhóm Lancefly, sử dụng mẫu backdoor Merdoor, nhắm đến các tổ chức chính phủ, hàng không, giáo dục và viễn thông tại Nam và Đông Nam Á. Chiến dịch được cho là bắt đầu từ giữa năm 2022 và kéo dài đến quý I năm 2023.
Merdoor backdoor
Merdoor là mẫu backdoor đã xuất hiện từ năm 2018, cung cấp đầy đủ các tính năng backdoor bao gồm:
- Tự cài đặt như 1 dịch vụ
- Keylogging
- Giao tiếp với máy chủ C&C thông qua nhiều giao thức khác nhau (HTTP, HTTPS, DNS, UDP, TCP)
- Khả năng lắng nghe trên 1 local port để thực hiện các câu lệnh
Các mẫu Merdoor thường giống nhau về mặt chức năng và khác nhau ở cấu hình nhúng và mã hóa, bao gồm:
- Phương thức giao tiếp C&C
- Thông tin chi tiết về dịch vụ
- Đường dẫn cài đặt
Mẫu backdoor này thường được inject vào trong tiến trình hợp lệ perfhost.exe hoặc svchost.exe. File dropper là 1 file RAR (SFX) tự giải nén gồm 3 file:
- 1 file binary hợp lệ có chứa lỗ hổng liên quan đến DLL search-order hijacking
- Merdoor loader
- file mã hóa (.pak) có chứa payload cuối cùng là Merdoor backdoor
Attack Chain
Không có đủ các bằng chứng rõ ràng để xác định phương thức tấn công ban đầu của nhóm, tuy nhiên các nhà nghiên cứu cho rằng nhóm có thể đã sử dụng các hành vi tấn công như phishing, SSH brute-forcing, hoặc khai thác các máy chủ có kết nối Internet.
ZXShell Rootkit
Các nhà phân tích cũng phát hiện các hành vi triển khai ZXShell rootkit với 1 phiên bản đã được cập nhật của Lancefly. Phiên bản này có kích thước nhỏ hơn, có bổ sung 1 số chức năng khác và nhắm đến việc vô hiệu hóa nhiều phần mềm antivirus hơn.
ZXShell rootkit được kí bởi chứng chỉ “Wemade Entertainment Co. Ltd“, trước đây đã từng được sử dụng bởi nhóm APT41. ZXShell rootkit loader có 1 thành phần tên “formdll.dll” dùng để đọc file “Form.hlp” và thực thi nội dung file đó dưới dạng shellcode. Hành vi này đã từng được nhắc đến trong 1 báo cáo chi tiết về hoạt động của nhóm APT27 (Iron Tiger)
Ngoài ra, 2 mã độc khác cũng được sử dụng bởi Lancefly là PlugX và ShadowPad, 2 mẫu này được sử dụng và chia sẻ khá phổ biến giữa các nhóm APT Trung Quốc.
Indicators of Compromise (IoCs)
Merdoor Backdoor
SHA256 Filename Description
13df2d19f6d2719beeff3b882df1d3c9131a292cf097b27a0ffca5f45e139581 – a.exe – Merdoor Dropper
8f64c25ba85f8b77cfba3701bebde119f610afef6d9a5965a3ed51a4a4b9dead – chrome_frame_helper.exe – Merdoor Dropper
8e98eed2ec14621feda75e07379650c05ce509113ea8d949b7367ce00fc7cd38 – siteadv.exe – Merdoor Dropper
89e503c2db245a3db713661d491807aab3d7621c6aff00766bc6add892411ddc – siteadv.exe – Merdoor Dropper
c840e3cae2d280ff0b36eec2bf86ad35051906e484904136f0e478aa423d7744 –siteadv.exe – Merdoor Dropper
5f16633dbf4e6ccf0b1d844b8ddfd56258dd6a2d1e4fb4641e2aa508d12a5075 –chrome_frame_helper.dll – Merdoor Loader
ff4c2a91a97859de316b434c8d0cd5a31acb82be8c62b2df6e78c47f85e57740 –chrome_frame_helper.dll – Merdoor Loader
14edb3de511a6dc896181d3a1bc87d1b5c443e6aea9eeae70dbca042a426fcf3 –chrome_frame_helper.dll – Merdoor Loader
db5deded638829654fc1595327400ed2379c4a43e171870cfc0b5f015fad3a03 –chrome_frame_helper.dll – Merdoor Loader
e244d1ef975fcebb529f0590acf4e7a0a91e7958722a9f2f5c5c05a23dda1d2c –chrome_frame_helper.dll – Merdoor Loader
f76e001a7ccf30af0706c9639ad3522fd8344ffbdf324307d8e82c5d52d350f2 –chrome_frame_helper.dll – Merdoor Loader
dc182a0f39c5bb1c3a7ae259f06f338bb3d51a03e5b42903854cdc51d06fced6 – smadhook64c.dll – Merdoor Loader
fa5f32457d0ac4ec0a7e69464b57144c257a55e6367ff9410cf7d77ac5b20949 – SiteAdv.dll, chrome_frame_helper.dll – Merdoor Loader
fe7a6954e18feddeeb6fcdaaa8ac9248c8185703c2505d7f249b03d8d8897104 – siteadv.dll – Merdoor Loader
341d8274cc1c53191458c8bbc746f428856295f86a61ab96c56cd97ee8736200 – siteadv.dll – Merdoor Loader
f3478ccd0e417f0dc3ba1d7d448be8725193a1e69f884a36a8c97006bf0aa0f4 – siteadv.dll – Merdoor Loader
750b541a5f43b0332ac32ec04329156157bf920f6a992113a140baab15fa4bd3 – mojo_core.dll – Merdoor Loader
9f00cee1360a2035133e5b4568e890642eb556edd7c2e2f5600cf6e0bdcd5774 – libmupdf.dll – Merdoor Loader
a9051dc5e6c06a8904bd8c82cdd6e6bd300994544af2eed72fe82df5f3336fc0 – chrome_frame_helper.dll – Merdoor Loader
d62596889938442c34f9132c9587d1f35329925e011465c48c94aa4657c056c7 – smadhook64c.dll – Merdoor Loader
f0003e08c34f4f419c3304a2f87f10c514c2ade2c90a830b12fdf31d81b0af57 – SiteAdv.pak – Merdoor encoded payload
139c39e0dc8f8f4eb9b25b20669b4f30ffcbe2197e3a9f69d0043107d06a2cb4 – SiteAdv.pak – Merdoor encoded payload
11bb47cb7e51f5b7c42ce26cbff25c2728fa1163420f308a8b2045103978caf5 – SiteAdv.pak – Merdoor encoded payload
0abc1d12ef612490e37eedb1dd1833450b383349f13ddd3380b45f7aaabc8a75 – SiteAdv.pak – Merdoor encoded payload
eb3b4e82ddfdb118d700a853587c9589c93879f62f576e104a62bdaa5a338d7b –SiteAdv.exe – Legit McAfee executable
1ab4f52ff4e4f3aa992a77d0d36d52e796999d6fc1a109b9ae092a5d7492b7dd – chrome_frame_helper.exe – Legit Google executable
fae713e25b667f1c42ebbea239f7b1e13ba5dc99b225251a82e65608b3710be7 – SmadavProtect64.exe – Legit SmadAV executable
ZXShell Rootkit
SHA256 | Filename | Description |
1f09d177c99d429ae440393ac9835183d6fd1f1af596089cc01b68021e2e29a7 | formdll.dll | Kernel driver loader |
180970fce4a226de05df6d22339dd4ae03dfd5e451dcf2d464b663e86c824b8e | form.exe | Kernel driver loadpoint |
a6020794bd6749e0765966cd65ca6d5511581f47cc2b38e41cb1e7fddaa0b221 | update.exe | Kernel driver installation and update utility |
592e237925243cf65d30a0c95c91733db593da64c96281b70917a038da9156ae | update.exe | Kernel driver installation and update utility |
929b771eabef5aa9e3fba8b6249a8796146a3a4febfd4e992d99327e533f9798 | formdll.dll | Kernel driver loader |
009d8d1594e9c8bc40a95590287f373776a62dad213963662da8c859a10ef3b4 | tdiproip.sys | Kernel driver x64 |
ef08f376128b7afcd7912f67e2a90513626e2081fe9f93146983eb913c50c3a8 | tdiproip.sys | Kernel driver x32 |
ee486e93f091a7ef98ee7e19562838565f3358caeff8f7d99c29a7e8c0286b28 | iehlpsrv.dll | Kernel driver x64 old |
32d837a4a32618cc9fc1386f0f74ecf526b16b6d9ab6c5f90fb5158012fe2f8c | USBHPMS.sys | Kernel driver x32 old |
d5df686bb202279ab56295252650b2c7c24f350d1a87a8a699f6034a8c0dd849 | ZXShell |
1.3 Các cuộc tấn công mới của Mustang Panda sử dụng khai thác TP-Link routers
Check Point Research gần đây đã theo dõi một loạt các cuộc tấn công nhắm mục tiêu đến các cơ quan đối ngoại châu Âu, được cho rằng thực hiện bởi nhóm APT Trung Quốc Mustang Panda.
Báo cáo phân tích cho thấy việc sử dụng 1 mẫu mã độc đã được tùy chỉnh và nhằm khai thác các thiết bị TP-Link router. 2 file firmware image của TP-Link router đã được thay đổi, chèn thêm các thành phần độc hại trong có có 1 mẫu lây nhiễm được đặt tên “Horse Shell”. Các thành phần lây nhiễm này đã được thiết kế và điều chỉnh để có thể chèn thêm vào nhiều firmware khác nhau của nhiều hãng khác nhau.
Quá trình phân tích chi tiết đã giúp phát hiện danh sách các file được chèn thêm vào và các file đã bị chỉnh sửa so với firmware gốc bao gồm:
- Các file được thêm:
- /usr/bin/sheel
- /usr/bin/shell
- /usr/bin/timer
- /usr/bin/udhcp
- Các file bị chỉnh sửa:
- /etc/rc.d/rcS
- /web/userRpm/SoftwareUpgradeRpm.htm
Các nhà phân tích vẫn chưa chắc chắn về phương thức lây nhiễm ban đầu được nhóm thực hiện, có thể thông qua quá trình rà quét và khai thác các lỗ hổng đã biết hoặc tiến hành tấn công password guessing với các thiết bị sử dụng mật khẩu yếu hoặc mặc định.
1 điểm đáng chú ý là các cuộc tấn công này không nhắm đến các hệ thống mạng quan trọng mà nhắm đến các hệ thống mạng thuộc khu vực dân cư và gia đình. Mục tiêu của nhóm tấn công có thể nhằm xây dựng 1 chuỗi các node bị lây nhiễm và che giấu đi máy chủ C&C thực sự.
Mẫu mã độc Horse Shell được viết bằng C++, là 1 file binary dùng cho hệ điều hành MIPS32 MSB. 3 chức năng chính của mẫu mã độc bao gồm:
- Remote shell – thực thi các câu lệnh shell bất kì trên thiết bị router bị lây nhiễm
- File transfer – Upload hoặc download file trên thiết bị router bị lây nhiễm
- SOCKS tunneling – chuyển tiếp kết nối giữa các node khác nhau
Indicators of Compromise (IoCs)
SHA256 | File Name |
998788472cb1502c03675a15a9f09b12f3877a5aeb687f891458a414b8e0d66c | udhcp |
7985f992dcc6fcce76ee2892700c8538af075bd991625156bf2482dbfebd5a5a | sheel |
ed3d667a4fa92d78a0a54f696f4e8ff254def8d6f3208e6fe426dbe7fb3f3dd0 | shell |
66cc81a7d865941cb32ed7b1b84b20270d7d667b523cab28b856cd4e85f135b6 | timer |
8a2e9f6c2b0c898090fdce021b3813313e73a256a5de39c100bf9868abc09dbb | 9406.dat |
da046a1fe6f3b94e48c24ffd341f8d97bfc06252ddf4d332e8e2478262ad1964 | 9404.dat |
IP/Domain
m.cremessage[.]com – C&C
91.245.253[.]72
2 Malware
2.1 APT41 – Powershell Backdoor
APT41 là nhóm gián điệp mạng của Trung Quốc, được biết đến với các chiến thuật, kỹ thuật và quy trình (TTP) tiên tiến nhắm tới nhiều mục tiêu bao gồm chính phủ, doanh nghiệp hoặc các cá nhân, với việc sử dụng các công cụ và mã độc được thiết kế tùy chỉnh (custom). Một trong những công cụ đó là Backdoor được viết bằng ngôn ngữ script Powershell. Sau khi cài đặt thành công, backdoor cho phép thực thi câu lệnh, download hoặc upload file, hoặc thu thập các thông tin trên máy chủ/máy trạm bị chiếm quyền điều khiển. Gần đây, ThreatMon đã cung cấp bài phân tích mẫu mã độc mà nhóm nghiên cứu nghi ngờ liên quan đến nhóm tấn công AT41
Trước khi thực thi, mã độc sẽ tạo mutex có tên “v653Bmua-53JCY7Vq-tgSAaiwC-SSq3D4b6”
Nhằm mục đích duy trì (persistence), backdoor lưu payload trong Registry tại đường dẫn “HKCU\Environment\UserInitMprLogonScript”, các câu lệnh độc hại sẽ được thực thi tự động mỗi khi người dùng đăng nhập vào hệ thống
Forfiles là công cụ built-in hợp pháp có sẵn trên môi trường Windows, kẻ tấn công thường lợi dụng để thực thi câu lệnh, download file, hoặc thực hiện các hành vi độc hại, trong trường hợp này, kẻ tấn công sử dụng forfile để thi các câu lệnh
Bên cạnh các câu lệnh, backdoor cũng lưu thông tin đăng nhập để giao tiếp với Telegram trong registry, payload Powershell được obfuscated cũng được lưu trong registry tại đường dẫn HKEY_CLASSES_ROOT\abcdfile\shell\open\command\abcd
Script powershell sẽ được thực thi thông qua file hợp pháp của hệ thống windows SyncAppPublishingServer.vbs
Powershell script sau khi decrypt thực hiện giao tiếp với C2, attacker sử dụng Telegram làm C2 server
Backdoor gửi thông tin hệ thống và địa chỉ IP của máy bị chiếm quyền điều khiển tới C2 server, và đợi lệnh từ C2 server
Indicators of Compromise (IoCs)
TYPE | IOC |
SHA-256 HASH | bb3d35cba3434f053280fc2887a7e6be703505385e184da4960e8 db533cf4428 |
SHA-256 HASH | d71f6fbc9dea34687080a2e12bf326966f6841d51294bd665261e0 7281459eeb |
URL | https://raw.githubusercontent[.]com/efimovah/abcd/main/xxx.gif |
URL | hXXp://ip-api[.]com/json |
2.2 “Malverposting” – Chiến dịch sử dụng mã độc nhằm ăn cắp thông tin trên các nền tảng mạng xã hội
Việc sử dụng các bài đăng và tweet được quảng cáo trên mạng xã hội để phát tán phần mềm độc hại đang gia tăng.
Chiến dịch đã diễn ra trong nhiều tháng, ước tính lượt lây nhiễm lên tới hơn 500 nghìn trên toàn thế giới. Nguyên nhân ban đầu dẫn đến những con số đó là việc lạm dụng dịch vụ Quảng cáo của Facebook. Các chiến dịch này hiện đang được xác định có nguồn gốc từ Việt Nam
Threat actor tạo các tài khoản (business profiles) hoặc ăn cắp các tài khoản uy tín có nhiều lượt theo dõi, đăng các quảng cáo có nội dung nhạy cảm lừa người dùng tải xuống các file đính kèm các payload độc hại
Khi người dùng click vào những bài quảng cáo hoặc links, file ZIP độc hại sẽ được tải xuống. Bên trong các file ZIP là các file thực thi (giả mạo các file ảnh). Mã độc sẽ được thực thi khi người dùng click vào các tệp tin giả mạo này, đồng thời để lừa người dùng, mã độc sẽ mở trình duyệt có các nội dung liên quan. Các mã độc sẽ thực hiện ăn cắp các thông tin của nạn nhân như cookie, thông tin tài khoản, ví điện tử cùng các hành vi độc hại khác
Trong các chiến dịch gần đây, threat actor sử dụng dll có tên WDSync.dll (jnjected thêm các đoạn code độc hại)
DLL có nhiệm vụ triển khai thêm mã độc Stealer, tự động tải xuống các payload mới từ máy chủ C2 thông qua công cụ curl
Indicators of Compromise (IoCs)
Affected Facebook Pages/Profiles:
Hijacked Accounts (last 14 days):
https://www[.]facebook[.]com/altrkstore
https://www[.]facebook[.]com/arambindia/
https://www[.]facebook[.]com/DrTechnoPeru
https://www[.]facebook[.]com/JanimagePhotography
https://www[.]facebook[.]com/MON.PAT.SHIATSU/
https://www[.]facebook[.]com/Movaks-417677965449830/
https://www[.]facebook[.]com/sict321
https://www[.]facebook[.]com/amplopcantikqeetaa
https://www[.]facebook[.]com/hallakinsulation
https://www[.]facebook[.]com/rtsleksikon/
Fake Profiles Created (last 14 days):
https://www[.]facebook[.]com/Jelly-Studio-120458764282549/
https://www[.]facebook[.]com/Shooop-Store-109582122115528/
https://www[.]facebook[.]com/Xpicture-Lady-18-109848348747430
https://www[.]facebook[.]com/Pictures-Album-104410945964034/
https://www[.]facebook[.]com/Pictures-Lab-106791609059352/
https://www[.]facebook[.]com/Pictures-Land-103158319425698/
https://www[.]facebook[.]com/profile.php?id=100089878329069
https://www[.]facebook[.]com/profile.php?id=100090678589841
https://www[.]facebook[.]com/profile.php?id=100091214258073
https://www[.]facebook[.]com/profile.php?id=100091364883811
https://www[.]facebook[.]com/profile.php?id=100091537913341
https://www[.]facebook[.]com/profile.php?id=100091549101555
https://www[.]facebook[.]com/profile.php?id=100091563985326
https://www[.]facebook[.]com/profile.php?id=100091569796450
https://www[.]facebook[.]com/profile.php?id=100091611648780
https://www[.]facebook[.]com/profile.php?id=100091652232000
https://www[.]facebook[.]com/profile.php?id=100091706393095
https://www[.]facebook[.]com/profile.php?id=100091721351037
https://www[.]facebook[.]com/profile.php?id=100091725404023
https://www[.]facebook[.]com/profile.php?id=100091731676745
https://www[.]facebook[.]com/profile.php?id=100091746189370
https://www[.]facebook[.]com/profile.php?id=100091751239191
https://www[.]facebook[.]com/profile.php?id=100091805619917
https://www[.]facebook[.]com/profile.php?id=100091814560890
https://www[.]facebook[.]com/profile.php?id=100091848215737
https://www[.]facebook[.]com/profile.php?id=100091859890204
https://www[.]facebook[.]com/profile.php?id=100091904521011
https://www[.]facebook[.]com/profile.php?id=100091905933028
https://www[.]facebook[.]com/profile.php?id=100091927594815
https://www[.]facebook[.]com/profile.php?id=100091949672195
https://www[.]facebook[.]com/profile.php?id=100091986969520
Domains:
Landing Page Domains (as used in Facebook Ads):
apps-blue[.]com
canva2023[.]com
chatgpt-premium[.]com
download5s[.]com
gaming-box[.]com
lydownload[.]net
movies-box[.]net
movies-cine[.]com
movies-cinema[.]com
myprivatephotoalbum[.]top
nctitds[.]top
office-2023[.]com
office-2023[.]net
office2023[.]net
payforme[.]top
photo-cam[.]com
photography-hq[.]com
pictures-album[.]com
privatecollection[.]top
programe[.]top
simpli[.]top
super-mario-deluxe[.]net
sportydesktops[.]com
takeforme[.]xyz
videovip[.]org
www-x-videos[.]com
x-album[.]com
x-album[.]net
x-albums[.]net
x-image[.]net
x-images[.]com
x-images[.]net
x-photobucket[.]top
x-photos[.]net
x-picture[.]net
x-pictures[.]net
xphotos-album[.]com
xphotos[.]net
xpictures[.]net
File Serving Domains / C2 Servers:
c[1-7].cembuyukhanli[.]com
c[1-7].somalisounds[.]com
h[1-7].helenrosi[.]com
v[1-7].viayonetici[.]com
k[1-7].karbilyazilim[.]com
n[1-7].nskfyl[.]com
i[1-7].vaishnaviinterior[.]com
i[1-7].ictorganisers[.]com
j[1-7].jinghuaqitb[.]com
j[1-7].jmooreassoc[.]com
e[1-7].wetterkameras[.]com
r[1-7].ritikajoshi[.]com
r[1-7].romeflirt[.]com
p[1-7].preppypm[.]com
kh[1-7].kimhasa[.]com
sb[1-7].shble[.]com
dl.privatecollection[.]top
dl.payforme[.]top
cdn.axphotoalbum[.]top
nctitds[.]top
phcde[.]top
ve1.techgeetam[.]com
ve2.techgeetam[.]com
te1.techgeetam[.]com
ve1.claker[.]top
Malicious Payload Files:
Filename Variations:
ONS_Bokyem{randomseed}.zip
Album Over Night With Me – Yuan Hee.zip
Album_Bad_Girl_Style.zip
Album_BeautifuIgirl_Inhostels.zip
Album_Beautiful_Girl_In_Hotels.zip
Album_Beautiful_Girl_In_The_Hotels.zip
Album_Beautiful_Girl_and_Friends_in_the_Hostel.zip
Album_Emily_In_Hotels.zip
Album_Fresh_Girl_Hwa_Mun_Hee_Sam_Myung_Buck_Studio_By_Ryeom_Dong_Sun_Photography.zip
Album_Hot_Girl_In_Hotel_Mei_Ying.zip
Album_Hot_Gymer_Yoon_So_Young_Jang_Myung_Dae_Studio_By_Yong_Jung_Hwa_Photographer.zip
Album_Jessica_and_Boyfriend_at_Home.zip
Album_ONS_Dang_Dae_Hyun.zip
Album_One_Night_Stand_Jing_Len.zip
Album_One_Night_Stand_Li_Shaw_Hwang_Chung_Wa_Studio_By_Gal_Dong_Min_Photographer.zip
Album_One_Night_Stand_Li_Shaw_In_Gook_Chin_Hae_Studio_By_Dong_Kyong_Photographer.zip
Album_One_Night_Stand_Li_Shaw_In_Jeomok_Daesung_Studio_By_Seong_Hwan_Photography.zip
Album_One_Night_Stand_Ren_Shi.zip
Album_One_Night_Stand_Shen_Zhi.zip
Album_One_Night_Stand_Yun_Hee.zip
Album_Over_Night_With_Me_Yuan_Hee_Ren_Tingguang_Studio_Chang_Jianjun_Photographer.zip
Album_Overnight_with_Beautiful_Girl.zip
Album_Pretty_Lonely_Girl.zip
Album_Rachel_In_The_Hotels.zip
Video_Helen_and_Boyfriend_at_Home.zip
GirlLeakFull.zip
CCleaner Professional 2023.zip
New_Super_Mario_Bros_U_Deluxe.zip
Office_2023_Full.zip
File Hashs (Partial List)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 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – May 2023
Trong tháng 5, Microsoft đã phát hành các bản vá cho 38 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Microsoft Edge (Chromium-based); SharePoint Server; Visual Studio; SysInternals; và Microsoft Teams. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 31 lỗ hổng được đánh giá là Improtant. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-29336– Win32k Elevation of Privilege Vulnerability.
CVSS: 7.8/10
Mô tả: Win32k (win32k.sys) là một kernel mode driver, một thành phần quan trọng trong kiến trúc của Windows, có nhiệm vụ xử lý liên quan đến giao diện đồ họa và cửa sổ quản lý.
Driver (win32k.sys) tồn tại lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi các đoạn mã bằng quyền SYSTEM. Microsoft ghi nhận lỗ hổng đang được khai thác, sử dụng bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
(Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2
(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server
Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336
3.1.2 CVE-2023-29325 – Windows OLE Remote Code Execution Vulnerability.
CVSS: 8.1/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã độc hại trên hệ thống của nạn nhân thông qua việc gửi 1 email dưới dạng “crafted RTF”. Chế độ “Preview Pane” cũng là 1 hướng để có thể khai thác, do đó nạn nhân không cần đọc tin nhắn vẫn có thể bị tấn công. Outlook có thể là ứng dụng chính nhằm để khai thác lỗ hổng này, tuy nhiên các ứng dụng Office khác cũng bị ảnh hưởng
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29325.
3.1.3 CVE-2023-24941 – Windows Network File System Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công, không cần xác thực, thực thi từ xa các đoạn mã độc hại trên hệ thống bị ảnh hưởng với đặc quyền cao. Lỗ hổng này tồn tại trên NFS phiên bản 4.1 nhưng các phiên bản NFSv2.0 và NFSv3.0 không bị ảnh hưởng. Do đó 1 biện pháp khắc phục tạm thời có thể là downgrade, sử dụng các phiên bản NFS cũ hơn, tuy nhiên Microsoft khuyến cáo chỉ thực hiện việc này trong trường hợp đã cài đặt bản vá May 2022 cho lỗ hổng CVE-2022-26937
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/updateguide/vulnerability/CVE-2023-24941
3.1.4 CVE-2023-24932 – Secure Boot Security Feature Bypass Vulnerability.
CVSS: 6.7/10
Mô tả: Secure Boot là một cơ chế của Windows có nhiệm vụ ngăn chặn các tệp tin nghi ngờ độc hại ngay từ khi khởi động máy tính. Lỗ hổng cho phép kẻ tấn công vượt qua (bypass) cơ chế bảo vệ này. Để khai thác thành công lỗ hổng, kẻ tấn công cần có quyền truy cập vậy lý vào thiết bị hoặc có quyền quản trị
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932 https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-bootmanager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
3.1.5 CVE-2023-24955 – Microsoft SharePoint Server Remote Code Execution Vulnerability.
CVSS: 7.2/10
Mô tả: Bằng cách kết hợp 2 lỗ hổng tạo thành một chuỗi khai thác (chain to 2 bug), lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống Micrsoft SharePoint bị ảnh hưởng
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/updateguide/vulnerability/CVE-2023-24955
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-25690 – HTTP Request Smuggling.
CVSS: 9.8/10
Mô tả: Lỗ hổng tồn tại trong các cấu hình liên quan đến mod_proxy, khai thác thành công cho phép kẻ tấn công vượt qua các biện pháp kiểm soát truy cập trong máy chủ proxy và ủy quyền các URL không mong muốn cho máy chủ gốc. Hiện tại mã khai thác đã public trên Internet: https://github.com/dhmosfunk/CVE-2023-25690-POC
Phiên bản ảnh hưởng:
Apache HTTP Server phiên bản từ 2.4.0 đến 2.4.55
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.debian.org/debian-lts-announce/2023/04/msg00028.html
3.2.2 CVE-2023-2825 – Arbitrary File Read Via Uploads Path Traversal.
CVSS: 10/10
Mô tả: Tồn tại lỗ hổng Path Traversal cho phép kẻ tấn công không cần xác thực có thể đọc các tệp tùy ý trên máy chủ, trong trường hợp một tệp đính kèm tồn tại trong một dự án công khai nằm trong ít nhất 5 groups. Khai thác thành công lỗ hổng, tin tặc có thể truy cập dữ liệu nhạy cảm từ máy chủ như mã nguồn, dữ liệu người dùng và các chi tiết cấu hình quan trọng.
Phiên bản ảnh hưởng:
GitLab Community Edition (CE) và Enterprise Edition (EE) phiên bản 16.0.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
https://about.gitlab.com/update/