THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 07 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến dịch tấn công Storm-0978 khai thác lỗ hổng Zero-day CVE-2023-36884

Microsoft vừa phát hiện 1 chiến dịch tấn công phishing được thực hiện bởi nhóm Storm-0978 nhắm đến các cơ quan quốc phòng và chính phủ tại châu Âu và Bắc Mĩ. Chiến dịch tấn công này có sử dụng khai thác lỗ hổng thực thi mã từ xa CVE-2023-36884 là lỗ hổng zero-day hiện tại chưa có bản vá.

Storm-0978 (có tên khác là RomCom) là 1 nhóm tội phạm mạng có nguồn gốc từ nước Nga, được biết đến với việc thực hiện các chiến dịch tấn công ransomware, tống tiền cũng như thu thập thông tin mật phục vụ công tác tình báo.

Targeting

Mục tiêu chính của Storm-0978 là các tổ chức quân sự và chính phủ Ukraine, cũng như các tổ chức liên quan đến Ukraine tại các quốc gia khác ở châu Âu và Bắc Mĩ. Ngoài ra, mục tiêu của 1 số cuộc tấn công ransomware của nhóm được xác định là các công ty viễn thông và tài chính.

Tools

1 trong những kĩ thuật tấn công phổ biến của Storm-0978 là việc sử dụng các phần mềm hợp pháp phổ biến như các sản phẩm của Adobe, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass, và Signal, nhưng với các phiên bản đã bị cài cắm trojan. Để thực hiện host các bản cài đặt các phiên bản có chứa trojan này, nhóm tấn công thường đăng kí các domain giả mạo lại các domain của các phần mềm hợp pháp (1 ví dụ là domain giả mạo advanced-ip-scaner[.]com).

Với các cuộc tấn công ransomware, các mẫu ransomware hay được nhóm sử dụng là Industrial Spy ransomware, Underground ransomware và Trigona ransomware.

Với chiến dịch tấn công phishing mới được phát hiện trong tháng 06-2023, các chuyên gia phân tích đã xác định nhóm có sử dụng 1 lỗ hổng zero-day khai thác qua Microsoft Word bypass tính năng bảo mật và từ đó cho phép thực thi mã từ xa, lỗ hổng được định danh CVE-2023-36884. Cụ thể, Storm-0978 đã gửi các email phishing có chủ đề liên quan đến Ukrainian World Congress đến các cơ quan quốc phòng và chính phủ ở châu Âu và Bắc Mĩ. Trong các email này có chứa các tài liệu .doc độc hại nhằm khai thác CVE-2023-36884 để từ đó cài đặt 1 mẫu backdoor có các điểm tương tự RomCom.

MITRE ATT&CK

ID Name Description
T1583.008 Acquire Infrastructure: Malvertising RomCom uses malvertising to redirect targets to lure websites from which to download fake installer applications
T1566.002 Phishing: Spear Phishing Link RomCom sent highly targeted spear phishing emails
T1027.002 Obfuscated Files or Information: Software Packing RomCom uses VMProtect
T1027.001 Obfuscated Files or Information: Binary Padding RomCom uses binary padding on dropped files to avoid security solutions
T1546.015 Event Triggered Execution: Component Object Model Hijacking RomCom uses COM hijacking for persistence
T1571 Non-Standard Port RomCom listens on port ranges 5554 to 5600 for communication between dropped components
T1071.001 Application Layer Protocol: Web Protocols RomCom uses HTTPS for C&C communications
T1555.003 Credentials from Password Stores: Credentials from Web Browsers RomCom uses a stealer to gather credentials of several browsers
T1113 Screen Capture RomCom can capture screenshots of the victim’s machine
T1219 Remote Access Software RomCom’s backdoor has a functionality to run AnyDesk application

Indicators of Compromise (IoCs)

RomCom backdoor

6284fb51d5f94d20bcd98a56a69e02ffc45c2991e1f88f6ba97e7d2a9674332c Modified AstraChat installer
3e7bf3a34c4dfa6abfce8254f213cbc98331504fa956b8d35e0961966593034f ROMCOM dropper
dd65c3ad7473f211ae661ccc37f8017b9697dfffb75d415cb035399c14bc1bc9 ROMCOM loader
7424de0984159e0c01da89a429e036835f253de35ec2bdade0b91db906ec54ec ROMCOM worker
96d1cd0a6038ee295b02f038a30ac756bae0ee5ae26f5a64637adf86777d7e14 ROMCOM networking
8d805014ceb45195be5bab07a323970a1aa8bc60cdc529712bccaf6f3103e6a6 STEALDEAL stealer
6a3a0606293941ce9c3cebe0a3e63d7cdc6fb92fd4507d99b14c7675dd29ab40 STEALDEAL stealer
8b27b0482330d0cb38ac7b578576de5658faeba242d2abc9d94289271e2d16b3 Modified AstraChat installer
ca0ccf331b2545102452e3b505a64444f50ab00d406564dda6ea5987f0194208 ROMCOM dropper
597dd1e09bd23cd18132ce27a731d0b66c78381e90292ece0f23738773743a7c ROMCOM networking
ad39ad35084d8339744299def3af979e666add8103ebd706de3cd1430d3ca8a1 ROMCOM loader
ac1fce0ca42f05d54dfbf96415d558f9de1c87abc940531a051536d97bee5c32 ROMCOM worker
45bfc3928dd2bb3f7ed388ddd0e109b93aebe3dd0e22609d743673c6c0425732 Modified Remote Desktop Manager ZIP archive
116ec1c306a2ee93ad5371d189bdbc15b23588be0322622b329f763c7f8622f1 ROMCOM dropper
615bfe8f7f3903bb380f59bca6339d1b37125cc9d303f935e7197ff0706fded7 ROMCOM networking
e58fcd4a8d13cb1847f08fd3db6f86473c589f935bcf76ff2837bfac3e8f8f6e ROMCOM loader
a552b0b1c948e0ef4e51088f059c280a967ff40bf93ff9d62ebeb74e80f36fc5 Modified GoTo Meeting installer
3b26e27031a00a32f3616de5179a003951a9c92381cd8ec552d39f7285ff42ee ROMCOM dropper
916153d8265a2f9344648e302c6b7b8d7e1f40f704b0df83edde43986ab68e56 ROMCOM loader
e7914f823ed0763c7a03c3cfdbcf9344e1da93597733ac22fe3d31a5a4e179aa ROMCOM worker
3e293680e0f78e404fccb1ed6daa0b49d3f6ea71c81dbaa53092b7dd32e81a0d ROMCOM networking
6d3ab9e729bb03ae8ae3fcd824474c5052a165de6cb4c27334969a542c7b261d Modified Remote Desktop Manager installer
0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a ROMCOM networking
65778e3afc448f89680e8de9791500d21a22e2279759d8d93e2ece2bc8dae04d ROMCOM loader
2ba51d7e338242bc6a8109317b91dd13137e296693c535ceacc1288775acc81f ROMCOM worker
ff8eccca561e07a4d3b1a229b307cd1e787fe9fe21a781f361e3f01750def89c Modified installer
7c72e817069bc966a8166a701da397508d44fe9da0e72a047fcf3d694eee81e9 ROMCOM networking
555ef671179b83989858b6d084b3aee0a379c9d8c75ca292961373d3b71315f8 ROMCOM loader
244885707e1ccfb02160ae60d749bafcfbcfd1d2572afed9113010609cd43820 ROMCOM worker

 

1.2      Chiến dịch tấn công SmugX của nhóm tấn công Trung Quốc nhắm đến châu Âu

Đội ngũ nghiên cứu của Check Point (Check Point Research – CPR) đã theo dõi và phát hiện các hoạt động của 1 nhóm tấn công Trung Quốc nhắm đến các Bộ Ngoại giao và Đại sứ quán đặt tại châu Âu. Chiến dịch này được cho là đã bắt đầu từ cuối năm 2022, có liên quan đến các chiến dịch tấn công trước đó của các nhóm RedDelta và Mustang Panda. Ngoài các kĩ thuật tấn công và mẫu mã độc thường thấy từ các nhóm tấn công Trung Quốc, các chuyên gia phân tích còn phát hiện 1 điểm nổi bật trong chiến dịch tấn công lần này là việc sử dụng kĩ thuật HTML Smuggling để giấu các payload độc hại bên trong các tài liệu HTML.

HTML Smuggling 101

Kĩ thuật HTML Smuggling cho phép nhúng các file độc hại bên trong các tài liệu dạng HTML, từ đó tránh được các biện pháp phát hiện dựa trên network (network-based detection). Kĩ thuật này được sử dụng trong chiến dịch SmugX bắt đầu từ việc download 1 file JavaScript hoặc 1 file Zip. Tiếp đến việc mở các file độc hại này sẽ dẫn đến 1 chuỗi các hành vi sau:

  • Payload được nhúng trong code được giải mã và lưu vào 1 JavaScript blob, được định nghĩa file type phù hợp như application/zip.
  • Các đoạn code JavaScript chủ động tạo element <a> thay vì tận dụng element này có sẵn của HTML.
  • Sử dụng hàm createObjectURL để tạo 1 URL object từ blob.
  • Attribute download được đặt với giá trị filename mong muốn.
  • Các đoạn code tiếp theo gọi đến click action, mô phỏng lại hành động của người dùng nhấn vào đường link để thực hiện download file.
  • Với các phiên bản trình duyệt cũ hơn, sử dụng msSaveOrOpenBlob trong code để lưu blob với giá trị filename mong muốn.

Infection chain

Đội ngũ CPR đã đưa ra 2 luồng lây nhiễm chính trong chiến dịch tấn công lần này: 1 luồng lây nhiễm sử dụng 1 file Zip có chứa 1 file LNK độc hại, và luồng còn lại sử dụng JavaScript để download 1 file MSI từ 1 máy chủ từ xa.

SmugX Archive Chain

Luồng lây nhiễm thứ nhất sử dụng HTML Smuggling với 1 file Zip có chứa 1 file LNK độc hại chạy các câu lệnh PowerShell. Các câu lệnh này tiến hành giải nén các nội dung khác trong file LNK và lưu vào đường dẫn %temp%, bao gồm 3 files:

  • 1 file thực thi hợp pháp dùng để sideload mã độc (exe hoặc passwordgenerator.exe)
  • 1 DLL độc hại được sideloaded (dll)
  • PlugX payload (dat)

SmugX JavaScript Chain

Luồng lây nhiễm thứ hai sử dụng HTML Smuggling thông qua download 1 file JavaScript, thực thi file này để tiến hành download và thực thi 1 file MSI lấy từ máy chủ của nhóm tấn công. File MSI tạo 1 folder mới trong đường dẫn %appdata%\Local để lưu 3 file độc hại tương tự như luồng lây nhiễm thứ nhất.

Mẫu malware được phát hiện trong chiến dịch lần này là PlugX, 1 mẫu malware được sử dụng phổ biến bởi các nhóm tấn công Trung Quốc, cho phép kẻ tấn công thực hiện 1 loạt các hành vi trên hệ thống nạn nhân bao gồm lấy cắp file, chụp ảnh màn hình, keystroke logging, và thực thi các câu lệnh.

Attribution

Quá trình phân tích của đội ngũ nghiên cứu đã phát hiện 1 certificate trên máy chủ C&C có địa chỉ IP 62.233.57[.].136, trường common name trong certificate có trỏ đến 1 địa chỉ IP khác là 45.134.83[.]29 có liên quan đến 1 chiến dịch khác của nhóm RedDelta. Certificate này cũng từng được nhắc đến trong các báo cáo về hoạt động của nhóm Mustang Panda.

Ngoài ra, các nhà phân tích còn phát hiện sự tương đồng về việc sử dụng đường dẫn để triển khai mã độc PlugX, đây là các đường dẫn chỉ được sử dụng trong chiến dịch SmugX và các chiến dịch của RedDelta và Mustang Panda:

  • C:\Users\Public\VirtualFile
  • C:\Users\Public\SamsungDriver
  • C:\Users\Public\SecurityScan

Indicators of Compromise (IoCs)

Hashes

HTML

edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd

736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af

0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1

989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05

10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee

c96723a68fc939c835578ff746f7d4c5371cb82a9c0dffe360bb656acea4d6e1

9ce5abd02d397689d99f62dfbd2a6a396876c6629cb5db453f1dcbbc3465ac9a

Archives

5f751fb287db51f79bb6df2e330a53b6d80ef3d2af93f09bb786b62e613514db

baca1159acc715545a787d522950117eae5b7dc65efacfe86383f62e6b9b59d3

720a70ca6ee1fbaf06c7cb60d14e27391130407e34e13a092d19f1df2c9c6d05

460c459db77c5625ed1c029b2dd6c6eae5e631b81a169494fb0182d550769f76

277390cc50e00f52e76a6562e6e699b0345497bd1df26c7c41bd56da5b6d1347

JavaScripts

3c6ace055527877778d989f469a5a70eb5ef7700375b850f0b1b8414151105ee

27a61653ce4e503334413cf80809647ce5dca02ff4aea63fb3a39bc62c9c258c

ce308b538ff3a0be0dbcee753db7e556a54b4aeddbddd0c03db7126b08911fe2

MSI

fd0711a50c8af1dbc5c7ba42b894b2af8a2b03dd7544d20f5a887c93b9834429

3489955d23e66d6f34b3ada70b4d228547dbb3ccb0f6c7282553cbbdeaf168cb

04b99518502774deb4a9d9cf6b54d43ff8f333d8ec5b4b230c0e995542bb2c61

bd3881964e351a7691bfc7e997e8a2c8ce4a8e26b79e3712d0cbdc484a5646b6

ea2869424df2ffbb113017d95ae48ae8ed9897280fd21b26e046c75b3e43b25a

RoboForm.dll

b00c252a60171f33e32e64891ffe826b8a45f8816acf778838d788897213a405

2bc30ced135acd6a506cfb557734407f21b70fecd2f645c5b938e14199b24f1e

0d13a503d86a6450f71408eb82a196718324465744bf6b8c4e0a780fd5be40c0

0bdfb922a39103658195d1d37ff584d24f7bd88464e7a119e86d6e3579958cc1

a0879dd439c7f1ed520aad0c309fe1dbf1a2fc41e2468f4174489a0ec56c47c7

bddbc529f23ab6b865bc750508403ef57c8cf77284d613d030949bd37078d880

4547914e17c127d9b53bbc9d44de0e5b867f1a86d2e5ede828cd3188ed7fe838

0032d5430f1b5fcfb6a380b4f1d226b6b919f2677340503f04df04235409b2d0

Encrypted payload

62c2e246855d589eb1ec37a9f3bcc0b6f3ba9946532aff8a39a4dc9d3a93f42c

f7d35cb95256513c07c262d4b03603e073e58eb4cd5fa9aac1e04ecc6e870d42

bf4f8a5f75e9e5ecd752baa73abddd37b014728722ac3d74b82bffa625bf09b5

8a6ef9aa3f0762b03f983a1e53e8c731247273aafa410ed884ecd4c4e02c7db8

ec3e491a831b4057fc0e2ebe9f43c32f1f07959b6430b323d35d6d409d2b31e4

bf8e512921522e49d16c638dc8d01bd0a2803a4ef019afbfc2f0941875019ea1

ba55542c6fa12865633d6d24f4a81bffd512791a6e0a9b77f6b17a53e2216659

Decrypted payload

8ea34b85dd4fb64f7e6591e4f1c24763fc3421caa7c0f0d8350c67b9bafa4d32

8cac6dfb2a894ff3f530c29e79dcd37810b4628279b9570a34f7e22bd4d416b3

ea5825fa1f39587a88882e87064caae9dd3b79f02438dc3a229c5b775b530c7d

1acb061ce63ee8ee172fbdf518bd261ef2c46d818ffd4b1614db6ce3daa5a885

08661f40f40371fc8a49380ad3d57521f9d0c2aa322ae4b0a684b27e637aed12

324bfb2f414be221e24aaa9fb22cb49e4d4c0904bd7c203afdff158ba63fe35b

IPs & domains

45.90.58[.]69

62.233.57[.]136

217.12.207[.]164

152.152.12[.]12

jcswcd[.]com

newsmailnet[.]com

Paths

C:\Users\<username>\VirtualFile

C:\Users\Public\VirtualFile

C:\Users\<username>\SamsungDriver

C:\Users\Public\SamsungDriver

C:\Users\Public\SecurityScan

1.3      Chiến dịch tấn công của Lazarus sử dụng phần mềm VNC giả mạo

Vừa qua, đội ngũ nghiên cứu của 360 Threat Intelligence đã khám phá ra 1 chiến dịch tấn công của Lazarus (APT-C-26) sử dụng phần mềm giả mạo ComcastVNC. Mục đích tấn công của nhóm trong chiến dịch lần này thay vì liên quan đến tài chính sẽ là triển khai mã độc để đánh cắp thông tin người dùng.

Attack Flow

Chiến dịch tấn công được bắt đầu bằng cách lừa các nạn nhân tải về các file nén có chứa file ISO thông qua các kĩ thuật social engineering. Bên trong file ISO có chứa 3 files bao gồm:

  • exe, thực tế là file choice.exe
  • dll
  • dat

File EXE khi được thực thi sẽ tiến hành sideload version.dll, version.dll sẽ đọc nội dung trong file portable.dat, sau đó sử dụng sRDI (1 open source project) để thực hiện reflective load và thực thi mã độc BlindingCan.

Mẫu mã độc được phát hiện và phân tích trong chiến dịch lần này là 1 mẫu backdoor HTTP(S) có đầy đủ chức năng. Mã độc là 1 file DLL 64 bit có sử dụng VMProtect, kết nối đến địa chỉ C2 tại https://www.rowdensurname[.]org/slideshow/slides/show.asp. Các chuyên gia phân tích xác định đây là mã độc BlindingCan (tên gọi khác AIRDRY) dựa trên các bằng chứng về RTTI, Rich Header structure, User Agent, communication strings và cách thức bảo vệ (VMProtect).

Địa chỉ C2 được phát hiện (https://www.rowdensurname[.]org/slideshow/slides/show.asp) cho thấy đây là 1 máy chủ đã bị nhóm tấn công khai thác và chiếm quyền, từ đó sử dụng file ASP để thu thập các thông tin gửi về từ máy các nạn nhân.

So sánh và đối chiếu các bằng chứng thu được với các chiến dịch tấn công trước đây, đội ngũ 360 Threat Intelligence xác định nhóm tấn công đứng đằng sau chiến dịch này là Lazarus.

Indicators of Compromise (IoCs)

ce1792fd716579823b33ac3c085ad742

6299bac300f45a37280a3503e6fdf0e0

64bb5cff965553c0802e6d01c724b79c

C46100C2FB9D8561480977F4E9D00009

f6989d0c87f55fd9796c01a85a47896d

https://www.rowdensurname.org/slideshow/slides/show.asp

2        Malware

2.1      BlackByte ransomware intrusion case study

Gần đây, Microsoft cung cấp bài phân tích chuỗi tấn công, với vector tấn công ban đầu là khai thác các lỗ hổng bảo mật trên các dịch vụ được public Internet. Sau khi có quyền truy cập ban đầu, kẻ tấn công triển khai nhiều loại mã độc nhằm mục đích duy trì kết nối trong hệ thống bị chiếm quyền. Cuối cùng là triển khai ransomware Blackbyte

Backdoor

Sau khi có quyền truy cập ban đầu, kẻ tấn công thực hiện tạo các giá trị trong registry để thực thi các payload. Các giá trị được ghi trong registry như sau:

Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Value name: MsEdgeMsE    

Value data: rundll32 C:\Users\user\Downloads\api-msvc.dll,Default

Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Value name: MsEdgeMsE    

Value data: rundll32 C:\temp\api-msvc.dll,Default

Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Value name: MsEdgeMsE    

Value data: rundll32 C:\systemtest\api-system.png,Default

Api-msvc.dll là một DLL 64-bit được thực thi thông qua rundll32 gọi hàm Export function có tên Default, DLL thực hiện một số chức năng chính như sau:

  • Thu thập thông tin hệ thống như: phần mềm antivirus đang cài đặt trên máy, tên thiết bị, địa chỉ IP
  • Các thông tin sẽ được gửi thông qua POST request tới địa chỉ C2: hxxps://myvisit[.]alteksecurity[.]org/t theo giao thức HTTP

api-system.png được xác định có cùng export function và có hành vi tương tư api-msvc.dll

Kẻ tấn công cũng tải xuống thêm mã độc CobaltStrike từ địa chỉ hxxps://temp[.]sh/szAyn/sys.exe. CobaltStrike beacon kết nối tới địa chỉ C2 109.206.243[.]59:443

Đánh cắp dữ liệu

Kẻ tấn công sử dụng ExByte (explorer.exe) được phát triển bởi ngôn ngữ GoLang, thường được sử dụng bởi ransomware BlackByte nhằm thu thập và đánh cắp các tệp tin từ nạn nhân. Công cụ có tính năng liệt kê các tệp tin, tạo log chứa danh sách các tệp tin tại một số đường dẫn, như:  C:\Exchange\MSExchLog.log. Danh sách các tệp tin với phần mở rộng được liệt kê trong binary

Phân tích một tệp có tên data.txt, tệp chứa thông tin xác thực đã bị obfuscated, được ExByte sử dụng để xác thực với MegaNZ thông qua API hxxps://g.api.mega.co[.]nz, một nền tảng chia sẻ tệp tin phổ biến.

Khi thực thi, ExByte kiểm tra xem tiến trình có đang thực thi với quyền truy cập đặc quyền hay không bằng cách đọc  \\.\PHYSICALDRIVE0. Nếu không, hàm ShellExecuteW sẽ được gọi với tham số trong lpOperation là RunAs. Sau khi kiểm qua, explorer sẽ đọc file data.txt, giải mã base64 và khóa được cung cấp thông qua commandline. Giá trị sau khi giải mã được phân tách theo định dạng JSON theo định dạng:

{

    “a”:”us0”,

    “user”:”<CONTENT FROM data.txt>”

}

Giá trị này được sử dụng cho mục đích đang nhập vào MEGA NZ qua URL: hxxps://g.api.mega.co[.]nz/cs?id=1674017543

Nếu không tồn tại file data.txt, explorer.exe sẽ tự xóa bản thân

C:\Windows\system32\cmd.exe /c ping 1.1.1.1 -n 10 > nul & Del <PATH>\explorer.exe /F /Q

BlackByte 2.0

Ransomware BlackByte 2.0 có một tính năng chính sau:

  • Vượt qua các phần mềm Antivirus (Antivirus bypass): thông qua việc tạo và chạy dịch vụ, khai thác lỗ hổng cho phép người dùng đọc ghi vào bộ nhớ nhằm lẩn tránh sự phát hiện của phần mềm antivirus.
  • Process hollowing: Gọi đến svchost.exe thực hiện mã hóa dữ liệu và tự xóa bản thân theo câu lệnh: cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del “PATH_TO_BLACKBYTE” /F /Q
  • Chỉnh sửa / Tắt windows firewall: Thực hiện các câu lệnh chỉnh sửa hoặc tắt các tập luật trên Windows Firewall
    • cmd /c netsh advfirewall set allprofiles state off
    • cmd /c netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=Yes
    • cmd /c netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes
  • Hủy các volume shadow copies trên máy nạn nhân thông qua câu lệnh:
    • cmd /c vssadmin Resize ShadowStorge /For=B:\ /On=B:\ /MaxSize=401MB
    • cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=UNBOUNDED
  • Thay đổi các giá trị trong registry
    • cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
    • cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f
    • cmd /c reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\FileSystem /v LongPathsEnabled /t REG_DWORD /d 1 /f

Indicators of Compromise (IoCs)

4a066569113a569a6feb8f44257ac8764ee8f2011765009fdfd82fe3f4b92d3e

5f37b85687780c089607670040dbb3da2749b91b8adc0aa411fd6280b5fa7103

01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd

ba3ec3f445683d0d0407157fda0c26fd669c0b8cc03f21770285a20b3133098f

hxxps://myvisit[.]alteksecurity[.]org/t

hxxps://temp[.]sh/szAyn/sys.exe

109.206.243[.]59

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – July 2023

Trong tháng 7, Microsoft đã phát hành các bản vá cho 130 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure Active Directory và DevOps; Microsoft Dynamics; Printer Drivers; DNS Server; và Remote Desktop. Trong đó có 9 lỗ hổng được đánh giá mức độ Nghiêm trọng, 121 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2023-36884 – Office and Windows HTML Remote Code Execution Vulnerability

CVSS: 8.3/10

Mô tTồn tại lỗ hổng thực thi mã từ xa (Remote Code Execution) ảnh hưởng đến các sản phẩm của Windows và Office thông qua việc tạo các tài liệu Microsoft Office độc hại và lừa người dùng mở các file tài liệu này. Microsoft ghi nhận lỗ hổng đang được sử dụng, khai thác bởi các nhóm tấn công.

Phiên bn nh hưởng:

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2016 (64-bit edition)

Microsoft Word 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office 2019 for 64-bit editions

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Microsoft Office 2019 for 32-bit editions

Windows Server 2012 R2 (Server Core installation)

Khuyến nghị:

Hiện tại, Microsoft chưa phát hành bản cập nhật cho lỗ hổng này. NCS khuyến nghị khách hàng/doanh nghiệp thực hiện các biện pháp giảm thiểu sau trong thời gian đợi bản cập nhật từ hãng:

  • Các khách hàng đang sử dụng Microsoft Defender cho Office sẽ được bảo vệ khỏi các file đính kèm độc hại khai thác lỗ hổng.
  • Các khách hàng đang sử dụng Microsoft Defender for Endpoint, thực hiện cấu hình và sử dụng rule “Block all Office applications from creating child processes” (chặn các ứng dụng Office khởi tạo các tiến trình con) trong tập luật Attack Surface Reduction Rule sẽ giúp ngăn chặn việc khai thác lỗ hổng, tham khảo thêm tại đây: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
  • Trong trường hợp khách hàng không sử dụng 2 biện pháp trên, có thể bổ sung giá trị trong registry tại đường dẫn: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION”. Thêm các giá trị sau với kiểu của mỗi giá trị là REG_DWORD, DATA = 1:
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe
  • exe

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Excel.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Graph.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v MSAccess.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v MSPub.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v PowerPoint.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Visio.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v WinProj.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v WinWord.exe /t REG_DWORD /d 1 /f

reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Wordpad.exe /t REG_DWORD /d 1 /f

Lưu ý: Microsoft khuyến cáo việc thay đổi giá trị trong registry sẽ giúp giảm thiểu, ngăn chặn được lỗ hổng bị khai thác, tuy nhiên trong một số trường hợp, việc thay đổi này có thể ảnh hưởng đến khả năng hoạt động của những ứng dụng trên trong 1 số trường hợp nhất định.

Link tham khảo thông tin và các biện pháp ngăn chặn lỗ hổng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884

3.1.2       CVE-2023-35311 – Microsoft Outlook Security Feature Bypass Vulnerability

CVSS: 8.8/10

Mô tThông thường, Microsoft Outlook sẽ hiện hộp thoại cảnh báo bảo mật khi người dùng nhấn vào 1 đường dẫn trong email. Khai thác lỗ hổng thành công cho phép kẻ tấn công vượt qua tính năng bảo mật này, khi đó sẽ không hiện các cảnh báo tới người dùng. Lỗ hổng này thường được kết hợp với các lỗ hổng thực thi mã từ xa. Microsoft ghi nhận lỗ hổng đang được sử dụng bởi các nhóm tấn công.

Phiên bn nh hưởng:

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Outlook 2013 RT Service Pack 1

Microsoft Outlook 2013 (64-bit editions)

Microsoft Outlook 2013 (32-bit editions)

Microsoft Outlook 2016 (64-bit edition)

Microsoft Office 2019 for 64-bit editions

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office 2019 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311

3.1.3       CVE-2023-36874 – Windows Error Reporting Service Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô tError Reporting Service là tính năng được thiết lập mặc định giúp kiểm tra hoạt động của máy tính và gửi các báo cáo cho Microsoft về các vấn đề hệ thống đang gặp phải. Khai thác thành công cho phép kẻ tấn công leo thang đặc quyền. Microsoft ghi nhận lỗ hổng đang được sử dụng bởi các nhóm tấn công.

Phiên bn nh hưởng:

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311

3.1.4       CVE-2023-32057 – Microsoft Message Queuing Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô tMessage Queuing (MSMQ) là kiến trúc cung cấp giao tiếp không đồng bộ, cho phép các thành phần/service trong một hệ thống có thể gửi tin nhắn (messages) tới hàng đợi (queues) và đọc tin nhắn (messages) từ hàng đợi (queues).

Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống có cấu hình dịch vụ Messeage Queuing (Messeage Queuing service). Để khai thác lỗ hổng, attacker sẽ gửi packet MSMQ chứa các đoạn mã độc hại tới MSMQ server, server xử lý packet này và kích hoạt các đoạn mã độc hại.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows 10 Version 22H2 for 32-bit Systems

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32057

3.1.5       CVE-2023-33157 – Microsoft SharePoint Remote Code Execution Vulnerability

CVSS: 8.8/10

Mô tSharepoint tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng, cho phép truy cập và thay đổi thông tin của nạn nhân. Khai thác thành cồng lỗ hổng cũng có thể khiến hệ thống bị gián đoạn (downtime). Khai thác lỗ hổng yêu cầu xác thực và có quyền Manage List.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33157

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2023-34192 – Cross-site Scripting (XSS) vulnerability

CVSS: 9.0/10

Mô tTồn tại lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã thông qua việc tạo các đoạn script cho hàm /h/autoSaveDraft

Phiên bn nh hưởng:

Zimbra Collaboration Suite (ZCS) v.8.8.15

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

3.2.2       CVE-2023-29300 – Deserialization of Untrusted Data vulnerability

CVSS: 9.8/10

Mô tAdobe ColdFusion tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ ý. Khai thác lỗ hổng không yêu cầu tương tác từ người dùng.

Phiên bn nh hưởng:

Adobe ColdFusion trước phiên bản 2018u16

Adobe ColdFusion trước phiên bản 2021u6

Adobe ColdFusion trước phiên bản 2023.0.0.330468

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html