Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công Storm-0978 khai thác lỗ hổng Zero-day CVE-2023-36884
Microsoft vừa phát hiện 1 chiến dịch tấn công phishing được thực hiện bởi nhóm Storm-0978 nhắm đến các cơ quan quốc phòng và chính phủ tại châu Âu và Bắc Mĩ. Chiến dịch tấn công này có sử dụng khai thác lỗ hổng thực thi mã từ xa CVE-2023-36884 là lỗ hổng zero-day hiện tại chưa có bản vá.
Storm-0978 (có tên khác là RomCom) là 1 nhóm tội phạm mạng có nguồn gốc từ nước Nga, được biết đến với việc thực hiện các chiến dịch tấn công ransomware, tống tiền cũng như thu thập thông tin mật phục vụ công tác tình báo.
Targeting
Mục tiêu chính của Storm-0978 là các tổ chức quân sự và chính phủ Ukraine, cũng như các tổ chức liên quan đến Ukraine tại các quốc gia khác ở châu Âu và Bắc Mĩ. Ngoài ra, mục tiêu của 1 số cuộc tấn công ransomware của nhóm được xác định là các công ty viễn thông và tài chính.
Tools
1 trong những kĩ thuật tấn công phổ biến của Storm-0978 là việc sử dụng các phần mềm hợp pháp phổ biến như các sản phẩm của Adobe, Advanced IP Scanner, Solarwinds Network Performance Monitor, Solarwinds Orion, KeePass, và Signal, nhưng với các phiên bản đã bị cài cắm trojan. Để thực hiện host các bản cài đặt các phiên bản có chứa trojan này, nhóm tấn công thường đăng kí các domain giả mạo lại các domain của các phần mềm hợp pháp (1 ví dụ là domain giả mạo advanced-ip-scaner[.]com).
Với các cuộc tấn công ransomware, các mẫu ransomware hay được nhóm sử dụng là Industrial Spy ransomware, Underground ransomware và Trigona ransomware.
Với chiến dịch tấn công phishing mới được phát hiện trong tháng 06-2023, các chuyên gia phân tích đã xác định nhóm có sử dụng 1 lỗ hổng zero-day khai thác qua Microsoft Word bypass tính năng bảo mật và từ đó cho phép thực thi mã từ xa, lỗ hổng được định danh CVE-2023-36884. Cụ thể, Storm-0978 đã gửi các email phishing có chủ đề liên quan đến Ukrainian World Congress đến các cơ quan quốc phòng và chính phủ ở châu Âu và Bắc Mĩ. Trong các email này có chứa các tài liệu .doc độc hại nhằm khai thác CVE-2023-36884 để từ đó cài đặt 1 mẫu backdoor có các điểm tương tự RomCom.
MITRE ATT&CK
ID | Name | Description |
T1583.008 | Acquire Infrastructure: Malvertising | RomCom uses malvertising to redirect targets to lure websites from which to download fake installer applications |
T1566.002 | Phishing: Spear Phishing Link | RomCom sent highly targeted spear phishing emails |
T1027.002 | Obfuscated Files or Information: Software Packing | RomCom uses VMProtect |
T1027.001 | Obfuscated Files or Information: Binary Padding | RomCom uses binary padding on dropped files to avoid security solutions |
T1546.015 | Event Triggered Execution: Component Object Model Hijacking | RomCom uses COM hijacking for persistence |
T1571 | Non-Standard Port | RomCom listens on port ranges 5554 to 5600 for communication between dropped components |
T1071.001 | Application Layer Protocol: Web Protocols | RomCom uses HTTPS for C&C communications |
T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | RomCom uses a stealer to gather credentials of several browsers |
T1113 | Screen Capture | RomCom can capture screenshots of the victim’s machine |
T1219 | Remote Access Software | RomCom’s backdoor has a functionality to run AnyDesk application |
Indicators of Compromise (IoCs)
RomCom backdoor
6284fb51d5f94d20bcd98a56a69e02ffc45c2991e1f88f6ba97e7d2a9674332c | Modified AstraChat installer |
3e7bf3a34c4dfa6abfce8254f213cbc98331504fa956b8d35e0961966593034f | ROMCOM dropper |
dd65c3ad7473f211ae661ccc37f8017b9697dfffb75d415cb035399c14bc1bc9 | ROMCOM loader |
7424de0984159e0c01da89a429e036835f253de35ec2bdade0b91db906ec54ec | ROMCOM worker |
96d1cd0a6038ee295b02f038a30ac756bae0ee5ae26f5a64637adf86777d7e14 | ROMCOM networking |
8d805014ceb45195be5bab07a323970a1aa8bc60cdc529712bccaf6f3103e6a6 | STEALDEAL stealer |
6a3a0606293941ce9c3cebe0a3e63d7cdc6fb92fd4507d99b14c7675dd29ab40 | STEALDEAL stealer |
8b27b0482330d0cb38ac7b578576de5658faeba242d2abc9d94289271e2d16b3 | Modified AstraChat installer |
ca0ccf331b2545102452e3b505a64444f50ab00d406564dda6ea5987f0194208 | ROMCOM dropper |
597dd1e09bd23cd18132ce27a731d0b66c78381e90292ece0f23738773743a7c | ROMCOM networking |
ad39ad35084d8339744299def3af979e666add8103ebd706de3cd1430d3ca8a1 | ROMCOM loader |
ac1fce0ca42f05d54dfbf96415d558f9de1c87abc940531a051536d97bee5c32 | ROMCOM worker |
45bfc3928dd2bb3f7ed388ddd0e109b93aebe3dd0e22609d743673c6c0425732 | Modified Remote Desktop Manager ZIP archive |
116ec1c306a2ee93ad5371d189bdbc15b23588be0322622b329f763c7f8622f1 | ROMCOM dropper |
615bfe8f7f3903bb380f59bca6339d1b37125cc9d303f935e7197ff0706fded7 | ROMCOM networking |
e58fcd4a8d13cb1847f08fd3db6f86473c589f935bcf76ff2837bfac3e8f8f6e | ROMCOM loader |
a552b0b1c948e0ef4e51088f059c280a967ff40bf93ff9d62ebeb74e80f36fc5 | Modified GoTo Meeting installer |
3b26e27031a00a32f3616de5179a003951a9c92381cd8ec552d39f7285ff42ee | ROMCOM dropper |
916153d8265a2f9344648e302c6b7b8d7e1f40f704b0df83edde43986ab68e56 | ROMCOM loader |
e7914f823ed0763c7a03c3cfdbcf9344e1da93597733ac22fe3d31a5a4e179aa | ROMCOM worker |
3e293680e0f78e404fccb1ed6daa0b49d3f6ea71c81dbaa53092b7dd32e81a0d | ROMCOM networking |
6d3ab9e729bb03ae8ae3fcd824474c5052a165de6cb4c27334969a542c7b261d | Modified Remote Desktop Manager installer |
0501d09a219131657c54dba71faf2b9d793e466f2c7fdf6b0b3c50ec5b866b2a | ROMCOM networking |
65778e3afc448f89680e8de9791500d21a22e2279759d8d93e2ece2bc8dae04d | ROMCOM loader |
2ba51d7e338242bc6a8109317b91dd13137e296693c535ceacc1288775acc81f | ROMCOM worker |
ff8eccca561e07a4d3b1a229b307cd1e787fe9fe21a781f361e3f01750def89c | Modified installer |
7c72e817069bc966a8166a701da397508d44fe9da0e72a047fcf3d694eee81e9 | ROMCOM networking |
555ef671179b83989858b6d084b3aee0a379c9d8c75ca292961373d3b71315f8 | ROMCOM loader |
244885707e1ccfb02160ae60d749bafcfbcfd1d2572afed9113010609cd43820 | ROMCOM worker |
1.2 Chiến dịch tấn công SmugX của nhóm tấn công Trung Quốc nhắm đến châu Âu
Đội ngũ nghiên cứu của Check Point (Check Point Research – CPR) đã theo dõi và phát hiện các hoạt động của 1 nhóm tấn công Trung Quốc nhắm đến các Bộ Ngoại giao và Đại sứ quán đặt tại châu Âu. Chiến dịch này được cho là đã bắt đầu từ cuối năm 2022, có liên quan đến các chiến dịch tấn công trước đó của các nhóm RedDelta và Mustang Panda. Ngoài các kĩ thuật tấn công và mẫu mã độc thường thấy từ các nhóm tấn công Trung Quốc, các chuyên gia phân tích còn phát hiện 1 điểm nổi bật trong chiến dịch tấn công lần này là việc sử dụng kĩ thuật HTML Smuggling để giấu các payload độc hại bên trong các tài liệu HTML.
HTML Smuggling 101
Kĩ thuật HTML Smuggling cho phép nhúng các file độc hại bên trong các tài liệu dạng HTML, từ đó tránh được các biện pháp phát hiện dựa trên network (network-based detection). Kĩ thuật này được sử dụng trong chiến dịch SmugX bắt đầu từ việc download 1 file JavaScript hoặc 1 file Zip. Tiếp đến việc mở các file độc hại này sẽ dẫn đến 1 chuỗi các hành vi sau:
- Payload được nhúng trong code được giải mã và lưu vào 1 JavaScript blob, được định nghĩa file type phù hợp như application/zip.
- Các đoạn code JavaScript chủ động tạo element <a> thay vì tận dụng element này có sẵn của HTML.
- Sử dụng hàm createObjectURL để tạo 1 URL object từ blob.
- Attribute download được đặt với giá trị filename mong muốn.
- Các đoạn code tiếp theo gọi đến click action, mô phỏng lại hành động của người dùng nhấn vào đường link để thực hiện download file.
- Với các phiên bản trình duyệt cũ hơn, sử dụng msSaveOrOpenBlob trong code để lưu blob với giá trị filename mong muốn.
Infection chain
Đội ngũ CPR đã đưa ra 2 luồng lây nhiễm chính trong chiến dịch tấn công lần này: 1 luồng lây nhiễm sử dụng 1 file Zip có chứa 1 file LNK độc hại, và luồng còn lại sử dụng JavaScript để download 1 file MSI từ 1 máy chủ từ xa.
SmugX Archive Chain
Luồng lây nhiễm thứ nhất sử dụng HTML Smuggling với 1 file Zip có chứa 1 file LNK độc hại chạy các câu lệnh PowerShell. Các câu lệnh này tiến hành giải nén các nội dung khác trong file LNK và lưu vào đường dẫn %temp%, bao gồm 3 files:
- 1 file thực thi hợp pháp dùng để sideload mã độc (exe hoặc passwordgenerator.exe)
- 1 DLL độc hại được sideloaded (dll)
- PlugX payload (dat)
SmugX JavaScript Chain
Luồng lây nhiễm thứ hai sử dụng HTML Smuggling thông qua download 1 file JavaScript, thực thi file này để tiến hành download và thực thi 1 file MSI lấy từ máy chủ của nhóm tấn công. File MSI tạo 1 folder mới trong đường dẫn %appdata%\Local để lưu 3 file độc hại tương tự như luồng lây nhiễm thứ nhất.
Mẫu malware được phát hiện trong chiến dịch lần này là PlugX, 1 mẫu malware được sử dụng phổ biến bởi các nhóm tấn công Trung Quốc, cho phép kẻ tấn công thực hiện 1 loạt các hành vi trên hệ thống nạn nhân bao gồm lấy cắp file, chụp ảnh màn hình, keystroke logging, và thực thi các câu lệnh.
Attribution
Quá trình phân tích của đội ngũ nghiên cứu đã phát hiện 1 certificate trên máy chủ C&C có địa chỉ IP 62.233.57[.].136, trường common name trong certificate có trỏ đến 1 địa chỉ IP khác là 45.134.83[.]29 có liên quan đến 1 chiến dịch khác của nhóm RedDelta. Certificate này cũng từng được nhắc đến trong các báo cáo về hoạt động của nhóm Mustang Panda.
Ngoài ra, các nhà phân tích còn phát hiện sự tương đồng về việc sử dụng đường dẫn để triển khai mã độc PlugX, đây là các đường dẫn chỉ được sử dụng trong chiến dịch SmugX và các chiến dịch của RedDelta và Mustang Panda:
- C:\Users\Public\VirtualFile
- C:\Users\Public\SamsungDriver
- C:\Users\Public\SecurityScan
Indicators of Compromise (IoCs)
Hashes
HTML
edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd
736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af
0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1
989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05
10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee
c96723a68fc939c835578ff746f7d4c5371cb82a9c0dffe360bb656acea4d6e1
9ce5abd02d397689d99f62dfbd2a6a396876c6629cb5db453f1dcbbc3465ac9a
Archives
5f751fb287db51f79bb6df2e330a53b6d80ef3d2af93f09bb786b62e613514db
baca1159acc715545a787d522950117eae5b7dc65efacfe86383f62e6b9b59d3
720a70ca6ee1fbaf06c7cb60d14e27391130407e34e13a092d19f1df2c9c6d05
460c459db77c5625ed1c029b2dd6c6eae5e631b81a169494fb0182d550769f76
277390cc50e00f52e76a6562e6e699b0345497bd1df26c7c41bd56da5b6d1347
JavaScripts
3c6ace055527877778d989f469a5a70eb5ef7700375b850f0b1b8414151105ee
27a61653ce4e503334413cf80809647ce5dca02ff4aea63fb3a39bc62c9c258c
ce308b538ff3a0be0dbcee753db7e556a54b4aeddbddd0c03db7126b08911fe2
MSI
fd0711a50c8af1dbc5c7ba42b894b2af8a2b03dd7544d20f5a887c93b9834429
3489955d23e66d6f34b3ada70b4d228547dbb3ccb0f6c7282553cbbdeaf168cb
04b99518502774deb4a9d9cf6b54d43ff8f333d8ec5b4b230c0e995542bb2c61
bd3881964e351a7691bfc7e997e8a2c8ce4a8e26b79e3712d0cbdc484a5646b6
ea2869424df2ffbb113017d95ae48ae8ed9897280fd21b26e046c75b3e43b25a
RoboForm.dll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 payload
62c2e246855d589eb1ec37a9f3bcc0b6f3ba9946532aff8a39a4dc9d3a93f42c
f7d35cb95256513c07c262d4b03603e073e58eb4cd5fa9aac1e04ecc6e870d42
bf4f8a5f75e9e5ecd752baa73abddd37b014728722ac3d74b82bffa625bf09b5
8a6ef9aa3f0762b03f983a1e53e8c731247273aafa410ed884ecd4c4e02c7db8
ec3e491a831b4057fc0e2ebe9f43c32f1f07959b6430b323d35d6d409d2b31e4
bf8e512921522e49d16c638dc8d01bd0a2803a4ef019afbfc2f0941875019ea1
ba55542c6fa12865633d6d24f4a81bffd512791a6e0a9b77f6b17a53e2216659
Decrypted payload
8ea34b85dd4fb64f7e6591e4f1c24763fc3421caa7c0f0d8350c67b9bafa4d32
8cac6dfb2a894ff3f530c29e79dcd37810b4628279b9570a34f7e22bd4d416b3
ea5825fa1f39587a88882e87064caae9dd3b79f02438dc3a229c5b775b530c7d
1acb061ce63ee8ee172fbdf518bd261ef2c46d818ffd4b1614db6ce3daa5a885
08661f40f40371fc8a49380ad3d57521f9d0c2aa322ae4b0a684b27e637aed12
324bfb2f414be221e24aaa9fb22cb49e4d4c0904bd7c203afdff158ba63fe35b
IPs & domains
45.90.58[.]69
62.233.57[.]136
217.12.207[.]164
152.152.12[.]12
jcswcd[.]com
newsmailnet[.]com
Paths
C:\Users\<username>\VirtualFile
C:\Users\Public\VirtualFile
C:\Users\<username>\SamsungDriver
C:\Users\Public\SamsungDriver
C:\Users\Public\SecurityScan
1.3 Chiến dịch tấn công của Lazarus sử dụng phần mềm VNC giả mạo
Vừa qua, đội ngũ nghiên cứu của 360 Threat Intelligence đã khám phá ra 1 chiến dịch tấn công của Lazarus (APT-C-26) sử dụng phần mềm giả mạo ComcastVNC. Mục đích tấn công của nhóm trong chiến dịch lần này thay vì liên quan đến tài chính sẽ là triển khai mã độc để đánh cắp thông tin người dùng.
Attack Flow
Chiến dịch tấn công được bắt đầu bằng cách lừa các nạn nhân tải về các file nén có chứa file ISO thông qua các kĩ thuật social engineering. Bên trong file ISO có chứa 3 files bao gồm:
- exe, thực tế là file choice.exe
- dll
- dat
File EXE khi được thực thi sẽ tiến hành sideload version.dll, version.dll sẽ đọc nội dung trong file portable.dat, sau đó sử dụng sRDI (1 open source project) để thực hiện reflective load và thực thi mã độc BlindingCan.
Mẫu mã độc được phát hiện và phân tích trong chiến dịch lần này là 1 mẫu backdoor HTTP(S) có đầy đủ chức năng. Mã độc là 1 file DLL 64 bit có sử dụng VMProtect, kết nối đến địa chỉ C2 tại https://www.rowdensurname[.]org/slideshow/slides/show.asp. Các chuyên gia phân tích xác định đây là mã độc BlindingCan (tên gọi khác AIRDRY) dựa trên các bằng chứng về RTTI, Rich Header structure, User Agent, communication strings và cách thức bảo vệ (VMProtect).
Địa chỉ C2 được phát hiện (https://www.rowdensurname[.]org/slideshow/slides/show.asp) cho thấy đây là 1 máy chủ đã bị nhóm tấn công khai thác và chiếm quyền, từ đó sử dụng file ASP để thu thập các thông tin gửi về từ máy các nạn nhân.
So sánh và đối chiếu các bằng chứng thu được với các chiến dịch tấn công trước đây, đội ngũ 360 Threat Intelligence xác định nhóm tấn công đứng đằng sau chiến dịch này là Lazarus.
Indicators of Compromise (IoCs)
ce1792fd716579823b33ac3c085ad742
6299bac300f45a37280a3503e6fdf0e0
64bb5cff965553c0802e6d01c724b79c
C46100C2FB9D8561480977F4E9D00009
f6989d0c87f55fd9796c01a85a47896d
https://www.rowdensurname.org/slideshow/slides/show.asp
2 Malware
2.1 BlackByte ransomware intrusion case study
Gần đây, Microsoft cung cấp bài phân tích chuỗi tấn công, với vector tấn công ban đầu là khai thác các lỗ hổng bảo mật trên các dịch vụ được public Internet. Sau khi có quyền truy cập ban đầu, kẻ tấn công triển khai nhiều loại mã độc nhằm mục đích duy trì kết nối trong hệ thống bị chiếm quyền. Cuối cùng là triển khai ransomware Blackbyte
Backdoor
Sau khi có quyền truy cập ban đầu, kẻ tấn công thực hiện tạo các giá trị trong registry để thực thi các payload. Các giá trị được ghi trong registry như sau:
Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Value name: MsEdgeMsE
Value data: rundll32 C:\Users\user\Downloads\api-msvc.dll,Default
Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Value name: MsEdgeMsE
Value data: rundll32 C:\temp\api-msvc.dll,Default
Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Value name: MsEdgeMsE
Value data: rundll32 C:\systemtest\api-system.png,Default
Api-msvc.dll là một DLL 64-bit được thực thi thông qua rundll32 gọi hàm Export function có tên Default, DLL thực hiện một số chức năng chính như sau:
- Thu thập thông tin hệ thống như: phần mềm antivirus đang cài đặt trên máy, tên thiết bị, địa chỉ IP
- Các thông tin sẽ được gửi thông qua POST request tới địa chỉ C2: hxxps://myvisit[.]alteksecurity[.]org/t theo giao thức HTTP
api-system.png được xác định có cùng export function và có hành vi tương tư api-msvc.dll
Kẻ tấn công cũng tải xuống thêm mã độc CobaltStrike từ địa chỉ hxxps://temp[.]sh/szAyn/sys.exe. CobaltStrike beacon kết nối tới địa chỉ C2 109.206.243[.]59:443
Đánh cắp dữ liệu
Kẻ tấn công sử dụng ExByte (explorer.exe) được phát triển bởi ngôn ngữ GoLang, thường được sử dụng bởi ransomware BlackByte nhằm thu thập và đánh cắp các tệp tin từ nạn nhân. Công cụ có tính năng liệt kê các tệp tin, tạo log chứa danh sách các tệp tin tại một số đường dẫn, như: C:\Exchange\MSExchLog.log. Danh sách các tệp tin với phần mở rộng được liệt kê trong binary
Phân tích một tệp có tên data.txt, tệp chứa thông tin xác thực đã bị obfuscated, được ExByte sử dụng để xác thực với MegaNZ thông qua API hxxps://g.api.mega.co[.]nz, một nền tảng chia sẻ tệp tin phổ biến.
Khi thực thi, ExByte kiểm tra xem tiến trình có đang thực thi với quyền truy cập đặc quyền hay không bằng cách đọc \\.\PHYSICALDRIVE0. Nếu không, hàm ShellExecuteW sẽ được gọi với tham số trong lpOperation là RunAs. Sau khi kiểm qua, explorer sẽ đọc file data.txt, giải mã base64 và khóa được cung cấp thông qua commandline. Giá trị sau khi giải mã được phân tách theo định dạng JSON theo định dạng:
{
“a”:”us0”,
“user”:”<CONTENT FROM data.txt>”
}
Giá trị này được sử dụng cho mục đích đang nhập vào MEGA NZ qua URL: hxxps://g.api.mega.co[.]nz/cs?id=1674017543
Nếu không tồn tại file data.txt, explorer.exe sẽ tự xóa bản thân
C:\Windows\system32\cmd.exe /c ping 1.1.1.1 -n 10 > nul & Del <PATH>\explorer.exe /F /Q
BlackByte 2.0
Ransomware BlackByte 2.0 có một tính năng chính sau:
- Vượt qua các phần mềm Antivirus (Antivirus bypass): thông qua việc tạo và chạy dịch vụ, khai thác lỗ hổng cho phép người dùng đọc ghi vào bộ nhớ nhằm lẩn tránh sự phát hiện của phần mềm antivirus.
- Process hollowing: Gọi đến svchost.exe thực hiện mã hóa dữ liệu và tự xóa bản thân theo câu lệnh: cmd.exe /c ping 1.1.1.1 -n 10 > Nul & Del “PATH_TO_BLACKBYTE” /F /Q
- Chỉnh sửa / Tắt windows firewall: Thực hiện các câu lệnh chỉnh sửa hoặc tắt các tập luật trên Windows Firewall
- cmd /c netsh advfirewall set allprofiles state off
- cmd /c netsh advfirewall firewall set rule group=”File and Printer Sharing” new enable=Yes
- cmd /c netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes
- Hủy các volume shadow copies trên máy nạn nhân thông qua câu lệnh:
- cmd /c vssadmin Resize ShadowStorge /For=B:\ /On=B:\ /MaxSize=401MB
- cmd /c vssadmin Resize ShadowStorage /For=B:\ /On=B:\ /MaxSize=UNBOUNDED
- Thay đổi các giá trị trong registry
- cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
- cmd /c reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLinkedConnections /t REG_DWORD /d 1 /f
- cmd /c reg add HKLM\\SYSTEM\\CurrentControlSet\\Control\\FileSystem /v LongPathsEnabled /t REG_DWORD /d 1 /f
Indicators of Compromise (IoCs)
4a066569113a569a6feb8f44257ac8764ee8f2011765009fdfd82fe3f4b92d3e
5f37b85687780c089607670040dbb3da2749b91b8adc0aa411fd6280b5fa7103
01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd
ba3ec3f445683d0d0407157fda0c26fd669c0b8cc03f21770285a20b3133098f
hxxps://myvisit[.]alteksecurity[.]org/t
hxxps://temp[.]sh/szAyn/sys.exe
109.206.243[.]59
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – July 2023
Trong tháng 7, Microsoft đã phát hành các bản vá cho 130 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure Active Directory và DevOps; Microsoft Dynamics; Printer Drivers; DNS Server; và Remote Desktop. Trong đó có 9 lỗ hổng được đánh giá mức độ Nghiêm trọng, 121 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-36884 – Office and Windows HTML Remote Code Execution Vulnerability
CVSS: 8.3/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa (Remote Code Execution) ảnh hưởng đến các sản phẩm của Windows và Office thông qua việc tạo các tài liệu Microsoft Office độc hại và lừa người dùng mở các file tài liệu này. Microsoft ghi nhận lỗ hổng đang được sử dụng, khai thác bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Microsoft Word 2013 Service Pack 1 (64-bit editions)
Microsoft Word 2013 Service Pack 1 (32-bit editions)
Microsoft Word 2016 (64-bit edition)
Microsoft Word 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office 2019 for 64-bit editions
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Microsoft Office 2019 for 32-bit editions
Windows Server 2012 R2 (Server Core installation)
Khuyến nghị:
Hiện tại, Microsoft chưa phát hành bản cập nhật cho lỗ hổng này. NCS khuyến nghị khách hàng/doanh nghiệp thực hiện các biện pháp giảm thiểu sau trong thời gian đợi bản cập nhật từ hãng:
- Các khách hàng đang sử dụng Microsoft Defender cho Office sẽ được bảo vệ khỏi các file đính kèm độc hại khai thác lỗ hổng.
- Các khách hàng đang sử dụng Microsoft Defender for Endpoint, thực hiện cấu hình và sử dụng rule “Block all Office applications from creating child processes” (chặn các ứng dụng Office khởi tạo các tiến trình con) trong tập luật Attack Surface Reduction Rule sẽ giúp ngăn chặn việc khai thác lỗ hổng, tham khảo thêm tại đây: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/attack-surface-reduction-rules-reference?view=o365-worldwide#block-all-office-applications-from-creating-child-processes
- Trong trường hợp khách hàng không sử dụng 2 biện pháp trên, có thể bổ sung giá trị trong registry tại đường dẫn: “Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION”. Thêm các giá trị sau với kiểu của mỗi giá trị là REG_DWORD, DATA = 1:
- exe
- exe
- exe
- exe
- exe
- exe
- exe
- exe
- exe
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Excel.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Graph.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v MSAccess.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v MSPub.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v PowerPoint.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Visio.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v WinProj.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v WinWord.exe /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION" /v Wordpad.exe /t REG_DWORD /d 1 /f
Lưu ý: Microsoft khuyến cáo việc thay đổi giá trị trong registry sẽ giúp giảm thiểu, ngăn chặn được lỗ hổng bị khai thác, tuy nhiên trong một số trường hợp, việc thay đổi này có thể ảnh hưởng đến khả năng hoạt động của những ứng dụng trên trong 1 số trường hợp nhất định.
Link tham khảo thông tin và các biện pháp ngăn chặn lỗ hổng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
3.1.2 CVE-2023-35311 – Microsoft Outlook Security Feature Bypass Vulnerability
CVSS: 8.8/10
Mô tả: Thông thường, Microsoft Outlook sẽ hiện hộp thoại cảnh báo bảo mật khi người dùng nhấn vào 1 đường dẫn trong email. Khai thác lỗ hổng thành công cho phép kẻ tấn công vượt qua tính năng bảo mật này, khi đó sẽ không hiện các cảnh báo tới người dùng. Lỗ hổng này thường được kết hợp với các lỗ hổng thực thi mã từ xa. Microsoft ghi nhận lỗ hổng đang được sử dụng bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2013 (64-bit editions)
Microsoft Outlook 2013 (32-bit editions)
Microsoft Outlook 2016 (64-bit edition)
Microsoft Office 2019 for 64-bit editions
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office 2019 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
3.1.3 CVE-2023-36874 – Windows Error Reporting Service Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Error Reporting Service là tính năng được thiết lập mặc định giúp kiểm tra hoạt động của máy tính và gửi các báo cáo cho Microsoft về các vấn đề hệ thống đang gặp phải. Khai thác thành công cho phép kẻ tấn công leo thang đặc quyền. Microsoft ghi nhận lỗ hổng đang được sử dụng bởi các nhóm tấn công.
Phiên bản ảnh hưởng:
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
3.1.4 CVE-2023-32057 – Microsoft Message Queuing Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Message Queuing (MSMQ) là kiến trúc cung cấp giao tiếp không đồng bộ, cho phép các thành phần/service trong một hệ thống có thể gửi tin nhắn (messages) tới hàng đợi (queues) và đọc tin nhắn (messages) từ hàng đợi (queues).
Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống có cấu hình dịch vụ Messeage Queuing (Messeage Queuing service). Để khai thác lỗ hổng, attacker sẽ gửi packet MSMQ chứa các đoạn mã độc hại tới MSMQ server, server xử lý packet này và kích hoạt các đoạn mã độc hại.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows 10 Version 22H2 for 32-bit Systems
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32057
3.1.5 CVE-2023-33157 – Microsoft SharePoint Remote Code Execution Vulnerability
CVSS: 8.8/10
Mô tả: Sharepoint tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng, cho phép truy cập và thay đổi thông tin của nạn nhân. Khai thác thành cồng lỗ hổng cũng có thể khiến hệ thống bị gián đoạn (downtime). Khai thác lỗ hổng yêu cầu xác thực và có quyền Manage List.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33157
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-34192 – Cross-site Scripting (XSS) vulnerability
CVSS: 9.0/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã thông qua việc tạo các đoạn script cho hàm /h/autoSaveDraft
Phiên bản ảnh hưởng:
Zimbra Collaboration Suite (ZCS) v.8.8.15
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories
3.2.2 CVE-2023-29300 – Deserialization of Untrusted Data vulnerability
CVSS: 9.8/10
Mô tả: Adobe ColdFusion tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ ý. Khai thác lỗ hổng không yêu cầu tương tác từ người dùng.
Phiên bản ảnh hưởng:
Adobe ColdFusion trước phiên bản 2018u16
Adobe ColdFusion trước phiên bản 2021u6
Adobe ColdFusion trước phiên bản 2023.0.0.330468
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html