Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công của nhóm Midnight Bizzard sử dụng tấn công kỹ nghệ xã hội (social engineering) nhắm tới người dùng Microsoft Teams
Midnight Blizzard (hay còn được biết đến với tên gọi NOBELIUM, APT29, UNC2452, Cozy bear) là nhóm tấn công được cho thuộc Cơ quan Tình báo nước ngoài của Liên bang Nga (SVR), với mục tiêu nhắm tới tổ chức chính phủ, ngoại giao, tổ chức phi chính phủ và các nhà cung cấp dịch vụ công nghệ thông tin chủ yếu ở khu vực Hoa Kỳ và Châu Âu. Sử dụng các kỹ thuật khác nhau để khởi tạo truy cập như sử dụng các thông tin tài khoản đánh cắp hoặc tấn công chuỗi cung ứng (supply chain attacks), v.v…
Gần đây, Microsoft đã theo dõi và phát hiện nhóm tấn công này sử dụng kỹ nghệ xã hội để lừa đảo đánh cắp thông tin xác thực thông qua các cuộc trò chuyện trên nền tảng Microsoft Teams. Theo ghi nhận từ Microsoft, chiến dịch này ảnh hưởng đến gần 40 tổ chức trên toàn cầu như tổ chức chính phủ, phi chính phủ (NGOs), các công ty cung cấp dịch vụ công nghệ thông tin, nhóm ngành thuộc lĩnh vực truyền thông.
Credential phishing attack
Nhóm tấn công thường xuyên sử dụng các kỹ thuật đánh cắp token nhằm có quyền truy cập ban đầu vào hệ thống của mục tiêu tấn công. Ngoài ra các kỹ thuật như password spray, brute force và các kỹ thuật tấn công xác thực khác cũng được nhóm sử dụng.
Sử dụng các từ khóa liên quan đến bảo mật trong tên miền để tăng độ tin cậy
Nhằm tăng độ tin cậy và thuận lợi hơn trong quá trình tấn công, nhóm tấn công chiếm quyền các tenant Microsoft 365 của các doanh nghiệp nhỏ, sau khi chiếm được quyền, nhóm tấn công đổi tên các tenant, thêm user và subdomain “onmicrosoft.com” liên quan đến các chủ đề về bảo mật nhằm tăng mức độ tin cậy và hợp pháp phục vụ quá trình tiếp tục lừa các nạn nhân mới.
Tấn công kỹ nghệ xã hội (Social engineering attack chain)
Trong kỹ thuật này, nhóm tấn công đã có được thông tin xác thực của tài khoản người dùng hợp lệ hoặc người dùng sử dụng hình thức xác thực bỏ qua mật khẩu, cả hai cách thức trên đều cần xác thực dựa trên một ứng dụng Microsoft Authenticator trên thiết bị di động. Sau đó, nhóm tấn công sẽ cung cấp một mã nhằm lừa người dùng nhập mã này vào ứng dụng xác thực của nạn nhân. Cụ thể các bước thực hiện như sau:
Bước 1. Gửi các yêu cầu trò chuyện tới nạn nhân
Kẻ tấn công gửi yêu cầu trò chuyện tới Microsoft Teams của nạn nhân với tên giả mạo kỹ thuật viên hỗ trợ kỹ thuật hoặc kỹ thuật viên bảo mật.
Bước 2: Gửi các yêu cầu giả mạo để lừa người dùng xác thực thông qua ứng dụng Microsoft
Nếu người dùng chấp nhận yêu cầu tin nhắn, người dùng sẽ nhận được một đoạn tin nhắn với nội dung thiết phục người dùng sử dụng mã để nhập vào ứng dụng Microsoft Authenticator của nạn nhân.
Bước 3: Xác thực thành công thông qua MFA
Nếu người dùng nhập mã theo yêu cầu, kẻ tấn công sẽ được cấp xác thực trên tài khoản của nạn nhân, từ đó có thể sử dụng để có quyền truy cập vào tài khoản Microsoft 365, tiếp tục các hành vi khác như đánh cắp thông tin. Một số trường hợp khác, kẻ tấn công có thể thêm các thiết bị vào danh sách các thiết bị được quản lý.
Indicators of compromise (IoCs)
Indicator | Type | Description |
msftprotection.onmicrosoft[.]com | Domain name | Malicious actor-controlled subdomain |
identityVerification.onmicrosoft[.]com | Domain name | Malicious actor-controlled subdomain |
accountsVerification.onmicrosoft[.]com | Domain name | Malicious actor-controlled subdomain |
azuresecuritycenter.onmicrosoft[.]com | Domain name | Malicious actor-controlled subdomain |
teamsprotection.onmicrosoft[.]com | Domain name | Malicious actor-controlled subdomain |
1.2 RedHotel – Nhóm tấn công Trung Quốc hoạt động với quy mô toàn cầu.
RedHotel – một trong những nhóm tấn công nổi bật được tài trợ bởi chính phủ Trung Quốc. Với mục tiêu toàn cầu, số lượng các quốc gia mà nhóm tấn công nhắm tới lên tới 17 quốc gia ở khu vực Châu Á, Châu Âu và Bắc Mỹ xuyên suốt từ 2021 đến 2023, là mối đe doạ với các tổ chức chính phủ trên toàn thế giới, đặc biệt là khu vực Đông Nam Á. Thông qua các IP cho thấy cơ sở hạ tầng của nhóm tấn công có vị trí địa lý ở thành phố Thành Đô, tỉnh Tứ Xuyên, Trung Quốc. Ngoài ra, dựa theo mục tiêu tấn công, các công cụ và cách thức tấn công, kỹ thuật mà nhóm sử dụng gần giống với nhóm RedGolf (hay có tên gọi khác là APT4, Brass Typhoon) có trụ sở cũng ở Thành Đô. Các hoạt động của nhóm RedHotel trùng lặp với các báo cáo về các nhóm tấn công được công khai với các tên gọi khác như Aquatic Panda (CrowdStrike), BRONZE UNIVERSITY (SecureWorks), Charcoal Typhoon (Microsoft), Earth Lusca (Trend Micro), và Red Scylla (PWC)
Trong một chiến dịch cuối năm 2022, nhóm tấn công đã sử dụng chữ ký số đánh cắp được từ một công ty game ở Đài Loan để ký cho một thư viện liên kết động (DLL). DLL này là một công cụ tấn công có tên Brute Ratel C4 với payload được cấu hình để tạo kết nối tới máy chủ được cho là đã bị chiếm quyền điều khiển trực thuộc Viện Khoa học tổ chức nhà nước Việt Nam. Đáng chú ý hơn, cơ sở hạ tầng liên quan đến hoạt động của nhóm RedHotel cũng sử dụng chứng chỉ TLS đánh cắp từ một cơ quan chính phủ Việt Nam – Bộ Giáo dục và Đào tạo.
Trong chiến dịch này, phát hiện file mã độc có tên log.exe, được upload lên kho lưu trữ mã độc lần đầu vào tháng 11 năm 2022. Mã độc hoạt động như một loader, truy xuất tới các file độc hại khác tại địa chỉ 45[.]32[.]33[.]17, cụ thể như sau:
- hxxp://45[.]32[.]33[.]17/mcods.exe
- hxxp://45[.]32[.]33[.]17/mcvsocfg.dll
- hxxp://45[.]32[.]33[.]17/bin.config
SHA256 Hash | Tên tệp tin | Mô tả |
6e3c3045bb9d0db4817ad0441ee3c95b8fe
3e087388d1ceefb9ebbd2608aef16 |
log.exe | Loader thực hiện truy xuất và tải thêm 3 tệp tin khác |
e6bad7f19d3e76268a09230a123bb47d6c7
238b6e007cc45c6bc51bb993e8b46 |
mcods.exe | File thực thi hợp pháp của McAfee |
6f31a4656afb8d9245b5b2f5a634ddfbdb9
db3ca565d2c52aee68554ede068d1 |
mcvsocfg.dll | File DLL độc hại được gọi từ file thực thi mcods.exe |
c00991cfeafc055447d7553a14be2303e10 5b6a97ab35ecf820b9dbd42826f9d | bin.config | Payload Brute Ratel C4 dưới dạng đã được mã hoá |
Mã độc log.exe sau khi tải xuống thêm 3 tệp tin sẽ thực thi mcods.exe, DLL mcvsocfg.dll sẽ được gọi thông qua kỹ thuật DLL search order hijacking. DLL này được pack bằng UPX và có chữ ký của hãng game tại Đài Loan và mà nhóm tấn công đã ăn cắp trước đó
DLL này có nhiệm vụ tìm kiếm file cấu hình có tên bin.config nằm cùng đường dẫn, bin.config là payload Brute Ratel C4 đã được mã hoá. Cả hai tệp tin log.exe và mcvsocfg.dll có PDB path như sau:
- exe PDB path: C:\Users\admin\source\repos\Project3\x64\Release\Project3.pdb
- dll PDB path: C:\Users\admin\source\repos\brc4_dll\x64\Release\brc4_dll.pdb
Sau khi được load thành công, payload sẽ gửi một HTTP-POST request tới cơ sở hạ tầng tại Việt Nam đã bị chiếm quyền điều khiển (sos[.]gov[.]vn – domain thuộc về Viện khoa học tổ chức nhà nước).
Tại thời điểm tháng 11 năm 2022, cơ sở hạ tầng của RedHotel cũng cấu hình CobaltStrike C2 với TLS đánh cắp từ Bộ Giáo dục và Đào tạo Việt Nam (MOET)
MITRE ATT&CK
ID | Tatic: Technique | Description |
T1595.002 | Resource Development: Acquire Infrastructure: Virtual Private Server | RedHotel has provisioned actor-controlled VPS, with a preference for the providers Choopa (Vultr), G-Core, and Kaopu Cloud HK Limited. |
T1140 | Defense Evasion: Deobfuscate/Decode
Files or Information |
RedHotel repeatedly stored encrypted or
encoded payloads within files named bin.config. |
T1553.002 |
Defense Evasion: Subvert Trust Controls:
Code Signing |
RedHotel has signed malicious binaries using
stolen code signing certificates (such as the referenced WANIN International certificate). |
T1574.001 | DLL Search Order Hijacking | RedHotel has abused legitimate executables mcods.exe for DLL search order hijacking |
T1036.005 | Defense Evasion: Masquerading: Match
Legitimate Name or Location |
RedHotel has used legitimate file names in
tandem with DLL search order hijacking to load malicious DLLs. |
T1071.001 | Command and Control: Application Layer
Protocol: Web Protocols |
RedHotel Brute Ratel and Cobalt Strike
samples referenced within this report communicate over HTTPS. |
Indicator of Compromises (IoCs)
log.exe
6e3c3045bb9d0db4817ad0441ee3c95b8fe3e087388d1ceefb9ebbd2608aef16
mcods.exe
e6bad7f19d3e76268a09230a123bb47d6c7238b6e007cc45c6bc51bb993e8b46
mcvsocfg.dll
6f31a4656afb8d9245b5b2f5a634ddfbdb9db3ca565d2c52aee68554ede068d1
bin.config
c00991cfeafc055447d7553a14be2303e105b6a97ab35ecf820b9dbd42826f9d
URL:
hxxp://45[.]32[.]33[.]17/mcods.exe
hxxp://45[.]32[.]33[.]17/mcvsocfg.dll
hxxp://45[.]32[.]33[.]17/bin.config
1.3 Chiến dịch tấn công của nhóm Bronze Starlight đến từ Trung Quốc nhắm đến các tổ chức cá cược ở Đông Nam Á
Đội ngũ nghiên cứu của SentinelOne vừa qua đã phát hiện 1 chiến dịch tấn công của nhóm tấn công đến từ Trung Quốc Bronze Starlight có sử dụng Cobalt Strike beacons để nhắm đến các tổ chức cá cược ở Đông Nam Á. Mục tiêu của chiến dịch tấn công lần này được cho là để thu thập thông tin nhằm theo dõi và chuẩn bị cho các hoạt động liên quan khác.
Các nhà phân tích đã phát hiện ra mẫu malware và cơ sở hạ tầng được sử dụng trong chiến dịch có sự tương đồng với các chiến dịch tấn công khác cũng nhắm đến các tổ chức cá cược ở Đông Nam Á, tiêu biểu là chiến dịch Operation ChattyGoblin đã được ESET phát hiện vào tháng 05/2023.
Malware Loaders
Hai mẫu loader được phát hiện là các file agentupdate_plugins.exe và AdventureQuest.exe là các file thực thi .NET được phát triển dựa trên công cụ SharpUnhooker, nhằm tải xuống các file ZIP có cài đặt mật khẩu từ các đường dẫn agenfile.oss-ap-southeast-1.aliyuncs[.]com và codewavehub.oss-ap-southeast-1.aliyuncs[.]com.
Bên trong mỗi file ZIP được giải nén sẽ bao gồm 1 file thực thi hợp pháp nhưng tồn tại lỗ hổng cho phép thực hiện DLL search order hijacking, 1 file DLL độc hại để tiến hành sideload bởi file thực thi trên, và 1 file dữ liệu được mã hóa có tên agent.data dùng để triển khai Cobalt Strike beacons.
Zip archive | Archive content | Final payload |
adobe_helper.zip (agentupdate_plugins.exe) | Adobe CEF Helper.exe
libcef.dll agent.data (not available) |
/ |
cefhelper.zip (AdventureQuest.exe) | identity_helper.exe
msedge_elf.dll agent.data |
Cobalt Strike C2: www.100helpchat[.]com |
Agent_bak.zip (AdventureQuest.exe) | mfeann.exe
LockDown.dll agent.data |
Cobalt Strike C2: live100heip[.]com |
Ngoài ra, 2 mẫu loader còn được triển khai thêm tính năng xác định vùng địa lý và sẽ dừng thực thi nếu phát hiện máy nạn nhân được đặt ở Mĩ, Đức, Pháp, Nga, Ấn Độ, Canada hoặc Anh. Tuy nhiên do lỗi triển khai nên tính năng này không hoạt động đúng như dự tính.
HUI Loaders
Các file DLL được giải nén từ các file ZIP đều là các mẫu HUI Loader, 1 mẫu malware loader tùy chỉnh được sử dụng khá phổ biển bởi các nhóm tấn công Trung Quốc. Qua phân tích, các file DLL này cho thấy sự giống nhau với các mẫu khác đã từng được sử dụng bởi các nhóm APT10, TA410 và Bronze Starlight.
C2 Infrastructure
Thông tin trong C2 GET và POST URIs tương ứng với 2 domains www.100helpchat[.]com và live100heip[.]com đều bao gồm /owa/ và theo sau là 1 chuỗi kí tự. Định dạng này cũng cho thấy sự tương đồng với các thông tin URIs của các C2 domains đã từng được sử dụng trong quá khứ bởi nhóm Bronze Starlight.
Domain | Cobalt Strike C2 URIs |
live100heip[.]com | GET: /owa/Z7bziD-BDtV9U1aLS9AhW4jyN1NEOelTEi
POST: /owa/LAC9kgQyM1HD3NSIwi–mx9sHB3vcmjJJm |
www.100helpchat[.]com | GET: /owa/aLgnP5aHtit33SA2p2MenNuBmYy
POST: /owa/XF0O-PjSCEslnDo51T0K4TOY |
Indicators of Compromise (IoCs)
Files (SHA1)
Indicator | Description |
09f82b963129bbcc6d784308f0d39d8c6b09b293 | agentupdate_plugins.exe |
1a11aa4bd3f2317993cfe6d652fbe5ab652db151 | LockDown.dll |
32b545353f4e968dc140c14bc436ce2a91aacd82 | mfeann.exe |
4b79016d11910e2a59b18275c786682e423be4b4 | Adobe CEF Helper.exe |
559b4409ff3611adaae1bf03cbadaa747432521b | identity_helper.exe |
57bbc5fcfd97d25edb9cce7e3dc9180ee0df7111 | agentdata.dat |
6e9592920cdce90a7c03155ef8b113911c20bb3a | AdventureQuest.exe |
76bf5ab6676a1e01727a069cc00f228f0558f842 | agentdata.dat |
88c353e12bd23437681c79f31310177fd476a846 | libcef.dll |
957e313abaf540398af47af367a267202a900007 | msedge_elf.dll |
Second-Stage Data URLs
https[://]agenfile.oss-ap-southeast-1[.]aliyuncs.com/agent_source/temp1/cefhelper.zip | AdventureQuest.exe |
https[://]agenfile.oss-ap-southeast-1.aliyuncs.com/agent_source/temp2/agent_bak.zip | AdventureQuest.exe |
https[://]agenfile.oss-ap-southeast-1.aliyuncs.com/agent_source/temp3/adobe_helper.zip | agentupdate_plugins.exe |
https[://]codewavehub.oss-ap-southeast-1.aliyuncs[.]com/org/com/file/CodeVerse.zip | AdventureQuest.exe |
C2 Domains
www.100helpchat[.]com
live100heip[.]com
C2 IPs
8.218.31[.]103
47.242.72[.]118
2 Malware
2.1 Chiến dịch đánh cắp tài khoản Facebook Business sử dụng mã độc NodeStealer 2.0
Trong tháng 8, các nhà nghiên cứu bảo mật Unit 42 của công ty An ninh mạng PaloAlto đã công bố thông tin về Chiến dịch tấn công bằng mã độc NodeStealer 2.0. Việc đặt tên chiến dịch này là NodeStealer 2.0 của Unit 42 dựa trên các điểm chung trong hình thức phát tán mã độc so với với chiến dịch NodeStealer trước đó với nhiều cơ sở để nhận định đều do tin tặc Việt Nam đứng sau.
Luồng tấn công bắt đầu bằng từ các bài viết lừa đảo được đăng tải trên Facebook với nội dung hấp dẫn nhắm đến các tài khoản Facebook Business. Tin tặc sử dụng nhiều trang Facebook và tài khoản cá nhân (tạo mới hoặc đánh cắp được) để đăng các bài viết để lừa nạn nhân nhấn vào đường dẫn đính kèm trong bài (thường là các dịch vụ rút gọn link) và tải về tệp tin từ các dịch vụ lưu trữ đám mây phổ biến như Google Drive, DropBox… Sau khi tập tin nén .zip/.rar đã được tải xuống máy, người dùng kích hoạt vào các tệp tin thực thi độc hại được nguỵ trang dưới các tập tin của Microsoft cùng với logo của Microsoft Excel.
Biến thể #1
Các mã độc thuộc biến thể #1 được đặt tên là Word.exe với tên sản phẩm là Peguis, được biên dịch bằng Nuitka
Sau khi được kích hoạt, mã độc ban đầu drop ra thư mục gồm nhiều tập tin được lưu tại đường dẫn%TEMP%/Microsoft/Windows/ONEFILE_[ProcessID]_[Timestamp]. Thư mục này bao gồm tệp thực thi Word.exe sau khi giải mã, các mô-đun Python và các thư viện cần thiết để thực thi chương trình Python. Tại đây, mã độc chính mới được kích hoạt, tạo nhiều tiến trình con để thực thi các hành vi độc hại gồm:
Đánh cắp thông tin tài khoản Facebook Business
Trước hết, mã độc kiểm tra có tồn tại tài khoản Facebook Business đã đăng nhập trên máy sử dụng trình duyệt mặc định. Từ header trả về, nếu phát hiện đã đăng nhập, mã độc sử dụng UserID và access token lấy được từ header để kết nối đến Facebook Graph API. Từ đó, tin tặc đánh cắp được các thông tin tài khoản bao gồm: lượt theo dõi, trạng thái xác thực, số dư tài khoản và các thông tin về chạy quảng cáo
Bên cạnh đó, mã độc còn đánh cắp thông tin đăng nhập các tài khoản Facebook có trên máy tính nạn nhân bằng cách scan các trình duyệt gồm Chrome, Edge, Cốc Cốc, Brave và Firefox. Mã độc duyệt qua cookies và các local databases của trình duyệt để tìm kiếm tên đăng nhập và tài khoản bên cạnh đánh cắp access token. Tất cả dữ liệu thu thập được gửi qua Telegram và xoá các file, không để lại dữ liệu trên máy nạn nhân để tránh phát hiện.
Mã độc tải thêm mã độc từ internet theo đường dẫn đã được hardcode gồm:
- Hxxps[:]//tinyurl[.]com/batkyc
- hxxps[:]//tinyurl[.]com/ratkyc2
Các đường dẫn này sử dụng dịch vụ rút gọn link và sẽ chuyển hướng tới các đường dẫn lần lượt là:
- http://adgowin66.site/ratkyc/4/bat.zip
- http://adgowin66.site/ratkyc/4/ratkyc.zip
bat.zip chứa bash script ToggleDefender có nhiệm vụ vô hiệu hoá Windows Defender. ratkyc.zip gồm 03 tập tin mã độc khác gồm:
Tên tệp tin | SHA-256 | Tính năng |
Antimalware Service Executable.exe | C238A1395FEE64EDB1B1ACBC0E6A805BF78DAFF4D358120BDA7230806BF7EDC | PHVNC (Hidden Virtual Network Computing) RAT |
COMSurrogate.exe | 940E17880B645B76F6546FAA2CE02B16B70A6E31EEC0828CE5DFA7EFD933F103 | BitRAT |
Host Process for Windows Tasks.exe | C07161B884F4F5FC02DC6C97096C5C4470701C5852C8E371FCA9512E3E2F0FAB | XWorm |
Để tải được các file .zip này, mã độc thực hiện kỹ thuật FoDHelper UAC bypass, bằng cách kích hoạt foldhelper.exe thông qua cmd.exe, từ đó giải nén zip và kích hoạt các tập tin tải về. Sau khi giải nén và thực thi, mã độc Word.exe duy trì sự hiện diện cho các tập tin trên và chính nó (tập tin mã độc Word.exe sau khi giải mã) thông qua chỉnh sửa Registry keys.
Bên cạnh batch script ToggleDefender, mã độc của biến thể #1 còn có khả năng tắt hoạt động của Windows Defender thông qua giao diện điều khiển GUI mà không cần tải thêm mã độc xuống. Khi được kích hoạt, cmd.exe, powershell.exe và giao hiện của Windows Defender được pop-up trên màn hình của người dùng.
Đánh cắp thông tin truy cập MetaMask
MetaMask là một ví tiền ảo nền Ethereum được được xây dựng dưới dạng extension (tiện ích mở rộng) cho các trình duyệt Chrome, FireFox và Brave. Sau khi duyệt profile tìm kiếm các extension và phát hiện có MetaMask đã được cài đặt, mã độc gửi các dữ liệu liên quan thông qua Telegram tương tự với tính năng lấy cắp tài khoản Facebook đã nêu trên.
Biến thể #2
Biến thể #2 được đặt tên file là MicrosoftOffice.exe và đặt tên sản phẩm là Microsoft Coporation. Một số mẫu thu được còn được pack bởi trình packer UPX.
Biến thể #2 không thực hiện nhiều hành vi độc hại như #1 nhưng cũng có nhiều hành vi nguy hiểm như:
Chiếm tài khoản Facebook
Để làm được điều này, mã độc cố gắng thay đổi email của tài khoản. Trước hết, tin tặc thực hiện mua mailbox service từ dịch vụ cung cấp mailbox hotmailbox.me thông qua API do hotmailbox hỗ trợ.
Nếu không thành công, mã độc tiếp tục cố gắng mua mailbox service từ một trang web khác là dongvanfb.net, với cùng phương thức tương tự là gửi request sử dụng API key của tin tặc.
Nếu mua thành công, tên đăng nhập và mật khẩu được lưu lại để mã đọc có thể đọc nội dung email. Sau đó, tin tặc sử dụng kĩ thuật thay đổi địa chỉ email của tài khoản Facebook business của nạn nhân mà không cần xác thực thông qua đường dẫn:
https://www.facebook[.]com/add_contactpoint/dialog/submit/.
Do đã chiếm được tài khoản, biến thể #2 không cần gửi dữ liệu thu thập được đến tin tặc bằng Telegram hay thông qua máy chủ C&C.
Đọc nội dung email
Biến thể #2 có tính năng parse email, do đó không loại trừ khả năng tin tặc có thể can thiệp, che giấu các cảnh báo của Facebook về thay đổi các cấu hình, thay đổi địa chỉ email.
Phát hiện máy ảo và chống phân tích
Có hai biến thể (biến thể #1 và biến thể #2) đã được ghi nhận và có nhiều chức năng khác nhau, tuy nhiên cả hai và chiến dịch trước đó Meta công bố đều cùng nhắm đến việc đánh cắp tài khoản Facebook và dữ liệu từ trình duyệt. Cả hai biến thể đều được viết bằng ngôn ngữ Python sau đó được biên dịch bằng Nuitka, một trình biên dịch Python mã nguồn mở cho phép biên dịch các mô-đun Python thành các tập tin thực thi độc lập, có thể chạy mà không cần trình thông dịch Python.
Tóm tắt tính năng của cả hai biến thể Python, cũng như so sánh với biến thể NodeStealer đã báo cáo trước đó được mô tả ở bảng sau:
Tính năng | Biến thể #1 NodeStealer 2.0 | Biến thể #2 NodeStealer 2.0 | NodeStealer thu thập được 05/2022 |
Đánh cắp thông tin tài khoản Facebook Business | X | X | X |
Đánh cắp thông tin trình duyệt | X | X | X
(Không bao gồm Cốc Cốc) |
Chiếm quyền truy cập hoàn toàn tài khoản Facebook | X | ||
Sử dụng Telegram để trích xuất dữ liệu thu thập được | X | X | |
Đọc email | X | ||
Tải thêm mã độc | X | ||
Vô hiệu hoá Windows Defender | X | ||
Đánh cắp tài khoản MetaMask | X | X | |
Áp dụng kỹ thuật chống phân tích | X |
Indicator of Compromises (IoCs)
Free 1,000 professional Excel templates.rar
1A4E8BCF7DC4AD7215957210C8E047F552B45A70DAF3D623436940979C38F94C
92657C3A108BBEDC6F05B4AF0A174E99A58E51E69C15C707D9C9CC63CDF1B4EA
FED5EA7840461984FA40784D84ED1A0961CBF48B03D8B79C522286BF6E220922
Word.exe
001F9D34E694A3D6E301A4E660F2D96BC5D6AA6898F34D441886C6F9160D9E48
FA5B9B72F248E1F79B3A424B61A1BCCE8BF6A99452545CFE15D7211F3EB3E93B
44DABADBF099BDB28FDC4D86CEBE53C00085C9C2AD52DF4D4774320409E7358B
1998492619C1FC6A5B78D5C4C6BEB05C582A1BE6AD2B9AC734179C731BBCF5CC
E856CC78CE1603547BB6FDB3EB9DA137F671E9547C072ABEA63B0248EC82ECB1
6D12C657EE403272CB3115FD0A6CF1FFE69CD4476C5A03BBC13C624DDD153518
A6509563BE7A8569E05198858658B8934D7BC5AD3D41E9806E261995C99A6ACF
A8ADEA800186DD52173DC6E55C46AA0B3619BEF3EEE25B17B7EDBA9353D5D08E
F61403729E3F4E212411DB486A537EABCA2D0B84BE21B789CDDCA4FC3AA85923
3FFF146C3E50A7DDC7E446AE51742C59C3D3277931F3C511D9651497E4AB14A7
9A551426CBB2CD7ADED923F277EEC195A282913D51C41F1791683E03A85379E0
A8608B8537338659943802BD4C3F37465B6B7146C60088E890F1201452690510
F08394C78F40C3028156C78672D1A8030C64A9F292B1FBB4BD42437381C96A54
2335A5B90CBF40F0BFE6434C7E9B461AB1ED8F470A9C3D5703D430AF30CF5371
A03F37BB04DBD0F602AD8F5E52E87650ECF8FC57763C043DE436996CE222E81D
22D57A535C226B514DA92D0DCC902F0029414C5F2B1141BC14AC9A057C791414
7BF3D295FC8D2605528331C0DA32D83F2B98489884BD92A24B71425FA13290DB
EAC6574EB3B1A6BF9818136875378EE2362901092B61D221541977925076EDF3
7C59713B5AE4DD41C94CDA9C2CB15A2E6173B886157A2BA5A68842CC7BDDE698
BD14E501B49BB332FD102F65558BE47E762FF8885D9C7DFE6C152597603664F1
34353C1734066CD11B1C002F770834D392AA225434E1BC8B4EC65EF753241E23
2E56A8E4002DE238BD1B792D495F59EDD598CDA49D649D42112F951ECB003432
77459352C074012C1E0D010E2B8792D08F36CA6F7BF4882B2DB2AF4AA1944E5F
C8D4F567E2162FCE6B49C15CA0908F9E3171E6BB6ACBFD2C7B129872053B025D
DCCC95C28BBC1F049C06E7B3A9866A920C4C4081E3176B26FC6AEA2CB59DAED7
8582241F8E0163F6360486E9B59E54C91DD3219538E03619E9E999F90AA92F81
FAB5ABE774E1AF199DA4B85DF87077E2E8F66C6F00F083B9074FD2186E455BFB
9DBA2CEF0E28A24B59EDA107633528CD83257F033A5D4330CF3302943B3E07C2
440541D9E9C4D1FA8A1F33CE8C434ACE11786E278278DF7A600978290B33E93F
009827AB2624370DED2CB8240CA2FE82AF36E3A94CFF1F8A2EAC574B4B928C4E
BFB4F44E8DD9C0A708DF89F0F114B523C446BAAEE19205D62AD99BB53A8B5935
50B5AB35C1E78429FDCDD45E2A0CEACC140FBF4022F7C34BAC4B5F296A17379A
BD16E9D3F730DF6B88FFF91485D3D27E544F3BB819347B0886806B1C14CBD575
9B1DCDE16F34AC3D5ABC15510060CD1692591054988416167DAE3C4643E5796C
57C234DC3A210467B990C16092FBD3AF2DC0AAF8AABBDFA1B566138B2ABC5E82
2CABB8E10C5AD57788D99F5218A1248E0ADA9A5BDBD5F976D9523B2E4A47AACF
A62ACB65022ABBD849E0A741A17485156333FBFE26F32C50654B3818335C1D0D
989F62528B32D47E50F1BD61CC7DC2E9CB25F54514374902D8A9CE41FCFCD779
A45FF2F03D88ABFB949B8C8F40FA08FA7E72D22E756716F8DC18E2F34376B722
7072DBC19DA9713C997CDBCACBC68CA709E900D44BB3572BC34FB3C91ECBEA9F
CE6314BFE207E4106DF4249452B654FFA892A1BD45BC7FF9D6871B1DBE8E3E3B
D3E1060A003F6A8073DEA4F6C976F552372CD4AB9251953C0932BE22C6F6605F
41A09E66C24953C7CB19F4A09B0779C8E9BCB39F0E544D0BDC9760C9B3D56E03
9282F4B1FA8ECF1273DDF3291ABCC8FC073B2E99A00F70985077197112A46C4C
A41B170F554A752A23769B28F3FA93703FA160B74897A8F35078D1E8923B91B0
4316A560734E68303860899D0F2B07A9EF4618647DA2E8AD38BAB70A4E532F88
FE434FFF6BECC2D829BBFED6BA9BF88154028D0327E7C6AA870AD050235FC334
B87EAD56FF364A052619C373B8C06D2150561196F87E584590F67A341BA78ABC
92EBA1A137918F99FBE15651568B8B76AD5F59788B1BCE9076BFB33BBC3484DE
1ADA42ADB9EE65AA02D5EB9D24D3455DF61C85F69E84F310B9630D62CA83A518
6777BBF5FD14EB1A7E81DE33C477AC5BA4F446699DF447995E8D362A8438A0A3
D12196087135B9383A4E9820D27625C059511C4776593A4D2EB83409A96AF3A5
EA96973F3D71CCCAD26BCE7F106F5800FCB007CF33D82FA00F5D564994397153
F31E2C430D4A8B17B45591BF68E5C4C7F7C28E4CCBD4CABCD10C33BA14B388C3
F80700C220246238507CF5EEDCB2E1397C32B3646BB90AD990E7FB69199752B5
415D70BE7A2E3AE8FD2BABC929C3110FCE7CE66D23EC32C473C6AAB73C5C00F8
4932514ACFAD25C7B2A1631706AEF8D91A415315E5207E1BC9A24791298E6319
9ECBA5AA60B9C202B1C69AADE1EDABB1C04072471A3618A5D714AA8833D570F4
38CBCCEA7C9F3032A8348E54BB94871B26279A7CCA64F5B79C3FA54C240960D2
4F91FDF024B54AD650C13F7FFE1A7F3EB6CAD66EB457E8A7FE494CF9BDB6F42A
MicrosofOffice.exe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.zip
1F093F818D2D3BD146C34D10BDB9DE0A33931D3586F0BB942F881052A20114F9
Stop.bat
A8D7B402E78721443D268B682F8C8313E69BE945B12FD71E2F795AC0BCADB353
Ratkyc.zip
14000DC5C64AD50E534739AFA86CE37C30B04A8ABA48FEB0F645B0A74B545744
Antimalware Service Executable.exe
C238A1395FEE64EDB1B1ACBC0E6A805BF78DAFF4D358120BDA7230806BF7EDC
COMSurrogate.exe
940E17880B645B76F6546FAA2CE02B16B70A6E31EEC0828CE5DFA7EFD933F103
Host Process for Windows Tasks.exe
C07161B884F4F5FC02DC6C97096C5C4470701C5852C8E371FCA9512E3E2F0FAB
URLs
hxxps://tinyurl[.]com/batkyc
hxxp://adgowin66[.]site/ratkyc/4/bat.zip
hxxps://tinyurl[.]com/ratkyc2
hxxp://adgowin66[.]site/ratkyc/4/ratkyc.zip
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – August 2023
Trong tháng 8, Microsoft đã phát hành các bản vá cho 74 CVE mới trong các sản phẩm của Microsoft Windows and Windows Components; Edge (Chromium-Based); Exchange Server; Office và Office Components; .NET và Visual Studio; ASP.NET; Azure DevOps và HDInsights; Teams; và Windows Defender. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 67 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-35385/36910/36911 – Microsoft Message Queuing Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Message Queuing (MSMQ) là kiến trúc cung cấp giao tiếp không đồng bộ, cho phép các thành phần/service trong một hệ thống có thể gửi tin nhắn (messages) tới hàng đợi (queues) và đọc tin nhắn (messages) từ hàng đợi (queues).
Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống có cấu hình dịch vụ Messeage Queuing (Messeage Queuing service). Để khai thác lỗ hổng, attacker sẽ gửi packet MSMQ chứa các đoạn mã độc hại tới MSMQ server, server xử lý packet này và kích hoạt các đoạn mã độc hại.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35385
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36910
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36911
3.1.2 CVE-2023-29328/29330 –Microsoft Teams Remote Code Execution Vulnerability
CVSS: 8.8/10
Mô tả: Microsoft Team tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, thông qua việc lừa người dùng truy cập vào cuộc họp được tạo bởi kẻ tấn công. Theo Microsoft, quá trình khai thác không yêu cầu đặc quyền cao. Lỗ hổng đã được thử nghiệm khai thác thành công trong cuộc thi Pwn2Own.
Phiên bản ảnh hưởng:
Microsoft Teams for Mac
Microsoft Teams for Android
Microsoft Teams for iOS
Microsoft Teams for Desktop
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29328
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29330
3.1.3 CVE-2023-38182 – Microsoft Exchange Server Elevation of Privilege Vulnerability
CVSS: 9.8/10
Mô tả: Microsoft Exchange Server tồn tại lỗ hổng cho phép kẻ tấn công đăng nhập thành công như một người dùng trong hệ thống.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709.
3.1.4 CVE-2023-38181- Microsoft Exchange Server Spoofing Vulnerability
CVSS: 8.8/10
Mô tả: CVE-2023-38181 là lỗ hổng vượt qua (bypass) bản patch của lỗ hổng CVE-2023-32031. Quá trình khai thác yêu cầu xác thực. Khai thác thành công cho phép kẻ tấn công thực hiện NTLM relay attack hoặc chiếm được phiên Powershell remoting kết nối đến máy chủ Exchange.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38181
3.1.5 CVE-2023-35368/35388/38182/38185 – Microsoft Exchange Server Remote Code Execution Vulnerability
CVSS: 8.8/10
Mô tả: Microsoft Exchange Server tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Exchange Server. Quá trình khai thác yêu cầu xác thực.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35368
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35388
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38182
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38185
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-3519 – Citrix NetScaler ADC and NetScaler Gateway Unauthenticated Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa (Remote Code Execution) ảnh hưởng đến các sản phẩm của Citrix. Khai thác lỗ hổng không yêu cầu xác thực.
Phiên bản ảnh hưởng:
NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.0-91.13
NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-91.13
NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.159
NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.297
NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.297
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467
3.2.2 CVE-2023-35082 – Ivanti EPMM Remote Unauthenticated API Access Vulnerability
CVSS: 10/10
Mô tả: Tồn tại lỗ hổng cho phép người dùng truy cập đến các chức năng, tài nguyên bị hạn chế của ứng dụng mà không cần xác thực, ảnh hưởng đến Ivanti Endpoint Manager Mobile (EPMM) (tên cũ là MobileIron Core) phiên bản 11.2 và các phiên bản trước đó.
Phiên bản ảnh hưởng:
Ảnh hưởng đến các phiên bản 11.2 và các phiên bản trước
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://forums.ivanti.com/s/article/CVE-2023-35082-Remote-Unauthenticated-API-
Access-Vulnerability-in-MobileIron-Core-11-2-and-older?language=en_US