THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 10 – 2023

               Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Grayling, nhóm tấn công mới nhắm mục tiêu vào các tổ chức ở Đài Loan

Gần đây, Symantec phát hiện nhóm tấn công mới có tên Grayling sử dụng các công cụ và phần mềm độc hại nhắm mục tiêu vào một số tổ chức trong lĩnh vực sản xuất, CNTT và Y sinh tại Đài Loan. Một cơ quan chính phủ ở Thái Bình Dương cũng như các tổ chức ở Việt Nam và Mỹ cũng là mục tiêu trong chiến dịch lần này.

Nhóm tấn công khai thác và triển khai các webshell các máy chủ Web được public ra môi trường Internet để có quyền truy cập ban đầu vào hệ thống. Sau đó nhóm tấn công thực hiện nhiều hành vi tấn công khác nhau như leo thang đặc quyền, dò quét thông tin mạng, kill các tiến trình được liệt kê trong file processlist.txt, trích xuất thông tin tài khoản sử dụng công cụ Mimikatz và thực thi các mã độc trên hệ thống bị chiếm quyền.

Các kỹ thuật, chiến thuật và cách thức (TTPs) được kẻ tấn công sử dụng bao gồm:

Havoc: framework post-exploitation command-and-control đa nền tảng được public trên Internet, có thể sử dụng thay thế cho các framework khác như Cobaltstrike. Havoc cho phép kẻ tấn công thực hiện nhiều cách thức tấn công như thực thi câu lệnh, quản lý tiến trình, tải và thực thi các mã độc mới, thực thi shellcode…

Cobalt Strike: Công cụ thương mại cho nhóm tấn công có thể thực thi các câu lệnh, inject mã độc vào các tiến trình, mạo danh tiến trình, upload và download file…

NetSpy: Công cụ spyware được viết bằng ngôn ngữ golang, sẵn có trên nền tảng github.

Khai thác lỗ hổng CVE-2019-0803: Lỗ hổng leo thang đặc quyền tồn tại trong thành phần Win32k của Windows.

Sử dụng các công cụ để dò quét hoặc truy vấn môi trường AD.

Mimikatz: Công cụ thu thập thông tin xác thực, public trên Internet.

Indicators of Compromises (IoCs)

SHA256 hashes:

Havoc framework

da670d5acf3648b0deaecb64710ae2b7fc41fc6ae8ab8343a1415144490a9ae9

Downloader

79b0e6cd366a15848742e26c3396e0b63338ead964710b6572a8582b0530db17

Downloader

bf1665c949935f3a741cfe44ab2509ec3751b9384b9eda7fb31c12bfbb2a12ec

Cobalt Strike Beacon

c2a714831d8a7b0223631eda655ce62ff3c262d910c0a2ed67c5ca92ef4447e3

Exploit for CVE-2019-0803

667624b10108137a889f0df8f408395ae332cc8d9ad550632a3501f6debc4f2c

Downloader

87a7e428d08ecc97201cc8f229877a6202545e562de231a7b4cab4d9b6bbc0f8

Loader

90de98fa17294d5c918865dfb1a799be80c8771df1dc0ec2be9d1c1b772d9cf0

Cobalt Strike Stager

8b6c559cd145dca015f4fa06ef1c9cd2446662a1e62eb51ba2c86f4183231ed2

NetSpy

d522bf1fb3b869887eaf54f6c0e52d90514d7635b3ff8a7fd2ce9f1d06449e2c

DLL file

4fbe8b69f5c001d00bd39e4fdb3058c96ed796326d6e5e582610d67252d11aba

NetSpy

9bad71077e322031c0cf7f541d64c3fed6b1dc7c261b0b994b63e56bc3215739

Downloader

f2aaedb17f96958c045f2911655bfe46f3db21a2de9b0d396936ef6e362fea1b

Downloader

525417bdd5cdd568605fdbd3dc153bcc20a4715635c02f4965a458c5d008eba9

Downloader

23e5dfaf60c380837beaddaaa9eb550809cd995f2cda99e3fe4ca8b281d770ae

Downloader

6725e38cbb15698e957d50b8bc67bd66ece554bbf6bcb90e72eaf32b1d969e50

Downloader

5ef2e36a53c681f6c64cfea16c2ca156cf468579cc96f6c527eca8024bfdc581

Windump

12924d7371310c49b1a215019621597926ef3c0b4649352e032a884750fab746

ab09e8cac3f13dea5949e7a2eaf9c9f98d3e78f3db2f140c7d85118b9bc6125f

c76ba3eb764706a32013007c147309f0be19efff3e6a172393d72d46631f712e

245016ace30eda7650f6bb3b2405761a6a5ff1f44b94159792a6eb64ced023aa

4c44efc7d9f4cd71c43c6596c62b91740eb84b7eb9b8cf22c7034b75b5f432d9

e75f2cee98c4b068a2d9e7e77599998196fd718591d3fa23b8f684133d1715c3

f3e8f2ef4ad949a0ada037f52f4c0e6000d111a4ac813e64138f0ded865e6e31

971ab5d4f0ec58fa1db61622a735a51e14e70ee5d99ab3cd554e0070b248eb1f

f1764f8c6fc428237ffafeb08eb0503558c68c6ccf6f2510a2ef8c574ba347e0

c24b19e7ccd965dfeed553c94b093533e527c55d5adbc9f0e87815d477924be5

af26d07754c8d4d1cb88195f7dc53e2e4ebee382c5b84fc54a81ba1cee4d0889

1f15c3ae1ce442a67e3d01ed291604bfc1cb196454b717e4fb5ac52daa37ecce

7ea706d8da9d68e1214e30c6373713da3585df8a337bc64fcc154fc5363f5f1f

30130ea1ab762c155289a32db810168f59c3d37b69bcbedfd284c4a861d749d6

74cbde4d4b4ac4cae943831035bff90814fa54fd21c3a6a6ec16e7e3fb235f87

752018c117e07f5d58eed35622777e971a5f495184df1c25041ff525ca72acea

6a8c39e4c543e94f6e4901d0facee7793f932cd2351259d8054981cf2b4da814

803d0d07d64010b102413da61bbf7b4d378891e2a46848b88ef69ca9357e3721

7c1b20de1f170cfaf3e75ebc7e81860378e353c84469795a162cd3cfd7263ba2

a180e67fcaf2254b18eafdc95b83038e9a4385b1a5c2651651d9d288fa0500fe

de500875266fd18c76959839e8c6b075e4408dcbc0b620f7544f28978b852c1c

1ed1b6a06abbab98471d5af33e242acc76d17b41c6e96cce0938a05703b58b91

ba8a7af30e02bd45e3570de20777ab7c1eec4797919bfcd39dde681eb69b9faf

1b72410e8e6ef0eb3e0f950ec4ced1be0ee6ac0a9349c8280cd8d12cc00850f9

dcadcac4c57df4e31dd7094ae96657f54b22c87233e8277a2c40ba56eafcf548

d0e1724360e0ae11364d3ac0eb8518ecf5d859128d094e9241d8e6feb43a9f29

b19ccfa8bc75ce4cf29eb52d4afe79fe7c3819ac08b68bd87b35225a762112ba

6e5d840ddeedc3b691e11a286acd7b6c087a91af27c00044dd1d951da5893068

3acfe90afa3cbb974e219a5ab8a9ee8c933b397d1c1c97d6e12015726b109f1b

5ed10f2564cd60d02666637e9eac36db36f3a13906b851ec1207c7df620d8970

Domain

d3ktcnc1w6pd1f.cloudfront[.]net

IP addresses

172.245.92[.]207

3.0.93[.]185

URLs

http://45.148.120[.]23:91/version.dll

http://45.148.120[.]23:91/vmtools.exe

1.2      GoldDigger Android nhắm mục tiêu các ứng dụng ngân hàng ở các nước Châu Á – Thái Bình Dương

Group-IB phát hiện một loại Trojan Android mới có tên GoldDigger nhắm mục tiêu tới người dùng của hơn 50 ứng dụng ngân hàng, ví điện tử và ví tiền điện tử tại Việt Nam. Hoạt động từ tháng 6, nhóm tấn công xây dựng các trang web giả mạo Google Play Store, để tăng thêm mức độ tin cậy các trang web này có thêm các phần liên quan đến đánh giá ứng dụng. Website nhằm đánh lừa người dùng tải xuống tệp tin độc hại định dạng APK có tên “GoldActivity”, một trojan giả mạo các ứng dụng Dịch vụ hành chính công Quốc Gia của chính phủ Việt Nam, lạm dụng tính năng Android Accessibility nhằm trích xuất thông tin cá nhân, đánh cắp thông tin đăng nhập ngân hàng, chặn bắt tin nhắn SMS và thực hiện nhiều hành vi độc hại khác trên thiết bị của nạn nhân bị nhiễm mã độc

Sau khi người dùng cài đặt ứng dụng và khởi chạy, GoldDigger yêu cầu quyền truy cập vào Dịch vụ trợ năng (Accessibility Service – tính năng của Android được thiết kế để hỗ trợ người dùng khuyết tật bằng cách cho phép các ứng dụng tương tác với nhau). Bằng cách lạm dụng tính năng này, phần mềm độc hại có thể theo dõi và thao túng các chức năng của thiết bị. Khi đó người dùng cũng sẽ cấp quyền cho phép mã độc truy xuất được các thông tin nhạy cảm. Một trong những tính năng đáng chú ý của GoldDigger là việc sử dụng Virbox Protector – phần mềm hợp pháp cung cấp khả năng mã hóa, gây khó khăn trong quá trình phân tích phần mềm độc hại

Indicators of Compromises (IoCs)

File Name:

Chinhphu.apk

4b5c26b5906506dc9ef8085847fcfdd0dbe538f24632f32d42e044645a13fcd1

URL:

hxxps://vietvp[.]cc/

1.3      Các nhóm tấn công tại Triều Tiên sử dụng lỗ hổng trong TeamCity CVE-2023-42793 phục vụ mục đích tấn công

Kẻ từ đầu tháng 10, Microsoft đã ghi nhận được 2 nhóm tấn công hậu thuẫn bởi chính phủ Triều Tiên là Diamond Sleet và Onyx Sleet sử dụng lỗ hổng thực thi mã từ xa với định danh CVE-2023-42793.

Diamond Sleet (ZINC) ưu tiên các hoạt động gián điệp, đánh cắp dữ liệu nhắm mục tiêu vào các ngành truyền thông, cung cấp dịch vụ CNTT và các cơ quan liên quan đến quốc phòng trên toàn thế giới. Microsoft ghi nhận hai cách thức tấn công của nhóm Diamond Sleet như sau:

Triển khai backdoor ForestTiger

Sau khi khai thác lỗ hổng và có quyền truy cập vào máy chủ TeamCity, nhóm tấn công sử dụng Powershell để tải xuống 2 payload từ cơ sở hạ tầng hợp pháp mà nhóm đã chiếm được quyền trước đó. Hai payload này là Forest64.exe and 4800-84DC-063A6A41C5C được lưu trữ trong đường dẫn “C:\ProgramData”. Khi thực thi, Forest64.exe kiểm tra sự tồn tại của file có tên 4800-84DC-063A6A41C5C, sau đó đọc và giải mã nội dung của file với khóa ‘uTYNkfKxHiZrx3KJ‘. Cách thức này Sau khi giải mã, nội dung trong file 4800-84DC-063A6A41C5C chứa cấu hình cho mã độc. Sau đó mã độc tạo lập lịch với tên “Windows TeamCity Settings User Interface” nhằm thực thi mỗi khi hệ thống khởi động với tham số là ‘uTYNkfKxHiZrx3KJ’. Cách thức này được cho là tương tư với loại mã độc ForestTiger đã được Kaspersky báo cáo trong các cuộc tấn công trước đó của nhóm Lazarus

Triển khai payload mới sử dụng kỹ thuật DLL search-order hijacking

Diamond Sleet sử dụng powershell để tải xuống hai tệp tin độc hại mới từ cơ sở hạ tầng của nhóm tấn công, các tệp tin này được lưu trữ tại đường dẫn “C:\ProgramData\” cùng với tệp thực thi .exe hợp pháp để sử dụng kỹ thuật DLL search-order hijacking

Malicious DLL name Legitimate binary name
DSROLE.dll wsmprovhost.exe
Version.dll clip.exe

 

Khi vsmprovhost.exe được thực thi, nó sẽ gọi tới DSROLE.dll, DLL này khởi tạo một thread để xử lý dữ liệu, thực thi trong bộ nhớ và giao tiếp với C2. Với Version.dll, dll này sẽ được load bởi file clip.exe và giải mã nội dung của file có tên readme.md, được tải xuống cùng với Version.dll

Sau khi giải mã và load vào bộ nhớ, mã độc sẽ giải mã cấu hình chứa thông tin URL và tạo kết nối tới C2. Ngay sau đó, một tiến trình khác là iexpress.exe cũng tạo các kết nối tới domain C2 khác

Nhóm tấn công khác cũng thuộc Triều Tiên là Onyx Sleet thì nhắm tới các tổ chức cung cấp dịch vụ CNTT và quốc phòng khu vực Hàn Quốc, Hoa Kỳ và Ấn Độ, nhóm tấn công phát triển bộ công cụ cho phép thiết lập truy cập vào máy của nạn nhân mà không bị phát hiện. Nhóm tấn công thường sử dụng các lỗ hổng N-day để có được quyền truy cập ban đầu vào các tổ chức mà nhóm tấn công nhắm tới. Nhóm tấn công thực hiện tạo tài khoản có tên krtbgt trên các hệ thống máy chủ TeamCity bị chiếm quyền điều khuyển, mao danh tài khoản KRBTGT trên Windows, đồng thời thêm tài khoản này vào nhóm quản trị viên (Local Administrators) thông qua câu lệnh

net  localgroup administrators krtbgt /add

Nhóm tấn công cũng chạy một số câu lệnh nhằm thu thập thông tin hệ thống

net localgroup ‘Remote Desktop Users’

net localgroup Administrators

cmd.exe “/c tasklist | findstr Sec”

cmd.exe “/c whoami”

cmd.exe “/c netstat -nabp tcp”

cmd.exe “/c ipconfig /all”

cmd.exe “/c systeminfo”

và thực hiện tải xuống các payload thông qua Powershell xuống các đường dẫn thư mục sau:

  • C:\Windows\Temp\temp.exe
  • C:\Windows\ADFS\bg\inetmgr.exe

Khi thực thi, mã độc thực hiện giải mã PE file được nhúng bên trong payload, load trong bộ nhớ và thực thi, payload này là một proxy giúp thiết lập kết nối giữa máy chủ bị chiếm quyền với máy chủ C2 do kẻ tấn công kiểm soát. Nhóm tấn công cũng thực hiện các hành vi khác như sử dụng tài khoản krtbgt để đăng nhập vào các máy chủ khác thông qua giao thức RDP, dừng dịch vụ TeamCity, trích xuất thông tin đăng nhập LSASS và triển khai các công cụ để trích xuất thông tin xác thực và dữ liệu liên quan đến trình duyệt

Indicators of compromise (IOCs)

File name:

ForestTiger binary: Forest64.exe

e06f29dccfe90ae80812c2357171b5c48fba189ae103d28e972067b107e58795

0be1908566efb9d23a98797884f2827de040e4cedb642b60ed66e208715ed4aa

RollSling binary: DSROLE.dll

d9add2bfdfebfa235575687de356f0cefb3e4c55964c4cb8bfdcdc58294eeaca

FeedLoad binary: Version.dll

f251144f7ad0be0045034a1fc33fb896e8c32874e0b05869ff5783e14c062486

C:\ProgramData\readme.md

fa7f6ac04ec118dd807c1377599f9d369096c6d8fb1ed24ac7a6ec0e817eaab6

Domain C2 domain (compromised domain)

dersmarketim[.]com

olidhealth[.]com

galerielamy[.]com

3dkit[.]org

URL

hxxp://www.mge[.]sn/themes/classic/modules/ps_rssfeed/feed.zip

hxxp://www.mge[.]sn/themes/classic/modules/ps_rssfeed/feedmd.zip

hxxps://vadtalmandir[.]org/admin/ckeditor/plugins/icontact/about.php

hxxps://commune-fraita[.]ma/wp-content/plugins/wp-contact/contact.php

hxxp://www.bandarpowder[.]com/public/assets/img/cfg.png

hxxps://www.bandarpowder[.]com/public/assets/img/cfg.png

hxxp://www.aeon-petro[.]com/wcms/plugins/addition_contents/cfg.png

hxxp://www.bandarpowder[.]com/public/assets/img/user64.png

hxxps://www.bandarpowder[.]com/public/assets/img/user64.png

hxxp://www.aeon-petro[.]com/wcms/plugins/addition_contents/user64.png

hxxp://147.78.149[.]201:9090/imgr.ico

hxxp://162.19.71[.]175:7443/bottom.gif

HazyLoad binary file path

C:\Windows\Temp\temp.exe

C:\Windows\ADFS\bg\inetmgr.exe

Proxy tool loader

000752074544950ae9020a35ccd77de277f1cd5026b4b9559279dc3b86965eee

2        Malware

2.1      ToddyCat sử dụng mã độc nhắm mục tiêu tới các đơn vị viễn thông và chính phủ khu vực Châu Á trong đó có Việt Nam

Stayin’ Alive, một chiến dịch hoạt động ở Châu Á được CheckPoint phát hiện đang diễn ra gần đây, chiến dịch sử dụng các mã độc downloaders và loaders. Downloader đầu tiên được phát hiện có tên CurKeep, nhắm mục tiêu tới các quốc gia thuộc khu vực Châu Á trong đó có Việt Nam. Các mã độc sử dụng trong chiến dịch đều có liên kết đến cơ sở hạ tầng của nhóm ToddyCat – nhóm tấn công được cho có nguồn gốc từ Trung Quốc.

 Phân tích Backdoor CurKeep

Trong năm 2022, 1 email được đăng tải lên Virustotal vào 21/09/2022, nội dung email cho thấy nhóm tấn công sử dụng email phishing, nhắm tới tới một công ty viễn thông lớn tại Việt Nam với tiêu đề “CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER”, dựa trên tiêu đề, có thể nhóm tấn công nhắm tới nhóm người dùng làm việc trong phòng ban CNTT. Email được đính kèm tệp tin định dạng zip, bên trong tệp tin nén có 2 file có tên mDNSResponder.exe (được nhóm tấn công đổi tên thành CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER.exe) và dal_keepalives.dll

CHỈ THỊ VỀ VIỆC QUY ĐỊNH QUẢN LÝ VÀ SỬ DỤNG USER.exe thực chất là file hợp pháp tồn tại lỗ hổng cho phép thực hiện DLL SideLoading (CVE-2022-23748). Thông qua việc khởi chạy file .exe, DLL độc hại cùng thư mục sẽ được gọi tới, thực hiện persistence bằng việc tạo scheduled task có tên AppleNotifyService, giải mã và thực thi backdoor có tên CurKeep. Hình ảnh bên dưới mô tả các bước thực thi của mã độc:

CurKeep payload

Payload được thiết kế với kích thước khá nhỏ với 3 chức năng chính, mỗi chức năng được gán cho một loại kiểu thông điệp khác nhau gửi tới máy chủ C&C. Khi payload được thực thi, chức năng report sẽ thu thông tin cơ bản của nạn nhân và gửi đến máy chủ C2. Sau đó tạo ra 2 luồng thực thi để khởi chạy các chức năng shell và file, cụ thể như sau:

report: CurKeep thu thập thông tin cơ bản về hệ thống của nạn nhân, bao gồm computername, username, kết quả của câu lệnh systeminfo và liệt kê thư mục tại đường dẫn C:\Program Files (x86) và C:\Program Files

shell: Gửi thông tin computer name đã được mã hóa theo thuật toán XOR và base64 theo định dạng JSON tới máy chủ C&C. Các lệnh phản hồi từ C2 sẽ được chuỗi các câu lệnh được phân tách bởi ký tự “|”, mã độc sẽ thực thi và gửi output tới máy chủ C2.

file: Ghi dữ liệu vào tệp tin

Mã độc giao tiếp với C2 thông qua giao thức HTTP, mỗi tính năng của mã độc sẽ được ứng với từng path api thông qua post request, các paths đó bao gồm /api/report, /api/shell hoặc /api/file.

Các mẫu mã độc khác

Các cơ sở hạ tầng mới liên quan đến nhóm tấn công cũng ghi nhận một số mẫu mã độc được nhóm tấn công phát triển bổ sung, sử dụng trong các cuộc tấn công có chủ đích trong cùng khu vực. Với cách thức phổ biến nhất là load các DLL độc hại sử dụng kỹ thuật DLL side-loading tương tự các cuộc tấn công trước đó

CurLu Loader

Khi thực thi, tính năng chính của loader là tạo kết nối tới máy chủ C2 và nhận thêm DLL mới để thực thi thông qua request với định dạng ?cur=[RANDOM]. Server C2 sẽ phản hồi lại DLL mới, DLL này sẽ được load và thực thi trong bộ nhớ

CurCore

Một trong những payload mới ghi nhận được đăng trên VirusTotal từ Pakistan, lợi dụng mscoree.dll hijacking để triển khai backdoor khác có tên Curcore. Khi thực thi, mã độc sẽ kiểm tra đang được thực thi thông qua cách thức persistence hay không bằng việc kiểm tra đường dẫn “C:\ProgramData\OneDrive\”. Nếu chưa được thực thi theo cách này, mã độc sẽ sao chép chính nó và file PE hợp pháp vào thư mục “C:\ProgramData\OneDrive” và tạo lập lịch bằng câu lệnh “schtasks /create /sc minute /mo 10 /tn “OneDrive” /tr “C:\ProgramData\OneDrive\OneDrive.exe”. Sau đó nó sẽ chuyển đổi lần lượt các mảng chứa UUID thành các byte và thực thi các byte này thông qua hàm EnumSystemLocalesA. Các giá trị UUID này thực chất là shellcode, payload cuối của CurCore.

CurCore Payload

CurCore payload thực hiện giao tiếp với domain C2 ns01[.]nayatel.orinafz[.]com thông qua HTTP request với dữ liệu được encoded base64 như hình ảnh bên dưới. Ngoài ra, C2 này bắt chước tên miền của một đơn vị cung cấp dịch vụ viễn thông tại Pakistan có tên Nayatel

Các phản hồi từ máy chủ C2 cũng sẽ được encoded bằng base64, giá trị Dword đầu tiên là giá trị command ID, payload hỗ trợ 3 command ID phục vụ chính các tính năng thu thập thông tin

Command ID Mô tả
1 Tạo và ghi dữ liệu vào file
2 Thực thi command
3 Đọc tệp và trả về dữ liệu theo định dạng base64

 

CurLog Loader

Liên kết với cùng cơ sở hạ tầng, nhóm nghiên cứu CheckPoint cũng phát hiện mã độc được đặt CurLog, là một loader được phát tán thông qua các tệp tin nén định dạng .zip nhắm tới Kazakhstan. Cách thức thực thi tương tự các mẫu trước đó, payload cũng thực hiện kiểm tra việc thực thi cách thức persistence hay không, sao chép bản thân và tạo lập lịch.

Indicator of Compromises (IoCs)

Files name:

CurLu

6eaa33812365865512044020bc4b95079a1cc2ddc26cdadf24a9ff76c81b1746

CurLu

78faceaf9a911d966086071ff085f2d5c2713b58446d48e0db1ad40974bb15cd

CurKeep payload

295b99219d8529d2cd17b71a7947d370809f4e1a3094a74a31da6e30aa39e719

CurLog

409948cbbeaf051a41385d2e2bc32fc1e59789986852e608124b201d079e5c3c

CurKeep payload

462c85f6972da64af08f52a4c2f3a03bcd40fdf29b29b01631bff643cd9d906a

CurLu

4d52d40bc7599b784a86a000ff436527babc46c5de737e19ded265416b4977c6

CurKeep Archive

437cde10797b75ea92b1b68eb887972fe43b434db3ed67b756e01698cce69b4a

CurLog

c5d1ee44ec75fc31e1c11fbf7a70ed7ca8c782099abfde15ecaa1b1edaf180ac

CurLu

da2d9ed632576eca68a0c6d8d5afd383a1d811c369012f0d7fb52cd06da8c9b9

CurCore

451f87134438fa7e5735a865989072e7bab4858ca0b1e921224ed27dea0226b0

CurLu

93e9237afaff14c6b9a24cf7275e9d66bc95af8a0cc93db2a68b47cbbca4c347

CurKeep

482d41c4a2e14ddc072087a1b96f6e34ffda2bfc85819e21f15c97220825e651

CurKeep Archive

877579185a72fbaf1afa78d3c50dbab187780d545d5375ba4c29147083176697

CurLog

c4f9bc7624509190e9e2a690daeff5ac9e944f094b51781734b83a364ae038d0

CurCore

d94ed414dbfb9bbcba42e3bf2db3b76eb8172b03133d1745d6abcde6f9edbaa7

Old Vietnam mscoree

732621aa53683c16edf3959dfe9d93de5359c431c130784b31d4a598fbbd80a9

CurLu

12a7b9fa57719109b7f5d081cbe032320a59a7d57eef2dcd2cd4fe2b909162dc

CurKeep

a54e0352653146371efd727ca00110577f8e750e92101462e246f99d435b6172

StylerServ

60030b970491bced72a56c9dde09a1d2260becfbf80a2b0d217a0b913e781c3a

CurKeep:

36b4a846d6ed3461e36ed9f4c03fb4548397659ef0a46219695666266eba1652

Old Vietnam mscoree

b3fc497f94ac04abc4c9a6f23ab142fdc2387c520ce5c6fdae1b511793bc6ba2

CurKeep payload:

caa9fdda2776f681ec294ffeded04723107cf754a2889c3fbb5bc7c743d897c1

CurLu

4baa4071a5eedbe0a8afa1059f7732e5cde0433dd0425e075721dd2cdec9d70d

CurKeep

d4bd89ff56b75fc617f83eb858b6dbce7b36376889b07fa0c2417322ca361c30

StylerServ configs

47de9bf5f60504c229fe9f727aa59ba5c34d173a23af70822541a9e485abe391

CurKeep Email

1428698cc8b31a2c0150065af7b615ef2374ea3438b0a82f2efcff306b43cee6

CurLog archive

2dfba1cbc0ac1793ffd591c88024fab598a3f6a91756a2ea79f84f1601a0f1ed

CurKeep payload

d33cbdbd6181deb0e8da9c9e6fb8795e98478d9608ab187e5b8809bed6b2e5c4

Old Vietnam

6f3de35c531993aa307729e2046ff7aa672f5058b7e0fc6557bbd4c500fb46e7

CurKeep:

2ab1121c603b925548a823fa18193896cd24d186e08957393e6a34d697aed782

CurKeep payload

1934ac9067871a61958e3e96ea5daa227900b7683fce67a1bf1c24beff77d75a

CurLu

a8a026d9bda80cc9bdd778a6ea8c88edcb2d657dc481952913bbdb5f2bfc11c9

CurLog

778b2526965dc1c4bcc401d0ae92037122e7e7f2c41f042f95b59a7f0fe6f30e

CurLu

7418c4d96cb0fe41fc95c0a27d2364ac45eb749d7edbe0ab339ea954f86abf9e

IPs:

70[.]34[.]201[.]229

185[.]136[.]163[.]129

45[.]77[.]171[.]170

167[.]179[.]91[.]150

185[.]243[.]112[.]223

207[.]148[.]69[.]74

139[.]180[.]145[.]121

77[.]91[.]75[.]232

178[.]23[.]190[.]206

136[.]244[.]111[.]25

185[.]242[.]85[.]124

45[.]159[.]250[.]179

178[.]23[.]190[.]206

65[.]20[.]68[.]126

Domains:

ns01[.]nayatel[.]orinafz[.]com

eaq[.]machineaccountquota[.]com

qaq2[.]machineaccountquota[.]com

imap[.]774b884034c450b[.]com

admit[.]pkigoscorp[.]com

update[.]certexvpn[.]com

cyberguard[.]certexvpn[.]com

gist[.]gitbusercontent[.]com

git[.]gitbusercontent[.]com

raw[.]gitbusercontent[.]com

cert[.]qform3d[.]in

admit[.]pkigoscorp[.]com

sslvpn[.]pkigoscorp[.]com

cdn[.]pkigoscorp[.]com

idp[.]pkigoscorp[.]com

ad[.]fopingu[.]com

proxy[.]rtmcsync[.]com

pic[.]rtmcsync[.]com

backend[.]rtmcsync[.]com

2.2      Nhóm tấn công DarkPink khai thác lỗ hổng trên Winrar nhắm mục tiêu tới khu vực Đông Nam Á

Trong quá trình theo dõi an ninh mạng, Threat Intelligence NCS phát hiện các tệp tin mã độc khai thác lỗ hổng CVE-2023-38831 trên Winrar được upload lên VirusTotal, nhắm mục tiêu tới quốc gia thuộc khu vực Đông Nam Á trong đó có Việt Nam. Thông qua phân tích, cho thấy nhiều điểm tương đồng với nhóm tấn công DarkPink ở quá trình thực thi mã độc, giao tiếp và đánh cắp dữ liệu sử dụng telegram.

DarkPink hay còn gọi là Saaiwc, là nhóm tấn công mới bắt đầu hoạt động từ giữa năm 2021, nhắm tới các cơ quan chính phủ, cơ quan quân sự, tổ chức tôn giáo và các tổ chức phi chính phủ. Phương thức tấn công chính của nhóm liên quan đến lừa đảo trực tuyến, phát tán mã độc Trojan, TelePowerBot và KamiKakaBot

Trong chiến dịch tấn công gần đây, nhóm tấn công sử dụng nhiều file decoy định dạng PDF với các nội dung khác nhau, trong đó decoy có tên “VanBanGoc_2023.07.10. TT 03 FINAL” với nội dung là văn bản pháp luật của Bộ Ngoại Giao

Các decoy khác có nội dung về tuyển dụng công chức từ Ủy Ban Chứng Khoán Nhà Nước hoặc Thông tin báo chí về Quỹ Bình ổn giá xăng dầu được công bố từ Bộ Tài Chính Việt Nam

 

DarkPink sử dụng lỗ hổng CVE-2023-38831, lừa người dùng mở tệp tin từ đó thực thi các mã độc bên trong tệp tin nén. Cả 3 tệp tin khai thác CVE-2023-38831 chúng tôi thu được đều sử dụng chung 2 file: file exe có cùng tên với file PDF và một DLL có tên twinapi.dll

File exe thực chất là file explorer.exe, sử dụng kỹ thuật DLL-SideLoading, tìm và load tệp tin độc hại có tên twinapi.dll trong cùng thư mục.

Trojan thực hiện tạo một số registry entries, với các cấu hình này, khi Windows mở tệp có đuôi file .amv, mã độc sẽ được kích hoạt thông qua powershell với payload lưu trong key amv

Payload cuối của mã độc thực hiện thu thập thông tin cơ bản trên máy nạn nhân bao gồm IP, hệ điều hành, GUID và các ứng dụng Anti-Virus được cài đặt trên máy. Các dữ liệu này sẽ được gửi tới kẻ tấn công thông qua API chatbot của ứng dụng Telegram

Indicator of Compromises (IoCs)

Zip files:

dd9146bf793ac34de3825bdabcd9f0f3

5504799eb0e7c186afcb07f7f50775b2

c5331b30587dcaf94bfde94040d4fc89

Dropper:

6a3948a3602f11e58d8a9300d50984d6

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – October 2023

Trong tháng 10, Microsoft đã phát hành các bản vá cho 103 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Exchange Server; Office và Office Components; ASP.NET Core và Visual Studio; Azure; Microsoft Dynamics; và Skype for Business. Trong đó có 13 lỗ hổng được đánh giá mức độ Nghiêm trọng, 90 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

  • CVE-2023-36563 – Cảnh báo lỗ hổng lộ lọt thông tin | Microsoft WordPad Information Disclosure Vulnerability

CVSS: 6.5/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công lợi dụng nhằm tiết lộ các thông tin là các giá trị hash NTML, khai thác yêu cầu tương tác từ người dùng. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác

Phiên bn nh hưởng:

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563

 

  • CVE-2023-41763 – Cảnh báo lỗ hổng leo thang đặc quyền trong Skype Business | Skype for Business Elevation of Privilege Vulnerability.

CVSS: 5.3/10

Mô t: Tồn tại lỗ hổng trong Skype for Business cho phép kẻ tấn công có thể thu thập được các thông tin nhạy cảm. Trong một số trường hợp, các thông tin nhạy cảm này có thể cung cấp quyền truy cập vào mạng nội bộ

Phiên bản ảnh hưởng:

Skype for Business Server 2019 CU7

Skype for Business Server 2015 CU13

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41763.

  • CVE-2023-35349 – Cảnh báo lỗ hổng thực thi mã từ xa trong Microsoft Message Queuing | Microsoft Message Queuing Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô t: Microsoft Message Queuing tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa, khai thác lỗ hổng không cần tương tác từ người dùng.

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35349

  • CVE-2023-36434 – Leo thang đặc quyền trong Windows IIS Server | Windows IIS Server Elevation of Privilege Vulnerability

CVSS: 9.8/10

Mô t: Khai thác lỗ hổng thành công cho phép kẻ tấn công đăng nhập vào hệ thống máy chủ IIS bị ảnh hưởng.

Phiên bn nh hưởng:

Windows 10 Version 1607 for x64-based Systems

Windows Server 2008 for x64-based Systems Service Pack 2

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows Server 2019

Windows 11 version 21H2 for ARM64-based Systems

Windows Server 2022

Windows 10 Version 21H2 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows 10 Version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 for x64-based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2019 (Server Core installation)

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2016

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2016 (Server Core installation)

Windows Server 2012 R2

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36434

  • CVE-2023-36778– Cảnh báo lỗ hổng thực thi mã từ xa | Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS: 8.0/10

Mô t: Microsoft Exchange tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa thông qua phiên Powershell Remoting, khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 13

Microsoft Exchange Server 2016 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36778

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

  • CVE-2023-2515 – Broken Access Control Vulnerability in Confluence Data Center and Server

CVSS: 10/10

Mô t: Tồn tại lỗ hổng trong Atlassian cho phép kẻ tấn công truy cập và tạo tài khoản Confluence administrator

Phiên bn nh hưởng:

Confluence Data Center and Confluence Server các phiên bản 8.0.0 – 8.0.4; 8.1.0 – 8.1.4; 8.2.0 – 8.2.3; 8.3.0 – 8.3.2; 8.4.0 – 8.4.2; 8.5.0, 8.5.1.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://confluence.atlassian.com/security/cve-2023-22515-privilege-escalation-vulnerability-in-confluence-data-center-and-server-1295682276.html

  • CVE-2023-40044 – .NET deserialization vulnerability

CVSS: 10/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực khai thác lỗ hổng deserialization trong module Ad Hoc Transfer, thực thi câu lệnh trên hệ thống bị ảnh hưởng

Phiên bn nh hưởng:

WS_FTP Server phiên bản trước phiên bản 8.7.4 và trước phiên bản 8.8.2

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023

https://community.progress.com/s/article/Removing-or-Disabling-the-WS-FTP-Server-Ad-hoc-Transfer-Module

  • CVE-2023-4966 – Sensitive information disclosure

CVSS: 9.4/10

Mô t: Tồn tại lỗ hổng tiết lộ thông tin ảnh hưởng đến các sản phẩm NetScaler ADC và NetScaler Gateway, khai thác thành công lỗ hổng cho phép kẻ tấn công không cần xác thực có thể chiếm quyền phiên xác thực hiện có. Tùy vào quyền của phiên xác thực, các thông tin thu thập có thể khác nhau, lỗ hỗng cũng cho phép vượt qua (bypass) các xác thực đa yêu tố (MFA). Khai thác lỗ hổng yêu cầu ứng dụng đã cấu hình Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server. Lỗ hổng được ghi nhận đang được sử dụng bởi các nhóm tấn công.

Phiên bn nh hưởng:

NetScaler ADC và NetScaler Gateway 14.1 trước phiên bản 14.1-8.50

NetScaler ADC và NetScaler Gateway 13.1 trước phiên bản 13.1-49.15

NetScaler ADC và NetScaler Gateway 13.0 trước phiên bản 13.0-92.19

NetScaler ADC 13.1-FIPS trước phiên bản 13.1-37.164

NetScaler ADC 12.1-FIPS trước phiên bản 12.1-55.300

NetScaler ADC 12.1-NDcPP trước phiên bản 12.1-55.300

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967

  • CVE-2023-20198 – Cisco IOS XE Software Web UI Privilege Escalation Vulnerability

CVSS: 10/10

Mô t: Tồn tại lỗ hổng trong Cisco IOS XE Software nếu tính năng Web UI được bật, lỗ hổng cho phép kẻ tấn công không cần xác thực tạo tài khoản với đặc quyền “privilege level 15 access” (full access to all commands) trên hệ thống bị ảnh hưởng, từ đó có thể chiếm quyền kiểm soát hệ thống.

Phiên bn nh hưởng:

Cisco IOS XE Software với tính năng web UI được bật

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/