THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 11 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1          CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 11/2024, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

STT Tên chiến dịch Mô tả
        1         Chiến dịch do threat actor Việt Nam nhắm mục tiêu vào tổ chức chính phủ và giáo dục khu vực Châu Á và Châu Âu – Mục tiêu: Tổ chức chính phủ, tổ chức giáo dục …

– Phạm vi/ khu vực: Châu Âu và Châu Á bao gồm Ấn Độ, Thụy Điển, Đan Mạch…

– Công cụ/cách thức tấn công: sử dụng phần mềm độc hại PXA Stealer

        2    Chiến dịch sử dụng Trojan SteelFox nhằm đánh cắp dữ liệu và khai thác tiền điện tử – Mục tiêu: người dùng Microsoft Windows

– Phạm vi/ khu vực: Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka …

– Công cụ/cách thức tấn công: sử dụng Trojan SteelFox

        3         Chiến tích tấn công của nhóm Earth Kasha nhắm mục tiêu tới khu vực Châu Á – Mục tiêu: các tổ chức công nghệ và chính phủ

– Phạm vi/ khu vực: Trung Á và Nam Á

– Công cụ/cách thức tấn công: Khai thác các lỗ hổng bảo mật ở các sản phẩm SSL-VPNs và các dịch vụ lưu trữ file từ đó triển khai các mã độc  LODEINFO, Cobalt Strike, NOOPDOOR, and NOOPLDR và tấn công hệ thống Active Directory.

        4         Chiến dịch CopyRh(ight)adamantys nhắm mục tiêu vào lĩnh vực khác nhau khu vực Đông Á Mục tiêu: các tổ chức/ lĩnh vực khác nhau

– Phạm vi/ khu vực: Hoa Kỳ, Châu Âu, Trung Đông, Đông Á và Nam Mỹ

– Công cụ/cách thức tấn công: sử dụng công cụ tự động tích hợp AI gửi email phishing, sử dụng Rhadamanthys stealer

        5         Chiến dịch tấn công nhóm tấn công Nga nhắm mục tiêu khu vực Châu Á và Châu Âu Mục tiêu: công ty hoạt động trong lĩnh vực nhân quyền, công ty an ninh tư nhân và các tổ chức giáo dục

– Phạm vi/ khu vực: Trung Á, Đông Á và Châu Âu

– Công cụ/cách thức tấn công: Khởi tạo truy cập thông qua email phishing hoặc khai thác lỗ hổng bảo mật ứng dụng web, từ đó triển khai mã độc loader HATVIBE

Và CHERRYSPY backdoor

        6         Chiến dịch tấn công của nhóm tấn công Trung Quốc nhằm triển khai mã độc CobaltStrike Mục tiêu: cộng đồng Tây Tạng.

– Phạm vi/ khu vực: Trung Á.

– Công cụ/cách thức tấn công: chiếm quyền điều khiển máy chủ, thay đổi code của ứng dụng để phát tán mã độc CobaltStrike

Thông tin chi tiết các chiến dịch:

1.1        Chiến dịch do threat actor Việt Nam nhắm mục tiêu vào tổ chức chính phủ và giáo dục khu vực Châu Á và Châu Âu

Trong tháng, các nhà nghiên cứu của Cisco phát hiện chiến dịch đánh cắp thông tin đăng nhập, thông tin tài chính, cookie trình duyệt …  nhắm vào tổ chức chính phủ, tổ chức giáo dục khu vực Châu Âu và Châu Á, sử dụng phần mềm độc hại viết bằng Python có tên PXA Stealer. Mã độc này có khả năng giải mã master password trên trình duyệt nạn nhân và sử dụng để đánh cắp thông tin đăng nhập đã được lưu trữ của nhiều tài khoản trực tuyến khác. Ngoài ra, PXA Stealer có chức năng đánh cắp cookie của Facebook, sử dụng để xác thực phiên và tương tác với Facebook Ads Manager và Graph API để thu thập thêm thông tin chi tiết về tài khoản và thông tin liên quan đến quảng cáo.

Kẻ tấn công có được quyền truy cập ban đầu bằng cách gửi hàng loạt mail phishing đính kèm tệp ZIP độc hại chứa tệp thực thi và thư mục ẩn. Khi nạn nhân giải nén tệp ZIP, các file này sẽ được drop vào máy nạn nhân. Sau khi thực thi, tệp thực thi này sẽ load và thực thi nhiều batch script trong các thư mục ẩn.

Các batch script có một số nhiệm vụ như:

  • Mở tài liệu mồi nhử giả mạo mẫu đơn xin việc trên Glassdoor
  • Thực thi các lệnh PowerShell để download và thực thi phần mềm có khả năng vô hiệu hóa các chương trình diệt virus đang chạy trên máy chủ
  • Triển khai PXA Stealer
  • Drop một batch script khác có tên bat vào thư mục Windows startup nhằm thiết lập persistence

Các nhà nghiên cứu cho rằng kẻ tấn công là người Việt Nam thông qua tài khoản telegram của kẻ tấn công có tên “Lone None”, được mã hardcore trong PXA Stealer, cùng với một số bình luận bằng tiếng Việt. Ngoài ra kẻ tấn công rao bán thông tin đăng nhập tài khoản Facebook và Zalo, thẻ SIM, thông tin xác thực và dữ liệu rửa tiền trên kênh Telegram ” Mua Bán Scan MINI” và hoạt động trên nhóm Telegram khác có tên “Cú Black Ads – Dropship”.

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2        Chiến dịch sử dụng Trojan SteelFox nhằm đánh cắp dữ liệu và khai thác tiền điện tử

Các nhà nghiên cứu an ninh mạng Securelist đã xác định được một loại phần mềm độc hại mới đang lây lan qua các diễn đàn trực tuyến, torrent tracker và blog, mạo danh là phần mềm hợp pháp như Foxit PDF Editor, AutoCAD và JetBrains, được gọi là SteelFox. Chiến dịch này hoạt động trên quy mô lớn, nhắm mục tiêu vào các người dùng Microsoft Windows tải xuống phần mềm không hợp pháp… Một số nạn nhân được phát hiện tại Brazil, Trung Quốc, Nga, Mexico, UAE, Ai Cập, Algeria, Việt Nam, Ấn Độ và Sri Lanka…

Vector ban đầu liên quan đến các trình kích hoạt phần mềm giả mạo được quảng cáo trên các diễn đàn trực tuyến. Sau khi cài đặt, phần mềm độc hại tạo ra một dịch vụ trên hệ thống, hoạt động thông qua chuỗi tấn công nhiều giai đoạn bắt đầu bằng một dropper yêu cầu quyền quản trị viên. Sau khi thực thi, phần mềm độc hại tự cài đặt như một dịch vụ Windows và sử dụng mã hóa AES-128 để ẩn các thành phần.

Giai đoạn đầu của chiến dịch là tệp thực thi AMD64 có tên foxitcrack.exe  với .rdata section. Khi thực thi, chương trình hiển thị giao diện yêu cầu người dùng chọn đường dẫn cài đặt của Foxit PDF Editor. Vì thư mục cài đặt Foxit nằm trong thư mục Program Files nên FoxitCrack yêu cầu quyền truy cập quản trị, do đó kẻ tấn công có thể sử dụng với các hoạt động độc hại khác.

Sau khi có được quyền admin, SteelFox tạo một service thực thi WinRing0.sys đi kèm với pipe named \\.\WinRing0_1_2_0 cho phép quy trình giao tiếp với 1 driver dễ bị tấn công do tồn tại lỗ hổng CVE-2020-14979 và CVE-2021-41285 cho phép kẻ tấn công leo thang lên đặc quyền NT/SYSTEM và kiểm soát toàn bộ hệ thống. WinRing0.sys driver cũng là một phần của XMRig miner, do đó được sử dụng cho mục đích khai thác tiền điện tử.

Kẻ tấn công sử dụng phiên bản đã được sửa đổi của XMRig với các junk code filler, kết nối với nhóm khai thác có thông tin xác thực đã được hardcore. Sau đó mã độc thiết lập kết nối với máy chủ C2 bằng cách sử dụng SSL pinning và TLS v1.3.

SteelFox kích hoạt thành phần info-stealer, trích xuất dữ liệu từ 13 trình duyệt web, thông tin về hệ thống, mạng và kết nối RDP. Sau đó dữ liệu được tổng hợp dưới dạng JSON và gửi đến máy chủ C2.

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      Chiến tích tấn công của nhóm Earth Kasha nhắm mục tiêu tới khu vực Châu Á

Theo những báo cáo từ TrendMicro, nhóm tấn công nhắm mục tiêu vào các tổ chức trong lĩnh vực công nghệ và các đơn vị chính phủ trên khắp Nhật Bản, Đài Loan và Ấn Độ. Với các tấn công gần đây, nhóm tấn công khai thác các lỗ hổng bảo mật trong các sản phẩm như CVE-2023-28461 (Array AG), CVE-2023-45727 (Proself), và CVE-2023-27997 (FortiOS/FortiProxy) thay vì sử dụng các email phishing như các lần tấn công trước. Sau khi có khởi tạo truy cập ban đầu, nhóm tấn công thu thập thông tin hệ thống, tìm kiếm tài liệu, tệp tin, đặc biệt là recon thông tin Active Directory sử dụng các công cụ hợp pháp có sẵn của Microsoft như csvde.exe, nltest.exe và quser.exe. Đồng thời triển khai nhiều loại mã độc khác nhau ở các hệ thống thông qua giao thức SMB, tạo lập lịch với schtasks.exe and sc.exe nhằm tạo persistence. Các loại mã độc ghi nhận bao gồm:

  • CobaltStrike: Payload sẽ được gọi thông qua loader viết bằng ngôn ngữ golang có tên GOSICLOADER, GOSICLOADER sẽ giải mã payload CobaltStrike theo thuật toán Base64+AES và thực thi trong bộ nhớ
  • LODEINFO: Được khởi chạy thông qua loader LODEINFOKDR, loader sẽ tìm kiếm payload bị mã hóa trong file thực thi, giải mã và thực thi LODEINFO trong bộ nhớ. LODEINFO là backdoor với nhiều phiên bản cho phép thao tác với tệp tin, process, keylog, v.v… các phiên bản như v.0.71 cải tiến thêm các câu lệnh như runas
  • NOOPLDR: Có 2 loại shellcode được ghi nhận mà NOOPLDR sử dụng để triển khai mã độc NOOPDOOR ở giai đoạn sau. NOOPLDR XML chứa C# thực thi thông qua MSBuild và NOOPLDR DLL thực thi thông qua DLL SideLoading. Mã độc sẽ lấy payload bị mã hóa trong registry, giải mã thu được payload cuối là NOOPDOOR
  • NOOPDOOR: Payload cuối được triển khai thông qua NOOPLDR, đây là backdoor phức tạp với các đặc điểm nổi bật sau:
    • Fully position independent code – PIC
    • Giao tiếp với server hỗ trợ active và passive mode
    • C&C domain thay đổi hàng ngày theo thuật toán DGA
    • Sử dụng thuật toán RSA+ mã hóa đôi xứng trong quá trình giao tiếp với C2
    • Hỗ trợ các tính năng thêm các mã độc mới
    • Lẩn tránh sự phát hiện bằng cách chỉ giải mã khi hàm cần gọi tới trong thời gian chạy
    • Gây khó khăn cho quá trình phân tích
  • Ngoài các mã độc trên, cũng phát hiện công cụ có tên MirrorStealer kết hợp cùng NOOPDOOR với nhiệm vụ đánh cắp thông tin tài khoản trong các trình duyệt, tài khoản email clients, tài khoản trong GPP và SQL Server Management, các thông tin này được lưu trữ trong đường dẫn “%temp%\31558.TXT”

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4      Chiến dịch CopyRh(ight)adamantys nhắm mục tiêu vào lĩnh vực khác nhau khu vực Đông Á

Các nhà nghiên cứu của Check Point phát hiện chiến dịch phishing, triển khai phiên bản mới nhất của Rhadamanthys stealer (0.7) được đặt tên là CopyRh(ight)adamantys, nhắm tới nhiều khu vực khác nhau: Hoa Kỳ, Châu Âu, Đông Á và Nam Mỹ.

Chiến dịch này giả mạo nhiều công ty, trong đó 70% là các công ty trong lĩnh vực Giải trí/truyền thông và Công nghệ/phần mềm, sử dụng công cụ AI thực hiện gửi email phishing với nội dung cáo buộc người nhận sử dụng sai thương hiệu trên mạng xã hội. Tệp đính kèm trong email phishing là liên kết tải xuống appspot.com, được liên kết với tài khoản Gmail điều hướng người dùng đến Dropbox hoặc Discord để tải xuống tệp lưu trữ có password. Tệp lưu trữ này bao gồm 3 tệp: 1 tệp thực thi hợp pháp, 1 DLL có chứa Rhadamanthys, 1 tệp Adobe ESPS hoặc PDF giả mạo. Khi tệp thực thi được chạy, sử dụng DLL sideloading để load DLL độc hại, sau đó giải nén và tải các thành phần Rhadamanthys.

Khi hoạt động, stealer tạo một bản sao DLL với kích thước lớn vào thư mục Document nhằm trốn tránh phát hiện, giả mạo một thành phần liên quan đến Firefox ( FirefoxData.dll) và tạo registry key với mục đích thiết lập persistence.

Các module Rhadamanthys được download và được inject vào các quy trình hợp pháp trong thư mục system32

  • credwiz.exe
  • OOBE-Maintenance.exe
  • openwith.exe
  • dllhost.exe
  • rundll32.exe

Tệp thực thi Rhadamanthys ban đầu chứa package hardcoded, sau đó được giải nén. Giai đoạn này có chức năng kiểm tra evasion trên máy bị xâm nhập, kết nối với máy chủ C2 và tải xuống package tiếp theo. Giai đoạn cuối cùng, module được che giấu bằng kỹ thuật steganography trong tệp WAV, package này chứa nhiều stealer modules được thiết kế để nhắm mục tiêu vào nhiều loại dữ liệu khác nhau.

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5      Chiến dịch tấn công nhóm tấn công Nga nhắm mục tiêu khu vực Châu Á và Châu Âu

Chiến dịch được thực hiện bởi Threat Actor Nga với những cách thức trùng lặp với nhóm tấn công BlueDelta – APT28 mà CERT-UA đã từng báo cáo. Nhắm mục tiêu tới các công ty hoạt động trong lĩnh vực nhân quyền, công ty an ninh tư nhân và các tổ chức giáo dục tại Trung Á, Đông Á và Châu Âu. Với vector tấn công ban đầu sử dụng các tệp tin đính kèm độc hại được gửi qua email hoặc khai thác các lỗ hổng bảo mật các ứng dụng facing ra môi trường Internet, từ đó triển khai mã độc HATVIBE và CHERRYSPY

Các nạn nhân của tấn công được xác định thông qua việc theo dõi các kết nối đến cơ sở hạ tầng của mã độc HATVIBE and CHERRYSPY

HATVIBE là HTA Loader, nhận nhiệm vụ chính là load lên các mã độc mới như backdoor CHERRYSPY, được phát tán công qua tài liệu Microsoft Word độc hại hoặc khai thác lỗ hổng CVE-2024-23692 trong HTTP File Server (HFS). Để lập lịch, kẻ tấn công sử dụng scheduled và cấu hình thực thi thông qua mshta.exe. Code HATVIBE được mã hóa 2 bước, thông qua VBScript encoding và thuật toán XOR.  Giao tiếp với máy chủ C2 thông qua HTTP PUT request, body request bao gồm các thông tin như username và computer đã được mã hóa với cùng thuật toán cấu hình trong payload.

CHERRYSPY là python backdoor, giao tiếp với máy chủ C2 thông qua HTTP POST requests, sử dụng cả 2 thuật toán RSA và AES cho quá tình trao đổi khóa và truyền dữ liệu. Máy chủ C2 sẽ phản hồi lại thông tin khóa và vector khởi tạo IV của thuật toán AES để phục vụ quá trình giải mã giao tiếp về sau. Sau khi hoàn tất quá trình trao đổi khóa, các dữ liệu giữa CHERRYSPY và máy chủ C2 sẽ được mã hóa theo AES và Base64-encoded

Máy chủ C2 của HATVIBE và CHERRYSPY sử dụng cơ sở hạ tầng VPS do của nhiều nhà cung cấp dịch vụ (hosting) và đăng ký domain thông qua Namecheap

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

1.6      Chiến dịch tấn công của nhóm tấn công Trung Quốc nhằm triển khai mã độc CobaltStrike

Các phát hiện gần đây ghi nhận các tấn công đến các đơn vị có liên quan đến cộng đồng Tây Tạng, nhóm tấn công chiếm quyền điều khiển các trang web và chỉnh sửa code Javascript, ngoài ra cũng bị lạm dụng để lưu trữ mã độc. Khi người dùng truy cập trang web, tệp tin độc hại sẽ được tải xuống giả mạo ứng dụng certificate và khởi chạy để triển khai Cobaltstrike beacon. Mã Javascript độc hại cũng thu thập thông tin trình duyệt đang sử dụng và gửi đến domain được cấu hình trong code thông qua GET request với định dạng https[:]//update[.]maskrisks[.]com/?type={Chrome or Edge}

Dựa trên kết quả phân tích và hunting, ghi nhận có 6 mẫu mã độc Cobalt Strike Beacon sử dụng địa chỉ C2 mail[.]maskrisks[.]com, 2 trong số mẫu đã xác định cũng gửi request tới URL http[:]//154.205.138[.]202/GetUrl/cache?time=[UNIX Timestamp], đây là địa chỉ IP chủ máy chủ gốc (origin server) được Cloudflare sử dụng để cung cấp chứng chỉ SSL/TLS cho một *[.]maskrisks[.]com. Ngoài ra, các phân tích mã độc cũng cho thấy các trùng lặp về cách thức tấn công sử dụng mã độc trong chiến dịch liên quan đến nhóm tấn công Evasive Panda

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị:

  • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2          MALWARE

Đội ngũ NCS ghi nhận mẫu mã độc đáng chú ý sau:

STT Tiêu đề Mô tả

1

Phát hiện mẫu mã độc PlugX trên máy người dùng lĩnh vực tài chính ngân hàng tại Việt Nam Dòng mã độc được sử dụng phổ biến bởi các nhóm tấn công Trung Quốc. Được triển khai thông qua kỹ thuật side-loads, loader được viết bằng ngôn ngữ Nim và C có nhiệm vụ giải mã và khởi chạy payload cuối là Plugx trong bộ nhớ

2.1      Phân tích mẫu mã độc PlugX trên máy người dùng lĩnh vực tài chính ngân hàng tại Việt Nam

Thông qua giám sát và hunting cho các đơn vị khách hàng, NCS phát hiện các tệp tin mã độc trên máy nạn nhân bị ảnh hưởng. Kết quả phân tích cho thấy các tệp tin thuộc dòng mã độc PlugX, với cách thức triển khai payload thông qua DLL Side Loading. Có 2 loại loader được ghi nhận:

  • Acrobat.dll: loader được viết bằng ngôn ngữ Nim, giải mã dữ liệu bị mã hóa trong tệp tin AcrobatDB.dat với thuật toán XOR, khóa giải mã 0xb1 thu được PlugX. Trong đó 13 bytes đầu là shellcode, mã độc trích xuất cấu hình C&C bằng thuật toán RC4
  • coreglobconfig.dll: loader giải mã dữ liệu bị mã hóa trong tệp tin glob.dat với thuật toán XOR, khóa giải mã 0x19 thu được shellcode, mã độc trích xuất cấu hình C&C cũng sử dụng thuật toán XOR, khóa 0x25

Ngoài ra, Threat Intel NCS theo dõi và ghi nhận việc đăng ký thêm các tên miền cũng như thuê để sử dụng lại các tên miền hợp lệ đã hết hạn trước đây thông qua NameCheap, được sử dụng làm cơ sở hạ tầng cho mã độc PlugX. Đội ngũ NCS bổ sung thêm thông tin các domain liên quan trong mục IoCs

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

  • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3          LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – November 2024

Trong tháng 11, Microsoft đã phát hành các bản vá cho 89 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; Azure; .NET và Visual Studio; LightGBM; Exchange Server; SQL Server; TorchGeo; Hyper-V; và Windows VMSwitch. Trong đó có 4 lỗ hổng được đánh giá mức độ Critical, 84 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate.

Các lỗ hổng nổi bật ghi nhận trong tháng:

STT Mã CVE Tên lỗ hổng Thông tin chung Mức độ cảnh báo
        1 CVE-2024-43451 NTLM Hash Disclosure Spoofing Vulnerability Tồn tại lỗ hổng Spoofing trên Microsoft Windows dẫn đến tiết lộ mã hash NTLMv2 cho phép kẻ tấn công sử dụng để xác thực hệ thống với tư cách là người dùng. Khai thác lỗ hổng yêu cầu tương tác từ người dùng Important
        2 CVE-2024-49039 Windows Task Scheduler Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Windows Task Scheduler cho phép kẻ tấn công thực thi mã và truy cập vào tài nguyên với đặc quyền cao. Khai thác lỗ hổng yêu cầu kẻ tấn công thực thi ứng dụng độc hại trên hệ thống mục tiêu Important
        3 CVE-2024-43639 Windows Kerberos Remote Code Execution Vulnerability Tồn tại lỗ hổng thi mã từ xa trên Windows Kerberos cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên hệ thống bị ảnh hưởng Critical
        4 CVE-2024-43498 .NET and Visual Studio Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công gửi các request độc hại đến .NET webapp hoặc load một tệp độc hại vào ứng dụng dễ bị tấn công Critical
       5 CVE-2024-49040 Microsoft Exchange Server Spoofing Vulnerability Tồn tại lỗ hổng Spoofing trên Microsoft Exchange Server Important
        6 CVE-2024-49019 Active Directory Certificate Services Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Active Directory Certificate Services cho phép kẻ tấn công giành được đặc quyền domain administrator Important

Khuyến nghị:

  • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

STT Mã CVE Tên lỗ hổng Thông tin chung Sản phẩm Mức độ cảnh báo
        1 CVE-2024-8068 Privilege escalation to NetworkService Account access Tồn tại lỗ hổng leo thang đặc quyền trong Citrix Session Recording cho phép kẻ tấn công truy cập vào tài khoản NetworkService. Khai thác lỗ hổng yêu cầu kẻ tấn công xác thực trên cùng domain Windows Active Directory với domain máy chủ session recording. Citrix Session Recording Medium
        2 CVE-2024-8069 Limited remote code execution with privilege of a NetworkService Account access Tồn tại lỗ hổng thực thi mã từ xa với quyền truy cập tài khoản NetworkService. Khai thác lỗ hổng yêu cầu kẻ tấn công xác thực trên cùng mạng nội bộ với máy chủ Session Recording. Citrix Session Recording Medium
        3 CVE-2024-0012 Authentication Bypass in the Management Web Interface Tồn tại lỗ hổng bỏ qua xác thực trong Palo Alto Networks PAN-OS cho phép kẻ tấn công không cần xác thực có quyền truy cập vào Management Web Interface, nhằm giành đặc quyền administrator từ đó thực hiện các hoạt động độc hại khác Palo Alto Networks PAN-OS Critical
        4 CVE-2024-9474 Privilege Escalation (PE) Vulnerability in the Web Management Interface Tồn tại lỗ hổng leo thang đặc quyền trong Palo Alto Networks PAN-OS cho phép kẻ tấn công thực hiện các hoạt động độc hại với đặc quyền root Palo Alto Networks PAN-OS Medium

 

 

4          PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 11/2024.

4.1       Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Chiến dịch do threat actor Việt Nam nhắm mục tiêu vào tổ chức chính phủ và giáo dục khu vực Châu Á và Châu Âu

Indicator of Compromise (IoC)

23[.]95[.]182[.]59

195[.]201[.]21[.]34

159[.]223[.]46[.]184

hxxp[:]//23[.]95[.]182[.]59/31279geuwtoisgdehbiuowaehsgdb/cht

hxxp[:]//23[.]95[.]182[.]59/31279geuwtoisgdehbiuowaehsgdb/klg

hxxps[:]//apple-online[.]shop/ChromeSetup[.]exe

hxxps[:]//rvthereyet[.]com/wp-admin/images/rsggj[.]php

tvdseo[.]com

hxxps[://]tvdseo[.]com/file/synaptics[.]zip

hxxps[://]tvdseo[.]com/file/PXA/PXA_PURE_ENC

hxxps[://]tvdseo[.]com/file/PXA/PXA_BOT

hxxps[://]tvdseo[.]com/file/Adonis/AdFnis_Bot

hxxps[://]tvdseo[.]com/file/PXA/PXA_PURE_ENC

hxxps[://]tvdseo[.]com/file/Adonis/Adonis_Bot

hxxps[://]tvdseo[.]com/file/Adonis/Adonis_XW_ENC

hxxps[://]tvdseo[.]com/file/Adonis/Adonis_Bot0

hxxps[://]tvdseo[.]com/file/STC/Cookie_Ext[.]zip

hxxps[://]tvdseo[.]com/file/STC/STC_XW_ENC

hxxps[://]tvdseo[.]com/file/STC/STC_PURE[.]b64

hxxps[://]tvdseo[.]com/file/STC/STC_PUP

hxxps[://]tvdseo[.]com/file/STC/STC_OTO

hxxps[://]tvdseo[.]com/file/PXA/Cookie_Ext[.]zip

hxxps[://]tvdseo[.]com/file/STC/STC_PURE_ENC

hxxps[://]tvdseo[.]com/file/STC/STC_BOT

hxxps[://]tvdseo[.]com/file/PXA/PXA_BOT

Hash SHA-256

a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642

c9920e995fbc98cd3883ef4c4520300d5e82bab5d2a5c781e9e9fe694a43e82f

e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1

fdad95329954e0085d992cba78188a26abd718797f4a83347ec402f70fe65269

7db49da15fd159146fe869d049e030a4ecd0d605a762bea4cc4eb702a6ce9ee6

707004559c8d625f2d4b296ede702def1f9f52cadf4c52dadc41f3077531d04f

bc15114841e39203b4e0f5d2cdeef11cc4eceba99eb0c3074a1c6d7b3968404a

a9e3f6b9047b5320434bc7b64f4ba6c799d2b6919d41ed32e9815742f3c10194

782da8904a729971fab86286dd1f44e8de686b7bc66b855079381e1c9e97f6da

e689601d502cc0cd8017f9d6953ce7e201b2dad42f679dc33afa673249ea1aa4

4.1.2       Chiến dịch sử dụng Trojan SteelFox nhằm đánh cắp dữ liệu và khai thác tiền điện tử

Indicator of Compromises (IoCs)

Hash MD5

Payload

fb94950342360aa1656805f6dc23a1a0

Loader

5029b1db994cd17f2669e73ce0a0b71a    lpsad.exe

69a74c90d0298d2db34b48fa6c51e77d    AGSService.exe

84b29b171541c8251651cabe1364b7b6   FoxitPDFEditorUpdateService.exe

015595d7f868e249bbc1914be26ae81f     0947cca1b5509f1363da20a0a3640700

040dede78bc1999ea62d1d044ea5e763    0ce3775fbfbe8f96e769822538c9804c

051269b1573f72a2355867a65979b485   0f2f104dcc4a6c7e3c258857745d70fb

08fa6ebc263001658473f6a968d8785b    11caf769c0fb642bbb3daa63e516ca54

d5290ba0cd8529032849ae567faba1ce     e7c4e02e1da5afb56a2df0996784a9d5

d715507131bbf4ca1fe7bc4a5ddfeb19      e9a14ae0f7eb81346eac9d039138a7d8

dc8c18e4b729fdbf746252b2fc1decc5      f3690f597c725553b8ced0179f4f032e

dc9d42902bda8d63e5858b2a062aecc1    f8f6c7d65b28b978e4f2a40158973a0c

Dropper

9dff2cdb371334619b15372aa3f6085c     jetbrains-activator.exe

c20e1226782abdb120e814ee592bff1a     autocad-patch.exe

c6e7c8c76c7fb05776a0b64699cdf6e7     FoxitPatch.exe

File paths

C:\Program Files (x86)\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe

C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe

C:\Program Files\Autodesk\AdODIS\V1\Setup\lpsad.exe

PDB paths

d:\hotproject\winring0\source\dll\sys\lib\amd64\WinRing0.pdb

Domains and IPs

hxxps://ankjdans[.]xyz

205.185.115[.]5

Malicious URLs

hxxps://github[.]com/DavidNguyen67/CrackJetbrains

hxxps://github[.]com/TrungGa123/Active-all-app-Jetbrains/

hxxps://github[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/

hxxps://github[.]com/TaronSargsyan123/ScaraSimulation

hxxps://raw.githubusercontent[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/main/jetbrains-activator.exe

hxxps://raw.githubusercontent[.]com/TaronSargsyan123/ScaraSimulation/main/jetbrains-activator.exe

hxxps://raw.githubusercontent[.]com/TrungGa123/Active-all-app-Jetbrains/main/jetbrains-activator.exe

hxxps://raw.githubusercontent[.]com/DavidNguyen67/CrackJetbrains/main/jetbrains-activator.exe

hxxps://www.cloudstaymoon[.]com/2024/05/06/tools-1

hxxps://squarecircle[.]ru/Intelij/jetbrains-activator.exe

hxxps://drive.google[.]com/file/d/1bhDBVMywFg2551oMmPO3_5VaeYnj7pe5/view?usp=sharing

hxxps://github[.]com/cppdev-123

4.1.3       Chiến tích tấn công của nhóm Earth Kasha nhắm mục tiêu tới khu vực Châu Á

Indicator of Compromises (IoCs)

Hash SHA-1

beee3652dc691154007b931f1b6c627aee7361a9

41e340e5d5dc38cd853778f3df5247c164e00e59

da793d3c7c65788a133d1d5a3b48bad791f500ce

Domain/IP:

ns1[.]tlsart[.]comCobalt Strike

{DGA}[.]hopto[.]org

{DGA}[.]gotdns[.]ch

{DGA}[.]myftp[.]org

{DGA}[.]tw8sl[.]com

{DGA}[.]srmbr[.]com

45[.]76[.]197[.]236

4.1.4       Chiến dịch CopyRh(ight)adamantys nhắm mục tiêu vào lĩnh vực khác nhau khu vực Đông Á

C2:

198[.]135.48[.]191

139[.]99.17[.]158

103[.]68.109[.]208

95[.]169.204[.]214

15[.]235.138[.]155

15[.]235.176[.]166

Hash SHA-256

Archives

d285677cba6acf848aa4869df74af959f60ef1bc1271b4032000fcdd44f407f2

2be6ad454fa9e87f78dea80d2855f1c14df81a881093a1a0d57f348377f477a8

9ef9c88cef51ee0fb77ea9a78dbe60651603ef807ddb6c44d5bda95cc9026527

e8aa9a061c6ea803faaf4c8d7a80c6886b4ee73d9a89a9dc6e87e3fecf7a6851

b1ac4ad92045e935c132214015188d27ec4382f930d0152dfb303695b708b38d

00086cf4f35b6fb7f897cfa2f0d5ad9876aa9819cdc87416c798005ce901d3a1

05e02f0f9b8625fe3959ae1219f31b0167d787fefc0a9d152edf6524d6859590

0a3dfe260dd7b038ddb8911689c899541391c188aff966261e7bd9d0280d153d

0b9bd95d815af9ea4a59840ef6fcdc7ccfd0e239c40974334cb4cfb41df530db

0de8d2d3217cebd37a2fe488713d1c288ae5a63d3d3b2a3495e2e636ba6a1f89

10eafd75429ffadee2384acd37b0d4e7ca26b83666e6786f2acaf1b1c29c3f17

12b7390835f30c1bcdeddd258e49684c98133cee4a6a2ccab869785567deae4f

2a276ca5b2e095cdac7b24e58b3f7a67cee7db2fb5c1568e4775909265c7e914

2aa58fa8d71bd2b4fd1ffac16a6461191bbf6f4b2c97455ae52800cce929a0f2

2e0c99758432a3759b5af6f190ec5cb72a5a84c977d8883dcf041c4de003f3d3

324dfc7bb75f27e6fba8d67dea67a63525efbe947bf8e29ef39980c6efc1c3f6

3448005600ccb0ae52443a4c227a657de9cd767b389e9a1ed75ef074709981bd

3de252c9023bc8920d77570acdfe21813532727af3f91d59af35fa8abcd3700f

3ecf2838b2e07e6d329d45cde7d0162ba47fea4b94bacb24838358314daed756

415ee9b12002f17ca4f36bef794fdb19884e22980e21bf8a15043258624c439b

416f3fa48b75ab168e3373dae77cab7f4702de5158835d23a02629e8c1d20156

41a3edb3a8e8d5cf093cbd02791911f6ee26df39a377fceb6b101d66a7b7aff2

4b33219c5cadb4d741044874f6f0184d45f43891d28ad5b489716d4da21310fd

4bbe0f6b5488a51295b15d8144d0a1c9b41bb86384299b88ea48e88c76704f52

4cbcfa2a8d56976eff1e8ac0ef4d7703d0b802f227975a0cc36f3dcd3a90e73e

5cec33e8f47855da3c4ce1f3953d750275864714b16e08a94605bc3889867caf

6044e08402d1abd52991f5c6a4749ba6aa29a0587ff196edf60b38862392e855

623bb3f1f476c37afc309d6c0ab89e216aaedc03b8a7ec1aaec5fb5085d78a97

741dfdae8948f3e430a5b7b66c8fb4b8a750695b67a84a12abc0b6089e8fba31

7990765022c4400a45f996046971b9e6b69cca5b06f8d2adb61bc267fd362197

7d7a3e254b7968400a301d83fcd44a69f655386b9b95998a36113cfb2e542720

7dc07b8aa268485e40ab78bfbb03a367d80ebd7b2c6c74961dc6842cae7086e1

7e270a80cd0f04f245309e8c75cfc2cb46dc075ba01a00b30f66cb8b5deaaf3f

865a4f2583679f7a40357b61301d75567cf516a5b8295dc8155e6d4aa2ce244a

878917b6a8d241031fc330eff771f416a9fffaecab42c39d57e58ac2d8f38f11

970e199e40511e90d6dd5d6f3c9f3701215fd881b1273fe2617bd44444b0bee9

9a249dfdc2c16700bc5add2455f2ed00e47a2610b7779cc33e40aac576a2a74d

9abf9fb94e2529d8819a3873f2025bdd90d14e75fe4af81e489f6d0560809f9c

9d10835f7717c89d17886b7e59cc2dfc9133bfaa044bad5f070e1c8e1212e257

a03d2956ff8d0ae4d96c9e6cced79b335b70eef10feb0f7202609cb8652179f6

a064bbc4b58642ab4d7118abc55fb81db6584cbc633800ad14048e8370a95ef2

a15d0aedc8b4e54a170b6ecc3d9a06835cc499f07b05c6ca261081ace505debf

a72083974e886856b7d985bdc79888234c8cd9012ed39b2566851fb0d86cca50

a8729621ca4310e8e1a7ad3e1426708f1e1954a16af420cd3ce46c501e9692ab

a9896a8f96407a5eedda08a63dd40967f0fe0b3926e7002b6e1abc11f6ab81cc

aa04c9307a9087455d21dfac02d7f322ab337cd5978f9161285a9c79379efecc

b36205464ead176a473ab43ea7b5e0c2b8749b3eb9549d65609be2337dce25db

b529c6df6164ff8badf30f942220a3126f99e3fc2c2ea1494aa3e305b3b53c1f

b9c4c8343ba75081954b2db54940585c6c0c9bb47e053ac1b9229b4fa8fc9293

be9c3feed5f6e81ccd375902c8c92616f77694b6cd14f69896d44dd4b1ea4990

c5bb808a88f9e729484c05a1bc3097157bbfbd28469e502f2ebc4c6e6135df42

c622c0f67eb5d9a90008e5e120065cd5a1a6e25c6e758e8205d377596059b8fe

ccb539bf17d479d9707ee717d0afb03cd57e9b6f023becf1abf9cdbd88e1b06c

cd3040c88a6fd71ed1ce8c2a5d0b13ed8e25e49835932a39891c514ef946dd29

ce2f00f1d0e71287e746d5a3507547f355297a3e45a7c2cc0322015916a0137c

d00d3adf81bf95ff4994dcbd2ae1305a6ee6b0edfad6eb55b87217f85645651a

d0e3f547e3efcc9d9794774a765b9c3950955e7ad752f3e630ebd5ab9425bcdc

d452461f3527d674de3e9b680026ceb2b02c56d6d3f7c94da3aab65c05f52c03

d57f45096e646837dec51129222fcbe79981c595721164009aec68be09bf5dcf

dbb4f7e6354621c316fbba7e7a15f59cf229684e16ab6d21027f310beecaf49b

dbdeede6f39936305c4c5bd8e4f7bfccb0b823c025130e7f8fa285e80383be0f

dc3d72f72247141efeba3c2ffd498025f68e0c4b34c9a4dc2686ffec09b6d401

de933f7b47707f4bf8d5a4aaef8b31f5059d3b8f465bcaae3e22438466e8390b

e6315b24e0311758da1c25daa5f2724da4f534ed7ed644cbf43f3cc64c4676a7

e9a18755312011e30081e7ce0fcc1db3e3aec3b9f3ed3a776dd38498830a2738

eb4e39d44ad016b8d6d1dc8dc25a9ea3d3e18df87516922fdbd995de15b68f54

ebd167ca477af620065548a9e55567682b0750625b3e078fc4498dd5adeabdc6

f2536e520d37512d868a418797974a5c11e67742824a5477100b7e3f5b2efbc3

f4fcba1c9d7f4ae8e3868f901035ea1e0e9e1122a362a83afd3d111c17a97d7a

f7eef906c7dc1ce2ffe586d4b7f316a5f5c6761b5cdbf22d892fbc87a5ee2f6f

fe55c1d263e0ea356d86afd8b2b1cedff570568e45b8a3810e05ea482b8a9329

fefba5ce20c71a71cfe35dd8ff06c514bf6ffde60356babf4f4bba66dd904b78

DLL:

cf9d93951e558ed22815b34446cfa2bd2cf3d1582d8bd97912612f4d4128a64e

48aaa2dec95537cdf9fc471dbcbb4ff726be4a0647dbdf6300fa61858c2b0099

00fc4b8a4c65c06766608f3ef3f92385c8e147f5991dabe290e33dd14b39ad44

0ad65fd0897a6547f6febf398708ab2d423a8f8834b53136219cb490ec3ebd13

11ba24d023b544e28c37b6cb8afe27d06638175d7f56c2e4d4ff97bf7bd813b6

1a2399ecc38f3288206c75b55762d125d3d75254062a2c0d85c86e7f896736ac

258ffcc13dbe110bcce21b91f7f075995719791fdd3c9f55ea5934984fa4373d

2cbc1e8a4cb5d18a867666adbd3417bc88d48a74ae6500593959aec1a1c92d2d

342a5c7df2bdd040570f4b83c74366d4c96a90d6418149d432cb5e8577f2f6b1

3648e89e7449ea433a8b3ef0e5b605b5dc4157048c03b20dedc5e3b920fa8552

5418e42706bca4712ff2a3db67853eb42a2310660c51cff2f9020586cffedeb3

69573694d16b7ccadfa208ff976bfe1b3e36837aba3e5dc4dfc80e66341ef61e

6de4f65b1d738d84f8e825613092bbd360194195fe8a1c986e12a9bb704217c1

751f149665f87dd20cc8dff743f28e5da1ff2a5f04874d4b8569b9afceeedfec

78200cd816acbd39b6664c6582e06500f6d46085b62b49d2f914bea5a004197a

783c7f4bf23072343f6247ee14e54e4af0b147553ad1ef42b4e7fb44386d667c

7f99e506c17676b98dcc08e6a19f100ef933cde3e0423c6d4072f6802a9196bb

8d0b1174cbda6b102bb98c91ba123e9f404b9fad23b49a4e29f3cfd8d20a577a

90c7688e0dc23ba4530bac1d567bad920c4ef1c06cbf4b2d867eeb363271eefe

9102e564c3262b2c291e8ca3d67f8a55c06650aa86f617c919916f6053c03c9b

9327aa03760431b6d86eeb2f1a3efc36aa443b842b5116fbbe0f2a7794c4e70e

97286b6f3a6535ff1172ef65172e6967e3670c6b14a3313c3bf0d6c171b1fc85

98e28d3423f5d414effe3c0ed6fd0f1c8154942e5e127ecee5f051e1196ffc75

99c0bebdc8cb7b0948000a601f510fc70487f9da532be199b8641512a2db9839

9bdf49b27fd4d80ef087f63e0bfa0a0822686814863eca09ac506404ad76dfda

b2588061ba5ee9948bbccd320b40c6d7b8d6a693d181f3bce61e5e267f53aa7e

b936853a0c50a0cd0bc8b33103b55bd88e19c6c28768d990b954c11d714286ca

f2429f4bd09897653d0ffa41206a14cafa55356d5edc04dc0915c116867f8c27

4.1.5       Chiến dịch tấn công nhóm tấn công Nga nhắm mục tiêu khu vực Châu Á và Châu Âu

Indicator of Compromises (IoCs)

Domains:

enrollmentdm[.]com

errorreporting[.]net

experience-improvement[.]com

game-wins[.]com

internalsecurity[.]us

lanmangraphics[.]com

retaildemo[.]info

shared-rss[.]info

telemetry-network[.]com

tieringservice[.]com

trust-certificate[.]net

IP Addresses:

5.45.70[.]178

45.136.198[.]18

45.136.198[.]184

45.136.198[.]189

46.183.219[.]228

84.32.188[.]23

185.62.56[.]47

185.158.248[.]198

185.167.63[.]42

194.31.55[.]131

212.224.86[.]69

4.1.6       Chiến dịch tấn công của nhóm tấn công Trung Quốc nhằm triển khai mã độc CobaltStrike

Indicator of Compromises (IoCs)

Compromised Websites:

tibetpost[.]net

gyudmedtantricuniversity[.]org

shambalanews[.]com

Domains:

maskrisks[.]com

mail[.]maskrisks[.]com

update[.]maskrisks[.]com

checkupdate[.]maskrisks[.]com

IP Addresses:

154.90.62[.]12

154.90.63[.]166

154.205.138[.]202

URLs of malicious JavaScript:

https[:]//gyudmedtantricuniversity[.]org/templates/lt_interiordesign/js/custom.js

https[:]//tibetpost[.]net/templates/ja_teline_v/js/gallery/jquery.blueimp-gallery.full.js

Malicious URLs:

https[:]//update[.]maskrisks[.]com/download

https[:]//update[.]maskrisks[.]com/?type=Chrome

https[:]//update[.]maskrisks[.]com/?type=Edge

http[:]//mail[.]maskrisks[.]com/api/view.php

http[:]//154.205.138[.]202/GetUrl/cache

https[:]//checkupdate[.]maskrisks[.]com/cache

https[:]//update[.]maskrisks[.]com/cache

Hash SHA-256

1e42cbe23055e921eff46e5e6921ff1a20bb903fca83ea1f1294394c0df3f4cd

0e306c0836a8ee035ae739c5adfbe42bd5021e615ebaa92f52d5d86fb895651d

f1f11e52a60e5a446f1eb17bb718358def4825342acc0a41d09a051359a1eb3d

f4ded3a67480a0e2a822af1e87a727243dea16ac1a3c0513aec62bff71f06b27

966d311dcc598922e4ab9ce5524110a8bfd2c6b6db540d180829ceb7a7253831

1e7cb19f77206317c8828f9c3cdee76f2f0ebf7451a625641f7d22bb8c61b21b

8d4049ef70c83a6ead26736c1330e2783bdc9708c497183317fad66b818e44cb

31f11b4d81f3ae25b6a01cd1038914f31d045bc4136c40a6221944ea553d6414

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Phân tích mẫu mã độc PlugX trên máy người dùng lĩnh vực tài chính ngân hàng tại Việt Nam

Hash SHA-1

CD16519095D8A30FC3B7C3EB92652F646352CA87

5180ED1E7F414CC22F12CBDEC97245A5335126C7

15501DCB680D69F5F5679F636023F8D06964BA15

3A5666239D24A4DA5E1517F061DC456B537021C9

C&C

aihkstore[.]com

365officemail[.]com

Domain bổ sung

7gzi[.]com

abecopiers[.]com

alphadawgrecords[.]com

alvinclayman[.]com

atasensors[.]com

dmfarmnews[.]com

finasterideanswers[.]com

homeimageidea[.]com

mexicoglobaluniversity[.]com

pgfabrics[.]com

tigermm[.]com