THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 12 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Các cuộc tấn công APT của nhóm OilRig với các mẫu downloader sử dụng dịch vụ cloud cho kết nối C&C

Các nhà nghiên cứu của ESET đã theo dõi và phân tích một loạt các chiến dịch tấn công của nhóm OilRig trong suốt năm 2022, phát hiện các mẫu downloader, được đặt tên lần lượt là SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent, OilBooster, có sử dụng API của các dịch vụ cloud hợp pháp phục vụ cho kết nối C&C, bao gồm Microsoft Graph OneDrive hoặc Outlook APIs, Microsoft Office Exchange Web Services (EWS) API.

OilRig, còn được gọi là APT34, Lyceum, Crambus, Siamesekitten, là một nhóm gián điệp mạng hoạt động từ năm 2014 và được cho rằng thuộc Iran. Mục tiêu của nhóm là các tổ chức chính phủ Trung Đông và các tổ chức, doanh nghiệp thuộc các lĩnh vực hóa học, năng lượng, tài chính và viễn thông. Các mẫu downloader được phát hiện được gán cho OilRig với mức độ tin cậy Cao, dựa trên các yếu tố:

  • Mục tiêu: Các mẫu này đều được triển khai nhằm khai thác các tổ chức Israel, mục tiêu đặc trưng của OilRig
  • Sự tương đồng về code: Các mẫu SC5k v2 và v3 đều được phát triển từ phiên bản ban đầu v1 được phát hiện trong chiến dịch Outer Space cũng của OilRig, trong khi các mẫu khác cũng sử dụng logic tương tự, và 1 điểm nổi bật của tất cả các mẫu là việc sử dụng API của các dịch vụ cloud hợp pháp cho kết nối C&C

Tháng 2-2022, đội ngũ của ESET đã phát hiện 1 mẫu C#/.NET downloader mới, ODAgent.exe, tương tự như mẫu backdoor Marlin của OilRig, sử dụng API Microsoft Onedrive để kết nối C&C. Tuy nhiên, chức năng của ODAgent hạn chế hơn so với Marlin, chỉ hỗ trợ tải xuống và thực thi các payload, cũng như truyền file ra ngoài.

ODAgent được phát hiện trên hệ thống của 1 công ty sản xuất tại Israel, nơi đã từng bị tấn công sử dụng mẫu downloader SC5k và OilCheck. Khác với ODAgent, SC5k và Oilcheck sử dụng API của các dịch vụ cloud email để kết nối C&C.

Từ tháng 6 đến tháng 8-2022, các chuyên gia cũng đã phát hiện thêm các mẫu downloader OilBooster, SC5k v1, SC5k v2 trên hệ thống của 1 tổ chức chính phủ tại Israel. Tháng 12-2022, mẫu SC5k v3 được phát hiện trên hệ thống của 1 tổ chức y tế Israel – cũng đã từng là nạn nhân của OilRig.

SC5k là 1 mẫu mã độc C#/.NET nhằm mục đích tải và thực thi các công cụ khác của OilRig thông qua API Office Exchange Web Services (EWS). Các phiên bản mới hơn (SC5k v2) được cải tiến nhằm tăng độ khó cho việc phân tích payload và bổ sung tính năng truyền file ra ngoài (SC5k v3).

Timeline phát hiện các mẫu downloader của OilRig

Tất cả các mẫu downloader được phát hiện đều được OilRig sử dụng nhắm đến các nạn nhân tại Israel và đã từng bị nhóm tấn công trước đây, thể hiện mục đích duy trì kết nối đến hệ thống của các nạn nhân này.

Indicators of Compromise (IoCs)

Files

SHA-1 Filename Detection Description
0F164894DC7D8256B66D0EBAA7AFEDCF5462F881 CCLibrary.exe MSIL/OilRig.A OilRig downloader – SC5k v1.
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 acrotray.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
35E0E78EC35B68D3EE1805EECEEA352C5FE62EB6 mscom.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
51B6EC5DE852025F63740826B8EDF1C8D22F9261 CCLibrary.exe MSIL/OilRig.A OilRig downloader – SC5k v1.
6001A008A3D3A0C672E80960387F4B10C0A7BD9B acrotray.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
7AD4DCDA1C65ACCC9EF1E168162DE7559D2FDF60 AdobeCE.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
BA439D2FC3298675F197C8B17B79F34485271498 AGSService.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 CCXProcess.exe MSIL/OilRig.A OilRig downloader – SC5k v1.
C04F874430C261AABD413F27953D30303C382953 AdobeCE.exe MSIL/OilRig.A OilRig downloader – SC5k v1.
C225E0B256EDB9A2EA919BACC62F29319DE6CB11 mscom.exe MSIL/OilRig.A OilRig downloader – SC5k v1.
E78830384FF14A58DF36303602BC9A2C0334A2A4 armsvc.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 node.exe MSIL/OilRig.D OilRig downloader – SC5k v1.
1B2FEDD5F2A37A0152231AE4099A13C8D4B73C9E consoleapp.exe Win64/OilBooster.A OilRig downloader – OilBooster.
3BF19AE7FB24FCE2509623E7E0D03B5A872456D4 owa.service.exe MSIL/OilRig.D OilRig downloader – SC5k v2.
AEF3140CD0EE6F49BFCC41F086B7051908B91BDD owa.service.exe MSIL/OilRig.D OilRig downloader – SC5k v2.
A56622A6EF926568D0BDD56FEDBFF14BD218AD37 owa.service.exe MSIL/OilRig.D OilRig downloader – SC5k v2.
AAE958960657C52B848A7377B170886A34F4AE99 LinkSync.exe MSIL/OilRig.F OilRig downloader – SC5k v3.
8D84D32DF5768B0D4D2AB8B1327C43F17F182001 AppLoader.exe MSIL/OilRig.M OilRig downloader – OilCheck.
DDF0B7B509B240AAB6D4AB096284A21D9A3CB910 CheckUpdate.exe MSIL/OilRig.M OilRig downloader – OilCheck.
7E498B3366F54E936CB0AF767BFC3D1F92D80687 ODAgent.exe MSIL/OilRig.B OilRig downloader – ODAgent.
A97F4B4519947785F66285B546E13E52661A6E6F N/A MSIL/OilRig.N Help utility used by OilRig’s OilCheck downloader – CmEx.

 

Network

IP Domain Hosting provider First seen Details
188.114.96[.]2 host1[.]com Cloudflare, Inc. 2017-11-30 A legitimate, likely compromised website misused by OilRig as a fallback C&C server.

 

1.2      Nhóm tấn công Fighting Ursa khai thác lỗ hổng Microsoft Outlook

Đội ngũ nghiên cứu Unit 42 của Palo Alto đã phát hiện các cuộc tấn công của nhóm Fighting Ursa khai thác lỗ hổng trên Microsoft Outlook, CVE-2023-23397. Lỗ hổng này là lỗ hổng zero-day tại thời điểm tấn công, không yêu cầu tương tác từ phía người dùng. Nhóm tấn công được cho là đã sử dụng CVE-2023-23397 trong khoảng thời gian hơn 20 tháng, tấn công ít nhất 30 tổ chức thuộc 14 quốc gia nhằm mục tiêu thu thập thông tin tình báo cho chính phủ và quân đội Nga.

Hai chiến dịch tấn công đã được phát hiện trước đó của Fighting Ursa diễn ra vào tháng 3 đến tháng 12-2022 và tháng 3-2023. Các chuyên gia của Unit 42 phát hiện chiến dịch tấn công gần đây nhất là vào tháng 9 đến tháng 10-2023, nhắm mục tiêu đến ít nhất 9 tổ chức thuộc 7 quốc gia. Các quốc gia có nạn nhân của Fighting Ursa bao gồm các thành viên của NATO, cùng với Ukraina, Jordan và UAE. Các tổ chức bị tấn công đều là các tổ chức quan trọng, thuộc lĩnh vực sản xuất năng lượng, vận hành đường ống, vận tải, các cơ quan chính phủ thuộc Bộ Quốc Phòng, Bộ Ngoại Giao, Bộ Nội Vụ và Bộ Kinh Tế.

Nhóm tấn công thực hiện khai thác CVE-2023-23397 bằng cách gửi các email có chứa payload đến các nạn nhân. Khi các nạn nhân sử dụng phiên bản Microsoft Outlook có lỗ hổng nhận được email, Outlook sẽ tiến hành gửi các tin nhắn xác thực NTLM đến các hệ thống chia sẻ file từ xa được điều khiển bởi nhóm tấn công. Fighting Ursa sẽ gửi lại NTLM authentication response là 1 mã hash NTLMv2 nhóm dùng để giả mạo, truy cập và hoạt động trong hệ thống mạng của nạn nhân. Các hành vi này được gọi là NTLM relay attack.

Các cuộc tấn công được đội ngũ Unit 42 gán cho Fighting Ursa dựa trên danh sách nạn nhân bị tấn công, nhằm mục tiêu thu thập thông tin tình báo cho chính phủ và quân đội Nga, cùng với việc sử dụng các thiết bị mạng Ubiquity để thu thập các tin nhắn xác thực NTLM (NTLM authentication messages) từ hệ thống của các nạn nhân.

Indicators of Compromise (IoCs)

IP

5.199.162[.]132

101.255.119[.]42

181.209.99[.]204

213.32.252[.]221

168.205.200[.]55

69.162.253[.]21

185.132.17[.]160

69.51.2[.]106

113.160.234[.]229

24.142.165[.]2

85.195.206[.]7

42.98.5[.]225

61.14.68[.]33

50.173.136[.]70

2        Malware

2.1      Phân tích các mẫu mã độc của nhóm tấn công Lazarus

Nhóm nghiên cứu QiAnXin phát hiện các mẫu mã độc có liên quan đến tấn công chuỗi cung ứng – npm package. Dựa trên các đặc điểm của downloader và các mẫu mã độc khác, nhóm nghiên cứu cho rằng Lazarus là nhóm đứng sau thực hiện các cuộc tấn công này.

Thông tin cơ bản các mẫu mã độc

Tên tệp tin MD5 Loại tệp tin C2
Sql.tmp d8a8cc25bf5ef5b96ff7a64f663cbd29 PEx64 hxxp://91.206.178.125/upload/upload.asp
Sql.tmp 46127a35b73b714a9c5c58aaa43cb51f PEx64 hxxps://blockchain-newtech.com/download/download.asp
Preinstall a6e7c231a699d4efe85080ce5fb36dfb PEx64 hxxps://chaingrown.com/manage/manage.asp

 

Mã độc preinstall.db (a6e7c231a699d4efe85080ce5fb36dfb) sử dụng làm ví dụ để phân tích

Stage 1:

Hàm export function CalculateSumW trong preinstall.db thực hiện giải mã dữ liệu từ trong section .data bắt đầu từ vị trí 0x18000BED0

Sau khi giải mã, dữ liệu thu được là một PE file, được load vào bộ nhớ và thực thi

Stage 2:

PE mới sau khi giải mã là một DLL với nhiệm vụ giải mã dữ liệu ra một được 1 tệp tin định dạng .zip được nhúng trong DLL. Bên trong tệp tin nén zip có một PE file sẽ được drop vào đường dẫn “%AppData%\\..\\Roaming\\Microsoft\\IconCache.db”. Một tệp tin khác cũng có tên NTUSER.DAT cũng sẽ được drop xuống đường dẫn “%AppData%\\..\\Roaming\\Microsoft\\Network\\NTUSER.DAT

Mã độc tạo persistence theo các phương pháp sau:

  • Lập lịch: Mã độc tạo scheduled task có tên “MicrosoftEdgeUpdate” thông qua câu lệnh sau

RUNDLL32.exe %APPDATA%\..\Roaming\Microsoft\IconCache.db,GetProcFunc  %APPDATA%\..\Roaming\Microsoft\Network\NTUSER.DAT  8888

  • Đăng ký giá trị trong registry: trong trường hợp việc lập lịch scheduled task không thành công, mã độc tạo giá trị trong regedit có tên GoogleUpdate tại đường dẫn “HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run” thực hiện thực thi câu lệnh sau

cmd /c start /b rundll32 %APPDATA%\..\Roaming\Microsoft\ IconCache.db,GetProcFunc  %APPDATA%\..\Roaming\Microsoft\Network\ NTUSER.DAT  8888

  • Tạo giá trị trong đường dẫn Startup: trong trường hợp việc đăng ký giá trị trong regedit không thành công, mã độc thực hiện drop file bat với thuộc tính của file là ẩn tại đường dẫn “C:\\Users\\[user]\\AppData\\Roaming\\ Microsoft\\Windows\\Start Menu\\Programs\\Startup\\check.cmd”

Satge 3

IconCache.db được drop trước đó là một DLL 64-bit có hàm exportfunction GetProcFuncW được gọi thông qua rundll32. DLL thực hiện đọc và giải mã dữ liệu trong file NTUSER.DAT và thực thi

PE file được giải mã từ NTUSER là main-module của downloader, thực hiện lấy thông tin máy chủ C2 và gửi các POST request với cặp 7 giá trị tới máy chủ này

Các payload mới cũng sẽ được tải xuống từ máy chủ C2, đối với payload đầu tiên được tải xuống, các thức giải mã cũng tương tư như downloader. Kiểm tra dữ liệu sau khi giải mã có phải PE hay không và thực hiện load vào memory và thực thi

Các hoạt động tấn công liên quan

Địa chỉ IP máy chủ C2 91[.]206.178.125 từ mẫu mã độc d8a8cc25bf5ef5b96ff7a64f663cbd29 được đề cập trong một báo cáo phân tích đến việc phân phối package npm độc hại, các thông tin liên quan đến máy chủ C2, tên file mã độc preinstall.db cũng như hàm export function CalculateSum đều được mô tả trong bài phân tích

Indicators of Compromises (IoCs)

MD5

d8a8cc25bf5ef5b96ff7a64f663cbd29

46127a35b73b714a9c5c58aaa43cb51f

a6e7c231a699d4efe85080ce5fb36dfb

7298b1f10ee6afab5e8bf648be1ca13b

420a13202d271babc32bf8259cdaddf3

1c4227bf06121fe9c454a85ad9245b56

C&C

91.206.178.125:80

156.236.76.9:80

blockchain-newtech.com

chaingrown.com

URL

hxxp://91.206.178.125/upload/upload.asp

hxxps://blockchain-newtech.com/download/download.asp

hxxps://chaingrown.com/manage/manage.asp

hxxp://156.236.76.9/faq/faq.asp

hxxp://103.179.142.171/npm/npm.mov

hxxp://103.179.142.171/files/npm.mov

hxxp://91.206.178.125/files/npm.mov

 

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – December 2023

Trong tháng 12, Microsoft đã phát hành các bản vá cho 33 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure, Microsoft Edge (Chromium-based); Windows Defender; Windows DNS và DHCP server; Microsoft Dynamic. Trong đó có 4 lỗ hổng được đánh giá mức độ Nghiêm trọng, 29 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

  • CVE-2023-35628 – Lỗ hổng thực thi mã từ xa trong Windows MSHTML | Windows MSHTML Platform Remote Code Execution Vulnerability

CVSS: 8.1/10

Mô t: Tồn tại lỗ hổng trong Windows MSHTML cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for ARM64-based Systems

Windows 11 Version 23H2 for x64-based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35628

  • CVE-2023-36019 – Lỗ hổng Spoofing trong Microsoft Power Platform Connector | Microsoft Power Platform Connector Spoofing Vulnerability.

CVSS: 9.6/10

Mô t: Connector là một trong những tính năng của Microsoft Power Platform cho phép kết nối các ứng dụng, dữ liệu và thiết bị trên cloud. Tồn tại lỗ hổng cho phép kẻ tấn công giả mạo các đường dẫn hoặc các tệp tin nhằm lừa nạn nhân mở các đường dẫn hoặc tệp tin độc hại.

Phiên bản ảnh hưởng:

Azure Logic Apps

Microsoft Power Platform

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36019

  • CVE-2023-35636 – Cảnh báo lỗ hổng lộ lọt thông tin trong Microsoft Outlook | Microsoft Outlook Information Disclosure Vulnerability

CVSS: 6.5/10

Mô t: Khai thác lỗ hổng thành công cho phép kẻ tấn công thu thập được giá trị NTLM hash. Giá trị này có thể được sử dụng để giả mạo người dùng hoặc quyền truy cập vào hệ thống. Khai thác lỗ hổng yêu cầu tương tác từ người dùng.

Phiên bản ảnh hưởng:

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35636.

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

  • CVE-2023 -50164 – Apache Struts2 Path Traversal to Remote Code Execution

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công lợi dụng path traversal tải lên tệp tin độc hại, có thể dẫn đến thực thi mã từ xa.

Phiên bn nh hưởng:

Struts 2.0.0 – Struts 2.3.37 (EOL)

Struts 2.5.0 – Struts 2.5.32

Struts 6.0.0 – Struts 6.3.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj

  • CVE-2023 -22522 – RCE Vulnerability In Confluence Data Center and Confluence Server

CVSS: 9.0/10

Mô t: Tồn tại lỗ hổng Template Injection cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Confluence Data Center and Server

4.x.x

5.x.x

6.x.x

7.x.x

8.0.x

8.1.x

8.2.x

8.3.x

8.4.0

8.4.1

8.4.2

8.4.3

8.4.4

8.5.0

8.5.1

8.5.2

8.5.3

Confluence Data Center

8.6.0

8.6.1

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html