Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Các cuộc tấn công APT của nhóm OilRig với các mẫu downloader sử dụng dịch vụ cloud cho kết nối C&C
Các nhà nghiên cứu của ESET đã theo dõi và phân tích một loạt các chiến dịch tấn công của nhóm OilRig trong suốt năm 2022, phát hiện các mẫu downloader, được đặt tên lần lượt là SampleCheck5000 (SC5k v1-v3), OilCheck, ODAgent, OilBooster, có sử dụng API của các dịch vụ cloud hợp pháp phục vụ cho kết nối C&C, bao gồm Microsoft Graph OneDrive hoặc Outlook APIs, Microsoft Office Exchange Web Services (EWS) API.
OilRig, còn được gọi là APT34, Lyceum, Crambus, Siamesekitten, là một nhóm gián điệp mạng hoạt động từ năm 2014 và được cho rằng thuộc Iran. Mục tiêu của nhóm là các tổ chức chính phủ Trung Đông và các tổ chức, doanh nghiệp thuộc các lĩnh vực hóa học, năng lượng, tài chính và viễn thông. Các mẫu downloader được phát hiện được gán cho OilRig với mức độ tin cậy Cao, dựa trên các yếu tố:
- Mục tiêu: Các mẫu này đều được triển khai nhằm khai thác các tổ chức Israel, mục tiêu đặc trưng của OilRig
- Sự tương đồng về code: Các mẫu SC5k v2 và v3 đều được phát triển từ phiên bản ban đầu v1 được phát hiện trong chiến dịch Outer Space cũng của OilRig, trong khi các mẫu khác cũng sử dụng logic tương tự, và 1 điểm nổi bật của tất cả các mẫu là việc sử dụng API của các dịch vụ cloud hợp pháp cho kết nối C&C
Tháng 2-2022, đội ngũ của ESET đã phát hiện 1 mẫu C#/.NET downloader mới, ODAgent.exe, tương tự như mẫu backdoor Marlin của OilRig, sử dụng API Microsoft Onedrive để kết nối C&C. Tuy nhiên, chức năng của ODAgent hạn chế hơn so với Marlin, chỉ hỗ trợ tải xuống và thực thi các payload, cũng như truyền file ra ngoài.
ODAgent được phát hiện trên hệ thống của 1 công ty sản xuất tại Israel, nơi đã từng bị tấn công sử dụng mẫu downloader SC5k và OilCheck. Khác với ODAgent, SC5k và Oilcheck sử dụng API của các dịch vụ cloud email để kết nối C&C.
Từ tháng 6 đến tháng 8-2022, các chuyên gia cũng đã phát hiện thêm các mẫu downloader OilBooster, SC5k v1, SC5k v2 trên hệ thống của 1 tổ chức chính phủ tại Israel. Tháng 12-2022, mẫu SC5k v3 được phát hiện trên hệ thống của 1 tổ chức y tế Israel – cũng đã từng là nạn nhân của OilRig.
SC5k là 1 mẫu mã độc C#/.NET nhằm mục đích tải và thực thi các công cụ khác của OilRig thông qua API Office Exchange Web Services (EWS). Các phiên bản mới hơn (SC5k v2) được cải tiến nhằm tăng độ khó cho việc phân tích payload và bổ sung tính năng truyền file ra ngoài (SC5k v3).
Timeline phát hiện các mẫu downloader của OilRig
Tất cả các mẫu downloader được phát hiện đều được OilRig sử dụng nhắm đến các nạn nhân tại Israel và đã từng bị nhóm tấn công trước đây, thể hiện mục đích duy trì kết nối đến hệ thống của các nạn nhân này.
Indicators of Compromise (IoCs)
Files
SHA-1 | Filename | Detection | Description |
0F164894DC7D8256B66D0EBAA7AFEDCF5462F881 | CCLibrary.exe | MSIL/OilRig.A | OilRig downloader – SC5k v1. |
2236D4DCF68C65A822FF0A2AD48D4DF99761AD07 | acrotray.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
35E0E78EC35B68D3EE1805EECEEA352C5FE62EB6 | mscom.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
51B6EC5DE852025F63740826B8EDF1C8D22F9261 | CCLibrary.exe | MSIL/OilRig.A | OilRig downloader – SC5k v1. |
6001A008A3D3A0C672E80960387F4B10C0A7BD9B | acrotray.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
7AD4DCDA1C65ACCC9EF1E168162DE7559D2FDF60 | AdobeCE.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
BA439D2FC3298675F197C8B17B79F34485271498 | AGSService.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
BE9B6ACA8A175DF61F2C75932E029F19789FD7E3 | CCXProcess.exe | MSIL/OilRig.A | OilRig downloader – SC5k v1. |
C04F874430C261AABD413F27953D30303C382953 | AdobeCE.exe | MSIL/OilRig.A | OilRig downloader – SC5k v1. |
C225E0B256EDB9A2EA919BACC62F29319DE6CB11 | mscom.exe | MSIL/OilRig.A | OilRig downloader – SC5k v1. |
E78830384FF14A58DF36303602BC9A2C0334A2A4 | armsvc.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
EA8C3E9F418DCF92412EB01FCDCDC81FDD591BF1 | node.exe | MSIL/OilRig.D | OilRig downloader – SC5k v1. |
1B2FEDD5F2A37A0152231AE4099A13C8D4B73C9E | consoleapp.exe | Win64/OilBooster.A | OilRig downloader – OilBooster. |
3BF19AE7FB24FCE2509623E7E0D03B5A872456D4 | owa.service.exe | MSIL/OilRig.D | OilRig downloader – SC5k v2. |
AEF3140CD0EE6F49BFCC41F086B7051908B91BDD | owa.service.exe | MSIL/OilRig.D | OilRig downloader – SC5k v2. |
A56622A6EF926568D0BDD56FEDBFF14BD218AD37 | owa.service.exe | MSIL/OilRig.D | OilRig downloader – SC5k v2. |
AAE958960657C52B848A7377B170886A34F4AE99 | LinkSync.exe | MSIL/OilRig.F | OilRig downloader – SC5k v3. |
8D84D32DF5768B0D4D2AB8B1327C43F17F182001 | AppLoader.exe | MSIL/OilRig.M | OilRig downloader – OilCheck. |
DDF0B7B509B240AAB6D4AB096284A21D9A3CB910 | CheckUpdate.exe | MSIL/OilRig.M | OilRig downloader – OilCheck. |
7E498B3366F54E936CB0AF767BFC3D1F92D80687 | ODAgent.exe | MSIL/OilRig.B | OilRig downloader – ODAgent. |
A97F4B4519947785F66285B546E13E52661A6E6F | N/A | MSIL/OilRig.N | Help utility used by OilRig’s OilCheck downloader – CmEx. |
Network
IP | Domain | Hosting provider | First seen | Details |
188.114.96[.]2 | host1[.]com | Cloudflare, Inc. | 2017-11-30 | A legitimate, likely compromised website misused by OilRig as a fallback C&C server. |
1.2 Nhóm tấn công Fighting Ursa khai thác lỗ hổng Microsoft Outlook
Đội ngũ nghiên cứu Unit 42 của Palo Alto đã phát hiện các cuộc tấn công của nhóm Fighting Ursa khai thác lỗ hổng trên Microsoft Outlook, CVE-2023-23397. Lỗ hổng này là lỗ hổng zero-day tại thời điểm tấn công, không yêu cầu tương tác từ phía người dùng. Nhóm tấn công được cho là đã sử dụng CVE-2023-23397 trong khoảng thời gian hơn 20 tháng, tấn công ít nhất 30 tổ chức thuộc 14 quốc gia nhằm mục tiêu thu thập thông tin tình báo cho chính phủ và quân đội Nga.
Hai chiến dịch tấn công đã được phát hiện trước đó của Fighting Ursa diễn ra vào tháng 3 đến tháng 12-2022 và tháng 3-2023. Các chuyên gia của Unit 42 phát hiện chiến dịch tấn công gần đây nhất là vào tháng 9 đến tháng 10-2023, nhắm mục tiêu đến ít nhất 9 tổ chức thuộc 7 quốc gia. Các quốc gia có nạn nhân của Fighting Ursa bao gồm các thành viên của NATO, cùng với Ukraina, Jordan và UAE. Các tổ chức bị tấn công đều là các tổ chức quan trọng, thuộc lĩnh vực sản xuất năng lượng, vận hành đường ống, vận tải, các cơ quan chính phủ thuộc Bộ Quốc Phòng, Bộ Ngoại Giao, Bộ Nội Vụ và Bộ Kinh Tế.
Nhóm tấn công thực hiện khai thác CVE-2023-23397 bằng cách gửi các email có chứa payload đến các nạn nhân. Khi các nạn nhân sử dụng phiên bản Microsoft Outlook có lỗ hổng nhận được email, Outlook sẽ tiến hành gửi các tin nhắn xác thực NTLM đến các hệ thống chia sẻ file từ xa được điều khiển bởi nhóm tấn công. Fighting Ursa sẽ gửi lại NTLM authentication response là 1 mã hash NTLMv2 nhóm dùng để giả mạo, truy cập và hoạt động trong hệ thống mạng của nạn nhân. Các hành vi này được gọi là NTLM relay attack.
Các cuộc tấn công được đội ngũ Unit 42 gán cho Fighting Ursa dựa trên danh sách nạn nhân bị tấn công, nhằm mục tiêu thu thập thông tin tình báo cho chính phủ và quân đội Nga, cùng với việc sử dụng các thiết bị mạng Ubiquity để thu thập các tin nhắn xác thực NTLM (NTLM authentication messages) từ hệ thống của các nạn nhân.
Indicators of Compromise (IoCs)
IP
5.199.162[.]132
101.255.119[.]42
181.209.99[.]204
213.32.252[.]221
168.205.200[.]55
69.162.253[.]21
185.132.17[.]160
69.51.2[.]106
113.160.234[.]229
24.142.165[.]2
85.195.206[.]7
42.98.5[.]225
61.14.68[.]33
50.173.136[.]70
2 Malware
2.1 Phân tích các mẫu mã độc của nhóm tấn công Lazarus
Nhóm nghiên cứu QiAnXin phát hiện các mẫu mã độc có liên quan đến tấn công chuỗi cung ứng – npm package. Dựa trên các đặc điểm của downloader và các mẫu mã độc khác, nhóm nghiên cứu cho rằng Lazarus là nhóm đứng sau thực hiện các cuộc tấn công này.
Thông tin cơ bản các mẫu mã độc
Tên tệp tin | MD5 | Loại tệp tin | C2 |
Sql.tmp | d8a8cc25bf5ef5b96ff7a64f663cbd29 | PEx64 | hxxp://91.206.178.125/upload/upload.asp |
Sql.tmp | 46127a35b73b714a9c5c58aaa43cb51f | PEx64 | hxxps://blockchain-newtech.com/download/download.asp |
Preinstall | a6e7c231a699d4efe85080ce5fb36dfb | PEx64 | hxxps://chaingrown.com/manage/manage.asp |
Mã độc preinstall.db (a6e7c231a699d4efe85080ce5fb36dfb) sử dụng làm ví dụ để phân tích
Stage 1:
Hàm export function CalculateSumW trong preinstall.db thực hiện giải mã dữ liệu từ trong section .data bắt đầu từ vị trí 0x18000BED0
Sau khi giải mã, dữ liệu thu được là một PE file, được load vào bộ nhớ và thực thi
Stage 2:
PE mới sau khi giải mã là một DLL với nhiệm vụ giải mã dữ liệu ra một được 1 tệp tin định dạng .zip được nhúng trong DLL. Bên trong tệp tin nén zip có một PE file sẽ được drop vào đường dẫn “%AppData%\\..\\Roaming\\Microsoft\\IconCache.db”. Một tệp tin khác cũng có tên NTUSER.DAT cũng sẽ được drop xuống đường dẫn “%AppData%\\..\\Roaming\\Microsoft\\Network\\NTUSER.DAT”
Mã độc tạo persistence theo các phương pháp sau:
- Lập lịch: Mã độc tạo scheduled task có tên “MicrosoftEdgeUpdate” thông qua câu lệnh sau
RUNDLL32.exe %APPDATA%\..\Roaming\Microsoft\IconCache.db,GetProcFunc %APPDATA%\..\Roaming\Microsoft\Network\NTUSER.DAT 8888
- Đăng ký giá trị trong registry: trong trường hợp việc lập lịch scheduled task không thành công, mã độc tạo giá trị trong regedit có tên GoogleUpdate tại đường dẫn “HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run” thực hiện thực thi câu lệnh sau
cmd /c start /b rundll32 %APPDATA%\..\Roaming\Microsoft\ IconCache.db,GetProcFunc %APPDATA%\..\Roaming\Microsoft\Network\ NTUSER.DAT 8888
- Tạo giá trị trong đường dẫn Startup: trong trường hợp việc đăng ký giá trị trong regedit không thành công, mã độc thực hiện drop file bat với thuộc tính của file là ẩn tại đường dẫn “C:\\Users\\[user]\\AppData\\Roaming\\ Microsoft\\Windows\\Start Menu\\Programs\\Startup\\check.cmd”
Satge 3
IconCache.db được drop trước đó là một DLL 64-bit có hàm exportfunction GetProcFuncW được gọi thông qua rundll32. DLL thực hiện đọc và giải mã dữ liệu trong file NTUSER.DAT và thực thi
PE file được giải mã từ NTUSER là main-module của downloader, thực hiện lấy thông tin máy chủ C2 và gửi các POST request với cặp 7 giá trị tới máy chủ này
Các payload mới cũng sẽ được tải xuống từ máy chủ C2, đối với payload đầu tiên được tải xuống, các thức giải mã cũng tương tư như downloader. Kiểm tra dữ liệu sau khi giải mã có phải PE hay không và thực hiện load vào memory và thực thi
Các hoạt động tấn công liên quan
Địa chỉ IP máy chủ C2 91[.]206.178.125 từ mẫu mã độc d8a8cc25bf5ef5b96ff7a64f663cbd29 được đề cập trong một báo cáo phân tích đến việc phân phối package npm độc hại, các thông tin liên quan đến máy chủ C2, tên file mã độc preinstall.db cũng như hàm export function CalculateSum đều được mô tả trong bài phân tích
Indicators of Compromises (IoCs)
MD5
d8a8cc25bf5ef5b96ff7a64f663cbd29
46127a35b73b714a9c5c58aaa43cb51f
a6e7c231a699d4efe85080ce5fb36dfb
7298b1f10ee6afab5e8bf648be1ca13b
420a13202d271babc32bf8259cdaddf3
1c4227bf06121fe9c454a85ad9245b56
C&C
91.206.178.125:80
156.236.76.9:80
blockchain-newtech.com
chaingrown.com
URL
hxxp://91.206.178.125/upload/upload.asp
hxxps://blockchain-newtech.com/download/download.asp
hxxps://chaingrown.com/manage/manage.asp
hxxp://156.236.76.9/faq/faq.asp
hxxp://103.179.142.171/npm/npm.mov
hxxp://103.179.142.171/files/npm.mov
hxxp://91.206.178.125/files/npm.mov
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – December 2023
Trong tháng 12, Microsoft đã phát hành các bản vá cho 33 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure, Microsoft Edge (Chromium-based); Windows Defender; Windows DNS và DHCP server; Microsoft Dynamic. Trong đó có 4 lỗ hổng được đánh giá mức độ Nghiêm trọng, 29 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
- CVE-2023-35628 – Lỗ hổng thực thi mã từ xa trong Windows MSHTML | Windows MSHTML Platform Remote Code Execution Vulnerability
CVSS: 8.1/10
Mô tả: Tồn tại lỗ hổng trong Windows MSHTML cho phép kẻ tấn công không cần xác thực, thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35628
- CVE-2023-36019 – Lỗ hổng Spoofing trong Microsoft Power Platform Connector | Microsoft Power Platform Connector Spoofing Vulnerability.
CVSS: 9.6/10
Mô tả: Connector là một trong những tính năng của Microsoft Power Platform cho phép kết nối các ứng dụng, dữ liệu và thiết bị trên cloud. Tồn tại lỗ hổng cho phép kẻ tấn công giả mạo các đường dẫn hoặc các tệp tin nhằm lừa nạn nhân mở các đường dẫn hoặc tệp tin độc hại.
Phiên bản ảnh hưởng:
Azure Logic Apps
Microsoft Power Platform
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36019
- CVE-2023-35636 – Cảnh báo lỗ hổng lộ lọt thông tin trong Microsoft Outlook | Microsoft Outlook Information Disclosure Vulnerability
CVSS: 6.5/10
Mô tả: Khai thác lỗ hổng thành công cho phép kẻ tấn công thu thập được giá trị NTLM hash. Giá trị này có thể được sử dụng để giả mạo người dùng hoặc quyền truy cập vào hệ thống. Khai thác lỗ hổng yêu cầu tương tác từ người dùng.
Phiên bản ảnh hưởng:
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35636.
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
- CVE-2023 -50164 – Apache Struts2 Path Traversal to Remote Code Execution
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công lợi dụng path traversal tải lên tệp tin độc hại, có thể dẫn đến thực thi mã từ xa.
Phiên bản ảnh hưởng:
Struts 2.0.0 – Struts 2.3.37 (EOL)
Struts 2.5.0 – Struts 2.5.32
Struts 6.0.0 – Struts 6.3.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://lists.apache.org/thread/yh09b3fkf6vz5d6jdgrlvmg60lfwtqhj
- CVE-2023 -22522 – RCE Vulnerability In Confluence Data Center and Confluence Server
CVSS: 9.0/10
Mô tả: Tồn tại lỗ hổng Template Injection cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Confluence Data Center and Server
4.x.x
5.x.x
6.x.x
7.x.x
8.0.x
8.1.x
8.2.x
8.3.x
8.4.0
8.4.1
8.4.2
8.4.3
8.4.4
8.5.0
8.5.1
8.5.2
8.5.3
Confluence Data Center
8.6.0
8.6.1
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://confluence.atlassian.com/security/cve-2023-22522-rce-vulnerability-in-confluence-data-center-and-confluence-server-1319570362.html