THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 5 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Earth Hundun – chiến dịch nhắm mục tiêu Châu Á – Thái Bình Dương.

Gần đây, các cuộc tấn công mạng gia tăng với mục tiêu thu thập thông tin tình báo từ các tổ chức công nghệ và chính phủ, đặc biệt là ở khu vực Châu Á-Thái Bình Dương. Các cuộc tấn công này được  liên kết với nhóm gián điệp mạng Earth Hundun (còn gọi là BlackTech), sử dụng phần mềm độc hại Waterbear và biến thể mới – Deuterbear.

Waterbear

Trong stage đầu, kẻ tấn công sử dụng patched legitimate executable, loader và encrypted downloader để phục vụ cho mục đích persistence và tải xuống thêm các mã độc khác cho giai đoạn tấn công về sau. Sau khi kết nối với máy chủ C2, Waterbear RAT sẽ được download về thực thi trong memory, được sử dụng để tải xuống thêm các plugin 32 hoặc 64 bit tùy thuộc vào từng hệ thống thông qua command RAT 1010. Plugin Waterbear tạo kết nối với địa chỉ C2 mới (được chỉ định bởi Waterbear RAT ban đầu) và tải xuống Waterbear RAT khác gần giống với phiên bản trước, sử dụng để thu thập thông tin bao gồm ổ đĩa và các tệp từ các máy bị ảnh hưởng. Đáng chú ý, Earth Hundun sẽ thay thế chuỗi C2 bằng IP nội bộ sau khi downloader hoặc tải xuống phiên bản mới của RAT nhằm xoá dấu vết hoạt động, hoặc dùng để kết nối đến các máy C2 khác.

Với phiên bản mới nhất của Waterbear, có nhiều tính năng khác được triển khai như đếm disk drives, liệt kê các tệp tin, tải file/ tệp file lên C2, đổi tên file, tạo/ xoá tài liệu, thực thi và di chuyển các tệp tin, v.v…

Biến thể mới Deuterbear

Ở stage đầu, downloader sử dụng XOR để giải mã các loader tạo điều kiện thuận lợi cho việc truy xuất RAT từ máy chủ C2. Tiếp theo, sử dụng RAT để khảo sát hệ thống nạn nhân và xác định folder thích hợp nhằm mục đích persistence. Sau đó, các thành phần Deuterbear bao gồm loader CryptUnprotectData decryption, encrypted downloader, associated registries được cài đặt. Sau quá trình persistence hoàn tất, các thành phần của Earth Hundun trong giai đoạn đầu sẽ bị loại bỏ. Việc giữ lại các loader sử dụng CryptUnprotectData decryption với mục đích gây khó khăn cho các nhà nghiên cứu trong quá trình phân tích.

Do có cùng kênh HTTPS và RC4 traffic key, Deuterbear RAT không yêu cầu quá trình bắt tay với C2 để cập nhật giao thức trong quá trình giao tiếp với C&C, cho phép kẻ tấn công kiểm soát nạn nhân liên tục dù ở trạng thái downloader hay RAT. Trước khi thực thi backboor, mã độc gửi thông tin nạn nhân đến máy chủ C2 thông qua RAT.

Một số chức năng được sao chép trực tiếp từ Waterbear RAT như quản lý tiến trình, quản lý file và tính năng remote shell. So với phiên bản Waterbear, phiên bản này hợp lý hoá các chức năng, tối ưu và giảm bớt command RAT, chấp nhận nhiều plugin hơn nhằm tăng cường tính linh hoạt, thêm chức năng bổ sung gồm 2 shellcode và một portable executable (PE) DLL

MITRE ATT&CK

Tactic Technique ID Description
Execution Shared Modules T1129 Dynamically loads the DLLs through the shellcode
Native API T1106 Dynamically loads the APIs through the shellcode
Persistence Hijack Execution Flow: DLL Side-Loading T1574.002 Uses modified legitimate executable to load the malicious DLL
Boot or Logon Autostart Execution: Print Processors T1547.012 Deuterbear abuses print processors to run malicious DLLs during system
Privilege Escalation Process Injection T1055 Waterbear and Deuterbear inject the targeted process
Defense Evasion Deobfuscate/Decode Files or Information T1140 Uses RC4 or CryptUnprotectData to decrypt encrypted downloader
Execution Guardrails T1480 Targets specific path/registry in the victim’s environment
Virtualization/Sandbox Evasion: Time Based Evasion T1497.003 Deuterbear checks sandbox by API, Sleep, whether normal operation.
Debugger Evasion T1622 Deuterbear checks debugger mode by process time.
Discovery File and Directory Discovery T1083 Waterbear and Deuterbear RAT searches files and directories or in specific locations.
System Network Configuration Discovery: Internet Connection Discovery T1016.001 Downloaders check for internet connectivity on compromised systems.
System Network Connections Discovery T1049 Waterbear and Deuterbear RAT lists network connections to or from the compromised system they are currently accessing or from remote systems by querying for information over the network.
Process Discovery T1057 Waterbear and Deuterbear RAT searches specific process.
System Information Discovery T1082 Waterbear and Deuterbear RAT get detailed information about the operating system and hardware, including version, username, and architecture.
Query Registry T1012 Queries data from registry to decrypt downloader
Lateral Movement Remote Services: Windows Remote Management T1021.006 Waterbear and Deuterbear RAT control remote shell
Collection Data from Local System T1005 Collects basic information of victim
Exfiltration Exfiltration Over Command-and-Control Channel T1041 Sends collected data to C&C
Command and Control Application Layer Protocol: Web Protocols T1071.001 Downloaders communicate with C&C by HTTP/HTTPS
Encrypted Channel T1573 Employs a RC4/RSA to conceal command and control traffic
Data Encoding: Non-Standard Encoding T1132.002 Encodes traffic with a non-standard RC4 to make the content of traffic more difficult to detect

 

Indicators of Compromise (IoCs)

SHA-256 Detection name
88336746f2cf1034871c4ee334fae0d30c3eb101df6f3f1c94c777639293a031 Backdoor.Win32.WATERBEAR.ZTLD
609120ab45745bcfe8abc244ea1501ef563cb666abd9d730413c3986a76fb23d Backdoor.Win64.WATERBEAR.ZTLD
3ecbca7bf2e4557e92595fe23872658bc3337e6f77a3aff02fb7b460272de7f4 Backdoor.Win64.WATERBEAR.ZTLD
d4b5127988fde3704193a30840e991dc745aea051d1551c7cb6f55853c8cb9da Backdoor.Win32.WATERBEAR.ZTLD
974c407dd918ccba245da0fb9d5a68f123c78aacfa85cdaba2271d6ad81380ae Trojan.Win64.DEUTERBEAR.ZTLD
3d8512a513e5f94ce49a742ae3e4853775f05d7481b29bfacef4316d7ba3bde2 Trojan.Win64.DEUTERBEAR.ZTLD.enc
057a0e0f522cc217ba8754abbb67f8a667c0054fe0dcdaf01f4930d75cd667cc Backdoor.Win64.DEUTERBEAR.ZTLD
31c76585ea703f96c95efab0778f599d8dc5c26eea5d155ce24f614e6bfe9e8c Trojan.Win64.DEUTERBEAR.ZTLD

 

Network

*.quadrantbd[.]com

*.taishanlaw[.]com

*.bakhell[.]com

*.gelatosg[.]com

*.operatida[.]com

*.randaln[.]com

*.nestnewhome[.]com

*.dailteeau[.]com

*.lucashnancy[.]com

*.ccarden[.]com

*.availitond[.]com

*.gayionsd[.]com

*.rchitecture[.]org

*.operatida[.]com

*.centralizebd[.]com

1.2      Haze Sea Unfading – chiến dịch APT mới nhắm vào một số tổ chức cấp cao các quốc gia khu vực Biển Đông

Các nhà nghiên cứu Bitdefender Labs đã phát hiện ra một chiến dịch nhắm vào các tổ chức quân sự và chính phủ các quốc gia khu vực biển Đông, đặt tên là “Haze Sea Unfading”. Chiến dịch hoạt động từ 2018, được cho có liên quan đến Trung Quốc dựa vào sự trùng lặp trong tính năng được thấy trong backdoor “funnyswitch” – có liên kết với APT41. Ngoài ra, nhiều biến thể Gh0st RAT – trojan cũng được sử dụng bởi các nhóm tấn công Trung Quốc sử dụng.

Vector tấn công ban đầu sẽ sử dụng hình thức phishing, bằng việc gửi email chứa file LNK độc hại tới nạn nhân. Các file giả mạo tài liệu nhằm lừa nạn nhân mở nhằm trigger được các payload độc hại.

Tên một số tệp tin độc hại được kẻ tấn công sử dụng:

  • SUMMARIZE SPECIAL ORDERS FOR PROMOTIONS CY2023
  • Data
  • Doc
  • Startechup_fINAL

Chiến thuật mà nhóm tấn công sử dụng là nhúng những comment vào dòng lệnh của tệp LNK. Khi khởi chạy sẽ bắt đầu quá trình lây nhiễm bằng cách thực thi lệnh nhằm truy xuất payload – tạo bởi backdoor mới có tên “SerialPktdoor” để chạy các PowerShell scripts, enumerate directors, download/upload files, và delete files.

Tháng 3/2024, một số tệp lưu trữ mới để giành quyền truy cập ban đầu đã được phát hiện, bắt chước quá trình cài đặt của Microsoft Defender hoặc liên quan đến chính trị hiện tại của Hoa Kỳ.

  • install microsoft defender web protection
  • start windowsdefender
  • Wlndovvs Deffender User Guide Document
  • barack obama’s tenure as the 44th president of the united states
  • Presidency of Barack Obama
  • Assange_Labeled_an_’Enemy’_of_the_US_in_Secret_Pentagon_Documents102

Nếu không tìm thấy tệp thực thi, PowerShell script sẽ thực thi payload độc hại vào bộ nhớ, bằng cách sử dụng msbuild.exe command-line compiler. MSbuild hỗ trợ nhiều ngôn ngữ lập trình như C#, C++, web development projects.

Để thiết lập persistence nhóm tấn công bắt chước các tệp Windows hợp pháp kết hợp với DLL để thực thi payload độc hại. Ngoài ra, kẻ tấn công còn sử dụng tài khoản local Administrator, enabled tài khoản bị vô hiệu hóa và đặt lại mật khẩu, sử dụng công cụ Remote Monitoring and Management (RMM) để tấn công mục tiêu.

Ít nhất từ năm 2018, nhóm tấn công sử dụng SilentGh0st, TranslucentGh0st và ba biến thể .NET SharpJSHandler được Ps2dllLoader hỗ trợ. Cho đến năm 2023, những kẻ tấn công đã chuyển sang sử dụng công cụ khác nhằm tránh phát hiện như lạm dụng msbuild.exe để tải C# payloads từ remote SMB shares, và các biến thể của phần mềm độc hại Gh0stRAT.

Quá trình thu thập dữ liệu, nhóm tấn công sử dụng keylogger có tên “xkeylog” với mục đích ghi lại thao tác gõ phím của người dùng, từ đó trích xuất thông tin từ dữ liệu được lưu trữ trên Chrome, Firefox, Edge và Internet Explorer.

Indicators of Compromise

Hashes

MD5 Malware Family
cb95ad8fad82eac1c553cd2d7470100b Ps2dllLoader
19dbf2d82f6f95a73f1529636e775295 SilentGh0st
1ce17f0e2a000a889b3f81e80b95f19f DustyExfilTool
e7433f8a0943a6025d43473990ec8068 TranslucentGh0st
6a0933d08d8d27165f72c53df8f1bf04 DustyExfilTool
1dbcd8d2f5718fa7654f8b5f34b88d43 Loader that uses xyz123xyz for AES decryption
ac7b8524098cbb423619706ff617b6a6 Network Scanner
95701a74b6b3de68fc375cd08ae8d2c2 SilentGh0st
2e4055e16c1a9274caa182223977eda1 SilentGh0st
7e10d7dd09f5ee2010990701db042f11 WPD USB monitor tool
a5af41fda8ef570fda96c64a932d4247 FluffyGh0st
1e55bda0b7eb0aea78577a21f51e8f5c Ps2dllLoader
5421e3cef32e534fa74a26df1c753700 SharpJSHandler, OneDrive variant
b3dc2dcb0f2a5661aed1f4e6d9e88bc6 Ps2dllLoader
4d99127e4b1d27a56f7c4b198739176b .Net loader used by Ps2dllLoader
5bd1eb1166da401c470af2b9e204b2d1 .Net loader used by Ps2dllLoader
2c45c1c35c703bb923b558343f00ea34 Ps2dllLoader
70773eb54234c486c46048ade57db45b Stubbedoor
69310040e872806cb2b00d3addb321a7 Ps2dllLoader
35623ba9f8fcbcf0fce96aa2465b0b66 SharpJSHandler
828faccaaf8e70be1c32ae5588d3df12 Ps2dllLoader
4ec62fdd3d02bc9b81a8c78910b8463a Ps2dllLoader
cff31de1b28f6b00d13d15c2be08a982 SharpJSHandler DropBox variant
7ff8a134c1ee44c915339a74e4a2d3ca Ps2dllLoader
e3fb4c2d591a440cfe6419f5a9825e8 Ps2dllLoader
0dd4603f7c3a80a2408e458fe58b2e60 InsidiousGh0st .NET variant
11c7f264184ed52df4a3836a623845c8 TranslucentGh0st
55a246ace9630b31c43964ebd551e5e2 FluffyGh0st
8c31532f73671995d7f3b6d5814ba726 Ps2dllLoader
5268206fb6c96f614f67cd5d686f42af TranslucentGh0st
cf2f7331a04bb9cd47b58a5c80d4c242 EtherealGh0st
3d87f0bd243cff931bb463fce1d115e3 EtherealGh0st
98de3eeda1adefec31d3e3f00079dd2d EtherealGh0st
b04d9dba3bc922a33c1408d4fbf80678 Ps2dllLoader
35a307b73849a3d7a7cd603a0c4698f2 SerialPktdoor loader
3d879bc2fb28c5abbcd6e08b6e5dc762 InsidiousGh0st
7aba74bfbf5cb068fb52e8813c40f4cd Xkeylog keylogger
510c36c9061778d166e23177a191df35 EtherealGh0st
b6cd3d88a6d6886718b6113147a99901 Malicious C# script
1179f589791c2eaa1ae33f38e62753d0 Malicious C# script
0b744f9d38e125cd4fe14289272ac0e2 InsidiousGh0st
960a964cab127c4f3c726612fdeaeb08 EtherealGh0st
1d2185c956a75a8628e310a38dea4001 InsidiousGh0st
7169179cc18e6aa6c2c36e4bee59f63d EtherealGh0st
cf398f9780de020919daad9ca4a27455 EtherealGh0st
96a43d13fd11464e9898af98cc5bb24b Xkeylog keylogger
14a88779c7e03ecfc19dd18221e25105 EtherealGh0st
2bf96bd44942ca8beed04623a1e19e24 Hid.dll loader
fabdf1094b49673bc0f015cbb986bad5 Hid.dll loader
00bcbeb6ffdadc50a931212eff424e19 EtherealGh0st
e5fc13c39dd81e6de11d1c211f4413ba Xkeylog keylogger
9425f9f7cc393c492deb267c12d031c5 Hid Dropper
551bda0f19bf2705f5f7bd52dcbc021f EtherealGh0st
654163ab9002bd06f68a9f41123b1cd4 EtherealGh0st
fda22f52f0d3a81f095a00810a3dd70a EtherealGh0st
cf5f2e3e1ce82e75a2d0885af5efa1ef EtherealGh0st
3631001b60bdf712e6294d40ec777d87 EtherealGh0st
4e470ea6d7d7da6dd4147c8e948df7c8 InsidiousGh0st
73daf06fed93d542af04d59a4545fab0 FluffyGh0st
100c461d79471c96eba20c8eae35c5ba FluffyGh0st
40466fd795360ac4270751d8c4500c39 EtherealGh0st
cb9e6fa194b8fa2ef5b6b19e0bd6873e EtherealGh0st
af215f4670ae190e699c27e5205aadee Eventlog info extractor
39d43f21b3c2b9f94165f5257b229fb4 EtherealGh0st
3dc8d8a70cc60a2376ce5c555d242cf3 EtherealGh0st
6f01bed0b875069ec5b9650e6d8c416f EtherealGh0st
5f8f9269bcd52ef630bc563b83059b77 FluffyGh0st
fa93aec0018c5e3d1d58b76af159bb82 FluffyGh0st
846838327cda19b4415afd5b352c95df EtherealGh0st
17303b1a254abb9ed0795f7d9b51b462 FluffyGh0st
3decde2a91f52255dd97eaafc2666947 FluffyGh0st
b98e54d01a094bb6b83eff06a8cf49d6 EtherealGh0st
b1a886f8904d90ad28fce0dc0dc9df93 Ps2dllLoader
5800fff782c36df785dad1d0a34ad418 Ps2dllLoader
4b68c803db1b4222292adba3b2a1a03 EtherealGh0st
6c49738668ca7c054f0708ecc3b626c8 SerialPktDoor loader
d9a452c1c06903fafa4dc4625b2c2d9b EtherealGh0st
91017ad856cff5f0cb304ea2a3ae81c9 FluffyGh0st
f54bed43b372997f3bafe5c67c799e73 InsidiousGh0st
cd0b810751eb2a1470e44f7f6660d5f4 InsidiousGh0st
80fb9865209f8d8d1017c8151c79ef74 Network scanner
c8c890cf8d61cab805e9ef0a4471579a EtherealGh0st
0f4d06cedc93c7784580a3a7c4ad2fb4 InsidiousGh0st
c182b3e659a416fe59f3613c08a8cffb InsidiousGh0st go variant
942086934f4dd65c3e0158c9b8d89933 SharpZulip
124bdaaa70da4daeacbc0513b6c0558e  

File Paths

c:\program files\videolan\vlc\msftedit.dll

c:\programdata\adobe\arm\arm.dll

c:\programdata\coint.dll

c:\programdata\epson\setup\msftedit.dll

c:\programdata\microsoft\devicesync\msftedit.dll

c:\programdata\microsoft\network\connections\winsync.dll

c:\programdata\microsoft\servermanager\events\msftedit.dll

c:\programdata\microsoft\windows\clipsvc\genuineticket\msftedit.dll

c:\programdata\mscorsvc.dll

c:\programdata\mscorsvw.exe

c:\programdata\prod.dll

c:\programdata\server.dll

c:\programdata\ssh\msftedit.dll

c:\programdata\ssh\setup.exe

c:\programdata\ssh\ssh.sys

c:\programdata\stub.ps1

c:\programdata\usoshared\log.dll

c:\programdata\usoshared\logs\mscorsvc.dll

c:\programdata\usoshared\uso.dll

c:\programdata\winsync.dll

c:\python27\mscorsvc.dll

c:\users\<user>\appdata\local\adobe\acrobat\mscorsvc.dll

c:\users\<user>\appdata\local\comms\msftedit.dll

c:\users\<user>\appdata\local\microsoft\windows\caches\cversions.db

c:\users\<user>\appdata\local\temp\microsoftupdate.log

c:\users\<user>\appdata\roaming\adobe\mscorsvc.dll

c:\users\<user>\appdata\roaming\brother\mscorsvc.dll

c:\users\<user>\appdata\roaming\microsoft\mscorsvc.dll

c:\users\<user>\appdata\roaming\mscorsvc.dll

c:\users\<user>\desktop\dbghelp.dll

c:\users\<user>\desktop\gro.dll

c:\users\<user>\desktop\m.dll

c:\users\<user>\desktop\mscorsvc.dll

c:\users\<user>\desktop\mscorsvw.exe

c:\users\<user>\desktop\msftedit.dll

c:\users\<user>\desktop\s.dll

c:\users\<user>\desktop\servicemove64.exe

c:\users\<user>\desktop\sls

c:\users\<user>\desktop\sur.dll

c:\users\<user>\desktop\wh.exe

c:\users\<user>\desktop\yh.exe

c:\users\<user>\downloads\rea.dll

c:\users\public\downloads\data.dll

c:\users\public\downloads\mscorsvc.dll

c:\users\public\downloads\notea.exe

c:\windows\addins\mscorsvc.dll

c:\windows\cursors\curs.cur

c:\windows\debug\wia\vpn_bridge.config

c:\windows\help\help\mscorsvc.dll

c:\windows\help\mscorsvc.dll

c:\windows\ime\server.dll

c:\windows\livekernelreports\mscorsvc.dll

c:\windows\mscorsvc.dll

c:\windows\policydefinitions\mscorsvc.dll

c:\windows\servicestate\servicestate.dll

c:\windows\setup\cert.dll

c:\windows\setup\mscorsvc.dll

c:\windows\system32\dsc\msftedit.dll

c:\windows\system32\grouppolicy\datastore\0\sysvol\<domain>\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\machine\applications.dll

c:\windows\system32\mscorsvc.dll

c:\windows\system32\perceptionsimulation\hid.dll

c:\windows\system32\perceptionsimulation\hidserv.dll

c:\windows\systemtemp\mscorsvc.dll

c:\windows\systemtemp\winsat\mscorsvc.dll

em_nqiy9yrk_installer.msi

recorded.log

Domain Names

upupdate.ooguy[.]com

fc.adswt[.]com

mail.simpletra[.]com

mail.adswt[.]com

api.simpletra[.]com

bit.kozow[.]com

bitdefenderupdate[.]org

auth.bitdefenderupdate[.]com

mail.pcygphil[.]com

mail.bomloginset[.]com

dns-log.d-n-s.org[.]uk

linklab.blinklab[.]com

link.theworkguyoo[.]com

mail.theworkguyoo[.]com

sopho.kozow[.]com

news.nevuer[.]com

payroll.mywire[.]org

employee.mywire[.]org

airst.giize[.]com

cdn.g8z[.]net

manags.twilightparadox[.]com

dns.g8z[.]net

message.ooguy[.]com

spcg.lunaticfridge[.]com

helpdesk.fxnxs[.]com

newy.hifiliving[.]com

images.emldn[.]com

word.emldn[.]com

provider.giize[.]com

rest.redirectme[.]net

api.bitdefenderupdate[.]org

IP Addresses

167.71.199[.]105

188.166.224[.]242

159.223.78[.]147

128.199.166[.]143

164.92.146[.]227

192.153.57[.]24

209.97.167[.]177

112.113.112[.]5

193.149.129[.]128

128.199.66[.]11

45.61.137[.]109

139.59.107[.]49

152.42.198[.]152

1.3      Tin tặc lợi dụng lỗ hổng trên Foxit PDF Reader nhằm phát tán mã độc

Foxit PDF Reader – 1 phần mềm đọc file PDF phổ biến trên 200 quốc gia, được sử dụng trong chính phủ như không quân, quân đội, hải quân, cơ quan phòng thủ tên lửa Hoa kỳ và lĩnh vực công nghệ như Google, Microsoft, Intel&Dell được xác định đang bị các nhóm tấn công khai thác nhằm phát tán mã độc như Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT và Xworm.

Việc khai thác lỗ hổng đã được nhiều nhóm tấn công sử dụng, bao gồm tội phạm công nghệ cao và gián điện mạng. Thông qua một thiết kế lỗi trong Foxit Reader, khi mở tệp sẽ hiển thị tùy chọn mặc định là “OK”, đánh lừa người dùng nhấp vào. Tiếp theo, cửa sổ thứ hai hiển thị tùy chọn “Open”, dựa trên hành vi thông thường của người dùng, từ đó lệnh sẽ được trigger để tải xuống và thực thi các payload độc hại.

Chiến dịch 1: Windows & Android Botnets with a Scent of Espionage

Check Point Research đã phát hiện ra một tệp PDF độc hại liên quan đến quân sự có tên “Regarding Invitation to attend defence services Asia 2024 and National Security Asia 2024.pdf”. Sau khi tải xuống bản PDF và thực thi downloader gồm 2 tệp thực thi, mục đích thu thập và tải dữ liệu (bao gồm tài liệu, hình ảnh, tệp lưu trữ và database) và gửi đến máy chủ C&C. Dựa vào chuỗi tấn công cho thấy downloader cũng có thể được sử dụng để drop payload thứ 3, có khả năng chụp màn hình máy chủ bị chiếm quyền sau đó tải lên máy chủ C&C.

Check Point Research cho rằng hoạt động này hướng tới hoạt động gián điệp mạng được liên kết với nhóm DoNot (còn gọi là APT-C-35 và Origami Elephant).

Chiến dịch 2: Chained-Campaign

Chiến dịch này sử dụng nhiều giai đoạn để triển khai và khai thác hai module XMRig và lolMiner. Đáng chú ý, kẻ tấn công phát tán các tệp PDF qua Facebook mà không bị phát hiện.

Phần mềm độc hại dựa trên Python được trang bị để đánh cắp thông tin đăng nhập và cookie của nạn nhân từ trình duyệt Chrome và Edge, cùng với các công cụ khai thác được lấy từ Gitlab của người dùng có tên “topworld20241

Chiến dịch 3: Python Stealer with Low Detection

Chiến dịch này, tệp PDF hoạt động như một đường dẫn để truy xuất từ ​​Discord CDN Blank-Grabber, một công cụ đánh cắp thông tin open-source có trên GitHub. Tệp PDF thực thi PowerShell và tải xuống tệp độc hại từ DiscordApp sau đó thực thi mã độc trên máy nạn nhân.

Mã độc này có khả năng đánh cắp thông tin từ nhiều trình duyệt và các ứng dụng khác nhau.

Chiến dịch 4: From PDF to PDF

Đầu tiên tải xuống tệp PDF chứa hyperlink độc hại. Sau khi nhấp vào liên kết, nạn nhân sẽ nhận được tệp PDF thứ hai, được lưu trữ  trên “trello.com” – một trang web hợp pháp. Sau khi tải về, qua một loạt các bước liên quan đến việc sử dụng tệp LNK, ứng dụng HTML (HTA) và tập lệnh Visual Basic. Các tệp độc hại được thực thi, trong đó phần mềm độc hại cuối cùng Remcos RAT được đưa vào bộ nhớ bằng cách sử dụng DynnamicWrapperX.

Kẻ tấn công “@Silentkillertv” cũng đang rao bán các công cụ độc hại thông qua Telegram

Dựa vào tên tệp và thư mục được tạo, cho thấy mục tiêu được nhắm đến là Việt Nam, Hàn Quốc và một số quốc gia khác.

Indicators of Compromise

Builders

Avict Software

3f291d07a7b0596dcdf6f419e6b38645b77b551a2716649c12b8706d31228d79

f002712b557a93da23bbf4207e5bc57cc5e4e6e841653ffab59deb97b19f214e

PDF Exploit Builder

ac7598e2b4dd12ac584a288f528a94c484570582c9877c821c47789447b780ec

FuckCrypt

20549f237f3552570692e6e2bb31c4d2ddf8133c5f59f5914522e88239370514

87effdf835590f85db589768b14adae2f76b59b2f33fae0300aef50575e6340d

5c42a4b474d7433bd9f1665dc914de7b3cc7fbdb9618b0322324b534440737d7

Python

79e1cb66cb52852ca3f46a2089115e11fff760227ae0ac13f128dda067675fbc

a4a8486c26c050ed3b3eb02c826b1b67e505ada0bf864a223287d5b3f7a0cde0

Malicious Files

PDF

d44f161b75cba92d61759ef535596912e1ea8b6a5a2067a2832f953808ca8609

9c5883cf118f1d22795f7b5661573f8099554c5a3f78d592e8917917baa6d20f

2aa9459160149ecefd1c9b63420eedc7fe3a21ae0ca3e080c93fd39fef32e9c0

8155a6423d64f30d2994163425d3fbe14a52927d3616ffacea36ddc71a6af4b0

c1436f65acbf7123d1a45b0898be69ba964f0c6d569aa350c9d8a5f187b3c0e7

de8ecd738f1f24a94aba06f19d426399bc250cc5e7b848b2cbd92fc1d6906403

D5483049DC32D1A57E759839930FE17FE31A5F513D24074710F98EC186F06777

19A8201C6A3063B897D696330C1B60BD97914514D2AE6A6C3C1796BEC236724A

Blank-Grabber

d2bd6a05d1e30586216e73602a05367380ae66654cd0bccabb0414ef6810ab18

Python-Stealer-Dropper

e32d2966a22243f346e06d4da5164abab63c2700c905f22c09a18125ee4de559

BAT file

eb87ec49879dc44b6794bb70bd6c706e74694e4c2bbc1926dd4cff42e5b63cc6

b59ab9147214bc1682006918692febed4ad37e1d305c5c80dc1ee461914eacd2

APT-C-35 / DoNot Team Downloader

4ef9133773d596d1c888b0ffe36287a810042172b0af0dfad8c2b0c9875d1c65

APT-C-35 / DoNot Team Downloaded1

3e9a60d5f6174bb1f1c973e9466f3e70c74c771043ee00688e50cac5e8efe185

APT-C-35 / DoNot Team Uploader

2d40e892e059850ba708f8092523efeede759ecd6e52d8cb7752462fcdb6f715

APT-C-35 / DoNot Team Screen

c943fe1b8e1b17ec379d33a6e5819a5736cb5de13564f86f1d3fba320ccebaa0

APT-C-35 / DoNot Team APK

7f5f1586b243f477c484c34fa6243c20b3ecf29700c6c17e23a4daf9360e2d2f

ecb4f5f0ee0cda289056f2f994c061d53cfbc8ac413f2ca4da8864c68f0a23f6

4a7aeb6f510cf5d038e566a3ccd45e98a46463bb67eb34012c8e64444464b081

VBScript 9A7F4FF5FD0A972EEDA9293727F0EECDD7CE2CFE0A072CDF9D3402EE9C46A48E

D761FE4D58FE68FC95D72871429F0FCE6055389A58F81CF0A19EB905A96E1C38

B3AD75EEF9208D58A904030D44DA22C59CE7BD47ED798B0A14B58330A1390FE8

FC330BB132A345AF05FEB0D275EEEF29C7A439A04223757F33360393CF975CA9

A334A9C1A658F4EBEF7BA336F9A27693030DC444509BD9FA8FDEFE8AAAE3A133

E9BF261A779C1B3A023189BEF509579BAD8B496DCFE5E96C19CF8CC8BEA48A08

EE42CF45FFF12BCC9E9262955470BFED810F3530E651FDDB054456264635D9D2

1CBF897CCCC22A1E6D6A12766ADF0DCEE4C103539ADD2C10C7906042E19519F4

DynamicWrapperX

4EF3A6703ABC6B2B8E2CAC3031C1E5B86FE8B377FDE92737349EE52BD2604379

ShellCode

A5C9A3518F072982404E68DC6A3DC90EDEBBF292FC1ACA6962B6CCF64F4FE28C

Remcos

0ADE87BA165A269FD4C03177226A148904E14BD328BDBB31799D2EAD59D7C2FA

1.4      Phần mềm độc hại nhắm mục tiêu vào thiết bị Android.

Nhóm nghiên cứu mối đe dọa của SonicWall Capture Labs cho biết phần mềm độc hại sử dụng các biểu tượng của các ứng dụng Android như: Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter) nhằm đánh lừa người dùng và lừa nạn nhân cài đặt ứng dụng độc hại.

Sau khi cài đặt ứng dụng trên điện thoại của người dùng, mã độc yêu cầu truy cập vào các tính năng accessibility services và Device Admin Permission nhằm kiểm soát thiết bị từ đó đánh cắp dữ liệu cá nhân của nạn nhân.

Ứng dụng độc hại kết nối với máy chủ C2 để nhận lệnh thực thi, cho phép truy cập danh sách liên hệ, tin nhắn SMS, nhật ký cuộc gọi, danh sách các ứng dụng, gửi tin nhắn, mở các trang lừa đảo trên ứng dụng web và bật/tắt camera flashlight

Các URL lừa đảo bắt chước các trang đăng nhập của các service nổi tiếng như Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress và Yahoo.

Indicators of Compromise (IOCs)

0cc5cf33350853cdd219d56902e5b97eb699c975a40d24e0e211a1015948a13d

37074eb92d3cfe4e2c51f1b96a6adf33ed6093e4caa34aa2fa1b9affe288a509

3df7c8074b6b1ab35db387b5cb9ea9c6fc2f23667d1a191787aabfbf2fb23173

6eb33f00d5e626bfd54889558c6d031c6cac8f180d3b0e39fbfa2c501b65f564

9b366eeeffd6c9b726299bc3cf96b2e673572971555719be9b9e4dcaad895162

a28e99cb8e79d4c2d19ccfda338d43f74bd1daa214f5add54c298b2bcfaac9c3

d09f2df6dc6f27a9df6e0e0995b91a5189622b1e53992474b2791bbd679f6987

d8413287ac20dabcf38bc2b5ecd65a37584d8066a364eede77c715ec63b7e0f1

ecf941c1cc85ee576f0d4ef761135d3e924dec67bc3f0051a43015924c53bfbb

f10072b712d1eed0f7e2290b47d39212918f3e1fd4deef00bf42ea3fe9809c41

1.5      Kẻ tấn công lợi dụng Microsoft OneNote để nhúng payload độc hại

Các nhà nghiên cứu Unit42 cho biết các kẻ tấn công lợi dụng Microsoft OneNote – một ứng dụng ghi chú trong Microsoft Office để nhúng các payload độc hại. Các mẫu OneNote độc hại này thường bao gồm hình ảnh và nút giả mạo, ngụy trang dưới dạng mẫu ghi chú an toàn. Sau đó dụ dỗ người dùng tương tác với tệp dẫn đến thực thi payload độc hại.

OneNote độc hại yêu cầu người dùng click vào nút giả mạo. Từ đó tệp VBScript được nhúng sẽ thực thi mã độc.

Tệp OneNote chứa button giả được nhúng tệp EXE

Hầu hết, các tệp độc hại được nhúng trong OneNote bắt đầu bằng GUID: {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}

Một số payload được kẻ tấn công sử dụng, ưu tiên sử dụng payload có kích thước nhỏ nhằm tránh tăng dung lượng của file:

  • JavaScript
  • VBScript
  • PowerShell
  • HTML application (HTA)
  • Batch
  • Office 97-2003
  • EXE

Payload EXE

Mã độc sử dụng kỹ thuật API hashing để gọi các hàm xử lý khi cần thực hiện các chức năng. Ngoài ra, sử dụng hàm WSAStringToAddressAWSASocketW nhằm thiết lập socket phục vụ quá trình trao đổi dữ liệu.

Thông qua Python script thu được địa chỉ IP và Port được cấu hình trong malware như hình ảnh dưới đây:

Indicators of Compromise

Danh sách đầy đủ IoCs xem tại link:

https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/Payload_Trends_in_Malcious_OneNote_Samples-SHA256-hashes.txt

2        Malware

2.1      Phân tích phần mềm độc hại được sử dụng bởi nhóm tấn công Timitator

Timitator thực hiện các cuộc tấn công nhắm tới các lĩnh vực năng lượng, trường đại học, cơ sở nghiên cứu khoa học, công nghiệp quân sự và các ngành công nghiệp khác tại Trung Quốc. Nhóm tấn công sử dụng đa dạng các phương pháp, phân phối các payload ở nhiều định dạng như exe, chm, iso và lnk. Sau khi lừa nạn nhân thực thi các tệp tin đính kèm độc hại, nhóm tấn công sẽ sử dụng cobaltstrike và thiết lập persistence trên máy của nạn nhân. Các tấn công ở giai đoạn tiếp theo sẽ tùy thuộc vào mục tiêu, nhóm tấn công sẽ cố gắng đánh cắp dữ liệu và các tệp tin có giá trị. Một số nghiên cứu chỉ ra nhóm có một số đặc điểm trong cách viết mã liên quan đến OceanLotus. Gần đây, nhóm nghiên cứu ở Sangfor DeepInSight có thu được một số mẫu phishing, ghi nhận việc sử dụng mã độc RUST thay vì CobaltStrike để làm công cụ điều khiển từ xa

Mẫu mã độc được đóng gói dưới dạng chương trình cài đặt NSIS, giả mạo chữ ký của Microsoft để ngụy trang dưới dạng một phần mềm thông thường

Sau khi thực thi, mã độc sẽ drop ra thư mục {739C1B82-9E37-4986-91C4-5939D63A6EE5} trong TEMP 3 tệp tin độc hại khác, setup.exe sẽ được thực thi để load DLL độc hại Log.dll

Log.dll có tên gốc là snvmse.dll, được bảo vệ bằng VMProtect, với các chức năng tương tự với các mẫu liên quan đã được phát hiện trước đó. Sau quá trình thực thi, thư mục tại đường dẫn sẽ được tạo và thêm các thông tin về computername và thông tin ổ đĩa C

SogouInput.dll cũng sẽ được load trong quá trình thực thi, có nhiệm vụ chụp ảnh màn hình và lưu trong thư mục tại đường dẫn C:\Users\<user>\AppData\Roaming\Identities\{83AF1378-986F-1673-091A-02681FA62C3B}

Shellcode đồng thời cũng sẽ được đọc từ resource, giải mã và thực thi trong bộ nhớ, shellcode được viết bằng ngôn ngữ RUST, triển khai các tính năng thực thi câu lệnh từ xa, đánh cắp dữ liệu, tải xuống thêm các file mới và thực thi. Sử dụng key XOR “p@sswor!kS@mk$y” để giải mã dữ liệu ở cuối file nhằm thu được cấu hình C2

Indicators of Compromise (IOCs)

C2

39.104.205.68:443

38.180.94.8:80

64.176.58.16:80

207.148.71.4:443

129.232.134.106:443

45.131.132.146:80

strengthening-memories-reports-restoration.trycloudflare.com:443

File:

49d3777d0d02cd2a4d1c44313c72279fee1681c1e3566535f9117d17b274424b

acf0fb4dac33e197de3a3e142eeaa7e5a892607424e8ea8708d49c65f3703d61

87bfce678855fa498d85b143beaf129f9bd468ebdcc1226b2ba39780a02f3d2e

aac2cbd4cb119dec6c9a8c58f86b8bdd83d27fdaed85149bb2572599de9e32c0

6c959ea4fd3b4dcf8202237870e0782a18bfde05418157b42377c9475355d3ac

774c9181a53d08b245a71a2cf7f55c24c4dbc7fa5e4b7e0aa39f855c74c65e55

ba27c022b5e81fc719ed3097f950bb3e7613dc2c8b9b2851bbb573f7c48ae286

6cb80b939b8de9f15726391f807b947951083da28c2647b8c8451021d559f7ee

2.2      Phân tích Lunar toolset – LunarWeb&LunarMail backdoor

Gần đây, ESET research ghi nhận hai dạng backdoor mới có tên LunarWeb và LunarMail, được nhóm tấn công Turla APT sử dụng trong quá trình tấn công Bộ Ngoại Giao Châu Âu (MFA) và các cơ quan ngoại giao ở nước ngoài. Turla APT được biết đến với việc nhắm tới chủ yếu các mục tiêu cấp cao như chính phủ và các tổ chức ngoại giao ở Châu Âu, Trung Á và Trung Đông, nổi tiếng với việc xâm nhập vào các tổ chức lớn, bao gồm Bộ Quốc phòng Hoa Kỳ vào năm 2008 và công ty quốc phòng Thụy Sĩ RUAG vào năm 2014

Hiện tại chưa tìm được rõ nguyên nhân kẻ tấn công khởi tạo truy cập ban đầu, tuy nhiên trên các máy chủ Zabbix bị chiếm quyền điều khiển ghi nhận các tệp tin độc hại. Trên máy chủ web, phát hiện các tệp tin tại đường dẫn:

<IIS_web_root>\aspnet_client\system_web.aspx

<IIS_web_root>\aspnet_client\system_web.cs

C:\Windows\System32\en-US\winnet.dll.mui

C:\Windows\System32\DynamicAuth.bin

Trên máy chủ Outlook, phát hiện tệp tin Word độc hại nhúng đoạn mã marco VBA, khi tài liệu được người dùng mở, marco sẽ thực hiện tính toán ID nạn nhân từ computername và thông báo tới máy chủ C2 bằng cách ping tới địa chỉ URL được chỉ định cùng với ID. Sau đó tạo thư mục tại đường %USERPROFILE%\Gpg4win, thiết lập persistence thông qua cấu hình Outlook add-in registry

Các giai đoạn tấn công được mô tả bằng hình ảnh dưới đây:

Stage 1: LunarLoader

Bắt đầu giai đoạn thực thi bằng Loader sử dụng thuật toán RC4 để giải mã đường dẫn trỏ đến binary ở Stage 2 để đọc dữ liệu. Dữ liệu này được giải mã bằng thuật toán AES-256 để thu được một PE file, PE file này sẽ được thực thi trong một thread mới. Ghi nhận có 3 phương pháp persistence khác nhau

Persistence method Loader path(s) Process
Group policy extension C:\Windows\System32\en-US\winnet.dll.mui

 

C:\Program Files\LAPS\CSE\AdmPwd.dll*

svchost.exe -k GPvcGroup
System DLL replacement C:\Windows\System32\tapiperf.dll wmiprvse.exe
Outlook add‑in %USERPROFILE%\Gpg4win\gpgol.dll outlook.exe

Stage 2: Lunar Web backdoor

Lunar Web backdoor – triển khai chính trên máy chủ.

Backdoor giao tiếp với máy chủ C&C thông qua giao thức HTTP(S) và thực thi các câu lệnh nhận từ kẻ tấn công, sử dụng khóa RC4 C1 82 A7 04 21 B6 40 C8 9A C3 79 AD F5 5F 72 86 để giải mã dữ liệu. Backdoor cũng thu thập dữ liệu nạn nhân và sử dụng để tính toán ID, sử dụng trong giao tiếp với C&C. Mã độc cũng sẽ tự xóa bỏ các tệp tin ở cả hai stage nếu phát hiện các điều kiện kiểm tra không đảm bảo, ví dụ như giới hạn số lần thử giao tiếp với C&C, khả năng truy cập. Tuy nhiên, các phương pháp persistence ở Stage 1 loader vẫn sẽ được giữ lại.

Các config của LunarWeb được hardcoded bên trong binary, các cấu hình này là khác nhau ở mỗi sample, bao gồm cấu hình C2, ngưỡng truy cập, định dạng trong quá trình giao tiếp. Backdoor duy trì cấu hình file ở 512 bytes, update trong quá trình thực thi và lưu trữ. File sẽ bao gồm 3 trạng thái bằng cách đánh index, tuy nhiên chỉ sử dụng slot cuối cùng với khóa giải mã là 99 53 EA 6A AB 29 44 EF BE 36 12 9E F2 3B 5E C9.

LunarWeb có các tính năng cho phép thu thập các thông tin dưới đây, các thông tin này sẽ được gửi tới C2 ở lần đầu giao tiếp

Sử dụng VMI queries để định danh nạn nhân:

Phiên bản hệ điều hành cùng số serial number

Phiên bản BIOS cùng số sê-ri và tên miền.

Thu thập các thông tin khác thông qua shell commands:

Thông tin máy tính và hệ điều hành (output của systeminfo.exe ),

Biến môi trường,

Network adapters,

Danh sách các tiến trình đang chạy,

Danh sách các dịch vụ và danh sách các sản phẩm bảo mật được cài đặt.

LunarWeb sử dụng 3 URL (sử dụng IP thay vì domain) để các mục đích khác nhau ở quá trình giao tiếp với C2. Một URL sử dụng cho quá trình liên lạc và gửi lên thông tin tới máy chủ C2 như mô tả ở phần trước, hai URL còn lại được sử dụng để nhận lệnh từ kẻ tấn công, mỗi URL nằm trên một máy chủ khác nhau. Để ẩn thông tin giao tiếp với C2, LunarWeb giả mạo lưu lượng truy cập, HTTP header bằng các domains và các thuộc tính thường được sử dụng của các dịch vụ Windows (Teredo, Windows Update). Backdoor cũng có thể nhận và xử lý các lệnh được nhúng bên trong hình ảnh. Mã độc nhận các lệnh từ C2 bằng cách gửi các GET request tới URL, định dạng của request và response có 5 định dạng, giá trị này được hardcoded nhằm xác định được định danh nào sẽ được sử dụng. Phụ thuộc vào format, dữ liệu nhận được từ máy chủ C2 có thể cần được giải mã bằng thuật toán base64 hoặc trích xuất command từ hình ảnh. Các giá trị này được mô tả ở bảng dưới đây:

Format Command request filename example Response, extraction, decoding Response decryption, decompression Note
0 N/A Base64 RSA Short commands only (RSA-4096 512‑byte limit).
1 N/A None RSA Short commands only (RSA-4096 512‑byte limit).
2 update.ver.signed

disallowedcertstl.cab (impersonation specific)

Base64 or none RSA, AES, zlib Decoding is skipped in instances where this format is actually used.
3 <random_5_alnum>.jpg JPG RSA, AES, zlib The data is inside a JPG comment.
4 <random_5_alnum>.gif GIF RSA, AES, zlib The data is inside GIF data blocks.

 

Trước khi đánh cắp, dữ liệu sẽ được nén bằng zlib và mã hóa bằng AES-256 với key và IV được lấy từ kích thước của file, đồng thời tạo hash-based message authen dựa trên hàm băm HMAC. Dữ liệu mã hóa, cùng với decryption và toàn vẹn của dữ liệu sẽ được gửi đi. Nếu dữ liệu nén vượt quá 1,33 MB, file sẽ được chia thành nhiều phần có kích thước ngẫu nhiên từ 384–512 KB trước khi gửi đi. Các POST request tới máy chủ C&C sẽ bao gồm header giả mạo và giá trị để xác định nạn nhân, đồng thời quá trình gửi sẽ bị delay trong khoảng từ 34 đến 40 giây.

LunarWeb hỗ trợ các tính năng cơ bản của backdoor, bao gồm các hoạt động liên quan đến file và tiến trình, thực thi câu lệnh, bao gồm các lệnh của Powershell, mã độc cũng cho phép thực thi Lua code, một trong số ít tính năng thường được xuất hiện trong mã độc. Dưới đây là danh sách các câu lệnh mà mã độc hỗ trợ

Type Command Details
0 Run shell commands via a BAT file and get output Thực thi command trong .bat file %TEMP%\<⁠random_9_alnum_chars>.bat output ghi ra pipe
1 Run shell commands and get Unicode output Thực thi shell commands thông qua cmd.exe /c và /U
2 Run shell commands and get output Thực thi shell commands thông qua cmd.exe /c
3 Run PowerShell commands via a PS1 file and get output Thực thi các câu lệnh Powershell được chỉ định trong file tại đường dẫn %TEMP%\<random_12_alnum_chars>.ps1.
4 Run PowerShell commands and get output Thực thi powershell command powershell.exe
5 Run Lua code Thực thi LUA code
6 Write file Ghi nội dung và đường dẫn được chỉ định
7 Read file Sử dụng file mapping thay vì ReadFile API
8 Get victim identification via WMI Truy vấn thông tin nạn nhân thông qua WMI
9 No operation N/A
10 Update state entry in third slot  
11 Set state content in first slot  
12 Set state content in second slot  
13 Create process and get output arbitrary process
14 Zip specified path(s) Tạo một kho lưu trữ ZIP với các tệp và thư mục được chỉ định.

 

LunarMail backdoor

LunarMail có nhiều điểm tương đồng với LunarWeb, khác biệt chính nằm ở phương thức liên lạc – sử dụng email để giao tiếp với C2. Backdoor này được thiết kế để triển khai trên máy của người dùng, có cách thức đánh cắp dữ liệu gần giống với LightNeuron (backdoor khác của Turla sử dụng email cho quá trình giao tiếp với C2). Quá trình khởi tạo, backdoor giải mã một chuỗi biểu thức chính quy để tìm kiếm các email profile, với khóa RC4 E3 7C 9E B0 DF D1 46 48 B4 AE 8A 5F 2A A1 78 7B. Để có tương tác với Outlook, backdoor sẽ tự động phân giải các chứ năng trong Outlook Messaging API (MAPI), mỗi lần thực thi backdoor tạo một thư mục trong đường dẫn %TEMP%\{<random_guid>}, được sử dụng làm thư mục cho quá trình lưu dữ liệu để đánh cắp.

Ở lần thực thi đầu tiên, LunarMail thu thập thông tin về biến môi trường và thông tin toàn bộ các email, trong trường hợp phát sinh lỗi không thu thập được các thông tin trên, địa chỉ email có sẵn trên Outlook profiles sẽ được thu thập. Thực thi bên trong Outlook, LunarMail backdoor sẽ giao tiếp với C2 server thông qua MAPI

Indicators of Compromise (IOCs)

File:

9CEC3972FA35C88DE87BD66950E18B3E0A6DF77C

DE83C2C3FE68CB1BF96173E9EE3EA6161DCFB24A

2ED792E39F7D56DE52BDF4AED96AFC898478BFDF

F09E36553E48EBD42E60D9B25A390C0F57FF8DE0

795C4127D42FE8DFAF4510B406B52BA5BEDE8D3A

94A4CE9C75BC847E7BE59B96C4133D677D909414

00006B30806F915911349D82BEEB1AEB9025ADB4

19D86CF2ED82EAE23E019706FAE8DAFC60552E85

FCAE66F6D95C78DC829688CC0F4C39BB5A57828B

67C6AEC8D129E610378EF52F8BF934886587932F

754FB657156643FD09A68EC9FC124528578CAB0C

4C84110F1B10DF5FDD612759E210E44B0F0505EF

5D3975E57BDCB630A00FEBE5D405EEFB6D119D86

5EF771AFC96C24371D367448627609CFACB34A57

512E4FA7D6119270FF44A3B2A2359EE8825392EF

C2:

thedarktower[.]av[.]master[.]dns-cloud[.]net

45.33.24[.]145

45.79.93[.]87

82.165.158[.]86

82.223.55[.]220

139.162.23[.]113

161.97.74[.]237

176.57.150[.]252

212.57.35[.]174

212.57.35[.]176

74.50.80[.]35

158.220.102[.]80

65.109.179[.]67

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – May 2024

Trong tháng 05, Microsoft đã phát hành các bản vá cho 59 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; .NET Framework và Visual Studio; Microsoft Dynamics 365; Power BI; DHCP Server; Microsoft Edge (Chromium-based); và Windows Mobile Broadband. Trong đó có 1 lỗ hổng được đánh giá mức độ Nghiêm trọng, 57 lỗ hổng được đánh giá là Important và 1 lỗ hổng được đánh giá ở mức độ Moderate. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2024-30051– Cảnh báo lỗ hổng leo thang đặc quyền trên Windows DWM Core Library| Windows DWM Core Library Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng leo thang đặc quyền trong Windows DWM Core Library. Khai thác thành công cho phép kẻ tấn công giành được quyền System trên hệ thống bị ảnh hưởng. Lỗ hổng được Microsoft ghi nhận đã được các nhóm tấn công lợi dụng khai thác.

Phiên bn nh hưởng:

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 10 for 32bit Systems

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30051

3.1.2       CVE-2024-30044 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044

3.1.3       CVE-2024-30043 – Cảnh báo lỗ hổng lộ lọt thông tin trên Microsoft SharePoint Server | Microsoft SharePoint Server Information Disclosure Vulnerability.

CVSS: 6.5/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công đọc các local file dưới quyền account user. Kẻ tấn công cũng có thể sử dụng kỹ thuật tấn công server-side request forgery (SSRF), từ đó thực hiện relaying NLTM dưới quyền service account SharePoint Farm. Khai thác thành công cho phép lộ lọt thông tin trong các tệp tin, phạm vi nội dung tệp có thể được truy cập phụ thuộc vào quyền của người dùng bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30043

3.1.4       CVE-2024-30033 – Cảnh báo lỗ hổng leo thang đặc quyền trên Windows Search Service | Windows Search Service Elevation of Privilege Vulnerability.

CVSS: 7.0/10

Mô t: Tồn tại lỗ hổng leo thang đặc quyền trên Windows Search Service. Bằng cách tạo pseudo-symlink, kẻ tấn công có thể redirect một delete call để xóa một tệp hoặc thư mục dưới quyền system. Việc xóa được thực hiện khi service khởi động lại, từ đó kích hoạt thành công lỗ hổng, dẫn đến kẻ tấn công giành được đặc quyền SYSTEM.

Phiên bn nh hưởng:

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30033

3.1.5       CVE-2024-30050 – Cảnh báo lỗ hổng vượt qua cơ chế bảo mật trong Windows Mark | Windows Mark of the Web Security Feature Bypass Vulnerability.

CVSS: 5.4/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua cơ chế bảo mật, bằng cách tạo tệp tin độc hại nhằm vượt qua các biện pháp bảo vệ của Mark of the Web (MOTW). Khai thác lỗ hổng yêu cầu người dùng tải xuống và mở tệp dẫn đến kẻ tấn công can thiệp vào chức năng của Mark of the Web.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server   Core installation)

Windows Server 2008 R2 for x64based Systems Service Pack 1

Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2

Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 10 for 32bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30050

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2024-21793 – BIG-IP Next Central Manager OData Injection vulnerability

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi các OData query độc hại thông qua BIG-IP Next Central Manager API. Khai thác thành công cho phép kẻ tấn công thu được các thông tin nhạy cảm của hệ thống như password hash của administrator. Việc khai thác lỗ hổng yêu cầu hệ thống được cấu hình Lightweight Directory Access Protocol (LDAP) để xác thực người dùng.

Phiên bn nh hưởng:

BIG-IP Next Central Manager phiên bản 20.0.1 – 20.1.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://my.f5.com/manage/s/article/K000138732

3.2.2       CVE-2024-26026 – BIG-IP Next Central Manager SQL Injection vulnerability.

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh SQL độc hại thông qua BIG-IP Next Central Manager API. Khai thác thành công cho phép kẻ tấn công thu được các thông tin nhạy cảm của hệ thống như password hash của administrator. Lưu ý: Tất cả các cấu hình thiết bị đều dễ bị ảnh hưởng bởi lỗ hổng này.

Phiên bn nh hưởng:

BIG-IP Next Central Manager phiên bản 20.0.1 – 20.1.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://my.f5.com/manage/s/article/K000138733

3.2.3       CVE-2024-4671 – Use after free in Visuals Google Chrome Vulnerability

CVSS:

Mô t: Tồn tại lỗ hổng use-after-free trên Google Chrome cho phép kẻ tấn công từ xa khai thác heap corruption thông qua trang HTML được chèn mã độc hại.

Phiên bn nh hưởng:

Google Chorme phiên bản < 124.0.6367.201

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-4671

https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html

3.2.4       CVE-2024-22120 – Time Based SQL Injection in Zabbix Server Audit Log

CVSS: 9.1/10

Mô t: Tồn tại lỗ hổng Time Based SQL trong Zabbix (công cụ mã nguồn mở hỗ trợ giám sát các dịch vụ mạng và tài nguyên), khai thác thành công cho phép kẻ tấn công leo thang đặc quyền từ user lên admin. Trong một số trường hợp lỗ hổng cho phép kẻ tấn công thực thi mã từ xa.

Phiên bn nh hưởng:

Phiên bản 6.0.0 – 6.0.27

Phiên bản 6.4.0 – 6.4.12

Phiên bản 7.0.0alpha1 – 7.0.0beta1

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.zabbix.com/security_advisories

3.2.5        CVE-2024-21683 – Remote Code Execution in Confluence Data Center and Server

CVSS: 8.3/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã tùy ý, khai thác lỗ hổng yêu cầu xác thực và không cần tương tác từ người dùng.

Phiên bn nh hưởng:

Data Center

Phiên bản 8.9.0

Phiên bản từ 8.8.0 đến 8.8.1

Phiên bản từ 8.7.0 đến 8.7.2

Phiên bản từ 8.6.0 đến 8.6.2

Phiên bản từ 8.5.0 đến 8.5.8 LTS

Phiên bản từ 8.4.0 đến 8.4.5

Phiên bản từ 8.3.0 đến 8.3.4

Phiên bản từ 8.2.0 đến 8.2.3

Phiên bản từ 8.1.0 đến 8.1.4

Phiên bản từ 8.0.0 đến 8.0.4

Phiên bản từ 7.20.0 đến 7.20.3

Phiên bản từ 7.19.0 đến 7.19.21 LTS

Phiên bản từ 7.18.0 đến 7.18.3

Phiên bản từ 7.17.0 đến 7.17.5

  Server

Phiên bản từ 8.5.0 đến 8.5.8 LTS

Phiên bản từ 8.4.0 đến 8.4.5

Phiên bản từ 8.3.0 đến 8.3.4

Phiên bản từ 8.2.0 đến 8.2.3

Phiên bản từ 8.1.0 đến 8.1.4

Phiên bản từ 8.0.0 đến 8.0.4

Phiên bản từ 7.20.0 đến 7.20.3

Phiên bản từ 7.19.0 đến 7.19.21 LTS

Phiên bản từ 7.18.0 đến 7.18.3

Phiên bản từ 7.17.0 đến 7.17.5

Lưu ý: Các phiên bản trước các phiên bản liệt kê đều bị ảnh hưởng bởi lỗ hổng.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://jira.atlassian.com/browse/CONFSERVER-95832#/