Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Earth Hundun – chiến dịch nhắm mục tiêu Châu Á – Thái Bình Dương.
Gần đây, các cuộc tấn công mạng gia tăng với mục tiêu thu thập thông tin tình báo từ các tổ chức công nghệ và chính phủ, đặc biệt là ở khu vực Châu Á-Thái Bình Dương. Các cuộc tấn công này được liên kết với nhóm gián điệp mạng Earth Hundun (còn gọi là BlackTech), sử dụng phần mềm độc hại Waterbear và biến thể mới – Deuterbear.
Waterbear
Trong stage đầu, kẻ tấn công sử dụng patched legitimate executable, loader và encrypted downloader để phục vụ cho mục đích persistence và tải xuống thêm các mã độc khác cho giai đoạn tấn công về sau. Sau khi kết nối với máy chủ C2, Waterbear RAT sẽ được download về thực thi trong memory, được sử dụng để tải xuống thêm các plugin 32 hoặc 64 bit tùy thuộc vào từng hệ thống thông qua command RAT 1010. Plugin Waterbear tạo kết nối với địa chỉ C2 mới (được chỉ định bởi Waterbear RAT ban đầu) và tải xuống Waterbear RAT khác gần giống với phiên bản trước, sử dụng để thu thập thông tin bao gồm ổ đĩa và các tệp từ các máy bị ảnh hưởng. Đáng chú ý, Earth Hundun sẽ thay thế chuỗi C2 bằng IP nội bộ sau khi downloader hoặc tải xuống phiên bản mới của RAT nhằm xoá dấu vết hoạt động, hoặc dùng để kết nối đến các máy C2 khác.
Với phiên bản mới nhất của Waterbear, có nhiều tính năng khác được triển khai như đếm disk drives, liệt kê các tệp tin, tải file/ tệp file lên C2, đổi tên file, tạo/ xoá tài liệu, thực thi và di chuyển các tệp tin, v.v…
Biến thể mới Deuterbear
Ở stage đầu, downloader sử dụng XOR để giải mã các loader tạo điều kiện thuận lợi cho việc truy xuất RAT từ máy chủ C2. Tiếp theo, sử dụng RAT để khảo sát hệ thống nạn nhân và xác định folder thích hợp nhằm mục đích persistence. Sau đó, các thành phần Deuterbear bao gồm loader CryptUnprotectData decryption, encrypted downloader, associated registries được cài đặt. Sau quá trình persistence hoàn tất, các thành phần của Earth Hundun trong giai đoạn đầu sẽ bị loại bỏ. Việc giữ lại các loader sử dụng CryptUnprotectData decryption với mục đích gây khó khăn cho các nhà nghiên cứu trong quá trình phân tích.
Do có cùng kênh HTTPS và RC4 traffic key, Deuterbear RAT không yêu cầu quá trình bắt tay với C2 để cập nhật giao thức trong quá trình giao tiếp với C&C, cho phép kẻ tấn công kiểm soát nạn nhân liên tục dù ở trạng thái downloader hay RAT. Trước khi thực thi backboor, mã độc gửi thông tin nạn nhân đến máy chủ C2 thông qua RAT.
Một số chức năng được sao chép trực tiếp từ Waterbear RAT như quản lý tiến trình, quản lý file và tính năng remote shell. So với phiên bản Waterbear, phiên bản này hợp lý hoá các chức năng, tối ưu và giảm bớt command RAT, chấp nhận nhiều plugin hơn nhằm tăng cường tính linh hoạt, thêm chức năng bổ sung gồm 2 shellcode và một portable executable (PE) DLL
MITRE ATT&CK
Tactic | Technique | ID | Description |
Execution | Shared Modules | T1129 | Dynamically loads the DLLs through the shellcode |
Native API | T1106 | Dynamically loads the APIs through the shellcode | |
Persistence | Hijack Execution Flow: DLL Side-Loading | T1574.002 | Uses modified legitimate executable to load the malicious DLL |
Boot or Logon Autostart Execution: Print Processors | T1547.012 | Deuterbear abuses print processors to run malicious DLLs during system | |
Privilege Escalation | Process Injection | T1055 | Waterbear and Deuterbear inject the targeted process |
Defense Evasion | Deobfuscate/Decode Files or Information | T1140 | Uses RC4 or CryptUnprotectData to decrypt encrypted downloader |
Execution Guardrails | T1480 | Targets specific path/registry in the victim’s environment | |
Virtualization/Sandbox Evasion: Time Based Evasion | T1497.003 | Deuterbear checks sandbox by API, Sleep, whether normal operation. | |
Debugger Evasion | T1622 | Deuterbear checks debugger mode by process time. | |
Discovery | File and Directory Discovery | T1083 | Waterbear and Deuterbear RAT searches files and directories or in specific locations. |
System Network Configuration Discovery: Internet Connection Discovery | T1016.001 | Downloaders check for internet connectivity on compromised systems. | |
System Network Connections Discovery | T1049 | Waterbear and Deuterbear RAT lists network connections to or from the compromised system they are currently accessing or from remote systems by querying for information over the network. | |
Process Discovery | T1057 | Waterbear and Deuterbear RAT searches specific process. | |
System Information Discovery | T1082 | Waterbear and Deuterbear RAT get detailed information about the operating system and hardware, including version, username, and architecture. | |
Query Registry | T1012 | Queries data from registry to decrypt downloader | |
Lateral Movement | Remote Services: Windows Remote Management | T1021.006 | Waterbear and Deuterbear RAT control remote shell |
Collection | Data from Local System | T1005 | Collects basic information of victim |
Exfiltration | Exfiltration Over Command-and-Control Channel | T1041 | Sends collected data to C&C |
Command and Control | Application Layer Protocol: Web Protocols | T1071.001 | Downloaders communicate with C&C by HTTP/HTTPS |
Encrypted Channel | T1573 | Employs a RC4/RSA to conceal command and control traffic | |
Data Encoding: Non-Standard Encoding | T1132.002 | Encodes traffic with a non-standard RC4 to make the content of traffic more difficult to detect |
Indicators of Compromise (IoCs)
SHA-256 | Detection name |
88336746f2cf1034871c4ee334fae0d30c3eb101df6f3f1c94c777639293a031 | Backdoor.Win32.WATERBEAR.ZTLD |
609120ab45745bcfe8abc244ea1501ef563cb666abd9d730413c3986a76fb23d | Backdoor.Win64.WATERBEAR.ZTLD |
3ecbca7bf2e4557e92595fe23872658bc3337e6f77a3aff02fb7b460272de7f4 | Backdoor.Win64.WATERBEAR.ZTLD |
d4b5127988fde3704193a30840e991dc745aea051d1551c7cb6f55853c8cb9da | Backdoor.Win32.WATERBEAR.ZTLD |
974c407dd918ccba245da0fb9d5a68f123c78aacfa85cdaba2271d6ad81380ae | Trojan.Win64.DEUTERBEAR.ZTLD |
3d8512a513e5f94ce49a742ae3e4853775f05d7481b29bfacef4316d7ba3bde2 | Trojan.Win64.DEUTERBEAR.ZTLD.enc |
057a0e0f522cc217ba8754abbb67f8a667c0054fe0dcdaf01f4930d75cd667cc | Backdoor.Win64.DEUTERBEAR.ZTLD |
31c76585ea703f96c95efab0778f599d8dc5c26eea5d155ce24f614e6bfe9e8c | Trojan.Win64.DEUTERBEAR.ZTLD |
Network
*.quadrantbd[.]com
*.taishanlaw[.]com
*.bakhell[.]com
*.gelatosg[.]com
*.operatida[.]com
*.randaln[.]com
*.nestnewhome[.]com
*.dailteeau[.]com
*.lucashnancy[.]com
*.ccarden[.]com
*.availitond[.]com
*.gayionsd[.]com
*.rchitecture[.]org
*.operatida[.]com
*.centralizebd[.]com
1.2 Haze Sea Unfading – chiến dịch APT mới nhắm vào một số tổ chức cấp cao các quốc gia khu vực Biển Đông
Các nhà nghiên cứu Bitdefender Labs đã phát hiện ra một chiến dịch nhắm vào các tổ chức quân sự và chính phủ các quốc gia khu vực biển Đông, đặt tên là “Haze Sea Unfading”. Chiến dịch hoạt động từ 2018, được cho có liên quan đến Trung Quốc dựa vào sự trùng lặp trong tính năng được thấy trong backdoor “funnyswitch” – có liên kết với APT41. Ngoài ra, nhiều biến thể Gh0st RAT – trojan cũng được sử dụng bởi các nhóm tấn công Trung Quốc sử dụng.
Vector tấn công ban đầu sẽ sử dụng hình thức phishing, bằng việc gửi email chứa file LNK độc hại tới nạn nhân. Các file giả mạo tài liệu nhằm lừa nạn nhân mở nhằm trigger được các payload độc hại.
Tên một số tệp tin độc hại được kẻ tấn công sử dụng:
- SUMMARIZE SPECIAL ORDERS FOR PROMOTIONS CY2023
- Data
- Doc
- Startechup_fINAL
Chiến thuật mà nhóm tấn công sử dụng là nhúng những comment vào dòng lệnh của tệp LNK. Khi khởi chạy sẽ bắt đầu quá trình lây nhiễm bằng cách thực thi lệnh nhằm truy xuất payload – tạo bởi backdoor mới có tên “SerialPktdoor” để chạy các PowerShell scripts, enumerate directors, download/upload files, và delete files.
Tháng 3/2024, một số tệp lưu trữ mới để giành quyền truy cập ban đầu đã được phát hiện, bắt chước quá trình cài đặt của Microsoft Defender hoặc liên quan đến chính trị hiện tại của Hoa Kỳ.
- install microsoft defender web protection
- start windowsdefender
- Wlndovvs Deffender User Guide Document
- barack obama’s tenure as the 44th president of the united states
- Presidency of Barack Obama
- Assange_Labeled_an_’Enemy’_of_the_US_in_Secret_Pentagon_Documents102
Nếu không tìm thấy tệp thực thi, PowerShell script sẽ thực thi payload độc hại vào bộ nhớ, bằng cách sử dụng msbuild.exe command-line compiler. MSbuild hỗ trợ nhiều ngôn ngữ lập trình như C#, C++, web development projects.
Để thiết lập persistence nhóm tấn công bắt chước các tệp Windows hợp pháp kết hợp với DLL để thực thi payload độc hại. Ngoài ra, kẻ tấn công còn sử dụng tài khoản local Administrator, enabled tài khoản bị vô hiệu hóa và đặt lại mật khẩu, sử dụng công cụ Remote Monitoring and Management (RMM) để tấn công mục tiêu.
Ít nhất từ năm 2018, nhóm tấn công sử dụng SilentGh0st, TranslucentGh0st và ba biến thể .NET SharpJSHandler được Ps2dllLoader hỗ trợ. Cho đến năm 2023, những kẻ tấn công đã chuyển sang sử dụng công cụ khác nhằm tránh phát hiện như lạm dụng msbuild.exe để tải C# payloads từ remote SMB shares, và các biến thể của phần mềm độc hại Gh0stRAT.
Quá trình thu thập dữ liệu, nhóm tấn công sử dụng keylogger có tên “xkeylog” với mục đích ghi lại thao tác gõ phím của người dùng, từ đó trích xuất thông tin từ dữ liệu được lưu trữ trên Chrome, Firefox, Edge và Internet Explorer.
Indicators of Compromise
Hashes
MD5 | Malware Family |
cb95ad8fad82eac1c553cd2d7470100b | Ps2dllLoader |
19dbf2d82f6f95a73f1529636e775295 | SilentGh0st |
1ce17f0e2a000a889b3f81e80b95f19f | DustyExfilTool |
e7433f8a0943a6025d43473990ec8068 | TranslucentGh0st |
6a0933d08d8d27165f72c53df8f1bf04 | DustyExfilTool |
1dbcd8d2f5718fa7654f8b5f34b88d43 | Loader that uses xyz123xyz for AES decryption |
ac7b8524098cbb423619706ff617b6a6 | Network Scanner |
95701a74b6b3de68fc375cd08ae8d2c2 | SilentGh0st |
2e4055e16c1a9274caa182223977eda1 | SilentGh0st |
7e10d7dd09f5ee2010990701db042f11 | WPD USB monitor tool |
a5af41fda8ef570fda96c64a932d4247 | FluffyGh0st |
1e55bda0b7eb0aea78577a21f51e8f5c | Ps2dllLoader |
5421e3cef32e534fa74a26df1c753700 | SharpJSHandler, OneDrive variant |
b3dc2dcb0f2a5661aed1f4e6d9e88bc6 | Ps2dllLoader |
4d99127e4b1d27a56f7c4b198739176b | .Net loader used by Ps2dllLoader |
5bd1eb1166da401c470af2b9e204b2d1 | .Net loader used by Ps2dllLoader |
2c45c1c35c703bb923b558343f00ea34 | Ps2dllLoader |
70773eb54234c486c46048ade57db45b | Stubbedoor |
69310040e872806cb2b00d3addb321a7 | Ps2dllLoader |
35623ba9f8fcbcf0fce96aa2465b0b66 | SharpJSHandler |
828faccaaf8e70be1c32ae5588d3df12 | Ps2dllLoader |
4ec62fdd3d02bc9b81a8c78910b8463a | Ps2dllLoader |
cff31de1b28f6b00d13d15c2be08a982 | SharpJSHandler DropBox variant |
7ff8a134c1ee44c915339a74e4a2d3ca | Ps2dllLoader |
e3fb4c2d591a440cfe6419f5a9825e8 | Ps2dllLoader |
0dd4603f7c3a80a2408e458fe58b2e60 | InsidiousGh0st .NET variant |
11c7f264184ed52df4a3836a623845c8 | TranslucentGh0st |
55a246ace9630b31c43964ebd551e5e2 | FluffyGh0st |
8c31532f73671995d7f3b6d5814ba726 | Ps2dllLoader |
5268206fb6c96f614f67cd5d686f42af | TranslucentGh0st |
cf2f7331a04bb9cd47b58a5c80d4c242 | EtherealGh0st |
3d87f0bd243cff931bb463fce1d115e3 | EtherealGh0st |
98de3eeda1adefec31d3e3f00079dd2d | EtherealGh0st |
b04d9dba3bc922a33c1408d4fbf80678 | Ps2dllLoader |
35a307b73849a3d7a7cd603a0c4698f2 | SerialPktdoor loader |
3d879bc2fb28c5abbcd6e08b6e5dc762 | InsidiousGh0st |
7aba74bfbf5cb068fb52e8813c40f4cd | Xkeylog keylogger |
510c36c9061778d166e23177a191df35 | EtherealGh0st |
b6cd3d88a6d6886718b6113147a99901 | Malicious C# script |
1179f589791c2eaa1ae33f38e62753d0 | Malicious C# script |
0b744f9d38e125cd4fe14289272ac0e2 | InsidiousGh0st |
960a964cab127c4f3c726612fdeaeb08 | EtherealGh0st |
1d2185c956a75a8628e310a38dea4001 | InsidiousGh0st |
7169179cc18e6aa6c2c36e4bee59f63d | EtherealGh0st |
cf398f9780de020919daad9ca4a27455 | EtherealGh0st |
96a43d13fd11464e9898af98cc5bb24b | Xkeylog keylogger |
14a88779c7e03ecfc19dd18221e25105 | EtherealGh0st |
2bf96bd44942ca8beed04623a1e19e24 | Hid.dll loader |
fabdf1094b49673bc0f015cbb986bad5 | Hid.dll loader |
00bcbeb6ffdadc50a931212eff424e19 | EtherealGh0st |
e5fc13c39dd81e6de11d1c211f4413ba | Xkeylog keylogger |
9425f9f7cc393c492deb267c12d031c5 | Hid Dropper |
551bda0f19bf2705f5f7bd52dcbc021f | EtherealGh0st |
654163ab9002bd06f68a9f41123b1cd4 | EtherealGh0st |
fda22f52f0d3a81f095a00810a3dd70a | EtherealGh0st |
cf5f2e3e1ce82e75a2d0885af5efa1ef | EtherealGh0st |
3631001b60bdf712e6294d40ec777d87 | EtherealGh0st |
4e470ea6d7d7da6dd4147c8e948df7c8 | InsidiousGh0st |
73daf06fed93d542af04d59a4545fab0 | FluffyGh0st |
100c461d79471c96eba20c8eae35c5ba | FluffyGh0st |
40466fd795360ac4270751d8c4500c39 | EtherealGh0st |
cb9e6fa194b8fa2ef5b6b19e0bd6873e | EtherealGh0st |
af215f4670ae190e699c27e5205aadee | Eventlog info extractor |
39d43f21b3c2b9f94165f5257b229fb4 | EtherealGh0st |
3dc8d8a70cc60a2376ce5c555d242cf3 | EtherealGh0st |
6f01bed0b875069ec5b9650e6d8c416f | EtherealGh0st |
5f8f9269bcd52ef630bc563b83059b77 | FluffyGh0st |
fa93aec0018c5e3d1d58b76af159bb82 | FluffyGh0st |
846838327cda19b4415afd5b352c95df | EtherealGh0st |
17303b1a254abb9ed0795f7d9b51b462 | FluffyGh0st |
3decde2a91f52255dd97eaafc2666947 | FluffyGh0st |
b98e54d01a094bb6b83eff06a8cf49d6 | EtherealGh0st |
b1a886f8904d90ad28fce0dc0dc9df93 | Ps2dllLoader |
5800fff782c36df785dad1d0a34ad418 | Ps2dllLoader |
4b68c803db1b4222292adba3b2a1a03 | EtherealGh0st |
6c49738668ca7c054f0708ecc3b626c8 | SerialPktDoor loader |
d9a452c1c06903fafa4dc4625b2c2d9b | EtherealGh0st |
91017ad856cff5f0cb304ea2a3ae81c9 | FluffyGh0st |
f54bed43b372997f3bafe5c67c799e73 | InsidiousGh0st |
cd0b810751eb2a1470e44f7f6660d5f4 | InsidiousGh0st |
80fb9865209f8d8d1017c8151c79ef74 | Network scanner |
c8c890cf8d61cab805e9ef0a4471579a | EtherealGh0st |
0f4d06cedc93c7784580a3a7c4ad2fb4 | InsidiousGh0st |
c182b3e659a416fe59f3613c08a8cffb | InsidiousGh0st go variant |
942086934f4dd65c3e0158c9b8d89933 | SharpZulip |
124bdaaa70da4daeacbc0513b6c0558e |
File Paths
c:\program files\videolan\vlc\msftedit.dll
c:\programdata\adobe\arm\arm.dll
c:\programdata\coint.dll
c:\programdata\epson\setup\msftedit.dll
c:\programdata\microsoft\devicesync\msftedit.dll
c:\programdata\microsoft\network\connections\winsync.dll
c:\programdata\microsoft\servermanager\events\msftedit.dll
c:\programdata\microsoft\windows\clipsvc\genuineticket\msftedit.dll
c:\programdata\mscorsvc.dll
c:\programdata\mscorsvw.exe
c:\programdata\prod.dll
c:\programdata\server.dll
c:\programdata\ssh\msftedit.dll
c:\programdata\ssh\setup.exe
c:\programdata\ssh\ssh.sys
c:\programdata\stub.ps1
c:\programdata\usoshared\log.dll
c:\programdata\usoshared\logs\mscorsvc.dll
c:\programdata\usoshared\uso.dll
c:\programdata\winsync.dll
c:\python27\mscorsvc.dll
c:\users\<user>\appdata\local\adobe\acrobat\mscorsvc.dll
c:\users\<user>\appdata\local\comms\msftedit.dll
c:\users\<user>\appdata\local\microsoft\windows\caches\cversions.db
c:\users\<user>\appdata\local\temp\microsoftupdate.log
c:\users\<user>\appdata\roaming\adobe\mscorsvc.dll
c:\users\<user>\appdata\roaming\brother\mscorsvc.dll
c:\users\<user>\appdata\roaming\microsoft\mscorsvc.dll
c:\users\<user>\appdata\roaming\mscorsvc.dll
c:\users\<user>\desktop\dbghelp.dll
c:\users\<user>\desktop\gro.dll
c:\users\<user>\desktop\m.dll
c:\users\<user>\desktop\mscorsvc.dll
c:\users\<user>\desktop\mscorsvw.exe
c:\users\<user>\desktop\msftedit.dll
c:\users\<user>\desktop\s.dll
c:\users\<user>\desktop\servicemove64.exe
c:\users\<user>\desktop\sls
c:\users\<user>\desktop\sur.dll
c:\users\<user>\desktop\wh.exe
c:\users\<user>\desktop\yh.exe
c:\users\<user>\downloads\rea.dll
c:\users\public\downloads\data.dll
c:\users\public\downloads\mscorsvc.dll
c:\users\public\downloads\notea.exe
c:\windows\addins\mscorsvc.dll
c:\windows\cursors\curs.cur
c:\windows\debug\wia\vpn_bridge.config
c:\windows\help\help\mscorsvc.dll
c:\windows\help\mscorsvc.dll
c:\windows\ime\server.dll
c:\windows\livekernelreports\mscorsvc.dll
c:\windows\mscorsvc.dll
c:\windows\policydefinitions\mscorsvc.dll
c:\windows\servicestate\servicestate.dll
c:\windows\setup\cert.dll
c:\windows\setup\mscorsvc.dll
c:\windows\system32\dsc\msftedit.dll
c:\windows\system32\grouppolicy\datastore\0\sysvol\<domain>\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\machine\applications.dll
c:\windows\system32\mscorsvc.dll
c:\windows\system32\perceptionsimulation\hid.dll
c:\windows\system32\perceptionsimulation\hidserv.dll
c:\windows\systemtemp\mscorsvc.dll
c:\windows\systemtemp\winsat\mscorsvc.dll
em_nqiy9yrk_installer.msi
recorded.log
Domain Names
upupdate.ooguy[.]com
fc.adswt[.]com
mail.simpletra[.]com
mail.adswt[.]com
api.simpletra[.]com
bit.kozow[.]com
bitdefenderupdate[.]org
auth.bitdefenderupdate[.]com
mail.pcygphil[.]com
mail.bomloginset[.]com
dns-log.d-n-s.org[.]uk
linklab.blinklab[.]com
link.theworkguyoo[.]com
mail.theworkguyoo[.]com
sopho.kozow[.]com
news.nevuer[.]com
payroll.mywire[.]org
employee.mywire[.]org
airst.giize[.]com
cdn.g8z[.]net
manags.twilightparadox[.]com
dns.g8z[.]net
message.ooguy[.]com
spcg.lunaticfridge[.]com
helpdesk.fxnxs[.]com
newy.hifiliving[.]com
images.emldn[.]com
word.emldn[.]com
provider.giize[.]com
rest.redirectme[.]net
api.bitdefenderupdate[.]org
IP Addresses
167.71.199[.]105
188.166.224[.]242
159.223.78[.]147
128.199.166[.]143
164.92.146[.]227
192.153.57[.]24
209.97.167[.]177
112.113.112[.]5
193.149.129[.]128
128.199.66[.]11
45.61.137[.]109
139.59.107[.]49
152.42.198[.]152
1.3 Tin tặc lợi dụng lỗ hổng trên Foxit PDF Reader nhằm phát tán mã độc
Foxit PDF Reader – 1 phần mềm đọc file PDF phổ biến trên 200 quốc gia, được sử dụng trong chính phủ như không quân, quân đội, hải quân, cơ quan phòng thủ tên lửa Hoa kỳ và lĩnh vực công nghệ như Google, Microsoft, Intel&Dell được xác định đang bị các nhóm tấn công khai thác nhằm phát tán mã độc như Agent Tesla, AsyncRAT, DCRat, NanoCore RAT, NjRAT, Pony, Remcos RAT và Xworm.
Việc khai thác lỗ hổng đã được nhiều nhóm tấn công sử dụng, bao gồm tội phạm công nghệ cao và gián điện mạng. Thông qua một thiết kế lỗi trong Foxit Reader, khi mở tệp sẽ hiển thị tùy chọn mặc định là “OK”, đánh lừa người dùng nhấp vào. Tiếp theo, cửa sổ thứ hai hiển thị tùy chọn “Open”, dựa trên hành vi thông thường của người dùng, từ đó lệnh sẽ được trigger để tải xuống và thực thi các payload độc hại.
Chiến dịch 1: Windows & Android Botnets with a Scent of Espionage
Check Point Research đã phát hiện ra một tệp PDF độc hại liên quan đến quân sự có tên “Regarding Invitation to attend defence services Asia 2024 and National Security Asia 2024.pdf”. Sau khi tải xuống bản PDF và thực thi downloader gồm 2 tệp thực thi, mục đích thu thập và tải dữ liệu (bao gồm tài liệu, hình ảnh, tệp lưu trữ và database) và gửi đến máy chủ C&C. Dựa vào chuỗi tấn công cho thấy downloader cũng có thể được sử dụng để drop payload thứ 3, có khả năng chụp màn hình máy chủ bị chiếm quyền sau đó tải lên máy chủ C&C.
Check Point Research cho rằng hoạt động này hướng tới hoạt động gián điệp mạng được liên kết với nhóm DoNot (còn gọi là APT-C-35 và Origami Elephant).
Chiến dịch 2: Chained-Campaign
Chiến dịch này sử dụng nhiều giai đoạn để triển khai và khai thác hai module XMRig và lolMiner. Đáng chú ý, kẻ tấn công phát tán các tệp PDF qua Facebook mà không bị phát hiện.
Phần mềm độc hại dựa trên Python được trang bị để đánh cắp thông tin đăng nhập và cookie của nạn nhân từ trình duyệt Chrome và Edge, cùng với các công cụ khai thác được lấy từ Gitlab của người dùng có tên “topworld20241”
Chiến dịch 3: Python Stealer with Low Detection
Chiến dịch này, tệp PDF hoạt động như một đường dẫn để truy xuất từ Discord CDN Blank-Grabber, một công cụ đánh cắp thông tin open-source có trên GitHub. Tệp PDF thực thi PowerShell và tải xuống tệp độc hại từ DiscordApp sau đó thực thi mã độc trên máy nạn nhân.
Mã độc này có khả năng đánh cắp thông tin từ nhiều trình duyệt và các ứng dụng khác nhau.
Chiến dịch 4: From PDF to PDF
Đầu tiên tải xuống tệp PDF chứa hyperlink độc hại. Sau khi nhấp vào liên kết, nạn nhân sẽ nhận được tệp PDF thứ hai, được lưu trữ trên “trello.com” – một trang web hợp pháp. Sau khi tải về, qua một loạt các bước liên quan đến việc sử dụng tệp LNK, ứng dụng HTML (HTA) và tập lệnh Visual Basic. Các tệp độc hại được thực thi, trong đó phần mềm độc hại cuối cùng Remcos RAT được đưa vào bộ nhớ bằng cách sử dụng DynnamicWrapperX.
Kẻ tấn công “@Silentkillertv” cũng đang rao bán các công cụ độc hại thông qua Telegram
Dựa vào tên tệp và thư mục được tạo, cho thấy mục tiêu được nhắm đến là Việt Nam, Hàn Quốc và một số quốc gia khác.
Indicators of Compromise
Builders
Avict Software
3f291d07a7b0596dcdf6f419e6b38645b77b551a2716649c12b8706d31228d79
f002712b557a93da23bbf4207e5bc57cc5e4e6e841653ffab59deb97b19f214e
PDF Exploit Builder
ac7598e2b4dd12ac584a288f528a94c484570582c9877c821c47789447b780ec
FuckCrypt
20549f237f3552570692e6e2bb31c4d2ddf8133c5f59f5914522e88239370514
87effdf835590f85db589768b14adae2f76b59b2f33fae0300aef50575e6340d
5c42a4b474d7433bd9f1665dc914de7b3cc7fbdb9618b0322324b534440737d7
Python
79e1cb66cb52852ca3f46a2089115e11fff760227ae0ac13f128dda067675fbc
a4a8486c26c050ed3b3eb02c826b1b67e505ada0bf864a223287d5b3f7a0cde0
Malicious Files
d44f161b75cba92d61759ef535596912e1ea8b6a5a2067a2832f953808ca8609
9c5883cf118f1d22795f7b5661573f8099554c5a3f78d592e8917917baa6d20f
2aa9459160149ecefd1c9b63420eedc7fe3a21ae0ca3e080c93fd39fef32e9c0
8155a6423d64f30d2994163425d3fbe14a52927d3616ffacea36ddc71a6af4b0
c1436f65acbf7123d1a45b0898be69ba964f0c6d569aa350c9d8a5f187b3c0e7
de8ecd738f1f24a94aba06f19d426399bc250cc5e7b848b2cbd92fc1d6906403
D5483049DC32D1A57E759839930FE17FE31A5F513D24074710F98EC186F06777
19A8201C6A3063B897D696330C1B60BD97914514D2AE6A6C3C1796BEC236724A
Blank-Grabber
d2bd6a05d1e30586216e73602a05367380ae66654cd0bccabb0414ef6810ab18
Python-Stealer-Dropper
e32d2966a22243f346e06d4da5164abab63c2700c905f22c09a18125ee4de559
BAT file
eb87ec49879dc44b6794bb70bd6c706e74694e4c2bbc1926dd4cff42e5b63cc6
b59ab9147214bc1682006918692febed4ad37e1d305c5c80dc1ee461914eacd2
APT-C-35 / DoNot Team Downloader
4ef9133773d596d1c888b0ffe36287a810042172b0af0dfad8c2b0c9875d1c65
APT-C-35 / DoNot Team Downloaded1
3e9a60d5f6174bb1f1c973e9466f3e70c74c771043ee00688e50cac5e8efe185
APT-C-35 / DoNot Team Uploader
2d40e892e059850ba708f8092523efeede759ecd6e52d8cb7752462fcdb6f715
APT-C-35 / DoNot Team Screen
c943fe1b8e1b17ec379d33a6e5819a5736cb5de13564f86f1d3fba320ccebaa0
APT-C-35 / DoNot Team APK
7f5f1586b243f477c484c34fa6243c20b3ecf29700c6c17e23a4daf9360e2d2f
ecb4f5f0ee0cda289056f2f994c061d53cfbc8ac413f2ca4da8864c68f0a23f6
4a7aeb6f510cf5d038e566a3ccd45e98a46463bb67eb34012c8e64444464b081
VBScript 9A7F4FF5FD0A972EEDA9293727F0EECDD7CE2CFE0A072CDF9D3402EE9C46A48E
D761FE4D58FE68FC95D72871429F0FCE6055389A58F81CF0A19EB905A96E1C38
B3AD75EEF9208D58A904030D44DA22C59CE7BD47ED798B0A14B58330A1390FE8
FC330BB132A345AF05FEB0D275EEEF29C7A439A04223757F33360393CF975CA9
A334A9C1A658F4EBEF7BA336F9A27693030DC444509BD9FA8FDEFE8AAAE3A133
E9BF261A779C1B3A023189BEF509579BAD8B496DCFE5E96C19CF8CC8BEA48A08
EE42CF45FFF12BCC9E9262955470BFED810F3530E651FDDB054456264635D9D2
1CBF897CCCC22A1E6D6A12766ADF0DCEE4C103539ADD2C10C7906042E19519F4
DynamicWrapperX
4EF3A6703ABC6B2B8E2CAC3031C1E5B86FE8B377FDE92737349EE52BD2604379
ShellCode
A5C9A3518F072982404E68DC6A3DC90EDEBBF292FC1ACA6962B6CCF64F4FE28C
Remcos
0ADE87BA165A269FD4C03177226A148904E14BD328BDBB31799D2EAD59D7C2FA
1.4 Phần mềm độc hại nhắm mục tiêu vào thiết bị Android.
Nhóm nghiên cứu mối đe dọa của SonicWall Capture Labs cho biết phần mềm độc hại sử dụng các biểu tượng của các ứng dụng Android như: Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter) nhằm đánh lừa người dùng và lừa nạn nhân cài đặt ứng dụng độc hại.
Sau khi cài đặt ứng dụng trên điện thoại của người dùng, mã độc yêu cầu truy cập vào các tính năng accessibility services và Device Admin Permission nhằm kiểm soát thiết bị từ đó đánh cắp dữ liệu cá nhân của nạn nhân.
Ứng dụng độc hại kết nối với máy chủ C2 để nhận lệnh thực thi, cho phép truy cập danh sách liên hệ, tin nhắn SMS, nhật ký cuộc gọi, danh sách các ứng dụng, gửi tin nhắn, mở các trang lừa đảo trên ứng dụng web và bật/tắt camera flashlight
Các URL lừa đảo bắt chước các trang đăng nhập của các service nổi tiếng như Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress và Yahoo.
Indicators of Compromise (IOCs)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.5 Kẻ tấn công lợi dụng Microsoft OneNote để nhúng payload độc hại
Các nhà nghiên cứu Unit42 cho biết các kẻ tấn công lợi dụng Microsoft OneNote – một ứng dụng ghi chú trong Microsoft Office để nhúng các payload độc hại. Các mẫu OneNote độc hại này thường bao gồm hình ảnh và nút giả mạo, ngụy trang dưới dạng mẫu ghi chú an toàn. Sau đó dụ dỗ người dùng tương tác với tệp dẫn đến thực thi payload độc hại.
OneNote độc hại yêu cầu người dùng click vào nút giả mạo. Từ đó tệp VBScript được nhúng sẽ thực thi mã độc.
Tệp OneNote chứa button giả được nhúng tệp EXE
Hầu hết, các tệp độc hại được nhúng trong OneNote bắt đầu bằng GUID: {BDE316E7-2665-4511-A4C4-8D4D0B7A9EAC}
Một số payload được kẻ tấn công sử dụng, ưu tiên sử dụng payload có kích thước nhỏ nhằm tránh tăng dung lượng của file:
- JavaScript
- VBScript
- PowerShell
- HTML application (HTA)
- Batch
- Office 97-2003
- EXE
Payload EXE
Mã độc sử dụng kỹ thuật API hashing để gọi các hàm xử lý khi cần thực hiện các chức năng. Ngoài ra, sử dụng hàm WSAStringToAddressA và WSASocketW nhằm thiết lập socket phục vụ quá trình trao đổi dữ liệu.
Thông qua Python script thu được địa chỉ IP và Port được cấu hình trong malware như hình ảnh dưới đây:
Indicators of Compromise
Danh sách đầy đủ IoCs xem tại link:
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/Payload_Trends_in_Malcious_OneNote_Samples-SHA256-hashes.txt
2 Malware
2.1 Phân tích phần mềm độc hại được sử dụng bởi nhóm tấn công Timitator
Timitator thực hiện các cuộc tấn công nhắm tới các lĩnh vực năng lượng, trường đại học, cơ sở nghiên cứu khoa học, công nghiệp quân sự và các ngành công nghiệp khác tại Trung Quốc. Nhóm tấn công sử dụng đa dạng các phương pháp, phân phối các payload ở nhiều định dạng như exe, chm, iso và lnk. Sau khi lừa nạn nhân thực thi các tệp tin đính kèm độc hại, nhóm tấn công sẽ sử dụng cobaltstrike và thiết lập persistence trên máy của nạn nhân. Các tấn công ở giai đoạn tiếp theo sẽ tùy thuộc vào mục tiêu, nhóm tấn công sẽ cố gắng đánh cắp dữ liệu và các tệp tin có giá trị. Một số nghiên cứu chỉ ra nhóm có một số đặc điểm trong cách viết mã liên quan đến OceanLotus. Gần đây, nhóm nghiên cứu ở Sangfor DeepInSight có thu được một số mẫu phishing, ghi nhận việc sử dụng mã độc RUST thay vì CobaltStrike để làm công cụ điều khiển từ xa
Mẫu mã độc được đóng gói dưới dạng chương trình cài đặt NSIS, giả mạo chữ ký của Microsoft để ngụy trang dưới dạng một phần mềm thông thường
Sau khi thực thi, mã độc sẽ drop ra thư mục {739C1B82-9E37-4986-91C4-5939D63A6EE5} trong TEMP 3 tệp tin độc hại khác, setup.exe sẽ được thực thi để load DLL độc hại Log.dll
Log.dll có tên gốc là snvmse.dll, được bảo vệ bằng VMProtect, với các chức năng tương tự với các mẫu liên quan đã được phát hiện trước đó. Sau quá trình thực thi, thư mục tại đường dẫn sẽ được tạo và thêm các thông tin về computername và thông tin ổ đĩa C
SogouInput.dll cũng sẽ được load trong quá trình thực thi, có nhiệm vụ chụp ảnh màn hình và lưu trong thư mục tại đường dẫn C:\Users\<user>\AppData\Roaming\Identities\{83AF1378-986F-1673-091A-02681FA62C3B}
Shellcode đồng thời cũng sẽ được đọc từ resource, giải mã và thực thi trong bộ nhớ, shellcode được viết bằng ngôn ngữ RUST, triển khai các tính năng thực thi câu lệnh từ xa, đánh cắp dữ liệu, tải xuống thêm các file mới và thực thi. Sử dụng key XOR “p@sswor!kS@mk$y” để giải mã dữ liệu ở cuối file nhằm thu được cấu hình C2
Indicators of Compromise (IOCs)
C2
39.104.205.68:443
38.180.94.8:80
64.176.58.16:80
207.148.71.4:443
129.232.134.106:443
45.131.132.146:80
strengthening-memories-reports-restoration.trycloudflare.com:443
File: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.2 Phân tích Lunar toolset – LunarWeb&LunarMail backdoor
Gần đây, ESET research ghi nhận hai dạng backdoor mới có tên LunarWeb và LunarMail, được nhóm tấn công Turla APT sử dụng trong quá trình tấn công Bộ Ngoại Giao Châu Âu (MFA) và các cơ quan ngoại giao ở nước ngoài. Turla APT được biết đến với việc nhắm tới chủ yếu các mục tiêu cấp cao như chính phủ và các tổ chức ngoại giao ở Châu Âu, Trung Á và Trung Đông, nổi tiếng với việc xâm nhập vào các tổ chức lớn, bao gồm Bộ Quốc phòng Hoa Kỳ vào năm 2008 và công ty quốc phòng Thụy Sĩ RUAG vào năm 2014
Hiện tại chưa tìm được rõ nguyên nhân kẻ tấn công khởi tạo truy cập ban đầu, tuy nhiên trên các máy chủ Zabbix bị chiếm quyền điều khiển ghi nhận các tệp tin độc hại. Trên máy chủ web, phát hiện các tệp tin tại đường dẫn:
<IIS_web_root>\aspnet_client\system_web.aspx
<IIS_web_root>\aspnet_client\system_web.cs
C:\Windows\System32\en-US\winnet.dll.mui
C:\Windows\System32\DynamicAuth.bin
Trên máy chủ Outlook, phát hiện tệp tin Word độc hại nhúng đoạn mã marco VBA, khi tài liệu được người dùng mở, marco sẽ thực hiện tính toán ID nạn nhân từ computername và thông báo tới máy chủ C2 bằng cách ping tới địa chỉ URL được chỉ định cùng với ID. Sau đó tạo thư mục tại đường %USERPROFILE%\Gpg4win, thiết lập persistence thông qua cấu hình Outlook add-in registry
Các giai đoạn tấn công được mô tả bằng hình ảnh dưới đây:
Stage 1: LunarLoader
Bắt đầu giai đoạn thực thi bằng Loader sử dụng thuật toán RC4 để giải mã đường dẫn trỏ đến binary ở Stage 2 để đọc dữ liệu. Dữ liệu này được giải mã bằng thuật toán AES-256 để thu được một PE file, PE file này sẽ được thực thi trong một thread mới. Ghi nhận có 3 phương pháp persistence khác nhau
Persistence method | Loader path(s) | Process |
Group policy extension | C:\Windows\System32\en-US\winnet.dll.mui
C:\Program Files\LAPS\CSE\AdmPwd.dll* |
svchost.exe -k GPvcGroup |
System DLL replacement | C:\Windows\System32\tapiperf.dll | wmiprvse.exe |
Outlook add‑in | %USERPROFILE%\Gpg4win\gpgol.dll | outlook.exe |
Stage 2: Lunar Web backdoor
Lunar Web backdoor – triển khai chính trên máy chủ.
Backdoor giao tiếp với máy chủ C&C thông qua giao thức HTTP(S) và thực thi các câu lệnh nhận từ kẻ tấn công, sử dụng khóa RC4 C1 82 A7 04 21 B6 40 C8 9A C3 79 AD F5 5F 72 86 để giải mã dữ liệu. Backdoor cũng thu thập dữ liệu nạn nhân và sử dụng để tính toán ID, sử dụng trong giao tiếp với C&C. Mã độc cũng sẽ tự xóa bỏ các tệp tin ở cả hai stage nếu phát hiện các điều kiện kiểm tra không đảm bảo, ví dụ như giới hạn số lần thử giao tiếp với C&C, khả năng truy cập. Tuy nhiên, các phương pháp persistence ở Stage 1 loader vẫn sẽ được giữ lại.
Các config của LunarWeb được hardcoded bên trong binary, các cấu hình này là khác nhau ở mỗi sample, bao gồm cấu hình C2, ngưỡng truy cập, định dạng trong quá trình giao tiếp. Backdoor duy trì cấu hình file ở 512 bytes, update trong quá trình thực thi và lưu trữ. File sẽ bao gồm 3 trạng thái bằng cách đánh index, tuy nhiên chỉ sử dụng slot cuối cùng với khóa giải mã là 99 53 EA 6A AB 29 44 EF BE 36 12 9E F2 3B 5E C9.
LunarWeb có các tính năng cho phép thu thập các thông tin dưới đây, các thông tin này sẽ được gửi tới C2 ở lần đầu giao tiếp
Sử dụng VMI queries để định danh nạn nhân:
Phiên bản hệ điều hành cùng số serial number
Phiên bản BIOS cùng số sê-ri và tên miền.
Thu thập các thông tin khác thông qua shell commands:
Thông tin máy tính và hệ điều hành (output của systeminfo.exe ),
Biến môi trường,
Network adapters,
Danh sách các tiến trình đang chạy,
Danh sách các dịch vụ và danh sách các sản phẩm bảo mật được cài đặt.
LunarWeb sử dụng 3 URL (sử dụng IP thay vì domain) để các mục đích khác nhau ở quá trình giao tiếp với C2. Một URL sử dụng cho quá trình liên lạc và gửi lên thông tin tới máy chủ C2 như mô tả ở phần trước, hai URL còn lại được sử dụng để nhận lệnh từ kẻ tấn công, mỗi URL nằm trên một máy chủ khác nhau. Để ẩn thông tin giao tiếp với C2, LunarWeb giả mạo lưu lượng truy cập, HTTP header bằng các domains và các thuộc tính thường được sử dụng của các dịch vụ Windows (Teredo, Windows Update). Backdoor cũng có thể nhận và xử lý các lệnh được nhúng bên trong hình ảnh. Mã độc nhận các lệnh từ C2 bằng cách gửi các GET request tới URL, định dạng của request và response có 5 định dạng, giá trị này được hardcoded nhằm xác định được định danh nào sẽ được sử dụng. Phụ thuộc vào format, dữ liệu nhận được từ máy chủ C2 có thể cần được giải mã bằng thuật toán base64 hoặc trích xuất command từ hình ảnh. Các giá trị này được mô tả ở bảng dưới đây:
Format | Command request filename example | Response, extraction, decoding | Response decryption, decompression | Note |
0 | N/A | Base64 | RSA | Short commands only (RSA-4096 512‑byte limit). |
1 | N/A | None | RSA | Short commands only (RSA-4096 512‑byte limit). |
2 | update.ver.signed
disallowedcertstl.cab (impersonation specific) |
Base64 or none | RSA, AES, zlib | Decoding is skipped in instances where this format is actually used. |
3 | <random_5_alnum>.jpg | JPG | RSA, AES, zlib | The data is inside a JPG comment. |
4 | <random_5_alnum>.gif | GIF | RSA, AES, zlib | The data is inside GIF data blocks. |
Trước khi đánh cắp, dữ liệu sẽ được nén bằng zlib và mã hóa bằng AES-256 với key và IV được lấy từ kích thước của file, đồng thời tạo hash-based message authen dựa trên hàm băm HMAC. Dữ liệu mã hóa, cùng với decryption và toàn vẹn của dữ liệu sẽ được gửi đi. Nếu dữ liệu nén vượt quá 1,33 MB, file sẽ được chia thành nhiều phần có kích thước ngẫu nhiên từ 384–512 KB trước khi gửi đi. Các POST request tới máy chủ C&C sẽ bao gồm header giả mạo và giá trị để xác định nạn nhân, đồng thời quá trình gửi sẽ bị delay trong khoảng từ 34 đến 40 giây.
LunarWeb hỗ trợ các tính năng cơ bản của backdoor, bao gồm các hoạt động liên quan đến file và tiến trình, thực thi câu lệnh, bao gồm các lệnh của Powershell, mã độc cũng cho phép thực thi Lua code, một trong số ít tính năng thường được xuất hiện trong mã độc. Dưới đây là danh sách các câu lệnh mà mã độc hỗ trợ
Type | Command | Details |
0 | Run shell commands via a BAT file and get output | Thực thi command trong .bat file %TEMP%\<random_9_alnum_chars>.bat output ghi ra pipe |
1 | Run shell commands and get Unicode output | Thực thi shell commands thông qua cmd.exe /c và /U |
2 | Run shell commands and get output | Thực thi shell commands thông qua cmd.exe /c |
3 | Run PowerShell commands via a PS1 file and get output | Thực thi các câu lệnh Powershell được chỉ định trong file tại đường dẫn %TEMP%\<random_12_alnum_chars>.ps1. |
4 | Run PowerShell commands and get output | Thực thi powershell command powershell.exe |
5 | Run Lua code | Thực thi LUA code |
6 | Write file | Ghi nội dung và đường dẫn được chỉ định |
7 | Read file | Sử dụng file mapping thay vì ReadFile API |
8 | Get victim identification via WMI | Truy vấn thông tin nạn nhân thông qua WMI |
9 | No operation | N/A |
10 | Update state entry in third slot | |
11 | Set state content in first slot | |
12 | Set state content in second slot | |
13 | Create process and get output | arbitrary process |
14 | Zip specified path(s) | Tạo một kho lưu trữ ZIP với các tệp và thư mục được chỉ định. |
LunarMail backdoor
LunarMail có nhiều điểm tương đồng với LunarWeb, khác biệt chính nằm ở phương thức liên lạc – sử dụng email để giao tiếp với C2. Backdoor này được thiết kế để triển khai trên máy của người dùng, có cách thức đánh cắp dữ liệu gần giống với LightNeuron (backdoor khác của Turla sử dụng email cho quá trình giao tiếp với C2). Quá trình khởi tạo, backdoor giải mã một chuỗi biểu thức chính quy để tìm kiếm các email profile, với khóa RC4 E3 7C 9E B0 DF D1 46 48 B4 AE 8A 5F 2A A1 78 7B. Để có tương tác với Outlook, backdoor sẽ tự động phân giải các chứ năng trong Outlook Messaging API (MAPI), mỗi lần thực thi backdoor tạo một thư mục trong đường dẫn %TEMP%\{<random_guid>}, được sử dụng làm thư mục cho quá trình lưu dữ liệu để đánh cắp.
Ở lần thực thi đầu tiên, LunarMail thu thập thông tin về biến môi trường và thông tin toàn bộ các email, trong trường hợp phát sinh lỗi không thu thập được các thông tin trên, địa chỉ email có sẵn trên Outlook profiles sẽ được thu thập. Thực thi bên trong Outlook, LunarMail backdoor sẽ giao tiếp với C2 server thông qua MAPI
Indicators of Compromise (IOCs)
File:
9CEC3972FA35C88DE87BD66950E18B3E0A6DF77C
DE83C2C3FE68CB1BF96173E9EE3EA6161DCFB24A
2ED792E39F7D56DE52BDF4AED96AFC898478BFDF
F09E36553E48EBD42E60D9B25A390C0F57FF8DE0
795C4127D42FE8DFAF4510B406B52BA5BEDE8D3A
94A4CE9C75BC847E7BE59B96C4133D677D909414
00006B30806F915911349D82BEEB1AEB9025ADB4
19D86CF2ED82EAE23E019706FAE8DAFC60552E85
FCAE66F6D95C78DC829688CC0F4C39BB5A57828B
67C6AEC8D129E610378EF52F8BF934886587932F
754FB657156643FD09A68EC9FC124528578CAB0C
4C84110F1B10DF5FDD612759E210E44B0F0505EF
5D3975E57BDCB630A00FEBE5D405EEFB6D119D86
5EF771AFC96C24371D367448627609CFACB34A57
512E4FA7D6119270FF44A3B2A2359EE8825392EF
C2:
thedarktower[.]av[.]master[.]dns-cloud[.]net
45.33.24[.]145
45.79.93[.]87
82.165.158[.]86
82.223.55[.]220
139.162.23[.]113
161.97.74[.]237
176.57.150[.]252
212.57.35[.]174
212.57.35[.]176
74.50.80[.]35
158.220.102[.]80
65.109.179[.]67
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – May 2024
Trong tháng 05, Microsoft đã phát hành các bản vá cho 59 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; .NET Framework và Visual Studio; Microsoft Dynamics 365; Power BI; DHCP Server; Microsoft Edge (Chromium-based); và Windows Mobile Broadband. Trong đó có 1 lỗ hổng được đánh giá mức độ Nghiêm trọng, 57 lỗ hổng được đánh giá là Important và 1 lỗ hổng được đánh giá ở mức độ Moderate. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-30051– Cảnh báo lỗ hổng leo thang đặc quyền trên Windows DWM Core Library| Windows DWM Core Library Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trong Windows DWM Core Library. Khai thác thành công cho phép kẻ tấn công giành được quyền System trên hệ thống bị ảnh hưởng. Lỗ hổng được Microsoft ghi nhận đã được các nhóm tấn công lợi dụng khai thác.
Phiên bản ảnh hưởng:
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 for 32bit Systems
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64based Systems
Windows 10 Version 1809 for x64based Systems
Windows 10 Version 1809 for 32bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30051
3.1.2 CVE-2024-30044 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30044
3.1.3 CVE-2024-30043 – Cảnh báo lỗ hổng lộ lọt thông tin trên Microsoft SharePoint Server | Microsoft SharePoint Server Information Disclosure Vulnerability.
CVSS: 6.5/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công đọc các local file dưới quyền account user. Kẻ tấn công cũng có thể sử dụng kỹ thuật tấn công server-side request forgery (SSRF), từ đó thực hiện relaying NLTM dưới quyền service account SharePoint Farm. Khai thác thành công cho phép lộ lọt thông tin trong các tệp tin, phạm vi nội dung tệp có thể được truy cập phụ thuộc vào quyền của người dùng bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30043
3.1.4 CVE-2024-30033 – Cảnh báo lỗ hổng leo thang đặc quyền trên Windows Search Service | Windows Search Service Elevation of Privilege Vulnerability.
CVSS: 7.0/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trên Windows Search Service. Bằng cách tạo pseudo-symlink, kẻ tấn công có thể redirect một delete call để xóa một tệp hoặc thư mục dưới quyền system. Việc xóa được thực hiện khi service khởi động lại, từ đó kích hoạt thành công lỗ hổng, dẫn đến kẻ tấn công giành được đặc quyền SYSTEM.
Phiên bản ảnh hưởng:
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30033
3.1.5 CVE-2024-30050 – Cảnh báo lỗ hổng vượt qua cơ chế bảo mật trong Windows Mark | Windows Mark of the Web Security Feature Bypass Vulnerability.
CVSS: 5.4/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua cơ chế bảo mật, bằng cách tạo tệp tin độc hại nhằm vượt qua các biện pháp bảo vệ của Mark of the Web (MOTW). Khai thác lỗ hổng yêu cầu người dùng tải xuống và mở tệp dẫn đến kẻ tấn công can thiệp vào chức năng của Mark of the Web.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64based Systems Service Pack 1
Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64based Systems Service Pack 2
Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 for 32bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30050
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024-21793 – BIG-IP Next Central Manager OData Injection vulnerability
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi các OData query độc hại thông qua BIG-IP Next Central Manager API. Khai thác thành công cho phép kẻ tấn công thu được các thông tin nhạy cảm của hệ thống như password hash của administrator. Việc khai thác lỗ hổng yêu cầu hệ thống được cấu hình Lightweight Directory Access Protocol (LDAP) để xác thực người dùng.
Phiên bản ảnh hưởng:
BIG-IP Next Central Manager phiên bản 20.0.1 – 20.1.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://my.f5.com/manage/s/article/K000138732
3.2.2 CVE-2024-26026 – BIG-IP Next Central Manager SQL Injection vulnerability.
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh SQL độc hại thông qua BIG-IP Next Central Manager API. Khai thác thành công cho phép kẻ tấn công thu được các thông tin nhạy cảm của hệ thống như password hash của administrator. Lưu ý: Tất cả các cấu hình thiết bị đều dễ bị ảnh hưởng bởi lỗ hổng này.
Phiên bản ảnh hưởng:
BIG-IP Next Central Manager phiên bản 20.0.1 – 20.1.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://my.f5.com/manage/s/article/K000138733
3.2.3 CVE-2024-4671 – Use after free in Visuals Google Chrome Vulnerability
CVSS:
Mô tả: Tồn tại lỗ hổng use-after-free trên Google Chrome cho phép kẻ tấn công từ xa khai thác heap corruption thông qua trang HTML được chèn mã độc hại.
Phiên bản ảnh hưởng:
Google Chorme phiên bản < 124.0.6367.201
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-4671
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html
3.2.4 CVE-2024-22120 – Time Based SQL Injection in Zabbix Server Audit Log
CVSS: 9.1/10
Mô tả: Tồn tại lỗ hổng Time Based SQL trong Zabbix (công cụ mã nguồn mở hỗ trợ giám sát các dịch vụ mạng và tài nguyên), khai thác thành công cho phép kẻ tấn công leo thang đặc quyền từ user lên admin. Trong một số trường hợp lỗ hổng cho phép kẻ tấn công thực thi mã từ xa.
Phiên bản ảnh hưởng:
Phiên bản 6.0.0 – 6.0.27
Phiên bản 6.4.0 – 6.4.12
Phiên bản 7.0.0alpha1 – 7.0.0beta1
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.zabbix.com/security_advisories
3.2.5 CVE-2024-21683 – Remote Code Execution in Confluence Data Center and Server
CVSS: 8.3/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi các đoạn mã tùy ý, khai thác lỗ hổng yêu cầu xác thực và không cần tương tác từ người dùng.
Phiên bản ảnh hưởng:
Data Center
Phiên bản 8.9.0
Phiên bản từ 8.8.0 đến 8.8.1
Phiên bản từ 8.7.0 đến 8.7.2
Phiên bản từ 8.6.0 đến 8.6.2
Phiên bản từ 8.5.0 đến 8.5.8 LTS
Phiên bản từ 8.4.0 đến 8.4.5
Phiên bản từ 8.3.0 đến 8.3.4
Phiên bản từ 8.2.0 đến 8.2.3
Phiên bản từ 8.1.0 đến 8.1.4
Phiên bản từ 8.0.0 đến 8.0.4
Phiên bản từ 7.20.0 đến 7.20.3
Phiên bản từ 7.19.0 đến 7.19.21 LTS
Phiên bản từ 7.18.0 đến 7.18.3
Phiên bản từ 7.17.0 đến 7.17.5
Server
Phiên bản từ 8.5.0 đến 8.5.8 LTS
Phiên bản từ 8.4.0 đến 8.4.5
Phiên bản từ 8.3.0 đến 8.3.4
Phiên bản từ 8.2.0 đến 8.2.3
Phiên bản từ 8.1.0 đến 8.1.4
Phiên bản từ 8.0.0 đến 8.0.4
Phiên bản từ 7.20.0 đến 7.20.3
Phiên bản từ 7.19.0 đến 7.19.21 LTS
Phiên bản từ 7.18.0 đến 7.18.3
Phiên bản từ 7.17.0 đến 7.17.5
Lưu ý: Các phiên bản trước các phiên bản liệt kê đều bị ảnh hưởng bởi lỗ hổng.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://jira.atlassian.com/browse/CONFSERVER-95832#/