THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 6 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Mustang Panda nhắm mục tiêu vào Việt Nam trong hoạt động gián điệp mạng

Tháng 9/2023, trong quá trình thu thập thông tin trên không gian mạng, chúng tôi ghi nhận và phát hiện tệp tin định dạng nén lợi dung lỗ hổng CVE-2023-38831 trên Winrar để khai thác nhằm tải xuống mã độc trên máy nạn nhân, báo cáo chi tiết đã được chúng tôi mô tả trong thông tin mô tả bảo mật hàng tháng. Dựa trên việc phân tích, chúng tôi thu được thông tin máy chủ lưu trữ các tệp tin độc hại, tuy nhiên do chưa xác định hay liên kết được với nhóm tấn công nào đã biết, chúng tôi tiếp tục theo dõi các hoạt động của nhóm tấn công này. Gần đây, Cyble có xuất bản một bài báo cáo mô tả về việc phát hiện chiến dịch tấn công được cho là Mustang Panda, nhắm tới 2 lĩnh vực tài chính thuế và giáo dục tại Việt Nam. Chúng tôi nhận thấy sự trùng lặp về cơ sở hạ tầng, cách thức tấn công, một số tệp tin được nhóm tấn công sử dụng trong báo cáo mô tả của Cyble.

Chiến dịch 1:

Nhóm nghiên cứu ghi nhận chiến dịch tấn công vào tháng 05/2023 sử dụng tệp LNK độc hại có tên “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.pdf.lnk”. Chúng tôi cũng ghi nhận tệp tin này được upload trên VirusTotal từ 29/05/2024. Tệp tin giả mạo tài liệu PDF, nhằm thực hiện tải xuống tệp tin đã được cấu hình lưu trữ tại đường dẫn “hxxp[:]// mega[.]vlvlvlvl[.]site/Vanban_8647[.]PDF_update[.]hta” thông qua tiện ích có sẵn trong Windows forfiles và powershell.

Vanban_8647[.]PDF_update[.]hta là Obfuscate VBScript, sau khi giải mã thu được script powershell nhằm tải xuống tệp tin powershell mới có tên Vanban_8647.PDF.ps1

Vanban_8647.PDF.ps1 có nhiệm vụ: tải xuống 3 tệp tin  “HP.exe” , DLL độc hại HPCustPartUI.dll trong “%APPDATA%\HPCustPartic” và “Vanban_8647.PDF.hta” trong C:\Users\Public\. HP.exe khi thực thi sẽ load DLL độc hại HPCustPartUI.dll đồng thời script powershell sẽ thực thi Vanban_8647.PDF.hta

Vanban_8647.PDF.hta được thực thi sẽ trích xuất giá trị định dạng hex và lưu dưới tên Vanban_8647.PDF tại đường dẫn “C:\Users\<user>\AppData\Roaming\MicrosoftCooperation\” nội dung trong file “Vanban_8647.PDF” được kẻ tấn công sử dụng liên quan đến việc quyết định của Cục Thuế TP Hà Nội

Sau khi DLL độc hại HPCustPartUI.dll được thực thi, mã độc sẽ tạo mutex 90ace125-2ec6-4e55-ac63-a4e97820094eA và thiết lập persistence thông qua registry, tải xuống file có tên tempdata.dat từ địa chỉ “payment[.]tripadviso[.]online”, load và thực thi trong bộ nhớ

tempdata.dat được giải mã và chuyển luồng thực thi tới payload mới này. Payload thực hiện lấy thông tin nạn nhân, mã hóa RC4 và encoded base64 và gửi lại về địa chỉ C2 back[.]vlvlvlvl[.]site

Chiến dịch 2:

Một chiến dịch khác liên lạc với cùng một máy chủ C2 được sử dụng trong chiến dịch trên. Kẻ tấn công sử dụng file zip “huongdan memay.zip” bên trong tệp nén là “huongdan_dangky_phuluc_so_2.docx.lnk”. Tương tư như chiến dịch trên, sử dụng tệp tin LNK và giả mạo tài liệu Word.

Khi người dùng mở tệp tin LNK, tệp tin thực hiện:

  • Tải xuống một tệp tài liệu hợp pháp có tên “huongdan_en.docx” từ C2 vibm[.]vn, lưu vào thư mục “C:\Users\Public\” rồi khởi chạy để lừa người dùng.
  • Tải xuống tập tin PowerShell có tên “init.txt” và thực thi

Với nội dung tài liệu mà nhóm công sử dụng, mục tiêu của nhóm nhắm tới lĩnh vực giáo dục tại Việt Nam.

Init.txt là powershell script, có nhiệm vụ tải xuống thêm các tệp tin độc hại khác. Cách thức code trong init.txt giống và có sự trùng lặp như chúng tôi đã đề cập về các mẫu mã độc mà chúng tôi ghi nhận từ cuối tháng 08/2023. Như các thông tin của nạn thân được gửi tới hxxp://megacybernews[.]com/checkin.php thông qua POST request:

  • System Information
  • Adaptor Information
  • Network Information
  • Network Information
  • Task List
  • User Account Information
  • Username
  • Domain Admins
  • Desktop Information
  • Antivirus Prodects

MITRE ATT&CK

Tactics Techniques Procedure
Execution (TA0002) Command and Scripting Interpreter (T1059) VBScript and PowerShell scripts are executed
Execution (TA0002) User Execution (T1204) User may execute malicious files
Persistence (TA0003) DLL Side-Loading (T1073) Malicious DLLs are sideloaded by legitimate applications
Persistence (TA0003) Boot or Logon Autostart Execution (T1547) Files are dropped at Startup Folders
Persistence (TA0003) Registry Run Keys / Startup Folder (T1060) Autorun registry entry added
Defense Evasion (TA0005) Masquerading (T1036) Double extension is used for masquerading
Defense Evasion (TA0005) Obfuscated Files or Information (T1027) Obfuscated PowerShell and VBScript are used
Discovery (TA0007) System Information Discovery (T1082) System information is exfiltrated and sent to a remote server
Discovery (TA0007) Account Discovery (T1087) User accounts are checked in the system
Discovery (TA0007) Security Software Discovery  (T1518.001) Querying Antivirus Products
Collection (TA0009) Data from Local System (T1005) Crucial data form system is exfiltrated
Exfiltration (TA0010) Exfiltration Over Command-and-Control Channel (T1041) Data is sent to remote system over C&C

 

Indicators  of Compromise

File:

47eb43acdd342d3975000f650cf656d9f0f759780d85f16d806d6b9a70f1be46

9375b508e981ed792742f1f3b831ea6647191c261e0d3cd61e60645251ba7df7 

cd10f98c2dbcc0c8fe3f0ed19efb1b2340f67b1138a55b0bb8d1e3dfb985df51 

bce44453835ce96e49046ff618749a9533c290504c3d7559b3a63969b9f3ef1

57ba7d5093ec54b0223e6a826f6cb5e019a353963ddbac8420036f7374b28f62 

96cf65bb1ac9735c6a1100944d0f46343bb74f3a3c05bc6282271184b872198e 

fe721743a87c2f2767c031ccac337c1fb1ae5e92384738dd90c65d3b1617a341 

0ea669d3ef2ae00f25ccb4fef4805c6fd7f9816c37afb8957b3d4ace065e1d95  

4c805f281923ffc2214f4fe48f31ea392b13b710969a18ad6b6b561744cd3875 

968b3de170038522deae02b9b96c45cfc6a5c70fa0ddfaf29320d0d0d36aabfa

URL: 

hxxp://mega[.]vlvlvlvl[.]site/ Vanban_8647.PDF_update.hta    

hxxp://mega[.]vlvlvlvl[.]site/HP.exe          

hxxp://mega[.]vlvlvlvl[.]site/HPCustPartUI.dll    

hxxp://mega[.]vlvlvlvl[.]site/Vanban_8647.PDF.ps1      

hxxp://payment[.]tripadviso[.]online/tempdata.dat          

hxxp://vibm[.]vn/init.txt      

hxxp://megacybernews[.]com/newrun.ps1            

hxxp://megacybernews[.]com/getdata.ps1            

hxxp://megacybernews[.]com/stage2.2.ps1          

hxxp://megacybernews[.]com/checkin.php           

hxxp://megacybernews[.]com/book.dll     

hxxp://megacybernews[.]com/unikey.exe             

hxxp://megacybernews[.]com/wwlib.dll  

C&C:

mega.vlvlvlvl[.]site               

payment.tripadviso[.]online            

vibm[.]vn        

megacybernews[.]com

1.2      Chiến dịch do nhà nước Trung Quốc hậu thuẫn nhắm vào khu vực Đông Nam Á

Vào tháng 5 năm 2023, các nhà nghiên cứu phát hiện ra một chiến dịch do nhà nước Trung Quốc hậu thuẫn nhắm vào tổ chức chính phủ cấp cao khu vực Đông Nam Á với mục đích gián điệp, được đặt tên là Crimson Palace. Mục tiêu của chiến dịch là duy trì quyền truy cập vào hệ thống CNTT quan trọng, thu thập thông tin về lĩnh vực quân sự và kỹ thuật, triển khai nhiều loại mã độc nhằm thiết lập và duy trì C&C nhằm hỗ trợ cho lợi ích của Trung Quốc. Nhóm nghiên cứu cũng ghi nhận các nhóm tấn công thu thập các tài liệu có tên tệp tin liên quan đến chiến lược ở Biển Đông.

Chiến dịch sử dụng phần mềm độc hại chưa từng thấy bao gồm CCoreDoor  và PocoProxy, biến thể mới của phần mềm độc hại EAGERBEE , NUPAKAGE, Merlin C2 Agent, Cobalt Strike, backdoor PhantomNet, RUDEBIRD và backdoor PowHeartBeat. Ngoài ra, kẻ tấn công sử dụng DLL side-loading và các kỹ thuật Defense Evasion mới như overwriting ntdll.dll trong bộ nhớ.

Crimson Palace bao gồm 3 clusters

  • Cluster Alpha (03/2023 – 08/2023): Sử dụng kỹ thuật sideloading để triển khai nhiều phần mềm độc hại khác nhau, thiết lập C2 để kiểm soát máy nạn nhân. Sử dụng kỹ thuật nhằm vô hiệu hóa AV protection và leo thang đặc quyền. Ngoài ra, tập trung vào việc thu thập thông tin, liệt kê tài khoản quản trị viên và tiến hành reconnaissance cơ sở hạ tầng Active Directory. Tương đồng với một số tác nhân được theo dõi như BackdoorDiplomacy , REF5961 , Worok và TA428
  • Cluster Bravo (03/2023): sử dụng tài khoản hợp lệ để lateral movement và drop EtherealGh0st. Một số điểm tương đồng với Unfading Sea Haze
  • Cluster Charlie (03/2023 – 04/2024): sử dụng PocoProxy để thiết lập persistence trên hệ thống bị ảnh hưởng, triển khai HUI Loader để nhúng Cobalt Strike Beacon vào exe. Cluster Charlie có một số điểm trùng lặp với Earth Longzhi – một nhóm trong APT41

Indicators of Compromise

Cluster Alpha

SHA256

110c5eec940f3abb8b3a671cd292bc9ef65772168325a7949290e9828353824a sslwnd64.exe (PhantomNet)
e9cb02690d987de8d392d0e24b3ccbb294c751dff73962135913c7ec0d8a8064 sslwnd64.exe (PhantomNet)
c1abc254d231574044ffe7bdd030be04618916f255396197f1151bfec98c04b6 nethood.exe (PhantomNet)
e8cd237ac43fa0505d858ac8eb800020eeca104a1cd931d3b6d0ef656ee5393d oci.dll (PhantomNet)
173bb620ed2eee6b356e128da88e173eb1b69253ecd616f8f984087688c089fd X64.dll (PhantomNet, renamed to oci.dll)
c06065d3de3bfb37168a5d94baf1c675f831a201937ef774a36c2ea2bf6fc49e

 

wlbsctrl.dll (EAGERBEE)
b05b92fd84cc3e3bd6378cadbe9b8b2cb926c42383e6194be1df44d1b9202fc1

 

TSVIPSrv.dll (EAGERBEE)
951c7f8fdb6cfc8b362615ab1eec4a07dc8fccfd3a7ecda8255908a93b6a1f21 TSVIPSrv.dll (EAGERBEE)
01544aeb502163c4fb7bac483430059183ce3d11aee78cd4a6c7074c5289540e

 

C:\ProgramData\Microsoft\DeviceSync\jli.dll (EAGERBEE)
47c4a62fe75aa62906f0b110668e17947e905a33759100de21b987879b47183b C:\ProgramData\Microsoft\Vault\vmnat.dll (Merlin)
7ed44a0e548ba9a3adc1eb4fbf49e773bd9c932f95efc13a092af5bed30d3595 pc2msupp.dll (Malicious DLL sideloaded by MOBPOPUP.exe)
f499f8d9584e5f4474b19324b807a38fec1c1d38d5df2ff4c1e16798311bc25b MSI64.exe (RUDEBIRD)
68ee8c2209641a6796e06caa115effcb89f722a5737210b5bebb87a36e5141a8

 

ba0oddof.dll (CSC compilation artifact from 1.ps1 execution)
9404f51ccaf4165e6add08344f04b90ae79a045814d6b1de6b6c1e30981faa78 SophosUD.exe (PowHeartBeat)
0e010a36ff24299592569f7c3fc01c597e158996d94b66eb3bbf757742663e76 SophosUD.exe (PowHeartBeat)
1b97afb3310b3af944f74c2d715c110cec32ec536c0a9837b8c88df3438b2a63 SophosUD2.exe (PowHeartBeat)
2a662b58f1dd229e7dba923a4d123658e3c10c0cfcec03748fbe577db81db34d SensAPI.dll (Malicious DLL sideloaded by ph.exe)
bbc0fe549a9e902528a125abd13b1f7c53746416d9c9bb91f88877f37a4ce11c C:\ProgramData\Microsoft\Windows\svcchost.dll (Malicious DLL sideloaded by renamed vmnat.exe, svcchost.exe)

 

Domain

cloud.keepasses.com Merlin C2
scancenter.trendrealtime.com RUDEBIRD C2
associate.feedfoodconcerning.info PhantomNet C2
associate.freeonlinelearningtech.com PhantomNet C2
msudapis.info PowHeartBeat C2
associate.freeonlinelearning.com EAGERBEE C2

IP

89.44.197.74 Merlin C2
185.195.237.123 RUDEBIRD C2; EAGERBEE C2
195.123.247.50 RUDEBIRD C2
172.67.130.71 PhantomNet C2
45.90.58.103 PhantomNet C2; RUDEBIRD C2
185.195.237.121 PhantomNet C2
104.21.3.57 PhantomNet C2
185.82.217.164 PhantomNet C2
195.123.245.79 PhantomNet C2
154.39.137.29 PowHeartBeat C2
147.139.47.141 PowHeartBeat C2
185.167.116.30 PhantomNet C2; EAGERBEE C2
91.220.202.143 EAGERBEE C2
139.162.18.97 dllhost.exe

Cluster Bravo

SHA256

92e2dafb6d91ac7bc725e680d53cfbfcc854033d14f6e4807fd0169c605324d2 3.ps1 (PowerShell script)
DCC938AF8FB2964A1F35ADFB221DE76FFC0BD0CCAAC91455B3638FD4DC33E8C0 EvtxParser.exe (EVTX dump)
0c3baa012cdb518982ec4ae954b395f3d6b9544ead8e050370219fa584f74f3c 2.vbs (VBS script)
c679a2453697c51776b8a64d59fb8bf4172906e9a4f91b3872774bd05378d28c r.vbs (VBS script)
edd0c859424ab953a92ef20cfc8b938f469253122485915d6de80d314b18b08f mscorsvc.dll (CCoreDoor)
55277d86c0707459500dbb16915665ae611d3a4e4597d51599ea8b8fe6f85f29 mscorsvc.dll (CCoreDoor)
a70e8317a608dd6ea0ad8564b089a153a7e3ab7ef763899d3d806141e820148e ntpsapi.dll (signed, benign, ntdll.dll used for EDR unhooking)

 Domain

message.ooguy.com

IP

146.190.93.250

Cluster Charlie

SHA256

ad346007f28c4b6d409c95f55e750e249db4b168cd7061baa128f826df948e10 443.txt (PocoProxy)
1ad26a31c5387055610e053dbab8355e1371f89dfa37526f7a3341122526b719 4413.txt (PocoProxy)
91f40e8659da3dbbb22497b317aa37f26403be86662e359ecddcb4a0c72e154c chrome.log (PocoProxy)
7d6209036d370dbce7a0657f35dedeaa59c15fcfb4d696b9ebdd0fcc773dad50 a8.txt (PocoProxy)
34294ff52899a63f2dc02e5a8f1488343afdb9702437d409a0869317ccfb4243 s.dat (Malicious file)
5f3fd50715aabf43cc6edb5f38026a3baa37a7fd7a17ae232fc65e186c83befb msedge_elf.dll (HUI Loader)
4fcbc598c5699ea48a1edd8dda065eab210f09ad900ab167cb5abdf9841dd2b7 hideschtasks.exe (Custom binary; remotely creates scheduled tasks)
755b14ad83da2f2eff8ef8bf83ed74c6d96f6b3b3fde95d4c13d8cb75d861631 log.ini (Masquerading DLL generating C2)
44e0c61f70f44e3a35ecde9b49a623973727d3aa68922ef4e1ff8dfc74795582 11.log (LSASS credential interceptor)
a1a8adae91daa96deb01326c702fec388d0fa983f299de3f1bdb8a277df64423 1.dat (Cobalt Strike)
3a85c36fff48b223f6edd722bc1603a1fd9b00d3e4d46a88151c4b1b696d90d1 sssa.exe (Malicious file)
62c9b97a849f40f4b5b167b96a54fa1ef03624ac8f2972b641af8ca5d00b5db0 McPvNs.dll (Malicious DLL sideloaded by McPvTray.exe)
c1d818f18c7160807d9031e024fcc6429476d6455221e3aa988c6245269fbcc8 rsndispot.sys , EDR evasion
ea8c8f834523886b07d87e85e24f124391d69a738814a0f7c31132b6b712ed65 rspot.sys, EDR evasion

IP

PocoProxy C2

198.13.47.158

64.176.50.42

158.247.241.188

139.180.217.105

Cobalt Strike C2

45.130.229.181

185.201.8.187

Filename      

PocoProxy

aaaa.txt

Domain

 PocoProxy C2

www.googlespeedtest33.com

1.3      Chiến dịch do APT Trung Quốc thực hiện nhắm đến lĩnh vực chính trị khu vực Châu Á

Các nhà nghiên cứu của Unit42 cho biết một nhóm APT đến từ Trung Quốc đang thực hiện chiến dịch nhắm đến lĩnh vực chính trị, hoạt động quân sự khu vực Trung Đông, Châu Á và Châu Phi hoạt đông ít nhất từ 2022, được đặt tên là “Operation Diplomatic Specter”. Kẻ tấn công thực hiện các hoạt động gián điệp chống lại ít nhất 7 tổ chức chính phủ, thu thập thông tin tình báo quy mô lớn, sử dụng kỹ thuật mới nhằm đánh cắp thông tin xác thực và email Exchange.

Chiến dịch với mục đích thu thập các thông tin nhạy cảm về lĩnh vực địa chính trị như:

  • Nhiệm vụ ngoại giao và kinh tế
  • Đại sứ quán
  • Hoạt động quân sự
  • Các cuộc họp chính trị
  • Bộ của các nước mục tiêu
  • Quan chức cấp cao

Kẻ đe dọa có thể lấy toàn bộ hộp thư đến của cơ quan ngoại giao hay cá nhân cụ thể. Các nhà nghiên cứu quan sát thấy kẻ tấn công tìm kiếm các chủ đề dưới đây:

  • Thông tin địa chính trị và kinh tế liên quan đến Trung Quốc
  • OPEC và ngành năng lượng
  • Bộ Ngoại giao và các đại sứ quán trên toàn thế giới
  • Bộ Quốc phòng
  • Quân sự (hoạt động, diễn tập, mật mã, đơn vị quân đội và nhân sự)
  • Mối quan hệ của các quốc gia mục tiêu với chính quyền Biden
  • Nhân vật chính trị trong nước và quốc tế
  • Thông tin địa chính trị và kinh tế
  • Công nghệ viễn thông được các đối tượng mục tiêu sử dụng

Chuỗi tấn công có liên quan đến backdoor TunnelSpecter và SweetSpecter – biến thể của Gh0st RAT. Cả 2 loại backdoor cho phép kẻ tấn công duy trì quyền truy cập vào mạng mục tiêu, thực thi các lệnh tùy ý, lọc dữ liệu và triển khai mã độc cũng như các tool trên các máy chủ bị ảnh hưởng. Ngoài ra, kẻ tấn công sử dụng cách khai thác lỗ hổng trên máy chủ Exchange (ProxyLogon CVE-2021-26855 và ProxyShell CVE-2021-34473) để có quyền truy cập ban đầu vào hệ thống.

Theo phân tích, mối liên hệ của Trung Quốc và chiến dịch Operation Diplomatic Specter dựa trên:

  • Chiến dịch này hoạt động xuất phát từ việc sử dụng cơ sở hạ tầng của các nhóm APT Trung Quốc, được sử dụng bởi các nhóm tấn công như Iron Taurus (hay APT27), Starchy Taurus (hay Winnti) và Stately Taurus (hay Mustang Panda).
  • Dựa trên khung thời gian hoạt động từ 09:00-17:00 giờ làm việc tương ứng với một số nước Châu Á bao gồm Trung Quốc. Trước đây, nhiều tác nhân đe dọa Trung Quốc đã được quan sát có hoạt động trong khung thời gian này.
  • Ngoài ra, dựa theo comment và debug trong một số tools và file được kẻ tấn công drop cho thấy ngôn ngữ được sử dụng là tiếng Quan Thoại.
  • Các công cụ và mã độc được sử dụng phổ biến của các tác nhân Trung Quốc như: Customized Gh0st RAT samples, PlugX, Htran, China Chopper.

Indicators of Compromise

Malware

TunnelSpecter

Loader

0e0b5c5c5d569e2ac8b70ace920c9f483f8d25aae7769583a721b202bcc0778f

Encrypted payload

62dec3fd2cdbc1374ec102d027f09423aa2affe1fb40ca05bf742f249ad7eb51

Decrypted payload

22d556db39bde212e6dbaa154e9bcf57527e7f51fa2f8f7a60f6d7109b94048e

Mutex

“blogs.bing.com”

SweetSpecter

Loader

0b980e7a5dd5df0d6f07aabd6e7e9fc2e3c9e156ef8c0a62a0e20cd23c333373

Encrypted payload

8198c8b5eaf43b726594df62127bcb1a4e0e46cf5cb9fa170b8d4ac2a4dad179

Decrypted payload

0f72e9eb5201b984d8926887694111ed09f28c87261df7aab663f5dc493e215f

Gh0st RAT

d5a44380e4f7c1096b1dddb6366713aa8ecb76ef36f19079087fc76567588977

Infrastructure

Domains

home.microsoft-ns1[.]com

cloud.microsoft-ns1[.]com

static.microsoft-ns1[.]com

api.microsoft-ns1[.]com

update.microsoft-ns1[.]com

labour.govu[.]ml

govm[.]tk

IPs

103.108.192[.]238

103.149.90[.]235

192.225.226[.]217

194.14.217[.]34

103.108.67[.]153

2        Malware

2.1       Noodle RAT – Backdoor được sử dụng bởi các nhóm tấn công Trung Quốc

Từ 2022, TrendMicro xác định được số lượng lớn các cuộc tấn công vào khu vực Châu Á – Thái Bình Dương sử dụng cùng một loại backdoor. Hầu hết các báo cáo đều ghi nhận các backdoor này là các biến thể từ Gh0st RAT hoặc Rekoobe, tuy nhiên TrendMicro phân tích và xác định các backdoor này có thể là các loại mã độc mới chưa có các báo cáo nào từng ghi nhận, tạm gọi tên là “Noodle RAT”.

Noodle RAT, backdoor hỗ trợ cả hai phiên bản Windows và Linux. Được sử dụng và chia sẻ cho cả hoạt động gián điệp và tội phạm mạng nhắm mục tiêu tới nhiều quốc gia thuộc khu vực Châu Á. Timeline dưới đây mô tả các phiên bản của backdoor này, gắn với các cuộc tấn công đã ghi nhận trên cả 2 phiên bản Windows và Linux

Win.NOODLERAT

Backdoor dưới dạng shellcode được load bộ nhớ, được ghi nhận sử dụng bởi các nhóm Iron Tiger, Calypso APT và một số nhóm tấn công khác chưa xác định với mục đích gián điệp mạng. Backdoor tích hợp một số tính năng:

  • Download và upload files
  • Thực thi các module khác trong bộ nhớ
  • Proxy TCP

Để shellcode được triển khai, mã độc cần thêm loader để thực hiện công việc này, 2 loader được sử dụng là MULTIDROP và MICROLOAD. MICROLOAD được ghi nhận trong chiến dịch tấn công vào Ấn Độ, được load bởi Oleview.exe. Giải mã payload đã mã hóa trong HKCR\Microsoft.System.UpdateColl\UpdateAgent bằng thuật toán RC4 và load shellcode vào svchost.exe. Backdoor giao tiếp với máy chủ C&C thông qua các giao thức được hỗ trợ bao gồm CP, SSL, và HTTP. Các giao tiếp được mã hóa bằng thuật toán RC4 và thuật toán custom sử dụng toán tử XOR và AND. Gói tin mã hóa sẽ gồm 2 phần: header và payload

Header sẽ được mã hóa lần lượt bằng việc:

  • Khởi tạo các trường cmd_id, payload_len, and const_val trong section header.
  • Khởi tạo 3 giá trị ngẫu nhiên kiểu DWORD.
  • Khởi tạo một phần của khóa RC4
  • Encoded giá trị được tạo ở bước 3 với thuật toán XOR, khóa được cấu hình trong binary
  • Chuyển đổi giá trị ở bước 3 và 4 sang định dạng hex và nối các giá trị này với nhau
  • Mã hóa 24bytes đầu tiên của header với khóa được tạo ở bước 5.

Payload được mã hóa theo các bước sau:

  • Sao chép giá trị DWORD header section (cmd_id filed và cont_val field)
  • Mã hóa giá trị này bằng thuật toán XOR và AND
  • Chuyển đổi giá trị ở bước trước đó sang định dạng hex
  • Mã hóa dữ liệu trong payload với thuật toán RC4, key mã hóa được tạo ở bước 3

Backdoor sử dụng nhiều dạng command ID khác nhau, được phân thành 2 loại chính: 0x03A2 và 0x132A

Actions Type 0x03A2 Type 0x132A
Major-ID Sub-ID Major-ID Sub-ID
Successfully authorized 0x03A2 0x132A
Message of the end of command 0x0AC3 0x1AC3
Initialize module metadata 0x194C 0x294C
Receive module data 0x1AF2 0x2AC8
Launch module without pipe 0x1397 0x230E
Delete module metadata 0x1D50 0x2D06
Upload a file to C&C server 0x390A 0x35C3 & 0x35C4 & 0x3013 0x590A 0x55C3 & 0x55C4 & 0x5013
List directories recursively 0x390A 0x35C5 0x590A 0x55C5
Download a file from C&C server 0x390A 0x35C7 & 0x35C8 & 0x35C9 & 0x3013 0x590A 0x55C7 & 0x55C8 & 0x55C9 & 0x5013
Write given data to pipe 0x2099 0x2186 0x3099 0x3167
Write 0x32E0 to pipe 0x2099 0x220E 0x3099 0x32E0
Write 0x38AF to pipe 0x2099 0x28FA 0x3099 0x38AF
Send module data to another module 0x2099 0x2741 0x3099 0x3716
Same as 0x3099 0x2099 0x2A0B 0x3099 0x3A0B
Start TCP server to proxy packets to the C&C server 0x2099 0x2CBD 0x3099 0x3CD0
Delete itself N/A   0x1C1C

Linux.NOODLERAT

Backdoor được sử dụng bởi nhiều nhóm tấn công với nhiều mục đích khác nhau, điển hình như Rocke nhằm lợi ích tài chính. Các tính năng của backdoor như sau:

  • Revershell
  • Down và upload files
  • Tạo schedule task để thực thi các tệp tin
  • SOCKS tunneling

Trong hầu hết các trường hợp ghi nhận, backdoor được triển khai thông qua việc khai thác các lỗ hổng với các ứng dụng có public ra internet. Sau khi triển khai, mã độc tự sao chép chính mình tới đường dẫn /tmp/CCCCCCCC. Giải mã cấu hình bằng thuật toán RC4 với khóa “r0st@#$ “ được config trong binary. Mã độc sẽ tạo kết nối tới máy chủ C&C dựa theo các cấu hình đã được giải mã

Mã độc giao tiếp với máy chủ C&C thông qua giao thức HTTP và TCP. Quá trình giao tiếp, mã độc sẽ sử dụng 2 thuật toán khác nhau cho từng thành phần, việc xử lý lệnh sẽ sử dụng thuật toán RC4 và XOR+AND (tương tự như cách triển khai trong phiên bản Windows, khác nhau về khóa), trong khi revershell sẽ sử dụng thuật toán HMAC_SHA1 và AES128 mode CBC. Với revershell, backdoor nhận 40bytes từ C&C, chia thành 2 block, mỗi black 20bytes. Mỗi block sẽ được kết hợp cùng chuỗi được config trong binary và tính toàn thông qua hàm băm SHA1. Cặp HMAC_SHA1 được sử dụng làm khóa AES và giá trị vector khởi tạo IV trong quá trình mã hóa/giải mã. Backdoor nhận thêm 16bytes và giải mã với key AES đã được tạo trước đó, đồng thời sẽ xác minh quá trình giải mã.

Với các lệnh điều khiển, backdoor phiên bản Linux cũng được chia làm 2 loại: 0x03A2 và 0x23F8

Actions Type 0x03A2 Type 0x23F8
Major-ID Sub-ID + arg (optional) Major-ID Sub-ID + arg (optional)
Successfully authorized 0x03A2 0x23F8
Start backdoor routine 0x2099 0x4799
Initiate reverse shell session 0x1 0x2186 0x1 0x5186
Show lists of files and directories in root dir 0x2 0x2186 + 0x1 0x2 0x5186 + 0x1
Show lists of files and directories in specific dir 0x2 0x2186 + 0x2 0x2 0x5186 + 0x2
Rename a file 0x2 0x2186 + 0x3 0x2 0x5186 + 0x3
Remove a file 0x2 0x2186 + 0x4 0x2 0x5186 + 0x4
Upload a file to the C&C server 0x3 0x35C3 & 0x35C4 & 0x3013 0x3 0x35C3 & 0x35C4 & 0x3013
List directories recursively 0x3 0x35C5 0x3 0x35C5
Download a file from the C&C server 0x3 0x35C7 & 0x35CB & 0x35CC & 0x3013 0x3 0x35C7 & 0x35CB & 0x35CC & 0x3013
Create a new directory 0x3 0x35C8 & 0x35C9 & 0x35CA & 0x35CD 0x3 0x35C8 & 0x35C9 & 0x35CA & 0x35CD
Initiate SOCKS tunneling 0x4 0x4
Initiate SOCKS tunneling 0x5 0x5
Show current datetime 0x6 0x2186 + 0x1 N/A 0x5186 + 0x1
Download a file as /usr/include/sdfwex.h or /tmp/.llock 0x6 0x2186 + 0x2 N/A 0x5186 + 0x2

Indicator of compromises (IoCs)

cf543c6d4fb03ebc0a00a8ebe89511af713817878351a2bccfc62a1cc4ac0b3f

cde4ca499282045eecd4fc15ac80a232294556a59b3c8c8a7a593e8333cfd3c7

479e3ef28d3c70b110ff993086e4518f4a5a6fb8285b530350ad2bcd6d0bb192

53338d643052bb2082f1370c21a21ff41ee1e6f43b3bd937519d7c9a491aeb13

c49371cd8dd33f725a780ea179e6281f5cb7f42e84a00836c8fe3350b7b9b2d0

a8db92a8f34caa5084a3fdb8a683a1854bff84612dfd25a965bc12a454a38556

678edc2ea9473b02a13e9fc7557f6c7172f0f00f4237e2da91a6766c53db1d3d

275d63587f3ac511d7cca5ff85af2914e74d8b68edd5a7a8a1609426d5b7f6a9

5cda94180b245de8421f226eb516d0aa1d3fd8167ebed4fa06070dd38344cec0

61f34459815eb403ec841246a4277d825dcd25700baad867b61ec3166d034825

67e60fca3d28dcae09b74ffd62f5efe462700b6d2b3334d519e4caac55820df0

3bff2c5bfc24fc99d925126ec6beb95d395a85bc736a395aaf4719c301cbbfd4

88b4904a582522d9a91fb4ad616adbd432c556b17427cfb177c8205f484792ba

bf5ea570bf4d18e60dd758a2461fbdf73a500dbd179e458aca81d65b5d9155e1

7440a7b56d3670d4204a57974fa76ae76ca78168bb181640f565976d192cc159

1e9add97a289de7f5679aceace7a3a39437a33254ac9c217d9a530e9369f60be

cac63e105d73d59c7f83779005ada0a4d3f7fb072cfc2c9590b64fe3896d2e3e

5b4c421edb3571dbc7d581596a9ac952e453394b30132dec8e390ec561cd4abb

3893f8a44a2d1fef45354984f3c6906ae8627c6f0c489f6f14e8da03197312ae

0153c9e22428f08597fe87cb8bd6664f6481e05bbf4e3d4174f44d2524446bdb

c4fb9757ed6db6ab2bd4253cb8a1542a590443654260f2b947c288d5717487d6

70b19172b743973a45f5d707d4eec4f8508d41aa684516f1fb8c75bec59d02bb

96231be4cc6cf256eebd828af4338588272ea478c609a7f16a03bdf1a61dd431

bf553e82119e2483d36eff51cf152861938c584749ebc005d4d612876277b787

7b07b722091d9658fe106448b6e1c6b7484d7b7d163ddeb19132174973b62759

b21f4039707eb4fc40ad1a7ed10be753ab3922c4a60bde819dcd74d44fef991d

4c4d51b377faebf61f95663765e622eb652866ab9cc7e9964a5d02f4dc0b53d3

b24e160843d96c6d75452d6f4e379b73a417fc821b26ca85d740ca0a499615ab

e5fb5a3b8663fbb2686caf88fdb3362115dc0f0bf9cc5d32d1e42c00aa6660b4

d17d964cacb063a6fe685d6e5e7dbc02c597de51b46c994f0aadb56c3bf96f13

ba45dfa8e6b86140e526959c8568824ddd743d418231440d48740e76a33610ea

1c2bbab6c496b66b108dc810649c19319655a2246f7fc6cf2a0911f5d73f2f3a

14f9a20356fc0e1806524057e8366d994831e3568cf438694a5c4d5463c25010

7e7bfe7e83867defa9280c8bce98cabcd0e6410cac7cc9a1baa88131b4a263b1

45b3d192ed79541a9711c16c7d73bd4d0a74598ecb7b56416f8754fb5d6feb56

53cebf50348e4507e92d23cfe3bbc87d6bf50e06962462d036542c37a50a23c1

a27d133f6a1bd72285f021403082dc8e47180fe56e88b274f474459088857603

4198efb00840f440d96987518bd80dbc90cde3023bc8c2b0aae456af07875405

abdbbc10467421b93fe1df6da0de70a4d454adcced1bfc6c1cebf1207fba93db

bcac1d42c39932fb20f571655cd1bbe507c3fddda63d4f0ea8986a3dd5265f41

68389b48c6f15b6da7f2d78c0864d6b9b9135f6ace3564d29b26f5dc9b5d6313

bf1b88385aebb37182421e967749f057fbefb4e4386bb47b5098abac7c70c476

1a9ff06ac18f57a6382fdae54bf8735a6ad7d9c9f1f9aa0dfff0e3e828f1820b

15f3536ac33588444cf6a632f17c74ee0ee8777d0d2166206222b4d5f66de715

ca2200ef6ce1abc37e5778b40e9b14031b81014560dae9c6a16fd7ba948c7656

bbcfc826f614433ff1b7c8031349cf5b411d868b07259eca9c19cd5af772b85e

6933a01980378c2160740e5cecaba29530555e3d65bd89ef80db49419a419f8d

5dac572374cb40561ea5dbc0dfc963d863f08862a0bd33fdac6ac8d0aa180ada

24a827336a1f942925fd57e763109e3a83b1a5762c077c1e80bd057bb1b15bad

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – June 2024

Trong tháng 06, Microsoft đã phát hành các bản vá cho 49 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; Dynamics Business Central; và Visual Studio. Trong đó có 1 lỗ hổng được đánh giá mức độ Nghiêm trọng, 48 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2024-30080 – Cảnh báo lỗ hổng thực thi mã từ xa trong Microsoft Message Queuing (MSMQ) | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thi mã từ xa với đặc quyền nâng cao của hệ thống đã kích hoạt MSMQ. Khai thác lỗ hổng yêu cầu kẻ tấn công  gửi mã độc hại tới máy chủ MSMQ.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080

3.1.2       CVE-2024-30103 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft Outlook | Microsoft Outlook Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Outlook. Khai thác lỗ hổng yêu cầu kẻ tấn công xác thực bằng thông tin người dùng Exchange hợp lệ. Khai thác lỗ hổng thành công, kẻ tấn công có thể vượt qua block list trong registry của Outlook từ đó tạo các tệp DLL độc hại.

Phiên bn nh hưởng:

Microsoft Outlook 2016 (64-bit edition)

Microsoft Outlook 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30103

3.1.3       CVE-2024-30078 – Cảnh báo lỗ hổng thực thi mã từ xa trong Windows Wi-Fi Driver | Windows Wi-Fi Driver Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trong Windows Wi-Fi Driver. Khai thác lỗ hổng yêu cầu kẻ tấn công nằm gần trong phạm vi hệ thống và nhận tín hiệu radio. Kẻ tấn công gửi networking packet độc hại đến hệ thống lân cận sử dụng Wi-Fi networking adapter (bộ chuyển đổi mạng Wi-Fi).

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078

3.1.4       CVE-2024-30100 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability.

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu tương tác từ người dùng thông qua kỹ nghệ xã hội.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30100

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2024-4577 – PHP CGI Argument Injection Vulnerability

CVSS: N/A

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi đoạn mã tùy ý trên hệ thống bị ảnh hưởng. Tại thời điểm hiện tại, ghi nhận lỗ hổng chỉ tồn tại ở các phiên bản cài đặt PHP trên môi trường Windows (sử dụng CGI mode), sử dụng một số ngôn ngữ cụ thể sau:

  • Traditional Chinese (Code Page 950)
  • Simplified Chinese (Code Page 936)
  • Japanese (Code Page 932)

Các ngôn ngữ khác như tiếng Anh, tiếng Hàn và Tây Âu cũng có thể bị ảnh hưởng bởi lỗ hổng.

Phiên bn nh hưởng:

Tất cả các phiên bản của PHP cài đặt trên hệ điều hành Windows

PHP 8.3 < 8.3.8

PHP 8.2 < 8.2.20

PHP 8.1 < 8.1.29

Khuyến nghị: Quý khách hàng nâng cấp lên phiên bản PHP mới nhất 8.3.8, 8.2.20 và 8.1.29. Ngoài ra, vì PHP CGI là một kiến ​​trúc tương đối cũ, quý khách hàng xem xét thực hiện chuyển đổi sang kiến ​​trúc an toàn hơn như Mod-PHP, FastCGI hoặc PHP-FPM.

https://www.php.net/downloads

3.2.2       CVE-2024-29849 – Authentication Bypass in Veeam Backup Enterprise Manager.

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực đăng nhập vào giao diện web Veeam Backup Enterprise Manager dưới tài khoản người dùng bất kì.

Phiên bn nh hưởng:

Veeam Backup & Replication | 5.0 | 6.1 | 6.5 | 7.0 | 8.0 | 9.0 | 9.5 | 10 | 11 | 12 | 12.1

Lưu ý: Môi trường chưa cài đặt Veeam Backup Enterprise Manager sẽ không bị ảnh hưởng bởi lỗ hổng

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.veeam.com/kb4581

3.2.3       CVE-2024-5027 – Citrix Workspace Privilege Escalation Vulnerability.

CVSS: 7.7/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền root. Khai thác lỗ hổng yêu cầu người dùng có quyền truy cập và sử dụng các thiết bị đã cài đặt CWA. Khi có thể tương tác với thiết bị, kẻ tấn công có thể lạm dụng lỗ hổng để leo thang lên đặc quyền root.

Phiên bn nh hưởng:

Phiên bản < 2402.10

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX675851/citrix-workspace-app-for-mac-security-bulletin-for-cve20245027

3.2.4       CVE-2024-37079/ CVE-2024- 37080 – VMware vCenter Server multiple heap-overflow vulnerabilities

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng heap-overflow trong giao thức DCERPC sử dụng trong vCenter Server, khai thác thành công cho phép kẻ tấn công với quyền truy cập mạng tới vCenter Server có thể thực thi các đoạn mã tùy ý.

Phiên bn nh hưởng:

vCenter Server 8.0, vCenter Server 7.0

Bộ sản phẩm cũng bị ảnh hưởng bởi lỗ hổng (Cloud Foundation (vCenter Server) 5.x và Cloud Foundation (vCenter Server) 4.x)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

3.2.5       CVE-2024-37081 – VMware vCenter multiple local privilege escalation vulnerabilities

CVSS: 7.8/10

Mô t: Tồn tại điểm yếu – misconfiguration của sudo trong vCenter Server, khai thác thành công cho phép kẻ tấn công leo thang đặc quyền lên đặc quyền root.

Phiên bn nh hưởng:

vCenter Server 8.0, vCenter Server 7.0

Bộ sản phẩm cũng bị ảnh hưởng bởi lỗ hổng (Cloud Foundation (vCenter Server) 5.x và Cloud Foundation (vCenter Server) 4.x)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453

3.2.6       CVE-2024-28999 – SolarWinds Platform Race Condition Vulnerability

CVSS: 6.4/10

Mô t: Tồn tại lỗ hổng Race Condition trong login API Module của SolarWinds do không có cơ chế đồng bộ hóa trong quá trình đăng nhập dẫn đến xử lý không đúng cách khi nhận nhiều request yêu cầu xác thực đăng nhập. Khai thác thành công cho phép kẻ tấn công không cần xác thực truy cập vào tài khoản người dùng, thu thập thông tin nhạy cảm hoặc thực hiện các hành vi độc hại khác.

Phiên bn nh hưởng:

SolarWinds Platform 2024.1 SR 1 và phiên bản trước

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28999

https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2024-2_release_notes.html