Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Mustang Panda nhắm mục tiêu vào Việt Nam trong hoạt động gián điệp mạng
Tháng 9/2023, trong quá trình thu thập thông tin trên không gian mạng, chúng tôi ghi nhận và phát hiện tệp tin định dạng nén lợi dung lỗ hổng CVE-2023-38831 trên Winrar để khai thác nhằm tải xuống mã độc trên máy nạn nhân, báo cáo chi tiết đã được chúng tôi mô tả trong thông tin mô tả bảo mật hàng tháng. Dựa trên việc phân tích, chúng tôi thu được thông tin máy chủ lưu trữ các tệp tin độc hại, tuy nhiên do chưa xác định hay liên kết được với nhóm tấn công nào đã biết, chúng tôi tiếp tục theo dõi các hoạt động của nhóm tấn công này. Gần đây, Cyble có xuất bản một bài báo cáo mô tả về việc phát hiện chiến dịch tấn công được cho là Mustang Panda, nhắm tới 2 lĩnh vực tài chính thuế và giáo dục tại Việt Nam. Chúng tôi nhận thấy sự trùng lặp về cơ sở hạ tầng, cách thức tấn công, một số tệp tin được nhóm tấn công sử dụng trong báo cáo mô tả của Cyble.
Chiến dịch 1:
Nhóm nghiên cứu ghi nhận chiến dịch tấn công vào tháng 05/2023 sử dụng tệp LNK độc hại có tên “Vanban_8647_cuong_che_thi_hanh_quyet_dinh.pdf.lnk”. Chúng tôi cũng ghi nhận tệp tin này được upload trên VirusTotal từ 29/05/2024. Tệp tin giả mạo tài liệu PDF, nhằm thực hiện tải xuống tệp tin đã được cấu hình lưu trữ tại đường dẫn “hxxp[:]// mega[.]vlvlvlvl[.]site/Vanban_8647[.]PDF_update[.]hta” thông qua tiện ích có sẵn trong Windows forfiles và powershell.
Vanban_8647[.]PDF_update[.]hta là Obfuscate VBScript, sau khi giải mã thu được script powershell nhằm tải xuống tệp tin powershell mới có tên Vanban_8647.PDF.ps1
Vanban_8647.PDF.ps1 có nhiệm vụ: tải xuống 3 tệp tin “HP.exe” , DLL độc hại HPCustPartUI.dll trong “%APPDATA%\HPCustPartic” và “Vanban_8647.PDF.hta” trong C:\Users\Public\. HP.exe khi thực thi sẽ load DLL độc hại HPCustPartUI.dll đồng thời script powershell sẽ thực thi Vanban_8647.PDF.hta
Vanban_8647.PDF.hta được thực thi sẽ trích xuất giá trị định dạng hex và lưu dưới tên Vanban_8647.PDF tại đường dẫn “C:\Users\<user>\AppData\Roaming\MicrosoftCooperation\” nội dung trong file “Vanban_8647.PDF” được kẻ tấn công sử dụng liên quan đến việc quyết định của Cục Thuế TP Hà Nội
Sau khi DLL độc hại HPCustPartUI.dll được thực thi, mã độc sẽ tạo mutex 90ace125-2ec6-4e55-ac63-a4e97820094eA và thiết lập persistence thông qua registry, tải xuống file có tên tempdata.dat từ địa chỉ “payment[.]tripadviso[.]online”, load và thực thi trong bộ nhớ
tempdata.dat được giải mã và chuyển luồng thực thi tới payload mới này. Payload thực hiện lấy thông tin nạn nhân, mã hóa RC4 và encoded base64 và gửi lại về địa chỉ C2 back[.]vlvlvlvl[.]site
Chiến dịch 2:
Một chiến dịch khác liên lạc với cùng một máy chủ C2 được sử dụng trong chiến dịch trên. Kẻ tấn công sử dụng file zip “huongdan memay.zip” bên trong tệp nén là “huongdan_dangky_phuluc_so_2.docx.lnk”. Tương tư như chiến dịch trên, sử dụng tệp tin LNK và giả mạo tài liệu Word.
Khi người dùng mở tệp tin LNK, tệp tin thực hiện:
- Tải xuống một tệp tài liệu hợp pháp có tên “huongdan_en.docx” từ C2 vibm[.]vn, lưu vào thư mục “C:\Users\Public\” rồi khởi chạy để lừa người dùng.
- Tải xuống tập tin PowerShell có tên “init.txt” và thực thi
Với nội dung tài liệu mà nhóm công sử dụng, mục tiêu của nhóm nhắm tới lĩnh vực giáo dục tại Việt Nam.
Init.txt là powershell script, có nhiệm vụ tải xuống thêm các tệp tin độc hại khác. Cách thức code trong init.txt giống và có sự trùng lặp như chúng tôi đã đề cập về các mẫu mã độc mà chúng tôi ghi nhận từ cuối tháng 08/2023. Như các thông tin của nạn thân được gửi tới hxxp://megacybernews[.]com/checkin.php thông qua POST request:
- System Information
- Adaptor Information
- Network Information
- Network Information
- Task List
- User Account Information
- Username
- Domain Admins
- Desktop Information
- Antivirus Prodects
MITRE ATT&CK
Tactics | Techniques | Procedure |
Execution (TA0002) | Command and Scripting Interpreter (T1059) | VBScript and PowerShell scripts are executed |
Execution (TA0002) | User Execution (T1204) | User may execute malicious files |
Persistence (TA0003) | DLL Side-Loading (T1073) | Malicious DLLs are sideloaded by legitimate applications |
Persistence (TA0003) | Boot or Logon Autostart Execution (T1547) | Files are dropped at Startup Folders |
Persistence (TA0003) | Registry Run Keys / Startup Folder (T1060) | Autorun registry entry added |
Defense Evasion (TA0005) | Masquerading (T1036) | Double extension is used for masquerading |
Defense Evasion (TA0005) | Obfuscated Files or Information (T1027) | Obfuscated PowerShell and VBScript are used |
Discovery (TA0007) | System Information Discovery (T1082) | System information is exfiltrated and sent to a remote server |
Discovery (TA0007) | Account Discovery (T1087) | User accounts are checked in the system |
Discovery (TA0007) | Security Software Discovery (T1518.001) | Querying Antivirus Products |
Collection (TA0009) | Data from Local System (T1005) | Crucial data form system is exfiltrated |
Exfiltration (TA0010) | Exfiltration Over Command-and-Control Channel (T1041) | Data is sent to remote system over C&C |
Indicators of Compromise
File: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:
hxxp://mega[.]vlvlvlvl[.]site/ Vanban_8647.PDF_update.hta
hxxp://mega[.]vlvlvlvl[.]site/HP.exe
hxxp://mega[.]vlvlvlvl[.]site/HPCustPartUI.dll
hxxp://mega[.]vlvlvlvl[.]site/Vanban_8647.PDF.ps1
hxxp://payment[.]tripadviso[.]online/tempdata.dat
hxxp://vibm[.]vn/init.txt
hxxp://megacybernews[.]com/newrun.ps1
hxxp://megacybernews[.]com/getdata.ps1
hxxp://megacybernews[.]com/stage2.2.ps1
hxxp://megacybernews[.]com/checkin.php
hxxp://megacybernews[.]com/book.dll
hxxp://megacybernews[.]com/unikey.exe
hxxp://megacybernews[.]com/wwlib.dll
C&C:
mega.vlvlvlvl[.]site
payment.tripadviso[.]online
vibm[.]vn
megacybernews[.]com
1.2 Chiến dịch do nhà nước Trung Quốc hậu thuẫn nhắm vào khu vực Đông Nam Á
Vào tháng 5 năm 2023, các nhà nghiên cứu phát hiện ra một chiến dịch do nhà nước Trung Quốc hậu thuẫn nhắm vào tổ chức chính phủ cấp cao khu vực Đông Nam Á với mục đích gián điệp, được đặt tên là Crimson Palace. Mục tiêu của chiến dịch là duy trì quyền truy cập vào hệ thống CNTT quan trọng, thu thập thông tin về lĩnh vực quân sự và kỹ thuật, triển khai nhiều loại mã độc nhằm thiết lập và duy trì C&C nhằm hỗ trợ cho lợi ích của Trung Quốc. Nhóm nghiên cứu cũng ghi nhận các nhóm tấn công thu thập các tài liệu có tên tệp tin liên quan đến chiến lược ở Biển Đông.
Chiến dịch sử dụng phần mềm độc hại chưa từng thấy bao gồm CCoreDoor và PocoProxy, biến thể mới của phần mềm độc hại EAGERBEE , NUPAKAGE, Merlin C2 Agent, Cobalt Strike, backdoor PhantomNet, RUDEBIRD và backdoor PowHeartBeat. Ngoài ra, kẻ tấn công sử dụng DLL side-loading và các kỹ thuật Defense Evasion mới như overwriting ntdll.dll trong bộ nhớ.
Crimson Palace bao gồm 3 clusters
- Cluster Alpha (03/2023 – 08/2023): Sử dụng kỹ thuật sideloading để triển khai nhiều phần mềm độc hại khác nhau, thiết lập C2 để kiểm soát máy nạn nhân. Sử dụng kỹ thuật nhằm vô hiệu hóa AV protection và leo thang đặc quyền. Ngoài ra, tập trung vào việc thu thập thông tin, liệt kê tài khoản quản trị viên và tiến hành reconnaissance cơ sở hạ tầng Active Directory. Tương đồng với một số tác nhân được theo dõi như BackdoorDiplomacy , REF5961 , Worok và TA428
- Cluster Bravo (03/2023): sử dụng tài khoản hợp lệ để lateral movement và drop EtherealGh0st. Một số điểm tương đồng với Unfading Sea Haze
- Cluster Charlie (03/2023 – 04/2024): sử dụng PocoProxy để thiết lập persistence trên hệ thống bị ảnh hưởng, triển khai HUI Loader để nhúng Cobalt Strike Beacon vào exe. Cluster Charlie có một số điểm trùng lặp với Earth Longzhi – một nhóm trong APT41
Indicators of Compromise
Cluster Alpha
SHA256
110c5eec940f3abb8b3a671cd292bc9ef65772168325a7949290e9828353824a | sslwnd64.exe (PhantomNet) |
e9cb02690d987de8d392d0e24b3ccbb294c751dff73962135913c7ec0d8a8064 | sslwnd64.exe (PhantomNet) |
c1abc254d231574044ffe7bdd030be04618916f255396197f1151bfec98c04b6 | nethood.exe (PhantomNet) |
e8cd237ac43fa0505d858ac8eb800020eeca104a1cd931d3b6d0ef656ee5393d | oci.dll (PhantomNet) |
173bb620ed2eee6b356e128da88e173eb1b69253ecd616f8f984087688c089fd | X64.dll (PhantomNet, renamed to oci.dll) |
c06065d3de3bfb37168a5d94baf1c675f831a201937ef774a36c2ea2bf6fc49e
|
wlbsctrl.dll (EAGERBEE) |
b05b92fd84cc3e3bd6378cadbe9b8b2cb926c42383e6194be1df44d1b9202fc1
|
TSVIPSrv.dll (EAGERBEE) |
951c7f8fdb6cfc8b362615ab1eec4a07dc8fccfd3a7ecda8255908a93b6a1f21 | TSVIPSrv.dll (EAGERBEE) |
01544aeb502163c4fb7bac483430059183ce3d11aee78cd4a6c7074c5289540e
|
C:\ProgramData\Microsoft\DeviceSync\jli.dll (EAGERBEE) |
47c4a62fe75aa62906f0b110668e17947e905a33759100de21b987879b47183b | C:\ProgramData\Microsoft\Vault\vmnat.dll (Merlin) |
7ed44a0e548ba9a3adc1eb4fbf49e773bd9c932f95efc13a092af5bed30d3595 | pc2msupp.dll (Malicious DLL sideloaded by MOBPOPUP.exe) |
f499f8d9584e5f4474b19324b807a38fec1c1d38d5df2ff4c1e16798311bc25b | MSI64.exe (RUDEBIRD) |
68ee8c2209641a6796e06caa115effcb89f722a5737210b5bebb87a36e5141a8
|
ba0oddof.dll (CSC compilation artifact from 1.ps1 execution) |
9404f51ccaf4165e6add08344f04b90ae79a045814d6b1de6b6c1e30981faa78 | SophosUD.exe (PowHeartBeat) |
0e010a36ff24299592569f7c3fc01c597e158996d94b66eb3bbf757742663e76 | SophosUD.exe (PowHeartBeat) |
1b97afb3310b3af944f74c2d715c110cec32ec536c0a9837b8c88df3438b2a63 | SophosUD2.exe (PowHeartBeat) |
2a662b58f1dd229e7dba923a4d123658e3c10c0cfcec03748fbe577db81db34d | SensAPI.dll (Malicious DLL sideloaded by ph.exe) |
bbc0fe549a9e902528a125abd13b1f7c53746416d9c9bb91f88877f37a4ce11c | C:\ProgramData\Microsoft\Windows\svcchost.dll (Malicious DLL sideloaded by renamed vmnat.exe, svcchost.exe)
|
Domain
cloud.keepasses.com | Merlin C2 |
scancenter.trendrealtime.com | RUDEBIRD C2 |
associate.feedfoodconcerning.info | PhantomNet C2 |
associate.freeonlinelearningtech.com | PhantomNet C2 |
msudapis.info | PowHeartBeat C2 |
associate.freeonlinelearning.com | EAGERBEE C2 |
IP
89.44.197.74 | Merlin C2 |
185.195.237.123 | RUDEBIRD C2; EAGERBEE C2 |
195.123.247.50 | RUDEBIRD C2 |
172.67.130.71 | PhantomNet C2 |
45.90.58.103 | PhantomNet C2; RUDEBIRD C2 |
185.195.237.121 | PhantomNet C2 |
104.21.3.57 | PhantomNet C2 |
185.82.217.164 | PhantomNet C2 |
195.123.245.79 | PhantomNet C2 |
154.39.137.29 | PowHeartBeat C2 |
147.139.47.141 | PowHeartBeat C2 |
185.167.116.30 | PhantomNet C2; EAGERBEE C2 |
91.220.202.143 | EAGERBEE C2 |
139.162.18.97 | dllhost.exe |
Cluster Bravo
SHA256
92e2dafb6d91ac7bc725e680d53cfbfcc854033d14f6e4807fd0169c605324d2 | 3.ps1 (PowerShell script) |
DCC938AF8FB2964A1F35ADFB221DE76FFC0BD0CCAAC91455B3638FD4DC33E8C0 | EvtxParser.exe (EVTX dump) |
0c3baa012cdb518982ec4ae954b395f3d6b9544ead8e050370219fa584f74f3c | 2.vbs (VBS script) |
c679a2453697c51776b8a64d59fb8bf4172906e9a4f91b3872774bd05378d28c | r.vbs (VBS script) |
edd0c859424ab953a92ef20cfc8b938f469253122485915d6de80d314b18b08f | mscorsvc.dll (CCoreDoor) |
55277d86c0707459500dbb16915665ae611d3a4e4597d51599ea8b8fe6f85f29 | mscorsvc.dll (CCoreDoor) |
a70e8317a608dd6ea0ad8564b089a153a7e3ab7ef763899d3d806141e820148e | ntpsapi.dll (signed, benign, ntdll.dll used for EDR unhooking) |
Domain
message.ooguy.com
IP
146.190.93.250
Cluster Charlie
SHA256
ad346007f28c4b6d409c95f55e750e249db4b168cd7061baa128f826df948e10 | 443.txt (PocoProxy) |
1ad26a31c5387055610e053dbab8355e1371f89dfa37526f7a3341122526b719 | 4413.txt (PocoProxy) |
91f40e8659da3dbbb22497b317aa37f26403be86662e359ecddcb4a0c72e154c | chrome.log (PocoProxy) |
7d6209036d370dbce7a0657f35dedeaa59c15fcfb4d696b9ebdd0fcc773dad50 | a8.txt (PocoProxy) |
34294ff52899a63f2dc02e5a8f1488343afdb9702437d409a0869317ccfb4243 | s.dat (Malicious file) |
5f3fd50715aabf43cc6edb5f38026a3baa37a7fd7a17ae232fc65e186c83befb | msedge_elf.dll (HUI Loader) |
4fcbc598c5699ea48a1edd8dda065eab210f09ad900ab167cb5abdf9841dd2b7 | hideschtasks.exe (Custom binary; remotely creates scheduled tasks) |
755b14ad83da2f2eff8ef8bf83ed74c6d96f6b3b3fde95d4c13d8cb75d861631 | log.ini (Masquerading DLL generating C2) |
44e0c61f70f44e3a35ecde9b49a623973727d3aa68922ef4e1ff8dfc74795582 | 11.log (LSASS credential interceptor) |
a1a8adae91daa96deb01326c702fec388d0fa983f299de3f1bdb8a277df64423 | 1.dat (Cobalt Strike) |
3a85c36fff48b223f6edd722bc1603a1fd9b00d3e4d46a88151c4b1b696d90d1 | sssa.exe (Malicious file) |
62c9b97a849f40f4b5b167b96a54fa1ef03624ac8f2972b641af8ca5d00b5db0 | McPvNs.dll (Malicious DLL sideloaded by McPvTray.exe) |
c1d818f18c7160807d9031e024fcc6429476d6455221e3aa988c6245269fbcc8 | rsndispot.sys , EDR evasion |
ea8c8f834523886b07d87e85e24f124391d69a738814a0f7c31132b6b712ed65 | rspot.sys, EDR evasion |
IP
PocoProxy C2
198.13.47.158
64.176.50.42
158.247.241.188
139.180.217.105
Cobalt Strike C2
45.130.229.181
185.201.8.187
Filename
PocoProxy
aaaa.txt
Domain
PocoProxy C2
www.googlespeedtest33.com
1.3 Chiến dịch do APT Trung Quốc thực hiện nhắm đến lĩnh vực chính trị khu vực Châu Á
Các nhà nghiên cứu của Unit42 cho biết một nhóm APT đến từ Trung Quốc đang thực hiện chiến dịch nhắm đến lĩnh vực chính trị, hoạt động quân sự khu vực Trung Đông, Châu Á và Châu Phi hoạt đông ít nhất từ 2022, được đặt tên là “Operation Diplomatic Specter”. Kẻ tấn công thực hiện các hoạt động gián điệp chống lại ít nhất 7 tổ chức chính phủ, thu thập thông tin tình báo quy mô lớn, sử dụng kỹ thuật mới nhằm đánh cắp thông tin xác thực và email Exchange.
Chiến dịch với mục đích thu thập các thông tin nhạy cảm về lĩnh vực địa chính trị như:
- Nhiệm vụ ngoại giao và kinh tế
- Đại sứ quán
- Hoạt động quân sự
- Các cuộc họp chính trị
- Bộ của các nước mục tiêu
- Quan chức cấp cao
Kẻ đe dọa có thể lấy toàn bộ hộp thư đến của cơ quan ngoại giao hay cá nhân cụ thể. Các nhà nghiên cứu quan sát thấy kẻ tấn công tìm kiếm các chủ đề dưới đây:
- Thông tin địa chính trị và kinh tế liên quan đến Trung Quốc
- OPEC và ngành năng lượng
- Bộ Ngoại giao và các đại sứ quán trên toàn thế giới
- Bộ Quốc phòng
- Quân sự (hoạt động, diễn tập, mật mã, đơn vị quân đội và nhân sự)
- Mối quan hệ của các quốc gia mục tiêu với chính quyền Biden
- Nhân vật chính trị trong nước và quốc tế
- Thông tin địa chính trị và kinh tế
- Công nghệ viễn thông được các đối tượng mục tiêu sử dụng
Chuỗi tấn công có liên quan đến backdoor TunnelSpecter và SweetSpecter – biến thể của Gh0st RAT. Cả 2 loại backdoor cho phép kẻ tấn công duy trì quyền truy cập vào mạng mục tiêu, thực thi các lệnh tùy ý, lọc dữ liệu và triển khai mã độc cũng như các tool trên các máy chủ bị ảnh hưởng. Ngoài ra, kẻ tấn công sử dụng cách khai thác lỗ hổng trên máy chủ Exchange (ProxyLogon CVE-2021-26855 và ProxyShell CVE-2021-34473) để có quyền truy cập ban đầu vào hệ thống.
Theo phân tích, mối liên hệ của Trung Quốc và chiến dịch Operation Diplomatic Specter dựa trên:
- Chiến dịch này hoạt động xuất phát từ việc sử dụng cơ sở hạ tầng của các nhóm APT Trung Quốc, được sử dụng bởi các nhóm tấn công như Iron Taurus (hay APT27), Starchy Taurus (hay Winnti) và Stately Taurus (hay Mustang Panda).
- Dựa trên khung thời gian hoạt động từ 09:00-17:00 giờ làm việc tương ứng với một số nước Châu Á bao gồm Trung Quốc. Trước đây, nhiều tác nhân đe dọa Trung Quốc đã được quan sát có hoạt động trong khung thời gian này.
- Ngoài ra, dựa theo comment và debug trong một số tools và file được kẻ tấn công drop cho thấy ngôn ngữ được sử dụng là tiếng Quan Thoại.
- Các công cụ và mã độc được sử dụng phổ biến của các tác nhân Trung Quốc như: Customized Gh0st RAT samples, PlugX, Htran, China Chopper.
Indicators of Compromise
Malware
TunnelSpecter
Loader
0e0b5c5c5d569e2ac8b70ace920c9f483f8d25aae7769583a721b202bcc0778f
Encrypted payload
62dec3fd2cdbc1374ec102d027f09423aa2affe1fb40ca05bf742f249ad7eb51
Decrypted payload
22d556db39bde212e6dbaa154e9bcf57527e7f51fa2f8f7a60f6d7109b94048e
Mutex
“blogs.bing.com”
SweetSpecter
Loader
0b980e7a5dd5df0d6f07aabd6e7e9fc2e3c9e156ef8c0a62a0e20cd23c333373
Encrypted payload
8198c8b5eaf43b726594df62127bcb1a4e0e46cf5cb9fa170b8d4ac2a4dad179
Decrypted payload
0f72e9eb5201b984d8926887694111ed09f28c87261df7aab663f5dc493e215f
Gh0st RAT
d5a44380e4f7c1096b1dddb6366713aa8ecb76ef36f19079087fc76567588977
Infrastructure
Domains
home.microsoft-ns1[.]com
cloud.microsoft-ns1[.]com
static.microsoft-ns1[.]com
api.microsoft-ns1[.]com
update.microsoft-ns1[.]com
labour.govu[.]ml
govm[.]tk
IPs
103.108.192[.]238
103.149.90[.]235
192.225.226[.]217
194.14.217[.]34
103.108.67[.]153
2 Malware
2.1 Noodle RAT – Backdoor được sử dụng bởi các nhóm tấn công Trung Quốc
Từ 2022, TrendMicro xác định được số lượng lớn các cuộc tấn công vào khu vực Châu Á – Thái Bình Dương sử dụng cùng một loại backdoor. Hầu hết các báo cáo đều ghi nhận các backdoor này là các biến thể từ Gh0st RAT hoặc Rekoobe, tuy nhiên TrendMicro phân tích và xác định các backdoor này có thể là các loại mã độc mới chưa có các báo cáo nào từng ghi nhận, tạm gọi tên là “Noodle RAT”.
Noodle RAT, backdoor hỗ trợ cả hai phiên bản Windows và Linux. Được sử dụng và chia sẻ cho cả hoạt động gián điệp và tội phạm mạng nhắm mục tiêu tới nhiều quốc gia thuộc khu vực Châu Á. Timeline dưới đây mô tả các phiên bản của backdoor này, gắn với các cuộc tấn công đã ghi nhận trên cả 2 phiên bản Windows và Linux
Win.NOODLERAT
Backdoor dưới dạng shellcode được load bộ nhớ, được ghi nhận sử dụng bởi các nhóm Iron Tiger, Calypso APT và một số nhóm tấn công khác chưa xác định với mục đích gián điệp mạng. Backdoor tích hợp một số tính năng:
- Download và upload files
- Thực thi các module khác trong bộ nhớ
- Proxy TCP
Để shellcode được triển khai, mã độc cần thêm loader để thực hiện công việc này, 2 loader được sử dụng là MULTIDROP và MICROLOAD. MICROLOAD được ghi nhận trong chiến dịch tấn công vào Ấn Độ, được load bởi Oleview.exe. Giải mã payload đã mã hóa trong HKCR\Microsoft.System.UpdateColl\UpdateAgent bằng thuật toán RC4 và load shellcode vào svchost.exe. Backdoor giao tiếp với máy chủ C&C thông qua các giao thức được hỗ trợ bao gồm CP, SSL, và HTTP. Các giao tiếp được mã hóa bằng thuật toán RC4 và thuật toán custom sử dụng toán tử XOR và AND. Gói tin mã hóa sẽ gồm 2 phần: header và payload
Header sẽ được mã hóa lần lượt bằng việc:
- Khởi tạo các trường cmd_id, payload_len, and const_val trong section header.
- Khởi tạo 3 giá trị ngẫu nhiên kiểu DWORD.
- Khởi tạo một phần của khóa RC4
- Encoded giá trị được tạo ở bước 3 với thuật toán XOR, khóa được cấu hình trong binary
- Chuyển đổi giá trị ở bước 3 và 4 sang định dạng hex và nối các giá trị này với nhau
- Mã hóa 24bytes đầu tiên của header với khóa được tạo ở bước 5.
Payload được mã hóa theo các bước sau:
- Sao chép giá trị DWORD header section (cmd_id filed và cont_val field)
- Mã hóa giá trị này bằng thuật toán XOR và AND
- Chuyển đổi giá trị ở bước trước đó sang định dạng hex
- Mã hóa dữ liệu trong payload với thuật toán RC4, key mã hóa được tạo ở bước 3
Backdoor sử dụng nhiều dạng command ID khác nhau, được phân thành 2 loại chính: 0x03A2 và 0x132A
Actions | Type 0x03A2 | Type 0x132A | ||
Major-ID | Sub-ID | Major-ID | Sub-ID | |
Successfully authorized | 0x03A2 | – | 0x132A | – |
Message of the end of command | 0x0AC3 | – | 0x1AC3 | – |
Initialize module metadata | 0x194C | – | 0x294C | – |
Receive module data | 0x1AF2 | – | 0x2AC8 | – |
Launch module without pipe | 0x1397 | – | 0x230E | – |
Delete module metadata | 0x1D50 | – | 0x2D06 | – |
Upload a file to C&C server | 0x390A | 0x35C3 & 0x35C4 & 0x3013 | 0x590A | 0x55C3 & 0x55C4 & 0x5013 |
List directories recursively | 0x390A | 0x35C5 | 0x590A | 0x55C5 |
Download a file from C&C server | 0x390A | 0x35C7 & 0x35C8 & 0x35C9 & 0x3013 | 0x590A | 0x55C7 & 0x55C8 & 0x55C9 & 0x5013 |
Write given data to pipe | 0x2099 | 0x2186 | 0x3099 | 0x3167 |
Write 0x32E0 to pipe | 0x2099 | 0x220E | 0x3099 | 0x32E0 |
Write 0x38AF to pipe | 0x2099 | 0x28FA | 0x3099 | 0x38AF |
Send module data to another module | 0x2099 | 0x2741 | 0x3099 | 0x3716 |
Same as 0x3099 | 0x2099 | 0x2A0B | 0x3099 | 0x3A0B |
Start TCP server to proxy packets to the C&C server | 0x2099 | 0x2CBD | 0x3099 | 0x3CD0 |
Delete itself | N/A | 0x1C1C | – |
Linux.NOODLERAT
Backdoor được sử dụng bởi nhiều nhóm tấn công với nhiều mục đích khác nhau, điển hình như Rocke nhằm lợi ích tài chính. Các tính năng của backdoor như sau:
- Revershell
- Down và upload files
- Tạo schedule task để thực thi các tệp tin
- SOCKS tunneling
Trong hầu hết các trường hợp ghi nhận, backdoor được triển khai thông qua việc khai thác các lỗ hổng với các ứng dụng có public ra internet. Sau khi triển khai, mã độc tự sao chép chính mình tới đường dẫn /tmp/CCCCCCCC. Giải mã cấu hình bằng thuật toán RC4 với khóa “r0st@#$ “ được config trong binary. Mã độc sẽ tạo kết nối tới máy chủ C&C dựa theo các cấu hình đã được giải mã
Mã độc giao tiếp với máy chủ C&C thông qua giao thức HTTP và TCP. Quá trình giao tiếp, mã độc sẽ sử dụng 2 thuật toán khác nhau cho từng thành phần, việc xử lý lệnh sẽ sử dụng thuật toán RC4 và XOR+AND (tương tự như cách triển khai trong phiên bản Windows, khác nhau về khóa), trong khi revershell sẽ sử dụng thuật toán HMAC_SHA1 và AES128 mode CBC. Với revershell, backdoor nhận 40bytes từ C&C, chia thành 2 block, mỗi black 20bytes. Mỗi block sẽ được kết hợp cùng chuỗi được config trong binary và tính toàn thông qua hàm băm SHA1. Cặp HMAC_SHA1 được sử dụng làm khóa AES và giá trị vector khởi tạo IV trong quá trình mã hóa/giải mã. Backdoor nhận thêm 16bytes và giải mã với key AES đã được tạo trước đó, đồng thời sẽ xác minh quá trình giải mã.
Với các lệnh điều khiển, backdoor phiên bản Linux cũng được chia làm 2 loại: 0x03A2 và 0x23F8
Actions | Type 0x03A2 | Type 0x23F8 | ||
Major-ID | Sub-ID + arg (optional) | Major-ID | Sub-ID + arg (optional) | |
Successfully authorized | 0x03A2 | – | 0x23F8 | – |
Start backdoor routine | 0x2099 | – | 0x4799 | – |
Initiate reverse shell session | 0x1 | 0x2186 | 0x1 | 0x5186 |
Show lists of files and directories in root dir | 0x2 | 0x2186 + 0x1 | 0x2 | 0x5186 + 0x1 |
Show lists of files and directories in specific dir | 0x2 | 0x2186 + 0x2 | 0x2 | 0x5186 + 0x2 |
Rename a file | 0x2 | 0x2186 + 0x3 | 0x2 | 0x5186 + 0x3 |
Remove a file | 0x2 | 0x2186 + 0x4 | 0x2 | 0x5186 + 0x4 |
Upload a file to the C&C server | 0x3 | 0x35C3 & 0x35C4 & 0x3013 | 0x3 | 0x35C3 & 0x35C4 & 0x3013 |
List directories recursively | 0x3 | 0x35C5 | 0x3 | 0x35C5 |
Download a file from the C&C server | 0x3 | 0x35C7 & 0x35CB & 0x35CC & 0x3013 | 0x3 | 0x35C7 & 0x35CB & 0x35CC & 0x3013 |
Create a new directory | 0x3 | 0x35C8 & 0x35C9 & 0x35CA & 0x35CD | 0x3 | 0x35C8 & 0x35C9 & 0x35CA & 0x35CD |
Initiate SOCKS tunneling | 0x4 | – | 0x4 | – |
Initiate SOCKS tunneling | 0x5 | – | 0x5 | – |
Show current datetime | 0x6 | 0x2186 + 0x1 | N/A | 0x5186 + 0x1 |
Download a file as /usr/include/sdfwex.h or /tmp/.llock | 0x6 | 0x2186 + 0x2 | N/A | 0x5186 + 0x2 |
Indicator of compromises (IoCs)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 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – June 2024
Trong tháng 06, Microsoft đã phát hành các bản vá cho 49 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; Dynamics Business Central; và Visual Studio. Trong đó có 1 lỗ hổng được đánh giá mức độ Nghiêm trọng, 48 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-30080 – Cảnh báo lỗ hổng thực thi mã từ xa trong Microsoft Message Queuing (MSMQ) | Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thi mã từ xa với đặc quyền nâng cao của hệ thống đã kích hoạt MSMQ. Khai thác lỗ hổng yêu cầu kẻ tấn công gửi mã độc hại tới máy chủ MSMQ.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30080
3.1.2 CVE-2024-30103 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft Outlook | Microsoft Outlook Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Outlook. Khai thác lỗ hổng yêu cầu kẻ tấn công xác thực bằng thông tin người dùng Exchange hợp lệ. Khai thác lỗ hổng thành công, kẻ tấn công có thể vượt qua block list trong registry của Outlook từ đó tạo các tệp DLL độc hại.
Phiên bản ảnh hưởng:
Microsoft Outlook 2016 (64-bit edition)
Microsoft Outlook 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30103
3.1.3 CVE-2024-30078 – Cảnh báo lỗ hổng thực thi mã từ xa trong Windows Wi-Fi Driver | Windows Wi-Fi Driver Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trong Windows Wi-Fi Driver. Khai thác lỗ hổng yêu cầu kẻ tấn công nằm gần trong phạm vi hệ thống và nhận tín hiệu radio. Kẻ tấn công gửi networking packet độc hại đến hệ thống lân cận sử dụng Wi-Fi networking adapter (bộ chuyển đổi mạng Wi-Fi).
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30078
3.1.4 CVE-2024-30100 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability.
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu tương tác từ người dùng thông qua kỹ nghệ xã hội.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30100
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024-4577 – PHP CGI Argument Injection Vulnerability
CVSS: N/A
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi đoạn mã tùy ý trên hệ thống bị ảnh hưởng. Tại thời điểm hiện tại, ghi nhận lỗ hổng chỉ tồn tại ở các phiên bản cài đặt PHP trên môi trường Windows (sử dụng CGI mode), sử dụng một số ngôn ngữ cụ thể sau:
- Traditional Chinese (Code Page 950)
- Simplified Chinese (Code Page 936)
- Japanese (Code Page 932)
Các ngôn ngữ khác như tiếng Anh, tiếng Hàn và Tây Âu cũng có thể bị ảnh hưởng bởi lỗ hổng.
Phiên bản ảnh hưởng:
Tất cả các phiên bản của PHP cài đặt trên hệ điều hành Windows
PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
Khuyến nghị: Quý khách hàng nâng cấp lên phiên bản PHP mới nhất 8.3.8, 8.2.20 và 8.1.29. Ngoài ra, vì PHP CGI là một kiến trúc tương đối cũ, quý khách hàng xem xét thực hiện chuyển đổi sang kiến trúc an toàn hơn như Mod-PHP, FastCGI hoặc PHP-FPM.
3.2.2 CVE-2024-29849 – Authentication Bypass in Veeam Backup Enterprise Manager.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực đăng nhập vào giao diện web Veeam Backup Enterprise Manager dưới tài khoản người dùng bất kì.
Phiên bản ảnh hưởng:
Veeam Backup & Replication | 5.0 | 6.1 | 6.5 | 7.0 | 8.0 | 9.0 | 9.5 | 10 | 11 | 12 | 12.1
Lưu ý: Môi trường chưa cài đặt Veeam Backup Enterprise Manager sẽ không bị ảnh hưởng bởi lỗ hổng
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.3 CVE-2024-5027 – Citrix Workspace Privilege Escalation Vulnerability.
CVSS: 7.7/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền root. Khai thác lỗ hổng yêu cầu người dùng có quyền truy cập và sử dụng các thiết bị đã cài đặt CWA. Khi có thể tương tác với thiết bị, kẻ tấn công có thể lạm dụng lỗ hổng để leo thang lên đặc quyền root.
Phiên bản ảnh hưởng:
Phiên bản < 2402.10
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.4 CVE-2024-37079/ CVE-2024- 37080 – VMware vCenter Server multiple heap-overflow vulnerabilities
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng heap-overflow trong giao thức DCERPC sử dụng trong vCenter Server, khai thác thành công cho phép kẻ tấn công với quyền truy cập mạng tới vCenter Server có thể thực thi các đoạn mã tùy ý.
Phiên bản ảnh hưởng:
vCenter Server 8.0, vCenter Server 7.0
Bộ sản phẩm cũng bị ảnh hưởng bởi lỗ hổng (Cloud Foundation (vCenter Server) 5.x và Cloud Foundation (vCenter Server) 4.x)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.5 CVE-2024-37081 – VMware vCenter multiple local privilege escalation vulnerabilities
CVSS: 7.8/10
Mô tả: Tồn tại điểm yếu – misconfiguration của sudo trong vCenter Server, khai thác thành công cho phép kẻ tấn công leo thang đặc quyền lên đặc quyền root.
Phiên bản ảnh hưởng:
vCenter Server 8.0, vCenter Server 7.0
Bộ sản phẩm cũng bị ảnh hưởng bởi lỗ hổng (Cloud Foundation (vCenter Server) 5.x và Cloud Foundation (vCenter Server) 4.x)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.6 CVE-2024-28999 – SolarWinds Platform Race Condition Vulnerability
CVSS: 6.4/10
Mô tả: Tồn tại lỗ hổng Race Condition trong login API Module của SolarWinds do không có cơ chế đồng bộ hóa trong quá trình đăng nhập dẫn đến xử lý không đúng cách khi nhận nhiều request yêu cầu xác thực đăng nhập. Khai thác thành công cho phép kẻ tấn công không cần xác thực truy cập vào tài khoản người dùng, thu thập thông tin nhạy cảm hoặc thực hiện các hành vi độc hại khác.
Phiên bản ảnh hưởng:
SolarWinds Platform 2024.1 SR 1 và phiên bản trước
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28999
https://documentation.solarwinds.com/en/success_center/orionplatform/content/release_notes/solarwinds_platform_2024-2_release_notes.html