THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 8 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Braodo Info Stealer nhắm mục tiêu vào Việt Nam

Các nhà nghiên cứu của CYFIRMA đã phát hiện ra một phần mềm độc hại viết bằng ngôn ngữ Python, đặt tên là Braodo Stealer, hoạt động từ đầu năm 2024 và được phát triển bởi các tác nhân đe dọa có trụ sở tại Việt Nam. Kẻ tấn công thông qua hình thức phishing và spear-phishing emails nhắm mục tiêu vào người dùng tại Việt Nam và một số nước khác như: United States, Czechia, Germany, Netherlands, Singapore, UK ….

Kẻ tấn công đánh cắp thông tin dữ liệu trình duyệt thông qua telegram bot, đánh cắp thông tin đăng nhập từ các nền tảng như Coinbase, Binance, Wise.com, Payoneer, và PayPal, GitHub, Amazon AWS, ResearchGate, Walmart, Shopify, LinkedIn, Twitter, TikTok, Reddit, Facebook, Instagram, Netflix, Microsoft, RiotGames, và Garena …

Phần mềm độc hại dùng kỹ thuật obfuscated, sử dụng batch scripts, PowerShell, executables (exe), HTA, và PDF files nhằm tránh phát hiện và lây lan trong hệ thống. Các kho lưu trữ trên Github được sử dụng để lưu trữ mã độc và dùng Telegram bot để truyền tải dữ liệu.

Biến thể Braodo stealer downloader (định dạng BAT, MSI, HTA) và payloads Document.zip, Documentt.zip được lưu trữ trên HTTP server tại địa chỉ IP: 103[.]54[.]153[.]116. Ngoài ra, server với địa chỉ IP: 45[.]147[.]97[.]170 cũng được tìm thấy sau khi giải mã “breakingbad.batscript.

IP 103[.]54[.]153[.]116 được đặt tại Singapore, lưu trữ một số trang web không hoạt động của chính phủ Việt Nam hoặc một số trang web phishing. Ngoài ra, địa chỉ IP này cùng một ASN (Autonomous System Number), cùng computer name và cùng OS với địa chỉ IP của kẻ tấn công.

Một số trang web của Chính phủ Việt Nam do kẻ tấn công giả mạo “VNeID- Trung tâm Dữ liệu Quốc gia về Dân cư” và “Cổng dịch vụ công- Bộ Công an”. Tuy nhiên, chưa ghi nhận kết nối trực tiếp đến trang web chính thức của Chính phủ.

Mã độc này đánh cắp thông tin cookie, thông tin đăng nhập và sử dụng các kênh Telegram để trao đổi dữ liệu.

Phân tích

Khi thực thi batch script của Braodo Stealer, nhiều phiên bản của Powershell và cmd.exe được tạo, cuối cùng là thực thi python.exe chạy tập lệnh sim.py

Nội dung của batch script được obfuscated

Kẻ tấn công nhúng các byte “FF FE 0D 0A” vào script. Sau khi xóa các byte này, nội dung ban đầu của script vẫn ở dưới dạng được xáo trộn. Sử dụng Python script để decode tập lệnh được xáo trộn thấy rằng mã này thực thi một tập lệnh Powershell khác.

Kẻ tấn công thực hiện download file từ kho lưu trữ GitHub:

  • update1.bat: được obfuscated và thiết lập persistence bằng cách thêm batch script vào thư mục Windows Startup
  • 1.zip: được download và lưu tại Public\Document.zip, chứa main source code của Braodo Stealer

  • Document.zip: chứa stealer code và nằm tại đường dẫn Lib/sim.py.

Kẻ tấn công sử dụng ipinfo.io để thu thập thông tin của nạn nhân và nhắm mục tiêu vào các đường dẫn của trình duyệt.

File window.txt lưu trữ tất cả tiến trình đang chạy trên máy của nạn nhân

Một số funtion được ‘hehe()’ sử dụng để khởi chạy cho từng trình duyệt trên hệ thống.

Get_Chrome()
Get_firefox()
Get_edge()
Get_opera()
Get_brave()
Get_chromium()

Bằng cách sử dụng các hàm này, dữ liệu trình duyệt như cookie, password đã lưu được thu thập và lưu trữ trong thư mục exfiltration. Sau đó dữ liệu này được nén và trao đổi qua Telegram.

MITRE ATT&CK

Tatics Technique
Execution (TA0002) 1059 : Command and Scripting Interpreter
T1064 : Scripting
Persistence (TA003) T1547.001 : Startup Folder
Credential Access (TA006) T1555.003 Credentials from Web Browsers
T1606.001 : Web Cookies
Discovery (TA007) T1057: Process Discovery
T1083: File and Directory Discovery
Collection (TA009) T1005 : Data from Local System
Exfiltration (TA0010) T1041 : Exfiltration Over C2 Channel
Command and Control (TA0011) T1071.001 : Web Protocols

Indicator of Compromise (IoCs)

Indicator Type Remarks
e246a68e4ff8098ffd08da24c27726a11daa84f63b27bf79b93b374d9757d032 SHA256 Hash Technical specifications of the Car (technical specifications, colors, technology…).bat
f4f843853c7a08c08181516ae2a910dfeb712e32b4ab10df23149d9f57ab581e SHA256 Hash brbad.bat
6ec111b78a9788fcbca92dcc48b0d5f78d4df6a5f8d0ce96390851e832eace0d SHA256 Hash breakingbad.bat
4092ff03e7a69efd728a0dd2a181fdeef99df6ebdf0e6f39140718e805efe655 SHA256 Hash breakingbad.msi
4c3b91cd25650a7e1ee80164fd0598cdbf64e75ddf4ce08141aea42ee56cb134 SHA256 Hash dejin.pdf
b84dc0ea50ce08686d543cc08b87792026c233afee9b029768e0648cf5b06bd8 SHA256 Hash  Documentt.zip
998bb0d396dbf2ed6a412737f040228b00782267d473ceae502788451e076825 SHA256 Hash Document.zip
76c0693dce55c0835ad73102541d4244b3b7ee91649890faca85290b4f9ab005 SHA256 Hash file.hta
f735c170cee9e89c0318f266fc7469fde40d19eca406fbfa974b872a9b367a19 SHA256 Hash Update Browser.bat
bde85da1206fa48ac5a66818023a495bb03418a32a2936afef3cdb332a2bce17 SHA256 Hash UpdateBrowser.msi
f65c51f438241475dd8856ffa578610cfabab4aa8b52a09febf5ae061a5f42f7 SHA256 Hash via us.txt.zip
c15dee4fe227d6311f612f3aacc86080e2f8c450ad3b78d1271603891ec61a52 SHA256 Hash ViaUs.txt.zip
103[.]54[.]153[.]116 C2 Hosts Malware
45[.]147[.]97[.]170 C2 Hosts Malware
github[.]com/s123s1/s/ Github Repo Hosts Malware
github[.]com/vtbg1/s/ Github Repo Hosts Malware
github[.]com/zzhshsss/s/ Github Repo Hosts Malware
bot7120180818:AAEBAEYZZ44zM8wICJ-bJTLHKbnhDEYwVrk Telegram Bot Exfiltration Telegram
bot7120260932:AAE2zApf_cqTt57pmwxJUodvBar2l7x7fbA Telegram Bot Exfiltration Telegram
bot6878187208:AAFjqOqPfUbezs5GaBB-x99QhDkXaXsWgpg Telegram Bot Exfiltration Telegram
bot7094444204:AAFoaWZVfCF4ZyHvMpuAY0U15D3JlzxhNYg Telegram Bot Exfiltration Telegram
bot7147346317:AAHcazkPzwexz-_QwcdWQr96JJMKueLC6MQ Telegram Bot Exfiltration Telegram
bot7024022476:AAFClxu17D2YaSM8zOcRBkgmvgZ2horf6LU Telegram Bot Exfiltration Telegram

 

1.2      Chiến dịch Malspam Redline Stealer giả mạo công ty dầu khí nhắm mục tiêu vào Việt Nam

Trong quá trình giám sát trên không gian mạng, NCS phát hiện ra chiến dịch malspam RedLine Stealer trong đó kẻ tấn công giả mạo công ty dầu khí tại Việt Nam chuyên về các hoạt động thăm dò và khai thác.

RedLine Stealer là phần mềm độc hại được nhiều nhóm tấn công sử dụng nhằm đánh cắp thông tin đăng nhập, thông tin thẻ tín dụng, lịch sử trình duyệt và ví tiền điện tử. Sau khi cài đặt, dữ liệu được thu thập từ máy tính của nạn nhân sẽ được gửi đến máy chủ từ xa hoặc Telegram của kẻ tấn công.

Mục tiêu đang bị nhắm đến trong cuộc tấn công này là các công ty trong nước và quốc tế tại Việt Nam trong nhiều lĩnh vực khác nhau, bao gồm các nhà sản xuất dầu khí, công nghiệp, điện và HVAC, sơn, hóa chất, khách sạn … Kẻ tấn công thực hiện gửi đến mục tiêu email độc hại có đính kèm 1 tệp RAR độc hại (1.No. BDOPS-2024-057_RFQ.rar), chứa mã thực thi của RedLine Stealer (Palace Residences 2024-25.exe), với nội dung mời thầu từ công ty dầu khí, yêu cầu người nhận xác nhận và gửi lại báo giá.

Indicators of Compromise (IoC)

RedLine Stealer’s binary (Palace Residences 2024-25.exe)

gGao.exe

MD5: 9e2decc3ed04ac5b71573850480adb3b

SHA-1: fa8969e0d8f30ebac57473154dd3cd176fc25d2c

SHA-256:

7e9b11c92ef2dc1c5c147a3a2622ef4dba4a6e400c84885f0f6c1bf5c2f72f6a

GGJI.exe

MD5: 8c1816026353805593b49cb070bddac4

SHA-1: b58bc12ae6c47073cef3eeca2353296269f0d549

SHA-256: 1fecff793d18e85a65bac974915ee77d00c7c6be9ea44f62aac7df5f15f7a733

1.3      Kẻ tấn công sử dụng các biến thể giả mạo ứng dụng ngân hàng nhắm mục tiêu vào Việt Nam

Trong quá trình giám sát trên không gian mạng, NCS phát hiện kẻ tấn công nhắm mục tiêu vào người dùng Việt Nam bằng cách sử dụng SpyNote – một trojan truy cập từ xa trên thiết bị Android, giả mạo ứng dụng ngân hàng Techcombank (hay là Ngân hàng TMCP Kỹ thương Việt Nam). Ứng dụng giả mạo được lưu trữ trên URL GitHubusercontent, từ đó kẻ tấn công có thể phát tán URL độc hại thông qua hình thức phishing emails, SMS, phương tiện xã hội … với mục đích lừa người dùng tải xuống và cài đặt.

Ngoài ra, một biến thể ransomware SARA khác cũng được kẻ tấn công sử dụng, giả mạo ứng dụng ngân hàng MB Bank trên hệ điều hành Android sau đó phát tán thông qua SMS có chứa URL độc hại. Sau khi thực thi, phần mềm độc hại sẽ yêu cầu các quyền truy cập file và phương tiện, danh bạ, tin nhắn SMS và vị trí… Sau đó, khóa màn hình và mã hóa tệp trên thiết bị của nạn nhân tùy thuộc vào cấu hình của kẻ tấn công. Trong trường hợp chọn mã hóa tệp, mật khẩu sẽ được tạo nhằm mã hóa và lưu vào shared preference. Tiếp theo, mã hóa các tệp (txt, jpg, jpeg, pdf, zip, doc, xls, etc.) và thêm .enc extension. Kẻ tấn công tạo file để lưu trữ và drop ransom note README.txt vào các thư mục và gửi thông báo “Locked” cùng với nội dung cho rằng tệp đã bị mã hóa và yêu cầu nạn nhân đọc ghi chú đòi tiền chuộc.

Biến thể ransomware SARA này  còn được các kẻ tấn công sử dụng nhằm giả mạo Spotify, CashApp, Instagram, YouTube, bản cập nhật Chrome…

NCS vẫn tiếp tục phân tích và cập nhật thêm thông tin khi có các thông tin mới về các mẫu mã độc.

Indicator of Compromises (IoCs)

Techcombank_v3.10.13.apk

mbbank.apk

MD5

d167bb2fbfbf2833d363f0875b99839b

d616aa826bb7be2eb1fc90cd7299f4d9

SHA-1

13d4badb7c8290986078419277cae415f41c245a

87248b479f5d0d143e713013dc2930a6a2cfac53

SHA-256

e481a8fdbd7f607a1700ab4f650789a03be158e2b2bb86e218ef84dba945c51e

179a72a814be2395211d4af60eaab3298b4ab4ae00eed8494f8a8c409f785ddd

URL

http://raw.githubusercontent.com/quangbaond/tang-han-muc-2/4e5c668e70dcbeea97a443e2696c88e0348f768f/public/app/Techcombank_v3.10.13.apk

Supicious URL in binary

https://khach-hang-uu-tien[.]online/?app=mobile

1.4      Chiến dịch Phishing nhắm vào người dùng Microsoft OneDrive

Gần đây, các nhà nghiên cứu của Trellix đã phát hiện ra chiến dịch phishing nhắm vào người dùng Microsoft OneDrive. Dựa vào kỹ nghệ xã hội để lừa người dùng thực thi Powershell scripts độc hại.

Kẻ tấn công thực hiện phishing mail đính kèm tệp HTML. Khi tệp được mở, sẽ hiển thị trang OneDrive bao gồm thông báo lỗi kết nối với nội dung: không thể kết nối tới “OneDrive” cloud service. Để sửa lỗi này, người dùng cần cập nhật bộ nhớ đệm DNS thủ công. Đi kèm với 2 tùy chọn “How to fix” (Cách sửa) và “Details” (Chi tiết) được hiển thị như sau:

Khi người dùng click vào “Details” sẽ chuyển hướng đến trang OneDrive hợp lệ về cách khắc phục sự cố DNS. Tuy nhiên, khi thực hiện click vào tùy chọn “How to fix” sẽ kích hoạt lệnh gọi hàm GD trong .js scripts được nhúng trong tệp .html và thực hiện tải thêm các hướng dẫn yêu cầu người dùng làm theo.

Người dùng sẽ được yêu cầu làm theo một loạt các bước, bao gồm nhấn “Windows Key + X” để mở menu Quick Link, khởi chạy PowerShell terminal và dán một lệnh được mã hóa Base64 để sửa lỗi.

Phương thức atob() decode chuỗi dữ liệu được mã hóa Base64

execCommand sao chép lệnh Base64 được giải mã vào clipboard

Sau khi giải mã một phần lệnh Base64 encoded

Trước tiên chạy ipconfig /flushdns, sau đó tạo một thư mục downloads trên ổ C. Tiếp theo tải xuống một file lưu trữ vào vị trí này, đổi tên tệp, giải nén nội dung tệp “script.a3x” và “AutoIt3.exe”, thực thi script.a3x bằng AutoIt3.exe. Cuối cùng hiển thị thông báo với nội dung thao tác thành công và tải lại trang.

Chiến dịch Phishing khác

Một chiến dịch phishing mới cũng được phát hiện lợi dụng Microsoft Office Forms nhằm lừa người dùng tiết lộ thông tin đăng nhập Microsoft 365. Kẻ tấn công tạo biểu mẫu có chứa liên kết độc hại, sau đó thực hiện gửi hàng loạt mail đến mục tiêu với yêu cầu thay đổi mật khẩu hoặc truy cập tài liệu quan trọng.

Đầu tiên, kẻ tấn công truy cập và thực hiện gửi email dưới 1 tài khoản mail hợp lệ, lừa người dùng click vào liên kết dẫn đến 1 trang web tin cậy như Office Forms, Canva … để tránh phát hiện. Bước tiếp theo, người dùng click vào liên kết khác trên trang web hợp pháp, chuyển hướng tới trang giả mạo để đánh cắp thông tin đăng nhập.

Indicators of compromise (IoCs)

Email Attachment with the following filename format (dates and numbers vary):

clarify_27-May_202017.html

clarify_27-May_690357.html

clarify_15-june_586190.htm

Hashes

d6faa6bd1732517f260d94feb3cdbfc2

1152103edc64ddee7ea4e07cd5dd78ae

ef082ddcbf5c94f1da1d2026d36b6b3f

55cf60a640fc773a7c38de9c5e44da30

cf16271bfe826db5ef0c1a67433a619f

7f5c82eadbaadec6ba2b004fbafa9a31

328110e6c36cd70edac6bea395c40b18

363b4f9fdb1e2a5926037b207caecfe5

b183269587055f35cb23d2d33ff3f5fa

2df579460a76631836d108578af4caa5

0e36cf2719295596da0c7ef10b11df15

1eda7707ef4e03f0b1ab6b6fb96757a6

d524addd18d8014d72abb9dd172e782d

ef9d05bb8a24bec1d94123c90b1268bb

4341f0372eda93afce82908014f420d9

30997b5e63297c58c4f9fe73c8c200ac

eed2174f5b87d58b1b0baea0e509e141

deaf955bbf5d66db200e366ae3563eab

cac3c4005f952293b38302199494759a

fca4c1908da892161bbf09f1437dade7

A folder named c:\downloads containing these files:

A 2-character named .zip file (e.g., st.zip, D7.zip, wi.zip, C9.zip, DJ.zip, Ap.zip, hf.zip)

An AutoIt script named script.a3x

An AutoIt executable named AutoIt3.exe

MD5 Hashes for known samples of the AutoIt script payload:

beb8a50f67424c3b70cb56fc8833d246

04cdff477585cb0747ecd20052f03c2e

404bd47f17d482e139e64d0106b8888d

7a7d09b4bcd75bc7d7badd3c117596f7

a1846e262d900f56f4a7d5f51100ec44

dfa96717b69fa69d264a60b9de36f078

253cdeabd5e429832f9bbd7f37dd0798

Hash for the version of AutoIt3.exe used in the attack:

c56b5f0201a3b3de53e561fe76912bfd

MD5 Hashes for known samples of the .zip files:

763d557c3e4c57f7d6132a444a930386

d0ad617ed1812822eebc9592d49a575c

1ff108f1bfb39b21db5f1d4f7ad56bf2

96bb795d111717109fac22f8433c7e27

0852c3e7903dd3b1db6a6b232c33a25a

e0768bce522927eb89f74750e09f2a1c

7133ae7dd452aa6469c85e236a59159e

Sites:

hxxps://kostumn1[.]ilabserver[.]com

The site is marked as PUPs High Risk

https://trustedsource.org/.

1.5      Nhóm APT StormBamboo triển khai phần mềm độc hại trên thiết bị Windows và MacOS

Vào giữa năm 2023, các nhà nghiên cứu Volexity đã phát hiện phần mềm độc hại liên quan đến StormBamboo (hay gọi là Evasive Panda, trước đó được theo dõi với tên StormCloud), trong đó có nhiều biến thể được triển khai trên hệ điều hành macOS và Windows.

Vector ban đầu được xác định là dựa trên kết quả của cuộc tấn công DNS trên ISP -Internet Service Provider, StormBamboo đã thay đổi DNS query liên quan đến bản cập nhật phần mềm nhằm triển khai phần mềm độc hại bao gồm MACMA và POCOSTICK ( hay là MGBot). Dựa vào chiến thuật mà nhóm tấn công sử dụng, cho thấy sự tương đồng với tác nhân đe dọa DriftingBamboo.

Các DNS record bị thao túng điều hướng tới máy chủ do kẻ tấn công kiểm soát, có địa chỉ IP 103.96.130[.]107 tại Hồng Kông. Lợi dụng cơ chế tự động cập nhật không an toàn trên môi trường của nạn nhân, kẻ tấn công phân phối phần mềm độc hại mà không yêu cầu tương tác từ người dùng.

Ứng dụng hợp pháp thực hiện 1 HTTP request để lấy file dạng văn bản (có thể định dạng khác nhau) chứa phiên bản ứng dụng mới nhất và một liên kết đến trình cài đặt. Sau đó, lợi dụng quyền kiểm soát các DNS request, kẻ tấn công chuyển hướng HTTP request đến máy chủ C2 được kiểm soát, lưu trữ một tệp văn bản giả mạo và trình cài đặt độc hại.

Hình ảnh hiển thị HTTP request để nâng cấp Youtube.config

StormBamboo đã sử dụng DNS poisoning để lưu trữ tệp cấu hình đã sửa, dẫn đến việc phần mềm YoutubeDL tải xuống phiên bản nâng cấp từ máy chủ của kẻ tấn công. Thông qua việc chèn mã độc vào YouTubeDL.py, mục đích tải xuống tệp PNG chứa MACMA (macOS) hoặc POCOSTICK (Windows) tùy thuộc vào hệ điều hành.

Một hoạt động khác trên thiết bị MacOS, sau khi xâm nhập thành công StormBamboo triển khai tiện ích mở rộng Google Chrome, được cài đặt bằng tệp nhị phân tùy chỉnh ee28b3137d65d74c0234eea35fa536a và triển khai bằng cách sửa đổi tệp Secure Preferences. Trình cài đặt sửa các giá trị protections.macs và protections.super_mac trong SecurePreferences bản sửa đổi. Nếu không đúng giá trị, Chrome sẽ ghi đè lên SecurePreferences.

Plugin được lưu trữ và kích hoạt bằng trình cài đặt chạy AppleScript command

osascript -e tell application “Google Chrome” to activate

Cuối cùng, plugin được kích hoạt bằng trình cài đặt chạy command

osascript -e tell application “Google Chrome” to activate

Indicator of Compromise (IoCs)

103.96.130.107 ipaddress C2 server
152.32.159.8 ipaddress MACMA C2 Server
122.10.90.20 ipaddress CATCHDNS C2
122.10.89.110 ipaddress CATCHDNS C2
59.188.69.231 ipaddress CATCHDNS C2
049e8677406de5f0061f3960f9655b5f file CATCHDNS
d14431e79dc109d7aad91a5411d406c99ffc524c
4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515
ce5fdde7db4ee41808f9c7d121311f78 file CATCHDNS
bb030c405f33557bc5441165a0f8bf9a6d5a82a6
3f76933e053b2e8e3458f2e69d72e10b6b6a97fb8ba0f0300aa415b99c032aea
2a6c10a34fa1e2a38673f4ca20c303a1 file CATCHDNS
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc
17aebd011dcd3e7c11484c2f98fa0901c2ea1325fdd6c03904d30ebfc8747a99
07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3 file RELOADEXT installer
66346b3d841dc56a387f48b4dfba96083c37ec2e
ee28b3137d65d74c0234eea35fa536af
77406e090ad9214942d7ca91ddd09b0435bafe42ffa2512819a7bc6cdec112b8 file MACMA keylogger
68853cafd395edd08cd38ab6100c58e291a3a3d7
4958ede3b968ad464c983054479bf4d2
7e2e1fba2fabf677d08611a59b03d646a92bb6110182b61adae207c8a88b6d13 file RELOADEXT extension
c68e86985a4cb2f69e16fb943723af63833859b3
6abf9a7926415dc00bcb482456cc9467
806eabfa6ee245eaaf817c0336e07982fffc42efb1f39a2bfb44a5db2c89b126 file MACMA sample
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4
25e4eef79ad4126d5dc5567949848070
b76a9034e9abc7a62171e80f9d1f7fdf565cda286bd10fd3984eae769113c8c5 file MACMA-GIMMICK sample
84875b2cf9f8c778ff1462ef478918b4ac964afe
acfc69c743b733dd80c1d551ae01172b
b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d file DUSTPAN malware
e8e4a3fa69173a46cdb60c53877c7ad557accc51
4c8a326899272d2fe30e818181f6f67f

1.6      Nhóm tấn công liên quan đến Black Basta nhắm vào người dùng bằng phần mềm độc hại SystemBC

Kẻ tấn công sử dụng kỹ thuật spearphishing voice để giành quyền truy cập ban đầu vào hệ thống. Kẻ tấn công gọi điện cho người dùng thông qua Microsoft Teams và giả mạo là thành viên trong nhóm CNTT, sau đó thuyết phục người dùng tải xuống và cài đặt AnyDesk – một công cụ truy cập từ xa phổ biến cho phép kẻ tấn công kiểm soát máy tính người dùng, drop và thực thi payload trong giai đoạn đầu để tấn công.

Kẻ tấn công thực thi 32-bit .NET AntiSpam.exe nhằm thu thập thông tin

Sau quá trình này, AntiSpam.exe sẽ nhắc người dùng nhập thông tin cá nhân.

Sau khi thu thập thông tin xác thực, kẻ tấn công thực hiện 1 loạt binaries và Powershell scripts để thiết lập kết nối đến máy chủ C2.

Một số tên payload tiếp theo bao gồm phần mềm độc hại SystemBC, Golang HTTP beacons, Socks proxy beacons, Beacon Object File (BOF)

update1.exe

update4.exe

update6.exe

update7.exe

update8.exe

update2.dll

update5.dll

update7.ps1

Sau khi thực thi, payload update6.exe khai thác lỗ hổng CVE-2022-26923 để tạo tài khoản nhằm leo thang đặc quyền. Ngoài ra, kẻ tấn công còn sử dụng reverse SSH và Level Remote Monitoring and Management (RMM) để thiết lập lateral movement và persistence.

AntiSpam.exe

Ban đầu có tên là update3.exe, hàm AllocConsole để tạo một cửa sổ console, hiển thị thông báo đến người dùng.

Vòng lặp tải xuống Fake filters trong AntiSpam.exe

Khi vòng lặp này được hoàn tất, chương trình khởi tạo 1 cửa sổ nhắc người dùng nhập thông tin xác thực để hoàn tất quá trình cập nhật.

Trong lần đầu người dùng nhập thông tin đăng nhập, AntiSpam.exe tạo ra lệnh liệt kê thông qua cmd.exe: systeminfo, route print, và ipconfig /all. Kết quả sẽ được lưu tại %TEMP%\qwertyuio.txt

Sau khi nhập thông tin hợp lệ, thông báo thành công được hiển thị.

updatex.exe

Sau khi đã thu thập các thông tin, kẻ tấn công chạy một loạt tệp thực thi, trong đó mỗi tệp bắt đầu bằng “update” và kết thúc bằng 1 số.

update1.exe

Tệp update1.exe sẽ download và decrypt ( sử dụng XOR key: 58 4C 4B 61 58 55 71 4F 58 4A 45 36 4A 34 75 57 66 65 2A 35 45 24 3F 75 55 4C 00), thực thi tệp từ một embedded resource. Quá trình thực hiện thông qua kỹ thuật Local PE Injection – kỹ thuật cho phép tệp thực thi portable executable (PE) có thể được thực thi trong bộ nhớ ảo của một quy trình mà không cần sử dụng payload của Windows để đọc tệp từ disk.

Một số strings embedded trong tệp thực thi

main.(*S_gCuh3yYV).ConnectForSocks

main.(*HtinANA).GetAvailableRelayServer

Tải trọng thực thi khác có chức năng tương tự bao gồm update2.dll, tệp này cũng thực hiện tải 1 payload thực thi giai đoạn hai thông qua kỹ thuật Local PE Injection. Payload giai đoạn thứ 2 được thực thi sẽ kết nối đến 1 số địa chỉ C2 thông qua sử dụng thư viện Golang HTTP.

update4.exe

Đây là một tệp giả mạo của APEX Scan, kẻ tấn công chèn thêm mã độc vào trước entry point

Khi update4.exe được thực thi, sau đó sẽ download, decrypt, và execute shellcode. Shellcode này kết nối với IPv4 C2 91.196.70[.]160:443. Sau khi kết nối sẽ hoạt động như proxy socks, đóng vai trò trung gian giữa 91.196.70[.]160 và các địa chỉ IPv4 khác mà kẻ tấn công chỉ định.

update6.exe

Khi thực thi, update6.exe sẽ khai thác CVE-2022-26923 để thu thập tài khoản trong trường hợp domain controller được sử dụng trong môi trường dễ bị khai thác.

C:\Users\lfkmf\source\repos\AddMachineAccount\x64\Release\AddMachineAccount.pdb

Mã nguồn gốc có thể được sao chép từ module Cobalt Strike được tạo bởi Outflank. update6.exe được biên dịch thành một tệp thực thi độc lập. Mặc dù chức năng giữa kho lưu trữ công khai và update6.exe gần như tương tự, nhưng update6.exe sử dụng thông tin xác thực được hardcoded với tên người dùng là SRVVSSKL và mật khẩu là GCmtHzw8uI$JnJB thay vì tạo tên người dùng và mật khẩu ngẫu nhiên.

update7.exe

update7.exe và update8.exe sử dụng phần mềm độc hại SystemBC

update7.exe

Original filename: KLDW.exe

SystemBC config: HOST1:halagifts[.]com,HOST2:217.15.175[.]191,PORT1:443

Trong quá trình thực thi, update7.exe sử dụng vòng lặp để giải mã/giải nén một payload SystemBC được nhúng, sau đó payload này được thực thi thông qua kỹ thuật Local PE Injection.

MITRE ATT&CK

Tactic Technique Procedure
Resource Development T1587.001: Develop Capabilities: Malware The threat actor is actively developing new malware to distribute.
Impact T1498: Network Denial of Service The threat actor overwhelms email protection solutions with spam.
Initial Access T1566.004: Phishing: Spearphishing Voice The threat actor calls impacted users and pretends to be a member of their organization’s IT team to gain remote access.
Execution T1059.001: Command and Scripting Interpreter: PowerShell The threat actor executes a socks proxy PowerShell script.
Defense Evasion T1140: Deobfuscate/Decode Files or Information The threat actor encrypts zip archive payloads with a password.
Defense Evasion T1055.002: Process Injection: Portable Executable Injection Multiple payloads executed by the threat actor utilize local PE injection.
Defense Evasion T1620: Reflective Code Loading Multiple payloads executed by the threat actor load and execute shellcode.
Defense Evasion Subvert Trust Controls: Code Signing The threat actor has signed many of their payloads to make them appear legitimate.
Privilege Escalation T1068: Exploitation for Privilege Escalation The threat actor attempts to exploit CVE-2022-26923 to create a machine account.
Credential Access T1056.001: Input Capture: Keylogging The threat actor runs an executable that harvests the user’s credentials.
Credential Access T1558.003: Steal or Forge Kerberos Tickets: Kerberoasting The threat actor requests a large volume of Kerberos service tickets once privileges have been escalated.
Discovery T1033: System Owner/User Discovery The threat actor enumerates users within the environment.
Lateral Movement T1570: Lateral Tool Transfer Anydesk was used to move payloads onto compromised systems.
Command and Control T1572: Protocol Tunneling SSH reverse tunnels were used to provide the threat actor with remote access.
Command and Control T1219: Remote Access Software The threat actor has used Anydesk to gain initial access and Level to move laterally.

 

Indicators of Compromise

Network Based Indicators (NBIs)

Domain/IPv4 Address Notes
spamicrosoft[.]com Used to make external Microsoft Teams calls after email bombing users.
37.221.126[.]202 C2 address used by the threat actor to connect via Anydesk.
91.196.70[.]160 Socks proxy server.
halagifts[.]com SystemBC C2 domain
217.15.175[.]191 SystemBC C2 IP address
preservedmoment[.]com Cobalt Strike domain
45.155.249[.]97 Cobalt Strike C2 IP address
77.238.224[.]56 C2 address.
77.238.229[.]63 C2 address.
77.238.250[.]123 C2 address.
77.238.245[.]233 C2 address.
91.142.74[.]28 C2 address.
191.142.74[.]28 C2 address.
195.2.70[.]38 C2 address.
falseaudiencekd[.]shop Lumma C2 domain
feighminoritsjda[.]shop Lumma C2 domain
justifycanddidatewd[.]shop Lumma C2 domain
marathonbeedksow[.]shop Lumma C2 domain
pleasurenarrowsdla[.]shop Lumma C2 domain
raiseboltskdlwpow[.]shop Lumma C2 domain
richardflorespoew[.]shop Lumma C2 domain
strwawrunnygjwu[.]shop Lumma C2 domain

 

Host Based Indicators (HBIs)

File SHA256 Notes
AntiSpam.exe ed062c189419bca7d8c816bcdb1a150c7ca7dd1ad6e30e1f46fae0c10ab062ef Credential harvester, version 1.
AntiSpam.exe d512bf205fb9d1c429a7f11f3b720c74680ea88b62dda83372be8f0de1073a08 Credential harvester, version 2.
AntiSpam.exe dc5c9310a2e6297caa4304002cdfb6fbf7d6384ddbd58574f77a411f936fab0b Credential harvester, version 3.
update1.exe 24b6ddd3028c28d0a13da0354333d19cbc8fd12d4351f083c8cb3a93ec3ae793 Original filename: YandexDiskSetup.exe.
update4.exe 9c1e0c8c5b9b9fe9d0aa533fb7d9d1b57db98fd70c4f66a26a3ed9e06ac132a7 Original filename: APEXScan.exe. Socks proxy.
update6.exe ac22ab152ed2e4e7b4cd1fc3025b58cbcd8d3d3ae3dbc447223dd4eabb17c45c Used to attempt exploitation of CVE-2022-26923 for privilege escalation.
update7.exe ab1f101f6cd7c0cffc65df720b92bc8272f82a1e13f207dff21caaff7675029f Original filename: KLDW.exe. SystemBC malware.
update8.exe 9ED2B4D88B263F5078003EF35654ED5C205AC2F2C0E9225D4CDB4C24A5EA9AF2 Original filename: YandexDiskSetup.exe. SystemBC malware.
update2.dll ab3daec39332ddeeba64a2f1916e6336a36ffcc751554954511121bd699b0caa Original filename: atiumdag.dll
update5.dll 7d96ec8b72015515c4e0b5a1ae6c799801cf7b86861ade0298a372c7ced5fd93 Original filename: Log.dll. Socks proxy.
update7.ps1 9dc809b2e5fbf38fa01530609ca7b608e2e61bd713145f84cf22c68809aec372 Socks proxy script.
AntiSpam.exe fb4fa180a0eee68c06c85e1e755f423a64aa92a3ec6cf76912606ac253973506 Not analyzed in this blog, likely cred harvester.
AntiSpam.exe fcf59559731574c845e42cd414359067e73fca108878af3ace99df779d48cbc3 Not analyzed in this blog, likely cred harvester.
update5.dll 949faad2c2401eb854b9c32a6bb6e514ad075e5cbe96154c172f5f6628af43ed Not analyzed in this blog, likely socks proxy.
update2.dll b92cf617a952f0dd2c011d30d8532d895c0cfbfd9556f7595f5b220e99d14d64 Not analyzed in this blog, likely Golang HTTP beacon.
APEXScan.exe cff5c6694d8925a12ce13a85e969bd468e28313af2fb46797bdcf77092012732 Not analyzed in this blog, likely socks proxy.
unnamed cb03b206d63be966ddffa7a2115ea99f9fec50d351dce03dff1240bb073b5b50 Not analyzed in this blog, likely the same BOF contained within update6.exe.
update1.exe ccaa8c8b39cb4a4de4944200936bcd4796367c16421a89e6a7d5476ae2da78cd Not analyzed in this blog, likely Golang HTTP beacon.
update4.exe 1ade6a15ebcbe8cb9bda1e232d7e4111b808fd4128e0d5db15bfafafc3ec7b8e Not analyzed in this blog, likely socks proxy.
lu2.exe ce1f44a677d9b7d1d62373175f5583d9e8c04e16ebd94656e21aa296e00e93d7 Original filename: swi_config.exe. Packed copy of Lumma Stealer.

 

Signatures

Signer Name Issuer Thumbprint Serial Number Date Signed
Guizhou Qi’ang Kangyuan Rosa Roxburghii Development Co., Ltd. SSL.com EV Code Signing Intermediate CA RSA R3 B55DAD8DA97FA6AF0272102ED0E55E76E753FD04 23 D2 CA AE 31 B7 54 60 AC DB D1 B4 2D 6E 77 43 2024-06-19 18:37:00 UTC
STERLING LIMITED GlobalSign GCC R45 EV CodeSigning CA 2020 DCB42EF087633803CD17C0CD6C491D522B8A2A2A 64 82 EA 28 C1 28 78 B4 BC 3A A2 2D 2024-06-18 15:48:00 UTC

 

1.7      Onyx Sleet sử dụng phần mềm độc hại nhằm thu thập thông tin tình báo cho Triều Tiên

Onyx Sleet thực hiện hoạt động gián điệp mạng nhắm mục tiêu vào các lĩnh vực công nghiệp quân sự, quốc phòng, công nghệ … khu vực Ấn Độ, Hàn Quốc và Hoa Kỳ, hoạt động ít nhất kể từ 2014. Các nhà nghiên cứu cho rằng Onyx Sleet có liên kết với Storm-0530, do hoạt động cùng cơ sở hạ tầng và có liên quan trong việc phát triển và sử dụng ransomware trong các cuộc tấn công vào cuối năm 2021 và 2022.

Trước đây, kẻ tấn công sử dụng hình thức spear-phishing để xâm nhập vào môi trường mục tiêu. Trong các chiến dịch gần đây, phát hiện tác nhân này khai thác lỗ hổng N-day cho phép nhóm tấn công thực hiện bước trinh sát tiếp theo, persistent, leo thang đặc quyền, lateral movement, thu thập dữ liệu bằng cách kết hợp các backdoor, RAT, off-the-shelf tools ( bao gồm Sliver, RMM, tools SOCKS, Ngrok, masscan) , open-source utilities

Tuy nhiên, Onyx Sleet thực hiện thêm máy chủ C2, tạo mã độc mới và thực hiện nhiều chiến dịch

Một số lỗ hổng gần đây được Onyx Sleet khai thác bao gồm:

  • CVE-2023-46604 (Apache ActiveMQ)
  • CVE-2023-22515 (Confluence)
  • CVE-2023-27350 (PaperCut)
  • CVE-2023-42793 (TeamCity)

Một số phần mềm độc hại được sử dụng:

  • TigerRAT: phần mềm độc hại đánh cắp thông tin bí mật và thực hiện các lệnh: keylogging và screen recording từ C2
  • SmallTiger: Phần mềm độc hại nhắm vào tổ chức sản xuất và quốc phòng của Hàn Quốc. Trong quá trình lateral movement, phần mềm độc hại đuọc phân phối dưới dạng .DLL và kết nối C2 để tải xuống và khởi chạy payload vào bộ nhớ. Đây là một backdoor C++
  • LightHand: một backdoor được truy cập từ xa vào thiết bị mục tiêu. Thông qua backdoor này, kẻ tấn công có thể thực thi các câu lệnh thông qua exe để thu thập thông tin lưu trữ, liệt kê thư mục và tạo/xóa tệp.
  • ValidAlpha (BlackRAT): một backdoor tùy chỉnh được phát triển bởi ngôn ngữ Go, có thể chạy 1 file bất kỳ, liệt kê nội dung thư mục, download file, chụp ảnh màn hình và thực thi các câu lệnh tùy ý.

Indicators of compromise (IoCs)

IP addresses

84.38.134[.]56

45.155.37[.]101

213.139.205[.]151

109.248.150[.]147

162.19.71[.]175

147.78.149[.]201

URL

hxxp://84.38.134[.]56/procdump.gif

Actor-controlled domain

americajobmail[.]site

privatemake.bounceme[.]net

ww3c.bounceme[.]net

advice.uphearth[.]com

SHA-256

TigerRAT

f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c

0837dd54268c373069fc5c1628c6e3d75eb99c3b3efc94c45b73e2cf9a6f3207

29c6044d65af0073424ccc01abcb8411cbdc52720cac957a3012773c4380bab3

fed94f461145681dc9347b382497a72542424c64b6ae6fcf945f4becd2d46c32

868a62feff8b46466e9d63b83135a7987bf6d332c13739aa11b747b3e2ad4bbf

LightHand

f1662bee722a4e25614ed30933b0ced17b752d99fae868fbb326a46afa2282d5

1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1

3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061

8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f

7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b

ValidAlpha

c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c

c1a09024504a5ec422cbea68e17dffc46472d3c2d73f83aa0741a89528a45cd1

Fake Tableau certificate

Signer: INVALID:Tableau Software Inc.

SignerHash: 6624c7b8faac176d1c1cb10b03e7ee58a4853f91

CertificateSerialNumber: 76cb5d1e6c2b6895428115705d9ac765

2        Malware

2.1     Phân tích mã độc được sử dụng để tấn công vào đơn vị Nhà nước tại Việt Nam

Trong quá trình giám sát an toàn thông tin, NCS phát hiện chiến dịch tấn công vào đơn vị trực thuộc bộ ban ngành tại Việt Nam. Trong chiến dịch tấn công, Threat Actor triển khai mã độc CobaltStrike trên máy các máy chủ máy trạm bị ảnh hưởng. Nhóm tấn công lạm dụng các tệp tin thực thi hợp pháp của FortiClient (FCVbltScan.exe, FortiElevate.exe) hoặc GeForce Experience (NVIDIA GeForce Experience.exe), sau đó thực hiện đổi tên các tệp tin hợp pháp đồng thời drop thêm một DLL độc hại cùng một file config. Tệp tin DLL độc hại (utilsdll.dll hoặc libcef.dll) nằm cùng thư mục với tệp tin định dạng .exe, DLL sẽ được load khi các .exe thực thi. NCS cũng ghi nhận kẻ tấn công sử dụng thêm cách thức tạo lập lịch để thực thi mã độc.

Tại export function log_initialize(), mã độc sẽ resolve và tìm kiếm tên các hàm cần sử dụng khi thực thi trong các thư viện như NTDLL.dll, đọc file payload .dat, giải mã dữ liệu trong vùng nhớ được cấp phát và thực thi

Cấu hình đường dẫn file trỏ tới payload được mã hóa bằng thuật toán XOR, sau giải mã thu được đường dẫn đầy đủ “C:\Program Files\Google\auth.dat”

Sau khi cấp phát vùng nhớ và sao chép data trong file, dữ liệu trong auth.dat sẽ được giải mã và khơi tạo thread mới thông qua ZwCreateThreadEx API.

Payload cuối thu được là CobaltStrike beacon bao gồm cả HTTPS và SMB, cấu hình như sau

Trong cấu hình, kẻ tấn công cũng sử dụng kỹ thuật Domain Fronting để che dấu địa chỉ C2 thật sự của CobaltStrike thông qua các domain tin cậy.

Indicator of Compromise (IoCs)

File name:

utilsdll.dll

1366edf90d582ed138411e95f2dd8b7b108b3781

5540980311226543b9fe4a21a2cb2f7816f35403

6f676d71de2a81dd1d5d9dd42bf14c400fac36b8

79348c4fd62bce5a46d76ead97a71f691df7f2b7

8a90110c465354d2f1c596554fdab607b1ca67e7

916fc876ba825b437adaa23c1c353ea47a194750

9d1ff20d1254a57f5a91a02c03fb70b9958f0397

ba6b36466125d7e8720109f258add9c8533e478b

d080a072b55fbc192dd99f9372d0bed43216cd32

d144f3fa5b4529de377dd53ec531277819489854

libcef.dll

6341855d258512588a56031a0df12d833855a5ec

f3d906faaed5481bd395d89d8ebe11a152b27d8f

FPCSDK.dll

de92574b0d6ae765b8731d48f6cd0439cb2dfd3b

auth.dat

1687923cf3fe1f58c1ba23a76f891662c0b283a9

Fronted Domains

www[.]ookla[.]com

onegdc[.]net

guardian[.]co[.]uk

Proxy config

191[.]101[.]18[.]222

Cobaltstrike C2

jp[.]comologate[.]jiraservice[.]com

taichinh[.]vn

Pipename – SMB beacon

\\\\.\\pipe\\Spool\\pipe_UMWJ_cf

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday –August 2024

Trong tháng 08, Microsoft đã phát hành các bản vá cho 90 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure; Co-Pilot, Microsoft Dynamics, Teams, Secure Boot. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 79 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:

3.1.1       CVE-2024-38193 – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193

3.1.2       CVE-2024-38106 – Windows Kernel Elevation of Privilege Vulnerability.

CVSS: 7.0/10

Mô t: Tồn tại lỗ hổng race condition cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106

3.1.3       CVE-2024-38107 – Windows Power Dependency Coordinator Elevation of Privilege Vulnerability.

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM  trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38107

3.1.4       CVE-2024-38189 – Microsoft Project Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Khai thác lỗ hổng yêu cầu tương tác từ người dùng, kẻ tấn công thuyết phục người dùng truy cập file Microsoft Office Project độc hại dẫn đến kẻ tấn công thực thi mã từ xa.

Phiên bn nh hưởng:

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Project 2016 (64-bit edition)

Microsoft Project 2016 (32-bit edition)

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189

3.1.5       CVE-2024-38063 – Windows TCP/IP Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Windows TCP/IP. Khai thác lỗ hổng không yêu cầu xác thực.

Phiên bn nh hưởng:

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

3.1.6       CVE-2024-38178 – Scripting Engine Memory Corruption Vulnerability

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng Memory Corruption trong Scripting Engine. Khai thác lỗ hổng yêu cầu yêu cầu tương tác từ người dùng, từ đó có thể thực thi mã từ xa trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows 10 for 32bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Windows 11 Version 24H2 for x64based Systems

Windows 11 Version 24H2 for ARM64based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1       CVE-2024-20417 – Cisco Identity Services Engine REST API Blind SQL Injection Vulnerabilities

CVSS: 6.5/10

Mô t: Tồn tại lỗ hổng Blind SQL Injection trong REST API trên Cisco Identity Services Engine (ISE) cho phép kẻ tấn công xem hoặc sửa đổi dữ liệu. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công gửi input độc hại đến hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Cisco ISE phiên bản <= 3.3

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rest-5bPKrNtZ

3.2.2       CVE-2024-43044 – Arbitrary file read vulnerability through agent connections can lead to RCE

CVSS: 9.0/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công đọc file tùy ý trên bộ điều khiển Jenkins bằng cách sử dụng phương thức ClassLoaderProxy#fetchJar trong Remoting library. Khai thác lỗ hổng thành công cho phép kẻ tấn công có thể thực thi mã từ xa, truy cập vào dữ liệu nhạy cảm như source code và thông tin xác thực. Theo mô tả từ hãng, lỗ hổng cho phép đọc file tùy ý có thể dẫn tới các tấn công khác như RCE.

Phiên bn nh hưởng:

Jenkins phiên bản <= 2.470

Jenkins LTS phiên bản <= 2.452.3

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.jenkins.io/download/

https://www.jenkins.io/security/advisory/2024-08-07/

3.2.3       CVE-2024-43045– Missing permission check allows accessing other users’ “My Views”.

CVSS: 5.4/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công có quyền Overall/Read truy cập vào “My views” của người dùng, dẫn đến kẻ tấn công thu thập thông tin nhạy cảm và thay đổi chế độ xem của người dùng khác

Phiên bn nh hưởng:

Jenkins phiên bản <= 2.470

Jenkins LTS phiên bản <= 2.452.3

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.jenkins.io/download/

https://www.jenkins.io/security/advisory/2024-08-07/

3.2.4       CVE-2024-5915 – GlobalProtect App: Local Privilege Escalation (PE) Vulnerability

CVSS: 5.2/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền trên Palo Alto Networks GlobalProtect on Windows.

Phiên bn nh hưởng:

GlobalProtect App 6.3 đến phiên bản < 6.3.1

GlobalProtect App 6.2 đến phiên bản < 6.2.4

GlobalProtect App 6.1 đến phiên bản < 6.1.5

GlobalProtect App 6.0 đến phiên bản < 6.0.x

GlobalProtect App 5.1 đến phiên bản < 5.1.x

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-5915

3.2.5       CVE-2024-5916 – PAN-OS: Cleartext Exposure of External System Secrets

CVSS: 6.0/10

Mô t: Tồn tại lỗ hổng Information Exposure trên Palo Alto Networks PAN-OS cho phép đọc thông tin nhạy cảm như password, tokens of external systems … dưới dạng bản rõ từ đó dẫn đến lộ lọt thông tin.

Phiên bn nh hưởng:

Phiên bản Cloud NGFW trước ngày 15/08 trên Azure và trước 23/08 trên AWS

Phiên bản PAN-OS 11.0 đến phiên bản < 11.0.4

Phiên bản PAN-OS 10.2 đến phiên bản < 10.2.8

   Lưu ý: Các phiên bản PAN-OS 11.1 ,PAN-OS 10.1, PAN-OS 9.1, Prisma Access không bị ảnh hưởng bởi lỗ hổng. Bản vá bảo mật cho Cloud NGFW đang được hãng phát triển, dự kiến phát hành  sau ngày 15/08 trên Azure và sau ngày 23/8 trên AWS

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-5916

3.2.6       CVE-2024-5914 – Cortex XSOAR: Command Injection in CommonScripts Pack

CVSS: 7.0/10

Mô t: Tồn tại lỗ hổng Command Injection trên Palo Alto Networks Cortex XSOAR CommonScripts cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Cloud Foundation (vCenter Server) phiên bản 4.x và 5.x

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-5914

3.2.7       CVE-2024-22116- Remote code execution within ping script

CVSS: 9.9/10

Mô t: Quản trị viên bị giới hạn quyền có thể khai thác chức năng thực thi scripts trong Monitoring Hosts. Các script parameters không được xử lý (escaping) theo mặc định cho phép kẻ tấn công thực thi mã từ xa thông qua ping script, dẫn đến ảnh hưởng cơ sở hạ tầng của hệ thống.

Phiên bn nh hưởng:

Zabbix phiên bản từ 6.4.0 đến 6.4.15

Zabbix phiên bản từ 7.0.0alpha1 đến 7.0.0rc2

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.zabbix.com/security_advisories

3.2.8       CVE-2024-36461- Direct access to memory pointers within the JS engine for modification

CVSS: 9.1/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công có thể sửa đổi trực tiếp các memory pointers trong JavaScript engine trên Zabbix. Khai thác lỗ hổng thành công cho phép kẻ tấn công có thể truy cập vào toàn bộ cơ sở hạ tầng thông qua thực thi mã từ xa.

Phiên bn nh hưởng:

Phiên bản từ 6.0.0 đến 6.0.30

Phiên bản từ 6.4.0 đến 6.4.15

Phiên bản từ 7.0.0alpha1 đến 7.0.0

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.zabbix.com/security_advisories