Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Braodo Info Stealer nhắm mục tiêu vào Việt Nam
Các nhà nghiên cứu của CYFIRMA đã phát hiện ra một phần mềm độc hại viết bằng ngôn ngữ Python, đặt tên là Braodo Stealer, hoạt động từ đầu năm 2024 và được phát triển bởi các tác nhân đe dọa có trụ sở tại Việt Nam. Kẻ tấn công thông qua hình thức phishing và spear-phishing emails nhắm mục tiêu vào người dùng tại Việt Nam và một số nước khác như: United States, Czechia, Germany, Netherlands, Singapore, UK ….
Kẻ tấn công đánh cắp thông tin dữ liệu trình duyệt thông qua telegram bot, đánh cắp thông tin đăng nhập từ các nền tảng như Coinbase, Binance, Wise.com, Payoneer, và PayPal, GitHub, Amazon AWS, ResearchGate, Walmart, Shopify, LinkedIn, Twitter, TikTok, Reddit, Facebook, Instagram, Netflix, Microsoft, RiotGames, và Garena …
Phần mềm độc hại dùng kỹ thuật obfuscated, sử dụng batch scripts, PowerShell, executables (exe), HTA, và PDF files nhằm tránh phát hiện và lây lan trong hệ thống. Các kho lưu trữ trên Github được sử dụng để lưu trữ mã độc và dùng Telegram bot để truyền tải dữ liệu.
Biến thể Braodo stealer downloader (định dạng BAT, MSI, HTA) và payloads Document.zip, Documentt.zip được lưu trữ trên HTTP server tại địa chỉ IP: 103[.]54[.]153[.]116. Ngoài ra, server với địa chỉ IP: 45[.]147[.]97[.]170 cũng được tìm thấy sau khi giải mã “breakingbad.bat” script.
IP 103[.]54[.]153[.]116 được đặt tại Singapore, lưu trữ một số trang web không hoạt động của chính phủ Việt Nam hoặc một số trang web phishing. Ngoài ra, địa chỉ IP này cùng một ASN (Autonomous System Number), cùng computer name và cùng OS với địa chỉ IP của kẻ tấn công.
Một số trang web của Chính phủ Việt Nam do kẻ tấn công giả mạo “VNeID- Trung tâm Dữ liệu Quốc gia về Dân cư” và “Cổng dịch vụ công- Bộ Công an”. Tuy nhiên, chưa ghi nhận kết nối trực tiếp đến trang web chính thức của Chính phủ.
Mã độc này đánh cắp thông tin cookie, thông tin đăng nhập và sử dụng các kênh Telegram để trao đổi dữ liệu.
Phân tích
Khi thực thi batch script của Braodo Stealer, nhiều phiên bản của Powershell và cmd.exe được tạo, cuối cùng là thực thi python.exe chạy tập lệnh sim.py
Nội dung của batch script được obfuscated
Kẻ tấn công nhúng các byte “FF FE 0D 0A” vào script. Sau khi xóa các byte này, nội dung ban đầu của script vẫn ở dưới dạng được xáo trộn. Sử dụng Python script để decode tập lệnh được xáo trộn thấy rằng mã này thực thi một tập lệnh Powershell khác.
Kẻ tấn công thực hiện download file từ kho lưu trữ GitHub:
- update1.bat: được obfuscated và thiết lập persistence bằng cách thêm batch script vào thư mục Windows Startup
- 1.zip: được download và lưu tại Public\Document.zip, chứa main source code của Braodo Stealer
- Document.zip: chứa stealer code và nằm tại đường dẫn Lib/sim.py.
Kẻ tấn công sử dụng ipinfo.io để thu thập thông tin của nạn nhân và nhắm mục tiêu vào các đường dẫn của trình duyệt.
File window.txt lưu trữ tất cả tiến trình đang chạy trên máy của nạn nhân
Một số funtion được ‘hehe()’ sử dụng để khởi chạy cho từng trình duyệt trên hệ thống.
Get_Chrome()
Get_firefox()
Get_edge()
Get_opera()
Get_brave()
Get_chromium()
Bằng cách sử dụng các hàm này, dữ liệu trình duyệt như cookie, password đã lưu được thu thập và lưu trữ trong thư mục exfiltration. Sau đó dữ liệu này được nén và trao đổi qua Telegram.
MITRE ATT&CK
Tatics | Technique |
Execution (TA0002) | 1059 : Command and Scripting Interpreter |
T1064 : Scripting | |
Persistence (TA003) | T1547.001 : Startup Folder |
Credential Access (TA006) | T1555.003 Credentials from Web Browsers |
T1606.001 : Web Cookies | |
Discovery (TA007) | T1057: Process Discovery |
T1083: File and Directory Discovery | |
Collection (TA009) | T1005 : Data from Local System |
Exfiltration (TA0010) | T1041 : Exfiltration Over C2 Channel |
Command and Control (TA0011) | T1071.001 : Web Protocols |
Indicator of Compromise (IoCs)
Indicator | Type | Remarks |
e246a68e4ff8098ffd08da24c27726a11daa84f63b27bf79b93b374d9757d032 | SHA256 Hash | Technical specifications of the Car (technical specifications, colors, technology…).bat |
f4f843853c7a08c08181516ae2a910dfeb712e32b4ab10df23149d9f57ab581e | SHA256 Hash | brbad.bat |
6ec111b78a9788fcbca92dcc48b0d5f78d4df6a5f8d0ce96390851e832eace0d | SHA256 Hash | breakingbad.bat |
4092ff03e7a69efd728a0dd2a181fdeef99df6ebdf0e6f39140718e805efe655 | SHA256 Hash | breakingbad.msi |
4c3b91cd25650a7e1ee80164fd0598cdbf64e75ddf4ce08141aea42ee56cb134 | SHA256 Hash | dejin.pdf |
b84dc0ea50ce08686d543cc08b87792026c233afee9b029768e0648cf5b06bd8 | SHA256 Hash | Documentt.zip |
998bb0d396dbf2ed6a412737f040228b00782267d473ceae502788451e076825 | SHA256 Hash | Document.zip |
76c0693dce55c0835ad73102541d4244b3b7ee91649890faca85290b4f9ab005 | SHA256 Hash | file.hta |
f735c170cee9e89c0318f266fc7469fde40d19eca406fbfa974b872a9b367a19 | SHA256 Hash | Update Browser.bat |
bde85da1206fa48ac5a66818023a495bb03418a32a2936afef3cdb332a2bce17 | SHA256 Hash | UpdateBrowser.msi |
f65c51f438241475dd8856ffa578610cfabab4aa8b52a09febf5ae061a5f42f7 | SHA256 Hash | via us.txt.zip |
c15dee4fe227d6311f612f3aacc86080e2f8c450ad3b78d1271603891ec61a52 | SHA256 Hash | ViaUs.txt.zip |
103[.]54[.]153[.]116 | C2 | Hosts Malware |
45[.]147[.]97[.]170 | C2 | Hosts Malware |
github[.]com/s123s1/s/ | Github Repo | Hosts Malware |
github[.]com/vtbg1/s/ | Github Repo | Hosts Malware |
github[.]com/zzhshsss/s/ | Github Repo | Hosts Malware |
bot7120180818:AAEBAEYZZ44zM8wICJ-bJTLHKbnhDEYwVrk | Telegram Bot | Exfiltration Telegram |
bot7120260932:AAE2zApf_cqTt57pmwxJUodvBar2l7x7fbA | Telegram Bot | Exfiltration Telegram |
bot6878187208:AAFjqOqPfUbezs5GaBB-x99QhDkXaXsWgpg | Telegram Bot | Exfiltration Telegram |
bot7094444204:AAFoaWZVfCF4ZyHvMpuAY0U15D3JlzxhNYg | Telegram Bot | Exfiltration Telegram |
bot7147346317:AAHcazkPzwexz-_QwcdWQr96JJMKueLC6MQ | Telegram Bot | Exfiltration Telegram |
bot7024022476:AAFClxu17D2YaSM8zOcRBkgmvgZ2horf6LU | Telegram Bot | Exfiltration Telegram |
1.2 Chiến dịch Malspam Redline Stealer giả mạo công ty dầu khí nhắm mục tiêu vào Việt Nam
Trong quá trình giám sát trên không gian mạng, NCS phát hiện ra chiến dịch malspam RedLine Stealer trong đó kẻ tấn công giả mạo công ty dầu khí tại Việt Nam chuyên về các hoạt động thăm dò và khai thác.
RedLine Stealer là phần mềm độc hại được nhiều nhóm tấn công sử dụng nhằm đánh cắp thông tin đăng nhập, thông tin thẻ tín dụng, lịch sử trình duyệt và ví tiền điện tử. Sau khi cài đặt, dữ liệu được thu thập từ máy tính của nạn nhân sẽ được gửi đến máy chủ từ xa hoặc Telegram của kẻ tấn công.
Mục tiêu đang bị nhắm đến trong cuộc tấn công này là các công ty trong nước và quốc tế tại Việt Nam trong nhiều lĩnh vực khác nhau, bao gồm các nhà sản xuất dầu khí, công nghiệp, điện và HVAC, sơn, hóa chất, khách sạn … Kẻ tấn công thực hiện gửi đến mục tiêu email độc hại có đính kèm 1 tệp RAR độc hại (1.No. BDOPS-2024-057_RFQ.rar), chứa mã thực thi của RedLine Stealer (Palace Residences 2024-25.exe), với nội dung mời thầu từ công ty dầu khí, yêu cầu người nhận xác nhận và gửi lại báo giá.
Indicators of Compromise (IoC)
RedLine Stealer’s binary (Palace Residences 2024-25.exe)
gGao.exe
MD5: 9e2decc3ed04ac5b71573850480adb3b
SHA-1: fa8969e0d8f30ebac57473154dd3cd176fc25d2c
SHA-256:
7e9b11c92ef2dc1c5c147a3a2622ef4dba4a6e400c84885f0f6c1bf5c2f72f6a
GGJI.exe
MD5: 8c1816026353805593b49cb070bddac4
SHA-1: b58bc12ae6c47073cef3eeca2353296269f0d549
SHA-256: 1fecff793d18e85a65bac974915ee77d00c7c6be9ea44f62aac7df5f15f7a733
1.3 Kẻ tấn công sử dụng các biến thể giả mạo ứng dụng ngân hàng nhắm mục tiêu vào Việt Nam
Trong quá trình giám sát trên không gian mạng, NCS phát hiện kẻ tấn công nhắm mục tiêu vào người dùng Việt Nam bằng cách sử dụng SpyNote – một trojan truy cập từ xa trên thiết bị Android, giả mạo ứng dụng ngân hàng Techcombank (hay là Ngân hàng TMCP Kỹ thương Việt Nam). Ứng dụng giả mạo được lưu trữ trên URL GitHubusercontent, từ đó kẻ tấn công có thể phát tán URL độc hại thông qua hình thức phishing emails, SMS, phương tiện xã hội … với mục đích lừa người dùng tải xuống và cài đặt.
Ngoài ra, một biến thể ransomware SARA khác cũng được kẻ tấn công sử dụng, giả mạo ứng dụng ngân hàng MB Bank trên hệ điều hành Android sau đó phát tán thông qua SMS có chứa URL độc hại. Sau khi thực thi, phần mềm độc hại sẽ yêu cầu các quyền truy cập file và phương tiện, danh bạ, tin nhắn SMS và vị trí… Sau đó, khóa màn hình và mã hóa tệp trên thiết bị của nạn nhân tùy thuộc vào cấu hình của kẻ tấn công. Trong trường hợp chọn mã hóa tệp, mật khẩu sẽ được tạo nhằm mã hóa và lưu vào shared preference. Tiếp theo, mã hóa các tệp (txt, jpg, jpeg, pdf, zip, doc, xls, etc.) và thêm .enc extension. Kẻ tấn công tạo file để lưu trữ và drop ransom note README.txt vào các thư mục và gửi thông báo “Locked” cùng với nội dung cho rằng tệp đã bị mã hóa và yêu cầu nạn nhân đọc ghi chú đòi tiền chuộc.
Biến thể ransomware SARA này còn được các kẻ tấn công sử dụng nhằm giả mạo Spotify, CashApp, Instagram, YouTube, bản cập nhật Chrome…
NCS vẫn tiếp tục phân tích và cập nhật thêm thông tin khi có các thông tin mới về các mẫu mã độc.
Indicator of Compromises (IoCs)
Techcombank_v3.10.13.apk
mbbank.apk
MD5
d167bb2fbfbf2833d363f0875b99839b
d616aa826bb7be2eb1fc90cd7299f4d9
SHA-1
13d4badb7c8290986078419277cae415f41c245a
87248b479f5d0d143e713013dc2930a6a2cfac53
SHA-256
e481a8fdbd7f607a1700ab4f650789a03be158e2b2bb86e218ef84dba945c51e
179a72a814be2395211d4af60eaab3298b4ab4ae00eed8494f8a8c409f785ddd
URL
http://raw.githubusercontent.com/quangbaond/tang-han-muc-2/4e5c668e70dcbeea97a443e2696c88e0348f768f/public/app/Techcombank_v3.10.13.apk
Supicious URL in binary
https://khach-hang-uu-tien[.]online/?app=mobile
1.4 Chiến dịch Phishing nhắm vào người dùng Microsoft OneDrive
Gần đây, các nhà nghiên cứu của Trellix đã phát hiện ra chiến dịch phishing nhắm vào người dùng Microsoft OneDrive. Dựa vào kỹ nghệ xã hội để lừa người dùng thực thi Powershell scripts độc hại.
Kẻ tấn công thực hiện phishing mail đính kèm tệp HTML. Khi tệp được mở, sẽ hiển thị trang OneDrive bao gồm thông báo lỗi kết nối với nội dung: không thể kết nối tới “OneDrive” cloud service. Để sửa lỗi này, người dùng cần cập nhật bộ nhớ đệm DNS thủ công. Đi kèm với 2 tùy chọn “How to fix” (Cách sửa) và “Details” (Chi tiết) được hiển thị như sau:
Khi người dùng click vào “Details” sẽ chuyển hướng đến trang OneDrive hợp lệ về cách khắc phục sự cố DNS. Tuy nhiên, khi thực hiện click vào tùy chọn “How to fix” sẽ kích hoạt lệnh gọi hàm GD trong .js scripts được nhúng trong tệp .html và thực hiện tải thêm các hướng dẫn yêu cầu người dùng làm theo.
Người dùng sẽ được yêu cầu làm theo một loạt các bước, bao gồm nhấn “Windows Key + X” để mở menu Quick Link, khởi chạy PowerShell terminal và dán một lệnh được mã hóa Base64 để sửa lỗi.
Phương thức atob() decode chuỗi dữ liệu được mã hóa Base64
execCommand sao chép lệnh Base64 được giải mã vào clipboard
Sau khi giải mã một phần lệnh Base64 encoded
Trước tiên chạy ipconfig /flushdns, sau đó tạo một thư mục downloads trên ổ C. Tiếp theo tải xuống một file lưu trữ vào vị trí này, đổi tên tệp, giải nén nội dung tệp “script.a3x” và “AutoIt3.exe”, thực thi script.a3x bằng AutoIt3.exe. Cuối cùng hiển thị thông báo với nội dung thao tác thành công và tải lại trang.
Chiến dịch Phishing khác
Một chiến dịch phishing mới cũng được phát hiện lợi dụng Microsoft Office Forms nhằm lừa người dùng tiết lộ thông tin đăng nhập Microsoft 365. Kẻ tấn công tạo biểu mẫu có chứa liên kết độc hại, sau đó thực hiện gửi hàng loạt mail đến mục tiêu với yêu cầu thay đổi mật khẩu hoặc truy cập tài liệu quan trọng.
Đầu tiên, kẻ tấn công truy cập và thực hiện gửi email dưới 1 tài khoản mail hợp lệ, lừa người dùng click vào liên kết dẫn đến 1 trang web tin cậy như Office Forms, Canva … để tránh phát hiện. Bước tiếp theo, người dùng click vào liên kết khác trên trang web hợp pháp, chuyển hướng tới trang giả mạo để đánh cắp thông tin đăng nhập.
Indicators of compromise (IoCs)
Email Attachment with the following filename format (dates and numbers vary):
clarify_27-May_202017.html
clarify_27-May_690357.html
clarify_15-june_586190.htm
Hashes
d6faa6bd1732517f260d94feb3cdbfc2
1152103edc64ddee7ea4e07cd5dd78ae
ef082ddcbf5c94f1da1d2026d36b6b3f
55cf60a640fc773a7c38de9c5e44da30
cf16271bfe826db5ef0c1a67433a619f
7f5c82eadbaadec6ba2b004fbafa9a31
328110e6c36cd70edac6bea395c40b18
363b4f9fdb1e2a5926037b207caecfe5
b183269587055f35cb23d2d33ff3f5fa
2df579460a76631836d108578af4caa5
0e36cf2719295596da0c7ef10b11df15
1eda7707ef4e03f0b1ab6b6fb96757a6
d524addd18d8014d72abb9dd172e782d
ef9d05bb8a24bec1d94123c90b1268bb
4341f0372eda93afce82908014f420d9
30997b5e63297c58c4f9fe73c8c200ac
eed2174f5b87d58b1b0baea0e509e141
deaf955bbf5d66db200e366ae3563eab
cac3c4005f952293b38302199494759a
fca4c1908da892161bbf09f1437dade7
A folder named c:\downloads containing these files:
A 2-character named .zip file (e.g., st.zip, D7.zip, wi.zip, C9.zip, DJ.zip, Ap.zip, hf.zip)
An AutoIt script named script.a3x
An AutoIt executable named AutoIt3.exe
MD5 Hashes for known samples of the AutoIt script payload:
beb8a50f67424c3b70cb56fc8833d246
04cdff477585cb0747ecd20052f03c2e
404bd47f17d482e139e64d0106b8888d
7a7d09b4bcd75bc7d7badd3c117596f7
a1846e262d900f56f4a7d5f51100ec44
dfa96717b69fa69d264a60b9de36f078
253cdeabd5e429832f9bbd7f37dd0798
Hash for the version of AutoIt3.exe used in the attack:
c56b5f0201a3b3de53e561fe76912bfd
MD5 Hashes for known samples of the .zip files:
763d557c3e4c57f7d6132a444a930386
d0ad617ed1812822eebc9592d49a575c
1ff108f1bfb39b21db5f1d4f7ad56bf2
96bb795d111717109fac22f8433c7e27
0852c3e7903dd3b1db6a6b232c33a25a
e0768bce522927eb89f74750e09f2a1c
7133ae7dd452aa6469c85e236a59159e
Sites:
hxxps://kostumn1[.]ilabserver[.]com
The site is marked as PUPs High Risk
https://trustedsource.org/.
1.5 Nhóm APT StormBamboo triển khai phần mềm độc hại trên thiết bị Windows và MacOS
Vào giữa năm 2023, các nhà nghiên cứu Volexity đã phát hiện phần mềm độc hại liên quan đến StormBamboo (hay gọi là Evasive Panda, trước đó được theo dõi với tên StormCloud), trong đó có nhiều biến thể được triển khai trên hệ điều hành macOS và Windows.
Vector ban đầu được xác định là dựa trên kết quả của cuộc tấn công DNS trên ISP -Internet Service Provider, StormBamboo đã thay đổi DNS query liên quan đến bản cập nhật phần mềm nhằm triển khai phần mềm độc hại bao gồm MACMA và POCOSTICK ( hay là MGBot). Dựa vào chiến thuật mà nhóm tấn công sử dụng, cho thấy sự tương đồng với tác nhân đe dọa DriftingBamboo.
Các DNS record bị thao túng điều hướng tới máy chủ do kẻ tấn công kiểm soát, có địa chỉ IP 103.96.130[.]107 tại Hồng Kông. Lợi dụng cơ chế tự động cập nhật không an toàn trên môi trường của nạn nhân, kẻ tấn công phân phối phần mềm độc hại mà không yêu cầu tương tác từ người dùng.
Ứng dụng hợp pháp thực hiện 1 HTTP request để lấy file dạng văn bản (có thể định dạng khác nhau) chứa phiên bản ứng dụng mới nhất và một liên kết đến trình cài đặt. Sau đó, lợi dụng quyền kiểm soát các DNS request, kẻ tấn công chuyển hướng HTTP request đến máy chủ C2 được kiểm soát, lưu trữ một tệp văn bản giả mạo và trình cài đặt độc hại.
Hình ảnh hiển thị HTTP request để nâng cấp Youtube.config
StormBamboo đã sử dụng DNS poisoning để lưu trữ tệp cấu hình đã sửa, dẫn đến việc phần mềm YoutubeDL tải xuống phiên bản nâng cấp từ máy chủ của kẻ tấn công. Thông qua việc chèn mã độc vào YouTubeDL.py, mục đích tải xuống tệp PNG chứa MACMA (macOS) hoặc POCOSTICK (Windows) tùy thuộc vào hệ điều hành.
Một hoạt động khác trên thiết bị MacOS, sau khi xâm nhập thành công StormBamboo triển khai tiện ích mở rộng Google Chrome, được cài đặt bằng tệp nhị phân tùy chỉnh ee28b3137d65d74c0234eea35fa536a và triển khai bằng cách sửa đổi tệp Secure Preferences. Trình cài đặt sửa các giá trị protections.macs và protections.super_mac trong SecurePreferences bản sửa đổi. Nếu không đúng giá trị, Chrome sẽ ghi đè lên SecurePreferences.
Plugin được lưu trữ và kích hoạt bằng trình cài đặt chạy AppleScript command
osascript -e tell application “Google Chrome” to activate
Cuối cùng, plugin được kích hoạt bằng trình cài đặt chạy command
osascript -e tell application “Google Chrome” to activate
Indicator of Compromise (IoCs)
103.96.130.107 | ipaddress | C2 server |
152.32.159.8 | ipaddress | MACMA C2 Server |
122.10.90.20 | ipaddress | CATCHDNS C2 |
122.10.89.110 | ipaddress | CATCHDNS C2 |
59.188.69.231 | ipaddress | CATCHDNS C2 |
049e8677406de5f0061f3960f9655b5f | file | CATCHDNS |
d14431e79dc109d7aad91a5411d406c99ffc524c | ||
4f3d35f4f8b810362cbd4c59bfe5a961e559fe5713c9478294ccb3af2d306515 | ||
ce5fdde7db4ee41808f9c7d121311f78 | file | CATCHDNS |
bb030c405f33557bc5441165a0f8bf9a6d5a82a6 | ||
3f76933e053b2e8e3458f2e69d72e10b6b6a97fb8ba0f0300aa415b99c032aea | ||
2a6c10a34fa1e2a38673f4ca20c303a1 | file | CATCHDNS |
038bc60a0bf004e9a7cbc3a3cf814613e61ba7cc | ||
17aebd011dcd3e7c11484c2f98fa0901c2ea1325fdd6c03904d30ebfc8747a99 | ||
07e3b067dc5e5de377ce4a5eff3ccd4e6a2f1d7a47c23fe06b1ededa7aed1ab3 | file | RELOADEXT installer |
66346b3d841dc56a387f48b4dfba96083c37ec2e | ||
ee28b3137d65d74c0234eea35fa536af | ||
77406e090ad9214942d7ca91ddd09b0435bafe42ffa2512819a7bc6cdec112b8 | file | MACMA keylogger |
68853cafd395edd08cd38ab6100c58e291a3a3d7 | ||
4958ede3b968ad464c983054479bf4d2 | ||
7e2e1fba2fabf677d08611a59b03d646a92bb6110182b61adae207c8a88b6d13 | file | RELOADEXT extension |
c68e86985a4cb2f69e16fb943723af63833859b3 | ||
6abf9a7926415dc00bcb482456cc9467 | ||
806eabfa6ee245eaaf817c0336e07982fffc42efb1f39a2bfb44a5db2c89b126 | file | MACMA sample |
37ee872f05a0273446dc7e2539b9dbf9bf7d80b4 | ||
25e4eef79ad4126d5dc5567949848070 | ||
b76a9034e9abc7a62171e80f9d1f7fdf565cda286bd10fd3984eae769113c8c5 | file | MACMA-GIMMICK sample |
84875b2cf9f8c778ff1462ef478918b4ac964afe | ||
acfc69c743b733dd80c1d551ae01172b | ||
b77bcfb036f5a6a3973fdd68f40c0bd0b19af1246688ca4b1f9db02f2055ef9d | file | DUSTPAN malware |
e8e4a3fa69173a46cdb60c53877c7ad557accc51 | ||
4c8a326899272d2fe30e818181f6f67f |
1.6 Nhóm tấn công liên quan đến Black Basta nhắm vào người dùng bằng phần mềm độc hại SystemBC
Kẻ tấn công sử dụng kỹ thuật spearphishing voice để giành quyền truy cập ban đầu vào hệ thống. Kẻ tấn công gọi điện cho người dùng thông qua Microsoft Teams và giả mạo là thành viên trong nhóm CNTT, sau đó thuyết phục người dùng tải xuống và cài đặt AnyDesk – một công cụ truy cập từ xa phổ biến cho phép kẻ tấn công kiểm soát máy tính người dùng, drop và thực thi payload trong giai đoạn đầu để tấn công.
Kẻ tấn công thực thi 32-bit .NET AntiSpam.exe nhằm thu thập thông tin
Sau quá trình này, AntiSpam.exe sẽ nhắc người dùng nhập thông tin cá nhân.
Sau khi thu thập thông tin xác thực, kẻ tấn công thực hiện 1 loạt binaries và Powershell scripts để thiết lập kết nối đến máy chủ C2.
Một số tên payload tiếp theo bao gồm phần mềm độc hại SystemBC, Golang HTTP beacons, Socks proxy beacons, Beacon Object File (BOF)
update1.exe
update4.exe
update6.exe
update7.exe
update8.exe
update2.dll
update5.dll
update7.ps1
Sau khi thực thi, payload update6.exe khai thác lỗ hổng CVE-2022-26923 để tạo tài khoản nhằm leo thang đặc quyền. Ngoài ra, kẻ tấn công còn sử dụng reverse SSH và Level Remote Monitoring and Management (RMM) để thiết lập lateral movement và persistence.
AntiSpam.exe
Ban đầu có tên là update3.exe, hàm AllocConsole để tạo một cửa sổ console, hiển thị thông báo đến người dùng.
Vòng lặp tải xuống Fake filters trong AntiSpam.exe
Khi vòng lặp này được hoàn tất, chương trình khởi tạo 1 cửa sổ nhắc người dùng nhập thông tin xác thực để hoàn tất quá trình cập nhật.
Trong lần đầu người dùng nhập thông tin đăng nhập, AntiSpam.exe tạo ra lệnh liệt kê thông qua cmd.exe: systeminfo, route print, và ipconfig /all. Kết quả sẽ được lưu tại %TEMP%\qwertyuio.txt
Sau khi nhập thông tin hợp lệ, thông báo thành công được hiển thị.
updatex.exe
Sau khi đã thu thập các thông tin, kẻ tấn công chạy một loạt tệp thực thi, trong đó mỗi tệp bắt đầu bằng “update” và kết thúc bằng 1 số.
update1.exe
Tệp update1.exe sẽ download và decrypt ( sử dụng XOR key: 58 4C 4B 61 58 55 71 4F 58 4A 45 36 4A 34 75 57 66 65 2A 35 45 24 3F 75 55 4C 00), thực thi tệp từ một embedded resource. Quá trình thực hiện thông qua kỹ thuật Local PE Injection – kỹ thuật cho phép tệp thực thi portable executable (PE) có thể được thực thi trong bộ nhớ ảo của một quy trình mà không cần sử dụng payload của Windows để đọc tệp từ disk.
Một số strings embedded trong tệp thực thi
main.(*S_gCuh3yYV).ConnectForSocks
main.(*HtinANA).GetAvailableRelayServer
Tải trọng thực thi khác có chức năng tương tự bao gồm update2.dll, tệp này cũng thực hiện tải 1 payload thực thi giai đoạn hai thông qua kỹ thuật Local PE Injection. Payload giai đoạn thứ 2 được thực thi sẽ kết nối đến 1 số địa chỉ C2 thông qua sử dụng thư viện Golang HTTP.
update4.exe
Đây là một tệp giả mạo của APEX Scan, kẻ tấn công chèn thêm mã độc vào trước entry point
Khi update4.exe được thực thi, sau đó sẽ download, decrypt, và execute shellcode. Shellcode này kết nối với IPv4 C2 91.196.70[.]160:443. Sau khi kết nối sẽ hoạt động như proxy socks, đóng vai trò trung gian giữa 91.196.70[.]160 và các địa chỉ IPv4 khác mà kẻ tấn công chỉ định.
update6.exe
Khi thực thi, update6.exe sẽ khai thác CVE-2022-26923 để thu thập tài khoản trong trường hợp domain controller được sử dụng trong môi trường dễ bị khai thác.
C:\Users\lfkmf\source\repos\AddMachineAccount\x64\Release\AddMachineAccount.pdb
Mã nguồn gốc có thể được sao chép từ module Cobalt Strike được tạo bởi Outflank. update6.exe được biên dịch thành một tệp thực thi độc lập. Mặc dù chức năng giữa kho lưu trữ công khai và update6.exe gần như tương tự, nhưng update6.exe sử dụng thông tin xác thực được hardcoded với tên người dùng là SRVVSSKL và mật khẩu là GCmtHzw8uI$JnJB thay vì tạo tên người dùng và mật khẩu ngẫu nhiên.
update7.exe
update7.exe và update8.exe sử dụng phần mềm độc hại SystemBC
update7.exe
Original filename: KLDW.exe
SystemBC config: HOST1:halagifts[.]com,HOST2:217.15.175[.]191,PORT1:443
Trong quá trình thực thi, update7.exe sử dụng vòng lặp để giải mã/giải nén một payload SystemBC được nhúng, sau đó payload này được thực thi thông qua kỹ thuật Local PE Injection.
MITRE ATT&CK
Tactic | Technique | Procedure |
Resource Development | T1587.001: Develop Capabilities: Malware | The threat actor is actively developing new malware to distribute. |
Impact | T1498: Network Denial of Service | The threat actor overwhelms email protection solutions with spam. |
Initial Access | T1566.004: Phishing: Spearphishing Voice | The threat actor calls impacted users and pretends to be a member of their organization’s IT team to gain remote access. |
Execution | T1059.001: Command and Scripting Interpreter: PowerShell | The threat actor executes a socks proxy PowerShell script. |
Defense Evasion | T1140: Deobfuscate/Decode Files or Information | The threat actor encrypts zip archive payloads with a password. |
Defense Evasion | T1055.002: Process Injection: Portable Executable Injection | Multiple payloads executed by the threat actor utilize local PE injection. |
Defense Evasion | T1620: Reflective Code Loading | Multiple payloads executed by the threat actor load and execute shellcode. |
Defense Evasion | Subvert Trust Controls: Code Signing | The threat actor has signed many of their payloads to make them appear legitimate. |
Privilege Escalation | T1068: Exploitation for Privilege Escalation | The threat actor attempts to exploit CVE-2022-26923 to create a machine account. |
Credential Access | T1056.001: Input Capture: Keylogging | The threat actor runs an executable that harvests the user’s credentials. |
Credential Access | T1558.003: Steal or Forge Kerberos Tickets: Kerberoasting | The threat actor requests a large volume of Kerberos service tickets once privileges have been escalated. |
Discovery | T1033: System Owner/User Discovery | The threat actor enumerates users within the environment. |
Lateral Movement | T1570: Lateral Tool Transfer | Anydesk was used to move payloads onto compromised systems. |
Command and Control | T1572: Protocol Tunneling | SSH reverse tunnels were used to provide the threat actor with remote access. |
Command and Control | T1219: Remote Access Software | The threat actor has used Anydesk to gain initial access and Level to move laterally. |
Indicators of Compromise
Network Based Indicators (NBIs)
Domain/IPv4 Address | Notes |
spamicrosoft[.]com | Used to make external Microsoft Teams calls after email bombing users. |
37.221.126[.]202 | C2 address used by the threat actor to connect via Anydesk. |
91.196.70[.]160 | Socks proxy server. |
halagifts[.]com | SystemBC C2 domain |
217.15.175[.]191 | SystemBC C2 IP address |
preservedmoment[.]com | Cobalt Strike domain |
45.155.249[.]97 | Cobalt Strike C2 IP address |
77.238.224[.]56 | C2 address. |
77.238.229[.]63 | C2 address. |
77.238.250[.]123 | C2 address. |
77.238.245[.]233 | C2 address. |
91.142.74[.]28 | C2 address. |
191.142.74[.]28 | C2 address. |
195.2.70[.]38 | C2 address. |
falseaudiencekd[.]shop | Lumma C2 domain |
feighminoritsjda[.]shop | Lumma C2 domain |
justifycanddidatewd[.]shop | Lumma C2 domain |
marathonbeedksow[.]shop | Lumma C2 domain |
pleasurenarrowsdla[.]shop | Lumma C2 domain |
raiseboltskdlwpow[.]shop | Lumma C2 domain |
richardflorespoew[.]shop | Lumma C2 domain |
strwawrunnygjwu[.]shop | Lumma C2 domain |
Host Based Indicators (HBIs)
File | SHA256 | Notes |
AntiSpam.exe | ed062c189419bca7d8c816bcdb1a150c7ca7dd1ad6e30e1f46fae0c10ab062ef | Credential harvester, version 1. |
AntiSpam.exe | d512bf205fb9d1c429a7f11f3b720c74680ea88b62dda83372be8f0de1073a08 | Credential harvester, version 2. |
AntiSpam.exe | dc5c9310a2e6297caa4304002cdfb6fbf7d6384ddbd58574f77a411f936fab0b | Credential harvester, version 3. |
update1.exe | 24b6ddd3028c28d0a13da0354333d19cbc8fd12d4351f083c8cb3a93ec3ae793 | Original filename: YandexDiskSetup.exe. |
update4.exe | 9c1e0c8c5b9b9fe9d0aa533fb7d9d1b57db98fd70c4f66a26a3ed9e06ac132a7 | Original filename: APEXScan.exe. Socks proxy. |
update6.exe | ac22ab152ed2e4e7b4cd1fc3025b58cbcd8d3d3ae3dbc447223dd4eabb17c45c | Used to attempt exploitation of CVE-2022-26923 for privilege escalation. |
update7.exe | ab1f101f6cd7c0cffc65df720b92bc8272f82a1e13f207dff21caaff7675029f | Original filename: KLDW.exe. SystemBC malware. |
update8.exe | 9ED2B4D88B263F5078003EF35654ED5C205AC2F2C0E9225D4CDB4C24A5EA9AF2 | Original filename: YandexDiskSetup.exe. SystemBC malware. |
update2.dll | ab3daec39332ddeeba64a2f1916e6336a36ffcc751554954511121bd699b0caa | Original filename: atiumdag.dll |
update5.dll | 7d96ec8b72015515c4e0b5a1ae6c799801cf7b86861ade0298a372c7ced5fd93 | Original filename: Log.dll. Socks proxy. |
update7.ps1 | 9dc809b2e5fbf38fa01530609ca7b608e2e61bd713145f84cf22c68809aec372 | Socks proxy script. |
AntiSpam.exe | fb4fa180a0eee68c06c85e1e755f423a64aa92a3ec6cf76912606ac253973506 | Not analyzed in this blog, likely cred harvester. |
AntiSpam.exe | fcf59559731574c845e42cd414359067e73fca108878af3ace99df779d48cbc3 | Not analyzed in this blog, likely cred harvester. |
update5.dll | 949faad2c2401eb854b9c32a6bb6e514ad075e5cbe96154c172f5f6628af43ed | Not analyzed in this blog, likely socks proxy. |
update2.dll | b92cf617a952f0dd2c011d30d8532d895c0cfbfd9556f7595f5b220e99d14d64 | Not analyzed in this blog, likely Golang HTTP beacon. |
APEXScan.exe | cff5c6694d8925a12ce13a85e969bd468e28313af2fb46797bdcf77092012732 | Not analyzed in this blog, likely socks proxy. |
unnamed | cb03b206d63be966ddffa7a2115ea99f9fec50d351dce03dff1240bb073b5b50 | Not analyzed in this blog, likely the same BOF contained within update6.exe. |
update1.exe | ccaa8c8b39cb4a4de4944200936bcd4796367c16421a89e6a7d5476ae2da78cd | Not analyzed in this blog, likely Golang HTTP beacon. |
update4.exe | 1ade6a15ebcbe8cb9bda1e232d7e4111b808fd4128e0d5db15bfafafc3ec7b8e | Not analyzed in this blog, likely socks proxy. |
lu2.exe | ce1f44a677d9b7d1d62373175f5583d9e8c04e16ebd94656e21aa296e00e93d7 | Original filename: swi_config.exe. Packed copy of Lumma Stealer. |
Signatures
Signer Name | Issuer | Thumbprint | Serial Number | Date Signed |
Guizhou Qi’ang Kangyuan Rosa Roxburghii Development Co., Ltd. | SSL.com EV Code Signing Intermediate CA RSA R3 | B55DAD8DA97FA6AF0272102ED0E55E76E753FD04 | 23 D2 CA AE 31 B7 54 60 AC DB D1 B4 2D 6E 77 43 | 2024-06-19 18:37:00 UTC |
STERLING LIMITED | GlobalSign GCC R45 EV CodeSigning CA 2020 | DCB42EF087633803CD17C0CD6C491D522B8A2A2A | 64 82 EA 28 C1 28 78 B4 BC 3A A2 2D | 2024-06-18 15:48:00 UTC |
1.7 Onyx Sleet sử dụng phần mềm độc hại nhằm thu thập thông tin tình báo cho Triều Tiên
Onyx Sleet thực hiện hoạt động gián điệp mạng nhắm mục tiêu vào các lĩnh vực công nghiệp quân sự, quốc phòng, công nghệ … khu vực Ấn Độ, Hàn Quốc và Hoa Kỳ, hoạt động ít nhất kể từ 2014. Các nhà nghiên cứu cho rằng Onyx Sleet có liên kết với Storm-0530, do hoạt động cùng cơ sở hạ tầng và có liên quan trong việc phát triển và sử dụng ransomware trong các cuộc tấn công vào cuối năm 2021 và 2022.
Trước đây, kẻ tấn công sử dụng hình thức spear-phishing để xâm nhập vào môi trường mục tiêu. Trong các chiến dịch gần đây, phát hiện tác nhân này khai thác lỗ hổng N-day cho phép nhóm tấn công thực hiện bước trinh sát tiếp theo, persistent, leo thang đặc quyền, lateral movement, thu thập dữ liệu bằng cách kết hợp các backdoor, RAT, off-the-shelf tools ( bao gồm Sliver, RMM, tools SOCKS, Ngrok, masscan) , open-source utilities
Tuy nhiên, Onyx Sleet thực hiện thêm máy chủ C2, tạo mã độc mới và thực hiện nhiều chiến dịch
Một số lỗ hổng gần đây được Onyx Sleet khai thác bao gồm:
- CVE-2023-46604 (Apache ActiveMQ)
- CVE-2023-22515 (Confluence)
- CVE-2023-27350 (PaperCut)
- CVE-2023-42793 (TeamCity)
Một số phần mềm độc hại được sử dụng:
- TigerRAT: phần mềm độc hại đánh cắp thông tin bí mật và thực hiện các lệnh: keylogging và screen recording từ C2
- SmallTiger: Phần mềm độc hại nhắm vào tổ chức sản xuất và quốc phòng của Hàn Quốc. Trong quá trình lateral movement, phần mềm độc hại đuọc phân phối dưới dạng .DLL và kết nối C2 để tải xuống và khởi chạy payload vào bộ nhớ. Đây là một backdoor C++
- LightHand: một backdoor được truy cập từ xa vào thiết bị mục tiêu. Thông qua backdoor này, kẻ tấn công có thể thực thi các câu lệnh thông qua exe để thu thập thông tin lưu trữ, liệt kê thư mục và tạo/xóa tệp.
- ValidAlpha (BlackRAT): một backdoor tùy chỉnh được phát triển bởi ngôn ngữ Go, có thể chạy 1 file bất kỳ, liệt kê nội dung thư mục, download file, chụp ảnh màn hình và thực thi các câu lệnh tùy ý.
Indicators of compromise (IoCs)
IP addresses
84.38.134[.]56
45.155.37[.]101
213.139.205[.]151
109.248.150[.]147
162.19.71[.]175
147.78.149[.]201
URL
hxxp://84.38.134[.]56/procdump.gif
Actor-controlled domain
americajobmail[.]site
privatemake.bounceme[.]net
ww3c.bounceme[.]net
advice.uphearth[.]com
SHA-256
TigerRAT
f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c
0837dd54268c373069fc5c1628c6e3d75eb99c3b3efc94c45b73e2cf9a6f3207
29c6044d65af0073424ccc01abcb8411cbdc52720cac957a3012773c4380bab3
fed94f461145681dc9347b382497a72542424c64b6ae6fcf945f4becd2d46c32
868a62feff8b46466e9d63b83135a7987bf6d332c13739aa11b747b3e2ad4bbf
LightHand
f1662bee722a4e25614ed30933b0ced17b752d99fae868fbb326a46afa2282d5
1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1
3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061
8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f
7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b
ValidAlpha
c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c
c1a09024504a5ec422cbea68e17dffc46472d3c2d73f83aa0741a89528a45cd1
Fake Tableau certificate
Signer: INVALID:Tableau Software Inc.
SignerHash: 6624c7b8faac176d1c1cb10b03e7ee58a4853f91
CertificateSerialNumber: 76cb5d1e6c2b6895428115705d9ac765
2 Malware
2.1 Phân tích mã độc được sử dụng để tấn công vào đơn vị Nhà nước tại Việt Nam
Trong quá trình giám sát an toàn thông tin, NCS phát hiện chiến dịch tấn công vào đơn vị trực thuộc bộ ban ngành tại Việt Nam. Trong chiến dịch tấn công, Threat Actor triển khai mã độc CobaltStrike trên máy các máy chủ máy trạm bị ảnh hưởng. Nhóm tấn công lạm dụng các tệp tin thực thi hợp pháp của FortiClient (FCVbltScan.exe, FortiElevate.exe) hoặc GeForce Experience (NVIDIA GeForce Experience.exe), sau đó thực hiện đổi tên các tệp tin hợp pháp đồng thời drop thêm một DLL độc hại cùng một file config. Tệp tin DLL độc hại (utilsdll.dll hoặc libcef.dll) nằm cùng thư mục với tệp tin định dạng .exe, DLL sẽ được load khi các .exe thực thi. NCS cũng ghi nhận kẻ tấn công sử dụng thêm cách thức tạo lập lịch để thực thi mã độc.
Tại export function log_initialize(), mã độc sẽ resolve và tìm kiếm tên các hàm cần sử dụng khi thực thi trong các thư viện như NTDLL.dll, đọc file payload .dat, giải mã dữ liệu trong vùng nhớ được cấp phát và thực thi
Cấu hình đường dẫn file trỏ tới payload được mã hóa bằng thuật toán XOR, sau giải mã thu được đường dẫn đầy đủ “C:\Program Files\Google\auth.dat”
Sau khi cấp phát vùng nhớ và sao chép data trong file, dữ liệu trong auth.dat sẽ được giải mã và khơi tạo thread mới thông qua ZwCreateThreadEx API.
Payload cuối thu được là CobaltStrike beacon bao gồm cả HTTPS và SMB, cấu hình như sau
Trong cấu hình, kẻ tấn công cũng sử dụng kỹ thuật Domain Fronting để che dấu địa chỉ C2 thật sự của CobaltStrike thông qua các domain tin cậy.
Indicator of Compromise (IoCs)
File name:
utilsdll.dll
1366edf90d582ed138411e95f2dd8b7b108b3781
5540980311226543b9fe4a21a2cb2f7816f35403
6f676d71de2a81dd1d5d9dd42bf14c400fac36b8
79348c4fd62bce5a46d76ead97a71f691df7f2b7
8a90110c465354d2f1c596554fdab607b1ca67e7
916fc876ba825b437adaa23c1c353ea47a194750
9d1ff20d1254a57f5a91a02c03fb70b9958f0397
ba6b36466125d7e8720109f258add9c8533e478b
d080a072b55fbc192dd99f9372d0bed43216cd32
d144f3fa5b4529de377dd53ec531277819489854
libcef.dll
6341855d258512588a56031a0df12d833855a5ec
f3d906faaed5481bd395d89d8ebe11a152b27d8f
FPCSDK.dll
de92574b0d6ae765b8731d48f6cd0439cb2dfd3b
auth.dat
1687923cf3fe1f58c1ba23a76f891662c0b283a9
Fronted Domains
www[.]ookla[.]com
onegdc[.]net
guardian[.]co[.]uk
Proxy config
191[.]101[.]18[.]222
Cobaltstrike C2
jp[.]comologate[.]jiraservice[.]com
taichinh[.]vn
Pipename – SMB beacon
\\\\.\\pipe\\Spool\\pipe_UMWJ_cf
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday –August 2024
Trong tháng 08, Microsoft đã phát hành các bản vá cho 90 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; .NET và Visual Studio; Azure; Co-Pilot, Microsoft Dynamics, Teams, Secure Boot. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 79 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2024-38193 – Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38193
3.1.2 CVE-2024-38106 – Windows Kernel Elevation of Privilege Vulnerability.
CVSS: 7.0/10
Mô tả: Tồn tại lỗ hổng race condition cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38106
3.1.3 CVE-2024-38107 – Windows Power Dependency Coordinator Elevation of Privilege Vulnerability.
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38107
3.1.4 CVE-2024-38189 – Microsoft Project Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Khai thác lỗ hổng yêu cầu tương tác từ người dùng, kẻ tấn công thuyết phục người dùng truy cập file Microsoft Office Project độc hại dẫn đến kẻ tấn công thực thi mã từ xa.
Phiên bản ảnh hưởng:
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Project 2016 (64-bit edition)
Microsoft Project 2016 (32-bit edition)
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38189
3.1.5 CVE-2024-38063 – Windows TCP/IP Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Windows TCP/IP. Khai thác lỗ hổng không yêu cầu xác thực.
Phiên bản ảnh hưởng:
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
3.1.6 CVE-2024-38178 – Scripting Engine Memory Corruption Vulnerability
CVSS: 7.2/10
Mô tả: Tồn tại lỗ hổng Memory Corruption trong Scripting Engine. Khai thác lỗ hổng yêu cầu yêu cầu tương tác từ người dùng, từ đó có thể thực thi mã từ xa trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows 10 for 32bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64based Systems
Windows 10 Version 1809 for x64based Systems
Windows 10 Version 1809 for 32bit Systems
Windows 11 Version 24H2 for x64based Systems
Windows 11 Version 24H2 for ARM64based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38178
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2024-20417 – Cisco Identity Services Engine REST API Blind SQL Injection Vulnerabilities
CVSS: 6.5/10
Mô tả: Tồn tại lỗ hổng Blind SQL Injection trong REST API trên Cisco Identity Services Engine (ISE) cho phép kẻ tấn công xem hoặc sửa đổi dữ liệu. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công gửi input độc hại đến hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Cisco ISE phiên bản <= 3.3
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rest-5bPKrNtZ
3.2.2 CVE-2024-43044 – Arbitrary file read vulnerability through agent connections can lead to RCE
CVSS: 9.0/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công đọc file tùy ý trên bộ điều khiển Jenkins bằng cách sử dụng phương thức ClassLoaderProxy#fetchJar trong Remoting library. Khai thác lỗ hổng thành công cho phép kẻ tấn công có thể thực thi mã từ xa, truy cập vào dữ liệu nhạy cảm như source code và thông tin xác thực. Theo mô tả từ hãng, lỗ hổng cho phép đọc file tùy ý có thể dẫn tới các tấn công khác như RCE.
Phiên bản ảnh hưởng:
Jenkins phiên bản <= 2.470
Jenkins LTS phiên bản <= 2.452.3
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.jenkins.io/download/
https://www.jenkins.io/security/advisory/2024-08-07/
3.2.3 CVE-2024-43045– Missing permission check allows accessing other users’ “My Views”.
CVSS: 5.4/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công có quyền Overall/Read truy cập vào “My views” của người dùng, dẫn đến kẻ tấn công thu thập thông tin nhạy cảm và thay đổi chế độ xem của người dùng khác
Phiên bản ảnh hưởng:
Jenkins phiên bản <= 2.470
Jenkins LTS phiên bản <= 2.452.3
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.jenkins.io/download/
https://www.jenkins.io/security/advisory/2024-08-07/
3.2.4 CVE-2024-5915 – GlobalProtect App: Local Privilege Escalation (PE) Vulnerability
CVSS: 5.2/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền trên Palo Alto Networks GlobalProtect on Windows.
Phiên bản ảnh hưởng:
GlobalProtect App 6.3 đến phiên bản < 6.3.1
GlobalProtect App 6.2 đến phiên bản < 6.2.4
GlobalProtect App 6.1 đến phiên bản < 6.1.5
GlobalProtect App 6.0 đến phiên bản < 6.0.x
GlobalProtect App 5.1 đến phiên bản < 5.1.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-5915
3.2.5 CVE-2024-5916 – PAN-OS: Cleartext Exposure of External System Secrets
CVSS: 6.0/10
Mô tả: Tồn tại lỗ hổng Information Exposure trên Palo Alto Networks PAN-OS cho phép đọc thông tin nhạy cảm như password, tokens of external systems … dưới dạng bản rõ từ đó dẫn đến lộ lọt thông tin.
Phiên bản ảnh hưởng:
Phiên bản Cloud NGFW trước ngày 15/08 trên Azure và trước 23/08 trên AWS
Phiên bản PAN-OS 11.0 đến phiên bản < 11.0.4
Phiên bản PAN-OS 10.2 đến phiên bản < 10.2.8
Lưu ý: Các phiên bản PAN-OS 11.1 ,PAN-OS 10.1, PAN-OS 9.1, Prisma Access không bị ảnh hưởng bởi lỗ hổng. Bản vá bảo mật cho Cloud NGFW đang được hãng phát triển, dự kiến phát hành sau ngày 15/08 trên Azure và sau ngày 23/8 trên AWS
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-5916
3.2.6 CVE-2024-5914 – Cortex XSOAR: Command Injection in CommonScripts Pack
CVSS: 7.0/10
Mô tả: Tồn tại lỗ hổng Command Injection trên Palo Alto Networks Cortex XSOAR CommonScripts cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Cloud Foundation (vCenter Server) phiên bản 4.x và 5.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-5914
3.2.7 CVE-2024-22116- Remote code execution within ping script
CVSS: 9.9/10
Mô tả: Quản trị viên bị giới hạn quyền có thể khai thác chức năng thực thi scripts trong Monitoring Hosts. Các script parameters không được xử lý (escaping) theo mặc định cho phép kẻ tấn công thực thi mã từ xa thông qua ping script, dẫn đến ảnh hưởng cơ sở hạ tầng của hệ thống.
Phiên bản ảnh hưởng:
Zabbix phiên bản từ 6.4.0 đến 6.4.15
Zabbix phiên bản từ 7.0.0alpha1 đến 7.0.0rc2
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.zabbix.com/security_advisories
3.2.8 CVE-2024-36461- Direct access to memory pointers within the JS engine for modification
CVSS: 9.1/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công có thể sửa đổi trực tiếp các memory pointers trong JavaScript engine trên Zabbix. Khai thác lỗ hổng thành công cho phép kẻ tấn công có thể truy cập vào toàn bộ cơ sở hạ tầng thông qua thực thi mã từ xa.
Phiên bản ảnh hưởng:
Phiên bản từ 6.0.0 đến 6.0.30
Phiên bản từ 6.4.0 đến 6.4.15
Phiên bản từ 7.0.0alpha1 đến 7.0.0
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: