Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Các hoạt động tấn công của Earth Baxia nhắm mục tiêu vào khu vực Châu Á
Gần đây, TrendMicro công bố báo cáo phân tích mô tả các phát hiện tấn công từ nhóm Earth Baxia, được cho xuất phát từ khu vực Trung Quốc. Nhắm mục tiêu tới các quốc gia thuộc khu vực APAC, nhóm tấn công triển khai mã độc Cobaltstrike thông qua 2 cách thức: phát tán các email phishing sử dụng các kỹ thuật GrimResource và AppDomainManager injection trên các máy nạn nhân bị ảnh hưởng hoặc sử dụng lỗ hổng bảo mật CVE-2024-36401 cho phép thực thi mã từ xa, chiếm quyền điều khiển trên hệ thống GeoServer. Ngoài ra, nhóm nghiên cứu cũng phát hiện nhóm tấn công sử dụng mã độc mới có tên EAGLEDOOR, mã độc cho phép hỗ trợ đa dạng các giao thức trong quá trình thu thập, đánh cắp thông tin cũng như phát tán, triển khai các payload mới.
Cũng dựa theo việc thu thập thông tin từ các emails phishing, tài liệu mồi nhử (decoys) và các kỹ thuật tấn công, nhóm nghiên cứu ghi nhận nhóm tấn công nhắm mục tiêu tới các đơn vị chính phủ, lĩnh vực viễn thông, năng lượng ở nhiều quốc gia bao gồm Philippines, Hàn Quốc, Việt Nam, Đài Loan, và Thái Lan và Trung Quốc. Các phân tích từ TrendMicro về hoạt động tấn công thông qua email phishing cũng trùng khớp với báo cáo cảnh báo mà NCS đã từng phân tích và gửi tới quý khách hàng trước đó https://ncsgroup.vn/grimresource-in-the-wild-ma-doc-nham-muc-tieu-viet-nam/
Luồng lây nhiễm
Cách thức 1: Thông qua khai thác lỗ hổng bảo mật
Earth Baxia sử dụng CVE-2024-36401 nhằm khai thác lỗ hổng bảo mật trên GeoServer cho phép thực thi mã tùy ý. Nhóm tấn công sử dụng curl và scp nhằm download hoặc sao chép tệp tin độc hại vào hệ thống bị ảnh hưởng và thực thi. Các tệp tin được tải xuống bao gồm file thực thi Edge.exe, DLL msedge.dll và Logs.txt, trong đó:
- exe: File thực thi hợp pháp sử dụng để gọi msedge.dll.
- dll: DLL độc hại có nhiệm vụ như một loader nhằm triển khai mã độc Cobaltstrike.
- txt: Shellcode Cobaltstrike.
Một sample khác thu thập được triển khai EAGLEDOOR loader trong bộ nhớ (Systemsetting.dll). Bên trong loader có 2 DLL được encrypt trong section .data bao gồm:
- dll: được sử dụng để can thiệp tới các API thường xuyên được gọi trong quá trình thực thi. Hooked API được gọi sẽ thực thi module Eagle.dll ngay sau đó.
- dll: Loader sẽ decrypt module và thực thi hàm export function RunEagle trong bộ nhớ.
- EAGLEDOOR hỗ trợ 4 cách thức để giao tiếp với máy chủ C&C bao gồm: DNS, HTTP, TCP và Telegram. Trong đó TCP, HTTP và DNS được sử dụng để gửi trạng thái máy nạn nhân tới máy chủ C&C, Telegram sử dụng Bot API để thu thập thông tin, thao tác với file và thực thi thêm các payload mới
Nhóm tấn công thu thập thông tin và đánh cắp dữ liệu này thông qua curl.exe tới địa chỉ (152[.]42[.]243[.]170)
Cách thức 2: Phát tán mã độc thông qua email phishing
Nhóm tấn công sử dụng các kỹ thuật tấn công trong MSC file nhằm tải xuống và triển khai các mã độc khác, thu thập thông tin cơ bản trên máy nạn nhân bị ảnh hưởng tới máy chủ C&C. Kẻ tấn công sử dụng môi trường cloud service nhằm lưu trữ các tệp tin độc hại cũng như làm máy chủ C&C.
Indicators of Compromise (IOCs)
File
916f3f4b895c8948b504cbf1beccb601ff7cc6e982d2ed375447bce6ecb41534
9833566856f924e4a60e4dd6a06bf9859061f4be
a4c2f1d0dbd7509d57f9782e54d52df2abf04d0c
d9b814f53e82f686d84647b7d390804b331f1583
4ad078a52abeced860ceb28ae99dda47424d362a90e1101d45c43e8e35dfd325
b357eed1a320773ba4bb551dcb31bca9eb591aa1
e2b0c45beadff54771a0ad581670a10e76dc4cf1
dce0a4c008ea7c02d768bc7fd5a910e79781f925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recordar-simmco.s3.sa-east-1.amazonaws[.]com
wordpresss-data.s3.me-south-1.amazonaws[.]com
ecgglass-arq.s3.sa-east-1.amazonaws[.]com
souzacambos.s3.sa-east-1.amazonaws[.]com
cooltours.s3.sa-east-1.amazonaws[.]com
xiiltrionsoledadprod.s3.sa-east-1.amazonaws[.]com
app-dimensiona.s3.sa-east-1.amazonaws[.]com
bjj-files-production.s3.sa-east-1.amazonaws[.]com
footracker-statics.s3.sa-east-1.amazonaws[.]com
proradead.s3.sa-east-1.amazonaws[.]com
s3-contemp.s3.sa-east-1.amazonaws[.]com
homologacao-sisp.s3.sa-east-1.amazonaws[.]com
doare-assets.s3.sa-east-1.amazonaws[.]com
kcalmoments.s3.me-south-1.amazonaws[.]com
speedshare.oss-cn-hongkong.aliyuncs[.]com
360photo.oss-cn-hongkong.aliyuncs[.]com
bobs8.oss-cn-hongkong.aliyuncs[.]com
status.s3cloud-azure[.]com
api.s2cloud-amazon[.]com
visualstudio-microsoft[.]com
us2.s3bucket-azure[.]online
static.trendmicrotech[.]com
rocean.oca[.]pics
static.krislab[.]site
ms1.hinet[.]lat
msa.hinet[.]ink
IPs
167.172.89[.]142
167.172.84[.]142
152.42.243[.]170
188.166.252[.]85
1.2 Nhóm tấn công APT Stately Taurus lợi dụng VSCode nhắm mục tiêu vào chính phủ khu vực Châu Á
Gần đây, nhóm nghiên cứu của Palo Alto ghi nhận chiến dịch tấn công được cho là có liên quan đến nhóm Stately Taurus (hay còn gọi là Mustang Panda, BRONZE PRESIDENT, RedDelta, Luminous Moth, Earth Preta và Camaro Dragon) dựa trên các dữ liệu được thu thập và phân tích. Nhóm tấn công nhắm mục tiêu tới các đơn vị Chính phủ khu vực Đông Nam Á, sử dụng đa dạng các kỹ thuật trong quá trình tấn công, đáng chú ý việc lạm dụng Visual Studio Code nhằm thực thi các đoạn mã độc hại và persistence trên hệ thống bị ảnh hưởng.
Kẻ tấn công thực thi lệnh code.exe tunnel để nhận được liên kết đăng nhập vào GitHub. Sau khi đăng nhập, kẻ tấn công chuyển hướng đến Visual Studio Code được kết nối với máy bị xâm nhập và thực thi các lệnh/tập lệnh, tạo các tệp độc hại
Một số TTPs bổ sung được kẻ tấn công sử dụng:
- exe: kẻ tấn công sử dụng OpenSSH (sshd.exe) để thực thi câu lệnh, truyền tệp và mục đích di chuyển ngang trong hệ thống
- SharpNBTScan: sử dụng để thực hiện scan trong môi trường
- bat: sử dụng để lưu trữ tệp tin nhằm đánh cắp dữ liệu
Stately Taurus thực hiện đánh cắp thông tin nhạy cảm, thực thi câu lệnh rar.exe thông qua SMB (Server Message Block), lưu trữ các thư mục từ máy chủ từ xa. Để trích xuất các tệp đã lưu trữ, kẻ tấn công sử dụng curl để tải các tệp lên một dịch vụ lưu trữ tệp hợp pháp Dropbox nhằm tránh sự chú ý.
Trong quá trình điều tra, các nhà nghiên cứu cho biết có mối liên hệ giữa hoạt động của ShadowPad với hoạt động của VSCode được liên kết với Stately Taurus do 2 tệp Listeners.bat (được sử dụng trong cụm Stately Taurus) và ShadowPad backdoor đều xuất phát từ cùng một phiên mạng.
Kẻ tấn công sử dụng ShadowPad backdoor làm công cụ chính, lạm dụng quy trình hợp pháp imecmnt.exe thông qua DLL để tải module ShadowPad (imjp14k.dll).
Để thiết lập persistence trên máy nạn nhân, ShadowPad imecmnt.exe được đổi tên thành update.exe nhằm lẩn tránh sự chú ý, thực hiện tiêm mã vào wmplayer.exe sau đó wmplayer.exe tiếp tục tiêm mã vào dllhost.exe
Indicators of Compromise (IoC)
SharpNBTScan
506fc87c8c96fef1d2df24b0ba44c8116a9001ca5a7d7e9c01dc3940a664acb0
Listeners.bat
aa2c0de121ae738ce44727456d97434faff21fc69219e964e1e2d2f1ca16b1c5
8fdac78183ff18de0c07b10e8d787326691d7fb1f63b3383471312b74918c39f
39ceb73bcfd1f674a9b72a03476a9de997867353172c2bf6dde981c5b3ad512a
In-Swor
aaad761ebbc48175aed9325694abd05d984bd506
7b6792fe8cd3b7ce3ef594f4c32daa688a9ed973
965dd0b255f05ff012d2f152e973e09ceb9e95b6239dc820c8ac4d4492255472
5bfc45f7fce27d05e753a61dde5fab623efff3e4df56fb6a0cf178a0b11909ce
Mimikatz
4c61ef03b5e082ebd50578202cae37912b8bd247
Lsass-dump-main
007ee2d9a7d5c9ab803eb093c6b0bad882bbc935
Tscan
a8385f59dec3919bf017c51bd8bdc899ad3ce95f
LaZagne
0e62d10ff194e84ed8c6bd71620f56ef9e557072
ShadowPad C2
216.83.40[.]84
ShadowPad
e7782ed481ae173fffa006cab49fa43c39e1abfa
7e8c1086934e2a5c0ba7b34360d8f281136cbfb0
456e4dae82a12bcda0506a750eac93bf79cc056b8aad09ec74878c90fd67bd8f
ShadowPad Service Names
WindowsMailServices
test12
WindowsEdgeUpdateServices
WindowsMailServices
Javaservice
WindowsEdgeUpdateServices
1.3 APT Lazarus phát tán mã độc thông qua phần mềm videocall giả mạo
Các nhà nghiên cứu phát hiện nhóm tấn công APT Lazarus phát tán mã độc thông qua phần mềm videocall giả mạo có tên FCCCall nhắm mục tiêu vào các chuyên gia blockchain. Ngoài việc tiếp cận nạn nhân thông qua Linkedin, kẻ tấn công còn tiếp cận nạn nhân thông qua các trang tìm kiếm việc làm như WWR, Moonlight, Upwork… Sau đó điều hướng nạn nhân chuyển sang cuộc trò chuyện trên Telegram nhằm tải xuống ứng dụng video conferencing hoặc Node.js độc hại như một yêu cầu trong quá trình phỏng vấn.
Tệp FCCCall là trình cài đặt ứng dụng cuộc gọi giả mạo được tải xuống từ hxxp://freeconference[.]io được tạo vào ngày 02/08/2024
BeaverTail có dạng tệp Windows Installer, cài đặt ứng dụng FCCCall giả mạo. Phần mềm độc hại xuất hiện vào tháng 7/2024 cùng với ứng dụng MiroTalk. FCCCall được phát triển bằng Qt6, hỗ trợ biên dịch chéo cho macOS và Windows tạo điều kiện thuận lợi cho việc phát triển và triển khai ứng dụng trên nhiều hệ điều hành.
Sau khi khởi chạy ứng dụng đã cài đặt, một yêu cầu mã truy cập cuộc họp được gửi tới nạn nhân
BeaverTail có chức năng lọc thông tin đăng nhập từ trình duyệt và dữ liệu từ trang web ví tiền điện tử. Sau đó tải xuống và thực thi tệp Python và InvisibleFerret payload.
Phiên bản thực thi binary của BeaverTail thu thập tất cả dữ liệu cùng lúc, sao chép các tệp vào thư mục [homepath]/.n3/ . Sau đó gửi tới https://[C2]:1224/uploads và xóa thư mục n3
Kẻ tấn công lưu trữ project Node.js trojan trên các nền tảng như Github, Gitlab, Bitbucket hoặc trên các dịch vụ lưu trữ tệp của bên thứ ba… và thực hiện cập nhật script hoặc thay đổi các entry points. Ngoài ra, để tránh sự phát hiện, kẻ tấn công đặt ở chế độ riêng tư, ghi đè Git History hoặc xóa bỏ mã độc sau 1 khoảng thời gian.
node server/server.js thêm vào thuộc tính “scripts” trong package.json. Trong đó server/server.js đóng vai trò như điểm vào ban đầu, sau đó tải tập lệnh độc hại trong middlewares/helpers/error.js
Một cách khác mà kẻ tấn công sử dụng để che giấu Javascript độc hại bằng cách che giấu sau nhiều khoảng trống/dòng trống khiến cho việc phát hiện trở nên khó khăn
Ngoài ra, kẻ tấn công lấy mã Javascript BeaverTail từ máy chủ C2 ipcheck[.]cloud hoặc regioncheck[.]net. Sau đó, máy chủ sẽ trả về request payload trong trường cookie với HTTP code 500, sau đó eval() trong catch được thực thi.
Ngoài việc đánh cắp dữ liệu từ trình duyệt, ví tiền điện tử và kho lưu trữ thông tin xác thực, BeaverTail (Python) còn thực hiện 1 số chức năng khác nhau:
- Thiết lập Persistence: lấy tệp .queue và .q2 từ C2 và ghi vào .locale/.queue và .locale/.q2 tương ứng. BeaverTail thiết lập persistence cho các tập lệnh này trên hệ thống bằng cách tạo nhiều tệp khác nhau tùy thuộc vào nền tảng. Các scripts này được cấu hình để tự động thực thi mỗi khi hệ thống khởi động.
- Cấu hình AnyDesk: thiết lập mật khẩu cố định trên thiết bị từ xa và cho phép thiết bị khác kết nối bất kì lúc nào mà không cần chấp nhận kết nối. Ngoài ra, còn thực hiện gửi nội dung tệpconf chứa các biến cấu hình mà AnyDesk sử dụng đến máy chủ C2 nhằm truy xuất giá trị ad.anynet.id từ đó kẻ tấn công chiếm ID để kết nối.
- Đánh cắp dữ liệu từ Microsoft Sticky Notes: bằng cách nhắm mục tiêu vào các tệp cơ sở dữ liệu SQLite của ứng dụng nằm tại %LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite. Bằng cách truy vấn và trích xuất dữ liệu từ cơ sở dữ liệu này, phần mềm độc hại có thể truy xuất và đánh cắp thông tin nhạy cảm từ ứng dụng Sticky Notes của nạn nhân.
InvisibleFerret
Một số trường hợp InvisibleFerret được tải xuống bằng BeaverTail (Javascript). InvisibleFerret là một backdoor Python đa nền tảng bao gồm 1 tập lệnh ban đầu .npl và 2 thành phần bổ sung bow và pay. Chức năng chính bao gồm điều khiển từ xa, keylogging, đánh cắp trình duyệt và tạo điều kiện tải xuống AnyDesk.
InvisibleFerret thay đổi cách thức che giấu, sử dụng mã hóa kiểu Matryoshka bao gồm nén lặp lại, mã hóa base64 và reversal.
Lệnh ssh_zcp được sử dụng để liệt kê dữ liệu từ trình duyệt Chrome, Chromium, Opera, Brave, MsEdge và Vivaldi. Dữ liệu thu thập được sau đó được nén bằng mật khẩu 2024 trước khi được tải lên và sử dụng Telegram để trích xuất dữ liệu.
Indicator of Compromise
hxxp://23.106.253[.]194:1244
hxxp://45.140.147[.]208:54321
hxxp://95.164.17[.]24:1224
hxxp://185.235.241[.]208:1224
hxxp://freeconference[.]io
hxxp://mirotalk[.]net
hxxp://ipcheck[.]cloud
hxxp://regioncheck[.]net
23.106.253[.]194
45.61.129[.]255
45.61.130[.]0
45.61.131[.]218
45.61.160[.]14
45.61.169[.]187
45.140.147[.]208
67.203.7[.]171
67.203.7[.]245
77.37.37[.]81
91.92.120[.]135
95.164.17[.]24
144.172.74[.]48
144.172.79[.]23
147.124.212[.]89
147.124.213[.]11
147.124.213[.]29
147.124.212[.]146
147.124.214[.]129
147.124.214[.]131
147.124.214[.]237
167.88.36[.]13
167.88.168[.]152
167.88.168[.]24
172.86.97[.]80
172.86.98[.]143
172.86.98[.]240
172.86.123[.]35
173.211.106[.]101
185.235.241[.]208
blocktestingto[.]com
de.ztec[.]store:8000
Filename | SHA256 | |
FCCCall.msi | fd9e8fcc5bda88870b12b47cbb1cc8775ccff285f980c4a2b683463b26e36bf0 | |
FCCCall.msi | 36cac29ff3c503c2123514ea903836d5ad81067508a8e16f7947e3e675a08670 | |
FCCCall.msi | d502f822e6c52345227b64e3c326e2dbefdd8fc3f844df0821598f8d3732f763 | |
FCCCall.exe | d5c0b89e1dfbe9f5e5b2c3f745af895a36adf772f0b72a22052ae6dfa045cea6 | |
FCCCall.exe | 0621d37818c35e2557fdd8a729e50ea662ba518df8ca61a44cc3add5c6deb3cd | |
FCCCall.exe | c0110cb21ae0e7fb5dec83ca90db9e250b47a394662810f230eb621b0728aa97 | |
FCCCall | d801ad1beeab3500c65434da51326d7648a3c54923d794b2411b7b6a2960f31e | |
FCCCall.dmg | 000b4a77b1905cabdb59d2b576f6da1b2ef55a0258004e4a9e290e9f41fb6923 | |
FCCCall | 24b89c77eaeebd4b02c8e8ab6ad3bd7abaa18893ecd469a6a04eda5e374dd305 | |
FCCCall.dmg | b8e69d6a766b9088d650e850a638d7ab7c9f59f4e24e2bc8eac41c380876b0d8 | |
MiroTalk.dmg | 9abf6b93eafb797a3556bea1fe8a3b7311d2864d5a9a3687fce84bc1ec4a428c | |
Jami | 0f5f0a3ac843df675168f82021c24180ea22f764f87f82f9f77fe8f0ba0b7132 | |
MiroTalk.msi | de6f9e9e2ce58a604fe22a9d42144191cfc90b4e0048dffcc69d696826ff7170 | |
MiroTalk.exe | 9e3a9dbf10793a27361b3cef4d2c87dbd3662646f4470e5242074df4cb96c6b4 | |
BeaverTail (Python) | a87b6664b718a9985267f9670e10339372419b320aa3d3da350f9f71dff35dd1 | |
CivetQ | 7180f5a1c2554b77b4c21a727cca65cc0f9f023f6cac05b295d7172dad07023f
306adab1769c48e09e5a637c82b6b32cd57e4895cc727860f02b558f406e7f34 7f13ca9848086e3de9be971ea8d44ea97ec289c4565ce35b0049c8b534fccbef 01b7306554f6e6bac63f5524588ff5c880b5afb4394074d1c132ecc554c72c83 2f86acdfdf19c1719189fb121cc9391453d83989aa5c07d4144c9fb6585610cc |
|
Various malicious Javascript | 06384aedc3614ee73cc7319e30975fca00d43981b626ba5f2b993a254e20d818
0620a7fa8c6e416d96fe3d3baf4cd925b1a72ce1db8d3eacfb1e10c5fe434962 cd13a9c92210ada940a44769874dd6716f85c4e4e9d7323ec5789c7b253d937d dcde59721b78e6797ee7f79c0e19c4a1c5a7806d20cbfa4a6ebb8efca189baf3 9110515c2d5f6f48871f0631f411d55f2f0307286e6678952f5d86abe5ce11a9 ddc4162a71f13cc39519c0f8917b960f3536c47be710bde010bb6e87afe16bc5 c373c4c2922f7ca49e2cf5670052d071b15649164ed32a321b7c6fb1a7f2ca6b b378d389fd31c6cb65fc85ea960b609049c5f97266cafcbfc6d261fa09355cc0 b653153a94c275f8f1156298c905b86943cb2a63c8b2211e65cf2a1a671c98d1 14e52430f1d1fa390973294d50849ee500061758721c8e28424871812d237132 0049e2f4f746aa0ec1713cb83dbf8e30d535c01e7b7f10133ae14da0c6a68d69 23b2df9ae70e592c6d82ee1aa1edd00aee982fc2df859f813224a0c908106789 64b1aca7b36e662132ae60c2d2df6ea5872239d2b2632d88fdf1b1f383e0d446 2ed5e202190df967c06750ba11aa8486c309e21875594a68f3dff3abb01f569d 1be03204709c037378ae96197700148303875a99b8f14838bdabfaceed5693e4 47e876110f5e478a739ca3ad034707c1011c89d3a73a1047d0bfa5359a9cfe4b 2a8c90885a8bea74cfe918f3ac6b939990e5ff25434a8c70f7a67d42e03936bd ce572304131bd7c4fd34c3a919de403007c842d9c225d080b4ac31e7c8da606e 9742da5b33866edb8b280fe10909f3f60bc5bf3a33e918d9889e4552f5ce25e3 301678669e05064d13f1912caae530f0b23f5c83a98352e4b0b53a19128a40cf d8806fb404bf29e4a3941c912cbb48553ad5340e1b7195a94e6abf8d75b9102c a6c9f8c06fdb15de26656e5e490990984634e2c1c05232d3260c29970f9dd6f3 887594f18cdbbae4ceef62572e813810b75c8edfb3c4971097d8f8a74f9f103c 1e5d3ee4c0eb6d67f6bc812cf492c53683962252ddb6ac5285ed251ab4a48ddc d356a0668a0f7827d8041eaebdbc003a5b96fe0d82a353ab802dab31bdc5c323 c19cdedf8f800d2eeccd5094d7d054dcc00a998356eeae822c14a25f0ce400f2 |
1.4 Mustang Panda nhắm mục tiêu tới các đơn vị Chính phủ khu vực Châu Á – Thái Bình Dương
Gần đây, nhóm nghiên cứu của Trend Micro ghi nhận chiến dịch tấn công được cho là có liên quan đến nhóm Mustang Panda dựa các dữ liệu thu thập và phân tích. Nhóm tấn công nhắm mục tiêu tới các đơn vị Chính phủ khu vực Châu Á – Thái Bình Dương sử dụng nhiều loại malware độc hại với cách thức tấn công mới.
- Ghi nhận có 2 cách thức để triển khai mã độc PUBLOAD bao gồm thông qua email lừa đảo (phishing) hoặc thông qua biến thể của HIUPAN cho phép lây nhiễm thông qua ổ đĩa di động. Đây là cách thức mới, biến thể mã độc HIUPAN cũng phát triển thêm tính năng triển khai mã độc ACNSHELL bên cạnh các tính năng sẵn có trong HIUPAN.
- PUBLOAD là mã độc được sử dụng để có quyền truy cập ban đầu vào hệ thống, sử dụng tiến trình của trình duyệt phổ biến tại Việt Nam Cốc Cốc – CocCocUpdate.exe sẽ load DLL độc hại thông qua kỹ thuật DLL side-loading, tạo registry và các lập lịch. Khởi chạy thành công, mã độc thu thập các thông tin cơ bản trên máy của nạn nhân bị ảnh hưởng thông qua một số câu lệnh như: “hostname, arp -a, whoami, ipconfig /all, v.v…”. Dữ liệu được nén thông qua RAR và sử dụng CURL để đánh cắp dữ liệu tới FTP site do kẻ tấn công kiểm soát. Mã độc cũng cung cấp tính năng cho phép triển khai thêm các mã độc khác bao gồm mã độc có tên FDMTP và PTSOCKET.
- FDMTP là mã độc downloader mới được nhóm tấn công sử dụng dựa trên giao thức TouchSocket over Duplex Message Transport Protocol (DMTP). Các địa chỉ C2 cùng cấu hình khác trong mã độc sử dụng mã hóa DES và encoded base64 nhằm lẩn tránh sự phát hiện.
- PTSOCKET là mã độc cũng được phát triển với các tính năng đánh cắp dữ liệu sử dụng TouchSocket over DMTP, cho phép truyền tệp tin dữ liệu ở chế độ data luồng.
- Thông qua email lừa đảo, nhóm tấn công cũng triển khai các mã độc là loader DOWNBAIT và PULLBAIT, DOWNBAIT có nhiệm vụ tải xuống tài liệu mồi nhử (decoy) trong khi PULLBAIT có nhiệm vụ tải xuống tiếp mã độc CBROVER, cả 2 đều được lưu trữ trên máy chủ có địa chỉ IP 16[.]162[.]188.93. Sau khi được tải xuống, CBROVER sẽ được load và tiếp tục triển khai thêm mã độc PlugX trong bộ nhớ nhằm thu thập thông tin và tải xuống thêm các công cụ đánh cắp dữ liệu.
Kiểm tra thêm về địa chỉ IP 16[.]162[.]188[.]93 có chứa các tệp tin độc hại và decoy, phát hiện thêm nhiều tài liệu mồi nhử, cùng với nhiều mẫu mã độc khác nhau. Dựa vào tên tệp và nội dung các tệp tài liệu, xác định được một số quốc gia có khả năng bị nhắm mục tiêu bao gồm Myanmar, Philippines, Việt Nam, Singapore, Campuchia và Đài Loan.
Indicator of Compromise (IoC)
Hashes
0910bbc196b4de41e4f2b8011997eafd60d1eadd
cdcfb110fa562419b0bbb96207d3ae1cb55bb834
8563e4154273ed2ab7332e0373ad725f20e08403
8563e4154273ed2ab7332e0373ad725f20e08403
545f84b261f81d64f783e28a8cf051f5997dd580
152b26a6524430ec65f74fa5cdf6816a305a7200
19619e9eb079782f49f8aad5bc73bad69fff0114
5f5679400afc66f68edb9354d268551b5826f635
17f783161db872ca43575d2d95cead037fbb793e
d18a8072e893f74e324eee40a91ee6a24daa923b
4dddbe811429b9467e0e850d3453e93ec7e6d9d9
b7a1930ceabe99110d02ae07ae0cde2a78e7ff7c
2da5052a44e286a5cabdb7f5c9e24c16caae93a5
b3d44d79fca20aadade7073024bc1c13b0c823c5
344672ce54cba0cbcf58d81d535ee94ea7e18961
67f488f2ec143b4081cfabe88e46a78cedc595b4
3514d2e74b476e1569bbf3311934809c6f8e97df5c9669a5fe475e508886df9f
71f114842c30e94c95e57ad394969d5766ca28d056dc724c9820717cf03eb0fe
959fd255338558d02c567680625d88f5c48e43827bbb1c408f2d43b01807809a
466684ad5755c9ee6080ff2a01646824c63a90d3e5be923581b89c707267e79f
f67ce881d31e7475d3bd70cad8bdc8fe0e8fd5f66b87ede0e49109395f7033aa
e2f4b2d71e02b49a2721a88eea7bf7308143ee55d7d8119e5e291eafd4859af5
ea18df47214ac1f96a75b1dffbe510b2855197490bc65f47886b25fc7e8aca15
533f47bc4997eed0491f58f24d45c7850cb460da252de90635938e095b5fc213
99071b9df19024480e1b6d7049e6713486418759b7f0191643776bd0ac08172b
d69a4a7aa3144ee7ec35e7c3a3a4220f5a43bc29cc4cfa0f27fef60b4d93de8d
14a9a74298408c65cb387574ffa8827abd257aa2b76f87efbaa1ee46e8763c57
8ebb12d253a4b4c28435b25478abb590e94bdb55b83c55cda6d44c58a03bf9be
fd68b49acf9234a8592497ef1d675acd57c6a67c6975313772d12c837f3264d1
3b9ef9701ea2b2c1a89489ed0ed43ffabec9e22b587470899c0d5aca1a1e4302
9dd62afdb4938962af9ff1623a0aa5aaa9239bcb1c7d6216f5363d14410a3369
d8747574251c8b4ab8da4050ba9e1f6e8dbbaa38f496317b23da366e25d3028a
7c520353045a15571061c3f6ae334e5f854d441bab417ebf497f21f5a8bc6925
b63bc07202491a4dcd34cc419351edb2f2c395b2671d7acf7bfc88abada344ec
44d2d35ca87bf4292e4586bd08f3fe51d3fff693fed2f9795ff49733338ae8a7
afed5635fa6d63b158fc408d5048bf2dafd6da210a98f308c02c94514ae28fc8
b37b244595cac817a8f8dba24fbea208205e1d1321651237fe24fdcfac4f8ffc
de08f83a5d2421c86573dfb968293c776a830d900af2bc735d2ecd7e77961aaf
d32d7e86ed97509289fff89a78895904cf07a82824c053bfaf1bc5de3f3ba791
IPv4
103[.]15[.]29[.]17
154[.]90[.]32[.]88
47[.]76[.]87[.]55
154[.]90[.]32[.]88
47[.]253[.]106[.]177
16[.]162[.]188[.]93
18[.]163[.]112[.]181
Domains
www[.]ynsins[.]com
www[.]aihkstore[.]com
www[.]bcller[.]com
1.5 Nhóm tấn công sử dụng mã độc Android Ajina.Banker nhắm mục tiêu khu vực Trung Á
Các nhà nghiên cứu của Group-IB đã phát hiện ra nhóm tấn công sử dụng mã độc Android Ajina.Banker, diễn ra từ tháng 11/2023 nhắm mục tiêu vào khách hàng của các ngân hàng khu vực Trung Á. Kẻ tấn công phát tán mã độc thông qua Telegram, ngụy trang thành các ứng dụng ngân hàng, thanh toán và các tiện ích hợp pháp.
Dựa trên bài viết của Group-IB, Ajina.Banker có các khả năng sau:
- Kết nối với máy chủ từ xa, tạo AES encryption key và gửi đến máy chủ, cùng với tên và ID người dùng hard-coded được lưu trữ trong SharedPreferences của thiết bị
- Lạm dụng các dịch vụ trợ năng của Android để ngăn chặn việc gỡ cài đặt và đảm bảo tính liên tục trên thiết bị
- Vô hiệu hóa hoạt động của trình khởi chạy để ngăn nạn nhân mở lại ứng dụng hoặc gỡ cài đặt thông qua giao diện ứng dụng chuẩn
- Truy xuất thông tin chi tiết về thẻ SIM, nhà mạng di động, các ứng dụng tài chính đã cài đặt và tin nhắn SMS (cả đã gửi và đã nhận)
- Chặn tin nhắn xác thực hai yếu tố (2FA) dựa trên SMS cho các tổ chức tài chính
- Gửi yêu cầu Unstructured Supplementary Service Data (USSD) để lấy số điện thoại của các thẻ SIM đang hoạt động từ thiết bị
- Lộ lọt dữ liệu đã thu thập được đến máy chủ từ xa
- Khởi chạy các ứng dụng của bên thứ ba phù hợp với danh tính giả mạo
Ajina.Banker cũng yêu cầu nạn nhân cấp quyền cho phép phần mềm độc hại thực hiện các hành động sau trên thiết bị của nạn nhân:
- Truy cập trạng thái của thiết bị, bao gồm số điện thoại, mã quốc gia, thông tin múi giờ và cường độ tín hiệu
- Khởi tạo cuộc gọi điện thoại
- Đọc danh sách liên lạc của thiết bị
- Nhận và đọc nội dung tin nhắn SMS
NCS đã lấy được các mẫu Ajina.Banker sau từ nguồn công khai:
- 22bbc2e8e874ebd3853f6aaf4ccc6e90ac3705e2
- 8d8bdf4c26ca8c43729ad1a8abf5c43223b30671
- 44de58b97b1c66f5b3d510a11e88a1347a02fc50
Phân tích sandbox phát hiện tất cả các mẫu Ajina.Banker đều đáng ngờ do các mẫu này cho thấy có hành vi truy cập thông tin xác thực, thu thập, và khả năng né tránh. Sau khi thực hiện, tất cả các mẫu thực hiện các hành động sau trên thiết bị của nạn nhân:
- Truy xuất thông tin về giao diện người dùng của thiết bị bằng dịch vụ Trợ năng
- Truy vấn vị trí của thiết bị
- Liên hệ với các địa chỉ IP 109.120.135[.]42, 5.42.73[.]196 và 46.226.160[.]19 qua cổng 8080
Tất cả các mẫu Ajina.Banker cũng yêu cầu cấp quyền thực hiện các hành động sau trên thiết bị của nạn nhân:
- Đọc trạng thái của điện thoại, chẳng hạn như thông tin mạng di động hiện tại, trạng thái của các cuộc gọi đang diễn ra và mã định danh duy nhất của thiết bị
- Nhận và đọc tin nhắn SMS
- Khởi tạo cuộc gọi điện thoại mà không cần nạn nhân tương tác trên giao diện người dùng Trình quay số
- Truy cập số điện thoại và thông tin liên lạc được lưu trữ trên thiết bị
- Đọc nhật ký cuộc gọi của nạn nhân
- Liệt kê các tài khoản được lưu trữ trên thiết bị
- Truy cập internet
- Truy cập thông tin về kết nối Wi-Fi hiện tại và trạng thái mạng
- Nhận thông báo phát sóng khi hệ thống khởi động
MITRE ATT&CK
Tactic | Technique | Procedure |
Initial Access (TA0027) | Phishing (T1660) | Ajina spreaded malicious applications via Telegram. |
Persistence (TA0028) | Event Triggered Execution: Broadcast Receivers (T1624.001) | Ajina.Banker registers to receive system-wide broadcast intents such as receiving SMS message, device boot completion, network changes, battery charging state changes, locking and unlocking the screen. |
Defense-evasion (TA0030) | Indicator Removal on Host: Uninstall Malicious Application (T1630.001) | Ajina.Banker can uninstall itself. |
Masquerading: Match Legitimate Name or Location (T1655.001) | Ajina.Banker mimics legitimate applications, trying to match their names and icons. | |
Credential-access (TA0031) | Access Notifications (T1517) | Ajina.Banker can access SMSes. |
Discovery (TA0032) | Software Discovery (T1418) | Ajina.Banker checks for presence of some hardcoded applications (mostly banks). |
System Network Configuration Discovery (T1422) | Ajina.Banker checks for SPN and then sends a USSD request to get the phone number. | |
Collection (TA0035) | Access Notifications (T1517) | Ajina.Banker can access the notifications. |
Protected User Data: SMS Messages (T1636.004) | Ajina.Banker can access the SMS messages. | |
Command-and-control (TA0037) | Non-Standard Port (T1509) | Ajina.Banker sends data in raw TCP to 8080 port. |
Exfiltration (TA0036) | Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1639.001) | Ajina.Banker exfiltrates data to the gate server. |
Indicator of Compromise (IoC)
Chi tiết thông tin về IoC xem tại: https://www.group-ib.com/blog/ajina-malware/
1.6 APT32 nhắm mục tiêu vào tổ chức nhân quyền Việt Nam
Các nhà nghiên cứu phát hiện ra nhóm tấn công nhắm tới tổ chức nhân quyền tại Việt Nam trong nhiều năm liền nhằm phát tán mã độc, các hoạt động tấn công này được thực hiện bởi APT32 (hay APT-C-00, Canvas Cyclone (trước đây là Bismuth), Cobalt Kitty và OceanLotus) – nhóm tấn công được cho là liên kết với Việt Nam.
Các tấn công được ghi nhận trên 4 máy với đa dạng cách thức triển khai khác nhau, với hình thức tạo lập lich, thiết lập key run hoặc service để cấu hình và triển khai mã độc trong đó có CobaltStrike
Host 1: Ghi nhận các hành vi sau
- Lập lịch thực thi script powershell thông qua wscript.exe
- Lập lịch tham chiếu đến đường dẫn C:\Users\<REDACTED>\Appdata\Roaming\Adobe\Acrobat\adobe.png chứa shellcode được gọi từ thư viện mi54giwp.dll trong Java archive.
- Lập lịch thực thi MSSharePoint.vbs nhằm tải xuống thêm tệp tin có tên cloud.bat, nội dung trong cloud được cấu hình tải xuống thêm cloudlog.txt. Thông tin xác thực tới SFTP server và máy chủ lưu trữ file (base[.]msteamsapi[.]com) trong tệp cả 2 file là giống nhau.
- Lập lịch thực thi cloud.bat mỗi 5h. Ngoài ra, cloud.bat cũng được gọi thông qua một handler
- Lập lịch, thông qua comobject nhằm khởi chạy backdoor logo.png
- Tạo key run khởi chạy tiến trình được đổi tên từ McAfee và SoftwareUpdate.exe, không ghi nhận cấu hình trỏ tới DLL.
- Tạo keyrun khởi chạy connection.bat (downloader)
- Tạo keyrun khởi chạy DropboxUpdate nhằm triển khai shellcode (DropboxUpdate.bin)
Host 2: Khởi tạo lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)
Thông qua Windows Management Instrumentation để thực thi 1 tập lệnh hàng loạt cmd.exe /c C:\Users\Public\Downloads\1.bat , sử dụng để truy vấn các quy trình đang chạy trên máy chủ. Các lệnh thu thập thông tin về domain cũng được thực thi
net group “Domain Admins” /domain
nltest /dclist:<REDACTED>.local
Ngoài ra, một số schedule task được tạo để thực thi tệp calibre.exe , ngụy trang dưới tác vụ hợp pháp Calibration Loader. Sau khi thực thi calibre.exe , kẻ tấn công leo thang lên đặc quyền cao thông qua name pipe và chạy DLL độc hại có tên calibre-launcher.dll
Host 3: Khởi tạo lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)
Sau khi giả mạo name pipe trên host 2, kẻ tấn công tạo một schedule task chạy sau mỗi 15 phút dưới tài khoản SYSTEM, sau đó chạy để gọi tệp thực thi calibre.exe
Host 4: Ghi nhận các hành vi:
- Triển khai các lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)
- Triển khai lập lịch nhằm triển khai shellcode thông qua thư viện trong java archive (msadobe.jar)
Indicator of Compromises (IoCs)
Indicator | Type | Details |
msadobe.jar | SHA256 | 300ef93872cc574024f2402b5b899c834908a0c7da70477a3aeeaee2e458a891 |
1lpiozkc.node | SHA256 | b31bfa8782cb691178081d6685d8429a2a2787b1130c6620d3486b4c3e02d441 |
ms-adobe.bin | SHA256 | 8e2e9e7b93f4ed67377f7b9df9523c695f1d7e768c3301db6c653948766ff4c3 |
1.bat | SHA256 | 1bd17369848c297fb30e424e613c10ccae44aa0556b9c88f6bf51d84d2cbf327 |
1.txt | SHA256 | 6cf19d0582c6c31b9e198cd0a3d714b397484a3b16518981d935af9fd6cdb2eb |
logo.png | SHA256 | f8773628cdeb821bd7a1c7235bb855e9b41aa808fed1510418a7461f7b82fd6c |
goopdate.dll | SHA256 | c03cc808b64645455aba526be1ea018242fcd39278acbbf5ec3df544f9cf9595 |
logo.png | SHA256 | aa69c6c22f1931d90032a2d825dbee266954fac33f16c6f9ce7714e012404ec1 |
adobe.png | SHA256 | a6072e7b0fafb5f09fd02c37328091abfede86c7c8cb802852985a37147bfa19 |
iisexpressshim.sdb | SHA256 | 09f53e68e55a38c3e989841f59a9c4738c34c308e569d23315fd0e2341195856 |
DropboxUpdate.bin | SHA256 | c7e2dbc3df04554daa19ef125bc07a6fa52b5ea0ba010f187a082dc9fc2e97ed |
iisexpressshim.sdb | SHA256 | a217fe01b34479c71d3a7a524cb3857809e575cd223d2dd6666cdd47bd286cd6 |
adobe.jar | SHA256 | efc373b0cda3f426d25085938cd02b7344098e773037a70404c6028c76cc16fc |
MSSharePoint.vbs | SHA256 | 6c08a004a915ade561aee4a4bec7dc588c185bd945621ec8468575a399ab81f4 |
cloud.bat | SHA256 | ea8a00813853038820ba50360c5c1d57a47d72237e3f76c581d316f0f1c6e85f |
logo.png | SHA256 | 82e94417a4c4a6a0be843ddc60f5e595733ed99bbfed6ac508a5ac6d4dd31813 |
iisutil2.dll | SHA256 | 47af8a33aac2e70ab6491a4c0a94fd7840ff8014ad43b441d01bfaf9bf6c4ab7 |
Wdiservicehost.exe (renamed mcoemcpy.exe) |
SHA256 | 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe |
TpmInit.exe | SHA256 | 29863f612d2da283148cb327a1d57d0a658d75c8e65f9ef4e5b19835855e981e |
51.81.29[.]44 | IP | DNS: kpi.adcconnect[.]me ASN: OVH SAS |
5.230.35[.]192 | IP | DNS: dupbleanalytics[.]net DNS: get.dupbleanalytics[.]net NS: 3-get.njalla[.]fo NS: 2-can.njalla[.]in NS: 1-you.njalla[.]no SOA: you.can-get-no[.]info ASN: GHOSTnet GmbH |
185.198.57[.]184 | IP | DNS: fbcn.enantor[.]com DNS: cdn.arlialter[.]com DNS: ww1.erabend[.]com DNS: var.alieras[.]com ASN: Host Sailor Ltd |
185.43.220[.]188 | IP | ASN: WIBO Baltic UAB |
193.107.109[.]148 | IP | DNS: base.msteamsapi[.]com |
46.183.223[.]79 | IP | DNS: cds55[.]lax8[.]setalz[.]com DNS: hx-in-f211[.]popfan[.]org DNS: adobe[.]riceaub[.]com |
176.103.63[.]48 | IP | DNS: priv[.]manuelleake[.]com DNS: blank[.]eatherurg[.]com |
hx-in-f211[.]popfan[.]org | Domain | A: 46.183.223[.]79 |
cds55[.]lax8[.]setalz[.]com | Domain | A: 46.183.223[.]79 |
adobe[.]riceaub[.]com | Domain | A: 46.183.223[.]79 |
priv[.]manuelleake[.]com | Domain | A: 176.103.63[.]48 |
blank[.]eatherurg[.]com | Domain | A: 176.103.63[.]48 |
cdn.arlialter[.]com | Domain | 185.198.57[.]184 |
fbcn.enantor[.]com | Domain | 185.198.57[.]184 |
ww1.erabend[.]com | Domain | 185.198.57[.]184 |
var.alieras[.]com | Domain | 185.198.57[.]184 |
1.7 Nhóm tấn công phát tán Voldemort nhắm mục tiêu trên toàn cầu
Các nhà nghiên cứu Proofpoint xác định chiến dịch phát tán mã độc Voldemort, giả mạo cơ quan thuế của các chính phủ khu vực Châu Âu, Châu Á, Hoa Kỳ nhắm mục tiêu tổ chức trên toàn thế giới. Voldemort là một backdoor có khả năng thu thập thông tin và có thể tải thêm các payload. Dựa trên dữ liệu, các nhà nghiên cứu cho rằng chiến dịch này thực hiện với mục đích gián điệp, thu thập thông tin tình báo.
Kể từ 05/08/2024, ghi nhận hơn 20.000 tin nhắn ảnh hưởng đến hơn 70 tổ chức trên toàn cầu về vấn đề thay đổi trong hồ sơ khai thuế, mạo danh các cơ quan thuế ở Hoa Kỳ, Vương quốc Anh, Pháp, Đức, Ấn Độ, Nhật Bản.
Ngoài ra, kẻ tấn công nhắm mục tiêu vào công ty bảo hiểm, tổ chức hàng không vũ trụ, giao thông vận tải, các trường đại học
Các tin nhắn chứa Google AMP Cache URLs sẽ chuyển hướng đến trang được lưu trữ trên InfinityFree, có chức năng kiểm tra User Agent khi người dùng click xem tài liệu
Nếu User Agent chứa “Windows”, trình duyệt sẽ chuyển hướng đến URI search-ms, nhắc nạn nhân mở Windows Explorer. Sau khi chuyển hướng, trình duyệt sẽ tải một hình ảnh từ URL kết thúc bằng /stage1. Đây có thể là một cách để xác nhận chuyển hướng thành công, cho phép kẻ tấn công thu thập thông tin về trình duyệt và mạng của nạn nhân. Nếu User Agent không chứa “Windows”, trình duyệt sẽ được chuyển hướng đến URL Google Drive trống và tải hình ảnh tương tự từ IP pingb.in với URL kết thúc bằng /stage0.
Trường hợp nạn nhân mở Windows Explorer, trình duyệt thực hiện truy vấn Windows Search theo tệp .search-ms được liên kết. Tệp .search-ms lạm dụng định dạng tệp dẫn đến việc hiển thị Windows shortcut file (.LNK). File .lnk được lưu trữ trên máy chủ TryCloudflare, sử dụng biểu tượng PDF để ngụy trang, đánh lừa người dùng mở tệp
Nếu file LNK thực thi, Python.exe sẽ khởi chạy thông qua PowerShell từ một thư mục WebDAV thứ ba trên cùng \library\ và truyền một script Python từ thư mục \resource\ mà không tải bất kỳ file nào về máy tính nạn nhân.
Tệp python thực thi có chức năng
- Thu thập thông tin về máy tính bằng hàm platform.uname() của Python, bao gồm tên máy tính, thông tin phiên bản Windows và thông tin CPU.
- Gửi dữ liệu dưới dạng base64 trong URL thông qua yêu cầu GET đến cùng một IP pingb.in
Indicators of compromise
hxxps://pubs[.]infinityfreeapp[.]com/SA150_Notes_2024[.]html |
hxxps://pubs[.]infinityfreeapp[.]com/IRS_P966[.]html |
hxxps://pubs[.]infinityfreeapp[.]com/Notice_pour_remplir_la_N%C2%B0_2044[.]html |
hxxps://pubs[.]infinityfreeapp[.]com/La_dichiarazione_precompilata_2024[.]html |
hxxps://pubs[.]infinityfreeapp[.]com/Steuerratgeber[.]html |
hxxps://od[.]lk/s/OTRfNzQ5NjQwOTJf/test[.]png |
hxxps://od[.]lk/s/OTRfODQ1Njk2ODVf/2044_4765[.]pdf |
hxxps://od[.]lk/s/OTRfODM5Mzc3NjFf/irs-p966[.]pdf |
hxxps://od[.]lk/s/OTRfODM3MjM2NzVf/La_dichiarazione_precompilata_2024[.]pdf |
hxxps://od[.]lk/s/OTRfODQ1NDc2MjZf/SA150_Notes_2024[.]pdf |
hxxps://od[.]lk/s/OTRfODQ1NzA0Mjlf/einzelfragen_steuerbescheinigungen_de[.]pdf |
hxxp://83[.]147[.]243[.]18/p/ |
3fce52d29d40daf60e582b8054e5a6227a55370bed83c662a8ff2857b55f4cea |
561e15a46f474255fda693afd644c8674912df495bada726dbe7565eae2284fb |
6bdd51dfa47d1a960459019a960950d3415f0f276a740017301735b858019728 |
pants-graphs-optics-worse[.]trycloudflare[.]com |
ways-sms-pmc-shareholders[.]trycloudflare[.]com |
recall-addressed-who-collector[.]trycloudflare[.]com |
hxxps://sheets[.]googleapis[.]com:443/v4/spreadsheets/16JvcER-0TVQDimWV56syk91IMCYXOvZbW4GTnb947eE/ |
hxxps://resource[.]infinityfreeapp[.]com/ABC_of_Tax[.]html |
hxxps://resource[.]infinityfreeapp[.]com/0023012-317[.]html |
hxxps://od[.]lk/s/OTRfODQ4ODE4OThf/logo[.]png |
hxxps://od[.]lk/s/OTRfODQ5MzQ5Mzlf/ABC_of_Tax[.]pdf |
0b3235db7e8154dd1b23c3bed96b6126d73d24769af634825d400d3d4fe8ddb9 |
fa383eac2bf9ad3ef889e6118a28aa57a8a8e6b5224ecdf78dcffc5225ee4e1f |
invasion-prisoners-inns-aging[.]trycloudflare[.]com |
2 CVE và các khuyến nghị bảo mật
2.1 Microsoft Patch Tuesday –September 2024
Trong tháng 09, Microsoft đã phát hành các bản vá cho 79 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; Azure; Dynamics Business Central; SQL Server; Windows Hyper-V; Mark of the Web (MOTW); Remote Desktop Licensing Service. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 71 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:
2.1.1 CVE-2024-43491 – Microsoft Windows Update Remote Code Execution Vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Windows Update ảnh hưởng đến Optional Components trên Windows 10, phiên bản 1507 (Windows 10 Enterprise 2015 LTSB và Windows 10 IoT Enterprise 2015 LTSB).
Phiên bản ảnh hưởng:
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491
2.1.2 CVE-2024-38226 – Microsoft Publisher Security Feature Bypass Vulnerability
CVSS: 7.3/10
Mô tả: Tồn tại lỗ hổng vượt qua cơ chế bảo mật trong Microsoft Publisher cho phép kẻ tấn công vượt qua các chính sách liên quan đến marco trong Office – sử dụng để chặn tệp độc hại. Khai thác lỗ hổng yêu cầu tương tác từ người dùng.
Phiên bản ảnh hưởng:
Microsoft Publisher 2016 (64-bit edition)
Microsoft Publisher 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226
2.1.3 CVE-2024-38217 – Windows Mark of the Web Security Feature Bypass Vulnerability
CVSS: 5.4/10
Mô tả: Tồn tại lỗ hổng vượt qua cơ chế bảo mật trên Windows Mark of the Web. Khai thác lỗ hồng yêu cầu tương tác từ người dùng, kẻ tấn công thuyết phục người dùng tải và mở tệp tin độc hại được lưu trữ trên máy chủ do kẻ tấn công kiểm soát.
Phiên bản ảnh hưởng:
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64based Systems Service Pack 1
Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64based Systems Service Pack 2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 for 32bit Systems
Windows 11 Version 24H2 for x64based Systems
Windows 11 Version 24H2 for ARM64based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit System
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64based Systems
Windows 10 Version 1809 for x64based Systems
Windows 10 Version 1809 for 32bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217
2.1.4 CVE-2024-38014 – Windows Installer Elevation of Privilege Vulnerability
CVSS: 7.8/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trên Windows Installer cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Windows 10 Version 1809 for ARM64 based Systems
Windows 10 Version 1809 for x64 based Systems
Windows 10 Version 1809 for 32 bit Systems
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64 based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64 based Systems Service Pack 1
Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64 based Systems Service Pack 2
Windows Server 2008 for 32 bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32 bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64 based Systems
Windows 10 Version 1607 for 32 bit Systems
Windows 10 for x64 based Systems
Windows 10 for 32 bit Systems
Windows 11 Version 24H2 for x64 based Systems
Windows 11 Version 24H2 for ARM64 based Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64 based Systems
Windows 11 Version 23H2 for ARM64 based Systems
Windows 10 Version 22H2 for 32 bit Systems
Windows 10 Version 22H2 for ARM64 based Systems
Windows 10 Version 22H2 for x64 based Systems
Windows 11 Version 22H2 for x64 based Systems
Windows 11 Version 22H2 for ARM64 based Systems
Windows 10 Version 21H2 for x64 based Systems
Windows 10 Version 21H2 for ARM64 based Systems
Windows 10 Version 21H2 for 32 bit Systems
Windows 11 version 21H2 for ARM64 based Systems
Windows 11 version 21H2 for x64 based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014
2.1.5 CVE-2024-43461 – Windows MSHTML Platform Spoofing Vulnerability
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng spoofing trên Windows MSHTML.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64based Systems Service Pack 1
Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64based Systems Service Pack 2
Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64based Systems
Windows 10 Version 1607 for 32bit Systems
Windows 10 for x64based Systems
Windows 10 for 32bit Systems
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows 11 Version 23H2 for x64based Systems
Windows 11 Version 23H2 for ARM64based Systems
Windows 10 Version 22H2 for 32bit Systems
Windows 10 Version 22H2 for ARM64based Systems
Windows 10 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for x64based Systems
Windows 11 Version 22H2 for ARM64based Systems
Windows 10 Version 21H2 for x64based Systems
Windows 10 Version 21H2 for ARM64based Systems
Windows 10 Version 21H2 for 32bit Systems
Windows 11 version 21H2 for ARM64based Systems
Windows 11 version 21H2 for x64based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64based Systems
Windows 10 Version 1809 for x64based Systems
Windows 10 Version 1809 for 32bit Systems
Windows 11 Version 24H2 for x64based Systems
Windows 11 Version 24H2 for ARM64based Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461
2.1.6 CVE-2024-38018 – Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38018
2.1.7 CVE-2024-43464 / CVE-2024-38227 / CVE-2024-38228 – Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS: 7.2/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43464
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38227
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38228
2.2 Ứng Dụng Web Và Các Sản Phẩm Khác
2.2.1 CVE-2024-20469 – Cisco Identity Services Engine Command Injection Vulnerability
CVSS: 6.0/10
Mô tả: Tồn tại lỗ hổng Command Injection trên Cisco Identity Services Engine (ISE) cho phép kẻ tấn công chèn lệnh và có khả năng leo thang lên đặc quyền root. Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Cisco ISE phiên bản 3.2 và 3.3
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
2.2.2 CVE-2024-8686 – PAN-OS: Command Injection Vulnerability
CVSS: 8.6/10
Mô tả: Tồn tại lỗ hổng Command Injection trên Palo Alto Networks PAN-OS cho phép kẻ tấn công thực thi lệnh tùy ý bằng quyền root.
Phiên bản ảnh hưởng:
PAN-OS 11.2 phiên bản 11.2.2
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-8686
2.2.3 CVE-2024-8687 – PAN-OS: Cleartext Exposure of GlobalProtect Portal Passcodes
CVSS: 8.6/10
Mô tả: Tồn tại lỗ hổng Information Exposure trên Palo Alto Networks PAN-OS, tiết lộ thông tin nhạy cảm như password dưới dạng bản rõ dẫn đến kẻ tấn công có thể gỡ cài đặt, vô hiệu hóa hoặc ngắt kết nối GlobalProtect.
Phiên bản ảnh hưởng:
Palo Alto Networks PAN-OS
GlobalProtect App 6.2 phiên bản < 6.2.1
GlobalProtect App 6.1 phiên bản < 6.1.2
GlobalProtect App 6.0 phiên bản < 6.0.7
GlobalProtect App 5.2 phiên bản < 5.2.13
GlobalProtect App 5.1 phiên bản < 5.1.12
PAN-OS 11.0 phiên bản < 11.0.1
PAN-OS 10.2 phiên bản < 10.2.4
PAN-OS 10.1 phiên bản < 10.1.9
PAN-OS 10.0 phiên bản < 10.0.12
PAN-OS 9.1 phiên bản < 9.1.16
PAN-OS 9.0 phiên bản < 9.0.17
PAN-OS 8.1 phiên bản < 8.1.25
Prisma Access phiên bản < 10.2.9 on PAN-OS
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-8687
2.2.4 CVE-2024-8688 – PAN-OS: Arbitrary File Read Vulnerability in the Command Line Interface (CLI)
CVSS: 6.7/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công đọc file tùy ý trên CLI của Palo Alto Networks PAN-OS.
Phiên bản ảnh hưởng:
PAN-OS 10.1 phiên bản < 10.1.1
PAN-OS 10.0 phiên bản < 10.0.10
PAN-OS 9.1 phiên bản < 9.1.15
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://security.paloaltonetworks.com/CVE-2024-8688
2.2.5 CVE-2024-28991 – Remote Code Execution Vulnerability SolarWinds Access Rights Manager (ARM)
CVSS: 9.0/10
Mô tả: Tồn tại lỗ hổng thực thi mã từ xa trên SolarWinds Access Rights Manager (ARM). Khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
SolarWinds ARM < = 2024.3
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28991
2.2.6 CVE-2024-40766 – SonicOS Improper Access Control Vulnerability
CVSS: 9.3/10
Mô tả: Tồn tại lỗ hổng Access Control trong quyền truy cập quản lý SonicWall SonicOS và SSLVPN, cho phép kẻ tấn công truy cập trái phép vào các tài nguyên của hệ thống. Lỗ hổng này cũng có thể dẫn đến tình trạng crash firewall.
Phiên bản ảnh hưởng:
SOHO (Gen 5) phiên bản <= 5.9.2.14-12o
Gen 6 phiên bản <= 6.5.4.14-109n
Gen 7 phiên bản <= 7.0.1-5035
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://psirt.global.sonicwall.com/vuln-list
2.2.7 CVE-2024-40711 – Unauthenticated remote code execution (RCE) in Veeam Backup & Replication
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên thiết bị ảnh hưởng.
Phiên bản ảnh hưởng:
Veeam Backup & Replication 12.1.2.172
Tất cả phiên bản < 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
2.2.8 CVE-2024-40713 – Alter Multi-Factor Authentication (MFA) settings and bypass MFA in Veeam Backup & Replication
CVSS: 8.8/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thay đổi và vượt qua (bypass) các xác thực đa yếu tố (MFA) trong Veeam Backup & Replication.
Phiên bản ảnh hưởng:
Veeam Backup & Replication 12.1.2.172
Tất cả phiên bản < 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.veeam.com/kb464
2.2.9 CVE-2024-40710 Remote Code Execution (RCE) in Veeam Backup & Replication
CVSS: 9.3/10
Mô tả: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng, thu thập thông tin nhạy cảm như thông tin đăng nhập và mật khẩu. Khai thác lỗ hổng yêu cầu kẻ tấn công có tài khoản trong Veeam Backup & Replication.
Phiên bản ảnh hưởng:
Veeam Backup & Replication 12.1.2.172
Tất cả phiên bản < 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
2.2.10 CVE-2024-40712 – Path Traversal Vulnerability in Veeam Backup & Replication
CVSS: 9.3/10
Mô tả: Tồn tại lỗ hổng path traversal cho phép kẻ tấn công leo thang lên đặc quyền local (Local Privilege Escalation – LPE) trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
Veeam Backup & Replication 12.1.2.172
Tất cả phiên bản < 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
2.2.11 CVE-2024-38812- VMware vCenter Server heap-overflow vulnerability
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng heap-overflow trong giao thức DCERPC sử dụng trong VMware vCenter Server. Khai thác thành công cho phép kẻ tấn công với quyền truy cập mạng tới vCenter Server có thể thực thi mã từ xa.
Phiên bản ảnh hưởng:
VMware vCenter Server phiên bản 7.0 và 8.0
VMware Cloud Foundation phiên bản 4.x và 5.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968
2.2.12 CVE-2024-38813 – VMware vCenter privilege escalation vulnerability
CVSS: 7.5/10
Mô tả: Tồn tại lỗ hổng leo thang đặc quyền trên VMware vCenter Server cho phép kẻ tấn công leo thang lên đặc quyền root trên hệ thống bị ảnh hưởng.
Phiên bản ảnh hưởng:
VMware vCenter Server phiên bản 7.0 và 8.0
VMware Cloud Foundation phiên bản 4.x và 5.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968