THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 9 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Các hoạt động tấn công của Earth Baxia nhắm mục tiêu vào khu vực Châu Á

Gần đây, TrendMicro công bố báo cáo phân tích mô tả các phát hiện tấn công từ nhóm Earth Baxia, được cho xuất phát từ khu vực Trung Quốc. Nhắm mục tiêu tới các quốc gia thuộc khu vực APAC, nhóm tấn công triển khai mã độc Cobaltstrike thông qua 2 cách thức: phát tán các email phishing sử dụng các kỹ thuật GrimResource và AppDomainManager injection trên các máy nạn nhân bị ảnh hưởng hoặc sử dụng lỗ hổng bảo mật CVE-2024-36401 cho phép thực thi mã từ xa, chiếm quyền điều khiển trên hệ thống GeoServer. Ngoài ra, nhóm nghiên cứu cũng phát hiện nhóm tấn công sử dụng mã độc mới có tên EAGLEDOOR, mã độc cho phép hỗ trợ đa dạng các giao thức trong quá trình thu thập, đánh cắp thông tin cũng như phát tán, triển khai các payload mới.

Cũng dựa theo việc thu thập thông tin từ các emails phishing, tài liệu mồi nhử (decoys) và các kỹ thuật tấn công, nhóm nghiên cứu ghi nhận nhóm tấn công nhắm mục tiêu tới các đơn vị chính phủ, lĩnh vực viễn thông, năng lượng ở nhiều quốc gia bao gồm Philippines, Hàn Quốc, Việt Nam, Đài Loan, và Thái Lan và Trung Quốc. Các phân tích từ TrendMicro về hoạt động tấn công thông qua email phishing cũng trùng khớp với báo cáo cảnh báo mà NCS đã từng phân tích và gửi tới quý khách hàng trước đó https://ncsgroup.vn/grimresource-in-the-wild-ma-doc-nham-muc-tieu-viet-nam/

Luồng lây nhiễm

Cách thức 1: Thông qua khai thác lỗ hổng bảo mật

Earth Baxia sử dụng CVE-2024-36401 nhằm khai thác lỗ hổng bảo mật trên GeoServer cho phép thực thi mã tùy ý. Nhóm tấn công sử dụng curl và scp nhằm download hoặc sao chép tệp tin độc hại vào hệ thống bị ảnh hưởng và thực thi. Các tệp tin được tải xuống bao gồm file thực thi Edge.exe, DLL msedge.dll và Logs.txt, trong đó:

  • exe: File thực thi hợp pháp sử dụng để gọi msedge.dll.
  • dll: DLL độc hại có nhiệm vụ như một loader nhằm triển khai mã độc Cobaltstrike.
  • txt: Shellcode Cobaltstrike.

Một sample khác thu thập được triển khai EAGLEDOOR loader trong bộ nhớ (Systemsetting.dll). Bên trong loader có 2 DLL được encrypt trong section .data bao gồm:

  • dll: được sử dụng để can thiệp tới các API thường xuyên được gọi trong quá trình thực thi. Hooked API được gọi sẽ thực thi module Eagle.dll ngay sau đó.
  • dll: Loader sẽ decrypt module và thực thi hàm export function RunEagle trong bộ nhớ.
  • EAGLEDOOR hỗ trợ 4 cách thức để giao tiếp với máy chủ C&C bao gồm: DNS, HTTP, TCP và Telegram. Trong đó TCP, HTTP và DNS được sử dụng để gửi trạng thái máy nạn nhân tới máy chủ C&C, Telegram sử dụng Bot API để thu thập thông tin, thao tác với file và thực thi thêm các payload mới

Nhóm tấn công thu thập thông tin và đánh cắp dữ liệu này thông qua curl.exe tới địa chỉ (152[.]42[.]243[.]170)

Cách thức 2: Phát tán mã độc thông qua email phishing

Nhóm tấn công sử dụng các kỹ thuật tấn công trong MSC file nhằm tải xuống và triển khai các mã độc khác, thu thập thông tin cơ bản trên máy nạn nhân bị ảnh hưởng tới máy chủ C&C. Kẻ tấn công sử dụng môi trường cloud service nhằm lưu trữ các tệp tin độc hại cũng như làm máy chủ C&C.

Indicators of Compromise (IOCs)

File

916f3f4b895c8948b504cbf1beccb601ff7cc6e982d2ed375447bce6ecb41534

9833566856f924e4a60e4dd6a06bf9859061f4be

a4c2f1d0dbd7509d57f9782e54d52df2abf04d0c

d9b814f53e82f686d84647b7d390804b331f1583

4ad078a52abeced860ceb28ae99dda47424d362a90e1101d45c43e8e35dfd325

b357eed1a320773ba4bb551dcb31bca9eb591aa1

e2b0c45beadff54771a0ad581670a10e76dc4cf1

dce0a4c008ea7c02d768bc7fd5a910e79781f925

9b50e888aaec0e4d105a6f06db168a8a2dcf9ab1f9deeff4b7862463299ab1ca

d23dd576f7a44df0d44fca6652897e4de751fdb0becc6b14b754ac9aafc9081c

d3c1ada67f9fe46dfb11f72c1754667d2ccd0026d48d37b61192e3d0ef369b8

e9854ab68dad0a744925118bfae4ec6ce9c4b7727e2ad6763aa50b923991de95

b3b8efcaf6b9491c00049292cdff8f53772438fde968073e73d767d51218d189

cef0d2834613a3da4befa2f56ef91afc9ab82b1e6c510d2a619ed0c1364032b8

061bcd5b34c7412c46a3acd100167336685a467d2cbcd1c67d183b90d0bf8d

1c26d79a841fdca70e50af712f4072fea2de7faf5875390a2ad6d29a43480458

Domains                                                                                                       

recordar-simmco.s3.sa-east-1.amazonaws[.]com

wordpresss-data.s3.me-south-1.amazonaws[.]com

ecgglass-arq.s3.sa-east-1.amazonaws[.]com

souzacambos.s3.sa-east-1.amazonaws[.]com

cooltours.s3.sa-east-1.amazonaws[.]com

xiiltrionsoledadprod.s3.sa-east-1.amazonaws[.]com

app-dimensiona.s3.sa-east-1.amazonaws[.]com

bjj-files-production.s3.sa-east-1.amazonaws[.]com

footracker-statics.s3.sa-east-1.amazonaws[.]com

proradead.s3.sa-east-1.amazonaws[.]com

s3-contemp.s3.sa-east-1.amazonaws[.]com

homologacao-sisp.s3.sa-east-1.amazonaws[.]com

doare-assets.s3.sa-east-1.amazonaws[.]com

kcalmoments.s3.me-south-1.amazonaws[.]com

speedshare.oss-cn-hongkong.aliyuncs[.]com

360photo.oss-cn-hongkong.aliyuncs[.]com

bobs8.oss-cn-hongkong.aliyuncs[.]com

status.s3cloud-azure[.]com

api.s2cloud-amazon[.]com

visualstudio-microsoft[.]com

us2.s3bucket-azure[.]online

static.trendmicrotech[.]com

rocean.oca[.]pics

static.krislab[.]site

ms1.hinet[.]lat

msa.hinet[.]ink

IPs                                                                                                     

167.172.89[.]142

167.172.84[.]142

152.42.243[.]170

188.166.252[.]85

1.2      Nhóm tấn công APT Stately Taurus lợi dụng VSCode nhắm mục tiêu vào chính phủ khu vực Châu Á

Gần đây, nhóm nghiên cứu của Palo Alto ghi nhận chiến dịch tấn công được cho là có liên quan đến nhóm Stately Taurus (hay còn gọi là Mustang Panda, BRONZE PRESIDENT, RedDelta, Luminous Moth, Earth Preta và Camaro Dragon) dựa trên các dữ liệu được thu thập và phân tích. Nhóm tấn công nhắm mục tiêu tới các đơn vị Chính phủ khu vực Đông Nam Á, sử dụng đa dạng các kỹ thuật trong quá trình tấn công, đáng chú ý việc lạm dụng Visual Studio Code nhằm thực thi các đoạn mã độc hại và persistence trên hệ thống bị ảnh hưởng.

Kẻ tấn công thực thi lệnh code.exe tunnel để nhận được liên kết đăng nhập vào GitHub. Sau khi đăng nhập, kẻ tấn công chuyển hướng đến Visual Studio Code được kết nối với máy bị xâm nhập và thực thi các lệnh/tập lệnh, tạo các tệp độc hại

Một số TTPs bổ sung được kẻ tấn công sử dụng:

  • exe: kẻ tấn công sử dụng OpenSSH (sshd.exe) để thực thi câu lệnh, truyền tệp và mục đích di chuyển ngang trong hệ thống
  • SharpNBTScan: sử dụng để thực hiện scan trong môi trường
  • bat: sử dụng để lưu trữ tệp tin nhằm đánh cắp dữ liệu

Stately Taurus thực hiện đánh cắp thông tin nhạy cảm, thực thi câu lệnh rar.exe thông qua SMB (Server Message Block), lưu trữ các thư mục từ máy chủ từ xa. Để trích xuất các tệp đã lưu trữ, kẻ tấn công sử dụng curl để tải các tệp lên một dịch vụ lưu trữ tệp hợp pháp Dropbox nhằm tránh sự chú ý.

Trong quá trình điều tra,  các nhà nghiên cứu cho biết có mối liên hệ giữa hoạt động của ShadowPad với hoạt động của VSCode được liên kết với Stately Taurus do 2 tệp Listeners.bat (được sử dụng trong cụm Stately Taurus) và ShadowPad backdoor đều xuất phát từ cùng một phiên mạng.

Kẻ tấn công sử dụng ShadowPad backdoor làm công cụ chính, lạm dụng quy trình hợp pháp imecmnt.exe thông qua DLL để tải module ShadowPad (imjp14k.dll).

Để thiết lập persistence trên máy nạn nhân, ShadowPad imecmnt.exe được đổi tên thành update.exe nhằm lẩn tránh sự chú ý, thực hiện tiêm mã vào wmplayer.exe sau đó wmplayer.exe tiếp tục tiêm mã vào dllhost.exe

Indicators of Compromise (IoC)

SharpNBTScan

506fc87c8c96fef1d2df24b0ba44c8116a9001ca5a7d7e9c01dc3940a664acb0

Listeners.bat

aa2c0de121ae738ce44727456d97434faff21fc69219e964e1e2d2f1ca16b1c5

8fdac78183ff18de0c07b10e8d787326691d7fb1f63b3383471312b74918c39f

39ceb73bcfd1f674a9b72a03476a9de997867353172c2bf6dde981c5b3ad512a

In-Swor

aaad761ebbc48175aed9325694abd05d984bd506

7b6792fe8cd3b7ce3ef594f4c32daa688a9ed973

965dd0b255f05ff012d2f152e973e09ceb9e95b6239dc820c8ac4d4492255472

5bfc45f7fce27d05e753a61dde5fab623efff3e4df56fb6a0cf178a0b11909ce

Mimikatz

4c61ef03b5e082ebd50578202cae37912b8bd247

Lsass-dump-main

007ee2d9a7d5c9ab803eb093c6b0bad882bbc935

Tscan

a8385f59dec3919bf017c51bd8bdc899ad3ce95f

LaZagne

0e62d10ff194e84ed8c6bd71620f56ef9e557072

ShadowPad C2

216.83.40[.]84

ShadowPad

e7782ed481ae173fffa006cab49fa43c39e1abfa

7e8c1086934e2a5c0ba7b34360d8f281136cbfb0

456e4dae82a12bcda0506a750eac93bf79cc056b8aad09ec74878c90fd67bd8f

ShadowPad Service Names

WindowsMailServices

test12

WindowsEdgeUpdateServices

WindowsMailServices

Javaservice

WindowsEdgeUpdateServices

1.3      APT Lazarus phát tán mã độc thông qua phần mềm videocall giả mạo

Các nhà nghiên cứu phát hiện nhóm tấn công APT Lazarus phát tán mã độc thông qua phần mềm videocall giả mạo có tên FCCCall nhắm mục tiêu vào các chuyên gia blockchain. Ngoài việc tiếp cận nạn nhân thông qua Linkedin, kẻ tấn công còn tiếp cận nạn nhân thông qua các trang tìm kiếm việc làm như WWR, Moonlight, Upwork… Sau đó điều hướng nạn nhân chuyển sang cuộc trò chuyện trên Telegram nhằm tải xuống ứng dụng video conferencing hoặc Node.js độc hại như một yêu cầu trong quá trình phỏng vấn.

Tệp FCCCall là trình cài đặt ứng dụng cuộc gọi giả mạo được tải xuống từ hxxp://freeconference[.]io được tạo vào ngày 02/08/2024

BeaverTail có dạng tệp Windows Installer, cài đặt ứng dụng FCCCall giả mạo. Phần mềm độc hại xuất hiện vào tháng 7/2024 cùng với ứng dụng MiroTalk. FCCCall được phát triển bằng Qt6, hỗ trợ biên dịch chéo cho macOS và Windows tạo điều kiện thuận lợi cho việc phát triển và triển khai ứng dụng trên nhiều hệ điều hành.

Sau khi khởi chạy ứng dụng đã cài đặt, một yêu cầu mã truy cập cuộc họp được gửi tới nạn nhân

BeaverTail có chức năng lọc thông tin đăng nhập từ trình duyệt và dữ liệu từ trang web ví tiền điện tử. Sau đó tải xuống và thực thi tệp Python và InvisibleFerret payload.

Phiên bản thực thi binary của BeaverTail thu thập tất cả dữ liệu cùng lúc, sao chép các tệp vào thư mục [homepath]/.n3/ . Sau đó gửi tới https://[C2]:1224/uploads và xóa thư mục n3

Kẻ tấn công lưu trữ project Node.js trojan trên các nền tảng như Github, Gitlab, Bitbucket hoặc trên các dịch vụ lưu trữ tệp của bên thứ ba… và thực hiện cập nhật script hoặc thay đổi các entry points. Ngoài ra, để tránh sự phát hiện, kẻ tấn công đặt ở chế độ riêng tư, ghi đè Git History hoặc xóa bỏ mã độc sau 1 khoảng thời gian.

node server/server.js  thêm vào thuộc tính “scripts” trong package.json. Trong đó server/server.js đóng vai trò như điểm vào ban đầu, sau đó tải tập lệnh độc hại trong middlewares/helpers/error.js

Một cách khác mà kẻ tấn công sử dụng để che giấu Javascript độc hại bằng cách che giấu sau nhiều khoảng trống/dòng trống khiến cho việc phát hiện trở nên khó khăn

Ngoài ra, kẻ tấn công lấy mã Javascript BeaverTail  từ máy chủ C2 ipcheck[.]cloud hoặc regioncheck[.]net. Sau đó, máy chủ sẽ trả về request payload trong trường cookie với HTTP code 500, sau đó eval() trong catch được thực thi.

Ngoài việc đánh cắp dữ liệu từ trình duyệt, ví tiền điện tử và kho lưu trữ thông tin xác thực, BeaverTail (Python) còn thực hiện 1 số chức năng khác nhau:

  • Thiết lập Persistence: lấy tệp .queue.q2 từ C2 và ghi vào .locale/.queue và  .locale/.q2 tương ứng. BeaverTail thiết lập persistence cho các tập lệnh này trên hệ thống bằng cách tạo nhiều tệp khác nhau tùy thuộc vào nền tảng. Các scripts này được cấu hình để tự động thực thi mỗi khi hệ thống khởi động.
  • Cấu hình AnyDesk: thiết lập mật khẩu cố định trên thiết bị từ xa và cho phép thiết bị khác kết nối bất kì lúc nào mà không cần chấp nhận kết nối. Ngoài ra, còn thực hiện gửi nội dung tệpconf  chứa các biến cấu hình mà AnyDesk sử dụng đến máy chủ C2 nhằm truy xuất giá trị ad.anynet.id từ đó kẻ tấn công chiếm ID để kết nối.
  • Đánh cắp dữ liệu từ Microsoft Sticky Notes: bằng cách nhắm mục tiêu vào các tệp cơ sở dữ liệu SQLite của ứng dụng nằm tại  %LocalAppData%\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite. Bằng cách truy vấn và trích xuất dữ liệu từ cơ sở dữ liệu này, phần mềm độc hại có thể truy xuất và đánh cắp thông tin nhạy cảm từ ứng dụng Sticky Notes của nạn nhân.

InvisibleFerret

Một số trường hợp InvisibleFerret được tải xuống bằng BeaverTail (Javascript). InvisibleFerret là một backdoor Python đa nền tảng bao gồm 1 tập lệnh ban đầu .npl và 2 thành phần bổ sung bow và pay. Chức năng chính bao gồm điều khiển từ xa, keylogging, đánh cắp trình duyệt và tạo điều kiện tải xuống AnyDesk.

InvisibleFerret thay đổi cách thức che giấu, sử dụng mã hóa kiểu Matryoshka bao gồm nén lặp lại, mã hóa base64 và reversal.

Lệnh ssh_zcp được sử dụng để liệt kê dữ liệu từ trình duyệt Chrome, Chromium, Opera, Brave, MsEdge và Vivaldi. Dữ liệu thu thập được sau đó được nén bằng mật khẩu 2024 trước khi được tải lên và sử dụng Telegram để trích xuất dữ liệu.

Indicator of Compromise

hxxp://23.106.253[.]194:1244

hxxp://45.140.147[.]208:54321

hxxp://95.164.17[.]24:1224

hxxp://185.235.241[.]208:1224

hxxp://freeconference[.]io

hxxp://mirotalk[.]net

hxxp://ipcheck[.]cloud

hxxp://regioncheck[.]net

23.106.253[.]194

45.61.129[.]255

45.61.130[.]0

45.61.131[.]218

45.61.160[.]14

45.61.169[.]187

45.140.147[.]208

67.203.7[.]171

67.203.7[.]245

77.37.37[.]81

91.92.120[.]135

95.164.17[.]24

144.172.74[.]48

144.172.79[.]23

147.124.212[.]89

147.124.213[.]11

147.124.213[.]29

147.124.212[.]146

147.124.214[.]129

147.124.214[.]131

147.124.214[.]237

167.88.36[.]13

167.88.168[.]152

167.88.168[.]24

172.86.97[.]80

172.86.98[.]143

172.86.98[.]240

172.86.123[.]35

173.211.106[.]101

185.235.241[.]208

blocktestingto[.]com

de.ztec[.]store:8000

Filename SHA256
FCCCall.msi fd9e8fcc5bda88870b12b47cbb1cc8775ccff285f980c4a2b683463b26e36bf0
FCCCall.msi 36cac29ff3c503c2123514ea903836d5ad81067508a8e16f7947e3e675a08670
FCCCall.msi d502f822e6c52345227b64e3c326e2dbefdd8fc3f844df0821598f8d3732f763
FCCCall.exe d5c0b89e1dfbe9f5e5b2c3f745af895a36adf772f0b72a22052ae6dfa045cea6
FCCCall.exe 0621d37818c35e2557fdd8a729e50ea662ba518df8ca61a44cc3add5c6deb3cd
FCCCall.exe c0110cb21ae0e7fb5dec83ca90db9e250b47a394662810f230eb621b0728aa97
FCCCall d801ad1beeab3500c65434da51326d7648a3c54923d794b2411b7b6a2960f31e
FCCCall.dmg 000b4a77b1905cabdb59d2b576f6da1b2ef55a0258004e4a9e290e9f41fb6923
FCCCall 24b89c77eaeebd4b02c8e8ab6ad3bd7abaa18893ecd469a6a04eda5e374dd305
FCCCall.dmg b8e69d6a766b9088d650e850a638d7ab7c9f59f4e24e2bc8eac41c380876b0d8
MiroTalk.dmg 9abf6b93eafb797a3556bea1fe8a3b7311d2864d5a9a3687fce84bc1ec4a428c
Jami 0f5f0a3ac843df675168f82021c24180ea22f764f87f82f9f77fe8f0ba0b7132
MiroTalk.msi de6f9e9e2ce58a604fe22a9d42144191cfc90b4e0048dffcc69d696826ff7170
MiroTalk.exe 9e3a9dbf10793a27361b3cef4d2c87dbd3662646f4470e5242074df4cb96c6b4
BeaverTail (Python) a87b6664b718a9985267f9670e10339372419b320aa3d3da350f9f71dff35dd1
CivetQ 7180f5a1c2554b77b4c21a727cca65cc0f9f023f6cac05b295d7172dad07023f

306adab1769c48e09e5a637c82b6b32cd57e4895cc727860f02b558f406e7f34

7f13ca9848086e3de9be971ea8d44ea97ec289c4565ce35b0049c8b534fccbef

01b7306554f6e6bac63f5524588ff5c880b5afb4394074d1c132ecc554c72c83

2f86acdfdf19c1719189fb121cc9391453d83989aa5c07d4144c9fb6585610cc

Various malicious Javascript 06384aedc3614ee73cc7319e30975fca00d43981b626ba5f2b993a254e20d818

0620a7fa8c6e416d96fe3d3baf4cd925b1a72ce1db8d3eacfb1e10c5fe434962

cd13a9c92210ada940a44769874dd6716f85c4e4e9d7323ec5789c7b253d937d

dcde59721b78e6797ee7f79c0e19c4a1c5a7806d20cbfa4a6ebb8efca189baf3

9110515c2d5f6f48871f0631f411d55f2f0307286e6678952f5d86abe5ce11a9

ddc4162a71f13cc39519c0f8917b960f3536c47be710bde010bb6e87afe16bc5

c373c4c2922f7ca49e2cf5670052d071b15649164ed32a321b7c6fb1a7f2ca6b

b378d389fd31c6cb65fc85ea960b609049c5f97266cafcbfc6d261fa09355cc0

b653153a94c275f8f1156298c905b86943cb2a63c8b2211e65cf2a1a671c98d1

14e52430f1d1fa390973294d50849ee500061758721c8e28424871812d237132

0049e2f4f746aa0ec1713cb83dbf8e30d535c01e7b7f10133ae14da0c6a68d69

23b2df9ae70e592c6d82ee1aa1edd00aee982fc2df859f813224a0c908106789

64b1aca7b36e662132ae60c2d2df6ea5872239d2b2632d88fdf1b1f383e0d446

2ed5e202190df967c06750ba11aa8486c309e21875594a68f3dff3abb01f569d

1be03204709c037378ae96197700148303875a99b8f14838bdabfaceed5693e4

47e876110f5e478a739ca3ad034707c1011c89d3a73a1047d0bfa5359a9cfe4b

2a8c90885a8bea74cfe918f3ac6b939990e5ff25434a8c70f7a67d42e03936bd

ce572304131bd7c4fd34c3a919de403007c842d9c225d080b4ac31e7c8da606e

9742da5b33866edb8b280fe10909f3f60bc5bf3a33e918d9889e4552f5ce25e3

301678669e05064d13f1912caae530f0b23f5c83a98352e4b0b53a19128a40cf

d8806fb404bf29e4a3941c912cbb48553ad5340e1b7195a94e6abf8d75b9102c
7e378c2f0a92c355473b2e2d25d6df9d075ccf89048f7ab10dd4d30c2243a6b1

a6c9f8c06fdb15de26656e5e490990984634e2c1c05232d3260c29970f9dd6f3

887594f18cdbbae4ceef62572e813810b75c8edfb3c4971097d8f8a74f9f103c

1e5d3ee4c0eb6d67f6bc812cf492c53683962252ddb6ac5285ed251ab4a48ddc

d356a0668a0f7827d8041eaebdbc003a5b96fe0d82a353ab802dab31bdc5c323

c19cdedf8f800d2eeccd5094d7d054dcc00a998356eeae822c14a25f0ce400f2

1.4     Mustang Panda nhắm mục tiêu tới các đơn vị Chính phủ khu vực Châu Á – Thái Bình Dương

Gần đây, nhóm nghiên cứu của Trend Micro ghi nhận chiến dịch tấn công được cho là có liên quan đến nhóm Mustang Panda dựa các dữ liệu thu thập và phân tích. Nhóm tấn công nhắm mục tiêu tới các đơn vị Chính phủ khu vực Châu Á – Thái Bình Dương sử dụng nhiều loại malware độc hại với cách thức tấn công mới.

  • Ghi nhận có 2 cách thức để triển khai mã độc PUBLOAD bao gồm thông qua email lừa đảo (phishing) hoặc thông qua biến thể của HIUPAN cho phép lây nhiễm thông qua ổ đĩa di động. Đây là cách thức mới, biến thể mã độc HIUPAN cũng phát triển thêm tính năng triển khai mã độc ACNSHELL bên cạnh các tính năng sẵn có trong HIUPAN.
  • PUBLOAD là mã độc được sử dụng để có quyền truy cập ban đầu vào hệ thống, sử dụng tiến trình của trình duyệt phổ biến tại Việt Nam Cốc Cốc – CocCocUpdate.exe sẽ load DLL độc hại thông qua kỹ thuật DLL side-loading, tạo registry và các lập lịch. Khởi chạy thành công, mã độc thu thập các thông tin cơ bản trên máy của nạn nhân bị ảnh hưởng thông qua một số câu lệnh như: “hostname, arp -a, whoami, ipconfig /all, v.v…”. Dữ liệu được nén thông qua RAR và sử dụng CURL để đánh cắp dữ liệu tới FTP site do kẻ tấn công kiểm soát. Mã độc cũng cung cấp tính năng cho phép triển khai thêm các mã độc khác bao gồm mã độc có tên FDMTP và PTSOCKET.
  • FDMTP là mã độc downloader mới được nhóm tấn công sử dụng dựa trên giao thức TouchSocket over Duplex Message Transport Protocol (DMTP). Các địa chỉ C2 cùng cấu hình khác trong mã độc sử dụng mã hóa DES và encoded base64 nhằm lẩn tránh sự phát hiện.
  • PTSOCKET là mã độc cũng được phát triển với các tính năng đánh cắp dữ liệu sử dụng TouchSocket over DMTP, cho phép truyền tệp tin dữ liệu ở chế độ data luồng.

  • Thông qua email lừa đảo, nhóm tấn công cũng triển khai các mã độc là loader DOWNBAIT và PULLBAIT, DOWNBAIT có nhiệm vụ tải xuống tài liệu mồi nhử (decoy) trong khi PULLBAIT có nhiệm vụ tải xuống tiếp mã độc CBROVER, cả 2 đều được lưu trữ trên máy chủ có địa chỉ IP 16[.]162[.]188.93. Sau khi được tải xuống, CBROVER sẽ được load và tiếp tục triển khai thêm mã độc PlugX trong bộ nhớ nhằm thu thập thông tin và tải xuống thêm các công cụ đánh cắp dữ liệu.

Kiểm tra thêm về địa chỉ IP 16[.]162[.]188[.]93 có chứa các tệp tin độc hại và decoy, phát hiện thêm nhiều tài liệu mồi nhử, cùng với nhiều mẫu mã độc khác nhau. Dựa vào tên tệp và nội dung các tệp tài liệu, xác định được một số quốc gia có khả năng bị nhắm mục tiêu bao gồm Myanmar, Philippines, Việt Nam, Singapore, Campuchia và Đài Loan.

Indicator of Compromise (IoC)

Hashes

0910bbc196b4de41e4f2b8011997eafd60d1eadd

cdcfb110fa562419b0bbb96207d3ae1cb55bb834

8563e4154273ed2ab7332e0373ad725f20e08403

8563e4154273ed2ab7332e0373ad725f20e08403

545f84b261f81d64f783e28a8cf051f5997dd580

152b26a6524430ec65f74fa5cdf6816a305a7200

19619e9eb079782f49f8aad5bc73bad69fff0114

5f5679400afc66f68edb9354d268551b5826f635

17f783161db872ca43575d2d95cead037fbb793e

d18a8072e893f74e324eee40a91ee6a24daa923b

4dddbe811429b9467e0e850d3453e93ec7e6d9d9

b7a1930ceabe99110d02ae07ae0cde2a78e7ff7c

2da5052a44e286a5cabdb7f5c9e24c16caae93a5

b3d44d79fca20aadade7073024bc1c13b0c823c5

344672ce54cba0cbcf58d81d535ee94ea7e18961

67f488f2ec143b4081cfabe88e46a78cedc595b4

3514d2e74b476e1569bbf3311934809c6f8e97df5c9669a5fe475e508886df9f

71f114842c30e94c95e57ad394969d5766ca28d056dc724c9820717cf03eb0fe

959fd255338558d02c567680625d88f5c48e43827bbb1c408f2d43b01807809a

466684ad5755c9ee6080ff2a01646824c63a90d3e5be923581b89c707267e79f

f67ce881d31e7475d3bd70cad8bdc8fe0e8fd5f66b87ede0e49109395f7033aa

e2f4b2d71e02b49a2721a88eea7bf7308143ee55d7d8119e5e291eafd4859af5

ea18df47214ac1f96a75b1dffbe510b2855197490bc65f47886b25fc7e8aca15

533f47bc4997eed0491f58f24d45c7850cb460da252de90635938e095b5fc213

99071b9df19024480e1b6d7049e6713486418759b7f0191643776bd0ac08172b

d69a4a7aa3144ee7ec35e7c3a3a4220f5a43bc29cc4cfa0f27fef60b4d93de8d

14a9a74298408c65cb387574ffa8827abd257aa2b76f87efbaa1ee46e8763c57

8ebb12d253a4b4c28435b25478abb590e94bdb55b83c55cda6d44c58a03bf9be

fd68b49acf9234a8592497ef1d675acd57c6a67c6975313772d12c837f3264d1

3b9ef9701ea2b2c1a89489ed0ed43ffabec9e22b587470899c0d5aca1a1e4302

9dd62afdb4938962af9ff1623a0aa5aaa9239bcb1c7d6216f5363d14410a3369

d8747574251c8b4ab8da4050ba9e1f6e8dbbaa38f496317b23da366e25d3028a

7c520353045a15571061c3f6ae334e5f854d441bab417ebf497f21f5a8bc6925

b63bc07202491a4dcd34cc419351edb2f2c395b2671d7acf7bfc88abada344ec

44d2d35ca87bf4292e4586bd08f3fe51d3fff693fed2f9795ff49733338ae8a7

afed5635fa6d63b158fc408d5048bf2dafd6da210a98f308c02c94514ae28fc8

b37b244595cac817a8f8dba24fbea208205e1d1321651237fe24fdcfac4f8ffc

de08f83a5d2421c86573dfb968293c776a830d900af2bc735d2ecd7e77961aaf

d32d7e86ed97509289fff89a78895904cf07a82824c053bfaf1bc5de3f3ba791

IPv4

103[.]15[.]29[.]17

154[.]90[.]32[.]88

47[.]76[.]87[.]55

154[.]90[.]32[.]88

47[.]253[.]106[.]177

16[.]162[.]188[.]93

18[.]163[.]112[.]181

Domains

www[.]ynsins[.]com

www[.]aihkstore[.]com

www[.]bcller[.]com

1.5      Nhóm tấn công sử dụng mã độc Android Ajina.Banker nhắm mục tiêu khu vực Trung Á

Các nhà nghiên cứu của Group-IB đã phát hiện ra nhóm tấn công sử dụng mã độc Android Ajina.Banker, diễn ra từ tháng 11/2023 nhắm mục tiêu vào khách hàng của các ngân hàng khu vực Trung Á. Kẻ tấn công phát tán mã độc thông qua Telegram, ngụy trang thành các ứng dụng ngân hàng, thanh toán và các tiện ích hợp pháp.

Dựa trên bài viết của Group-IB, Ajina.Banker có các khả năng sau:

  • Kết nối với máy chủ từ xa, tạo AES encryption key và gửi đến máy chủ, cùng với tên và ID người dùng hard-coded được lưu trữ trong SharedPreferences của thiết bị
  • Lạm dụng các dịch vụ trợ năng của Android để ngăn chặn việc gỡ cài đặt và đảm bảo tính liên tục trên thiết bị
  • Vô hiệu hóa hoạt động của trình khởi chạy để ngăn nạn nhân mở lại ứng dụng hoặc gỡ cài đặt thông qua giao diện ứng dụng chuẩn
  • Truy xuất thông tin chi tiết về thẻ SIM, nhà mạng di động, các ứng dụng tài chính đã cài đặt và tin nhắn SMS (cả đã gửi và đã nhận)
  • Chặn tin nhắn xác thực hai yếu tố (2FA) dựa trên SMS cho các tổ chức tài chính
  • Gửi yêu cầu Unstructured Supplementary Service Data (USSD) để lấy số điện thoại của các thẻ SIM đang hoạt động từ thiết bị
  • Lộ lọt dữ liệu đã thu thập được đến máy chủ từ xa
  • Khởi chạy các ứng dụng của bên thứ ba phù hợp với danh tính giả mạo

Ajina.Banker cũng yêu cầu nạn nhân cấp quyền cho phép phần mềm độc hại thực hiện các hành động sau trên thiết bị của nạn nhân:

  • Truy cập trạng thái của thiết bị, bao gồm số điện thoại, mã quốc gia, thông tin múi giờ và cường độ tín hiệu
  • Khởi tạo cuộc gọi điện thoại
  • Đọc danh sách liên lạc của thiết bị
  • Nhận và đọc nội dung tin nhắn SMS

NCS đã lấy được các mẫu Ajina.Banker sau từ nguồn công khai:

  • 22bbc2e8e874ebd3853f6aaf4ccc6e90ac3705e2
  • 8d8bdf4c26ca8c43729ad1a8abf5c43223b30671
  • 44de58b97b1c66f5b3d510a11e88a1347a02fc50

Phân tích sandbox phát hiện tất cả các mẫu Ajina.Banker đều đáng ngờ do các mẫu này cho thấy có hành vi truy cập thông tin xác thực, thu thập, và khả năng né tránh. Sau khi thực hiện, tất cả các mẫu thực hiện các hành động sau trên thiết bị của nạn nhân:

  • Truy xuất thông tin về giao diện người dùng của thiết bị bằng dịch vụ Trợ năng
  • Truy vấn vị trí của thiết bị
  • Liên hệ với các địa chỉ IP 109.120.135[.]42, 5.42.73[.]196 và 46.226.160[.]19 qua cổng 8080

Tất cả các mẫu Ajina.Banker cũng yêu cầu cấp quyền thực hiện các hành động sau trên thiết bị của nạn nhân:

  • Đọc trạng thái của điện thoại, chẳng hạn như thông tin mạng di động hiện tại, trạng thái của các cuộc gọi đang diễn ra và mã định danh duy nhất của thiết bị
  • Nhận và đọc tin nhắn SMS
  • Khởi tạo cuộc gọi điện thoại mà không cần nạn nhân tương tác trên giao diện người dùng Trình quay số
  • Truy cập số điện thoại và thông tin liên lạc được lưu trữ trên thiết bị
  • Đọc nhật ký cuộc gọi của nạn nhân
  • Liệt kê các tài khoản được lưu trữ trên thiết bị
  • Truy cập internet
  • Truy cập thông tin về kết nối Wi-Fi hiện tại và trạng thái mạng
  • Nhận thông báo phát sóng khi hệ thống khởi động

MITRE ATT&CK

Tactic Technique Procedure
Initial Access (TA0027) Phishing (T1660) Ajina spreaded malicious applications via Telegram.
Persistence (TA0028) Event Triggered Execution: Broadcast Receivers (T1624.001) Ajina.Banker registers to receive system-wide broadcast intents such as receiving SMS message, device boot completion, network changes, battery charging state changes, locking and unlocking the screen.
Defense-evasion (TA0030) Indicator Removal on Host: Uninstall Malicious Application (T1630.001) Ajina.Banker can uninstall itself.
Masquerading: Match Legitimate Name or Location (T1655.001) Ajina.Banker mimics legitimate applications, trying to match their names and icons.
Credential-access (TA0031) Access Notifications (T1517) Ajina.Banker can access SMSes.
Discovery (TA0032) Software Discovery (T1418) Ajina.Banker checks for presence of some hardcoded applications (mostly banks).
System Network Configuration Discovery (T1422) Ajina.Banker checks for SPN and then sends a USSD request to get the phone number.
Collection (TA0035) Access Notifications (T1517) Ajina.Banker can access the notifications.
Protected User Data: SMS Messages (T1636.004) Ajina.Banker can access the SMS messages.
Command-and-control (TA0037) Non-Standard Port (T1509) Ajina.Banker sends data in raw TCP to 8080 port.
Exfiltration (TA0036) Exfiltration Over Alternative Protocol: Exfiltration Over Unencrypted Non-C2 Protocol (T1639.001) Ajina.Banker exfiltrates data to the gate server.

 

Indicator of Compromise (IoC)

Chi tiết thông tin về IoC xem tại: https://www.group-ib.com/blog/ajina-malware/

1.6      APT32 nhắm mục tiêu vào tổ chức nhân quyền Việt Nam

Các nhà nghiên cứu phát hiện ra nhóm tấn công nhắm tới tổ chức nhân quyền tại Việt Nam trong nhiều năm liền nhằm phát tán mã độc, các hoạt động tấn công này được thực hiện bởi APT32 (hay APT-C-00, Canvas Cyclone (trước đây là Bismuth), Cobalt Kitty và OceanLotus) – nhóm tấn công được cho là liên kết với Việt Nam.

Các tấn công được ghi nhận trên 4 máy với đa dạng cách thức triển khai khác nhau, với hình thức tạo lập lich, thiết lập key run hoặc service để cấu hình và triển khai mã độc trong đó có CobaltStrike

Host 1: Ghi nhận các hành vi sau

  • Lập lịch thực thi script powershell thông qua wscript.exe
  • Lập lịch tham chiếu đến đường dẫn C:\Users\<REDACTED>\Appdata\Roaming\Adobe\Acrobat\adobe.png chứa shellcode được gọi từ thư viện mi54giwp.dll trong Java archive.
  • Lập lịch thực thi MSSharePoint.vbs nhằm tải xuống thêm tệp tin có tên cloud.bat, nội dung trong cloud được cấu hình tải xuống thêm cloudlog.txt. Thông tin xác thực tới SFTP server và máy chủ lưu trữ file (base[.]msteamsapi[.]com) trong tệp cả 2 file là giống nhau.
  • Lập lịch thực thi cloud.bat mỗi 5h. Ngoài ra, cloud.bat cũng được gọi thông qua một handler
  • Lập lịch, thông qua comobject nhằm khởi chạy backdoor logo.png
  • Tạo key run khởi chạy tiến trình được đổi tên từ McAfee và SoftwareUpdate.exe, không ghi nhận cấu hình trỏ tới DLL.
  • Tạo keyrun khởi chạy connection.bat (downloader)
  • Tạo keyrun khởi chạy DropboxUpdate nhằm triển khai shellcode (DropboxUpdate.bin)

Host 2: Khởi tạo lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)

Thông qua Windows Management Instrumentation để thực thi 1 tập lệnh hàng loạt cmd.exe /c C:\Users\Public\Downloads\1.bat , sử dụng để truy vấn các quy trình đang chạy trên máy chủ. Các lệnh thu thập thông tin về domain cũng được thực thi

net group “Domain Admins” /domain

nltest /dclist:<REDACTED>.local

Ngoài ra, một số schedule task được tạo để thực thi tệp calibre.exe , ngụy trang dưới tác vụ hợp pháp Calibration Loader. Sau khi thực thi calibre.exe , kẻ tấn công leo thang lên đặc quyền cao thông qua name pipe và chạy DLL độc hại có tên calibre-launcher.dll

Host 3: Khởi tạo lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)

Sau khi giả mạo name pipe trên host 2, kẻ tấn công tạo một schedule task chạy sau mỗi 15 phút dưới tài khoản SYSTEM, sau đó chạy để gọi tệp thực thi calibre.exe

Host 4: Ghi nhận các hành vi:

  • Triển khai các lập lịch nhằm triển khai mã độc CobaltStrike (calibre-launcher.dll)
  • Triển khai lập lịch nhằm triển khai shellcode thông qua thư viện trong java archive (msadobe.jar)

Indicator of Compromises (IoCs)

Indicator Type Details
msadobe.jar SHA256 300ef93872cc574024f2402b5b899c834908a0c7da70477a3aeeaee2e458a891
1lpiozkc.node SHA256 b31bfa8782cb691178081d6685d8429a2a2787b1130c6620d3486b4c3e02d441
ms-adobe.bin SHA256 8e2e9e7b93f4ed67377f7b9df9523c695f1d7e768c3301db6c653948766ff4c3
1.bat SHA256 1bd17369848c297fb30e424e613c10ccae44aa0556b9c88f6bf51d84d2cbf327
1.txt SHA256 6cf19d0582c6c31b9e198cd0a3d714b397484a3b16518981d935af9fd6cdb2eb
logo.png SHA256 f8773628cdeb821bd7a1c7235bb855e9b41aa808fed1510418a7461f7b82fd6c
goopdate.dll SHA256 c03cc808b64645455aba526be1ea018242fcd39278acbbf5ec3df544f9cf9595
logo.png SHA256 aa69c6c22f1931d90032a2d825dbee266954fac33f16c6f9ce7714e012404ec1
adobe.png SHA256 a6072e7b0fafb5f09fd02c37328091abfede86c7c8cb802852985a37147bfa19
iisexpressshim.sdb SHA256 09f53e68e55a38c3e989841f59a9c4738c34c308e569d23315fd0e2341195856
DropboxUpdate.bin SHA256 c7e2dbc3df04554daa19ef125bc07a6fa52b5ea0ba010f187a082dc9fc2e97ed
iisexpressshim.sdb SHA256 a217fe01b34479c71d3a7a524cb3857809e575cd223d2dd6666cdd47bd286cd6
adobe.jar SHA256 efc373b0cda3f426d25085938cd02b7344098e773037a70404c6028c76cc16fc
MSSharePoint.vbs SHA256 6c08a004a915ade561aee4a4bec7dc588c185bd945621ec8468575a399ab81f4
cloud.bat SHA256 ea8a00813853038820ba50360c5c1d57a47d72237e3f76c581d316f0f1c6e85f
logo.png SHA256 82e94417a4c4a6a0be843ddc60f5e595733ed99bbfed6ac508a5ac6d4dd31813
iisutil2.dll SHA256 47af8a33aac2e70ab6491a4c0a94fd7840ff8014ad43b441d01bfaf9bf6c4ab7
Wdiservicehost.exe
(renamed mcoemcpy.exe)
SHA256 3124fcb79da0bdf9d0d1995e37b06f7929d83c1c4b60e38c104743be71170efe
TpmInit.exe SHA256 29863f612d2da283148cb327a1d57d0a658d75c8e65f9ef4e5b19835855e981e
51.81.29[.]44 IP DNS: kpi.adcconnect[.]me
ASN: OVH SAS
5.230.35[.]192 IP DNS: dupbleanalytics[.]net
DNS: get.dupbleanalytics[.]net
NS: 3-get.njalla[.]fo
NS: 2-can.njalla[.]in
NS: 1-you.njalla[.]no
SOA: you.can-get-no[.]info
ASN: GHOSTnet GmbH
185.198.57[.]184 IP DNS: fbcn.enantor[.]com
DNS: cdn.arlialter[.]com
DNS: ww1.erabend[.]com
DNS: var.alieras[.]com
ASN: Host Sailor Ltd
185.43.220[.]188 IP ASN: WIBO Baltic UAB
193.107.109[.]148 IP DNS: base.msteamsapi[.]com
46.183.223[.]79 IP DNS: cds55[.]lax8[.]setalz[.]com
DNS: hx-in-f211[.]popfan[.]org
DNS: adobe[.]riceaub[.]com
176.103.63[.]48 IP DNS: priv[.]manuelleake[.]com
DNS: blank[.]eatherurg[.]com
hx-in-f211[.]popfan[.]org Domain A: 46.183.223[.]79
cds55[.]lax8[.]setalz[.]com Domain A: 46.183.223[.]79
adobe[.]riceaub[.]com Domain A: 46.183.223[.]79
priv[.]manuelleake[.]com Domain A: 176.103.63[.]48
blank[.]eatherurg[.]com Domain A: 176.103.63[.]48
cdn.arlialter[.]com Domain 185.198.57[.]184
fbcn.enantor[.]com Domain 185.198.57[.]184
ww1.erabend[.]com Domain 185.198.57[.]184
var.alieras[.]com Domain 185.198.57[.]184

1.7      Nhóm tấn công phát tán Voldemort nhắm mục tiêu trên toàn cầu

Các nhà nghiên cứu Proofpoint xác định chiến dịch phát tán mã độc Voldemort, giả mạo cơ quan thuế của các chính phủ khu vực Châu Âu, Châu Á, Hoa Kỳ nhắm mục tiêu tổ chức trên toàn thế giới. Voldemort là một backdoor có khả năng thu thập thông tin và có thể tải thêm các payload. Dựa trên dữ liệu, các nhà nghiên cứu cho rằng chiến dịch này thực hiện với mục đích gián điệp, thu thập thông tin tình báo.

Kể từ 05/08/2024, ghi nhận hơn 20.000 tin nhắn ảnh hưởng đến hơn 70 tổ chức trên toàn cầu về vấn đề thay đổi trong hồ sơ khai thuế, mạo danh các cơ quan thuế ở Hoa Kỳ, Vương quốc Anh, Pháp, Đức, Ấn Độ, Nhật Bản.

Ngoài ra, kẻ tấn công nhắm mục tiêu vào công ty bảo hiểm, tổ chức hàng không vũ trụ, giao thông vận tải, các trường đại học

Các tin nhắn chứa Google AMP Cache URLs sẽ chuyển hướng đến trang được lưu trữ trên InfinityFree, có chức năng kiểm tra User Agent khi người dùng click xem tài liệu

Nếu User Agent  chứa “Windows”, trình duyệt sẽ chuyển hướng đến URI search-ms, nhắc nạn nhân mở Windows Explorer. Sau khi chuyển hướng, trình duyệt sẽ tải một hình ảnh từ URL kết thúc bằng /stage1. Đây có thể là một cách để xác nhận chuyển hướng thành công, cho phép kẻ tấn công thu thập thông tin về trình duyệt và mạng của nạn nhân. Nếu User Agent không chứa “Windows”, trình duyệt sẽ được chuyển hướng đến URL Google Drive trống và tải hình ảnh tương tự từ IP pingb.in với URL kết thúc bằng  /stage0.

Trường hợp nạn nhân mở Windows Explorer, trình duyệt thực hiện truy vấn Windows Search theo tệp .search-ms được liên kết. Tệp .search-ms lạm dụng định dạng tệp dẫn đến việc hiển thị Windows shortcut file (.LNK). File .lnk được lưu trữ trên máy chủ TryCloudflare, sử dụng biểu tượng PDF để ngụy trang, đánh lừa người dùng mở tệp

Nếu file LNK thực thi, Python.exe sẽ khởi chạy thông qua PowerShell từ một thư mục WebDAV thứ ba trên cùng \library\ và truyền một script Python từ thư mục \resource\  mà không tải bất kỳ file nào về máy tính nạn nhân.

Tệp python thực thi có chức năng

  • Thu thập thông tin về máy tính bằng hàm platform.uname() của Python, bao gồm tên máy tính, thông tin phiên bản Windows và thông tin CPU.
  • Gửi dữ liệu dưới dạng base64 trong URL thông qua yêu cầu GET đến cùng một IP pingb.in

Indicators of compromise 

hxxps://pubs[.]infinityfreeapp[.]com/SA150_Notes_2024[.]html
hxxps://pubs[.]infinityfreeapp[.]com/IRS_P966[.]html
hxxps://pubs[.]infinityfreeapp[.]com/Notice_pour_remplir_la_N%C2%B0_2044[.]html
hxxps://pubs[.]infinityfreeapp[.]com/La_dichiarazione_precompilata_2024[.]html
hxxps://pubs[.]infinityfreeapp[.]com/Steuerratgeber[.]html
hxxps://od[.]lk/s/OTRfNzQ5NjQwOTJf/test[.]png
hxxps://od[.]lk/s/OTRfODQ1Njk2ODVf/2044_4765[.]pdf
hxxps://od[.]lk/s/OTRfODM5Mzc3NjFf/irs-p966[.]pdf
hxxps://od[.]lk/s/OTRfODM3MjM2NzVf/La_dichiarazione_precompilata_2024[.]pdf
hxxps://od[.]lk/s/OTRfODQ1NDc2MjZf/SA150_Notes_2024[.]pdf
hxxps://od[.]lk/s/OTRfODQ1NzA0Mjlf/einzelfragen_steuerbescheinigungen_de[.]pdf
hxxp://83[.]147[.]243[.]18/p/
3fce52d29d40daf60e582b8054e5a6227a55370bed83c662a8ff2857b55f4cea
561e15a46f474255fda693afd644c8674912df495bada726dbe7565eae2284fb
6bdd51dfa47d1a960459019a960950d3415f0f276a740017301735b858019728
pants-graphs-optics-worse[.]trycloudflare[.]com
ways-sms-pmc-shareholders[.]trycloudflare[.]com
recall-addressed-who-collector[.]trycloudflare[.]com
hxxps://sheets[.]googleapis[.]com:443/v4/spreadsheets/16JvcER-0TVQDimWV56syk91IMCYXOvZbW4GTnb947eE/
hxxps://resource[.]infinityfreeapp[.]com/ABC_of_Tax[.]html
hxxps://resource[.]infinityfreeapp[.]com/0023012-317[.]html
hxxps://od[.]lk/s/OTRfODQ4ODE4OThf/logo[.]png
hxxps://od[.]lk/s/OTRfODQ5MzQ5Mzlf/ABC_of_Tax[.]pdf
0b3235db7e8154dd1b23c3bed96b6126d73d24769af634825d400d3d4fe8ddb9
fa383eac2bf9ad3ef889e6118a28aa57a8a8e6b5224ecdf78dcffc5225ee4e1f
invasion-prisoners-inns-aging[.]trycloudflare[.]com

2     CVE và các khuyến nghị bảo mật

2.1      Microsoft Patch Tuesday –September 2024

Trong tháng 09, Microsoft đã phát hành các bản vá cho 79 CVE mới trong các sản phẩm của Windows và Windows Components; Office và Office Components; Azure; Dynamics Business Central; SQL Server; Windows Hyper-V; Mark of the Web (MOTW); Remote Desktop Licensing Service. Trong đó có 7 lỗ hổng được đánh giá mức độ Nghiêm trọng, 71 lỗ hổng được đánh giá là Important, 1 lỗ hổng được đánh giá Moderate. Dưới đây là các CVE nổi bật:

2.1.1       CVE-2024-43491 – Microsoft Windows Update Remote Code Execution Vulnerability

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên Microsoft Windows Update ảnh hưởng đến Optional Components trên Windows 10, phiên bản 1507 (Windows 10 Enterprise 2015 LTSB và Windows 10 IoT Enterprise 2015 LTSB).

Phiên bn nh hưởng:

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491

2.1.2       CVE-2024-38226 – Microsoft Publisher Security Feature Bypass Vulnerability

CVSS: 7.3/10

Mô t: Tồn tại lỗ hổng vượt qua cơ chế bảo mật trong Microsoft Publisher cho phép kẻ tấn công vượt qua các chính sách liên quan đến marco trong Office – sử dụng để chặn tệp độc hại. Khai thác lỗ hổng yêu cầu tương tác từ người dùng.

Phiên bn nh hưởng:

Microsoft Publisher 2016 (64-bit edition)

Microsoft Publisher 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226

2.1.3       CVE-2024-38217 – Windows Mark of the Web Security Feature Bypass Vulnerability

CVSS: 5.4/10

Mô t: Tồn tại lỗ hổng vượt qua cơ chế bảo mật trên Windows Mark of the Web. Khai thác lỗ hồng yêu cầu tương tác từ người dùng, kẻ tấn công thuyết phục người dùng tải và mở tệp tin độc hại được lưu trữ trên máy chủ do kẻ tấn công kiểm soát.

Phiên bn nh hưởng:

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64based Systems Service Pack 1

Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 10 for 32bit Systems

Windows 11 Version 24H2 for x64based Systems

Windows 11 Version 24H2 for ARM64based Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit System

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217

2.1.4       CVE-2024-38014 – Windows Installer Elevation of Privilege Vulnerability

CVSS: 7.8/10

Mô t: Tồn tại lỗ hổng leo thang đặc quyền trên Windows Installer cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Windows 10 Version 1809 for ARM64 based Systems

Windows 10 Version 1809 for x64 based Systems

Windows 10 Version 1809 for 32 bit Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64 based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64 based Systems Service Pack 1

Windows Server 2008 for x64 based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64 based Systems Service Pack 2

Windows Server 2008 for 32 bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32 bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64 based Systems

Windows 10 Version 1607 for 32 bit Systems

Windows 10 for x64 based Systems

Windows 10 for 32 bit Systems

Windows 11 Version 24H2 for x64 based Systems

Windows 11 Version 24H2 for ARM64 based Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64 based Systems

Windows 11 Version 23H2 for ARM64 based Systems

Windows 10 Version 22H2 for 32 bit Systems

Windows 10 Version 22H2 for ARM64 based Systems

Windows 10 Version 22H2 for x64 based Systems

Windows 11 Version 22H2 for x64 based Systems

Windows 11 Version 22H2 for ARM64 based Systems

Windows 10 Version 21H2 for x64 based Systems

Windows 10 Version 21H2 for ARM64 based Systems

Windows 10 Version 21H2 for 32 bit Systems

Windows 11 version 21H2 for ARM64 based Systems

Windows 11 version 21H2 for x64 based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014

2.1.5       CVE-2024-43461 – Windows MSHTML Platform Spoofing Vulnerability

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng spoofing trên Windows MSHTML.

Phiên bn nh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64based Systems Service Pack 1

Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2

Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Windows 10 for x64based Systems

Windows 10 for 32bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Windows 11 Version 24H2 for x64based Systems

Windows 11 Version 24H2 for ARM64based Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461

2.1.6       CVE-2024-38018 – Microsoft SharePoint Server Remote Code Execution Vulnerability

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38018

2.1.7       CVE-2024-43464 / CVE-2024-38227 / CVE-2024-38228 –   Microsoft SharePoint Server Remote Code Execution Vulnerability

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner từ đó tải các tệp độc hại lên Sharepoint Server và gửi các API request để trigger quá trình deserialization trong file’s parameters.

Phiên bn nh hưởng:

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43464

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38227

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38228

2.2      Ứng Dụng Web Và Các Sản Phẩm Khác

2.2.1       CVE-2024-20469 – Cisco Identity Services Engine Command Injection Vulnerability

CVSS: 6.0/10

Mô t: Tồn tại lỗ hổng Command Injection trên Cisco Identity Services Engine (ISE) cho phép kẻ tấn công chèn lệnh và có khả năng leo thang lên đặc quyền root. Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Cisco ISE phiên bản 3.2 và 3.3

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-injection-6kn9tSxm

2.2.2       CVE-2024-8686 – PAN-OS: Command Injection Vulnerability

CVSS: 8.6/10

Mô t: Tồn tại lỗ hổng Command Injection trên Palo Alto Networks PAN-OS cho phép kẻ tấn công thực thi lệnh tùy ý bằng quyền root.

Phiên bn nh hưởng:

PAN-OS 11.2 phiên bản 11.2.2

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-8686

2.2.3       CVE-2024-8687 – PAN-OS: Cleartext Exposure of GlobalProtect Portal Passcodes

CVSS: 8.6/10

Mô t: Tồn tại lỗ hổng Information Exposure trên Palo Alto Networks PAN-OS, tiết lộ thông tin nhạy cảm như password dưới dạng bản rõ dẫn đến kẻ tấn công có thể gỡ cài đặt, vô hiệu hóa hoặc ngắt kết nối GlobalProtect.

Phiên bn nh hưởng:

Palo Alto Networks PAN-OS

GlobalProtect App 6.2 phiên bản < 6.2.1

GlobalProtect App 6.1 phiên bản < 6.1.2

GlobalProtect App 6.0 phiên bản < 6.0.7

GlobalProtect App 5.2 phiên bản < 5.2.13

GlobalProtect App 5.1 phiên bản < 5.1.12

PAN-OS 11.0  phiên bản  < 11.0.1

PAN-OS 10.2  phiên bản < 10.2.4

PAN-OS 10.1  phiên bản < 10.1.9

PAN-OS 10.0  phiên bản < 10.0.12

PAN-OS 9.1  phiên bản  < 9.1.16

PAN-OS 9.0  phiên bản  < 9.0.17

PAN-OS 8.1  phiên bản  < 8.1.25

Prisma Access  phiên bản  < 10.2.9 on PAN-OS

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-8687

2.2.4       CVE-2024-8688 – PAN-OS: Arbitrary File Read Vulnerability in the Command Line Interface (CLI)

CVSS: 6.7/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công đọc file tùy ý trên CLI của Palo Alto Networks PAN-OS.

Phiên bn nh hưởng:

PAN-OS 10.1 phiên bản < 10.1.1

PAN-OS 10.0 phiên bản < 10.0.10

PAN-OS 9.1 phiên bản < 9.1.15

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-8688

2.2.5       CVE-2024-28991 – Remote Code Execution Vulnerability SolarWinds Access Rights Manager (ARM)

CVSS: 9.0/10

Mô t: Tồn tại lỗ hổng thực thi mã từ xa trên SolarWinds Access Rights Manager (ARM). Khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

SolarWinds ARM < = 2024.3

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.solarwinds.com/trust-center/security-advisories/cve-2024-28991

2.2.6       CVE-2024-40766 – SonicOS Improper Access Control Vulnerability

CVSS: 9.3/10

Mô t: Tồn tại lỗ hổng Access Control trong quyền truy cập quản lý SonicWall SonicOS và SSLVPN, cho phép kẻ tấn công truy cập trái phép vào các tài nguyên của hệ thống. Lỗ hổng này cũng có thể dẫn đến tình trạng crash firewall.

Phiên bn nh hưởng:

SOHO (Gen 5) phiên bản <= 5.9.2.14-12o

Gen 6 phiên bản <= 6.5.4.14-109n

Gen 7 phiên bản <= 7.0.1-5035

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://psirt.global.sonicwall.com/vuln-list

2.2.7       CVE-2024-40711 – Unauthenticated remote code execution (RCE) in Veeam Backup & Replication

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên thiết bị ảnh hưởng.

Phiên bn nh hưởng:

Veeam Backup & Replication 12.1.2.172

Tất cả phiên bản < 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.veeam.com/kb4649

2.2.8       CVE-2024-40713 – Alter Multi-Factor Authentication (MFA) settings and bypass MFA in Veeam Backup & Replication

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thay đổi và vượt qua (bypass) các xác thực đa yếu tố (MFA) trong Veeam Backup & Replication.

Phiên bn nh hưởng:

Veeam Backup & Replication 12.1.2.172

Tất cả phiên bản < 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.veeam.com/kb464

2.2.9       CVE-2024-40710 Remote Code Execution (RCE) in Veeam Backup & Replication

CVSS: 9.3/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng, thu thập thông tin nhạy cảm như thông tin đăng nhập và mật khẩu. Khai thác lỗ hổng yêu cầu kẻ tấn công có tài khoản trong Veeam Backup & Replication.

Phiên bn nh hưởng:

Veeam Backup & Replication 12.1.2.172

Tất cả phiên bản < 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.veeam.com/kb4649

2.2.10   CVE-2024-40712 – Path Traversal Vulnerability in Veeam Backup & Replication

CVSS: 9.3/10

Mô t: Tồn tại lỗ hổng path traversal cho phép kẻ tấn công leo thang lên đặc quyền local (Local Privilege Escalation – LPE) trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

Veeam Backup & Replication 12.1.2.172

Tất cả phiên bản < 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.veeam.com/kb4649

2.2.11   CVE-2024-38812- VMware vCenter Server heap-overflow vulnerability

CVSS: 9.8/10

Mô t: Tồn tại lỗ hổng heap-overflow trong giao thức DCERPC sử dụng trong VMware vCenter Server. Khai thác thành công cho phép kẻ tấn công với quyền truy cập mạng tới vCenter Server có thể thực thi mã từ xa.

Phiên bn nh hưởng:

VMware vCenter Server phiên bản 7.0 và 8.0

VMware Cloud Foundation phiên bản 4.x và 5.x

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968

2.2.12   CVE-2024-38813 – VMware vCenter privilege escalation vulnerability

CVSS: 7.5/10

Mô t: Tồn tại lỗ hổng leo thang đặc quyền trên VMware vCenter Server cho phép kẻ tấn công leo thang lên đặc quyền root trên hệ thống bị ảnh hưởng.

Phiên bn nh hưởng:

VMware vCenter Server phiên bản 7.0 và 8.0

VMware Cloud Foundation phiên bản 4.x và 5.x

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24968