Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe doạ nâng cao – Advanced Threats
1.1 Chiến dịch tấn công của ZINC nhằm vào các nhà nghiên cứu bảo mật
Nhóm phân tích các mối đe doạ của Google (Google Threat Analysis Group) đã xác định được một chiến dịch apt nhắm đến mục tiêu là các nhà nghiên cứu bảo mật chuyên nghiên cứu và phát triển lỗ hổng tại các công ty và tổ chức khác nhau. Kẻ tấn công đằng sau chiến dịch này được cho là liên quan đến một tổ chức được chính phủ Triều Tiên hậu thuẫn.
Để xây dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, các kẻ tấn công đã lập một blog nghiên cứu và nhiều tài khoản Twitter để tương tác với các mục tiêu tiềm năng. Họ đã sử dụng các hồ sơ Twitter này để đăng các liên kết đến blog của họ, đăng video tuyên bố về các thành tích được khuếch đại và đăng lại bài đăng từ các tài khoản khác mà họ kiểm soát.
Tài khoản Twitter do kẻ tấn công kiểm soát
Blog của nhóm tấn công chứa các bài viết phân tích các lỗ hổng đã được tiết lộ công khai, bao gồm các bài đăng của các nhà nghiên cứu bảo mật vô can, nhằm tạo thêm uy tín với các nhà nghiên cứu bảo mật khác.
Ví dụ về một bài phân tích được thực hiện bởi kẻ tấn công về một lỗ hổng
được tiết lộ công khai
Mặc dù Nhóm phân tích mối đe dọa của Google không thể xác minh tính xác thực hoặc trạng thái hoạt động của tất cả những lỗ hổng được nhóm tấn công đăng tải thành video. Vào ngày 14 tháng 1 năm 2021, các kẻ tấn công đã chia sẻ qua Twitter một video YouTube mà họ tải lên với tuyên bố về việc khai thác CVE-2021-1647, một lỗ hổng Windows Defender đã được vá gần đây.
Nhắm mục tiêu vào các nhà nghiên cứu bảo mật
Các kẻ tấn công nhắm mục tiêu vào các nhà nghiên cứu bảo mật cụ thể bằng một phương pháp tấn công phi kỹ thuật (social engineering) mới. Sau khi thiết lập quan hệ liên lạc bước đầu, các kẻ tấn công sẽ hỏi nhà nghiên cứu được nhắm mục tiêu xem họ có muốn cộng tác nghiên cứu lỗ hổng bảo mật cùng nhau không, và sau đó cung cấp cho nhà nghiên cứu một dự án Visual Studio. Trong file dự án Visual Studio sẽ là mã nguồn để khai thác lỗ hổng, cùng với một file DLL bổ sung sẽ được thực thi thông qua các bulid events trong Visual Studio. File DLL này là phần mềm độc hại tùy chỉnh sẽ bắt đầu kết nối ngay lập tức với các domain C2 do kẻ tấn công kiểm soát. Trong hình ảnh bên dưới là một ví dụ về VS Build Event.
Lệnh Visual Studio Build Events được thực thi khi build các tệp
VS Project được cung cấp
Ngoài việc tấn công qua phương pháp social engineering, Nhóm phân tích mối đe dọa của Google cũng đã quan sát thấy một số trường hợp các nhà nghiên cứu bị xâm hại sau khi truy cập blog của các kẻ tấn công. Trong trường hợp này, các nhà nghiên cứu đã nhấn vào một liên kết trên Twitter tới một bài viết được lưu trữ trên blog.br0vvnn[.]Io, và ngay sau đó, một service độc hại đã được cài đặt trên hệ thống của nhà nghiên cứu và một back-door trong bộ nhớ sẽ bắt đầu ra hiệu cho một máy chủ C&C do kẻ tấn công sở hữu. Tại thời điểm truy cập này, hệ thống của nạn nhân đang chạy các phiên bản trình duyệt Chrome và Windows 10 đã được cập nhật bản vá đầy đủ.
Những kẻ tấn công này đã sử dụng nhiều nền tảng để giao tiếp với các mục tiêu tiềm năng, bao gồm Twitter, LinkedIn, Telegram, Discord, Keybase và email.
MITRE ATT&CK
1.2 Chiến dịch gián điệp toàn cầu của Lebanon lợi dụng máy chủ web
Lebanese Cedar là một nhóm APT hoạt động từ năm 2012, tấn công vào các công ty và tổ chức trên thế giới. Phương thức tấn công chính của nhóm là xâm nhập vào các máy chủ WEB của Oracle và Atlassian, chủ yếu bằng cách khai thác các lỗ hổng đã biết trong các hệ thống chưa được vá và phát hiện sơ hở bằng các công cụ mã nguồn mở.
Hoạt động của Lebanon Cedar APT lần đầu tiên được phát hiện bởi các nhà nghiên cứu của Check-Point và Kaspersky vào năm 2015. Kể từ năm 2015 Lebanon Cedar APT – còn được gọi là ” Volatile Cedar ” – duy trì hoạt động ở mức thấp và không nhận được sự chú ý. Theo báo cáo của Check-Point, nhóm này được thúc đẩy bởi các lợi ích chính trị và tư tưởng, nhắm vào các cá nhân, công ty và tổ chức trên toàn thế giới.
Vào năm 2020, các hoạt động mạng đáng ngờ và các công cụ hack đã được tìm thấy trong một loạt các công ty. Nghiên cứu pháp y toàn diện về các hệ thống bị nhiễm cho thấy có mối liên hệ chặt chẽ với Lebanon Cedar và một phiên bản mới của “Explosive” V4 RAT (Remote Access Tool – Công cụ truy cập từ xa) hoặc “Caterpillar” V2 WebShell đã được tìm thấy trong mạng của nạn nhân.
Modus Operandi
Ở giai đoạn khai thác, những kẻ tấn công khai thác các lỗ hổng để giành quyền truy cập vào máy chủ web. Nghiên cứu của ClearSky chỉ ra việc sử dụng thường xuyên các lỗ hổng bảo mật nghiêm trọng 1-day dựa trên các phiên bản dịch vụ dễ bị tấn công trong các máy chủ bị xâm phạm. Các lỗ hổng 1-day này bao gồm:
- Máy chủ hợp lưu Atlassian (CVE-2019-3396)
- Máy chủ hoặc Trung tâm dữ liệu Atlassian Jira (CVE-2019-11581)
- Oracle 10g 11.1.2.0 (CVE-2012-3152)
Ở giai đoạn tiêm nhiễm, có hai vectơ tấn công chính:
- Cài đặt WebShell ‘Caterpillar 2’
- Trình duyệt tệp JSP và triển khai ‘Explosive RAT’
Đóng vai trò là đầu mối, nhóm này thường tấn công các máy chủ web thông qua một WebShell tùy chỉnh, cụ thể là Caterpillar – một biến thể của WebShell mã nguồn mở ‘ASPXspy‘. Bằng cách sử dụng WebShell, những kẻ tấn công để lại dấu vết của họ trên máy chủ web và mạng nội bộ, di chuyển theo chiều ngang và triển khai các công cụ bổ sung. Trên mỗi mạng bị xâm nhập, kẻ tấn công đã cài đặt một hoặc nhiều WebShell, được cho là để đạt được sự duy trì lâu dài và đa dạng hóa việc sử dụng các công cụ tương tự. Những kẻ tấn công sử dụng WebShell để giao tiếp với máy chủ C&C của chúng để chạy các lệnh và lấy thông tin nhạy cảm. Kết nối với WebShell được thực hiện bằng các dịch vụ NordVPN hoặc ExpressVPN.
Kẻ tấn công đã cài đặt phiên bản sửa đổi của trình duyệt tệp ‘test.jsp’ hoặc ‘yup.jsp’ trên máy chủ của nạn nhân có máy chủ ứng dụng web Oracle 10g, chủ yếu là phiên bản 10.1.2.0.2 hoặc 11.1.2.0. Các trình duyệt tệp này cho phép nhóm triển khai RAT – Explosive tùy chỉnh của mình. Chúng tôi đánh giá rằng những kẻ tấn công sử dụng cả WebShell và RAT. Trong nghiên cứu nhận thấy rằng Caterpillar 2.0 WebShell được sử dụng thường xuyên hơn so với Explosive RAT.
Việc triển khai Explosive RAT cung cấp cho những kẻ tấn công khả năng hiển thị và chức năng cao hơn ở cấp endpoint. Phần mềm độc hại thực hiện các lệnh như ghi bàn phím, chụp ảnh màn hình và thực thi lệnh. Explosive RAT sử dụng nhiều kỹ thuật trốn tránh để tránh bị phát hiện và duy trì tính bền bỉ, chẳng hạn như làm rối, mã hóa giao tiếp và sử dụng một DLL riêng cho hoạt động API.
TTP của nhóm đã được thay đổi. Vào năm 2015, Lebanon Cedar chủ yếu dựa vào Explosive RAT làm công cụ chính của họ. Trong chiến dịch gần đây, nghiên cứu của ClearSky đã xác định nhiều Caterpillar WebShells và ít sử dụng Explosive RAT (dựa trên quét). Theo đó, ClearSky đề xuất rằng vector chính của Lebanon Cedar vào năm 2020 là sử dụng WebShell.
1.3 Nhóm APT Iran lại tiếp tục bùng nổ
Vào năm 2016, Unit 42 của Palo Alto Networks đã phát hiện ra Infy, một nhóm APT được cho là đến từ Iran và chọn mục tiêu rất đặt biệt, trong số đó có Chính phủ Mỹ và các công ty của Israel. Các phương thức hoạt động của nhóm này đã được theo dõi xuyên suốt từ năm 2007.
SafeBreach Labs và Checkpoint đã xác định được bằng chứng về sự hoạt động trở lại của nhóm tấn công này. Có vẻ như sau một thời gian dài ngừng hoạt động, những kẻ tấn công mạng Iran đã có thể tập hợp lại, khắc phục các khuyết điểm trước đó và củng cố đáng kể các hoạt động OPSEC của họ cũng như trình độ kỹ thuật và các công cụ tấn công.
Trong nửa đầu năm 2020, các phiên bản mới của malware Foudre đã xuất hiện với các tài liệu mồi mới được thiết kế để thu hút nạn nhân. Chúng hoạt động theo cách thức hơi khác so với trước đây – thay vì chờ nạn nhân nhấp vào những gì có vẻ là liên kết đến video, malware sẽ chạy macro khi nạn nhân đóng tài liệu.
Toàn bộ chuỗi lây nhiễm
Một tài liệu có chứa bức ảnh của Mojtaba Biranvand, thống đốc thành phố Dorud ở tỉnh Lorestan, Iran. Tài liệu này được viết bằng tiếng Ba Tư và bao gồm thông tin liên quan đến văn phòng thống đốc và số điện thoại của ông (số này thật ra thuộc về một luật sư ở Lorestan).
Ví dụ về một tài liệu được gửi cho các nạn nhân tiềm năng
Một tài liệu khác, cũng bằng tiếng Ba Tư, có logo của ISAAR, Quỹ Các vấn đề về Liệt sĩ và Cựu chiến binh do chính phủ Iran tài trợ, cung cấp các khoản vay cho các cựu chiến binh tàn tật và gia đình liệt sĩ.
Tài liệu ISAAR được gửi cho các nạn nhân tiềm năng
Khi nạn nhân mở tài liệu, một macro giải nén payload vào thư mục tạm thời là fwupdate.temp và thực thi nó sau khi tài liệu đóng.
Vào năm 2018, Intezer đã đề cập đến phiên bản 8 của Foudre, chứa một mẫu nhất định được gắn nhãn nhị phân không xác định chưa được khám phá trong nghiên cứu của Intezer. Trên thực tế, đây là một thành phần mới – được gọi là Tonnerre – là một bước tiến mới trong quá trình phát triển của Infy, và chứa nhiều chức năng khác nhau không có trong riêng Foudre.
1.4 CrimsonIAS – backdoor
CrimsonIAS là một backdoor được viết bằng Delphi từ năm 2017 cho phép chạy các công cụ, upload và download từ máy bị nhiễm. CrimsonIAS đáng chú ý vì nó chỉ lắng nghe các kết nối đến; làm cho nó khác với các backdoor thông thường Windows. Các đặc điểm được tìm thấy trong luồng thực thi của CrimsonIAS được xem là có liên quan với các mẫu PlugX của Mustang Panda (hay còn gọi là BRONZE PRESIDENT, RedDelta). Dựa trên những đặc điểm đó, ThreatConnect đánh giá (với độ tin cậy thấp) rằng CrimsonIAS là một công cụ bổ sung trong chiến dịch của Mustang Panda.
Liên quan đến Mustang Panda
Threat Connect đánh giá với độ tin cậy thấp rằng CrimsonIAS có liên quan đến Mustang Panda. Do những đặc điểm tương đồng trong phương pháp đóng gói các tệp nhị phân và cách khởi chạy payload là cơ sở cho đánh giá này.
Kiểm tra các mẫu Mustang Panda PlugX được xác định vào năm ngoái, Threat Connect đã quan sát thấy ba đặc điểm thích hợp sau:
- Được mã hóa bằng khóa XOR 10 byte được gắn sẵn vào mã nhị phân được mã hóa
- Khớp mã shell ở đầu MZ header (trừ đi giá trị bù)
- Chức năng Exported Loader
Cả hai mẫu cũng sử dụng kỹ thuật reflective loader mà chúng xuất dưới tên Loader. Nhóm các đặc điểm này lại với nhau là cơ sở cho mối liên hệ giữa CrimsonIAS với Mustang Panda.
1.5 Operation NightScout: tấn công Supply‑chain nhắm vào trò chơi trực tuyến ở Châu Á
ESET đã phát hiện ra một chiến dịch tấn công chuỗi cung ứng mới làm ảnh hưởng đến cơ chế cập nhật của NoxPlayer, một trình giả lập Android cho PC và Mac, cùng với các sản phẩm khác của BigNox với hơn 150 triệu người dùng trên toàn thế giới. Phần mềm này thường được các game thủ sử dụng để chơi các trò chơi di động từ PC của họ.
Để hiểu cuộc tấn công chuỗi cung ứng này, điều quan trọng là phải biết vectơ nào đã được sử dụng để cung cấp phần mềm độc hại cho người dùng NoxPlayer. Vectơ này là cơ chế cập nhật của NoxPlayer.
Cơ chế cập nhật của NoxPlayer
Khi khởi chạy, nếu NoxPlayer phát hiện ra phiên bản mới hơn của phần mềm, nó sẽ nhắc người dùng với một thông báo cập nhật. Điều này được thực hiện bằng cách truy vấn đến máy chủ cập nhật thông qua API BigNox HTTP (api.bignox.com) để truy xuất thông tin cập nhật cụ thể. Phản hồi cho truy vấn này chứa thông tin cụ thể như URL cập nhật, kích thước của nó, mã MD5 và các thông tin liên quan bổ sung khác.
Khi nhấn nút “Update now” từ hộp thông báo , file thực thi của NoxPlayer là Nox.exe sẽ cung cấp các tham số cập nhật nhận được cho một file thực thi khác trong bộ công cụ NoxPack.exe, ứng dụng này chịu trách nhiệm tải xuống bản cập nhật. Trong quá trình thực hiện, thanh tiến trình trong hộp thông báo sẽ phản ánh tình trạng của việc tải xuống, và khi hoàn thành việc cập nhật đã được thực hiện.
Các dấu vết của cuộc tấn công
ESET có đủ bằng chứng để tuyên bố rằng cơ sở hạ tầng BigNox (res06.bignox.com) đã bị xâm nhập để lưu trữ phần mềm độc hại và cũng cho thấy rằng cơ sở hạ tầng API HTTP của họ (api.bignox.com) có thể đã bị xâm phạm. Trong một số trường hợp, trình cập nhật BigNox đã tải xuống các payload từ các máy chủ do kẻ tấn công kiểm soát. Điều này cho thấy rằng trường URL, được cung cấp trong phản hồi từ API BigNox, đã bị kẻ tấn công giả mạo.
Sơ đồ trình tự luồng xâm nhập
Cụ thể trình tự luồng xâm nhập như sau:
- Khi khởi chạy, trình thực thi chính của NoxPlayer – Nox.exe sẽ gửi một yêu cầu qua API để truy vấn thông tin cập nhật.
- Máy chủ BigNox API phản hồi yêu cầu của khách hàng với thông tin cập nhật cụ thể, bao gồm URL để tải xuống bản cập nhật từ cơ sở hạ tầng hợp pháp của BigNox.
- Nox.execung cấp các tham số thích hợp cho NoxPlayer.exe để tải xuống bản cập nhật.
- Bản cập nhật hợp pháp được lưu trữ trong server của BigNox có thể đã được thay thế bằng phần mềm độc hại.
- Phần mềm độc hại được cài đặt trên máy của nạn nhân. Trái ngược với các bản cập nhật BigNox hợp lệ, các tệp độc hại không được ký điện tử, cho thấy rõ ràng rằng hệ thống xây dựng BigNox không bị xâm phạm, mà chỉ là hệ thống phân phối các bản cập nhật của nó.
- Thực hiện một số rà soát trên máy nạn nhân và thông tin thu được sẽ gửi đến server của kẻ tấn công.
- Thủ phạm điều chỉnh các bản cập nhật độc hại cho các nạn nhân cụ thể mà chúng quan tâm dựa trên một số cơ chế lọc chưa xác định.
- Nox.exesẽ thực hiện các yêu cầu cập nhật.
- Máy chủ BigNox API phản hồi client bằng thông tin cập nhật, thông tin này cho biết rằng bản cập nhật được lưu trữ trong server do kẻ tấn công kiểm soát.
- Phần mềm độc hại khác sẽ được chuyển đến những nạn nhân được chọn.
Để không bị nghi ngờ các bản cập nhật độc hại được tải xuống từ cơ sở hạ tầng do kẻ tấn công kiểm soát có đường dẫn gần giống với các bản cập nhật hợp pháp:
- Cập nhật độc hại cho cơ sở hạ tầng do kẻ tấn công kiểm soát:
“http://cdn.cloudfronte[.]com/player/upgrade/ext/20201030/1/35e3797508c555d5f5e19f721cf94700.exe”
- Cập nhật NoxPlayer hợp pháp:
“http://res06.bignox[.]com/player/upgrade/202012/1b31bced0a564bed9f60264f061dcdae.exe”
Hơn nữa, các tên miền do kẻ tấn công kiểm soát đã đăng ký bắt chước tên miền mạng BigNox CDN, đó là cloudfront.net. Những thông số này cho thấy những kẻ tấn công đang cố gắng tránh bị phát hiện để chúng có thể ở thoát khỏi sự chú ý và kiểm soát hệ thống lâu dài.
2 Malware
2.1 Nhiều mẫu mã độc tinh vi được sử dụng trong chiến dịch tấn công vào các nhà nghiên cứu bảo mật
Đầu tháng 2, Microsoft và Google đã phát đi thông báo về một chiến dịch tấn công apt lớn rất bài bản và chuyên nghiệp nhắm trực tiếp vào các nhà nghiên cứu bảo mật, các cá nhân hoạt động trong lĩnh vực an toàn thông tin, công nghệ thông tin. Trung tâm cảnh báo các mối đe dọa an toàn thông tin của Microsoft gần như chắc chắn rằng nhóm tin tặc đứng đằng sau chiến dịch được hẫu thuẫn bởi chính phủ Triều Tiên dựa trên kỹ thuật, cơ sở hạ tầng, các pattern của mẫu mã độc và các tài khoản được liên kết.
Sau một thời gian dài xây dựng lòng tin, tạo dựng vị trí trong giới bảo mật. Những tài khoản mạng xã hội ảo của kẻ tấn công sẽ mời các nhà nghiên cứu cùng tham gia khai thác lỗ hổng nghiêm trọng giả trên trình duyệt Chrome. Từ đó, nhóm tấn công sẽ gửi các tệp Visual Studio project, link blog chứa mã độc đến nạn nhân.
Malicious Visual Studio project
Một số tệp được ZINC gửi cho các nhà nghiên cứu bảo mật là các tệp Visual Studio project độc hại bao gồm các tệp prebuild binary. Một trong những tệp prebuild binary này bị Microsoft Defender Endpoint phát hiện là Comebacker malware. Một sự kiện xây dựng trước với lệnh PowerShell đã được sử dụng để khởi chạy Comebacker qua rundll32. Bằng cách sử dụng lệnh PowerShell được đặt trong prebuild event. Mỗi khi nạn nhân mở build Visual Studio project thì lệnh PowerShell sau sẽ khởi chạy mã độc.
Malware sau khi được thực thi thả payload vào thư mục %ProgramData% rồi thêm registry autorun để tự khởi chạy. Cuối cùng chúng kết nối đến C2 để thực hiện lệnh.
Tệp MHTML
Ngoài các cuộc tấn công kỹ thuật xã hội thông qua các nền tảng mạng xã hội, MSTIC đã quan sát thấy rằng ZINC đã gửi cho các nhà nghiên cứu bản sao của trang blog br0vvnn[.]io được lưu dưới dạng tệp MHTML kèm theo hướng dẫn để mở nó bằng Internet Explorer. Tệp MHTML chứa một số JavaScript bị làm rối. Theo nghiên cứu từ các nhà bảo mật từ Enki tệp MHTML này khai thác lỗ hổng 0day HTML Attribute nodeValue DoubleFree của trình duyệt IE.
Driver abuse
Trong một trường hợp, MSTIC phát hiện ra nhóm tấn công cố gắng tải xuống phiên bản cũ của trình điều khiển Viraglt64.sys từ chương trình chống virus Vir.IT eXplorer. Tệp đã được đưa vào hệ thống nạn nhân dưới đường dẫn “%system32% \drivers\circlelassio.sys”. Sau đó, nhóm tấn công đã cố gắng khai thác CVE-2017-16238, lỗ hổng này bị khai thác khi driver không thực hiện kiểm tra đầy đủ buffer mà nó nhận được, điều này có thể bị lạm dụng để thực hiện lệnh dưới kernel mode tùy ý. Tuy nhiên, mã của kẻ tấn công có vẻ có lỗi và khi cố gắng khai thác lỗ hổng, kẻ khai thác đã cố gắng ghi đè một số mã của chính driver, điều này đã làm hỏng máy của nạn nhân.
Phần mềm độc hại khác
Các công cụ khác được sử dụng bao gồm trình đánh cắp mật khẩu Chrome được mã hóa được lưu trữ trên domain của kẻ tấn công “https://codevexillium[.]Org”. Comebacker malware là một phiên bản được thiết kế đặc biệt của CryptLib và nó dùng để giải mã trong trình đánh cắp mật khẩu Chrome (SHA-256: 9fd0506…), mà được lưu ở “C:\ProgramData\USOShared\USOShared.dat”.
Giao tiếp với C2
Sau khi thiết lập kênh điều khiển (C2) trên thiết bị nạn nhân, backdoor được định cấu hình để kiểm tra các máy chủ C2 sau mỗi 60 giây. Qua kênh C2 này, nhóm tấn công có thể thực hiện các lệnh từ xa để liệt kê các tệp/ hư mục và các tiến trình đang chạy, đồng thời thu thập/tải lên thông tin về thiết bị nạn nhân, bao gồm địa chỉ IP, Tên máy tính và NetBIOS.
2.2 Phân tích các mẫu mã độc sử dụng trong chiến dịch tấn công chuỗi cung ứng(supply-chain attack)
Đầu tháng 2, nhóm nghiên cứu của ESET đã công bố một báo cáo về một chiến dịch tấn công chuỗi cung ứng(supply-chain attack) mang tên Operation NightScout. Mục tiêu của chiến dịch nhắm nhiều vào cộng động game thủ ở châu Á, lợi dụng thông qua phần mềm Noxplayer, một trình giả lập(emulator) hệ điều hành Android cho PCs và Macs của hãng BigNox. Phần mềm này phổ biến với hơn 150 triệu người dùng trên toàn thế giới.
Vector tấn công trong chiến dịch lần này lợi dụng cơ chế cập nhập của phần mềm NoxPlayer để phát tán mã độc tới người dùng NoxPlayer. Nhóm nghiên cứu nghi ngờ cơ sở hạ tầng của BigNox bị thỏa hiệp(compromised) để lưu trữ phần mềm độc hại
Theo những ghi nhận từ ESET, có ba mẫu khác nhau, nhóm nghiên cứu ESET để tên chung cho cả ba mẫu là UpdatePackageSilence.exe, sau khi phân tích, ngoại trừ mẫu đầu tiên, hai mẫu còn lại chúng tôi đã xác định được tên gốc của mỗi file. Cụ thể như sau :
STT | FileName | Hash(SHA-1) |
1 | 11B4D2182AEAEB0462319BEC4E5F09C2.exe | CA4276033A7CBDCCDE26105DEC911B215A1CE5CF |
2 | asd.exe | E45A5D9B03CFBE7EB2E90181756FDF0DD690C00C |
3 | mfeesp.exe | 5732126743640525680C1F9460E52D361ACF6BB0 |
Phân tích mẫu 11B4D2182AEAEB0462319BEC4E5F09C2.exe
Mẫu mã độc đầu tiên, khi mã độc thực thi. Nó sẽ tìm tới Resource Data để drop ra hai DLLs được lần lượt là ieproxysocket.dll và ieproxysocket64.dll xuống thư mục C:\Program Files\Internet Explorer\. Tùy thuộc vào kiến trúc 32 hoặc 64 bit, một trong hai DLL sẽ được thực thi thông qua tiến trình rundll32.exe
Ngoài drops xuống 2 DLL, mã độc drop thêm file text có tên KB911911.LOG vào thư mục C:\Windows với nội dung là đường dẫn chứa file mã độc ban đầu
Phân tích file ieproxysocket64.dll
DLL ieproxysocket64.dll(hoặc ieproxysocket.dll) được drop xuống thực hiện các công việc sau:
– Mở và đọc file KB911911.LOG, nếu file không tồn tại, tiến trình mã độc sẽ dừng .
– Kiểm tra nếu có 1 trong số 6 tiến trình sau đã load DLL , mã độc sẽ dừng tiến trình rundll32.exe load nó lên trước đó. 6 tiến trình bao gồm “smss.exe”,”winlogon.exe”,”csrss.exe”, “wininit.exe”, “services.exe”,”explorer.exe”.
– DLL sẽ kiểm tra địa chỉ của máy bị lây nhiễm để đảm bảo không phải là 127.0.0.1 hay 0.0.0.0.
– Tạo key run tại đường dẫn HKLM\ SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
– Trích xuất các UUID thông qua VMI query. Thông tin về account name cũng sẽ được truy xuất và lưu lại
– File config của DLL nằm trong phần resource .Nội dung file bao gồm C&C server, port và các cờ(flag)
– Sau khi đã parsed được file config, backdoor sẽ kiểm tra xem có tiến trình giám sát traffic mạng(network monitoring) nào đang chạy trên hệ thống không trước khi thực hiện giao tiếp với C&C. Backdoor sẽ dừng khi phát hiện các tiến trình network monitor sau netman.exe và wireshark.exe
– Sau khi kết nối thành công tới mã C&C, Backdoor sử dụng các command sau để giao tiếp:
STT | Command(Câu lệnh) | Mô tả |
1 | getfilelist-delete | Xóa file chỉ định |
2 | getfilelist-run | Chạy command thông qua API WinExec |
3 | getfilelist-upload | Upload file |
4 | getfilelist-downfile1 | Tải xuống một file |
5 | getfilelist-downfile2 | Tải xuống một thư mục |
6 | getfilelist- downfile3 | Tải xuống một thư mục |
Phân tích mẫu 2 : asd.exe
Mẫu thứ hai làm một MFC application, tệp tin có một điểm đặc biệt là có một vùng overlaydata lớn ở cuối của PE file từ offset 0x45800.
Khi mã độc (asd.exe) được thực thi. Nó sẽ đọc overlaydata nằm trong file asd.exe từ offset 0x45800, xor toàn bộ byte từ offset 0x45800 với key là 0xA0 để có được một PE file mới là một DLL. DLL này sẽ được load lên memory
Tiến hành trích xuất vùng dữ liệu(data) này và giải mã , chúng tôi thu được một DLL mới này. DLL thực hiện nhiệm vụ sau
– Tìm và trích xuất thông tin C&C từ file mẹ(asd.exe) vào file resmon.resmoncfg tại đường dẫn C:\ ProgramData \ resmon.resmoncfg
– Tạo thư mục Sandboxie tại đường dẫn C:\\ProgramData\\Sandboxie , trích xuất ba tệp tin mới SbieIni.dat, SbieDLL và SandboxieBITS.exe từ vùng data của DLL vào thư mục này
– Ghi thêm hai file SbieMsg.dat và SbieMsg.dll vào thư mục C:\ProgramData\Sandboxie . Sử dụng rundll32.exe để thực thi DLL này, với tham số là ByPassUAC. Hàm New_Process tạo file delself.bat tại thư mục Temp . Sử dụng cmd.exe chạy file bat với mục đích xóa file thực thi và file bat.
Phân tích mẫu 3 : mfeesp.exe
Tương tự như mẫu thứ 2, tệp tin là một file MFC, khi thực thi , mã độc sẽ trích xuất ra hai tệp tin mới LogiTech.exe và LBTServ.dll tại đường dẫn C:\ProgramData\LoGiTech.
Xóa tác vụ có tên LogiTech đã lập lịch. Lập lịch mới cho tiến trình LogiTech.exe cứ 10 phút chạy một lần. Các lập lịch được thực hiện thông qua tiến trình cmd.exe, với param được encrypt bằng phép XOR với key là 0x9A
LogiTech.exe là một file thực thi an toàn có chữ ký của Logitech, còn LBTServ.dll là một DLL độc hại sẽ được Logitech.exe load lên. Khi DLL độc hại được thực thi, nó sẽ giải mã được một file thực thi khác được nhóm ESET nghi ngờ file thực thi này là một file Poisonlvy RAT(công cụ remote access được sử dụng bởi nhiều nhóm APT)
Kết luận : Dựa vào những báo cáo từ nhiều nhóm nghiên cứu trong công đồng.Các mối liên hệ với các mẫu mã độc trước đó, cách thức cũng như hành vi mà mã độc thực hiện được phát hiện sau quá trình phân tích . Đặc biệt đối với mẫu 2 , có sự tương đồng đối với các mẫu mã độc được sử dụng trong chiến dịch tấn công vào Ban Cơ Yếu Chính Phủ vừa qua, nghi ngờ các mã độc này là của nhóm tin tặc Panda.
Nguồn : ESET Blog
VinCSS Blog
IoCs
File
FileName | Hash(SHA-1) |
Update.exe | CA4276033A7CBDCCDE26105DEC911B215A1CE5CF |
C: \Program Files\ Internet Explorer
\ieproxysocket.dll |
E8B7A2E6CBF4CD79B8FB02A2F56967C517B9E9B0 |
C: \Program Files\ Internet Explorer
\ieproxysocket64.dll |
363A99FFE1DBD91D157A0AA5160046C501C525E0 |
asd.exe | E45A5D9B03CFBE7EB2E90181756FDF0DD690C00C |
PE.dll | 7750A44D6CCFF9DF7B4879C91E6FBE2AE84A05B2 |
C:\ProgramData\Sandboxie\ SandboxieBITS.exe | 18AC8AA907D0C64BDC619A133B75AB4156D56A15 |
C:\ProgramData\Sandboxie\ SbieDll.dll | 87AE868159D572ACBB376FAF7FDA6593058F8518 |
C:\ProgramData\Sandboxie\ SbieIni.dat | 927F428E0DE0391A6392943B3C79FDA8363828D0 |
mfeesp.exe | 3398EF8F0761A5A423C721A3E4D184D0B1F76B37 |
C:\ProgramData\LoGiTech\ LoGitech.exe | 7897AE73E8AD10548E4828A4B45A798B5472323D |
C:\ProgramData\LoGiTech\LBTServ.dll | C01F4998386B5ACA72D8CA7080EC470EB2F2220F |
C&C servers
210.209.72[.]180
103.255.177[.]138
185.239.226[.]172
45.158.32[.]65
cdn.cloudistcdn[.]com
q.cloudistcdn[.]com
update.boshiamys[.]com
URLs độc hại
http://cdn.cloudfronter[.]com/player/upgrade/ext/20201030/1/35e3797508c555d5f5e19f721cf94700.exe
http://cdn.cloudfronter[.]com/player/upgrade/ext/20201101/1/bf571cb46afc144cab53bf940da88fe2.exe
http://cdn.cloudfronter[.]com/player/upgrade/ext/20201123/1/2ca0a5f57ada25657552b384cf33c5ec.exe
http://cdn.cloudfronter[.]com/player/upgrade/ext/20201225/7c21bb4e5c767da80ab1271d84cc026d.exe
http://cdn.cloudfronter[.]com/player/upgrade/ext/20210119/842497c20072fc9b92f2b18e1d690103.exe
https://cdn.cloudfronte[.]com/player/upgrade/ext/20201020/1/c697ad8c21ce7aca0a98e6bbd1b81dff.exe
http://cdn.cloudfronte[.]com/player/upgrade/ext/20201030/1/35e3797508c555d5f5e19f721cf94700.exe
http://res06.bignox[.]com/player/upgrade/202009/6c99c19d6da741af943a35016bb05b35.exe
http://res06.bignox[.]com/player/upgrade/202009/42af40f99512443cbee03d090658da64.exe
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Feb 2021
– CVE-2021-1722 – Windows Fax Service Remote Code Execution Vulnerability
– CVE-2021-24066 – Microsoft SharePoint Remote Code Execution Vulnerability
– CVE-2021-24074 – Windows TCP/IP Remote Code Execution Vulnerability
Đầy đủ danh sách có thể tìm được ở đây:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb
3.2 Ứng dụng web và các sản phẩm khác
– CVE-2021-25646 – Apache Druid Remote Code Execution.