1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Lazarus APT của Bắc Triều Tiên tận dụng Windows Update client, GitHub trong chiến dịch mới nhất
Nhóm Malwarebytes Threat Intelligence đã theo dõi hoạt động của nhóm Lazarus APT của Hàn Quốc và phát hiện chiến dịch lừa đảo mới với các tài liệu độc hại sử dụng chủ đề Dream Job của nhóm này vào ngày 18 tháng 1 năm 2022.
Hai tài liệu được phát hiện trong chiến dịch này đã giả mạo công ty hàng không và an ninh toàn cầu Lockheed Martin. Hai tài liệu được nhúng macro và thu hút các mục tiêu về các cơ hội việc làm mới tại Lockheed Martin:
- Lockheed_Martin_JobOpportunities.docx
- Salary_Lockheed_Martin_job_opportunities_confidential.doc
Hình 1: Document Preview
Một khi người dùng mở file, các macro độc hại được nhúng trong tài liệu Word sẽ được thực thi. Phần mềm độc hại thực hiện một loạt các kỹ thuật injections và persistence bên trong hệ thống nạn nhân. Một số kỹ thuật mới được chúng sử dụng để không bị phát hiện như:
- Sử dụng KernelCallbackTable để chiếm quyền luồng điều khiển và thực thi shellcode
- Sử dụng ứng dụng Windows Update client để thực thi mã độc hại
- Sử dụng GitHub cho giao tiếp C2
Hình 2: Attack Process
Indicators of Compromise (IoCs)
Files:
Lockheed_Martin_JobOpportunities.docx 0d01b24f7666f9bccf0f16ea97e41e0bc26f4c49cdfb7a4dabcc0a494b44ec9b
Salary_Lockheed_Martin_job_opportunities_confidential.doc0160375e19e606d06f672be6e43f70fa70093d2a30031affd2929a5c446d07c1
Domains:
markettrendingcenter.com
lm-career.com
Payloads:
readme.png 4216f63870e2cdfe499d09fce9caa301f9546f60a69c4032cb5fb6d5ceb9af32
wuaueng.dll 829eceee720b0a3e505efbd3262c387b92abdf46183d51a50489e2b157dac3b1
stage1_winword.dll f14b1a91ed1ecd365088ba6de5846788f86689c6c2f2182855d5e0954d62af3b
stage2_explorer.dll 660e60cc1fd3e155017848a1f6befc4a335825a6ae04f3416b9b148ff156d143
drops_lnk.dll 11b5944715da95e4a57ea54968439d95511408822fd2032d4e0282d12a58abb
stage3_runtimebroker.dll 9d18defe7390c59a1473f79a2407d072a3f365de9834b8d8be25f7e35a76d818
core_module.dll c677a79b853d3858f8c8b86ccd8c76ebbd1508cc9550f1da2d30be491625b744
GetBaseInfo.dll 5098ec21c88e14d9039d232106560b3c87487b51b40d6fef28254c37e4865182
1.2 Antlion: APT của Trung Quốc sử dụng custom backdoor để nhắm mục tiêu đến các tổ chức tài chính ở Đài Loan
Nhóm APT do nhà nước Trung Quốc hậu thuẫn, Antlion đã nhắm vào các tổ chức tài chính ở Đài Loan trong một chiến dịch kéo dài ít nhất 18 tháng. Những kẻ tấn công đã triển khai một cửa hậu (backdoor) tùy chỉnh được đội ngũ Symantec gọi làxPack trên các hệ thống bị xâm nhập, cho phép chúng truy cập vào các máy nạn nhân.
xPack cho phép những kẻ tấn công chạy các lệnh WMI từ xa, khai thác EternalBlue. Những kẻ tấn công dường như có khả năng sử dụng các chia sẻ qua SMB để chuyển các tệp từ cơ sở hạ tầng do kẻ tấn công kiểm soát. Cũng có bằng chứng cho thấy những kẻ tấn công đã có thể duyệt web thông qua backdoor, có khả năng sử dụng nó làm proxy để che giấu địa chỉ IP của chúng.
xPack là một trình tải .NET tùy chỉnh giúp giải mã (AES), tải và thực thi các tệp .bin đi kèm. Mật khẩu giải mã của nó được cung cấp dưới dạng đối số dòng lệnh (chuỗi mã hóa Base64) và xPack được thiết kế để chạy như một ứng dụng độc lập hoặc như một dịch vụ (biến thể xPackSvc). xPack chủ yếu được sử dụng để thực thi các lệnh hệ thống, tải phần mềm độc hại và công cụ khác, sắp xếp dữ liệu để lấy cắp. Những kẻ tấn công cũng sử dụng một keylogger tùy chỉnh và ba trình tải tùy chỉnh.
- Trình tải EHAGBPSL – trình tải tùy chỉnh được viết bằng C++ – được tải bởi trình tải JpgRun
- Trình tải JpgRun – trình tải tùy chỉnh được viết bằng C++ – tương tự như xPack, đọc khóa giải mã và tên tệp từ dòng lệnh – giải mã tệp và thực thi nó
- CheckID – trình tải tùy chỉnh được viết bằng C++ – dựa trên trình tải được BlackHole RAT sử dụng
Những kẻ tấn công cũng sử dụng một công cụ liệt kê phiên SMB tùy chỉnh (NetSessionEnum), một công cụ truyền tệp bind/reverse tùy chỉnh có tên ENCODE MMC và một công cụ Kerberos golden ticket dựa trên Mimikatz.
Những kẻ tấn công cũng sử dụng nhiều công cụ có sẵn, cũng như tận dụng các công cụ living-off-the-land như PowerShell, WMIC, ProcDump, LSASS và PsExec. Công cụ AnyDesk hợp pháp cũng bị những kẻ tấn công lạm dụng để truy cập từ xa vào một trong các tổ chức nạn nhân. Những kẻ tấn công cũng đã sử dụng các khai thác như CVE-2019-1458 để leo thang đặc quyền và các tác vụ được lên lịch từ xa để thực thi backdoor của chúng. CVE-2019-1458 là một lỗ hổng nâng cao đặc quyền xảy ra trong Windows khi thành phần Win32k không xử lý đúng các đối tượng trong bộ nhớ.
Indicator of Compromise (IoCs)
Files
checkID
85867a8b4de856a943dd5efaaf3b48aecd2082aa0ceba799df53ba479e4e81c5
xPack
12425edb2c50eac79f06bf228cb2dd77bb1e847c4c4a2049c91e0c5b345df5f2
xPack
e4a15537f767332a7ed08009f4e0c5a7b65e8cbd468eb81e3e20dc8dfc36aeed
xPack
e488f0015f14a0eff4b756d10f252aa419bc960050a53cc04699d5cc8df86c8a
xPack
9456d9a03f5084e44f8b3ad936b706a819ad1dd89e06ace612351b19685fef92
xPack
730552898b4e99c7f8732a50ae7897fb5f83932d532a0b8151f3b9b13db7d73c
xPack
de9bd941e92284770b46f1d764905106f2c678013d3793014bdad7776540a451
xPack
390460900c318a9a5c9026208f9486af58b149d2ba98069007218973a6b0df66
xPack
4331d1610cdedba314fc71b6bed35fea03bc49241eb908a70265c004f5701a29
xPack
9b5168a8f2950e43148fe47576ab3ac5b2cfa8817b124691c50d2c77207f6586
xPack
a74cb0127a793a7f4a616613c5aae72142c1166f4bb113247e734f0efd48bdba
xPack
e5259b6527e8612f9fd9bba0b69920de3fd323a3711af39f2648686fa139bc38
xPack
eb7a23136dc98715c0a3b88715aa7e936b88adab8ebae70253a5122b8a402df3
Keylogger
789f0ec8e60fbc8645641a47bc821b11a4486f28892b6ce14f867a40247954ed
Keylogger
3db621cac1d026714356501f558b1847212c91169314c1d43bfc3a4798467d0d
JpgRun
443f4572ed2aec06d9fb3a190de21bfced37c0cd2ee03dd48a0a7be762858925
JpgRun
f4534e04caced1243bd7a9ce7b3cd343bf8f558982cbabff93fa2796233fe929
EHAGBPSL
e968e0d7e62fbc36ad95bc7b140cf7c32cd0f02fd6f4f914eeb7c7b87528cfe2
EHAGBPSL
0bbb477c1840e4a00d0b6cd3bd8121b23e1ce03a5ad738e9aa0e5e0b2e1e1fea
EHAGBPSL
55636c8a0baa9b57e52728c12dd969817815ba88ec8c8985bd20f23acd7f0537
EHAGBPSL
2a541a06929dd7d18ddbae2cb23d5455d0666af7bdcdf45b498d1130a8434632
checkID
85867a8b4de856a943dd5efaaf3b48aecd2082aa0ceba799df53ba479e4e81c5
checkID
29d7b82f9ae7fa0dbaf2d18c4d38d18028d652ed1ccc0846e8c781b4015b5f78
checkID
f7cab241dac6e7db9369a4b85bd52904022055111be2fc413661239c3c64af3d
checkID
2aa52776965b37668887a53dcd2374fc2460293b73c897de5d389b672e1313ff
checkID
79a37464d889b41b7ea0a968d3e15e8923a4c0889f61410b94f5d02458cb9eed
NetSessionEnum
48d41507f5fc40a310fcd9148b790c29aeb9458ff45f789d091a9af114f26f43
MMC
f01a4841f022e96a5af613eb76c6b72293400e52787ab228e0abb862e5a86874
MMC
e1a0c593c83e0b8873278fabceff6d772eeaaac96d10aba31fcf3992bc1410e5
Mimikatz
dfee6b3262e43d85f20f4ce2dfb69a8d0603bb261fb3dfa0b934543754d5128b
1.3 ModifiedElephant APT và một thập kỷ ngụy tạo bằng chứng
Nhóm SentinelLabs đã nghiên cứu và tiết lộ một nhóm tấn công chưa được biết đến trước đây có tên là ModifiedElephant. Nhóm này đã hoạt động trong nhiều năm nhưng không bị phát hiện trước đây bởi vì phạm vi hoạt động của chúng hạn chế, không có công cụ nổi bật và các mục tiêu theo khu vực cụ thể của chúng.
Mục tiêu của ModifiedElephant là giám sát dài hạn các nạn nhân, có thể kết thúc khi thu thập đủ ‘bằng chứng’ từ nạn nhân phục vụ cho việc tiến hành bắt giữ. Nhóm SentinelLabs đã xác định được hàng trăm nhóm và cá nhân bị nhắm mục tiêu bởi các chiến dịch lừa đảo ModifiedElephant. Các nhà hoạt động, nhà bảo vệ nhân quyền, nhà báo, học giả và chuyên gia luật ở Ấn Độ là những đối tượng được nhắm mục tiêu cao nhất. Các mục tiêu đáng chú ý bao gồm các cá nhân liên quan đến vụ bạo loạn Bhima Koregaon.
Trong suốt thập kỷ qua, các kẻ điều hành ModifiedElephant đã tìm cách lây nhiễm các mục tiêu của chúng thông qua các email lừa đảo với các tệp đính kèm độc hại, với các kỹ thuật phát triển theo thời gian. Cơ chế lây nhiễm chính của chúng là dùng các tệp tài liệu Microsoft Office độc hại để phân phối malware được lựa chọn vào thời điểm đó. Phần mềm độc hại được ModifiedElephant sử dụng nhiều nhất không phức tạp và hết sức bình thường, nhưng nó đã được chứng minh là đủ cho các mục tiêu của chúng – có được quyền truy cập từ xa và kiểm soát không hạn chế máy nạn nhân.
Indicator of Compromise (IoCs)
Danh sách đầy đủ IoCs xem thêm tại link: https://assets.sentinelone.com/sentinellabs-apt/modified-elephant-apt
1.4 Tin tặc APT của Nga đã sử dụng mồi nhử COVID-19 để nhắm vào các nhà ngoại giao châu Âu
Văn phòng Liên bang Bảo vệ Hiến pháp (BfV) của Đức có thông tin về một chiến dịch gián điệp đang diễn ra của nhóm tấn công mạng APT27, sử dụng biến thể phần mềm độc hại HYPERBRO chống lại các công ty thương mại của Đức.
Có khả năng, mục tiêu của nhóm này nhằm đánh cắp các bí mật kinh doanh, sở hữu trí tuệ, cố gắng xâm nhập vào mạng lưới khách hàng (doanh nghiệp) hoặc nhà cung cấp dịch vụ (tấn công chuỗi cung ứng).
Những kẻ tấn công đã khai thác các lỗ hổng trong phần mềm Zoho Manage Engine ADSelfService Plus (CVE-2021-40539) và trong Microsoft Exchange Server 2013, 2016 và 2019 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065) kể từ tháng 3 năm 2021 để lây nhiễm phần mềm độc hại HYPERBRO.
HYPERBRO là một công cụ truy cập từ xa (RAT) thường bao gồm các thành phần sau (xem Hình 3):
Hình 3: Các thành phần của HYPERBRO
1. Legitimate Executable (msmpeng.exe hoặc vfhost.exe) – trong trường hợp này là phần mềm CyberArk Viewfinity hợp pháp được ký bằng chứng chỉ hợp lệ nhưng đã hết hạn.
2. DLL độc hại (vftrace.dll) được tải bởi trình tải hợp pháp bằng cách sử dụng phương pháp DLL hijacking.
3. Malware Payload (thumb.dat) ở dạng nhị phân của các chương trình thực thi (tệp PE) chứa shellcode thực thi, một DLL độc hại và thông tin cơ sở hạ tầng tấn công (địa chỉ C2).
4. Khi tải trọng được thực thi, tệp cấu hình phần mềm độc hại (config.ini) cũng được lưu trữ dưới dạng tệp trong thư mục.
Indicators of Compromise (IoCs)
C2-Server
104.168.236.46
03.79.77.200
87.98.190.184
File
HYPERBRO 601A02B81E3BD134C2CF681AC03D696B446E10BF267B11B91517DB1B233FEC74
2 Malware
2.1 Phân tích mẫu mã độc tấn công Việt Nam
Khoảng thời điểm những ngày cuối tháng 1, hệ thống TI của GTSC ghi nhận các thông tin liên quan từ tài khoản twitter Shadow Chaser Group về một số các tài liệu tiếng Việt chứa mã độc nhắm đến Việt Nam.
Dựa vào thông tin mà tài khoản twitter chia sẻ, chúng tôi tìm kiếm mẫu mã độc từ nguồn app.any.run. Thông tin của file như sau:
Tên file: Bien ban thong nhat ke hoach dao tao_VPB.CSDLBC_Portal.docx
Size: 29.1 KB (29859 bytes)
SHA-256: 811a020b0f0bb31494f7fbe21893594cd44d90f77fcd1f257925c4ac5fabed43
Giải nén file .docx này, tìm kiếm thông tin trong trong các file .xml được trích xuất, chúng tôi thấy một số thông tin liên quan đến người tạo và thay đổi tài liệu
Tiếp tục sử dụng công cụ olevba để kiểm tra file tài liệu, chúng tôi nhận thấy tài liệu này áp dụng kỹ thuật Template Injection
Khi người dùng mở tài liệu độc hại này, nó sẽ tải xuống file fav.ico từ địa chỉ http[:]//office[.]oiqezet[.]com/portals/office/fav[.]ico
File fav.ico được tải xuống là một file có định dạng RTF. Với công cụ rtfobj, chúng ta có thể biết được file có 3 object. Tại id là 0, RTF file nén OLE object có tên qax23.xp với kích thước 167831 bytes.
Tiến hành trích xuất object này và sử dụng công cụ rr_decoder(https://github.com/nao-sec/rr_decoder) để giải mã. Chúng tôi thu được một file dll mới.
Dựa vào kết quả thực thi trong môi trường sandbox và RE lại DLL, có thể thấy mã độc sau khi thực thi sẽ thu thập thông tin của máy nạn nhân. Thông tin sau đó sẽ được mã hóa bằng thuật toán RC4 với key là “123abc” và encoded lần nữa bằng thuật toán Base64.
Sau quá trình mã hóa, thông tin sẽ được gửi tới C2 theo format: http[:]//office[.]oiqezet[.]com/portals/office/log[.]php?Data=Base64(RC4(data))
Thông tin sau khi giải mã như sau:
Một bài phân tích khác từ chuyên gia phân tích @kienbigmummy (a.k.a Kienm4n0w4r) cũng phân tích khá chi tiết sample có các hành vi tương đồng sample trên có tên Bien ban thong nhat ke hoach dao tao_VPB.Voffice.docx.
https://twitter.com/kienbigmummy/status/1486044175477149696
IoCs:
File name: Bien ban thong nhat ke hoach dao tao_VPB.CSDLBC_Portal.docx
SHA256: 811a020b0f0bb31494f7fbe21893594cd44d90f77fcd1f257925c4ac5fabed43.
File name: Bien ban thong nhat ke hoach dao tao_VPB.Voffice.docx
SHA256: 341dee709285286bc5ba94d14d1bce8a6416cb93a054bd183b501552a17ef314
File name: Fav.ico
SHA256: 4747e6a62fee668593ceebf62f441032f7999e00a0dfd758ea5105c1feb72225
File name: fav.ico_qax23.xp
SHA256: 0c440d65069cdd748abe795206769f5384de214a028c550c2d63ff60cc47c1fc
File name: Download.dll
SHA256: 1e18314390302cd7181b710a03a456de821ad85334acfb55f535d311dd6b3d65
URL:
http://office[.]oiqezet[.]com/portals/office/fav.ico.
http[:]//office[.]oiqezet[.]com/portals/office/log[.]php?Data=
C2:
Domain: office[.]oiqezet[.]com
IP: 103.173.154.168
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – February 2022
Trong tháng 2, Microsoft đã phát hành các bản vá cho 70 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components, Azure Data Explorer, Kestrel Web Server, Microsoft Edge (Chromium-based), Windows Codecs Library, Microsoft Dynamics, Microsoft Dynamics GP, Microsoft Office and Office Components, Windows Hyper-V Server, SQL Server, Visual Studio Code và Microsoft Teams.
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Improtant:
3.1.1 CVE-2022-22005 – Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS v3: 8.8
Mô tả: lỗ hổng tồn tại trên nền tảng Sharepoint. Lỗ hổng cho phép kẻ tấn công thực thi tùy ý các đoạn mã .NET trên máy chủ bị khai thác. Lỗ hổng yêu cầu kẻ tấn công cần xác thực.
Phiên bản ảnh hưởng:
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-22005
3.1.2 CVE-2022-21997, CVE-2022-21999 – Windows Print Spooler Elevation of Privilege Vulnerability
CVSS v3: 7.1
Mô tả: Lỗ hổng tồn tại trong Windows Print Spooler, cho phép kẻ tấn công leo thang đặc quyền từ quyền thấp lên các đặc quyền cao hơn.
Hiện tại, mã khai thác đã public trên Internet: https://github.com/ly4k/SpoolFool
Phiên bản ảnh hưởng: Ảnh hưởng đến nhiều phiên bản như Windows 7, Windows 8.1, Windows 10, Windows 11, Windows Server 2008, 2012. Chi tiết xem tại link sau:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
Khuyến nghị:
Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2022-24086 Improper Input Validation vulnerability in Magento Open Source and Adobe Commerce
CVSS v3: 9.8
Mô tả: Lỗ hổng tồn trong quá trình kiểm tra và xác thực dữ liệu đầu vào. Lỗ hổng không yêu cầu tương tác từ người dùng, cho phép kẻ tấn công thực thi mã tùy ý.
Adobe ghi nhận các cuộc tấn công lợi dụng lỗ hổng có định dạng CVE-2022-24086 nhắm vào các sản phẩm Adobe Commerce
Phiên bản ảnh hưởng:
Adobe Commerce phiên bản 2.4.3-p1 và các phiên bản trước đó hoặc phiên bản 2.4.7-p2 và các phiên bản trước đó. Ảnh hưởng tới tất cả các nền tảng.
Magento Open Source phiên bản 2.4.3-p1 và các phiên bản trước đó hoặc phiên bản 2.4.7-p2 và các phiên bản trước đó. Ảnh hưởng tới tất cả các nền tảng.
(Ghi chú: Adobe Commerce và Magento Open Source phiên bản từ 2.3.0 tới 2.3.3 không bị ảnh hưởng)
Khuyến nghị:
Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://helpx.adobe.com/security/products/magento/apsb22-12.html