Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Sự gia tăng hoạt động của nhóm APT Trung Quốc Goblin Panda tấn công vào chính phủ và quân đội Việt Nam
Một nhóm tấn công đến từ Trung Quốc gần đây đã tiến hành thực hiện chiến dịch tấn công gián điệp mạng nhắm vào các tổ chức thuộc chính phủ và quân đội của Việt Nam. Cuộc tấn công được cho là được thực hiện bởi nhóm APT27 (có tên gọi khác là Goblin Panda hay Cycldek, Conimes, Hellsing), được biết đến với thủ thuật tấn công là sử dụng kỹ thuật spear-phising để tấn công các mục tiêu đối ngoại khu vực Đông Nam Á, Ấn Độ và Mỹ.
Theo quan sát của Kaspersky, chiến dịch đã bắt đầu từ tháng 6 năm 2020, sử dụng phương pháp DLL side-loading để thực thi shellcode giải mã ra payload cuối cùng có tên “FoundCore”. DLL side-loading là một kỹ thuật được sử dụng rất nhiều bởi các nhóm tấn công APT như một chiến thuật làm rối để vượt qua các hệ thống phòng thủ (antivirus).
Mẫu mã độc FoundCore được tìm thấy trong một cuộc tấn công vào một tổ chức tầm cỡ có trụ sở tại Việt Nam. Với hành vi của mẫu mã độc lần này, Kaspersky cho rằng nhóm APT Goblin Panda đang trở nên tinh vi hơn trong các cuộc tấn công nhắm vào Việt Nam. Luồng thực thi của mẫu này được thể hiện như sau:
Luồng thực thi của mẫu mã độc FoundCore
FoundCore có khả năng kiểm soát toàn quyền thiết bị bị xâm nhập, thực thi command trong quản lý hệ thống file, quản lý tiến trình, chụp ảnh màn hình, thực thi command bất kì. Ngoài ra FoundCore còn thực hiện tải xuống 2 mã độc khác: (1) DropPhone thực hiện thu thập thông tin liên quan đến môi trường từ máy nạn nhân và tải lên DropBox; (2) CoreLoader thực hiện code cho phép mã độc cản lại sự phát hiện của các phần mềm an ninh.
Về các tổ chức bị ảnh hưởng, 80% có trụ sở tại Việt Nam và thuộc về chính phủ, quân đội, y tế, ngoại giao, giáo dục. Các nạn nhân khác được phát hiện ở Trung Á và Thái Lan. Các chuyên gia an ninh mạng cho rằng chiến dịch này là một mối đe dọa cục bộ nhưng rất có thể mã độc FoundCore sẽ còn tiếp tục tấn công các khu vực và quốc gia khác trong tương lai.
1.2 Nhóm APT Trung Quốc TA428 tiếp tục các cuộc tấn công vào các công ty công nghệ của Nga và Mông Cổ
Cuối tháng 3/2021, Insikt Group vừa xác nhận một hoạt động tấn công mới có liên quan tới nhóm APT TA428 (còn gọi là Dynamite Panda, APT 18) của Trung Quốc. Khẳng định này được đưa ra dựa trên sự trùng hợp về cơ sở vật chất, chiến thuật và nạn nhân với một chiến dịch trước đó của TA428 có tên “Operation LagTime IT” – một chiến dịch được báo cáo bởi Proofpoint vào năm 2019, khi đó nạn nhân của cuộc tấn công này là các cơ quan công nghệ của chính phủ các nước Đông Á và Nga.
Cơ sở vật chất và mục tiêu của TA428
21/01/2021, Insikt Group phát hiện server C&C của mã độc PlugX tại địa chỉ 103.125.219[.]222 (cung cấp bởi VPSServer[.]com). C&C này lưu trữ nhiều domain giả mạo các tờ báo tin tức khác nhau của Mông Cổ. Một trong số đó là f1news.vzglagtime[.]net, đã từng xuất hiện trong chiến dịch Operation LagTime IT hồi tháng 7 năm 2019, tuy nhiên ở thời điểm đó, domain vzglagtime[.]net được host trên địa chỉ 45.76.211[.]118 (cung cấp bởi một VPS server khác – Vultr) là một địa chỉ IP đồng thời lưu trữ nhiều domains cũng theo chủ đề Mông Cổ. Điều này càng khẳng định rằng có nhiều điểm trùng hợp giữa cáo domain đang nghi ngờ và domain đã được báo cáo trong Operation LagTime. Trong chiến dịch lần này, kẻ tấn công tạo ra các subdomain sử dụng những cụm từ quen thuộc nhằm tránh được sự nghi ngờ của nạn nhân. Dưới đây là bảng thống kê một số domains của chiến dịch:
Domain | Mô tả |
aircraft.tsagagaar[.]com | Tsag agaar (цаг агаар) là một từ Mông Cổ có nghĩa là “thời tiết”. |
nubia.tsagagaar[.]com | Giả mạotrang web của sân bay quốc tế New Ulaanbaatar International Airport (NUBIA) tại Mông Cổ. |
gazar.ecustoms-mn[.]com | Giả mạo trang web của hải quan điện tử Mông Cổ e-customs. |
gogonews.organiccrap[.]com | Giả mạo hãng thông tấn Mông Cổ GoGo News. |
oolnewsmongol.ddns[.]info | Giả mạo domain theo chủ đề báo chí tin tức ở Mông Cổ. |
bloomberg.mefound[.]com |
Hoạt động của mẫu mã độc
Insikt Group xác định đã có nhiều mẫu mã độc Royal Road, Poison Ivy và PlugX giao tiếp với các máy chủ C&C thuộc cơ sở vật chất của nhóm TA428. TA428 có thể đã khai thác lỗ hổng EternalBlue để chèn tệp DLL độc hại vào tiến trình lsass.exe trên máy bị tấn công. Cụ thể hai mẫu mã độc PoisonIvy có tên x64.dll (hash: 15ce51dd036231d1ef106cd499c7539e68b195a5b199150a30aa2ba41d3076fb) và x86.dll (hash: 1145d39ce42761862eeb7c46500b3fc5cd0dcd9c0fed35623b577b01d0ec3c8e) được sử dụng lần lượt cho các môi trường 64bit và 32bit ở máy nạn nhân. Khi được thực thi, mẫu mã độc DLL drop ra 2 tệp là PotPlayerMini.exe và PoyPlayer.dll. Sau đó PotPlayerMini.exe được thực thi và load PotPlayer.dll trở thành payload của mã độc PoisonIvy này. Payload được cấu hình để giao tiếp với C&C nubia.tsagagaar[.]com. Trình tự tải của mẫu PoisonIvy này khớp với hoạt động của TA428 được ghi lại bởi NTT Security vào tháng 10 năm 2020.
Hoạt động của mẫu mã độc gần đây được cho là thuộc về TA428
Hồ sơ kẻ tấn công
TA428 là nhóm gián điệp mạng liên kết với Trung Quốc được xác định và đặt tên bởi các nhà nghiên cứu Proofpoint vào năm 2019. Nhóm này được tin là sử dụng bộ công cụ tùy chỉnh, nhắm đến các mục tiêu là các tổ chức có giá trị chiến lược cao với Trung Quốc, hoạt động trên các lĩnh vực không giới hạn, bao gồm công nghệ thông tin, nghiên cứu khoa học, đối nội, đối ngoại, xây dựng chính sách và phát triển kinh tế.
1.3 Chiến dịch gián điệp mạng Diànxùn nhắm mục tiêu vào các công ty viễn thông
McAfee đã ghi nhận một chiến dịch gián điệp mạng trong đó kẻ tấn công sử dụng các kỹ thuật – chiến thuật – chiến lược (TTP) tương tự với các chiến dịch xảy ra trước đó được thực hiện bởi nhóm APT RedDelta và Mustang Panda.
Mặc dù véc tơ lây nhiễm ban đầu không thực sự rõ ràng nhưng các nhà nghiên cứu tin rằng trong chiến dịch Diànxùn, nạn nhân đã bị dụ truy cập đến một tên miền được kiểm soát bởi kẻ tấn công, từ đó nạn nhân bị lây nhiễm phần mềm độc hại có chức năng khám phá và thu thập dữ liệu gửi về cho kẻ tấn công.
Sơ đồ chuỗi lây nhiễm
Trang web lừa đảo là trang tuyển dụng của công ty Huawei, nhắm mục tiêu đến những người có mục tiêu nghề nghiệp trong lĩnh vực viễn thông. Phần mềm độc hại được phát hiện là giả dạng các ứng dụng Flash. Một số mẫu mã độc thực hiện giao tiếp với tên miền http://update.careerhuawei[.]net – tên miền giả mạo bị kiểm soát bởi kẻ tấn công. Trang web độc hại được xây dựng để giả mạo trang web hợp pháp của công ty công nghệ Huawei, hơn nữa mã độc giả mạo ứng dụng Flash đã sử dụng tên miền “flach.cn” được tạo ra để trông giống như trang web “flash.cn” – trang chính thức của Trung Quốc cho phép tải xuống các ứng dụng Flash.
Một trong những điểm khác biệt chính so với các cuộc tấn công trước đây là việc không sử dụng backdoor PlugX, thay vào đó kẻ tấn công đã sử dụng Cobalt Strike. Các nạn nhân khả thi là những đối tượng làm việc trong lĩnh vực viễn thông và có trụ sở tại Đông Nam Á, Châu Âu và Hoa Kỳ. Ngoài ra McAfee xác định kẻ tấn công còn có mối quan tâm đối với công ty viễn thông của Ấn Độ, Đức và Việt Nam.
Động lực thực hiện chiến dịch Diànxùn này có thể liên quan đến lệnh cấm áp đặt lên Trung Quốc trong việc triển khai công nghệ 5G trên toàn cầu. Kẻ tấn công đã nhắm vào các thông tin bí mật liên quan đến công nghệ 5G của các nước trên thế giới.
1.4 APT từ Iran sử dụng mã độc mới SideTwist trong các cuộc tấn công gần đây
Theo báo cáo của công ty an ninh mạng Checkpoint, nhóm APT34 (hay OilRig) gần đây đã sử dụng một biến thể mã độc backdoor mới có teen là SideTwist khi thực hiện cuộc tấn công vào mục tiêu ở Li-băng.
APT34 bắt đầu chuỗi lây nhiễm bằng một tệp tài liệu Microsoft độc hại tên là Job-Details.doc. Đây là tệp văn bản có nội dung mô tả công việc của các vị trí khác nhau trong công ty tư vấn về công nghệ thông tin Nvita, một công ty có trụ sở ở Virginia, Hoa Kỳ. Tuy nhiên khi người dùng kích hoạt các macro độc hại được nhúng trong văn bản này đồng nghĩa với việc kích hoạt toàn bộ luồng lây nhiễm.
Tệp tài liệu mồi nhử với các macro độc hại được nhúng sẵn
Chuỗi lây nhiễm
APT34 sử dụng kĩ thuật DNS Tunneling để tránh né sự phát hiện hành vi độc hại khi nạn nhân mở tệp tài liệu mồi nhử và macro được thực thi. APT34 được xem là nhóm tấn công khét tiếng trong việc sử dụng DNS Tunneling thông qua nhiều công cụ khác nhau, trong chiến dịch này họ sử dụng trong giai đoạn đầu macro. Ngay khi macro được thực thi, các DNS request được sử dụng để giao tiếp với kẻ tấn công và thông tin với chúng về giai đoạn thực hiện hiện tại cũng như cung cấp một số thông tin nhận dạng của nạn nhân. Bằng cách sử dụng dịch vụ DNS tunneling công khai requestbin[.]net, kẻ tấn công không để lộ công cụ của mình.
Payload giai đoạn 2 của chuỗi lây nhiễm là SideTwist một biến thể mới chưa từng xuất hiện trong các hoạt động của APT34 trước đây. Tuy nhiên xét về chức năng cơ bản thì nó tương tự với các backdoor khác mà nhóm đã từng sử dụng: DNSpionage, TONEDEAF và TONEDEAF2.0.
Ngoài ra, để duy trì sự xâm nhập vào máy nạn nhân, kẻ tấn công sử dụng kĩ thuật đăng kí lập lịch, sao cho sau mỗi 5 phút máy tính nạn nhân sẽ tự động thực thi payload SystemFailureReporter.exe đã được Job-Details.doc drop ra. Payload phụ thuộc rất nhiều vào cơ chế duy trì xâm nhập này, vì mỗi khi khởi chạy, nó sẽ chỉ thực thi một lệnh duy nhất được cung cấp từ máy chủ C&C và ngay lập tức tắt, cho đến khi nó được khởi chạy lại theo tác vụ đã lên lịch. Quá trình giao tiếp với máy chủ C&C (sarmsoftware[.]com) được thực hiện dựa trên HTTP trên cổng 443 và dự phòng trên cổng 80. Kẻ tấn công sử dụng mã hóa Mersenne Twister trong quá trình backdoor giao tiếp với C&C.
1.5 Vyveva – backdoor mới của Lazarus
Các nhà nghiên cứu đến từ ESET vừa phát hiện ra một mẫu mã độc mới chưa từng được tài liệu hóa được sử dụng bởi nhóm APT của Triều Tiên Lazarus, được đặt tên là Vyveva. Vyveva được sử dụng trong chiến dịch tấn công nhằm vào một công ty chuyên vận chuyển hàng hóa ở Nam Phi.
Vyveva bao gồm nhiều thành phần, giao tiếp với máy chủ C&C của nó thông qua Tor. Backdoor này có khả năng trích xuất file, phân tích thời gian, thu thập thông tin về máy và ổ đĩa của nạn nhân cũng như chức năng phổ biến khác của một backdoor: chạy mã tùy ý. Tính năng phân tích thời gian của Vyveva được hiểu là khả năng tạo/ghi/truy cập timestamp của file. Vyveva được cho là hoạt động với mục đích gián điệp.
3 thành phần (Installer, Loader, Backdoor) của Vyveva
Vyveva có nhiều điểm tương đồng với họ mã độc Lazarus như Manuscrypt hay NukeSped. Theo dõi quá trình giao tiếp với C&C, backdoor liên lạc 3 phút một lần thông qua mô đun giám sát.
Vyveva trở thành một công cụ mới trong “kho vũ khí” của nhóm Lazarus. Chiến dịch tấn công vào Nam Phi cũng thể hiện cho việc nhắm mục tiêu rộng hơn theo vị trí địa lý của nhóm APT này.
2 Malware
2.1 Mã nguồn của PHP bị hacker chèn mã độc
Ngày 28/03/2021, hai bản cập nhật [1,2] chứa đoạn mã độc hại được đưa vào “php-src” Git repository lưu trên máy chủ git.php.net.Các cập nhật này được để tên là “Fix typo” (sửa lỗi đánh máy) và “Revert the fix” để tránh bị phát hiện. Mạo danh tên của Rasmus Lerdorf, tác giả của ngôn ngữ lập trình PHP và Nikita Popov nhà phát triển phần mềm tại Jetbrains. Nikita Popov cho biết chưa xác định được nguyên nhân, nhưng khả năng có thể là máy chủ git.php.net bị tấn công.
Ngoài việc loại bỏ các bản cập nhật, nhóm nghiên cứu cũng đang rà soát để phát hiện thêm bất kỳ lỗi nào trong các (repository ) kho lưu trữ. Sau sự cố, nhóm chuyên gia phát triển PHP đang thực hiện một số thay đổi, bao gồm chuyển mã nguồn sang GitHub, các bản cập nhật sẽ được đưa trực tiếp sang GitHub chứ không qua git.php.net.
2.2 Janeleiro – Banking Trojan nhắm vào các tổ chức hoạt động trong nhiều lĩnh vực khác nhau tại Brazil
Nhóm nghiên cứu ESET phát hiện mã độc đặt tên là Janeleiro nhắm mục tiêu vào nhiều lĩnh vực như kỹ thuật ,tài chính , giao thông vận tải, chính phủ…
Thông qua hình thức email phishing lừa đảo. Kẻ tấn công gửi một email đính kèm một đường dẫn. Đường dẫn này hầu hết được trỏ đến mã độc được nén dưới dạng file ZIP lưu trữ trên Azure
Trong file nén ZIP chứa file cài đặt MSI, file cài đặt sẽ load DLL độc hại. Mã độc truy xuất IP public từ máy tính của nạn nhân, xác định vị trí của IP. Nếu xác định được vị trí của nạn nhân không phải ở Brazil,, mã độc sẽ dừng việc thực thi. Ngược lại, mã độc thực hiện các nhiệm vụ sau để thu thập thông tin của máy nạn nhân bao gồm :
- Ngày và giờ hiện tại
- Tên máy và tên người dùng
- Kiến trúc máy nạn nhân
- Phiên bản của mã độc
- Tên vùng/địa điểm sau khi định vị địa vị trí
Các thông tin này sẽ được tải lên nhằm mục đích theo dõi việc tấn công có thành công hay không.
Kẻ tấn công sử dụng Github làm nơi lưu trữ các C&C. Các repositories này được để theo format SLK<dd/mm/yy>(tại thời điểm hiện tại, các repositories này đã không còn), Janeleiro lấy thông tin về địa chỉ C&C từ Github được kẻ tấn công tạo ra trước đó. Sau đó mã độc chờ đợi lệnh từ kẻ tấn công
Các lệnh có dạng format như sau %CommandName%%PredefinedSeparatorKeyword%%Parameters%
Mã độc nhận các lệnh này từ C&C dưới dạng mã hóa . Sau khi giải mã , các lệnh này được chia thành mảng chuỗi , phân cách bởi chuỗi |’meio’| phân tách thành tên lệnh và các tham số tương ứng. Mã độc gửi dữ liệu lại cho C&C theo định dạng sau:
%CommandName%%PredefinedSeparatorKeyword%%Encoded data%
Kẻ tấn công sử dụng Github làm nơi lưu trữ các C&C. Các repositories này được để theo format SLK<dd/mm/yy>. Tại thời điểm hiện tại, các repositories này đã không còn
Danh sách IoC về mẫu mã độc này được liệt kê đầy đủ tại đây : https://github.com/eset/malware-ioc/tree/master/janeleiro
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – April 2021
3.1.1 CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483
Microsoft Exchange Server Remote Code Execution Vulnerability
CVSS Score v3.0: 9.8 (CVE-2021-28480, CVE-2021-28481), 8.8 (CVE-2021-28482), 9.0 (CVE-2021-28483)
Mô tả: Đây là các lỗ hổng thực thi mã từ xa (RCE) trên Microsoft Exchange Server. Hai trong số bốn lỗ hổng này, CVE-2021-28480 và CVE-2021-28481, là các lỗ hổng tiền xác thực (pre-authentication), có thể bị khai thác bởi những kẻ tấn công từ xa, không được xác thực mà không cần bất kỳ sự tương tác nào của người dùng.
Hệ thống bị ảnh hưởng:
Microsoft Exchange Server: 2013 Cumulative Update 23, 2016, 2019
Khuyến nghị: Cài đặt các bản cập nhật từ trang web của nhà cung cấp
3.1.2 CVE-2021-28324
Windows SMB Information Disclosure Vulnerability
CVSS Score v3.0: 7.8
Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa có quyền truy cập vào các thông tin nhạy cảm. Lỗ hổng tồn tại do Windows SMB không yêu cầu bất kỳ hình thức xác thực nào. Bằng cách thực hiện một chương trình được tạo ra đặc biệt, kẻ tấn công có thể khai thác lỗ hổng này để lấy cắp thông tin từ bộ nhớ chưa được khởi tạo (uninitialized memory) và bộ nhớ nhân (kernel memory), sau đó sử dụng thông tin này để khởi động các cuộc tấn công tiếp theo chống lại hệ thống bị ảnh hưởng.
Hệ thống bị ảnh hưởng:
Windows: 10 20H2, 10 2004
Windows Server: 2019 20H2, 2019 2004
3.1.3 CVE-2021-28335, CVE-2021-28336, CVE-2021-28337, CVE-2021-28338, CVE-2021-28339 và CVE-2021-28343
Remote Procedure Call Runtime Remote Code Execution Vulnerability
CVSS Score v3.0: 8.8
Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng của Remote Procedure Call Runtime. Kẻ tấn công được xác thực từ xa có thể gửi một yêu cầu được tạo ra đặc biệt và thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể dẫn đến sự xâm phạm hoàn toàn của hệ thống dễ bị tấn công.
Hệ thống bị ảnh hưởng:
Windows: 7, 8.1, 10, 10 20H2, 10 1607, 10 1803, 10 1809, 10 1909, 10 2004, RT 8.1
Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1909, 2019 2004
Khuyến nghị: Cài đặt các bản cập nhật từ trang web của nhà cung cấp
3.1.4 Các CVE khác
Danh sách đầy đủ các CVE có thể xem ở đây:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2021-21402
Unauthenticated abritrary file read in Jellyfin
CVSS Score v3.0: 7.7
Mô tả: Jellyfin là một phần mềm Media System miễn phí. Trong Jellyfin trước phiên bản 10.7.1, với một số endpoint nhất định, các yêu cầu được tạo ra đặc biệt có thể cho phép đọc bất kỳ tệp nào từ hệ thống tệp của máy chủ Jellyfin. Vấn đề này trở nên nghiêm trọng hơn khi Windows được sử dụng làm hệ điều hành chủ. Các máy chủ kết nối với Internet công cộng có khả năng gặp phải rủi ro này.
Hệ thống bị ảnh hưởng: Jellyfin trước phiên bản 10.7.1
Khuyến nghị:
Cập nhật lên phiên bản 10.7.1 hoặc cao hơn. Ngoài ra, để giải quyết vấn đề này, người dùng cũng có thể hạn chế một số quyền truy cập bằng cách thực thi các cấu hình bảo mật trên hệ thống tệp.