Hàng tháng,NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Mustang Panda và mã độc Hodur, biến thể mới của Korplug
Ngày 23/03/2022, nhóm nghiên cứu của ESET đã thông báo một chiến dịch của nhóm APT Mustang Panda (còn được gọi là TA416, RedDelta, PKPLUG) sử dụng một biến thể mới của mã độc Korplug, mà họ đặt tên là Hodur. Họ cho biết chiến dịch này kéo dài ít nhất từ tháng 8 năm 2021 cho đến nay và vẫn đang tiếp diễn.
Các nạn nhân của chiến dịch bị thu hút bởi các tài liệu lừa đảo liên quan đến các sự kiện mới ở Châu Âu như cuộc xâm lược Ukraine của Nga, các cập nhật về hạn chế đi lại do COVID-19, v.v…. Các quốc gia bị nhắm tới nhiều nhất: Mongolia, Vietnam, Myanmar, Greece, Russia, Cyprus, South Sudan, South Africa. Các nạn nhân bao gồm các tổ chức nghiên cứu, các nhà cung cấp dịch vụ internet và các cơ quan ngoại giao châu Âu.
Các chiến dịch của Mustang Panda thường sử dụng các phần mềm độc hại như Cobalt Strike, Poison Ivy và Korplug (còn được gọi là PlugX). Nhưng chiến dịch lần này, chúng đã phát triển các biến thể Korplug và sử dụng các kỹ thuật anti-analysis và xáo trộn control-flow.
Nhóm nghiên cứu của ESET chưa xác định được phương thức lây nhiễm ban đầu, có thể nạn nhân bị lừa tải những tệp (downloader) từ email hay website bị kẻ tấn công kiểm soát. Tên tệp được đặt theo những chủ đề được nạn nhân quan tâm như:
· COVID-19 travel restrictions EU reviews list of third countries.exe
· State_aid__Commission_approves_2022-2027_regional_aid_map_for_Greece.exe
· REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL.exe
· Situation at the EU borders with Ukraine.exe
Khi người dùng mở tệp, nó tải xuống bốn tệp qua HTTPS: một tài liệu giả mạo (decoy document), một tệp thực thi hợp pháp (legitimate executable), một mô-đun độc hại (malicious module) và một tệp Korplug được mã hóa (encrypted Korplug). Sau khi mọi thứ được tải xuống, tài liệu giả mạo được mở để đánh lạc hướng nạn nhân. Tệp thực thi hợp pháp thực hiện tải mô-đun độc hại thông qua kỹ thuật DLL side-loading, là một kỹ thuật thường được sử dụng bởi Mustang Panda và mã độc Korplug. Tiếp theo, mô-đun giải mã và thực thi tệp Korplug trong memory (tệp encrypted Korplug được lưu trên disk với định dạng .dat) . Sau khi phân tích tệp Korplug trong memory, đội ngũ ESET xác nhận đây là một biến của mã độc (Remote Access Trojan) Korplug và đặt tên là Hodur.
Hình 1. Tổng quan về quá trình lây nhiễm của biến thể Hodur-Korplug.
Indicators of Compromise (IoCs)
File hash / SHA-1
69AB6B9906F8DCE03B43BEBB7A07189A69DC507B
10AE4784D0FFBC9CD5FD85B150830AEA3334A1DE
69AB6B9906F8DCE03B43BEBB7A07189A69DC507B
4EBFC035179CD72D323F0AB357537C094A276E6D
FDBB16B8BA7724659BAB5B2E1385CFD476F10607
7E059258CF963B95BDE479D1C374A4C300624986
7992729769760ECAB37F2AA32DE4E61E77828547
F05E89D031D051159778A79D81685B62AFF4E3F9
AB01E099872A094DC779890171A11764DE8B4360
CDB15B1ED97985D944F883AF05483990E02A49F7
908F55D21CCC2E14D4FF65A7A38E26593A0D9A70
477A1CE31353E8C26A8F4E02C1D378295B302C9E
52288C2CDB5926ECC970B2166943C9D4453F5E92
CBD875EE456C84F9E87EC392750D69A75FB6B23A
2CF4BAFE062D38FAF4772A7D1067B80339C2CE82
97C92ADD7145CF9386ABD5527A8BCD6FABF9A148
39863CECA1B0F54F5C063B3015B776CDB05971F3
0D5348B5C9A66C743615E819AEF152FB5B0DAB97
C8F5825499315EAF4B5046FF79AC9553E71AD1C0
D4FFE4A4F2BD2C19FF26139800C18339087E39CD
65898ACA030DCEFDA7C970D3A311E8EA7FFC844A
7DDB61872830F4A0E6BF96FAF665337D01F164FC
C13D0D669365DFAFF9C472E615A611E058EBF596
062473912692F7A3FAB8485101D4FCF6D704ED23
2B5D6BB5188895DA4928DD310C7C897F51AAA050
511DA645A7282FB84FF18C33398E67D7661FD663
59002E1A58065D7248CD9D7DD62C3F865813EEE6
F67C553678B7857D1BBC488040EA90E6C52946B3
58B6B5FD3F2BFD182622F547A93222A4AFDF4E76
C2-Server
upespr.com
urmsec.com
locvnpt.com
101.36.125.203
103.107.104.19
103.56.53.120
103.79.120.66
107.178.71.211
154.204.27.130
154.204.27.181
156.226.173.23
176.113.69.91
185.207.153.208
43.254.218.42
45.131.179.179
92.118.188.78
1.2 VajraEleph từ Nam Á – Gián điệp mạng chống lại quân nhân Pakistan
Ngày 30/03/2022, nhóm bảo mật di động của Trung tâm Ứng phó Virus Qi-anxin ra báo cáo về một nhóm APT đã tiến hành các hoạt động tình báo gián điệp chủ yếu nhắm vào Quân đội Tanzania của Pakistan kể từ tháng 6 năm 2021. Chỉ sau 9 tháng, nhóm này đã tấn công đến hàng chục quân nhân Pakistan. Chủ yếu là lực lượng biên phòng quốc gia Pakistan (FC), lực lượng đặc biệt (SSG), đặc biệt là lực lượng biên phòng Balochistan (FCBLN); ngoài ra cũng gồm một lượng nhỏ FBI (FIA) và cảnh sát (Police).
Kẻ tấn công thông qua các cuộc tấn công lừa đảo (phishing attack) trên các mạng xã hội như WhatsApp,… và dẫn dụ nạn nhân tải xuống một ứng dụng trò chuyện độc hại, được chúng phân phối trên một nền tảng cửa hàng ứng dụng nổi tiếng. Nhóm nghiên cứu đặt tên cho tất cả các mẫu độc hại này là VajraSpy. Sau khi phân tích các đặc điểm tấn công, phương pháp mã hóa, kiến trúc máy chủ C2,…, nhóm nghiên cứu xác định những kẻ tấn công là một tổ chức APT mới đang hoạt động tại Nam Á và đặt tên tiếng anh là VajraEleph, số tổ chức là APT-Q-4 3.
Hình 2: máy chủ tải trọng tên miền sớm nhất được phát hiện
Các mẫu mã độc được sử dụng bởi VajraEleph đều nhắm tới người dùng sử dụng nền tảng Android. Chúng sử dụng công cụ RAT có độ tùy chỉnh cao, hỗ trợ các chức năng gián điệp và lưu dữ liệu đánh cắp được lên không gian lưu trữ đám mây Google.
Indicators of Compromise (IoCs)
Domain name / IP
appplace .shop
appz.live
apzshare.club
appzshare.digital
appzshare.club
212.24.100.197
File hash / Md5
7a47d859d5ee71934018433e3ab7ed5b
0c980f475766f3a57f35d19f44b07666
1.3 Cicada: Nhóm APT của Trung Quốc mở rộng nhắm mục tiêu trong các hoạt động gián điệp gần đây
Ngày 05/04/2022, Nhóm Threat Hunter của Symatic đã thông báo về môt chiến dịch gián điệp của nhóm Cicada (APT10) do nhà nước Trung Quốc hậu thuẫn đang tấn công các tổ chức chính phủ, tôn giáo và phi chính phủ ở nhiều quốc gia trên thế giới, bao gồm cả ở Châu Âu, Châu Á và Bắc Mỹ. Rất nhiều lĩnh vực và khu vực địa lý của các tổ chức được nhắm mục tiêu trong chiến dịch này. Điều đáng chú ý là trước đây Cicada chủ yếu tập trung vào các công ty liên kết với Nhật Bản.
Trong một số trường hợp mà đội ngũ của Symatic quan sát được, hoạt động ban đầu trên mạng nạn nhân được phát hiện trên Máy chủ Microsoft Exchange, cho thấy khả năng một lỗ hổng đã biết, chưa được vá trong Microsoft Exchange có thể đã được kẻ tấn công sử dụng để truy cập vào mạng nạn nhân.
Khi những kẻ tấn công đã truy cập thành công vào máy nạn nhân, chúng triển khai nhiều công cụ khác nhau, bao gồm trình tải tùy chỉnh và backdoor Sodamaster. Trình tải được triển khai trong chiến dịch này cũng đã được triển khai trong một cuộc tấn công Cicada trước đó.
Sodamaster được biết đến là công cụ được sử dụng độc quyền bởi nhóm Cicada. Nó là một phần mềm độc hại có khả năng thực hiện nhiều chức năng, bao gồm khả năng tránh bị phát hiện bằng cách kiểm tra khóa đăng ký hoặc trì hoãn thực thi; liệt kê tên người dùng, tên máy chủ và hệ điều hành của các hệ thống được nhắm mục tiêu; tìm kiếm các quy trình đang chạy, tải xuống và thực thi các tải trọng bổ sung. Nó cũng có khả năng làm xáo trộn và mã hóa lưu lượng mà nó gửi trở lại máy chủ điều khiển và kiểm soát (C&C). Nó là một backdoor Cicada đã sử dụng ít nhất là từ năm 2020.
Trong chiến dịch này, những kẻ tấn công cũng sử dụng trình tải Mimikatz tùy chỉnh, khởi chạy trình tải tùy chỉnh thông qua chức năng VLC Exports của ứng dụng VLC media player và sử dụng công cụ WinVNC để điều khiển từ xa các máy nạn nhân.
Các công cụ khác được sử dụng trong chiến dịch tấn công này bao gồm:
· Công cụ lưu trữ RAR – có thể được sử dụng để nén, mã hóa hoặc lưu trữ các tệp.
· Khám phá hệ thống/mạng – một cách để kẻ tấn công xác định hệ thống hoặc dịch vụ nào được kết nối với máy bị nhiễm.
· WMIExec – Công cụ dòng lệnh của Microsoft có thể được sử dụng để thực hiện các lệnh trên máy tính từ xa.
· NBTScan – một công cụ mã nguồn mở được sử dụng để tiến hành trinh sát nội bộ trong mạng bị xâm nhập.
Indicators of Compromise (IoCs)
File hash / SHA-256
01b610e8ffcb8fd85f2d682b8a364cad2033c8104014df83988bc3ddfac8e6ec
056c0628be2435f2b2031b3287726eac38c94d1e7f7aa986969baa09468043b1
062ce400f522f90909ed5c4783c5e9c60b63c09272e2ddde3d13e748a528fa88
0b452f7051a74a1d4a544c0004b121635c15f80122dc6be54db660ceb2264d6f
0ec48b297dd1b0d6c3ddd15ab63f405191d7a849049feedfa7e44096c6f9d42a
20fc3cf1afcad9e6f19e9abebfc9daf374909801d874c3d276b913f12d6230ec
2317d3e14ab214f06ae38a729524646971e21b398eda15cc9deb8b00b231abc3
2417da3adebd446b9fcb8b896adb14ea495a4d923e3655e5033f78d8e648fcc8
37f56127226ce96af501c8d805e76156ca6b87da1ba1bb5d227100912f6c52d9
3aa54e7d99b69a81c8b25ab57aeb971644ed0a206743c9e51a80ec1852f03663
3ff2d6954a6b62afb7499e1e317af64502570181fd49ac5a74e2f7947e2e89db
4f6a768841595293146ca04f879efa988e4e95ce0f2bc299cb669fea55e78b65
5269db6b19a1d758c75e58ee9bbf2f8fd684cfedbfe712d5b0182d7bbd3a1690
5bc68df582c86c884b563b15057cc223f2e9bc1022ebb297e32a9a7e3036228b
6b4692029f05489ecda10e11cfacfc3b19097856b88647d3695f3bdc7dd83ce9
7b581c0305c78f28bad60028c63e852dc34fc9e28f39e4b0af73d80c1d9680c9
83030f299a776114878bcd2ade585d97836ef4ddb6943cb796be2c88bcb83a83
90a03dabfc4e56a12cc3bac5cbe991db044b900a01ec341803c864506e467ffa
9917a2213f114e87745867e5fea6717efd727d7c08fdc851969224be2f0e019b
9b5f9ff82ed238bcbd83628ed3ec84988dc05f81cec9e45a512fbd2c8ac45c33
adfe177ade7d9bfe4df251a69678102aec1104a4ba9f73032dd90aba76d8bdd9
b76fde584f87c88bdd21fab613335ce7fc05788aa4bb3191d1517ec16ef4d11a
ce45af43dd2af52d6034e981515474147802efdfe036e00078fee29a01694fd6
d461347388ccf0c2008332a1674885a41f70b94b2263bddef44e796d3b1b43b5
df993dca434c3cd2da94b6a90b0ae1650d9c95ea1d5f6a5267aca640d8c6d00e
ee46e714660f7652502d5b3633fae0c08c8018f51cfb56a487afd58d04dd551a
fe33fdd5a63fee62362c9db329dde11080a0152e513ef0e6f680286a6a7b243f
C2-Server
88.198.101.58
168.100.8.38
1.4 Sandworm Group (UAC-0082) tấn công vào các cơ sở năng lượng của Ukraine sử dụng các chương trình độc hại INDUSTROYER2 và CADDYWIPER
Ngày 12/04/2022, Đội Ứng cứu Khẩn cấp Máy tính của Chính phủ Ukraine CERT-UA đã thực hiện các biện pháp khẩn cấp để ứng phó sự cố an toàn thông tin liên quan đến một cuộc tấn công có chủ đích vào cơ sở năng lượng của Ukraine.
Mục đích của những kẻ tấn công là làm ngừng hoạt động của một số thành phần cơ sở hạ tầng của các đối tượng sau:
· Trạm biến áp điện cao áp – sử dụng chương trình độc hại INDUSTROYER2; đặc biệt, mỗi tệp thực thi chứa một tập hợp các tham số duy nhất được chỉ định cho các trạm biến áp tương ứng (ngày biên dịch tệp: 23.03.2022);
· Các máy tính chạy hệ điều hành Windows (máy tính người dùng, máy chủ, cũng như các máy trạm tự động ACS TP) – sử dụng mã độc phá hủy dữ liệu CADDYWIPER, được giải mã và khởi chạy bởi bộ tải ARGUEPATCH và TAILJUMP;
· Thiết bị máy chủ chạy hệ điều hành Linux – sử dụng phần mềm phá hoại ORCSHRED, SOLOSHRED, AWFULSHRED;
· Thiết bị mạng hoạt động.
Việc phân phối và khởi chạy CADDYWIPER được thực hiện thông qua cơ chế chính sách nhóm (GPO). Tập lệnh PowerShell POWERGAP được sử dụng để thêm GPO tải xuống các thành phần phá hủy dữ liệu từ bộ điều khiển miền (domain controller) và lập lịch chạy trên máy tính.
Kẻ tấn công sử dụng SSH tunnels, IMPACKET để thực hiện các lệnh từ xa trong mạng của nạn nhân.
Indicators of Compromise (IoCs)
File hash / SHA-256
43d07f28b7b699f43abd4f695596c15a90d772bfbd6029c8ee7bc5859c2b0861 sc.sh (OrcShred)
bcdf0bd8142a4828c61e775686c9892d89893ed0f5093bdc70bde3e48d04ab99 wobf.sh (AwfulShred)
87ca2b130a8ec91d0c9c0366b419a0fce3cb6a935523d900918e634564b88028 wsol.sh (SoloShred)
cda9310715b7a12f47b7c134260d5ff9200c147fc1d05f030e507e57e3582327 {zrada.exe, peremoga.exe, vatt.exe} (ArguePatch)
1724a0a3c9c73f4d8891f988b5035effce8d897ed42336a92e2c9bc7d9ee7f5a pa.pay (TailJump)
fc0e6f2effbfa287217b8930ab55b7a77bb86dbd923c0e8150551627138c9caa caddywiper.bin (CaddyWiper)
7062403bccacc7c0b84d27987b204777f6078319c3f4caa361581825c1a94e87 108_100.exe (2022-03-23) (Industroyer2)
C2-Server
91.245.255.243
195.230.23.19
2 Malware
2.1 Tổng hợp một số hình thái tấn công sử dụng mã độc của nhóm APT32
Kể từ 2020, các cuộc tấn công của OceanLotus đã dần thay đổi cách thức tấn công. Sau quá trình khai thác và đã có quyền truy cập ban đầu trong mạng nội bộ, nhóm tấn công thường sử dụng kỹ thuật DLL side-loading để lẩn tránh sự phát hiện của các công cụ bảo mật
Bài viết mô tả ngắn gọn một số cách thức tấn công của Ocean Lotus:
– Sử dụng VBS script để thu thập thông tin thông tin về hệ thống
– Gia tăng việc sử dụng open source kill-free loader
Sử dụng VBS script để thu thập thông tin
OceanLotus đã sử dụng VBS script thực hiện các câu lệnh thông qua tiến trình cmd nhằm thu được một số thông tin về môi trường của máy chủ mục tiêu như HostName, IP mạng nội bộ, địa chỉ MAC và các thông tin khác
Cấu trúc script như sau:
– Khởi tạo task
– Khởi tạo tham số và đặt tên mô tả cho task dưới dạng một task bình thường của hệ thống, ví dụ Update
– Thực thi task và xóa
Sử dụng các open source kill-free loader
Thông qua phân tích sâu về các cuộc tấn công APT, nhóm nghiên cứu của 360 Threat Intelligence Center nhận thấy nhóm OceanLotus gia tăng việc sử dụng các open source anti-kill loader. Các opensource sử dụng nhiều ngôn ngữ khác nhau, đáng chú ý như ngôn ngữ Nim cũng được sử dụng như một “vũ khí mới”
Indicators of Compromise (IoCs)
SHA256: 1e3f68e6bee74e8477f9f270068a4d20c89f84b1bc42e517e71c69f1417a5ce5
URL: hxxps://confusion-cerulean-samba[.]glitch[.]me/e1db93941c
2.2 Phân tích mẫu mã độc tấn công các công ty ở Hàn Quốc sử dụng bởi nhóm APT Lazarus
Gần đây, nhóm Red Raindrop của Qi’anxin Threat Intelligence đã thu thập được một số lượng lớn các mẫu tấn công lừa đảo nhằm vào các công ty Hàn Quốc. Mã độc lây nhiễm qua các tài liệu hoặc file chm nhằm thực thi mã macro.
Các mẫu mã độc là các tệp docx, khai thác lỗ hổng CVE-2017-0199, lừa người dùng mở các tài liệu và click enable the content. Sau đó, mã độc sẽ truy cập tới hxxp[:]//VM2rJOnQ[.]naveicoipg[.]online/ACMS/0hUxr3Lx/police0?mid=h1o5cYfJ để tải xuống và thực thi các mã độc khác. Marco được nhúng trong file sẽ tải xuống thêm mã độc định dạng 32 hoặc 64 bit tùy vào từng hệ thống
Payload mới sau đó sẽ được giải mã và inject vào tiến trình winword.exe
Trong quá trình thực thi, mã độc sẽ thoát khi được chạy trong môi trường sandbox hoặc phát hiện tiến trình v3l4sp.exe (tiến trình AV)
Mã độc giải mã và drop file mới có tên RuntimeBroker và error.log vào đường dẫn %AppData%Local\Microsoft\TokenBroker. Ghi nội dung “s/o2ldz9l95itdj2e/error.txt?dl=0” vào file error.log. Sử dụng kỹ thuật UAC Bypass để thực thi file RuntimeBroker.exe. Tạo persistent cho file thông qua registry startup
RuntimeBroker được pack bởi UPX packer, RuntimeBroker.exe có các nhiệm vụ chính sau:
– Kiểm tra các tiến trình đang chạy có tiến trình v3l4sp.exe và AYAgent.aye hay không? Ngoài ra, nó cũng kiểm tra file Broker.exe có được thực thi đúng đường dẫn hay không
– Thêm file RuntimeBroker.exe vào danh sách loại trừ của Windows Defender sử dụng Poweshell
– Đọc nội dung trong file error.log, nối chuỗi đọc được với URL dl[.]dropboxusercontent[.]com, kẻ tấn công sử dụng cloud server Dropbox để lưu trữ thông tin C2
– Upload thông tin user lên địa chỉ hxxp://naveicoipg.online/post2.php với định dạng “uid=%s&avtype=%d&majorv=%d&minorv=%d”, Trong đó, giá trị avtype là 1 khi không phát hiện phần mềm antivirus, 2 khi phát hiện tiến trình 3l4sp.exe và 3 là AYAgent.exe
– Nhận payload tại naveicoipg.online ‘/ fecommand.acm, trong đó UID là ID nạn nhân. Nội dung payload mới không có sẵn trong thời điểm phân tích
Indicators of Compromise (IoCs)
MD5
44BE20C67A80AF8066F9401C5BEE43CB
65ABAD905E80F8BC0A48E67C62E40119
1FD8FEF169BF48CFDCF506151264128C
7B07CD6BB6B5D4ED6A2892A738FE892B
9AD00E513364E9F44F1B6712907CBA9B
15A7125FE9E629122E1D1389062AF712
749CCB545B74B8EB9DFF57FCB6A07020
1769A818548A0B52C7BE2A0A213A9384
9775EF6514916977D73E39A6B09029BC
210DB61D1B11C1D233FD8A0645946074
B587851D8A42FC8C23F638BBC2EB866B
BDFB5071F5374F5C0A3714464B1FA5E6
C0B24DC8F53227CE0C64439B302CA930
619649CE3FC1682C702D9159E778F8FD
D19DD02CF375D0D03F557556D5207061
D47F7FCBE46369C70147A214C8189F8A
E3FFDA448DF223B240A20DAE41E20CEF
825730D9DD22DBAE7F2BD89131466415
4382384FEB5AD6B574F68E431006905E
AAD5A9F3BE23D327B9122A7F7E102443
556ABC167348FE96ABFBF5079C3AD488
URL:
hxxp[:]//VM2rJOnQ[.]naveicoipg[.]online/ACMS/0hUxr3Lx/police0?mid=h1o5cYfJ
hxxp[:]//twlekqnwl[.]naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate7?cid=yypwjelnblw
hxxp[:]//olsnvolqwe[.]naveicoipg[.]online/ACMS/0y0fMbUp/supportTemplate5?cid=pqwnlqwjqg
hxxp[:]//vnwoei[.]naveicoipg[.]online/ACMS/0s4AtPuk/wwwTemplate?cid=nnwoieopq
hxxp[:]//jvnquetbon[.]naveicoipg[.]online/ACMS/0pxCtBMz/policeTemplate1?mid=ksndoqiweyp
hxxp[:]//AOsM8Cts[.]naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate8?tid=CN2xsRPI
hxxp[:]//ADzJvazJ[.]naveicoipg[.]online/ACMS/0ucLxIjP/toyotaTemplate1?tid=2uiSmhx2
hxxp[:]//CEcOMTp3[.]naveicoipg[.]online/ACMS/0o0WQher/ttt3?qwe=v0OSWog5
hxxp[:]//123fisd[.]naveicoipg[.]online/ACMS/0mFCUrPf/temp04060?ttuq=qcnvoiek
hxxp[:]//naveicoipc[.]tech/ACMS/0Mogk1Cs/topAccounts?uid=3490blxl
hxxp[:]//1xJOiKZd[.]naveicoipa[.]tech/ACMS/Cjtpp17D/Cjtpp17D64[.]acm
hxxp[:]//uzzmuqwv[.]naveicoipc[.]tech/ACMS/1uFnvppj/1uFnvppj32[.]acm
hxxp[:]//naveicoipd[.]tech/ACMS/018ueCdS/blockchainTemplate
hxxp[:]//bcvbert[.]naveicoipe[.]tech/ACMS/01AweT9Z/01AweT9Z64[.]acm
hxxp[:]//xjowihgnxcvb[.]naveicoipf[.]online/ACMS/07RRwrwK/07RRwrwK64[.]acm
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – April 2022
Trong tháng 4, Microsoft đã phát hành các bản vá cho 128 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components, Microsoft Defender and Defender for Endpoint, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Office and Office Components, SharePoint Server, Windows Hyper-V, DNS Server, Skype for Business, .NET and Visual Studio, Windows App Store và các thành phần của Windows Print Spooler.
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-26809 – RPC Runtime Library Remote Code Execution Vulnerability
CVSS v3: 9.8
Mô tả: lỗ hổng tồn tại trong thư viện RPC, được đánh giá mức độ Critical, cho phép kẻ tấn công thực thi mã từ xa (RCE) với đặc quyền cao. Lỗ hổng không yêu cầu tương tác của người dùng.
Phiên bản ảnh hưởng:
– Windows 7 for 32-bit Systems Service Pack 1
– Windows Server 2016 (Server Core installation)
– Windows 11 for ARM64-based Systems
– Windows Server, version 20H2 (Server Core Installation)
– Windows 10 Version 20H2 for ARM64-based Systems
– Windows 10 Version 1909 for ARM64-based Systems
– Windows 10 Version 1809 for x64-based Systems
– Windows 10 for 32-bit Systems
– Windows 10 Version 21H2 for x64-based Systems
– Windows 10 Version 21H2 for ARM64-based Systems
– Windows 10 Version 21H2 for 32-bit Systems
– Windows 10 Version 1809 for 32-bit Systems
– Windows Server 2022 (Server Core installation)
– Windows Server 2022
– Windows 10 Version 21H1 for 32-bit Systems
– Windows 10 Version 21H1 for ARM64-based Systems
– Windows 10 Version 21H1 for x64-based Systems
– Windows Server 2012 R2 (Server Core installation)
– Windows Server 2012 R2
– Windows Server 2012 (Server Core installation)
– Windows Server 2012
– Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows 10 Version 20H2 for 32-bit Systems
– Windows 10 Version 20H2 for x64-based Systems
– Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
– Windows Server 2016
– Windows 10 Version 1607 for x64-based Systems
– Windows 10 Version 1607 for 32-bit Systems
– Windows 10 for x64-based Systems
– Windows 10 Version 1909 for x64-based Systems
– Windows 10 Version 1909 for 32-bit Systems
– Windows 10 Version 1809 for ARM64-based Systems
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
– Windows 8.1 for 32-bit systems
– Windows 7 for x64-based Systems Service Pack 1
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows RT 8.1
– Windows 8.1 for x64-based systems
– Windows 11 for x64-based Systems
– Windows Server 2019 (Server Core installation)
– Windows Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
3.1.2 CVE-2022-24491/24497 – Windows Network File System Remote Code Execution Vulnerability
CVSS v3: 9.8
Mô tả: lỗ hổng ảnh hưởng đến các hệ thống sử dụng NFS role, cho phép kẻ tấn công thực thi mã từ xa. Lỗ hổng không yêu cầu tương tác của người dùng.
Phiên bản ảnh hưởng:
– Windows 8.1 for 32-bit systems
– Windows Server 2016 (Server Core installation)
– Windows Server 2016
– Windows 10 Version 1607 for x64-based Systems
– Windows 10 Version 1607 for 32-bit Systems
– Windows 10 for x64-based Systems
– Windows 10 for 32-bit Systems
– Windows 10 Version 21H2 for x64-based Systems
– Windows 10 Version 21H2 for ARM64-based Systems
– Windows 10 Version 21H2 for 32-bit Systems
– Windows 11 for ARM64-based Systems
– Windows 11 for x64-based Systems
– Windows Server, version 20H2 (Server Core Installation)
– Windows 10 Version 20H2 for ARM64-based Systems
– Windows 10 Version 20H2 for 32-bit Systems
– Windows 10 Version 20H2 for x64-based Systems
– Windows Server 2022 (Server Core installation)
– Windows Server 2022
– Windows 10 Version 21H1 for 32-bit Systems
– Windows 10 Version 21H1 for ARM64-based Systems
– Windows 10 Version 21H1 for x64-based Systems
– Windows 10 Version 1909 for ARM64-based Systems
– Windows 10 Version 1909 for x64-based Systems
– Windows 10 Version 1909 for 32-bit Systems
– Windows Server 2019 (Server Core installation)
– Windows Server 2019
– Windows 10 Version 1809 for ARM64-based Systems
– Windows 10 Version 1809 for x64-based Systems
– Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24491
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24497
3.1.3 CVE-2022-26904 – Windows User Profile Service Elevation of Privilege Vulnerability
CVSS v3: 7.0
Mô tả: lỗ hổng được đánh giá mức độ Improtant với số điểm 7.0. Để khai thác lỗ hổng, kẻ tấn công cần thông tin đăng nhập của người dùng thông thường trong hệ thống (có profile trong đường dẫn C:\). Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM. PoC đã public trên Internet: https://github.com/rapid7/metasploit-framework/pull/16382.
Phiên bản ảnh hưởng:
– Windows 10 Version 1607 for 32-bit Systems
– Windows 10 Version 1607 for x64-based Systems
– Windows 10 Version 1809 for 32-bit Systems
– Windows 10 Version 1809 for ARM64-based Systems
– Windows 10 Version 1809 for x64-based Systems
– Windows 10 Version 1909 for 32-bit Systems
– Windows 10 Version 1909 for ARM64-based Systems
– Windows 10 Version 1909 for x64-based Systems
– Windows 10 Version 20H2 for 32-bit Systems
– Windows 10 Version 20H2 for ARM64-based Systems
– Windows 10 Version 20H2 for x64-based Systems
– Windows 10 Version 21H1 for 32-bit Systems
– Windows 10 Version 21H1 for ARM64-based Systems
– Windows 10 Version 21H1 for x64-based Systems
– Windows 10 Version 21H2 for 32-bit Systems
– Windows 10 Version 21H2 for ARM64-based Systems
– Windows 10 Version 21H2 for x64-based Systems
– Windows 10 for 32-bit Systems
– Windows 10 for x64-based Systems
– Windows 11 for ARM64-based Systems
– Windows 11 for x64-based Systems
– Windows 7 for 32-bit Systems Service Pack 1
– Windows 7 for x64-based Systems Service Pack 1
– Windows 8.1 for 32-bit systems
– Windows 8.1 for x64-based systems
– Windows RT 8.1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1
– Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
– Windows Server 2008 for 32-bit Systems Service Pack 2
– Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
– Windows Server 2008 for x64-based Systems Service Pack 2
– Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
– Windows Server 2012
– Windows Server 2012 (Server Core installation)
– Windows Server 2012 R2
– Windows Server 2012 R2 (Server Core installation)
– Windows Server 2016
– Windows Server 2016 (Server Core installation)
– Windows Server 2019
– Windows Server 2019 (Server Core installation)
– Windows Server 2022
– Windows Server 2022 (Server Core installation)
– Windows Server, version 20H2 (Server Core Installation)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2022-22965: Spring Framework RCE via Data Binding on JDK 9+
CVSS v3: 9.8
Mô tả: lỗ hổng mới với định danh CVE-2022-22965 được đánh giá ở mức độ nghiêm trọng, ảnh hưởng tới các ứng dụng sử dụng framework Spring MVC hoặc Spring Webflux chạy trên JDK phiên bản 9 trở lên. Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa thông qua Data Binding (Data Binding là cơ chế kết nối dữ liệu của bean trong model đến các điều khiển trên form). Hiện tại, mã khai thác đã được public trên Internet.
Link tham khảo mã khai thác: https://github.com/craig/SpringCore0day/blob/main/exp.py
Phiên bản ảnh hưởng:
– Spring Framework:
o 5.3.0 đến 5.3.17
o 5.2.0 đến 5.2.19
o Các phiên bản cũ hơn.
Khuyến nghị: khách hàng/doanh nghiệp đang sử dụng các sản phẩm liên quan có các phiên bản bị ảnh hưởng tiến hành kiểm tra, rà soát các máy chủ và có kế hoạch cập nhật bản vá được phát hành từ hãng. Trong trường hợp chưa thể cập nhật, khách hàng/doanh nghiệp có thể thực hiện theo khuyến nghị mục Suggested Workarounds: https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#suggested-workarounds
3.2.2 CVE-2022-22963: Spring Expression Resource Access Vulnerability in Spring Cloud
CVSS v3: 9.8
Mô tả: các sản phẩm Spring Cloud Function phiên bản từ 3.16, 3.2.2 và các phiên bản thấp hoặc các phiên bản không được hỗ trợ. Lỗ hổng cho phép kẻ tấn công thông qua việc inject các SPEL expressions nhằm thực thi mã tùy ý. Hiện tại, mã khai thác đã public trên Internet. Đối với lỗ hổng này, Spring team đã phát hành bản cập nhật Spring Cloud Function 3.1.7 và 3.2.3 nhằm vá lỗ hổng.
Link tham khảo mã khai thác lỗ hổng: https://github.com/chaosec2021/Spring-cloud-function-SpEL-RCE
Phiên bản ảnh hưởng:
Spring Cloud phiên bản:
– 3.1.6
– 3.2.2
– Các phiên bản thấp hơn hoặc các phiên bản không hỗ trợ đều bị ảnh hưởng bởi lỗ hổng.
Khuyến nghị: khách hàng/doanh nghiệp đang sử dụng các sản phẩm liên quan có các phiên bản bị ảnh hưởng tiến hành kiểm tra, rà soát các máy chủ và có kế hoạch cập nhật bản vá được phát hành từ hãng:
– Spring Cloud phiên bản 3.1.7:
https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/3.1.7/
– Spring Cloud phiên bản 3.2.3:
https://repo.maven.apache.org/maven2/org/springframework/cloud/spring-cloud-function-context/3.2.3/