THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 06 – 2022

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1 Các mối đe dọa nâng cao – Advanced Threats

1.1 Nhóm tống tiền dữ liệu Karakurt

Ngày 01/06/2022, Cybersecurity and Infrastructure Security Agency (CISA) cung cấp thông tin về nhóm tống tiền dữ liệu Karakurt, còn được gọi là Karakurt Lair. Các nạn nhân của Karakurt bị đánh cắp dữ liệu và đe dọa bán đấu giá hoặc công bố dữ liệu đó cho công chúng trừ khi chúng nhận được khoản tiền chuộc được yêu cầu. Các yêu cầu về tiền chuộc được biết dao động từ 25.000$ đến 13.000.000$ bằng Bitcoin.

Karakurt dường như không nhắm mục tiêu vào bất kỳ lĩnh vực, ngành nghề hoặc nạn nhân cụ thể nào. Các tin tặc Karakurt có thể xâm nhập vào các thiết bị của nạn nhân thông qua:

Mua thông tin đăng nhập bị đánh cắp;

Thông qua các đối tác trong cộng đồng tội phạm mạng;

Các lỗ hổng xâm nhập phổ biến được khai thác:

Các thiết bị SonicWall SSL VPN lỗi thời dễ bị tấn công bởi nhiều CVE gần đây.

Lỗ hổng trong Dịch vụ ghi nhật ký Apache Log4j “Log4Shell” (CVE-2021-44228).

Gửi tin nhắn, email,… lừa đảo tới nạn nhân.

Nhúng macro độc hại trong tệp đính kèm email.

Đánh cắp thông tin đăng nhập mạng riêng ảo (VPN) hoặc Remote Desktop Protocol (RDP).

Thiết bị Fortinet FortiGate SSL VPN lỗi thời/ thiết bị tường lửa dễ bị tấn công bởi nhiều CVE gần đây.

Phiên bản Microsoft Windows Server lỗi thời.

 

Sau khi xâm nhập vào hệ thống nạn nhân, các tin tặc Karakurt triển khai các Cobalt Strike beacons để liệt kê mạng, cài đặt Mimikatz để lấy thông tin đăng nhập, sử dụng AnyDesk để duy trì xâm nhập từ xa, và sử dụng thêm các công cụ khác để leo thang đặc quyền và di chuyển tới các máy chủ khác trong mạng.

 

Sau đó, các tin tặc Karakurt thực hiện nén dữ liệu (thường với 7zip) và lấy cắp dữ liệu sử dụng các ứng dụng mã nguồn mở và dịch vụ Giao thức truyền tệp (FTP), chẳng hạn như Filezilla và các dịch vụ lưu trữ đám mây bao gồm rclone và Mega.nz.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Reconnaissance T1589.001 Gather Victim Identify Information: Credentials
Reconnaissance T1589.002 Gather Victim Identity Information: Email Addresses
Reconnaissance T1591.002 Gather Victim Org Information: Business Relationships
Initial Access T1190 Exploit Public-Facing Applications
Initial Access T1133 External Remote Services
Initial Access T1566 Phishing
Initial Access T1566.001 Phishing – Spearphishing Attachment
Initial Access T1078 Valid Accounts
Privilege Escalation T1078 Valid Accounts
Discovery T1083 File and Directory Discovery
Command and Control T1219 Remote Access Software
Exfiltration T1048 Exfiltration Over Alternative Protocol
Exfiltration T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage

Indicators of Compromise (IoCs)

Files / hash SHA1

fdb92fac37232790839163a3cae5f37372db7235

c33129a680e907e5f49bcbab4227c0b02e191770

030394b7a2642fe962a7705dcc832d2c08d006f5

0e50b289c99a35f4ad884b6a3ffb76de4b6ebc14

7e654c02e75ec78e8307dbdf95e15529aaab5dff

4d7f4bb3a23eab33a3a28473292d44c5965ddc95

10326c2b20d278080aa0ca563fc3e454a85bb32f

86366bb7646dcd1a02700ed4be4272cbff5887af

Files / hash SHA256

563bc09180fd4bb601380659e922c3f7198306e0caebe99cd1d88cd2c3fd5c1b

5e2b2ebf3d57ee58cada875b8fbce536edcbbf59acc439081635c88789c67aca

712733c12ea3b6b7a1bcc032cc02fd7ec9160f5129d9034bf9248b27ec057bd2

Nguồnhttps://www.cisa.gov/uscert/ncas/alerts/aa22-152a

1.2 SideWinder.AntiBot.Script | cơ sở hạ tầng và công cụ mới của SideWinder

Ngày 01/06/2022, Các nhà nghiên cứu của Group-IB Threat Intelligence đã phát hiện ra một cơ sở hạ tầng độc hại mới và một công cụ tùy chỉnh của nhóm APT SideWinder (hay còn gọi là Rattlesnake, Hardcore Nationalist, RAZOR TIGER, T-APT-04 và APT-C-17), nhóm tin tặc này được cho là có nguồn gốc từ Ấn Độ và chủ yếu nhắm mục tiêu đến Pakistan. Công cụ tùy chỉnh mới được phát hiện, có tên mã là SideWinder.AntiBot.Script, đang được sử dụng trong cuộc tấn công lừa đảo nhằm vào các mục tiêu người Pakistan.

SideWinder thường giả mạo các trang web của chính phủ và sử dụng các tên miền bắt chước theo các tên miền hợp pháp để thu thập thông tin đăng nhập của người dùng. Ví dụ như các tên miền bắt chước theo tên miền của các tổ chức chính phủ và phi chính phủ Pakistan:

  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net;
  • pakgov [.] net.

Tệp lệnh SideWinder.AntiBot.Script có thể tránh bị phát hiện bởi các nhà nghiên cứu hay giải pháp bảo mật, dựa trên việc kiểm tra các tham số môi trường trình duyệt như: Vị trí địa lý; Phiên bản của hệ điều hành; Dữ liệu về user-agent; Cài đặt ngôn ngữ hệ thống; Số bộ xử lý logic; Truy cập giao diện CredentialsContainer (có thể lấy thông tin đăng nhập lưu trên trình duyệt); Kiểm tra phiên bản Headless của Chrome; Danh sách các cards đồ họa có thể được sử dụng và kiểm tra sự tuân thủ của chúng với kích thước màn hình; Kiểm tra sự tuân thủ với các hệ điều hành từ danh sách; Và quan trọng nhất là chức năng tải một tập tin độc hại và chức năng chuyển hướng đến một tài nguyên hợp pháp.

Một đoạn mã của SideWinder.AntiBot.Script

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Reconnaissance T1598 Phishing for Information
Resource Development T1583.001 Acquire Infrastructure: Domains
Initial Access T1566.001 Phishing: Spearphishing Attachment
Initial Access T1566.002 Phishing: Spearphishing Link
Persistence T1574.002 Hijack Execution Flow: DLL Side-Loading
Defense Evasion T1497.001 Virtualization/Sandbox Evasion: System Checks
Defense Evasion T1218.005 System Binary Proxy Execution: Mshta
Credential Access T1555.003 Credentials from Password Stores: Credentials from Web Browsers
Discovery T1082 System Information Discovery
Collection T1005 Data from Local System
Command and Control T1105 Ingress Tool Transfer

Indicators of Compromise (IoCs)

Chi tiết IoCs tham khảo tại liên kết bên dưới:

Nguồnhttps://blog.group-ib.com/sidewinder-antibot

1.3 Aoqin Dragon | nhóm APT mới được phát hiện có liên kết với Trung Quốc đã âm thầm theo dõi các tổ chức trong 10 năm.

Ngày 09/06/2022, nhóm nghiên cứu của SentinelLabs đã thông báo  về một nhóm APT hoạt động bắt đầu ít nhất là từ năm 2013 và tiếp tục cho đến ngày nay, chủ yếu nhắm vào các tổ chức ở Đông Nam Á và Úc. SentinelLabs đặt tên cho nhóm APT này là ‘Aoqin Dragon’.

Trong suốt quá trình phân tích các chiến dịch của Aoqin Dragon, đội ngũ SentinelLabs đã quan sát thấy sự tiến triển trong chuỗi lây nhiễm và TTPs của chúng. Chiến lược lây nhiễm của chúng chia thành ba phần:

  1. Sử dụng tài liệu Word được nhúng mã khai thác và lừa người dùng mở tài liệu để cài đặt backdoor.
  2. Lừa người dùng nhấp đúp vào phần mềm Anti-Virus giả để thực thi phần mềm độc hại trong máy chủ của nạn nhân.
  3. Giả mạo thiết bị di động để dụ người dùng mở nhầm thư mục và cài đặt phần mềm độc hại vào hệ thống của họ.

Chuỗi tấn công gần đây nhất mà SentinelLabs quan sát được:

  1. Tệp shortcut giả mạo một thiết bị di động, chứa một đường dẫn để khởi chạy phần mềm độc hại.
  2. Khi người dùng nhấp vào thiết bị giả mạo, thiết bị sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại dllthông qua explorer.exe.
  3. Sau khi thực hiện trình tải, nó sẽ kiểm tra xem nó có nằm trong bất kỳ thiết bị di động đính kèm nào không.
  4. Nếu trình tải không có trong ổ đĩa di động, nó sẽ sao chép tất cả các mô-đun đến thư mục “%USERPROFILE%\AppData\Roaming\EverNoteService\”, bao gồm các tệp bình thường, trình tải backdoor và tải trọng backdoor được mã hóa.
  5. Phần mềm độc hại đặt chức năng tự động khởi động với giá trị “EverNoteTrayUService”. Khi người dùng khởi động lại máy tính, nó sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại.
  6. Trình tải sẽ kiểm tra đường dẫn tệp trước tiên và giải mã các tải trọng. Có hai tải trọng trong chuỗi tấn công này:
  • Tải trọng đầu tiên là bộ phát tán, sao chép tất cả các tệp độc hại sang các thiết bị di động.
  • Tải trọng thứ hai là một backdoor được mã hóa và đưa vào bộ nhớ của tiến trình rundll32.

Chuỗi lây nhiễm mới nhất được SentinelLabs phát hiện.

Dựa trên phân tích của SentinelLabs về các mục tiêu, cơ sở hạ tầng và cấu trúc phần mềm độc hại của các chiến dịch Aoqin Dragon. Mục tiêu của Aoqin Dragon phù hợp chặt chẽ với lợi ích chính trị của chính phủ Trung Quốc, thực hiện các hoạt động gián điệp nhắm vào các tổ chức chính phủ, giáo dục và viễn thông ở Đông Nam Á và Úc.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566 Phishing
Initial Access T1091 Replication Through Removable Media
Execution T1569 System Service
Execution T1204 User Execution
Persistence T1547 Boot or Logon Autostart Execution
Privilege Escalation T1055 Process Injection
Privilege Escalation T1055.001 Dynamic-link Library Injection
Defense Evasion T1211 Exploitation for Defense Evasion
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1055 Process Injection
Discovery T1033 System Owner/User Discovery
Discovery T1082 System Information Discovery
Collection T1560 Archive Collected Data
Command and Control T1071.001 Application Layer Protocol: Web Protocols
Command and Control T1071.004 Application Layer Protocol: DNS
Command and Control T1571 Non-Standard Port
Command and Control T1132 Data Encoding

Indicators of Compromise (IoCs)

Chi tiết IoCs tham khảo tại liên kết bên dưới:

Nguồnhttps://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

2 Malware 

2.1 Tấn công sử dụng mã độc thông qua việc lợi dụng lỗ hổng CVE-2022-30190 – Follina

Gần đây, các nhà bảo mật của Symantec đã theo dõi được các hành vi lợi dụng khai thác lỗ hổng RCE – CVE-2022-30190 Follina để triển khai mã độc trên các hệ thống bị ảnh hưởng bởi lỗ hổng.

Thông qua việc tạo file Word tham chiếu đến link HTML độc hại. File HTML cho phép thực thi các đoạn mã powershell

Kẻ tấn công sử dụng nhiều mã khai thác nhau, một trong số các payload mà Sysmantec quan sát được, kẻ tấn công triển khai Trojan AsyncRAT. Khi AysncRAT được thực thi, mã độc sẽ có cơ chế kiểm tra để làm khó khăn trong quá trình phân tích

Sau đó, mã độc sẽ thu thập thông tin về máy chủ bao gồm thông tin về hardware, tên người dùng, đường dẫn file thực thi, thông tin hệ thống và gửi các thông tin tới C2 server

AsyncRAT đợi nhận lệnh từ C2 server và thực thi trên máy bị ảnh hưởng

Sysmantec cũng theo dõi được các kẻ tấn công triển khai Trojan information stealer. Mã độc thu thập và đánh cắp thông tin bao gồm cookies, dữ liệu đăng nhập được lưu trên các trình duyệt như Firefox, Chorme và Edge.

Indicators of Compromise (IoCs)

e7faa6c18d4906257652253755cf8f9a739c10938db369878907f8ed7dd8524d

b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447

8e0be5e1035777f2ea373593c214d29ad146dd0453e9b8a1cad16d787c0be632

Nguồnhttps://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/follina-msdt-exploit-malware

  1. CVE và các khuyến nghị bảo mật

3.1 Microsoft Patch Tuesday – June 2022

Trong tháng 6, Microsoft đã phát hành các bản vá cho 55 CVE mới trong các sản phẩm của Microsoft Windows and Windows Components; .NET and Visual Studio; Microsoft Office and Office Components; Microsoft Edge (Chromium-based); Windows Hyper-V Server; Windows App Store; Azure OMI, Real Time Operating System, and Service Fabric Container; SharePoint Server; Windows Defender; Windows Lightweight Directory Access Protocol (LDAP); and Windows Powershell. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 51 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1 CVE-2022-30190 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability. 

CVSS v3: 7.8

Mô tả: lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Thông qua việc lừa người dùng mở các tài liệu có chứa thành phần độc hại trên các ứng dụng Microsoft Office như Word, MSDT protocol sẽ được gọi và cho phép kẻ tấn công thực hiện các các đoạn mã tùy ý. Microsoft ghi nhận lỗ hổng được nhiều nhóm tấn công sử dụng trong các chiến dịch APT

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Window 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center

3.1.2 CVE-2022-30136 – Windows Network File System Remote Code Execution Vulnerability. 

CVSS v3: 9.8

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống chạy NFS

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2019 (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

CVE-2022-30136 – Security Update Guide – Microsoft – Windows Network File System Remote Code Execution Vulnerability

3.1.3 CVE-2022-30148 – Windows Desired State Configuration (DSC) Information Disclosure Vulnerability. 

CVSS v3: 5.5

Mô tả: Lỗ hổng này cho phép kẻ tấn công có thể khôi phục và lấy được thông tin usernames và plaintext passwords từ log files đối với máy chủ sử dụng DSC (Desired State Configuration – một tính năng được tích hợp trong Powershell 4.0)

Phiên bản ảnh hưởng:

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

CVE-2022-30148 – Security Update Guide – Microsoft – Windows Desired State Configuration (DSC) Information Disclosure Vulnerability

3.2 Ứng dụng web và các sản phẩm khác 

3.2.1 CVE-2022-26134 – Critical severity unauthenticated remote code execution vulnerability.

CVSS v3: 9.8

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên máy chủ bị ảnh hưởng

Phiên bản ảnh hưởng:

Tất cả các phiên bản được hỗ trợ của Confluence Server and Data Center đều bị ảnh hưởng.

Phiên bản Confluence Server and Data Centersau 1.3.0 bị ảnh hưởng.

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html