THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 08 – 2022

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

  1. Các mối đe dọa nâng cao – Advanced Threats

1.1 STIFF#BIZON: Chiến dịch tấn công mới được phát hiện có thể liên kết với Konni/APT37 (Triều Tiên)

Ngày 20/07, Nhóm nghiên cứu mối đe dọa của Securonix (STR) đã theo dõi và điều tra một chiến dịch tấn công mới nhằm vào các tổ chức có giá trị cao tại Cộng hòa Séc, Ba Lan và các quốc gia khác. STR đặt tên cho chiến dịch này là STIFF # BIZON.

Dựa trên các bằng chứng mà nhóm STR thu thập được trong khi chiến dịch đang diễn ra này, attacker sử dụng một số công cụ được biết là có liên quan đến hoạt động của Konni. Phần mềm độc hại Konni được phân loại là RAT (remote access trojan) được sử dụng nhiều bởi APT37 (Triều Tiên), chứa các chức năng tích hợp để leo thang đặc quyền và duy trì kết nối trên máy nạn nhân.

Quá trình lây nhiễm bắt đầu thông qua các email lừa đảo, cố gắng dụ nạn nhân mở tệp đính kèm độc hại. Phần mềm độc hại dựa trên Konni được nhúng vào tài liệu lừa đảo dưới dạng tệp đính kèm nén. Bên trong tệp nén là các tệp “missile.docx” và “_weapons.doc.lnk”

Quá trình thực thi mã bắt đầu bằng cách nhúng các đoạn mã nhỏ vào tệp shortcut, sẽ chạy và thực thi cùng với tệp nhị phân khi người dùng nhấp đúp vào tệp đó. Sau đó, mã độc sẽ được tải xuống, thực thi và thiết lập scheduled task thực thi mã Powershell giao tiếp tới C2. Kẻ tấn công tiếp tục tải các tệp độc hại vào máy nạn nhân từ máy chủ C2.

Một số tệp độc hại có các chức năng như:

  • bat: Được sử dụng để thực thi tệp seed.bat với người dùng hiện tại hoặc thông qua thông tin xác thực người dùng/domain được mã hóa cứng trong tệp wpnprv.dll.
  • bat: Tệp này chứa các câu lệnh được sử dụng để thay thế dịch vụ Windows hợp pháp “wpcsvc” (Windows parental control service) bằng DLL wpcsvc.dll độc hại và các tệp cấu hình được mã hóa: wpcsvc.dat wpcsvc.ini
  • dll: Được sử dụng như một DLL proxy với chức năng EntryPoint là “IIIIIIII” để thực thi các lệnh tùy thuộc vào các tham số. Ví dụ: cmd /c rundll32 “C:\Users\username\AppData\Local\Temp\wpnprv.dll”, IIIIIIII 4 “cmd /c del /f /q C:\Windows\system32\wpcsvc.dll”
  • dll, wpcsvc.dat, wpcsvc.ini: Bao gồm một số chức năng nhưng chủ yếu được sử dụng để:
  • Ngừng wpcsvc
  • Sao chép Wpcsvc.dll, wpcsvc.dat, wpcsvc vào thư mục System32
  • Sửa đổi, tạo binpath, mô tả và cài đặt dịch vụ tự động khởi động
  • Thêm dịch vụ wpcsvc khởi chạy từ tiến trình SVCHOST.EXE
  • Khởi động lại dịch vụ wpcsvc

Hình 1: Luồng tấn công

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566.001 Phishing: Spearphishing Attachment
Execution T1059.01 PowerShell
Execution T1059.03 Windows Command Shell
Execution T1059.005 Visual Basic
Execution T1053.005 Scheduled Task
Execution T1569.002 Service Execution
Execution T1204.002 Malicious File
Persistence T1543.003 Windows Service
Persistence T1053.005 Scheduled Task
Privilege Escalation T1134.001 Token Impersonation/Theft
Privilege Escalation T1543.003 Windows Service
Defense Evasion T1548.002 Bypass User Account Control
Defense Evasion T1134.001 Token Impersonation/Theft
Defense Evasion T1070.004 File Deletion
Defense Evasion T1027.005 Indicator Removal from Tools
Credential Access T1555.003 Credentials from Web Browsers
Credential Access T1606.001 Web Cookies
Credential Access T1539 Steal Web Session Cookie
Discovery T1082 System Information Discovery
Discovery T1057 Process discovery
Discovery T1007 System Service Discovery
Discovery T1033 System Owner/User Discovery
Collection T1560.003 Archive via Custom Method
Collection T1113 Screen Capture
Collection T1119 Automated Collection
Command and Control T1071.001 Web Protocols
Command and Control T1132.001 Standard Encoding
Command and Control T1105 Ingress Tool Transfer
Exfiltration T1041 Exfiltration Over C2 Channel
Exfiltration T1020 Automated Exfiltrated

Indicators of Compromise (IoCs)

Files / hash SHA 256

07b10c5a772f6f3136eb58a7034bcb5ce71c0c740aaa528d3bae318d939b2242

5d28072d76bd6af944fcec8045cbc24410a58fe70eef6f83c50934245ec92e60

b9727fb553894d857900c0a18f82723659d136329ef56bbe9388905a666f1197

12df9753abd867118ce97e6570c2bde780c7913ecab4b91ef7f540c4fede2772

6f325fb0a7de6f05490f1eb3c0e5826a44a11ed2dee4c17f486b8200f539d49e

35d38eed9168c16d2dd595fa9542a411080d12de971ea3d3c12dd5c44e454049

31a9801e5e2e5fd7f66f23bc8456069b6a958e03838e431ccf7d84867f88c840

5fce9f27326549cc6091ba1f806e7c161878a2642411a941ba484b0c1c7adb8f

9f27430ed919e74c81b0487542fe29a65a0b860a6a290e3b032f3a5ba7c691bc

b6987a717741329d5b64f769c9d3f1f572b42c7375dd841aecbf2b6d4096d6de

dee7826f5b7f0cbc97a81de8f6844a011cc836269bc5d00a0594dfec5386613c

44566d506e0348c999a66ee5158b0014a74bdd3f038e40ca76e5b069b8991f85

9c82477eac14abfb7f507806a941e4e5633dd07c4b73a44b10296ec28e3df162

5f3483823342318c4154bbef806cec2187a0360f079237a456603896ff7f5473

C2 Domain

185.176.43.106

547857.c1.biz

65487.c1.biz

Nguồn tham khảo: https://www.securonix.com/blog/stiffbizon-detection-new-attack-campaign-observed/

1.2 APT-C-35:Cập nhật chuỗi lây nhiễm mới với công cụ được nâng cấp

Ngày 11/08/2022, Nhóm nghiên cứu mối đe dọa của Morphisec đã theo dõi hoạt động của nhóm DoNot (còn gọi là APT-C-35) và tiết lộ thông tin chi tiết về những cập nhật mới nhất trong các phần mềm gián điệp của chúng, hay còn gọi là YTY, Jaca.

Nhóm tấn công chủ yếu nhắm vào các tổ chức ở Ấn Độ, Pakistan, Sri Lanka, Bangladesh và các quốc gia Nam Á khác. Tập trung vào các tổ chức chính phủ và quân đội, bộ ngoại giao và đại sứ quán.

Nhằm khởi tạo truy cập ban đầu vào hệ thống của nạn nhân, DoNot sử dụng các email lừa đảo có chứa các tệp đính kèm độc hại. Bên trong các tệp đính kèm có các tệp tin tài liệu độc hại sử chứa macro; tệp tin định dạng RTF khai thác lỗ hổng Equation Editor hoặc sử dụng kỹ thuật template injection.

Hình 2: Luồng tấn công

Chiến dịch email lừa đảo mới nhất của DoNot sử dụng các tài liệu RTF và nhắm mục tiêu vào các cơ quan chính phủ, bao gồm cả lĩnh vực quốc phòng của Pakistan. Khi người dùng mở tài liệu RTF payload mới được tải từ C2 bằng cách gửi một request HTTP GET theo format: <domain> / <X> / <Y> .php. Nếu User-Agent của request đó không chứa MSOffice, C2 trả về một tài liệu giả mạo có nội dung trống. Nếu tồn tại chuỗi MSOffice, mã độc sẽ tải xuống và injects một tài liệu chứa mã macro. Kỹ thuật này có thể đánh lừa giải pháp bảo mật cố gắng quét URL mà không có tiêu đề User-Agent MSOffice.

Khi macro được bật, hàm Document_open() sẽ thực thi và bắt đầu bằng vòng lặp for nhằm trì hoãn việc thực thi mã độc hại, sau đó gọi hàm thích hợp dựa trên kiến trúc của hệ thống bị ảnh hưởng Winword.exe (32-bit hoặc 64-bit). Hàm này chèn shellcode vào bộ nhớ tiến trình và gọi nó. Trước khi thực thi payload, shellcode tự giải mã bản thân thông qua toán tử not, sau đó xor với giá trị 0x2B.

Tiếp theo, shellcode tải xuống một payload mới (payload này đã bị mã hóa) từ C2: <domain> / <X> / <Y> <Z> .ico (đối với kiến trúc 32-bit) hoặc <domain> / <X> / <Y> <Z > .png (đối với kiến trúc 64-bit) và giải mã nó. Cách thức giải mã payload mới tương tự như payload trước đó, payload sau khi giải mã sẽ được thực thi ở giai đoạn tiếp theo.

Shellcode tải và thực thi DLL chính. DLL này chịu trách nhiệm thông báo lại với máy chủ C2 rằng quá trình lây nhiễm đã thành công và tải xuống thành phần tiếp theo phục vụ cho mục đích gián điệp đánh cắp dữ liệu.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566.001 Phishing: Spearphishing Attachment
Execution T1204.002 User Execution: Malicious File
Execution T1059.005 Visual Basic
Execution T1059.03 Windows Command Shell
Execution T1047 Windows Management Instrumentation
Persistence T1053.005 Scheduled Task
Defense Evasion T1221 Template Injection
Defense Evasion T1027 Obfuscated Files or Information
Credential Access T1555.003 Credentials from Web Browsers
Discovery T1007 System Service Discovery
Discovery T1082 System Information Discovery
Collection T1113 Screen Capture
Collection T1056.001 Input Capture: Keylogging
Collection T1025 Data from Removable Media
Collection T1185 Browser Session Hijacking
Command and Control T1105 Ingress Tool Transfer
Command and Control T1132.001 Standard Encoding
Command and Control T1102 Web Service

Indicators of Compromise (IoCs)

Files / hash SHA 256

486f772d81a3b90ba76617fd5f49d9ca99dac1051a9918222cfa25117888a1d5

d566680ca3724ce242d009e5a46747c4336c0d3515ad11bede5fd9c95cf6b4ce

28c71461ac5cf56d4dd63ed4a6bc185a54f28b2ea677eee5251a5cdad07077b8

9761bae130d40280a495793fd639b2cb9d8c28ad7ac3a8f10546eb3d2fc3eefc

41c221c4f14a5f93039de577d0a76e918c915862986a8b9870df1c679469895c

2c84b325b8dc5554f216cb6a0663c8ff5d725b2f26a5e692f7b3997754c98d4d

a70038cdf5aea822d3560471151ce8f8bacd259655320dea77d48ccfa5b5af4f

d3a05cb5b4ae4454079e1b0a8615c449b01ad65c5c3ecf56b563b10a38ecfdef

d71fa80d71b2c68c521ed22ffb21a2cff12839348af6b217d9d2156adb00e550

7fc0e9c47c02835ecbbb63e209287be215656d82b868685a61201f8212d083d9

6e7b6cc2dd3ae311061fefa151dbb07d8e8a305aed00fa591d5b1cce43b9b0de

90cb497cad8537da3c02be7e8d277d29b78b53f78d13c797a9cd1e733724cf78

93ca5ec47baeb7884c05956ff52d28afe6ac49e7aba2964e0e6f2514d7942ef8

9b2ef052657350f5c67f999947cf8cd6d06a685875c31e70d7178ffb396b5b96

80f2f4b6b1f06cf8de794a8d6be7b421ec1d4aeb71d03cccfc4b3dfd1b037993

f0c1794711f3090deb2e87d8542f7c683d45dc41e4087c99ce3dca4b28a9e6f6

5ebee134afe192cdc7fc5cc9f83b8273b6f282a6a382c709f2a21d26f532b2d3

C2 Domain

worldpro.buzz

ser.dermlogged.xyz

doctorstrange.buzz

clipboardgames.xyz

beetelson.xyz

tobaccosafe.xyz

kotlinn.xyz

fitnesscheck.xyz

dayspringdesk.xyz

srvrfontsdrive.xyz

globalseasurfer.xyz

esr.suppservices.xyz

Nguồn tham khảo: https://blog.morphisec.com/apt-c-35-new-windows-framework-revealed

1.3 Shuckworm: Tổ chức liên kết với Nga duy trì các hoạt động gián điệp nhằmvào Ukraine

Ngày 15/08/2022, nhóm nghiên cứu của Symantec đã tiết lộ những hoạt động gần đây của Shuckworm nhắm vào Ukraine với mục tiêu đánh cắp thông tin. Shuckworm (hay còn gọi là Gamaredon, Armageddon) là một nhóm liên kết với Nga và hầu như chỉ tập trung hoạt động vào Ukraine kể từ lần đầu tiên xuất hiện vào năm 2014. Đây được coi là một hoạt động gián điệp do nhà nước bảo trợ.

Hoạt động đáng ngờ đầu tiên mà Symantec phát hiện trên hệ thống nạn nhân là một tệp 7-Zip tự giải nén, được tải xuống thông qua trình duyệt mặc định của hệ thống. Sau đó, mshta.exe đã tải xuống một tệp XML, tệp này có khả năng giả mạo là tệp ứng dụng HTML (HTA). Sau khi tệp XML được tải xuống, tệp PowerShell được thực thi nhằm đánh cắp thông tin trên máy nạn nhân.

Hai tệp VBS có các từ “juice” và “justice” trong tên tệp cũng được phát hiện trên máy nạn nhân. Phân tích cho thấy đây là Backdoor.Pterodo, một công cụ nổi tiếng của Shuckworm mà Symantec đã viết blog về đầu năm nay . Các tập lệnh này có khả năng gọi PowerShell, tải lên ảnh chụp màn hình và cũng có thể thực thi mã được tải xuống từ máy chủ C2 của kẻ tấn công.

Một backdoor được phát hiện trên hệ thống nạn nhân có tên 4896.exe . Backdoor này có nhiều tính năng, bao gồm:

  • Ghi lại âm thanh bằng micrô
  • Chụp ảnh màn hình
  • Ghi nhật ký các tổ hợp phím
  • Tải xuống và thực thi các tệp .exe hoặc tải xuống và tải các tệp DLL

Các công cụ RDP hợp pháp như Ammyy Admin và AnyDesk đều bị những kẻ tấn công tận dụng để truy cập từ xa.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566.001 Phishing: Spearphishing Attachment
Execution T1059.001 Command and Scripting Interpreter: PowerShell
Execution T1059.005 Command and Scripting Interpreter: Visual Basic
Defense Evasion T1218.005 System Binary Proxy Execution: Mshta
Collection T1123 Audio Capture
Collection T1113 Screen Capture
Collection T1056.001 Input Capture: Keylogging
Command and Control T1105 Ingress Tool Transfer
Exfiltration T1041 Exfiltration Over C2 Channel

Indicators of Compromise (IoCs)

Thông tin IoCs chi tiết tại liên kết: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/russia-ukraine-shuckworm

  1. Malware

2.1 Phân tích mẫu mã độc sử dụng bởi nhóm APT-C-35

Thông qua hình thức sử dụng email phishing đính kèm tệp tin tài liệu độc hại, mã độc được khởi tạo trên máy nạn nhân. Sau quá trình khởi tạo truy cập, các giai đoạn tiếp theo thông qua shellcode thực thi các DLL nhằm tạo kết nối tới C2 server và tải xuống thêm các payload mới

Phân tích DLL pgixedfxglmjirdc.dll

Mã độc export 2 hàm Qoltyfotskelo và Yolueorgw. Hàm export Qoltyfotskelo thực hiện các nhiệm vụ sau:

  • Cấu hình persistence lập lịch thực thi dll độc hại bằng tiến trình rundll32 thông qua Scheduled Task
  • Kiểm tra các phần mềm antivirus trên máy nạn nhâm

Hàm export Yolueorgw thực hiện các nhiệm vụ:

  • Tạo mutex, sử dụng WMI nhằm truy vấn các phần mềm ảo hóa như VM
  • Thu thập thông tin hệ thống như tên máy, tên người, hệ điều hành, phiên bản cài đặt, processor ID

Sau quá trình này, mã độc mã hóa các dữ liệu và gửi lại cho C2 server. Dữ liệu đầu tiên gửi đến server dưới dạng POST request tới đường dẫn được nhúng trong binary. Nội dung chứa thông tin sau:

Name: CPU Name>Caption: OS Version>Build: Build Number V:|||Username-ComputerName-ProcessorId||||||O|||3|||Folder #1 Name?Folder #2 Name

Tùy thuộc vào việc phản hồi từ phía C2 server, malware sẽ tải xuống thêm payload mới hoặc không. Để tải thêm payload mới, mã độc sẽ gửi POST request với đường dẫn khác theo format

Username-ComputerName-ProcessorId|||Next stage DLL name

Để thực thi DLL mới ở giai đoạn tiếp theo, mã độc sẽ tạo lập lịch khác thông qua scheduled task và sử dụng file .bat để xóa bỏ các lập lịch cũng như tiến trình độc hại trước đó

Phân tích downloader WavemsMp.dll

Ở giai đoạn này, downloader thực hiện nhiệm vụ chính là tải xuống và thực thi các modules mới được sử dụng nhằm lấy cấp thông tin người dùng. Để xác định module nào được sử dụng, mã độc sẽ giao tiếp với C2 server để lấy thông tin về URL. Các địa chỉ Url này được mã hóa và đặt trong tài liệu của Google Drive

Thông tin về các module được sử dụng sẽ được phân tích bằng ký tự “|” (pipeline) theo cú pháp sau:

Module name>Module size>Should download?>Export name to execute>Additional parameters

Hình ảnh bên dưới mô tả các module và cách thức giao tiếp, trong đó:

ieflagUl.dll—File uploader module which uploads the modules’ output

ieflagSp.dll—Screenshot module

ieflagTr.dll—File collection module

ieflagUsd.dll—Removable disk file collection module

ieflagBr.dll—Browser information stealer module

ieflagRvso.dll—Reverse shell module 

Indicators of Compromise (IoCs)

Docs

d566680ca3724ce242d009e5a46747c4336c0d3515ad11bede5fd9c95cf6b4ce

28c71461ac5cf56d4dd63ed4a6bc185a54f28b2ea677eee5251a5cdad07077b8

9761bae130d40280a495793fd639b2cb9d8c28ad7ac3a8f10546eb3d2fc3eefc

41c221c4f14a5f93039de577d0a76e918c915862986a8b9870df1c679469895c

Components (DLLs and EXEs)

2c84b325b8dc5554f216cb6a0663c8ff5d725b2f26a5e692f7b3997754c98d4d

a70038cdf5aea822d3560471151ce8f8bacd259655320dea77d48ccfa5b5af4f

d3a05cb5b4ae4454079e1b0a8615c449b01ad65c5c3ecf56b563b10a38ecfdef

d71fa80d71b2c68c521ed22ffb21a2cff12839348af6b217d9d2156adb00e550

7fc0e9c47c02835ecbbb63e209287be215656d82b868685a61201f8212d083d9

6e7b6cc2dd3ae311061fefa151dbb07d8e8a305aed00fa591d5b1cce43b9b0de

90cb497cad8537da3c02be7e8d277d29b78b53f78d13c797a9cd1e733724cf78

93ca5ec47baeb7884c05956ff52d28afe6ac49e7aba2964e0e6f2514d7942ef8

9b2ef052657350f5c67f999947cf8cd6d06a685875c31e70d7178ffb396b5b96

80f2f4b6b1f06cf8de794a8d6be7b421ec1d4aeb71d03cccfc4b3dfd1b037993

f0c1794711f3090deb2e87d8542f7c683d45dc41e4087c99ce3dca4b28a9e6f6

5ebee134afe192cdc7fc5cc9f83b8273b6f282a6a382c709f2a21d26f532b2d3

Domains

worldpro[.]buzz

ser.dermlogged[.]xyz

doctorstrange[.]buzz

clipboardgames[.]xyz

beetelson[.]xyz

tobaccosafe[.]xyz

kotlinn[.]xyz

fitnesscheck[.]xyz

dayspringdesk[.]xyz

srvrfontsdrive[.]xyz

globalseasurfer[.]xyz

esr.suppservices[.]xyz

Nguồn tham khảo: https://blog.morphisec.com/apt-c-35-new-windows-framework-revealed

2.2 Phân tích Loader Bumblebee 

Gần đây, các chuyên gia nghiên cứu ở ProofPoint phát hiện một loại loader mới có tên Bumblebee. Kẻ tấn công sử dụng loader nhằm mục đích tải xuống và thực thi thêm các mã độc khác trên máy nạn nhân như CobaltStrike beacons hoặc Meterpreter shell

Kẻ tấn công sử dụng các file ISO độc hại bên trong có chứa DLL ẩn được đặt tên ngẫu nhiên và file LNK. File LNK chứa liên kết tới file thực thi

Phân tích mẫu f98898df74fb2b2fad3a2ea2907086397b36ae496ef3f4454bf6b7125fc103b8

DLL export 2 hàm IternalJob và SetPath, cả hai hàm export này đều xử lý hàm sub_180004AA0()

 

Hàm sub_180004AA0 bao gồm các hàm con như hình ảnh dưới:

Mỗi hàm con thực hiện các nhiệm vụ khác nhau, như sau:

  • sub_180003490: bên trong hàm này xử lý 2 hàm khác
  • sub_1800021D0: thực hiện cấp phát bộ nhớ heap
  • sub_1800029BC: Ghi vùng dữ liệu trong DLL vào phân vùng bộ nhớ heap vừa được cấp phát
  • sub_180002FF4: Thực hiện cấp phát vùng nhớ heap mới, truyền payload được xử lý trước đó vào vùng nhớ mới và thu hồi lại vùng nhớ được cấp phát trước đó
  • sub_180004180: bên trong xử lý 3 hàm con khác
  • sub_180001670: Cấp phát nhiều vùng nhớ trong heap.
  • sub_180003CE4: unpacked MZ file vào một trong số các vùng nhớ đã được cấp phát trước đó ở hàm sub_180001670
  • sub_180001A84:  hàm có nhiệm vụ thu hồi vùng nhớ đã cấp phát
  • sub_180001000: sử dụng kỹ thuật inline-hooking để hook vào một số hàm được export từ ntdll.dll
  • sub_1800013A0: sử dụng hàm API LoadLibraryW để load DLL và gọi hàm GetProcAddress() để lấy địa chỉ của các hàm cần sử dụng trong DLL.

Sau các quá trình trên, payload chính sẽ tạo một luồng (thread) mới và thực thi. Hàm sub_180008EC0 làm các nhiệm vụ chính sau:

  • Kiểm tra môi trường mà mã độc Bumblebee đang thực thi, nếu giá trị trả về là True (chạy trong môi trường sandbox), mã độc sẽ tự thoát thông qua hàm ExitProcess. Mã độc kiểm tra thông qua các tiến trình, các username hay được sử dụng trong môi trường sandbox hoặc các thư viện, drivers được sử dụng bởi ứng dụng VM

  • Sau khi kiểm tra, nếu môi trường đang chạy không phải VM, mã độc tạo Event ID là 3C29FEA2-6FE8-4BF9-B98A-0E3442115F67 nhằm đồng bộ hóa thread

  • Tạo persistence sử dụng wscript.exe để thực thi mã độc mỗi khi người dùng đăng nhập vào hệ thống

  • Mã độc sử dụng thêm quyền SeDebugPrivilege nhằm thực hiện đọc/ghi tùy ý

  • Quét các tiến trình đang đang chạy trong hệ thống, lựa chọn ngẫu nhiên tiến trình để inject DLL độc hại

  • Địa chỉ C2 được hardcode trong payload. Mã độc sử dụng WMI để thu thập thông tin của nạn nhân và gửi thông tin đến C2. C2 phân biệt các người dùng bị lây nhiễm dựa theo ID. User-agent được sử dụng để giao tiếp với C2 là “bumblebee”. C2 server phản hồi lại theo format {“response_status”:  ,”tasks”: }

Trong đó trường task có thể là các commands sau:

Command Mô tả
dex Download file thực thi
sdl Kill Loader
ins Persistence
dij DLl inject

 

Indicators of Compromise (IoCs)

DLL

f98898df74fb2b2fad3a2ea2907086397b36ae496ef3f4454bf6b7125fc103b8

C2

45.147.229.23:443

Nguồn tham khảo: https://cloudsek.com/technical-analysis-of-bumblebee-malware-loader/

  1. CVE và các khuyến nghị bảo mật

3.1 Microsoft Patch Tuesday – August 2022

Trong tháng 8, Microsoft đã phát hành các bản vá cho 121 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure Batch Node Agent, Real Time Operating System, Site Recovery; Microsoft Dynamics; Microsoft Edge (Chromium-based); Exchange Server; Office and Office Components; PPTP, SSTP, and Remote Access Service PPTP; Hyper-V; System Center Operations Manager; Windows Internet Information Services; Print Spooler Components và Windows Defender Credential Guard. Trong đó có 17 lỗ hổng được đánh giá mức độ Nghiêm trọng, 102 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1 CVE-2022-21980/24516/24477 – Microsoft Exchange Server Elevation of Privilege Vulnerability

CVSS v3: 8.0/10

Mô tả: Lỗ hổng leo thang đặc quyền cho phép kẻ tấn công có thể đọc được các hộp thư của người dùng sử dụng Exchange. Lỗ hổng cũng cho phép gửi emails hoặc download các file đính kèm từ bất kỳ hộp thư nào khác trên máy chủ Exchange

Phiên bản ảnh hưởng:

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Microsoft Exchange Server 2016 Cumulative Update 22

Microsoft Exchange Server 2019 Cumulative Update 11

Microsoft Exchange Server 2013 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477

3.1.2 CVE-2022-34713 – Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability

CVSS v3: 7.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Thông qua việc lừa người dùng mở các tài liệu có chứa thành phần độc hại trên các ứng dụng Microsoft Office như Word, MSDT protocol sẽ được gọi và cho phép kẻ tấn công thực hiện các các đoạn mã tùy ý. Microsoft ghi nhận lỗ hổng được nhiều nhóm tấn công sử dụng trong các chiến dịch APT

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34713

 

3.1.3 CVE-2022-34715 – Windows Network File System Remote Code Execution Vulnerability

CVSS v3: 9.0/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống chạy NFS.

Phiên bản ảnh hưởng:

Windows Server 2022 (Server Core installation)

Windows Server 2022

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34715

 

3.2 Ứng dụng web và các sản phẩm khác 

3.2.1 CVE-2022-31656 – Authentication Bypass Vulnerability

CVSS v3: 9.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực (authentication bypass) truy cập vào giao diện quản lý.

Phiên bản ảnh hưởng:

VMware Workspace ONE Access (Access)

VMware Workspace ONE Access Connector (Access Connector)

VMware Identity Manager (vIDM)

VMware Identity Manager Connector (vIDM Connector)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manage

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

3.2.2 CVE-2022-37042 – Authentication Bypass in MailboxImportServlet

CVSS v3: 9.0/10

Mô tả: Lỗ hổng trong Zimbra phiên bản 8.8.15 và 9.0 do tồn tại chức năng cho phép nhận các file ZIP và extract các file ZIP. Kẻ tấn công lợi dụng để tải lên các tệp tùy ý lên hệ thống bị ảnh hưởng mà không cần xác thực. Mã khai thác đã được public trên Internet

Phiên bản ảnh hưởng:

Zimbra trước phiên bản 8.8.15P33 và 9.0P26

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P26

https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.15/P33