Thông tin các mối đe dọa bảo mật trong tháng 10 – 2020

 

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1     Các mối đe dọa nâng cao – Advanced Threats

1.1     Các cuộc tấn công có chủ đích vào các tập đoàn cung cấp dầu khí tại Trung Đông

Từ tháng 7 – 2020 đến nay, đội ngũ Zscaler ThreatLabZ đã phát hiện một chuỗi các cuộc tấn công có chủ đích nhắm đến các tập đoàn cung cấp dầu khí tại Trung Đông. Các nhà phân tích đã thu thập được một loạt các mẫu file PDF độc hại được gửi đính kèm trong các email để tiến hành lây nhiễm mẫu Trojan ăn cắp thông tin, AZORult, vào các tổ chức này.

Chuỗi tấn công được bắt đầu bằng 1 email phishing được gửi từ 1 nhân viên chính thức tại ADNOC đến các nhân viên đang làm việc tại các tập đoàn cung cấp dầu khí tại Trung Đông. Mỗi email được đính kèm 1 file PDF có chứa các đường dẫn download 1 file nén ZIP tại các trang web chia sẻ file hợp pháp, như wetransfer hay mega.nz. File nén ZIP này có chứa 1 mã thực thi .NET độc hại sẽ tiến hành giải mã, tải và thực thi mã nhị phân AZORult.

Các địa chỉ email được sử dụng đều là các địa chỉ Gmail, bao gồm:

  • salessigma87@gmail.com
  • procurment.chefsfirst.com@gmail.com

Ngoài ra nhóm tấn công còn sử dụng dịch vụ email ẩn danh từ Tutanota để tạo các email keemail.me và tuta.io để phục vụ cho chiến dịch tấn công.

Đội ngũ phân tích cũng đã điều tra hệ thống máy chủ C&C mà nhóm tấn công đã sử dụng. Máy chủ C&C được sử dụng dưới domain crevisoft.net với địa chỉ IP 167.114.57.136. Có 4 domain cùng được chuyển hướng về domain này bao gồm:

  • crevisoft.net
  • cis.sh
  • crevisoft.org
  • crevisoft.co

Phân tích các kết nối mạng cho kết quả mã độc AZORult tiến hành các hoạt động đánh cắp thông tin và gửi thông tin qua 1 HTTP POST request tới địa chỉ URL: hxxp://crevisoft.net/images/backgrounds/ob/index.php

Bảng điều khiển AZORult trên máy chủ C&C có thể được truy cập qua URL: hxxp://crevisoft.net/images/backgrounds/ob/panel/admin.php

Các kỹ thuật MITRE ATT&CK được sử dụng trong chiến dịch:

ID Tactic
T1566.001 Spearphishing Attachment
T1204.002 User Execution: Malicious File
T1140 Deobfuscate/Decode Files orInformation
T1036.005 Masquerading: Match Legitimate Name orLocation
T1027.002 Obfuscated Files or Information: Software Packing
T1497 Virtualization/Sandbox Evasion
T1134.002 Access Token Manipulation: Create Process with Token
T1555.003 Credentials from Password Stores: Credentials from Web Browsers
T1140 Deobfuscate/Decode Files or Information
T1573.001 Encrypted Channel: Symmetric Cryptography
T1083 File and Directory Discovery
T1070.004 Indicator Removal on Host: File Deletion
T1105 Ingress Tool Transfer
T1057 Process Discovery
T1055.012 Process Injection: Process Hollowing
T1012 Query Registry
T1113 Screen Capture
T1082 System Information Discovery
T1016 System Network Configuration Discovery
T1033 System Owner/User Discovery
T1124 System Time Discovery
T1552.001 Unsecured Credentials: Credentials InFiles

 

1.2    Silent Librarian APT

Nhóm tấn công Silent Librarian/TA407/COBALT DICKENS đã quay trở lại hoạt động qua các chiến dịch spear phishing nhắm đến các trường học và đại học. Dựa trên số lượng nạn nhân bị tấn công, Malwarebytes cho biết nhóm này không chỉ giới hạn mục tiêu tại một số quốc gia cụ thể mà đang cố gắng mở rộng phạm vi hoạt động của mình.

Mặc dù đã có nhiều trang web phishing bị phát hiện và đánh sập, nhóm tấn công đã xây dựng đủ số lượng trang web để tiến hành thành công chiến dịch nhắm vào các nhân viên và sinh viên tại các trường.

Các tên miền mới vẫn tuân theo các mẫu cũ đã được báo cáo, ngoại trừ việc thay đổi tên miền top level. Trong chiến dịch lần này, nhóm tấn công đã sử dụng “.tk” và “.cf” TLD để thay cho “.me” TLD cũ.

Việc đăng ký các subdomains để thực hiện tấn công phishing nhắm đến các trường đại học là hành vi tấn công phổ biến của nhóm APT này, nên hoàn toàn có cơ sở để kết luận chiến dịch lần này cũng là do Silent Librarian thực hiện.

1.3    Sự quay trở lại của Ryuk

Ryuk được coi là nhóm tấn công ransomware hoạt động thành công nhất trong những năm gần đây, với việc FBI cho rằng đã có $61 triệu Đô la Mỹ đã được trả cho nhóm tính đến tháng 2 – 2020. Đầu năm nay, các hoạt động của nhóm khá yên ắng, nhưng nhóm đã quay trở lại hoạt động mạnh mẽ trong vài tuần gần đây.

Trong một cuộc tấn công mới được ghi nhận do Ryuk thực hiện, thời gian thực hiện chiến dịch chỉ kéo dài 29 giờ từ thời điểm thực thi đầu tiên của mã độc Bazar tới khi thực hiện mã hóa ransomware toàn bộ hệ thống của nạn nhân.

Cuộc tấn công được bắt đầu bằng việc sử dụng email malspam để tiến hành lây nhiễm mã độc Bazar. Sau khi thực thi, Bazar tiến hành inject vào trong các tiến trình như explorer.exe hay svchost.exe đồng thời sinh ra tiến trình cmd.exe. Mục đích của hoạt động này là để khám phá hệ thống mạng của nạn nhân qua các công cụ có sẵn trên Windows như nltestnet group, hay ứng dụng bên thứ ba như AdFind.

Quá trình discovery này được tiến hành một lần nữa vào ngày hôm sau và toàn bộ thông tin đã thu thập được gửi qua FTP đến 1 máy chủ đặt tại Nga. Sau đó, nhóm tấn công đã sử dụng nhiều phương án để thực hiện di chuyển bên trong hệ thống (laterral movement), và quyết định sử dụng một Cobalt Strike beacon chạy trên máy chủ Domain controller như là điểm điều hành chính. Đồng thời, nhóm cũng sử dụng Powershell để vô hiệu hóa Windows Defender trong môi trường của nạn nhân.

Tiếp đến, nhóm bắt đầu các hoạt động thực thi mã hóa Ryuk ransom, trước tiên tại hệ thống backup và sau đó lan truyền mã thực thi Ryuk đến toàn bộ các máy chủ còn lại qua SMB và thực thi thông qua kết nối RDP từ máy chủ Domain controller.

Toàn bộ thời gian thực hiện tấn công, như đã đề cập bên trên, chỉ là 29 giờ. Nhóm tấn công đã yêu cầu 600+ bitcoins cho việc chi trả ransomware.

1.4    Thông tin tổng quan về nhóm tấn công TA505

TA505 là một nhóm tấn công hoạt động rất tích cực với lịch sử hoạt động ít nhất là từ năm 2014. Nhóm được tin rằng nằm ở Đông Âu (nhiều khả năng là một quốc gia nói tiếng Nga).

Mô hình hoạt động của TA505 tuân theo một tuần làm việc truyền thống từ Thứ Hai đến Thứ Sáu. Nhóm liên tục chuẩn bị hết chiến dịch này đến chiến dịch khác, hầu như không để lại một hoặc hai ngày trống. Đây là một trong những nhóm tội phạm mạng bận rộn nhất nhưng cũng ồn ào nhất – do lượng thư rác lớn – tính đến năm 2020. Nhóm chủ yếu nhắm vào các doanh nghiệp trong tất cả các ngành. Nhưng cũng có những trường hợp nạn nhân được báo cáo nằm trong các cơ quan Chính phủ.

Kể từ tháng 9 năm 2020, nhóm chủ yếu tham gia vào hai hoạt động khác nhau. Đầu tiên, TA505 có thể hoạt động trong việc phát triển và cung cấp các truy cập ban đầu cho các tác nhân đe dọa khác. Các nhà phân tích đều đồng nhất là nhóm sẽ chiếm quyền truy cập vào các mạng công ty, tiến hành trinh sát ban đầu các hệ thống mạng này, có thể bao gồm các ước tính ban đầu về giá trị mục tiêu. Sau đó, nhóm sẽ bán quyền truy cập vào các mạng này tại thế giới ngầm. Cuối cùng, nhóm chuyển giao quyền truy cập mạng cho một tác nhân đe dọa thứ hai để tiếp tục hoạt động trong các mạng này. Thứ hai, TA505 có khả năng tham gia vào các hoạt động Big Game Hunting: Nhóm lấy cắp bí mật của công ty, triển khai ransomware CL0P, đòi tiền chuộc và đe dọa sẽ công bố những bí mật của công ty nếu tiền chuộc không được trả. Mặc dù có khả năng TA505 chỉ hoạt động trong việc cung cấp quyền truy cập, có một số dấu hiệu cho thấy TA505 (hoặc một nhóm nhỏ của nhóm) có thực hiện các hoạt động ransomware CL0P.

Tác nhân đe dọa này rất nguy hiểm vì TA505 dường như hoạt động trên quá trình cung cấp quyền truy cập ban đầu. Nhóm sẽ chuyển giao quyền truy cập vào các hệ thống mạng mà nhóm xâm nhập được cho các tác nhân đe dọa khác. Do đó, nạn nhân sẽ không bao giờ biết ai đang thực sự xâm phạm mạng của họ. Một tác nhân đe dọa khác được cho là hợp tác với TA505 là Lazarus/APT38. Nhóm tấn công được chính phủ hậu thuẫn này chuyên thực hiện các hoạt động gián điệp cũng như đánh cắp từ các ngân hàng. Ngoài ra, TA505 còn nguy hiểm vì khối lượng gửi thư rác của nhóm rất cao. Vào những ngày thực hiện chiến dịch lớn, một tổ chức có thể nhận được tới vài nghìn thư rác.

1.5    MontysThree

Vào mùa hè năm 2020, nhóm nghiên cứu của Kaspersky đã phát hiện ra một bộ công cụ C++ đa mô-đun chưa từng được biết đến trước đây được sử dụng trong các cuộc tấn công gián điệp công nghiệp được thực hiện từ năm 2018. Ban đầu lý do khiến đội ngũ phân tích quan tâm đến mã độc này là sự hiếm gặp, chiến dịch được nhắm mục tiêu rõ ràng và thực tế rằng không có điểm tương đồng rõ ràng nào với các chiến dịch đã biết ở code, cơ sở hạ tầng hoặc TTP. Đến nay, nhóm nghiên cứu đang coi bộ công cụ này và tác nhân đằng sau nó là một đối tượng mới. Các tác giả mã độc đặt tên cho bộ công cụ là “MT3”; theo tên viết tắt này, nhóm Kaspersky đã đặt tên cho bộ công cụ là “MontysThree”.

Mã độc này bao gồm một tập hợp các mô-đun C++ được sử dụng cho việc thiết lập persistence, lấy dữ liệu từ một bitmap với kỹ thuật ẩn giấu steganography, giải mã các tác vụ cấu hình (tạo ảnh chụp màn hình, lấy thông tin nhận dạng mục tiêu, lấy file, v.v.) và thực thi chúng, cũng như giao tiếp mạng với các dịch vụ đám mây lớn hợp pháp như Google, Microsoft và Dropbox. MontysThree được cấu hình để tìm kiếm các tài liệu Microsoft Office và Adobe Acrobat cụ thể được lưu trữ trong các thư mục tài liệu hiện tại và trên các thiết bị di động. Mã độc này sử dụng steganography tùy chỉnh và một số mã hóa: bên cạnh mã hóa dựa trên XOR tùy chỉnh, các mô-đun dựa trên thuật toán 3DES và RSA để giải mã cấu hình và giao tiếp.

MontysThree có các thành phần chứa ngôn ngữ và cấu hình tiếng Nga phù hợp để tìm kiếm các thư mục chỉ tồn tại trên các phiên bản Windows Cyrilic. Nhiều giả thuyết khác cho thấy mã độc này được phát triển bởi một nhóm tấn công nói tiếng Nga và đang nhắm mục tiêu vào các phiên bản Windows Cyrillic.

Cho đến nay, Kaspersky đang quy hoạt động này và việc sử dụng MontysThree cho một tác nhân mới. Họ cho rằng kẻ đứng sau MontysThree đều nói tiếng Nga và đang nhắm vào các mục tiêu nói tiếng Nga. Một số tên file của các file nén RAR SFX được sử dụng để phát tán mã độc được viết bằng tiếng Nga và tham chiếu đến một phòng thí nghiệm y tế của Nga, được sử dụng để lôi kéo người dùng mở file. Cấu hình XML có các trường dữ liệu và tiêu đề Windows được viết bằng tiếng Nga, cũng như các đường dẫn thư mục cụ thể tồn tại trên các phiên bản Windows Cyrilic. Nhóm cũng thấy một số lỗi ngữ pháp trong chuỗi tin nhắn log bằng tiếng Anh của mẫu mã độc.

 

2    Malware

2.1    Vòng đời của Malware Maze

Trong năm qua, Maze ransomware đã trở thành một trong những phần mềm độc hại khét tiếng đe dọa các doanh nghiệp và tổ chức lớn. Hàng chục tổ chức đã trở thành nạn nhân của phần mềm độc hại này, bao gồm LG, Southwire, …

Lịch sử của ransomware này bắt đầu vào nửa đầu năm 2019 và trở lại sau đó nó không có bất kỳ thương hiệu riêng biệt nào – ransomnote bao gồm tiêu đề “0010 System Failure 0010” và nó được các nhà nghiên cứu gọi đơn giản là ‘ChaCha ransomware’.

Ngay sau đó, các phiên bản mới của Trojan này bắt đầu tự gọi mình là Maze và sử dụng một trang web được đặt tên phù hợp cho các nạn nhân thay vì địa chỉ email chung.

2.1.1     Các tình huống lây nhiễm

Các chiến dịch malware

Chiến thuật lây nhiễm và lan tỏa của ransomware Maze ban đầu liên quan đến việc lây nhiễm qua các bộ công cụ khai thác (cụ thể là Fallout EK và Spelevo EK), cũng như qua thư rác với các tệp đính kèm độc hại. Dưới đây là ví dụ về một trong những thư rác độc hại này chứa tài liệu MS Word có macro nhằm tải xuống phần mềm ransom của Maze.

Nếu người nhận mở tài liệu đính kèm, họ sẽ được nhắc bật chế độ chỉnh sửa rồi bật nội dung. Nếu họ bị lừa để làm những điều này, macro độc hại chứa bên trong tài liệu sẽ được thực thi, do đó sẽ dẫn đến việc PC của nạn nhân bị nhiễm ransomware Maze.

2.1.2   Tổng quan về mặt kỹ thuật

Maze ransomware thường được phân phối dưới dạng tệp PE binary(EXE hoặc DLL tùy thuộc vào tình huống cụ thể) được phát triển bằng C / C ++ và được obfuscated bởi trình bảo vệ tùy chỉnh. Nó sử dụng nhiều thủ thuật khác nhau để cản trở sự phân tích, bao gồm nhập hàm API động, điều khiển làm xáo trộn luồng bằng cách sử dụng các conditional jump, thay thế RET bằng JMP dword ptr [esp-4], thay thế CALL bằng PUSH JMP và một số kỹ thuật khác.

Để chống lại phân tích động, Trojan này cũng sẽ chấm dứt các process thường được các nhà nghiên cứu sử dụng, ví dụ: procmon, procexp, ida, x32dbg, v.v.

Lược đồ mật mã được Maze sử dụng bao gồm một số cấp độ:

Để mã hóa nội dung các tệp của nạn nhân, Trojan tạo ra một cách an toàn các key và giá trị nonce duy nhất để sử dụng với mật mã luồng ChaCha;

Các key ChaCha và giá trị nonce được mã hóa bằng một public key RSA-2048 được tạo khi phần mềm độc hại được khởi chạy;

Private key RSA-2048 được mã hóa bởi public key RSA-2048 được hard-coded trong Trojan.

Khi thực thi trên một máy, Maze ransomware cũng sẽ cố gắng xác định loại PC mà nó đã nhiễm. Nó cố gắng phân biệt các loại hệ thống khác nhau (“máy chủ dự phòng”, “domain controller”, “máy chủ độc lập”, v.v.). Sử dụng thông tin này trong thông báo đòi tiền chuộc, Trojan nhằm mục đích khiến nạn nhân sợ hãi hơn nữa khi nghĩ rằng bọn tội phạm biết mọi thứ về mạng bị ảnh hưởng.

2.1.3  IOC

Hashes

2332f770b014f21bcc63c7bee50d543a

CE3A5898E2B2933FD5216B27FCEACAD0

54C9A5FC6149007E9B727FCCCDAFBBD4

8AFC9F287EF0F3495B259E497B30F39E

Nguồn: https://securelist.com/maze-ransomware/99137/?web_view=true

3    CVE và các khuyến nghị bảo mật

3.1    Microsoft Patch Tuesday – Oct 2020

– CVE-2020-16898 – Windows TCP/IP Remote Code Execution Vulnerability

– CVE-2020-16929 – Microsoft Excel Remote Code Execution Vulnerability

– CVE-2020-17023 – Visual Studio JSON Remote Code Execution Vulnerability

Đầu đủ danh sách có thể tìm được ở đây:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct

3.2   Oracle

Theo định kì các quý, Oracle công bố bài báo tổng hợp về các lỗ hổng bảo mật và các khuyến nghị của hãng

– CVE-2020-10683 – dom4j XML External Entity Injection

– CVE-2020-8174 – Vulnerability in Nodejs Affecting MySQL cluster

– CVE-2020-14872 – Vulnerability in Oracle VirtualBox

Đầu đủ danh sách có thể tìm được ở đây:

https://www.oracle.com/security-alerts/cpuoct2020traditional.html

3.3   Ứng dụng web và các sản phẩm khác

– CVE-2020-26116 – http.client in Python3 CRLF injection