Thông tin các mối đe dọa bảo mật trong tháng 11 – 2020

 

Hàng tháng, Chúng tôi – GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1      Các mối đe dọa nâng cao – Advanced Threats

1.1     OceanLotus – APT 32

Mở rộng chiến dịch gián điệp mạng thông qua các trang web giả mạo

Từ đầu năm đến nay, Volexity đã phát hiện nhiều trang web tin tức tiếng Việt có dấu hiệu bị xâm nhập và chiếm quyền bởi OceanLotus. Những trang web này được sử dụng để tải lên các web profiling framework của OceanLotus với mục đích thu thập thông tin của những người truy cập, và trong một vài trường hợp, có cả lây truyền malware.

Tuy nhiên, qua quá trình điều tra sâu hơn, Volexity xác nhận những trang web đó không phải bị chiếm quyền mà thay vào đó, chúng được tạo ra và điều hành bởi chính nhóm APT32 – OceanLotus. Mỗi website có một mức độ xây dựng khác nhau, đa dạng từ chủ đề, nội dung, đến việc tinh chỉnh hình ảnh và khẩu hiệu (slogan). Tất cả các trang web này đều là các trang tin tức và bao gồm một số lượng lớn các nội dung tin tức thuần túy, không chứa các đường dẫn chuyển hướng hay các profiling độc hại. Thay vào đó, chỉ có một số bài báo cụ thể trong mỗi trang web có chứa các nội dung độc hại.

Volexity tin rằng các nạn nhân bị tấn công thông qua các trang web này theo 2 cách. Cách thứ nhất là thông qua các profiling frameworks tồn tại trên nhiều trang dùng để xác định và đánh giá thông tin về những người dùng truy cập website một cách tình cờ. Cách thứ hai là tấn công các nạn nhân được nhắm mục tiêu cụ thể, thông qua việc gửi các đường dẫn đến các bài tin tức có chứa malware thông qua spear phishing và các tin nhắn mạng xã hội.

Khi người dùng truy cập một trang có chuỗi lây nhiễm (infection chain) ở trên đó, các đoạn mã Javascript độc hại sẽ được tải. Quá trình thực thi của các đoạn mã này có thể khác nhau giữa các trang khác nhau nhưng nhìn chung sẽ có 2 phần chính:

  1. Một đoạn script để bắt và lưu trữ thông tin về người dùng đang truy cập
  2. Đoạn script thứ hai nhắm đến việc tải xuống các tài liệu hay bản cập nhật phần mềm giả mạo. Quá trình chính xác của việc tải xuống malware đôi khi được cấu hình dựa trên nội dung và trình duyệt của người dùng.

Có thể thấy rằng OceanLotus vẫn đang tiếp tục phát triển các phương thức mới để tấn công các nạn nhân bên cạnh việc sử dụng các chiến dịch spear phishing và các trang web bị nhóm xâm nhập và chiếm quyền. Việc tạo ra và duy trì các trang web tin tức,  với mục đích tạo sự hiện diện trực tuyến lớn hơn trong đó chuỗi tấn công có thể được kiểm soát hoàn toàn, không phải là một phương pháp tấn công thường thấy. Điều này cho thấy OceanLotus sẵn sàng bỏ nhiều công sức để mở rộng phạm vi tiếp cận và tìm ra những cách thức mới để tấn công các nạn nhân của nhóm.

1.2    OceanLotus – APT32

Chiến dịch malware mới nhắm vào Chính phủ Cam-pu-chia

Nhóm nghiên cứu Insikt Group của Recorded Future đã khám phá ra một chiến dịch malware mới nhắm vào Chính phủ Cam-pu-chia sử dụng các hoạt động spear phishing với chủ đề liên quan đến ASEAN. Insikt Group xác định các hoạt động và cơ sở hạ tầng mới trong chiến dịch này thuộc về nhóm APT32, hay còn được gọi là OceanLotus.

Vào tháng 6 – 2020, Insikt Group thông báo đã phát hiện một mạng lưới cơ sở hạ tầng mới của nhóm APT32 thông qua việc theo dõi các hoạt động của các malware liên quan đến nhóm, như METALJACK và DenisRAT. Với cùng phương thức đó, Insikt Group tiếp tục phát hiện thêm các địa chỉ IP và domain mới liên quan đến APT32.

Các nhà nghiên cứu của Insikt đã phát hiện một vài mẫu là một phần của chiến dịch malware này:

Sample 1: Mẫu đầu tiên được lây truyền qua một tài liệu độc hại có tiêu đề là “បញ្ជីរាយនាមអនុព័ន្ធយោធាបរទេសនិងការិយាល័យសហប្រតិបត្តិការយោធាប្រចាំកម្ពុជា.docx~[.]exe”, dịch sang tiếng Anh là “List of Foreign Military Attachments and Office of Military Cooperation in Cambodia.docx~[.]exe”. Mẫu này là 1 file nén có khả năng tự giải nén (SFX) bao gồm 4 file:

  1. 1 file thực thi hợp pháp được ký bởi Apple (SoftwareUpdate.exe).
  2. 1 file DLL sạch có liên quan (SoftwareUpdateFile.dll).
  3. 1 file DLL độc hại (SoftwareUpdateFilesLocalized.dll).
  4. 1 file “SoftwareUpdateFiles.locale” có chứa shellcode được mã hóa.

Quá trình thực thi của file SFX bao gồm: file thực thi của Apple sẽ tải file DLL sạch trước khi tải file DLL độc hại, được lưu trong đường dẫn SoftwareUpdateFiles.Resources/en.lproj. File DLL độc hại sau đó giải nén shellcode được mã hóa từ file SoftwareUpdateFile.locale, giải mã và thực thi shellcode, đồng thời hiển thị tài liệu lên cho người dùng (tài liệu Microsoft Word sẽ hiển thị lỗi “activation error”), trước khi tải mã khai thác cuối cùng.

Quá trình này giống với các hoạt động trước đây của APT32 đã được báo cáo bởi Insikt Group và Ahnlab về một mẫu khác liên quan đến Hội nghị ASEAN 2020.

Sample 2: Mẫu thứ 2, file SFX có tiêu đề “9_Programme_SOMCA-Japan_FINAL.docx~.exe”, liên quan đến Hội nghị các quan chức cấp cao ASEAN về Văn hóa và Nghệ thuật (SOMCA), thể hiện APT32 tiếp tục nhắm đến mục tiêu là ASEAN và các thành viên.

Mẫu này có quá trình tải và thực thi cũng tương tự như mẫu đầu tiên, và có kết nối với 1 trong các C2 domains đã được phát hiện, cloud.bussinesappinstant[.]com.

Nhóm nghiên cứu cũng đã phát hiện thêm 1 số bằng chứng về 1 số địa chỉ IP thuộc 1 tổ chức chính phủ Cam-pu-chia thường xuyên có kết nối đến địa chỉ C2 IP của APT32 là 43.254.132[.]212.

1.3    Một nhóm APT Trung Quốc mới tấn công Chính phủ các nước Đông Nam Á

Khi theo dõi hoạt động của các nhóm APT ở khu vực châu Á, các nhà nghiên cứu của Bitdefender đã tìm thấy dấu hiệu của một cuộc tấn công gián điệp phức tạp và có chủ đích nhằm vào các nạn nhân là các tổ chức chính phủ ở Đông Nam Á, do một nhóm APT tinh vi của Trung Quốc thực hiện, dựa trên một số dấu hiệu bằng chứng còn sót lại. Hoạt động được tiến hành trong ít nhất một vài năm, vì những dấu hiệu sớm nhất cho thấy khả năng bị xâm phạm là từ cuối năm 2018. Trong khi bằng chứng điều tra hiện tại cho thấy tiến trình của cuộc tấn công kéo dài đến năm 2020, một số lượng lớn máy chủ C&C đã không còn hoạt động. Mặc dù vậy, vẫn có 1 số ít máy chủ C&C được phát hiện vẫn đang hoạt động.

Cuộc tấn công sử dụng một bộ vũ khí phức tạp và đầy đủ bao gồm các droppers, backdoors và các công cụ khác như backdoor ChinoxyPCShare RAT và các mã backdoor nhị phân FunnyDream, với các bằng chứng cho thấy thuộc về một nhóm APT Trung Quốc tinh vi. Một vài mẫu RATs mã nguồn mở đã được biết là xuất xứ từ Trung Quốc. Mẫu backdoor FunnyDream có độ phức tạp cao hơn nhiều so với những mẫu khác, thực hiện một loạt các cơ chế để cài đặt persistence và một số lượng lớn các droppers, cho thấy nó được thiết kế và tinh chỉnh riêng.

Các dấu hiệu tấn công sớm nhất được phát hiện từ tháng 11 năm 2018, sau đó là sự gia tăng hoạt động của nhóm APT Trung Quốc bắt đầu từ đầu năm 2019. Bắt đầu từ đó, trong khoảng năm tháng, đã có khoảng 200 hệ thống đã có dấu hiệu có nhiều công cụ APT khác nhau được triển khai bên trong. Một số bằng chứng cho thấy nhóm tấn công có thể đã tìm cách chiếm quyền máy chủ Domain controllers trong hệ thống mạng của nạn nhân, cho phép những kẻ tấn công di chuyển trong mạng và có khả năng giành quyền kiểm soát một số lượng lớn máy từ cơ sở hạ tầng đó.

Kết quả điều tra cũng chỉ ra rằng nhóm tấn công đã cố gắng duy trì persistence trong mạng lưới nạn nhân càng lâu càng tốt, từ đó theo dõi hoạt động của họ và thu thập thông tin tình báo.

1.4    Cicada – APT10

Symantec đã phát hiện một chiến dịch tấn công quy mô lớn nhắm vào nhiều công ty Nhật Bản, bao gồm các công ty con ở 17 khu vực trên toàn cầu trong một hoạt động thu thập thông tin tình báo.

Các công ty thuộc nhiều lĩnh vực bị nhắm mục tiêu trong chiến dịch này, bao gồm những công ty hoạt động trong lĩnh vực ô tô, dược phẩm và kỹ thuật, cũng như các nhà cung cấp dịch vụ quản lý (MSP).

Quy mô và mức độ tinh vi của chiến dịch tấn công này chỉ ra rằng đây là chiến dịch được thực hiện bởi một nhóm APT lớn và có nguồn lực tốt, và Symantec cũng phát hiện ra đủ bằng chứng để gán nó cho Cicada (hay còn gọi là APT10Stone Panda , Cloud Hopper). Cicada đã tham gia vào các hoạt động gián điệp từ năm 2009 và các quan chức chính phủ Hoa Kỳ đã liên kết các hoạt động của APT10Sysmantec gọi là Cicada, với chính phủ Trung Quốc.

Chiến dịch này đã diễn ra từ ít nhất là giữa tháng 10 năm 2019, cho đến đầu tháng 10 năm 2020, với việc nhóm tấn công hoạt động trên mạng của một số nạn nhân trong gần một năm. Chiến dịch có phạm vi rất rộng, với số lượng lớn nạn nhân ở nhiều khu vực trên toàn thế giới. Các công ty bị tấn công đều là các tổ chức lớn, nổi tiếng, nhiều trong số đó có liên kết với Nhật Bản hoặc các công ty Nhật Bản, đây là một trong những yếu tố chính giúp nhóm các nạn nhân lại với nhau. Cicada được biết đến là tập trung mạnh vào các tổ chức của Nhật Bản trong các chiến dịch tấn công trước đây.

Những công cụ, chiến thuật, kỹ thuật mà nhóm tấn công thực hiện trong chiến dịch lần này được Symantec phát hiện bao gồm:

  • Network Reconnaissance
  • Credential Theft
  • RAR archiving
  • Certutil
  • Adfind
  • Csvde
  • Ntdsutil
  • WMIExec
  • PowerShell

Những kẻ tấn công còn sử dụng kỹ thuật DLL side-loading tại nhiều giai đoạn, bao gồm cả việc sử dụng để tải Backdoor.Hartip.

Ngoài ra, các bằng chứng còn cho thấy những kẻ tấn công cũng sử dụng công cụ để tiến hành khai thác lỗ hổng ZeroLogon (CVE-2020-1472).

Các bằng chứng thu thập được cho phép Symantec kết luận chiến dịch tấn công này thuộc về Cicada với mức độ tin cậy trung bình (medium)

1.5    Chiến dịch tấn công mới nhất của Lazarus

Gần đây, các nhà nghiên cứu của ESET đã phát hiện ra một nỗ lực lây truyền malware Lazarus thông qua một chuỗi tấn công ở Hàn Quốc. Để tiến hành vận chuyển và lây lan malware, những kẻ tấn công đã sử dụng một cơ chế chuỗi cung ứng bất thường, lạm dụng phần mềm bảo mật hợp pháp của Hàn Quốc và các chứng chỉ kỹ thuật số bị đánh cắp từ hai công ty khác nhau.

Nhóm tấn công đã lợi dụng một số cấu hình của WIZVERA VeraPort trên một số trang web hợp pháp mà nhóm chiếm quyền được để tiến hành lây nhiễm malware cho người dùng.

Những kẻ tấn công đã sử dụng chứng chỉ ký mã có được một cách bất hợp pháp để ký vào các mẫu phần mềm độc hại. Điều thú vị là một trong những chứng chỉ này đã được cấp cho chi nhánh Hoa Kỳ của một công ty bảo mật Hàn Quốc.

SHA-1 Filename Digital signature
3D311117D09F4A6AD300E471C2FB2B3C63344B1D Delfino.exe ALEXIS SECURITY GROUP, LLC
3ABFEC6FC3445759730789D4322B0BE73DC695C7 MagicLineNPIZ.exe DREAM SECURITY USA INC

Những kẻ tấn công đã ngụy trang các mẫu phần mềm độc hại Lazarus như một phần mềm hợp pháp. Các mẫu này có tên tệp, biểu tượng và VERSIONINFO tương tự như phần mềm hợp pháp của Hàn Quốc thường được phân phối qua WIZVERA VeraPort. Các mã nhị phân được tải xuống và thực thi thông qua cơ chế của WIZVERA VeraPort được lưu trữ trong %Temp%\[12_RANDOM_DIGITS]\.

Qua quá trình điều tra và phân tích, dựa trên các bằng chứng thu thập được về đối tượng tấn công, bộ công cụ và hệ thống cơ sở hạ tầng được sử dụng, ESET tin rằng chiến dịch tấn công lần này là của nhóm Lazarus.

2    Malware

2.1    Sự tiến hóa từ một banking trojan tới “nhà phân phối” malware của Emotet

Emotet là một trong những phần mềm độc hại nguy hiểm và phổ biến nhất hiện nay.

Kể từ khi được phát hiện vào năm 2014 – Emotet là malware đánh cắp thông tin xác thực và là một Trojan nổi tiếng ở lĩnh vực ngân hàng. Phần mềm độc hại này đã phát triển thành một mô-đun, nền tảng đa hình để phân phối các loại malware khác.

Không ngừng phát triển, Emotet tự cập nhật thường xuyên để cải thiện khả năng tàng hình, bền bỉ và bổ sung thêm các khả năng gián điệp mới.

Trojan khét tiếng này là một trong những malware thường xuyên được tìm thấy. Thông thường, nó là một phần của cuộc tấn công lừa đảo, spam email lây nhiễm phần mềm độc hại vào PC và tiến hành lây lan giữa các máy tính khác trong mạng.

Emotet là phần mềm độc hại được tải lên nhiều nhất trong vài năm qua. Dưới đây là xếp hạng các lượt tải lên dịch vụ ANY.RUN vào năm 2019, nơi người dùng đã chạy hơn 36000 phiên tương tác của phân tích malware Emotet trực tuyến.

Malware này đã thay đổi rất nhiều theo thời gian và với mỗi phiên bản mới, nó ngày càng trở nên đe dọa hơn đối với nạn nhân. Chúng ta hãy xem xét kỹ hơn cách nó phát triển.

Khi nó giống như bất kỳ loại Trojan ngân hàng khác, mục tiêu chính của malware này là đánh cắp thông tin đăng nhập của các công ty nhỏ, chủ yếu ở Đức và Áo. Bằng cách làm giả hóa đơn hoặc các tài liệu tài chính khác, nó đã khiến người dùng nhấp vào các liên kết và để malware này xâm nhập.

Cuối năm đó, malware được phát triển theo kiếntrúc mô-đun đa dạng với trọng tâm chính là tải xuống các malware khác để lây lan vào nhiều máy nhất có thể và gửi email độc hại để lây nhiễm các tổ chức khác.

Đầu năm 2015. sau một thời gian lặng tiếng, Emotet đã trở lại. Khóa RSA public, danh sách địa chỉ mới, mã hóa RC4 là một trong những tính năng mới của Trojan. Từ thời điểm này, phạm vi của các nạn nhân bắt đầu tăng lên – các ngân hàng Thụy Sĩ bắt đầu trở thành mục tiêu. Nhìn chung, kỹ thuật né tránh đã được cải thiện rất nhiều.

Trong các phiên bản gần đây, một thay đổi đáng kể trong chiến lược đã xảy ra. Emotet đã biến thành một malware đa hình – trình tải các malware khác vào máy tính bị nhiễm và các máy khác trong mạng nội bộ. Nó đánh cắp dữ liệu, thích ứng với các hệ thống phát hiện khác nhau, cho thuê các máy chủ bị nhiễm cho các tội phạm mạng khác dưới dạng mô hình Malware-as-a-service.

Vì Emotet sử dụng các email bị đánh cắp để lấy lòng tin của các nạn nhân, nên spam các thư rác vẫn luôn là phương thức gửi chính của Emotet, một phương thức thuyết phục, thành công cao và nguy hiểm.

Ví dụ, vào năm 2018, hệ thống chính phủ đã bị nhiễm Emotet ở Allentown – một thành phố ở phía đông Pennsylvania, khiến họ mất 1 triệu đô la để phục hồi.

Toàn bộ thành phố Frankfurt đã phải đóng cửa mạng lưới vì Emotet vào năm 2019. Các loại tổ chức khác nhau, từ chính phủ đến các doanh nghiệp nhỏ, tất cả các dịch vụ công cộng đều buộc phải ngừng công việc.

Loại xu hướng này chứng tỏ Emotet sẽ không bỏ cuộc hoặc đánh mất vị trí. Sự phát triển của nó cho thấy malware này phát triển rất nhanh và thích ứng với mọi thứ.

Nguồn: thehackernews.com

 

3    CVE và các khuyến nghị bảo mật

3.1    Microsoft Patch Tuesday – Nov 2020

– CVE-2020-17051 – Windows Network File System Remote Code Execution Vulnerability

– CVE-2020-17061 – Microsoft SharePoint Remote Code Execution Vulnerability

– CVE-2020-17087 – Windows Kernel Local Elevation of Privilege Vulnerability

Đầu đủ danh sách có thể tìm được ở đây:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Nov

3.2   Ứng dụng web và các sản phẩm khác

– CVE-2020-8277 – Node.js Denial of Service through DNS request

– CVE-2020-13942 – Apache Unomi pre-auth Remote Code Execution