Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công nhắm vào Myanmar sử dụng kỹ thuật Domain Fronting và Cobalt Strike
Vừa qua, Cisco Talos đã công bố thông tin về một chiến dịch tấn công sử dụng Meterpreter to triển khai Cobalt Strike beacons mà nhóm phát hiện được vào tháng 9/2021. Nhóm tấn công đã sử dụng 1 tên miền được sở hữu và quản lý bởi Chính phủ Myanmar – Myanmar Digital News – để che giấu đi các kết nối đến Cobalt Strike beacons của nhóm thông qua kỹ thuật Domain Fronting.
Mẫu mã độc được phát hiện trong chiến dịch là một loader chạy trên máy của nạn nhân, thực hiện giải mã và thực thi Cobalt Strike beacon DLL qua kỹ thuật reflective injection. Mã độc sẽ gọi đến một số thư viện trong quá trình chạy và tạo ra các kết nối đến beacon dựa theo file cấu hình đã được nhúng sẵn. File cấu hình này cung cấp các thông tin liên quan đến máy chủ C2 để từ đó mã độc sẽ gửi các DNS request từ máy nạn nhân đến. Tuy nhiên, trong chiến dịch này các request được gửi đến một máy chủ với tên miền được sở hữu bởi Chính phủ Myanmar www[.]mdn[.]gov[.]mm, được hosted đằng sau mạng Cloudfare CDN, còn các kết nối C2 thực sự được chuyển hướng đến địa chỉ test[.]softlemon[.]net của nhóm tấn công dựa trên thông tin trong HTTP host header được định nghĩa trong dữ liệu cấu hình của beacon.
Kỹ thuật sử dụng các tên miền hợp pháp và có độ tin cậy cao để che giấu đi các kết nối thực sự đến máy chủ C2 như trên được gọi là Domain Fronting. Nghiên cứu sâu hơn về chiến dịch này, Cisco Talos cho biết nhóm tấn công đã thử nghiệm, kết hợp nhiều máy chủ và tên miền khiến cho việc sử dụng Domain Fronting của nhóm càng trở nên tinh vi, khó phát hiện hơn. Cụ thể, beacon được phát hiện sớm nhất vào tháng 8/2021 có chứa thông tin về C2 URI là test[.]softlemon[.]net trong khi các HTTP GET và POST requests đều chỉ về 002[.]president[.]workers[.]dev. Một mẫu khác được phát hiện vào cuối tháng 8/2021 có chứa thông tin C2 URI xxx[.]xxxx[.]tk và trường host header được cấu hình trỏ về test[.]softlemon[.]net. Từ đầu tháng 9/2021, nhóm tấn công bắt đầu sử dụng tên miền của Myanmar Digital News trong Domain Fronting. Trong khi tên miền C2 mặc định được đặt là www[.]mdn[.]gov[.]mm, các kết nối beacon đều được chuyển hướng đến máy chủ C2 thực sự tại test[.]softlemon[.]net thông qua các trường metadata được thiết lập trong cấu hình của beacon.
Ngoài ra, từ việc phân tích mã độc, đội ngũ phân tích cũng chỉ ra mẫu Cobalt Strike beacon được dùng có các kỹ thuật để phát hiện debuggers, trì hoãn việc thực thi để tránh các hệ thống sandbox phân tích động, và điều chỉnh cả sleep times tối thiểu và tối đa thông qua các registry keys về system power policies.
Indicator of Compromise (IoCs)
Hashes
658d550322cefa6efc51fbfd1a3e02839d1e519a20f8f17f01c534c0eaf36f27
e806e55713b9e46dc7896521ffb9a8b3abaa597147ea387ff2e93a2469546ba9
a0aec3e9cb3572a71c59144e9088d190b4978056c5c72d07cb458480213f2964
Network IOCs
Hosts
test[.]softlemon[.]net
dark-forest-002.president[.]workers[.]dev
IP addresses
193[.]135[.]134[.]124
URLs
hxxp://test[.]softlemon[.]net:8081/api/3
hxxp://test[.]softlemon[.]net/
tcp://test[.]softlemon[.]net:8080/
hxxps://193[.]135[.]134[.]124:8443
hxxp://193[.]135[.]134[.]124:8080
hxxp://193[.]135[.]134[.]124:8081
1.2 Chiến dịch tấn công sử dụng tài liệu độc hại liên quan đến Triều Tiên khai thác lỗ hổng CVE-2021-40444
Đội ngũ phân tích ASEC đến từ AhnLab gần đây đã phát hiện ra một chiến dịch tấn công sử dụng các tài liệu độc hại (malicious documents) nhằm khai thác lỗ hổng CVE-2021-40444. Các tài liệu này được xác nhận là có liên quan đến Triều Tiên, và được cung cấp dưới các tên file như sau:
- (2021-1118) Unification**won-**Unification****won joint seminar program (final).docx
- +Guidance for the promotion of transboundary cooperation between North Korea, China and Russia.docx
Các tài liệu này có chứa phần cấu hình để nhằm khai thác lỗ hổng CVE-2021-40444, lỗ hổng bảo mật cho phép thực thi mã từ xa (RCE) liên quan đến MSHTML. MSHTML là 1 browser rendering engine có trong Internet Explorer và các chương trình xử lý tài liệu Office.
Đường dẫn kết nối được chèn trong file XML có trong file tài liệu độc hại
Lỗ hổng được khai thác thông qua sử dụng đường dẫn kết nối (External link) trong file XML, và được thực hiện như sau:
- Truy cập URLs độc hại thông qua giao thức MHTML (MIME HTML)
- Thực thi đoạn mã JavaScript có các syntax độc hại sử dụng browser rendering engine trong Office document program
- Tải xuống file CAB và gọi đến file DLL độc hại với INF extension trong file CAB để thực thi các câu lệnh trong hệ thống
Phân tích cả 2 file tài liệu liên quan trên đều trỏ đến cùng 1 URL, cho thấy nhiều khả năng đây là các cuộc tấn công của cùng 1 nhóm.
Indicators of Compromise (IoCs)
1132d2a12b6fd6cbbc8046df3612d725
2edbab4834a1315b476278fb6ed2592f
809c4c40537c60e224363b94296fbbf2
hxxp://officeversion[.]mywebcommunity[.]org/ole/
1.3 Chiến dịch tấn công watering hole sử dụng các mã khai thác nhắm đến người dùng hệ điều hành macOS
Các nhà nghiên cứu đến từ Threat Analysis Group của Google đã phát hiện ra 1 chiến dịch tấn công watering hole nhắm đến các trang web của Hồng Kông có liên quan đến 1 hãng truyền thông và 1 đảng lao động và chinh trị ủng hộ dân chủ. Chiến dịch này sử dụng 1 lỗ hổng 0-day (hiện tại đã được vá) trên hệ điều hành macOS nhằm cài đặt 1 backdoor mới chưa từng gặp trước đây trên các máy nạn nhân.
Dựa trên các kết quả tìm được, đội ngũ phân tích tin rằng nhóm tấn công đứng sau chiến dịch này là 1 nhóm nhận được nguồn lực và hỗ trợ từ 1 chính phủ, với đội ngũ xây dựng phát triển phần mềm riêng.
Chiến dịch tấn công sử dụng 1 chuỗi khai thác trên hệ điều hành macOS gồm 2 lỗ hổng CVE-2021-1789, 1 lỗ hổng thực thi mã từ xa trong WebKit, và lỗ hổng liên quan đến type confusion CVE-2021-30869, để từ đó thực hiện vượt qua Safari sandbox, leo thang đặc quyền, tải xuống và thực thi 1 mẫu mã độc mới được đặt tên là MACMA backdoor.
Các chuyên gia phân tích cho biết đây là mẫu mã độc mới, với khả năng ghi lại audio, tổ hợp phím, thu thập thông tin thiết bị, chụp ảnh màn hình, tải lên và tải xuống file bất kỳ, thực thi các câu lệnh terminal.
Một biến thể có điểm giống với MACMA được gặp trước đây là vào năm 2019, giả mạo Adobe Flash Player, với file binary hiển thị tin nhắn báo lỗi sau cài đặt bằng tiếng Trung. Phiên bản 2019 được cho rằng nhắm đến những người dùng Trung Quốc và được lây truyền qua các phương thức social engineering, trong khi phiên bản 2021 được thiết kế để thực hiện khai thác từ xa (remote exploitation).
Indicators of Compromise (IoCs)
Delivery URLs
http://103[.]255[.]44[.]56:8372/6nE5dJzUM2wV.html
http://103[.]255[.]44[.]56:8371/00AnW8Lt0NEM.html
http://103[.]255[.]44[.]56:8371/SxYm5vpo2mGJ?rid=<redacted>
http://103[.]255[.]44[.]56:8371/iWBveXrdvQYQ?rid=?rid=<redacted>
https://appleid-server[.]com/EvgSOu39KPfT.html
https://www[.]apple-webservice[.]com/7pvWM74VUSn2.html
https://appleid-server[.]com/server.enc
https://amnestyhk[.]org/ss/defaultaa.html
https://amnestyhk[.]org/ss/4ba29d5b72266b28.html
https://amnestyhk[.]org/ss/mac.js
Javascript
cbbfd767774de9fecc4f8d2bdc4c23595c804113a3f6246ec4dfe2b47cb4d34c (capstone.js)
bc6e488e297241864417ada3c2ab9e21539161b03391fc567b3f1e47eb5cfef9 (mac.js)
9d9695f5bb10a11056bf143ab79b496b1a138fbeb56db30f14636eed62e766f8
Sandbox escape / LPE
8fae0d5860aa44b5c7260ef7a0b277bcddae8c02cea7d3a9c19f1a40388c223f
df5b588f555cccdf4bbf695158b10b5d3a5f463da7e36d26bdf8b7ba0f8ed144
Backdoor
cf5edcff4053e29cb236d3ed1fe06ca93ae6f64f26e25117d68ee130b9bc60c8 (2021 sample)
f0b12413c9d291e3b9edd1ed1496af7712184a63c066e1d5b2bb528376d66ebc (2019 sample)
C2
123.1.170.152
207.148.102.208
2 Malware
2.1 Nhóm APT Lazarus của Triều Tiên nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng cách phân phối mã độc trong IDA Pro
Nhóm nghiên cứu ESET đã phát hiện mã độc trong bản cài đặt của phần mềm dịch ngược phổ biến – IDA Pro phiên bản 7.5 nhắm mục tiêu chính tới các nhà nghiên cứu bảo mật.
Kẻ tấn công đã thay thế hai DLL trong IDA installer là win_fw.dll và idahelp.dll bằng DLL độc hại cùng tên.
DLL win_fw.dll sau khi thực thi sẽ tạo task mới trong Windows Task Scheduler, task này sẽ thực thi dll khác là idahelper.dll
Dll idahelper.dll tải xuống và thực thi payload khác từ https://www[.]devguardmap[.]org/board/board_read.asp?boardid=01. Payload này được cho là NukeSped remote access trojan, có các tính năng như ăn cắp file, chụp ảnh màn hình,… hoặc thực hiện các lệnh khác từ kẻ tấn công.
Dựa trên tên miền và các tệp tin mã độc , nhóm nghiên cứu nhận thấy có liên kết tới nhóm tấn công APT Lazarus.
2.2 Mã độc Emotet có dấu hiệu quay trở lại
Nhóm nguyên cứu Emote Advanced Intel đã phát hiện thấy hiện các loader của Emotet. Bằng việc quan sát các lưu lượng mạng, với những dấu hiệu gần giống với những hành vi của các mẫu Emotet trước đó: đường dẫn URL ngẫu nhiên và request payload đặt ở cookie.
IoCs:
URLs:
hxxp://141.94.176.124/Loader_90563_1.dll
Hashes:
c7574aac7583a5bdc446f813b8e347a768a9f4af858404371eae82ad2d136a01 – Loader_90563_1.dll
Server List:
81.0.236.93:443
94.177.248.64:443
66.42.55.5:7080
103.8.26.103:8080
185.184.25.237:8080
45.76.176.10:8080
188.93.125.116:8080
103.8.26.102:8080
178.79.147.66:8080
58.227.42.236:80
45.118.135.203:7080
103.75.201.2:443
195.154.133.20:443
45.142.114.231:8080
212.237.5.209:443
207.38.84.195:8080
104.251.214.46:8080
138.185.72.26:8080
51.68.175.8:8080
210.57.217.132:8080
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – November 2021
3.1.1 CVE-2021-42321 – Microsoft Exchange Server Remote Code Execution Vulnerability
CVSS v3: 8.8
Mô tả: CVE-2021-42321 là lỗ hổng post-authentication RCE tồn tại trên nền tảng Microsoft Exchange, cho phép kẻ tấn công thực thi mã tùy ý.
Hệ thống bị ảnh hưởng:
Microsoft Exchange Server 2016
Microsoft Exchange Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.
3.1.2 CVE-2021-42292 – Microsoft Excel Security Feature Bypass Vulnerability
CVSS v3: 7.8
Mô tả: CVE-2021-42292 là lỗ hổng tồn tại trong tính năng bảo mật của Microsoft Excel, lỗ hổng cho phép kẻ tấn công bypass tính năng bảo mật trong Excel, thực thi các đoạn mã độc hại được nhúng trong các file tài liệu
Hệ thống bị ảnh hưởng:
Microsoft Office 2013 Service Pack 1
Microsoft Office 2013 RT Service Pack 1
Microsoft Excel 2013 Service Pack 1
Microsoft Office 2016 Service Pack 1
Microsoft Excel 2016 Service Pack 1
Microsoft Office LTSC 2021 for editions
Microsoft Office LTSC 2021 for Mac 2021
Microsoft 365 Apps for Enterprise
Microsoft Office 2019 for Mac
Microsoft Office 2019 for editions
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2021-21980 vCenter Server updates address arbitrary file read vulnerability in the vSphere Web Client
CVSS v3: 7.5
Mô tả: Lỗ hổng tồn tại trên vSphere Web Client (FLEX/Flash) cho phép kẻ tấn truy cập thông qua cổng 443 trên máy chủ vCenter đọc file tùy ý..
Hệ thống bị ảnh hưởng:
vCenter Server 6.7
vCenter Server 6.5
Cloud Foundation (vCenter Server) 3.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.
3.2.2 CVE-2021-22049 vCenter Server updates address SSRF vulnerability in the vSphere Web Client
CVSS v3: 6.5
Mô tả: Lỗ hổng SSRF (Server Side Request Forgery) tồn tại trong plug-in Web Client cho phép kẻ tấn truy cập thông qua cổng 443 trên vCenter Server.
Hệ thống bị ảnh hưởng:
vCenter Server 6.7
vCenter Server 6.5
Cloud Foundation (vCenter Server) 3.x
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng.