Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 BISMUTH – Chiến dịch tấn công lợi dụng các kỹ thuật coin miner để tránh bị phát hiện
Gần đây, Trung tâm Microsoft Threat Intelligence (MSTIC) đã phát hiện ra các chiến dịch tấn công từ nhóm BISMUTH lợi dụng các cảnh báo mức độ thấp về coin miners để tránh bị phát hiện và thiết lập persistence.
BISMUTH, có nhiều điểm tương đồng với OceanLotus hoặc APT32, đã tiến hành các cuộc tấn công gián điệp mạng kể từ năm 2012 với độ phức tạp ngày càng gia tăng, sử dụng cả các công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, các tổ chức chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền. Nhưng trong các chiến dịch từ tháng 7 đến tháng 8 năm 2020, nhóm đã triển khai các công cụ Monero coin miners trong các cuộc tấn công nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.
Mặc dù mục tiêu hoạt động của nhóm vẫn như cũ — thiết lập giám sát và gián điệp liên tục, thu thập thông tin tình báo hữu ích — việc nhóm triển khai công cụ đào coin trong các chiến dịch gần đây đã cho thấy đây là một cách thức khác để những kẻ tấn công kiếm tiền từ các hệ thống mạng bị xâm nhập.
Việc BISMUTH sử dụng các công cụ coin miners là điều không được dự đoán trước, nhưng nó cũng phù hợp với phương pháp sử dụng xen lẫn các kỹ thuật tấn công của nhóm. Mô hình pha trộn này đặc biệt rõ ràng trong các cuộc tấn công gần đây, bắt đầu từ giai đoạn truy cập ban đầu: các email spear-phishing được tạo cho một người nhận cụ thể cho mỗi tổ chức mục tiêu và có dấu hiệu do thám trước. Trong một số trường hợp, nhóm thậm chí còn trao đổi thư từ với các mục tiêu, thậm chí còn gây dựng được độ tin cậy để thuyết phục các mục tiêu mở tệp đính kèm độc hại và bắt đầu chuỗi lây nhiễm.
Một phương thức khác mà BISMUTH sử dụng nhiều để cố gắng trà trộn và ẩn mình là kỹ thuật DLL side-loading, trong đó một DLL hợp pháp được thay thế bằng một DLL độc hại để DLL độc hại được tải khi ứng dụng liên kết được chạy. Trong các cuộc tấn công gần đây, BISMUTH đã sử dụng các bản sao của nhiều phần mềm hợp pháp khác nhau để tải các tệp DLL độc hại và thực hiện các tác vụ trong bối cảnh của các ứng dụng hợp pháp này. Để thực hiện DLL side-loading, BISMUTH đã sử dụng các phiên bản cũ của nhiều ứng dụng khác nhau, bao gồm cả Microsoft Defender Antivirus. Nhóm cũng tận dụng công cụ Sysinternals DebugView, McAfee on-demand scanner và Microsoft Word 2007.
Việc trà trộn và ẩn mình là rất quan trọng đối với BISMUTH vì nhóm đã dành nhiều thời gian để thực hiện việc khám phá, dò quét trên các mạng bị xâm nhập cho đến khi nhóm có thể truy cập và di chuyển sang các mục tiêu có giá trị cao như các máy chủ, nơi nhóm cài đặt các công cụ khác nhau để thực hiện các hành động khai thác sâu hơn. Đồng thời, nhóm cũng sử dụng nhiều các PowerShell scripts để trốn tránh, khiến các hoạt động của nhóm càng trở nên bí mật.
Về các mục tiêu tại Việt Nam trong chiến dịch lần này, hoạt động tấn công của BISMUTH nhắm vào các tổ chức bao gồm các DNNN cũ do chính phủ Việt Nam điều hành trước đây, các tổ chức đã mua lại một phần đáng kể của một DNNN cũ và các tổ chức thực hiện các giao dịch với cơ quan chính phủ Việt Nam.
1.2 Chiến dịch tấn công chuỗi cung ứng (Supply chain attack) SignSight
Các nhà nghiên cứu của ESET đã phát hiện ra một cuộc tấn công chuỗi cung ứng mới vào đầu tháng 12 năm 2020 xảy ra trên trang web của Cục Chứng thực số và Bảo mật thông tin Việt Nam (VGCA): ca.gov.vn. Những kẻ tấn công đã sửa đổi hai trong số các trình cài đặt phần mềm trên trang web này và chèn thêm một backdoor nhằm tấn công người dùng của ứng dụng này. Nhóm nghiên cứu tin rằng trang web đã không phân phối các trình cài đặt phần mềm bị xâm phạm kể từ cuối tháng 8 năm 2020 và dữ liệu từ ESET cũng cho thấy những trình cài đặt bị xâm phạm không được phân phối ở bất kỳ nơi nào khác. Cục Chứng thực số và Bảo mật thông tin Việt Nam xác nhận rằng họ đã biết về cuộc tấn công trước khi có thông báo và họ đã thông báo cho những người dùng đã tải xuống phần mềm bị nhiễm trojan.
Tại Việt Nam, các chứng chỉ số được sử dụng để ký tài liệu phải được cấp bởi một trong những nhà cung cấp chứng chỉ được ủy quyền trong đó có VGCA, một bộ phận của Ban Cơ yếu Chính phủ.
Ngoài việc cấp chứng chỉ, VGCA còn phát triển và phân phối bộ công cụ chữ ký số. Nó được sử dụng bởi chính phủ Việt Nam và có thể cả các công ty tư nhân để ký các tài liệu kỹ thuật số. Việc trang web của cơ quan cấp giấy chứng nhận bị xâm nhập là một cơ hội tốt cho các nhóm APT, vì người dùng có xu hướng tin tưởng vào một tổ chức nhà nước chịu trách nhiệm về chữ ký số.
Theo dữ liệu của ESET, ca.gov.vn đã bị xâm nhập ít nhất từ ngày 23 tháng 7 đến ngày 16 tháng 8 năm 2020. Hai trong số các trình cài đặt có sẵn để tải xuống, gca01-client-v2-x32-8.3.msi và gca01-client- v2-x64-8.3.msi, đã được sửa đổi để chèn thêm một mẫu mã độc được gọi là PhantomNet hoặc Smanager. Có thể khẳng định rằng những bộ cài đó được tải xuống từ ca.gov.vn qua giao thức HTTPS, vì vậy có rất ít khả năng đây là một cuộc tấn công man-in-the-middle. Các địa chỉ URL trỏ đến các bộ cài đặt bị xâm nhập:
o https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x64-8.3.msi
o https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x32-8.3.msi
Để bị tấn công và xâm nhập, người dùng phải thực hiện tải xuống và thực thi các bộ cài đặt đã bị sửa đổi đó. Một khi được tải xuống và thực thi, bộ cài đặt sẽ khởi động cả chương trình gốc GCA và file độc hại. Bằng việc cài đặt cả chương trình gốc, những kẻ tấn công muốn đảm bảo rằng việc xâm nhập sẽ không dễ dàng bị phát hiện bởi người dùng. File độc hại sẽ được ghi vào C:\Program Files\VGCA\Authentication\SAC\x32\eToken.exe. Đây là một mẫu dropper đơn giản dùng để giải nén ra một file Windows cabinet có tên là 7z.cab và trong file .cab này sẽ chứa backdoor.
Nếu mẫu dropper được chạy dưới quyền admin, backdoor sẽ được ghi vào C:\Windows\apppatch\netapi32.dll và để thiết lập persistence, dropper sẽ đăng ký file dll độc hại này dưới dạng 1 service. Nếu được chạy dưới quyền 1 người dùng bình thường, backdoor sẽ được ghi vào %TEMP%\Wmedia\<GetTickCount>.tmp và để thiết lập persistence, dropper sẽ tạo một scheduled task gọi đến Entery export của file dll độc hại. Đáng chú ý là Entery export này cũng được tìm thấy trong các phiên bản Tmanger của nhóm TA428.
Mẫu backdoor được đặt tên Smanager_ssl.dll bởi những người phát triển nó nhưng các nhà nghiên cứu của ESET đặt tên mẫu này là PhantomNet. Đây là một backdoor khá đơn giản và gần như các tính năng độc hại được triển khai qua các plugin cài thêm. Nó có thể khai thác cấu hình proxy trên máy nạn nhân và sử dụng nó để kết nối đến máy chủ C&C. 2 domain máy chủ C&C được hardcoded và kết nối qua giao thức HTTPS là vgca.homeunix[.]org và office365.blogdns[.]com. Phân tích ban đầu cho thấy công cụ này có thể được dùng cho cả quá trình lateral movement, bởi vì nó được nhúng cả Invoke-Mimikatz.
1.3 UNC2452 – Cuộc tấn công chuỗi cung ứng lợi dụng phần mềm Orion của SolarWinds xâm nhập các nạn nhân qua SUNBURST Backdoor
FireEye đã phát hiện ra một chiến dịch tấn công chuỗi cung ứng có quy mô rộng lớn, được hãng đặt tên là UNC2452. Nhóm tấn công đứng đằng sau chiến dịch đã chiếm được quyền truy cập đến hệ thống của các nạn nhân thông qua bản cập nhật đã bị chèn trojan của phần mềm SolarWinds Orion. Chiến dịch này được cho là bắt đầu từ mùa xuân năm 2020 và hiện vẫn đang tiếp diễn. Các hoạt động tấn công bao gồm quá trình lateral movements và đánh cắp dữ liệu.
Nạn nhân của chiến dịch này bao gồm nhiều cơ quan chính phủ, các công ty tư vấn, công nghệ, viễn thông ở Bắc Mỹ, châu Âu, châu Á và Trung Đông. Ngoài ra, có thể còn có nhiều nạn nhân khác chưa được công bố.
Các hoạt động sau xâm nhập
FireEye đặt tên chiến dịch tấn công chuỗi cung ứng này là UNC2452. Sau xâm nhập, nhóm tấn công có xu hướng thực hiện các hành vi sau đây:
- Sử dụng malware TEARDROPvà Cobalt Strike BEACON.
- Đặt tên hostnames trùng với trong hệ thống nạn nhân
- Sử dụng các địa chỉ IP cùng quốc gia với nạn nhân
- Đánh cắp các thông tin đăng nhập bảo mật và sử dụng cho lateral movement
- Sử dụng kỹ thuật Temporary File Replacement và Temporary Task Modification
1.4 Dark Halo
Sau khi FireEye công bố những nghiên cứu về chiến dịch tấn công chuỗi cung ứng lợi dụng phần mềm SolarWinds Orion, Volexity cũng cung cấp thêm những thông tin về các sự cố bị tấn công tại một Viện Nghiên cứu tại Mỹ vào cuối năm 2019 và đầu năm 2020 có liên quan đến việc sử dụng backdoor qua SolarWinds Orion. Volexity đặt tên nhóm tấn công đứng sau cuộc tấn công này là Dark Halo.
Mục tiêu chính của Dark Halo trong cuộc tấn công là thu thập thông tin từ email của các cá nhân cụ thể của Viện Nghiên cứu, bao gồm các chuyên gia chính sách, người điều hành và các nhân viên IT trong tổ chức. Volexity khẳng định cuộc tấn công này có liên quan đến báo cáo của FireEye dựa trên sự trùng lặp về các địa chỉ domain C&C và các IoCs khác bao gồm cả việc sử dụng backdoor trên SolarWinds Orion.
Ngoài ra, Volexity cũng đã phát hiện những kỹ thuật tấn công khác mà nhóm đã thực hiện như:
– Bypass xác thực đa yếu tố để chiếm quyền truy cập không cần xác thực đến một tài khoản trong hệ thống nạn nhân.
– Sử dụng các câu lệnh Exchange, Powershell để thực hiện dò quét, di chuyển trong hệ thống, đánh cắp thông tin và xóa dấu vết.
2 Malware
2.1 SUNBURST Malware và các cuộc tấn công thông qua phần mềm SolarWinds
Trong một bài đăng trên blog được phát hành ngày 13 tháng 12 năm 2020, FireEye tiết lộ rằng các tác nhân đe dọa đã xâm phạm phần mềm quản lý và giám sát CNTT Orion của SolarWinds bằng phiên bản trojan của SolarWinds.Orion.Core.BusinessLayer.dll. Mẫu trojan này phân phối malware SUNBURST thông qua một backdoor như một phần của trình cài đặt Patch của Window mà đã được kí số. Kĩ thuật tấn công bằng sử dụng 1 Software Supply-chain đã bị xâm phạm là một kĩ thuật khó bị phát hiện trong 1 thời gian dài. FireEye đã phát hành các biện pháp đối phó có thể xác định phần mềm độc hại SUNBURST.
Gần đây có sự tập trung đáng kể vào các tiết lộ gần đây liên quan đến SolarWinds và các phân tích chi tiết về trojan SUNBURST.
McAfee tập trung vào file SolarWinds.Orion.Core.BusinessLayer.dll. File này là một file dll đi kèm với phần mềm Solarwinds ORION, nó đã được sửa đổi với 1 class được thêm vào có chứa backdoor SUNBURST.
Trojan có thể không hoạt động trong vòng 2 tuần hoặc nhỏ hơn, việc đầu tiên sau đó là lấy các thông tin trên máy chủ bị nhiễm như: phiên bản hệ điều hành, cấu hình mạng, NetBIOS, Host, users, … Ngoài ra Trojan này còn có 1 danh sách các CIDR, IP mà McAfee cho rằng dó là 1 danh sách blacklist các địa chỉ mà Trojan sẽ không thực hiện các hành vi sau đó như là đọc file, ghi file, xóa file, khởi động máy, v.v.
Nguồn: McAfee
Danh sách những function mà McAfee tìm thấy là:
- SetTime
- CollectSystemDescription
- UploadSystemDescription
- GetProcessByDescription
- GetFileSystemEntries
- WriteFile
- FileExists
- DeleteFile
- GetFileHash
- ReadRegistryValue
- SetRegistryValue
- DeleteRegistryValue
- GetRegistrySubKeyAndValueNames
- Reboot
Trojan sử dụng cơ chế DGA(domain generating algorithm) để tạo ra C&C domain. Ví dụ như những C&C sau được sinh ra từ avsvmcloud[.]com:
02m6hcopd17p6h450gt3.appsync-api.us-west-2.avsvmcloud.com
039n5tnndkhrfn5cun0y0sz02hij0b12.appsync-api.us-west-2.avsvmcloud.com
043o9vacvthf0v95t81l.appsync-api.us-east-2.avsvmcloud.com
04jrge684mgk4eq8m8adfg7.appsync-api.us-east-2.avsvmcloud.com
04r0rndp6aom5fq5g6p1.appsync-api.us-west-2.avsvmcloud.com
04spiistorug1jq5o6o0.appsync-api.us-west-2.avsvmcloud.com
2.1.1 Nạn nhân của SUNBURST
Các nhà nghiên cứu cho rằng đã có xấp xỉ 18 nghìn khách hàng đã tải phiên bản có chứa DLL độc hại này. Tuy rằng, phân tích cho rằng, chỉ có những tổ chức có “giá trị cao” mới được nhắm tới cho các cuộc tấn công sau sự lây nhiễm.
Một số tổ chức được cho là đã bị tấn công:
- FireEye
- U.S. Department of the Treasury
- U.S. National Telecommunications and Information Administration (NTIA)
- U.S. Department of State
- The National Institutes of Health (NIH) (Part of the U.S. Department of Health)
- U.S. Department of Homeland Security (DHS)
- U.S. Department of Energy (DOE)
- U.S. National Nuclear Security Administration (NNSA)
- Some US states (Specific states are undisclosed)
- Microsoft
- Cisco
Microsoft đã thông báo cho 40 khách hàng của họ, mặc dù không tiết lộ danh tính nhưng Microsoft nói rằng 80% số đó là các tổ chức ở Mĩ.
2.1.2 IoCs
SHA256 of SolarWinds.Orion.Core.BusinessLayer.dll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freescanonline[.]com
deftsecurity[.]com
thedoccloud[.]com
websitetheme[.]com
highdatabase[.]com
incomeupdate[.]com
databasegalore[.]com
panhardware[.]com
Zupertech[.]com
Virtualdataserver[.]com
digitalcollege[.]org
Tổng hợp từ FireEye và McAfee
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Dec 2020
– CVE-2020-17144 – Microsoft Exchange Remote Code Execution
– CVE-2020-17118 – Microsoft SharePoint Remote Code Execution Vulnerability
– CVE-2020-17128 – Microsoft Excel Remote Code Execution
Đầu đủ danh sách có thể tìm được ở đây:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Dec
3.2 Ứng dụng web và các sản phẩm khác
– CVE-2020-28948 – Remote Code Execution on Drupal in Phar deserialization in Archive_Tar lib
– CVE-2020-26259 – XStream Arbitrary File Deletion