Thông tin các mối đe dọa bảo mật trong tháng 3 – 2020

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

Thông tin các mối đe dọa mới trong tháng 3 – 2020

1. Các mối đe dọa nâng cao – Advanced Threats

1.1 Cloud Snooper

SophosLabs đã phát hiện ra một cuộc tấn công phức tạp sử dụng kết hợp các kỹ thuật để tránh bị phát hiện và cho phép các phần mềm mã độc giao tiếp tự do với các máy chủ C&C (C2) vượt qua cả tường lửa,  mà trong các trường hợp thông thường, những giao tiếp này sẽ bị ngăn chặn một cách chính xác.
Mặc dù nhóm đã phát hiện ra các kỹ thuật tấn công này được sử dụng trên AWS, nhưng đây không phải chỉ là vấn đề của riêng AWS. Kỹ thuật này đại diện cho một phương pháp cõng (piggybacking) lưu lượng truy cập đến máy chủ C2 trên một lưu lượng truy cập hợp pháp, chẳng hạn như lưu lượng truy cập web thông thường, theo đó lưu lượng trái phép có thể vượt qua nhiều, thậm chí là hầu hết các tường lửa.
Sự phức tạp của cuộc tấn công và việc sử dụng bộ công cụ APT khiến Sophos có lý do để tin rằng phương thức tấn công này và các đối tượng sử dụng chúng là một mối đe dọa nâng cao (advanced threat), có thể được nhà nước bảo trợ.

1.2 Nuo Chong Lions APT

Dựa trên một quá trình phân tích dài hạn, nhóm nghiên cứu Red Raindrop của Qi Anxin đã công bố một loạt các cuộc tấn công nhắm mục tiêu kéo dài trong vài năm và nhóm đứng đằng sau chúng. Các cuộc tấn công đã diễn ra từ ngày 22 tháng 4 năm 2015 đến ngày 21 tháng 9 năm 2018. Do không tìm thấy bất kỳ sự liên hệ nào đến các tổ chức APT được biết đến hiện nay, vì vậy Qi Anxin Red Rraindrop đã đặt tên cho một tổ chức mới này là: Nuo Chong Lions.
Nuo Chong Lions có một nhóm ảo bao gồm một số lượng lớn bots và hàng trăm thành viên được thuê để truyền bá thông tin sai lệch và tuyên truyền ủng hộ chính phủ. Trong một thời gian dài, nó đã tập trung vào các cuộc tấn công giám sát, khiến các nhà phê bình trong và ngoài nước im lặng, bởi nhóm này có khả năng sử dụng các phần mềm gián điệp đắt tiền để nhắm vào những người bất đồng chính kiến bất chấp việc ở các khu vực khác nhau trên thế giới.
Twitter là khu vực tấn công chính của tổ chức, ngoài ra nhóm cũng có những hoạt động tương tự trên Youtube và Facebook. Red Raindrop team đã thu thập được thông tin cho thấy có ít nhất mười hackers thuộc tổ chức này đã tiến hành các cuộc tấn công Watering-hole và Spear phishing trên nhiều website và mạng xã hội khác nhau.

1.3 APT34

Gần đây, một mã độc dường như có liên quan đến APT34 (còn gọi là OilRig) đã được tải lên một nền tảng phân tích mã độc lớn. Kể từ năm 2014, năm mà FireEye phát hiện ra nhóm này, APT34 nổi tiếng thực hiện các hoạt động tấn công mạng chủ yếu ở Trung Đông, chủ yếu nhắm vào lĩnh vực tài chính, chính phủ, năng lượng, hóa học và viễn thông.
Với mã độc này, APT34 có thể đã xâm nhập vào tài khoản Microsoft Exchange của một đối tượng nhạy cảm liên quan đến chính phủ Lebanon và sử dụng mail server làm máy chủ C2. Tất cả lưu lượng giữa máy bị xâm nhập và máy chủ C2 được chuyển tải qua các email hợp pháp, khiến việc nhận dạng mã độc trở nên khó khăn hơn. Nạn nhân dường như là một đối tượng nằm trong chính phủ Lebanon, vì vậy, có thể đoán rằng nhóm APT đã khai thác lòng tin của đối tượng này để tấn công các nạn nhân khác và che giấu các hoạt động của nhóm.

1.4 Tuyul Botnet

Vào ngày 15 tháng 1 năm 2020, các nhà nghiên cứu của F5 Threat đã phát hiện một chiến dịch mới nhắm vào các hệ thống PHPUnit với lỗ hổng CVE-2017-9841, nhằm cố gắng cài đặt Internet Relay Chat (IRC) bot. Được đặt tên là Tuyul, bot này đã tạo ra một botnet nhỏ hơn nhiều hệ thống khác mà nhóm đã theo dõi trong quá khứ. Trong lần kiểm tra cuối cùng vào giữa tháng 2, nó bao gồm khoảng 350 hệ thống mục tiêu. Con số này nhỏ hơn đáng kể so với các botnet khác, có thể dao động từ khoảng 1.400 hệ thống bị nhiễm cho đến hơn 40.000 hệ thống đang hoạt động được sử dụng mỗi ngày.
Tuyul được viết bằng Perl, trong khi thông thường các bot IRC được viết bằng PHP hoặc Python.
Có nhiều khả năng botnet này có liên quan đến các nhóm Indonesia. Nhóm nghiên cứu đã đưa ra đánh giá này dựa trên một số manh mối, bao gồm múi giờ, tên botnet, nickname quản trị viên sử dụng và máy chủ kho lưu trữ.

1.5 Operation Overtrap

Trend Micro gần đây đã phát hiện ra một chiến dịch mới mà họ đặt tên là Operation Overtrap, mô tả các cách thức mà nhóm tấn công có thể lây nhiễm hoặc gài bẫy nạn nhân với payload của nhóm. Chiến dịch này chủ yếu nhắm vào người dùng trực tuyến của các ngân hàng Nhật Bản khác nhau bằng cách đánh cắp thông tin ngân hàng của họ. Dựa trên phân tích, Operation Overtrap đã hoạt động từ tháng 4 năm 2019 và hiện tại chỉ nhắm đến các mục tiêu ở Nhật Bản. Phân tích cũng cho thấy chiến dịch này sử dụng ba vectơ tấn công khác nhau để đánh cắp thông tin xác thực ngân hàng của nạn nhân: 

• Bằng cách gửi email spam có liên kết lừa đảo đến một trang được ngụy trang thành trang web ngân hàng.

• Bằng cách gửi email spam yêu cầu nạn nhân chạy phần mềm độc hại được ngụy trang, có thể thực thi được, được tải xuống từ trang lừa đảo được liên kết.

• Bằng cách sử dụng bộ công cụ khai thác (exploit kit) tùy chỉnh để phân phối phần mềm độc hại qua quảng cáo độc hại.

Operation Overtrap cũng đã sử dụng một banking malware mới, Trend Micro đặt tên là Cinobi, với 2 phiên bản khác nhau.

1.6 Vicious Panda – The COVID Campaign 

Check Point Research đã phát hiện ra một chiến dịch mới, lợi dụng sự sợ hãi của dịch Coronavirus hiện tại, để tấn công và lan truyền một phần mềm độc hại chưa được biết đến trước đó đến mục tiêu.
Quan sát kỹ hơn về chiến dịch này cho phép các nhà nghiên cứu tìm được sự liên quan đến các hoạt động khác được thực hiện bởi cùng một nhóm ẩn danh, xảy ra vào năm 2016. Trong những năm qua, các hoạt động này nhắm vào các lĩnh vực khác nhau ở nhiều quốc gia, như UkraineNga, và Belarus, và chiến dịch mới nhất này dường như là một phần của kế hoạch hoạt động lâu dài của một nhóm APT Trung Quốc chống lại nhiều chính phủ và tổ chức trên toàn thế giới.
Những kẻ tấn công đã cập nhật bộ công cụ của chúng thành biến thể mới nhất của trình xây dựng khai thác RTF RoyalRoad. Ý định tấn công chi tiết của nhóm APT Trung Quốc này vẫn còn là một bí ẩn, nhưng hoạt động này cho thấy nhóm sẵn sàng làm bất cứ điều gì cần thiết để thu hút nạn nhân mới vào mạng của họ.

1.7 APT36

Kể từ khi Coronavirus trở thành một vấn đề sức khỏe trên toàn thế giới, mong muốn có thêm thông tin và hướng dẫn từ chính phủ và các cơ quan y tế đã tăng lên đột biến. Đây là cơ hội vàng để các nhóm tấn công tận dụng để truyền bá thông tin sai lệch và tấn công xâm nhập các nạn nhân bằng các chiến dịch lừa đảo hoặc phần mềm độc hại.
Gần đây, nhóm Red Drip đã báo cáo rằng APT36 đang sử dụng tài liệu tư vấn sức khỏe để lan truyền một Công cụ quản trị từ xa (RAT).
APT36 được cho là một nhóm APT do nhà nước Pakistan tài trợ, chủ yếu nhắm vào quốc phòng, đại sứ quán và chính phủ Ấn Độ. APT36 thực hiện các hoạt động gián điệp không gian mạng với mục đích thu thập thông tin nhạy cảm từ Ấn Độ hỗ trợ các lợi ích ngoại giao và quân sự của Pakistan. Nhóm này, hoạt động từ năm 2016, còn được gọi là Transparent TribeProjectMMythic Leopard và TEMP.Lapis.

2. Malware

2.1  nCoV trong các chiến dịch tấn công

Gần đây, với sự bùng phát của nCoV (Coronavirus), các công ty đã tập trung chuyển sang sử dụng các phương thức liên lạc từ xa như email, cuộc gọi hội nghị trực tuyến, v.v., kéo theo số lượng ngày càng tăng của các chiến dịch tấn công trực tuyến liên quan đến COVID-19. Vào ngày 14 tháng 3, người dùng Twitter @dustyfresh đã xuất bản một trình theo dõi web tìm thấy 3.600 Coronavirus và các hostnames liên quan đến COVID-19 xuất hiện chỉ sau 24 giờ.
Thêm vào đó, RiskIQ báo cáo đã theo dõi hơn 13.000 tên miền đáng ngờ, liên quan đến Coronavirus vào cuối tuần trước và hơn 35.000 tên miền vào ngày tiếp theo.
Trước đó, Malwarebyte tuyên bố rằng họ gặp phải một chiến dịch lừa đảo qua email được gửi bởi các tác nhân đe dọa (malicious actors) mạo danh Tổ chức Y tế Thế giới (WHO). Trong email, các đối tượng đã gửi một e-book độc hại để vận chuyển mã độc cho trình tải xuống có tên GuLoader.
Trend Micro có một bài đăng trên blog về thống kê Coronavirus đang được sử dụng trong các cuộc tấn công độc hại trên nhiều khu vực, cụ thể là Khu vực Châu Á Thái Bình Dương (APAC), Khu vực Châu Mỹ Latinh (LAR), Khu vực Bắc Mỹ (NABU) và Châu Âu, Trung Đông và Châu Phi (EMEA). Dữ liệu đến từ hệ thống Smart Protection Network và được phát hiện dựa trên các mẫu heuristic. Số lượng thư rác tương ứng với các email spam có từ “Coronavirus” trong chủ đề.

2.2 Malware nên tìm hiểu

– Gustuff

Một Trojan Android khét tiếng chủ yếu được sử dụng để thu thập thông tin đăng nhập trong lĩnh vực tài chính ngân hàng. Việc sử dụng của nó bắt đầu bùng nổ gần đây và nó tiếp tục nhận được cập nhật, khiến mối đe dọa ngày càng lớn.
Trojan ngân hàng này hiện gia nhập hàng ngũ các mối đe dọa hàng đầu tương tự, như AnubisRed AlertExobotLokiBot và BankBot.
Trojan này được biết đến rộng rãi khi xuất hiện là một trong những phần mềm độc hại đặc trưng trong một bài viết của Group|IB, họ đặt tên cho nó là Weapon of Mass Infection.

3 CVE và các khuyến nghị bảo mật

3.1 CVE quan trọng trong tháng

– CVE-2020-0796 – CoronaBlue/SMBGhost Microsoft Windows 10 SMB 3.1.1 DoS/Remote Code Execution

– CVE-2019-11510 – Pulse Secure SSL VPN Preauth Arbitrary File Read

Hiện vẫn có rất nhiều máy chủ tồn tại lỗ hổng này trên khắp thế giới.

Tại Việt Nam có 4 máy chủ tồn tại lỗ hổng hiện vẫn đang hoạt động

3.2 Microsoft Patch Tuesday – March 2020

– CVE-2020-0768 – Microsoft Browser Memory Corruption Vulnerability

– CVE-2020-0850 – Microsoft Word Remote Code Execution Vulnerability

– CVE-2020-0617 – Microsoft Defender Privilege Escalation Vulnerability

3.3 Ứng dụng web và các phần mềm

– CVE-2020-2555 – RCE Through a Deserialization Bug in Oracle’s WebLogic Server

– CVE-2020-3950 – Privilege Escalation in VMWare Fusion macOS

– CVE-2020-1947 – Remote Code Execution (RCE) Through YAML Deserialization in Apache ShardingSphere

  • TAG
  • Threat Intel