Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 APT41
Đầu năm nay, FireEye đã quan sát nhóm APT41 của Trung Quốc thực hiện một trong những chiến dịch rộng nhất mà họ đã quan sát thấy trong những năm gần đây. Từ 20 tháng 1 đến 11 tháng 3, FireEye quan sát thấy APT41 cố gắng khai thác lỗ hổng trong Citrix NetScaler/ADC, Cisco router, và Zoho ManageEngine tại 75 khách hàng của các hang này. Các quốc gia mà họ đã cho rằng bị tấn cống bao gồm Úc, Canada, Đan Mạch, Phần Lan, Pháp, Ấn Độ, ý, Nhật bản, Malaysia, Mexico, Philippines, Ba Lan, Qatar, Ả rập Xê út, Singapore, Thụy Điển, Thụy sĩ, UAE, Anh và Hoa Kỳ. Các ngành công nghiệp sau đây được cho vào tầm ngắm: Ngân hàng/Tài chính, Xây dựng, Phòng công nghiệp cơ sở, Chính phủ, Y tế, Công nghệ cao, Giáo dục cấp cao, Pháp lý, Sản xuất, Truyền thông, Phi lợi nhuận, Dầu & gas, Hóa dầu, Dược phẩm, Bất động sản, Viễn thông, Vận tải, Du lịch.
Trong năm 2020, APT41 tiếp tục là một trong những mối đe dọa nguy hiểm nhất mà FireEye hiện đang theo dõi. Các hoạt động mới từ nhóm này cho thấy cách tháo vát và nhanh như thế nào họ có thể tận dụng các lỗ hổng mới được tiết lộ để tạo lợi thế của họ.
1.2 Chuỗi khai thác lỗ hổng của iOS dung để triển khai malware giàu tính năng – LightSpy
Một lỗ hổng được phát hiện vào ngày 10 tháng 1, 2020, nó sử dụng một chuỗi khai thác từ xa của iOS để triển khai một malware có tính năng phong phú tên LightSpy. Dựa trên nội dung của trang đích, có thể nói chiến dịch này dường như đã được thiết kế để nhắm mục tiêu người dùng ở Hồng Kông.
Kaspersky tạm thời gọi nhóm APT này là “TwoSail Junk“. Hiện tại, họ có các thông tin từ các backdoor từ các cơ sở hạ tầng về cụm chiến dịch này với các hoạt động trước đó. Kaspersky đang làm việc với các đồng nghiệp để tìm ra liên kết giữa LightSpy với các hoạt động trước đây từ một nhóm APT Trung Quốc , trước đó được báo cáo là Spring Dragon/Lotus Blossom/Billbug (Thrip), nổi tiếng với các phần mềm độc hại Lotus Elise và Evora backdoor.
1.3 Chiến dịch Ursnif mới: Sự chuyển giao từ Powershell tới Mshta
Gần đây, đội ngũ Zscaler ThreatLabZ tìm ra sự bắt đầu của một chiến dịch có tính một kỹ thuật mới dùng phân phối tải trọng nhiều giai đoạn của Trojan ngần hàng nổi tiếng có tên Ursnif (còn gọi là Gozi hay Dreambot). Các phần mềm độc hại này đã tồn tại trong một khoảng thời gian dài và vẫn còn hoạt động tận dụng kỹ thuật phân phối mới.
Chiến dịch mới này bắt đầu vào ngày 24 tháng 3 năm 2020. Phần mềm độc hại đang được phân phối với tên info_03_24. doc, khá giống với một trong các chiến dịch phân phối phần mềm độc hại năm 2019 (info_07_. { date}. doc). Hơn nữa, các URL phân phối tải trong đoạn cuối phát hiện trong thời gian phân tích đã được đăng ký trong cùng một ngày và xung quanh cùng một khung thời gian (2020-03-24 T12:00:00Z), đó là một chỉ điểm mạnh mẽ về sự khởi đầu của một chiến dịch mới.
Một trong những lý do tác giả phần mềm độc hại cố gắng chuyển sang phương pháp phân phối mới là để vượt qua phòng thủ an ninh, để lại ít dấu vết, và làm nhiễu cùng với hệ thống hiện có trên máy của nạn nhân. Điều này có vẻ là lý do để sử dụng mshta trong chiến dịch mới này.
1.4 Chiến dịch Spy Cloud
ESRC (Trung tâm phản ứng bảo mật ESTsecurity) đã xác định một chiến dịch APT mới được thực hiện bởi nhóm do một nhà nước tài trợ có tên ‘ Geumseong121 ‘ vào đầu tháng 3 2020.
‘ Geumseong121 ‘, một nhóm mối đe dọa của Bắc Triều tiên đã và đang tiến hành các hoạt động gián điệp do nhà nước tài trợ trong không gian mạng của Hàn Quốc trong nhiều năm, chủ yếu là nhắm mục tiêu vào những người đang tham gia vào sự thống nhất, đối ngoại, an ninh quốc gia, các nhà lãnh đạo của các tổ chức chuyên về các vấn đề về Bắc Triều tiên
ESRC phân tích các chiến dịch được phát hiện gần đây dựa trên các dấu vết (IoC) và các mẩu bằng chứng thu thập bởi các cảm biến đa kênh tình báo bao gồm giải pháp bảo mật của ESTsecurity ALYac.
Cụ thể, nhóm đã thâm nhập vào một trang web không xác định và khai thác nó như một máy chủ điều khiển lệnh (C2) trong chiến dịch ‘ Operation Dragon Messenger ‘. Ngoài ra, các nhà phân tích quan sát sự phát triển của các chiến lược tấn công trong các máy chủ web, đã được xây dựng bởi nhóm bằng cách sử dụng thiết kế của nó, và dung nó để sử dụng trong các cuộc tấn công mới được phát hiện. Chiến dịch APT sử dụng các kỹ thuật tiên tiến lừa đảo với các tập tin mồi có chứa bằng chứng của người phản đối Bắc Triều Tiên để lừa người nhận email tin rằng họ nhận được một email từ một nguồn đáng tin cậy.
ESRC đã đặt tên cho chiến dịch APT của nhóm 121 Geumseong là ‘ Operation Spy Cloud ‘ dựa trên việc sử dụng Google Drive và dịch vụ PickCloud.
1.5 Các nhóm APT ngoại nhắm mục tiêu vào Hệ sinh thái công nghệ cao của Đài Loan
Trong suốt 2019, nhiều công ty trong hệ sinh thái công nghệ cao của Đài Loan là nạn nhân của các cuộc tấn công của APT
Do các cuộc tấn công APT có hành vi tương tự (sự tương đồng về các kỹ thuật đối nghịch, chiến thuật và quy trình) với các cuộc tấn công mạng tài liệu trước đó, CyCraft đánh giá với sự tin cậy cao những cuộc tấn công mới này được thực hiện bởi cùng một mối đe dọa nước ngoài.
Trong cuộc điều tra của họ, CyCraft gọi mối đe dọa này là Chimera. “Chimera” là viết tắt của việc tổng hợp các công cụ hacker mà họ đã nhìn thấy các nhóm sử dụng, chẳng hạn như các phần mềm độc hại có chứa mã được trích xuất từ Dumpert và Mimikatz. Hoạt động của nhóm đe dọa và toàn bộ các cuộc tấn công mới sử dụng kĩ thuật tấn công Skeleton Key từ cuối năm 2018 đến cuối 2019, CyCraft đã gọi chiến dịch là chiến dịch Skeleton Key.
Mục tiêu chính của các cuộc tấn công này là ăn cắp thông tin, chẳng hạn như các tài liệu về mạch tích hợp (IC), bộ phát triển phần mềm (SDK), thiết kế IC, mã nguồn, vv. Động cơ đằng sau những cuộc tấn công có khả năng bắt nguồn từ các đối thủ cạnh tranh (hoặc thậm chí có thể là quốc gia do bản chất tiên tiến của các cuộc tấn công) tìm cách đạt được một lợi thế cạnh tranh.
1.6 Malwarebytes: APTs và COVID-19 – Cách các mối đe dọa sử dụng virus corona để tiến hành chiến dịch
COVID-19 là một đại dịch toàn cầu xảy ra trong thời gian này, gây tổn hại tới an ninh xã hội, kinh tế, sinh kế, trường học, hệ thống bệnh viện. Các mối đe dọa công nghệ cao thấy điều này như là một cơ hội cho việc sử dụng sợ hãi và nỗi lo này để khởi động các chiến dịch.
Malwarebytes công bố một whitepaper với nghiên cứu xung quanh các kỹ thuật khác nhau mà APTs sử dụng trong đại dịch cho khai thác
Điển hình là kĩ thuật Malicious macro truyền thống được phần lớn các nhóm với tên Kimsuky, APT37, APT36, Patchwork, Hades, TA505, TA542, Bitter, Ocean Lotus sử dụng với các payload mới và phức tạp.
Tiếp đến là kĩ thuật Template Injection, một kĩ thuật sử dụng template văn bản Word có mã độc được dung bởi Kimsuky, Gamaredon
Calypso Group và Winnti sử dụng RTF exploit và Mustang Panada, Higaisia sử dụng LNK files.
2 Malware
2.1 Sự gia tăng của phần mềm độc hại di động
Chủ đề này không phải là mới trong 2020 nhưng bằng cách nào đó bị bỏ qua bởi nhiều người. Do số lượng lớn của adwares, ransomwares, Malware ăn cắp các thông tin xác thực trong điện thoại di động, điều này đã đưa cảnh báo lớn cho các nhà cung cấp dịch vụ chống phần mềm độc hại.
Các thiết bị di động là một phần rất lớn trong cuộc sống hàng ngày. Kết nối ta với phương tiện truyền thông xã hội, ngân hàng, video, ứng dụng trò chơi, mua sắm trực tuyến. Thiết bị cũng được sử dụng nhiều cho điện thoại di động làm việc, và do đó đã trở nên cực kỳ quan trọng đối với doanh nghiệp. Theo CERT UK, các thiết bị di động cá nhân thường là quan trọng đối với các doanh nghiệp như các thiết bị doanh nghiệp, với nhân viên sử dụng chúng cho các hoạt động liên quan đến công việc trên mạng doanh nghiệp (có khả năng chống lại chính sách bảo mật của công ty).
Nếu dữ liệu nhạy cảm đang được truy cập bởi các thiết bị di động có bảo mật hạn chế, kẻ tấn công sẽ tìm cách khai thác bất kỳ lỗ hổng nào và nhắm mục tiêu các thiết bị này trên quy mô lớn.
Phần mềm độc hại di động giống như phần mềm độc hại máy tính nhưng có nhiều phương pháp ẩn và ăn cắp phức tạp hơn. Thiết kế đặc biệt cho các thiết bị di động, Malware di động nhằm mục đích ăn cắp càng nhiều thông tin càng tốt.
Trong những năm gần đây, chúng tôi đã thấy một số lượng lớn các sự cố liên quan đến phần mêm độc hại di động
Mỗi doanh nghiệp với BYOD và người dùng thiết bị di động của công ty trên toàn cầu đã được tiếp xúc với phần mềm độc hại di động, với trung bình 54 lần cho mỗi công ty diễn ra trong vòng một khoảng thời gian 12 tháng, theo Check Point phát hành trong 2017. Nghiên cứu, dựa trên dữ liệu được thu thập từ các triển khai Check Point SandBlast Mobile tại 850 tổ chức.
2.2 Giới thiệu malware khác
– Clop Ransomware
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – April 2020
– CVE-2020-0969 – Chakra Scripting Engine Memory Corruption Vulnerability
– CVE-2020-0974 – Microsoft Word Remote Code Execution Vulnerability
– CVE-2020-0913 – Windows Kernel Privilege Escalation Vulnerability
Đầu đủ danh sách có thể tìm được ở đây:
3.2 Oracle
Một nhân viên của phòng SOC của GTSC, Bùi Xuân Quang – Tier 3 Analyst đã tìm được ra lỗ hổng ở MySQL Connector, có ảnh hưởng tới tất cả các ứng dụng Java có tương tác với MySQL Server, và được công nhận bởi Oracle tại CVE-2020-2933
– CVE-2020-2883 – WebLogic Remote Code Execution Vulnerabilities
– CVE-2020-2838 – Unauthorized access in Oracle CRM Gateway for Mobile Devices
– CVE-2020-0961 – Vulnerability in the Enterprise Manager Base Platform
Đầu đủ danh sách có thể tìm được ở đây:
https://www.oracle.com/security-alerts/cpuapr2020.html
3.3 Ứng dụng web và v.v
– CVE-2020-10199 – Nexus Repository Manager 3 – Remote Code Execution
– CVE-2020-3395 – Confluence Pre-Auth SSRF via WebDAV