Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Vendetta – Nhóm tấn công mới từ châu Âu
Bắt đầu từ tháng 4 năm nay, 360 Baize Lab đã quan sát và phân tích một loạt các cuộc tấn công từ một tổ chức tin tặc mới. Tổ chức này tiến hành gửi các phishing emails đến các nạn nhân bằng cách giả mạo một lá thư mời điều tra từ cảnh sát hay thông báo tình hình phát hiện COVID-19. Từ các phishing email này, nhóm đã cài đặt các backdoor virus để chiếm quyền máy của các nạn nhân, sau đó đánh cắp các thông tin nhạy cảm liên quan đến họ.
Các mẫu virus sử dụng bởi tổ chức này đều được dùng dưới tên của một user là “Vendetta”, do đó các nhà nghiên cứu quyết định đặt tên tổ chức hacker này là Vendetta. Qua một số tags nằm trong các mẫu phân tích, tác giả của virus này còn tự nhận đến từ Ý. Tuy nhiên, nhóm nghiên cứu đã quan sát được việc sử dụng một số tên nhất định bằng tiếng Thổ Nhĩ Kỳ để đặt tên các biến trong mẫu phân tích, do đó chỉ có thể khẳng định rằng nhóm tấn công này xuất phát từ châu Âu.
Nhóm Vendetta này đặc biệt giỏi ở các kỹ thuật social engineering. Nhóm có thể dễ dàng lừa các người dùng và khiến họ mở/chạy các chương trình độc hại từ các phishing email bao gồm giả mạo các lá thư điều tra từ Bộ Nội vụ Liên bang Áo, cơ quan cảnh sát Rumani, giả mạo email yêu cầu kiểm tra virus COVID-19 từ Bộ Y tế Chính phủ Úc, Bộ Y tế Mexico, hay giả mạo email từ tập đoàn Orascom của Ai Cập.
1.2 Hoạt động APT nhắm đến các hệ thống mạng cấp cao ở Trung Á
Các nhà nghiên cứu của Avast và ESET đã phối hợp và công bố một báo cáo chi tiết về một mẫu backdoor được sử dụng để tấn công một công ty viễn thông, một công ty gas và một tổ chức chính phủ ở Trung Á. Nhóm tấn công APT này, được tin rằng đến từ Trung Quốc, đã cố gắng cài backdoor vào hệ thống mạng điều hành để chiếm quyền điều khiến lâu dài các hệ thống này. Dựa trên các phân tích, Avast cho rằng nhóm APT này cũng là tổ chức đứng đằng sau các cuộc tấn công vào Mông Cổ, Nga và Belarut.
Nhóm tấn công này thường xuyên tinh chỉnh bộ công cụ tấn công nhằm tránh bị phát hiện bởi các hệ thống anti-virus. Bộ công cụ này không chỉ bao gồm các mẫu backdoor mà còn có Mimikatz và Gh0st RAT, với các mã nhị phân thường được bảo vệ bởi VMProtect, khiến cho việc phân tích càng khó khăn hơn. Từ các công cụ này, nhóm tấn công có thể tác động hay xóa các file trên máy nạn nhân, chụp ảnh màn hình, điều khiển các tiến trình và dịch vụ, cũng như chạy các câu lệnh thực thi để gửi dữ liệu đến các máy chủ C&C. Các thiết bị đã bị lây nhiễm còn có thể được sử dụng như một máy chủ C&C để kết nối đến các thiết bị khác. Ngoài ra, Gh0st RAT và Management Instrumentation còn giúp nhóm xóa đi các dấu vết của nhóm trong hệ thống mạng của nạn nhân.
Các mẫu mã độc được Avast và ESET thu thập và phân tích có nhiều điểm tương đồng với các mẫu Microcin, BYEBY và Vicious Panda đã được phát hiện trước đây. Dựa trên kết quả phân tích các mẫu này, cũng như phương thức tấn công, sự giống nhau trong các đoạn code, các nhà nghiên cứu tin rằng nhóm tấn công này đến từ Trung Quốc.
1.3 Chafer APT
Bitdefender mới đây đã công bố một loạt các cuộc tấn công của nhóm APT Chafer trong khu vực Trung Đông, kể từ năm 2018. Chafer là một nhóm APT đến từ Iran, bắt đầu hoạt động từ năm 2014, tập trung vào các hoạt động gián điệp mạng tại Trung Đông với mục đích là thu thập các thông tin tình báo. Nạn nhân của nhóm là các tổ chức chính phủ hay các công ty vận tải hàng không.
Các đặc điểm chính về các cuộc tấn công của nhóm:
- Hoạt động tấn công diễn ra chủ yếu vào thứ Sáu và thứ Bảy – đây là cuối tuần ở Trung Đông.
- Trong cuộc tấn công tại Kuwait, nhóm tấn công đã tạo được một tài khoản người dùng riêng để sử dụng và thực hiện các hoạt động tấn công thông qua chính tài khoản đó,
- Cuộc tấn công tại Ả-rập Xê-út sử dụng kỹ thuật chính là social engineering để tấn công các nạn nhân, nhưng kết quả tấn công không có quá nhiều thông tin.
- Mục đích cuối cùng của các cuộc tấn công đều là thu thập dữ liệu và tin tức tình báo.
1.4 Naikon APT
Thời gian gần đây, Check Point Research đã phát hiện ra bằng chứng mới về một chiến dịch gián điệp mạng nhắm đến một số tổ chức chính phủ thuộc khu vực Châu Á Thái Bình Dương. Hoạt động tấn công này, được cho là của nhóm Naikon APT, đã sử dụng một backdoor mới có tên Aria-body để chiếm quyền điều khiển hệ thống mạng của các nạn nhân.
So sánh với các cuộc tấn công trước đây, Check Point nhận thấy mục tiêu nhắm đến của nhóm Naikon APT vẫn không hề thay đổi, đó là các tổ chức chính phủ của các quốc gia bao gồm Úc, Indonesia, Phi-líp-pin, Việt Nam, Thái Lan, Myanmar và Brunei. Các tổ chức này bao gồm Bộ Ngoại giao, Bộ Khoa học và Công nghệ cũng như các công ty do Chính phủ sở hữu. Một điều đặc biệt là nhóm có thể thực hiện tấn công một tổ chức chính phủ từ các hệ thống của một chính phủ khác đã bị chiếm quyền, bằng việc sử dụng các kênh liên lạc đã được tin tưởng giữa các tổ chức để tiến hành các hành vi tấn công.
Mục tiêu của Naikon APT là thu thập các thông tin tình báo, gián điệp về các Chính phủ mà nhóm nhắm đến. Điều này không chỉ bao gồm thu thập dữ liệu từ các máy tính bị lây nhiễm mã độc mà còn từ các thiết bị lưu trữ di động, ảnh chụp màn hình, và keylogging. Không chỉ vậy, nhóm tấn công còn sử dụng chính các máy chủ đã bị chiếm quyền để làm máy chủ C&C tiến hành thu thập, định tuyến và truyền các dữ liệu lấy được.
Các bằng chứng mà Check Point phát hiện được cho thấy Naikon APT không hề dừng hoạt động trong suốt thời gian qua. Ngược lại, việc sử dụng hệ thống máy chủ mới, các mẫu backdoor mới, kỹ thuật in-memory fileless loading đã giúp các hoạt động của nhóm khó bị phát hiện hơn trước đây.
1.5 Blackloan
Trung tâm Chianxin Virus Response Center trong quá trình theo dõi đã phát hiện một loạt các phishing apps nhắm đến người dùng tại Trung Quốc, Việt Nam, Malaysia và 1 số nước khác. Các phishing apps này thường giả mạo các ứng dụng phổ biến để lừa người dùng khiến họ tải ứng dụng về, sau đó thông qua các phishing pages khiến người dùng điền vào các thông tin cá nhân về thẻ ngân hàng để tiến hàng đánh cắp tài khoản và các tài sản của người dùng.
Kết quả phân tích cho thấy lần đầu xuất hiện các ứng dụng độc hại này là ngày 26/02/2020, và các gói cài đặt các ứng dụng này đều bắt đầu bằng cụm “Com.loan.test1”, do đó Chianxin đã đặt tên chiến dịch tấn công này là “Blackloan”. Chiến dịch Blackloan này hiện được cho là thuộc về một nhóm tội phạm lừa đảo mới.
Tấn công phishing nhắm vào Việt Nam
Blackloan chủ yếu thực hiện tấn công phishing bằng việc giả mạo các ứng dụng của Bộ Công an Việt Nam, lừa người dùng điền vào các thông tin cá nhân nhạy cảm, và gửi các thông tin đó về máy chủ để phục vụ các cuộc tấn công sau này.
Trang web giả mạo Bộ Công an:
Lừa người dùng điền vào các thông tin cá nhân:
Khuyến cáo người dùng không sử dụng các ứng dụng từ các nguồn không rõ rang. Trong trường hợp cần điền các thông tin cá nhân, cần liên lạc với nhân viên có thẩm quyền để xác nhận.
2 Malware
2.1 Sự tiếp diễn của các chiến dịch malware lợi dụng COVID-19
Vào tháng 5 năm 2020, SentinelLab đã công bố một bài báo về sự tiếp diễn của malware xung quanh COVID-19. Những nỗi sợ và sự tò mò của người dùng về dịch bệnh đã khiến những malware có chủ đề COVID-19 càng trở nên hiệu quả hơn. Số lượng các chiến dịch, malware, ransomware, lừa đảo trên mạng về COVID-19 ngày càng gia tăng.
Ngày 11 Tháng 5, một người dùng twitter tên @cocaman đã đăng một bài chứa thông tin về 1 dropper có chủ đề COVID-19 cho HimeraLoader. Cũng giống như các chiến dịch Trickbot, các cuộc tấn công malware này lợi dụng các điều luật nghỉ phép trong khoảng dịch COVID-19 để người dung mở một tệp tài liệu Word, điều này dẫn điến việc cài đặt malware trên máy. Malware này sau đó tải các phần bổ trợ khác và sẽ duy trì ở trong máy bằng cách tạo task tại TaskScheduler.
Nguồn: https://labs.sentinelone.com
Ngày 14 tháng 5, @MalwareHunterTeam đã thông báo về một trojan được code bằng Node.js có chủ đê COVID-19
Trojan này hoạt đồng gần giống một RAT(Trình quản lí từ xa) và chúng duy trì tại máy chủ bằng cách tạo 1 trường tại registry khóa ‘run’ (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).
Nguồn: https://labs.sentinelone.com
Chúng ta vẫn thấy sự gia tăng của các malware ở ứng dụng di động. Những ứng dụng này giả dạng dưới danh là về COVID-19 với mục đích đánh cắp những thông tin người dung.
Cùng ngày, Microsoft công bố một feed miễn phí để cung cấp IoCs mang chủ đề COVID-19. Những nhà cung cấp các giải pháp SIEM/SOC có thể dễ dàng cập nhập từ feed này.
Vào ngày 17 tháng 5, @JAMESWT_MHT cùng với @MalwareHunterTeam đã công bố một biến thể của MBRLocker mang tên Coviper.
2.2 Giới thiệu malware khác
– NanoCore RAT
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – May 2020
– CVE-2020-1102– Microsoft SharePoint Remote Code Execution Vulnerability
– CVE-2020-1067 – Windows Remote Code Execution Vulnerability
– CVE-2020-1096 – Microsoft Edge PDF Remote Code Execution Vulnerability
Đầu đủ danh sách có thể tìm được ở đây:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-May
3.2 Ứng dụng web và v.v
– CVE-2020-9898 – Apache Tomcat Remote Code Execution vulnerability
– CVE-2020-11022 và CVE-2020-11023 – Potential XSS vulnerability in jQuery