Thông tin các mối đe dọa bảo mật trong tháng 6 – 2020

 

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1       Các mối đe dọa nâng cao – Advanced Threats

1.1     Tấn công APT đa giai đoạn sử dụng Malleable C2 của Cobalt Strike

Vào ngày 10 tháng 6, Malwarebytes đã phát hiện một file Word độc hại được ngụy trang dưới dạng 1 bản lý lịch (resume), file Word này sử dụng kỹ thuật template injection để tải một .Net Loader. Đây được coi là giai đoạn đầu tiên trong một cuộc tấn công APT. Trong giai đoạn cuối cùng, nhóm tấn công đã sử dụng Malleable C2 của Cobalt Strike để tải payload cuối và kết nối đến C2.

Có nhiều điểm thông minh trong các kỹ thuật trốn tránh của nhóm mà Malwarebytes phát hiện được. Ví dụ, có một khoảng trễ (delay) có chủ đích trong việc thực thi payload từ macro Word. Mục tiêu ở đây không phải là xâm nhập vào các nạn nhân ngay lập tức mà thay vào đó, chờ cho đến khi họ khởi động lại máy tính. Ngoài ra, nhóm này còn giấu shellcode vào bên trong một file JavaScript sạch và tải nó mà không tác động đến ổ đĩa, giúp tránh bị phát hiện bởi các phần mềm bảo mật.

Phân tích cho thấy nhóm tấn công đã bỏ Nga và Mỹ ra khỏi mục tiêu tấn công. Domain host cho remote template được đăng ký tại Hồng Kông trong khi C2 domain “time.updateeset[.]com” được đăng ký dưới tên một công ty Iran có tên Ehtesham Rayan vào ngày 29/02/2020. Các kỹ thuật và phương pháp sử dụng trong cuộc tấn công APT này có vài điểm tương đồng với các nhóm APT như Mustang Panda hay APT41. Tuy nhiên hiện tại vẫn chưa có đủ bằng chứng và dấu hiệu để kết luận nhóm đứng đằng sau cuộc tấn công này.

1.2     Phát hiện file LNK mới liên quan đến Higaisa APT

Cũng trong tháng này, Malwarebytes đã phát hiện một cuộc tấn công mới mà họ tin rằng nằm trong một chiến dịch của nhóm Higaisa APT. Higaisa APT được cho rằng xuất phát từ Hàn Quốc, và lần đầu được phát hiện bởi Trung tâm Threat Intelligence của Tencent vào đầu năm 2019.

Trong cuộc tấn công mới nhất này, nhóm đã sử dụng một bộ các file LNK độc hại mới được nén lại và lây truyền qua spear-phishing. Các file độc hại có thể được lây truyền trong khoảng ngày 12 đến 31 tháng Năm, bao gồm 2 file “CV_Colliers.rar” và “Project link and New copyright policy.rar”. Bên trong file rar đầu tiên, các file LNK được ngụy trang dưới dạng các CV và kết quả kiểm tra IELTS. Bên trong file rar thứ hai, các file LNK nhắm đến các đối tượng sử dụng zeplin.io.

1.3     Cập nhật mới về nhóm Cobalt

PT ESC đã công bố những cập nhật mới về nhóm Cobalt. Những cập nhật này không chỉ bao gồm việc sửa đổi những công cụ chính CobInt và COM-DLL-Dropper kết hợp với more_eggs JavaScript backdoor mà còn là việc sử dụng những phương pháp mới để lây nhiễm malware và vượt qua hệ thống bảo mật trong những giai đoạn đầu của tấn công.

  • CobIntđược thả bởi một bộ cài đặt NSIS được tinh chỉnh với 3 phiên bản cho Chrome, Firefox và Opera, và được phân phối từ 1 website phishing “ecb-european[.]eu
  • Thay đổi chính trong CobIntnằm trong thuật toán được sử dụng, từ việc xóa bỏ các tags và bỏ qua nội dung của chúng, tiến hành xử lý các ký tự như dấu chấm, dấu phấy và dấu cách, cho đến giải mã dữ liệu từ Base64 và decrypt by XOR.
  • Phân tích COM-DLL-Droppercho thấy key bruteforce để decrypt các chuỗi ký tự chuyển sang dùng RC4 thay cho XOR

1.4     Tấn công nhắm mục tiêu lợi dụng xung đột biên giới Ấn Độ – Trung Quốc để lừa các nạn nhân

Đội ngũ Zscaler ThreatLabZ gần đây đã phát hiện một cuộc tấn công lợi dụng vấn đề xung đột biên giới Ấn Độ – Trung Quốc để lừa các nạn nhân mở các tài liệu độc hại.

  • Đây là cuộc tấn công fileless, không có payload nào được ghi lên ổ đĩa và không có persistence nào được tạo.
  • Shellcode sử dụng trường HTTP host giả trong khi kết nối với server C&C để tải xuống shellcode.
  • Sử dụng DKMCframework để giấu giao tiếp sử dụng kỹ thuật steganography.
  • Sử dụng Malleable C2của Cobalt Strike.

ThreatLabZ cũng đưa ra một vài đánh giá cho cuộc tấn công. Việc sử dụng DKMCCobalt Strike và fileless payloads là các kỹ thuật được sử dụng nhiều bởi nhóm OceanLotus, tuy nhiên, việc sử dụng GIF Header trong shellcode được cho là mới với nhóm này. Ngoài ra, giá trị watermark tìm thấy trong cấu hình beacon cũng từng được sử dụng bởi nhóm Trickbot.

1.5     Cập nhật mới về APT30

APT30 được phát hiện lần đầu bởi FireEye vào năm 2015. Các cuộc tấn công chính của nhóm nhắm đến các mục tiêu thuộc chính phủ của các nước Nam và Đông Nam Á (bao gồm Ấn ĐộThái Lan và Malaysia) phục vụ cho các hoạt động gián điệp mạng. Trong các phân tích mới đây, đội ngũ của PT ESC đã phát hiện ra một số mẫu mới trong hoạt động của nhóm, bao gồm:

  • 2 mẫu backdoor mới: RHttpCtrlvà RCtrl backdoor
  • Các domain mới trong hệ thống hạ tầng network của nhóm: gordeneyes\.comkabadefender\.comtechmicrost\.com

Mặc dù có cập nhật về các công cụ và cơ sở hạ tầng network, mục tiêu tấn công của nhóm có vẻ vẫn không thay đổi. Các mẫu mới của nhóm được phát hiện cũng không phải là các mẫu malware quá mạnh trong việc ấn giẩu và tránh bị phát hiện, rất có thể nhóm vẫn đang trong quá trình sử dụng thử những mẫu này. Điều này nhiều khả năng báo hiệu sẽ có những phiên bản nâng cấp của những mẫu này xuất hiện trong tương lai.

2       Malware

2.1     Tình hình lây nhiễm malware tại Việt Nam

Dựa trên dữ liệu được cung cấp bởi vendor, có thể nhận thấy 3 malware hoạt động mạnh nhất tại Việt Nam lần lượt là AvalancheGamarue và Necurs. Số liệu trên đồ thị được thu thập từ tháng 03/2020 đến nay, mỗi giá trị là 1 lượt kết nối từ 1 địa chỉ IP ở Việt Nam bị lây nhiễm bởi Malware đến 1 địa chỉ IP mà vendor quan sát được trong hệ thống sinkholed C&C domains. Theo đó, các địa chỉ IP bị lây nhiễm bởi malware Avalanche có số lượng kết nối nhiều nhất với hơn 14 triệu kết nối quan sát được (59%), theo sau là Gamarue (27.7%) và Necurs (7.1%).

Thống kê theo số lượng kết nối mà vendor phát hiện được tính từ tháng 3 năm nay:

Tháng Số lượng kết nối
03/2020 5,038,033
04/2020 5,534,244
05/2020 5,568,984
06/2020 (tính đến ngày 14/06/2020) 2,492,278
Tổng cộng 18,633,539

 

Bên dưới là số lượng kết nối chỉ tính riêng trong ngày 18/06/2020 (182,741 kết nối):

Tình hình lây nhiễm malware phân bố theo các tỉnh, thành ở Việt Nam:

Thống kê các tỉnh, thành phố có số lượng địa chỉ IP bị nhiễm và kết nối nhiều nhất:

2 tỉnh, thành phố có số lượng địa chỉ IP bị nhiễm và thực hiện kết nối nhiều nhất là Thành phố Hồ Chí Minh (31.46%) và Hà Nội (31.45%), theo sau là Đà Nẵng (3.07%) và Hải Phòng (2.71%).

2.2     Ransomware Tycoon tấn công các tổ chức CNTT và Giáo dục

Tycoon – một Ransomware viết bằng Java mới đang được sử dụng để né tránh các biện pháp bảo vệ an ninh. Theo BlackBerry Threat Intelligence, Tycoon có thể lây nhiễm cả thiết bị Windows và Linux.

Ransomware này lần đầu tiên được phát hiện rộng rãi vào tháng 12 năm 2019, được triển khai dưới dạng môi trường chạy Java (JRE) bị trojan hóa và tận dụng một image Java tối nghĩa trong một nỗ lực để Bay bay dưới radar radar, rõ ràng là sự xâm nhập ban đầu đã xảy ra thông qua một máy chủ nhảy RDP đối mặt với Internet.

Hình minh họa sau đây cho thấy cách những kẻ tấn công quản lý để có được quyền truy cập ban đầu và bắt đầu lây nhiễm các hệ thống trên toàn hệ thống:

Nguồn: https://blogs.blackberry.com

Mặc dù Tycoon đã hoạt động ít nhất sáu tháng, nhưng lại có số lượng ít về nạn nhân. Điều này, theo BlackBerry, cho thấy phần mềm độc hại này có thể được nhắm vào các mục tiêu cao và có giá trị.

Những người viết Malware liên tục tìm kiếm những cách có thể vượt qua được hệ thống bảo mật.

Họ đang dần rời xa khỏi sự xáo trộn thông thường và chuyển sang các ngôn ngữ lập trình không phổ biến và các định dạng dữ liệu tối nghĩa.

May mắn thay, nạn nhân của Ransomware này hiện có khả năng khôi phục các tệp của họ miễn phí, vì Emsisoft đã phát hành một bộ giải mã.

Tuy nhiên, cần lưu ý rằng công cụ này chỉ hoạt động cho phiên bản cũ nhất của Tycoon ransomware mã hóa các tệp có phần mở rộng .redrum chứ không phải là biến thể happyny3.1 gần đây.

3       CVE và các khuyến nghị bảo mật

3.1     CVE quan trọng trong tháng

– Ripple20 – 19 lỗi zero-day ở thư viện TCP/IP của Treck, Inc.

Một dải các lổ hổng bảo mật ảnh hưởng tới thư viện TCP/IP được sử dụng ở rất nhiều thiết bị của các vendor nổi tiếng khác nhau bao gồm Cisco, Intel, HP, Dell, IBM.

Nguồn: https://www.jsof-tech.com/ripple20/

Các lỗi cho phép kẻ tấn công thực hiện khai thác nhiều cách tấn công khác nhau từ việc thực thi mã từ xa cho đến đọc những thông tin nhạy cảm.

Việc sử dụng những thiết bị IoT, thiết bị mạng của những vendor được liệt kê khá phổ biến ở các tập đoàn và doanh nghiệp Việt Nam.

3.2     Microsoft Patch Tuesday – June 2020

– CVE-2020-1181 – Microsoft SharePoint Server Remote Code Execution Vulnerability

– CVE-2020-1226 – Microsoft Excel Remote Code Execution Vulnerability

– CVE-2020-1301 – Windows SMB Authenticated Remote Code Execution Vulnerability

Đầu đủ danh sách có thể tìm được ở đây:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-June

3.3     Ứng dụng web và v.v

– CVE-2020-5410 – Directory Traversal with spring-cloud-config-server

 CVE-2020-13379 – Incorrect access control vulnerability