Thông tin các mối đe dọa bảo mật trong tháng 7 – 2020

Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

 

1 Các mối đe dọa nâng cao – Advanced Threats

1.1 Chiến dịch APT tấn công vào Malaysia

Elastic Security Intelligence & Analytics Team gần đây đã phát hiện ra hoạt động tấn công của một nhóm sử dụng các kỹ thuật remote templates, VBA code evasion và DLL side-loading. Dựa trên sự tương đồng về code và TTPs, đội ngũ phân tích cho rằng các hoạt động này có liên quan đến nhóm APT đến từ Trung Quốc là APT40, hay tên gọi khác là Leviathan. Chiến dịch này nhắm đến các nhân viên chính phủ Malaysia sử dụng nội dung lừa đảo liên quan đến cuộc khủng hoảng chính trị 2020 tại đất nước này.

Đầu năm nay, Malaysian Computer Emergency Response Team (MyCERT) cũng đã phát hiện ra các hoạt động gián điệp mạng nhắm vào quốc gia này. Báo cáo được công bố cũng cho thấy các kỹ thuật và các mẫu được sử dụng đều có liên quan đến nhóm APT40/Leviathan.

Sau quá trình phân tích, Elastic Intelligence & Analytics Team đánh giá hoạt động tấn công lần này có liên quan đến APT40/Leviathan với mức độ tin cậy trung bình (moderate).

1.2 StrongPity APT

Các chuyên gia nghiên cứu của Bitdefender gần đây đã phát hiện ra hoạt động của nhóm APT StrongPity nhắm đến các nạn nhân tại Thổ Nhĩ Kỳ và Siri. Trong các chiến dịch này, nhóm đã sử dụng chiến thuật watering hole và triển khai hệ thống C&C 3 lớp để ngăn cản việc điều tra truy vết, bên cạnh đó là việc vẫn sử dụng các công cụ Trojanized phổ biến như các chiến dịch trước đây.

Dữ liệu thu thập được trong quá trình điều tra cho thấy nhóm tấn công đặc biệt nhắm đến mục tiêu là cộng đồng người Kurd. Thêm vào đó, các mẫu được sử dụng trong một trong các chiến dịch được xác định có thể bắt đầu từ ngày 1/10/2019, trùng thời gian với chiến dịch tấn công của Thổ Nhĩ Kỳ vào phía đông bắc Siri mang tên Operation Peace Spring.

Dù chưa có bằng chứng trực tiếp nào cho thấy nhóm APT StrongPity hoạt động với sự trợ giúp của lực lượng quân đội Thổ Nhĩ Kỳ, hồ sơ các nạn nhân cùng với kết quả phân tích thời gian trên các mẫu vẫn cho thấy tồn tại một sự trùng hợp. Một bằng chứng khác là các ứng dụng mã độc đều được biên dịch (compiled) từ thứ Hai đến thứ Sáu, trong khung giờ từ 9 đến 6 UTC+2, cho thấy StrongPity có thể là một nhóm được tài trợ và hoạt động như một developer team để triển khai các dự án đặc biệt.

1.3 Operation Honey Trap – APT36

Seqrite công bố phân tích hoạt động của nhóm APT36 trong 3 tháng gần đây. Nạn nhân trong chiến dịch lần này là các cá nhân thuộc các tổ chức phòng thủ và các tổ chức chính phủ khác của Ấn Độ.

Trong các cuộc tấn công mới đây, APT36 thường sử dụng kỹ thuật honey trapping để dụ dỗ và lừa đảo các mục tiêu của nhóm. Kỹ thuật này bao gồm việc sử dụng các hồ sơ giả của các phụ nữ quyến rũ để dụ dỗ các mục tiêu mở email hoặc chat qua các nền tảng nhắn tin, với mục đích cuối là để tải xuống malware.

Malware nhóm sử dụng vẫn là Crimson RAT để thực hiện các hoạt động đánh cắp dữ liệu và gửi về các máy chủ C&C.

Kết quả phân tích cũng cho thấy nhóm sử dụng 2 kịch bản khác nhau cho quá trình lây nhiễm (infection chain):

Infection chain – Scenario 1

Infection chain – Scenario 2

1.4 Evilnum

Đội ngũ của ESET đã phân tích hoạt động của Evilnum, nhóm APT đứng đằng sau malware Evilnum được sử dụng trong các cuộc tấn công trước đây nhắm vào các công ty fintech. Mặc dù mẫu malware này đã được biết đến từ năm 2018, vẫn có rất ít tài liệu hay công bố về nhóm APT đứng đằng sau và cách thức hoạt động của nhóm.

Mục tiêu chính của Evilnum là các công ty fintech, phần lớn nằm ở châu Âu và Anh, tuy nhiên ESET cũng quan sát thấy có những cuộc tấn công tại Úc và Canada.

Phân tích cho thấy các mẫu Evilnum sử dụng bao gồm các file LNK và Javascript được sử dụng trong giai đoạn đầu của cuộc tấn công để triển khai các malware khác như C# spy, Golden Chickens hoặc một vài công cụ Python khác. Các mẫu malware hoạt động độc lập và có máy chủ C&C riêng của chúng, các máy chủ này được đề cập thông qua địa chỉ IP; tên miền hiện vẫn chưa được sử dụng, ngoại trừ máy chủ C&C của các mẫu Golden Chickens – mẫu malware được mua từ 1 nhà cung cấp MaaS. Phần lớn các máy chủ này được hosted tại Ukraina và Hà Lan.

1.5 Hacker Triều Tiên tấn công skimming các cửa hàng Mỹ và châu Âu

Một nghiên cứu mới của Sansec cho thấy, các hacker Triều Tiên đã mở rộng hoạt động của mình từ các ngân hàng, thị trường crypto Hàn Quốc sang cả các hoạt động tấn công digital skimming.

Các bằng chứng về cơ sở hạ tầng, các mẫu trong malware code cho thấy các hoạt động này có liên quan đến nhóm HIDDEN COBRA. Nhóm này, sau khi chiếm được quyền truy cập trái phép vào hệ thống store code của mục tiêu, sẽ tiến hành inject các script độc hại vào trang thanh toán (checkout page), từ đó tiến hành đánh cắp các thông tin giao dịch của khách hàng và gửi lên các máy chủ được điều khiển bởi nhóm.

Để thu lợi từ các hoạt động skimming, HIDDEN COBRA đã phát triển một hệ thống mạng vận chuyển dữ liệu toàn cầu. Sansec hiện đã xác định được một số nút trong hệ thống này, thể hiện trong đồ thị dưới đây:

Đội ngũ của Sansec cũng tin rằng các hoạt động digital skimming của các hacker Triều Tiên đã được triển khai từ ít nhất là vào tháng 5/2019.

2 Malware

2.1 Malwares ẩn mình trong những phần mềm thuế và tài chính của Trung Quốc

Theo Trustwave, một chiến dịch phần mềm độc hại có chứa những malwares trong phần mềm thuế doanh nghiệp của Trung Quốc được lan tỏa hơn nhiều so với những nhận định ban đầu.

Các nhà phát hành đã phát hiện ra rằng khách hàng của họ đã vô tình tải xuống một số phần mềm độc hại sau khi cài đặt sản phẩm phần mềm Thuế thông minh, được sản xuất bởi Aisino Corporation, một công ty của Trung Quốc.

Các ngân hàng Trung Quốc yêu cầu tất cả các công ty tải xuống phần mềm từ Aisino hoặc Baiwang để tuân thủ chương trình Thuế VAT của mình, cho thấy rằng chiến dịch phần mềm độc hại có thể có sự tài trợ trực tiếp từ chính phủ.

Trước đây, Trustwave cũng đã phát hiện ra malware GoldenSpy trong các loại phần mềm của tập đoàn này. Bây giờ, các nhà cung cấp đã phát hiện ra một phần mềm độc hại thứ hai, được đặt tên là GoldenHelper, xuất hiện trước GoldenSpy. Nó được tìm thấy trong phần mềm Golden Tax VAT (phiên bản Baiwang), được ký tên bởi một công ty con của Aisino, Nou Nou Technologies.

Phần mềm độc hại này, mặc dù có chức năng khác với GoldenSpy, có cơ chế tương tự, theo VP của bộ phận phát hiện và phản ứng mối nguy hiểm không giang mạng của Trustwave, Brian Hussey. Malware này sử dụng ba tệp DLL để: làm giao diện cho phần mềm Golden Tax, Vượt qua rào cản bảo mật của Windows và leo thang đặc quyền và tải xuống và thực thi mã tùy ý với các đặc quyền cấp hệ thống.

Nó cũng sử dụng nhiều kỹ thuật để che giấu sự hiện diện và hoạt động của nó, bao gồm ngẫu nhiên hóa tên trong khi truyền và vị trí hệ thống tệp, tính thời gian, Thuật toán tạo tên miền dựa trên IP (DGA) và vượt qua UAC để leo thang đặc quyền.

Nguồn: https://www.infosecurity-magazine.com/

2.2 Sự trở lại của Emotet

Sau vài năm tháng vắng mặt, Emotet đã trở lại. Sau nhiều báo động sai trong vài tuần qua, một chiến dịch spam lần đầu tiên được phát hiện vào ngày 13 tháng 7 cho thấy dấu hiệu của sự trở lại của Emotet.

Phương thức truyền bá vẫn thông qua email lừa đảo với tệp đính kèm macro.

Emotet thường được dùng để làm điểm vào đầu tiên của tội phạm mạng. Sau đó, một số mối e ngại khác sẽ được truyền tải, ví dụ như Trickbot.

Thiệt hại thực sự mà Emotet có thể gây ra xảy ra khi nó được đính kèm với các malware. Đặc biệt, các tội phạm mạng thường xuyên đính kèm nó với các ransomware nguy hiểm.

Nguồn: Malwarebytes

3 CVE và các khuyến nghị bảo mật

3.1 Các CVE quan trọng trong tháng

3.1.1 CVE-2020-5902 – F5 BIG-IP Remote Code Execution

Vào ngày 30 tháng 5, F5 Networks công bố một số bài báo về khuyến nghị bảo mật như K52145254, K43638305. Trong các bài báo này, họ công bố 2 lỗ hổng quan trọng ở sản phẩm BIG-IP, sản phẩm này cung cấp các giải pháp khác nhau ở cả phần mềm và phần cứng về quản lí truy cập, bảo mật, tính khả dụng của hệ thống, v.v. Và chúng được sử dụng khá rộng rãi trên thế giới.

Những lổ hổng này được tiết lộ cho F5 bởi Mikhail Klyuchnikov, một kĩ sư bảo mật ứng dụng ở Positive Technologies. 3 ngày sau khi lỗ hổng được công bố, rất nhiều nỗ lực khai thác đã được phát hiện.

CVE này được công bố cho ứng dụng Traffic Management User Interface (TMUI) của sản phẩm BIG-IP

Lỗ hổng được cho là nằm ở cách ứng dụng nền xử lí xác thực và có một lỗi path traversal có thể vượt qua được cách xử lí xác thực đó. Điều này khiên cho một người dùng không có thông tin xác thực có thể thực hiện được một số công vụ nhạy cảm như đọc các tệp dữ liệu, thực hiện câu lệnh từ xa, v.v

Nguồn: https://i.blackhat.com/us-18/Wed-August-8/us-18-Orange-Tsai-Breaking-Parser-Logic-Take-Your-Path-Normalization-Off-And-Pop-0days-Out-2.pdf

Bằng việc lợi dụng các tính bất đồng giữa các ứng dụng với nhau những đường dẫn như

/tmui/login.jsp/..;/tmui/locallb/workspace/fileRead.jsp

/tmui/login.jsp/..;/tmui/locallb/workspace/tmshCmd.jsp

 

Có thể phá vỡ rào cản xác thực của ứng dụng.

Chúng tôi thực hiện rà soát trên shodan để tìm những máy chủ chạy TMUI ở Việt Nam

Chúng tôi thực hiện thử đọc một tệp không nhạy cảm để thử xem 1 máy chủ bất kì ở trong danh sách này có bị lỗi hay không. Để làm điều này chúng tôi tiến hành đọc file /etc/host của 1 IP tìm thấy được.

Những IP này dường như thuộc về các nhà mạng khác nhau ở Việt Nam như VNPT, FPT. Các nhà nghiên cứu trên thế giới có đưa ra số liệu vê những máy chủ có thể khai thác được lỗi trên toàn thế giới. Tính đến thời điểm ngày 06-07-2020, có tổng cộng 10 máy chủ có thể khai thác được lỗi.

Nguồn: https://docs.google.com/spreadsheets/d/1qbooNh9sqAK6cqfzIC533XNgvO83rhtWh_eWNK7fMWU/edit#gid=0

F5 đã có những nỗ lực đưa ra những phương pháp tạm thời để khắc phục lỗi. Nhưng các nhà nghiên cứu trên thế giới đã nhanh chóng tìm ra các cách vượt qua những rào cản này nhanh chóng. Hiện tại, F5 đã công bố một bản cập nhập chính thức để kết thúc nỗi lo này.

3.1.2    Nhiều lỗ hổng trên sản phẩm của Citrix

Citrix đã công bố nhiều lỗ hổng trong Citrix Application Delivery Controlle (ADC) và Gateway cho  phép chèn mã độc hại, tiết lộ thông tin nhạy cảm và DoS. 4 trong số các lỗi có thể được khai thác bởi một kẻ tấn công từ xa không cần xác thực.

Các sản phẩm của Citrix (trước đây gọi là NetScaler ADC và Gateway) được sử dụng để quản lý lưu lượng truy cập nhận biết ứng dụng và cung cấp truy cập từ xa an toàn, giải pháp được cài đặt tại ít nhất 80.000 công ty ở 158 quốc gia, theo đánh giá tháng 12 từ Positive Technologies.

Trước đây, Citrix ADC được biết đến với CVE-2019-19781 được công bố vào tháng 12 năm 2019. Mặc dù các lỗ hổng này không nghiêm trọng như CVE-2019-19781, hầu hết trong số này yêu cầu một hoặc một số điều kiện trước như đặc quyền, tương tác người dùng , v.v. Tuy nhiên, người dùng được khuyến nghị vá chúng ngay lập tức vì các vectơ tấn công này vẫn rất nguy hiểm.

 

3.1.3 CVE-2020-1350 – Sigred / lỗ hổng tồn tại 17 năm trong Window DNS server

Các nhà nghiên cứu đã cảnh báo các tổ chức về Microsoft Windows Server của họ để bảo vệ hệ thống mạng trước một lỗ hổng nghiêm tồn tại trong mã nguồn của hệ thống trong 17 năm.

Hiện đã được vá trong bản cập nhật được công bố vào các thứ ba hàng tháng của Microsoft vào ngày 14 tháng 7, CVE-2020-1350 đã được gắn điểm nghiêm trọng CVSS là 10.0. Lỗ hổng ảnh hưởng đến Windows Server phiên bản từ 2003 đến 2019 và có thể được kích hoạt bởi phản hồi DNS độc hại. Vì dịch vụ đang chạy với các đặc quyền cao (SYSTEM), nếu được khai thác thành công, kẻ tấn công có thể được cấp quyền Domain Administrator và có thể có quyền kiểm soát toàn bộ cơ sở hạ tầng của công ty.

Chúng tôi thực sự khuyên người dùng nên vá Máy chủ DNS Windows bị ảnh hưởng của họ để ngăn chặn việc khai thác lỗ hổng này.

Nếu chưa thể cập nhập bản vá, chúng tôi kiến nghị nên đặt độ dài tối đa của tin nhắn DNS (qua TCP) thành 0xFF00, để loại bỏ lỗ hổng. Bạn có thể làm như vậy bằng cách thực hiện các lệnh sau:

reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters” /v “TcpReceivePacketSize” /t REG_DWORD /d 0xFF00 /f

net stop DNS && net start DNS

 

3.2 Microsoft Patch Tuesday – July 2020

– CVE-2020-1444 – Microsoft SharePoint Server Remote Code Execution Vulnerability

– CVE-2020-1446 – Microsoft Word Remote Code Execution Vulnerability

– CVE-2020-1421 – LNK Remote Code Execution Vulnerability

Đầu đủ danh sách có thể tìm được ở đây:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jul

3.3 Oracle

Theo định kì các quý, Oracle công bố bài báo tổng hợp về các lỗ hổng bảo mật và các khuyến nghị của hãng

– CVE-2020-9546 – Vulnerability in the Oracle WebLogic Server

– CVE-2020-14628 – Unknown bug in Oracle Virtual Box

– CVE-2020-1938 – Ghostcat vulnerability – Apache Tomcat AJP File Read/Inclusion Vulnerability

Đầu đủ danh sách có thể tìm được ở đây:

https://www.oracle.com/security-alerts/cpujul2020.html