Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Cập nhật mới về OilRig
Trong quá trình phân tích một cuộc tấn công nhắm đến một tập đoàn viễn thông ở Trung Đông, đội ngũ Unit 42 của Palo Alto đã phát hiện ra một biến thể mới của một công cụ thuộc về OilRig, được gọi là RDAT, sử dụng email để kết nối với máy chủ C2 đồng thời sử dụng kỹ thuật steganography để che giấu các câu lệnh và dữ liệu trong các file ảnh được đính kèm trong các email.
Tháng 4 năm nay, Unit 42 đã quan sát thấy có các hoạt động tấn công nhắm đến một tập đoàn viễn thông ở Trung Đông. Các công cụ liên quan đến hoạt động lần này gồm có các mẫu Mimikatz sử dụng cho việc credential dumping, một mẫu Bitvise client được sử dụng để tạo SSH tunnels, và một mẫu backdoor được tinh chỉnh, được gọi là RDAT. Từ mẫu RDAT được thu thập ban đầu, các nhà phân tích đã mở rộng nghiên cứu và kết nối đến các mẫu ISMDOOR trước đây. Kết hợp việc sử dụng RDAT trong các webshell, sự tương đồng trong code và chiến thuật tấn công, Unit 42 tin rằng mẫu RDAT này là một công cụ được triển khai bởi OilRig.
Trong số các mẫu RDAT thu thập được, có 1 mẫu RDAT được biên dịch và cấu hình để kết nối đến domain rsshay[.]com như là máy chủ C2. Điểm đặc biệt của mẫu này là nó chỉ sử dụng DNS tunneling cho các giao tiếp C2 mà ko sử dụng đến các HTTP fallback channel.
Một mẫu RDAT khác được phát hiện sử dụng email cho kênh liên lạc C2 thông qua trao đổi với máy chủ Exchange nội bộ sử dụng EWS API. Các nhà phân tích tìm được 2 địa chỉ email sử dụng cho việc gửi và nhận email trao đổi với máy chủ C2 là koko@acrlee[.]com and h76y@acrlee[.]com.
1.2 Operation PowerFall
Vào tháng 5 năm nay, đội ngũ của Kaspersky đã phát hiện và ngăn chặn một cuộc tấn công vào một công ty của Hàn Quốc thông qua các malicious script cho Internet Explorer. Phân tích chi tiết cho thấy cuộc tấn công này đã sử dụng hai lỗ hổng zero-day hoàn toàn mới chưa được phát hiện trước đây: một lỗ hổng thực thi code từ xa (RCE) trên Internet Explorer và một lỗ hổng leo thang đặc quyền (EoP) trên Windows. Khác với cuộc tấn công được phát hiện trước đó, Operation WizardOpium, cuộc tấn công lần này nhắm đến các phiên bản mới nhất của Windows 10, các kiểm tra thử nghiệm cũng cho thấy hoàn toàn có thể tiến hành khai thác lỗ hổng trên Internet Explorer 11 và Windows 10 build 18363 x64.
Ngày 8 tháng 6 năm 2020, Kaspersky đã thông báo các phát hiện này với Microsoft, phía Microsoft cũng đã xác nhận các lỗ hổng. CVE-2020-0986 được đặt cho lỗ hổng leo thang đặc quyền, bản vá cho lỗ hổng này đã được phát hành ngày 9 tháng 6 năm 2020. Trong khi đó, CVE-2020-1380 được đặt cho lỗ hổng use-after-free trong Jscript, và bản vá được phát hành ngày 11 tháng 8 năm 2020.
Kaspersky đặt tên cho cuộc tấn công này là “Operation PowerFall”. Hiện tại chưa có đủ căn cứ để xác định chính xác nhóm tấn công đứng đằng sau chiến dịch này, nhưng với sự tương tự trong việc sử dụng các lỗ hổng được phát hiện trước đây, Kaspersky cho rằng rất có thể đây là các hành động của nhóm DarkHotel.
1.3 Operation “Dream Job”
Trong khoảng từ tháng 6 đến tháng 8 năm nay, đội ngũ Clear Sky đã tiến hành điều tra một chiến dịch tấn công có khả năng cao liên quan đến Triều Tiên, họ đặt tên cho chiến dịch này là “Dream Job”. Chiến dịch này được là bắt đầu từ đầu năm nay, và cũng đã thành công trong việc xâm nhập và lây nhiễm đến hàng chục công ty và tổ chức tại Israel nói riêng và trên toàn cầu nói chung. Đối tượng chính của chiến dịch này là các cơ quan phòng thủ, các công ty trực thuộc chính phủ và các nhân viên cụ thể thuộc các công ty đó. Các chuyên gia của Clear Sky đánh giá chiến dịch này thuộc về nhóm Lazarus, và ước lượng rằng nhóm này phải sử dụng một số lượng lớn các nhà nghiên cứu và chuyên gia tình báo để thực hiện chiến dịch trên phạm vi toàn cầu.
Quá trình lây nhiễm và xâm nhập vào hệ thống của các nạn nhân được thực hiện thông qua một chiến dịch social engineering phức tạp và lan truyền rộng, bao gồm các hành động: trinh sát, thu thập tin tức, tạo các hồ sơ LinkedIn ảo, gửi email đến các nhân viên của công ty mục tiêu, đồng thời tiến hành các cuộc hội thoại liên tục với nạn nhân qua điện thoại và ứng dụng Whatsapp. Sau khi xâm nhập thành công, các kẻ tấn công thu thập thông tin về các hoạt động của công ty và cả các vấn đề về tài chính, với mục đích nhằm đánh cắp tiền bạc từ chúng. Kịch bản bao gồm cả gián điệp thông tin và đánh cắp tiền bạc được coi là độc nhất và chỉ thuộc về Triều Tiên, nơi mà các tổ chức tình báo luôn thực hiện cả 2 việc đánh cắp thông tin và tiền bạc.
1.4 FritzFrog – thế hệ mới của mạng Botnets Peer-to-peer
Guardicore Labs đã phát hiện ra chiến dịch này trong quá trình nghiên cứu Botnet Encyclopedia. Vào ngày 9 tháng 1, các cuộc tấn công mới xuất hiện khi có các tiến trình độc hại được đặt tên ifconfig và nginx được thực thi. Đội ngũ phân tích bắt đầu theo dõi các hoạt động của chiến dịch này và nhận thấy một sự phát triển cực kỳ mạnh mẽ theo thời gian, đạt mức 13 nghìn cuộc tấn công trong hệ thống Guardicore Global Sensors Network (GGSN). Họ cũng xác định được 20 phiên bản khác nhau của các file nhị phân FritzFrog.
FritzFrog được phát hiện đã tiến hành tấn công brute-force hàng triệu địa chỉ IP, từ các văn phòng chính phủ, cơ sở giáo dục, trung tâm y tế, ngân hàng cho đến hàng loạt các công ty viễn thông. Nó cũng đã xâm nhập thành công hơn 500 máy chủ SSH của các học viện giáo dục chất lượng cao tại Mỹ và châu Âu, và một công ty đường sắt.
Các đặc điểm đặc biệt của FritzFrog:
- Fileless– FritzFrog hoạt động mà không cần working directory, việc truyền file được thực hiện in-memory sử dụng các blobs.
- Cập nhật liên tục– Cơ sở dữ liệu về các nạn nhân và các máy tính bị xâm nhập được trao đổi liên tục.
- Tấn công mạnh mẽ– Tấn công brute-force dựa trên một bộ từ điển sâu rộng, so sánh với DDG, một P2P botnet mới bị phát hiện, chỉ sử dụng username “root”.
- Hiệu quả– Các nạn nhân được phân phối đều trong số các nút.
- Độc quyền– Giao thức P2P của FritzFrog là hoàn toàn độc quyền, không dựa trên bất kỳ giao thức P2P nào đã biết.
1.5 PurpleWave – Bộ đánh cắp thông tin mới đến từ Nga
Đội ngũ Zscaler ThreatLabZ gần đây đã phát hiện một bộ đánh cắp thông tin Infostealer mới mang tên PurpleWave, được viết bằng ngôn ngữ C++ và có khả năng tự cài đặt hoàn toàn yên lặng lên hệ thống của một người dùng. Nó cũng kết nối đến một máy chủ C2 để gửi các thông tin hệ thống và cài đặt malware mới lên hệ thống đã bị lây nhiễm.
Khả năng của PurpleWave bao gồm:
- Đánh cắp mật khẩu, cookies, thẻ, dữ liệu tự điền (autofill(s) data), lịch sử trình duyệt từ Chromium và Mozilla.
- Thu thập file từ các đường dẫn xác định
- Chụp ảnh màn hình
- Đánh cắp thông tin hệ thống
- Đánh cắp các file Telegram session
- Đánh cắp dữ liệu ứng dụng Steam
- Đánh cắp dữ liệu ví Electrum
- Tải và thực thi các module/malware khác
2 Malware
2.1 Chiến dịch spam malware mới sử dụng GuLoader
Có lẽ những cái tên như GuLoader hay CloudEye không xa lạ gì với các malware hunter vào Q2 2020. Proofpoint là một trong những vendor đầu tiên miêu tả về GuLoader vào Tháng 3 2020, GuLoader được sử dụng như một trình tải để lây nhiễm malware trên diện rông qua các chiến dịch. Và bất ngờ, vào tháng 6 2020, CheckPoint đã công bố một blog miêu tả cách GuLoader sử dụng CloudEye để vượt qua sự phát hiện của các EDR hay Antivirus.
GuLoader có nguồn gốc sử dụng DarkEye Protector, và sau này biến đổi thành sử dụng CloudEye. CloudEye được sử dụng để chống lại các nỗ lực dịch ngược với các Executable. CloudEye là một trình tải được lập trình bằng Visual Basic 6, CloudEye sử dụng dịch vụ đám mây để cung cấp dịch vụ lưu trữ và trình tải xuống cho các phần mêm đã được obfuscate.
GuLoader/CloudEye có khả năng phát hiện và vượt qua các môi trường sandbox cũng như vượt qua rào cản của các sản phẩm bảo mật thương mại
Nguồn: Malwarebytes
Một ví dụ cho một chiến dịch sử dụng dịch vụ DHL để đánh lừa
Nguồn: Malwarebytes
Chiến dịch vẫn tiếp tục được lan tỏa. GuLoader đã khiến CloudEye phải dừng dịch vụ của mình 1 tháng để xóa những phần mềm độc hại trên nền tảng của mình.
2.2 EmoCrash giúp làm chậm chiến dịch của Emotet
Emotet, một cái tên rùng mình trong những chiến dịch ransomware, botnet trên toàn thế giới. Tuy nhiên các nhà nghiên cứu đã tìm ra một kill-switch cho Emotet và thành công trong quá trình ngăn cản sự lây lan của Emotet trong 6 tháng.
Emotet đã tiến hòa từ một banking malware tới việc trở thành 1 trình tải, 1 module đánh cắp thông tin nhạy cảm hay 1 spambot. Emotet ngày càng trang bị cho mình thêm nhiều module để bảo vệ bản thân cũng như để cải thiện quá trình lây nhiễm.
James Quinn, một người nghiên cứu ở Binary Defense đã cho ra đời bản đầu tiên của một killswitch cho Emotet. Băng cách sửa giá trị ở registry, killswitch sẽ khiến cho việc tìm kiếm file executable trở nên khó khăn nên việc triển khai các bước tiếp của Emotet bị ngăn cản.
Sau khi Emotet cho ra đời bản mới, Quinn đã cho ra đời phiên bản thứ 2 của killswitch. Bằng cách khai thác lỗi buffer overflow ở quá trình cài đặt của Emotet, killswitch này khiến trình cài đặt Emotet crash và thất bại trong quá trình lây nhiễm vào máy người dùng.
Đóng gói vào một file script Powershell, Binary Defense bắt đầu công bố EmoCrash cho các tổ chức bị ảnh hưởng bởi Emotet.
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Aug 2020
– CVE-2020-1464 – Windows Spoofing Vulnerability
– CVE-2020-1568 – Microsoft Edge PDF Remote Code Execution Vulnerability
– CVE-2020-1495 – Microsoft Excel Remote Code Execution Vulnerability
Đầy đủ danh sách có thể tìm được ở đây:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-aug
3.2 Ứng dụng web và v.v
– CVE-2019-0230 – Apache Struts Potential Remote Code Execution Vulnerability
– CVE-2020-9496 – Unsafe deserialization of XMLRPC arguments in ApacheOfBiz
– Bypass of CVE-2019-16759 – Remote Code Execution in vBulletin