Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 TA413
Bắt đầu trong nửa đầu năm 2020, đại dịch COVID-19 đã kéo theo một sự chuyển đổi trong các chiến dịch lừa đảo phi kỹ thuật (social engineering). Các nghiên cứu được công bố cho thấy các tổ chức APT Trung Quốc cũng đã sử dụng COVID-19 làm chủ đề cho các chiến dịch phishing phục vụ gián điệp công nghiệp và mở rộng phạm vi tấn công.
Vào tháng 3/2020, các nhà nghiên cứu ProofPoint đã phát hiện một chiến dịch phishing giả mạo hướng dẫn của tổ chức Y tế Thế giới (WHO) về công tác chuẩn bị cho COVID-19 để lan truyền một họ mã độc mới, được đặt tên là Sepulcher. Chiến dịch này nhắm mục tiêu vào các cơ quan ngoại giao và lập pháp châu Âu, các tổ chức nghiên cứu chính sách phi lợi nhuận và các tổ chức toàn cầu giải quyết các vấn đề kinh tế. Thêm vào đó, một email người gửi được xác định trong chiến dịch cho thấy có liên quan đến các hoạt động APT Trung Quốc nhắm vào cộng đồng Tây Tạng quốc tế, sử dụng mã độc LuckyCat. Sau đó, một chiến dịch phishing khác từ tháng 7/2020 nhắm vào hội những người bất đồng chính kiến Tây Tạng cũng được phát hiện lan truyền malware Sepulcher. Các địa chỉ email điều hành được xác định trong chiến dịch cho thấy có liên quan đến các hoạt động APT Trung Quốc nhắm vào cộng đồng Tây Tạng, sử dụng mã độc ExileRAT. Dựa trên các bằng chứng thu được, các nhà nghiên cứu của ProofPoint đã xác định các chiến dịch tấn công này thuộc về nhóm APT TA413.
Việc lan truyền mã độc Sepulcher đến các mục tiêu ở châu Âu cho thấy có một sự thay đổi ngắn hạn trong mục tiêu tấn công của nhóm, nhưng sau đó nhóm cũng đã tiến hành các chiến dịch trở lại tấn công các mục tiêu quen thuộc.
1.2 APT41
Chính phủ Mỹ đã ra lệnh bắt giữ 7 người đàn ông có liên quan đến hàng trăm cuộc tấn công mạng vào các tổ chức ở Mỹ cũng như nhiều quốc gia khác ở châu Á và châu Âu.
Các cuộc tấn công được cho là thuộc về nhóm APT41 của Trung Quốc bao gồm các hoạt động tội phạm mạng liên quan đến tài chính và đánh cắp sở hữu trí tuệ. Trong khi các nhóm nghiên cứu khác theo dõi APT41 như một tổ chức thống nhất, Sysmantec đã chia nhóm này thành 2 tác nhân riêng biệt là Grayfly và Blackfly
Grayfly hoạt động trong những năm gần đây với số lượng các cuộc tấn công gián điệp vào các tổ chức ở châu Á, châu Âu và Bắc Mỹ. Lĩnh vực tấn công của nhóm đa dạng từ các tổ chức trong ngành thực phẩm, tài chính, chăm sóc sức khỏe, sản xuất, viễn thông và chính phủ. Nhóm sử dụng các malware chính là Barlaiy/POISONPLUG và Crosswalk/ProxIP (Backdoor.Motnug).
Các công tố viên ở Mỹ đã ra lệnh bắt giữ 3 người đàn ông Trung Quốc có liên quan đến các hoạt động tấn công của Grayfly, bao gồm hơn 100 tổ chức khác nhau ở Mỹ, Hàn Quốc, Nhật Bản, Ấn Độ, Đài Loan, Hồng Kông, Malaysia, Việt Nam, Pakistan, Úc, Anh, Chi Lê, Indonesia, Singapore và Thái Lan.
Blackfly được cho là đã hoạt động ít nhất từ năm 2010, sử dụng các malware chính là PlugX/Fast (Backdoor.Korplug), Winnti/Pasteboy (Backdoor.Winnti), và Shadowpad (Backdoor.Shadowpad). Nhóm này được biết đến nhiều nhất với các cuộc tấn công vào ngành công nghiệp trò chơi máy tính. Các vụ tấn công gần đây của Blackfly được Sysmantec ghi nhận có sử dụng một phiên bản được chỉnh sửa của malware Winnti tấn công một tổ chức viễn thông ở Đài Loan.
Các công tố viên đã ra lệnh bắt giữ 2 người Malaysia được cho là liên quan đến các hoạt động của Blackfly, bao gồm việc hợp tác với các nhóm khác để tiến hành một chuỗi các cuộc tấn công nhắm đến các công ty trò chơi máy tính.
Một cáo buộc khác liên quan đến 2 người đàn ông Trung Quốc cho thấy mối liên quan giữa Grayfly và Blackfly. 2 người này bị cáo buộc bắt giữ do các hành vi tấn công các công ty trò chơi máy tính liên quan đến Blackfly, và báo cáo cho thấy họ đang làm việc tại Chengdu 404, một công ty được cho là có dính líu đến các hoạt động của Grayfly.
1.3 Rampant Kitten
Đội ngũ nghiên cứu của Check Point đã phát hiện một hoạt động tấn công kéo dài nhiều năm thực hiện bởi các thực thể ở Iran nhắm đến những người bất đồng chính kiến và công dân Iran sinh sống ở nước ngoài. Quá trình điều tra cho phép Check Point liên kết các chiến dịch khác nhau và xác định thuộc cùng một nhóm tấn công.
Quá trình tấn công bắt đầu bằng việc lan truyền một tài liệu .docx, sử dụng kỹ thuật external template để tải xuống một template từ một máy chủ từ xa. Sau đó, các đoạn macro code độc hại trong template được thực thi để tiến hành tải xuống và thực thi các mã độc khác từ máy chủ từ xa. Các mã độc này cố gắng đánh cắp thông tin về các tài khoản Telegram của người dùng, gửi thông tin đó ra ngoài và tìm cách ở lại lâu dài trên thiết bị lây nhiễm. Các mã độc sử dụng SOAP cho các hành vi giao tiếp với máy chủ. Ngoài ra, trong quá trình điều tra, đội ngũ Check Point còn phát hiện ra một ứng dụng Android độc hại và các trang web Telegram phishing cũng liên quan đến nhóm tấn công này.
Dựa trên các bằng chứng thu thập được, các nhà phân tích cho rằng tác nhân tấn công này đến từ Iran, sử dụng nhiều véc-tơ tấn công khác nhau để tấn công các máy tính và thiết bị di động của các nạn nhân. Đây có thể là một vụ tấn công khác của các nhóm APT Iran nhằm thu thập thông tin từ đối thủ hay những người chống đối chính quyền.
1.4 Rudeminer, Blacksquid và Lucifer
Một báo cáo mới đây của Check Point cho thấy các hoạt động tấn công liên quan đến mã độc Lucifer được bắt đầu vào năm 2018. Từ một bộ đào crypto với khả năng tự lan truyền nhắm đến các hệ thống Windows, Lucifer hiện đã trở thành một mã độc đa nền tảng, kiến trúcc nhắm đến cả các hệ thống Linux và thiết bị IoT.
Dữ liệu thu thập từ ThreatCloud cho thấy các cuộc tấn công gần đây của Lucifer nhắm đến trên 25 tổ chức ở Mỹ, Ai Len, Hà Lan, Thổ Nhĩ Kỳ và Ấn Độ. Lĩnh vực tấn công đa dạng từ sản xuất, hành pháp, bảo hiểm cho đến ngân hàng.
Các cuộc điều tra sâu hơn cho kết quả các chuỗi ký tự trong mẫu mã độc dẫn tới sự liên quan đến 2 chiến dịch khác là BlackSquid, được phát hiện bởi TrendMicro, và Rudeminer/Spreadminer, được phát hiện bởi Tencent.
Một bằng chứng khác cho thấy sự liên quan là các địa chỉ ví XMR được sử dụng trong các chiến dịch này.
1.5 TeamTNT
TeamTNT là nhóm tội phạm mạng nhắm đến môi trường cloud bao gồm các Docker và Kubernetes instances. Các tài liệu trước đây ghi nhận nhóm sử dụng các công cụ bao gồm các bộ đào crypto và các worm đánh cắp thông tin bảo mật Amazon Web Services (AWS).
Ngoài ra, nhóm này còn sử dụng một bản Docker image độc hại, được tìm thấy trên Docker Hub, để lây nhiễm cho các máy chủ nạn nhân. Nhưng trong một cuộc tấn công gần đây được phát hiện bởi Intezer, TeamTNT đã sử dụng một kỹ thuật mới là sử dụng Weave Scope, một phần mềm bên thứ ba hợp pháp, để kết nối môi trường cloud của nạn nhân và thực thi các câu lệnh hệ thống mà không cần triển khai code độc hại trên máy chủ. Khi bị lạm dụng, Weave Scope cung cấp cho kẻ tấn công đầy đủ tầm nhìn và quyền điều khiển toàn bộ các tài sản (assets) trong môi trường cloud của nạn nhân, thực hiện chức năng như một backdoor.
Weave Scope là một công cụ mã nguồn mở từ Weave Works, cung cấp khả năng theo dõi, trực quan hóa và điều khiển Docker và Kubernetes. Thông qua một dashboard được truy cập từ trình duyệt, người dùng có đầy đủ quyền điều khiển hệ thống bao gồm tất cả thông tin và metadata về các containers, processes và hosts.
Weave Works cũng đã công bố một báo cáo chi tiết về việc ngăn chặn các cuộc tấn công có sử dụng Weave Scope.
2 Malware
2.1 Lượng tấn công Ransomware vào các doanh nghiệp trung bình – nhỏ ở Đông Nam Á giảm mạnh
Các công ty an ninh mạng cho biết số lượng các cuộc tấn công mà họ đã phát hiện và chặn được trong khu vực Đông Nam Á đã giảm từ 1,4 triệu cuộc trong tháng 1 đến tháng 6 năm 2019 xuống còn khoảng nửa triệu trong nửa đầu năm 2020 – tức giảm hơn 64%.
Tỷ lệ phát hiện giảm mạnh nhất – 89,79% – được thấy ở Singapore, tiếp theo là Malaysia (87,65%) và Indonesia (68,17%).
Mức giảm mạnh cũng được ghi nhận ở Philippines, Thái Lan và Việt Nam.
Tuy nhiên, Indonesia và Việt Nam vẫn lần lượt ghi nhận các cuộc tấn công ransomware nhiều thứ tư và thứ tám trên thế giới trong quý II năm 2020, với Trung Quốc, Brazil và Nga đứng đầu bảng xếp hạng toàn cầu của Kaspersky.
Fedor Sinitsyn, nhà phân tích phần mềm độc hại cao cấp tại Kaspersky, lưu ý rằng sự sụt giảm của các cuộc tấn công trên toàn khu vực phản ánh sự suy giảm của các chiến dịch ransomware WannaCry, vốn đã gây ra hỗn loạn toàn cầu vào năm 2017 bằng cách khai thác lỗi bảo mật trong hệ thống Microsoft Windows lỗi thời.
Ông nói: “Yếu tố chính góp phần vào sự sụt giảm này là sự suy giảm dần dần của ransomware WannaCry. “Hầu hết có thể, với việc các hệ thống được vá, ransomware có ít mục tiêu hơn theo thời gian.”
Tuy nhiên, khi một mối đe dọa giảm đi, một mối đe dọa khác phức tạp hơn đang xuất hiện, Yeo Siang Tiong, Tổng giám đốc khu vực Đông Nam Á của Kaspersky cảnh báo.
“Chiến thuật spray-n-pray của những người tạo ransomware có thể đã kết thúc nhưng chúng tôi cũng đang quan sát thấy sự gia tăng của các ransomware nguy hiểm hơn,” ông nói.
“Các sự cố gây chú ý gần đây liên quan đến Maze ransomware và cuộc tấn công WastedLocker gần đây đã kiếm được 10 triệu đô la trong một lần lây nhiễm. Đây là một lời nhắc nhở cho tất cả các công ty, dù nhỏ, rằng chúng ta cần tăng cường an ninh mạng của mình ngay bây giờ hơn bao giờ hết với các mối đe dọa tốn kém này.” ông nói thêm.
Nguồn: https://portswigger.net/daily-swig/ransomware-attacks-against-smes-fall-sharply-in-southeast-asia
2.2 Maze: một ransomware với nhiều chi tiết lạ lùng
Maze ransomware, trước đây được biết đến trong cộng đồng là “ChaCha ransomware”, được phát hiện vào ngày 29 tháng 5 năm 2019 bởi Jerome Segura.
Mục tiêu chính của ransomware là mã hóa tất cả các tệp mà nó có thể có trong một hệ thống bị nhiễm và sau đó yêu cầu một khoản tiền chuộc để khôi phục các tệp. Tuy nhiên, đặc điểm quan trọng nhất của Maze là mối đe dọa mà các tác giả phần mềm độc hại đưa ra cho các nạn nhân rằng nếu họ không trả tiền, chúng sẽ tung thông tin lên Internet.
Mối đe dọa này không phải là một mối đe dọa bình thường vì một số tập tin của một công ty đã thực sự được phát hành trên Internet. Mặc dù công ty đã khởi kiện nhưng chuyện đã xảy ra và đã có thiệt hại. Đây là một hành vi ngày càng được tìm thấy trong các ransomware mới, chẳng hạn như Sodinokibi, Nemty, Clop và những malware khác.
Năm ngoái, người ta đã nhấn mạnh rằng ransomware sẽ đi theo hướng này để lấy tiền từ những nạn nhân không muốn trả tiền cho việc giải mã. Trong quý cuối cùng năm đó, các nhà phát triển của Maze đã giới thiệu phương pháp tống tiền mới này. Và, dường như chỉ riêng ransomware này là chưa đủ tệ, kể từ khi phương pháp này được giới thiệu, nhiều người bán ransomware khác đã bắt đầu áp dụng nó.
Nạn nhân đầu tiên là về Allied Universal, một công ty dịch vụ an ninh có trụ sở tại California. Allied Universal đã chứng kiến 700 MB dữ liệu bị đánh cắp và bị bán phá giá sau khi họ từ chối đáp ứng yêu cầu tiền chuộc do Maze đặt ra. Ngày nay, hầu hết các băng đảng ransomware liên quan đến cuộc tấn công này đều có các trang web chuyên dụng, nơi chúng đe dọa công bố dữ liệu bị đánh cắp từ những nạn nhân không muốn trả tiền.
Nguồn: Malwarebytes
Các hình thức lây nhiễm chính của Maze là:
- Các chiến dịch Malspam sử dụng các tệp đính kèm, chủ yếu là các tệp Word và Excel
- Các cuộc tấn công brute-force RDP
Ban đầu Maze được phân phối thông qua các trang web sử dụng bộ công cụ khai thác như Fallout EK và Spelevo EK, đã được nhìn thấy sử dụng lỗ hổng Flash Player. Maze ransomware cũng khai thác lỗ hổng của Pulse VPN, cũng như lỗ hổng thực thi mã từ xa của Windows VBScript Engine để xâm nhập vào mạng.
3 CVE và các khuyến nghị bảo mật
3.1 CVEs nổi bật trong tháng
3.1.1 Zerologon – CVE-2020-1472
Vào tháng 8 năm 2020, Microsoft đã phát hành bản cập nhật bảo mật cho một lỗ hổng nâng cao mới của đặc quyền (EoP) còn được gọi là “Zerologon.” Lỗ hổng này được cho điểm Hệ thống chấm điểm lỗ hổng chung (CVSS) cao nhất là 10,0 và được Microsoft đánh giá bảo mật “quan trọng”.
Các sản phẩm bị ảnh hưởng và cần được cập nhập:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
Lỗ hổng này tồn tại trong giao thức Netlogon. Việc khai thác lỗ hổng này có thể xảy ra do lỗ hổng trong việc triển khai mã hóa giao thức Netlogon, cụ thể là AES-CFB8. Lỗ hổng bảo mật được kích hoạt bằng cách gửi một chuỗi số không tới giao thức Netlogon, do đó có tên là “Zerologon”. Lỗ hổng cho phép bất kỳ ai trên mạng sử dụng giao thức Netlogon nâng cao đặc quyền của họ lên đặc quyền của quản trị viên miền. Điều này sẽ cho phép kẻ tấn công truy cập vào toàn bộ miền, mở ra cơ hội khai thác sâu hơn, xâm nhập dữ liệu, gián đoạn mạng hoặc bất kỳ mục tiêu nào của chúng.
3.2 Microsoft Patch Tuesday – Aug 2020
– CVE-2020-1252– Windows Remote Code Execution Vulnerability
– CVE-2020-1210 – Microsoft SharePoint Remote Code Execution Vulnerability
– CVE-2020-16875 – Microsoft Exchange Server Remote Code Execution Vulnerability
Đầy đủ danh sách có thể tìm được ở đây:
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-sep
3.3 Ứng dụng web và v.v
– CVE-2020-15148 – Unsafe deserialization in Yii 2
– CVE-2020-24553– Go CGI and FastCGI Cross-site Scripting