THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 01 – 2021

Hàng tháng, Chúng tôi – GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

1 Các mối đe dọa nâng cao – Advanced Threats

1.1     Chimera Group

NCC Group và Fox-IT đã và đang theo dõi một nhóm tấn công với nhiều mục tiêu đa dạng, từ các sở hữu trí tuệ (IP) của các nạn nhân trong ngành công nghiệp chất bán dẫn cho đến dữ liệu từ ngành công nghiệp hàng không.

Trong các cuộc xâm nhập, nhóm thường xuyên lợi dụng các dịch vụ đám mây của Google và Microsoft để đạt được mục tiêu của mình. Quá trình theo dõi và điều tra đã được NCC Group và Fox-IT thực hiện trong các hoạt động ứng phó sự cố khác nhau từ tháng 10 năm 2019 đến tháng 4 năm 2020. Các nhà phân tích tình báo về mối đe dọa nhận thấy sự trùng lặp rõ ràng về cơ sở hạ tầng và khả năng tấn công trong các chiến dịch, và đã đưa ra kết quả đánh giá với độ tin cậy vừa phải rằng nhóm tấn công này đã thực hiện các cuộc xâm nhập qua nhiều nạn nhân phục vụ lợi ích của Trung Quốc.

Trong mã nguồn mở, nhóm này được đặt tên là Chimera bởi CyCraft.

Nhóm tấn công thường bắt đầu bằng việc sử dụng các tài khoản người dùng và mật khẩu chiếm được từ nạn nhân trong những vụ rò rỉ dữ liệu trước đây, tiến hành dò tìm những tài khoản hợp lệ thông qua các kỹ thuật như credential stuffing hay password spraying tấn công vào các dịch vụ cho phép truy cập từ xa như webmail hay các ứng dụng public Internet khác. Sau khi có được tài khoản, kẻ tấn công sẽ sử dụng để truy cập vào VPN, Citrix hay một dịch vụ nào khác cho phép truy cập đến hệ thống mạng của nạn nhân, tiếp tục dò quét, thu thập và cố gắng lấy được các tài khoản đặc quyền của quản trị viên. Với tài khoản này, nhóm tấn công sẽ tải một Cobalt Strike beacon vào bộ nhớ trên máy tính đã bị xâm nhập, và chuyển sang sử dụng Cobalt Strike beacon để thực hiện truy cập từ xa và kết nối đến máy chủ C2.

Quá trình thu thập thông tin và di chuyển trong hệ thống mạng của nạn nhân được tiến hành để cố gắng thu thập được càng nhiều thông tin hữu ích càng tốt. Trong trường hợp lấy được một tài khoản nằm trong domain admin group, nhóm tấn công sẽ cố gắng truy cập đến máy chủ DC để tiến hành tải xuống Cobalt Strike beacon trên máy chủ này. Mặt khác, Cobalt Strike beacon cũng được tải xuống trên một jump host hoặc một máy chủ đã từng được sử dụng bởi các domain admins để tiến hành dump toàn bộ các thông tin bảo mật về các domain admins. Thêm vào đó, một vài máy chủ khác cũng sẽ được cài đặt Cobalt Strike beacon để tăng khả năng duy trì kết nối của nhóm đến hệ thống mạng của nạn nhân. Toàn bộ quá trình thường được nhóm tấn công thực hiện trong vòng 1 ngày.

Trong quá trình tấn công, nhóm cũng cố gắng lấy cắp các dữ liệu từ mạng của nạn nhân. Đó có thể là bất cứ thứ gì từ danh sách tệp và thư mục, tệp cấu hình, hướng dẫn sử dụng, kho lưu trữ email dưới dạng tệp OST và PST, tệp chia sẻ sở hữu trí tuệ (IP) và dữ liệu được lấy từ bộ nhớ. Nếu dữ liệu đủ nhỏ, nó sẽ gửi thông qua kênh C2 của Cobalt Strike beacon. Tuy nhiên, thông thường dữ liệu được nén bằng WinRAR, đặt trên một hệ thống khác của nạn nhân và từ đó sao chép sang một tài khoản OneDrive do nhóm kiểm soát.

Sau khi hoàn thành quá trình thu thập dữ liệu ban đầu, nhóm có thể quay lại vài tuần một lần để kiểm tra dữ liệu mới về tài khoản người dùng và các thông tin khác. Các nhà phân tích cũng đã phát hiện được các hành vi anti-forensic của nhóm bao gồm xóa event logs, chỉnh sửa thời gian của các files và xóa các scheduled tasks được tạo cho một số mục tiêu. Nhưng điều này không được thực hiện một cách nhất quán trong tất cả các lần tấn công.

Tổng hợp các yếu tố về nhóm tấn công

·         Thời gian làm việc khớp với múi giờ GMT +8.

·         Cơ sở hạ tầng: sử dụng appspot.com và azureedge.net cho máy chủ C2, có sự trùng lặp về đặt tên subdomains trong các lần tấn công

·         Khả năng tấn công: Password spraying/credential stuffing. Cobalt Strike. Copy NTDS.dit. Sử dụng scheduled tasks và batch files cho automation. Sử dụng LOLBins. WinRAR. Sử dụng Cloud exfil tool và gửi dữ liệu qua OneDrive. Xóa Windows Event Logs, files, and tasks. Trùng lặp filenames khi đặt tên cho các công cụ, dữ liệu và thư mục.

·         Nạn nhân: Công nghiệp chất bán dẫn và hàng không

Dựa trên các thông tin thu được và sự trùng lặp với báo cáo của CyCraftNCC Group và Fox-IT  cho rằng đây là các hoạt động của Chimera Group. Nhóm có thể thay đổi mục tiêu thu thập dữ liệu dẫn đến việc thay đổi ý định tấn công và các nạn nhân.

1.2     Sử dụng Javascript RAT trong chiến dịch tấn công các tổ chức chính phủ ở châu Á

FortiGuards Labs gần đây đã phát hiện ra một chiến dịch tấn công nhắm mục tiêu vào các tổ chức chính phủ thuộc ngành tài chính và tiền tệ ở Châu Á. Trong chiến dịch này, kẻ tấn công đóng vai một ngân hàng trung ương của một quốc gia châu Á dụ nạn nhân mở một tệp đính kèm nén chứa file HTA độc hại. Khi file HTA được thực thi, với các đoạn mã JavaScript đã được obfuscated, sẽ tiến hành cài đặt và chạy một mã trojan truy cập từ xa (RAT). Điều làm nên sự khác biệt so với các cuộc tấn công khác là nó sử dụng JsOutProx.

JsOutProx là một mẫu JavaScript RAT đầy đủ chức năng được phát hiện lần đầu tiên vào tháng 12 năm 2019. Các chiến thuật, kỹ thuật và quy trình (TTPs) của những kẻ tấn công đằng sau JsOutProx cho thấy rằng đây là một nhóm tấn công có kinh nghiệm và thủ đoạn hết sức tinh vi. Các dấu hiệu thể hiện rõ ràng như thời gian và nỗ lực mà những kẻ tấn công đã bỏ ra để tạo mẫu RAT này, cũng như các bản cập nhật thường xuyên giúp nó mạnh mẽ hơn. Nhóm cũng sử dụng các chiến dịch social engineering được thiết kế đặc biệt để tận dụng các biệt ngữ kỹ thuật cụ thể dành riêng cho ngành đang được nhắm mục tiêu trong các nỗ lực spear-phishing của nhóm.

JsOutProx cũng kết hợp các đoạn mã được obfuscated nhiều và việc sử dụng PowerShell để tăng tính hiệu quả. Không có nhiều thông tin về các chiến dịch sử dụng JsOutProx vì sự xuất hiện của mẫu này là rất ít. Được phát hiện lần đầu tiên bởi nhóm YOROI vào tháng 12 năm 2019, mẫu malware này một lần nữa tái xuất hiện trong một chiến dịch khác do nhóm ZScaler phát hiện vào tháng 5 năm 2020. ZScaler quan sát thấy rằng JsOutProx đã lây nhiễm cho cả các tổ chức tài chính và chính phủ ở Ấn Độ. Dựa trên những phát hiện này, chiến dịch mới nhất này cũng tuân theo cùng một mô hình chính xác như vậy.

Các file chứa các nội dung đính kèm độc hại trong chiến dịch spear-phishing mới nhất bao gồm:

Pilipina_Anti-Money_Laundering_Council_Resolution_pdf.hta

SHA256 – c10ea9b5aade9e98b7c87a6926fed6356d903440a17590c519aec7a54e1e5165

Information_on_Compliance_officer_xlsx.hta

SHA256 – f1027d6f01718030a66872a82134418984c2de82e1aff32cb7cc106bf8d3375a

File đầu tiên được gửi đến cho người dùng ở Phi-líp-pin đang làm việc trong lĩnh vực tài chính. Nội dung cụ thể của file là về các biện pháp đối phó và hoạt động chống rửa tiền. Một chiến dịch tương tự cũng đã được phát hiện với việc sử dụng một email giả mạo một chính phủ châu Á cung cấp các nội dung đào tạo tương tự.

File thứ hai, một khi được chạy, sẽ kết nối đến máy chủ C2 sử dụng DNS động:

·         hxxp://myabiggeojs.myftp[.]biz:9895

·         185.195.79[.]210

Sau đó, nó sẽ khởi chạy JsOutProx, mẫu JavaScript RAT với đầy đủ các chức năng.

Phân tích chi tiết cho thấy mẫu RAT này đã được chỉnh sửa với việc thêm vào một số câu lệnh và plugin mới, cũng như bỏ bớt các câu lệnh và plugin không còn phù hợp. Danh sách các câu lệnh của JsOutProx bao gồm:

CommandAction
updUpdate the implant
rmzSet zone identifier
rstRestart the implant
l32Start another process with the same script
l64Start another process with the same script
dcnKill the implant
rbtReboot the machine
shdShutdown the machine
lgfLog off
ejsEvaluate Javascript code
evbExecute VisualBasic code
uisUninstall the implant
insInstall the implant
int.gSend the sleep time to C2
int.sUpdate the sleep time

Mở rộng nghiên cứu, các chuyên gia phân tích cho thấy địa chỉ C2, 185.19.85[.]156, đã hoạt động được hơn 5 năm. Kết hợp với các bằng chứng khác, có thể khẳng định chiến dịch tấn công sử dụng JsOutProx lần này không phải của một nhóm tấn công mới được thành lập và còn non trẻ. Đây là một tổ chức tội phạm mạng hết sức phức tạp, và đặc biệt có nguồn tài nguyên dồi dào.

1.3     Chuyển giao giai đoạn trong chiến dịch tấn công Solorigate: Từ SUNBURST đến TEARDROP và Raindrop

Trung tâm Threat Intelligence của Microsoft đã công bố những điều tra của họ về giai đoạn chuyển giao trong chiến dịch Solorigate từ mẫu DLL backdoor sang Cobalt Strike loader. Kết quả cho thấy những kẻ tấn công đã cố gắng tách biệt các mẫu này càng xa càng tốt để tránh bị phát hiện.

Bảng thời gian tấn công được công bố từ SolarWinds  cho thấy mẫu DLL backdoor Solorigate đã được biên dịch vào cuối tháng 2 – 2020 và đặt trên hệ thống vào cuối tháng 3. Đội ngũ SolarWinds cũng chỉ ra rằng những kẻ tấn công đã xóa bỏ các đoạn mã backdoor trên môi trường phát triển của SolarWinds  vào tháng 6 – 2020.

Dựa trên các bằng chứng này, cộng thêm việc mẫu Solorigate backdoor được thiết kế để yên lặng trong ít nhất 2 tuần, đội ngũ phân tích của Microsoft đánh giá những kẻ tấn công đã dành ít nhất 1 tháng để lựa chọn nạn nhân và chuẩn bị cài đặt Cobalt Strike cũng như cơ sở hạ tầng C2. Điều này có nghĩ các hoạt động ở giai đoạn sau của chiến dịch được bắt đầu vào khoảng đầu tháng 5 -2020.

Việc xóa bỏ các đoạn mã backdoor ra khỏi các file binary của SolarWinds  vào tháng 6 chỉ ra rằng, nhóm tấn công đã thu thập một số lượng đủ các nạn nhân cần thiết, và mục tiêu của nhóm dịch chuyển từ việc triển khai và kích hoạt backdoor sang hoạt động trên hệ thống mạng của các nạn nhân với các hoạt động liên quan đến Cobalt Strike loader.

Quá trình phân tích cũng giúp chỉ ra những phương pháp và hành vi nhằm chống lại hoạt động điều tra (anti-forensic) của những kẻ tấn công:

·         Tránh việc chia sẻ dùng chung các indicators trên mỗi máy chủ bị xâm nhập. Mỗi Cobalt Strike implant được chuẩn bị riêng biệt cho từng máy, tránh sự trùng lặp và tái sử dụng tên thư mục, tên file, tên hàm, C2 domain/IP, HTTP requests, timestamp, file metadata, cấu hình và các child process. Chiến thuật này cũng được áp dụng với cả các đối tượng không thực thi, như WMI persistence filter name, WMI filter query, mật khẩu cho các file nén 7-zip, và tên của các output log files.

·         Ngụy trang và trà trộn vào trong môi trường. Các công cụ và file binary được sử dụng bởi những kẻ tấn công luôn được đặt lại tên và đặt vào trong các thư mục nhằm giả mạo các chương trình và file sẵn có trên máy chủ.

·         Trước khi thực hiện các hành vi tấn công, những kẻ tấn công cố gắng vô hiệu hóa chế độ event logging bằng AUDITPOL và bật lại sau đó.

·         Trước khi thực hiện các hoạt động network enumeration, những kẻ tấn công chuẩn bị sẵn các firewall rule đặc biệt để tối thiểu các gói tin đi ra ngoài cho các giao thức nhất định. Các rule này sẽ được xóa bỏ sau khi quá trình dò quét và thu thập thông tin được hoàn thành.

·         Các hoạt động di chuyển trong mạng nạn nhân được chuẩn bị cẩn thận trước khi tiến hành, bằng cách kiểm tra các tiến trình và dịch vụ đang chạy trên một máy chủ xác định và chỉ kết nối đến máy chủ đó sau khi đã tắt các dịch vụ security.

·         Sử dụng kỹ thuật timestomping để thay đổi timestamp của các mẫu và các file, sử dụng các tiến trình và công cụ xóa bỏ chuyên nghiệp để ngăn cản việc tìm kiếm và khôi phục các file DLL được cài đặt trong môi trường.

1.4     Các nhóm APT của Trung Quốc đang chuyển qua tấn công ransomware

Các cuộc tấn công xảy ra vào năm 2020 và nhắm mục tiêu trực tiếp vào ít nhất 5 công ty trong lĩnh vực cờ bạc trực tuyến hoạt động trên toàn cầu và đã mã hóa thành công một số máy chủ lõi.

Đây chính xác là những sự cố ransomware nhưng các nhóm APT đã dựa vào BitLocker, công cụ mã hóa ổ đĩa trong Windows, để khóa các máy chủ.

Các nhà nghiên cứu từ các công ty an ninh mạng Profero và Security Joes đã phản ứng với những sự cố này và phát hiện ra rằng tin tặc đã đạt được mục tiêu của họ thông qua một nhà cung cấp dịch vụ bên thứ ba, vốn đã bị lây nhiễm thông qua một nhà cung cấp bên thứ ba khác.

Phân tích các cuộc tấn công cho thấy các mẫu phần mềm độc hại được liên kết với DRBControl, một chiến dịch được mô tả vào đầu năm nay trong một báo cáo từ Trend Micro và được quy cho APT27 và Winnti, cả hai nhóm hoạt động ít nhất từ năm 2010 và liên kết với tin tặc Trung Quốc. Nếu APT27 tập trung vào hoạt động gián điệp mạng thì Winnti được biết đến với động cơ tài chính.

Trong một báo cáo chung được chia sẻ với BleepingComputerProfero và Security Joes chia sẻ bằng chứng chỉ ra hai nhóm này nói rằng họ đã tìm thấy một mẫu backdoor Clambling tương tự như một mẫu được sử dụng trong chiến dịch DRBControl.

Họ cũng phát hiện ra webhell ASPXSpy. Một phiên bản sửa đổi của phần mềm độc hại này đã từng được nhìn thấy trước đây trong các cuộc tấn công do APT27.

Phần mềm độc hại khác được tìm thấy trên các máy tính bị nhiễm bao gồm trojan truy cập từ xa PlugX, thường được đề cập trong các báo cáo an ninh mạng về các chiến dịch liên kết với Trung Quốc.

Báo cáo viết: “Gửi đến ai đứng sau chuỗi lây nhiễm cụ thể này, thông tin cho thấy có những mối liên hệ cực kỳ chặt chẽ với APT27/Emissary Panda, về các điểm tương đồng về mã và TTP [chiến thuật, kỹ thuật và quy trình]”.

Mặc dù một nhóm gián điệp mạng tham gia vào một chiến dịch có động cơ tài chính là không bình thường, cuộc tấn công này sẽ không phải là lần đầu tiên APT27 triển khai ransomware trên các hệ thống của nạn nhân.

Các nhà nghiên cứu tại Positive Technologies đã quy một cuộc tấn công Polar ransomware từ tháng 4 năm 2020 là do APT27, dựa trên việc sử dụng phần mềm độc hại mà nhóm này thường sử dụng.

Các cuộc tấn công chống lại năm công ty trong lĩnh vực cờ bạc không tinh vi lắm và dựa trên các phương pháp đã biết để tránh bị phát hiện và di chuyển theo chiều ngang.

Báo cáo từ Profero và Security Joes nói rằng kẻ tấn công này đã triển khai phần mềm độc hại PlugX và Clambling trong bộ nhớ hệ thống bằng cách sử dụng tệp thực thi Google Updater cũ, dễ bị DLL side-loading.

Ngoài ra, kẻ tấn công đã tận dụng một lỗ hổng từ năm 2017 (CVE-2017-0213) để nâng cấp các đặc quyền trên máy. Mã khai thác cho lỗi này có sẵn công khai.

Daniel Bunce, nhà phân tích bảo mật chính tại Security Joes, nói với BleepingComputer rằng chìa khóa rút ra khỏi các cuộc tấn công này là sự tham gia của một nhóm gián điệp mạng trong một chiến dịch tài chính.

Omri Segev Moyal, Giám đốc điều hành của Profero, nói rằng sự táo bạo của một nhóm độc hại như vậy là một tín hiệu khác cho thấy các chính phủ nên có một cách tiếp cận thống nhất trong cuộc chiến chống lại những mối đe dọa này.

Gần đây, một nhóm hacker khác được cho là làm việc cho chính phủ có liên quan đến các cuộc tấn công bằng ransomware. Theo ClearSky, nhóm hacker Fox Kitten do Iran hậu thuẫn đã tham gia vào các hoạt động ransomware Pay2Key chống lại các tổ chức ở Israel và Brazil.

2        Malware

2.1     PLEASE_READ_ME: Ransomware chiếm lĩnh các máy chủ MySQL

PLEASE_READ_ME là một chiến dịch ransomware đang hoạt động nhắm mục tiêu vào các máy chủ cơ sở dữ liệu MySQL và có từ lâu nhất là vào đầu tháng 1 năm 2020. Chuỗi tấn công cực kỳ đơn giản, kẻ tấn công khai thác thông tin xác thực yếu trên các máy chủ MySQL sử dụng internet. Có gần 5 triệu máy chủ MySQL mở ra internet trên toàn thế giới. Những kẻ tấn công để lại một người dùng backdoor trên cơ sở dữ liệu để tồn tại lâu dài, cho phép họ truy cập lại mạng. 250.000 cơ sở dữ liệu được rao bán trên bảng điều khiển của những kẻ tấn công từ 83.000 nạn nhân đã xâm nhập thành công.

Cuộc tấn công đầu tiên vào Guardicore Global Sensors Network (GGSN) đã bị bắt gặp vào ngày 24 tháng 1 năm 2020. Kể từ đó, tổng cộng 92 cuộc tấn công đã được báo cáo bởi các cảm biến của Guardicore, cho thấy số lượng của chúng tăng mạnh kể từ tháng 10. Các cuộc tấn công bắt nguồn từ 11 địa chỉ IP khác nhau, hầu hết là từ Ireland và Vương quốc Anh. Điều khiến Guardicore phải theo dõi chặt chẽ mối đe dọa này là việc nó sử dụng mã độc tống tiền kép, nơi dữ liệu bị đánh cắp được công bố và rao bán như một phương tiện để ép nạn nhân trả tiền chuộc.

Guardicore Labs đã quan sát thấy hai biến thể khác nhau trong suốt thời gian diễn ra chiến dịch này. Trong lần đầu tiên, kéo dài từ tháng 1 đến cuối tháng 11, những kẻ tấn công đã để lại thông báo đòi tiền chuộc với địa chỉ ví bitcoin của chúng, số Bitcoin cần thanh toán và địa chỉ email để được hỗ trợ kỹ thuật ngoài ra, kẻ tấn công đưa ra 10 ngày để nạn nhân thực hiện thanh toán. Vì ví Bitcoin được chỉ định rõ ràng trong ghi chú tiền chuộc, Guardicore có thể khám phá các ví và số lượng BTC được chuyển cho mỗi ví. Guardicore phát hiện ra rằng tổng cộng 1,2867640900000001 BTC đã được chuyển đến các ví này, tương đương với 24.906 USD. Guardicore Sensors đã bắt được 63 cuộc tấn công kiểu này, đến từ 4 địa chỉ IP khác nhau.

Giai đoạn thứ hai bắt đầu vào ngày 3 tháng 10 và kéo dài đến cuối tháng 11, và đánh dấu một bước phát triển của chiến dịch. Thanh toán không còn được thực hiện trực tiếp vào ví Bitcoin và không cần liên lạc qua email. Thay vào đó, những kẻ tấn công đã thiết lập một trang web trong mạng TOR để thanh toán có thể được thực hiện. Các nạn nhân được xác định bằng cách sử dụng mã thông báo mà họ nhận được trong ghi chú tiền chuộc.

Trang web là một ví dụ điển hình về cơ chế tống tiền kép – nó chứa tất cả các cơ sở dữ liệu bị rò rỉ mà tiền chuộc không được trả. Trang web liệt kê 250 nghìn cơ sở dữ liệu khác nhau từ 83 nghìn máy chủ MySQL, với 7TB dữ liệu bị đánh cắp. Tính đến thời điểm hiện tại, GGSN đã ghi nhận được 29 sự cố của biến thể này, bắt nguồn từ 7 địa chỉ IP khác nhau.

Cuộc tấn công bắt đầu bằng việc brute-force mật khẩu trên dịch vụ MySQL. Sau khi thành công, kẻ tấn công chạy một chuỗi truy vấn trong cơ sở dữ liệu, thu thập dữ liệu trên các bảng và người dùng hiện có. Khi kết thúc quá trình thực thi, dữ liệu của nạn nhân sẽ biến mất – dữ liệu này được lưu trữ trong một tệp nén được gửi đến máy chủ của những kẻ tấn công và sau đó bị xóa khỏi cơ sở dữ liệu. Một ghi chú tiền chuộc được để lại trong bảng có tên WARNING, yêu cầu thanh toán tiền chuộc lên đến 0,08 BTC.

Tên miền .onion – hn4wg4o6s5nc7763.onion – dẫn đến một trang tổng quan chính thức, nơi nạn nhân có thể cung cấp mã thông báo của họ và thanh toán. Têm miền .onion được sử dụng để phân biệt các dịch vụ được lưu trữ trong mạng TOR. Các trang web như vậy chỉ có thể được truy cập từ trình duyệt TOR và đảm bảo rằng cả nhà điều hành của họ và người dùng phía máy khách đều ẩn danh. Việc chọn sử dụng miền .onion khiến việc theo dõi những kẻ tấn công và nơi lưu trữ cơ sở hạ tầng của chúng trở nên khó khăn hơn.

IoC được Guardicore cung cấp trong một github repository

Nguồn: Guardicore

Ngày đăng: 07/09/2023
Rate this post

Chia sẻ ý kiến của bạn