Hàng tháng, Chúng tôi – GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Lazarus sử dụng mã độc giấu trong file ảnh BMP để cài đặt RAT (Remote Access Trojan)
Lazarus APT là một trong những nhóm tấn công nổi tiếng của Triều Tiên, bắt đầu hoạt động từ năm 2009. Nhóm tấn công này nhắm mục tiêu vào Mỹ, Hàn Quốc, Nhật Bản và nhiều quốc gia khác. Trong chiến dịch tấn công gần đây nhất, Lazarus thực hiện một cuộc tấn công lừa đảo có mục tiêu phức tạp nhắm vào các nhà nghiên cứu bảo mật.
Ngoài ra, Lazarus nổi tiếng với bộ công cụ của riêng họ và thường xuyên thay đổi kỹ thuật hiện đại trong hoạt động của mình để tăng hiệu quả của các cuộc tấn công. Vào cuối tháng 4, các chuyên gia Threat Intelligence từ MalwareBytes đã xác định được một tệp tin độc hại được nhóm tấn công này sử dụng để nhắm mục tiêu vào Hàn Quốc. Trong chiến dịch này, nhóm đã sử dụng một kỹ thuật mới – nhúng các đối tượng HTA vào tệp BMP để nhả ra Loader của mã độc.
Tiến trình tấn công
Tiến trình tấn công
Nạn nhân khi mở file doc xuất hiện nền trang màu xanh, yêu cầu người dùng cho phép chạy macro mới có thể xem được nội dung. Sau khi bật macro, một hộp thông báo hiện lên, nạn nhân click vào và nội dung hiện lên là một đơn đăng kí tham gia hội chợ ở một thành phố tại Hàn Quốc (tên tài liệu tiếng Hàn là “참가 신청서 양식 .doc” – tạm dịch: “mẫu đăng ký.doc”).
Hộp thông báo xuất hiện do khi thực thi macro, hàm MsgBoxOKCancel( ) được gọi. Sau đó, nó thực hiện các bước sau:
· Xác định các biến được yêu cầu như: VMI object, Mshta và đuôi file ở định dạng base64, sau đó gọi hàm Decode để giải mã chúng.
· Lấy tên tài liệu và tách tên với phần mở rộng.
· Tạo bản sao của tài liệu với dạng HTML sử dụng ActiveDocument.SaveAs( ) với wDFormatHTML làm tham số. Lưu tài liệu dưới dạng HTML sẽ lưu trữ tất cả các hình ảnh trong tài liệu này trong thư mực FILENAME_files.
· Gọi hàm show( ) để bảo vệ tài liệu, nó đảm bảo người dùng không thể thực hiện bất kỳ thay đổi nào đối với tài liệu.
· Lấy ra file ảnh có nhúng đối tượng zlib. (image003.png)
· Chuyển file ảnh từ định dạng PNG sang định dạng BMP bằng hàm WIA_ConvertImage( ). Vì định dạng BMP là định dạng tệp đồ họa không nén, việc chuyển đổi định dạng PNG thành BMP sẽ tự động giải nén đối tượng zlib độc hại được nhúng trong file ảnh PNG. Đây là một phương pháp thông minh để vượt qua các cơ chế bảo mật có thể phát hiện các đối tượng nhúng trong ảnh.
· Dùng VMI object để gọi Mshta để thực thi BMP file, BMP file sau khi giải nén chứa file HTA thực thi JavaScript để tải payload.
· Xóa tất cả các hình ảnh trong thư mục và sau đó xóa thư mục trước đó được tạo nhờ hàm SaveAs.
File BMP có nhúng file HTA, file HTA chứa đoạn mã JavaScript tạo “AppStore.exe” trong thư mục “C:\Users\Public\Libraries\AppStore.exe”. Khi thực thi “AppStore.exe” nó sẽ drop ra payload thứ hai. Payload thứ hai này sẽ tiến hành giao tiếp với C&C server và thực thi các lệnh mà nó nhận được.
Trong payload thứ hai này, Lazarus sử dụng thuật toán mã hóa tùy chỉnh tương tự với mã độc BISTROMATH RAT được sử dụng trong các chiến dịch trước đây. Ngoài ra, payload thứ hai sử dụng kết hợp base64 và RC4 để làm rối dữ liệu, đây là một kỹ thuật phổ biến của nhóm APT này.
Indicators of Compromise
| Indicator | Mô tả |
| Hash:Document | F1EED93E555A0A33C7FEF74084A6F8D06A92079E9F57114F523353D877226D72 |
| Hash:Dropped Exe | ED5FBEFD61A72EC9F8A5EBD7FA7BCD632EC55F04BDD4A4E24686EDCCB0268E05 |
| Domain | jinjinpig[.]co[.]kr |
| Domain | mail[.]namusoft[.]kr |
1.2 Nhóm APT Trung Quốc tấn công backdoor nhà thầu thiết kế tàu ngầm Hải quân Nga
Các nhà nghiên cứu đến từ Cybereason báo cáo một nhóm APT của Trung Quốc đã nhắm vào một nhà thầu quốc phòng Nga, nhà thầu tham gia thiết kế tàu ngầm hạt nhận cho Hải quân Nga.
Các tin tặc được cho là tài trợ bởi chính quyền, gửi tin nhắn lừa đảo trực tuyến tới Tổng giám đốc của Rubin Design Bureau – một trong ba trung tâm thiết kế tàu ngầm chính của Nga. Trung tâm Rubin là trung tâm lớn nhất trong số ba trung tâm thiết kế tàu ngầm của Liên Xô/Nga, đã thiết kế hơn 2/3 tổng số tàu ngầm hạt nhân trong Hải quân Nga. Các tin nhắn lừa đảo trực tuyến đã sử dụng tệp văn bản RTF độc hại với nội dung là các mô tả về tàu tự lái dưới nước.
Tài liệu RTF độc hại được Cybereason phát hiện trong khi theo dõi những phát triển gần đây của bộ “vũ khí hóa” RoyalRoad, còn được biết đến với tên “8.t Dropper/RTF exploit builder”. Công cụ này đã được áp dụng rộng rãi bởi một số nhóm tấn công đến từ Trung Quốc như Tick, Tonto Team, TA428.
Nội dung của tệp tài liệu RTF độc hại
Với mã độc trong tệp RTF kẻ tấn công có thể khai thác các lỗ hổng CVE-2017-11882, CVE-2018-0798, CVE-2018-0802 (đây là các lỗ hổng nổi tiếng thuộc về trình chỉnh sửa công thức toán học trong MicrosoftWord). Ngoài ra, mã độc thực hiện mở một backdoor mới chưa được báo cáo trước đây, được đặt tên là PortDoor.
Backdoor PortDoor thực hiện nhiều chức năng, bao gồm chức năng do thám, tìm hiểu hệ thống của mục tiêu, phân phối payloads bổ sung, leo thang đặc quyền, tránh sự phát hiện của phần mềm antivirus, mã hóa XOR 1 byte, mã hóa dữ liệu đánh cắp được theo mật mã AES.
Chiến dịch gián điệp mạng này có quá trình lây lan mã độc tương đồng với các kỹ thuật, chiến thuật, chiến lược của một số nhóm APT của Trung Quốc. Hơn nữa trước đây, nhóm Tonto và TA428 từng liên quan đến các cuộc tấn công nhắm vòa các tổ chức nghiên cứu và tổ chức quốc phòng của Nga. Tuy nhiên, Cyberreason tại thời điểm báo cáo chưa đưa ra được kết luận về nhóm tấn công đứng sau chiến dịch này.
Indicators of Compromise
| Indicator | Mô tả |
| Hash: Droper | B1DA7E1963DC09C325BA3EA2442A54AFEA02929EC26477A1B120AE44368082F8 |
| Hash: Droper | 0641FE04713FBDAD272A6F8E9B44631B7554DFD1E1332A8AFA767D845A90B3FA |
| Hash: Bisonal | 43459F5117BEE7B49F2CEE7CE934471E01FB2AA2856F230943460E14E19183A6 |
| DFA1AD6083AA06B82EDFA672925BB78C16D4E8CB2510CBE18EA1CF598E7F2722 | |
| 1128D10347DD602ECD3228FAA389ADD11415BF6936E2328101311264547AFA75 | |
| 359835C4A9DBE2D95E483464659744409E877CB6F5D791DAA33FD601A01376FC | |
| Domain | jennifer998.lookin[.]at |
| www.hosting.tempors[.]com | |
| kted56erhg.dynssl[.]com | |
| euiro8966.organiccrap[.]com | |
| games.my-homeip[.]com | |
| IP | 116.193.155[.]38 |
| 196.44.49[.]154 |
1.3 Nhóm APT Trung Quốc Naikon sử dụng backdoor Bebulae mới trong các cuộc tấn công tổ chức quân sự các quốc gia Đông Nam Á
Naikon là nhóm APT có nguồn gốc từ Trung Quốc, đã hoạt động ít nhất từ năm 2010 và bắt đầu được theo dõi từ năm 2015 khi họ thực hiện các chiến dịch tấn công vào các tổ chức ở khu vực Châu Á – Thái Bình Dương (APAC).
Các tổ chức mà nhóm nhắm tới nằm ở nhiều quốc gia xung quanh Biển Đông, bao gồm Philippines, Malaysia, Indonesia, Singapore và Thái Lan. Đối tượng mục tiêu của nhóm APT thường là các tổ chức cao cấp, bao gồm các tổ chức chính phủ và các tổ chức quân sự.
Naikon nổi danh là nhóm tấn công APT tạo ra nhiều hành vi DLL hijacking để thực thi mã độc hại. Các chuyên gia của Bitdefender đã theo dõi một chiến dịch kéo dài liên quan đến nhóm gián điệp mạng Naikon.
Các phần mềm hợp pháp bị lạm dụng bởi Naikon là:
· ARO 2012 Tutorial 8.0.12.0
· VirusScan On-Demand Scan Task Properties (McAfee, Inc.)
· Sandboxie COM Services (BITS) 3.55.06 (SANDBOXIE L.T.D)
· Outlook Item Finder 11.0.5510 (Microsoft Corporation)
· Mobile Popup Application 16.00 (Quick Heal Technologies (P) Ltd.)
Không giống với các hoạt động trước đó do nhóm thực hiện, trong cuộc tấn công mới nhất, Naikon đã sử dụng một backdoor thứ hai, được gán tên là Nebulae, có nhiệm vụ duy trì xâm nhập trên các hệ thống đã bị xâm nhập bằng cách thêm registry key mới để thực thi mã độc mỗi khi hệ thống khởi động lại. Nebulae hỗ trợ các khả năng phổ biến của một backdoor, bao gồm khả năng thu thập thông tin LogicalDrive, thao tác với tệp và thư mục, tải xuống và tải tệp lên từ và đến máy chủ C&C, liệt kê/thực thi/kết thúc các tiến trình trên thiết bị bị xâm nhập.
Naikon APT thực hiện phân phối payload giai đoạn 1 có tên RainyDay (còn gọi là FoundCore), payload được sử dụng để triển khai một số tools cũng như drop ra payload giai đoạn hai, bao gồm Nebulae. RainyDay được dùng để thực hiện tìm kiếm thông tin, tải lên các công cụ Reverse Proxy và scanners, thực thi công cụ password dump, thực thi lateral moverment và duy trì xâm nhập.
Các công cụ được thực thi bởi Rainy Day backdoor
| Indicator | Mô tả |
| Hash: | 2c4af3fa3918b715b3a0b3e5232196089b7ffcb2406ea01f5243ab5e04ecb2c8 |
| 5cbfa1047527a44bf8cdf830077c11ab5d54f7663c8c0a91676cb1157005c14d | |
| e44969dd3573abbe0a3d0b7ea56856e9c5284be3ead6bc228fe5799410ed812e | |
| 268426b01ac967c470b16ddcb3125fc7c234861c6e33e8b330400fbd3b403e4c | |
| Domain | cat.suttiphong.comphp.tripadvisorsapp.comnews.dgwktifrn.commail.tripadvisorsapp.comjava.tripadvisorsapp.comosde.twifwkeyh.comaloha.fekeigawy.comwww.wahatmrjn.com |
| IP | 124.156.241.24150.109.184.127150.109.178.25247.241.127.190 |
1.4 Purple Lambert – mã độc mới của nhóm APT Lambert thuộc CIA
Trong báo cáo xu hướng tấn công APT Quý 1 năm 2021, Kaspersky khẳng định họ đã phát hiện ra một loại mã độc mới được cho là một phần trong kho công cụ tấn công của Cơ quan Tình báo Trung ương Hoa Kỳ (CIA). Các chuyên gia từ Kaspersky cho biết vào tháng 2 năm 2019, nhiều phần mềm antivirus liên tục nhận được một tập các mẫu phần mềm độc hại, trong đó có những mẫu chưa từng xuất hiện trong các hoạt động của các nhóm APT đã biết. Nói cách khác, các họ mã độc này không có bất kỳ điểm tương đồng nào với các mẫu mã độc có liên quan đến các nhóm tấn công APT từ trước đến nay.
Khi phân tích sâu hơn về các mẫu mới này, chuyên gia Kaspersky báo cáo rằng chúng được tạo ra vào năm 2014 và được sử dụng trong khoảng thời gian 1 năm sau đó. Mặc dù các nhà phân tích không tìm thấy điểm tương đồng lớn nào với bất kỳ họ mã độc đã biết nhưng kiểu hoạt động và kỹ thuật mà nó sử dụng lại có sự giao thoa với các TTPs đã được họ mã độc Lambert khác nhau sử dụng. Do đó mã độc mới được đặt tên là Purple Lambert.
Purple Lambert thực thi một số module, trong đó có tính năng lắng nghe và phản hồi máy chủ nếu có yêu cầu dò tìm thông tin cơ bản hệ thống bị tấn công, ngoài ra có thể tải xuống các payloads khác.
Lambert hay còn gọi là Longhom là nhóm APT đã hoạt động ít nhất từ năm 2008, các mẫu mã độc đầu tiên được phát hiện vào năm 2014, mục tiêu tấn công của nhóm là các tổ chức lớn trên toàn thế giới, sử dụng hạ tầng tấn công phức tạp. Symantec là công ty đầu tiên đứng ra chứng minh CIA là tổ chức đứng sau hậu thuẫn cho Lambert, từ sau khi chiến dịch tấn công vào ít nhất 40 chính phủ và tổ chức tư nhân thuộc 16 quốc gia xảy ra vào tháng 4 năm 2017.
Symantec cung cấp thêm một số thông tin liên quan đến Lambert, họ cho rằng đây là nhóm hacker có nguồn lực tốt, hoạt động theo giờ hành chính từ thứ Hai đến thứ Sáu theo múi giờ Bắc Mỹ, bản chất các TTPs của nhóm cho thấy họ đang hoạt động dưới sự bảo trợ của nhà nướsc. Các mục tiêu đều nằm ở Trung Đông, Châu Âu, Châu Á và Châu Phi.
Vào tháng 3 năm 2020, công ty Qihoo 360 của Trung Quốc cáo buộc Cơ quan Tình báo Trung ương Hoa Kỳ CIA đã tấn công các tổ chức đặt tại Trung Quốc trong suốt 11 năm. Theo hãng này, các gián điệp mạng của Mỹ đang nhắm vào nhiều lĩnh vực công nghiệp khác nhau như ngành hàng không, nghiên cứu khoa học, dầu mỏ, công nghệ đồng thời nhắm vào các cơ quan chính phủ.
2 Malware
2.1 Chiến dịch tấn công bằng ransomware khiến hệ thống dẫn dầu lớn nhất nước Mỹ phải ngưng hoạt động
Vào ngày 7/5/2021, ransomware lây nhiễm vào hệ thống của công ty Colonial Pipeline, là công ty truyển tải dầu khí lớn nhất phía đông nước Mỹ. Quản trị viên đã buộc phải cho một số hệ thống thông tin hoạt động ở chế độ ngoại tuyến nhằm ngăn chặn sự lây lan của ransomware. Điều này khiến cho nguồn cung dầu khí của toàn bộ phía đông nước Mỹ bị ngưng trệ và khiến cho giá xăng tăng hơn 4%.
Các mẫu ransomware hiện đại không chỉ mã hóa dữ liệu và yêu cầu tiền chuộc để giải mã mà còn lấy cắp thông tin để làm đòn bẩy cho việc tống tiền. Trong trường hợp của Colonial Pipeline, những kẻ tấn công đã lấy đi khoảng 100GB dữ liệu từ mạng công ty.
Tuy nhiên, theo tờ Washington Post, các nhà điều tra độc lập đã nhanh chóng tìm ra nguyên nhân và xác định dữ liệu bị đánh cắp được lưu trữ ở đâu, sau đó liên hệ với FBI cùng với ISP sở hữu máy chủ lưu giữ thông tin bị đánh cắp và cô lập nó. Do đó, tội phạm mạng có thể mất quyền truy cập vào thông tin mà chúng đánh cắp từ Colonial Pipeline; hành động nhanh chóng đó ít nhất đã giảm nhẹ một phần thiệt hại.
Biết rằng điều đó đã xảy ra không đưa các hệ thống dẫn dầu hoạt động trở lại, nhưng thiệt hại, mặc dù đáng kể, có thể còn tồi tệ hơn nhiều.
Theo như thông tin được công bố công ty Colonial Pipeline bị tấn công bởi DarkSide ransomware, mẫu ransomware này có thể hoạt động trên cả Windows và Linux. DarkSide sử dụng các thuật toán mã hóa rất mạnh nên việc giả mã mà không có key mà kẻ tấn công nắm giữ thì việc giả mã là điều không thể.
DarkSide ransom note
Trong bài phát biểu về kinh tế tại Nhà Trắng, tổng thống Joe Biden đã nói “Tôi sẽ gặp Tổng thống Putin và cho đến nay không có bằng chứng nào, dựa trên những cơ quan tình báo của chúng tôi, rằng Nga có liên quan”. DarkSide đã đăng một tuyên bố trên trang web của mình vào cùng ngày và tự mô tả mình là “phi chính trị”.
Thông báo của nhóm DarkSide
Nhóm hacker DarkSide sử dụng mô hình ransomware-as-a-service, cung cấp ransomware (do nhóm phát triển) và cơ sở hạ tầng liên quan cho các khách hàng thực hiện các cuộc tấn công. Một trong những khách hàng đó chịu trách nhiệm cho chiến dịch tấn công vào Colonial Pipeline. Theo DarkSide, nhóm không có ý định gây ra những hậu quả xã hội nghiêm trọng như vậy và do đó sẽ theo dõi kỹ hơn những nạn nhân mà “người trung gian” của họ chọn.
Nguồn: Kaspersky blog
2.2 Hackers sử dụng Microsoft Build Engine để lây nhiễm malware
Các nhóm tin tặc đang sử dụng Microsoft Build Engine (MSBuild) để phân phối RAT và phần mềm độc hại đánh cắp mật khẩu trên các hệ thống Windows được nhắm mục tiêu.
Các nhà nghiên cứu từ công ty an ninh mạng Anomali cho biết hôm 11/5/2021, cho biết một chiến dịch đang diễn ra nhằm kiểm soát máy của nạn nhân, đánh cắp thông tin nhạy cảm bằng cách nhúng các build file độc hại và file thực thi để triển khai shellcode có chứa backdoor.
MSBuild là một công cụ xây dựng mã nguồn mở cho .NET và Visual Studio do Microsoft phát triển, cho phép biên dịch mã nguồn, đóng gói, kiểm tra, triển khai ứng dụng.
Việc sử dụng MSBuild là để xâm phạm một máy mà không bị phát hiện, vì phần mềm độc hại này sử dụng một ứng dụng hợp pháp để tải mã tấn công vào bộ nhớ, do đó không để lại dấu vết lây nhiễm trên hệ thống.
Theo tác giả, chỉ có hai nhà cung cấp bảo mật gắn cờ một trong các tệp MSBuild.proj(“vwnfmo.lnk”) là độc hại, trong khi mẫu thứ hai (” 72214c84e2.proj “) được tải lên VirusTotal vào ngày 18 tháng 4 vẫn không bị phát hiện bởi mọi phần mềm Anti-Malware. Phần lớn các mẫu được phân tích bởi Anomali được phát hiện là chứa RAT Remcos, một số mẫu khác cũng chứa Quasar RAT và RedLine Stealer.
Remcos, sau khi được cài đặt, sẽ cấp toàn quyền truy cập cho kẻ tấn công từ xa, các tính năng của nó từ ghi lại các lần nhấn phím đến thực hiện các lệnh tùy ý, ghi âm micrô và webcam, trong khi Quasar là một mã nguồn mở được viết bằng .NET có chức năng keylogging, đánh cắp mật khẩu. Redline Stealer, như tên gọi, là một phần mềm độc hại thu thập thông tin đăng nhập từ các trình duyệt, VPN và ứng dụng nhắn tin, ngoài việc đánh cắp mật khẩu nó còn tìm đến ví điện tử của người dùng.
Các nhà nghiên cứu của Anomali, Tara Gould và Gage Mele cho biết: “Các nhóm tin tặc đằng sau chiến dịch này đã sử dụng kỹ thuật fileless devivery như một cách để vượt qua các biện pháp an ninh và kỹ thuật này được các nhóm tin tặc sử dụng cho nhiều mục tiêu và động cơ khác nhau,” các nhà nghiên cứu của Anomali, Tara Gould và Gage Mele cho biết. “Chiến dịch này nhấn mạnh rằng chỉ phụ thuộc vào phần mềm Anti-Virus là không đủ để bảo vệ hệ thống và việc sử dụng mã hợp pháp để che giấu malware khỏi công nghệ Anti-Virus cho thấy sự hiệu quả và đang phát triển theo cấp số nhân.”
Nguồn: Hackernews
2.3 Teabot Trojan Android nhắm mục tiêu vào các ngân hàng Châu Âu
Hoạt động của Teabot được ghi nhận từ tháng 1 năm 2021. Trong khoảng đầu tháng 3 xuất hiện rất nhiều cuộc tấn công sử dụng Teabot nhắm vào các ứng dụng tại chính. Đặc biệt đến tuần đầu tiên của tháng 5, các cuộc tấn công nghiêm trọng gây thiệt hại lớn cho các ngân hàng từ Bỉ và Hà Lan.
Cleafy, công ty an ninh mạng và phòng chống gian lận trực tuyến của Ý tuyên bố rằng “Mục tiêu chính của TeaBot là đánh cắp thông tin đăng nhập và tin nhắn SMS của nạn nhân để tạo ra các tạo ra các kịch bản lừa đảo nhắm vào mục tiêu cụ thể”
“Sau khi TeaBot được cài đặt thành công trong thiết bị của nạn nhân, những kẻ tấn công có thể trực tiếp theo dõi màn hình của nạn nhân (nếu cần) và điều khiển điện thoại thông qua Accessibility Services.”
Ứng dụng Android giả mạo bắt chước các dịch vụ phổ biến như TeaTV, VLC Media Player, DHL và UPS. Phần mềm độc hại hoạt động như dropper, thực thi payload của giai đoạn hai và buộc nạn nhân phải cấp cho nó quyền Accessibility Service.
Main icon của Teabot
TeaBot khai thác quyền truy cập để có thể tương tác trong thời gian thực với thiết bị bị xâm phạm, cho phép kẻ xấu ghi lại các lần gõ phím, chụp ảnh màn hình và đưa các layer độc hại lên đầu màn hình đăng nhập trong các ứng dụng ngân hàng. Bằng cách này, mật khẩu và thông tin thẻ tín dụng có thể được trích xuất.
TeaBot cũng có thể tắt Google Play Protect, chặn tin nhắn SMS và truy cập mã 2FA của Google Authenticator. Dữ liệu thu thập được sau đó sẽ được gửi đến một máy chủ từ xa do kẻ tấn công điều khiển cứ sau 10 giây.
Trong những tháng gần đây, đã có sự gia tăng về phần mềm độc hại Android sử dụng các Accessibility Service như một bước đệm để đánh cắp dữ liệu.
Ảnh chụp màn hình trong quá trình nạn nhân cài đặt Teabot
TeaBot dường như đang sử dụng mồi nhử giống như Flubot, đóng giả là các ứng dụng vận chuyển vô hại, để tránh sự giám sát của các phần mềm bảo vệ.
Do số lượng nhiễm FluBot, Teabot ngày càng gia tăng, Đức và Vương quốc Anh đã đưa ra cảnh báo về các cuộc tấn công đang diễn ra bằng cách sử dụng tin nhắn SMS lừa đảo để lừa người dùng cài đặt phần mềm gián điệp đánh cắp mật khẩu và dữ liệu nhạy cảm khác.
Nguồn: cleafy.com
IOC
| Indicators | Mô tả |
| Hash | 89e5746d0903777ef68582733c777b9ee53c42dc4d64187398e1131cccfc0599 7f5b870ed1f286d8a08a1860d38ef4966d4e9754b2d42bf41d7511e1856cc990 |
| Domain | kopozkapalo[.]xyzsepoloskotop[.]xyz |
| IP | 178.32.130[.]170185.215.113[.]31 |
2.4 Ousaban: Banking trojan phát tán bằng các hình ảnh nhạy cảm
Ousaban là một banking trojan hoạt động duy nhất ở Brazil. ESET đã theo dõi phần mềm độc hại này từ năm 2018. Điểm chung với hầu hết các banking trojan LATAM khác, Ousaban sử dụng cửa sổ layer để lấy cắp thông tin đăng nhập và hơn thế nữa từ các tổ chức tài chính. Tuy nhiên, không giống như hầu hết các banking trojan LATAM khác, các nhà phát triển của Ousaban đã mở rộng việc sử dụng các cửa sổ layer để lấy cắp thông tin xác thực từ các dịch vụ email phổ biến trong khu vực.
Ousaban được viết bằng Delphi, cũng như phần lớn các trojan ngân hàng Mỹ Latinh khác mà ESET đang theo dõi. Cái tên ESET được gán cho họ này là từ ghép của hai từ – “ousa dia”, có nghĩa là “sự táo bạo” trong tiếng Bồ Đào Nha, và “banking trojan”. Sở dĩ có cái tên như vậy là trong một thời gian rất dài, Ousaban đã được phát tán cùng với những hình ảnh (một số trong đó có nội dung tục tĩu).
Nhiều hình ảnh được phân phối cùng với banking trojan Ousaban
Ousaban bảo vệ các tệp thực thi của nó bằng các trình xử lý mã nhị phân Themida hoặc Enigma. Ngoài ra, hầu hết các EXE đều được phóng to, sử dụng đệm nhị phân, lên khoảng 400 MB, có khả năng để tránh bị phát hiện và xử lý tự động.
Hầu hết các biến thể Ousaban gần đây đều chứa một bảng chuỗi để chứa các chuỗi của chúng, bảng này được lưu trữ trong các section “.rsrc”. Một trong các resource chứa danh sách các chuỗi được nén zlib được phân cách bằng các ký tự xuống dòng.
Ousaban được phân phối chủ yếu thông qua các email lừa đảo hoặc các quảng cáo độc hại. Nhóm tấn công sử dụng rất nhiều phase trong quá trình phân phối malware. Các phase này có một số đặc điểm chung, chủ yếu là:
– DLL-sideloading được sử dụng để thực thi payload
– Lưu trữ CAB đôi khi được sử dụng thay vì ZIP
– Giai đoạn tiếp theo yêu cầu tệp cấu hình được phân phối bên trong file nén của giai đoạn một.
– Một injector, đặt trưng cho Ousaban, được sử dụng
Email lửa đảo của Ousaban
Ousaban dựa vào remote configure để lấy các URL ở giai đoạn tiếp theo cũng như địa chỉ C&C và port để sử dụng. Ousaban đã từng lưu trữ remote configure của mình trên YouTube, tương tự như Casbaneiro, nhưng gần đây nó đã bắt đầu sử dụng Google Doc thay thế.
Nguồn: welivesecurity.com
IOC
| Indicators | Mô Tả |
| Hash | C52BC5B0BDFC7D4C60DF60E88835E3145F7FB34FD04ACFAF74861DDC3B12E75658863DA65C03013F9A6A4BF3B6E974E367982E5395702AFF8684D5003E8A0B6400F2D02B6B8CD917C279EA13884941826946BFB8A519FED8EC8C30D9A56619F4E2525BEAE5DD2355E85B90D2D648B96C90676604A5C3AE48BA5493B08354AEE85151B7BBD15150A1C3F03D1D7F6C820B00FC8C628E2420C388BBB9096A547DAAC5D5CF1B591C40344B20370C5EE5275356D312EC53045B8047CED049BBC7EBCB3D3299D2C465E8B9A6118D354D512DC29965E368F6C78AA3A42A27ADF9C71277CF05738275261D60A9E938CBA7232E0D |
| URL | https://docs.google[.]com/document/d/1o9MlOhxIJq9tMOuUHJiw2eprQ-BGCA_ERnbF54dZ25w/edit https://docs.google[.]com/document/d/1nQqifeYFsCcI7m-L1Y1oErkp50c-y670nfk7NTKOztg/edit https://docs.google[.]com/document/d/13A6EBLMOOdvSL3u6IfyrPWbYREXNRVdDTiKzC6ZQx7U/edit https://docs.google[.]com/document/d/1UiuqrzI_rrtsJQHqeSkp0sexhwU_VSje8AwS-U6KBPk/edit https://docs.google[.]com/document/d/1VKxF3yKbwQZive-ZPCA4dAU1zOnZutJxY2XZA0YHa3M/edit https://docs.google[.]com/document/d/19bXTaiFdY5iUqUWXl92Js7i9RoZSLJqcECgpp_4Kda4/edit https://docs.google[.]com/document/d/1DDDmJzBVcNWhuj8JMRUVb7JlrVZ5kYBugR_INSS96No/edit https://docs.google[.]com/document/d/1UbfOcHm-T9GCPiitqDRh5TNwZRNJ8_miEpLW-2ypU-I/edit https://docs.google[.]com/document/d/1d1903AvDBYgOo0Pt9xBBnpCHwSerOpIi4l1b6M4mbT4/edit https://docs.google[.]com/document/d/1JLuJKoxcd0vRqut8UeBjFJXzMDQ9OiY2ItoVIRq6Gw8/edit https://docs.google[.]com/document/d/1EOwVDlYPV3gE7PSnLZvuTgUQXvOSN9alyN5aMw7bGeI/edit https://docs.google[.]com/document/d/18sc6rZjk529iYF2iBTsmuNXvqDqTBSH45DhSZpuLv_U/edit |
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – April 2021
3.1.1 CVE-2021-28455
Microsoft Jet Red Database Engine and Access Connectivity Engine Remote Code
Execution Vulnerability
CVSS v3.0: 8.8
Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong Microsoft Jet Red Database Engine và Access Connectivity Engine. Kẻ tấn công được xác thực từ xa có thể thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể dẫn đến sự xâm phạm hoàn toàn của hệ thống dễ bị tấn công.
Hệ thống bị ảnh hưởng:
Microsoft Office: 2013, 2013 RT, 2016, 2019
Windows: 7, 8.1, 10, 10 20H2, 10 1607, 10 1803, 10 1809, 10 1909, 10 2004, RT 8.1 Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1909, 2019 2004
3.1.2 CVE-2021-31166
HTTP Protocol Stack Remote Code Execution Vulnerability
CVSS v3.0: 9.8
Mô tả: Lỗ hổng cho phép kẻ tấn công chưa được xác thực thực thi mã từ xa dưới dạng kernel. Kẻ tấn công chỉ cần gửi một packet được chế tạo đặc biệt đến một máy chủ bị ảnh hưởng.
Hệ thống bị ảnh hưởng:
Windows: 10 20H2, 10 2004
Windows Server: 2019 20H2, 2019 2004
3.1.3 CVE-2021-28476
Hyper-V Remote Code Execution Vulnerability
CVSS v3.0: 9.9
Mô tả: Với CVSS đạt 9.9, đây là lỗ hổng có xếp hạng mức độ nghiêm trọng cao nhất trong bản phát hành tháng này. Tuy nhiên, Microsoft lưu ý kẻ tấn công có nhiều khả năng lạm dụng lỗ hổng này để từ chối dịch vụ dưới dạng một bugcheck hơn là thực thi mã (code execution). Điều này khiến gia tăng độ phức tạp của cuộc tấn công.
Hệ thống bị ảnh hưởng:
Windows: 7, 8.1, 10, 10 20H2, 10 1607, 10 1803, 10 1809, 10 1909, 10 2004
Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1909, 2019 2004
3.1.4 Các CVE khác:
Để xem danh sách đầy đủ các lỗ hổng, có thể truy cập:
3.2 Oracle – April 2021
3.2.1 CVE-2021-2177
Vulnerability in the Oracle Secure Global Desktop product of Oracle Virtualization
(component: Gateway)
CVSS v3.1: 10
Mô tả: Lỗ hổng trong sản phẩm Oracle Secure Global Desktop của Oracle Virtualization (thành phần: Gateway). Lỗ hổng có thể được khai thác dễ dàng cho phép kẻ tấn công không xác thực có quyền truy cập mạng qua HTTP để xâm phạm Oracle Secure Global Desktop. Mặc dù lỗ hổng bảo mật nằm trong Oracle Secure Global Desktop, các cuộc tấn công có thể ảnh hưởng đáng kể đến các sản phẩm khác. Các cuộc tấn công thành công vào lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển của Oracle Secure Global Desktop.
Sản phẩm bị ảnh hưởng: Oracle Secure Global Desktop phiên bản 5.6.
3.2.2 CVE-2021-2248
Vulnerability in the Oracle Secure Global Desktop product of Oracle Virtualization
(component: Server)
CVSS v3.1: 10
Mô tả: Lỗ hổng trong sản phẩm Oracle Secure Global Desktop của Oracle Virtualization (thành phần: Máy chủ). Lỗ hổng có thể khai thác dễ dàng cho phép kẻ tấn công không xác thực có quyền truy cập mạng qua SKID để xâm phạm Oracle Secure Global Desktop. Mặc dù lỗ hổng bảo mật nằm trong Oracle Secure Global Desktop, các cuộc tấn công có thể ảnh hưởng đáng kể đến các sản phẩm khác. Các cuộc tấn công thành công vào lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển của Oracle Secure Global Desktop. Sản phẩm bị ảnh hưởng: Oracle Secure Global Desktop phiên bản 5.6.
3.2.3 CVE-2021-2317
Vulnerability in the Oracle Cloud Infrastructure Storage Gateway product of Oracle Storage Gateway (component: Management Console)
CVSS v3.1: 10
Mô tả: Lỗ hổng trong sản phẩm Cổng lưu trữ cơ sở hạ tầng đám mây Oracle (Oracle Cloud Infrastructure Storage Gateway) của Oracle Storage Gateway (thành phần: Management Console). Lỗ hổng cho phép kẻ tấn công không xác thực có quyền truy cập mạng qua HTTP để xâm phạm Oracle Cloud Infrastructure Storage Gateway. Mặc dù lỗ hổng bảo mật nằm trong Oracle Cloud Infrastructure Storage Gateway, các cuộc tấn công có thể ảnh hưởng đáng kể đến các sản phẩm khác. Các cuộc tấn công thành công lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển của Oracle Cloud Infrastructure Storage Gateway.
Sản phẩm bị ảnh hưởng: Oracle Cloud Infrastructure Storage Gateway phiên bản trước 1.4.
Khuyến nghị: Cập nhật Oracle Cloud Infrastructure Storage Gateway lên phiên bản 1.4 trở lên. Tải xuống phiên bản mới nhất của Oracle Cloud Infrastructure Storage Gateway tại địa chỉ: https://www.oracle.com/downloads/cloud/oci-storage-gateway-downloads.html.
3.2.4 Các CVE khác:
Để xem danh sách đầy đủ các lỗ hổng, có thể truy cập:
3.3 Ứng dụng web và các sản phẩm khác
3.3.1 CVE-2021-30128
Unsafe deserialization in OFBiz
CVSS v3.0: 9.8
Mô tả: Apache OFBiz là một hệ thống hoạch định nguồn lực doanh nghiệp (mã nguồn mở). Nó cung cấp một bộ ứng dụng doanh nghiệp tích hợp và tự động hóa nhiều quy trình kinh doanh của doanh nghiệp. Vào ngày 27 tháng 4 năm 2021, Apache OFBiz đã đưa ra thông báo rủi ro về lỗ hổng bảo mật CVE-2021-30128. Theo đó, OFBiz có tính năng giải mã không an toàn, có thể dẫn đến thực thi mã (code execution) và máy chủ bị chiếm quyền.
Hệ thống bị ảnh hưởng: OFBiz phiên bản trước 17.12.07
Giải pháp:
Nâng cấp lên phiên bản 17.12.07 trở lên hoặc áp dụng các bản vá: https://issues.apache.org/jira/browse/OFBIZ-1221
Nguồn: gteltsc.vn
