Thông tin các mối đe dọa bảo mật trong tháng 06 - 2022

Thông tin các mối đe dọa bảo mật trong tháng 06 - 2022

Hàng tháng, Chúng tôi - GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
 

    1 Các mối đe dọa nâng cao – Advanced Threats

    1.1 Nhóm tống tiền dữ liệu Karakurt

    Ngày 01/06/2022, Cybersecurity and Infrastructure Security Agency (CISA) cung cấp thông tin về nhóm tống tiền dữ liệu Karakurt, còn được gọi là Karakurt Lair. Các nạn nhân của Karakurt bị đánh cắp dữ liệu và đe dọa bán đấu giá hoặc công bố dữ liệu đó cho công chúng trừ khi chúng nhận được khoản tiền chuộc được yêu cầu. Các yêu cầu về tiền chuộc được biết dao động từ 25.000$ đến 13.000.000$ bằng Bitcoin.

    Karakurt dường như không nhắm mục tiêu vào bất kỳ lĩnh vực, ngành nghề hoặc nạn nhân cụ thể nào. Các tin tặc Karakurt có thể xâm nhập vào các thiết bị của nạn nhân thông qua:

    Mua thông tin đăng nhập bị đánh cắp;

    Thông qua các đối tác trong cộng đồng tội phạm mạng;

    Các lỗ hổng xâm nhập phổ biến được khai thác:

    Các thiết bị SonicWall SSL VPN lỗi thời dễ bị tấn công bởi nhiều CVE gần đây.

    Lỗ hổng trong Dịch vụ ghi nhật ký Apache Log4j “Log4Shell” (CVE-2021-44228).

    Gửi tin nhắn, email,… lừa đảo tới nạn nhân.

    Nhúng macro độc hại trong tệp đính kèm email.

    Đánh cắp thông tin đăng nhập mạng riêng ảo (VPN) hoặc Remote Desktop Protocol (RDP).

    Thiết bị Fortinet FortiGate SSL VPN lỗi thời/ thiết bị tường lửa dễ bị tấn công bởi nhiều CVE gần đây.

    Phiên bản Microsoft Windows Server lỗi thời.

     

    Sau khi xâm nhập vào hệ thống nạn nhân, các tin tặc Karakurt triển khai các Cobalt Strike beacons để liệt kê mạng, cài đặt Mimikatz để lấy thông tin đăng nhập, sử dụng AnyDesk để duy trì xâm nhập từ xa, và sử dụng thêm các công cụ khác để leo thang đặc quyền và di chuyển tới các máy chủ khác trong mạng.

     

    Sau đó, các tin tặc Karakurt thực hiện nén dữ liệu (thường với 7zip) và lấy cắp dữ liệu sử dụng các ứng dụng mã nguồn mở và dịch vụ Giao thức truyền tệp (FTP), chẳng hạn như Filezilla và các dịch vụ lưu trữ đám mây bao gồm rclone và Mega.nz.

    ATT&CK MATRIX

    TACTIC

    TECHNIQUE

    NAME

    Reconnaissance

    T1589.001

    Gather Victim Identify Information: Credentials

    Reconnaissance

    T1589.002

    Gather Victim Identity Information: Email Addresses

    Reconnaissance

    T1591.002

    Gather Victim Org Information: Business Relationships

    Initial Access

    T1190

    Exploit Public-Facing Applications

    Initial Access

    T1133

    External Remote Services

    Initial Access

    T1566

    Phishing

    Initial Access

    T1566.001

    Phishing – Spearphishing Attachment

    Initial Access

    T1078

    Valid Accounts

    Privilege Escalation

    T1078

    Valid Accounts

    Discovery

    T1083

    File and Directory Discovery

    Command and Control

    T1219

    Remote Access Software

    Exfiltration

    T1048

    Exfiltration Over Alternative Protocol

    Exfiltration

    T1567.002

    Exfiltration Over Web Service: Exfiltration to Cloud Storage

    Indicators of Compromise (IoCs)

    Files / hash SHA1

    fdb92fac37232790839163a3cae5f37372db7235

    c33129a680e907e5f49bcbab4227c0b02e191770

    030394b7a2642fe962a7705dcc832d2c08d006f5

    0e50b289c99a35f4ad884b6a3ffb76de4b6ebc14

    7e654c02e75ec78e8307dbdf95e15529aaab5dff

    4d7f4bb3a23eab33a3a28473292d44c5965ddc95

    10326c2b20d278080aa0ca563fc3e454a85bb32f

    86366bb7646dcd1a02700ed4be4272cbff5887af

    Files / hash SHA256

    563bc09180fd4bb601380659e922c3f7198306e0caebe99cd1d88cd2c3fd5c1b

    5e2b2ebf3d57ee58cada875b8fbce536edcbbf59acc439081635c88789c67aca

    712733c12ea3b6b7a1bcc032cc02fd7ec9160f5129d9034bf9248b27ec057bd2

    Nguồn: https://www.cisa.gov/uscert/ncas/alerts/aa22-152a

    1.2 SideWinder.AntiBot.Script | cơ sở hạ tầng và công cụ mới của SideWinder

    Ngày 01/06/2022, Các nhà nghiên cứu của Group-IB Threat Intelligence đã phát hiện ra một cơ sở hạ tầng độc hại mới và một công cụ tùy chỉnh của nhóm APT SideWinder (hay còn gọi là Rattlesnake, Hardcore Nationalist, RAZOR TIGER, T-APT-04 và APT-C-17), nhóm tin tặc này được cho là có nguồn gốc từ Ấn Độ và chủ yếu nhắm mục tiêu đến Pakistan. Công cụ tùy chỉnh mới được phát hiện, có tên mã là SideWinder.AntiBot.Script, đang được sử dụng trong cuộc tấn công lừa đảo nhằm vào các mục tiêu người Pakistan.

    SideWinder thường giả mạo các trang web của chính phủ và sử dụng các tên miền bắt chước theo các tên miền hợp pháp để thu thập thông tin đăng nhập của người dùng. Ví dụ như các tên miền bắt chước theo tên miền của các tổ chức chính phủ và phi chính phủ Pakistan:

    • Financial.pakgov [.] net;

    • vpn.pakgov [.] net;

    • csd.pakgov [.] net;

    • hajj.pakgov [.] net;

    • nadra.pakgov [.] net;

    • pt.pakgov [.] net;

    • flix.pakgov [.] net;

    • covid.pakgov [.] net.

    Tệp lệnh SideWinder.AntiBot.Script có thể tránh bị phát hiện bởi các nhà nghiên cứu hay giải pháp bảo mật, dựa trên việc kiểm tra các tham số môi trường trình duyệt như: Vị trí địa lý; Phiên bản của hệ điều hành; Dữ liệu về user-agent; Cài đặt ngôn ngữ hệ thống; Số bộ xử lý logic; Truy cập giao diện CredentialsContainer (có thể lấy thông tin đăng nhập lưu trên trình duyệt); Kiểm tra phiên bản Headless của Chrome; Danh sách các cards đồ họa có thể được sử dụng và kiểm tra sự tuân thủ của chúng với kích thước màn hình; Kiểm tra sự tuân thủ với các hệ điều hành từ danh sách; Và quan trọng nhất là chức năng tải một tập tin độc hại và chức năng chuyển hướng đến một tài nguyên hợp pháp.

    Một đoạn mã của SideWinder.AntiBot.Script

    ATT&CK MATRIX

    TACTIC

    TECHNIQUE

    NAME

    Reconnaissance

    T1598

    Phishing for Information

    Resource Development

    T1583.001

    Acquire Infrastructure: Domains

    Initial Access

    T1566.001

    Phishing: Spearphishing Attachment

    Initial Access

    T1566.002

    Phishing: Spearphishing Link

    Persistence

    T1574.002

    Hijack Execution Flow: DLL Side-Loading

    Defense Evasion

    T1497.001

    Virtualization/Sandbox Evasion: System Checks

    Defense Evasion

    T1218.005

    System Binary Proxy Execution: Mshta

    Credential Access

    T1555.003

    Credentials from Password Stores: Credentials from Web Browsers

    Discovery

    T1082

    System Information Discovery

    Collection

    T1005

    Data from Local System

    Command and Control

    T1105

    Ingress Tool Transfer

    Indicators of Compromise (IoCs)

    Chi tiết IoCs tham khảo tại liên kết bên dưới:

    Nguồn: https://blog.group-ib.com/sidewinder-antibot

    1.3 Aoqin Dragon | nhóm APT mới được phát hiện có liên kết với Trung Quốc đã âm thầm theo dõi các tổ chức trong 10 năm.

    Ngày 09/06/2022, nhóm nghiên cứu của SentinelLabs đã thông báo  về một nhóm APT hoạt động bắt đầu ít nhất là từ năm 2013 và tiếp tục cho đến ngày nay, chủ yếu nhắm vào các tổ chức ở Đông Nam Á và Úc. SentinelLabs đặt tên cho nhóm APT này là 'Aoqin Dragon'.

    Trong suốt quá trình phân tích các chiến dịch của Aoqin Dragon, đội ngũ SentinelLabs đã quan sát thấy sự tiến triển trong chuỗi lây nhiễm và TTPs của chúng. Chiến lược lây nhiễm của chúng chia thành ba phần:

    1. Sử dụng tài liệu Word được nhúng mã khai thác và lừa người dùng mở tài liệu để cài đặt backdoor.

    2. Lừa người dùng nhấp đúp vào phần mềm Anti-Virus giả để thực thi phần mềm độc hại trong máy chủ của nạn nhân.

    3. Giả mạo thiết bị di động để dụ người dùng mở nhầm thư mục và cài đặt phần mềm độc hại vào hệ thống của họ.

    Chuỗi tấn công gần đây nhất mà SentinelLabs quan sát được:

    1. Tệp shortcut giả mạo một thiết bị di động, chứa một đường dẫn để khởi chạy phần mềm độc hại.

    2. Khi người dùng nhấp vào thiết bị giả mạo, thiết bị sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại encrashrep.dll thông qua explorer.exe.

    3. Sau khi thực hiện trình tải, nó sẽ kiểm tra xem nó có nằm trong bất kỳ thiết bị di động đính kèm nào không.

    4. Nếu trình tải không có trong ổ đĩa di động, nó sẽ sao chép tất cả các mô-đun đến thư mục "%USERPROFILE%\AppData\Roaming\EverNoteService\", bao gồm các tệp bình thường, trình tải backdoor và tải trọng backdoor được mã hóa.

    5. Phần mềm độc hại đặt chức năng tự động khởi động với giá trị “EverNoteTrayUService”. Khi người dùng khởi động lại máy tính, nó sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại.

    6. Trình tải sẽ kiểm tra đường dẫn tệp trước tiên và giải mã các tải trọng. Có hai tải trọng trong chuỗi tấn công này:

    • Tải trọng đầu tiên là bộ phát tán, sao chép tất cả các tệp độc hại sang các thiết bị di động.

    • Tải trọng thứ hai là một backdoor được mã hóa và đưa vào bộ nhớ của tiến trình rundll32. 

    Chuỗi lây nhiễm mới nhất được SentinelLabs phát hiện.

    Dựa trên phân tích của SentinelLabs về các mục tiêu, cơ sở hạ tầng và cấu trúc phần mềm độc hại của các chiến dịch Aoqin Dragon. Mục tiêu của Aoqin Dragon phù hợp chặt chẽ với lợi ích chính trị của chính phủ Trung Quốc, thực hiện các hoạt động gián điệp nhắm vào các tổ chức chính phủ, giáo dục và viễn thông ở Đông Nam Á và Úc. 

    ATT&CK MATRIX

    TACTIC

    TECHNIQUE

    NAME

    Initial Access

    T1566

    Phishing

    Initial Access

    T1091

    Replication Through Removable Media

    Execution

    T1569

    System Service

    Execution

    T1204

    User Execution

    Persistence

    T1547

    Boot or Logon Autostart Execution

    Privilege Escalation

    T1055

    Process Injection

    Privilege Escalation

    T1055.001

    Dynamic-link Library Injection

    Defense Evasion

    T1211

    Exploitation for Defense Evasion

    Defense Evasion

    T1027

    Obfuscated Files or Information

    Defense Evasion

    T1055

    Process Injection

    Discovery

    T1033

    System Owner/User Discovery

    Discovery

    T1082

    System Information Discovery

    Collection

    T1560

    Archive Collected Data

    Command and Control

    T1071.001

    Application Layer Protocol: Web Protocols

    Command and Control

    T1071.004

    Application Layer Protocol: DNS

    Command and Control

    T1571

    Non-Standard Port

    Command and Control

    T1132

    Data Encoding

    Indicators of Compromise (IoCs)

    Chi tiết IoCs tham khảo tại liên kết bên dưới:

    Nguồn: https://www.sentinelone.com/labs/aoqin-dragon-newly-discovered-chinese-linked-apt-has-been-quietly-spying-on-organizations-for-10-years/

    2 Malware 

    2.1 Tấn công sử dụng mã độc thông qua việc lợi dụng lỗ hổng CVE-2022-30190 – Follina

    Gần đây, các nhà bảo mật của Symantec đã theo dõi được các hành vi lợi dụng khai thác lỗ hổng RCE – CVE-2022-30190 Follina để triển khai mã độc trên các hệ thống bị ảnh hưởng bởi lỗ hổng.

    Thông qua việc tạo file Word tham chiếu đến link HTML độc hại. File HTML cho phép thực thi các đoạn mã powershell

    Kẻ tấn công sử dụng nhiều mã khai thác nhau, một trong số các payload mà Sysmantec quan sát được, kẻ tấn công triển khai Trojan AsyncRAT. Khi AysncRAT được thực thi, mã độc sẽ có cơ chế kiểm tra để làm khó khăn trong quá trình phân tích

    Sau đó, mã độc sẽ thu thập thông tin về máy chủ bao gồm thông tin về hardware, tên người dùng, đường dẫn file thực thi, thông tin hệ thống và gửi các thông tin tới C2 server

    AsyncRAT đợi nhận lệnh từ C2 server và thực thi trên máy bị ảnh hưởng

    Sysmantec cũng theo dõi được các kẻ tấn công triển khai Trojan information stealer. Mã độc thu thập và đánh cắp thông tin bao gồm cookies, dữ liệu đăng nhập được lưu trên các trình duyệt như Firefox, Chorme và Edge.

    Indicators of Compromise (IoCs)

    e7faa6c18d4906257652253755cf8f9a739c10938db369878907f8ed7dd8524d

    b63fbf80351b3480c62a6a5158334ec8e91fecd057f6c19e4b4dd3febaa9d447

    8e0be5e1035777f2ea373593c214d29ad146dd0453e9b8a1cad16d787c0be632

    Nguồn: https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/follina-msdt-exploit-malware

    3. CVE và các khuyến nghị bảo mật

    3.1 Microsoft Patch Tuesday – June 2022

    Trong tháng 6, Microsoft đã phát hành các bản vá cho 55 CVE mới trong các sản phẩm của Microsoft Windows and Windows Components; .NET and Visual Studio; Microsoft Office and Office Components; Microsoft Edge (Chromium-based); Windows Hyper-V Server; Windows App Store; Azure OMI, Real Time Operating System, and Service Fabric Container; SharePoint Server; Windows Defender; Windows Lightweight Directory Access Protocol (LDAP); and Windows Powershell. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 51 lỗ hổng được đánh giá là Improtant

    Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:  

    3.1.1 CVE-2022-30190 - Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability. 

    CVSS v3: 7.8

    Mô tả: lỗ hổng cho phép kẻ tấn công thực thi mã từ xa. Thông qua việc lừa người dùng mở các tài liệu có chứa thành phần độc hại trên các ứng dụng Microsoft Office như Word, MSDT protocol sẽ được gọi và cho phép kẻ tấn công thực hiện các các đoạn mã tùy ý. Microsoft ghi nhận lỗ hổng được nhiều nhóm tấn công sử dụng trong các chiến dịch APT

    Phiên bản ảnh hưởng

    Windows Server 2012 R2 (Server Core installation)

    Windows Server 2012 R2

    Windows Server 2012 (Server Core installation)

    Windows Server 2012

    Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

    Windows Server 2008 R2 for x64-based Systems Service Pack 1

    Windows RT 8.1

    Windows 8.1 for x64-based systems

    Windows 8.1 for 32-bit systems

    Windows 7 for x64-based Systems Service Pack 1

    Windows 7 for 32-bit Systems Service Pack 1

    Windows Server 2016 (Server Core installation)

    Windows Server 2016

    Windows 10 Version 1607 for x64-based Systems

    Windows 10 Version 1607 for 32-bit Systems

    Windows 10 for x64-based Systems

    Windows 10 for 32-bit Systems

    Windows 10 Version 21H2 for x64-based Systems

    Windows 10 Version 21H2 for ARM64-based Systems

    Windows 10 Version 21H2 for 32-bit Systems

    Windows 11 for ARM64-based Systems

    Windows 11 for x64-based Systems

    Windows Server, version 20H2 (Server Core Installation)

    Windows 10 Version 20H2 for ARM64-based Systems

    Windows 10 Version 20H2 for 32-bit Systems

    Window 10 Version 20H2 for x64-based Systems

    Windows Server 2022 (Server Core installation)

    Windows Server 2022

    Windows 10 Version 21H1 for 32-bit Systems

    Windows 10 Version 21H1 for ARM64-based Systems

    Windows 10 Version 21H1 for x64-based Systems

    Windows Server 2019 (Server Core installation)

    Windows Server 2019

    Windows 10 Version 1809 for ARM64-based Systems

    Windows 10 Version 1809 for x64-based Systems

    Windows 10 Version 1809 for 32-bit Systems

    Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

    Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerability – Microsoft Security Response Center

    3.1.2 CVE-2022-30136 - Windows Network File System Remote Code Execution Vulnerability. 

    CVSS v3: 9.8

    Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã từ xa trên hệ thống chạy NFS

    Phiên bản ảnh hưởng

    Windows Server 2012 R2 (Server Core installation)

    Windows Server 2012 R2

    Windows Server 2012 (Server Core installation)

    Windows Server 2012

    Windows Server 2016 (Server Core installation)

    Windows Server 2016

    Windows Server 2019 (Server Core installation)

    Windows Server 2019

    Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

    CVE-2022-30136 - Security Update Guide - Microsoft - Windows Network File System Remote Code Execution Vulnerability

    3.1.3 CVE-2022-30148 - Windows Desired State Configuration (DSC) Information Disclosure Vulnerability. 

    CVSS v3: 5.5

    Mô tả: Lỗ hổng này cho phép kẻ tấn công có thể khôi phục và lấy được thông tin usernames và plaintext passwords từ log files đối với máy chủ sử dụng DSC (Desired State Configuration - một tính năng được tích hợp trong Powershell 4.0)

    Phiên bản ảnh hưởng

    Windows Server 2016 (Server Core installation)

    Windows Server 2016

    Windows 10 Version 1607 for x64-based Systems

    Windows 10 Version 1607 for 32-bit Systems

    Windows 10 Version 21H2 for x64-based Systems

    Windows 10 Version 21H2 for ARM64-based Systems

    Windows 10 Version 21H2 for 32-bit Systems

    Windows 11 for ARM64-based Systems

    Windows 11 for x64-based Systems

    Windows Server, version 20H2 (Server Core Installation)

    Windows 10 Version 20H2 for ARM64-based Systems

    Windows 10 Version 20H2 for 32-bit Systems

    Windows 10 Version 20H2 for x64-based Systems

    Windows Server 2022 (Server Core installation)

    Windows Server 2022

    Windows 10 Version 21H1 for 32-bit Systems

    Windows 10 Version 21H1 for ARM64-based Systems

    Windows 10 Version 21H1 for x64-based Systems

    Windows Server 2019 (Server Core installation)

    Windows Server 2019

    Windows 10 Version 1809 for ARM64-based Systems

    Windows 10 Version 1809 for x64-based Systems

    Windows 10 Version 1809 for 32-bit Systems

    Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

    CVE-2022-30148 - Security Update Guide - Microsoft - Windows Desired State Configuration (DSC) Information Disclosure Vulnerability

    3.2 Ứng dụng web và các sản phẩm khác 

    3.2.1 CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability.

    CVSS v3: 9.8

    Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực thực thi mã từ xa trên máy chủ bị ảnh hưởng

    Phiên bản ảnh hưởng

    Tất cả các phiên bản được hỗ trợ của Confluence Server and Data Center đều bị ảnh hưởng.

    Phiên bản Confluence Server and Data Centersau 1.3.0 bị ảnh hưởng.

    Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

     

    https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message