Over 10 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

+1 -800-456-478-23

Thiết kế

Thông tin các mối đe dọa bảo mật trong tháng 08 – 2021

Hàng tháng, Chúng tôi  tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.  

1     Các mối đe dọa nâng cao – Advanced Threats

1.1     Các cuộc tấn công của tin tặc Trung Quốc: APT40, APT31, APT30, APT27, Soft Cell, GhostEmpanga

1.1.1     Bộ Tư pháp Hoa Kỳ truy tố 04 thành viên thuộc nhóm tin tặc Trung Quốc APT40

Bộ Tư pháp Hoa Kỳ trong tháng 7 năm 2021 đã đưa ra cáo buộc đối với bốn công dân Trung Quốc vì đã đứng ra tổ chức các cuộc tấn công vào những công ty, cơ quan chính phủ và các trường đại học trên toàn thế giới.

Theo cáo buộc, phía Hoa Kỳ cho rằng đứng sau 4 nghi phạm này là một nhóm lớn hơn nhiều, đã thành lập một công ty bình phong cho các cuộc tấn công, tên là Hainan Xiandun Technology Development  (海南 仙 盾) (Hainan Xiandun). Hoa Kỳ khẳng định công ty bình phong này hoạt động dưới sự chỉ đạo trực tiếp của Cục An ninh tỉnh Hải Nam, đơn vị cấp tỉnh của Bộ An ninh Quộc gia Trung Quốc (MSS).

Các quan chức Mỹ cho biết Hainan Xiandun phải chịu trách nhiệm cho những cuộc tấn công mạng được biết đến bởi nhiều cái tên khác nhau như APT40, BRONZE, MOHAWK, FEVERDREAM, G0065,… Theo đó, các họ mã độc được nhóm này sử dụng có thể kể đến là: BADFLICK hay GreenCrash, PHOTO hay Derusbi, MURKYTOP hay mt.exe, HOMEFRY hay dp.dll,…

Trước đó, trong khoảng thời gian từ năm 2011 đến năm 2018, cáo buộc cho biết APT40 đã xâm phạm các mục tiêu ở Hoa Kỳ, Áo, Campuchia, Canada, Đức, Indonesia, Malaysia, Na Uy, Nam Phi, Thụy Sĩ. Các lĩnh vực công nghiệp được nhắm mục tiêu bao gồm hàng không, quốc phòng, giáo dục, chính phủ, y tế, vận tải hảng hải. Các dữ liệu bị đánh cắp thường được sử dụng để hỗ trợ nỗ lực của Trung Quốc trong việc đảm bảo các hợp đồng cho các doanh nghiệp nhà nước tại các quốc gia mục tiêu, cho phép các công ty Trung Quốc có giá thầu tốt hơn và có lợi thế hơn các đối thủ cạnh tranh trong việc đảm bảo các hợp đồng lớn.

Ngay sau khi Bộ Tư pháp đưa ra cáo buộc, CISA và FBI của Hoa Kỳ đã ban hành hướng dẫn kỹ thuật về việc phát hiện các hoạt động và xâm nhập của APT40.

1.1.2    Cơ quan an ninh mạng Pháp cảnh báo về nhóm tin tặc APT31 của Trung Quốc sử dụng mạng lưới các bộ định tuyến gia đình để ngụy trang cho các cuộc tấn công

Nhóm tấn công đến từ Trung Quốc có tên APT31 hay Zirconium đã bị phát hiện bởi hành vi lạm dụng các bộ định tuyến gia đình để tạo nên một mạng lưới proxy bao quanh cơ sở hạ tầng C&C của họ nhằm chuyển tiếp và che giấu nguồn gốc của các cuộc tấn công. Liên quan đến sự việc này, Cơ quan An ninh mạng Quốc gia Pháp (ANSSI) đã công bố danh sách 161 địa chỉ IP đã bị APT31 chiếm đoạt trong các cuộc tấn công từ đầu năm 2021 đến nay nhắm vào các tổ chức của Pháp.

Chiến thuật hoạt động sử dụng bộ định tuyến gia đình để tạo mạng lưới proxy nhằm che giấu nguồn gốc của các cuộc tấn công web là một chiến thuật phổ biến ngày nay. Trong hầu hết các trường hợp, các bộ định tuyến và thiết bị IoT bị tấn công được tập hợp thành các botnet, sau đó các cho các nhóm APT thuê. Các nhóm này sử dụng botnet này như những lưới proxy khổng lồ để chuyển tiếp nhiều hoạt động độc hại khác nhau.

Một lưu ý khác, APT31 cũng là một trong hai nhóm hacker của Trung Quốc, cùng với APT40 đã bị cáo buộc về việc thực hiện chiến dịch tấn công máy chủ Microsoft Exchange vào đầu năm nay. Trong chiến dịch này APT31 đã sử dụng các lưới proxy để thực hiện scan, sau đó khởi chạy và ngụy trang các cuộc tấn công của nhóm nhắm vào các máy chủ mail Exchange.

Indicators of Compromise (IoCs)

File IOCs đầy đủ được cung cấp bởi Cơ quan An ninh mạng Quốc gia Pháp có thể download ở đây.

105.154.12.165
105.157.234.0
105.159.122.85
110.36.231.150
115.133.136.29
115.31.133.26
119.110.222.94
121.121.46.10
122.154.56.106
125.25.204.59
125.31.50.150
141.101.253.109
147.50.50.50
154.181.248.88
154.182.91.196
156.222.101.141
156.222.156.41
156.222.19.219
156.222.191.87
156.222.199.111
156.222.200.181
156.222.223.10

1.1.3    Nhóm APT31 đã sử dụng một loại phần mềm độc hại mới trong các cuộc tấn công nhằm vào các thực thể ở Mông Cổ, Belarus, Canada, Mỹ và Nga.

Các nhà nghiên cứu từ Positive Technologies cho biết nhóm APT 31 của Trung Quốc mới đây đã sử dụng một loại mã độc mới trong chiến dịch tấn công nhắm vào Mông Cổ, Belarus, Canada, Hoa Kỳ và Nga. Các chuyên gia cho biết mẫu mã độc mà họ tìm thấy có nhiều điểm tương đồng với DropboxAES RAT – mã độc APT31 được tìm thấy bởi chuyên gia tại Secureworks.

Điểm mới của mã độc mà APT31 sử dụng trong chiến dịch này là một dạng dropper mới. Chức năng của nó là tạo ra 2 files trên máy tính nạn nhân: 1 thư viện độc hại và 1 ứng dụng có thể bị tấn công bởi kĩ thuật DLL Sideloading. Cả 2 files này được tạo ra trong cùng một đường dẫn: C:ProgramDataApacha, trong trường hợp máy tính không có đường dẫn này, dropper sẽ tạo thư mục trước, sau đó tiến trình được khởi động lại.

Ứng dụng sinh ra bởi dropper khởi chạy sẽ tiến hành load thư viện độc hại và gọi một trong các chức năng của nó. Thư viện độc hại bắt chước MSVCR100.dll hợp pháp. Để tránh bị AV phát hiện, kẻ tấn công đã thực hiện ký lên dropper bằng một chữ ký số hợp lệ (khả năng họ đã thực hiện đánh cắp chữ ký số hợp lệ trước đó để dùng vào cuộc tấn công).

Mã độc được APT31 sử dụng trong chiến dịch tấn công diện rộng này cho phép họ ăn cắp thông tin từ các máy tính bị nhiễm, lấy thông tin trên các ổ đĩa, tìm kiếm files, tạo tiến trình, tạo luồng mới bằng cách tải các tệp độc hại từ C&C.

Indicators of Compromise (IoCs)

File MD5 SHA-1 SHA-256
Dropper  
jconsole.exe 3f5ea95a5076b473cf8218170e820784 765bd2fd32318a4cb9e4658194fe0fb5d94568e0 33f136069d7c3a030b2e0738a5ee80d442dee1a202f6937121fa4e92a775fead
db1673a1e8316287cb940725bb6caa68 6a358afdd2c59f0bbfc7b1982ae6b0a782399923 2affdebbaa4f0cfa64e5c42e70d78665ef9ccb2c731c5fe07582ccdfdc05b0cc
2798b66475cf0794e9b868d656defca7 0c3e0a5553cc29049fd8c5fc3a1af3ae6c0c298e 002dc9f6823ad8d3de23bcb5e41bcefd895df573ed3d89e0821243aa9b7bb4a8
626270d5bf16eb2c4dda2d9f6e0c4ef9 f585917fdb89b9dc849621676376b0b1e6b348fa 2b495829b8b3319f98e22f35d7bd48c4dea1b9bafe80749d628da99fede6d694
news.exe 56450799fe4e44d7c5aff84d173760e8 10037b4533df13983a75d74dcea32dc73665700c 679955ff2a97ea11a181ae60c775eff78fadd767bc641ca0d1cff86a26df8ac8
d919fed03ec53654be59e15525c1448f 9db9fe7b04bc5b2fc10f78da3891eb30c19a48b6 efdbb19fb65bcf5c4a8feb3eab784682d01f3e75f711674e4d469d4dfe4a21f3
хавсралт.scr d22670ab9b13de79e442100f56985032 6e7540fa001fc992d2050b97ea17686d34863740 78cc364e761701455bdc4bce100c2836566e662b87b5c28251c178eba2e9ce7e
president_email.exe 8e744f7b07484afcf87c454c6292e944 da845d8219d3315c02f84c27094965d02cdaa76c 5d0872d07c6837dbc3bfa85fd8f79da3d83d7bb7504a6de7305833090b214f2c
Информация_Рб_июнь_2021_года_2021062826109.exe 49bca397674f67e4c069068b596cab3e d13d6d683855f5a547b96b6e2365c6f49a899d62 874b946b674715c580e7b379e9597e48c85c04cca3a2790d943f56600b575d2f
Malicious library  
MSVCR100.dll 8cefaa146178f5c3a297a7895cd3d1fc 81779c94dbe2887ff1ff0fd4c15ee0c373bd0b40 c15a475f8324fdfcd959ffc40bcbee655cbdc5ab9cbda0caf59d63700989766f
MSVCR100.dll 326024bc9222ebec281ec53ca5598cc1 5c25b93ebcedafcff0c85bcde2a0857ca72dc73e 0229404a146bb43ebc6d25d2145b493e950b2f92483be1b964f4f1c90ec6cf70
MSVCR100.dll 6f3047277719e2351ce14a54a39f7b15 7de335e005b0766268df918e7e3b64f4b3521c1e 640128a35efc0ad83fe5b1461090f1b869c7a6ed0a8a661be403359d48a78085

Network indicators

gitcloudcache[.]com

edgecloudc[.]com

api[.]hostupoeui[.]com

api[.]flushcdn[.]com

const[.]be-government[.]com

drmtake[.]tk

inst[.]rsnet-devel[.]com

20[.]11[.]11[.]67

1.1.4    Năm doanh nghiệp viễn thông tại Đông Nam Á bị 03 nhóm gián điệp mạng của Trung Quốc khác nhau tấn công

Các nhà nghiên cứu Cybereason đã xác định ba nhóm tấn công có liên quan đến Trung Quốc đã thực hiện một loạt các cuộc tấn công nhằm vào mạng của ít nhất năm công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.

Theo báo cáo của Cybereason, mục tiêu của những kẻ tấn công đằng sau những cuộc xâm nhập này là giành được và duy trì quyền truy cập liên tục vào các nhà cung cấp dịch vụ viễn thông và tạo điều kiện cho hoạt động gián điệp mạng bằng cách thu thập thông tin nhạy cảm, xâm phạm các tài sản kinh doanh cao cấp như máy chủ thanh toán chứa dữ liệu Bản ghi chi tiết cuộc gọi (CDR), cũng như các thành phần mạng quan trọng như Domain Controller, máy chủ Web và máy chủ Microsoft Exchange.

Ba nhóm gián điệp mạng được nhắc đến là: Soft Cell (hay còn gọi là Gallium),  Naikon APT (còn gọi là APT30 hoặc Lotus Panda) và  TG-3390  (còn gọi là APT27 hoặc Emissary Panda). Ba nhóm đã sử dụng các kỹ thuật khác nhau để xâm nhập cùng một công ty viễn thông và một số vẫn hoạt động trong mạng của nạn nhân trong nhiều năm, với một số vụ xâm nhập sớm nhất kể từ năm 2017. Tuy nhiên, Cybereason cũng nói rằng mặc dù cả ba nhóm đều có mức độ liên quan đến các nỗ lực gián điệp của Trung Quốc, nhưng cả ba dường như không hợp tác với nhau.

Indicators of Compromise (IoCs)

Indicator Type Associated Tool
Cluster A – Soft Cell Activity
47.56.86[.]44 IP Address PcShare Backdoor
45.76.213[.]2 IP Address PcShare Backdoor
45.123.118[.]232 IP Address PcShare Backdoor
19e961e2642e87deb2db6ca8fc2342f4b688a45c SHA-1 Hash PcShare Backdoor
ba8f2843e2fb5274394b3c81abc3c2202d9ba592 SHA-1 Hash PcShare Backdoor
101.132.251[.]212 IP Address Cobalt strike (iediag.dll)
Cymkpuadkduz[.]xyz Domain Cobalt strike (iediag.dll)
243cd77cfa03f58f6e6568e011e1d6d85969a3a2 SHA-1 Hash Cobalt strike (iediag.dll)
c549a16aaa9901c652b7bc576e980ec2a008a2e0 SHA-1 Hash Mscorsvc.dll – Mimikatz
c2850993bffc8330cff3cb89e9c7652b8819f57f SHA-1 Hash Mimikatz (PowerShell empire)
440e04d0cc5e842c94793baf31e0d188511f0ace SHA-1 Hash D64.exe – Mimikatz
e2340b27a4b759e0e2842bfe5aa48dda7450af4c SHA-1 Hash Mimikatz
15336340db8b73bf73a17c227eb0c59b5a4dece2 SHA-1 Hash China Chopper WebShell (owaauth.aspx)
5bc5dbe3a2ffd5ed1cd9f0c562564c8b72ae2055 SHA-1 Hash China Chopper WebShell (error4.aspx)
Cluster B – Suspected Naikon APT
nw.eiyfmrn[.]com Domain Nebulae backdoor C2
jdk.gsvvfsso[.]com Domain Nebulae backdoor C2
0dc49c5438a5d80ef31df4a4ccaab92685da3fc6 SHA-1 Hash Nebulae backdoor (chrome_frame_helper.dll)
81cfcf3f8213bce4ca6a460e1db9e7dd1474ba52 SHA-1 Hash PotPlayer.dll.txt (EnrollLogger keylogger)
e93ceb7938120a87c6c69434a6815f0da42ab7f2 SHA-1 Hash Chrome.exe – Mimikatz
Cluster C – Potentially Linked to Group-3390
207b7cf5db59d70d4789cb91194c732bcd1cfb4b SHA-1 Hash Microsoft.Exchange.Clients.Event.dll
71999e468252b7458e06f76b5c746a4f4b3aaa58 SHA-1 Hash Microsoft.Exchange.Clients.Event.dll

1.1.5     Nhóm APT GhostEmpanga từ Trung Quốc mới được ghi nhận lợi dụng các lỗ hổng của Microsoft Exchange trong những cuộc tấn công nhắm vào các nhân vật tầm cỡ

Các chuyên gia của Kaspersky đã phát hiện một nhóm tấn công mới được cho rằng có liên quan đến Trung Quốc, họ đặt tên cho nhóm này là GhostEmpanga – kẻ đang nhắm vào các lỗ hổng của Microsoft Exchange để thực hiện tấn công vào đối tượng là người nổi tiếng.

GhostEmpanga chủ yếu tập trung vào các mục tiêu ở Đông Nam Á, bao gồm một số tổ chức chính phủ và các công ty viễn thông. Nhóm này nổi bật vì sử dụng bộ rootkit chế độ nhân Windows trước đây chưa từng được biết đến. Rootkit cung cấp quyền truy cập điều khiển từ xa vào các máy chủ mà chúng nhắm mục tiêu. Hoạt động một cách bí mật, rootkit nổi tiếng là trốn tránh các nhân viên giám sát và các giải pháp bảo mật. Để vượt qua cơ chế Windows Driver Signature Enforcement, GhostEmpanga sáng tạo ra một quá trình loading liên quan đến một thành phần của dự án mã nguồn mở có tên “Cheat Engine”. Bộ công cụ Rootkit nâng cao này là duy nhất và các nhà nghiên cứu của Kaspersky không thấy có sự tương đồng nào với các tác nhân đe dọa đã biết. Các chuyên gia của Kaspersky đã phỏng đoán rằng bộ công cụ này đã được sử dụng ít nhất là từ tháng 7 năm 2020.

Nhiều tác nhân đe dọa đã nhắm mục tiêu vào các lỗ hổng Microsoft Exchange trong năm nay, tuy nhiên, hoạt động của GhostEmposystem không có sự trùng lặp với các lỗ hổng khác.

GhostEmpanga là một ví dụ rõ ràng về cách tội phạm mạng tìm kiếm các kỹ thuật mới để sử dụng và các lỗ hổng mới để khai thác. Kaspersky kết luận khi sử dụng một bộ rootkit tinh vi, chưa từng được biết đến trước đây, chúng đã gây ra những vấn đề mới cho xu hướng tấn công đã được thiết lập sẵn sàng nhằm vào các máy chủ Microsoft Exchange.

1.2    Nhóm APT mới PrayingMantis đang nhắm vào các máy chủ IIS bằng mã khai thác ASP.NET

Một nhóm APT mới đã được phát hiện đang thực hiện các cuộc tấn công chống lại máy chủ web Microsoft IIS bằng cách sử dụng các khai thác trong các ứng dụng ASP.NET cũ để tạo ra một backdoor và sau đó đi sâu vào mạng nội bộ của công ty.

PrayingMantis hay TG1021 được ghi nhận bởi báo cáo của công ty bảo mật Sygnia của Israel công bố ngày 27/7/2021. Sygnia cho biết, những cuộc tấn công này nhắm vào các tổ chức nổi tiếng và tấn công bằng cách khai thác các máy chủ IIS chạy các ứng dụng ASP.NET lỗi thời, sau đó sử dụng khung mã độc tùy chỉnh thực thi bên trong bộ nhớ của máy chủ để tránh bị phát hiện.

Phần mềm độc hại được sử dụng bởi PrayingMantis – TG1021 cho thấy nỗ lực đáng kể để tránh bị phát hiện, bằng cách chủ động can thiệp vào cơ chế ghi nhật ký, vượt qua các EDR thương mại và âm thầm chờ đợi các kết nối đến, thay vì kết nối chủ động tới C&C (vì sẽ liên tục tạo ra lưu lượng truy cập). Hơn nữa, kẻ tấn công đã chủ động loại bỏ tất cả các công cụ lưu dấu vết trên ổ đĩa sau khi sử dụng chúng. PrayingMantis đã chọn từ bỏ tính bền bỉ để đổi lấy tính năng tàng hình.

Indicators of Compromise (IoCs)

Name Hash
Default.aspx (Loader web shell)   – f69d32157189945fa2bf47a690a8bd62 – 4f10e10050d3da0b369f6636ede18a418ecab3a0 – ea463bf8e502d0ff68736afa3dcbb59c969a6dc5776c0d7d10bb282ec3b6228
NodeIISWeb.dll   – de19ea6e9cdf2ac5d22a00d24898532d – 0786eb857c20dedb578e181cafba81ef0a097205 – 562cfbab3c6c4daf3a7f81412c77d5b70402c48aed3f49066cb758742b068afd
PSRunner.dll (Memory Resident) – c8d12b90e9efd04a2c523efaef3d01d4 – abd78cf430d91d07387e7305be6523249af38caa – 88cb332eb82f3c086eaa33607a173cf6410bff0b9a21d6692225ffb9bbe877c6
PotatoEx.dll (Memory Resident) – 92fd2e7d4dfced8c635fbcb54bb651b9 – be6648ada0074cb76b5da7854c37cb784c52f989 – 4a41a1b8adf426959ece8ebed0fccdcd5db1124eb0686c2f590b3b93392429e6
ExtDLL.dll (Memory Resident) – 6322a2a4b5dd34ecff3af22c4fac94cf – 5679ada30e9cdbdfe62a05448d76e7034489945a – 40b1bc34ecaddc7f08ca6399cb2a07520a7203394aa3accb1bb7d94aa21b35d6
WebTunnel.dll (Memory Resident)   – 3a0f85d811916f66371b9a994472667c – ba251c5f2884e2535a2178509b9065a9be969965 -0d6dec29075584af62801306913430c1733882955eedcd9e9a4916b2dae4d457
AssemblyManager.dll (Memory Resident)   – 0bd1d822710ca4cd8612cfcd78a12155 – 94df55b21bbd7bb82ab269d7840a3188003e5d35 – e1f3763092aa779fd291afe9aa18866658966332b13caa57d34d294120e1f608
ReflectiveLoadForms.dll – 9d705f6333fc8cb3e75dde04e7a71ca4 – cb84313a708723268a0608929887ad16fcf83a26 – 01e33b20366589b19f66ffdd560538e83fe1a63cab7f29e0a6754bcbb49ec7bb

2    Malware

2.1    Các dịch vụ rút gọn link được sử dụng nhằm phân phối mã độc hại

Nhóm nghiên cứu ESET đã phát hiện ra các  dịch vụ URL rút gọn được sử dụng để phân phối các  phần mềm độc hại có tên Android/FakeAdblocker, phần mềm này tải xuống mà thực thi các payload của mã độc từ máy chủ C&C (như Banking Trojan, SMS trojan)

Dựa trên dữ liệu của nhóm nguyên cứu, Android/FakeAdBlocker đã được phát hiện lần đầu tiên vào tháng 9 năm 2019. Sau thời gian này, mã độc xuất hiện dưới nhiều biến thể khác nhau.  Theo số liệu từ ESET, hơn 150.000 trường hợp về các mẫu mã độc  này được tải xuống các trên thiết bị Android. Việt Nam đứng thứ 4 trong số các quốc gia liên quan tới mẫu mã độc này

Hình 1. Top 10 quốc gia liên quan tới mã độc Android/FakeAdblocker

Tùy thuộc vào hệ điều hành đang chạy, URL rút gọn và mã độc sẽ khác nhau. Ví dụ: nếu nạn nhân sử dụng trên các thiết IOS, ngoài việc gây khó chịu  bằng các quảng cáo không mong muốn, các trang web này có thể tạo các sự kiện trong lịch của nạn nhân bằng cách tự động tải xuống tệp ICS. Các sự kiện trong lịch thông báo sai cho nạn nhân rằng thiết bị của họ bị nhiễm phần mềm độc hại, cần tải các công cụ hỗ trợ khác thông qua các đường link giả mạo

Đôi với người dùng sử dụng thiết bị android,các link rút gọn sẽ tải xuống các ứng dụng Android độc hại. Sau khi tải xuống và cài đặt các ứng dụng độc hại này, mã độc sẽ giải mã file dat bằng thuật toán base64. File này chứa thông tin C&C và các tham số khác

Hình 2. Giải mã file .dat

 Mã độc sau đó kết nối tới C&C server và tải xuống file có payload được đính kèm, file này được tự động trích xuất và thực thi. Hầu hết các payload của mã độc đều có chức năng tạo các quảng cáo. Tuy nhiên, theo như nhóm nguyên cứu quan sát được, tùy thuộc vào vị trí địa lý mà mã độc sẽ tải xuống các payload khác nhau. Đối với các quốc gia như Thổ Nhĩ Kỳ, Ba Lan, Tây Ban Nha, Hy Lạp và Ý, Cerberus Banking Trojan sẽ được tải xuống, nó sẽ giả mạo các ứng dụng khác như Chrome, Android Update,v.v…Ở Trung Đông thì các mẫu mã độc SMS Trojan sẽ được tải xuống

Hình 3. Mã độc Android/FakeAdBlocker  tải xuống thêm các mã độc khác

Người dùng có thể loại bỏ mã độc dễ dàng bằng cách gỡ cài đặt các phần mềm này. Đối với các sự kiên trong lịch. Người dùng sử dụng ứng dụng miễn phí trên Google Play có tên Calendar Cleanup

IOCs

Hash Detection name
B0B027011102B8FD5EA5502D23D02058A1BFF1B9 Android/FakeAdBlocker.A
E51634ED17D4010398A1B47B1CF3521C3EEC2030 Android/FakeAdBlocker.B
696BC1E536DDBD61C1A6D197AC239F11A2B0C851 Android/FakeAdBlocker.C

C&Cs

emanalyst[.]biz
mmunitedaw[.]info
ommunite[.]top
rycovernmen[.]club
ransociatelyf[.]info
schemics[.]club
omeoneha[.]online
sityinition[.]top
fceptthis[.]biz
oftongueid[.]online
honeiwillre[.]biz
eaconhop[.]online
ssedonthep[.]biz
fjobiwouldli[.]biz
offeranda[.]biz

2.2   Các phần mềm độc hại được triển khai thông qua máy chủ Web IIS

Các nhà nghiên cứu của ESET gần đây đã phát hiện ra họ các mã độc hại sử dụng tấn công máy chủ Web IIS, trong đó có một số loại mã độc chưa từng được ghi nhận. Mục tiêu nhắm tới chính phủ, giao dịch thương mại điện tử cũng như phát tán các phần mềm độc hại khác. Các mẫu mã độc này hầu hết được thiết kết dưới dạng thư viện DLL, các thư viện này luôn được tiến trình của dịch vụ w3wp.exe gọi tới. Việc phát triển các thư viện nhằm duy trì mã độc trong hệ thống

Nhóm nghiên cứu xác định được 5 cơ chế chính mà mã độc sử dụng trong môi trường dịch vụ web:

Backdoor IIS: cho phép kẻ tấn công truy cập từ xa đối với các máy chủ web đã bị thỏa hiệp

IIS infostealers: cho phép kẻ tấn công chặn bắt lưu lượng mạng giữa người dung và máy chủ dich vụ web nhằm lấy cắp thông tin như thông tin xác thực đăng nhập hay các thông tin thanh toán

IIS injectors: sửa đổi các phản hồi HTTP từ máy chủ web tới người dùng hợp pháp nhằm phát tán các phần mềm độc hại

IIS proxies: biến máy chủ web bị thỏa hiệp trở thành một máy chủ C&C, sử dụng máy chủ web này để giao tiếp giữa máy chủ C&C bên ngoài với người dùng bên trong nội bộ

SEO fraud IIS malware: chỉnh sửa nội dung được cung cấp cho các công cụ tìm kiếm nhằm tăng thứ hạng các trang web của kẻ tấn công

Hình 4. Các cơ chế của mã độc/

Hầu hết các cuộc tấn công sử dụng mã độc ở máy chủ web đều thực hiện thông qua việc khai thác các lỗ hổng như Proxylogon, Proxyshell trên các nền tảng Microsoft Exchange hay các lỗ hổng khác được xây dựng trên dịch vụ web IIS

Các mẫu mã độc được kẻ tấn công drop xuống thư mục tại đường dẫn “%windir%system32inetsrv” dưới dạng một thư viện DLL. Các DLL này đều có một số đặc điểm sau:

Xây dựng một lớp(class) được kế thừa từ lớp CHttpModule hoặc CGlobalModule (hoặc có thể là cả hai) và ghi đè một số phương thức của lớp đó (event handler) bằng các đoạn mã độc hại

Trích xuất hàm RegisterModule(), là điểm bắt đầu thực thi của thư viện (entry point), nơi khởi tạo các module và xử lý một số phương thức của máy chủ  (server events)

Các mẫu mã độc được sử dụng để đánh cắp thông tin có thể được thiết kế thêm bằng cách dựa vào các request mà người dùng gửi tới các đường dẫn như /checkout/checkout.aspx hay /checkout/Payment.aspx đều được mã độc ghi lại đầy đủ bao gồm cả HTTP bodies, các thông tin này được lưu vào tệp tin có tên cache.txt tại đường dẫn “C:WindowsTempcache.txt”. Một số trang web thương mại điện tử có thể có các thông tin nhạy cảm về người dùng như số thẻ tín dụng

Các mẫu mã độc khác mà nhóm nghiên cứu tìm được cũng có những hành vi đặc trưng khác như kết nối tới C&C và thực thi các câu lệnh từ C&C. Một số mẫu mã độc còn thay đổi các tệp tin nhật ký, bằng cách xóa bỏ các header trong request nhằm che giấu các hành vi của kẻ tấn công, khiến khó khăn hơn trong quá trình phân tích điều tra

Hình 5. IISpy sửa đổi nhật ký

IOCs của các mẫu mã độc: https://github.com/eset/malware-ioc/tree/master/badiis

3    CVE và các khuyến nghị bảo mật

3.1    Microsoft Patch Tuesday – Aug 2021

Trong tháng 8 năm 2021, Microsoft đã phát hành các bản vá cho 44 CVE liên quan đến Microsoft Windows và các ứng dụng Windows như Office, .NET Core, Visual Studio, Windows Defender, Windows Update, Azure, Microsoft Dynamics. Trong số 44 CVE được vá lần này, 7 CVE được xếp hạng Nghiêm trọng (Critical) và 37 CVE được xếp hạng Quan trọng (Important). Chúng ta hãy xem xét một số CVE tiêu biểu trong số đó:

3.1.1    CVE-2021-36948 Lỗ hổng nâng cao đặc quyền trên Windows Update Medic Service

CVSS v3.0: 7.8

Mô tả: Lỗ hổng này có thể cho phép nâng cao đặc quyền cục bộ thông qua Windows Update Medic Service – một tính năng mới được giới thiệu trong Windows 10, được thiết kế để sửa lỗi các thành phần Windows Update giúp máy tính tiếp tục nhận các bản cập nhật. Kẻ tấn công cần đăng nhập vào một hệ thống bị ảnh hưởng và chạy một chương trình được chế tạo đặc biệt để nâng cao đặc quyền. Microsoft không cho biết mức độ lan rộng của các cuộc tấn công, nhưng rất có thể chúng đã được nhắm mục tiêu vào thời điểm này.

Hệ thống bị ảnh hưởng: 

Windows: 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S

Windows Server: 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.

3.1.2   CVE-2021-36936 Lỗ hổng thực thi mã từ xa (RCE) trên Windows Print Spooler

CVSS v3.0: 8.8

Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong Windows Print Spooler. Kẻ tấn công được xác thực từ xa có thể gửi một yêu cầu được chế tạo đặc biệt và thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể dẫn đến sự xâm phạm hoàn toàn của hệ thống dễ bị tấn công.

Hệ thống bị ảnh hưởng: 

Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1

Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.

3.1.3    CVE-2021-34535 Lỗ hổng thực thi mã từ xa (RCE) trên Remote Desktop Client 

CVSS v3.0: 9.9

Mô tả: Lỗ hổng này ảnh hưởng đến RDP client mà không ảnh hưởng đến RDP server. Tuy nhiên, với CVSS là 9.9, đây là lỗ hổng không thể bỏ qua. Kẻ tấn công có thể chiếm được hệ thống nếu họ thuyết phục một RDP client bị ảnh hưởng kết nối với RDP server mà họ kiểm soát. Trên Hyper-V server, một chương trình độc hại chạy trên máy ảo khách có thể kích hoạt guest-to-host RCE bằng cách khai thác lỗ hổng này trong Hyper-V Viewer. 

Hệ thống bị ảnh hưởng: 

Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1

Windows Server: 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.

3.1.4   Các lỗ hổng khác

Danh sách đầy đủ các CVE có thể xem tại đây: https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug

3.2   Oracle Critical Patch Update Advisory – July 2021

3.2.1   CVE-2019-2729

CVSS v3.0: 9.8

Mô tả: Oracle WebLogic Server là máy chủ ứng dụng có chức năng như một nền tảng để phát triển, triển khai và chạy các ứng dụng dựa trên Java của doanh nghiệp. Trong tháng này, Oracle đã phát hành bản vá cho CVE-2019-2729, một lỗ hổng giải mã nghiêm trọng thông qua XMLDecoder trên Oracle WebLogic Server Web Service, đã được công bố từ 2019. Lỗ hổng diễn ra trên trên Hyperion Infrastructure Technology trong phần Cài đặt và Cấu hình. Lỗ hổng thực thi mã từ xa này có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần username và mật khẩu. 

Hệ thống bị ảnh hưởng: Oracle WebLogic Server, versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.

3.2.2   Các lỗ hổng khác

Danh sách đầy đủ các CVE có thể xem tại đây: https://www.oracle.com/security-alerts/cpujul2021.html

3.3   Ứng dụng web và các sản phẩm khác

3.3.1    CVE-2021-34429 Jetty WEB-INF info leak

Mô tả: URI có thể được tạo bằng cách sử dụng một số ký tự được mã hóa để truy cập nội dung của thư mục WEB-INF và bỏ qua một số ràng buộc bảo mật. Đây là một biến thể của lỗ hổng bảo mật được báo cáo trong CVE-2021-28164/ GHSA-v7ff-8wcx-gmc5.

Hệ thống bị ảnh hưởng: Eclipse Jetty versions 9.4.37-9.4.42, 10.0.1-10.0.5, 11.0.1-11.0.5

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.

3.3.2   CVE-2020-36239 Jira Data Center RMI RCE 

Mô tả: Đây là một lỗ hổng nghiêm trọng trên Jira Data Center, Jira Core Data Center, Jira Software Data Center, và Jira Service Management Data Center, cho phép kẻ tấn công từ xa xâm nhập hệ thống bị ảnh hưởng. Lỗ hổng này tồn tại do thiếu xác thực đối với dịch vụ mạng Ehcache RMI, trên các cổng 40001/ TCP và 40011/ TCP. Kẻ tấn công không được xác thực từ xa có khả năng kết nối với cổng bị ảnh hưởng có thể gửi một yêu cầu được chế tạo đặc biệt và thực thi mã tùy ý trên hệ thống. Việc khai thác thành công lỗ hổng cho phép kẻ tấn công từ xa xâm nhập hệ thống bị ảnh hưởng.

Hệ thống bị ảnh hưởng: 

  • Jira Data Center, Jira Core Data Center, and Jira Software Data Center

All 6.3.x, 6.4.x versions

All 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x versions

All 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x versions

All 8.5.x versions before 8.5.16

All 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x versions

All 8.13.x versions before 8.13.8

All 8.14.x, 8.15.x, 8.16.x versions

  • Jira Service Management Data Center

All 2.x.x versions after 2.0.2

All 3.x.x versions

All 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x versions

All 4.5.x versions before 4.5.16

All 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x versions

All 4.13.x versions before 4.13.8

All 4.14.x, 4.15.x, 4.16.x versions

Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp. http://www.facebook.com/plugins/like.php?href=https%3a%2f%2fwww.gteltsc.vn%2fblog%2fthong-tin-cac-moi-de-doa-bao-mat-trong-thang-08-2021-11694.html&width&layout=button_count&action=like&show_faces=false&share=true&height=21&appId=113978412106180

Tác giả

vsm_trang

Để lại bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *