Thông tin các mối đe dọa bảo mật trong tháng 08 – 2021
Hàng tháng, Chúng tôi tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Các cuộc tấn công của tin tặc Trung Quốc: APT40, APT31, APT30, APT27, Soft Cell, GhostEmpanga
1.1.1 Bộ Tư pháp Hoa Kỳ truy tố 04 thành viên thuộc nhóm tin tặc Trung Quốc APT40
Bộ Tư pháp Hoa Kỳ trong tháng 7 năm 2021 đã đưa ra cáo buộc đối với bốn công dân Trung Quốc vì đã đứng ra tổ chức các cuộc tấn công vào những công ty, cơ quan chính phủ và các trường đại học trên toàn thế giới.
Theo cáo buộc, phía Hoa Kỳ cho rằng đứng sau 4 nghi phạm này là một nhóm lớn hơn nhiều, đã thành lập một công ty bình phong cho các cuộc tấn công, tên là Hainan Xiandun Technology Development (海南 仙 盾) (Hainan Xiandun). Hoa Kỳ khẳng định công ty bình phong này hoạt động dưới sự chỉ đạo trực tiếp của Cục An ninh tỉnh Hải Nam, đơn vị cấp tỉnh của Bộ An ninh Quộc gia Trung Quốc (MSS).
Các quan chức Mỹ cho biết Hainan Xiandun phải chịu trách nhiệm cho những cuộc tấn công mạng được biết đến bởi nhiều cái tên khác nhau như APT40, BRONZE, MOHAWK, FEVERDREAM, G0065,… Theo đó, các họ mã độc được nhóm này sử dụng có thể kể đến là: BADFLICK hay GreenCrash, PHOTO hay Derusbi, MURKYTOP hay mt.exe, HOMEFRY hay dp.dll,…
Trước đó, trong khoảng thời gian từ năm 2011 đến năm 2018, cáo buộc cho biết APT40 đã xâm phạm các mục tiêu ở Hoa Kỳ, Áo, Campuchia, Canada, Đức, Indonesia, Malaysia, Na Uy, Nam Phi, Thụy Sĩ. Các lĩnh vực công nghiệp được nhắm mục tiêu bao gồm hàng không, quốc phòng, giáo dục, chính phủ, y tế, vận tải hảng hải. Các dữ liệu bị đánh cắp thường được sử dụng để hỗ trợ nỗ lực của Trung Quốc trong việc đảm bảo các hợp đồng cho các doanh nghiệp nhà nước tại các quốc gia mục tiêu, cho phép các công ty Trung Quốc có giá thầu tốt hơn và có lợi thế hơn các đối thủ cạnh tranh trong việc đảm bảo các hợp đồng lớn.
Ngay sau khi Bộ Tư pháp đưa ra cáo buộc, CISA và FBI của Hoa Kỳ đã ban hành hướng dẫn kỹ thuật về việc phát hiện các hoạt động và xâm nhập của APT40.
1.1.2 Cơ quan an ninh mạng Pháp cảnh báo về nhóm tin tặc APT31 của Trung Quốc sử dụng mạng lưới các bộ định tuyến gia đình để ngụy trang cho các cuộc tấn công
Nhóm tấn công đến từ Trung Quốc có tên APT31 hay Zirconium đã bị phát hiện bởi hành vi lạm dụng các bộ định tuyến gia đình để tạo nên một mạng lưới proxy bao quanh cơ sở hạ tầng C&C của họ nhằm chuyển tiếp và che giấu nguồn gốc của các cuộc tấn công. Liên quan đến sự việc này, Cơ quan An ninh mạng Quốc gia Pháp (ANSSI) đã công bố danh sách 161 địa chỉ IP đã bị APT31 chiếm đoạt trong các cuộc tấn công từ đầu năm 2021 đến nay nhắm vào các tổ chức của Pháp.
Chiến thuật hoạt động sử dụng bộ định tuyến gia đình để tạo mạng lưới proxy nhằm che giấu nguồn gốc của các cuộc tấn công web là một chiến thuật phổ biến ngày nay. Trong hầu hết các trường hợp, các bộ định tuyến và thiết bị IoT bị tấn công được tập hợp thành các botnet, sau đó các cho các nhóm APT thuê. Các nhóm này sử dụng botnet này như những lưới proxy khổng lồ để chuyển tiếp nhiều hoạt động độc hại khác nhau.
Một lưu ý khác, APT31 cũng là một trong hai nhóm hacker của Trung Quốc, cùng với APT40 đã bị cáo buộc về việc thực hiện chiến dịch tấn công máy chủ Microsoft Exchange vào đầu năm nay. Trong chiến dịch này APT31 đã sử dụng các lưới proxy để thực hiện scan, sau đó khởi chạy và ngụy trang các cuộc tấn công của nhóm nhắm vào các máy chủ mail Exchange.
Indicators of Compromise (IoCs)
File IOCs đầy đủ được cung cấp bởi Cơ quan An ninh mạng Quốc gia Pháp có thể download ở đây.
105.154.12.165 |
105.157.234.0 |
105.159.122.85 |
110.36.231.150 |
115.133.136.29 |
115.31.133.26 |
119.110.222.94 |
121.121.46.10 |
122.154.56.106 |
125.25.204.59 |
125.31.50.150 |
141.101.253.109 |
147.50.50.50 |
154.181.248.88 |
154.182.91.196 |
156.222.101.141 |
156.222.156.41 |
156.222.19.219 |
156.222.191.87 |
156.222.199.111 |
156.222.200.181 |
156.222.223.10 |
1.1.3 Nhóm APT31 đã sử dụng một loại phần mềm độc hại mới trong các cuộc tấn công nhằm vào các thực thể ở Mông Cổ, Belarus, Canada, Mỹ và Nga.
Các nhà nghiên cứu từ Positive Technologies cho biết nhóm APT 31 của Trung Quốc mới đây đã sử dụng một loại mã độc mới trong chiến dịch tấn công nhắm vào Mông Cổ, Belarus, Canada, Hoa Kỳ và Nga. Các chuyên gia cho biết mẫu mã độc mà họ tìm thấy có nhiều điểm tương đồng với DropboxAES RAT – mã độc APT31 được tìm thấy bởi chuyên gia tại Secureworks.
Điểm mới của mã độc mà APT31 sử dụng trong chiến dịch này là một dạng dropper mới. Chức năng của nó là tạo ra 2 files trên máy tính nạn nhân: 1 thư viện độc hại và 1 ứng dụng có thể bị tấn công bởi kĩ thuật DLL Sideloading. Cả 2 files này được tạo ra trong cùng một đường dẫn: C:ProgramDataApacha, trong trường hợp máy tính không có đường dẫn này, dropper sẽ tạo thư mục trước, sau đó tiến trình được khởi động lại.
Ứng dụng sinh ra bởi dropper khởi chạy sẽ tiến hành load thư viện độc hại và gọi một trong các chức năng của nó. Thư viện độc hại bắt chước MSVCR100.dll hợp pháp. Để tránh bị AV phát hiện, kẻ tấn công đã thực hiện ký lên dropper bằng một chữ ký số hợp lệ (khả năng họ đã thực hiện đánh cắp chữ ký số hợp lệ trước đó để dùng vào cuộc tấn công).
Mã độc được APT31 sử dụng trong chiến dịch tấn công diện rộng này cho phép họ ăn cắp thông tin từ các máy tính bị nhiễm, lấy thông tin trên các ổ đĩa, tìm kiếm files, tạo tiến trình, tạo luồng mới bằng cách tải các tệp độc hại từ C&C.
Indicators of Compromise (IoCs)
File | MD5 | SHA-1 | SHA-256 |
Dropper | |||
jconsole.exe | 3f5ea95a5076b473cf8218170e820784 | 765bd2fd32318a4cb9e4658194fe0fb5d94568e0 | 33f136069d7c3a030b2e0738a5ee80d442dee1a202f6937121fa4e92a775fead |
– | db1673a1e8316287cb940725bb6caa68 | 6a358afdd2c59f0bbfc7b1982ae6b0a782399923 | 2affdebbaa4f0cfa64e5c42e70d78665ef9ccb2c731c5fe07582ccdfdc05b0cc |
– | 2798b66475cf0794e9b868d656defca7 | 0c3e0a5553cc29049fd8c5fc3a1af3ae6c0c298e | 002dc9f6823ad8d3de23bcb5e41bcefd895df573ed3d89e0821243aa9b7bb4a8 |
– | 626270d5bf16eb2c4dda2d9f6e0c4ef9 | f585917fdb89b9dc849621676376b0b1e6b348fa | 2b495829b8b3319f98e22f35d7bd48c4dea1b9bafe80749d628da99fede6d694 |
news.exe | 56450799fe4e44d7c5aff84d173760e8 | 10037b4533df13983a75d74dcea32dc73665700c | 679955ff2a97ea11a181ae60c775eff78fadd767bc641ca0d1cff86a26df8ac8 |
– | d919fed03ec53654be59e15525c1448f | 9db9fe7b04bc5b2fc10f78da3891eb30c19a48b6 | efdbb19fb65bcf5c4a8feb3eab784682d01f3e75f711674e4d469d4dfe4a21f3 |
хавсралт.scr | d22670ab9b13de79e442100f56985032 | 6e7540fa001fc992d2050b97ea17686d34863740 | 78cc364e761701455bdc4bce100c2836566e662b87b5c28251c178eba2e9ce7e |
president_email.exe | 8e744f7b07484afcf87c454c6292e944 | da845d8219d3315c02f84c27094965d02cdaa76c | 5d0872d07c6837dbc3bfa85fd8f79da3d83d7bb7504a6de7305833090b214f2c |
Информация_Рб_июнь_2021_года_2021062826109.exe | 49bca397674f67e4c069068b596cab3e | d13d6d683855f5a547b96b6e2365c6f49a899d62 | 874b946b674715c580e7b379e9597e48c85c04cca3a2790d943f56600b575d2f |
Malicious library | |||
MSVCR100.dll | 8cefaa146178f5c3a297a7895cd3d1fc | 81779c94dbe2887ff1ff0fd4c15ee0c373bd0b40 | c15a475f8324fdfcd959ffc40bcbee655cbdc5ab9cbda0caf59d63700989766f |
MSVCR100.dll | 326024bc9222ebec281ec53ca5598cc1 | 5c25b93ebcedafcff0c85bcde2a0857ca72dc73e | 0229404a146bb43ebc6d25d2145b493e950b2f92483be1b964f4f1c90ec6cf70 |
MSVCR100.dll | 6f3047277719e2351ce14a54a39f7b15 | 7de335e005b0766268df918e7e3b64f4b3521c1e | 640128a35efc0ad83fe5b1461090f1b869c7a6ed0a8a661be403359d48a78085 |
Network indicators
gitcloudcache[.]com
edgecloudc[.]com
api[.]hostupoeui[.]com
api[.]flushcdn[.]com
const[.]be-government[.]com
drmtake[.]tk
inst[.]rsnet-devel[.]com
20[.]11[.]11[.]67
1.1.4 Năm doanh nghiệp viễn thông tại Đông Nam Á bị 03 nhóm gián điệp mạng của Trung Quốc khác nhau tấn công
Các nhà nghiên cứu Cybereason đã xác định ba nhóm tấn công có liên quan đến Trung Quốc đã thực hiện một loạt các cuộc tấn công nhằm vào mạng của ít nhất năm công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Theo báo cáo của Cybereason, mục tiêu của những kẻ tấn công đằng sau những cuộc xâm nhập này là giành được và duy trì quyền truy cập liên tục vào các nhà cung cấp dịch vụ viễn thông và tạo điều kiện cho hoạt động gián điệp mạng bằng cách thu thập thông tin nhạy cảm, xâm phạm các tài sản kinh doanh cao cấp như máy chủ thanh toán chứa dữ liệu Bản ghi chi tiết cuộc gọi (CDR), cũng như các thành phần mạng quan trọng như Domain Controller, máy chủ Web và máy chủ Microsoft Exchange.
Ba nhóm gián điệp mạng được nhắc đến là: Soft Cell (hay còn gọi là Gallium), Naikon APT (còn gọi là APT30 hoặc Lotus Panda) và TG-3390 (còn gọi là APT27 hoặc Emissary Panda). Ba nhóm đã sử dụng các kỹ thuật khác nhau để xâm nhập cùng một công ty viễn thông và một số vẫn hoạt động trong mạng của nạn nhân trong nhiều năm, với một số vụ xâm nhập sớm nhất kể từ năm 2017. Tuy nhiên, Cybereason cũng nói rằng mặc dù cả ba nhóm đều có mức độ liên quan đến các nỗ lực gián điệp của Trung Quốc, nhưng cả ba dường như không hợp tác với nhau.
Indicators of Compromise (IoCs)
Indicator | Type | Associated Tool |
Cluster A – Soft Cell Activity | ||
47.56.86[.]44 | IP Address | PcShare Backdoor |
45.76.213[.]2 | IP Address | PcShare Backdoor |
45.123.118[.]232 | IP Address | PcShare Backdoor |
19e961e2642e87deb2db6ca8fc2342f4b688a45c | SHA-1 Hash | PcShare Backdoor |
ba8f2843e2fb5274394b3c81abc3c2202d9ba592 | SHA-1 Hash | PcShare Backdoor |
101.132.251[.]212 | IP Address | Cobalt strike (iediag.dll) |
Cymkpuadkduz[.]xyz | Domain | Cobalt strike (iediag.dll) |
243cd77cfa03f58f6e6568e011e1d6d85969a3a2 | SHA-1 Hash | Cobalt strike (iediag.dll) |
c549a16aaa9901c652b7bc576e980ec2a008a2e0 | SHA-1 Hash | Mscorsvc.dll – Mimikatz |
c2850993bffc8330cff3cb89e9c7652b8819f57f | SHA-1 Hash | Mimikatz (PowerShell empire) |
440e04d0cc5e842c94793baf31e0d188511f0ace | SHA-1 Hash | D64.exe – Mimikatz |
e2340b27a4b759e0e2842bfe5aa48dda7450af4c | SHA-1 Hash | Mimikatz |
15336340db8b73bf73a17c227eb0c59b5a4dece2 | SHA-1 Hash | China Chopper WebShell (owaauth.aspx) |
5bc5dbe3a2ffd5ed1cd9f0c562564c8b72ae2055 | SHA-1 Hash | China Chopper WebShell (error4.aspx) |
Cluster B – Suspected Naikon APT | ||
nw.eiyfmrn[.]com | Domain | Nebulae backdoor C2 |
jdk.gsvvfsso[.]com | Domain | Nebulae backdoor C2 |
0dc49c5438a5d80ef31df4a4ccaab92685da3fc6 | SHA-1 Hash | Nebulae backdoor (chrome_frame_helper.dll) |
81cfcf3f8213bce4ca6a460e1db9e7dd1474ba52 | SHA-1 Hash | PotPlayer.dll.txt (EnrollLogger keylogger) |
e93ceb7938120a87c6c69434a6815f0da42ab7f2 | SHA-1 Hash | Chrome.exe – Mimikatz |
Cluster C – Potentially Linked to Group-3390 | ||
207b7cf5db59d70d4789cb91194c732bcd1cfb4b | SHA-1 Hash | Microsoft.Exchange.Clients.Event.dll |
71999e468252b7458e06f76b5c746a4f4b3aaa58 | SHA-1 Hash | Microsoft.Exchange.Clients.Event.dll |
1.1.5 Nhóm APT GhostEmpanga từ Trung Quốc mới được ghi nhận lợi dụng các lỗ hổng của Microsoft Exchange trong những cuộc tấn công nhắm vào các nhân vật tầm cỡ
Các chuyên gia của Kaspersky đã phát hiện một nhóm tấn công mới được cho rằng có liên quan đến Trung Quốc, họ đặt tên cho nhóm này là GhostEmpanga – kẻ đang nhắm vào các lỗ hổng của Microsoft Exchange để thực hiện tấn công vào đối tượng là người nổi tiếng.
GhostEmpanga chủ yếu tập trung vào các mục tiêu ở Đông Nam Á, bao gồm một số tổ chức chính phủ và các công ty viễn thông. Nhóm này nổi bật vì sử dụng bộ rootkit chế độ nhân Windows trước đây chưa từng được biết đến. Rootkit cung cấp quyền truy cập điều khiển từ xa vào các máy chủ mà chúng nhắm mục tiêu. Hoạt động một cách bí mật, rootkit nổi tiếng là trốn tránh các nhân viên giám sát và các giải pháp bảo mật. Để vượt qua cơ chế Windows Driver Signature Enforcement, GhostEmpanga sáng tạo ra một quá trình loading liên quan đến một thành phần của dự án mã nguồn mở có tên “Cheat Engine”. Bộ công cụ Rootkit nâng cao này là duy nhất và các nhà nghiên cứu của Kaspersky không thấy có sự tương đồng nào với các tác nhân đe dọa đã biết. Các chuyên gia của Kaspersky đã phỏng đoán rằng bộ công cụ này đã được sử dụng ít nhất là từ tháng 7 năm 2020.
Nhiều tác nhân đe dọa đã nhắm mục tiêu vào các lỗ hổng Microsoft Exchange trong năm nay, tuy nhiên, hoạt động của GhostEmposystem không có sự trùng lặp với các lỗ hổng khác.
GhostEmpanga là một ví dụ rõ ràng về cách tội phạm mạng tìm kiếm các kỹ thuật mới để sử dụng và các lỗ hổng mới để khai thác. Kaspersky kết luận khi sử dụng một bộ rootkit tinh vi, chưa từng được biết đến trước đây, chúng đã gây ra những vấn đề mới cho xu hướng tấn công đã được thiết lập sẵn sàng nhằm vào các máy chủ Microsoft Exchange.
1.2 Nhóm APT mới PrayingMantis đang nhắm vào các máy chủ IIS bằng mã khai thác ASP.NET
Một nhóm APT mới đã được phát hiện đang thực hiện các cuộc tấn công chống lại máy chủ web Microsoft IIS bằng cách sử dụng các khai thác trong các ứng dụng ASP.NET cũ để tạo ra một backdoor và sau đó đi sâu vào mạng nội bộ của công ty.
PrayingMantis hay TG1021 được ghi nhận bởi báo cáo của công ty bảo mật Sygnia của Israel công bố ngày 27/7/2021. Sygnia cho biết, những cuộc tấn công này nhắm vào các tổ chức nổi tiếng và tấn công bằng cách khai thác các máy chủ IIS chạy các ứng dụng ASP.NET lỗi thời, sau đó sử dụng khung mã độc tùy chỉnh thực thi bên trong bộ nhớ của máy chủ để tránh bị phát hiện.
Phần mềm độc hại được sử dụng bởi PrayingMantis – TG1021 cho thấy nỗ lực đáng kể để tránh bị phát hiện, bằng cách chủ động can thiệp vào cơ chế ghi nhật ký, vượt qua các EDR thương mại và âm thầm chờ đợi các kết nối đến, thay vì kết nối chủ động tới C&C (vì sẽ liên tục tạo ra lưu lượng truy cập). Hơn nữa, kẻ tấn công đã chủ động loại bỏ tất cả các công cụ lưu dấu vết trên ổ đĩa sau khi sử dụng chúng. PrayingMantis đã chọn từ bỏ tính bền bỉ để đổi lấy tính năng tàng hình.
Indicators of Compromise (IoCs)
Name | Hash |
Default.aspx (Loader web shell) | – f69d32157189945fa2bf47a690a8bd62 – 4f10e10050d3da0b369f6636ede18a418ecab3a0 – ea463bf8e502d0ff68736afa3dcbb59c969a6dc5776c0d7d10bb282ec3b6228 |
NodeIISWeb.dll | – de19ea6e9cdf2ac5d22a00d24898532d – 0786eb857c20dedb578e181cafba81ef0a097205 – 562cfbab3c6c4daf3a7f81412c77d5b70402c48aed3f49066cb758742b068afd |
PSRunner.dll (Memory Resident) | – c8d12b90e9efd04a2c523efaef3d01d4 – abd78cf430d91d07387e7305be6523249af38caa – 88cb332eb82f3c086eaa33607a173cf6410bff0b9a21d6692225ffb9bbe877c6 |
PotatoEx.dll (Memory Resident) | – 92fd2e7d4dfced8c635fbcb54bb651b9 – be6648ada0074cb76b5da7854c37cb784c52f989 – 4a41a1b8adf426959ece8ebed0fccdcd5db1124eb0686c2f590b3b93392429e6 |
ExtDLL.dll (Memory Resident) | – 6322a2a4b5dd34ecff3af22c4fac94cf – 5679ada30e9cdbdfe62a05448d76e7034489945a – 40b1bc34ecaddc7f08ca6399cb2a07520a7203394aa3accb1bb7d94aa21b35d6 |
WebTunnel.dll (Memory Resident) | – 3a0f85d811916f66371b9a994472667c – ba251c5f2884e2535a2178509b9065a9be969965 -0d6dec29075584af62801306913430c1733882955eedcd9e9a4916b2dae4d457 |
AssemblyManager.dll (Memory Resident) | – 0bd1d822710ca4cd8612cfcd78a12155 – 94df55b21bbd7bb82ab269d7840a3188003e5d35 – e1f3763092aa779fd291afe9aa18866658966332b13caa57d34d294120e1f608 |
ReflectiveLoadForms.dll | – 9d705f6333fc8cb3e75dde04e7a71ca4 – cb84313a708723268a0608929887ad16fcf83a26 – 01e33b20366589b19f66ffdd560538e83fe1a63cab7f29e0a6754bcbb49ec7bb |
2 Malware
2.1 Các dịch vụ rút gọn link được sử dụng nhằm phân phối mã độc hại
Nhóm nghiên cứu ESET đã phát hiện ra các dịch vụ URL rút gọn được sử dụng để phân phối các phần mềm độc hại có tên Android/FakeAdblocker, phần mềm này tải xuống mà thực thi các payload của mã độc từ máy chủ C&C (như Banking Trojan, SMS trojan)
Dựa trên dữ liệu của nhóm nguyên cứu, Android/FakeAdBlocker đã được phát hiện lần đầu tiên vào tháng 9 năm 2019. Sau thời gian này, mã độc xuất hiện dưới nhiều biến thể khác nhau. Theo số liệu từ ESET, hơn 150.000 trường hợp về các mẫu mã độc này được tải xuống các trên thiết bị Android. Việt Nam đứng thứ 4 trong số các quốc gia liên quan tới mẫu mã độc này
Hình 1. Top 10 quốc gia liên quan tới mã độc Android/FakeAdblocker
Tùy thuộc vào hệ điều hành đang chạy, URL rút gọn và mã độc sẽ khác nhau. Ví dụ: nếu nạn nhân sử dụng trên các thiết IOS, ngoài việc gây khó chịu bằng các quảng cáo không mong muốn, các trang web này có thể tạo các sự kiện trong lịch của nạn nhân bằng cách tự động tải xuống tệp ICS. Các sự kiện trong lịch thông báo sai cho nạn nhân rằng thiết bị của họ bị nhiễm phần mềm độc hại, cần tải các công cụ hỗ trợ khác thông qua các đường link giả mạo
Đôi với người dùng sử dụng thiết bị android,các link rút gọn sẽ tải xuống các ứng dụng Android độc hại. Sau khi tải xuống và cài đặt các ứng dụng độc hại này, mã độc sẽ giải mã file dat bằng thuật toán base64. File này chứa thông tin C&C và các tham số khác
Hình 2. Giải mã file .dat
Mã độc sau đó kết nối tới C&C server và tải xuống file có payload được đính kèm, file này được tự động trích xuất và thực thi. Hầu hết các payload của mã độc đều có chức năng tạo các quảng cáo. Tuy nhiên, theo như nhóm nguyên cứu quan sát được, tùy thuộc vào vị trí địa lý mà mã độc sẽ tải xuống các payload khác nhau. Đối với các quốc gia như Thổ Nhĩ Kỳ, Ba Lan, Tây Ban Nha, Hy Lạp và Ý, Cerberus Banking Trojan sẽ được tải xuống, nó sẽ giả mạo các ứng dụng khác như Chrome, Android Update,v.v…Ở Trung Đông thì các mẫu mã độc SMS Trojan sẽ được tải xuống
Hình 3. Mã độc Android/FakeAdBlocker tải xuống thêm các mã độc khác
Người dùng có thể loại bỏ mã độc dễ dàng bằng cách gỡ cài đặt các phần mềm này. Đối với các sự kiên trong lịch. Người dùng sử dụng ứng dụng miễn phí trên Google Play có tên Calendar Cleanup
IOCs
Hash | Detection name |
B0B027011102B8FD5EA5502D23D02058A1BFF1B9 | Android/FakeAdBlocker.A |
E51634ED17D4010398A1B47B1CF3521C3EEC2030 | Android/FakeAdBlocker.B |
696BC1E536DDBD61C1A6D197AC239F11A2B0C851 | Android/FakeAdBlocker.C |
C&Cs
emanalyst[.]biz
mmunitedaw[.]info
ommunite[.]top
rycovernmen[.]club
ransociatelyf[.]info
schemics[.]club
omeoneha[.]online
sityinition[.]top
fceptthis[.]biz
oftongueid[.]online
honeiwillre[.]biz
eaconhop[.]online
ssedonthep[.]biz
fjobiwouldli[.]biz
offeranda[.]biz
2.2 Các phần mềm độc hại được triển khai thông qua máy chủ Web IIS
Các nhà nghiên cứu của ESET gần đây đã phát hiện ra họ các mã độc hại sử dụng tấn công máy chủ Web IIS, trong đó có một số loại mã độc chưa từng được ghi nhận. Mục tiêu nhắm tới chính phủ, giao dịch thương mại điện tử cũng như phát tán các phần mềm độc hại khác. Các mẫu mã độc này hầu hết được thiết kết dưới dạng thư viện DLL, các thư viện này luôn được tiến trình của dịch vụ w3wp.exe gọi tới. Việc phát triển các thư viện nhằm duy trì mã độc trong hệ thống
Nhóm nghiên cứu xác định được 5 cơ chế chính mà mã độc sử dụng trong môi trường dịch vụ web:
Backdoor IIS: cho phép kẻ tấn công truy cập từ xa đối với các máy chủ web đã bị thỏa hiệp
IIS infostealers: cho phép kẻ tấn công chặn bắt lưu lượng mạng giữa người dung và máy chủ dich vụ web nhằm lấy cắp thông tin như thông tin xác thực đăng nhập hay các thông tin thanh toán
IIS injectors: sửa đổi các phản hồi HTTP từ máy chủ web tới người dùng hợp pháp nhằm phát tán các phần mềm độc hại
IIS proxies: biến máy chủ web bị thỏa hiệp trở thành một máy chủ C&C, sử dụng máy chủ web này để giao tiếp giữa máy chủ C&C bên ngoài với người dùng bên trong nội bộ
SEO fraud IIS malware: chỉnh sửa nội dung được cung cấp cho các công cụ tìm kiếm nhằm tăng thứ hạng các trang web của kẻ tấn công
Hình 4. Các cơ chế của mã độc/
Hầu hết các cuộc tấn công sử dụng mã độc ở máy chủ web đều thực hiện thông qua việc khai thác các lỗ hổng như Proxylogon, Proxyshell trên các nền tảng Microsoft Exchange hay các lỗ hổng khác được xây dựng trên dịch vụ web IIS
Các mẫu mã độc được kẻ tấn công drop xuống thư mục tại đường dẫn “%windir%system32inetsrv” dưới dạng một thư viện DLL. Các DLL này đều có một số đặc điểm sau:
Xây dựng một lớp(class) được kế thừa từ lớp CHttpModule hoặc CGlobalModule (hoặc có thể là cả hai) và ghi đè một số phương thức của lớp đó (event handler) bằng các đoạn mã độc hại
Trích xuất hàm RegisterModule(), là điểm bắt đầu thực thi của thư viện (entry point), nơi khởi tạo các module và xử lý một số phương thức của máy chủ (server events)
Các mẫu mã độc được sử dụng để đánh cắp thông tin có thể được thiết kế thêm bằng cách dựa vào các request mà người dùng gửi tới các đường dẫn như /checkout/checkout.aspx hay /checkout/Payment.aspx đều được mã độc ghi lại đầy đủ bao gồm cả HTTP bodies, các thông tin này được lưu vào tệp tin có tên cache.txt tại đường dẫn “C:WindowsTempcache.txt”. Một số trang web thương mại điện tử có thể có các thông tin nhạy cảm về người dùng như số thẻ tín dụng
Các mẫu mã độc khác mà nhóm nghiên cứu tìm được cũng có những hành vi đặc trưng khác như kết nối tới C&C và thực thi các câu lệnh từ C&C. Một số mẫu mã độc còn thay đổi các tệp tin nhật ký, bằng cách xóa bỏ các header trong request nhằm che giấu các hành vi của kẻ tấn công, khiến khó khăn hơn trong quá trình phân tích điều tra
Hình 5. IISpy sửa đổi nhật ký
IOCs của các mẫu mã độc: https://github.com/eset/malware-ioc/tree/master/badiis
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Aug 2021
Trong tháng 8 năm 2021, Microsoft đã phát hành các bản vá cho 44 CVE liên quan đến Microsoft Windows và các ứng dụng Windows như Office, .NET Core, Visual Studio, Windows Defender, Windows Update, Azure, Microsoft Dynamics. Trong số 44 CVE được vá lần này, 7 CVE được xếp hạng Nghiêm trọng (Critical) và 37 CVE được xếp hạng Quan trọng (Important). Chúng ta hãy xem xét một số CVE tiêu biểu trong số đó:
3.1.1 CVE-2021-36948 Lỗ hổng nâng cao đặc quyền trên Windows Update Medic Service
CVSS v3.0: 7.8
Mô tả: Lỗ hổng này có thể cho phép nâng cao đặc quyền cục bộ thông qua Windows Update Medic Service – một tính năng mới được giới thiệu trong Windows 10, được thiết kế để sửa lỗi các thành phần Windows Update giúp máy tính tiếp tục nhận các bản cập nhật. Kẻ tấn công cần đăng nhập vào một hệ thống bị ảnh hưởng và chạy một chương trình được chế tạo đặc biệt để nâng cao đặc quyền. Microsoft không cho biết mức độ lan rộng của các cuộc tấn công, nhưng rất có thể chúng đã được nhắm mục tiêu vào thời điểm này.
Hệ thống bị ảnh hưởng:
Windows: 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S
Windows Server: 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.
3.1.2 CVE-2021-36936 Lỗ hổng thực thi mã từ xa (RCE) trên Windows Print Spooler
CVSS v3.0: 8.8
Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong Windows Print Spooler. Kẻ tấn công được xác thực từ xa có thể gửi một yêu cầu được chế tạo đặc biệt và thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể dẫn đến sự xâm phạm hoàn toàn của hệ thống dễ bị tấn công.
Hệ thống bị ảnh hưởng:
Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1
Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.
3.1.3 CVE-2021-34535 Lỗ hổng thực thi mã từ xa (RCE) trên Remote Desktop Client
CVSS v3.0: 9.9
Mô tả: Lỗ hổng này ảnh hưởng đến RDP client mà không ảnh hưởng đến RDP server. Tuy nhiên, với CVSS là 9.9, đây là lỗ hổng không thể bỏ qua. Kẻ tấn công có thể chiếm được hệ thống nếu họ thuyết phục một RDP client bị ảnh hưởng kết nối với RDP server mà họ kiểm soát. Trên Hyper-V server, một chương trình độc hại chạy trên máy ảo khách có thể kích hoạt guest-to-host RCE bằng cách khai thác lỗ hổng này trong Hyper-V Viewer.
Hệ thống bị ảnh hưởng:
Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, RT 8.1
Windows Server: 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.
3.1.4 Các lỗ hổng khác
Danh sách đầy đủ các CVE có thể xem tại đây: https://msrc.microsoft.com/update-guide/releaseNote/2021-Aug
3.2 Oracle Critical Patch Update Advisory – July 2021
3.2.1 CVE-2019-2729
CVSS v3.0: 9.8
Mô tả: Oracle WebLogic Server là máy chủ ứng dụng có chức năng như một nền tảng để phát triển, triển khai và chạy các ứng dụng dựa trên Java của doanh nghiệp. Trong tháng này, Oracle đã phát hành bản vá cho CVE-2019-2729, một lỗ hổng giải mã nghiêm trọng thông qua XMLDecoder trên Oracle WebLogic Server Web Service, đã được công bố từ 2019. Lỗ hổng diễn ra trên trên Hyperion Infrastructure Technology trong phần Cài đặt và Cấu hình. Lỗ hổng thực thi mã từ xa này có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần username và mật khẩu.
Hệ thống bị ảnh hưởng: Oracle WebLogic Server, versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.
3.2.2 Các lỗ hổng khác
Danh sách đầy đủ các CVE có thể xem tại đây: https://www.oracle.com/security-alerts/cpujul2021.html
3.3 Ứng dụng web và các sản phẩm khác
3.3.1 CVE-2021-34429 Jetty WEB-INF info leak
Mô tả: URI có thể được tạo bằng cách sử dụng một số ký tự được mã hóa để truy cập nội dung của thư mục WEB-INF và bỏ qua một số ràng buộc bảo mật. Đây là một biến thể của lỗ hổng bảo mật được báo cáo trong CVE-2021-28164/ GHSA-v7ff-8wcx-gmc5.
Hệ thống bị ảnh hưởng: Eclipse Jetty versions 9.4.37-9.4.42, 10.0.1-10.0.5, 11.0.1-11.0.5
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp.
3.3.2 CVE-2020-36239 Jira Data Center RMI RCE
Mô tả: Đây là một lỗ hổng nghiêm trọng trên Jira Data Center, Jira Core Data Center, Jira Software Data Center, và Jira Service Management Data Center, cho phép kẻ tấn công từ xa xâm nhập hệ thống bị ảnh hưởng. Lỗ hổng này tồn tại do thiếu xác thực đối với dịch vụ mạng Ehcache RMI, trên các cổng 40001/ TCP và 40011/ TCP. Kẻ tấn công không được xác thực từ xa có khả năng kết nối với cổng bị ảnh hưởng có thể gửi một yêu cầu được chế tạo đặc biệt và thực thi mã tùy ý trên hệ thống. Việc khai thác thành công lỗ hổng cho phép kẻ tấn công từ xa xâm nhập hệ thống bị ảnh hưởng.
Hệ thống bị ảnh hưởng:
- Jira Data Center, Jira Core Data Center, and Jira Software Data Center
All 6.3.x, 6.4.x versions
All 7.0.x, 7.1.x , 7.2.x, 7.3.x, 7.4.x, 7.5.x, 7.6.x, 7.7.x, 7.8.x, 7.9.x, 7.10.x, 7.11.x, 7.12.x, 7.13.x versions
All 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x versions
All 8.5.x versions before 8.5.16
All 8.6.x, 8.7.x, 8.8.x, 8.9.x, 8.10.x, 8.11.x, 8.12.x versions
All 8.13.x versions before 8.13.8
All 8.14.x, 8.15.x, 8.16.x versions
- Jira Service Management Data Center
All 2.x.x versions after 2.0.2
All 3.x.x versions
All 4.0.x, 4.1.x, 4.2.x, 4.3.x, 4.4.x versions
All 4.5.x versions before 4.5.16
All 4.6.x, 4.7.x, 4.8.x, 4.9.x, 4.10.x, 4.11.x, 4.12.x versions
All 4.13.x versions before 4.13.8
All 4.14.x, 4.15.x, 4.16.x versions
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp. http://www.facebook.com/plugins/like.php?href=https%3a%2f%2fwww.gteltsc.vn%2fblog%2fthong-tin-cac-moi-de-doa-bao-mat-trong-thang-08-2021-11694.html&width&layout=button_count&action=like&show_faces=false&share=true&height=21&appId=113978412106180