VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 1 - Tháng 7 - 2023

date
Jul 3, 2023
slug
tin-tuc-attt-tuan-1-thang-7-nam-2023
author
status
Public
tags
Docs
News
Blog
Daily
Ransomware
Malware
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 1 tháng 7 - 2023 (3/7-8/7)
type
Post
thumbnail
hacker-.jpg
category
News
updatedAt
Jul 28, 2023 02:04 AM
1. Ransomware BlackCat thông qua quảng cáo tìm kiếm WinSCP để tải Cobalt Strike độc hại 2. Công cụ tấn công DDoSia phát triển bằng mã hóa, nhắm mục tiêu vào nhiều lĩnh vực3. Công cụ mới khai thác lỗi Microsoft Teams để gửi phần mềm độc hại cho người dùng4. Malware của tin tặc Iran nhắm mục tiêu vào người dùng Windows và macOS5. Các ứng dụng có 1,5 triệu lượt cài đặt trên Google Play sẽ gửi dữ liệu của bạn đến Trung Quốc6. Biến thể malware “RustBucket” mới nhắm mục tiêu các người dùng macOS7. Nhóm APT Trung Quốc sử dụng PlugX để thực hiện kỹ thuật HTML Smuggling xâm nhập vào các cơ quan, tổ chức tại Châu Âu

1. Ransomware BlackCat thông qua quảng cáo tìm kiếm WinSCP để tải Cobalt Strike độc hại

Nhóm ransomware BlackCat (ALPHV) đang chạy các chiến dịch quảng cáo độc hại để thu hút mọi người vào các trang giả mạo bắt chước trang web chính thức của ứng dụng truyền tệp WinSCP dành cho Windows nhưng thay vào đó đẩy các trình cài đặt chứa phần mềm độc hại.
WinSCP (Bản sao bảo mật của Windows) là ứng dụng khách SFTP, FTP, S3, SCP và trình quản lý tệp mã nguồn mở và miễn phí phổ biến với khả năng truyền tệp SSH với 400.000 lượt tải xuống hàng tuần chỉ riêng trên SourceForge.
BlackCat đang sử dụng chương trình này làm mồi nhử để có khả năng lây nhiễm vào máy tính của quản trị viên hệ thống, quản trị viên web và chuyên gia CNTT để có quyền truy cập ban đầu vào các mạng công ty có giá trị.
Vector lây nhiễm mã độc tống tiền ALPHV chưa từng được biết đến này đã được phát hiện bởi các nhà phân tích tại Trend Micro , người đã phát hiện ra các chiến dịch quảng cáo quảng bá các trang giả mạo trên cả trang tìm kiếm Google và Bing.
Từ WinSCP đến CobaltStrike
Cuộc tấn công BlackCat mà Trend Micro quan sát được bắt đầu bằng việc nạn nhân tìm kiếm "WinSCP Download" trên Bing hoặc Google và nhận được các kết quả độc hại được quảng cáo xếp hạng trên các trang web tải xuống WinSCP an toàn.
Các nạn nhân nhấp vào những quảng cáo đó và truy cập trang web lưu trữ các hướng dẫn về cách thực hiện truyền tệp tự động bằng WinSCP.
Trang web được quảng cáo thông qua quảng cáo độc hại (Trend Micro)
notion image
Các trang web này không chứa nội dung độc hại, có khả năng tránh bị các trình thu thập thông tin chống lạm dụng của Google phát hiện nhưng lại chuyển hướng khách truy cập đến một bản sao của trang web chính thức WinSCP có nút tải xuống. Các bản sao này sử dụng các tên miền tương tự như tên miền wincp.net thực cho tiện ích, chẳng hạn như winccp[.]com.
Sao chép trang tải xuống WinSCP (Trend Micro)
notion image
Nạn nhân nhấp vào nút và nhận được tệp ISO chứa "setup.exe" và "msi.dll", tệp đầu tiên là mục đích thu hút người dùng khởi chạy và tệp thứ hai là phần mềm độc hại được kích hoạt bởi tệp thực thi.
Báo cáo của Trend Micro giải thích: "Sau khi setup.exe được thực thi, nó sẽ gọi msi.dll mà sau này sẽ trích xuất một thư mục Python từ phần DLL RCDATA dưới dạng trình cài đặt thực sự để WinSCP được cài đặt trên máy".
Quá trình này cũng cài đặt một python310.dll bị trojan hóa và tạo một cơ chế duy trì bền bỉ bằng cách tạo một khóa chạy có tên "Python" và giá trị "C:\Users\Public\Music\python\pythonw.exe".
Thao tác đăng ký để thiết lập tính bền vững (Trend Micro)
notion image
Tệp thực thi pythonw.exe tải tệp python310.dll đã được sửa đổi có chứa Cobalt Strike beacon kết nối với địa chỉ máy chủ chỉ huy và kiểm soát.
Chuỗi tấn công hoàn chỉnh (Trend Micro)
notion image
Các công cụ khác được ALPHV sử dụng
Có Cobalt Strike chạy trên hệ thống, dễ dàng để thực thi các tập lệnh bổ sung, tìm nạp các công cụ để mở rộng tấn công và dễ dàng thỏa hiệp.
Các nhà phân tích của Trend Micro nhận thấy rằng ALPHV đã sử dụng các công cụ sau trong các giai đoạn tiếp theo:
  • AdFind: công cụ dòng lệnh được sử dụng để truy xuất thông tin Active Directory (AD).
  • PowerShell commands: được sử dụng để thu thập dữ liệu người dùng, giải nén tệp ZIP và thực thi tập lệnh.
  • AccessChk64: công cụ dòng lệnh được sử dụng để theo dõi quyền của người dùng và nhóm.
  • Findstr: công cụ dòng lệnh được sử dụng để tìm kiếm mật khẩu trong các tệp XML.
  • PowerView: Tập lệnh PowerSploit được sử dụng trong trinh sát và liệt kê AD.
  • Python scripts: được sử dụng để thực thi công cụ khôi phục mật khẩu LaZagne và lấy thông tin đăng nhập Veeam.
  • PsExec, BitsAdmin, Curl: được sử dụng cho việc mở rộng tấn công
  • AnyDesk: công cụ quản lý từ xa hợp pháp bị lạm dụng để duy trì sự bền bỉ
  • KillAV BAT script: được sử dụng để vô hiệu hóa hoặc bỏ qua các chương trình chống virus và phần mềm độc hại.
  • PuTTY Secure Copy client: được sử dụng để lọc thông tin thu thập được từ hệ thống bị vi phạm.
Cùng với các công cụ trên, ALPHV cũng sử dụng SpyBoy " Terminator ", một EDR và trình vô hiệu hóa phần mềm chống virus được bán bởi các tác nhân đe dọa trên các diễn đàn hack nói tiếng Nga với giá lên tới 3.000 USD.
Nghiên cứu gần đây của CrowdStrike đã xác nhận rằng "Terminator" có khả năng vượt qua một số công cụ bảo mật của Windows bằng cách sử dụng cơ chế "bring your own vulnerable driver" (BYOVD) để leo thang đặc quyền trên hệ thống và hủy kích hoạt chúng.
Trend Micro cho biết họ đã liên kết các TTPs ở trên với việc lây nhiễm mã độc tống tiền ALPHV đã được xác nhận. Họ cũng tìm thấy một tệp ransomware Clop ở một trong các miền C2 được điều tra, vì vậy tác nhân đe dọa có thể được liên kết với nhiều hoạt động của ransomware.
Nguồn: 🔗 BleepingComputer

2. Công cụ tấn công DDoSia phát triển bằng mã hóa, nhắm mục tiêu vào nhiều lĩnh vực

Các tác nhân đe dọa đằng sau công cụ tấn công DDoSia đã đưa ra một phiên bản mới kết hợp một cơ chế mới để truy xuất danh sách các mục tiêu sẽ bị tấn công bằng các yêu cầu HTTP rác nhằm cố gắng hạ gục chúng.
Biến thể cập nhật, được viết bằng Golang, "thực hiện một cơ chế bảo mật bổ sung để che giấu danh sách các mục tiêu, được truyền từ [command-and-control] tới người dùng", công ty an ninh mạng Sekoia
DDoSia được quy cho một nhóm tin tặc thân Nga có tên là NoName(057)16 . Ra mắt vào năm 2022 và là phiên bản kế thừa của mạng botnet Bobik , công cụ tấn công này được thiết kế để dàn dựng các cuộc tấn công từ chối dịch vụ (DDoS) phân tán nhằm vào các mục tiêu chủ yếu ở Châu Âu cũng như Úc, Canada và Nhật Bản.
Litva, Ukraine, Ba Lan, Ý, Séc, Đan Mạch, Latvia, Pháp, Vương quốc Anh và Thụy Sĩ đã trở thành những quốc gia bị nhắm mục tiêu nhiều nhất trong khoảng thời gian từ ngày 8 tháng 5 đến ngày 26 tháng 6 năm 2023. Tổng cộng 486 trang web khác nhau đã bị ảnh hưởng.
DDoSia dựa trên Python và Go trở thành một chương trình đa nền tảng có khả năng được sử dụng trên các hệ thống Windows, Linux và macOS.
SentinelOne giải thích trong một phân tích được xuất bản vào tháng 1 năm 2023. "DDoSia là một ứng dụng đa luồng thực hiện các cuộc tấn công từ chối dịch vụ nhằm vào các trang web mục tiêu bằng cách liên tục đưa ra các yêu cầu mạng từ máy chủ C2"
DDoSia được phân phối thông qua một quy trình hoàn toàn tự động trên Telegram cho phép các cá nhân đăng ký để đổi lấy khoản thanh toán bằng tiền điện tử và một kho lưu trữ ZIP chứa bộ công cụ tấn công.
Việc sử dụng mã hóa để che giấu danh sách các mục tiêu bị tấn công, cho thấy rằng công cụ này đang được các nhà khai thác tích cực duy trì.
"NoName057(16) đang nỗ lực làm cho phần mềm độc hại của họ tương thích với nhiều hệ điều hành, gần như chắc chắn phản ánh ý định cung cấp phần mềm độc hại của họ cho một số lượng lớn người dùng, dẫn đến việc nhắm mục tiêu vào nhiều nạn nhân hơn", Sekoia.
notion image
Sự phát triển này diễn ra khi U.S. Cybersecurity and Infrastructure Security Agency (CISA) cảnh báo về các cuộc tấn công từ chối dịch vụ (DoS) và DDoS có chủ đích nhằm vào nhiều tổ chức trong nhiều lĩnh vực.
“Những cuộc tấn công này có thể gây tốn kém thời gian và tiền bạc của một tổ chức và có thể áp đặt các chi phí trong khi các tài nguyên và dịch vụ không thể truy cập được”.
Cảnh báo trùng lặp với tuyên bố của Anonymous Sudan trên kênh Telegram của họ rằng họ đã gỡ xuống các trang web của Department of Commerce, Social Security Administration (SSA) và Treasury Department's Electronic Federal Tax Payment System (EFTPS).
Anonymous Sudan đã thu hút sự chú ý vào tháng trước vì đã thực hiện các cuộc tấn công DDoS Layer 7 nhằm vào các dịch vụ khác nhau của Microsoft, bao gồm các cổng web OneDrive, Outlook và Azure. 
Nhóm tin tặc đã khẳng định rằng họ đang tiến hành các cuộc tấn công mạng ra khỏi Châu Phi thay mặt cho những người Hồi giáo bị áp bức trên toàn thế giới. Nhưng các nhà nghiên cứu an ninh mạng tin rằng đây là một hoạt động ủng hộ Điện Kremlin, không có quan hệ gì với Sudan và là thành viên của tập thể tin tặc KillNet.
Trong một phân tích được công bố vào ngày 19 tháng 6 năm 2023, nhà cung cấp dịch vụ an ninh mạng của Úc, CyberCX, đã mô tả thực thể này là "bình phong cho các lợi ích của Nga". Trang web của công ty kể từ đó không thể truy cập được, chào đón người dùng truy cập bằng thông báo "403 Forbidden".
“The reason for the attack: stop spreading rumors about us, and you must tell the truth and stop the investigations that we call the investigations of a dog” Anonymous Sudan cho biết trong một thông báo được đăng vào ngày 22 tháng 6 năm 2023.
Anonymous Sudan, trong một báo cáo của Bloomberg vào tuần trước, tiếp tục phủ nhận nó có liên quan đến Nga nhưng thừa nhận rằng họ có chung lợi ích và theo đuổi "mọi thứ thù địch với Hồi giáo."
Lời khuyên mới nhất của CISA cũng đã được chú ý, vì nhóm đã đăng một phản hồi vào ngày 30 tháng 6 năm 2023, nêu rõ: "Một nhóm nhỏ người Sudan với khả năng hạn chế đã buộc 'chính phủ quyền lực nhất' trên thế giới đăng các bài báo và tweet về các cuộc tấn công của chúng tôi. "
Nguồn 🔗 TheHackerNews

3. Công cụ mới khai thác lỗi Microsoft Teams để gửi phần mềm độc hại cho người dùng

U.S. Navy's red team đã công bố một công cụ có tên là TeamsPhisher, tận dụng một vấn đề bảo mật chưa được giải quyết trong Microsoft Teams để bỏ qua các hạn chế đối với các tệp đến từ người dùng bên ngoài tổ chức được nhắm mục tiêu.
Công cụ này khai thác một vấn đề được nêu ra vào tháng trước bởi Max Corbridge và Tom Ellson của công ty dịch vụ bảo mật Jumpsec có trụ sở tại Vương quốc Anh, người đã giải thích cách kẻ tấn công có thể dễ dàng vượt qua các hạn chế gửi tệp của Microsoft Teams để phân phối phần mềm độc hại từ tài khoản bên ngoài.
Có thể thực hiện được vì ứng dụng có các biện pháp bảo vệ phía máy khách có thể bị lừa coi người dùng bên ngoài là người dùng nội bộ chỉ bằng cách thay đổi ID trong yêu cầu POST của thư.
Hợp lý hóa các cuộc tấn công vào Teams
'TeamsPhisher' là một công cụ dựa trên Python cung cấp một công cụ tấn công hoàn toàn tự động. Nó tích hợp ý tưởng tấn công của các nhà nghiên cứu của Jumpsec, các kỹ thuật do Andrea Santese phát triển , các chức năng xác thực và trợ giúp từ công cụ ' TeamsEnum ' của Bastian Kanbach .
"Cung cấp cho TeamsPhisher một tệp đính kèm, một tin nhắn và danh sách những người dùng Teams. Nó sẽ tải tệp đính kèm lên Sharepoint của người gửi, sau đó lặp qua danh sách các mục tiêu" Alex Reid
Thông báo lừa đảo mà người nhận đã xem  (github.com/Octfest7)
notion image
TeamsPhisher xác minh sự tồn tại của người dùng mục tiêu và khả năng nhận tin nhắn bên ngoài của họ, đây là điều kiện tiên quyết để cuộc tấn công hoạt động.
Sau đó, nó tạo một chuỗi mới với mục tiêu, gửi cho họ một tin nhắn có liên kết đính kèm Sharepoint. Chuỗi này xuất hiện trong giao diện Teams của người gửi để tương tác thủ công (tiềm năng).
Đầu ra của TeamsPhisher (github.com/Octfest7)
notion image
TeamsPhisher yêu cầu người dùng phải có tài khoản Microsoft Business (hỗ trợ MFA) với giấy phép Teams và Sharepoint hợp lệ, điều này phổ biến đối với nhiều công ty lớn.
Công cụ này cũng cung cấp "chế độ xem trước" để giúp người dùng xác minh danh sách mục tiêu đã đặt và kiểm tra hình thức của thư từ góc nhìn của người nhận.
Các tính năng khác và đối số tùy chọn trong TeamsPhisher có thể tinh chỉnh cuộc tấn công. Chúng bao gồm gửi các liên kết tệp an toàn mà chỉ người nhận dự định mới có thể xem được, chỉ định độ trễ giữa các lần truyền tin nhắn để vượt qua giới hạn tốc độ và ghi kết quả đầu ra vào tệp nhật ký.
Tất cả các tùy chọn và đối số được công cụ hỗ trợ (github.com/Octfest7)
notion image
Vấn đề chưa được giải quyết
Vấn đề mà TeamsPhisher khai thác vẫn còn tồn tại và Microsoft đã nói với các nhà nghiên cứu của Jumpsec rằng nó không đáp ứng tiêu chuẩn để sửa chữa ngay lập tức.
Mặc dù TeamPhisher được tạo cho các hoạt động của red team được ủy quyền, nhưng những kẻ đe dọa cũng có thể tận dụng nó để phân phối phần mềm độc hại đến các tổ chức mục tiêu mà không cần đặt báo động.
Cho đến khi Microsoft quyết định thực hiện hành động về vấn đề này, các tổ chức nên tắt liên lạc với các đối tượng thuê bên ngoài nếu không cần thiết. Họ cũng có thể tạo danh sách cho phép với các miền đáng tin cậy, điều này sẽ hạn chế rủi ro bị khai thác.
Nguồn: 🔗 BleepingComputer

4. Malware của tin tặc Iran nhắm mục tiêu vào người dùng Windows và macOS

notion image
TA453 của Iran đã được liên kết với một loạt các cuộc tấn công lừa đảo mới lây nhiễm phần mềm độc hại cho cả hệ điều hành Windows và macOS.
TA453 sử dụng nhiều nhà cung cấp dịch vụ lưu trữ đám mây để cung cấp một chuối lây nhiễm để triển khai backdoor PowerShell GorjolEcho mới được xác định.
Khi có cơ hội, TA453 sẽ chuyển phần mềm độc hại và khởi chạy chuỗi lây nhiễm tương tự Apple tên là NokNok. TA453 sử dụng mạo danh nhiều người .
TA453 (APT35, Charming Kitten, Mint Sandstorm và Yellow Garuda) là nhóm đe dọa liên quan đến Iran's Islamic Revolutionary Guard Corps (IRGC) hoạt động từ 2011. Volexity đã nhấn mạnh việc sử dụng các phiên bản cập nhật của bộ cấy PowerShell tên là CharmPower (GhostEcho hoặc POWERSTAR).
Chuỗi tấn công, nhóm tin tặc đã gửi email lừa đảo tới một chuyên gia an ninh hạt nhân tại US tập trung vào các vấn đề đối ngoại. Liên kết đã gửi một liên kết độc hại đến macro Google Script chuyển hướng mục tiêu đến URL Dropbox lưu trữ tệp RAR.
notion image
Trong tệp là 1 công cụ LNK khởi động 1 quy trình nhiều giai đoạn để cuối cùng triển khai GorjolEcho và hiển thị 1 file PDF giả, trong khi bí mật chờ payload của giai đoạn tiếp theo từ một máy chủ từ xa.
Khi nhận ra mục tiêu đang sử dụng máy tính Apple, TA453 đã điều chỉnh phương thức hoạt động để gửi email thứ 2 với kho lưu trữ ZIP nhúng tệp nhị phân Mach-O giả dạng ứng dụng VPN, nhưng thực tế là AppleScript liên hệ với máy chủ từ xa để tải xuống một backdoor dựa trên tập lệnh Bash là NokNok.
NokNok tìm nạp tối đa 4 module có khả năng thu thập các quy trình đang chạy, ứng dụng đã cài đặt và metadata hệ thống cũng như thiết lập duy trì sử dụng LaunchAgents.
Các module phản ánh chức năng của các module liên kết với CharmPowerm, trong đó NokNok chia sẻ một mã nguồn trùng lặp với phần mềm độc hại macOS vào năm 2017.
Kẻ tấn công sử dụng 1 trang web chi sẻ file không có thật đang hoạt động để lấy dấu vết của người dùng truy cập và hoạt động như một cơ chế để theo dõi các nạn nhân.
TA453 vẫn đang tiếp tục điều chỉnh phần mềm độc hại, triển khai các loại file mới và nhắm vào các hệ điều hành mới, hướng đến các mục tiêu cuối cùng là xâm nhập trái phép, khó phát hiện.
Báo cáo của Proofpoint
Bản tin của BleepingComputer
Nguồn 🔗 TheHackerNews

5. Các ứng dụng có 1,5 triệu lượt cài đặt trên Google Play sẽ gửi dữ liệu của bạn đến Trung Quốc

Các nhà nghiên cứu đã phát hiện ra hai ứng dụng quản lý tập tin độc hại trên Google Play với tổng số lượt cài đặt hơn 1,5 triệu, các ứng dụng này đã thu thập quá nhiều dữ liệu người dùng vượt xa những gì cần thiết để cung cấp chức năng như được giới thiệu.
notion image
Cả hai ứng dụng đều từ cùng một nhà phát hành, có thể chạy mà không cần bất kỳ tương tác nào từ người dùng để đánh cắp dữ liệu nhạy cảm và gửi đến các máy chủ ở Trung Quốc.
notion image
File Recovery and Data Recovery, được xác định là "com.spot.music.filedate" trên thiết bị, có ít nhất 1 triệu lượt cài đặt. Số lượt cài đặt cho File Manager ít nhất là 500.000 và có thể được xác định trên thiết bị là "com.file.box.master.gkd."
Hai ứng dụng được phát hiện bởi công cụ phân tích hành vi của công ty giải pháp bảo mật di động Pradeo và theo như mô tả, chúng không thu thập bất kỳ dữ liệu người dùng nào từ thiết bị trên phần Data Safety của Google Play.
notion image
Tuy nhiên, các ứng dụng trên đã thu thập các dữ liệu sau từ thiết bị:
  • Danh sách liên hệ của người dùng từ bộ nhớ trên thiết bị, tài khoản email được kết nối và mạng xã hội
  • Hình ảnh, âm thanh và video được quản lý hoặc khôi phục từ bên trong ứng dụng
  • Vị trí người dùng theo thời gian thực
  • Mã quốc gia cho thông tin di động (mobile country code)
  • Tên nhà cung cấp mạng
  • Mã mạng của nhà cung cấp SIM
  • Số phiên bản hệ điều hành
  • Thương hiệu và kiểu máy của thiết bị
Mặc dù các ứng dụng có thể có lý do chính đáng để thu thập một số thông tin bên trên nhằm đảm bảo hiệu suất và khả năng tương thích, nhưng phần lớn dữ liệu được thu thập là không cần thiết cho các chức năng quản lý tệp hoặc phục hồi dữ liệu. Tệ hơn nữa, dữ liệu này được thu thập một cách bí mật và không có sự đồng ý của người dùng.
Hai ứng dụng ẩn các biểu tượng màn hình chính của chúng để khiến việc tìm và xóa chúng trở nên khó khăn hơn. Chúng cũng có thể lạm dụng các quyền mà người dùng phê duyệt trong quá trình cài đặt để khởi động lại thiết bị và khởi chạy ở chế độ nền.
Có khả năng nhà xuất bản đã sử dụng công cụ giả lập hoặc dùng dịch vụ tăng lượt cài đặt để tăng mức độ phổ biến và làm cho sản phẩm của họ có vẻ đáng tin cậy hơn.
Ứng dụng hiện đã bị khỏi Google Play, tuy nhiên người dùng đã trót cài nên xóa chúng khỏi thiết bị. Khi cài đặt cũng nên kiểm tra đánh giá của người dùng trước khi cài đặt ứng dụng, chú ý đến các quyền được yêu cầu trong quá trình cài đặt ứng dụng và chỉ tin tưởng vào phần mềm do các nhà phát triển có uy tín cung cấp.
Nguồn 🔗 BleepingComputer

6. Biến thể malware “RustBucket” mới nhắm mục tiêu các người dùng macOS

notion image
Mới đây, các nhà nghiên cứu đã phát hiện một biến thể mới của RustBucket, một loại mã độc nhằm vào hệ điều hành macOS, được phát triển bởi BlueNoroff - một đối tượng tấn công thuộc nhóm Lazarus của Triều Tiên. Phiên bản mới này đã được cải tiến để cài đặt một cách bền vững và tránh bị phát hiện bởi phần mềm bảo mật. Vào tháng 04/2023, phát hiện mã độc REF9135 sử dụng một backdoor dựa trên AppleScript có khả năng truy xuất payload bậc hai từ máy chủ từ xa. Mã độc phụ này được viết bằng Swift và được thiết kế để tải xuống mã độc chính từ máy chủ C&C, đó là một tệp nhị phân dựa trên Rust với các tính năng thu thập thông tin trái phép và thực thi các tệp Mach-O bổ sung nhị phân hoặc tập lệnh shell trên hệ thống đã bị xâm nhập. Đây là phiên bản đầu tiên của mã độc BlueNoroff nhắm vào người dùng macOS. Chuỗi lây nhiễm bao gồm một trình cài đặt macOS tạo ra backdoor trình đọc PDF. Phần lớn các cuộc tấn công sẽ kích hoạt khi tệp PDF được mã hóa để khởi chạy trình đọc PDF giả mạo. Các hoạt động xâm nhập ban đầu bao gồm việc gửi email lừa đảo và sử dụng tài khoản giả mạo trên các mạng xã hội như LinkedIn.
Các cuộc tấn công nhằm mục tiêu chủ yếu vào các tổ chức liên quan đến tài chính ở Châu Á, Châu Âu và Hoa Kỳ để thu lợi bất hợp pháp. Cơ chế hoạt động của phiên bản mới này hoạt động thông qua việc: • Thêm một tệp plist tại đường dẫn /Users/<user>/Library/LaunchAgents/com.apple.syste mupdate.plist; • Sao chép tệp nhị phân của mã độc vào theo đường dẫn /Users/<user>/Library/Metadata/System Update. • Đồng thời, RustBucket còn sử dụng miền Domain DNS (docsend.linkpc[.]net) để gửi tập lệnh và chiếm quyền kiểm soát. Người dùng cần kiểm tra kỹ các email hay tài khoản trước khi nhấp chuột vào bất kỳ liên kết đính kèm nào. Đồng thời, người dùng cần lưu ý cập nhật các bản vá mới và sớm nhất để tránh nguy cơ bị khai thác bởi loại mã độc này.
Nguồn 🔗 TheHackerNews

7. Nhóm APT Trung Quốc sử dụng PlugX để thực hiện kỹ thuật HTML Smuggling xâm nhập vào các cơ quan, tổ chức tại Châu Âu

Gần đây, một nhóm APT Trung Quốc đã tiến hành một chiến dịch tấn công thông qua việc sử dụng kỹ thuật HTML Smuggling để xâm nhập vào Bộ Ngoại giao và Đại sứ quán tại châu Âu. Chiến dịch này được gọi là SmugX, bắt đầu hoạt động kể từ tháng 12 năm 2022 và là một phần của xu hướng dịch chuyển mục tiêu tấn công sang châu Âu của các nhóm APT Trung Quốc. Mục tiêu của chiến dịch này là triển khai mã độc PlugX, một trojan truy cập từ xa, trên các hệ thống bị nhằm mục tiêu. Chiến dịch sử dụng các phương thức cài cắm mã độc kiểu mới, nổi bật là kỹ thuật HTML Smuggling để cài đặt và triển khai các biến thể mới của mã độc PlugX. Đây là một mã độc quen thuộc của nhiều nhóm tấn công tại Trung Quốc. Mặc dù sử dụng payload tương tự như phiên bản cũ nhưng với cách thức lây nhiễm mã độc mới đã giúp chiến dịch không bị phát hiện cho tới thời gian gần đây. Hiện nay, việc xác định danh tính của nhóm tấn công đằng sau chiến dịch SmugX vẫn chưa được làm rõ. Dựa trên các manh mối hiện có thì đối tượng tình nghi được các chuyên gia bảo mật hướng đến là nhóm Mustang Panda, có chung đặc điểm với các nhóm APT Earth Preta, RedDelta và Camaro Dragon. Tuy nhiên, vẫn chưa đủ chứng cứ để kết luận một cách chính xác.
notion image
Trình tự tấn công mới nhất có ý nghĩa quan trọng đối với việc sử dụng HTML Smoggling – một kỹ thuật lén lút trong đó các tính năng HTML5 và JavaScript hợp pháp bị lạm dụng để lấy và khởi chạy phần mềm độc hại – trong các tài liệu mồi nhử được đính kèm với các email lừa đảo trực tuyến.
HTML sử dụng các thuộc tính HTML5 có thể hoạt động ngoại tuyến bằng cách lưu trữ tệp nhị phân trong một khối dữ liệu bất biến trong mã JavaScript. Blob dữ liệu hoặc tải trọng được nhúng, được giải mã thành một đối tượng tệp khi được mở qua trình duyệt web.
Kết quả phân tích mã độc trên VirusTotal còn cho thấy mã độc được thiết kế để nhằm vào các nhà ngoại giao và quan chức chính phủ tại Czechia, Hungary, Slovakia, Anh Quốc, Ukraine,Pháp và Thụy Điển. Nhóm tấn công đã triển khai một tệp mồi có tên "China Tries to Block Prominent Uyghur Speaker at UN.docx". Khi tệp này sau khi được thực thi sẽ thu thập dữ liệu và gửi đến một máy chủ ngoài hệ thống thông qua một pixel theo dõi ẩn danh được nhúng vào thiết bị. Quá trình lây nhiễm đa giai đoạn sử dụng kỹ thuật DLL side-loading để giải mã và triển khai payload PlugX.
Mã độc PlugX còn có tên gọi khác là Korplug, một trojan kiểu module được phát hiện vào năm 2008, có chứa nhiều plugin với các chức năng riêng biệt cho phép đối tượng tấn công đánh cắp file, chụp màn hình, keylogging và thực thi câu lệnh. Trong quá trình điều tra mã độc, nhóm tấn công điều khiển chiến dịch này đã gửi một lệnh batch script có tên “del_RoboTask Update.bat” từ máy chủ C&C với mục đích xóa đi các dấu vết của chiến dịch, cụ thể là xóa đi: file thực thi hợp lệ, DLL loader của PlugX và registry key được sử dụng trong việc thiết lập duy trì rồi cuối cùng là tự xóa đi mã độc.
Nguồn 🔗 TheHackerNews