VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 2 - Tháng 7 - 2023

date
Jul 10, 2023
slug
tin-tuc-attt-tuan-2-thang-7-nam-2023
author
status
Public
tags
News
Ransomware
Malware
Daily
Blog
Docs
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 2 tháng 7 - 2023 (10/7-15/7)
type
Post
thumbnail
windows-drier.jpg
category
News
updatedAt
Jul 28, 2023 02:04 AM
1. Ransomware ‘Big Head’ mới hiển thị các cảnh báo Windows Update giả2. Tin tặc RomCom nhắm mục tiêu vào những người tham sự Hội nghị thượng đỉnh NATO bằng tấn công lừa đảo3. Tin tặc khai thác lỗ hổng Windows Policy để tải Driver Kernel độc hại4. Malware mới “PyLoose Linux” khai thác crypto trực tiếp từ memory 5. Mã nguồn phần mềm độc hại BlackLotus Windows UEFI bị rò rỉ trên GitHub6. PoC giả mạo trên GitHub đánh lừa các nhà nghiên cứu bảo mật tải xuống phần mềm độc hại7. Azure và Google Cloud trở thành mục tiêu trong chiến dịch đánh cắp thông tin xác thực trên dịch vụ đám mây

1. Ransomware ‘Big Head’ mới hiển thị các cảnh báo Windows Update giả

Các nhà nghiên cứu bảo mật đã phân tích một loại ransomware mới xuất hiện gần đây là ‘Big Head’ đang lây nhiễm thông qua các quảng cáo độc hại Windows update và trình cài đặt Microsoft Word giả mạo.
Giả mạo Windows Update
Ransomware ‘Big Head’ là 1 tệp nhị phân .Net cài đặt 3 file được mã hóa AES trên hệ thống đích: 1 file được sử dụng để truyền phần mềm độc hại, 1 file để giao tiếp với bot Telegram và 1 file thứ 3 mã hóa và hiển thị cho người dùng Windows update giả mạo.
Quy trình lây nhiễm của Big Head (theo Trend Micro)
notion image
Khi thực thi, ransomware cũng thực hiện các hành động như tạo khóa registry tự động, ghi đè lên các file đã có, đặt thuộc tính file hệ thống và vô hiệu hóa Task Manager.
Tạo Registry tự động
notion image
Mỗi nạn nhân được gán cho 1 ID duy nhất được lấy từ thư mục ‘%appdata%\ID’ hoặc được tạo bằng chuỗi 40 ký tự ngẫu nhiên.
Ransomware thực hiện xóa các bản sao ẩn để ngăn việc khôi phục hệ thống trước khi mã hóa các file được nhắm mục tiêu và thêm phần mở rộng “.poop” vào tên file của chúng.
Các file được nhắm mục tiêu bởi Big Head
notion image
Big Head sẽ chấm dứt các quy trình để ngăn việc giả mạo quy trình mã hóa và giải phóng dữ liệu mà phần mềm độc hại sẽ khóa.
Các quy trình bị dùng trước khi mã hóa
notion image
Các thư mục Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft và App Data được bỏ qua mã hóa để tránh làm cho hệ thống không sử dụng được.
Trend Micro phát hiện ra rằng ransomware kiểm tra nó có được chạy trên môi trường ảo (virtual box) không, tìm kiếm ngôn ngữ hệ thống và chỉ tiến hành mã hóa nếu ngôn ngữ hệ thống không thuộc quốc gia thành viên của Commonwealth of Independent States (các quốc gia Liên Xô cũ).
Ngôn ngữ hệ thống hợp lệ để mã hóa
notion image
Trong quá trình mã hóa, ransomware hiển thị màn hình Windows Update hợp pháp để che giấu file mã hóa.
notion image
Sau khi quá trình mã hóa hoàn thành, ransomware được thả vào nhiều thư mục và hình nền của nạn nhân cũng được thay đổi để cảnh báo về sự lây nhiễm.
notion image
Các biến thể khác
Trend Micro cũng thực hiện phân tích 2 biến thể khác của Big Head, nêu rõ một số sự khác biệt chính so với phiên bản tiêu chuẩn của ransomware này.
Biến thể thứ 2 vẫn duy trì các khả năng của ransomware nhưng cũng kết hợp các hành vi của kẻ đánh cắp với các hàm để thu thập và trích xuất dữ liệu nhạy cảm từ hệ thống nạn nhân.
Dữ liệu mà phiên bản Big Head này có thể đánh cắp bao gồm lịch sử duyệt web, danh sách thư mục, drivers đã cài đặt, tiến trình đang chạy, product key và mạng đang hoạt động, chụp ảnh màn hình.
Quy trình lây nhiễm của biến thể thứ 2
notion image
Biến thể thứ 3 có tính năng lây nhiễm file được xác định là ‘Neshta’, chèn mã độc vào các file thực thi trên hệ thống nạn nhân.
Mục đích không rõ ràng, nhưng có thể là để tránh bị phát hiện dựa trên các cơ chế dựa trên chữ ký.
Biến thể này sử dụng một ghi chú đòi tiền chuộc và hình nền khác với 2 biến thể còn lại, nhưng vẫn được liên kết với cùng 1 tác nhân đe dọa.
Quy trình lây nhiễm của biến thể thứ 3
notion image
Theo Trend Micro, Big Head không phải là 1 ransomware tinh vi, các phương thức mã hóa khá chuẩn và các kỹ thuật trốn tránh dễ phát hiện.
Big Head tập trung vào những người dùng có thể bị lừa bằng các thủ thuật (Windows Update giả mạo) hoặc khó khăn trong việc hiểu các biện pháp bảo vệ cần thiết để tránh các rủi ro.
Nhiều biến thể vẫn đang được phát triển và tinh chỉnh, thử nghiệm với nhiều cách tiếp cận khác nhau.
Báo cáo kỹ thuật của Trend Micro
Bài phân tích của Fortinet
Nguồn 🔗 BleepingComputer

2. Tin tặc RomCom nhắm mục tiêu vào những người tham sự Hội nghị thượng đỉnh NATO bằng tấn công lừa đảo

RomCom nhắm mục tiêu vào các tổ chức hỗ trợ Ukraine và khách mời tham dự Hội nghị thượng đỉnh NATO sắp tới tại Vilnius, Lithuania.
Các nhà nghiên cứu của BlackBerry đã phát hiện ra 2 tài liệu độc hại mạo danh tổ chức Ukranian World Congress và các chủ đề liên quan đến NATO Summit để dụ các mục tiêu đã được nhắm đến.
Kẻ tấn công đã sử dụng bảo sao của trang web Ukrainian World Congress được lưu trữ trên domain ‘.info’ thay vì trang thật sử dụng domain ‘.org’
notion image
Các tài liệu được tải xuống đi kèm với mã độc khai thác định dạng tệp RTF để bắt đầu kết nối với các tài nguyên bên ngoài, cuối cùng tải phần mềm độc hại vào hệ thống của nạn nhân.
Thông tin về RomCom
  • RomCom lần đầu được phát hiện bởi Unit42 vào 8/2022, liên kết với Cuba Ransomware
  • 11/2022 phát hiện RomCom mới làm dụng các thương hiệu phần mềm và sử dụng các trang web giả mạo bằng tiếng Anh và tiếng Ukraina để nhắm mục tiêu vào các nạn nhân dễ tin vào các trình cài đặt độc hại.
  • 5/2023, Trend Micro báo cáo mới nhất về RomCom đang mạo danh phần mềm hợp pháp như Gimp và ChatGPT hoặc tạo các trang web giả mạo dành cho nhà phát triển phần mềm để đẩy backdoor đến nạn nhân thông qua Google Ads và các kỹ thuật SEO.
Chi tiết về RomCom mới nhất
Chiến dịch mới nhất sử dụng các liên kết tải xuống trên domain bị lỗi đánh máy của trang Ukrainian World Congress, được quảng bá thông qua lừa đảo trực tuyến, lây nhiễm phần mềm độc hại cho người truy cập.
Các tài liệu được tải xuống từ trang web giả mạo sẽ khởi tạo kết nối ra bên ngoài khi khởi chạy và tải xuống các thành phần bổ sung từ máy chủ C2 của kẻ tấn công.
Kết nối đến C2 được thực hiện sau khi mở tài liệu
notion image
Thành phần bổ sung là 1 tập lệnh sử dụng lỗ hổng Follina (CVE-2022-30190) từ Microsoft's Support Diagnostic Tool (MSDT).
Nếu khai thác thành công, nó cho phép kẻ tấn công thực hiện tấn công dựa trên thực thi mã từ xa (RCE) thông qua việc tạo tài liệu .docx hoặc .rtf độc hại được thiết kế để khai thác lỗ hổng. Thực hiện với cùng mức độ đặc quyền như người đã thực thi tài liệu độc hại và có hiệu lực ngay cả khi macro bị tắt và tài liệu được mở ở chế độ được bảo vệ.
Bước cuối cùng của cuộc tấn công là tải backdoor RomCom trên máy, backdoor xuất hiện dưới dạng tệp DLL x64 có tên 'Calc.exe.’
RomCom kết nối với C2 để ghi nhận nạn nhân và gửi lại các chi tiết về tên người dùng, thông tin adapter mạng, kích thước RAM của máy tính bị xâm nhập.
Backdoor ghi ‘security.dll’ để chạy tự động khi khởi động lại để duy trì và chờ các lệnh từ C2 để lọc dữ liệu, tải xuống các payload bổ sung, xóa file hoặc thư mục, tạo ra các quy trình với PID giả mạo, bắt đầu reverse shell.
Báo cáo của BlackBerry
Nguồn 🔗 BleepingComputer

3. Tin tặc khai thác lỗ hổng Windows Policy để tải Driver Kernel độc hại

Microsoft đã chặn các chứng chỉ ký mã chủ yếu được sử dụng bởi các tin tặc và nhà phát triển Trung Quốc để ký và tải trình điều khiển chế độ nhân độc hại trên các hệ thống bị vi phạm bằng cách khai thác lỗ hổng chính sách của Windows.
Trình điều khiển chế độ nhân hoạt động ở mức đặc quyền cao nhất trên Windows (Ring 0), cho phép truy cập hoàn toàn vào máy mục tiêu để duy trì hoạt động lén lút, đánh cắp dữ liệu không thể phát hiện và khả năng chấm dứt hầu hết mọi quy trình.
Ngay cả khi các công cụ bảo mật đang hoạt động trên thiết bị bị xâm nhập, trình điều khiển chế độ nhân có thể can thiệp vào hoạt động của chúng, tắt khả năng bảo vệ nâng cao của chúng hoặc thực hiện các sửa đổi cấu hình được nhắm mục tiêu để tránh bị phát hiện.
Kiến trúc nhân Windows (Cisco)
notion image
Với Windows Vista, Microsoft đã đưa ra các thay đổi chính sách hạn chế cách tải trình điều khiển chế độ nhân Windows vào hệ điều hành, yêu cầu các nhà phát triển gửi trình điều khiển của họ để xem xét và ký chúng thông qua cổng thông tin dành cho nhà phát triển của Microsoft.
Tuy nhiên, để ngăn chặn sự cố với các ứng dụng cũ hơn, Microsoft đã giới thiệu các ngoại lệ sau đây cho phép các trình điều khiển chế độ nhân cũ hơn tiếp tục được tải:
  • PC đã được nâng cấp từ bản phát hành Windows trước đó lên Windows 10, phiên bản 1607.
  • Khởi động an toàn bị tắt trong BIOS.
  • Trình điều khiển đã [sic] được ký bằng chứng chỉ thực thể cuối được cấp trước ngày 29 tháng 7 năm 2015, liên kết với một CA được ký chéo được hỗ trợ
Một báo cáo mới của Cisco Talos giải thích rằng các tác nhân đe dọa Trung Quốc đang khai thác chính sách thứ ba bằng cách sử dụng hai công cụ nguồn mở, 'HookSignTool' và 'FuckCertVerify', để thay đổi ngày ký của trình điều khiển độc hại trước ngày 29 tháng 7 năm 2015.
Bằng cách thay đổi ngày ký, những kẻ đe dọa có thể sử dụng các chứng chỉ cũ hơn, bị rò rỉ, không bị thu hồi để ký trình điều khiển của chúng và tải chúng vào Windows để leo thang đặc quyền.
HookSignTool và FuckCertVerify
HookSignTool là một công cụ được phát hành vào năm 2019 trên một diễn đàn bẻ khóa phần mềm của Trung Quốc, sử dụng kết nối Windows API cùng với một công cụ ký mã hợp pháp để thực hiện ký trình điều khiển độc hại.
Phát hành HookSignTool trên diễn đàn Trung Quốc (Cisco)
notion image
Công cụ này sử dụng thư viện Microsoft Detours để chặn và giám sát các lệnh gọi API Win32 cũng như triển khai tùy chỉnh chức năng 'CertVerifyTimeValidity' có tên 'NewCertVerifyTimeValidity' để xác minh thời gian không hợp lệ.
Thực hiện các đường vòng trong HookSignTool  (Cisco)
notion image
HackSignTool yêu cầu phải có "chứng chỉ JemmyLoveJenny EV Root CA" để ký các tệp trình điều khiển với dấu thời gian đã lùi ngày, có sẵn thông qua trang web của tác giả công cụ.
Tuy nhiên, việc sử dụng chứng chỉ này để lại dấu vết trong chữ ký giả mạo, giúp có thể xác định trình điều khiển được ký bằng HookSignTool.
Trang web của tác giả cung cấp các chứng chỉ cần thiết (Cisco)
notion image
Trong một báo cáo Cisco Talos nêu chi tiết một ví dụ thực tế về trình điều khiển độc hại có tên là 'RedDriver', được ký bằng HookSignTool.
RedDriver là một phần mềm chiếm quyền điều khiển trình duyệt chặn lưu lượng truy cập trình duyệt, nhắm mục tiêu vào Chrome, Edge và Firefox, cũng như danh sách đầy đủ các trình duyệt phổ biến ở Trung Quốc.
FuckCertVerify là một công cụ khác mà những kẻ đe dọa sử dụng để sửa đổi dấu thời gian chữ ký của trình điều khiển chế độ nhân độc hại, ban đầu được cung cấp trên GitHub vào tháng 12 năm 2018 dưới dạng công cụ gian lận trò chơi.
"FuckCertVerifyTimeValidity hoạt động theo cách tương tự như HookSignTool ở chỗ nó sử dụng gói Microsoft Detours để đính kèm với lệnh gọi API "CertVerifyTimeValidity" và đặt dấu thời gian thành một ngày đã chọn,"
"Nhưng không giống như HookSignTool, FuckCertVerifyTimeValidity không để lại các thành phần lạ trong tệp nhị phân mà nó ký, khiến rất khó xác định thời điểm công cụ này đã được sử dụng."
Cả hai công cụ đều yêu cầu chứng chỉ ký mã không bị thu hồi được phát hành trước ngày 29 tháng 7 năm 2015, khi Microsoft đưa ra thay đổi chính sách, cùng với khóa cá nhân và mật khẩu phù hợp.
Chứng chỉ được ký lại thành công (Cisco)
notion image
Các nhà nghiên cứu của Cisco đã tìm thấy hơn chục chứng chỉ trong kho GitHub và diễn đàn tiếng Trung có thể được sử dụng bởi các công cụ này, được sử dụng rộng rãi cho các bản crack trò chơi có thể vượt qua kiểm tra DRM và trình điều khiển nhân độc hại.
Nguồn gốc người dùng cho 300 mẫu độc hại ngẫu nhiên (Cisco)
notion image
Microsoft thu hồi chứng chỉ
Microsoft đã thu hồi các chứng chỉ liên quan và đình chỉ các tài khoản nhà phát triển lạm dụng lỗ hổng chính sách này của Windows.
"Microsoft đã phát hành các bản cập nhật Window Security khiến trình điều khiển và chứng chỉ ký trình điều khiển không tin cậy cho các tệp bị ảnh hưởng và đã tạm ngưng tài khoản người bán của đối tác,"
"Ngoài ra, Microsoft đã triển khai tính năng phát hiện chặn (Microsoft Defender 1.391.3822.0 trở lên) để giúp bảo vệ khách hàng khỏi các trình điều khiển được ký hợp pháp đã được sử dụng với mục đích xấu trong hoạt động sau khai thác."
"Để biết thêm thông tin về cách tính năng Windows Code Integrity bảo vệ khách hàng của Microsoft khỏi các chứng chỉ bị thu hồi, xem:  Thông báo bổ sung vào danh sách thu hồi Windows Driver.STL ."
Sophos cho biết  họ đã tìm thấy hơn một trăm trình điều khiển hạt nhân độc hại được sử dụng làm 'EDR Killers' để chấm dứt phần mềm bảo mật thường được bảo vệ khỏi các chương trình chế độ người dùng.
Vì các trình điều khiển này cung cấp các đặc quyền nhân, chúng có thể được sử dụng để chấm dứt bất kỳ phần mềm nào, kể cả các quy trình chống vi-rút được bảo vệ.
Microsoft cũng đã thu hồi các trình điều khiển này như một phần của  bản cập nhật danh sách thu hồi Windows Driver.STL .
Mặc dù các chứng chỉ do Cisco và Sophos phát hiện hiện đã bị thu hồi, nhưng rủi ro vẫn chưa được loại bỏ vì các chứng chỉ khác có thể vẫn bị lộ hoặc bị đánh cắp, cho phép các tác nhân đe dọa tiếp tục lạm dụng lỗ hổng chính sách này của Windows.
Nguồn 🔗 BleepingComputer

4. Malware mới “PyLoose Linux” khai thác crypto trực tiếp từ memory

Một phần mềm độc hại không dùng tệp mới có tên PyLoose đã nhắm mục tiêu vào cloud để chiếm đoạt tài nguyên tính toán để khai thác tiền điện tử Monero.
PyLoose là một tập lệnh Python tương đối đơn giản với công cụ khai thác XMRig được mã hóa base64, được biên dịch sẵn, một công cụ nguồn mở bị lạm dụng rộng rãi, sử dụng sức mạnh CPU để giải các thuật toán phức tạp cần thiết cho khai thác tiền điện tử.
Theo các nhà nghiên cứu tại Wiz, việc thực thi trực tiếp từ bộ nhớ của PyLoose khiến nó trở nên dễ dàng tàng hình và khó bị các công cụ bảo mật phát hiện.
Phần mềm độc hại không có tệp không để lại dấu vết vật lý trên các ổ đĩa của hệ thống, do đó, phần mềm độc hại này ít bị phát hiện dựa trên chữ ký hơn và thường sử dụng các công cụ hệ thống hợp pháp để đưa mã độc hại vào các quy trình hợp pháp.
Các nhà nghiên cứu bảo mật của Wiz lần đầu tiên phát hiện ra các cuộc tấn công PyLoose vào ngày 22 tháng 6 năm 2023 và kể từ đó đã xác nhận ít nhất 200 trường hợp bị phần mềm độc hại mới xâm nhập.
Chuỗi tấn công PyLoose
Wiz đã quan sát thấy các cuộc tấn công bắt đầu bằng cách giành quyền truy cập ban đầu vào các thiết bị thông qua các dịch vụ Jupyter Notebook có thể truy cập công khai, nhưng không thể hạn chế các lệnh hệ thống.
Kẻ tấn công sử dụng yêu cầu HTTPS GET để tìm nạp tải trọng không có tệp (PyLoose) từ một trang web giống như Pastebin, "paste.c-net.org" và tải thẳng vào bộ nhớ thời gian chạy của Python.
Tập lệnh PyLoose được giải mã và giải nén, tải trực tiếp công cụ khai thác XMRig được biên dịch sẵn vào bộ nhớ bằng cách sử dụng tiện ích Linux "memfd", một  kỹ thuật phần mềm độc hại không dùng tệp đã biết trong Linux.
Tập lệnh PyLoose (Wiz)
notion image
"Bộ mô tả tệp bộ nhớ, memfd, là một tính năng của Linux cho phép tạo các đối tượng tệp được hỗ trợ bởi bộ nhớ ẩn danh có thể được sử dụng cho các mục đích khác nhau, chẳng hạn như giao tiếp giữa các quá trình hoặc lưu trữ tạm thời".
"Sau khi tải trọng được đặt trong một phần bộ nhớ được tạo thông qua memfd, kẻ tấn công có thể gọi một trong các lệnh syscall exec trên nội dung bộ nhớ đó, xử lý nó như thể nó là một tệp thông thường trên đĩa và do đó khởi chạy một quy trình mới."
Điều này cho phép kẻ tấn công thực hiện thực thi tải trọng trực tiếp từ bộ nhớ, qua mặt hầu hết các giải pháp bảo mật truyền thống.
Công cụ khai thác XMRig được tải vào bộ nhớ của phiên bản đám mây bị xâm nhập là phiên bản khá mới (v6.19.3) sử dụng nhóm khai thác 'MoneroOcean' để khai thác Monero.
Tác nhân đe dọa không xác định
Wiz không thể quy các cuộc tấn công PyLoose cho bất kỳ tác nhân đe dọa cụ thể nào, vì kẻ tấn công không để lại bằng chứng hữu ích nào.
Các nhà nghiên cứu nhận xét rằng kẻ thù đằng sau PyLoose có vẻ rất tinh vi và nổi bật so với các tác nhân đe dọa điển hình tham gia vào các cuộc tấn công workload trên cloud.
Quản trị viên cloud nên tránh để các dịch vụ dễ bị thực thi mã công khai, sử dụng mật khẩu mạnh và xác thực đa yếu tố để bảo vệ quyền truy cập vào các dịch vụ đó và đặt các hạn chế thực thi lệnh hệ thống.
Nguồn 🔗 BleepingComputer

5. Mã nguồn phần mềm độc hại BlackLotus Windows UEFI bị rò rỉ trên GitHub

Mã nguồn của bootkit BlackLotus UEFI đã bị rò rỉ trực tuyến, cho phép hiểu rõ hơn về phần mềm độc hại đã gây lo ngại lớn cho doanh nghiệp, chính phủ và cộng đồng an ninh mạng.
BlackLotus là bộ công cụ khởi động UEFI nhắm mục tiêu đến Windows, bỏ qua Secure Boot trên các bản cài đặt Windows 11 được vá đầy đủ , tránh phần mềm bảo mật, tồn tại trên hệ thống bị nhiễm và thực thi tải trọng với mức đặc quyền cao nhất trong hệ điều hành.
Các tính năng của nó bao gồm làm suy yếu tính năng bảo vệ dữ liệu BitLocker, Microsoft Defender Antivirus và Tính toàn vẹn của Mã được bảo vệ bởi Hypervisor (HVCI) - còn được gọi là tính năng Tính toàn vẹn của Bộ nhớ giúp bảo vệ chống lại các nỗ lực khai thác Nhân Windows.
Windows Secure Boot là một tính năng bảo mật chặn các bộ tải khởi động không đáng tin cậy trên các máy tính có chương trình Unified Extensible Firmware Interface (UEFI) và chip Mô-đun Trusted Platform (TPM). Tính năng bảo mật này nhằm ngăn chặn rootkit tải trong quá trình khởi động và tránh bị các ứng dụng chạy trong Windows phát hiện.
BlackLotus là ví dụ đầu tiên được phát hiện về bộ công cụ khởi động UEFI có thể bỏ qua cơ chế Secure Boot và tắt các biện pháp bảo vệ bảo mật cấp hệ điều hành. Điều này ban đầu được thực hiện bằng cách khai thác lỗ hổng "Baton Drop" ( CVE-2022-21894 ), mà Microsoft đã vá vào tháng 1 năm 2022.
Đã tìm thấy các đường vòng cho bản cập nhật bảo mật, cho phép BlackLotus tiếp tục hoạt động và buộc Microsoft phải bắt kịp bằng cách thu hồi các Windows Boot Managers bổ sung.
Điều này dẫn đến một bản cập nhật bảo mật khác cho  CVE-2023-24932  (một tính năng Secure Boot Security Feature Bypass khác) đã thu hồi các trình quản lý khởi động độc hại khác.
Tuy nhiên, Microsoft đã tắt bản cập nhật bảo mật cho CVE-2023-24932 theo mặc định , yêu cầu người dùng Windows thực hiện cài đặt thủ công lâu và hơi phức tạp để vá hệ thống của họ.
Vì Microsoft đã cảnh báo rằng việc cài đặt bản sửa lỗi bảo mật không đúng cách có thể khiến hệ thống của bạn không khởi động hoặc không thể khôi phục được từ phương tiện cài đặt Windows, nhiều người đã quyết định không cài đặt bản cập nhật, khiến thiết bị dễ bị tấn công bỏ qua Secure Boot.
"Nếu sử dụng Secure Boot và thực hiện không đúng các bước, có thể không khởi động hoặc khôi phục thiết bị từ phương tiện. Có thể ngăn sử dụng phương tiện khôi phục, chẳng hạn như đĩa hoặc ổ đĩa ngoài hoặc khôi phục khởi động mạng, nếu phương tiện chưa được cập nhật chính xác."
Do lo ngại và tính lén lút của phần mềm độc hại BlackLotus, cả  Microsoft  và  NSA đã chia sẻ hướng dẫn  về cách phát hiện và xóa bootkit khỏi Windows.
Rò rỉ mã nguồn BlackLotus
BlackLotus  ban đầu được bán trên các diễn đàn tin tặc  với giá chỉ 5.000 đô la, cho phép những kẻ đe dọa thuộc mọi kỹ năng có quyền truy cập vào phần mềm độc hại thường được liên kết với các nhóm hack do nhà nước tài trợ.
BlackLotus bootkit được quảng bá trên các diễn đàn hacker
notion image
Tuy nhiên, tác nhân đe dọa đã giữ mã nguồn ở chế độ riêng tư, cung cấp các bản dựng lại với giá 200 đô la cho những khách hàng muốn tùy chỉnh bộ công cụ khởi động.
Công ty bảo mật Binarly nói rằng mã nguồn của bộ khởi động BlackLotus UEFI đã bị rò rỉ trên GitHub  bởi người dùng 'Yukari.' làm cho công cụ có sẵn rộng rãi cho bất cứ ai.
Yukari nói rằng mã nguồn đã được sửa đổi để loại bỏ lỗ hổng Baton Drop và thay vào đó sử dụng  rootkit UEFI bootlicker , dựa trên  rootkit CosmicStrand ,  MoonBounce và  ESPECTRE  UEFI APT.
Rò rỉ mã nguồn BlackLotus trên GitHub
notion image
"Mã nguồn bị rò rỉ không hoàn chỉnh và chủ yếu chứa phần rootkit và mã bootkit để vượt qua Secure Boot"
Các kỹ thuật của bộ khởi động không còn mới nữa, nhưng vụ rò rỉ mã nguồn khiến các tác nhân đe dọa kết hợp bộ khởi động với các lỗ hổng bộ tải khởi động mới, đã biết hoặc chưa biết, trở nên dễ dàng.
Điều quan trọng cần nhấn mạnh là mặc dù Microsoft đã giải quyết các vấn đề bỏ qua Secure Boot trong CVE-2022-21894 và CVE-2023-24932, nhưng bản cập nhật bảo mật là tùy chọn và các bản sửa lỗi bị tắt theo mặc định.
Để đảm bảo an toàn cho các hệ thống chống lại mối đe dọa bộ công cụ khởi động BlackLotus UEFI, hãy đảm bảo tuân theo lời khuyên giảm thiểu toàn diện mà NSA đã xuất bản vào tháng trước.
Với mã nguồn của bootkit hiện đã phổ biến rộng rãi, cũng có khả năng các tác giả phần mềm độc hại có năng lực có thể tạo ra các biến thể mạnh hơn có thể vượt qua các biện pháp đối phó hiện có và trong tương lai.
Nguồn 🔗 BleepingComputer

6. PoC giả mạo trên GitHub đánh lừa các nhà nghiên cứu bảo mật tải xuống phần mềm độc hại

Những tác nhân đe dọa đã giả mạo PoC có chứa backdoor đăng lên GitHub để dụ các nhà nghiên cứu bảo mật tải xuống.
PoC chứa một trình tải xuống độc hại hoặc dropper ẩn bên trong code. Sau khi được tải xuống, dropper sẽ cung cấp payload độc hại sẽ thực thi tập lệnh Linux Bash được giả mạo dưới dạng process kernel-level. Bash script là 1 tệp văn bản đơn giản tự động hóa các lệnh.
Phần mềm độc hại sử dụng lệnh ‘make’ để tạo file ‘kworker’ và thêm đường dẫn file của nó vào file ‘bashrc’, cho phép phần mềm độc hại liên tục hoạt động trong hệ thống của nạn nhân.
PoC độc hại hoạt động như 1 trình tải xuống, với payload độc hại có khả năng đánh cắp dữ liệu thông qua trình trích xuất. Mục tiêu là tên máy chủ và tên người dùng của hệ thống, khả năng phần mềm độc hại có thể quét thư mục chính của máy tính. Kẻ tấn công cũng có thể có toàn quyền truy cập vào hệ thống mục tiêu bằng cách thêm SSH key vào tệp được cấp quyền của hệ thống mục tiêu.
SSH key (Secure Shell) là chứng chỉ truy cập được sử dụng trong giao thức SSH và là nền tảng cho các nền tảng Infrastructure-as-a-Service như AWS, Google Cloud và Azure.
PoC giả khai thác lỗ hổng nghiêm trọng (CVE-2023-35829), chứa phần mềm độc hại trong Linux kernel đã được chia sẻ rộng rãi trước khi bị xóa khỏi GitHub. Các PoC giả mạo đã khiến các nhà nghiên cứu gặp phải những hoạt động bất thường khi thử nghiệm PoC của các CVE khác nhau như kết nối mạng không mong muốn, chuyển dữ liệu bất thường và nỗ lực truy cập vào hệ thống trái phép.
Trang profile GitHub của 1 PoC giả mạo
notion image
VulnCheck phát hiện ra một số tài khoản GitHub giả mạo là nhà nghiên cứu bảo mật để phân phối phần mềm độc hại dưới chiêu bài khai thác PoC cho phần mềm phổ biến như Discord, Google Chrome, Microsoft Exchange Server, Signal và WhatsApp.
Mặc dù có thể khó phân biệt các PoC hợp pháp với các PoC lừa đảo, nhưng việc áp dụng các biện pháp an toàn như thử nghiệm trong môi trường biệt lập (ví dụ: máy ảo) có thể cung cấp một lớp bảo vệ.
Nguồn 🔗 SCmagazine TheHackerNews

7. Azure và Google Cloud trở thành mục tiêu trong chiến dịch đánh cắp thông tin xác thực trên dịch vụ đám mây

Trong tháng 6 năm 2023, TeamTNT đã triển khai chiến dịch tấn công đánh cắp thông tin xác thực đám mây, tập trung vào Azure và Google Cloud Platform (GCP). Chiến dịch này có nhiều điểm tương đồng với một chiến dịch trước đó của TeamTNT tên là Silentbob. SilentBob sử dụng các dịch vụ đám mây bị cấu hình sai để triển khai mã độc và liên kết với các cuộc tấn công SCARLETEEL. TeamTNT đang quét thông tin xác thực trên nhiều môi trường đám mây, bao gồm AWS, Azure và GCP. Đối tượng tấn công chọn các phiên bản Docker công khai để triển khai module nhân bản kiểu worm, đây là bước tiếp theo của chiến dịch tấn công trước đó đã nhằm vào Jupyter Notebook hồi tháng 12 năm 2022.
notion image
Có tới tám phiên bản của tập lệnh thu thập thông tin trái phép đã được phát hiện từ ngày 15/06/2023 đến 11/07/2023, cho thấy cuộc tấn công đang diễn ra một cách tích cực. Những phiên bản mới này ra đời nhằm thu thập thông tin trái phép từ các dịch vụ như AWS, Azure, Google Cloud Platform, Censys, Docker, Filezilla, Git, Grafana, Kubernetes, Linux,Ngrok, PostgreSQL, Redis, S3QL và SMB. Thông tin đăng nhập bị đánh cắp sau đó được chuyển đến máy chủ từ xa.
Sự kết nối mật thiết giữa SCARLETEEL và TeamTNT Một số nhà nghiên cứu bảo mật cho rằng kỹ thuật tấn công của SCARLETEEL có nhiều điểm tương đồng với các chiến dịch của TeamTNT. Chiến dịch SilentBob của TeamTNT thường chiếm quyền truy cập, đánh cắp thông tin đăng nhập trái phép, xâm nhập vào các hệ thống được kết nối. Tương tự, SCARLETEEL đánh cắp thông tin đăng nhập từ các tệp cấu hình Terraform, cũng như SilentBob. Mặc dù SCARLETEEL và TeamTNT có điểm giống nhau về cơ sở hạ tầng được sử dụng nhưng cũng có một số điểm khác biệt về chiến thuật, kỹ thuật và quy trình TTPs, đặc biệt là việc sử dụng endpoint AWS tùy chỉnh. Bởi vậy, các cơ quan, tổ chức cần tiến hành rà soát để áp dụng kịp thời các biện pháp bảo mật phù hợp.
Nguồn 🔗 TheHackerNews