VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 3 - Tháng 7 - 2023

date
Jul 17, 2023
slug
tin-tuc-attt-tuan-3-thang-7-nam-2023
author
status
Public
tags
News
Daily
Blog
Docs
Malware
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 3 tháng 7 - 2023 (17/7-22/7)
type
Post
thumbnail
app.jpg
category
News
updatedAt
Jul 28, 2023 02:03 AM
1. Hàng nghìn image trên Docker Hub rò rỉ auth secret và private key2. Ổ đĩa USB độc hại nhắm mục tiêu toàn cầu với phần mềm độc hại SOGU và SNOWYDRIVE3. Hackers khai thác WebAPK để lừa người dùng Android cài đặt ứng dụng độc hại4. CERT-UA tiết lộ các chiến thuật đánh cắp dữ liệu nhanh chóng của Gamaredon sau thỏa hiệp ban đầu5. Các tội phạm mạng khai thác lỗ hổng Microsoft Word để triển khai phần mềm độc hại Lokibot6. Phần mềm quản lý quảng cáo giả mạo và tiện ích mở rộng độc hại nhắm mục tiêu tài khoản Facebook7. Hacker Trung Quốc APT41 nhắm mục tiêu vào các thiết bị di động với Spyware mới là WyrmSpy và DragonEgg8. Lỗ hổng Bad.Build trong Google Cloud Build làm lo ngại về việc leo thang đặc quyền9. Hacker biến máy chủ Microsoft Exchange thành trung tâm kiểm soát phần mềm độc hại10. Hàng nghìn thông tin đăng nhập OpenAI bị đánh cắp để bán trên dark web11. Worm P2PInfect mới đang nhắm mục tiêu vào Redis server trên hệ thống Linux và Windows12. Các cuộc tấn công DangerousPassword nhắm vào môi trường Windows, macOS và Linux của nhà phát triển

1. Hàng nghìn image trên Docker Hub rò rỉ auth secret và private key

Các nhà nghiên cứu tại Đại học RWTH Aachen ở Đức đã công bố một nghiên cứu tiết lộ rằng hàng chục nghìn các container image được lưu trữ trên Docker Hub chứa các thông tin riêng tư, phần mềm, nền tảng trực tuyến và người dùng có thể bị tấn công quy mô lớn.
Docker Hub là kho lưu trữ dựa trên đám mây dành cho cộng đồng Docker để lưu trữ, chia sẻ và phân phối các image Docker. Các template tạo container bao gồm tất cả các mã nguồn phần mềm cần thiết, thời gian chạy, thư viện, biến môi trường và các file cấu hình để dễ dàng triển khai ứng dụng trong Docker.
Sơ đồ tạo image trong Docker
notion image
Các nhà nghiên cứu đã phân tích 337.171 image từ Docker Hub và hàng nghìn private registry đã phát hiện ra rằng khoảng 8,5% chứa dữ liệu nhạy cảm như private key và API secrets.
Nhiều key bị lộ đang được sử dụng, thiếu tính bảo mật của các yếu tố phụ thuộc vào chúng như hàng trăm certificate.
(Vô tình) lộ bí mật
Nghiên cứu đã tập hợp một bộ dữ liệu khổng lồ gồm 1.647.300 layers từ 337.171 images Docker, tìm nguồn các phiên bản images mới nhất từ mỗi kho lưu trữ khi có thể.
Phân tích dữ liệu bằng cách sử dụng các biểu thức chính quy để tìm kiếm các bí mật cụ thể đã tiết lộ 52.107 khóa riêng hợp lệ và 3.158 API secrets riêng biệt trong 28.621 images Docker.
Các số liệu trên đã được các nhà nghiên cứu xác thực, loại trừ các khóa kiểm tra, API secrets mẫu và các kết quả không hợp lệ.
notion image
Hầu hết các bí mật bị lộ, 95% đối với khóa riêng tư và 90% đối với API, nằm trong image của một người dùng, cho thấy rằng chúng có khả năng bị rò rỉ ngoài ý muốn.
notion image
Tác động cao nhất là trên Docker Hub, có tỷ lệ lộ bí mật là 9,0%, trong khi image có nguồn gốc từ các private registry bị lộ bí mật với tỷ lệ 6,3%.
Sự khác biệt này có thể chỉ ra rằng người dùng Docker Hub thường kém bảo mật container so với những người thiết lập kho lưu trữ riêng.
notion image
Sử dụng các key bị lộ
Các nhà nghiên cứu cần xác định việc sử dụng thực tế các bí mật bị lộ để đánh giá kích thước bề mặt tấn công.
22.082 certificates bị xâm phạm dựa trên các khóa riêng bị lộ đã được tìm thấy, bao gồm 7.546 certificates có chữ ký CA riêng và 1.060 certificates có chữ ký CA công khai.
Hàng nghìn certificates do CA ký là mối quan tâm đặc biệt vì những certificates này thường được sử dụng bởi một số lượng lớn người dùng và được chấp nhận rộng rãi.
Tại thời điểm nghiên cứu, 141 certificates do CA ký vẫn còn hiệu lực, phần nào giảm bớt rủi ro.
Để xác định thêm việc sử dụng các bí mật bị lộ, các nhà nghiên cứu đã sử dụng các phép đo trên toàn internet trong 15 tháng do cơ sở dữ liệu Censys cung cấp và tìm thấy 275.269 máy chủ dựa trên các khóa bị xâm phạm.
Bao gồm:
  • 8.674 MQTT và 19 máy chủ AMQP: có khả năng truyền dữ liệu Internet of Things (IoT) nhạy cảm về quyền riêng tư.
  • 6.672 FTP, 426 PostgreSQL, 3 Elaticsearch và 3 MySQL instances: phục vụ dữ liệu bí mật tiềm ẩn.
  • 216 máy chủ SIP: được sử dụng cho điện thoại.
  • 8.165 máy chủ SMTP, 1.516 POP3 và 1.798 IMAP server: được sử dụng cho email.
  • 240 máy chủ SSH và 24 Kubernetes instances: sử dụng các khóa bị rò rỉ có thể dẫn đến quyền remote-shell, phần mở rộng của botnet hoặc quyền truy cập dữ liệu khác.
notion image
Mức độ phơi bày này làm nổi bật một vấn đề lớn trong bảo mật container và sự bất cẩn trong việc tạo image mà không bảo mật.
Về mức độ phơi nhiễm API, phân tích cho thấy hầu hết các container (2.920) thuộc về các nhà cung cấp đám mây như Amazon AWS, nhưng một số liên quan đến các dịch vụ tài chính như Stripe.
Tuy nhiên, các nhà nghiên cứu đã trích dẫn các hạn chế trong việc xác thực các API secrets bị lộ đối với các điểm cuối dịch vụ, vì vậy việc sử dụng chúng vẫn chưa được biết.
Nguồn 🔗 BleepingComputer

2. Ổ đĩa USB độc hại nhắm mục tiêu toàn cầu với phần mềm độc hại SOGU và SNOWYDRIVE

Các cuộc tấn công mạng sử dụng ổ USB bị lây nhiễm làm vector truy cập ban đầu đã tăng gấp ba lần trong nửa đầu năm 2023.
Theo những phát hiện mới từ Mandiant, hai chiến dịch SOGU và SNOWYDRIVE – nhắm mục tiêu vào cả các tổ chức khu vực công và tư nhân trên toàn thế giới.
SOGU là "cuộc tấn công gián điệp mạng dựa trên USB phổ biến nhất sử dụng ổ flash USB và là một trong những chiến dịch gián điệp mạng lớn nhất nhắm vào cả các tổ chức khu vực công và tư nhân trên toàn cầu trong các ngành.
Hoạt động này được cho là do một cụm có trụ sở tại Trung Quốc gọi là TEMP.Hex, cụm này cũng được theo dõi dưới tên Camaro Dragon, Earth Preta và Mustang Panda. Các mục tiêu bao gồm xây dựng và kỹ thuật, dịch vụ kinh doanh, chính phủ, y tế, giao thông vận tải và bán lẻ ở Châu Âu, Châu Á và Hoa Kỳ.
Chuỗi lây nhiễm do Mandiant trình bày chi tiết thể hiện những điểm tương đồng về mặt chiến thuật với một chiến dịch khác do Check Point đã nêu chi tiết. Chiến dịch này đã loại bỏ một dòng phần mềm độc hại tự lan truyền có tên là WispRider lây lan qua các ổ USB bị xâm nhập và có khả năng xâm phạm các hệ thống air-gapped.
Tất cả bắt đầu với một ổ flash USB độc hại được cắm vào máy tính, dẫn đến việc thực thi PlugX (còn gọi là Korplug), sau đó giải mã và khởi chạy một cửa hậu dựa trên C có tên là SOGU để lọc các tệp quan tâm, tổ hợp phím và ảnh chụp màn hình.
notion image
SNOWYDRIVE nhắm đến các tổ chức dầu khí ở châu Á
Cụm thứ hai tận dụng cơ chế xâm nhập USB là UNC4698, cụm này đã chọn ra các tổ chức dầu khí ở châu Á để cung cấp phần mềm độc hại SNOWYDRIVE nhằm thực thi các tải trọng tùy ý trên các hệ thống bị tấn công.
Các nhà nghiên cứu của Mandiant cho biết: “Sau khi SNOWYDRIVE được tải, nó sẽ tạo ra một cửa hậu trên hệ thống máy chủ, cho phép kẻ tấn công có khả năng ra lệnh hệ thống từ xa”. "Nó cũng lây lan sang các ổ flash USB khác và lan truyền khắp mạng."
Trong các cuộc tấn công này, nạn nhân bị dụ nhấp vào một tệp bị bẫy đặt dưới dạng một tệp thực thi hợp pháp, do đó kích hoạt một chuỗi các hành động độc hại, bắt đầu bằng một dropper thiết lập chỗ đứng, sau đó là thực thi bộ cấy SNOWYDRIVE.
Một số chức năng của cửa hậu bao gồm thực hiện tìm kiếm tệp và thư mục, tải lên và tải xuống tệp cũng như khởi chạy reverse shell.
Các nhà nghiên cứu cho biết: "Các tổ chức nên ưu tiên thực hiện các hạn chế đối với quyền truy cập vào các thiết bị bên ngoài như ổ USB". "Nếu điều này là không thể, thì ít nhất họ nên quét các thiết bị này để tìm các tệp hoặc mã độc hại trước khi kết nối chúng với mạng nội bộ của mình."
Nguồn 🔗 TheHackerNews, Mandiant

3. Hackers khai thác WebAPK để lừa người dùng Android cài đặt ứng dụng độc hại

Nhiều kẻ tấn công đang lợi dụng công nghệ WebAPK của Android để lừa người dùng cả tin cài đặt các ứng dụng web độc hại trên điện thoại Android được thiết kế để thu thập thông tin cá nhân nhạy cảm.
  • Cuộc tấn công bắt đầu với việc nạn nhân nhận được tin nhắn SMS đề nghị cập nhật ứng dụng ngân hàng trên điện thoại.
  • Liên kết trong tin nhắn dẫn đến một trang web sử dụng công nghệ WebAPK đề cài đặt ứng dụng độc hại trên thiết bị của nạn nhân.
Ứng dụng mạo danh PKO Bank Polski, một công ty dịch vụ tài chính và ngân hàng đa quốc gia có trụ sở tại Warsaw.
WebAPK cho phép người dùng cài đặt progressive web apps (PWAs) vào màn hình chính trên thiết bị Android mà không cần phải sử dụng Google Play Store.
Khi người dùng cài đặt PWA từ Google Chrome và WebAPK được sử dụng, server sẽ ký APK cho PWA.
Quá trình cần có thời gian nhưng khi APK đã sẵn sàng, trình duyệt sẽ cài đặt ứng dụng 1 cách âm thầm trên thiết bị của người dùng. Các nhà cung cấp đáng tin cậy (Play Services hoặc Samsung) đã ký APK nên điện thoại sẽ cài đặt APK đó mà không tắt tính năng bảo mật như với bất kỳ ứng dụng nào từ store. Không cần tải ứng dụng.
notion image
Sau khi được cài đặt, ứng dụng ngân hàng giả mạo ("org.chromium.webapk.a798467883c056fed_v2") khuyến khích người dùng nhập thông tin đăng nhập và mã thông báo xác thực hai yếu tố (2FA), dẫn đến việc họ bị đánh cắp.
Các ứng dụng WebAPK tạo ra các packages và checksum khác nhau trên mỗi thiết bị. Chúng được tạo tự động bởi Chrome engine, khiến việc sử dụng dữ liệu làm Indicators of Compromise (IoC) trở nên khó khăn hơn.
Để chống lại các mối đe dọa này, cần chặn các trang web sử dụng cơ chế WebAPK để thực hiện các cuộc tấn công lừa đảo.
Các công cụ giả mạo dành cho Android được bán trên web đen nhằm mạo danh chủ tài khoản bị xâm phạm và vượt qua các biện pháp kiểm soát chống gian lận.
Các công cụ chống phát hiện, Enclave Service và MacFly có khả năng giả mạo dấu vân tay của thiết bị di động cũng như các thông số mạng và phần mềm khác được phân tích bởi các hệ thống chống gian lận, với các tác nhân đe dọa cũng tận dụng các biện pháp kiểm soát gian lận yếu để thực hiện các giao dịch trái phép qua điện thoại thông minh sử dụng phần mềm ngân hàng độc hại như TimpDoor và Clientor.
Tội phạm mạng sử dụng những công cụ này để truy cập vào các tài khoản bị xâm phạm và mạo danh khách hàng hợp pháp bằng cách khai thác các tệp cookie bị đánh cắp, mạo danh số nhận dạng thiết bị siêu chi tiết và sử dụng cài đặt mạng duy nhất của nạn nhân lừa đảo.
Nguồn 🔗 TheHackerNews, CSIRT KNF, Google

4. CERT-UA tiết lộ các chiến thuật đánh cắp dữ liệu nhanh chóng của Gamaredon sau thỏa hiệp ban đầu

Tác nhân đe dọa liên kết với Nga là Gamaredon đã đuợc quan sát các hoạt động đánh cắp dữ liệu trong vòng một giờ sau khi thỏa hiệp ban đầu.
notion image
Là phương tiện xâm phạm chính, phần lớn, email và tin nhắn trong trình nhắn tin (Telegram, WhatsApp, Signal) được sử dụng, trong hầu hết các trường hợp, bằng cách sử dụng các tài khoản đã bị xâm phạm trước đó
Gamaredon , còn được gọi là Aqua Blizzard, Armageddon, Shuckworm hoặc UAC-0010, là tác nhân đe dọa được nhà nước bảo trợ có quan hệ với Văn phòng chính của SBU tại Cộng hòa tự trị Crimea, quốc gia đã bị Nga sáp nhập vào năm 2014. Nhóm này ước tính có đã lây nhiễm hàng ngàn máy tính của chính phủ.
Đây cũng là một trong nhiều nhóm tin tặc của Nga đã duy trì sự hiện diện tích cực kể từ khi bắt đầu cuộc chiến tranh Nga-Ukraine vào tháng 2 năm 2022, tận dụng các chiến dịch lừa đảo để cung cấp các cửa hậu PowerShell như GammaSteel nhằm tiến hành trinh sát và thực hiện các lệnh bổ sung.
Các thông báo thường mang một kho lưu trữ chứa tệp HTM hoặc HTA, khi được mở, sẽ kích hoạt chuỗi tấn công.
notion image
Theo CERT-UA, GammaSteel được sử dụng để lọc ra các tệp phù hợp với một bộ phần mở rộng cụ thể – .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, . ps1, .rar, .zip, .7z và .mdb – trong khoảng thời gian từ 30 đến 50 phút.
Nhóm này liên tục phát triển các chiến thuật của mình, sử dụng các kỹ thuật lây nhiễm qua USB để lan truyền. Một máy chủ hoạt động trong tình trạng bị xâm phạm trong một tuần có thể chứa từ 80 đến 120 tệp độc hại.
Việc kẻ đe dọa sử dụng phần mềm AnyDesk để truy cập từ xa tương tác, các tập lệnh PowerShell để chiếm quyền điều khiển phiên để bỏ qua xác thực hai yếu tố (2FA) và Telegram, Telegraph để tìm nạp thông tin máy chủ C2.
Những kẻ tấn công thực hiện các biện pháp riêng biệt để đảm bảo khả năng chịu lỗi của cơ sở hạ tầng mạng của chúng và tránh bị phát hiện ở cấp độ mạng. Trong ngày, địa chỉ IP của các nút điều khiển trung gian có thể thay đổi từ 3 đến 6 lần trở lên, điều này, trong số những thứ khác, cho thấy quá trình tự động hóa phù hợp.
Nguồn 🔗 TheHackerNews

5. Các tội phạm mạng khai thác lỗ hổng Microsoft Word để triển khai phần mềm độc hại Lokibot

Các tài liệu Microsoft Word khai thác các lỗ hổng thực thi mã từ xa đã biết được sử dụng để lừa đảo và chèn các phần mềm độc hại có tên LokiBot vào các hệ thống bị xâm nhập.
notion image
LokiBot, còn được gọi là Loki PWS, là một Trojan đánh cắp thông tin nổi tiếng hoạt động từ năm 2015. Nó chủ yếu nhắm vào các hệ thống Windows và nhằm mục đích thu thập thông tin nhạy cảm từ các máy bị nhiễm.
Các cuộc tấn công lợi dụng CVE-2021-40444 và CVE-2022-30190 (còn gọi là Follina) để thực thi mã.
FortiGuard Labs thu thập và phân tích hai loại tài liệu Word riêng biệt, cả hai đều gây ra những mối đe dọa nghiêm trọng đối với những nạn nhân nhẹ dạ cả tin. 
  • Loại đầu tiên kết hợp một liên kết bên ngoài được nhúng trong một tệp XML có tên là “word/_rels/document.xml.rels.”
  • Loại thứ hai sử dụng tập lệnh VBA thực thi macro độc hại khi mở tài liệu. 
Tài liệu Word tận dụng CVE-2021-40444 chứa một tệp có tên “document.xml.rels,” lưu trữ một liên kết bên ngoài sử dụng MHTML (MIME Encapsulation of Aggregate HTML documents). Liên kết này đã sử dụng Cuttly, một nền tảng quản lý liên kết và rút ngắn URL, để chuyển hướng người dùng đến một trang web chia sẻ tệp trên đám mây có tên là “GoFile”.
Việc truy cập vào liên kết đã bắt đầu tải xuống tệp có tên “defrt.html”, khai thác lỗ hổng thứ hai, CVE-2022-30190. Sau khi tải trọng được thực thi, nó sẽ kích hoạt tải xuống tệp trình injector được viết bằng Visual Basic để giải mã có nhãn “oehrjd.exe” từ URL “http//pcwizardnet/yz/ftp/.” và khởi chạy LokiBot.
Tài liệu thứ hai, được phát hiện vào cuối tháng 5 năm 2023, có một tập lệnh VBA được nhúng trong tệp Word. Tập lệnh, sử dụng chức năng “Auto_Open” và “Document_Open”, được thực thi tự động khi mở tài liệu. Nó đã giải mã các mảng khác nhau, lưu chúng dưới dạng một thư mục tạm thời với tên “DD.inf.”
Đáng chú ý, tập lệnh đã tạo một tệp “ema.tmp” để lưu trữ dữ liệu, mã hóa nó bằng chức năng “ecohex” và lưu nó dưới dạng “des.jpg”. Sau đó, tập lệnh đã sử dụng rundll32 để tải tệp DLL có chứa hàm “maintst”. Trong suốt quá trình này, tất cả các tệp tạm thời, JPG và INF được tạo sẽ bị xóa một cách có hệ thống.
Liên quan đến việc tạo tệp INF của tập lệnh VBA, mục đích là để tải tệp DLL có tên “des.jpg,” chịu trách nhiệm tải xuống injector từ URL “https//vertebromedmd/temp/dhssdfexe” để sử dụng trong các giai đoạn sau.
Injector cũng có các kỹ thuật trốn tránh để kiểm tra sự hiện diện của trình gỡ lỗi và xác định xem nó có đang chạy trong môi trường ảo hóa hay không.
notion image
Liên kết tải xuống khác với nền tảng đám mây chia sẻ tệp điển hình hoặc máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công. Thay vào đó, nó tận dụng trang web “vertebromed.md”, một miền hoạt động kể từ năm 2018.
Ngoài ra, trong cùng một thư mục, FortiGuard Labs đã phát hiện ra một trình tải MSIL khác có tên “IMG_3360_103pdf.exe,” được tạo vào ngày 30 tháng 5 năm 2023. Mặc dù không trực tiếp tham gia vào chuỗi tấn công tài liệu Word, nhưng tệp này cũng tải LokiBot và kết nối với cùng một địa chỉ IP C2 .
LokiBot, một phần mềm độc hại phổ biến và dai dẳng, đã tiếp tục phát triển trong nhiều năm, điều chỉnh các phương thức truy cập ban đầu của nó để phát tán và lây nhiễm các hệ thống hiệu quả hơn. Bằng cách khai thác một loạt lỗ hổng và tận dụng các macro VBA, LokiBot vẫn là mối lo ngại đáng kể đối với an ninh mạng. Việc sử dụng VB injector cho phép tiếp tục sử dụng các kỹ thuật trốn tránh để tránh bị phát hiện và phân tích, làm tăng mối đe dọa mà nó gây ra cho người dùng.
Để tự bảo vệ mình khỏi những mối đe dọa như vậy, người dùng nên thận trọng khi xử lý các tài liệu Office hoặc tệp không xác định, đặc biệt là những tệp chứa liên kết đến các trang web bên ngoài. Cảnh giác là rất quan trọng và điều quan trọng là tránh nhấp vào các liên kết đáng ngờ hoặc mở tệp đính kèm từ các nguồn không đáng tin cậy. Luôn cập nhật phần mềm và hệ điều hành với các bản vá bảo mật mới nhất cũng có thể giúp giảm thiểu nguy cơ trở thành nạn nhân của việc khai thác phần mềm độc hại.
Nguồn 🔗 TheHackerNews, HackRead, Fortinet

6. Phần mềm quản lý quảng cáo giả mạo và tiện ích mở rộng độc hại nhắm mục tiêu tài khoản Facebook

Facebook đóng vai trò là một nền tảng phát triển mạnh để tối ưu hóa các chiến dịch quảng cáo, khiến nó trở thành một công cụ quan trọng giúp các doanh nghiệp trên toàn thế giới tăng doanh thu. Tuy nhiên, nó không phải là không có nhược điểm, vì nền tảng này đã bị tội phạm mạng khai thác để phát tán phần mềm độc hại và thậm chí tệ hơn là ransomware.
  • Các tác nhân đe dọa Việt Nam đang tích cực nhắm mục tiêu vào các tài khoản kinh doanh trên Facebook
  • Nạn nhân bị dụ dỗ thông qua phần mềm Trình quản lý quảng cáo giả mạo được quảng cáo trên Facebook
  • Các tiện ích mở rộng độc hại của Google Chrome được sử dụng để đánh cắp và trích xuất thông tin đăng nhập
  • Hơn 800 nạn nhân trên toàn thế giới, 310 ở Mỹ
  • Hơn 180.000 USD trong ngân sách quảng cáo bị xâm phạm
Tài khoản Trình quản lý quảng cáo giả mạo
Trình quản lý quảng cáo  là sản phẩm cho phép người dùng chạy quảng cáo trực tuyến trên Facebook, Instagram và các nền tảng khác do Meta sở hữu. Những kẻ lừa đảo mua quảng cáo từ Meta thông qua tài khoản đã được xác minh. Họ đang cố gắng lôi kéo các nạn nhân tiềm năng tải xuống phần mềm để quản lý quảng cáo của họ thông qua một "công cụ an toàn và chuyên nghiệp hơn".
Vào đầu tháng 6, các tài khoản lừa đảo đang thực hiện cùng một hành vi lừa đảo bằng cách sử dụng các chiêu dụ tương tự. Điều đáng chú ý là những tài khoản này thường có hàng chục nghìn người theo dõi và bất kỳ bài đăng nào của họ đều có thể nhanh chóng trở nên lan truyền. Những kẻ lừa đảo chủ yếu nhắm mục tiêu đến người dùng doanh nghiệp, những người có thể chi tiền quảng cáo trên nền tảng này.
notion image
Để xâm phạm các tài khoản đó, trước tiên họ cần chuyển hướng các nạn nhân tiềm năng đến các trang web bên ngoài. Một số miền khác nhau về cơ bản là các trang lừa đảo sử dụng biểu trưng và nhãn hiệu Meta. Sự hấp dẫn là chương trình Trình quản lý quảng cáo Facebook được đẩy qua liên kết tải xuống. Nhiều nhà cung cấp dịch vụ đám mây khác nhau bị lạm dụng để lưu trữ các kho lưu trữ RAR được bảo vệ bằng mật khẩu này, từ Google đến Trello.
notion image
Tiện ích mở rộng độc hại của Chrome
Sau khi được trích xuất từ kho lưu trữ, tệp này là gói trình cài đặt MSI cài đặt một số thành phần trong  C:\Program Files (x86)\Ads Manager\Ads Manager. Một tập lệnh batch (có thể được đặt tên theo Google Bard) và hai thư mục. Một trong số đó là dành cho tiện ích mở rộng tùy chỉnh của Chrome trong khi thư mục Hệ thống chứa tệp WebDriver độc lập.
notion image
Tập lệnh batch được khởi chạy sau khi trình cài đặt MSI hoàn tất và về cơ bản tạo ra một cửa sổ trình duyệt mới được khởi chạy với tiện ích mở rộng tùy chỉnh từ đường dẫn cài đặt trước đó, trỏ nạn nhân đến trang đăng nhập Facebook.
taskkill /F /IM chrome.exe
taskkill /F /IM chromedriver.exe
timeout /t 1 >nul
start chrome.exe --load-extension="%~dp0/nmmhkkegccagdldgiimedpiccmgmiedagg4" "https://www.facebook.com/business/tools/ads-manager"
notion image
Tiện ích mở rộng tùy chỉnh đó được ngụy trang khéo léo thành Google Dịch và được coi là 'Đã giải nén' vì tiện ích này được tải từ máy tính cục bộ, thay vì Cửa hàng Chrome trực tuyến. Xem nhanh mã nguồn của nó sẽ thấy ngay lập tức mã hóa hex nhằm cố gắng che giấu những gì nó thực sự đang làm.
notion image
Sau khi reverse engineering tiện ích mở rộng này, nó không liên quan gì đến Google Dịch. Trên thực tế, đoạn mã này hoàn toàn tập trung vào Facebook và lấy những mẩu thông tin quan trọng có thể cho phép kẻ tấn công đăng nhập vào tài khoản. Các tác nhân đe dọa quan tâm đến cookie của Facebook mà chúng yêu cầu thông qua phương thức cookie.getAll  .
Lọc dữ liệu đó bằng cách sử dụng Google Analytics. Kỹ thuật nà  trước đây đã được HUMAN ghi lại như một cách để vượt qua CSP.
notion image
Rò rỉ dữ liệu
Tổng cộng, Malwarebytes đã xác định được hơn 20 kho lưu trữ Facebook Ad Manager độc hại khác nhau đã cài đặt tiện ích mở rộng của Chrome hoặc thay vào đó đi kèm với tệp thực thi phần mềm độc hại truyền thống. Mặc dù có sự khác biệt giữa các mẫu, nhưng mục tiêu chính của những kẻ tấn công dường như giống nhau, cụ thể là thu thập các tài khoản kinh doanh trên Facebook.
notion image
Trong khi điều tra một trang web lừa đảo mới, một kho lưu trữ để tải xuống trông khá khác so với các trang web khác. Những kẻ đe dọa đã phạm sai lầm và thay vì tải trọng, chúng đã rò rỉ dữ liệu bị đánh cắp của chính chúng, hay đúng hơn là dữ liệu chúng đánh cắp được từ nạn nhân.
Trang web giả vờ là Trình quản lý quảng cáo Meta và tự hào về những tuyên bố tương tự về việc tăng hiệu suất quảng cáo đã thấy trước đây. Có một nút để tải xuống tệp có tên  Meta Ads Manager.rar  được lưu trữ trên Google Drive.
notion image
Tuy nhiên, kho lưu trữ này không chứa trình cài đặt MSI dự kiến, mà thay vào đó là một số tệp văn bản được sửa đổi lần cuối vào ngày 15 tháng 6:
notion image
Mặc dù tên tệp đã rõ, chứa thông tin về xác thực (checkpoint, cookie, token). Ngoài ra còn có thông tin về tác nhân đe dọa đã chia sẻ tệp này (chủ sở hữu tệp) qua Google Drive và địa chỉ email Gmail của họ (thông tin này đã được chuyển đến Meta để thực hiện thêm hành động).
notion image
Hàng đầu tiên của tệp có tên  List_ADS_Tach.txt  chứa các tiêu đề cột với một số tên bằng tiếng Việt, xác nhận quốc tịch của các cá nhân đứng sau các cuộc tấn công này. Tổng cộng, có 828 hàng, tương đương với số tài khoản Facebook bị xâm phạm.
notion image
Những kẻ đe dọa đặc biệt quan tâm đến tài khoản quảng cáo của nạn nhân. Chúng ta có thể thấy các số liệu khác nhau liên quan đến ngân sách quảng cáo (tiêu đề cột được dịch từ tiếng Việt và có thể không chính xác một chút) cũng như đơn vị tiền tệ:
notion image
Tài khoản Prized sẽ là những tài khoản có số dư còn lại lớn để chi tiêu cho quảng cáo. Mặc dù không biết liệu tác nhân đe dọa này có liên kết trực tiếp với DuckTail hay không, nhưng họ có cùng động cơ thu lợi tài chính từ các tài khoản doanh nghiệp Facebook bị tấn công.
notion image
Cuối cùng, bằng cách chuyển đổi dữ liệu thành bản đồ, có thể thấy rằng các nạn nhân không bị giới hạn ở một vị trí địa lý cụ thể, trên thực tế, họ được phân phối trên toàn thế giới.
notion image
Những kẻ đe dọa đã nhận ra sai lầm của chúng vài ngày sau đó và chuyển tệp khỏi tài khoản Google Drive của chúng vào thùng rác. Họ cũng cập nhật liên kết tải xuống trên trang lừa đảo, với một tệp mới được lưu trữ qua MediaFire (may mắn thay cho người dùng, tệp đã được phát hiện là phần mềm độc hại và quá trình tải xuống bị chặn).
notion image
Một mối đe dọa chi phí thấp, năng suất cao
Người dùng doanh nghiệp có thể muốn tối ưu hóa các chiến dịch quảng cáo của họ trên Facebook bằng cách nhấp vào một số bài đăng nhất định và tải xuống các chương trình tuyên bố sẽ tăng thu nhập của họ. Tuy nhiên, đây là một thực tế rất nguy hiểm ngay cả khi (hoặc đặc biệt nếu) các hướng dẫn tuyên bố rằng phần mềm này an toàn và không có phần mềm độc hại. 
Những kẻ lừa đảo có rất nhiều thời gian và dành nhiều năm để nghiên cứu và tìm hiểu cách lạm dụng mạng xã hội và nền tảng đám mây, nơi đây là một cuộc chạy đua không ngừng để ngăn chặn những kẻ xấu. 
Ioc
site: fbadmanage[.]info
RAR archives (password 888 or 999): 
e73f53ea5dca6d45362fef233c65b99e5b394e97f4f2fe39b374e49c6a273e60
2082e4a8cd0495aabb0f72a41224f134214d0959e208facbfe960c8c74166cda
3638702c83364fc625c0f91388e9b06d94c3486ac0357038f66667d05f9c52e6
547955e97c945ad7283e1637ec0f5e2dbf13c7fb4885a854fb0744542579c6ff
587698e967d05a649428d3a4e45fd64fcea18affd5b021f15d01b8a39a244f8a
6719e6ba89b0a59d325f4531432195afe65154c1d63b9c3bab8ad8925f2f911d
72ba4254e94b7308de92652d1aaf29084fae55d01e0643df1050a638a3bd9dc8
76731d0ed28a552c6f673b6c3e1b08c0499d4b44050df6838439055e01990406
81d9bc3eabe578d606787ab191dd0ff7e8f58a06e35813591e17855daef8505b
8564962190135783b2f21c64cc05fdb226a89a7cbd309ca353fcc31a2a669f0e
8a6a2d439e537b5985b7492f0dded6ae3e1e80133c073d09849712c08927ca55
99057370f8c0312bb5b4a7ed0bd3753b60488e71576af210edd7f813514acb55
a29131934b589eb325a76c7d638ac3a0a55c5f185189c71cdf79d8d662129fb7
b146d19f7ea988f36449463931758935a54b58e1052dd3a5d20060b2e991b1da
c3704b2250e0e8663c86ad5a63e1051004d6967827ef90aab553ddfce682ca5a
c9f0da6aa38d4c3d38dc734d7937cdac47c272cca3e2df030242854a9661d314
d43d288368bad68e600dae08db5e4846adcaeb4a7d1902ab76417fca3f4c0cf7
e94b66b1a3f27dc282a451d3820b3d3d8380be9b9ebab04eedcf4bb0020908e8
f128cbfddf3d5c2f5742d3d5d5dae1a041023eba543ee2ddf4d8afdbd42f29b3
f1b14728d9f42def90e6eec8c32b2ef5eef43e73383eefa70bf70d8be953c3e5
f9ccac29307547adbf779338d6f22bde128feea847012f6392d7ef69cab30878
Analyzed MSI file
fd637520a9ca34f7b4b21164581a4ec498bf106ba168b5cb9fcd54b5c2caafd0
Nguồn 🔗 HackRead, Malwarebytes

7. Hacker Trung Quốc APT41 nhắm mục tiêu vào các thiết bị di động với Spyware mới là WyrmSpy và DragonEgg

Nhóm tin tặc có liên hệ với Trung Quốc là APT41 liên quan đến 1 spyware Android là WyrmSpy và DragonEgg.
APT41 được biết đến với việc khai thác các ứng dụng giao diện web và xâm nhập vào các thiết bị đầu cuối bao gồm cả các thiết bị di động là mục tiêu có giá trị cao với dữ liệu cá nhân và các công ty.
APT41 còn có tên là Axiom, Blackfly, Brass Typhoon (trước đây là Barium), Bronze Atlas, HOODOO, Wicked Panda và Winnti, đã hoạt động ít nhất là từ năm 2007, nhắm mục tiêu vào nhiều ngành công nghiệp để thực hiện hành vi đánh cắp thông tin.
Các cuộc tấn công gần đây nhóm tin tặc này đã sử dụng công cụ red team open-source là Google Command and Control (GC2) là một phần của các cuộc tấn công nhằm vào các nền tảng truyền thông và việc làm ở Đài Loan và Ý.
Vector xâm nhập ban đầu cho chiến dịch phần mềm giám sát thiết bị di động chưa được biết, mặc dù nghi ngờ có liên quan đến việc sử dụng kỹ thuật xã hội. Lookout phát hiện WyrmSpy lần đầu tiên vào đầu năm 2017 và DragonEgg vào đầu năm 2021, với các mẫu mới được phát hiện gần đây vào tháng 4 năm 2023.
WyrmSpy chủ yếu giả dạng một ứng dụng hệ thống mặc định được sử dụng để hiển thị thông báo cho người dùng. Tuy nhiên, các biến thể sau này đã đóng gói phần mềm độc hại vào các ứng dụng mạo danh nội dung video người lớn, Baidu Waimai và Adobe Flash. Mặt khác, DragonEgg đã được phân phối dưới dạng bàn phím Android của bên thứ ba và các ứng dụng nhắn tin như Telegram.
Không có bằng chứng nào cho thấy các ứng dụng giả mạo này được phân phối qua Cửa hàng Google Play.
Các kết nối của WyrmSpy và DragonEgg với APT41 phát sinh từ việc sử dụng command-and-server (C2) có địa chỉ IP 121.42.149[.]52, phân giải thành một miền ("vpn2.umisen[.]com") đã được xác định trước đó liên kết với cơ sở hạ tầng của nhóm.
Sau khi được cài đặt, cả hai phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và trích xuất dữ liệu tinh vi, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng.
Phần mềm độc hại cũng đã được quan sát dựa trên các module được tải xuống từ máy chủ C2 hiện ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.
WyrmSpy có khả năng vô hiệu hóa Security-Enhanced Linux ( SELinux ), một tính năng bảo mật trong Android và sử dụng các công cụ root như KingRoot11 để có được các đặc quyền nâng cao trên các thiết bị cầm tay bị xâm nhập. Một tính năng đáng chú ý của DragonEgg là nó thiết lập liên hệ với máy chủ C2 để tìm nạp một module thứ ba không xác định đóng vai trò là một chương trình pháp y.
Việc phát hiện ra WyrmSpy và DragonEgg là một lời nhắc nhở về mối đe dọa ngày càng tăng do phần mềm độc hại Android tiên tiến gây ra. Các gói phần mềm gián điệp này rất tinh vi và có thể được sử dụng để thu thập nhiều loại dữ liệu từ các thiết bị bị nhiễm.
Các phát hiện được đưa ra khi Mandiant tiết lộ các chiến thuật đang phát triển được các nhóm gián điệp Trung Quốc áp dụng để theo dõi radar, bao gồm vũ khí hóa các thiết bị mạng và phần mềm ảo hóa , sử dụng botnet để làm xáo trộn lưu lượng giữa cơ sở hạ tầng C2 và môi trường nạn nhân , đồng thời tạo đường hầm cho lưu lượng độc hại bên trong mạng nạn nhân thông qua việc bị xâm phạm các hệ thống.
Việc sử dụng botnet, ủy quyền lưu lượng truy cập trong mạng bị xâm nhập và nhắm mục tiêu vào các thiết bị bên ngoài không phải là chiến thuật mới, cũng không phải là chiến thuật duy nhất đối với các tác nhân gián điệp mạng Trung Quốc. Tuy nhiên, trong thập kỷ qua, việc các tác nhân gián điệp mạng Trung Quốc sử dụng những chiến thuật này và các chiến thuật khác như một phần của quá trình phát triển rộng lớn hơn hướng tới các hoạt động có mục đích, lén lút và hiệu quả hơn.
Báo cáo phân tích chi tiết của Lookout
Nguồn 🔗 TheHackerNews

8. Lỗ hổng Bad.Build trong Google Cloud Build làm lo ngại về việc leo thang đặc quyền

notion image
Các nhà nghiên cứu an ninh mạng đã phát hiện ra lỗ hổng leo thang đặc quyền trong Google Cloud có thể cho phép các tác nhân độc hại giả mạo image ứng dụng và lây nhiễm cho người dùng, dẫn đến các cuộc tấn công chuỗi cung ứng.
Theo công ty bảo mật cloud Orca, công ty đã phát hiện và báo cáo sự cố, sự cố có tên là Bad.Build bắt nguồn từ dịch vụ Google Cloud Build .
Bằng cách lạm dụng lỗ hổng và cho phép mạo danh dịch vụ Cloud Build mặc định, kẻ tấn công có thể dùng image trong Google Artifact Registry và tiêm mã độc.
Bất kỳ ứng dụng nào được xây dựng từ các image bị dùng sau đó đều bị ảnh hưởng và nếu các ứng dụng không đúng định dạng được triển khai trên môi trường của khách hàng, rủi ro sẽ chuyển từ môi trường của tổ chức cung cấp sang môi trường của khách hàng của họ, tạo thành rủi ro chuỗi cung ứng lớn
Google đã đưa ra một bản sửa lỗi một phần không loại bỏ vector leo thang đặc quyền, mô tả đây là sự cố có mức độ nghiêm trọng thấp. Khách hàng không cần thực hiện thêm hành động nào.
Lỗ hổng bắt nguồn từ việc Cloud Build tự động tạo tài khoản dịch vụ mặc định để thay mặt người dùng thực hiện các bản dựng cho một dự án. Cụ thể, tài khoản dịch vụ đi kèm với các quyền quá mức ("logging.privateLogEntries.list"), cho phép truy cập vào nhật ký kiểm tra chứa danh sách đầy đủ tất cả các quyền đối với dự án.
Tạo điều kiện thuận lợi cho mở rộng tấn công và leo thang đặc quyền trong môi trường. Biết tài khoản GCP nào có thể thực hiện hành động nào, tương đương với việc giải một mảnh ghép tuyệt vời về cách khởi động một cuộc tấn công.
notion image
Khi làm như vậy, kẻ xấu có thể lạm dụng quyền "cloudbuild.builds.create" đã có được bằng các cách khác để mạo danh tài khoản dịch vụ Google Cloud Build và có được các đặc quyền nâng cao, trích xuất một image đang được sử dụng bên trong Google Kubernetes Engine (GKE) và thay đổi nó để tích hợp phần mềm độc hại.
Sau khi image độc hại được triển khai, kẻ tấn công có thể khai thác nó và chạy mã trên docker container với quyền root.
Bản vá do Google đưa ra sẽ thu hồi quyền logging.privateLogEntries.list từ tài khoản dịch vụ Cloud Build, do đó ngăn chặn quyền truy cập liệt kê nhật ký riêng tư theo mặc định.
Đây không phải là lần đầu tiên các lỗi leo thang đặc quyền ảnh hưởng đến Google Cloud Platform được báo cáo. Vào năm 2020, Gitlab, Rhino Security Labs và Praetorian đã nêu chi tiết các kỹ thuật khác nhau có thể bị khai thác để xâm phạm môi trường đám mây.
Khách hàng nên theo dõi hành vi của tài khoản dịch vụ Google Cloud Build mặc định để phát hiện mọi hành vi nguy hiểm có thể xảy ra cũng như áp dụng nguyên tắc đặc quyền tối thiểu (PoLP) để giảm thiểu rủi ro có thể xảy ra.
Báo cáo của Orca
Nguồn 🔗 TheHackerNews

9. Hacker biến máy chủ Microsoft Exchange thành trung tâm kiểm soát phần mềm độc hại

Microsoft và Ukraine CERT cảnh báo về các cuộc tấn công mới của nhóm hacker Turla do nhà nước Nga tài trợ, nhắm mục tiêu vào ngành công nghiệp quốc phòng và các máy chủ Microsoft Exchange bằng một malware backdoor mới là 'DeliveryCheck'.
Turla, hay còn gọi là Secret Blizzard, KRYPTON và UAC-0003, được cho là một tác nhân advanced persistent threat (APT) có liên kết với Cơ quan An ninh Liên bang Nga (FSB).
Nhóm hacker có liên quan đến một loạt các cuộc tấn công chống lại các lợi ích của phương Tây trong những năm qua, bao gồm phần mềm gián điệp botnet Snake gần đây đã bị phá vỡ trong một hoạt động thực thi pháp luật quốc tế có tên là Chiến dịch MEDUSA.
Nhắm mục tiêu vào Microsoft Exchange
Trong một báo cáo được CERT-UA và Microsoft công bố, các nhà nghiên cứu phác thảo một cuộc tấn công mới trong đó các tác nhân đe dọa Turla nhắm vào khu vực phòng thủ ở Ukraine và Đông Âu.
Các cuộc tấn công bắt đầu bằng các email lừa đảo có chứa tệp đính kèm Excel XLSM có chứa macro độc hại. Khi được kích hoạt, các macro này sẽ thực thi lệnh PowerShell, tạo tác vụ theo lịch trình đóng giả trình cập nhật trình duyệt Firefox.
Tuy nhiên, tác vụ này tải xuống backdoor DeliveryCheck (còn được gọi là CapiBar và GAMEDAY) và khởi chạy nó trong bộ nhớ, nơi nó kết nối với máy chủ command and control của tác nhân đe dọa để nhận lệnh thực thi hoặc triển khai các payloads phần mềm độc hại khác.
Microsoft nói rằng các tải trọng phần mềm độc hại này được nhúng và khởi chạy từ các stylesheets XSLT.
Luồng tấn công mang phần mềm độc hại DeliveryCheck
notion image
Sau khi lây nhiễm các thiết bị, các tác nhân đe dọa sử dụng backdoor để lấy dữ liệu từ các thiết bị bị xâm nhập bằng công cụ Rclone.
Điều khiến DeliveryCheck trở nên nổi bật là một thành phần phía máy chủ Microsoft Exchange giúp biến máy chủ thành máy chủ command and control cho các tác nhân đe dọa.
Microsoft cho biết thành phần này được cài đặt bằng Cấu hình trạng thái mong muốn (Desired State Configuration), một module PowerShell cho phép quản trị viên tạo cấu hình máy chủ được tiêu chuẩn hóa và áp dụng nó cho các thiết bị.
Tính năng này thường được sử dụng để tạo một mẫu cấu hình mặc định mà sau đó có thể được sử dụng để tự động định cấu hình nhiều thiết bị có cùng cài đặt.
Các tác nhân đe dọa sử dụng DSC để tự động tải tệp thực thi Windows được mã hóa base64 để chuyển đổi máy chủ Exchange hợp pháp thành máy chủ phân phối phần mềm độc hại.
Thành phần phía máy chủ Microsoft Exchange của DeliveryCheck
notion image
Trong cuộc tấn công, Microsoft và CERT-UA cũng thấy Turla bỏ backdoor đánh cắp thông tin KAZUAR, một "bộ cấy Secret Blizzard đầy đủ tính năng".
Phần mềm độc hại này là một công cụ gián điệp mạng cho phép những kẻ đe dọa khởi chạy javascript trên thiết bị, đánh cắp dữ liệu từ nhật ký sự kiện, đánh cắp thông tin về các tệp hệ thống và đánh cắp mã thông báo xác thực, cookie và thông tin đăng nhập từ nhiều chương trình khác nhau, bao gồm cả trình duyệt, FTP client, phần mềm VPN, KeePass, Azure, AWS và Outlook.
"Tác nhân đe dọa đặc biệt nhắm đến việc lọc các tệp chứa tin nhắn từ ứng dụng nhắn tin Signal Desktop phổ biến, ứng dụng này sẽ cho phép tác nhân đọc các cuộc hội thoại Signal riêng tư, cũng như tài liệu, hình ảnh và tệp lưu trữ trên các hệ thống được nhắm mục tiêu", theo nhóm Microsoft Threat Intelligence
CERT-UA cho biết họ đã chia sẻ các mẫu phần mềm độc hại mới với các công ty an ninh mạng để hỗ trợ phát hiện.
Tuy nhiên, tại thời điểm này, chỉ có 14/70 nhà cung cấp trên VirusTotal phát hiện thấy mẫu DeliveryCheck đã gửi là phần mềm độc hại, điều này có thể sẽ tăng lên theo từng ngày.
Báo cáo của CERT-UA
Nguồn 🔗 BleepingComputer

10. Hàng nghìn thông tin đăng nhập OpenAI bị đánh cắp để bán trên dark web

Nhiều kẻ tấn công đang thể hiện sự quan tâm ngày càng tăng đối với các công cụ trí tuệ nhân tạo, với hàng trăm nghìn thông tin đăng nhập OpenAI được rao bán trên web đen và quyền truy cập vào một giải pháp thay thế độc hại cho ChatGPT.
Cả tội phạm mạng ít kỹ năng và dày dạn kinh nghiệm đều có thể sử dụng các công cụ này để tạo email lừa đảo thuyết phục hơn, được tùy chỉnh cho đối tượng mục tiêu nhằm tăng cơ hội tấn công thành công.
Tin tặc xâm nhập vào GPT AI
Trong sáu tháng, người dùng dark web và Telegram đã đề cập đến ChatGPT, chatbot trí tuệ nhân tạo của OpenAI, hơn 27.000 lần, hiển thị dữ liệu từ  Flare.
Phân tích các diễn đàn và thị trường dark web, các nhà nghiên cứu của Flare nhận thấy rằng thông tin đăng nhập OpenAI là một trong những mặt hàng mới nhất hiện có.
Các nhà nghiên cứu đã xác định được hơn 200.000 thông tin đăng nhập OpenAI được rao bán trên dark web dưới dạng stealer logs.
So với ước tính 100 triệu người dùng đang hoạt động vào tháng 1, con số này có vẻ không đáng kể nhưng điều đó cho thấy rằng những kẻ đe dọa nhìn thấy trong các công cụ AI tổng quát có tiềm năng cho hoạt động độc hại.
Một báo cáo vào tháng 6 từ công ty an ninh mạng Group-IB cho biết các thị trường bất hợp pháp trên dark web đã giao dịch nhật ký từ phần mềm độc hại đánh cắp thông tin chứa hơn 100.000 tài khoản ChatGPT.
Mối quan tâm của tội phạm mạng đối với các tiện ích này đã được khơi dậy đến mức một trong số chúng đã phát triển một bản sao ChatGPT có tên là WormGPT và huấn luyện nó trên dữ liệu tập trung vào phần mềm độc hại.
Công cụ này được quảng cáo là “giải pháp thay thế GPT tốt nhất cho mũ đen” và giải pháp thay thế ChatGPT “cho phép bạn thực hiện tất cả các loại nội dung bất hợp pháp”.
Công cụ được nhà phát triển WormGPT quảng bá trên diễn đàn tội phạm mạng
notion image
WormGPT dựa trên mô hình ngôn ngữ lớn mã nguồn mở GPT-J được phát triển vào năm 2021 để tạo ra văn bản giống con người. Nhà phát triển của nó nói rằng họ đã đào tạo công cụ này trên một bộ dữ liệu đa dạng, tập trung vào dữ liệu liên quan đến phần mềm độc hại nhưng không đưa ra gợi ý nào về các bộ dữ liệu cụ thể.
WormGPT cho thấy khả năng tấn công BEC
Nhà cung cấp bảo mật email SlashNext đã có thể truy cập vào WormGPT và thực hiện một số thử nghiệm để xác định mối nguy hiểm tiềm tàng mà nó gây ra.
Trọng tâm của các nhà nghiên cứu là tạo ra các thông báo phù hợp với các cuộc tấn công thỏa hiệp email doanh nghiệp (BEC).
Trong một thử nghiệm, hướng dẫn WormGPT tạo một email nhằm gây áp lực buộc người quản lý tài khoản không nghi ngờ thanh toán một hóa đơn gian lận .
Kết quả WormGPT đã tạo ra một email không chỉ có sức thuyết phục đáng kể mà còn rất xảo quyệt về mặt chiến lược, cho thấy tiềm năng của nó đối với các cuộc tấn công BEC và lừa đảo tinh vi.
WormGPT tạo thông điệp thuyết phục cho nguồn tấn công BEC
notion image
Phân tích kết quả, các nhà nghiên cứu của SlashNext đã xác định những lợi thế mà AI có thể mang lại cho một cuộc tấn công BEC: ngoài “ngữ pháp hoàn hảo” mang lại tính hợp pháp cho thông điệp, nó còn có thể cho phép những kẻ tấn công kém kỹ năng hơn thực hiện các cuộc tấn công trên mức độ tinh vi của chúng.
Mặc dù việc bảo vệ chống lại mối đe dọa mới nổi này có thể khó khăn, nhưng các công ty có thể chuẩn bị bằng cách đào tạo nhân viên cách xác minh các thông báo yêu cầu sự chú ý khẩn cấp, đặc biệt là khi có yếu tố tài chính.
Việc cải thiện quy trình xác minh email cũng sẽ được đáp ứng bằng các cảnh báo cho thư bên ngoài tổ chức hoặc bằng cách gắn cờ các từ khóa thường liên quan đến cuộc tấn công BEC.
Báo cáo của Group-IB
Nghiên cứu của SlashNext
Nguồn 🔗 BleepingComputer

11. Worm P2PInfect mới đang nhắm mục tiêu vào Redis server trên hệ thống Linux và Windows

notion image
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một loại sâu mạng peer-to-peer (P2P) nhắm mục tiêu vào hạ tầng cloud mới có tên là P2PInfect, nhắm mục tiêu vào các phiên bản Redis dễ bị tổn thương để khai thác.
"P2PInfect khai thác các máy chủ Redis chạy trên cả Hệ điều hành Linux và Windows khiến nó có khả năng mở rộng và mạnh hơn các loại sâu khác", William Gamazo và Nathaniel Quist, nhà nghiên cứu của Unit42 Palo Networks. "Worm này cũng được viết bằng Rust, một ngôn ngữ lập trình thân thiện với cloud và có khả năng mở rộng cao."
Người ta ước tính rằng có tới 934 hệ thống Redis duy nhất có thể dễ bị tấn công bởi mối đe dọa này. Phiên bản đầu tiên của P2PInfect được phát hiện vào ngày 11 tháng 7 năm 2023.
Một đặc điểm đáng chú ý là khả năng lây nhiễm các phiên bản Redis dễ bị tấn công bằng cách khai thác lỗ hổng thoát khỏi Lua sandbox quan trọng, CVE-2022-0543 (điểm CVSS: 10.0), lỗ hổng này trước đây đã bị khai thác để phân phối nhiều dòng phần mềm độc hại như Muhstik , Redigo , và HeadCrab trong năm qua.
Quyền truy cập ban đầu có được nhờ khai thác thành công sau đó được tận dụng để phân phối dropper payload thiết lập giao tiếp peer-to-peer (P2P) với mạng P2P lớn hơn và tìm nạp các tệp nhị phân độc hại bổ sung, bao gồm cả phần mềm quét để truyền phần mềm độc hại sang các máy chủ Redis bị lộ và SSH.
Phiên bản bị nhiễm sau đó sẽ tham gia mạng P2P để cung cấp quyền truy cập vào các payload khác cho các phiên bản Redis bị xâm nhập trong tương lai.
notion image
Phần mềm độc hại này cũng sử dụng tập lệnh PowerShell để thiết lập và duy trì liên lạc giữa máy chủ bị xâm nhập và mạng P2P, cung cấp quyền truy cập liên tục cho các tác nhân đe dọa. Windows flavor của P2PInfect kết hợp một thành phần Monitor để tự cập nhật và khởi chạy phiên bản mới.
Hiện vẫn chưa biết mục tiêu cuối cùng của chiến dịch là gì, Unit 42 lưu ý rằng không có bằng chứng rõ ràng nào về việc tấn công tiền điện tử mặc dù có từ "miner" trong mã nguồn của bộ công cụ.
Hoạt động này không được quy cho bất kỳ nhóm tác nhân đe dọa đã biết nào nổi tiếng với việc tấn công môi trường đám mây như Adept Libra (hay còn gọi là TeamTNT ), Aged Libra (hay còn gọi là Rocke ), Automated Libra (hay còn gọi là PURPLEURCHIN ), Money Libra (hay còn gọi là Kinsing ), Returned Libra (hay còn gọi là 8220 Gang ), hoặc Thief Libra (hay còn gọi là WatchDog ).
Sự phát triển diễn ra khi các tài nguyên cloud dễ bị cấu hình sai và dễ bị phát hiện trong vòng vài phút bởi những kẻ xấu liên tục scan internet để thực hiện các cuộc tấn công tinh vi.
Sâu P2PInfect dường như được thiết kế tốt với một số lựa chọn phát triển hiện đại. Việc thiết kế và xây dựng mạng P2P để thực hiện tự động lan truyền phần mềm độc hại không phải là điều thường thấy trong bối cảnh mối đe dọa nhắm mục tiêu trên đám mây hoặc tiền điện tử.
Nghiên cứu của Unit42, Orca
Nguồn 🔗 TheHackerNews

12. Các cuộc tấn công DangerousPassword nhắm vào môi trường Windows, macOS và Linux của nhà phát triển

Vào cuối tháng 5 năm 2023, JPCERT/CC đã xác nhận một cuộc tấn công nhắm vào các nhà phát triển của các doanh nghiệp trao đổi tiền điện tử và nó được coi là có liên quan đến nhóm tấn công được nhắm mục tiêu DangerousPassword (còn gọi là CryptoMimic hoặc SnatchCrypto), đã liên tục tấn công kể từ tháng 6 năm 2019. Cuộc tấn công này nhắm vào các môi trường Windows, macOS và Linux có cài đặt Python và Node.js trên máy. 
Các cuộc tấn công trong môi trường Windows bắt đầu từ phần mềm độc hại Python
Kẻ tấn công chèn mã độc vào tệp có tên builder.py trong module Python ( https://github.com/mnooner256/pyqrcode ), tệp này dùng để xử lý mã QR. Kẻ tấn công sau đó phân phối nó cho mục tiêu theo một cách nào đó. Mục tiêu thực thi tệp mà không biết về mã độc. Do đó, phần mềm độc hại bổ sung được tải xuống và lây nhiễm vào máy. 
Luồng tấn công trong môi trường Windows khi phần mềm độc hại Python được thực thi. Phần mềm độc hại Python này chạy trong môi trường Windows, macOS và Linux, đồng thời nó kiểm tra thông tin hệ điều hành và thay đổi quy trình lây nhiễm tùy thuộc vào nó. 
notion image
Luồng tấn công trong môi trường Windows bắt đầu từ phần mềm độc hại Python
Phần mềm độc hại Python là phần mềm độc hại loại trình tải xuống đơn giản được tải xuống và thực thi các tệp MSI từ nguồn bên ngoài. Đặc trưng bởi việc sử dụng ROT13 rộng rãi để xáo trộn các chuỗi C2 và các chuỗi khác được sử dụng.
notion image
Một phần của mã builder.py nơi chức năng độc hại được thực thi
Luồng lây nhiễm sau khi tải xuống tệp MSI khá giống với “Các cuộc tấn công bằng cách gửi các tệp CHM độc hại từ LinkedIn” được mô tả trong bài đăng trên blog Xu hướng tấn công liên quan đến Mật khẩu nguy hiểm . Sau khi tệp MSI được thực thi, tập lệnh Powershell bị loại bỏ được sử dụng để tải xuống và thực thi tệp MSI bổ sung từ nguồn bên ngoài. Ngoài ra, điều đặc biệt là giao tiếp với máy chủ C2 xảy ra mỗi phút vì hoạt động từ tải xuống đến thực thi được đăng ký trong bộ lập lịch tác vụ sẽ được thực hiện mỗi phút. Mẫu bổ sung của tệp MSI được tải xuống bởi tập lệnh Powershell mã hóa tên người dùng, hệ điều hành và thông tin xử lý của thiết bị bị nhiễm trong BASE64 và gửi nó đến máy chủ C2.
JPCERT/CC cũng đã xác nhận các trường hợp tệp MSI khác được tải xuống, khác với tệp MSI chỉ có chức năng gửi thông tin. Khi một tệp MSI khác được thực thi, nó sẽ thả một tệp DLL có tên devobj.dll, sao chép rdpclip.exe, một chương trình Windows OS tiêu chuẩn thực hiện các hoạt động liên quan đến khay nhớ tạm, từ thư mục hệ thống Windows sang thư mục đích và thực thi nó. Phần mềm độc hại được thực thi khi devobj.dll là DLL được tải sẵn vào rdpclip.exe. Khi rdpclip.exe được thực thi, thông tin C2 được mã hóa BASE64 được chỉ định làm đối số.
devobj.dll sử dụng HTTPS để tải xuống tệp PE từ C2, sau đó nó giải nén và thực thi tệp trên bộ nhớ. Hình 3 cho thấy một phần của mã. Mã của devobj.dll bị VMProtect làm xáo trộn, nhưng ngoài ra, nó có đặc điểm là được thực thi trong khi phân giải động các Windows API dựa trên các chuỗi và một số hàm vô nghĩa được gọi với mục đích làm cho mã khó đọc.
notion image
Một phần code của devobj.dll
Các cuộc tấn công trong môi trường macOS và Linux bắt đầu từ phần mềm độc hại Python
Luồng tấn công trong môi trường macOS và Linux khi phần mềm độc hại Python được thực thi. Các chuỗi được mã hóa BASE64 được chèn vào builder.py. Trong môi trường macOS và Linux, các chuỗi này được giải mã, lưu dưới dạng tệp có tên log.tmp, sau đó được thực thi dưới dạng tệp Python.
notion image
Luồng tấn công trong môi trường macOS và Linux bắt đầu từ phần mềm độc hại Python
notion image
Các chuỗi được mã hóa BASE64 được chèn vào builder.py Một phần mã trong log.tmp đã giải mã. Trong môi trường macOS và Linux, ID người dùng được tạo dựa trên các giá trị ngẫu nhiên và thông tin môi trường hệ điều hành được gửi đến máy chủ C2 mỗi phút. Sau đó, dữ liệu nhận được từ máy chủ C2 được giải mã BASE64, được lưu dưới dạng tệp có tên tmp.py, rồi được thực thi dưới dạng tệp Python. Có một số chuỗi phản hồi và yêu cầu liên quan đến git.
notion image
Một phần mã trong log.tmp đã giải mã
JPCERT/CC đã xác nhận PythonHTTPBackdoor, đây có thể là mẫu được tải xuống trong giai đoạn tiếp theo của cuộc tấn công này. PythonHTTPBackdoor là phần mềm độc hại với các lệnh đơn giản được hiển thị trong Bảng. Nó có đặc điểm là có chức năng phát hiện môi trường hệ điều hành và các lệnh được thực thi hơi khác nhau tùy thuộc vào môi trường. Một số chuỗi yêu cầu và tên tệp được tạo của phần mềm độc hại được mã hóa ROT13 có liên quan đến git giống như của log.tmp. Điều này cho thấy rằng phần mềm độc hại nhắm mục tiêu rõ ràng đến các nhà phát triển sử dụng git.
Bảng: Các lệnh của PythonHTTPBackdoor và hệ điều hành được hỗ trợ
Mã cmd
nội dung
Hệ điều hành mục tiêu
"501"
Truy xuất thông tin mạng và xử lý
Windows, Linux, macOS
"502"
lệnh thực thi
Windows, Linux, macOS
"503"
Tải xuống và thực hiện
Linux, macOS
"504"
Lối ra
Windows, Linux, macOS
notion image
Một phần mã PythonHTTPBackdoor
Giống như PythonHTTPBackdoor, JPCERT/CC cũng đã xác định phần mềm độc hại Mach-O có tên là JokerSpy như một mẫu thứ cấp có thể có trong môi trường macOS.
Tấn công bằng phần mềm độc hại Node.js
JPCERT/CC cũng đã xác nhận phần mềm độc hại Node.js có liên quan đến cuộc tấn công này. Kẻ tấn công chèn mã độc vào một tệp có tên route.js trong thư mục thư viện của express ( https://expressjs.com ), là một framework Node.js và phần mềm độc hại Node.js có tên request.js được đặt trong cùng một thư mục. Tương tự như cuộc tấn công bằng phần mềm độc hại Python, bằng cách thực thi tệp mà mục tiêu không biết về mã độc hại, phần mềm độc hại bổ sung sẽ được tải xuống và lây nhiễm vào máy. route.js và request.js chứa các đường dẫn tệp sau, bao gồm tên thư mục “NodeJs_Test.” Phương thức phân phối của các tệp này hiện chưa được biết.
NodeJs_Test\Realtime-ChatApp\node_modules\express\lib\router\route.js
NodeJs_Test\Realtime-ChatApp\node_modules\express\lib\router\request.js
Về luồng tấn công, mục tiêu thực thi một tệp có tên route.js, sau đó request.js được thực thi. request.js là phần mềm độc hại dạng trình tải xuống đơn giản lưu tệp nhận được từ máy chủ C2 dưới dạng server.js rồi thực thi nó.
notion image
Luồng tấn công với phần mềm độc hại Node.js
Một phần của mã route.js. Mã để thực thi request.js trên cùng một thư mục được chèn vào cuối tệp.
notion image
Một phần mã route.js giả mạo
Một phần của mã request.js. Giống như phần mềm độc hại Python, phần mềm độc hại Node.js gửi thông tin hệ điều hành và UID được tạo ngẫu nhiên đến máy chủ C2 mỗi phút. Đây là phần mềm độc hại dạng trình tải xuống đơn giản BASE64 giải mã dữ liệu nhận được từ C2 và thực thi nó.
Nó khác với phần mềm độc hại Python ở chỗ các chuỗi không bị xáo trộn bằng ROT13 hoặc BASE64. Tuy nhiên, nó có thể đã được sử dụng trong những ngày đầu của cuộc tấn công này nhắm vào các nhà phát triển, vì tệp được cập nhật lần cuối vào ngày 3 tháng 3 năm 2023. Nó cũng tương tự như phần mềm độc hại Python ở chỗ nó nhắm mục tiêu vào các nhà phát triển, bao gồm nhiều chuỗi liên quan đến git .
notion image
Một phần mã request.js
Nhóm tấn công DangerousPassword nhắm mục tiêu vào môi trường nhà phát triển với nhiều nền tảng khác nhau. Các nhà phát triển phần mềm nên cẩn thận, đảm bảo sử dụng các framework và module bên ngoài từ các kho lưu trữ hợp pháp. 
Nguồn 🔗 JPCERT/CC