VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 3 - Tháng 9 - 2023

date
Sep 18, 2023
slug
tin-tuc-attt-tuan-3-thang-9-nam-2023
author
status
Public
tags
News
Ransomware
Daily
Blog
Git
Docs
Github
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 3 tháng 9 - 2023 (18/9-23/9)
type
Post
thumbnail
microsoft-azure.webp
category
News
updatedAt
Sep 22, 2023 10:34 AM
1. Microsoft rò rỉ 38 Terabyte dữ liệu riêng tư thông qua Azure storage không bảo mật2. Tin tặc tấn công các nhà cung cấp dịch vụ viễn thông bằng phần mềm độc hại HTTPSnoop mới3. Tin tặc Transparent Tribe APT36 lây nhiễm các thiết bị Android bằng cách sử dụng ứng dụng YouTube giả mạo để phát tán phần mềm độc hại CapraRAT4. Khai thác PoC WinRAR giả mạo trên GitHub lây nhiễm VenomRAT cho người dùng5. Backdoor SprySOCKS Linux mới được sử dụng trong các cuộc tấn công gián điệp mạng6. Chiến dịch lừa đảo tinh vi nhắm mục tiêu người dùng Trung Quốc bằng ValleyRAT và Gh0st RAT7. Bên trong mã của biến thể XWorm mới

1. Microsoft rò rỉ 38 Terabyte dữ liệu riêng tư thông qua Azure storage không bảo mật

Bộ phận nghiên cứu AI của Microsoft đã vô tình làm rò rỉ hàng chục terabyte dữ liệu nhạy cảm bắt đầu từ tháng 7 năm 2020 khi đang đóng góp các mô hình học tập AI nguồn mở cho kho lưu trữ GitHub công khai.
notion image
Wiz cho biết, vụ rò rỉ được phát hiện trên kho lưu trữ AI GitHub của công ty và được cho là đã vô tình bị công khai khi xuất bản một nhóm dữ liệu đào tạo nguồn mở. Nó cũng bao gồm một bản sao lưu đĩa của máy trạm của hai nhân viên cũ chứa khóa bí mật, mật khẩu cho các dịch vụ của Microsoft và hơn 30.000 tin nhắn nội bộ của Microsoft Teams có nguồn gốc từ 359 nhân viên Microsoft.
Kho lưu trữ có tên " Robust-models-transfer " không thể truy cập được nữa. Trước khi bị gỡ bỏ, nó đã giới thiệu mã nguồn và các mô hình học máy liên quan đến một bài nghiên cứu năm 2020 có tiêu đề "Do Adversarially Robust ImageNet Models Transfer Better?"
Việc lộ dữ liệu xảy ra do SAS token quá dễ dãi – một tính năng Azure cho phép người dùng chia sẻ dữ liệu theo cách vừa khó theo dõi vừa khó thu hồi.
Khi được sử dụng đúng cách, token Shared Access Signature (SAS) sẽ cung cấp một phương tiện an toàn để cấp quyền truy cập được ủy quyền vào các tài nguyên trong tài khoản lưu trữ của bạn.
Điều này bao gồm kiểm soát chính xác quyền truy cập dữ liệu của khách hàng, chỉ định các tài nguyên mà họ có thể tương tác, xác định các quyền của họ liên quan đến các tài nguyên này và xác định thời hạn hiệu lực của token SAS.
Do thiếu giám sát và quản trị, mã thông báo SAS gây ra rủi ro bảo mật và việc sử dụng chúng phải hạn chế nhất có thể. Những token này rất khó theo dõi vì Microsoft không cung cấp cách tập trung để quản lý chúng trong cổng Azure.
Ngoài ra, các token này có thể được định cấu hình để tồn tại hiệu quả mãi mãi mà không có giới hạn trên về thời gian hết hạn. Do đó, việc sử dụng token Tài khoản SAS để chia sẻ ra bên ngoài là không an toàn và nên tránh.
notion image
Cụ thể, tệp README.md của kho lưu trữ đã hướng dẫn các nhà phát triển tải xuống các mô hình từ URL Bộ lưu trữ Azure vô tình cũng cấp quyền truy cập vào toàn bộ tài khoản lưu trữ, do đó làm lộ thêm dữ liệu riêng tư.
Ngoài phạm vi truy cập quá mức cho phép, mã thông báo cũng bị định cấu hình sai để cho phép các quyền” kiểm soát hoàn toàn “thay vì chỉ đọc”. "Có nghĩa là, kẻ tấn công không chỉ có thể xem tất cả các tệp trong tài khoản lưu trữ mà còn có thể xóa và ghi đè các tệp hiện có.
notion image
Microsoft cho biết không tìm thấy bằng chứng nào về việc dữ liệu khách hàng bị lộ và không có dịch vụ nội bộ nào khác gặp rủi ro vì vấn đề này. Windows đã thu hồi token SAS và chặn tất cả quyền truy cập từ bên ngoài vào tài khoản lưu trữ Azure.
notion image
Báo cáo của Wiz
Nguồn 🔗 TheHackerNews, BleepingComputer

2. Tin tặc tấn công các nhà cung cấp dịch vụ viễn thông bằng phần mềm độc hại HTTPSnoop mới

Phần mềm độc hại mới có tên HTTPSnoop và PipeSnoop được sử dụng trong các cuộc tấn công mạng nhằm vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông, cho phép các tác nhân đe dọa thực thi lệnh từ xa trên các thiết bị bị nhiễm.
Phần mềm độc hại HTTPSnoop giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để thực thi nội dung trên điểm cuối bị nhiễm dựa trên các URL HTTP(S) cụ thể, đồng thời PipeSnoop chấp nhận và thực thi shellcode tùy ý từ một pipe được đặt tên.
Theo báo cáo của Cisco Talos , hai thiết bị cấy ghép thuộc cùng một nhóm xâm nhập có tên là 'ShroudedSnooper' nhưng phục vụ các mục tiêu hoạt động khác nhau về mức độ xâm nhập.
Cả hai thiết bị cấy ghép đều được ngụy trang thành các thành phần bảo mật của sản phẩm Cortex XDR của Palo Alto Networks để tránh bị phát hiện.Thông tin Cortex XDR giả mạo (Cisco)
Thông tin Cortex XDR giả mạo (Cisco)
Thông tin Cortex XDR giả mạo (Cisco)
HTTPSnoop
HTTPSnoop sử dụng API Windows cấp thấp để giám sát lưu lượng HTTP(S) trên thiết bị bị nhiễm để tìm các URL cụ thể. Khi bị phát hiện, phần mềm độc hại sẽ giải mã dữ liệu được mã hóa base64 đến từ các URL đó và chạy dưới dạng shellcode trên máy chủ bị xâm nhập.
Bộ cấy, kích hoạt trên hệ thống đích thông qua chiếm quyền điều khiển DLL, bao gồm hai thành phần: shellcode giai đoạn 2 để thiết lập backdoor máy chủ web thông qua lệnh gọi kernel và cấu hình của nó.
HTTPSnoop thiết lập một vòng nghe chờ các yêu cầu HTTP đến và xử lý dữ liệu hợp lệ khi đến; nếu không, nó sẽ trả về chuyển hướng HTTP 302.
Shellcode nhận được sẽ được giải mã và thực thi, đồng thời kết quả thực thi được trả về cho kẻ tấn công dưới dạng các đốm màu được mã hóa XOR, mã hóa base64.
Việc cấy ghép cũng đảm bảo không có xung đột URL với các URL được định cấu hình trước đó trên máy chủ.
Cisco đã thấy ba biến thể của HTTPSnoop, mỗi biến thể sử dụng các mẫu nghe URL khác nhau. Cái đầu tiên lắng nghe các yêu cầu dựa trên URL HTTP chung, cái thứ hai dành cho các URL bắt chước Dịch vụ web Microsoft Exchange và cái thứ ba dành cho các URL mô phỏng LBS/OfficeTrack và các ứng dụng điện thoại của OfficeCore.
Các biến thể này được lấy mẫu từ ngày 17 tháng 4 đến ngày 29 tháng 4 năm 2023, trong đó biến thể gần đây nhất có số lượng URL nghe được ít nhất, có khả năng tăng khả năng tàng hình.
Việc bắt chước các mẫu URL hợp pháp từ Dịch vụ web Microsoft Exchange và OfficeTrack khiến các yêu cầu độc hại gần như không thể phân biệt được với lưu lượng truy cập lành tính.
URL HTTPSnoop được định cấu hình để lắng nghe (Cisco)
URL HTTPSnoop được định cấu hình để lắng nghe (Cisco)
PipeSnoop
Cisco lần đầu tiên phát hiện ra bộ cấy PipeSnoop vào tháng 5 năm 2023, hoạt động như một cửa sau thực thi tải trọng shellcode trên các điểm cuối bị vi phạm thông qua các đường ống Windows IPC (Giao tiếp giữa các quá trình).
Các nhà phân tích lưu ý rằng trái ngược với HTTPSnoop, dường như nhắm mục tiêu vào các máy chủ công khai, PipeSnoop phù hợp hơn cho các hoạt động sâu trong các mạng bị xâm nhập.
Cisco cũng lưu ý rằng bộ cấy cần một thành phần cung cấp shellcode. Tuy nhiên, các nhà phân tích của nó đã không thể xác định được nó.
Các nhà cung cấp dịch vụ viễn thông thường trở thành mục tiêu của các tác nhân đe dọa được nhà nước bảo trợ do vai trò quan trọng của họ trong việc vận hành cơ sở hạ tầng quan trọng và chuyển tiếp thông tin cực kỳ nhạy cảm qua mạng.
Sự gia tăng gần đây trong các cuộc tấn công do nhà nước bảo trợ nhằm vào các thực thể viễn thông nhấn mạnh nhu cầu cấp thiết phải tăng cường các biện pháp an ninh và hợp tác quốc tế để bảo vệ chúng.
Nguồn 🔗 BleepingComputer

3. Tin tặc Transparent Tribe APT36 lây nhiễm các thiết bị Android bằng cách sử dụng ứng dụng YouTube giả mạo để phát tán phần mềm độc hại CapraRAT

Nhóm hack APT36, hay còn gọi là 'Transparent Tribe', đã bị phát hiện khi sử dụng ít nhất ba ứng dụng Android giả mạo YouTube để lây nhiễm trojan truy cập từ xa (RAT) - CapraRAT đặc trưng của chúng vào các thiết bị.
Sau khi phần mềm độc hại được cài đặt trên thiết bị của nạn nhân, nó có thể thu thập dữ liệu, ghi lại âm thanh và video hoặc truy cập thông tin liên lạc nhạy cảm, về cơ bản hoạt động giống như một công cụ phần mềm gián điệp.
APT36 là một kẻ đe dọa liên kết với Pakistan, được biết đến với việc sử dụng các ứng dụng Android độc hại hoặc có liên kết để tấn công các cơ quan chính phủ và quốc phòng Ấn Độ, những người giải quyết các vấn đề của khu vực Kashmir và các nhà hoạt động nhân quyền ở Pakistan cho mục đích thu thập thông tin tình báo, dựa vào kho công cụ có khả năng xâm nhập vào các hệ thống Windows, Linux và Android.
Chiến dịch mới nhất này được SentinelLabs phát hiện , chiến dịch này cảnh báo những người và tổ chức có liên quan đến quân sự hoặc ngoại giao ở Ấn Độ và Pakistan phải hết sức cảnh giác với các ứng dụng YouTube Android được lưu trữ trên các trang web của bên thứ ba.
Mạo danh YouTube
Các APK độc hại được phân phối bên ngoài Google Play, cửa hàng ứng dụng chính thức của Android, vì vậy rất có thể nạn nhân đã được thiết kế để tải xuống và cài đặt chúng.
Các APK này đã được tải lên VirusTotal vào tháng 4, tháng 7 và tháng 8 năm 2023, trong đó hai tệp APK được gọi là "YouTube" và một tệp APK là "Piya Sharma" được liên kết với kênh của một nhân vật có thể được sử dụng trong các chiến thuật dựa trên tình cảm lãng mạn.
Danh sách các ứng dụng như sau:
  • com.Base.media.service
  • com.moves.media.tubes
  • com.videos.watchs.share
Trong quá trình cài đặt, các ứng dụng phần mềm độc hại yêu cầu nhiều quyền nguy hiểm, một số quyền mà nạn nhân có thể xử lý mà không nghi ngờ gì đối với ứng dụng truyền phát phương tiện như YouTube.
CapraRAT là một công cụ có tính xâm lấn cao, cho phép kẻ tấn công kiểm soát phần lớn dữ liệu trên các thiết bị Android mà nó lây nhiễm.
Quyền được yêu cầu trong quá trình cài đặt (SentinelLabs)
Quyền được yêu cầu trong quá trình cài đặt (SentinelLabs)
Giao diện của các ứng dụng độc hại cố gắng bắt chước ứng dụng YouTube thực của Google, nhưng nó giống một trình duyệt web hơn là ứng dụng gốc do sử dụng WebView từ bên trong ứng dụng bị trojan hóa để tải dịch vụ. Ngoài ra, nó còn thiếu một số tính năng có sẵn trên nền tảng thực tế.
Giao diện của ứng dụng giả mạo (SentinelLabs)
Giao diện của ứng dụng giả mạo (SentinelLabs)
Khi CapraRAT được thiết lập và chạy trên thiết bị, nó sẽ thực hiện các hành động sau:
  • Ghi âm bằng micro, camera trước và sau
  • Thu thập nội dung tin nhắn SMS, tin nhắn đa phương tiện, nhật ký cuộc gọi
  • Gửi tin nhắn SMS, chặn SMS đến
  • Bắt đầu cuộc gọi điện thoại
  • Chụp ảnh màn hình
  • Ghi đè cài đặt hệ thống như GPS & Mạng
  • Sửa đổi tập tin trên hệ thống tập tin của điện thoại
SentinelLabs báo cáo rằng các biến thể CapraRAT được phát hiện trong chiến dịch gần đây có những cải tiến về tính năng so với các mẫu được phân tích trước đó, cho thấy sự phát triển liên tục.
Về phân bổ, các địa chỉ máy chủ C2 (ra lệnh và kiểm soát) mà CapraRAT giao tiếp được mã hóa cứng trong tệp cấu hình của ứng dụng và được liên kết với các hoạt động của Transparent Tribe trước đây.
Một số địa chỉ IP được SentinelLabs truy xuất được liên kết với các chiến dịch RAT khác, mặc dù mối quan hệ chính xác giữa các tác nhân đe dọa và những địa chỉ đó vẫn chưa rõ ràng.
Tóm lại, Transparent Tribe tiếp tục các hoạt động gián điệp mạng ở Ấn Độ và Pakistan, sử dụng Android RAT đặc trưng của mình, hiện được cải trang thành YouTube, thể hiện sự tiến hóa và khả năng thích ứng.
SentinelLabs nhận thấy rằng mặc dù khả năng bảo mật hoạt động yếu kém của nhóm đe dọa khiến các chiến dịch và công cụ của họ dễ dàng bị xác định, nhưng việc liên tục triển khai các ứng dụng mới mang lại cho họ lợi thế khó nắm bắt, liên tục tiếp cận các nạn nhân tiềm năng mới.
Nguồn 🔗 BleepingComputer

4. Khai thác PoC WinRAR giả mạo trên GitHub lây nhiễm VenomRAT cho người dùng

Một hacker đã phát tán khai thác PoC cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm cho những người dùng đã tải xuống mã bằng phần mềm độc hại VenomRAT.
PoC giả mạo dành cho  lỗ hổng CVE-2023-40477 , một lỗ hổng thực thi mã tùy ý có thể được kích hoạt khi các tệp RAR được chế tạo đặc biệt được mở trên WinRAR trước phiên bản 6.23.
Sáng kiến Zero Day của Trend Micro đã phát hiện và tiết lộ lỗ hổng cho WinRAR vào ngày 8 tháng 6 năm 2023, nhưng không tiết lộ công khai cho đến ngày 17 tháng 8 năm 2023. WinRAR đã sửa lỗ hổng trong phiên bản 6.23 được phát hành vào ngày 2 tháng 8.
Một kẻ đe dọa hoạt động dưới tên "whalersplonk" đã di chuyển nhanh chóng (4 ngày) để tận dụng cơ hội bằng cách phát tán phần mềm độc hại dưới chiêu bài mã khai thác lỗ hổng WinRAR mới.
“Red teamer” cảnh báo về PoC độc hại trên Twitter
“Red teamer” cảnh báo về PoC độc hại trên Twitter
Kẻ đe dọa đã bao gồm một bản tóm tắt trong tệp README và một video có thể phát trực tuyến trình bày cách sử dụng PoC, điều này đã bổ sung thêm tính hợp pháp cho gói độc hại.
Unit42 báo cáo rằng tập lệnh Python PoC giả mạo thực chất là một bản sửa đổi của một cách khai thác được công bố rộng rãi cho một lỗ hổng khác, CVE-2023-25157 , một lỗ hổng chèn SQL nghiêm trọng ảnh hưởng đến GeoServer.
PoC thực (trái) và tập lệnh sửa đổi (phải) (Unit42)
PoC thực (trái) và tập lệnh sửa đổi (phải) (Unit42)
Khi được thực thi, thay vì chạy khai thác, PoC sẽ tạo một tập lệnh batch tải xuống tập lệnh PowerShell được mã hóa và thực thi nó trên máy chủ.
Tập lệnh đó tải xuống phần mềm độc hại VenomRAT và tạo một tác vụ theo lịch trình để chạy nó ba phút một lần.
Tập lệnh Python, trái ngược với việc chạy PoC, tiếp cận một máy chủ từ xa (checkblacklistwords[.]eu) để tìm nạp một tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT. Nó đi kèm với khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân điều khiển (94.156.253[.]109).
Nhiễm VenomRAT
Khi VenomRAT được khởi chạy trên thiết bị Windows, nó sẽ thực thi một trình ghi nhật ký phím để ghi lại tất cả các lần nhấn phím và ghi chúng vào một tệp văn bản được lưu trữ cục bộ.
Tiếp theo, phần mềm độc hại thiết lập liên lạc với máy chủ C2, từ đó nó nhận được một trong 9 lệnh sau để thực thi trên thiết bị bị nhiễm:
  1. plu_gin: Kích hoạt plugin được lưu trữ trong registry.
  1. HVNCStop: Tắt tiến trình "cvtres".
  1. Loadofflinelog: Gửi dữ liệu nhật ký khóa ngoại tuyến từ %APPDATA%.
  1. save_Plugin: Lưu plugin vào registry theo ID phần cứng.
  1. Runningapp: Hiển thị các tiến trình đang hoạt động.
  1. keylogsetting: Cập nhật tệp nhật ký khóa trong %APPDATA%.
  1. init_reg: Xóa các khóa con trong registry Phần mềm theo ID phần cứng.
  1. Po_ng: Đo thời gian giữa một PING tới máy chủ C2 và nhận lệnh này.
  1. filterinfo: Liệt kê các ứng dụng đã cài đặt và các quy trình đang hoạt động từ registry.
Vì phần mềm độc hại có thể được sử dụng để triển khai các tải trọng khác và đánh cắp thông tin xác thực nên bất kỳ ai thực thi PoC giả mạo này đều phải thay đổi mật khẩu cho tất cả các trang web và môi trường mà họ có tài khoản.
Dòng thời gian của các sự kiện được Unit42 chia sẻ cho thấy rằng kẻ đe dọa đã chuẩn bị kỹ lưỡng cơ sở hạ tầng cho cuộc tấn công và tải trọng trước khi lỗ hổng WinRAR được tiết lộ công khai và sau đó chờ đợi thời điểm thích hợp để tạo ra một PoC lừa đảo.
Điều này ngụ ý rằng trong tương lai, kẻ tấn công tương tự có thể tận dụng sự chú ý ngày càng cao của cộng đồng bảo mật đối với các lỗ hổng mới được tiết lộ để phổ biến các PoC gây hiểu lầm khác nhằm tìm ra các lỗ hổng khác nhau.
PoC giả trên GitHub là một cuộc tấn công được ghi chép đầy đủ, trong đó các tác nhân đe dọa nhắm vào các tội phạm và nhà nghiên cứu bảo mật khác.
Vào cuối năm 2022, các nhà nghiên cứu đã phát hiện  hàng nghìn kho lưu trữ GitHub  quảng bá hoạt động khai thác PoC gian lận để tìm các lỗ hổng khác nhau, cùng với một số phần mềm độc hại đang triển khai, tập lệnh PowerShell độc hại, trình tải xuống kẻ đánh cắp thông tin được che giấu và trình thả Cobalt Strike.
Gần đây hơn, vào tháng 6 năm 2023, những kẻ tấn công đóng giả là nhà nghiên cứu an ninh mạng đã phát hành một s  hoạt động khai thác giả mạo 0 day nhắm vào các hệ thống Linux và Windows bằng phần mềm độc hại.
Báo cáo của Unit42 Palo Alto Networks
Nguồn 🔗 BleepingComputer

5. Backdoor SprySOCKS Linux mới được sử dụng trong các cuộc tấn công gián điệp mạng

Một hacker có liên quan đến Trung Quốc được theo dõi là 'Earth Lusca' đã được quan sát thấy nhắm mục tiêu vào các cơ quan chính phủ ở nhiều quốc gia, bằng cách sử dụng một backdoor Linux mới có tên là 'SprySOCKS'.
Phân tích của Trend Micro về cửa hậu mới cho thấy nó bắt nguồn từ phần mềm độc hại mã nguồn mở Trochilus của Windows, với nhiều chức năng của nó được chuyển sang hoạt động trên các hệ thống Linux.
Tuy nhiên, phần mềm độc hại này dường như là sự kết hợp của nhiều phần mềm độc hại vì giao thức truyền thông của máy chủ điều khiển và lệnh (C2) SprySOCKS tương tự như RedLeaves, một backdoor của Windows. Ngược lại, việc triển khai shell tương tác dường như bắt nguồn từ Derusbi, một phần mềm độc hại trên Linux.
Chuỗi lây nhiễm bắt đầu bằng việc khai thác các lỗ hổng bảo mật đã biết trong Fortinet công khai (CVE-2022-39952 và CVE-2022-40684), GitLab (CVE-2021-22205), Microsoft Exchange Server (ProxyShell), Progress Telerik UI (CVE -2019-18935) và các máy chủ Zimbra (CVE-2019-9621 và CVE-2019-9670) để thả web shell và cung cấp Cobalt Strike để di chuyển theo chiều ngang.
Cuộc tấn công Earth Lusca
Earth Lusca vẫn hoạt động trong suốt nửa đầu năm, nhắm vào các cơ quan chính phủ chủ chốt tập trung vào các vấn đề đối ngoại, công nghệ và viễn thông ở Đông Nam Á, Trung Á, Balkan và trên toàn thế giới.
Báo cáo của Trend Micro cho thấy các nỗ lực khai thác đối với một số lỗi thực thi mã từ xa không được xác thực kéo dài n ngày từ năm 2019 đến năm 2022, ảnh hưởng đến các điểm cuối tiếp xúc với Internet.
Các lỗ hổng được Earth Lusca tận dụng để truy cập lần đầu (Trend Micro)
Các lỗ hổng được Earth Lusca tận dụng để truy cập lần đầu (Trend Micro)
Những lỗ hổng này được khai thác để thả các cảnh báo Cobalt Strike, cho phép truy cập từ xa vào mạng bị vi phạm. Quyền truy cập này được sử dụng để phát tán ngang trên mạng trong khi lọc các tệp, đánh cắp thông tin xác thực tài khoản và triển khai các tải trọng bổ sung, như  ShadowPad .
Những kẻ đe dọa cũng sử dụng beacons Cobalt Strike để loại bỏ trình tải SprySOCKS, một biến thể của trình tiêm ELF Linux có tên là "mandibule", xuất hiện trên các máy mục tiêu dưới dạng tệp có tên 'libmonitor.so.2.'
Các nhà nghiên cứu của Trend Micro cho biết những kẻ tấn công đã điều chỉnh hàm dưới cho phù hợp với nhu cầu của chúng, nhưng theo cách hơi vội vàng, để lại các thông báo và biểu tượng gỡ lỗi.
Trình tải chạy dưới tên "kworker/0:22" để tránh bị phát hiện bằng cách giống với một luồng worker Linux kernel, giải mã tải trọng giai đoạn thứ hai (SprySOCKS) và thiết lập sự tồn tại lâu dài trên máy tính bị nhiễm.
Quy trình kworker giả mạo (Trend Micro)
Quy trình kworker giả mạo (Trend Micro)
Khả năng của SprySOCKS
Cửa hậu SprySOCKS sử dụng khung mạng hiệu suất cao được gọi là 'HP-Socket' để hoạt động, trong khi giao tiếp TCP của nó với C2 được mã hóa AES-ECB.
Các chức năng cửa sau chính của phần mềm độc hại mới này bao gồm:
  • Thu thập thông tin hệ thống (chi tiết hệ điều hành, bộ nhớ, địa chỉ IP, tên nhóm, ngôn ngữ, CPU),
  • Khởi động một trình shell tương tác sử dụng hệ thống con PTY,
  • Liệt kê các kết nối mạng,
  • Quản lý cấu hình proxy SOCKS,
  • Thực hiện các thao tác cơ bản với tệp (tải lên, tải xuống, liệt kê, xóa, đổi tên và tạo thư mục.)
Phần mềm độc hại cũng tạo ID khách hàng (số nạn nhân) bằng cách sử dụng địa chỉ MAC của giao diện mạng được liệt kê đầu tiên và một số tính năng của CPU, sau đó chuyển đổi nó thành chuỗi thập lục phân 28 byte.
Báo cáo của Trend Micro đã lấy mẫu hai phiên bản SprySOCKS, v1.1 và v.1.3.6, cho thấy phần mềm độc hại đang phát triển tích cực.
Ưu tiên được khuyến nghị dành cho các tổ chức là áp dụng các bản cập nhật bảo mật có sẵn trên các sản phẩm máy chủ công khai, trong trường hợp này sẽ ngăn chặn sự xâm phạm ban đầu từ Earth Lusca.
Nguồn 🔗 BleepingComputer

6. Chiến dịch lừa đảo tinh vi nhắm mục tiêu người dùng Trung Quốc bằng ValleyRAT và Gh0st RAT

notion image
Những người nói tiếng Trung Quốc ngày càng trở thành mục tiêu của nhiều chiến dịch lừa đảo qua email nhằm phân phối nhiều dòng phần mềm độc hại khác nhau như Sainbox RAT, Purple Fox và một trojan mới có tên ValleyRAT.
“Các chiến dịch bao gồm dụ dỗ bằng tiếng Trung Quốc và phần mềm độc hại thường liên quan đến hoạt động tội phạm mạng của Trung Quốc”
Hoạt động này được quan sát từ đầu năm 2023, bao gồm việc gửi email chứa URL trỏ đến các tệp thực thi được nén chịu trách nhiệm cài đặt phần mềm độc hại. Các chuỗi lây nhiễm khác đã được phát hiện lợi dụng các tệp đính kèm Microsoft Excel và PDF nhúng các URL này để kích hoạt hoạt động độc hại.
Các chiến dịch này thể hiện sự khác biệt trong việc sử dụng cơ sở hạ tầng, tên miền của người gửi, nội dung email, nhắm mục tiêu và tải trọng, cho thấy các cụm mối đe dọa khác nhau đang gia tăng các cuộc tấn công.
Hơn 30 chiến dịch như vậy đã được phát hiện vào năm 2023 sử dụng phần mềm độc hại thường liên quan đến hoạt động tội phạm mạng của Trung Quốc. Kể từ tháng 4 năm 2023, không dưới 20 chiến dịch trong số đó được cho là đã phát tán Sainbox, một biến thể của trojan Gh0st RAT còn được gọi là FatalRAT.
Proofpoint cho biết họ đã xác định được ít nhất ba chiến dịch khác phát tán phần mềm độc hại Purple Fox và sáu chiến dịch bổ sung phát tán một loại phần mềm độc hại mới có tên là ValleyRAT, chiến dịch sau bắt đầu vào ngày 21 tháng 3 năm 2023.
ValleyRAT, được công ty an ninh mạng Trung Quốc Qi An Xin ghi lại lần đầu tiên vào tháng 2 năm 2023, được viết bằng C++ và chứa các chức năng thường thấy trong các trojan truy cập từ xa, chẳng hạn như tìm nạp và thực thi các tải trọng bổ sung (DLL và tệp nhị phân) được gửi từ máy chủ từ xa và liệt kê các quy trình đang chạy , trong số những người khác.
Mặc dù Gh0st RAT đã được sử dụng rộng rãi trong nhiều chiến dịch mạng khác nhau có liên quan đến Trung Quốc trong những năm qua, nhưng sự xuất hiện của ValleyRAT cho thấy nó có thể được triển khai rộng rãi trong tương lai.
Sự gia tăng hoạt động của phần mềm độc hại bằng tiếng Trung Quốc cho thấy sự mở rộng của hệ sinh thái phần mềm độc hại của Trung Quốc, thông qua việc tăng tính khả dụng hoặc dễ dàng truy cập vào tải trọng và danh sách mục tiêu, cũng như khả năng gia tăng hoạt động của các nhà điều hành tội phạm mạng nói tiếng Trung Quốc.
Gh0stRAT / Sainbox
Gh0stRAT là RAT được phát hiện lần đầu tiên vào năm 2008. Công cụ xây dựng RAT này có sẵn trực tuyến. Mã nguồn cũng được cung cấp công khai và nhiều sửa đổi khác nhau đã được thực hiện đối với Gh0stRAT trong nhiều năm bởi nhiều tác giả và kẻ đe dọa, bao gồm cả các biến thể phân nhánh như Sainbox. Proofpoint cũng đã quan sát thấy một số chiến dịch bằng tiếng Trung vào năm 2023 cung cấp các biến thể Gh0stRAT cũ hơn.
Gần như tất cả các chiến dịch Sainbox được quan sát đều sử dụng mồi nhử theo chủ đề hóa đơn để giả mạo các công ty lập hóa đơn và văn phòng Trung Quốc. Các email thường được gửi từ Outlook hoặc các địa chỉ email freemail khác và chứa URL hoặc tệp đính kèm Excel có chứa URL, được liên kết với tệp thực thi nén đã cài đặt Sainbox.
Ví dụ: vào ngày 17 tháng 5 năm 2023, Proofpoint đã quan sát thấy một chiến dịch nhắm vào hàng chục công ty, phần lớn trong số đó bao gồm những công ty thuộc lĩnh vực sản xuất và công nghệ. Các email được cho là:
Từ: "友发票 " <lwplbh@cluedk[.]com> (Hóa đơn UF”)
Với Chủ đề: 《发票信息》(“Thông tin hóa đơn”)
notion image
Mẫu email từ ngày 17 tháng 5 năm 2023 gửi Sainbox.
Những email này chứa một URL được liên kết đến tệp thực thi được nén, “26866498.exe”. Nếu được thực thi, nó sẽ dẫn đến việc cài đặt Sainbox RAT được liên kết với lệnh và điều khiển (C2) “fakaka16[.]top:3366.” Proofpoint đã quan sát gần 10 chiến dịch Sainbox RAT trong đó C2 có các biến thể của “fakaka” trong miền, đôi khi kết thúc bằng số lượng tăng dần theo thứ tự liên tiếp. Ngoài ra, “Công ty TNHH Khoa học & Công nghệ Giang Tô Bangning” chịu trách nhiệm đăng ký một số miền C2 được liên kết với tác nhân này bắt đầu bằng fakaka9[.]top vào tháng 3 năm 2023.
Purple Fox
Một chiến dịch được quan sát đã sử dụng chủ đề hóa đơn bằng tiếng Nhật nhắm mục tiêu vào các tổ chức ở Nhật Bản để phân phối tệp đính kèm LNK dạng nén dẫn đến việc cài đặt Purple Fox, trong khi những chiến dịch khác sử dụng thông báo theo chủ đề hóa đơn bằng tiếng Trung có URL dẫn đến Purple Fox.
Proofpoint không quy tất cả các chiến dịch phần mềm độc hại có chủ đề Trung Quốc cho cùng một tác nhân đe dọa tại thời điểm này, nhưng một số cụm hoạt động trùng lặp, cho thấy các tác nhân đe dọa có thể đang sử dụng cùng một cơ sở hạ tầng để phát tán nhiều dòng phần mềm độc hại.
ValleyRAT
Các email chứa URL dẫn đến một tệp thực thi được nén đã tải xuống tải trọng ValleyRAT. Các chiến dịch tiếp theo chứa các TTP tương tự, bao gồm cả việc sử dụng những người gửi thư miễn phí như Outlook, Hotmail và WeCom để phân phối các URL dẫn đến việc cài đặt ValleyRAT. Tuy nhiên, trong ít nhất một chiến dịch, RAT đã được phân phối thông qua trình tải dựa trên ngôn ngữ Rust hiện vẫn đang được điều tra. Trình tải cũng đã tải xuống một công cụ hợp pháp, EasyConnect cũng như một DLL bị nhiễm trojan mà công cụ này sẽ tải và thực thi thông qua tính năng kích hoạt thứ tự tìm kiếm DLL cao. EasyConnect là một thiết bị SSL VPN cho phép truy cập và quản lý từ xa các máy chủ Windows. Các chiến dịch tiếp theo vào tháng 6 năm 2023 cũng bao gồm các TTP tương tự.
Trong khi hầu hết các chiến dịch sử dụng mồi nhử theo chủ đề hóa đơn, Proofpoint đã quan sát thấy một chiến dịch ngoại lệ vào ngày 24 tháng 5 năm 2023 sử dụng các tệp PDF có chủ đề sơ yếu lý lịch chứa các URL mà nếu được nhấp vào sẽ tải xuống một tải trọng nén, từ xa để cài đặt ValleyRAT.
Tệp PDF thu hút được sử dụng để phân phối ValleyRAT.
Tệp PDF thu hút được sử dụng để phân phối ValleyRAT.
ValleyRAT ban đầu bắt đầu bằng việc tìm kiếm sự tồn tại của thư mục "C:\Program Files\VMware\VMware Tools" trên máy nạn nhân. Sau đó, nó tiến hành tìm kiếm các quy trình cụ thể trong thư mục đó: "VMwareService.exe", "VMwareTray.exe" và "VMwareUser.exe"
Bước tiếp theo liên quan đến việc kiểm tra xem máy tính có phải là một phần của "WORKGROUP" hay không. Sau đó, nó thực hiện kiểm tra tổng bộ nhớ vật lý để xác định xem nó có nằm dưới ngưỡng 1.173.624.064 byte hay không. 
Cuối cùng, chương trình sẽ kiểm tra xem kích thước của ổ đĩa cứng (HDD) có dưới 110GB hay không, các kiểm tra này là kiểm tra mô phỏng hoặc ảo hóa cơ bản nhằm cố gắng xác định xem tải trọng có đang được thực thi trong môi trường ảo hay không.
ValleyRAT là một RAT được viết bằng C++, được biên dịch bằng tiếng Trung Quốc và thể hiện các chức năng của một RAT cơ bản thông thường. Bảng sau đây là tổng quan về các lệnh hiện được triển khai trong đánh giá Proofpoint là phiên bản 3.0 của ValleyRAT, một đánh giá bắt nguồn từ số "phiên bản" trả về giá trị chuỗi 3.0. Khi gói thông tin hệ thống được gửi đi, C2 sẽ trả lời bằng các gói lệnh. 
Báo cáo của Proofpoint
Nguồn 🔗 TheHackerNews

7. Bên trong mã của biến thể XWorm mới

XWorm là một đại diện tương đối mới của nhóm trojan truy cập từ xa đã giành được vị trí trong số những mối đe dọa dai dẳng nhất trên toàn cầu.
Kể từ năm 2022, khi được các nhà nghiên cứu quan sát lần đầu tiên, nó đã trải qua một số cập nhật lớn giúp nâng cao đáng kể chức năng và củng cố sức mạnh bền bỉ của nó.
Nhóm phân tích tại ANY.RUN đã phát hiện ra phiên bản mới nhất của phần mềm độc hại và không thể từ chối cơ hội tách nó ra để kiểm tra cấu hình cơ chế XWorm. Đây là cách họ đã làm điều đó và những gì họ tìm thấy.
Nguồn của mẫu XWorm
Mẫu được đề cập đã được phát hiện trong cơ sở dữ liệu về phần mềm độc hại của ANY. RUN một kho lưu trữ chứa các báo cáo phân tích chi tiết về tất cả các tệp và liên kết đã được người dùng sandbox tải lên ở chế độ công khai.
Nhìn nhanh vào kết quả phân tích cho thấy mẫu ban đầu được phân phối thông qua MediaFire, một dịch vụ lưu trữ tệp. Phần mềm độc hại được đóng gói trong kho lưu trữ RAR và được bảo vệ bằng mật khẩu.
Trang MediaFire chứa liên kết tải xuống kho lưu trữ.
Trang MediaFire chứa liên kết tải xuống kho lưu trữ.
Sau khi thực thi, mối đe dọa ngay lập tức được phát hiện bởi các quy tắc của Suricata và được xác định là XWorm.
Lưu lượng truy cập của XWorm bị sandbox đánh dấu là độc hại.
Lưu lượng truy cập của XWorm bị sandbox đánh dấu là độc hại.
Chiến thuật, kỹ thuật và quy trình (TTP) của XWorm
Báo cáo sandbox nêu bật một số kỹ thuật được mẫu sử dụng:
Hoạt động của XWorm trên hệ thống bị lây nhiễm.
Hoạt động của XWorm trên hệ thống bị lây nhiễm.
MITER T1547.001: XWorm đã thêm lối tắt của nó vào thư mục Startup.
MITER T1053.005: Nó sử dụng task scheduler để tự khởi động lại với các đặc quyền nâng cao, như được biểu thị bằng tham số "/RL HIGHEST".
MITER T1074.001: Phần mềm được cài đặt trong thư mục Public.
MITER T1571: Phần mềm độc hại đã cố gắng kết nối với máy chủ từ xa nhưng không nhận được phản hồi.
Nỗ lực thất bại của XWorm trong việc trốn tránh phân tích sandbox
Vì báo cáo phân tích ban đầu đã được vài ngày nên nhóm quyết định chạy mẫu qua sandbox một lần nữa để kiểm tra các hoạt động mới.
Tuy nhiên, sau khi ra mắt, phần mềm độc hại gần như bị sập ngay lập tức. Một cuộc điều tra ngắn cho thấy rõ rằng mẫu hiện đã truy vấn một dịch vụ đặc biệt để xác định xem nó có chạy trong hộp cát ảo hay không.
Về cơ bản, các nhà phát triển XWorm đã triển khai một kỹ thuật lẩn tránh, khiến phần mềm độc hại bị tắt ngay khi nó cảm nhận được môi trường ảo hóa.
Để khắc phục điều này, nhóm đã bật Proxy Residential trong cài đặt hộp cát. Tính năng này thay thế địa chỉ IP trung tâm dữ liệu của máy ảo bằng địa chỉ IP từ ISP thực, khiến phần mềm độc hại cho rằng nó đang chạy trên máy của người dùng thực.
Residential Proxy cung cấp địa chỉ IP từ nhiều nơi
Residential Proxy cung cấp địa chỉ IP từ nhiều nơi
Sau khi chạy lại mẫu với Residential Proxy được bật, XWorm đã được thực thi thành công và bắt đầu hoạt động.
Trên hết, với sự trợ giúp của tính năng proxy MITM, có thể trích xuất thông tin được XWorm truyền tới Telegram (MITRE T1102). Dữ liệu bao gồm: phiên bản phần mềm độc hại (XWorm V3.1), tên người dùng của máy, phiên bản hệ điều hành và có thể là hàm băm của nạn nhân.
XWorm thu thập thông tin hệ thống (MITRE T1082).
XWorm thu thập thông tin hệ thống (MITRE T1082).
Phân tích tĩnh của biến thể XWorm mới
Sau khi thu thập tất cả thông tin quan trọng do hộp cát cung cấp, các nhà phân tích bắt đầu giai đoạn phân tích tĩnh trong nghiên cứu của họ. Bước đầu tiên là tải mẫu vào Detect it Easy (DIE), một tiêu chuẩn ngành để phân tích phần mềm độc hại ban đầu. Chương trình nhanh chóng xác định rằng đó là một biến thể .NET của XWorm.
DIE cung cấp cái nhìn sâu sắc về trình biên dịch của phần mềm độc hại.
DIE cung cấp cái nhìn sâu sắc về trình biên dịch của phần mềm độc hại.
Từ đó, bước hợp lý duy nhất của nhóm là mở tệp trong dnSpy, một trình gỡ lỗi .NET, trình gỡ lỗi này ngay lập tức tiết lộ rằng tệp nhị phân đã bị xáo trộn nghiêm trọng. Tuy nhiên, DIE không thể nhận ra trình đóng gói ngay cả khi sử dụng chức năng quét Heuristic.
Mã của XWorm bị xáo trộn (MITRE T1027).
Mã của XWorm bị xáo trộn (MITRE T1027).
Việc sử dụng de4dot, một trình giải mã và giải nén .NET, cũng không có bất kỳ tác dụng nào.
Thêm các kỹ thuật trốn tránh và kiên trì của XWorm
Việc điều tra sâu hơn về tệp nhị phân độc hại cho phép nhóm phát hiện ra các mảnh ghép bổ sung. Cụ thể, một số cơ chế bổ sung được phần mềm độc hại sử dụng đã được tìm thấy:
Phát hiện ảo hóa: XWorm đã sử dụng truy vấn WMI "Select * from Win32_ComputerSystem" để kiểm tra môi trường VmWare hoặc VirtualBox.
Phần mềm độc hại khai thác Windows Management Instrumentation (MITRE T1047).
Phần mềm độc hại khai thác Windows Management Instrumentation (MITRE T1047).
Phát hiện trình gỡ lỗi: Nó cũng chạy hàm API CheckRemoteDebuggerPresent để xem liệu nó có đang được gỡ lỗi hay không.
Xworm cố gắng trốn tránh việc phân tích trình gỡ lỗi.
Xworm cố gắng trốn tránh việc phân tích trình gỡ lỗi.
Phát hiện Sandboxie: Tệp nhị phân quét hệ thống để xem thư viện SbieDll.dll đã được tải chưa.
SbieDll.dll được liên kết với Sandboxie, một chương trình cách ly dựa trên sandbox.
SbieDll.dll được liên kết với Sandboxie, một chương trình cách ly dựa trên sandbox.
Kiểm tra IP trung tâm dữ liệu: Xworm truy vấn máy để xác định xem nó có được lưu trữ trong trung tâm dữ liệu hay không.
Quá trình quét IP của phần mềm độc hại giải thích lý do đằng sau sự cố ban đầu của nó.
Quá trình quét IP của phần mềm độc hại giải thích lý do đằng sau sự cố ban đầu của nó.
Tính kiên trì: XWorm đã sử dụng sổ đăng ký và bộ lập lịch tác vụ để thiết lập sự hiện diện liên tục trên hệ thống.
Đoạn mã tiết lộ khả năng sửa đổi sổ đăng ký của phần mềm độc hại.
Đoạn mã tiết lộ khả năng sửa đổi sổ đăng ký của phần mềm độc hại.
Trích xuất cấu hình của XWorm
Tiếp theo, các nhà phân tích tìm thấy một hàm tạo trông giống như một khối chứa các cài đặt. Họ đã sử dụng một hàm để gán lại một số trường của nó. Đầu tiên, phần mềm độc hại tính toán hàm băm MD5 từ một giá trị trong phần cài đặt giả định.
Sau đó, nó sao chép giá trị thu được hai lần vào một mảng tạm thời, nhưng do lỗi từng cái một, MD5 đã không được sao chép hoàn toàn hai lần. Nhóm đã sử dụng mảng thu được làm khóa để giải mã chuỗi base64 đến bằng AES ở chế độ ECB.
Họ cũng phát hiện ra rằng trường được sử dụng là một mutex. Toàn bộ quá trình được mô tả chi tiết trong bài viết trên blog của ANY.RUN " XWorm: Phân tích kỹ thuật của phiên bản phần mềm độc hại mới ".
Cấu hình của XWorm
Cấu hình hoàn chỉnh của biến thể mới của XWorm như sau:
Host
6[.]tcp.eu.ngrok[.]io
Port
13394
AES key
Slaves!-.;!2Swezy999!(xxx
Splitter
Xwormmm
Sleep time
3
USB drop file
USB.exe
Mutex
Lz8qftMH08V7f1rq
Log file
%temp%\\Log.tmp
Telegram token
6674821695:AAExQsr6_hmXk6hz7CN4kMSi9cs9y86daYM
Telegram chat id
5865520781
Sample XWorm .
Nguồn 🔗 TheHackerNews