VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 4 - Tháng 8 - 2023

date
Aug 21, 2023
slug
tin-tuc-attt-tuan-4-thang-8-nam-2023
author
status
Public
tags
News
Ransomware
Malware
Daily
Blog
Git
Docs
Github
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 4 tháng 8 - 2023 (21/8-26/8)
type
Post
thumbnail
Hacker-2.webp
category
News
updatedAt
Aug 26, 2023 01:59 PM
1. Tin tặc sử dụng chứng chỉ của nhà cung cấp VPN để ký số các phần mềm độc hại2. Ransomware Akira nhắm mục tiêu vào VPN của Cisco để xâm phạm đến các tổ chức3. Biến thể mới của phần mềm độc hại XLoader macOS được cải trang thành ứng dụng ‘OfficeNote’4. Dữ liệu bị thu thập của 2,6 triệu người dùng Duolingo bị tung lên diễn đàn hack5. Bộ công cụ Spacecolon thúc đẩy sự gia tăng về các cuộc tấn công ransomware Scarab trên toàn cầu6. Zero-day của WinRAR bị khai thác từ tháng 4 để hack tài khoản giao dịch7. Kỹ thuật mới cho phép kẻ tấn công giành được đặc quyền Windows SYSTEM8. Những mối nguy hiểm tiềm ẩn của Wi-Fi công cộng9. Mã độc lấy cắp tài khoản Facebook đang phát tán mạnh tại Việt Nam10. Phần mềm độc hại Whiffy Recon sử dụng WiFi để xác định vị trí của bạn11. Hơn 3.000 máy chủ Openfire dễ bị tấn công chiếm quyền

1. Tin tặc sử dụng chứng chỉ của nhà cung cấp VPN để ký số các phần mềm độc hại

Nhóm APT (advanced persistent threat) có liên kết với Trung Quốc được biết đến là 'Bronze Starlight’ được thấy là đang nhắm mục tiêu vào ngành cờ bạc ở khu vực Đông Nam Á bằng phần mềm độc hại được ký số bằng chứng chỉ hợp lệ do nhà cung cấp Ivacy VPN sử dụng.
Lợi ích chính của việc sử dụng chứng chỉ hợp lệ là bỏ qua các biện pháp bảo mật, tránh gây nghi ngờ với các cảnh báo hệ thống và hòa nhập với phần mềm và lưu lượng truy cập hợp pháp.
Theo SentinelLabs, chứng chỉ thuộc về PMG PTE LTD, nhà cung cấp sản phẩm VPN 'Ivacy VPN' của Singapore.
Các cuộc tấn công mạng được quan sát thấy vào tháng 3 năm 2023 có thể là giai đoạn sau của ' Chiến dịch ChattyGoblin'  mà ESET đã xác định trong báo cáo Quý 4 năm 2022 – Quý 1 năm 2023.
Tuy nhiên, SentinelLabs cho biết rất khó để liên kết với các cụm cụ thể do việc chia sẻ rộng rãi các công cụ giữa các tác nhân đe dọa Trung Quốc.
DLL side-loading
Các cuộc tấn công bắt đầu bằng việc thả các tệp thực thi .NET (agentupdate_plugins.exe và AdventureQuest.exe) trên hệ thống đích, có thể thông qua các ứng dụng trò chuyện bị trojan hóa, tìm nạp các tệp lưu trữ ZIP được bảo vệ bằng mật khẩu từ các bucket của Alibaba.
Mẫu phần mềm độc hại AdventureQuest.exe lần đầu tiên được tìm thấy bởi nhà nghiên cứu bảo mật  MalwareHunterteam  vào tháng 5 khi họ lưu ý rằng chứng chỉ ký số giống với chứng chỉ được sử dụng cho trình cài đặt Ivacy VPN chính thức.
Các kho lưu trữ này chứa các phiên bản phần mềm dễ bị tổn thương như Adobe Creative Cloud, Microsoft Edge và McAfee VirusScan, dễ bị chiếm quyền điều khiển DLL. Tin tặc Bronze Starlight sử dụng các ứng dụng dễ bị tấn công này để triển khai beacons Cobalt Strike trên các hệ thống được nhắm mục tiêu.
Các DLL độc hại (libcef.dll, msedge_elf.dll và LockDown.dll) được đóng gói bên trong kho lưu trữ cùng với các tệp thực thi chương trình hợp pháp và Windows ưu tiên thực thi chúng so với các phiên bản an toàn hơn của cùng một tệp DLL được lưu trữ trong C:\Windows\System32, do đó cho phép mã độc chạy.
Nội dung của tệp ZIP được tìm nạp từ cloud buckets
Nội dung của tệp ZIP được tìm nạp từ cloud buckets
SentinelLabs lưu ý rằng các tệp thực thi .NET có tính năng hạn chế hàng rào địa lý để ngăn phần mềm độc hại chạy ở Hoa Kỳ, Đức, Pháp, Nga, Ấn Độ, Canada hoặc Vương quốc Anh.
Các quốc gia này nằm ngoài phạm vi mục tiêu của chiến dịch này và được loại trừ để tránh bị phát hiện và phân tích. Tuy nhiên, do lỗi trong quá trình triển khai định vị địa lý, tính năng này không hoạt động.
Lạm dụng chứng chỉ hợp lệ
Một khía cạnh hấp dẫn của các cuộc tấn công được quan sát là sử dụng chứng chỉ đọc mã thuộc về PMG PTE LTD, công ty đứng sau Ivacy VPN.
Trên thực tế, cùng một chứng chỉ được sử dụng để ký  trình cài đặt Ivacy VPN chính thức  được liên kết đến từ  trang web của nhà cung cấp VPN .
Chứng chỉ ký mã được đề cập( @malwrhunterteam )
Chứng chỉ ký mã được đề cập@malwrhunterteam )
SentinelLabs đưa ra giả thuyết : “Có khả năng tại một thời điểm nào đó, khóa ký PMG PTE LTD đã bị đánh cắp – một kỹ thuật quen thuộc của các tác nhân đe dọa Trung Quốc đã biết để kích hoạt ký phần mềm độc hại” .
"Các nhà cung cấp VPN là những mục tiêu quan trọng vì chúng cho phép các tác nhân đe dọa có khả năng truy cập vào dữ liệu và thông tin liên lạc nhạy cảm của người dùng."
Nếu chứng chỉ bị đánh cắp, các nhà nghiên cứu bảo mật lo ngại về những gì khác mà các tác nhân đe dọa có quyền truy cập tại nhà cung cấp VPN.
PMG PTE LTD đã không trả lời tiết lộ này bằng một tuyên bố công khai, vì vậy cách thức chính xác mà tin tặc đã đạt được quyền truy cập vào chứng chỉ vẫn chưa rõ ràng.
Trong thời gian chờ đợi, DigiCert đã thu hồi và làm mất hiệu lực chứng chỉ vào đầu tháng 6 năm 2023 do vi phạm nguyên tắc "Baseline Requirements".
Nguồn 🔗 BleepingComputer

2. Ransomware Akira nhắm mục tiêu vào VPN của Cisco để xâm phạm đến các tổ chức

Nhiều bằng chứng cho thấy ransomware Akira nhắm mục tiêu vào các sản phẩm Cisco VPN như một phương tiện tấn công nhằm xâm phạm vào các mạng công ty, đánh và và mã hóa dữ liệu.
Ransomware Akira là một hoạt động tương đối mới được ra mắt vào tháng 3 năm 2023 sau đó đã thêm bộ mã hóa Linux để nhắm mục tiêu vào các máy ảo VMware ESXi.
Các giải pháp VPN của Cisco được áp dụng rộng rãi trong nhiều ngành nhằm cung cấp khả năng truyền dữ liệu được mã hóa, an toàn giữa người dùng và mạng công ty, thường được sử dụng bởi các nhân viên làm việc từ xa.
Akira sử dụng các tài khoản Cisco VPN bị xâm nhập để xâm nhập vào mạng công ty mà không cần cài đặt thêm các backdoor hoặc thiết lập các cơ chế lưu trữ lâu dài có thể khiến chúng bị lộ.
Akira nhắm mục tiêu vào VPN của Cisco
Sophos lần đầu tiên ghi nhận hành vi lạm dụng tài khoản VPN của Akira vào tháng 5, khi các nhà nghiên cứu tuyên bố rằng nhóm ransomware đã xâm nhập vào mạng bằng cách sử dụng "VPN access using Single Factor authentication.”
Chuyên gia ứng phó sự cố gọi là ‘Aura’ đã chia sẻ thêm thông tin trên Twitter về cách họ ứng phó với nhiều sự cố Akira được thực hiện bằng tài khoản Cisco VPN không được bảo vệ bằng xác thực đa yếu tố.
notion image
Aura tuyên bố rằng do thiếu đăng nhập vào Cisco ASA nên vẫn chưa rõ liệu Akira có brute-forced thông tin đăng nhập tài khoản VPN hay không hay họ đã mua chúng trên thị trường web đen.
Một báo cáo của SentinelOne WatchTower tập trung vào cùng một phương thức tấn công cho thấy khả năng Akira khai thác một lỗ hổng không xác định trong phần mềm Cisco VPN có thể bỏ qua xác thực khi không có MFA.
SentinelOne đã tìm thấy bằng chứng về việc Akira sử dụng cổng VPN của Cisco trong dữ liệu bị rò rỉ được đăng trên trang tống tiền của nhóm và quan sát thấy các đặc điểm liên quan đến VPN của Cisco trong ít nhất tám trường hợp, cho thấy đây là một phần trong chiến lược tấn công đang diễn ra của nhóm ransomware.
Đặc điểm Cisco VPN được thấy trong tám cuộc tấn công của Akira
Đặc điểm Cisco VPN được thấy trong tám cuộc tấn công của Akira
Truy cập RustDesk từ xa
Ngoài ra, các nhà phân tích của SentinelOne WatchTower đã quan sát thấy Akira sử dụng công cụ truy cập từ xa nguồn mở RustDesk để điều hướng các mạng bị xâm nhập, khiến chúng trở thành nhóm ransomware đầu tiên được biết là lạm dụng phần mềm.
Vì RustDesk là một công cụ hợp pháp nên sự hiện diện của nó không có khả năng gây ra bất kỳ cảnh báo nào, do đó, nó có thể cung cấp quyền truy cập từ xa lén lút vào các máy tính bị vi phạm.
Các lợi ích khác phát sinh từ việc sử dụng RustDesk bao gồm:
  • Hoạt động đa nền tảng trên Windows, macOS và Linux, bao trùm toàn bộ phạm vi nhắm mục tiêu của Akira.
  • Các kết nối P2P được mã hóa và do đó ít có khả năng bị các công cụ giám sát lưu lượng mạng gắn cờ hơn.
  • Hỗ trợ truyền tệp có thể hỗ trợ lọc dữ liệu, hợp lý hóa bộ công cụ của Akira.
Các TTP khác được SentinelOne quan sát thấy trong các cuộc tấn công mới nhất của Akira bao gồm truy cập và thao tác cơ sở dữ liệu SQL, vô hiệu hóa tường lửa và bật RDP, vô hiệu hóa LSA Protection và vô hiệu hóa Windows Defender.
Những thay đổi không mấy tinh vi này được thực hiện sau khi những kẻ tấn công thiết lập sự hiện diện của chúng trong môi trường và sẵn sàng tiến tới giai đoạn cuối của cuộc tấn công.
Vào cuối tháng 6 năm 2023, Avast đã phát hành bộ giải mã miễn phí cho phần mềm ransomware Akira. Tuy nhiên, kể từ đó, những kẻ đe dọa đã vá bộ mã hóa của chúng và công cụ của Avast sẽ chỉ giúp đỡ những nạn nhân sử dụng phiên bản cũ hơn.
Nguồn 🔗 BleepingComputer

3. Biến thể mới của phần mềm độc hại XLoader macOS được cải trang thành ứng dụng ‘OfficeNote’

notion image
Một biến thể mới của phần mềm độc hại macOS của Apple có tên là XLoader giả mạo các tính năng độc hại dưới vỏ bọc của một ứng dụng văn phòng “OfficeNote”.
Các nhà nghiên cứu bảo mật của SentinelOne cho biết phiên bản mới của XLoader được gói bên trong một disk image tiêu chuẩn của Apple với tên OfficeNote.dmg. Ứng dụng bên trong được ký bằng chữ ký của nhà phát triển MAIT JAKHU (54YDV8NU9C).
XLoader được phát hiện lần đầu tiên vào năm 2020, được coi là phiên bản kế thừa của Formbook và là một công cụ đánh cắp thông tin và keylogger được cung cấp theo mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS). Một biến thể macOS của phần mềm độc hại đã xuất hiện vào tháng 7 năm 2021, được phân phối dưới dạng chương trình Java dưới dạng tệp .JAR đã biên dịch.
“Những tệp như vậy yêu cầu Java Runtime Environment và vì lý do đó, tệp .jar độc hại sẽ không thực thi trên bản cài đặt macOS ngay lập tức, vì Apple đã ngừng cung cấp JRE cho máy Mac hơn một thập kỷ trước” theo SentinelOne
Phiên bản mới nhất của XLoader khắc phục hạn chế này bằng cách chuyển sang các ngôn ngữ lập trình như C và Objective C, với tệp disk image được ký vào ngày 17 tháng 7 năm 2023. Kể từ đó, Apple đã thu hồi chữ ký đó.
notion image
SentinelOne cho biết họ đã phát hiện phần mềm nhiều lần được gửi trên VirusTotal trong suốt tháng 7 năm 2023, cho thấy một chiến dịch lan rộng.
Các nhà nghiên cứu cho biết: “Các quảng cáo trên các diễn đàn về phần mềm tội phạm cung cấp phiên bản Mac cho thuê với giá 199 USD/tháng hoặc 299 USD/3 tháng. Điều này tương đối đắt so với các biến thể Windows của XLoader, có giá 59 đô la/tháng và 129 đô la/3 tháng."
Sau khi được thực thi, OfficeNote sẽ đưa ra một thông báo lỗi cho biết "không thể mở được vì không thể tìm thấy mục gốc", nhưng trên thực tế, nó sẽ cài đặt Launch Agent ở chế độ nền để duy trì.
XLoader được thiết kế để thu thập dữ liệu clipboard cũng như thông tin được lưu trữ trong các thư mục được liên kết với các trình duyệt web như Google Chrome và Mozilla Firefox. Tuy nhiên, Safari không được nhắm mục tiêu.
Bên cạnh việc thực hiện các bước để trốn tránh phân tích bằng các giải pháp thủ công và tự động, phần mềm độc hại còn được định cấu hình để chạy các lệnh sleep nhằm trì hoãn việc thực thi và tránh đưa ra bất kỳ cảnh báo đỏ nào.
XLoader tiếp tục là mối đe dọa đối với người dùng macOS và doanh nghiệp.
Lần mới nhất này giả dạng một ứng dụng văn phòng cho thấy mục tiêu quan tâm rõ ràng là người dùng trong môi trường làm việc. Phần mềm độc hại cố gắng đánh cắp các bí mật của trình duyệt và clipboard để có thể sử dụng hoặc bán cho các tác nhân đe dọa khác để xâm phạm thêm.
Phân tích của SentinelOne
Nguồn 🔗 TheHackerNews

4. Dữ liệu bị thu thập của 2,6 triệu người dùng Duolingo bị tung lên diễn đàn hack

Dữ liệu thu thập được của 2,6 triệu người dùng DuoLingo đã bị rò rỉ trên một diễn đàn hack, cho phép các tác nhân đe dọa thực hiện các cuộc tấn công lừa đảo có chủ đích bằng cách sử dụng thông tin bị lộ.
Duolingo là một trong những trang web học ngôn ngữ lớn nhất thế giới, với hơn 74 triệu người dùng hàng tháng trên toàn thế giới.
Vào tháng 1 năm 2023, ai đó đã bán dữ liệu thu thập được của 2,6 triệu người dùng DuoLingo trên diễn đàn hack Breached hiện đã ngừng hoạt động với giá 1.500 đô la.
Dữ liệu này bao gồm hỗn hợp thông tin đăng nhập công khai và tên thật cũng như thông tin không công khai, bao gồm địa chỉ email và thông tin nội bộ liên quan đến dịch vụ DuoLingo.
Mặc dù tên thật và tên đăng nhập được công khai trong hồ sơ Duolingo của người dùng, địa chỉ email đáng lo ngại hơn vì chúng cho phép dữ liệu công khai này được sử dụng trong các cuộc tấn công.
Dữ liệu Duolingo bán trên một diễn đàn hack
Dữ liệu Duolingo bán trên một diễn đàn hack
Khi dữ liệu được rao bán, DuoLingo đã xác nhận với  TheRecord  rằng dữ liệu đã được lấy từ thông tin hồ sơ công khai và họ đang điều tra xem có nên thực hiện thêm các biện pháp phòng ngừa hay không.
Tuy nhiên, Duolingo đã không đề cập đến thực tế là các địa chỉ email cũng được liệt kê trong dữ liệu, đây không phải là thông tin công khai .
Được phát hiện lần đầu tiên bởi  VX-Underground , tập dữ liệu thu thập được gồm 2,6 triệu người dùng đã được phát hành trên phiên bản mới của diễn đàn hack Breached với 8 trang web, trị giá chỉ 2,13 USD.
"Today I have uploaded the Duolingo Scrape for you to download, thanks for reading and enjoy!", một bài đăng trên diễn đàn hack viết.
Dữ liệu của Duolingo bị rò rỉ miễn phí
Dữ liệu của Duolingo bị rò rỉ miễn phí
Dữ liệu này được thu thập bằng cách sử dụng giao diện lập trình ứng dụng (API) được chia sẻ công khai ít nhất kể từ tháng 3 năm 2023, với các nhà nghiên cứu đã tweet và  ghi lại công khai  cách sử dụng API.
API cho phép mọi người gửi tên người dùng và truy xuất đầu ra JSON có chứa thông tin hồ sơ công khai của người dùng. Tuy nhiên, cũng có thể cung cấp địa chỉ email vào API và xác nhận xem địa chỉ đó có được liên kết với tài khoản DuoLingo hợp lệ hay không.
BleepingComputer đã xác nhận rằng API này vẫn được cung cấp công khai cho bất kỳ ai trên web, ngay cả sau khi việc lạm dụng API này được báo cáo cho DuoLingo vào tháng 1.
API này cho phép trình quét cung cấp hàng triệu địa chỉ email, có khả năng bị lộ trong các vụ vi phạm dữ liệu trước đó, vào API và xác nhận xem chúng có thuộc tài khoản DuoLingo hay không. Những địa chỉ email này sau đó được sử dụng để tạo tập dữ liệu chứa thông tin công khai và không công khai.
Một tác nhân đe dọa khác đã chia sẻ thông tin API của riêng họ, chỉ ra rằng các tác nhân đe dọa muốn sử dụng dữ liệu trong các cuộc tấn công lừa đảo nên chú ý đến các trường cụ thể cho biết người dùng DuoLingo có nhiều quyền hơn người dùng thông thường và do đó trở thành mục tiêu có giá trị hơn.
Các công ty có xu hướng coi dữ liệu bị loại bỏ không phải là vấn đề vì hầu hết dữ liệu đã được công khai.
Tuy nhiên, khi dữ liệu công khai được trộn lẫn với dữ liệu riêng tư, chẳng hạn như số điện thoại và địa chỉ email, điều đó có xu hướng khiến thông tin bị lộ trở nên rủi ro hơn và có khả năng vi phạm luật bảo vệ dữ liệu.
Ví dụ: vào năm 2021,  Facebook đã bị rò rỉ lớn  sau khi lỗi API "Add Friend bị lạm dụng để liên kết số điện thoại với tài khoản Facebook của 533 triệu người dùng. Ủy ban bảo vệ dữ liệu Ireland (data protection commission-DPC) sau đó đã phạt Facebook 265 triệu euro (275,5 triệu USD) vì vụ rò rỉ dữ liệu này.
Gần đây hơn, một  lỗi API của Twitter đã được sử dụng để lấy  dữ liệu công khai và địa chỉ email của hàng triệu người dùng,  dẫn đến một cuộc điều tra  của DPC.
Nguồn 🔗 BleepingComputer

5. Bộ công cụ Spacecolon thúc đẩy sự gia tăng về các cuộc tấn công ransomware Scarab trên toàn cầu

notion image
Một bộ công cụ độc hại có tên Spacecolon đang được triển khai như một phần của chiến dịch đang diễn ra nhằm phát tán các biến thể của ransomware Scarab trên khắp các tổ chức nạn nhân trên toàn cầu.
Nhà nghiên cứu bảo mật ESET “Nó có thể tìm đường vào các tổ chức nạn nhân bằng cách các nhà điều hành xâm phạm các máy chủ web dễ bị tấn công hoặc thông qua thông tin xác thực brute force RDP”.
Công ty an ninh mạng Slovakia, được mệnh danh là tác nhân đe dọa CosmicBeetle, cho biết nguồn gốc của Spacecolon bắt đầu từ tháng 5 năm 2020. Tỷ lệ nạn nhân tập trung cao nhất được phát hiện ở Pháp, Mexico, Ba Lan, Slovakia, Tây Ban Nha và Thổ Nhĩ Kỳ.
Mặc dù nguồn gốc chính xác của đối thủ không rõ ràng, một số biến thể Spacecolon được cho là có chứa các chuỗi tiếng Thổ Nhĩ Kỳ, có khả năng chỉ ra sự tham gia của một nhà phát triển nói tiếng Thổ Nhĩ Kỳ. Hiện tại không có bằng chứng nào liên kết nó với bất kỳ nhóm đe dọa nào khác đã biết.
Một số mục tiêu bao gồm một bệnh viện và khu du lịch ở Thái Lan, một công ty bảo hiểm ở Israel, một tổ chức chính quyền địa phương ở Ba Lan, một nhà cung cấp dịch vụ giải trí ở Brazil, một công ty môi trường ở Thổ Nhĩ Kỳ và một trường học ở Mexico.
CosmicBeetle không chọn mục tiêu của mình; thay vào đó, nó tìm thấy các máy chủ có bản cập nhật bảo mật quan trọng bị thiếu và khai thác điều đó để có lợi cho mình.
notion image
Điều đáng chú ý là Spacecolon lần đầu tiên được công ty Ba Lan Zaufana Trzecia Strona ghi lại vào đầu tháng 2 năm 2023, có khả năng khiến đối thủ phải điều chỉnh kho vũ khí của mình để đáp lại những tiết lộ công khai.
Thành phần chính của Spacecolon là ScHackTool, một công cụ điều phối có trụ sở tại Delhi được sử dụng để triển khai trình cài đặt, đúng như tên gọi của nó, cài đặt ScService, một backdoor có các tính năng để thực thi các lệnh tùy chỉnh, tải xuống và thực thi tải trọng cũng như truy xuất thông tin hệ thống từ các thiết bị bị xâm nhập.
ScHackTool cũng có chức năng như một đường dẫn để thiết lập một loạt các công cụ của bên thứ ba được tìm nạp từ máy chủ từ xa (193.149.185[.]23). Mục tiêu cuối cùng của các cuộc tấn công là tận dụng quyền truy cập mà ScService cung cấp để cung cấp một biến thể của ransomware Scarab .
Một phiên bản thay thế của chuỗi lây nhiễm được ESET xác định yêu cầu sử dụng Impacket để triển khai ScService thay vì sử dụng ScHackTool, cho thấy những kẻ đe dọa đang thử nghiệm các phương pháp khác nhau.
Động cơ tài chính của CosmicBeetle càng được củng cố bởi thực tế là tải trọng ransomware cũng thả phần mềm độc hại clipper để giữ các tab trên bảng tạm hệ thống và sửa đổi địa chỉ ví tiền điện tử thành những địa chỉ dưới sự kiểm soát của kẻ tấn công.
notion image
Hơn nữa, có bằng chứng cho thấy kẻ thù đang tích cực phát triển một chủng ransomware mới có tên là ScRansom, cố gắng mã hóa tất cả các ổ đĩa cứng, di động và từ xa bằng thuật toán AES-128 bằng khóa được tạo từ một chuỗi mã hóa cứng .
CosmicBeetle không nỗ lực nhiều để che giấu phần mềm độc hại của mình và để lại nhiều dấu vết trên các hệ thống bị xâm nhập. Các kỹ thuật chống phân tích hoặc chống mô phỏng được triển khai rất ít hoặc không có. ScHackTool chủ yếu dựa vào GUI của nó, nhưng đồng thời, chứa một số nút không hoạt động.
"Người vận hành CosmicBeetle sử dụng ScHackTool chủ yếu để tải xuống các công cụ bổ sung được lựa chọn cho các máy bị xâm nhập và chạy chúng khi họ thấy phù hợp."
Nguồn 🔗 TheHackerNews

6. Zero-day của WinRAR bị khai thác từ tháng 4 để hack tài khoản giao dịch

Lỗ hổng zero-day của WinRar được theo dõi là CVE-2023-38831 đã bị khai thác tích cực để cài đặt phần mềm độc hại khi nhấp vào các tệp vô hại trong kho lưu trữ, cho phép tin tặc xâm nhập các tài khoản giao dịch tiền điện tử trực tuyến.
Lỗ hổng này đã được khai thác tích cực kể từ tháng 4 năm 2023, giúp phát tán nhiều dòng phần mềm độc hại khác nhau, bao gồm DarkMe, GuLoader và Remcos RAT.
Lỗ hổng zero-day của WinRAR cho phép kẻ đe dọa tạo các kho lưu trữ .RAR và .ZIP độc hại hiển thị các tệp dường như vô hại, chẳng hạn như hình ảnh JPG (.jpg), tệp văn bản (.txt) hoặc tài liệu PDF (.pdf).
Tuy nhiên, khi người dùng mở tài liệu, lỗ hổng sẽ khiến tập lệnh cài đặt phần mềm độc hại trên thiết bị được thực thi.
Group-IB đã phát hiện ra chiến dịch này và chỉ cần nhấp đúp vào một tệp PDF sẽ khiến tập lệnh CMD được thực thi để cài đặt phần mềm độc hại.
Lỗi zero-day đã được sửa trong  WinRAR phiên bản 6.23 , phát hành vào ngày 2 tháng 8 năm 2023, phiên bản này cũng giải quyết một số vấn đề bảo mật khác,  bao gồm CVE-2023-40477 , một lỗ hổng có thể kích hoạt việc thực thi lệnh khi mở tệp RAR được chế tạo đặc biệt.
Nhắm mục tiêu các nhà giao dịch tiền điện tử
Các nhà nghiên cứu từ Group-IB cho biết họ đã phát hiện ra lỗ hổng zero-day của WinRAR đang được sử dụng để nhắm mục tiêu vào các diễn đàn giao dịch chứng khoán và tiền điện tử, nơi các tin tặc giả vờ là những người đam mê khác để chia sẻ chiến lược giao dịch của họ.
Các bài đăng trên diễn đàn này chứa các liên kết đến các kho lưu trữ WinRAR ZIP hoặc RAR được chế tạo đặc biệt giả vờ bao gồm chiến lược giao dịch được chia sẻ, bao gồm các tệp PDF, tệp văn bản và hình ảnh.
Quảng bá các kho lưu trữ độc hại trên diễn đàn nhà giao dịch tiền điện tử
Quảng bá các kho lưu trữ độc hại trên diễn đàn nhà giao dịch tiền điện tử
Thực tế là những nhà giao dịch mục tiêu lưu trữ đó được thể hiện qua các tiêu đề bài đăng trên diễn đàn, như "Chiến lược cá nhân tốt nhất để giao dịch với Bitcoin - best Personal Strategy to trade with Bitcoin.".
Các kho lưu trữ độc hại đã được phân phối trên ít nhất tám diễn đàn giao dịch công cộng, lây nhiễm sang thiết bị của 130 nhà giao dịch đã được xác nhận. Hiện chưa rõ số lượng nạn nhân và tổn thất tài chính do chiến dịch này gây ra.
Khi mở kho lưu trữ, người dùng sẽ thấy những gì có vẻ là một tệp vô hại, chẳng hạn như PDF, với một thư mục khớp với cùng tên tệp.
Nội dung của kho lưu trữ ZIP độc hại
Nội dung của kho lưu trữ ZIP độc hại
Tuy nhiên, khi người dùng nhấp đúp vào tệp PDF, lỗ hổng CVE-2023-38831 sẽ lặng lẽ khởi chạy một tập lệnh trong thư mục để cài đặt phần mềm độc hại trên thiết bị. Đồng thời, các script này cũng sẽ tải tài liệu mồi nhử để không gây nghi ngờ.
Tập lệnh Windows CMD được thực thi bởi lỗ hổng CVE-2023-38831
Tập lệnh Windows CMD được thực thi bởi lỗ hổng CVE-2023-38831
Lỗ hổng được kích hoạt bằng cách tạo các kho lưu trữ được chế tạo đặc biệt với cấu trúc được sửa đổi một chút so với các tệp an toàn, khiến chức năng ShellExecute của WinRAR nhận được tham số không chính xác khi nó cố mở tệp mồi nhử.
Điều này dẫn đến việc chương trình bỏ qua tệp vô hại và thay vào đó định vị và thực thi một tập lệnh batch hoặc CMD, do đó, trong khi người dùng cho rằng họ mở một tệp an toàn, chương trình sẽ khởi chạy một tệp khác.
Tập lệnh thực thi để khởi chạy kho lưu trữ CAB tự giải nén (SFX) lây nhiễm vào máy tính nhiều loại phần mềm độc hại khác nhau, chẳng hạn như lây nhiễm DarkMe, GuLoader và Remcos RAT, cung cấp quyền truy cập từ xa vào thiết bị bị nhiễm.
Mặc dù chủng phần mềm độc hại DarkMe có liên quan đến nhóm EvilNum có động cơ tài chính nhưng vẫn chưa rõ ai đã tận dụng CVE-2023-38831 trong chiến dịch được quan sát gần đây.
Chuỗi lây nhiễm tận dụng CVE-2023-38831
Chuỗi lây nhiễm tận dụng CVE-2023-38831
DarkMe trước đây đã được sử dụng trong các cuộc tấn công có động cơ tài chính, vì vậy có thể những kẻ tấn công nhắm mục tiêu vào các nhà giao dịch để đánh cắp tài sản tiền điện tử của họ.
Remcos RAT cung cấp cho kẻ tấn công quyền kiểm soát mạnh mẽ hơn đối với các thiết bị bị nhiễm, bao gồm thực thi lệnh tùy ý, ghi nhật ký thao tác bàn phím, chụp màn hình, quản lý tệp và khả năng proxy ngược, do đó, nó cũng có thể tạo điều kiện thuận lợi cho các hoạt động gián điệp.
Group-IB đã phát hiện ra CVE-2023-38831 vào tháng 7 năm 2023 và công ty đã công bố một báo cáo chi tiết về hoạt động khai thác ngoài thực tế của nó.
Người dùng WinRAR được khuyến khích nâng cấp lên phiên bản mới nhất, phiên bản 6.23, càng sớm càng tốt để loại bỏ nguy cơ giả mạo tệp và các cuộc tấn công khác được tiết lộ gần đây.
Báo cáo của Group-IB
Nguồn 🔗 BleepingComputer

7. Kỹ thuật mới cho phép kẻ tấn công giành được đặc quyền Windows SYSTEM

Các nhà nghiên cứu bảo mật đã phát hành NoFilter, một công cụ lạm dụng Windows Filtering Platform để nâng cao đặc quyền của người dùng nhằm tăng đặc quyền cho SYSTEM - đặc quyền cao nhất của Windows.
Tiện ích này hữu ích trong các trường hợp sau khi đã bị khai thác, trong đó kẻ tấn công cần thực thi mã độc với quyền cao hơn hoặc mở rộng tấn công trên mạng của nạn nhân khi một người dùng đã đăng nhập vào thiết bị đã bị nhiễm.
Sao chép Access token
Windows Filtering Platform (WFP) là một tập hợp các dịch vụ hệ thống và API cung cấp nền tảng để tạo các ứng dụng lọc mạng.
Các nhà phát triển có thể sử dụng API WFP để tạo mã có thể lọc hoặc sửa đổi dữ liệu mạng trước khi đến đích, các khả năng có trong các công cụ giám sát mạng, hệ thống phát hiện xâm nhập hoặc tường lửa.
Deep Instinct đã phát triển 3 cuộc tấn công mới nhằm nâng cao đặc quyền trên máy Windows mà không để lại quá nhiều bằng chứng và không bị nhiều sản phẩm bảo mật phát hiện.
Phương pháp đầu tiên cho phép sử dụng WFP để sao chép access token, các đoạn mã xác định người dùng và quyền của họ trong bối cảnh bảo mật của các luồng và quy trình.
Khi một luồng thực thi một tác vụ đặc quyền, mã định danh bảo mật sẽ xác minh xem token được liên kết có mức truy cập được yêu cầu hay không.
Việc gọi hàm NtQueryInformationProcess cho phép lấy bảng xử lý với tất cả các token mà một quy trình nắm giữ.
Việc xử lý các token đó có thể được sao chép để một quy trình khác chuyển sang SYSTEM.
Một trình điều khiển quan trọng trong hệ điều hành Windows có tên  tcpip.sys  có một số chức năng có thể được gọi bởi các yêu cầu IO của thiết bị tới các lớp kernel-mode WPF ALE ( Thực thi lớp ứng dụng ) để lọc trạng thái.
“Yêu cầu IO của thiết bị được gửi để gọi WfpAleProcessTokenReference. Nó sẽ gắn vào không gian địa chỉ của dịch vụ, sao chép token của dịch vụ thuộc SYSTEM và sẽ lưu trữ nó trong bảng hash”
Công  cụ NoFilter  lạm dụng WPF theo cách này để sao chép token và do đó đạt được sự leo thang đặc quyền.
Lạm dụng Windows Filtering Platform để sao chép access token
Lạm dụng Windows Filtering Platform để sao chép access token
Tránh lệnh gọi tới DuplicateHandle, sẽ tăng khả năng tàng hình và nhiều giải pháp phản hồi và phát hiện điểm cuối có thể sẽ bỏ lỡ hành động độc hại.
Nhận SYSTEM và admin access token
Kỹ thuật thứ hai liên quan đến việc kích hoạt kết nối IPSec và lạm dụng dịch vụ Print Spooler để chèn SYSTEM token vào bảng.
Sử dụng chức năng RpcOpenPrinter retrieves -handle cho máy in theo tên. Bằng cách đổi tên thành “\\127.0.0.1”, dịch vụ sẽ kết nối với máy chủ cục bộ.
Sau lệnh gọi RPC, cần có nhiều yêu cầu IO của thiết bị tới WfpAleQueryTokenById để truy xuất SYSTEM token.
Nhận SYSTEM access token thông qua Print Spooler
Nhận SYSTEM access token thông qua Print Spooler
Phương pháp này lén lút hơn phương pháp đầu tiên vì việc định cấu hình chính sách IPSec là một hành động thường được thực hiện bởi những người dùng có đặc quyền hợp pháp như quản trị viên mạng.
“Ngoài ra, chính sách này không làm thay đổi thông tin liên lạc; không có dịch vụ nào bị ảnh hưởng bởi nó và các giải pháp EDR giám sát hoạt động mạng rất có thể sẽ bỏ qua các kết nối đến máy chủ cục bộ.”
Kỹ thuật thứ ba cho phép lấy token của người dùng khác đã đăng nhập vào hệ thống bị xâm nhập cho mục đích mở rộng tấn công.
Có thể khởi chạy một quy trình với sự cho phép của người dùng đã đăng nhập nếu access token có thể được thêm vào bảng hash.
Tìm kiếm các máy chủ Remote Procedural Call (RPC) đang chạy với tư cách người dùng đã đăng nhập và chạy tập lệnh để tìm các quy trình chạy với tư cách quản trị viên domain và hiển thị giao diện RPC.
Để lấy token và khởi chạy một quy trình tùy ý với sự cho phép của người dùng đã đăng nhập, nhà nghiên cứu đã lạm dụng dịch vụ OneSyncSvc và SyncController.dll, những thành phần mới trong thế giới công cụ tấn công.
Phát hiện
Hackers và penetration testers có thể áp dụng ba kỹ thuật này vì việc báo cáo cho Microsoft Security Response Center nói rằng hành vi đó diễn ra như dự định. Điều này thường có nghĩa là sẽ không có cách khắc phục hoặc giảm thiểu.
Tuy nhiên, mặc dù có tính năng lén lút hơn các phương pháp khác, Deep Instinct cung cấp một số cách để phát hiện ba cuộc tấn công và khuyên bạn nên tìm kiếm các sự kiện sau:
  • Định cấu hình các chính sách IPSec mới không khớp với cấu hình mạng đã biết.
  • RPC gọi tới Spooler / OneSyncSvc trong khi chính sách IPSec đang hoạt động.
  • Brute force LUID của token thông qua nhiều lệnh gọi tới WfpAleQueryTokenById.
  • Yêu cầu IO của thiết bị tới thiết bị WfpAle bằng các quy trình khác ngoài dịch vụ BFE.
Blog kỹ thuật của Deep Instinct
Nguồn 🔗 BleepingComputer

8. Những mối nguy hiểm tiềm ẩn của Wi-Fi công cộng

notion image
Wi-Fi công cộng, từ lâu đã trở thành tiêu chuẩn, gây ra mối đe dọa cho không chỉ người dùng cá nhân mà còn cả doanh nghiệp. Với sự gia tăng của công việc từ xa, giờ đây mọi người có thể làm việc ở hầu hết mọi nơi: quán cà phê gần nhà, khách sạn ở thành phố khác hoặc thậm chí trong khi chờ máy bay ở sân bay. Dẫn đến những rủi ro khi kết nối với Wi-Fi công cộng, cho cả cá nhân bạn và doanh nghiệp.
Theo Forbes Advisor phần lớn mọi người (56%) kết nối với mạng Wi-Fi công cộng không yêu cầu mật khẩu. Sự tiện lợi này có cái giá của nó và nhiều người không biết rằng những kẻ tấn công có thể đánh cắp thông tin thẻ, mật khẩu và các thông tin nhạy cảm khác.
  • Tấn công Man-in-the-Middle (MITM):
      • Đây là một trong những mối đe dọa phổ biến nhất đối với Wi-Fi công cộng. Trong một cuộc tấn công MITM, hacker bí mật chặn và có thể thay đổi thông tin liên lạc giữa hai bên. Người dùng tin rằng họ đang liên lạc trực tiếp với một trang web, máy chủ email hoặc người dùng khác nhưng tin tặc đang chuyển tiếp thông tin, thu thập dữ liệu nhạy cảm trong quá trình này.
  • Nghe lén:
      • Mạng Wi-Fi công cộng, đặc biệt là những mạng không có mã hóa (như WPA2), cho phép tin tặc “nghe lén” dữ liệu được truyền qua mạng. Các công cụ như máy phân tích gói có thể nắm bắt lưu lượng truy cập không được mã hóa, giúp tin tặc dễ dàng trích xuất thông tin nhạy cảm.
  • Điểm truy cập giả mạo:
      • Tin tặc thiết lập mạng Wi-Fi giả, thường có tên tương tự như mạng hợp pháp (ví dụ: "CoffeeShopFreeWiFi" thay vì "CoffeeShop_WiFi"). Người dùng không nghi ngờ kết nối với điểm phát sóng lừa đảo này và tin tặc có thể giám sát tất cả lưu lượng truy cập, thu thập mọi dữ liệu nhạy cảm được truyền đi.
  • Mạng Honeypot:
      • Tương tự như các điểm truy cập lừa đảo, đây là những mạng độc hại được thiết lập để thu hút người dùng. Sau khi kết nối, tin tặc có thể triển khai phần mềm độc hại hoặc cố gắng khai thác lỗ hổng trên thiết bị của người dùng.
  • Giả mạo:
      • Trong một cuộc tấn công giả mạo, hacker mạo danh một thiết bị khác trên mạng, chuyển hướng lưu lượng truy cập qua thiết bị của họ. Điều này cho phép họ nắm bắt và thao tác dữ liệu.
  • Chiếm quyền điều khiển phiên:
      • Ở đây, kẻ tấn công chiếm quyền điều khiển một phiên giữa máy khách và máy chủ (ví dụ: phiên đăng nhập trên trang web). Điều này có thể cho phép họ truy cập trái phép vào tài khoản hoặc dịch vụ.
  • Phát tán phần mềm độc hại:
      • Wi-Fi công cộng có thể được sử dụng làm phương tiện để phát tán phần mềm độc hại. Ví dụ: phần mềm độc hại có thể được đưa vào các bản cập nhật hoặc bản tải xuống phần mềm. Sau khi thiết bị của người dùng bị nhiễm, phần mềm độc hại có thể đánh cắp thông tin, giám sát hoạt động của người dùng hoặc đưa thiết bị vào mạng botnet.
  • Lừa đảo trang đăng nhập:
      • Một số mạng Wi-Fi công cộng chuyển hướng người dùng đến trang đăng nhập hoặc trang chấp nhận điều khoản trước khi cấp quyền truy cập. Tin tặc có thể sao chép các trang này để lấy thông tin đăng nhập hoặc thông tin cá nhân khác.
Biện pháp bảo vệ:
Để bảo vệ khỏi những mối đe dọa này khi sử dụng Wi-Fi công cộng:
  • Dành cho chủ sở hữu điểm phát sóng – tận dụng tính năng lọc web cho các điểm phát sóng Wi-Fi. Bạn sẽ không chỉ bảo vệ khách của mình khỏi phần mềm độc hại và các tài nguyên có hại mà còn tăng cường lòng trung thành của khách hàng. Bằng cách thông báo cho họ rằng quán cà phê hoặc thư viện này cung cấp một vùng Internet an toàn, phụ huynh có thể trao thiết bị cho con mình mà không lo lắng về việc tiếp xúc với nội dung không phù hợp. Sử dụng dịch vụ DNS filtering cũng sẽ cho phép bạn thu thập số liệu thống kê ẩn danh có giá trị về tùy chọn của người dùng, số liệu này có thể được tận dụng trong các chiến dịch tiếp thị.
  • Đối với người dùng Wi-Fi công cộng:
    • Triển khai các dịch vụ lọc DNS, như SafeDNS. Cài đặt ứng dụng khách chuyển vùng trên thiết bị và chọn danh mục an ninh mạng để chặn các trang web độc hại.
    • Tránh truy cập các trang web hoặc dịch vụ nhạy cảm, chẳng hạn như nền tảng ngân hàng.
    • Tắt cài đặt chia sẻ trên thiết bị của bạn.
    • Luôn quên mạng sau khi ngắt kết nối để tránh việc tự động kết nối lại.
    • Sử dụng các trang web HTTPS và đảm bảo sử dụng SSL/TLS khi truyền dữ liệu nhạy cảm.
Mặc dù Wi-Fi công cộng mang lại sự tiện lợi nhưng điều quan trọng là phải nhận thức được các lỗ hổng của nó và thực hiện các biện pháp phòng ngừa cần thiết để đảm bảo an toàn dữ liệu.
Nguồn 🔗 TheHackerNews

9. Mã độc lấy cắp tài khoản Facebook đang phát tán mạnh tại Việt Nam

Hệ thống giám sát và cảnh báo mã độc của Bkav ghi nhận số lượng máy tính nhiễm mã độc Fabookie chuyên đánh cắp tài khoản Facebook Bussiness đang có dấu hiệu tăng cao. Trong tháng 7, tại Việt Nam có tới hơn 100.000 máy bị nhiễm mã độc này.
Fabookie thực hiện việc đánh cắp thông qua Cookies và mật khẩu được lưu trong trình duyệt, tương tự các mẫu mã độc đánh cắp tài khoản khác. Đối với đa số trang web, nếu hacker có được phiên đăng nhập cùng với mật khẩu là có thể thực hiện đổi mật khẩu, từ đó chiếm quyền kiểm soát hoàn toàn tài khoản nạn nhân.
Fabookie còn được “thiết kế” đặc biệt để tấn công các tài khoản Facebook Bussiness. Mã độc này sẽ kiểm tra Cookie đã giải mã, xem tài khoản có đang được đăng nhập hay không, sau đó sử dụng Facebook Graph API Queries (một phương thức truy vấn dữ liệu từ Facebook) để truy vấn thêm các thông tin về tài khoản, phương thức thanh toán, số dư... của tài khoản nạn nhân. Nếu khối dữ liệu khai thác thành công và thông tin đánh cắp được là từ tài khoản Facebook Business, hacker có thể sử dụng chính tài khoản nạn nhân để âm thầm chạy quảng cáo thay vì ngay lập tức đổi mật khẩu và chiếm tài khoản.
Đánh cắp thông tin bằng Graph API của Facebook.
Đánh cắp thông tin bằng Graph API của Facebook.
Điều này sẽ giúp hacker đạt được nhiều mục đích khác như kiếm thêm lợi nhuận, sử dụng để SEO (nâng cao thứ hạng website trên các công cụ tìm kiếm) các trang web phát tán mã độc... hơn là chiếm đoạt luôn tài khoản, sẽ gây báo động tới người quản trị và bị ngắt kết nối thẻ tín dụng.
Theo xu hướng của các mã độc thế hệ mới, Fabookie chỉ nhắm vào các máy chạy hệ điều hành 64-bit.
Ngoài việc đánh cắp thông tin về tài khoản doanh nghiệp Facebook, phần mềm độc hại còn nhằm mục đích đánh cắp thông tin đăng nhập của các tài khoản đó. Để làm như vậy, nó kiểm tra người dùng và mật khẩu Facebook trong cookie và cơ sở dữ liệu cục bộ của các trình duyệt sau: Chrome, Edge, Cốc Cốc, Brave và Firefox.
Đánh cắp mật khẩu từ cơ sở dữ liệu của trình duyệt.
Đánh cắp mật khẩu từ cơ sở dữ liệu của trình duyệt.
Tin tặc sẽ chèn mã độc Facebookie vào các phần mềm miễn phí hoặc những công cụ bẻ khóa (crack) bản quyền phần mềm… sau đó phát tán lên internet để lừa người dùng tải về máy tính. Tin tặc thậm chí còn chi tiền chạy quảng cáo để những trang web chứa mã độc xuất hiện ở những vị trí đầu tiên khi người dùng tìm kiếm thông tin trên internet.
Một khi Facebookie lây nhiễm vào máy tính, mã độc này sẽ tìm các cookies và mật khẩu tài khoản trực tuyến đang lưu trên trình duyệt web của nạn nhân.
Nhờ Facebookie, tin tặc có thể chiếm đoạt tài khoản Facebook đang lưu thông tin đăng nhập trên máy tính của nạn nhân. Đặc biệt, loại mã độc này còn được thiết kế để lấy cắp tài khoản Facebook Business, là tài khoản dùng để quản lý các fanpage, chạy các chiến dịch quảng cáo trên Facebook…
Sau khi chiếm đoạt tài khoản Facebook Business thành công, tin tặc sẽ âm thầm sử dụng tài khoản này để đặt mua các nội dung quảng cáo cho riêng mình mà nạn nhân có thể không hay biết.
Palo Alto Networks cho biết trong mã nguồn của Facebookie có những đoạn nội dung bằng tiếng Việt, nhưng chưa rõ loại mã độc này có bắt nguồn từ Việt Nam hay không.
notion image
Những biến trong mã nguồn được đặt tên theo tiếng Việt khiến các chuyên gia bảo mật nghi ngờ Facebookie có nguồn gốc từ Việt Nam
Những biến trong mã nguồn được đặt tên theo tiếng Việt khiến các chuyên gia bảo mật nghi ngờ Facebookie có nguồn gốc từ Việt Nam
Dấu hiệu thứ hai cho thấy mối liên hệ bị nghi ngờ với các tác nhân đe dọa có trụ sở tại Việt Nam là những kẻ tấn công đã nhắm mục tiêu vào một trình duyệt có tên Cốc Cốc, trình duyệt này tự mô tả là “trình duyệt web và công cụ tìm kiếm dành cho người Việt Nam”
notion image
Để tránh việc bị tấn công bởi mã độc Fabookie, các chuyên gia khuyến cáo:
  • Không cài đặt và sử dụng các phần mềm crack, keygen… để bẻ khóa bản quyền phần mềm. Đa phần những công cụ crack hoặc keygen được chia sẻ trên internet đều có chứa mã độc bên trong.
  • Hạn chế sử dụng chức năng lưu mật khẩu trên trình duyệt với các tài khoản quan trọng.
  • Sử dụng phần mềm diệt virus, giải pháp an ninh mạng để đảm bảo an toàn cho máy cá nhân cũng như hệ thống trong các cơ quan, tổ chức, doanh nghiệp.
Nguồn 🔗 Bkav, Palo Alto

10. Phần mềm độc hại Whiffy Recon sử dụng WiFi để xác định vị trí của bạn

Tội phạm mạng đằng sau mạng botnet Smoke Loader đang sử dụng một phần mềm độc hại mới có tên Whiffy Recon để xác định vị trí của các thiết bị bị nhiễm thông qua chức năng quét WiFi và API định vị địa lý của Google trên các máy Windows bị xâm nhập.
API định vị địa lý của Google là dịch vụ chấp nhận các yêu cầu HTTPS với thông tin điểm truy cập WiFi và trả về tọa độ vĩ độ và kinh độ để định vị các thiết bị không có hệ thống GPS.
Smoke Loader là một công cụ thả phần mềm độc hại dạng module đã xuất hiện được vài năm, chủ yếu được sử dụng trong giai đoạn đầu của quá trình xâm nhập nhằm cung cấp các tải trọng mới.
Trong trường hợp của Whiffy Recon, việc biết vị trí của nạn nhân có thể giúp thực hiện các cuộc tấn công tập trung tốt hơn vào các khu vực cụ thể hoặc thậm chí là khu vực thành thị hoặc giúp đe dọa nạn nhân bằng cách thể hiện khả năng theo dõi.
Tùy thuộc vào số lượng điểm truy cập WiFi trong khu vực, độ chính xác của phép đo tam giác thông qua API định vị địa lý của Google nằm trong khoảng từ 20-50 mét (65-165ft) trở xuống, mặc dù con số đó tăng lên ở những khu vực ít mật độ hơn.
Quét WiFi Whiffy Recon
Trước tiên, phần mềm độc hại sẽ kiểm tra tên dịch vụ WLAN AutoConfig 'WLANSVC' và nếu nó không tồn tại, nó sẽ đăng ký bot với máy chủ command and control (C2) và bỏ qua phần quét.
Chức năng chính của Whiffy Recon 
Chức năng chính của Whiffy Recon 
Phần mềm độc hại được định cấu hình để đăng ký với máy chủ command and control (C2) từ xa bằng cách chuyển "botID" được tạo ngẫu nhiên trong yêu cầu HTTP POST, sau đó máy chủ sẽ phản hồi bằng thông báo thành công và mã định danh duy nhất bí mật sau đó được lưu trong tệp có tên "%APPDATA%\Roaming\wlan\str-12.bin.”
Đối với các hệ thống Windows có dịch vụ đó, Whiffy Recon sẽ thực hiện một vòng quét WiFi chạy mỗi phút, lạm dụng API WLAN của Windows để thu thập dữ liệu cần thiết và gửi các yêu cầu HTTPS POST chứa thông tin điểm truy cập WiFi ở định dạng JSON tới API định vị địa lý của Google.
Bằng cách sử dụng tọa độ trong phản hồi của Google, phần mềm độc hại tạo ra một báo cáo đầy đủ hơn về các điểm truy cập, hiện bao gồm vị trí địa lý, phương thức mã hóa, SSID và gửi báo cáo đó đến C2 của kẻ đe dọa dưới dạng yêu cầu JSON POST.
Hồ sơ nạn nhân hoàn chỉnh được gửi đến C2 
Hồ sơ nạn nhân hoàn chỉnh được gửi đến C2 
Vì quá trình này diễn ra cứ sau 60 giây nên nó có thể cho phép kẻ tấn công theo dõi thiết bị bị vi phạm gần như theo thời gian thực.
Các nhà nghiên cứu tại Secureworks , đã phát hiện ra phần mềm độc hại mới vào ngày 8 tháng 8, suy đoán rằng tin tặc có thể sử dụng thông tin định vị địa lý để đe dọa nạn nhân và gây áp lực buộc họ phải tuân thủ các yêu cầu.
Số phiên bản được phần mềm độc hại sử dụng trong yêu cầu POST ban đầu tới C2 là "1", số này có thể cho biết giai đoạn phát triển của phần mềm độc hại và kế hoạch trong việc bổ sung các cải tiến hoặc khả năng mới.
Nguồn 🔗 BleepingComputer

11. Hơn 3.000 máy chủ Openfire dễ bị tấn công chiếm quyền

Hàng nghìn máy chủ Openfire vẫn dễ bị tấn công bởi CVE-2023-32315, một lỗ hổng truyền tải đường dẫn và được khai thác tích cực, cho phép người dùng chưa được xác thực tạo tài khoản quản trị viên mới.
Openfire là máy chủ trò chuyện mã nguồn mở (XMPP) dựa trên Java được sử dụng rộng rãi với 9 triệu lượt tải xuống.
Vào ngày 23 tháng 5 năm 2023, có thông tin tiết lộ rằng phần mềm đã bị ảnh hưởng bởi sự cố bỏ qua xác thực ảnh hưởng đến phiên bản 3.10.0, được phát hành vào tháng 4 năm 2015, cho đến thời điểm đó.
Các nhà phát triển Openfire đã phát hành bản cập nhật bảo mật trong các phiên bản 4.6.8, 4.7.5 và 4.8.0 để giải quyết vấn đề. Tuy nhiên, vào tháng 6, có báo cáo [ 1 ,  2 ] rằng lỗ hổng này đã bị khai thác tích cực để tạo người dùng quản trị và tải các plugin độc hại lên các máy chủ chưa được vá.
Trong báo cáo của nhà nghiên cứu lỗ hổng VulnCheck Jacob Baines, cộng đồng OpenFire đã không vội áp dụng các bản cập nhật bảo mật, với hơn 3.000 máy chủ vẫn dễ bị tấn công.
Tệ hơn nữa, Baines cho biết có một cách để khai thác lỗ hổng và tải plugin lên mà không cần tạo tài khoản quản trị viên, khiến việc này trở nên hấp dẫn hơn và ít ồn ào hơn đối với tội phạm mạng.
Quá nhiều máy chủ chưa được vá
VulnCheck báo cáo rằng quá trình quét của Shodan phát hiện 6.324 máy chủ Openfire kết nối internet, trong đó 50% (3.162 máy chủ) vẫn dễ bị CVE-2023-32315 tấn công do chạy phiên bản lỗi thời.
Kết quả quét Shodan (VulnCheck)
Kết quả quét Shodan (VulnCheck)
Chỉ 20% người dùng đã vá, 25% sử dụng phiên bản cũ hơn 3.10.0, đó là thời điểm lỗ hổng được đưa vào phần mềm và 5% khác chạy các nhánh của dự án nguồn mở có thể bị ảnh hưởng hoặc không.
VulnCheck nhận xét rằng mặc dù con số này có thể không ấn tượng nhưng nó rất đáng kể nếu xét đến vai trò của các máy chủ này trong cơ sở hạ tầng truyền thông, xử lý thông tin nhạy cảm.
PoC
Các hoạt động khai thác công khai hiện tại đối với CVE-2023-32315 dựa vào việc tạo người dùng quản trị để cho phép kẻ tấn công tải lên các plugin Java JAR độc hại để mở reverse shells hoặc thực thi lệnh trên các máy chủ bị xâm nhập.
Plugin độc hại được tải lên máy chủ dễ bị tấn công (VulnCheck)
Plugin độc hại được tải lên máy chủ dễ bị tấn công (VulnCheck)
Các ví dụ về khai thác trong thế giới thực bao gồm các tác nhân đe dọa đằng sau mạng botnet khai thác tiền điện tử Kinsing, những kẻ khai thác lỗ hổng để cài đặt plugin Openfire tùy chỉnh nhằm khởi tạo một reverse shell trên máy chủ dễ bị tấn công.
Tuy nhiên, các hoạt động khai thác hiện có để tạo người dùng quản trị viên rất ồn ào, giúp người bảo vệ dễ dàng phát hiện các vi phạm từ nhật ký kiểm tra. Báo cáo của VulnCheck nêu bật một cách lén lút hơn để khai thác lỗ hổng mà không cần tạo tài khoản quản trị viên ngẫu nhiên.
Bằng chứng về cuộc tấn công vào nhật ký bảo mật của Openfire (VulnCheck)
Bằng chứng về cuộc tấn công vào nhật ký bảo mật của Openfire (VulnCheck)
Trong ví dụ về PoC của họ, các nhà phân tích giới thiệu cách trích xuất mã thông báo JSESSIONID và CSRF bằng cách truy cập trực tiếp vào 'plugin-admin.jsp', sau đó tải plugin JAR lên thông qua yêu cầu POST.
Logic PoC của VulnCheck
Logic PoC của VulnCheck
Plugin này được chấp nhận và cài đặt trên máy chủ dễ bị tấn công, đồng thời có thể truy cập webshell của nó mà không cần tài khoản quản trị viên.
Webshell trong plugin đã tải lên  (VulnCheck)
Webshell trong plugin đã tải lên  (VulnCheck)
Bởi vì cuộc tấn công này không để lại dấu vết trong nhật ký bảo mật nên nó lén lút hơn rất nhiều so với những gì các cuộc tấn công hiện tại thực hiện và loại bỏ cơ hội phát hiện của những người bảo vệ.
Vì CVE-2023-32315 hiện đang bị khai thác tích cực, bao gồm cả từ phần mềm độc hại botnet, PoC của VulnCheck có thể thúc đẩy làn sóng tấn công thứ hai nguy hiểm hơn.
Do đó, quản trị viên của máy chủ Openfire chưa nâng cấp lên bản phát hành vá lỗi nên thực hiện việc này càng sớm càng tốt.
Nguồn 🔗 BleepingComputer