VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 5 - Tháng 8 - 2023

date
Aug 28, 2023
slug
tin-tuc-attt-tuan-5-thang-8-nam-2023
author
status
Public
tags
Github
Docs
Git
Blog
Daily
News
Malware
Ransomware
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 5 tháng 8 - 2023 (28/8-2/9)
type
Post
thumbnail
malware-header.webp
category
News
updatedAt
Aug 31, 2023 01:52 AM
1. MalDoc trong PDF: Ẩn tài liệu Word độc hại trong tệp PDF2. Các thư viện Rust độc hại bị phát hiện đang truyền thông tin hệ điều hành tới kênh Telegram3. Các chuyên gia khám phá cách tội phạm mạng có thể khai thác Microsoft Entra ID để có được đặc quyền nâng cao4. Botnet DreamBus khai thác lỗ hổng RCE trong máy chủ Apache RocketMQ5. Phần mềm độc hại Android MMRat mới sử dụng phương thức Protobuf để đánh cắp dữ liệu6. Cảnh báo về các cuộc tấn công lừa đảo ransomware LockBit Locker tại Tây Ban Nha7. Ứng dụng Signal và Telegram bị Trojan hóa trên Google Play đã phát tán phần mềm gián điệp

1. MalDoc trong PDF: Ẩn tài liệu Word độc hại trong tệp PDF

Nhóm ứng phó khẩn cấp máy tính của Nhật Bản (JPCERT) đang chia sẻ một cuộc tấn công 'MalDoc in PDF' mới được phát hiện vào tháng 7 năm 2023, vượt qua sự phát hiện bằng cách nhúng các tệp Word độc hại vào tệp PDF.
Tệp được  JPCERT lấy mẫu  là tệp đa ngôn ngữ được hầu hết các công cụ quét nhận dạng dưới dạng PDF, tuy nhiên các ứng dụng văn phòng có thể mở tệp đó dưới dạng tài liệu Word thông thường (.doc).
Polyglots là các tệp chứa hai định dạng tệp riêng biệt có thể được hiểu và thực thi dưới dạng nhiều loại tệp, tùy thuộc vào ứng dụng đọc/mở chúng.
Ví dụ: các tài liệu độc hại trong chiến dịch này là sự kết hợp giữa tài liệu PDF và Word, có thể được mở ở một trong hai định dạng tệp.
Thông thường, các tác nhân đe dọa sử dụng nhiều ngôn ngữ để  tránh bị phát hiện  hoặc gây nhầm lẫn cho các công cụ phân tích, vì các tệp này có thể trông vô hại ở một định dạng trong khi  ẩn mã độc ở định dạng khác .
Trong trường hợp này, tài liệu PDF chứa tài liệu Word có macro VBS để tải xuống và cài đặt tệp phần mềm độc hại MSI nếu được mở dưới dạng tệp .doc trong Microsoft Office. Tuy nhiên, CERT Nhật Bản không chia sẻ bất kỳ chi tiết nào về loại phần mềm độc hại được cài đặt.
Chế độ xem kết xuất của tệp độc hại (JPCERT)
Chế độ xem kết xuất của tệp độc hại (JPCERT)
Kẻ tấn công thêm tệp mht được tạo trong Word và có macro được đính kèm sau đối tượng tệp PDF và lưu nó. Tệp đã tạo được nhận dạng là tệp PDF trong chữ ký tệp nhưng cũng có thể mở được bằng Word.
Tuy nhiên, cần lưu ý rằng MalDoc trong PDF không bỏ qua các cài đặt bảo mật vô hiệu hóa tính năng tự động thực thi macro trên Microsoft Office, vì vậy đây vẫn là những biện pháp bảo vệ thích hợp mà người dùng cần vô hiệu hóa thủ công bằng cách nhấp vào nút tương ứng hoặc bỏ chặn tệp.
JPCERT đã phát hành video sau trên YouTube để minh họa cách MalDoc trong tệp PDF xuất hiện và hoạt động trên Windows.
JPCERT cho biết, mặc dù  việc nhúng một loại tệp vào một loại tệp khác  không phải là mới, vì những kẻ tấn công triển khai các tệp đa ngôn ngữ để trốn tránh bị phát hiện đã được ghi lại rõ ràng, nhưng kỹ thuật cụ thể này vẫn mới lạ.
Ưu điểm chính của MalDoc trong PDF đối với kẻ tấn công là khả năng tránh bị phát hiện bởi các công cụ phân tích PDF truyền thống như 'pdfid' hoặc các công cụ phân tích tự động khác sẽ chỉ kiểm tra lớp bên ngoài của tệp, là cấu trúc PDF hợp pháp.
Kết quả phân tích của pdfid
Kết quả phân tích của pdfid
Tuy nhiên, JPCERT cho biết các công cụ phân tích khác như 'OLEVBA' vẫn có thể phát hiện nội dung độc hại ẩn bên trong đa ngôn ngữ, do đó, các biện pháp phòng thủ nhiều lớp và bộ công cụ phát hiện phong phú sẽ có hiệu quả trước mối đe dọa này.
Kết quả quét OLEVBA (JPCERT)
Kết quả quét OLEVBA (JPCERT)
Cơ quan an ninh mạng cũng chia sẻ quy tắc Yara để giúp các nhà nghiên cứu và người bảo vệ xác định các tệp bằng kỹ thuật 'MalDoc in PDF'.
Quy tắc này sẽ kiểm tra xem tệp có bắt đầu bằng chữ ký PDF và chứa các mẫu biểu thị tài liệu Word, Excel hay tệp MHT hay không, phù hợp với kỹ thuật trốn tránh mà JPCERT đã phát hiện thực tế.
Trong phương pháp này, nếu tệp Excel được lưu trữ trong tệp PDF, màn hình cảnh báo sẽ hiển thị khi Excel khởi động, cho biết phần mở rộng tệp khác và tệp sẽ không được mở trong Excel trừ khi cảnh báo được chấp nhận.
rule malware_MaldocinPDF {

    strings:
        $docfile2 = "<w:WordDocument>" ascii nocase
        $xlsfile2 = "<x:ExcelWorkbook>" ascii nocase
        $mhtfile0 = "mime" ascii nocase
        $mhtfile1 = "content-location:" ascii nocase
        $mhtfile2 = "content-type:" ascii nocase

     condition:
        (uint32(0) == 0x46445025) and
        (1 of ($mhtfile*)) and
        ( (1 of ($docfile*)) or 
          (1 of ($xlsfile*)) )
}
C2 information
https[:]//cloudmetricsapp[.]com
https[:]//web365metrics[.]com
Malware hash value
ef59d7038cfd565fd65bae12588810d5361df938244ebad33b71882dcf683058
098796e1b82c199ad226bff056b6310262b132f6d06930d3c254c57bdf548187
5b677d297fb862c2d223973697479ee53a91d03073b14556f421b3d74f136b9d
Blog của JPCERT
pdfid.py
OLEVBA
Nguồn 🔗 BleepingComputer

2. Các thư viện Rust độc hại bị phát hiện đang truyền thông tin hệ điều hành tới kênh Telegram

notion image
Một dấu hiệu khác cho thấy các nhà phát triển tiếp tục là mục tiêu của các cuộc tấn công chuỗi cung ứng phần mềm, một số gói độc hại đã được phát hiện trên hệ thống lưu trữ của ngôn ngữ lập trình Rust.
Phylum cho biết các thư viện được tải lên từ ngày 14 đến ngày 16 tháng 8 năm 2023, được xuất bản bởi một người dùng có tên "amperf" . Tên của các package hiện đã được gỡ xuống: postgress, if-cfg, xrvrv, serd, oncecell, lazystatic và envlogger.
Package này không độc hại và hầu như không chứa mã nào cả. Đây là main.rstập tin được liên kết với postgress@0.1.0:
notion image
Sau đó một package build.rsđã được thêm vào, bao gồm chức năng truyền đạt thông tin máy chủ trở lại kẻ tấn công.
notion image
Sau đó, package sẽ kiểm tra sự hiện diện của tệp mutex, nằm ở env::var("OUT_DIR"). Nếu nó tồn tại sẽ exit. Nếu nó không tồn tại, tạo nó và tiếp tục thực hiện.
notion image
Thông tin về máy chủ được lấy:
notion image
Cuối cùng, một tin nhắn chứa thông tin này sẽ được gửi đến kênh Telegram đã xác định trước đó.
notion image
Không rõ mục tiêu cuối cùng của chiến dịch là gì, nhưng các module đáng ngờ được phát hiện có chức năng thu thập thông tin hệ điều hành (ví dụ: Windows, Linux, macOS hoặc Unknown) và truyền dữ liệu đến kênh Telegram được mã hóa cứng thông qua API của nền tảng nhắn tin.
Điều này cho thấy rằng chiến dịch có thể đang ở giai đoạn đầu và kẻ đe dọa có thể đã tạo ra một mạng lưới rộng lớn để xâm phạm càng nhiều máy của nhà phát triển càng tốt nhằm cung cấp các bản cập nhật lừa đảo với khả năng lọc dữ liệu được cải thiện.
Công ty cho biết: “Với quyền truy cập vào khóa SSH, cơ sở hạ tầng sản xuất và IP công ty, các nhà phát triển hiện là mục tiêu cực kỳ có giá trị”.
Đây không phải là lần đầu tiên Crates.io trở thành mục tiêu của một cuộc tấn công chuỗi cung ứng. Vào tháng 5 năm 2022, SentinelOne đã phát hiện ra một chiến dịch có tên CrateDepression tận dụng kỹ thuật đánh máy để đánh cắp thông tin nhạy cảm và tải xuống các tệp tùy ý.
Tiết lộ này được đưa ra khi Phylum cũng tiết lộ một gói npm có tên email-helper , sau khi được cài đặt, sẽ thiết lập cơ chế gọi lại để lọc thông tin máy đến máy chủ từ xa và khởi chạy các tệp nhị phân được mã hóa được gửi cùng với nó.
Module được quảng cáo là "thư viện JavaScript để xác thực địa chỉ email theo các định dạng khác nhau" đã bị gỡ xuống bởi npm sau khi thu hút được 707 lượt tải xuống kể từ khi được tải lên kho lưu trữ vào ngày 24 tháng 8 năm 2023.
Công ty cho biết : “Việc đánh cắp dữ liệu được thực hiện thông qua HTTP và nếu điều này không thành công, kẻ tấn công sẽ quay lại việc lọc dữ liệu qua DNS” . "Các chương trình nhị phân triển khai các công cụ kiểm tra thâm nhập như dnscat2 , mettle và Cobalt Strike Beacon."
“Một hành động đơn giản như chạy npm install có thể kích hoạt chuỗi tấn công phức tạp này, khiến các nhà phát triển buộc phải thận trọng và thẩm định khi thực hiện các hoạt động phát triển phần mềm của mình.”
Blog của Phylum
Nguồn 🔗 TheHackerNews

3. Các chuyên gia khám phá cách tội phạm mạng có thể khai thác Microsoft Entra ID để có được đặc quyền nâng cao

notion image
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một trường hợp leo thang đặc quyền liên quan đến ứng dụng Microsoft Entra ID (trước đây là Azure Active Directory) bằng cách lợi dụng URL phản hồi bị bỏ rơi.
“Kẻ tấn công có thể lợi dụng URL bị bỏ rơi này để chuyển hướng mã authorization đến chính chúng, trao đổi mã authorization bất hợp pháp lấy access tokens”, Secureworks Counter Threat UnitSecureworks (CTU) cho biết trong một báo cáo kỹ thuật được công bố vào tuần trước .
"Tác nhân đe dọa sau đó có thể gọi API Power Platform thông qua dịch vụ cấp trung và nhận được các đặc quyền nâng cao."
Sau khi tiết lộ có trách nhiệm vào ngày 5 tháng 4 năm 2023, vấn đề đã được Microsoft giải quyết thông qua bản cập nhật phát hành một ngày sau đó. Secureworks cũng đã cung cấp một công cụ nguồn mở mà các tổ chức khác có thể sử dụng để quét các URL trả lời bị bỏ rơi.
Đoạn mã từ công cụ quét.
Đoạn mã từ công cụ quét.
Reply URL còn được gọi là redirect URI, đề cập đến vị trí mà máy chủ ủy quyền gửi cho người dùng sau khi ứng dụng được ủy quyền thành công và cấp mã authorization hoặc access tokens.
“Máy chủ ủy quyền sẽ gửi mã hoặc token đến URI chuyển hướng, vì vậy điều quan trọng là phải đăng ký đúng vị trí như một phần của quy trình đăng ký ứng dụng”, Microsoft lưu ý trong tài liệu của mình.
Secureworks CTU cho biết họ đã xác định được URL phản hồi của ứng dụng Dynamics Data Integration bị bỏ rơi được liên kết với cấu hình Azure Traffic Manager, giúp có thể gọi Power Platform API thông qua dịch vụ cấp trung và giả mạo cấu hình môi trường.
notion image
Các yêu cầu được thực hiện đối với dịch vụ cấp trung (https: // <middletierservice> /api/GetExternalData) thông qua lệnh gọi phía máy khách dựa trên mã phía máy khách được tải từ giao diện người quản lý lưu lượng.
Yêu cầu POST đối với dịch vụ cấp trung.
Yêu cầu POST đối với dịch vụ cấp trung.
Mẫu request bao gồm nội dung payload là 'url', 'requestData' và 'requestType' và requested token 'audience'
Nội dung payload được xác định trong lệnh gọi phía máy khách Azure Traffic Manager.
Nội dung payload được xác định trong lệnh gọi phía máy khách Azure Traffic Manager.
Requested token audience gọi trong client-side Azure Traffic Manager
Requested token audience gọi trong client-side Azure Traffic Manager
Trong kịch bản tấn công giả định, điều này có thể được sử dụng để giành được vai trò quản trị viên hệ thống cho dịch vụ chính hiện có và gửi yêu cầu xóa môi trường, cũng như lạm dụng API Azure AD Graph để thu thập thông tin về mục tiêu nhằm theo dõi giai đoạn về các hoạt động.
Yêu cầu thông tin từ API Azure AD Graph
Yêu cầu thông tin từ API Azure AD Graph
Phản hồi từ API Azure AD Graph
Phản hồi từ API Azure AD Graph
Tuy nhiên, điều này dựa trên khả năng nạn nhân nhấp vào một liên kết độc hại, do đó mã ủy quyền do Microsoft Entra ID cấp khi đăng nhập sẽ được gửi đến URL chuyển hướng bị kẻ tấn công tấn công.
Tiết lộ này được đưa ra khi Kroll tiết lộ sự gia tăng các chiến dịch lừa đảo theo chủ đề DocuSign sử dụng các chuyển hướng mở , cho phép kẻ tấn công truyền bá các URL được tạo đặc biệt mà khi được nhấp vào sẽ chuyển hướng nạn nhân tiềm năng đến một trang web độc hại.
George Glass của Kroll cho biết : “Bằng cách tạo một URL lừa đảo lợi dụng một trang web đáng tin cậy, những kẻ độc hại có thể dễ dàng thao túng người dùng nhấp vào liên kết hơn, cũng như deceiving/bypassing công nghệ mạng để quét các liên kết cho việc tìm nội dung độc hại” .
“Điều này dẫn đến việc nạn nhân bị chuyển hướng đến một trang web độc hại được thiết kế để đánh cắp thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập, chi tiết thẻ tín dụng hoặc dữ liệu cá nhân.”
Báo cáo của CTU
Nguồn 🔗 TheHackerNews

4. Botnet DreamBus khai thác lỗ hổng RCE trong máy chủ Apache RocketMQ

notion image
Phiên bản mới của phần mềm độc hại botnet DreamBus khai thác lỗ hổng thực thi mã từ xa ở mức độ nghiêm trọng nghiêm trọng trong máy chủ RocketMQ để lây nhiễm vào các thiết bị.
Lỗ hổng bị khai thác, được theo dõi là  CVE-2023-33246 , là một vấn đề xác minh quyền ảnh hưởng đến RocketMQ phiên bản 5.1.0 trở xuống, cho phép kẻ tấn công thực hiện lệnh từ xa trong một số điều kiện nhất định.
Các cuộc tấn công DreamBus gần đây lợi dụng lỗ hổng đó đã được các nhà nghiên cứu tại Juniper Threat Labs phát hiện. Họ đã báo cáo hoạt động này tăng đột biến vào giữa tháng 6 năm 2023.
Khai thác các máy chủ chưa được vá
Juniper Threat Labs báo cáo rằng các cuộc tấn công DreamBus đầu tiên tận dụng CVE-2023-33246 vào đầu tháng 6 năm 2023, nhắm mục tiêu vào cổng 10911 mặc định của RocketMQ và bảy cổng khác.
Dòng thời gian của các cuộc tấn công RocketMQ gần đây được quan sát bởi Juniper Threat Labs.
Dòng thời gian của các cuộc tấn công RocketMQ gần đây được quan sát bởi Juniper Threat Labs.
Những kẻ tấn công đã sử dụng công cụ trinh sát nguồn mở 'interactsh' để xác định phiên bản phần mềm nào chạy trên các máy chủ có kết nối internet và suy ra các lỗ hổng có khả năng bị khai thác.
Các nhà nghiên cứu cũng quan sát thấy tác nhân đe dọa tải xuống tập lệnh bash độc hại có tên 'reketed' từ dịch vụ proxy Tor, giúp tránh bị các công cụ AV trên VirusTotal phát hiện.
Tập lệnh bị xáo trộn này là trình tải xuống và trình cài đặt cho module chính DreamBus (tệp ELF), được tải xuống từ trang Tor. Tệp sẽ bị xóa sau khi thực thi để giảm thiểu khả năng bị phát hiện.
Các tác nhân đe dọa đã đưa ra hai phương pháp để truy xuất và thực thi tập lệnh shell này.
Trong một trường hợp, dịch vụ proxy TOR có tên “tor2web.in” đã hỗ trợ tải xuống ẩn danh.
Tìm nạp payload từ Tor
Tìm nạp payload từ Tor
Những kẻ tấn công đã gọi một địa chỉ IP cụ thể
notion image
Module DreamBus chính, cũng vượt qua tất cả các lần quét VirusTotal AV mà không bị phát hiện nhờ đóng gói UPX tùy chỉnh, có một số tập lệnh được mã hóa base64 thực hiện các chức năng khác nhau, bao gồm tải xuống các mô-đun bổ sung cho phần mềm độc hại.
Module chính giải mã các chuỗi này để thực hiện các tác vụ như báo hiệu trạng thái trực tuyến của nó tới C2, tải xuống công cụ khai thác Monero mã nguồn mở XMRig, thực thi các tập lệnh bash bổ sung hoặc tải xuống phiên bản phần mềm độc hại mới.
Cấu hình XMRig
Cấu hình XMRig
DreamBus đảm bảo nó vẫn hoạt động trên các hệ thống bị nhiễm bằng cách thiết lập dịch vụ hệ thống và công việc định kỳ, cả hai đều được thiết lập để thực thi hàng giờ.
Phần mềm độc hại cũng chứa các cơ chế lây lan ngang bằng cách sử dụng các công cụ như ansible, Knife, Salt và pssh, đồng thời scanner module quét các dải IP bên ngoài và bên trong để tìm các lỗ hổng có thể phát hiện được.
Module phân phối của DreamBus
Module phân phối của DreamBus
Mục tiêu chính của chiến dịch DreamBus đang diễn ra dường như là khai thác Monero, mặc dù bản chất module của nó có thể cho phép kẻ tấn công dễ dàng mở rộng khả năng của nó trong bản cập nhật trong tương lai.
Xem xét rằng các máy chủ RocketMQ được sử dụng trong liên lạc, về mặt lý thuyết, những kẻ tấn công có thể quyết định khai thác dữ liệu hội thoại nhạy cảm được quản lý bởi các thiết bị bị vi phạm, điều này có thể có tiềm năng kiếm tiền lớn hơn so với việc khai thác tiền điện tử trên các tài nguyên bị tấn công.
Để ngăn chặn các cuộc tấn công DreamBus mới nhất, quản trị viên RockerMQ nên nâng cấp lên phiên bản 5.1.1 trở lên.
Các phiên bản trước  của phần mềm độc hại DreamBus cũng được biết là nhắm mục tiêu Redis, PostgreSQL, Hadoop YARN, Apache Spark, HashiCorp Consul và SaltStack, vì vậy, nên tuân thủ quản lý bản vá tốt trên tất cả các sản phẩm phần mềm để giải quyết mối đe dọa này.
Payload được tải xuống, bash script “reketed”, thực thi với hash: (1d0c3e35324273ffeb434f929f834b59dcc6cdd24e9204abd32cc0abefd9f047)
Báo cáo của Juniper Threat Labs
Nguồn 🔗 Cybersecuritynews, BleepingComputer

5. Phần mềm độc hại Android MMRat mới sử dụng phương thức Protobuf để đánh cắp dữ liệu

Một phần mềm độc hại ngân hàng Android mới có tên MMRat sử dụng một phương thức liên lạc hiếm khi được sử dụng, tuần tự hóa dữ liệu protobuf, để đánh cắp dữ liệu từ các thiết bị bị xâm nhập hiệu quả hơn.
MMRat được Trend Micro phát hiện lần đầu tiên vào cuối tháng 6 năm 2023, chủ yếu nhắm mục tiêu đến người dùng ở Đông Nam Á và không bị phát hiện trên các dịch vụ quét antivirus như VirusTotal.
Mặc dù các nhà nghiên cứu không biết phần mềm độc hại ban đầu được quảng bá đến nạn nhân như thế nào nhưng họ phát hiện ra rằng MMRat được phân phối thông qua các trang web được ngụy trang dưới dạng cửa hàng ứng dụng chính thức.
Nạn nhân tải xuống và cài đặt các ứng dụng độc hại mang MMRat, thường bắt chước trang chính thức của chính phủ hoặc ứng dụng hẹn hò, đồng thời cấp các quyền rủi ro như quyền truy cập vào dịch vụ Trợ năng của Android trong quá trình cài đặt.
Phần mềm độc hại tự động lạm dụng tính năng Trợ năng để cấp cho chính nó các quyền bổ sung cho phép nó thực hiện nhiều hành động độc hại trên thiết bị bị nhiễm.
Khả năng của MMRat
Khi MMRat lây nhiễm vào thiết bị Android, nó sẽ thiết lập kênh liên lạc với máy chủ C2 và giám sát hoạt động của thiết bị để phát hiện những khoảng thời gian không hoạt động.
Trong thời gian đó, kẻ đe dọa lạm dụng Dịch vụ trợ năng để đánh thức thiết bị từ xa, mở khóa màn hình và thực hiện lừa đảo ngân hàng trong thời gian thực.
Các chức năng chính của MMRat có thể được tóm tắt như sau:
  • Thu thập thông tin mạng, màn hình và pin
  • Lọc danh sách liên hệ của người dùng và danh sách các ứng dụng đã cài đặt
  • Ghi lại thông tin đầu vào của người dùng thông qua keylogging
  • Ghi lại nội dung màn hình theo thời gian thực từ thiết bị bằng cách lạm dụng API MediaProjection
  • Ghi và phát trực tiếp dữ liệu camera
  • Ghi lại và kết xuất dữ liệu màn hình ở dạng kết xuất văn bản được lọc sang C2
  • Tự gỡ cài đặt khỏi thiết bị để xóa sạch mọi bằng chứng lây nhiễm
Tất cả các lệnh được phần mềm độc hại hỗ trợ (Trend Micro)
Tất cả các lệnh được phần mềm độc hại hỗ trợ (Trend Micro)
Khả năng của MMRat để ghi lại nội dung màn hình theo thời gian thực và thậm chí cả phương pháp 'trạng thái đầu cuối người dùng' thô sơ hơn của nó để trích xuất dữ liệu văn bản cần tái cấu trúc, cả hai đều yêu cầu truyền dữ liệu hiệu quả.
Nếu không có hiệu quả như vậy, hiệu suất sẽ cản trở các tác nhân đe dọa thực hiện gian lận ngân hàng một cách hiệu quả, đó là lý do tại sao các tác giả của MMRat đã chọn phát triển giao thức Protobuf tùy chỉnh để lọc dữ liệu.
Chuỗi tấn công MMRat (Trend Micro)
Chuỗi tấn công MMRat (Trend Micro)
Ưu điểm của Protobuf
MMRat sử dụng giao thức máy chủ command and control (C2) duy nhất dựa trên bộ đệm giao thức (Protobuf) để truyền dữ liệu hiệu quả, điều này không phổ biến ở các trojan Android.
Protobuf là một phương pháp tuần tự hóa dữ liệu có cấu trúc do Google phát triển, tương tự như XML và JSON, nhưng nhỏ hơn và nhanh hơn.
MMRat sử dụng các cổng và giao thức khác nhau để trao đổi dữ liệu với C2, như HTTP ở cổng 8080 để lọc dữ liệu, RTSP và cổng 8554 để truyền phát video và Protobuf tùy chỉnh tại 8887 để ra lệnh và điều khiển.
Báo cáo của Trend Micro cho biết: “Đặc biệt, giao thức C&C là duy nhất do có thể tùy chỉnh dựa trên Netty (khung ứng dụng mạng) và Protobuf đã đề cập trước đó, hoàn chỉnh với các cấu trúc thông báo được thiết kế tốt”.
“Đối với giao tiếp C&C, kẻ tấn công sử dụng cấu trúc bao trùm để thể hiện tất cả các loại tin nhắn và từ khóa “oneof” để thể hiện các loại dữ liệu khác nhau.”
Lược đồ Protobuf (Trend Micro)
Lược đồ Protobuf (Trend Micro)
Ngoài tính hiệu quả của Protobuf, các giao thức tùy chỉnh còn giúp các tác nhân đe dọa tránh bị phát hiện bởi các công cụ bảo mật mạng nhằm tìm kiếm các mẫu bất thường phổ biến đã biết.
Tính linh hoạt của Protobuf cho phép tác giả của MMRat xác định cấu trúc thông điệp của họ và tổ chức cách truyền dữ liệu. Đồng thời, bản chất có cấu trúc của nó đảm bảo rằng dữ liệu được gửi tuân theo một lược đồ được xác định trước và ít có khả năng bị hỏng ở đầu người nhận.
Tóm lại, MMRat cho thấy sự tinh vi ngày càng tăng của trojan ngân hàng Android, kết hợp khéo léo giữa khả năng tàng hình với trích xuất dữ liệu hiệu quả.
Người dùng Android chỉ nên tải xuống ứng dụng từ Google Play, kiểm tra đánh giá của người dùng, chỉ tin tưởng các nhà xuất bản có uy tín và thận trọng ở giai đoạn cài đặt khi họ được yêu cầu cấp quyền truy cập.
Nguồn 🔗 BleepingComputer

6. Cảnh báo về các cuộc tấn công lừa đảo ransomware LockBit Locker tại Tây Ban Nha

Cảnh sát Quốc gia Tây Ban Nha đang cảnh báo về chiến dịch ransomware 'LockBit Locker' đang diễn ra nhắm vào các công ty kiến trúc trong nước thông qua các email lừa đảo.
Thông báo của cảnh sát cho biết: “Làn sóng gửi email đến các công ty kiến trúc đã bị phát hiện, mặc dù không loại trừ khả năng họ sẽ mở rộng hoạt động sang các lĩnh vực khác”  .
“Chiến dịch bị phát hiện có mức độ tinh vi rất cao vì nạn nhân không nghi ngờ bất cứ điều gì cho đến khi họ bị mã hóa thiết bị đầu cuối.”
Cảnh sát mạng Tây Ban Nha đã phát hiện nhiều email được gửi từ miền không tồn tại "fotoprix.eu" và mạo danh một công ty nhiếp ảnh.
Các tác nhân đe dọa giả vờ là một cửa hàng ảnh mới khai trương để yêu cầu công ty kiến trúc cung cấp kế hoạch cải tạo/phát triển cơ sở và ước tính chi phí cho công việc.
Sau khi trao đổi một số email để tạo dựng lòng tin, các nhà điều hành LockBit đề xuất chỉ định ngày họp để thảo luận về ngân sách và thông tin chi tiết của dự án xây dựng, đồng thời gửi một kho lưu trữ tài liệu về các thông số kỹ thuật chính xác của việc cải tạo.
Mặc dù bản tiếng Tây Ban Nha không cung cấp nhiều chi tiết kỹ thuật, nhưng trong một mẫu kho lưu trữ là một tệp disk image (.img), khi được mở trong các phiên bản Windows mới hơn, sẽ tự động gắn tệp dưới dạng drive letter và hiển thị Nội dung của nó.
Các kho lưu trữ này chứa một thư mục có tên 'fotoprix' bao gồm nhiều tệp Python, tệp batch và tệp thực thi. Kho lưu trữ cũng chứa một lối tắt Windows có tên 'Caracteristicas', khi khởi chạy, nó sẽ thực thi một tập lệnh Python độc hại.
Nội dung file IMG
Nội dung file IMG
Tập lệnh Python được thực thi sẽ kiểm tra xem người dùng có phải là quản trị viên của thiết bị hay không và nếu có, hãy sửa đổi hệ thống để đảm bảo tính bền vững, sau đó thực thi phần mềm ransomware 'LockBit Locker' để mã hóa các tệp.
Tập lệnh Python độc hại
Tập lệnh Python độc hại
Nếu người dùng Windows không phải là quản trị viên trên thiết bị, nó sẽ sử dụng Fodhelper UAC bypass để khởi chạy bộ mã hóa ransomware với đặc quyền quản trị viên.
Cảnh sát Tây Ban Nha nhấn mạnh "mức độ phức tạp rất cao" của các cuộc tấn công này, đặc biệt lưu ý đến tính nhất quán của thông tin liên lạc thuyết phục nạn nhân rằng họ tương tác với những cá nhân thực sự quan tâm đến việc thảo luận chi tiết về dự án kiến trúc.
Trong khi nhóm ransomware tuyên bố có liên kết với hoạt động ransomware LockBit khét tiếng, chiến dịch này được thực hiện bởi các tác nhân đe dọa khác nhau bằng cách sử dụng trình tạo ransomware LockBit 3.0 bị rò rỉ .
Hoạt động LockBit thông thường đàm phán thông qua trang webTor, trong khi 'LockBit Locker' này đàm phán qua email tại 'lockspain@onionmail.org' hoặc qua nền tảng nhắn tin Tox.
Thông báo tiền chuộc LockBit Locker
Thông báo tiền chuộc LockBit Locker
Hơn nữa, phân tích tự động bằng công cụ quét của Intezer  xác định tệp thực thi ransomware  là  BlackMatter , một hoạt động ransomware đã  ngừng hoạt động vào năm 2021  và sau đó  được đổi tên thành ALPHV/BlackCat .
Tuy nhiên, điều này được mong đợi, vì  trình tạo LockBit 3.0 bị rò rỉ , còn được gọi là LockBit Black, cũng  được Intezer xác định là BlackMatter  vì sử dụng mã nguồn BlackMatter.
Với mức độ phức tạp được báo cáo của các email lừa đảo và kỹ thuật xã hội, có khả năng các tác nhân đe dọa đằng sau chiến dịch này đang sử dụng các chiêu dụ khác nhau cho các công ty trong các lĩnh vực khác.
Những kẻ lừa đảo đã sử dụng rộng rãi mồi "gọi để đặt giá thầu" trong các chiến dịch mạo danh  các công ty tư nhân  hoặc  cơ quan chính phủ  và sử dụng các tài liệu được soạn thảo kỹ lưỡng để thuyết phục tính hợp pháp của tin nhắn của họ.
Các nhóm ransomware khét tiếng áp dụng các phương thức tương tự để xâm phạm ban đầu là một diễn biến đáng lo ngại, vì việc đóng giả là khách hàng hợp pháp có thể giúp chúng vượt qua những trở ngại như đào tạo chống lừa đảo cho mục tiêu của chúng.
Nguồn 🔗 BleepingComputer

7. Ứng dụng Signal và Telegram bị Trojan hóa trên Google Play đã phát tán phần mềm gián điệp

Các ứng dụng Signal và Telegram bị Trojan hóa có chứa phần mềm gián điệp BadBazaar đã được tải lên Google Play và Samsung Galaxy Store bởi một nhóm hack APT Trung Quốc có tên GREF.
Phần mềm độc hại này trước đây được sử dụng để nhắm mục tiêu vào các dân tộc thiểu số ở Trung Quốc, nhưng kết quả đo từ xa của ESET cho thấy lần này, kẻ tấn công nhắm mục tiêu vào người dùng ở Ukraine, Ba Lan, Hà Lan, Tây Ban Nha, Bồ Đào Nha, Đức, Hồng Kông và Hoa Kỳ.
Các khả năng của BadBazaar bao gồm theo dõi vị trí chính xác của thiết bị, đánh cắp nhật ký cuộc gọi và SMS, ghi âm cuộc gọi điện thoại, chụp ảnh bằng camera, lọc danh sách liên hệ và đánh cắp tệp hoặc cơ sở dữ liệu.
Các ứng dụng chứa trojan chứa mã BadBazaar được phát hiện bởi nhà nghiên cứu của ESET, Lukas Stefanko.
Bản đồ nhiệt nạn nhân  (ESET)
Bản đồ nhiệt nạn nhân  (ESET)
Ứng dụng IM bị Trojan hóa
Hai ứng dụng GREF sử dụng trong chiến dịch của mình có tên là 'Signal Plus Messenger' (org.thoughtcrime.securesmsplus) và 'FlyGram' (org.telegram.FlyGram), cả hai đều là phiên bản vá lỗi của các ứng dụng IM mã nguồn mở phổ biến Signal và Telegram.
Các tác nhân đe dọa cũng thiết lập các trang web chuyên dụng tại "signalplus[.]org" và "flygram[.]org" để tăng thêm tính hợp pháp cho chiến dịch phần mềm độc hại, cung cấp các liên kết để cài đặt ứng dụng từ Google Play hoặc trực tiếp từ trang web.
ESET báo cáo rằng FlyGram nhắm mục tiêu dữ liệu nhạy cảm như danh sách liên hệ, nhật ký cuộc gọi, Tài khoản Google và dữ liệu WiFi, đồng thời cung cấp tính năng sao lưu nguy hiểm gửi dữ liệu liên lạc Telegram đến máy chủ do kẻ tấn công kiểm soát.
Phân tích dữ liệu có sẵn cho thấy ít nhất 13.953 người dùng FlyGram đã bật tính năng sao lưu này, nhưng tổng số người dùng ứng dụng phần mềm gián điệp vẫn chưa được xác định.
Bản sao Signal thu thập thông tin tương tự nhưng tập trung nhiều hơn vào việc trích xuất thông tin dành riêng cho Signal như thông tin liên lạc của nạn nhân và mã PIN để bảo vệ tài khoản của họ khỏi bị truy cập trái phép.
Tuy nhiên, ứng dụng Signal giả mạo bao gồm một tính năng khiến cuộc tấn công trở nên thú vị hơn, vì nó cho phép kẻ tấn công liên kết tài khoản Signal của nạn nhân với các thiết bị do kẻ tấn công kiểm soát để kẻ tấn công có thể xem các tin nhắn trò chuyện trong tương lai.
Signal bao gồm tính năng dựa trên mã QR cho phép bạn liên kết nhiều thiết bị với một tài khoản để có thể xem tin nhắn trò chuyện từ tất cả các thiết bị đó.
Signal Plus Messenger độc hại lạm dụng tính năng này bằng cách bỏ qua quá trình liên kết mã QR và tự động liên kết thiết bị của chúng với tài khoản Signal của nạn nhân mà nạn nhân không hề hay biết. Điều này cho phép kẻ tấn công giám sát tất cả các tin nhắn trong tương lai được gửi từ tài khoản Signal.
ESET giải thích: “BadBazaar, phần mềm độc hại chịu trách nhiệm gián điệp, bỏ qua quá trình quét mã QR thông thường và quá trình nhấp chuột của người dùng bằng cách nhận URI cần thiết từ máy chủ C&C của nó và trực tiếp kích hoạt hành động cần thiết khi nhấp vào nút Liên kết thiết bị”  .
“Điều này cho phép phần mềm độc hại bí mật liên kết điện thoại thông minh của nạn nhân với thiết bị của kẻ tấn công, cho phép chúng theo dõi thông tin liên lạc của Signal mà nạn nhân không hề hay biết”
Điều này bao gồm khả năng truy cập bản sao lưu trò chuyện Signal PIN và Telegram nếu nạn nhân kích hoạt tính năng Cloud Sync từ ứng dụng bị nhiễm trojan.
Sơ đồ lạm dụng liên kết tín hiệu (ESET)
Sơ đồ lạm dụng liên kết tín hiệu (ESET)
ESET cho biết phương pháp theo dõi Signal này đã được sử dụng trước đây vì đây là cách duy nhất để lấy được nội dung của tin nhắn Signal.
Để tìm hiểu xem các thiết bị giả mạo có được liên kết với tài khoản Signal của bạn hay không, hãy khởi chạy ứng dụng Signal thực, đi tới Cài đặt và nhấn vào tùy chọn "Thiết bị được liên kết" để xem và quản lý tất cả các thiết bị được kết nối.
FlyGram đã được tải lên Google Play vào tháng 7 năm 2020 và bị xóa vào ngày 6 tháng 1 năm 2021, sau khi thu được tổng cộng 5.000 lượt cài đặt thông qua kênh đó.
Ứng dụng FlyGram trên hai cửa hàng (ESET)
Ứng dụng FlyGram trên hai cửa hàng (ESET)
Signal Plus Messenger được tải lên Google Play và cửa hàng Samsung Galaxy vào tháng 7 năm 2022 và Google đã xóa ứng dụng này vào ngày 23 tháng 5 năm 2023.
Signal Plus Messenger trên hai cửa hàng (ESET)
Signal Plus Messenger trên hai cửa hàng (ESET)
cả hai ứng dụng này vẫn có sẵn trên Samsung Galaxy Store.
FlyGram cũng triển khai một tính năng gọi là ghim SSL để tránh phân tích bằng cách nhúng chứng chỉ trong tệp APK sao cho chỉ cho phép giao tiếp được mã hóa với chứng chỉ được xác định trước, do đó gây khó khăn cho việc chặn và phân tích lưu lượng mạng giữa ứng dụng và máy chủ của nó.
Việc kiểm tra tính năng Cloud Sync của ứng dụng đã tiết lộ thêm rằng mọi người dùng đăng ký dịch vụ đều được gán một ID riêng biệt được tăng dần theo tuần tự. Người ta ước tính có 13.953 người dùng (bao gồm ESET) đã cài đặt FlyGram và kích hoạt tính năng Cloud Sync.
ESET cho biết họ đang tiếp tục theo dõi GREF như một cụm riêng biệt bất chấp báo cáo nguồn mở trước đó kết nối nhóm này với APT15 , với lý do thiếu bằng chứng chắc chắn.
Người dùng Android nên sử dụng phiên bản gốc của Signal và Telegram và tránh tải xuống các ứng dụng phân nhánh hứa hẹn nâng cao quyền riêng tư hoặc các tính năng bổ sung, ngay cả khi những ứng dụng đó có sẵn trên các cửa hàng ứng dụng chính thức.
Nguồn 🔗 BleepingComputer, TheHackerNews