Tấn công có chủ đích nhắm vào các tổ chức của Việt Nam trên diện rộng

November 1, 2019 | vietsunshine

Theo báo cáo của đội ngũ chuyên gia Hiệp hội An toàn thông tin Việt Nam (VNISA), hiện đang có đợt tấn công có chủ đích (APT) nhằm vào các tổ chức của Việt Nam trên diện rộng.

Bước đầu truy tìm, VNISA xác định tấn công có chủ đích bắt nguồn từ nhóm tin tặc Trung Quốc, tổ chức tin tặc này được phát hiện lần đầu tiên vào tháng 7/2018.

1. Tóm tắt tình hình

Mục tiêu tấn công

Dựa vào các tài liệu tổ chức tin tặc sử dụng để tấn công có chủ đích (APT), chúng tôi xác định mục tiêu tấn công của tin tặc vào các tổ chức, cơ quan chính phủ, doanh nghiệp của một số quốc gia trong đó có Việt Nam.

Hình thức tấn công

Lây nhiễm bằng cách lừa người dùng mở file .lnk có đính kèm mã độc VBScript, tải và thực thi các mã độc PlugX và Cobalt Strike chiếm quyền điều khiển máy của nạn nhạn và kết nối với máy chủ điều khiển từ xa.

Con đường lây nhiễm

  • Trong file zip có chứa file “.lnk” là một dạng file Windows Shortcut có hiển thị giống như file văn bản bình thường.
  • Lừa người dụng mở file, kích hoạt mã độc bằng cách đặt tên file có dạng “sample.doc.lnk”
  • HTA (HTML Application) có VBScript có chứa trong file “.lnk” được kích hoạt thực thi.
  • Tải về các payload mã độc và file pdf để che mắt người dùng.
  • Thực thi payload bằng PlugX và Cobalt Strike, kết nối đến máy chủ điều khiển từ xa.

2. Chi tiết các thông tin về tấn công có chủ đích (APT)

Tài liệu mồi được sử dụng để tấn công

Document – 1
Document Title – TCO BT574.doc
Sample – 05CF906B750EB335125695DA42F4EAFC
Payload – Cobalt Strike
Submission date – 8/29/2019 1:27:41 AM

tài liệu sử dụng để tấn công APT_1

Document – 2
Document Title – 32_1.PDF
Sample – 9A180107EFB15A00E64DB3CE6394328D
Payload – Cobalt Strike Beacon
Submission date – 8/26/2019 6:28:40 AM

tài liệu sử dụng để tấn công APT_2

Các dấu hiệu nhận diện

Danh sách các file được sử dụng làm mồi nhử nạn nhân

STTMD5Link Creation DateFile NamePayload
1165F8683681A4B136BE1F9D6EA7F00CE11/21/10 3:24chuong trinh dang huong.doc.lnkCobalt strike
29FF1D3AF1F39A37C0DC4CEEB18CC37DC11/21/10 3:24European.lnkPlugX
34FE276EDC21EC5F2540C2BABD81C865311/21/10 3:24S_2019_50_E.lnkPlugX
443067F28DC5208D4A070CF3CC92E29FB11/21/10 3:23no_nameCobalt strike
511ADDA734FC67B9CFDF61396DE98455911/21/10 3:24Chuong trinh hoi nghi.doc.lnkCobalt strike
608F25A641E8361495A415C763FBB9B7111/21/10 3:24GIAY MOI.doc.lnkCobalt Strike
701D74E6D9F77D5202E7218FA524226C411/21/10 3:24421 CV.doc.lnkCobalt Strike
86198D625ADA7389AAC276731CDEBB50011/21/10 3:24GIAYMOI.doc.lnkCobalt strike
99B39E1F72CF4ACFFD45F45F08483ABF011/21/10 3:24CV trao doi CAT Cao Bang.doc.lnkCobalt strike
10748DE2B2AA1FA23FA5996F287437AF1B11/20/10 21:29cf56ee00be8ca49d150d85dcb6d2f336.jpg.lnkPlugX
115F094CB3B92524FCED2731C57D305E7811/21/10 3:24Daily News (19-8-2019)(Soft Copy).lnkPlugX
129A180107EFB15A00E64DB3CE6394328D11/21/10 3:2432_1.PDF.lnkCobalt strike
1305CF906B750EB335125695DA42F4EAFC11/21/10 3:24TCO BT 574.doc.lnkCobalt strike
14F62DFC4999D624D01E94B89946EC103611/21/10 3:24sach tham khao Bo mon.docx.lnkPlugX
15CA775717D000888A7F71A5907B9C920811/21/10 3:24tieu luan ve quyen lam chu cua nhan dan.docx.lnkPlugX
16AA115F20472E78A068C1BBF739C443BF11/21/10 3:24vai tro cua nhan dan.doc.lnkPlugX
1711511b3d69fbb6cceaf1dd0278cbedfb11/21/10 3:24For National Department Sar KNU JMC people Meeting 2019.lnkPlugX

 

Domain và IP của các máy chủ điều khiển từ xa

STTDomainIPs Thời gian tìm thấy
1adobephotostage.com50.63.202.946/29/19 22:03
2adobephotostage.com50.63.202.676/24/19 16:30
3adobephotostage.com50.63.202.826/7/19 1:31
4adobephotostage.com184.168.221.946/22/19 3:30
5adobephotostage.com184.168.221.826/19/19 14:24
6adobephotostage.com184.168.221.716/10/19 6:57
7adobephotostage.com50.63.202.736/1/19 9:49
8adobephotostage.com207.148.12.476/7/18 10:05
9adobephotostage.com149.28.74.416/4/18 11:33
10adobephotostage.com207.148.78.1015/31/18 3:26
11adobephotostage.com149.28.74.1495/24/18 7:19
12adobephotostage.com50.63.202.595/22/18 20:29
13olk4.com198.54.117.2009/11/19 23:17
14olk4.com198.54.117.1998/3/19 1:29
15olk4.com198.54.117.1978/3/19 1:29
16olk4.com198.54.117.1988/3/19 1:29
17olk4.com162.255.119.1507/25/19 8:20
18apple-net.com167.88.180.1486/12/19 23:41
19apple-net.com167.88.177.2243/22/19 3:11
20apple-net.com167.88.180.310/29/18 12:21
21apple-net.com45.248.87.1410/21/18 18:20
22apple-net.com91.195.240.1178/6/18 7:08
23apple-net.com103.224.182.2504/25/18 11:40
24wbemsystem.com167.88.177.2247/29/19 0:00
25yahoorealtors.com167.88.178.247/4/19 13:00
26yahoorealtors.com185.239.226.196/25/19 0:00
27yahoorealtors.com185.239.226.194/3/19 1:17
28yahoorealtors.com45.77.209.521/18/18 7:11
29infosecvn.com167.88.178.1188/27/19 2:14
30infosecvn.com185.239.226.617/10/18 1:02
31infosecvn.com45.77.184.125/30/18 16:29
32airdndvn.com167.88.178.1186/27/19 0:00
33airdndvn.com185.239.226.616/14/18 9:43
34airdndvn.com45.77.184.125/31/18 13:50
35officeproduces.com45.32.50.1507/25/19 7:10
36web.adobephotostage.com
37Web.officeproduces.com:8080
38Up.officeproduces.com
39We.officeproduces.com
40Download.officeproduces.com:443
41geocities.jp
42update.olk4.com:53
43www.cab-sec.com167.88.180.15
4443.254.217.67
45154.221.24.47
46144.202.54.86

 

Các URL mã độc

STTURL
1http://144.202.54.86/vkt2
2http://144.202.54.86/download/Mau2.hta
3http://144.202.54.86/download/Mau%20cam%20ket%20danh% 20cho%20Chua%20Dang%20vien.docx
4http://airdndvn.com/6CDC9F833C87FB661DBB9339
5http://www.wbemsystem.com/B2FC407BB86E8219/397A4853
6web.officeproduces.com:8000/update?wd=1b1fe9aa
7154.221.24.47/HaQ3

 

Các mã băm hash

STTMã băm hash
1165F8683681A4B136BE1F9D6EA7F00CE
29FF1D3AF1F39A37C0DC4CEEB18CC37DC
34FE276EDC21EC5F2540C2BABD81C8653
443067F28DC5208D4A070CF3CC92E29FB
511ADDA734FC67B9CFDF61396DE984559
608F25A641E8361495A415C763FBB9B71
701D74E6D9F77D5202E7218FA524226C4
86198D625ADA7389AAC276731CDEBB500
99B39E1F72CF4ACFFD45F45F08483ABF0
10748DE2B2AA1FA23FA5996F287437AF1B
115F094CB3B92524FCED2731C57D305E78
129A180107EFB15A00E64DB3CE6394328D
1305CF906B750EB335125695DA42F4EAFC
14F62DFC4999D624D01E94B89946EC1036
15CA775717D000888A7F71A5907B9C9208
16AA115F20472E78A068C1BBF739C443BF

Nguồn: VNISA

Xem thêm: FIREEY E – Giải pháp phòng chống APT và tấn công có chủ đích

Tags: ,