Đầu tháng 11/2019, Cục An toàn thông tin đã phát đi cảnh báo chiến dịch tấn công APT với quy mô lớn nhắm vào Việt Nam. Đồng hành với Cục ATTT, CyRadar là đơn vị việc phát triển Công cụ Phát hiện và Tiêu diệt các mã độc APT có tên gọi Mustang Panda đó.

I. Tổng quan:

Bài viết này là bài Phân tích kỹ thuật chỉ ra điểm đặc trưng của 18 mẫu mã độc Mustang Panda mà chúng tôi có được từ tháng 4/2019 đến nay.

Dưới đây là tóm tắt một số đặc điểm của dòng Mustang Panda:

Cách thức phát tán mã độc: Qua email, đính kèm file nén .zip trong đó có chứa file .lnk (shortcut). Đôi khi hacker chiếm đoạt tài khoản email người dùng để làm nguồn gửi tệp đính kèm mã độc đến các cơ quan, tổ chức.

Một số file độc hại được đính kèm trong email của chiến dịch APT Mustang Panda tại Việt Nam.

Cách thức mã độc lây nhiễm gồm các bước sau:

  1. Sử dụng tệp .zip có chứa .lnk (shortcut của Windows).
  2. Sử dụng mẹo gắn thêm chữ doc như sau:.doc.lnk nhằm mục đích đánh lừa người dùng tin đây là một tệp văn bản thông thường.
  3. Tệp .lnk nhúng script độc hại, khi được nạn nhân mở lên sẽ bung ra file HTA, sau đó HTA bung ra VBScript, sau đó chia làm 2 cách
  • Một số mẫu bung tiếp ra file ps1 và thực thi PowerShell
  • Một số mẫu bung tiếp file .dll và sử dụng kỹ thuật DLL Side-Loading để thực thi
  1. Scripts độc hại sẽ tiến hành bung ra payload và mở tệp văn bản tài liệu.
  2. Payload được bung ra sẽ được thực thi ngầm với hành vi chính là chiếm quyền điều khiển máy tính, gián điệp.
Cách thức hoạt động của mã độc APT Mustang Panda.

II. Phân tích mã độc APT Mustang Panda

Như vậy, chúng tôi chia nhóm mã độc APT Mustang Panda làm 2 nhóm mẫu, chúng khác nhau ở bước thực thi mã độc khi người dùng mở file .lnk ra. Tập mẫu số 1 dùng PowerShell để thực thi, còn tập mẫu số 2 thì dùng Dll Side-Loading để thực thi.

Dưới đây là phân tích kỹ thuật chi tiết 2 nhóm mẫu đặc trưng của APT Panda Mustang:

2.1 Sample 1:

Sơ đồ hành vi mã độc:

Phân tích kỹ thuật

Tệp Zip mà hacker đính kèm trong email gửi tới nạn nhân.
Sau khi giải nén file .zip.

Nội dung command trong shortcut như sau:

%comspec% /c for %x in (%temp%=%cd%) do for /f “delims==” %i in (‘dir “%x\CV trao doi CAT Cao Bang.doc.lnk” /s /b’) do start m%windir:~-1,1%hta.exe “%i”

–> Đoạn script này có nhiệm vụ chạy mshta.exe với nội dung được nhúng vào tệp .lnk.

HTA script được nhúng trong tệp shortcut .lnk như hình dưới đây:

Nhiệm vụ của HTA trong sample này là thực thi một đoạn mã VBScript độc hại được định nghĩa sẵn nếu người dùng chạy file shortcut.

VBScript độc hại có nhiệm vụ bung ra file 3.ps1 (powershell script) trong thư mục
%TEMP% và sau đó thực thi.

Tệp 3.sp1 có các hành vi chính đánh lưu ý sau:

Hành vi thứ nhất: Dump ra payload và lợi dụng InstallUtil.exe (một file “sạch” của windows) để thực thi payload nhằm mục đích núp mình.

Payload có dạng tmp_XXX.dat tùy vào quyền thực thi admin/user mà chúng có thể ghi vào %TEMP% hoặc WINDIR\\debug\\.

Sử dụng Task Scheduler của Windows để cài đặt mã độc –> mã độc sẽ tự động khởi động cùng hệ thống, mã độc lợi dụng InstallUtil.exe để làm môi trường thực thi payload độc hại thông qua chạy Task Scheduler đã cài đặt với tên Security Script kbxxxxxxx.

Hành vi thứ hai: mã độc bung ra file .doc với nội dung thật và tiến hành mở file .doc nhằm mục đích tránh sự nghi ngờ của người dùng.

Phân tích hành vi payload độc hại

Thông tin payload.
Thông tin payload trên VirusTotal.

Payload được nhận diện là Cobaltstrike – một dạng payload chiếm quyền điều khiển máy tính, đánh cắp thông tin người dùng.

Phân tích nhanh payload tmp_xxxx.dat

Thực hiện decompiler payload với dnSpy

–> Payload sẽ thực hiện giải mã đoạn base64-một đoạn shellcode –> load shellcode vào memory có quyền Execute à Thực thi shellcode.

–> Shellcode có nhiệm vụ kết nối và tải xuống payload khác tại yahoorealtors[dot]com/Zrw9 (167[.]88[.]178[.]24), sau đó tiến hành thực thi lệnh được đẩy xuống từ C&C.

Tại thời điểm phân tích C&C đã đóng nên không tiến hành phân tích tiếp payload được tải xuống được.

Nhưng vào đầu năm 2019, CyRadar cũng nhận được tệp mẫu có cách thức tấn công rất giống đợt tấn công mạnh mẽ trong đợt này. Tại thời điểm đó chúng tôi phân tích thì C&C vẫn còn sống nên có thể khẳng định payload tải xuống là Cobaltstrike.

Một vài hình ảnh trong báo cáo phân tích đầu năm 2019 của chúng tôi dưới đây:

PowerShell script độc hại.
PowerShell script độc hại.
Payload mà mã độc bung ra.
Payload Cobaltstrike cuối cùng mà mã độc tải xuống.

Dựa vào cách thức tấn công và cách sử dụng payload của mã độc thì có thể khẳng định 2 nhóm này là một, chúng chuyên nhắm vào các cơ quan chính phủ Việt Nam.

2.2 Sample 2

Trong tệp mẫu chúng tôi nhận được thì phát hiện chúng còn sử dụng kỹ thuật DLL Side-Loading để thực thi payload độc hại.

Sơ đồ mã độc sử dụng kỹ thuật DLL Side-Loading – là kỹ thuật lợi dụng file thực thi (exe) “sạch” để load một file dll “fake” – đã bị sửa đổi, chèn vào các đoạn mã độc hại sau đó thực thi đoạn mã độc hại đó.

Sau khi chạy mã độc sẽ vẫn sử dụng HTA để kích hoạt VBScripts, sau đó sẽ drop ra 4 file và thực thi bao gồm:

  • File văn bản.
  • 3.exe
  • http_dll.dat
  • http_dll.dll

File 3.exe là 1 file “sạch” bị lợi dụng để chạy payload độc hại “http_dll.dll” – đã bị sửa đổi, http_dll.dll sẽ đọc file http_dll.dat –> giải mã à cấp quyền thực thi –> Thực thi.

Giải mã file .dat
Cấp quyền thực thi và thực thi.
Thông tin C&C sau khi giải mã.

Sau khi giải mã C&C mã độc sẽ thực hiện kết nối đến C2

Giải mã file .datCấp quyền thực thi và thực thiThông tin C&C sau khi giải mã

Sau khi giải mã C&C mã độc sẽ thực hiện kết nối đến C2

Mã độc sẽ tạo keyrun nhằm mục đích đảm bảo mã độc sẽ khởi động cùng máy tính.

Mã độc kết nối đến máy chủ điều khiển và nhận lệnh từ máy chủ bao gồm các hành vi:

  • Thực thi lệnh từ xa.
  • Upload/download File.
  • Đánh cắp thông tin.

III. Tổng kết:

Nhận định đây là loại mã độc rất tinh vi và nguy hiểm, với việc sử dụng nhiều kỹ thuật khác nhau thì chúng có thể vượt qua một số phần mềm diệt virus thông thường. Có thể thấy kẻ đứng sau những cuộc tấn công APT này phải có một tổ chức được đầu tư rất bài bản với quy mô lớn. Có nhiều chuyên gia an ninh mạng tin rằng nhóm hacker này hoạt động mạnh vào cuối năm 2018 chuyên nhắm đến chính phủ các nước ở Châu Á trong đó hoạt động rất mạnh mẽ ở Việt Nam.

Loại mã độc này chủ yếu nằm vùng, điều khiển hệ thống từ xa và đánh cắp các thông tin quan trọng gây nhiều thiệt hại đến an ninh thông tin.

Vậy chúng ta cần phải làm gì để xử lý và phòng chống tấn công?

  • Để diệt, kiểm tra xem máy tính có bị nhiễm mã độc hay không thì cá nhân/ tổ chức hãy sử dụng công cụ tại đây. (Công cụ do CyRadar phát triển)
  • Không mở tài liệu, link từ những email lạ, nghi ngờ nếu có phải gửi cho an ninh bảo mật kiểm tra trước khi mở.
  • Triển khai các hệ thống giám sát APT.
  • Cài đặt, cập nhật các phần mềm diệt virus thế hệ mới.
  • Cập nhật các bản vá phần mềm, hệ điều hành.

IV. IOCs

4.1 C&C

adobephotostage[.]com

olk4[.]com

apple-net[.]com

wbemsystem[.]com

yahoorealtors[.]com

airdndvn[.]com

officeproduces[.]com

web.adobephotostage[.]com

web.officeproduces[.]com

up.officeproduces[.]com

we.officeproduces[.]com

download.officeproduces[.]com

207.148.12[.]47

167.88.178[.]24

167.88.178[.]118

144.202.54[.]86

185.239.226[.]19

185.239.226[.]61

45.77.209[.]52

4.2 CheckSum:

165F8683681A4B136BE1F9D6EA7F00CE

9FF1D3AF1F39A37C0DC4CEEB18CC37DC

4FE276EDC21EC5F2540C2BABD81C8653

43067F28DC5208D4A070CF3CC92E29FB

11ADDA734FC67B9CFDF61396DE984559

08F25A641E8361495A415C763FBB9B71

01D74E6D9F77D5202E7218FA524226C4

6198D625ADA7389AAC276731CDEBB500

9B39E1F72CF4ACFFD45F45F08483ABF0

748DE2B2AA1FA23FA5996F287437AF1B

5F094CB3B92524FCED2731C57D305E78

9A180107EFB15A00E64DB3CE6394328D

05CF906B750EB335125695DA42F4EAFC

F62DFC4999D624D01E94B89946EC1036

AA115F20472E78A068C1BBF739C443BF

CE78EA4ED30DBDF6BEA66561636298F0

684EE90242C8552561EE58EE66016640

B9C10D6E459061CA6304BCCD7C94A471

B21E62DADB1025EC6A2AF5687181E615

1CFC63AE45DB955B2C007203CB9C28EA

EC498C5971B73925816BCC4A65E1E63E

AF6BAFEC6C704B937D5386F0A420DF03

73E084D0AFE665D4F064190753CF0F4F

49BDCE3AFDB2BB8996EC1F7500B6BD0C

CA775717D000888A7F71A5907B9C9208

690E181E26925F2234CFCC077C34CA00

26B444E01A080E9DBAFA9387929BF9DE

34F9A39E028A14C43A3C0826A1F4655D

3F8A8D0133BFFE2C065891475DEE8284

Theo CyRadar

Tin liên quan: