Rehashed RAT được sử dụng trong APT Campaign chống lại các tổ chức Việt Nam

Gần đây, FortiGuard Labs đã gặp một số tài liệu nhiễm mã độc khai thác lỗ hổng CVE-2012-0158. Để tránh nạn nghi ngờ từ nạn nhân, các tệp RTF...

Gần đây, FortiGuard Labs đã gặp một số tài liệu nhiễm mã độc khai thác lỗ hổng CVE-2012-0158. Để tránh nạn nghi ngờ từ nạn nhân, các tệp RTF này sẽ thả các tài liệu mồi chứa văn bản theo chủ đề chính trị về nhiều thông tin liên quan đến chính phủ Việt Nam. Người ta tin rằng trong một báo cáo gần đây rằng chiến dịch hacking nơi những tài liệu này đã được sử dụng được điều khiển bởi nhóm hacker Trung Quốc 1937CN.

Liên kết tới nhóm đã được tìm thấy thông qua các tên miền độc hại được sử dụng làm máy chủ lệnh và kiểm soát bởi kẻ tấn công. Trong bài viết này, chúng tôi sẽ tìm hiểu về phần mềm độc hại được sử dụng trong chiến dịch này và sẽ cố gắng cung cấp nhiều đầu mối hơn cho người khởi xướng chiến dịch này.

[​IMG]

[​IMG]

Mẫu tài liệu​


Khi tài liệu được mở ra, mã độc thả một số tệp trong một trong những thư mục sau:

%AppData%\Microsoft\Credentials

%AppData%\Microsoft\SystemCertificates

%AppData%\Microsoft\Windows\Templates


Một số mẫu thả các tệp sau:

SC&Cfg.exe – signed legitimate McAfee AV application

Vsodscpl.dll – contains the malware file


Những mẫu khác thả các tập tin sau đây:

Systemm.exe - signed legitimate GoogleUpdate.exe version 1.3.30.3

Systemsfb.ebd - encrypted blob containing malware file

Goopdate.dll – decrypter and loader of malware file


Tương tự như các cuộc tấn công khác của APT, chẳng hạn như MONSOON APT, APT này sử dụng tấn công DLL để trốn tránh các công nghệ giám sát hành vi của các chương trình an ninh.

DLL Hijacking

DLL hijacking là một kỹ thuật được sử dụng bởi một số phần mềm độc hại APT trong đó thay vì ứng dụng hợp pháp (.exe) tải các DLL lành tính, ứng dụng bị lừa vào tải một DLL chứa mã độc hại. Kỹ thuật này được sử dụng để tránh Host Intrusion Prevention System (HIPS) của các chương trình bảo mật giám sát các hành vi của các tập tin executive.

Hầu hết các công cụ HIPS whitelist chữ ký vào các tập tin hoặc files đáng tin cậy, do đó loại trừ phần mềm độc hại được tải bằng cách sử dụng DLL chiếm quyền điều khiển bằng các file đã đăng ký từ giám sát hành vi.

Trong bối cảnh cuộc tấn công này, taskeng.exe và SC & Cfg.exe đã đăng ký các ứng dụng hợp pháp; tuy nhiên, họ bị lừa khi tải phần mềm độc hại được ngụy trang dưới dạng tệp Goopdate.dll và Vsodscpl.dll hợp pháp.

[​IMG]

[​IMG]

Taskeng.exe and SC&Cfg.exe file information​

Tiếp theo, Taskeng.exe cần tải và nhập một số chức năng từ tệp Goopdate.dll gốc; tuy nhiên, Goopdate.dll bị tấn công để chứa mã độc hại, có hiệu quả thay đổi việc thực hiện mã ban đầu để thực hiện mã độc hại.

[​IMG]

Đoạn trích từ taskenge.exe load goopdate.dll​

Theo cùng một cách, SC & Cfg.exe nhập vào các "dll_wWinMain" chức năng từ vsodscpl.dll ban đầu, nhưng DLL này đã bị tấn công và cũng có chứa mã độc hại.

[​IMG]

Bảng nhập SC & Cfg.exe có chứa import từ vsodscpl.dll​

Một khi các DLL độc hại được nạp, các DLL giải mã (từ psisrndrx.ebd (trường hợp đầu tiên) hoặc từ phần body của nó (trường hợp 2)) và tải một Trojan downloader. Trojan downloader là một file DLL. Nó không được lưu trên đĩa cứng nhưng được thực hiện trong bộ nhớ. Ngoài ra, Trojan downloader thực tế trong bộ nhớ khi dump sẽ không chạy. Điều này là do 'MZ' trong IMAGE_DOS_HEADER, stub DOS và chữ ký 'PE' đã được cố tình xóa. Điều này đã được thực hiện để ngăn chặn các tập tin dumped được phân tích đúng trong một trình sửa lỗi và decompiler, tuy nhiên, chúng ta có thể dễ dàng sửa chữa bãi chứa bằng cách thêm 'MZ', một stub DOS và chữ ký 'PE'.

[​IMG]

Missing header items as anti-analysis​

Trình tải xuống Trojan này tải về một RAT (Remote Access Trojan), tôi sẽ gọi là "NewCore" RAT, từ các domain sau:

web.thoitietvietnam.org

dalat.dulichovietnam.net

halong.dulichculao.com


Trojan Downloader

Trình tải Trojan đầu tiên tạo ra một mục nhập registry tự khởi động để nó chạy bất cứ khi nào máy khởi động lại:

HKLM/HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Windows Media = “%AppData%\Microsoft\Credentials\.exe”


Là một anti-VM, nó kiểm tra xem môi trường có khóa registry:

HKCR\Applications\VMwareHostOpen.exe

Trước khi có thể tải về NewCore RAT, nó cần phải gửi các thông tin sau đến máy chủ C&C:
  • OS version
  • Processor speed
  • Number of processors
  • Physical memory size
  • Computer name
  • User name
  • User privilege
  • Computer IP address
  • Volume serial number
Các thông tin trên được chuyển đổi sang biểu diễn chuỗi hex của nó, và sau đó được gửi đến máy chủ C&C thông qua HTTP GET:

[​IMG]

GET request đến C&C server​

Response là một dữ liệu được mã hóa XOR bao gồm NewCore RAT được mã hóa.

[​IMG]

Response from the server​

[​IMG]

Giải mã XOR của response từ máy chủ C&C​

NewCore Remote Access Trojan

Tôi đã đặt tên NewCore RAT này sau khi chúng tôi tìm thấy tên dự án được sử dụng bởi tác giả, được chỉ ra trong chuỗi tệp PDB sau:

[​IMG]
Malware project name​

Theo tem thời gian biên dịch của nó, phần mềm độc hại này được biên soạn vào ngày 16 tháng 3 năm 2017.

[​IMG]

Compilation time​

Tuy nhiên, theo văn bản này, chỉ có một vài công cụ Antivirus, bao gồm Fortinet phát hiện phần mềm độc hại này theo VirusTotal.

[​IMG]

VirusTotal positives​

RAT này là một tệp DLL. Các hành vi độc hại của nó được chứa trong chức năng import của nó "ProcessTrans". Nó cung cấp cho các chức năng các máy chủ C&C và một xử lý với các máy chủ C&C session trên mạng. Trong trường hợp này, phát hiện Heuristic dựa trên hành vi sẽ không hoạt động trên DLL độc lập.


RAT này có khả năng như sau:
  • Shutdown the machine
  • Restart the machine
  • Get disk list
  • Get directory list
  • Get file information
  • Get disk information
  • Rename files
  • Copy files
  • Delete files
  • Execute files
  • Search files
  • Download files
  • Upload files
  • Screen monitoring
  • Start command shell
[​IMG]

Shutdown and restart machine commands​


[​IMG]

File manager, monitor screen, command shell commands​


[​IMG]

File manager subcommands​

Dựa trên các chuỗi tìm thấy trong body của nó, phần mềm độc hại này có thể đã được bắt nguồn từ backcalls PcClient và PcCortr có mã nguồn được công bố công khai. Đặc biệt là các diễn đàn viết mã tiếng Trung. Các phát hiện PcClient thường bao gồm PcCortr.

[​IMG]

Chuỗi liên quan đến các mô-đun PcCortr​

[​IMG]

Các mã nguồn PcClient và PcCortr có thể được tải về từ các diễn đàn viết mã của Trung Quốc.​

PcClient đã được sử dụng trong quá khứ bởi một số nhóm APT như Nitro, cũng đã được liên kết với một hacker ở Trung Quốc.

Theo chuỗi tệp PDB được nhúng trong cơ thể RAT NewCore, người tạo project là người sử dụng handle "hoogle168".

[​IMG]

Chúng tôi có ít đầu mối về việc ai là người này, vì vậy chúng tôi đã cố gắng tìm kiếm thông tin về xử lý này. Cuộc điều tra của chúng tôi dẫn chúng tôi đến một số trang diễn đàn ngôn ngữ Trung Quốc. Nhìn vào các diễn đàn này, có vẻ như một người dùng sử dụng trình điều khiển "hoogle168" rất tích cực trên một diễn đàn mã hóa nhất định và thông thạo về C và VC ++. Người sử dụng này thậm chí đã trả lời một chủ đề và đưa ra lời khuyên về những gì để tìm hiểu để phát triển phần mềm điều khiển từ xa. Chúng tôi không biết chắc chắn nếu người này là tác giả của NewCore.

Solution:
Để ngăn kích hoạt tính năng khai thác RTF này, điều quan trọng là phải áp dụng các bản vá lỗi do Microsoft đưa ra để đề cập đến lỗ hổng CVE-2012-0158. Fortinet cũng bao gồm phát hiện các mối đe dọa này như là khai thác MSOffice / Dropper !.VE20120158 cho các tập tin RTF độc hại, và W32 / NewCore.A! Tr.bdr cho payload. Các URL C&C cũng bị chặn sử dụng Bộ lọc Web FortiGuard của Fortinet.

Conclusion:
NewCore RAT có thể chỉ là một PcClient RAT đã được sửa lại nhưng nó tỏ ra có hiệu quả trong việc tránh sự phát hiện AV bằng cách sử dụng một sự kết hợp của các kỹ thuật đơn giản như tấn công DLL, không ít tệp thực thi của phần mềm độc hại đã tải xuống và chuyển thông tin C&C dưới dạng thông số từ trình tải xuống vào tệp đã tải xuống.


P/s: "Lời cảm ơn từ Fortiguard Labs đến Tien Phan(I don’t who is this guy) vì những kiến thức thiếu sót."
Nguồn: Blog of Fortigate Blog, Fortiguard Labs topic về tấn công APT.

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,169,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
Nhựt Trường - Chia sẻ kiến thức miễn phí: Rehashed RAT được sử dụng trong APT Campaign chống lại các tổ chức Việt Nam
Rehashed RAT được sử dụng trong APT Campaign chống lại các tổ chức Việt Nam
https://lh6.googleusercontent.com/--u6bSyztmhYtKC0HUoYVggnARYaIIc2I233huZ_FEb3O1EfQDdGq1KkpUVpltifxMh3rmumv3IwXYZ0RVutq2EEcYTiaYTZrNdj_2-r5ChQoxGdrX0BU7xPdM1mm_T1e7qPIRzV
https://lh6.googleusercontent.com/--u6bSyztmhYtKC0HUoYVggnARYaIIc2I233huZ_FEb3O1EfQDdGq1KkpUVpltifxMh3rmumv3IwXYZ0RVutq2EEcYTiaYTZrNdj_2-r5ChQoxGdrX0BU7xPdM1mm_T1e7qPIRzV=s72-c
Nhựt Trường - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2017/09/rehashed-rat-uoc-su-dung-trong-apt.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2017/09/rehashed-rat-uoc-su-dung-trong-apt.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content