[Phân Tích] APT nhắm vào Tập đoàn dầu khí Việt Nam

Thảo luận trong 'Virus/Malware' bắt đầu bởi Sugi_b3o, 11/01/19, 02:01 PM lúc 2:14 PM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 268
    Đã được thích: 203
    Điểm thành tích:
    43
    Chia sẻ bài viết từ anh Kienmanowar về tấn công có chủ đích vào tập đoàn dầu khí Việt Nam.
    Mới đây, một người bạn nước ngoài thông báo cho tôi về sample có nội dung từ “Bộ Công Thương” gửi tới “Tập đoàn Dầu khí Việt Nam” như sau:


    [​IMG]
    Bạn còn nhắn tôi : “APT có vẻ thích Việt Nam nhỉ!!” …Tôi không biết là mình nên vui hay nên buồn :D

    1. Stage 1 — Phân tích sơ bộ
    Kiểm tra sơ bộ thấy sample này có chứa mã VBA, nhắm vào người sử dụng Office 2007+:


    [​IMG]
    Nội dung của VBA code như sau:


    [​IMG]

    [​IMG]
    VBA code thực hiện nhiệm vụ giải mã chuỗi Base64, sau đó tạo file Chrome.jstại thư mục C:\Windows\Tasks và lưu nội dung đã giải mã vào file này. Kiểm tra tiếp thông tin metadata liên quan:


    [​IMG]

    [​IMG]
    Như vậy, VBA code sẽ tạo schedule task để thực thi file Chrome.js.

    2. Stage 2 — Giải mã chuỗi Base64
    Có thể dùng VBA Editor của Word để debug và có được nội dung của chuỗi Base64. Tuy nhiên, khi đọc code thấy chuỗi Base64 này sẽ được giải mã 3 lần, thông qua CyberChef tôi có thể giải mã được mà không cần phải debug:


    [​IMG]
    Toàn bộ nội dung sẽ lưu vào Chrome.js sau khi giải mã:


    [​IMG]
    3. Stage 3 — Giải mã JS
    Chrome.js sẽ giải mã chuỗi base64 được lưu tại biến “c”, sau đó sẽ thực thi kết quả sau giải mã. Ta có nội dung giải mã của chuỗi Base64 trên như hình:


    [​IMG]
    Ta có được một powershell script với nội dung như sau:


    [​IMG]
    4. Stage 4 — Phân tích Powershell
    Tại thời điểm phân tích tôi vẫn kết nối được tới C2:


    [​IMG]
    Powershell sẽ kết nối tới C2 tại hxxp://154[.]16[.]37[.]122/GoogleUpdate/Update.php để đọc nội dung command từ Update.php vào biến $Cmd.

    Nội dung của Update.php như sau:


    [​IMG]

    [​IMG]
    Sử dụng wmic để lấy uuid và encode uuid này thành một chuỗi Base64:


    [​IMG]

    [​IMG]
    Cuối cùng cấu thành một Uri có chứa chuỗi uuid đã encode và kết nối tới uri này:


    [​IMG]

    [​IMG]
    Tới đây, tôi không thấy có thêm thông tin gì khác, cảm giác như kẻ tấn công chỉ muốn thăm dò xem người dùng có mở tài liệu này hay không để chuẩn bị cho một đợt tấn công khác!

    5. IoCs
    - Doc file: b22d7b196ca03b43f9b140732a3d317f328e5d5f53379c2520a0f05a17d6e617

    - C2: hxxp://154[.]16[.]37[.]122

    - Scheduled tasks: schtasks /create /sc MINUTE /tn “Chrome” /tr “C:\Windows\Tasks\Chrome.js” /mo 2 /F & schtasks /create /sc MINUTE /tn “Chrome” /tr “C:\Windows\Tasks\Chrome.js” /mo 2 /RU SYSTEM
    Hoặc phân tích trực quan hơn từ Sandbox của VMXRAY https://www.vmray.com/analyses/b22d7b196ca0/report/overview.html
    P.s: Đọc xong bài này cảm giác như chơi CTF mảng Crypto/RE vậy, đây là những kỹ thuật thường thấy trong các bài CTF. Hi vọng mọi người có thể thấy được mối liên hệ giữa CTF và làm ATTT hỗ trợ cho nhau như thế nào.
    Cám ơn a Kienmanowar đã chia sẻ bài viết bổ ích cho mọi người​
     
    Chỉnh sửa cuối: 11/01/19, 02:01 PM lúc 2:22 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    quangmen thích bài này.