WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Tin tặc Iran khai thác lỗ hổng VPN, cài backdoor vào hệ thống các tổ chức trên toàn thế giới
Trong một báo cáo mới công bố, các nhà nghiên cứu an ninh mạng tiết lộ bằng chứng tin tặc Iran đang nhắm mục tiêu vào hàng chục công ty và tổ chức tại Israel và trên toàn thế giới trong suốt 3 năm qua.
Chiến dịch tấn công an ninh mạng có tên Fox Kitten được cho là đã nhắm vào các công ty thuộc lĩnh vực CNTT, viễn thông, dầu khí, hàng không, chính phủ và an ninh.
"Tính đến thời điểm hiện tại, đây là một chiến dịch liên tục và toàn diện nhất từng được tiết lộ của Iran. Chiến dịch được sử dụng làm cơ sở hạ tầng trinh sát và cũng có thể được sử dụng như một nền tảng để phát tán và kích hoạt mã độc phá hoại như ZeroCleare và Dustman", các nhà nghiên cứu ClearSky cho hay.
Có liên quan đến các nhóm hacker như APT33, APT34 và APT39, các cuộc tấn công sử dụng phối hợp nhiều công cụ nguồn mở và công cụ tự phát triển, tạo điều kiện cho các nhóm đánh cắp thông tin nhạy cảm và tiến hành các cuộc tấn công chuỗi cung ứng nhắm vào các tổ chức.
Khai thác các lỗ hổng VPN để xâm nhập vào mạng doanh nghiệp
Hình thức tấn công chính được các nhóm hacker Iran sử dụng là khai thác các lỗ hổng VPN chưa được vá để xâm nhập và đánh cắp thông tin từ các công ty mục tiêu. Các hệ thống VPN thường bị khai thác bao gồm Pulse Secure Connect (CVE-2019-11510), Palo Alto Networks' Global Protect (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379) và Citrix (CVE-2019-19781).
ClearSky lưu ý rằng các nhóm hacker có thể lấy được quyền truy cập thành công vào các hệ thống cốt lõi của mục tiêu, thả mã độc và sau đó lây lan ra khắp hệ thống bằng cách khai thác "lỗ hổng 1-day (có bản vá nhưng chưa có mã khai thác PoC) trong thời gian tương đối ngắn".
Sau khi xâm nhập bước đầu thành công, các hệ thống nạn nhân bị điều khiển để liên lạc với các máy chủ C2 của kẻ tấn công và tải xuống một loạt các file VBScript tùy chỉnh. Các VBScript này sau đó có nhiệm vụ cài backdoor lên hệ thống.
Bản thân mã backdoor được tải xuống từng đoạn để tránh sự phát hiện của phần mềm diệt virus được cài đặt trên các máy tính lây nhiễm. Sau đó, một file được tải xuống có tên merg.bat sẽ có nhiệm vụ ghép các file riêng lẻ lại với nhau tạo ra một file thực thi.
Để thực hiện các nhiệm vụ này và duy trì sự tồn tại lâu dài, hacker khai thác các công cụ Juicy Potato và Invoke the Hash để có được các đặc quyền cấp cao và rà soát toàn mạng. Một số công cụ khác được phát triển bởi những kẻ tấn công bao gồm:
• STSRCheck - Một công cụ mapping cơ sở dữ liệu, máy chủ và các cổng mở trong mạng mục tiêu và tấn công brute-force bằng cách đăng nhập với thông tin đăng nhập mặc định.
• Port.exe - Một công cụ quét các cổng và máy chủ được xác định trước.
Sau đó, những kẻ tấn công chuyển sang giai đoạn cuối: thực thi backdoor để quét hệ thống bị tấn công để tìm kiếm thông tin và trích xuất file bằng cách thiết lập một kết nối remote desktop (sử dụng công cụ tự phát triển mang tên POWSSHNET) hoặc mở một kết nối socket đến địa chỉ IP được mã hóa cứng.
Ngoài ra, chúng còn sử dụng các web shell để liên lạc với các máy chủ trong hệ thống nạn nhân và tải các file trực tiếp lên máy chủ C2.
ClearSky nhấn mạnh các cuộc tấn công vào máy chủ VPN có thể liên quan tới 3 nhóm hacker Iran, APT33 ("Elfin"), APT34 ("OilRig") và APT39 (Chafer) bởi sự tương đồng trong các công cụ và phương pháp tiến hành của 3 nhóm này.
Chiến dịch tấn công an ninh mạng có tên Fox Kitten được cho là đã nhắm vào các công ty thuộc lĩnh vực CNTT, viễn thông, dầu khí, hàng không, chính phủ và an ninh.
Có liên quan đến các nhóm hacker như APT33, APT34 và APT39, các cuộc tấn công sử dụng phối hợp nhiều công cụ nguồn mở và công cụ tự phát triển, tạo điều kiện cho các nhóm đánh cắp thông tin nhạy cảm và tiến hành các cuộc tấn công chuỗi cung ứng nhắm vào các tổ chức.
Khai thác các lỗ hổng VPN để xâm nhập vào mạng doanh nghiệp
Hình thức tấn công chính được các nhóm hacker Iran sử dụng là khai thác các lỗ hổng VPN chưa được vá để xâm nhập và đánh cắp thông tin từ các công ty mục tiêu. Các hệ thống VPN thường bị khai thác bao gồm Pulse Secure Connect (CVE-2019-11510), Palo Alto Networks' Global Protect (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379) và Citrix (CVE-2019-19781).
Sau khi xâm nhập bước đầu thành công, các hệ thống nạn nhân bị điều khiển để liên lạc với các máy chủ C2 của kẻ tấn công và tải xuống một loạt các file VBScript tùy chỉnh. Các VBScript này sau đó có nhiệm vụ cài backdoor lên hệ thống.
Bản thân mã backdoor được tải xuống từng đoạn để tránh sự phát hiện của phần mềm diệt virus được cài đặt trên các máy tính lây nhiễm. Sau đó, một file được tải xuống có tên merg.bat sẽ có nhiệm vụ ghép các file riêng lẻ lại với nhau tạo ra một file thực thi.
Để thực hiện các nhiệm vụ này và duy trì sự tồn tại lâu dài, hacker khai thác các công cụ Juicy Potato và Invoke the Hash để có được các đặc quyền cấp cao và rà soát toàn mạng. Một số công cụ khác được phát triển bởi những kẻ tấn công bao gồm:
• STSRCheck - Một công cụ mapping cơ sở dữ liệu, máy chủ và các cổng mở trong mạng mục tiêu và tấn công brute-force bằng cách đăng nhập với thông tin đăng nhập mặc định.
• Port.exe - Một công cụ quét các cổng và máy chủ được xác định trước.
Sau đó, những kẻ tấn công chuyển sang giai đoạn cuối: thực thi backdoor để quét hệ thống bị tấn công để tìm kiếm thông tin và trích xuất file bằng cách thiết lập một kết nối remote desktop (sử dụng công cụ tự phát triển mang tên POWSSHNET) hoặc mở một kết nối socket đến địa chỉ IP được mã hóa cứng.
ClearSky nhấn mạnh các cuộc tấn công vào máy chủ VPN có thể liên quan tới 3 nhóm hacker Iran, APT33 ("Elfin"), APT34 ("OilRig") và APT39 (Chafer) bởi sự tương đồng trong các công cụ và phương pháp tiến hành của 3 nhóm này.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: