CobaltStrike – Reallife APT Attack hay chỉ là diễn tập?

CobaltStrike – Reallife APT Attack hay chỉ là diễn tập?

CobaltStrike chắc chẳng phải cái tên xa lạ gì trong giới Security đặc biệt là với các Malware Reseachers. Gần đây các nhóm APT sử dụng CobaltStrike khá phổ biến để tấn công các đối tượng được chúng nhắm đến. Trong khuôn khổ bài blog này, chúng tôi không đi sâu vào kĩ thuật phân tích loại mã độc này như thế nào mà chỉ đưa ra phân tích, nhận định về 1 case thực tế vừa mới bắt gặp.

 

Ngày 25/06/2020, Đơn vị X – Tổ chức Diễn tập quốc tế cho nhiều bộ, ban ngành và các đơn vị trong nước. Cuộc diễn tập diễn ra thành công tốt đẹp, tuy nhiên, trong thời gian diễn tập lại xảy ra một chiến dịch phát tán mã độc có chủ đích vào các thành viên tham gia diễn tập.

 
 

Thông tin email phishing:

-          Subject: [Tài liệu hướng dẫn sử dụng hệ thống diễn tập XXXX 2020]

-          From: vietanhdao830@gmail.com – có thể là 1 thành viên tham gia diễn tập bị compromised

-          To: Tất cả thành viên tham gia diễn tập XXX tại điểm cầu Hồ Chí Minh ngày 25/06/2020 do đơn vị XXX tổ chức.

-          Thời gian: 25/06/2020 14:42

-          Nội dung:

o   Giả mạo việc gửi tài liệu lịch trình diễn tập XXX 2020 ngày 25/06/2020 do đơn vị XXX tổ chức.

o   Link tài liệu: https[:]//bit[.]ly/3fWOHEi

Link tài liệu được redirect đến một đường link khác thuộc https[:]//stneuedu-my.sharepoint[.]com/

 

Thông tin đường link tải mã độc:

-          Đây là link để download tệp tin Chương trình Hội thảo - Diễn tập Asean-JP.zip

-          Địa chỉ stneuedu-my.sharepoint[.]com là địa chỉ sharepoint cloud của trường Đại học X. Các sinh viên dùng email để đăng nhập vào hệ thống này và dùng để chia sẻ file và tài liệu học tập.

Theo đường link tải mã độc, xem chi tiết hơn về thông tin file trên :

-          Ngày upload: 24/06/2020 22:27 (Modified: 25/06/2020 12:27)

-          Người upload: Nguyễn Thị Y – MSSV xxx95905  – ĐH X

 

            Với các thông tin trên chúng tôi chỉ là dự đoán rơi vào 02 trường hợp:

-          Tài khoản của sinh viên này bị compromised bởi attacker để lợi dụng cho việc upload mã độc.

-          Tài khoản quản trị Sharepoint cloud của ĐH X có thể bị compromised

 

Phân tích chi tiết tệp tin mã độc

-          File Name: Chương trình Hội thảo - Diễn tập Asean-JP.zip

-          File Size: 399 KB

-          MD5 Hash: A039B772B147B3F1AB116AB554B8D3B0

-          File Type: zip format. Giải nén ra file PE Chương trình Hội thảo - Diễn tập Asean-JP.pdf                                      .exe.

 

 

Tệp tin Chương trình Hội thảo - Diễn tập Asean-JP.zip là file nén, sau khi giải nén ra tệp tin giả mạo tài liệu PDF “Chương trình Hội thảo - Diễn tập Asean-JP.pdf                                      .exe”. Ở đây có thể thấy attacker đã cố tình giả mạo phần mở rộng của tên file là .pdf kèm theo nhiều ký tự trắng để ẩn dấu khỏi người dùng phần mở rộng thực sự của file PE độc hại (Nếu người dùng không kéo rộng thanh Name để view hết tên file).

Thông tin tệp tin được giải nén:

-          File Name: Chương trình Hội thảo - Diễn tập Asean-JP.pdf                                      .exe

-          File Size: 758.64 KB

-          MD5 Hash: 1F9C37E4C38ED12E155502A234951640

-          File Type: PE file

Qua phân tích sâu, tệp tin được giải nén làm 02 nhiệm vụ:

 

-          Nhiệm vụ 01: Load đoạn shellcode lên và thực thi đoạn shellcode trên bộ nhớ.

 

o   Đoạn shellcode có nhiệm vụ tải payload của CobaltStrike về từ địa chỉ http[:]//45.77.249[.]92:443/mh7P

o   Thực thi payload để nhận lệnh từ C&C 45.77.249.92:443

 

-          Nhiệm vụ 02: Dump ra tệp tin PDF có nội dung để người dùng tưởng như mở tệp tin PDF thật theo đường dẫn: %username%\Documents\Chương trình Hội thảo - Diễn tập Asean-JP.pdf (trong đó %username% là thư mục profile của người dùng hiện tại. Ví dụ: C:\users\admin).

 

Nội dung tệp tin pdf này cũng chính là nội dung của Đơn vị X gửi đến các thành viên tham gia diễn tập trước đó. Điều này có thể khả năng máy tính của thành viên tham gia diễn tập có địa chỉ vietanhdao830@gmail.com đã bị compromised từ trước.

 

 

Kết luận

Việc lợi dụng chương trình diễn tập để gửi nội dung phishing như trên là cực kỳ có chủ đích và khó nhận biết. Điều này chứng tỏ các tổ chức tấn công có chủ đích sử dụng APT nguy hiểm đến mức nào. Với các thông tin có được cũng chứng tỏ có khả năng một số cá nhân, tổ chức đã bị compromised bởi attacker để lợi dụng vào việc tấn công này. Bên cạnh đó, với nhiều người tham gia diễn tập nhận được email phishing kia, liệu có ai đã lỡ tay download về và không kiểm tra thông tin trước khi click mở file mã độc lên không? Điều này thì chỉ những thành viên ấy mới xác minh được!

 

Thông tin IOC

-          C&C: 45.77.249.92

-          URL payload: http[:]//45.77.249[.]92:443/mh7P

-          URL tải mã độc:

+https[:]//bit[.]ly/3fWOHEi

+https[:]//stneuedu-my.sharepoint[.]com/personal/11195905_st_neu_edu_vn/_layouts/15/onedrive.aspx?id=%2Fpersonal%2F11195905%5Fst%5Fneu%5Fedu%5Fvn%2FDocuments%2FCh%C6%B0%C6%A1ng%20tr%C3%ACnh%20H%E1%BB%99i%20th%E1%BA%A3o%20%2D%20Di%E1%BB%85n%20t%E1%BA%ADp%20Asean%2DJP%2Ezip&parent=%2Fpersonal%2F11195905%5Fst%5Fneu%5Fedu%5Fvn%2FDocuments&originalPath=aHR0cHM6Ly9zdG5ldWVkdS1teS5zaGFyZXBvaW50LmNvbS86dTovZy9wZXJzb25hbC8xMTE5NTkwNV9zdF9uZXVfZWR1X3ZuL0VWY3lTYWJLTUhwRHBTemZtQS1ZVXNvQnA0VUdxdUJiUjg3cFdtR2ZuSnVEcXc_cnRpbWU9eWl3Y1JTTVoyRWc

-          MD5 Hash:

+File zip: A039B772B147B3F1AB116AB554B8D3B0

+File PE: 1F9C37E4C38ED12E155502A234951640

+File payload mh7P: 3A59F4EDBE2CA3C0A3D025E740D85CAA

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message