Một vài khái quát, phân tích kỹ thuật, kịch bản tấn công, danh sách các IOC( mã hash, domain, IP) về APT sparklinggoblin mới mà mình thu thập được, mà mình thu thập được, mà mình thu thập được. Một vài khái quát, phân tích kỹ thuật, kịch bản tấn công, danh sách các IOC( mã hash, domain, IP) về APT sparklinggoblin mới mà mình thu thập được, mà mình thu thập được, mà mình thu thập được
Truyền thông Hoa Kỳ, nhà bán lẻ nhắm mục tiêu SparklingGoblin APT mới: APT sử dụng backdoor khơng có giấy tờ để xâm nhập vào lĩnh vực giáo dục, bán lẻ phủ SideWalk nguy hiểm CROSSWALK https://twitter.com/cipherstorm/status/1430549290871529473 https://www.welivesecurity.com/2021/08/24/sidewalk-may-be-as-dangerous-as-crosswalk/ APT sử dụng backdoor khơng có giấy tờ để xâm nhập vào lĩnh vực giáo dục, bán lẻ phủ Một cybergang quốc tế mở rộng mục tiêu bao gồm công ty truyền thông Bắc Mỹ, trường đại học nhà bán lẻ máy tính Nhóm APT tên SparklingGoblin sử dụng backdoor SideWalk, dùng để thâm nhập vào hệ thống phòng thủ an ninh mạng SparklingGoblin, theo nhà nghiên cứu ESET, người đặt tên phát nhóm tội phạm backdoor, nhánh Nhóm APT Winnti khác, xác định lần vào năm 2013 Kaspersky ESET cho biết báo cáo hôm thứ Ba backdoor SideWalk tương tự backdoor Winnti sử dụng có tên Crosswalk Crosswalk SideWalk, theo ESET, “backdoor mô-đun sử dụng để lấy thơng tin hệ thống chạy shellcode máy chủ C&C gửi” Nhóm, trước tập trung công vào khu vực Macao, Hồng Kông Đài Loan vào năm 2020, tích cực nhắm mục tiêu nạn nhân thông qua chiến dịch bán lẻ bao gồm loạt payload độc hại bao gồm tệp PDF (với tệp LNK), giả mạo Trình phát Adobe Flash bị bẫy Các tệp JavaScript Các nhà nghiên cứu đưa giả thuyết thỏa hiệp ban đầu nạn nhân bao gồm hố nước Sự đời APT ESET cho biết lần họ biết đến SparklingGoblin vào tháng năm 2020 theo dõi Winnti APT Các nhà nghiên cứu cho biết họ tình cờ gặp trình đóng gói phần mềm độc hại bất thường sử dụng để cung cấp payload độc hại cho nạn nhân Một phân tích phần mềm độc hại bên trình đóng gói tiết lộ “các mẫu có chứa vật từ Equation Group Winnti Group,” nhà nghiên cứu viết phân tích Equation Group, liên kết với Cơ quan An ninh Quốc gia Hoa Kỳ, có nhiều bí mật bị rị rỉ trực tuyến nhóm có tên ShadowBrokers vào năm 2017 “payload mẫu phận cấy ghép quy cho Equation Nó gọi PeddleCheap (A.K.A DanderSosystemz) theo tên dự án thấy rò rỉ Shadow Brokers, ”các nhà nghiên cứu ESET viết Các nhà nghiên cứu ESET cho biết phân tích sâu cho thấy phần mềm độc hại có liên quan đến Winnti, khác biệt rõ ràng theo cách khác ESET viết: “Mặc dù chiến dịch thể liên kết đến Winnti Group, phương thức hoạt động khác biệt chúng tơi bắt đầu theo dõi tác nhân đe dọa riêng biệt (SparklingGoblin) Các báo độc đáo bao gồm phiên Crosswalk lần sử dụng biến thể PlugX có tên Korplug kết hợp với việc sử dụng Google Tài liệu làm nơi lưu trữ payload độc hại - gọi trình giải thả chết “Sau thỏa hiệp với trường đại học Hồng Kông, quan sát thấy nhiều thỏa hiệp chống lại tổ chức khắp giới sử dụng công cụ TTP tương tự Xem xét [chiến thuật, kỹ thuật thủ tục TTP] cụ thể để tránh gây thêm nhầm lẫn chung quanh nhãn 'Winnti Group', chúng tơi định ghi nhóm hoạt động nhóm mới, mà chúng tơi đặt tên SparklingGoblin, Chúng tin kết nối với Winnti Group thể số khác biệt, ”ESET viết Một cửa sau mô-đun mới: SideWalk Tương tự backdoor mô-đun Crosswalk Winnti, SideWalk tên ESET cho cửa sau SparklingGoblin “SideWalk backdoor mơ-đun tự động tải mơ-đun bổ sung gửi từ máy chủ C&C nó, sử dụng Google Tài liệu làm trình giải lỗi thả chết nhân viên Cloudflare làm máy chủ C&C Các nhà nghiên cứu cho biết, xử lý thơng tin liên lạc đằng sau proxy cách xác Các nhà nghiên cứu lưu ý backdoor SideWalk shellcode mã hóa ChaCha20 tải từ đĩa trình tải NET dựa SparklingGoblin’s InstallUtil InstallUtil (hoặc Installuti.exe) công cụ hệ thống Windows phát thực thi thành phần trình cài đặt Các nhà nghiên cứu viết: “Bộ tải chịu trách nhiệm đọc mã shell mã hóa từ đĩa, giải mã đưa vào quy trình hợp pháp cách sử dụng kỹ thuật làm rỗng quy trình Làm rỗng quy trình phương pháp thực thi mã tùy ý không gian địa quy trình trực tiếp riêng biệt, theo mơ tả MITER kỹ thuật Cuộc công cho phép kẻ thù chạy mã độc hại bối cảnh quy trình hợp pháp Phân tích kỹ thuật ESET bao gồm giải mã liệu chuỗi chuỗi payload thông qua phiên giải mã phương pháp RunShellcode gọi tiện ích Windows InstallUtil.exe Chân trời cho APT Trong chiến dịch ban đầu, SparklingGoblin cho đặt theo tên người dùng địa IP từ nhà bán lẻ máy tính Hoa Kỳ trường học Canada Nhóm chủ yếu nhắm mục tiêu vào lĩnh vực học thuật Đông Đông Nam Á Dữ liệu SparklingGoblin nhắm mục tiêu bao gồm: Cấu hình IP Phiên hệ điều hành Tên tài khoản Tên máy tính Tên tệp ID quy trình Thời điểm Các nhà nghiên cứu không rõ APT đặt đâu ESET lưu ý có manh mối cho thấy SparklingGoblin hoạt động ngồi Đơng Á, dựa ngơn ngữ Trung Quốc tác nhân đe dọa sử dụng “SparklingGoblin nhóm có mức độ kết nối định với Winnti Group Các nhà nghiên cứu viết: ESET ghi lại danh sách đầy đủ số xâm phạm mẫu kho lưu trữ GitHub IOC https://github.com/eset/malware-ioc/tree/master/sparklinggoblin SHA-1 1077A3DC0D9CCFBB73BD9F2E6B72BC67ADDCF2AB 153B8E46458BD65A68A89D258997E314FEF72181 829AADBDE42DF14CE8ED06AC02AD697A6C9798FE 9762BC1C4CB04FE8EAEEF50A4378A8D188D85360 EA44E9FBDBE5906A7FC469A988D83587E8E4B20D AA5B5F24BDFB049EF51BBB6246CB56CEC89752BF Network update.facebookint.workers[.]dev cdn.cloudfiare.workers[.]dev 104.21.49[.]220 80.85.155[.]80 193.38.54[.]110 Filenames C:\Windows\System32\Tasks\Microsoft\Windows\WindowsUpdate\WebService C:\windows\system32\tasks\Microsoft\Windows\Ras\RasTaskStart iislog.tmp mscorsecimpl.tlb C_25749.NLS Microsoft.WebService.targets Các nhà nghiên cứu ESET gần phát cửa hậu mơ-đun khơng có giấy tờ, SideWalk, sử dụng nhóm APT mà chúng tơi đặt tên SparklingGoblin; Backdoor sử dụng trong chiến dịch gần SparklingGoblin nhắm mục tiêu đến cơng ty bán lẻ máy tính có trụ sở Hoa Kỳ Cửa hậu có nhiều điểm tương đồng với cửa sau khác nhóm sử dụng: CROSSWALK SideWalk cửa hậu mơ-đun tự động tải mô-đun bổ sung gửi từ máy chủ C&C nó, sử dụng Google Tài liệu làm trình giải thả chết nhân viên Cloudflare làm máy chủ C&C Nó xử lý cách giao tiếp đằng sau proxy SparklingGoblin, thành viên gia đình Winnti Vào tháng 11 năm 2019, phát chiến dịch Winnti Group nhắm mục tiêu đến số trường đại học Hồng Kông bắt đầu vào cuối tháng 10 năm 2019 xuất đăng blog chiến dịch Trong chiến dịch đó, kẻ cơng chủ yếu sử dụng cửa hậu ShadowPad phần mềm độc hại Winnti, sử dụng cửa sau Spyder cửa sau dựa DarkShell (một RAT mã nguồn mở) mà đặt tên Doraemon Tiếp theo chiến dịch đó, vào tháng năm 2020 (như ghi lại Báo cáo Đe doạ Quý năm 2020), quan sát thấy chiến dịch nhắm mục tiêu vào trường đại học bị Winnti Group xâm nhập vào tháng 10 năm 2019, nơi kẻ công sử dụng cửa hậu CROSSWALK biến thể PlugX Sử dụng Google Tài liệu làm trình giải vấn đề Mặc dù chiến dịch thể liên kết đến Winnti Group, mô thức hoạt động khác biệt chúng tơi bắt đầu theo dõi tác nhân đe dọa riêng biệt Sau thỏa hiệp trường đại học Hồng Kông, quan sát thấy nhiều thỏa hiệp chống lại tổ chức khắp giới sử dụng công cụ TTP tương tự Xem xét TTP cụ thể để tránh thêm vào nhầm lẫn chung quanh nhãn “Winnti Group”, định ghi lại cụm hoạt động nhóm mới, chúng tơi đặt tên SparklingGoblin tin kết nối với Winnti Group trưng bày Một số khác biệt Vài ngày trước dự định xuất đăng blog này, Trend Micro xuất báo cáo nhóm mà nhà nghiên cứu họ theo dõi Earth Baku chiến dịch sử dụng phần mềm độc hại mà họ gọi cửa hậu ScrambleCross Chúng tương ứng với nhóm mà theo dõi SparklingGoblin cửa hậu SideWalk ghi lại Nạn nhân Kể từ năm 2020, theo đo lường từ xa chúng tôi, SparklingGoblin hoạt động tích cực vào năm 2021 Mặc dù nhóm nhắm mục tiêu chủ yếu đến Đông Đông Nam Á, thấy SparklingGoblin nhắm mục tiêu đến nhiều tổ chức ngành dọc khắp giới, với Tập trung vào lĩnh vực học thuật, bao gồm: Các ngành học Macao, Hồng Kông Đài Loan Một tổ chức tôn giáo Đài Loan Một nhà sản xuất máy tính điện tử Đài Loan Các tổ chức phủ Đơng Nam Á Một tảng thương mại điện tử Hàn Quốc Ngành giáo dục Canada Các công ty truyền thông Ấn Độ, Bahrain Hoa Kỳ Một công ty bán lẻ máy tính có trụ sở Hoa Kỳ Chính quyền địa phương đất nước Georgia Các tổ chức không xác định Hàn Quốc Singapore Hình Phân bố địa lý mục tiêu SparklingGoblin SideWalk Cấu trúc SideWalk tóm tắt Hình Backdoor SideWalk shellcode mã hóa ChaCha20 tải từ đĩa nạp NET dựa SparklingGoblin’s InstallUtil Ngoài ra, chúng tơi trình bày bên dưới, cửa sau SideWalk chia sẻ nhiều điểm tương tự với CROSSWALK, cửa sau mô-đun FireEye gán cho APT41 Carbon Black ghi lại công khai Giai đoạn đầu SideWalk’s shellcode triển khai mã hóa đĩa tên Microsoft.WebService.targets tải cách sử dụng trình tải NET dựa SparklingGoblin’s InstallUtil, xáo trộn với ConfuserEx sửa đổi, trình bảo vệ nguồn mở cho ứng dụng NET thường nhóm sử dụng Các trình tải NET SparklingGoblin tồn thông qua tác vụ lên lịch sử dụng tên tệp sau: RasTaskStart RasTaskManager WebService Nó thực thi trình nạp tiện ích InstallUtil.exe lệnh sau: C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=false /ParentProc=none /U C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallWebService.sql Trong InstallWebService.sql trình tải NET độc hại Khi bắt đầu với cờ / U, đây, phương thức Gỡ cài đặt từ lớp USCInstaller phương thức không gian tên UPrivate trình nạp NET gọi (xem Hình 3) Cấu trúc phân cấp tải dựa InstallUtil Một phiên giải mã phương thức RunShellcode gọi phương thức Gỡ cài đặt hiển thị Hình Phương thức trình nạp NET gọi phương thức Gỡ cài đặt giải mã đưa mã shellcode vào Như thấy, tải chịu trách nhiệm đọc mã shell mã hóa từ đĩa, giải mã đưa vào quy trình hợp pháp cách sử dụng kỹ thuật làm rỗng quy trình Lưu ý thuật tốn giải mã sử dụng khác mẫu Ngoài ra, lưu ý SparklingGoblin sử dụng nhiều trình tải mã shell khác trình tải Motnug trình tải dựa ChaCha20 Motnug trình tải mã shell đơn giản thường sử dụng để tải cửa hậu CROSSWALK, trình tải dựa ChaCha20, tên gọi chúng, sử dụng để giải mã tải mã shell mã hóa thuật toán ChaCha20 Việc triển khai ChaCha20 sử dụng tải giống với cách sử dụng cửa hậu SideWalk mô tả bên Việc triển khai dựa đếm (chế độ CTR), sử dụng khóa nonce 12 byte khóa 32 byte với giá trị đếm 11, dẫn đến trạng thái ban đầu sau: Offset 0x00 0x04 0x08 0x12 0x00 "expa" "nd 3" "2-by" "te k" 0x16 Key Key Key Key 0x32 Key Key Key Key 0x48 0x0000000B Nonce Nonce Nonce Giá trị đếm 0x0000000B khác với cách triển khai ChaCha20 thơng thường, giá trị thường đặt thành Lưu ý trình tải dựa ChaCha20 trước ghi lại đăng blog từ Positive Technologies Khởi tạo Tương tự CROSSWALK, mã shell SideWalk sử dụng cấu trúc để lưu trữ chuỗi, biến, Bảng địa nhập (IAT) liệu cấu hình Cấu trúc sau chuyển đối số cho tất hàm cần Trong trình khởi tạo SideWalk, chuỗi giải mã thêm vào cấu trúc, sau phần cấu trúc chịu trách nhiệm lưu trữ IAT điền cuối cấu hình SideWalk giải mã Giải mã nhóm liệu chuỗi Ngay bắt đầu thực thi, phần liệu cuối shellcode giải mã vòng lặp XOR khóa 16 byte này: B0 1D 1E 4B 68 76 FF 2E 49 16 EB 2B 74 4C BB 3A Phần này, sau giải mã, chứa chuỗi SideWalk sử dụng, bao gồm: Khóa đăng ký Khóa giải mã Đường dẫn để ghi tệp nhận từ máy chủ C&C Phương thức HTTP sử dụng Tham số yêu cầu HTTP URL sử dụng để truy xuất cấu hình proxy cục Dấu phân cách sử dụng để truy xuất địa IP mã hóa từ tài liệu Google Documents Nhóm chuỗi giải mã liệt kê Hình bên SOFTWARE\Microsoft\Cryptography Software\Microsoft\Windows\CurrentVersion\Internet Settings ProxyServer kT7fDpaQy9UhMz3 ZFYP0BV7SJ2LUH1Q9WEC8RTMXAKG6D3NO5I4LAHXN1EDRVC PBKW0X8MEOUSCA6LQJYH4R97VNI5T31FD2ZG697NYYGB81W o71UwSfKrH0NkRhjOmXqFGMAWDplz4s 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ Kernel32.dll GetTickCount64 GetTickCount texplorer.exe %AllUsersProfile%\UTXP\nat\ %02X GET POST Mozilla/5.0 Chrome/72.0.3626.109 Safari/537.36 gtsid: gtuvid: https://msdn.microsoft.com https://www.google.com https://www.twitter.com https://www.facebook.com 0B93ACF2 PublicKey:AE6849916EB80C28FE99FC0F3EFF CC1F99653E93305D httpss Global\JanzYQtWDWFejAFR Chuỗi cấu hình giải mã từ SideWalk Lưu ý tương tự SideWalk, CROSSWALK bắt đầu thực thi cách giải mã nhóm chuỗi sử dụng vịng lặp XOR khóa 16 byte Giải mã lệnh Sau giải mã phần liệu cuối shellcode, SideWalk sau tiến hành giải mã phần cịn lại lệnh (bắt đầu từ độ lệch 0x528) cách sử dụng vòng lặp XOR với khóa 16 byte khác: 26 74 94 78 36 60 C1 0C 41 56 0E 60 B1 54 D7 31 Chống giả mạo Khi giải mã liệu mã mình, SideWalk tiến hành xác minh tính tồn vẹn cách tính tốn tổng kiểm tra 32 bit, xoay kết sang phải 13 bit từ 32 bit so sánh giá trị băm với tham chiếu tương ứng với Mã shell chưa đánh dấu Nếu băm khác với giá trị tham chiếu, Điều cho phép shellcode phát điểm ngắt vá mã tránh thực thi trường hợp Mã dịch ngược tương ứng hiển thị Hình Ngồi ra, chúng tơi trình bày bên dưới, cửa sau SideWalk chia sẻ nhiều điểm tương tự với CROSSWALK, cửa sau mô-đun FireEye gán cho APT41 Carbon Black ghi lại công khai ... Group', định ghi nhóm hoạt động nhóm mới, mà đặt tên SparklingGoblin, Chúng tin kết nối với Winnti Group thể số khác biệt, ”ESET viết Một cửa sau mô-đun mới: SideWalk Tương tự backdoor mô-đun... thông qua phiên giải mã phương pháp RunShellcode gọi tiện ích Windows InstallUtil.exe Chân trời cho APT Trong chiến dịch ban đầu, SparklingGoblin cho đặt theo tên người dùng địa IP từ nhà bán lẻ máy... điều hành Tên tài khoản Tên máy tính Tên tệp ID quy trình Thời điểm Các nhà nghiên cứu không rõ APT đặt đâu ESET lưu ý có manh mối cho thấy SparklingGoblin hoạt động ngồi Đơng Á, dựa ngôn ngữ