1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Tìm hiểu thêm.

VNCERT phát hiện chiến dịch mã độc APT tấn công vào Việt Nam thông qua tài liệu Word

Thảo luận trong 'Tin tức bảo mật' bắt đầu bởi Người Chia Sẻ, 19/9/17.

Lượt xem: 249

  1. Người Chia Sẻ
    Offline

    Người Chia Sẻ Guest

    Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT phát hiện ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã độc có chủ đích (APT). Trung tâm yêu cầu Lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện khẩn cấp các công việc theo Công văn số 298/VNCERT-ĐPƯC.

    Vào ngày 3 và 10/8/2017, hai tài liệu khai thác lỗ hổng CVE-2012-0158 đã được tải lên trang kiểm tra Virus Total:


    1. Mã:
      “2017_08_03_Thông báo tổ chức thi đấu môn Tennis và bóng bàn giải CĐTTTT.doc”[1] (58c4d4e0aaefe4c5493243c877bbbe74) .
      “517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5 sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc” (b147314203f74fdda266805cf6f84876).

    Khi mở, tài liệu sẽ đưa tệp Goopdate.dll (c3e9c9e99ed1b1116aaa9f93a36824ff) vào máy của người dùng. Mẫu mã độc thực hiện kết nối đến tên miền dalat.dulichovietnam[.]net cổng 53. Hệ thống phát hiện xâm nhập mạng Snort phát hiện kiểu kết nối này là TROJAN Win32/Upgilf [2] theo bộ luật của Emerging Threat.

    692504_40d22ae800434a5baacef2d4fdc57d49-mv2.png

    Mô hình tấn công

    Tên miền dulichovietnam[.]net có các tên miền con sau:


    Mã:
    hanoi.danang.dulichovietnam[.]net
    dalat.dulichovietnam[.]net
    hanoi.dulichovietnam[.]netד
    danang.dulichovietnam[.]net
    dalat.hanoi.dulichovietnam[.]net
    hanoi.hanoi.dulichovietnam[.]net
    danang.danang.dulichovietnam[.]net
    dalat.dulichovietnam[.]net
    danang.dalat.dulichovietnam[.]net
    danang.hanoi.dulichovietnam[.]net
    dalat.dalat.dulichovietnam[.]net
    hanoi.dalat.dulichovietnam[.]net
    dulichovietnam[.]net
    Các tên miền con này trỏ đến rất nhiều địa chỉ IP:
    209.58.179.202
    209.58.176.46
    188.42.254.112
    66.154.125.145
    176.223.165.165
    60.251.29.40
    Các địa chỉ IP này được trỏ đến:
    anh.phimhainhat[.]net
    data.dcsvn[.]org
    data.phimnoi[.]org
    dav.thanhnlen[.]com
    home.phimnoi[.]org
    home.vietnamplos[.]com
    login.phimhainhat[.]net
    login.phimnoi[.]org
    my.phimhainhat[.]net
    news.phapluats[.]com
    news.vietnannet[.]com
    
    
    	

    vietnam.phimhainhat[.]net
    Trong đó, tên miền dcsvn[.]org đã hoạt động từ năm 2015 và được BKAV đề cập trong vụ việc mã độc tấn công hãng Hàng không Việt Nam Vietnam Airlines.

    Danh sách các tệp tin chứa mã độc được thực hiện trong chiến dịch tấn công của tin tặc:

    Mã:
    File Names First Submitted MD5
    517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5 sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc 8/10/2017 b147314203f74fdda266805cf6f84876
    2017_08_03_Thng bo t chc thi u mn Tennis v bng bn gii CTTTT.doc 8/3/2017 58c4d4e0aaefe4c5493243c877bbbe74
    Kim Jong Un lm Bc Kinh mt n, mt ng .doc 4/3/2017 3975c3ae679aff3e0d0db5622b6c31a5
    KS_ATTT_2017.doc 3/30/2017 a64264e872f551b0b0140603293c24c7
    nhatdoinhatlo(TOAN VAN).doc 3/28/2017 4965b96bef1353006008d55e178e72b0
    K hoch kim tra kho st Quyt nh 221 – BBT.doc 3/10/2017 2cb51010abee4dee8aec5e16f2982e8f
    XY DNG PHONG CCH NGI CNG AN NHN DN.doc, BC.doc 2/27/2017 b5e473936d325b79d463e9f46602254b
    Biu mu kim tra, gim st- nm 2017(s dng ti cc chi b).doc 2/27/2017 e58c41231eeba4952c03038d585ecca3
    Tai Liu Phong Chng DBHB.doc 2/17/2017 9fab515721ce1123e065497e6c854fd3
    m bo an ton APEC 2017.doc 2/17/2017 0f1d8c43863231a3fe86c62894aa48e4
    Gii thiu cng ty Huawei.doc 1/6/2017 cd718baf0ec7284769c8f65dadde8bae
    Gioi Thieu Alibaba Group in VN Dec 2016.doc 1/6/2017 7a618059557654214a1ba2370a48b887
    De tai cuong quoc bien TQ.doc 1/6/2017 6b44a8f4dcd0802a2cb6275d97362fb2
    Bo co cho cuc gp tng b th thng 1 nm 2017.doc 1/6/2017 7a95abdf426144aa5305f1a59247f9aa
    Yu cu gi bi v bnh chn bi vit hay.doc 12/26/2016 850172afad42dcfeb87af969f65759a6
    Chuyn giao quyn i din ch s hu vn nh nc v SCIC.doc 12/23/2016 e27e1759081284db15da140132bbd79f
    Gop y phieu ghi y kien.doc 12/13/2016 e27026fdaa4c118b9dac9592a0ea2003
    K hoch tng lng, ngh Tt nm 2017.doc 11/7/2016 4e78b1b95056c188753a8f79b2a41f0f
    Danh sch ngi Vit ti h s Panama.doc 5/30/2016 f1a8aadb10a3c5c192b6d06d9699c276
    danh sch ban CT.doc 1/21/2016 46c522cba5ce9d837f983206441bbd5b


    File mềm Phụ lục được VNCert cung cấp tại link: Download

    Nguồn Tổng hợp

     
  2. Đang tải...


Chia sẻ trang này