[Phân Tích] APT nhắm vào Tập đoàn dầu khí Việt Nam

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
319
448 bài viết
[Phân Tích] APT nhắm vào Tập đoàn dầu khí Việt Nam
Chia sẻ bài viết từ anh Kienmanowar về tấn công có chủ đích vào tập đoàn dầu khí Việt Nam.

1700128473899.png

Mới đây, một người bạn nước ngoài thông báo cho tôi về sample có nội dung từ “Bộ Công Thương” gửi tới “Tập đoàn Dầu khí Việt Nam” như sau:

1700129227918.png

Bạn còn nhắn tôi : “APT có vẻ thích Việt Nam nhỉ!!” …Tôi không biết là mình nên vui hay nên buồn :D

1. Stage 1 — Phân tích sơ bộ

Kiểm tra sơ bộ thấy sample này có chứa mã VBA, nhắm vào người sử dụng Office 2007+:

1700129239494.png

Nội dung của VBA code như sau:

1700129253105.png

1700129268325.png

VBA code thực hiện nhiệm vụ giải mã chuỗi Base64, sau đó tạo file Chrome.jstại thư mục C:\Windows\Tasks và lưu nội dung đã giải mã vào file này. Kiểm tra tiếp thông tin metadata liên quan:

1700129279695.png

1700129291990.png

Như vậy, VBA code sẽ tạo schedule task để thực thi file Chrome.js.

2. Stage 2 — Giải mã chuỗi Base64

Có thể dùng VBA Editor của Word để debug và có được nội dung của chuỗi Base64. Tuy nhiên, khi đọc code thấy chuỗi Base64 này sẽ được giải mã 3 lần, thông qua CyberChef tôi có thể giải mã được mà không cần phải debug:

1700129303455.png
Toàn bộ nội dung sẽ lưu vào Chrome.js sau khi giải mã:

1700129314530.png

3. Stage 3 — Giải mã JS

Chrome.js sẽ giải mã chuỗi base64 được lưu tại biến “c”, sau đó sẽ thực thi kết quả sau giải mã. Ta có nội dung giải mã của chuỗi Base64 trên như hình:

1700129324631.png

Ta có được một powershell script với nội dung như sau:

1700129334199.png

4. Stage 4 — Phân tích Powershell

Tại thời điểm phân tích tôi vẫn kết nối được tới C2:

1700129342030.png

Powershell sẽ kết nối tới C2 tại hxxp://154[.]16[.]37[.]122/GoogleUpdate/Update.php để đọc nội dung command từ Update.php vào biến $Cmd.

Nội dung của Update.php như sau:
1700129355121.png

Sử dụng wmic để lấy uuid và encode uuid này thành một chuỗi Base64:

1700129368462.png

Cuối cùng cấu thành một Uri có chứa chuỗi uuid đã encode và kết nối tới uri này:

1700129378270.png

Tới đây, tôi không thấy có thêm thông tin gì khác, cảm giác như kẻ tấn công chỉ muốn thăm dò xem người dùng có mở tài liệu này hay không để chuẩn bị cho một đợt tấn công khác!

5. IoCs

- Doc file: b22d7b196ca03b43f9b140732a3d317f328e5d5f53379c2520a0f05a17d6e617

- C2: hxxp://154[.]16[.]37[.]122

- Scheduled tasks: schtasks /create /sc MINUTE /tn “Chrome” /tr “C:\Windows\Tasks\Chrome.js” /mo 2 /F & schtasks /create /sc MINUTE /tn “Chrome” /tr “C:\Windows\Tasks\Chrome.js” /mo 2 /RU SYSTEM
Hoặc phân tích trực quan hơn từ Sandbox của VMXRAY https://www.vmray.com/analyses/b22d7b196ca0/report/overview.html
P.s: Đọc xong bài này cảm giác như chơi CTF mảng Crypto/RE vậy, đây là những kỹ thuật thường thấy trong các bài CTF. Hi vọng mọi người có thể thấy được mối liên hệ giữa CTF và làm ATTT hỗ trợ cho nhau như thế nào.

Cám ơn a Kienmanowar đã chia sẻ bài viết bổ ích cho mọi người​
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: quangmen
Thẻ
antiapt apt daukhi việt nam
Bên trên