Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam.

Cập nhập 05/09/2017:

Đến nay nhóm hacker 1937CN đã bổ sung lên đến hơn 20 địa chỉ IP máy chủ điều khiển mã độc, hơn 100 tên miền máy chủ độc hại (với đa phần là tên miền phụ - Sub Domain) và nhiều mã NewCore RAT khác.

Giải pháp:

1.    Luôn luôn cập nhập hệ điều hành và các  bản vá lỗi Remote Code Execution.

2.    Cập nhập ngay phần mềm diệt virus đang sử dụng hoặc cài đặt ngay phần mềm diệt virus uy tín. Không bấm vào đường link lạ hoặc các email lạ.

 

Bản tin 23/08/2017:

Theo kết quả nghiên cứu của Votiro Secured và ClearSky, một chiến dịch tấn công có chủ đích (APT) được phát hiện khi 02 tài liệu độc hại khai thác lỗi CVE-2012-0158 đã được gửi tới Virus Total vào đầu tháng 8 bao gồm:

1. Ngày 03/08/2017: “2017_08_03_Thông báo tổ chức thi đấu môn Tennis và bóng bàn giải CĐTTTT.doc” (MD5: 58c4d4e0aaefe4c5493243c877bbbe74)

2. Ngày 10/08/2017: “517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5 sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc” (MD5: b147314203f74fdda266805cf6f84876)

Sau khi theo dõi các mẩu, các nhà nghiên cứu phát hiện ra hàng loạt phần mềm độc hại đang hoạt động để tấn công có chủ đích (APT) nhằm vào các tổ chức, cơ quan, doanh nghiệp tại Việt Nam. Liên kết tới nhóm đã được tìm thấy thông qua các tên miền độc hại được sử dụng làm máy chủ C&C, một số trong số đó, chẳng hạn như  dcsvn.org (một trang giả mạo của trang web Đảng Cộng sản Việt Nam), đã hoạt động từ năm 2015. Nhưng trang web này cung cấp liên kết đến nhóm hacker 1937CN của Trung Quốc.

Các chuyên gia bảo mật tin rằng chiến dịch này được vận hành bởi nhóm hacker 1937CN của Trung Quốc, nhóm hacker bị nghi đã tấn công hệ thống thông tin của sân bay Nội Bài và Tân Sơn Nhất hồi tháng 7/2016. Năm 2016, hãng hàng không Việt Nam là nạn nhân của một cuộc tấn công phối hợp, trong đó phần mềm độc hại đã được cài đặt trên máy của quản trị viên để gián điệp và truy cập từ xa. Trang web của hãng hàng không bị làm hư hỏng nhưng bị thay thế bởi một thông điệp từ nhóm 1937CN và rò rỉ thông tin dữ liệu của hơn 400.000 người đăng ký trực tuyến cho chương trình Golden Lotus. Đồng thời, hệ thống âm thanh và màn hình tại Tân Sơn Nhất và Nội Bài, hai sân bay lớn nhất Việt Nam, đã được sửa đổi để truyền bá thông điệp chính trị. Trước đó,  theo báo cáo vào tháng 05/2016, nhóm 1937CN đã hack khoảng 1000 trang web của Việt Nam, bao gồm 15 cổng thông tin của Chính phủ và 50 trang web về giáo dục.

Nghiên cứu trước đây của Bkav Malware Research cũng đã xác định cùng một URL (dcsvn.org) là máy chủ C&C điều khiển từ xa phần mềm độc hại, nó có khả năng thâm nhập sâu vào hệ thống mạng và phá hủy hệ thống.

PHƯƠNG THỨC LÂY NHIỄM: 

Cũng giống như những chiến dịch tấn công APT khác, tin tặc phát tán các tài liệu chứa mã độc thông qua email. Và để thu hút hơn sự chú ý của các nạn nhân, tin tặc sử dụng các file văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên quan đến Chính phủ Việt Nam. Như vậy phần mềm độc hại lây lan qua email lừa đảo trực tuyến kèm theo các tài liệu RTF độc hại trong tệp đính kèm. Các file doc này chứa mã độc RAT (Remote Access Trojan), loại mã độc này có thể dễ dàng "qua mặt" các phần mềm bảo mật vì nó tự cải trang thành phần mềm chống vi rút (cụ thể là McAfee) hoặc bằng cách giả mạo các phần mềm hợp pháp như GoogleUpdate.exe, và thường trốn tránh trong một khoảng thời gian mà không bị phát hiện trong khi nó tập hợp thu thập ID tài khoản và mật khẩu người dùng. Nó cũng dễ dàng cho phép điều khiển từ xa máy tính nạn nhân, vì vậy kẻ tấn công có thể thực hiện nhiều hành động độc hại khác nhau như xóa dấu vết, thay đổi tệp âm thanh, hiển thị thông tin trên màn hình, mã hóa dữ liệu ... Ngoài ra, phần mềm độc hại cũng có các thành phần chuyên dùng để thao tác cơ sở dữ liệu SQL.

Khi máy tính nạn nhân bị nhiễm mã độc, trước khi có thể tải về NewCore RAT, mã độc gửi các thông tin sau đến máy chủ điều khiển C&C:

1. Phiên bản hệ điều hành

2. Tốc độ bộ vi xử lý

3. Số lượng bộ vi xử lý

4. Dung lượng bộ nhớ vật lý

5. Tên máy tính

6. Tên người dùng

7. Đặc quyền người dùng

8. Địa chỉ IP máy tính

9. Số sê-ri ổ cứng

Phản hồi lại là một dữ liệu được mã hoá XOR bao gồm mã NewCore RAT được cài mật mã. RAT này là một tệp DLL và có khả năng điều khiển từ xa như sau:

1. Tắt máy

2. Khởi động lại máy

3. Nhận danh sách đĩa

4. Nhận danh sách thư mục

5. Nhận thông tin về tệp

6. Nhận thông tin về đĩa

7. Đổi tên tệp

8. Sao chép tập tin

9. Xóa các tập tin

10. Thực thi các tập tin

11. Tìm tập tin

12. Tải lên tập tin

13. Tải về tập tin

14. Giám sát màn hình

15. Bắt đầu lệnh shell

Danh sách tên miền đăng ký điều khiển mã độc APT như sau:

dulichovietnam [.] net ; có các tên miền phụ sau:

hanoi.danang.dulichovietnam [.] net

dalat.dulichovietnam [.] net

hanoi.dulichovietnam [.] net

danang.dulichovietnam [.] net

dalat.hanoi.dulichovietnam [.] net

hanoi.hanoi.dulichovietnam [.] net

danang.danang.dulichovietnam [.] net

dalat.dulichovietnam [.] net

danang.dalat.dulichovietnam [.] net

danang.hanoi.dulichovietnam [.] net

dalat.dalat.dulichovietnam [.] net

hanoi.dalat.dulichovietnam [.] net

dulichovietnam [.] net

Các tên miền phụ này chỉ đến các địa chỉ IP khác nhau:

209.58.179.202

209.58.176.46

188.42.254.112

66.154.125.145

176.223.165.165

60.251.29.40

  Dựa trên DNS thụ động của Passive Total chúng ta biết rằng các địa chỉ IP này được chỉ tới bởi các máy chủ sau đây:

anh.phimhainhat [.] net

data.dcsvn [.] org

data.phimnoi [.] org

dav.thanhnlen [.] com

home.phimnoi [.] org

home.vietnamplos [.] com

login.phimhainhat [.] net

login.phimnoi [.] org

my.phimhainhat [.] net

news.phapluats [.] com

news.vietnannet [.] com

vietnam.phimhainhat [.] net

Ví dụ khi phân tích sâu IP: 209.58.179.202, nó còn bao hàm:

  

XEM BẢN BÁO CÁO ĐẦY ĐỦ CỦA VOTIRO & CLEARSKY: https://drive.google.com/open?id=0B0KEq9LY1nmXRTV4QW1fbTdjSlU

Công ty TNHH Tin Học Đô Nguyên
134/2B Thành Thái - Phường 12 - Quận 10 - Hồ Chí Minh - Việt Nam
Thông tin liên hệ

Công ty TNHH Tin Học Đô Nguyên

Phân phối phần mềm diệt virus Avast & AVG tại Việt Nam. © 2018