VNCERT phát hiện chiến dịch mã độc APT tấn công vào Việt Nam thông qua tài liệu Word

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT phát hiện ra dấu hiệu của chiến dịch tấn công nhằm vào các hệ thống thông tin quan trọng tại Việt Nam thông qua việc phát tán và điều khiển mã độc có chủ đích (APT). Trung tâm yêu cầu Lãnh đạo đơn vị chỉ đạo các đơn vị thuộc phạm vi quản lý thực hiện khẩn cấp các công việc theo Công văn số 298/VNCERT-ĐPƯC.

Vào ngày 3 và 10/8/2017, hai tài liệu khai thác lỗ hổng CVE-2012-0158 đã được tải lên trang kiểm tra Virus Total:

  1. “2017_08_03_Thông báo tổ chức thi đấu môn Tennis và bóng bàn giải CĐTTTT.doc”[1] (58c4d4e0aaefe4c5493243c877bbbe74) .

  2. “517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5 sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc” (b147314203f74fdda266805cf6f84876).

Khi mở, tài liệu sẽ đưa tệp Goopdate.dll (c3e9c9e99ed1b1116aaa9f93a36824ff) vào máy của người dùng. Mẫu mã độc thực hiện kết nối đến tên miền dalat.dulichovietnam[.]net cổng 53. Hệ thống phát hiện xâm nhập mạng Snort phát hiện kiểu kết nối này là TROJAN Win32/Upgilf [2] theo bộ luật của Emerging Threat.

Mô hình tấn công

Tên miền dulichovietnam[.]net có các tên miền con sau:

  • hanoi.danang.dulichovietnam[.]net

  • dalat.dulichovietnam[.]net

  • hanoi.dulichovietnam[.]netד

  • danang.dulichovietnam[.]net

  • dalat.hanoi.dulichovietnam[.]net

  • hanoi.hanoi.dulichovietnam[.]net

  • danang.danang.dulichovietnam[.]net

  • dalat.dulichovietnam[.]net

  • danang.dalat.dulichovietnam[.]net

  • danang.hanoi.dulichovietnam[.]net

  • dalat.dalat.dulichovietnam[.]net

  • hanoi.dalat.dulichovietnam[.]net

  • dulichovietnam[.]net

Các tên miền con này trỏ đến rất nhiều địa chỉ IP:

  • 209.58.179.202

  • 209.58.176.46

  • 188.42.254.112

  • 66.154.125.145

  • 176.223.165.165

  • 60.251.29.40

Các địa chỉ IP này được trỏ đến:

  • anh.phimhainhat[.]net

  • data.dcsvn[.]org

  • data.phimnoi[.]org

  • dav.thanhnlen[.]com

  • home.phimnoi[.]org

  • home.vietnamplos[.]com

  • login.phimhainhat[.]net

  • login.phimnoi[.]org

  • my.phimhainhat[.]net

  • news.phapluats[.]com

  • news.vietnannet[.]com

  • vietnam.phimhainhat[.]net

Trong đó, tên miền  dcsvn[.]org đã hoạt động từ năm 2015 và được BKAV đề cập trong vụ việc mã độc tấn công hãng Hàng không Việt Nam Vietnam Airlines.

Danh sách các tệp tin chứa mã độc được thực hiện trong chiến dịch tấn công của tin tặc:

File Names First Submitted MD5
517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5 sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc 8/10/2017 b147314203f74fdda266805cf6f84876
2017_08_03_Thng bo t chc thi u mn Tennis v bng bn gii CTTTT.doc 8/3/2017 58c4d4e0aaefe4c5493243c877bbbe74
Kim Jong Un lm Bc Kinh  mt n, mt ng .doc 4/3/2017 3975c3ae679aff3e0d0db5622b6c31a5
KS_ATTT_2017.doc 3/30/2017 a64264e872f551b0b0140603293c24c7
nhatdoinhatlo(TOAN VAN).doc 3/28/2017 4965b96bef1353006008d55e178e72b0
K hoch kim tra kho st Quyt nh 221 – BBT.doc 3/10/2017 2cb51010abee4dee8aec5e16f2982e8f
XY DNG PHONG CCH NGI CNG AN NHN DN.doc, BC.doc 2/27/2017 b5e473936d325b79d463e9f46602254b
Biu mu kim tra, gim st- nm 2017(s dng ti cc chi b).doc 2/27/2017 e58c41231eeba4952c03038d585ecca3
Tai Liu Phong Chng DBHB.doc 2/17/2017 9fab515721ce1123e065497e6c854fd3
m bo an ton APEC 2017.doc 2/17/2017 0f1d8c43863231a3fe86c62894aa48e4
Gii thiu cng ty Huawei.doc 1/6/2017 cd718baf0ec7284769c8f65dadde8bae
Gioi Thieu Alibaba Group in VN Dec 2016.doc 1/6/2017 7a618059557654214a1ba2370a48b887
De tai cuong quoc bien TQ.doc 1/6/2017 6b44a8f4dcd0802a2cb6275d97362fb2
Bo co cho cuc gp tng b th thng 1 nm 2017.doc 1/6/2017 7a95abdf426144aa5305f1a59247f9aa
Yu cu gi bi v bnh chn bi vit hay.doc 12/26/2016 850172afad42dcfeb87af969f65759a6
Chuyn giao quyn i din ch s hu vn nh nc v SCIC.doc 12/23/2016 e27e1759081284db15da140132bbd79f
Gop y phieu ghi y kien.doc 12/13/2016 e27026fdaa4c118b9dac9592a0ea2003
K hoch tng lng, ngh Tt nm 2017.doc 11/7/2016 4e78b1b95056c188753a8f79b2a41f0f
Danh sch ngi Vit ti h s Panama.doc 5/30/2016 f1a8aadb10a3c5c192b6d06d9699c276
danh sch ban CT.doc 1/21/2016 46c522cba5ce9d837f983206441bbd5b

 

File mềm Phụ lục được VNCert cung cấp tại link: Download

Nguồn Tổng hợp

Bình luận

Từ khóa: