Các loại mã độc nêu trên đều đã được Hệ thống Viettel Threat Intelligence (VTI) phân tích chi tiết. Phần sau đây chúng tôi mô tả thêm về bối cảnh của các mẫu và cung cấp dấu hiệu nhân biết, hạ tầng mã độc (IOCs) để các tổ chức có thể phản ứng với nguy cơ.

Thông tin về chiến dịch tấn công của mẫu Type 1 – Metajack:

  • Nhóm tấn công: APT32 (Hay còn gọi là Ocean Lotus, APT-C-00…)
  • Đối tượng bị tấn công: người dùng tại Trung Quốc.
  • Thời gian diễn ra chiến dịch: Từ cuối Quý IV/2019 cho tới hết Quý I/2020 (dựa trên report được ghi nhận tại Trung Quốc).
  • Hình thức tấn công: gửi tập tin nén có chứa mã độc qua Email.

Hình: Bên cạnh mẫu Email có trong report của FireEye, Hệ thống VTI cũng ghi nhận một mẫu Email tương tư được sử dụng trong chiến dịch nhắm vào người dùng Trung Quốc với nội dung về COVID-19.

Nội dung tập tin lừa người dùng click vào với tên gọi liên quan tới chủ đề Covid-19.

Hash IOC trong chiến dịch Covid-19 được sử dụng bởi nhóm APT-32:

  • d739f10933c11bd6bd9677f91893986c
  • 33f51d4ed03b763c88b6c3f254b2fdbd337b2701
  • 36be872b74680305cb612ba11a0a10adf4670de3deea4fb4faabdc971043c826
  • 8acdc3de7aee7d7d7242d42e7e5254be
  • d0be878a474170584ba3cfdfd19b22baa81f19df
  • 53acfefcda2e6e3f31786a2e2c7fa5bcb83380e284d919f03bfc6d31a6b3b76f
  • 9f7d3c2f76e7e302d9e34959f73d5085
  • da05bde66324721928be613982654f203691fb86
  • 9d4bcfaf7ebbb152516b327b3895f521341c4c9373a3917485cc49ed5e085fb2
  • 8db0def710f78befc040f68575001947
  • 04beefed719462ea87d5c1b6f04df6a27a757f64
  • 91f8358fad427d268caea1594b2bbe2bb3cd910f240fbac7cfc5c684ba9f5e63

C&C IOC được sử dụng bởi nhóm APT-32:

  • libjs.inquirerjs[.]com
  • vitlescaux[.]com
  • m.topiccore[.]com
  • jcdn.jsoid[.]com
  • tripplekill.mentosfontcmb[.]com

Thông tin về chiến dịch tấn công của mẫu Type 2 – Cobalt Strike:

  • Nhóm tấn công: APT32 (Hay còn gọi là Ocean Lotus, APT-C-00…).
  • Đối tượng bị tấn công: người dùng tại Việt Nam.
  • Thời gian diễn ra chiến dịch: từ cuối tháng 7/2020 tới nay.
  • Số lượng nạn nhân được hệ thống VTI ghi nhận trong chiến dịch: hơn 900 nạn nhân tính riêng tại Việt Nam.
  • Hình thức tấn công: Văn bản định dạng MIME chứa macro VBA độc gửi qua email với nội dung về hợp đồng hợp tác.

Hình: VBA Macro độc được extract từ mẫu “GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc”

Hash IOC trong chiến dịch nhắm vào người dùng Việt Nam được sử dụng bởi nhóm APT-32 (Cảm ơn bạn YCY @batrix20 đã chia sẻ một số mẫu):

  • cc2027319a878ee18550e35d9b522706 – mẫu văn bản “GFB_Service-Agreement_MDB_AF-Jun2020_P HOP DONG TRA SAU.doc”
  • 69fabcccad86a270b0c0733c3defba767e5f938d
  • 86cebd189cfdcfb6e76cba7a258d7f90a3ec353348611378c48fa28740bebd98
  • e2511f009b1ef8843e527f765fd875a7
  • ed0d204ed5613306f27919d36425c35b04223a40
  • 7709b376ea5b388e1b415a93fc618c1febddfbd977254cc63e3e8d2daa5fb3c9
  • 94c46d94d802ed3242ffed32187c5e9a
  • ebce93189870257813e110d19982006f07619720
  • 2f7e9293ba707503f907d630ac1fda3c09a8b06d50976dafabe16678c453fc2c

C&C IOC trong chiến dịch nhắm vào người dùng Việt Nam được sử dụng bởi nhóm APT-32:

  • accounts.getmyip[.]com
  • feeder.blogdns[.]com
  • beautifull-font.salebusinesend[.]com
  • summerevent.webhop[.]net
  • word.dictionarieswindow[.]com
  • node.podzone[.]org
  • ru.lobbyidea[.]com
  • account.dvrdns[.]org
  • content.servequake[.]com
  • letsme.gotdns[.]com

Author: VuongLVM