Mustang Panda – một case dở khóc dở cười

Lời dẫn

Nghề “phóng viên” với những thăng trầm luôn tồn tại những rủi ro không ai ngờ tới. Cũng như cánh “Paparazzi” lăn xả vào người nổi tiếng, đội “phóng viên” chúng tôi luôn tìm kiếm và lăn xả vào những câu chuyện, điểm nóng mới nguy hiểm trên không gian mạng hiểm ác. Với tâm niệm của người mới vào nghề, tôi cũng có một vài câu chuyện hay để chia sẻ với các độc giả.

Vào ngày đẹp trời trong cái giá lạnh của ngày Đông Chí tháng 12, anh bạn người Ấn bên Crowd Strike “ping” vội cho tôi:

·      “Ê check lẹ lẹ mẫu này đi chú, bọn Mustang Panda lại đánh vào chính phủ nước chú đấy, vẫn mấy con hàng cũ luôn!!!”

·      “Chắc cú không ông?”

·      “Chắc chắn, comfirm từ thằng Analyst của bọn em luôn”.

Ồ sau một đợt lùm xum lên các mặt báo cuối cùng anh bạn “người cũ tình mới Mustang Panda” lại xuất hiện, và hứa hẹn một cuộc chơi ra trò. Trong vai trò của một người phóng viên cần mẫn, tôi vui vẻ xin anh bạn Hash sample và vội vã chuyển tới môi trường máy ảo VMWare thân thuộc.

Với những độc giả nào chưa từng nghe tới Mustang Panda thì đó là “ông kẹ” gây ra vụ lùm xùm dưới đây trong thời gian qua, chiếm tâm điểm trong làng báo chí công nghệ. Ai cũng nghe về nó, về 400.000 IP nhưng không ai biết nó là ai, đến từ đâu, làm cái gì.

Nhóm APT Mustang Panda được hai “đại phú” của ngành Cybersec là Anomali và CrowdStrike theo dõi liên tục trong vòng vài năm qua, tóm gọn lại về nhóm đó như sau:

·      Mục tiêu của nhóm có yếu tố chính trị.

·      “Con hàng” phục vụ việc lây nhiễm thường giả mạo văn bản, công văn nhà nước.

·      Mông Cổ, Myanmar, Pakistan, Việt Nam… ghi nhận là nạn nhân của nhóm.

Chừng ấy manh mối đủ cho độc giả biết “ông kẹ” Mustang Panda có liên quan tới “nước lạ” nào đó.

Dông dài vậy đã đủ, đến lúc người “phóng viên” quyết định tác nghiệp vào mẫu nghi ngờ này.

Email được gửi từ địa chỉ @edu.vn (compromised chăng?) thẳng tới hòm thư của chính quyền của một tỉnh duyên hải Nam Trung Bộ tại nước ta, nơi luôn có nhiều nắng, nhiều gió với những bãi biển hoang sơ đẹp lạ thường với đặc sản tỏi nổi tiếng khắp ba miền. Với thứ “tiếng Việt” nghèo nàn của chị Gúc, tôi tự hỏi bọn “Gấu Trúc” phương Bắc này tìm kiếm điều gì tại xứ sở thơ mộng của dải đất chữ S chúng mình.

Có thể thấy cánh “phóng viên” nước ngoài đã săn tin được từ rất sớm.

Nội dung của CV cũng khá quen thuộc (có thể lấy bừa một CV nào đấy trên TopCV chăng – typical behavior of APT groups):

Người cũ tình cũ

“Metadata” của tập tin đính kèm “CV_NguyenVTra.zip” cũng khẳng định phần nào sự liên hệ với các mẫu cũ trước đây của bọn APT Mustang Panda. Vẫn những câu lệnh Windows Command Line quen thuộc, vẫn nằm trên con máy “Win-egbvi09sep9” đấy, người “phóng viên” thầm mỉm cười khi nghĩ mình trúng mánh lớn.

Soi kĩ nội dung thì bọn Mustang Panda này hình như cũng lười, vẫn bê nguyên gần nguyên si 80% các Function và đường dẫn quen thuộc vào mẫu mới này, vẫn drop 1 file Powershell vào đúng thư mục %TEMP% đấy, vẫn là những technique không quá phức tạp mấy.

(Chú thích: hình trên là mẫu CV_NguyenVTra.pdf, hình dưới là bài viết phân tích mẫu cũ trước đây của Anomali).

Phân tích tập tin powershell được ghi ra cũng không có sự khác biệt quá lớn so với mẫu cũ chiến dịch trước đây:

Những dữ kiện trên thì có vẻ đúng là dấu hiệu của một nhóm APT “Panda” nào đấy điển hình:

·      Sử dụng thứ “Tiếng Việt” nghèo nàn cần luyện thêm: checked.

·      Trùng khớp Metadata với toàn bộ chiến dịch cũ: checked.

·      Technique, phương thức tấn công tương đồng: checked.

Người cũ “tình mới”

Sau khi thực thi powershell, nó sẽ drop ra 1 “con hàng nhỏ xinh” 24kb viết bằng .NET C#.

Ném vào DNSpy phân tích có thể dễ dàng nhìn thấy hành vi Keylogger của “con hàng nhỏ xinh”.

Và cũng như bao con RAT “this”, nó cũng thực hiện các hành vi cơ bản như mọi con RAT “that”.

Dựa vào dấu hiệu của các hàm được sử dụng (check MD5, VKCodetoUnicode, WRK, regKey…), người “phóng viên” mạnh dạn đoán “con hàng bé xinh” này là njRAT open-source.

Người “phóng viên” tự hỏi tại sao nó quan tâm tới Việt Nam như vậy?

“Con hàng xinh xinh” kết nối tới C&C 103.68.251[.]31:5552 để drop chính nó xuống.

Có gì đó sai sai ở đây…

·      Mustang Panda thường khi đi tấn công sẽ drop các con PlugX hoặc Cobalt Strike chứ nhỉ?

·      Tại sao lần này lại drop một con hàng njRAT đơn giản đến như vậy? Vì mục tiêu lần này được xác định quá “easy” chăng? (recon trước đó chỉ ra mục tiêu không sử dụng endpoints, không protection chăng???)

·      Tại sao lại kết nối tới C&C IP Việt Nam? Lẽ nào là qua một trang compromised? Qua C&C tại IP Việt Nam khác gì tự bóp chính mình? Hay đây vẫn là phase recon của nhóm đó?

·      Anh bạn bên CrowdStrike khẳng định như đinh đóng cột đây chắc chắn là chiến dịch mới của Mustang Panda nhưng trực giác người “phóng viên” mách bảo một linh cảm không đúng. Đây không thể là chiến dịch APT mới được.

Thôi muộn rồi, tan làm rồi về nhà đã. Case này tạm pending.

Cẩn tắc vô áy náy

Tôi về nhà với một tâm thế sung sướng ngỡ sẽ tận hưởng một buổi tối an lành, thế nhưng…

Với cái trick cũ mèm nhất trên đời, ồ ngạc nhiên chưa?

Chỉ với 5 phút giao lưu cùng chị Gúc, người “phóng viên” đẩy case này chính thức được Closed.

May quá, sở Thông tin và Truyền thông của tỉnh duyên hải Nam Trung Bộ họ public tất cả mọi thông tin của cơ quan, bất kì ai cũng tìm thấy được nó dễ dàng.

IOC:

·      d15d257580c532ebb37f844ef00f13b7 – payload.exe

·      5a8aa17516fac28d68dfd47c2ab4a2ce9754c4ae – NguyenVanTra_CV.pdf.lnk

Lời kết

Thời điểm gần cuối năm cũng là lúc các hoạt động diễn tập về An toàn thông tin trong nước được gia tăng và phát động nhiều hơn hẳn về số lượng, cũng là lúc nhóm “phóng viên” chúng tôi gặp rất nhiều trường hợp False Positive như “NguyenVanA.docx”, “NguyenThiChi.rar”, “Thongbao.rtf”, “Tieuluan.docx”...

Quyết đoán hơn chúng tôi, các bạn “phóng viên” nước ngoài thường sẽ đánh “APT target Việt Nam” khi mặc định thấy mẫu đó có yếu tố tiếng Việt (Ví dụ như anh Seb, anh “Hắc điểu” cũng đều đã nhầm lẫn 1-2 lần).

Hi vọng rằng những trường hợp diễn tập như trên trong thời gian tới đều sử dụng IP Private local làm C&C để giảm thiểu khối lượng cho cánh săn tin trên mạng.

Thay lời kết, nhóm “phóng viên” chúng tôi chúc mừng sở Thông tin và Truyền thông của tỉnh duyên hải Nam Trung Bộ đã có buổi tổ chức diễn tập thành công với kịch bản tấn công thực tế, hiệu quả. Kudos to you, good game.

Reference

·      https://www.anomali.com/blog/china-based-apt-mustang-panda-targets-minority-groups-public-and-private-sector-organizations

·      https://techinsight.com.vn/phan-tich-chien-dich-tan-cong-apt-mustang-panda-nham-vao-viet-nam/