Chiến dịch tấn công mạng của nhóm APT “Mustang Panda”
12/07/2024
Lượt xem: 147
Chiến
dịch tấn công APT nhằm vào Việt Nam được thực hiện bởi nhóm tấn công APT
“Mustang Panda”. Mục tiêu mà nhóm hướng tới là các tổ chức chính phủ, tổ chức
phi lợi nhuận, tổ chức giáo dục,… (Thông tin chi tiết xem tại Phụ lục kèm
theo).
Phụ
lục
THÔNG TIN CHI TIẾT VỀ CHIẾN DỊCH TẤN CÔNG
- Thông tin chi tiết về chiến dịch tấn công
Gần đây, đã phát hiện và ghi nhận các
hành vi tấn công trái phép trên không gian mạng của nhóm tấn công Mustang
Panda trong chiến dịch nhằm vào tổ chức tại Việt Nam. Chiến dịch tấn công lần này
của nhóm Mustang Panda sử dụng các mồi nhử xoay quanh lĩnh vực giáo dục và thuế, áp dụng nhiều góc tiếp cận. Mục tiêu mà
nhóm hướng tới là các tổ chức chính phủ, tổ chức phi lợi nhuận, tổ chức giáo dục,…
Hai chiến dịch tấn công được ghi nhận
vào tháng 05 và tháng 04 năm 2024 nhằm tới Việt Nam đã sử dụng file văn bản có
nội dung liên quan tới cơ quan thuế và tổ chức giáo dục. Cả hai chiến
dịch đều có điểm chung là bắt nguồn từ các email lừa đảo có đính kèm file độc hại.
Chiến
dịch có nhiều giai đoạn phức tạp, khai thác các công cụ như “forfiles.exe”
để thực thi file HTA độc hại lưu trên
máy chủ từ xa. Ngoài ra, Mustang Panda còn sử dụng PowerShell, VBScript và batch file trong chiến dịch.
Để tránh bị phát hiện, nhóm đối tượng
đã nhúng các file văn bản này vào các file .LNK độc hại. Chiến dịch sử
dụng kỹ thuật
DLL sideloading với rundll32 để thực thi DLL độc hại trên hệ thống.
Các đơn vị có thể tải xuống các
mã IoC(1) tại https://alert.khonggianmang.vn/
Dưới đây là một số IoC được ghi nhận
|
47eb43acdd342d3975000f650cf656d9f0f759
780d85f16d806d6b9a70f1be46
|
SHA256
|
LNK File
|
|
9375b508e981ed792742f1f3b831ea6647191
c261e0d3cd61e60645251ba7df7
|
SHA256
|
LNK File
|
|
cd10f98c2dbcc0c8fe3f0ed19efb1b2340f67b1
138a55b0bb8d1e3dfb985df51
|
SHA256
|
HPCustPartUI.dll
|
|
bce44453835ce96e49046ff618749a9533c290
504c3d7559b3a63969b9f3ef13
|
SHA256
|
wwlib.dll
|
|
57ba7d5093ec54b0223e6a826f6cb5e019a35
3963ddbac8420036f7374b28f62
|
SHA256
|
Book.dll
|
|
96cf65bb1ac9735c6a1100944d0f46343bb74f
3a3c05bc6282271184b872198e
|
SHA256
|
Vanban_8647.PDF
_update.hta
|
|
fe721743a87c2f2767c031ccac337c1fb1ae5e9
2384738dd90c65d3b1617a341
|
SHA256
|
Vanban_8647.PDF.
ps1
|
|
0ea669d3ef2ae00f25ccb4fef4805c6fd7f9816
c37afb8957b3d4ace065e1d95
|
SHA256
|
tempdata.dat
|
|
4c805f281923ffc2214f4fe48f31ea392b13b71
0969a18ad6b6b561744cd3875
|
SHA256
|
init.txt
|
|
968b3de170038522deae02b9b96c45cfc6a5c7
0fa0ddfaf29320d0d0d36aabfa
|
SHA256
|
getdata.ps1
|
|
hxxp://mega.vlvlvlvl[.]site/Vanban_8647.PDF_update.hta
|
URL
|
Download URL
|
|
hxxp://mega.vlvlvlvl[.]site/HP.exe
|
URL
|
Download URL
|
|
hxxp://mega.vlvlvlvl[.]site/HPCustPartUI.dll
|
URL
|
Download URL
|
|
hxxp://mega.vlvlvlvl[.]site/Vanban_8647.PD
F.ps1
|
URL
|
Download URL
|
|
hxxp://payment.tripadviso[.]online/tempdata.
dat
|
URL
|
Download URL
|
|
hxxp://vibm[.]vn/init.txt
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/newrun.ps1
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/getdata.ps1
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/stage2.2.ps1
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/checkin.php
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/book.dll
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/unikey.exe
|
URL
|
Download URL
|
|
hxxp://megacybernews[.]com/wwlib.dll
|
URL
|
Download URL
|
|
mega.vlvlvlvl[.]site
|
Domain
|
C&C
|
|
payment.tripadviso[.]online
|
Domain
|
C&C
|
|
vibm[.]vn
|
Domain
|
C&C
|
|
megacybernews[.]com
|
Domain
|
C&C
|
1 Indicator of Compromise – Dấu hiệu về sự xâm nhập2
- Tài liệu tham khảo
https://cyble.com/blog/vietnamese-entities-targeted-by-china-linked-mustang- panda-in-cyber-espionage/