[RE027] China-based APT Mustang Panda might still have continued their attack activities against organizations in Vietnam


1. Executive Summary

At VinCSS, through continuous cyber security monitoring, hunting malware samples and evaluating them to determine the potential risks, especially malware samples targeting Vietnam. Recently, during hunting on VirusTotal's platform and performing scan for specific byte patterns related to the Mustang Panda (PlugX), we discovered a series of malware samples, suspected to be relevant to APT Mustang Panda, that was uploaded from Vietnam.

All of these samples share the same name as “log.dll” and have a rather low detection rate.

Based on the above information, we infer that there is a possibility that malware has been infected in certain orgs in Vietnam, so we decided to analyze these malware samples. During analysis, based on the detected indicators, we continue to investigate and set the scenario of the attack campaign.

[RE027] Nhóm APT Mustang Panda có thể vẫn đang tiếp tục hoạt động tấn công vào các tổ chức tại Việt Nam

 


1. Giới thiệu

Tại VinCSS, chúng tôi liên tục chủ động theo dõi tình hình an ninh mạng, săn tìm các mẫu mã độc và đánh giá mức độ nguy hiểm của chúng, đặc biệt là các mẫu mã độc nhắm tới Việt Nam. Gần đây, trong quá trình thực hiện hunting trên nền tảng của VirusTotal, thực hiện tìm kiếm các mẫu byte đặc trưng liên quan tới nhóm Mustang Panda (PlugX), chúng tôi đã phát hiện một loạt mẫu mã độc mà chúng tôi nghi ngờ là của nhóm này được tải lên từ Việt Nam.

Tất cả các mẫu này đều có chung tên là “log.dll” và có tỉ lệ phát hiện khá thấp.

Dựa vào thông tin trên, chúng tôi cho rằng có khả năng mã độc đã được cài cắm vào một vài đơn vị ở Việt Nam, do đó chúng tôi quyết định phân tích các mẫu mã độc này. Trong quá trình phân tích, dựa vào các dấu hiệu tìm được, chúng tôi tiếp tục hunting các dữ kiện còn thiếu để bổ sung bức tranh đầy đủ hơn cho quá trình phân tích.

[RE026] A Deep Dive into Zloader - the Silent Night



1. Giới thiệu

Zloader, một banking trojan còn biết đến với những tên gọi khác như Terdot hay Zbot. Dòng trojan này được phát hiện lần đầu tiên vào năm 2016, và theo thời gian số lượng phát tán của nó liên tục gia tăng. Code của Zloader được cho là xây dựng dựa trên mã nguồn bị rò rỉ của mã độc ZeuS nổi tiếng. Vào năm 2011, khi mã nguồn của ZeuS được công khai thì từ đó tới nay nó được sử dụng trong nhiều mẫu mã độc khác nhau. 

Zloader có đầy đủ chức năng tiêu chuẩn của một trojan như có thể lấy thông tin từ các trình duyệt, thu thập cookie và mật khẩu, chụp ảnh màn hình… đồng thời để gây khó khăn cho các nhà phân tích, nó áp dụng các kĩ thuật cao cấp, bao gồm code obfuscation và mã hóa chuỗi, che dấu các hàm APIs. Gần đây, các chuyên gia của CheckPoint đã công bố phân tích về một chiến dịch phát tán Zloader theo đó quá trình lây nhiễm đã khai thác quy trình kiểm tra chữ kí số của Microsoft. Bên cạnh đó, Zloader còn được dùng để phát tán các loại mã độc khác bao gồm cả ransomware như Ryuk và Egregor. Điều này cho thấy, những kẻ đứng sau mã độc này vẫn đang tìm các phương thức khác nhau để nâng cấp nhằm vượt qua các biện pháp phòng vệ. Dưới đây là bảng xếp hạng của Zloader theo đánh giá từ trang AnyRun:

Nguồn: https://any.run/malware-trends/zloader

Mới đây nhất, nhiều đơn vị cung cấp dịch vụ viễn thông và công ty an ninh mạng trên toàn thế giới, bao gồm ESET, Black Lotus Labs, Đơn vị 42 của Palo Alto Networks và Avast đã hợp tác với các chuyên gia nghiên cứu bảo mật của Microsoft trong suốt nỗ lực điều tra, đã thực hiện các bước pháp lý và kỹ thuật để phá vỡ mạng botnet ZLoader, chiếm quyền kiểm soát 65 tên miền được sử dụng để kiểm soát và giao tiếp với các máy chủ bị lây nhiễm.

Bài viết này sẽ cung cấp chi tiết quá trình phân tích và kĩ thuật mà Zloader sử dụng, bao gồm:

  • Cách thức unpack để dump Zloader Core Dll.
  • Cách thức mà Zloader gây khó khăn cũng như làm mất thời gian trong quá trình phân tích.
  • Giải mã các chuỗi được sử dụng bởi Zloader bằng cả hai phương pháp IDAPython và AppCall.
  • Áp dụng AppCall để khôi phục lại các hàm APIs mà Zloader sử dụng.
  • Kĩ thuật Process Injection mà Zloader áp dụng để inject vào tiến trình msiexec.exe.
  • Giải mã thông tin cấu hình liên quan tới các địa chỉ C2s.
  • Cách thức Zloader thu thập và lưu thông tin tại Registry.
  • Kĩ thuật tạo Persistence.

Sample được  sử dụng trong bài viết: 034f61d86de99210eb32a2dca27a3ad883f54750c46cdec4fcc53050b2f716eb

[RE026] A Deep Dive into Zloader - the Silent Night

 

1. Overview

Zloader, a notorious banking trojan also known as Terdot or Zbot. This trojan was first discovered in 2016, and over time its distribution number has also continuously increased. The Zloader's code is said to be built on the leaked source code of the famous ZeuS malware. In 2011, when source code of ZeuS was made public and since then, it has been used in various malicious code samples.

Zloader has all the standard functionality of a trojan such as being able to fetch information from browsers, stealing cookies and passwords, capturing screenshots, etc. and for making analysis difficult, it applies advanced techniques, including code obfuscation and string encryption, masking Windows APIs call. Recently, CheckPoint expert published an analysis of a Zloader distribution campaign whereby the infection exploited Microsoft's digital signature checking process. In addition, Zloader has also recently partnered with different ransomware gangs are Ryuk and Egregor. This can indicate that the actors behind this malware are still looking for different ways to upgrade it to bypass the defenses. Here is the ranking of Zloader according to the rating from the AnyRun site:

Source: https://any.run/malware-trends/zloader

Most recently, multiple telecommunication providers and cybersecurity firms worldwide partnered with Microsoft's security researchers throughout the investigative effort, including ESET, Black Lotus Labs, Palo Alto Networks' Unit 42, and Avast. They took legal and technical steps to disrupt the ZLoader botnet, seizing control of 65 domains that were used to control and communicate with the infected hosts.

In this article, we will provide detailed analysis and techniques that Zloader uses, including:

  • How to unpack to dump Zloader Core Dll.
  • The technique that Zloader makes difficult as well as time consuming in the analysis process.
  • Decrypt strings used by Zloader by using both IDAPython and AppCall methods.
  • Apply AppCall to recover the Windows API calls.
  • Process Injection technique that Zloader uses to inject into the msiexec.exe process.
  • Decrypt configuration information related to C2s addresses.
  • How Zloader collects and saves information in the Registry.
  • The Persistence technique.

The analyzed sample used in the article: 034f61d86de99210eb32a2dca27a3ad883f54750c46cdec4fcc53050b2f716eb

[FIDO002] VinCSS FIDO2 Ecosystem - Hệ sinh thái xác thực mạnh không mật khẩu


Hệ sinh thái VinCSS FIDO2 giải quyết trọn vẹn bài toán ứng dụng xác thực mạnh không mật khẩu từ khách hàng cá nhân đến các tổ chức, DN cùng cam kết góp phần cắt giảm chi phí, tối ưu hoạt động, sử dụng dễ dàng, đảm bảo an toàn.


Để giải quyết những bật cập của mật khẩu, từ 2019, VinCSS đã bắt tay nghiên cứu và phát triển hệ sinh thái "Make In Vietnam" về xác thực mạnh không mật khẩu với 7 giải pháp hoàn thiện và đang tiếp tục nâng cấp đổi mới.