[RE022] Part 1: Quick analysis of malicious sample forging the official dispatch of the Central Inspection Committee

 

Through continuous cyber security monitoring, VinCSS has discovered a document containing malicious code with Vietnamese content that was found by ShadowChaser Group(@ShadowChasing1) group. We think, this is maybe a cyberattack campaign that was targeted in Vietnam, we have downloaded the sample file. Through a quick assessment, we discovered some interesting points about this sample, so we decided to analyze it. This is the first part in a series of articles analyzing this sample.

[RE022] Phần 1: Phân tích nhanh mẫu mã độc giả mạo công văn của Uỷ ban Kiểm tra Trung ương

 

Qua hoạt động theo dõi tình hình an ninh mạng liên tục, VinCSS đã phát hiện có một tweet của nhóm ShadowChaser Group(@ShadowChasing1) về một tài liệu chứa mã độc với nội dung tiếng Việt. Nhận định, đây có thể là một chiến dịch tấn công mạng vào Việt Nam, chúng tôi đã tải được file mẫu về. Qua đánh giá nhanh, chúng tôi phát hiện nhiều điểm thú vị của mẫu này nên đã quyết định tiến hành phân tích. Dưới đây là Phần 1, phân tích nhanh mẫu mã độc trên.

[EX006] How to exploit CVE-2021-22986 in F5 BIG-IP devices

 

Overview

F5 has just announced some critical vulnerabilities in the web application of Big IP, notably CVE-2021-22986. This vulnerability is in the iControl REST API management interface, which can allow unauthenticated attackers to remote code execution (RCE) with a CVSS score of 9.8.

In this article, we will perform a detailed analysis and how to exploit the vulnerability.

iControl REST interface

Firstly, we identify the handlers of these APIs. The information on the F5’s website shows that these endpoints are prefixed with /mgmt/. The httpd configuration shows that these requests are forwarded to a listening service on localhost at port 8100:

[EX006] Hành trình khai thác lỗ hổng CVE-2021-22986

 

Tổng quan

Hãng F5 vừa công bố một số lỗ hổng nghiêm trọng trong ứng dụng web của sản phẩm Big IP, trong đó đáng chú ý phải kể đến CVE-2021-22986. Lỗ hổng này nằm trong giao diện quản lý iControl REST API, có thể cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực với điểm số CVSS lên đến 9.8.

Trong bài viết này chúng tôi sẽ đi vào phân tích chi tiết và cách khai thác lỗ hổng.

Giao diện iControl REST

Trước hết chúng tôi xác định handler của các API này. Thông tin trên trang web của F5 cho thấy các endpoint này đều có tiền tố là /mgmt/. Cấu hình httpd cho thấy các request này được chuyển tiếp tới một dịch vụ  lắng nghe trên localhost tại cổng 8100:

[RE021] Qakbot analysis – Dangerous malware has been around for more than a decade

 

1. Overview

QakBot (also known as QBot, QuakBot, Pinkslipbot) is one of the famous Banking Trojan with the main task to steal banking credentials, online banking session information, or any other banking data. Although detected by anti-virus software vendors since 2008, but util now it’s still operating and keep continuously maintained by the gangs behind it. Qakbot continuously evolves by applying advance or new techniques to evade detection and avoid reverse analysis, making analysis more difficult. In recent reports, it could be used to drop other malware such as ProLock, Egregor ransomware.

Source: CrowdStrike 2021 Global Threat Report
Qakbot can be distributed via Emotet, however Emotet has been taken down recently, currently this malware uses email spam and phishing campaigns as main method. Unlike Emotet that uses MS-Word in conjunction with VBA to download malicious payload, Qakbot uses MS-Excel with the support of Excel 4.0 Macro (XLM macro) to download and execute malicious payload on the victim's computer.

In this article, we will analyze how QakBot infects after launched by malicious Excel document, the techniques used to make the analysis difficult, and how to extract the C2 list. QakBot’s persistence can not be detected at runtime, the run key only created before system shutdown or enter suspended state, and deleted immediately after QakBot is executed again. Qakbot also applied encryption techniques to conceal information, as well as encrypt the payload on memory.