[RE020] ElephantRAT (Kunming version): our latest discovered RAT of Panda and the similarities with recently Smanager RAT

 

Recently, ESET published a report on a supply chain attack targeting software company BigNox, taking advantage of the update mechanism of the NoxPlayer software - an Android emulator on PC and Mac. This software is used by many gamers in Vietnam as well as in all over the world. ESET has named this campaign Operation NightScout. With the assessment that Vietnam can also have many people infected due to a large number of users, we have begun to investigate and analyze further.

Based on the hashes of the samples provided by ESET, we have not only re-analyzed them, but also digged deeper. We found many points that the ESET did not mention in their report. At the same time, we have found a number of similarities and relationships between these samples and those used in the last campaign against the Vietnam Government CertificationAuthority as well as a large Vietnamese corporation that we already mentioned. Not only that, we have discovered a new RAT, which is named ElephantRat.

“昆明版本” means “Kunming version”

[RE020] ElephantRAT (phiên bản Côn Minh): dòng RAT mới của Panda và các điểm tương đồng với SManager RAT trong chiến dịch tấn công Ban Cơ yếu Chính phủ Việt Nam

 

Gần đây, ESET đã công bố một báo cáo về một chiến dịch tấn công chuỗi cung ứng (supply chain attack) nhắm vào hãng phần mềm BigNox, lợi dụng cơ chế update của phần mềm NoxPlayer, một phần mềm giả lập (emulator) hệ điều hành Android chạy trên PC và Mac. Phần mềm này được nhiều game thủ của Việt Nam cũng như trên thế giới sử dụng. ESET đã đặt tên chiến dịch này là Operation NightScout. Với nhận định Việt Nam chúng ta cũng có thể có nhiều người đã bị lây nhiễm do tập người dùng lớn, nên chúng tôi đã bắt tay điều tra, phân tích thêm.

Dựa theo các hash của các mẫu mà ESET cung cấp, chúng tôi đã không chỉ phân tích lại hết mà còn phân tích sâu hơn vào các mẫu đó. Chúng tôi đã phát hiện ra nhiều điểm mà báo cáo của ESET không nêu ra. Đồng thời, chúng tôi đã tìm ra một số mối liên hệ, tương đồng giữa các mẫu này và các mẫu đã được dùng trong chiến dịch tấn công Ban Cơ yếu Chính phủ vừa qua cũng như một tập đoàn lớn của Việt Nam mà chúng tôi đã có đề cập. Không chỉ vậy, chúng tôi đã phát hiện ra một  dòng RAT mới, đó là ElephantRat.

“昆明版本”có nghĩa là “Phiên bản Côn Minh”

[RE019] From A to X analyzing some real cases which used recent Emotet samples

 

1. Introduction

Emotet (also known as Heodo, Geodo) is one of the most dangerous Trojan today. Through mass email spam campaigns, it targets mostly companies and organizations to steal sensitive information from victims. Recent records show that Emotet is often used as a downloader for other malware, and is an especially popular delivery mechanism for banking Trojans, such as Qakbot and TrickBot, and also lead to ransomware attacks using Ryuk.

ANY.RUN’s annualreport pointed out that the most active malware in 2020 is Emotet.

Fig 1. Statistics of top threats by uploads for 2020

In this article, we analyze in detail full attack flow in some real cases of recent Emotet samples which were discovered and handled by us while providing cyber security services to our customer:

¨ Sample 1:

· Document template: b836b13821f36bd9266f47838d3e853e

· Loader binary: 442506cc577786006da7073c0240ff59

¨ Sample 2:

· Document template: 7dbd8ecfada1d39a81a58c9468b91039

· Loader binary: e87553aebac0bf74d165a87321c629be

¨ Sample 3:

· Document template: d5ca36c0deca5d71c71ce330c72c76aa

· Loader binary: 825b74dfdb58b39a1aa9847ee6470979

[RE019] Phân tích từ A đến X chiến dịch tấn công thực tế sử dụng Emotet gần đây

 

1. Giới thiệu

Emotet (còn được biết đến với tên khác như Heodo, Geodo) được đánh giá là một trong những trojan nguy hiểm nhất hiện nay. Bằng các chiến dịch email spam hàng loạt, nó nhắm mục tiêu chủ yếu là các công ty, tổ chức nhằm đánh cắp các thông tin nhạy cảm của nạn nhân. Bên cạnh đó, các ghi nhận gần đây cho thấy Emotet còn được sử dụng như một dịch vụ nhằm tải và cài đặt các dòng banking Trojan khác như TrickBot, Qbot, hoặc thậm chí là mã độc tống tiền như Ryuk.

Báo cáo thườngniên của ANY.RUN cho thấy mã độc hoạt động nhiều nhất trong năm 2020 chính là Emotet.

Hình 1. Thống kê năm 2020 của ANY.RUN

Trong bài viết này, chúng tôi phân tích chi tiết toàn bộ luồng tấn công thực tế sử dụng các mẫu mã độc Emotet đã bị chúng tôi phát hiện và ngăn chặn gần đây khi tham gia bảo đảm an toàn thông tin cho hệ thống của khách hàng:

¨ Mẫu 1:

· Document template: b836b13821f36bd9266f47838d3e853e

· Loader binary: 442506cc577786006da7073c0240ff59

¨ Mẫu 2:

· Document template: 7dbd8ecfada1d39a81a58c9468b91039

· Loader binary: e87553aebac0bf74d165a87321c629be

¨ Mẫu 3:

· Document template: d5ca36c0deca5d71c71ce330c72c76aa

· Loader binary: 825b74dfdb58b39a1aa9847ee6470979

[PT008] Fuzzing Linux kernel với Syzkaller

 

Syzkaller là một fuzzer tìm lỗ hổng trên nhân Linux rất hiệu quả, và đã hỗ trợ tìm ra rất nhiều bug trong những năm gần đây. Các bạn có thể từng nghe đến những cái tên như Dirty Cow, Meltdown, Spectre, BlueBorne… Nhưng syzkaller tìm được hàng nghìn bug như thế trong vài năm qua. Đây là link những bug mà syzkaller tìm thấy.

Hình 1. Một số kernel bugs nghiêm trọng đã được phát hiện [1]

Google xây dựng một hệ thống là syzbot, fuzz tự động và liên tục nhân Linux tại đây. Bug họ tìm thấy chủ yếu nhờ vào hệ thống này.

Hình 2. Syzbot dashboard [2]

Trong danh sách này, các bug nghiêm trọng sẽ được ưu tiên fix trước. Có một điều đặc biệt tôi nhận thấy là tất cả các bug đều được public, kể cả các bug chưa được fix. Đồng thời, tôi nhận thấy rằng các hệ thống thật “in the wild” thường không được cập nhật nhân thường xuyên, đặc biệt là trên PC, server. Nếu như hacker target vào một mục tiêu nào đó, muốn thực hiện leo quyền hay RCE hệ thống, thì họ có thể đợi syzbot tìm ra một lỗi nghiêm trọng, rồi viết mã khai thác cho target đó.