VinCSS started to commercialize a new IoT security platform applying FDO standard

 

Recently, VinCSS Internet Security Services JSC, a subsidiary of Vingroup Vietnam, just launched its IoT Security solution named VinCSS IoT FDO. This solution utilizes the advantages of FIDO Device Onboard (FDO), an unique protocol issued by the world Fast Identity Online Alliance (FIDO Alliance) to provide the IoT industry with a fast and secure way to onboard any devices to any device management system.


Introduction of: The world first passwordless password manager using physical FIDO2 key

 

Password is so outdated but it is the most popularly used method of authentication. Trusting users to create passwords for different services has proved to be one of the weakest links in the process. The users, meanwhile, have universally rated the experience as negative. For enterprises having to deal with password breaches, users inadvertently use common passwords and passwords leak through social engineering; cost has been compounding.

The obvious solution is to automate the password creation process so a strong password with long string of alphabets, numbers and special characters can be created on-demand. The software should remember passwords for users too, since the remembering part is equally as hard as coming up with new unique passwords. Thus, from what we have just described, born the password manager. In reality, a password manager often come with a single login page, once you enter the master password, you can start using the service. Password managers often come with other nice-to-have features like auto-fill account and password fields on website; quick search, edit and save previously saved credentials.

[RE027] China-based APT Mustang Panda might still have continued their attack activities against organizations in Vietnam


1. Executive Summary

At VinCSS, through continuous cyber security monitoring, hunting malware samples and evaluating them to determine the potential risks, especially malware samples targeting Vietnam. Recently, during hunting on VirusTotal's platform and performing scan for specific byte patterns related to the Mustang Panda (PlugX), we discovered a series of malware samples, suspected to be relevant to APT Mustang Panda, that was uploaded from Vietnam.

All of these samples share the same name as “log.dll” and have a rather low detection rate.

Based on the above information, we infer that there is a possibility that malware has been infected in certain orgs in Vietnam, so we decided to analyze these malware samples. During analysis, based on the detected indicators, we continue to investigate and set the scenario of the attack campaign.

[RE027] Nhóm APT Mustang Panda có thể vẫn đang tiếp tục hoạt động tấn công vào các tổ chức tại Việt Nam

 


1. Giới thiệu

Tại VinCSS, chúng tôi liên tục chủ động theo dõi tình hình an ninh mạng, săn tìm các mẫu mã độc và đánh giá mức độ nguy hiểm của chúng, đặc biệt là các mẫu mã độc nhắm tới Việt Nam. Gần đây, trong quá trình thực hiện hunting trên nền tảng của VirusTotal, thực hiện tìm kiếm các mẫu byte đặc trưng liên quan tới nhóm Mustang Panda (PlugX), chúng tôi đã phát hiện một loạt mẫu mã độc mà chúng tôi nghi ngờ là của nhóm này được tải lên từ Việt Nam.

Tất cả các mẫu này đều có chung tên là “log.dll” và có tỉ lệ phát hiện khá thấp.

Dựa vào thông tin trên, chúng tôi cho rằng có khả năng mã độc đã được cài cắm vào một vài đơn vị ở Việt Nam, do đó chúng tôi quyết định phân tích các mẫu mã độc này. Trong quá trình phân tích, dựa vào các dấu hiệu tìm được, chúng tôi tiếp tục hunting các dữ kiện còn thiếu để bổ sung bức tranh đầy đủ hơn cho quá trình phân tích.

[RE026] A Deep Dive into Zloader - the Silent Night



1. Giới thiệu

Zloader, một banking trojan còn biết đến với những tên gọi khác như Terdot hay Zbot. Dòng trojan này được phát hiện lần đầu tiên vào năm 2016, và theo thời gian số lượng phát tán của nó liên tục gia tăng. Code của Zloader được cho là xây dựng dựa trên mã nguồn bị rò rỉ của mã độc ZeuS nổi tiếng. Vào năm 2011, khi mã nguồn của ZeuS được công khai thì từ đó tới nay nó được sử dụng trong nhiều mẫu mã độc khác nhau. 

Zloader có đầy đủ chức năng tiêu chuẩn của một trojan như có thể lấy thông tin từ các trình duyệt, thu thập cookie và mật khẩu, chụp ảnh màn hình… đồng thời để gây khó khăn cho các nhà phân tích, nó áp dụng các kĩ thuật cao cấp, bao gồm code obfuscation và mã hóa chuỗi, che dấu các hàm APIs. Gần đây, các chuyên gia của CheckPoint đã công bố phân tích về một chiến dịch phát tán Zloader theo đó quá trình lây nhiễm đã khai thác quy trình kiểm tra chữ kí số của Microsoft. Bên cạnh đó, Zloader còn được dùng để phát tán các loại mã độc khác bao gồm cả ransomware như Ryuk và Egregor. Điều này cho thấy, những kẻ đứng sau mã độc này vẫn đang tìm các phương thức khác nhau để nâng cấp nhằm vượt qua các biện pháp phòng vệ. Dưới đây là bảng xếp hạng của Zloader theo đánh giá từ trang AnyRun:

Nguồn: https://any.run/malware-trends/zloader

Mới đây nhất, nhiều đơn vị cung cấp dịch vụ viễn thông và công ty an ninh mạng trên toàn thế giới, bao gồm ESET, Black Lotus Labs, Đơn vị 42 của Palo Alto Networks và Avast đã hợp tác với các chuyên gia nghiên cứu bảo mật của Microsoft trong suốt nỗ lực điều tra, đã thực hiện các bước pháp lý và kỹ thuật để phá vỡ mạng botnet ZLoader, chiếm quyền kiểm soát 65 tên miền được sử dụng để kiểm soát và giao tiếp với các máy chủ bị lây nhiễm.

Bài viết này sẽ cung cấp chi tiết quá trình phân tích và kĩ thuật mà Zloader sử dụng, bao gồm:

  • Cách thức unpack để dump Zloader Core Dll.
  • Cách thức mà Zloader gây khó khăn cũng như làm mất thời gian trong quá trình phân tích.
  • Giải mã các chuỗi được sử dụng bởi Zloader bằng cả hai phương pháp IDAPython và AppCall.
  • Áp dụng AppCall để khôi phục lại các hàm APIs mà Zloader sử dụng.
  • Kĩ thuật Process Injection mà Zloader áp dụng để inject vào tiến trình msiexec.exe.
  • Giải mã thông tin cấu hình liên quan tới các địa chỉ C2s.
  • Cách thức Zloader thu thập và lưu thông tin tại Registry.
  • Kĩ thuật tạo Persistence.

Sample được  sử dụng trong bài viết: 034f61d86de99210eb32a2dca27a3ad883f54750c46cdec4fcc53050b2f716eb