[RE023] Quick analysis and removal tool of a series of new malware variant of Panda group that has recently targeted to Vietnam VGCA

 

Through continuous cyber security monitoring and hunting malware samples that were used in the attack on Vietnam Government Certification Authority, and they also have attacked a large corporation in Vietnam since 2019, we have discovered a series of new variants of the malware related to this group. Readers can re-read and compare the information below with the previously analyzed article: [RE018-2]Analyzing new malware of China Panda hacker group used to attack supply chain against Vietnam Government Certification Authority - Part 2

I.   Analysing loaders

Sample 2b15479eb7ec43f7a554dce40fe6a4263a889ba58673b7490a991e7d66703bc8 was discovered by us on VirusTotal on 11/06/2021, and was submitted from Vietnam:

[RE023] Phân tích nhanh và xử lý loạt biến thể mã độc mới của nhóm tin tặc Panda đã từng tấn công Ban Cơ yếu Chính Phủ Việt Nam đang hoạt động mạnh gần đây

 

Trong quá trình theo dõi, hunting các mẫu mã độc đã từng được sử dụng trong đợt tấn công vào Ban Cơ yếu Chính phủ Việt Nam, và đây cũng là dòng mã độc đã  từng tấn công vào một tập đoàn lớn tại Việt Nam từ năm 2019, chúng tôi đã phát hiện một loạt biến thể mới của các mã độc liên quan tới nhóm này. Bạn đọc có thể xem lại, đối chiếu thông tin bên dưới với bài đã đăng: [RE017-3]Phân tích kỹ thuật dòng mã độc mới được sử dụng để tấn công chuỗi cung ứng nhắm vào Ban Cơ yếu Chính phủ Việt Nam của nhóm tin tặc Panda Trung Quốc (Phần 3).

I.  Phân tích các loader

Mẫu 2b15479eb7ec43f7a554dce40fe6a4263a889ba58673b7490a991e7d66703bc8 được chúng tôi phát hiện trên VirusTotal vào ngày 11/06/2021, và được submit lên từ Việt Nam:

Điểm đáng chú ý ở file này là đuôi .NLS (National Language Support), nhưng nó lại là một DLL PE64. Chúng tôi tiến hành phân tích sâu vào mẫu này và đã xác định được đây là một mẫu dường như được build bởi chính tin tặc đã từng viết và build smanager_ssl.dll, msiscsi.dll, verifierpr.dll, wercplsupport.dll.

[RE022] Part 1: Quick analysis of malicious sample forging the official dispatch of the Central Inspection Committee

 

Through continuous cyber security monitoring, VinCSS has discovered a document containing malicious code with Vietnamese content that was found by ShadowChaser Group(@ShadowChasing1) group. We think, this is maybe a cyberattack campaign that was targeted in Vietnam, we have downloaded the sample file. Through a quick assessment, we discovered some interesting points about this sample, so we decided to analyze it. This is the first part in a series of articles analyzing this sample.

• File Name: Thông cáo báo chí Kỳ họp thứ nhất của Ủy ban Kiểm tra Trung ương khóa XIII.docx
• SHA-256: 6f66faf278b5e78992362060d6375dcc2006bcee29ccc19347db27a250f81bcd
• File size: 23.51 KB (24072 bytes)
• File type: Office Open XML Document

[RE022] Phần 1: Phân tích nhanh mẫu mã độc giả mạo công văn của Uỷ ban Kiểm tra Trung ương

 

Qua hoạt động theo dõi tình hình an ninh mạng liên tục, VinCSS đã phát hiện có một tweet của nhóm ShadowChaser Group(@ShadowChasing1) về một tài liệu chứa mã độc với nội dung tiếng Việt. Nhận định, đây có thể là một chiến dịch tấn công mạng vào Việt Nam, chúng tôi đã tải được file mẫu về. Qua đánh giá nhanh, chúng tôi phát hiện nhiều điểm thú vị của mẫu này nên đã quyết định tiến hành phân tích. Dưới đây là Phần 1, phân tích nhanh mẫu mã độc trên.

• File Name: Thông cáo báo chí Kỳ họp thứ nhất của Ủy ban Kiểm tra Trung ương khóa XIII.docx
• SHA-256: 6f66faf278b5e78992362060d6375dcc2006bcee29ccc19347db27a250f81bcd
• File size: 23.51 KB (24072 bytes)
• File type: Office Open XML Document

[EX006] How to exploit CVE-2021-22986 in F5 BIG-IP devices

 

Overview

F5 has just announced some critical vulnerabilities in the web application of Big IP, notably CVE-2021-22986. This vulnerability is in the iControl REST API management interface, which can allow unauthenticated attackers to remote code execution (RCE) with a CVSS score of 9.8.

In this article, we will perform a detailed analysis and how to exploit the vulnerability.

iControl REST interface

Firstly, we identify the handlers of these APIs. The information on the F5’s website shows that these endpoints are prefixed with /mgmt/. The httpd configuration shows that these requests are forwarded to a listening service on localhost at port 8100: