Tiêu điểm Picus số 101

Một lỗ hổng thực thi mã độc từ xa nghiêm trọng đã được tìm thấy trong Máy chủ và Trung tâm Dữ liệu Atlassian Confluence với điểm CVSS là 9,8 (Mức nghiêm trọng). CVE-2022-26134 là lỗ hổng bảo mật OGNL mà một mối đe dọa độc hại có thể khai thác để chạy các lệnh tùy ý trong Confluence Server hoặc Trung tâm dữ liệu. Vì lỗ hổng bảo mật ảnh hưởng đến tất cả các phiên bản được phát hành trước khi phát hiện ra nó, nên các tổ chức nên cập nhật Máy chủ Hợp lưu và Trung tâm Dữ liệu của mình càng sớm càng tốt. Xem chi tiết tại đây.

Anh Picus

Các nguy cơ trong Tháng 6 vừa qua

Nhóm nguy cơ ToddyCat

  • Mã nguy cơ của Picus:311440,262389,882906
  • Khu vực mục tiêu: Đài Loan, Việt Nam, Afghanistan, Ấn Độ, Cộng hòa Hồi giáo Iran, Malaysia, Pakistan, Liên bang Nga, Slovakia, Thái Lan, Liên hiệp Vương quốc Anh và Bắc Ireland
  • Mã độc (Công cụ): Samurai

Nhóm nguy cơ TGALLIUM 

  • Mã nguy cơ của Picus: 863399,443799,579576
  • Mật danh: Operation Soft Cell
  • Khu vực mục tiêu:Việt Nam, Liên bang Nga, Philippines, Mozambique, Malaysia, Campuchia, Bỉ, Úc, Afghanistan Ngành mục tiêu: Tài chính, Viễn thông, Tài chính, Chính phủ, Viễn thông
  • Mã độc (Công cụ): PingPull RAT

Nhóm nguy cơ Mustang Panda 

  • Mã nguy cơ của Picus: 701360,672136,786785
  • Mật danh: TA416, RedDelta, BRONZE PRESIDENT
  • Khu vực mục tiêu:Liên bang Nga
  • Ngành mục tiêu: Chính phủ
  • Mã độc (Công cụ): PlugX

Nhóm nguy cơ Mustang Panda 

  • Mã nguy cơ của Picus: 701360,672136,786785
  • Mật danh: TA416, RedDelta, BRONZE PRESIDENT
  • Khu vực mục tiêu:Liên bang Nga
  • Ngành mục tiêu: Chính phủ
  • Mã độc (Công cụ): PlugX

Các tình huống tấn công

APT / Malware Scenarios

Kịch bản về Ransomware BlackCat

Mã nguy cơ của Picus: 652923

CÁC HÀNH ĐỘNG

1. Tạo Lịch trình công việc bằng cách sử dụng các luồng dữ liệu thay thế (ADS)Kỹ thuật ATT & CK: Nhiệm vụ / Công việc đã lên lịch T1053
Chiến thuật ATT & CK: Thực thi, Persistent, Nâng cấp đặc quyền

2. Thực thi các lệnh bằng cách sử dụng Tệp Hình ảnh Tùy chọn Thực thi Kỹ thuật ATT & CK: Thực hiện Kích hoạt Sự kiện T1546
Chiến thuật ATT & CK: Nâng cao đặc quyền, Tính bền bỉ

3. Thêm tài khoản quản trị viên cục bộ Kỹ thuật ATT & CK: T1136 Tạo tài khoản
ATT & CK Tactic: Persistent

13. Viết một tệp có chứa ghi chú tiền chuộc BlackCat và mở nó Kỹ thuật ATT & CK: T1491 Defacement
Chiến thuật ATT & CK: Tác động

Các cuộc tấn công nguyên tử

Thực thi lệnh thông qua Công cụ chẩn đoán hỗ trợ của Microsoft (MSDT) bằng cách cung cấp Tải trọng HTML
Mã nguy cơ từ Picus: 322606
Kỹ thuật ATT & CK: Quá trình thâm nhập T1055
Chiến thuật ATT & CK: Thực thi

Beacon Memory Obfuscation bằng cách sử dụng DeepSleep Variant
Mã nguy cơ từ Picus: 540508
Kỹ thuật ATT & CK: T1027 Tệp hoặc Thông tin được xáo trộn
Chiến thuật ATT & CK: Vô hiệu hóa phòng thủ

Thực thi hội đồng trong bộ nhớ .NET bằng cách sử dụng phản chiếu DLL Injection
Mã nguy cơ từ Picus: 895925
Kỹ thuật ATT & CK: Quá trình thâm nhập T1055
Chiến thuật ATT & CK: Vô hiệu hóa phòng thủ Mã độc

Phần mềm độc hại của Mustang Panda Threat Group
Mã nguy cơ từ Picus: 701360,672136,786785
Kỹ thuật đặc thù ATT & CK : T1140, T1105, T1574, T1566, T1059
Khu vực mục tiêu: Nga
Các ngành mục tiêu: Chính phủ

Phần mềm độc hại của Vice Society Threat Group
Mã nguy cơ từ Picus: 451171
Kỹ thuật ATT & CK Chữ ký: T1106, T1547.001, T1055, T1057, T1074, T1129
Khu vực mục tiêu: Ý, Hoa Kỳ
Các ngành mục tiêu: Tất cả

Phần mềm độc hại của ToddyCat Threat Group
Mã nguy cơ từ Picus: 311440,262389,882906
Kỹ thuật đặc thù ATT & CK: T1073, T1037, T1071.001, T1090, T1055, T1053
Khu vực mục tiêu: Đài Loan, Việt Nam, Afghanistan, Ấn Độ, Cộng hòa Hồi giáo Iran, Malaysia, Pakistan, Liên bang Nga, Slovakia, Thái Lan, Vương quốc Liên hiệp Anh và Bắc Ireland
Các ngành mục tiêu: Tất cả Tấn công ứng dụng web

Lỗ hổng thực thi mã từ xa của trung tâm dữ liệu Atlassian Confluence
Mã nguy cơ từ Picus: 890767
OWASP Top 10: A3 – Xâm nhập
CVSS 3
Điểm cơ bản: 9,8
Critical CVE: CVE-2022-26134
Sản phẩm bị ảnh hưởng: Trung tâm dữ liệu hợp lưu Atlassian

Zimbra CRLF Injection trong lỗ hổng tra cứu bằng màng đệm
ID Đe dọa Picus: 5377866
OWASP Top 10: A3 – Tiêm Điểm cơ bản
CVSS 3: Cao 7,5
CVE: CVE-2022-27924
Sản phẩm bị ảnh hưởng: Zimbra Collaboration

Lỗ hổng bảo mật Magnolia CMS YAML
Mã nguy cơ từ Picus: 894029
OWASP Top 10: A8 – Lỗi toàn vẹn dữ liệu và phần mềm CVSS 3
Điểm cơ bản: 7.8 Cao
CVE: CVE-2021-46364
Sản phẩm bị ảnh hưởng: Magnolia CMS

Khám phá lỗ hổng bảo mật

Linux Netfilter Elevation Privilege
Lỗ hổng bảo mật Biến thể-2
Mã nguy cơ từ Picus: 718837
CVE: CVE-2022-1972
Điểm CVSS 3 : 7.8 – nguy cơ cao
Sản phẩm bị ảnh hưởng: Linux Kernel 5.13

Quy tắc Sigma

Thực thi proxy nhị phân qua WorkFolders.exe
Mã Sigma của Picus: 8046
Kỹ thuật: Thực thi proxy nhị phân hệ thống
Chiến thuật: Phòng thủ né tránh

Quá trình thực thi MSDT đáng ngờ
Mã Sigma của Picus: 3382
Kỹ thuật: Thực thi proxy nhị phân hệ thống
Chiến thuật: Phòng thủ né tránh

Dump LSA Secrets from the Registry
Mã Sigma của Picus: 6408
Kỹ thuật: Bán thông tin xác thực hệ điều hành: Bí mật LSA
Chiến thuật: Truy cập thông tin đăng nhập

Dịch giả: Nguyễn Thùy Trang

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *