ats

Danh mục: An ninh mạng

  • Chiêu dùng font WOFF2 để ẩn mã độc trên WordPress

    Chiêu dùng font WOFF2 để ẩn mã độc trên WordPress

    GootLoader quay lại: chiêu dùng font WOFF2 để ẩn mã độc trên WordPress

    Gần đây, GootLoader tái xuất với kỹ thuật mới: nhúng WOFF2 web font
    glyph substitution để che tên file, kết hợp với ZIP/XOR packing để né phân tích tự động.
    Bài viết này mô tả dòng thời gian & luồng tấn công, cách phát hiện và các bước ứng phó cho quản trị WordPress.

    1. Tóm tắt luồng tấn công (Attack Flow)

    Dưới đây là mô tả tuần tự (high-level) của chuỗi tấn công mà GootLoader đang dùng:

    
1. SEO poisoning / Malvertising
   - Nạn nhân tìm mẫu hợp đồng trên Google/Bing.
   - Kết quả tìm kiếm chứa Google Ads hoặc redirect đến site độc hại.

2. Trang WordPress bị chiếm / trang giả mạo
   - Trang hiển thị link/download tới ZIP độc hại.
   - Trang nhúng JavaScript chứa WOFF2 (Z85-encoded) để obfuscate filenames.

3. Tải ZIP (XOR-encrypted) qua endpoint comment hoặc download link
   - ZIP chứa payload được đóng gói đặc biệt:
       • Trên công cụ phân tích: giải nén ra .TXT (nhẹ, vô hại).
       • Trên Windows Explorer: giải nén ra .js (payload thực).

4. Thực thi JavaScript loader
   - Loader giải mã, tải Supper (SocksShell) hoặc backdoor khác.
   - Tải thêm module, thiết lập SOCKS5 proxy hoặc remote shell.

5. Lateral movement
   - Kẻ tấn công dùng WinRM/AnyDesk/credentials reuse để di chuyển ngang.
   - Chiếm Domain Controller, tạo admin account, triển khai ransomware hoặc tiếp tục stealthy exfiltration.

    Ghi chú: kỹ thuật đáng chú ý ở bước 2 là dùng @font-face với font tùy chỉnh (WOFF2) và glyph mapping để khi inspect DOM/HTML thấy ký tự lạ, nhưng khi render trên trình duyệt lại hiển thị tên file hợp lệ — nhằm né tầm nhìn con người và công cụ phân tích tĩnh.

    2. Chỉ số nhận diện (Indicators of Compromise)

    • HTML/JS chứa chuỗi Z85/Base85 dài hoặc đoạn mã nhúng font (.woff2) dạng blob.
    • Requests POST tới endpoint comment với payload lớn (như Base85/XOR blobs).
    • ZIP download có hành vi khác nhau khi unpack trên Windows Explorer vs 7-Zip/VirusTotal.
    • Outbound kết nối SOCKS5 tới host lạ; AnyDesk/WinRM kết nối bất thường.
    • EDR cảnh báo thực thi JS từ thư mục tải xuống hoặc %TEMP%.

    3. Phát hiện & phân tích (Tactical detection)

    Web / App server

    • Search trong webroot cho pattern: @font-face, data:font/woff2, hoặc chuỗi Z85 dài (> 1KB).
    • Quét wp_comments cho entry chứa URLs lạ hoặc blob payload.
    • Phân tích access logs: POST nhiều tới /wp-comments-post.php hoặc REST endpoints.

    Endpoint / Network

    • Thiết lập IDS rule phát hiện traffic SOCKS5 hoặc kết nối bất thường từ web server tới host ngoài.
    • EDR rule: phát hiện tạo tiến trình WinRM, AnyDesk, hoặc scripts thực thi JS từ folder download.

    4. Hướng dẫn ứng phó khẩn cấp (Incident Response)

    Ngắt kết nối & bảo toàn bằng chứng

    1. Isolate server (block public access / chuyển site vào chế độ maintenance).
    2. Snapshot / backup nguyên trạng file system & DB (label forensic).
    3. Thu thập logs (webserver, PHP-FPM, WP, syslog) cho giai đoạn trước & sau nghi ngờ.

    Phân tích & loại bỏ

    1. Quét webroot tìm JS/HTML có dấu hiệu Z85/WOFF2; lưu hash làm IOC.
    2. Kiểm tra wp_options, wp_users, wp_posts, wp_comments cho entry lạ.
    3. Xóa file độc hại, thay thế bằng bản sạch, cập nhật core/theme/plugin lên phiên bản mới nhất.

    Ứng phó nếu có lateral movement (DC compromise)

    • Isolate Domain Controller, disable network interfaces nếu cần.
    • Thực hiện AD audit: user mới, thay đổi GPO, scheduled tasks, service account.
    • Rotate mật khẩu, revoke token, thực hiện forensics chuyên sâu; cân nhắc rebuild từ backup sạch.

    5. Hardening & phòng ngừa dài hạn

    WordPress specific

    • Luôn cập nhật core, plugins, themes và loại bỏ plugin không dùng.
    • Đặt define('DISALLOW_FILE_EDIT', true); trong wp-config.php.
    • Sử dụng WAF (Cloudflare, Sucuri, ModSecurity) với rule chặn payload nhúng font/long-blob.
    • Giới hạn upload types; scan file upload tự động (ClamAV/virus scanner).
    • Áp dụng 2FA cho admin; hạn chế truy cập /wp-admin theo IP nếu có thể.

    Mạng & hệ thống

    • EDR/NGAV để phát hiện script execution và anomali PowerShell/WinRM.
    • IDS/Suricata rules để phát hiện SOCKS5/đi ra bất thường.
    • Least-privilege cho accounts; MFA cho quản trị; giới hạn remote admin từ internet.

    6. Checklist nhanh (IR playbook cho admin)

    1. Sao lưu forensic + snapshot.
    2. Quét webroot bằng Maldet/ClamAV, tìm Z85/WOFF2 patterns.
    3. Kiểm tra wp_comments, wp_users, wp_options for anomalies.
    4. Đổi mật khẩu admin, rotate keys, revoke OAuth apps nghi ngờ.
    5. Khôi phục site từ backup sạch nếu persistent backdoor không thể loại bỏ.
    6. Thực hiện post-incident hardening: WAF, 2FA, patching, AV, logging.

    7. Mô tả luồng tấn công (chi tiết để chèn vào báo cáo)

    Luồng tấn công (dạng sequence):

    
1) Recon & SEO poisoning:
   - Attacker mua Google Ads / SEO để đẩy kết quả tới page độc hại.
2) Initial compromise:
   - Nạn nhân download ZIP từ site; site có thể là WordPress bị chiếm hoặc trang giả mạo.
3) Delivery & Evasion:
   - ZIP gửi qua comment API hoặc direct link; nội dung ZIP được XOR-coded.
   - Trang dùng WOFF2 glyph-sub substitution để hiển thị tên file 'sạch' cho người dùng.
4) Execution:
   - Người dùng mở file trên Windows => .js payload chạy (hoặc trick social-engineering để chạy).
5) Post-exploit:
   - Loader tải Supper backdoor; thiết lập SOCKS5 tunnel.
6) Lateral move & persistence:
   - Dùng WinRM/AnyDesk/credential reuse để leo sang DC -> tạo account admin -> triển khai additional payload (ransomware/exfil).

    Bạn có thể chèn đoạn sequence này vào báo cáo forensic, kèm timeline (timestamp từ logs) để chứng minh window of compromise và các hành động điều tra tiếp theo.

    GootLoader tiếp tục cho thấy tội phạm mạng ưu tiên evasion và social engineering hơn là exploit zero-day.
    Với kỹ thuật WOFF2 + ZIP trick, mục tiêu là kéo dài thời gian lộ diện và đánh lừa cả người dùng lẫn hệ thống phân tích.
    Việc phòng thủ hiệu quả đòi hỏi kết hợp: cập nhật, WAF, EDR, giám sát network, và quy trình IR sẵn sàng.

  • Microsoft cảnh báo tấn công “Whisper Leak”

    Microsoft cảnh báo tấn công “Whisper Leak”

    Microsoft cảnh báo tấn công “Whisper Leak” – Kẻ tấn công có thể suy đoán nội dung trò chuyện AI dù được mã hóa

    Microsoft vừa công bố chi tiết một dạng tấn công kênh kề (side-channel attack) mới có tên
    “Whisper Leak”, cho phép kẻ tấn công bị động — chỉ cần quan sát lưu lượng mạng được mã hóa —
    vẫn có thể suy đoán được chủ đề trò chuyện giữa người dùng và mô hình ngôn ngữ (LLM), ngay cả khi kết nối
    được bảo vệ bằng HTTPS/TLS.

    Microsoft Uncovers 'Whisper Leak' Attack That Identifies AI Chat Topics in Encrypted Traffic
    Microsoft Uncovers ‘Whisper Leak’ Attack That Identifies AI Chat Topics in Encrypted Traffic

    Theo nhóm nghiên cứu Microsoft Defender Security Research Team (Jonathan Bar-Or và Geoff McDonald),
    lỗ hổng này đặc biệt nghiêm trọng với các mô hình AI hoạt động ở chế độ streaming
    — khi phản hồi được gửi dần từng phần thay vì chờ kết quả hoàn chỉnh.

    1. Cơ chế tấn công Whisper Leak

    Trong kiểu tấn công này, kẻ xấu không giải mã dữ liệu, mà chỉ
    quan sát kích thước gói tin và thời gian truyền giữa người dùng và máy chủ AI.
    Sau đó, bằng cách huấn luyện bộ phân loại (classifier) qua các mô hình máy học như LightGBM, Bi-LSTM
    hoặc BERT, chúng có thể dự đoán xem nội dung trò chuyện có liên quan đến một chủ đề nhạy cảm hay không.

    Ví dụ, nếu một cơ quan chính phủ hoặc nhà cung cấp Internet (ISP) theo dõi lưu lượng đến các chatbot phổ biến,
    họ có thể phát hiện người dùng đang hỏi về các chủ đề như “rửa tiền”, “chính trị”, hoặc “tôn giáo” —
    dù toàn bộ dữ liệu được mã hóa TLS.

    “Những kẻ quan sát được lưu lượng TLS mã hóa có thể xác định chủ đề trò chuyện AI
    chỉ dựa trên mẫu kích thước và thời gian gói tin,” — Microsoft cho biết.

    2. Mức độ ảnh hưởng và kết quả nghiên cứu

    Thử nghiệm của Microsoft cho thấy mô hình phân loại có thể đạt độ chính xác trên 98%
    khi áp dụng với các chatbot nổi tiếng như Mistral, DeepSeek, xAI, OpenAI.
    Điều này chứng minh nguy cơ thực tế rằng các chủ đề nhạy cảm có thể bị suy đoán dù kết nối được mã hóa.

    Hơn nữa, hiệu quả của Whisper Leak tăng lên theo thời gian
    khi kẻ tấn công thu thập thêm dữ liệu huấn luyện, biến nó thành một công cụ gián điệp khả thi ở cấp ISP hoặc quốc gia.

    3. Biện pháp phòng vệ từ các hãng AI

    Sau khi được Microsoft tiết lộ có trách nhiệm (Responsible Disclosure),
    các công ty OpenAI, Mistral, Microsoft, xAI đã triển khai biện pháp giảm thiểu.
    Giải pháp chính là chèn thêm chuỗi văn bản ngẫu nhiên độ dài biến thiên vào phản hồi của mô hình,
    giúp “nhiễu hóa” kích thước gói tin, làm vô hiệu hóa kênh rò rỉ thông tin.

    Khuyến nghị cho người dùng:

    • Tránh thảo luận các chủ đề nhạy cảm khi kết nối qua mạng công cộng hoặc Wi-Fi không tin cậy.
    • Sử dụng VPN để thêm lớp bảo mật khi trò chuyện với chatbot.
    • Ưu tiên các mô hình non-streaming (trả kết quả toàn bộ) thay vì streaming liên tục.
    • Chọn nhà cung cấp AI đã công bố triển khai biện pháp giảm thiểu side-channel.

    4. Liên hệ với các nghiên cứu khác về bảo mật LLM

    Song song với phát hiện Whisper Leak, nhóm Cisco AI Defense đã đánh giá 8 mô hình LLM mã nguồn mở
    như Alibaba Qwen3, DeepSeek v3.1, Meta Llama 3.3, Google Gemma 3 và nhận thấy chúng
    “rất dễ bị thao túng qua tấn công đa lượt hội thoại (multi-turn attacks)”.

    Điều này cho thấy các mô hình open-weight có **rủi ro vận hành cao** nếu không có cơ chế kiểm soát bảo mật bổ sung,
    nhấn mạnh sự cần thiết của AI red-teaming, fine-tuning an toàn
    và hệ thống prompt bảo vệ nghiêm ngặt trong các ứng dụng doanh nghiệp.

    5. Kết luận – Khi bảo mật AI vượt ra ngoài mã hóa

    “Whisper Leak” chứng minh rằng ngay cả với HTTPS,
    dữ liệu trò chuyện AI vẫn có thể bị suy đoán thông qua hành vi lưu lượng.
    Các nhà phát triển và tổ chức cần coi bảo mật AI là một tầng riêng biệt trong kiến trúc hệ thống,
    không phụ thuộc hoàn toàn vào mã hóa truyền thống.

    ➤ Khi trí tuệ nhân tạo trở thành hạ tầng mới của Internet,
    mọi gói tin đều có thể là “tiếng thì thầm” rò rỉ thông tin —
    và chỉ những hệ thống được thiết kế với bảo mật theo chiều sâu (Defense in Depth)
    mới đủ khả năng giữ bí mật cho người dùng.

    Nguồn: Microsoft Security Research Team, The Hacker News, Cisco AI Defense 2025.

  • From Log4j to IIS, China’s Hackers Turn Legacy Bugs into Global Espionage Tools

    From Log4j to IIS, China’s Hackers Turn Legacy Bugs into Global Espionage Tools

    TỪ LOG4J ĐẾN IIS – CÁC NHÓM TIN TẶC TRUNG QUỐC ĐANG BIẾN LỖ HỔNG CŨ THÀNH VŨ KHÍ GIÁN ĐIỆP TOÀN CẦU

    Một nhóm tin tặc có liên hệ với Trung Quốc vừa bị phát hiện tấn công vào một tổ chức phi lợi nhuận tại Hoa Kỳ — nơi có hoạt động liên quan đến việc ảnh hưởng chính sách đối ngoại của chính phủ Mỹ.

    From Log4j to IIS, China's Hackers Turn Legacy Bugs into Global Espionage Tools
    From Log4j to IIS, China’s Hackers Turn Legacy Bugs into Global Espionage Tools


    Theo báo cáo từ Symantec (thuộc Broadcom)Carbon Black, cuộc tấn công diễn ra trong tháng 4/2025, nhằm thiết lập hiện diện lâu dài (persistent foothold) trong hệ thống nạn nhân.

    🧠 1. Diễn biến kỹ thuật cuộc tấn công

    Giai đoạn 1: Quét và dò tìm (Recon & Scanning)

    • Bắt đầu từ ngày 05/04/2025, máy chủ của tổ chức bị quét hàng loạt bằng các khai thác công khai:

      • CVE-2022-26134 (Atlassian Confluence RCE)

      • CVE-2021-44228 (Apache Log4j – Log4Shell)

      • CVE-2017-9805 (Apache Struts OGNL Injection)

      • CVE-2017-17562 (GoAhead Web Server Overflow)

    👉 Các lỗ hổng này tuy đã được vá từ lâu, nhưng vẫn tồn tại trong các hệ thống “legacy” chưa cập nhật.

    Giai đoạn 2: Xâm nhập ban đầu (Initial Access)

    • Không có bằng chứng cho thấy các exploit trên thành công.

    • Giả định: nhóm tấn công có thể đã brute-force hoặc credential stuffing để truy cập vào tài khoản hợp pháp.

    Giai đoạn 3: Thực thi và duy trì hiện diện (Execution & Persistence)

    • Ngày 16/04/2025, attacker thực thi các lệnh:

      • curl kiểm tra kết nối Internet.

      • netstat để liệt kê cấu hình mạng.

      • Tạo Scheduled Task nhằm duy trì truy cập lâu dài.

    • Task chạy msbuild.exe (một binary hợp pháp của Microsoft) để tải và chạy payload ẩn, sau đó tạo thêm một tác vụ chạy mỗi 60 phút với quyền SYSTEM.

    • Payload được inject vào csc.exe (trình biên dịch C#), từ đó thiết lập C2 connection tới máy chủ điều khiển: 38.180.83[.]166.

    Giai đoạn 4: Nạp mã độc (Payload Deployment)

    • Nhóm tấn công sử dụng custom loader để unpack và chạy Remote Access Trojan (RAT) trong bộ nhớ (fileless).

    • Thực thi Vipre AV component (vetysafe.exe) để sideload DLL (sbamres.dll), kỹ thuật DLL Sideloading nhằm qua mặt antivirus.

    🧩 DLL “sbamres.dll” từng được dùng trong chiến dịch Deed RAT / Snappybee (Salt Typhoon) và Earth Longzhi (APT41) – các nhóm có nguồn gốc Trung Quốc.

    🧰 2. Công cụ & kỹ thuật tấn công

    Kỹ thuật Mô tả MITRE ATT&CK
    Credential Stuffing Dùng tài khoản lộ từ dữ liệu cũ để truy cập hợp pháp T1110.004
    Living-off-the-Land Lạm dụng công cụ hợp pháp (msbuild.exe, csc.exe) T1218
    DLL Sideloading Chèn mã độc vào tiến trình hợp pháp T1574.002
    Scheduled Task Persistence Duy trì truy cập thông qua tác vụ hệ thống T1053.005
    C2 over HTTPS Giao tiếp với máy chủ điều khiển ẩn qua HTTPS T1071.001
    In-memory Payload Execution Nạp mã độc trong RAM, không ghi file T1620

    🌐 3. Mở rộng quy mô: Nhóm tin tặc Trung Quốc toàn cầu

    Theo ESET, nhiều nhóm tấn công Trung Quốc vẫn hoạt động mạnh trong năm 2025, nhắm vào các khu vực:

    Nhóm tấn công Khu vực & mục tiêu Công cụ / Chiến thuật
    Speccom (IndigoZebra) Ngành năng lượng Trung Á BLOODALCHEMY, kidsRAT
    DigitalRecyclers Tổ chức châu Âu Lạm dụng công cụ Magnifier để có quyền SYSTEM
    FamousSparrow Chính phủ Nam Mỹ (Argentina, Panama, Ecuador…) Lợi dụng lỗ hổng ProxyLogon (Exchange)
    SinisterEye (LuoYu / Cascade Panda) Hàng không Đài Loan, cơ quan Mỹ tại Trung Quốc Malware WinDealer / SpyDealer, dùng AitM Attack
    PlushDaemon Nhật & Campuchia Chiếm DNS router → cấy backdoor SlowStepper

    Các chiến dịch này thể hiện mức độ phối hợp cao giữa các nhóm, tập trung vào đánh cắp dữ liệu nhạy cảm, chính trị và công nghệ.

    🧨 4. Làn sóng mới: Tấn công IIS và SEO cloaking

    Nhóm tấn công REF3927 được phát hiện lợi dụng IIS misconfiguration (rò rỉ machineKey) để cài backdoor TOLLBOOTH (HijackServer).

    • Khả năng:

      • Cấy web shell Godzilla

      • Sử dụng GotoHTTP RAT cho điều khiển từ xa

      • Thu thập credential qua Mimikatz

      • Ẩn mã độc bằng rootkit HIDDENDRIVER

    • Mục tiêu chính: Máy chủ IIS ở Mỹ và Ấn Độ, lây nhiễm hàng trăm server.

    ⚠️ IIS trở thành mục tiêu mới do nhiều hệ thống Windows Server 2012/2016 chưa được vá hoặc cấu hình sai (web.config, machineKey, ViewState).

    🛡️ 5. Phân tích & Hướng phòng thủ

    (1) Giảm thiểu rủi ro từ hệ thống cũ (Legacy Systems)

    • Loại bỏ hoặc nâng cấp ứng dụng sử dụng Log4j, Struts, Confluence cũ.

    • Tự động quét CVE định kỳ bằng công cụ như Qualys, OpenVAS, Nessus.

    • Triển khai SBOM (Software Bill of Materials) để theo dõi thư viện có CVE.

    (2) Củng cố phòng tuyến phát hiện & phản ứng

    • Áp dụng EDR/XDR (CrowdStrike, SentinelOne, Microsoft Defender ATP).

    • Bật script block logging, command-line auditing, PowerShell logging.

    • Giám sát bất thường:

      • Chạy msbuild.exe, csc.exe, rundll32.exe ngoài quy trình bình thường.

      • Task scheduler chạy mỗi 60 phút.

      • C2 kết nối bất thường qua HTTPS.

    (3) IIS và hệ thống Windows Server

    • Kiểm tra MachineKey, AppPool Identity, IIS Crypto policy.

    • Vô hiệu hóa Default Web Sitesample applications.

    • Giới hạn quyền SYSTEM cho task scheduler, cấu hình AppLocker / WDAC.

    • Dò tìm web shell qua YARA rule:

      yara
      rule Godzilla_Webshell {
      strings:
      $x1 = "cmd=" ascii nocase
      $x2 = "eval(" ascii nocase
      $x3 = "base64_decode" ascii nocase
      condition:
      any of ($x*)
      }

    (4) Phòng chống Credential Stuffing

    • Bật MFA/2FA cho toàn bộ tài khoản quản trị.

    • Sử dụng Azure AD Conditional Access hoặc Okta Adaptive Policy.

    • Giám sát login thất bại hàng loạt từ IP nước ngoài.

    (5) Giám sát DNS và cơ chế AitM

    • Triển khai DNSSEC và hạn chế thay đổi cấu hình router.

    • Theo dõi truy cập đến các domain lạ, như gleeze[.]com, mimosa[.]gleeze[.]com.

    ⚙️ 6. Kết luận chiến lược phòng thủ

    • Đừng coi nhẹ lỗ hổng cũ: Các nhóm APT Trung Quốc đang tái sử dụng lỗ hổng 5–8 năm tuổi vì nhiều tổ chức chưa vá.

    • Tăng cường Zero Trust Architecture: không tin cậy bất kỳ người dùng hoặc thiết bị nào nếu chưa xác minh.

    • Phòng thủ đa tầng (Defense in Depth):

      Network segmentation → EDR → Threat hunting → Incident response playbook.

    • Chủ động săn tìm IOC: Định kỳ tìm kiếm các chỉ số tấn công như:

      ruby
      38.180.83.166
      mimosa.gleeze.com
      vetysafe.exe
      sbamres.dll
      msbuild.exe ->       csc.exe injection

    • Huấn luyện đội SOC/Blue Team cập nhật MITRE ATT&CK và IOC của APT41, Salt Typhoon, Earth Longzhi.

    📘 Tổng kết

    Cuộc tấn công từ Log4j đến IIS cho thấy:

    🔐 An ninh không chỉ là vấn đề vá lỗi, mà là bài toán quản trị vòng đời hệ thống.

    Khi hệ thống kế thừa (legacy) vẫn vận hành mà không có giám sát, mọi bản vá bị trì hoãn chính là cánh cửa mở cho gián điệp mạng.
    Phòng thủ hiệu quả đòi hỏi:
    tự động hóa, giám sát chủ động, và chiến lược vá lỗ hổng dài hạn dựa trên rủi ro thực tế.