Facebook tố cáo trên Facebook nhóm APT32 – một tác nhân đe dọa dai dẳng tiên tiến có trụ sở tại Việt Nam, nhắm mục tiêu vào các nhà hoạt động phản động tại Việt Nam trong và ngoài nước, các chính phủ nước ngoài khác nhau bao gồm Lào và Campuchia, các tổ chức phi chính phủ, hãng thông tấn và một số doanh nghiệp trong lĩnh vực công nghệ thông tin, khách sạn, nông nghiệp hàng hóa, bệnh viện, bán lẻ, ngành công nghiệp ô tô và dịch vụ di động có phần mềm độc hại. Cuộc điều tra Facebook cho biết nhóm APT32 có lien quan đến tập đoàn CyberOne, một công ty CNTT tại Việt Nam (còn được gọi là CyberOne Security, CyberOne Technologies, Công ty TNHH Hành Tinh, Planet và Diacauso).
APT32 là ai?
Theo Wikipedia, tại báo cáo của FireEye – Công ty bảo mật tại Hoa Kỳ vừa bị tấn công vào hệ thống mạng lấy cắp đi “công cụ đỏ”, nhóm APT32 có nguồn gốc ở Việt Nam và đã thực hiện tấn công mạng vào các tập đoàn, chính phủ nước ngoài. APT32 cũng là nhóm OceanLotus khi Công ty an ninh mạng SkyEye Labs tại Trung Quốc phát hiện vào năm 2015.
Tuy nhiên, Bộ Ngoại giao Việt Nam phủ nhận nội dung bản báo cáo của FireEye. Chính phủ Việt Nam không cho phép bất cứ hình thức tấn công mạng nào gây thiệt hại tổ chức hay cá nhân. Tất cả mọi vụ tấn công mạng hoặc đe dọa an ninh mạng phải bị kết án và trừng phạt nặng nề phù hợp với luật lệ và các quy định của pháp luật Việt Nam.
Liên quan đến tố cáo của Facebook, đại diện CyberOne Group bác bỏ mọi liên hệ đến Ocean Lotus và cho rằng thông tin của Facebook là “một sai lầm”.
Facebook tố cáo nhóm Hacker Việt Nam APT32 tấn công hệ thống
Như các đối tác của Facebook đã báo cáo trước đây, APT32 đã triển khai một loạt các chiến thuật đối đầu trên internet. Công ty đã theo dõi và có hành động chống lại nhóm này trong nhiều năm. Cuộc điều tra gần đây nhất của Facebook đã phân tích một số chiến thuật, kỹ thuật và quy trình (TTP) đáng chú ý bao gồm:
Facebook đã chặn các miền được liên kết phát tán trên mạng xã hội này, xóa tài khoản của nhóm và thông báo cho những người mà Facebook tin rằng đã bị APT32 nhắm mục tiêu.
Hiện chưa có thông tin chính thức từ phía Việt Nam
Các phân tích của Facebook về các hoạt động tấn công của APT32
Hashes
768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb
69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383
Domains
tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org
YARA Signatures
rule APT32_goopdate_installer
rule APT32_goopdate_installer {
meta:
reference = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”
author = “Facebook”
description = "Detects APT32 installer side-loaded with goopdate.dll"
sample = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
strings:
$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
$s1 = "GetProcAddress"
$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
$s3 = "FindNextFileW"
$s4 = "Process32NextW"
condition:
(pe.is_64bit() or pe.is_32bit()) and
all of them
}
rule APT32_osx_backdoor_loader
rule APT32_osx_backdoor_loader {
meta:
reference = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”
author = “Facebook”
description = "Detects APT32 backdoor loader on OSX"
sample = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
strings:
$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
// Encrypted data
$e1 = { CA CF 3E F2 DA 43 E6 D1 D5 6C D4 23 3A AE F1 B2 } // Decoded to drop filepath: '/tmp/panels'
$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig=" // Decoded to export API name 'ArchaeologistCodeine'
$e3 = { 5A 69 98 0E 6C 4B 5C 69 7E 19 34 3B C3 07 CA 13 } // Decoded to 'ifconfig -l'
$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd" // Decoded to export API 'PlayerAberadurtheIncomprehensible'
// Decoded export func names
$e5 = "_ArchaeologistCodeine"
$e6 = "_PlayerAberadurtheIncomprehensible"
condition:
((uint32(0) == 0xfeedface or uint32be(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf or uint32be(0) == 0xfeedfacf)) and
(
2 of ($e*) or
all of ($a*)
)
}
Cho dù thế nào đi chăng nửa, nếu APT32 tấn công Facebook để phục vụ lợi ích an ninh quốc gia thì mình vẫn ủng hộ APT32.
Theo: https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/
ANV
APT32 là ai?
Theo Wikipedia, tại báo cáo của FireEye – Công ty bảo mật tại Hoa Kỳ vừa bị tấn công vào hệ thống mạng lấy cắp đi “công cụ đỏ”, nhóm APT32 có nguồn gốc ở Việt Nam và đã thực hiện tấn công mạng vào các tập đoàn, chính phủ nước ngoài. APT32 cũng là nhóm OceanLotus khi Công ty an ninh mạng SkyEye Labs tại Trung Quốc phát hiện vào năm 2015.
Tuy nhiên, Bộ Ngoại giao Việt Nam phủ nhận nội dung bản báo cáo của FireEye. Chính phủ Việt Nam không cho phép bất cứ hình thức tấn công mạng nào gây thiệt hại tổ chức hay cá nhân. Tất cả mọi vụ tấn công mạng hoặc đe dọa an ninh mạng phải bị kết án và trừng phạt nặng nề phù hợp với luật lệ và các quy định của pháp luật Việt Nam.
Liên quan đến tố cáo của Facebook, đại diện CyberOne Group bác bỏ mọi liên hệ đến Ocean Lotus và cho rằng thông tin của Facebook là “một sai lầm”.
Facebook tố cáo nhóm Hacker Việt Nam APT32 tấn công hệ thống
Như các đối tác của Facebook đã báo cáo trước đây, APT32 đã triển khai một loạt các chiến thuật đối đầu trên internet. Công ty đã theo dõi và có hành động chống lại nhóm này trong nhiều năm. Cuộc điều tra gần đây nhất của Facebook đã phân tích một số chiến thuật, kỹ thuật và quy trình (TTP) đáng chú ý bao gồm:
- Kỹ thuật xã hội (Social engineering): APT32 đã tạo ra những nhân vật hư cấu trên internet đóng giả là các nhà hoạt động và các tổ chức kinh doanh hoặc sử dụng những chiêu dụ dỗ khi liên hệ với những người mà họ nhắm mục tiêu. Những nỗ lực này thường liên quan đến việc tạo ra các điểm lùi cho những nhân vật giả mạo này và các tổ chức giả mạo trên các dịch vụ internet khác để chúng có vẻ hợp pháp hơn và có thể chịu được sự giám sát, bao gồm cả các nhà nghiên cứu bảo mật. Một số Trang của họ được thiết kế để thu hút những người theo dõi cụ thể để nhắm mục tiêu lừa đảo và phần mềm độc hại sau này.
- Các ứng dụng độc hại trên Cửa hàng Play:Ngoài việc sử dụng Trang, APT32 còn thu hút các mục tiêu tải xuống các ứng dụng Android thông qua Cửa hàng Google Play có nhiều quyền để cho phép giám sát rộng rãi thiết bị của mọi người.
- Lan truyền phần mềm độc hại: APT32 đã xâm nhập các trang web và tạo trang web của riêng chúng để bao gồm javascript độc hại bị xáo trộn như một phần của cuộc tấn công lỗ hổng để theo dõi thông tin trình duyệt của mục tiêu. Một cuộc tấn công lỗ thủng là khi tin tặc lây nhiễm các trang web thường xuyên được truy cập bởi các mục tiêu có chủ đích để xâm nhập thiết bị của họ. Là một phần của việc này, nhóm đã xây dựng phần mềm độc hại tùy chỉnh có khả năng phát hiện loại hệ điều hành mà mục tiêu sử dụng (Windows hoặc Mac) trước khi gửi tải trọng phù hợp để thực thi mã độc hại. Phù hợp với hoạt động trước đây của nhóm này, APT32 cũng sử dụng các liên kết đến các dịch vụ chia sẻ tệp nơi họ lưu trữ các tệp độc hại để các mục tiêu nhấp vào và tải xuống. Gần đây nhất, họ đã sử dụng các liên kết rút gọn để cung cấp phần mềm độc hại. Cuối cùng, nhóm đã dựa vào các cuộc tấn công tải bên Thư viện liên kết động (DLL) trong các ứng dụng Microsoft Windows. Họ đã phát triển các tệp độc hại trongđịnh dạng exe, rar, rtf và iso cũng như phân phối các tài liệu Word có chứa các liên kết độc hại trong văn bản.
Facebook đã chặn các miền được liên kết phát tán trên mạng xã hội này, xóa tài khoản của nhóm và thông báo cho những người mà Facebook tin rằng đã bị APT32 nhắm mục tiêu.
Hiện chưa có thông tin chính thức từ phía Việt Nam
Các phân tích của Facebook về các hoạt động tấn công của APT32
Hashes
768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb
69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383
Domains
tocaoonline[.]com
qh2020[.]org
tinmoivietnam[.]com
nhansudaihoi13[.]org
chatluongvacuocsong[.]vn
tocaoonline[.]org
facebookdeck[.]com
thundernews[.]org
YARA Signatures
rule APT32_goopdate_installer
rule APT32_goopdate_installer {
meta:
reference = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”
author = “Facebook”
description = "Detects APT32 installer side-loaded with goopdate.dll"
sample = "69730f2c2bb9668a17f8dfa1f1523e0e1e997ba98f027ce98f5cbaa869347383"
strings:
$s0 = { 68 ?? ?? ?? ?? 57 A3 ?? ?? ?? ?? FF D6 33 05 ?? ?? ?? ?? }
$s1 = "GetProcAddress"
$s2 = { 8B 4D FC ?? ?? 0F B6 51 0C ?? ?? 8B 4D F0 0F B6 1C 01 33 DA }
$s3 = "FindNextFileW"
$s4 = "Process32NextW"
condition:
(pe.is_64bit() or pe.is_32bit()) and
all of them
}
rule APT32_osx_backdoor_loader
rule APT32_osx_backdoor_loader {
meta:
reference = “https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/”
author = “Facebook”
description = "Detects APT32 backdoor loader on OSX"
sample = "768510fa9eb807bba9c3dcb3c7f87b771e20fa3d81247539e9ea4349205e39eb"
strings:
$a1 = { 00 D2 44 8A 04 0F 44 88 C0 C0 E8 07 08 D0 88 44 0F FF 48 FF C1 48 83 F9 10 44 88 C2 }
$a2 = { 41 0F 10 04 07 0F 57 84 05 A0 FE FF FF 41 0F 11 04 07 48 83 C0 10 48 83 F8 10 75 }
// Encrypted data
$e1 = { CA CF 3E F2 DA 43 E6 D1 D5 6C D4 23 3A AE F1 B2 } // Decoded to drop filepath: '/tmp/panels'
$e2 = "MlkHVdRbOkra9s+G65MAoLga340t3+zj/u8LPfP3hig=" // Decoded to export API name 'ArchaeologistCodeine'
$e3 = { 5A 69 98 0E 6C 4B 5C 69 7E 19 34 3B C3 07 CA 13 } // Decoded to 'ifconfig -l'
$e4 = "1Sib4HfPuRQjpxIpECnxxTPiu3FXOFAHMx/+9MEVv9M+h1ngV7T5WUP3b0zsg0Qd" // Decoded to export API 'PlayerAberadurtheIncomprehensible'
// Decoded export func names
$e5 = "_ArchaeologistCodeine"
$e6 = "_PlayerAberadurtheIncomprehensible"
condition:
((uint32(0) == 0xfeedface or uint32be(0) == 0xfeedface) or (uint32(0) == 0xfeedfacf or uint32be(0) == 0xfeedfacf)) and
(
2 of ($e*) or
all of ($a*)
)
}
Cho dù thế nào đi chăng nửa, nếu APT32 tấn công Facebook để phục vụ lợi ích an ninh quốc gia thì mình vẫn ủng hộ APT32.
Theo: https://about.fb.com/news/2020/12/taking-action-against-hackers-in-bangladesh-and-vietnam/
ANV