, Chuỗi Attack, Việt Nam, Chữ ký kỹ thuật số, Chính phủ, Tmanger, Hyperbro, Korplug Rat, Solarwinds Orion, Able Desktop,
## Tấn công chuỗi cung ứng trên trang web của chính phủ Việt Nam
** Tấn công chuỗi cung ứng là gì? **
Một cuộc tấn công chuỗi cung ứng, còn được gọi là chuỗi giá trị hoặc cuộc tấn công của bên thứ ba, xảy ra khi kẻ tấn công truy cập vào hệ thống của bạn thông qua các đối tác hoặc các nhà cung cấp bên ngoài có quyền truy cập vào hệ thống và dữ liệu của bạn.Điều này đã thay đổi đáng kể bối cảnh tấn công cho các doanh nghiệp điển hình trong vài năm qua, với nhiều nhà cung cấp và nhà cung cấp dịch vụ chạm vào dữ liệu nhạy cảm hơn bao giờ hết.
** Tấn công chuỗi cung ứng ở Việt Nam **
Ở Việt Nam, chữ ký điện tử rất phổ biến, vì các tài liệu được ký kết điện tử được coi là hợp pháp giống như chữ ký "ướt".Theo Nghị định số 130/2018, các chứng chỉ bảo mật được sử dụng để ký tài liệu phải được cấp bởi một trong các cơ quan chứng nhận được ủy quyền, bao gồm Cơ quan Mật mã Chính phủ (VGCA), một phần của Ủy ban Mật mã Chính phủ thuộc Bộ Thông tin và Truyền thông.
VGCA phát triển và phân phối các bộ công cụ chữ ký số được chính phủ Việt Nam và các công ty tư nhân sử dụng để ký các tài liệu (PDF, Word, v.v.).
Hai trong số các tệp thiết lập có sẵn để tải xuống, GCA01-client-v2-x32-8.3.msi và GCA01-client-v2-x64-8.3.msi, đã được các tin tặc sửa đổi để bao gồm phần mềm độc hại có tên là Phantomnet hoặc Smanager.
Các nhà nghiên cứu xác định rằng các tệp thiết lập đó đã được tải xuống từ Ca.gov.vn qua HTTPS, vì vậy nó không có khả năng là một cuộc tấn công trung gian.
Sau khi tải xuống và thực hiện, chương trình GCA bắt đầu chương trình GCA.Phần mềm độc hại sau đó được ghi vào C: \ Program Files \ VGCA \ Xác thực \ sac \ x32 \ etoken.exe.
Mã độc hại này sẽ trích xuất tệp 7Z.cab để tạo một cửa hậu cho phép tin tặc điều khiển từ xa hệ thống.
Nếu mã độc được chạy với các đặc quyền của quản trị viên, cửa sau được ghi vào C: \ Windows \ AppPatch \ Netapi32.dll và được đăng ký làm dịch vụ để đảm bảo rằng nó tồn tại khi khởi động lại hệ thống.
Đối với người dùng không có đặc quyền quản trị viên, cửa sau được lưu trữ trong %Temp %\ Wmedia \ <GettickCount> .TMPMPMP.
** Phantomnet **
Backdoor Phantomnet tương đối đơn giản và có thể thu thập thông tin về nạn nhân (tên máy tính, tên máy chủ, tên người dùng, phiên bản hệ điều hành, đặc quyền người dùng [quản trị/người dùng] và địa chỉ IP), cũng như cài đặt, xóa và cập nhật các plugins độc hại.
Nó cũng có thể truy cập cấu hình proxy của nạn nhân và sử dụng nó để truy cập vào máy chủ lệnh và điều khiển (C & C).
Phantomnet thực hiện mạo danh chứng chỉ, sử dụng các chức năng từ thư viện SSPI.Giấy chứng nhận được tải xuống trong kết nối đầu tiên với máy chủ C & C và sau đó được lưu trữ trong cửa hàng chứng chỉ Windows.
**Phần kết luận**
Trong trường hợp này, tin tặc đã thỏa hiệp trang web của một cơ quan chứng chỉ Việt Nam, Ca.gov.vn, và sau đó tải lên một tệp thiết lập độc hại được tải xuống bởi người dùng không nghi ngờ.
Các nhà nghiên cứu ESET nói rằng "các cuộc tấn công chuỗi cung ứng thường khó phát hiện, vì mã độc thường bị ẩn trong mã hợp pháp, gây khó khăn cho việc xác định."
Bộ xác thực kỹ thuật số và bảo mật thông tin - Ủy ban Mật mã Chính phủ cho biết họ đã biết về cuộc tấn công trước khi thông báo và đã thực hiện các bước để thông báo cho người dùng và ngăn ngừa nhiễm trùng thêm.
=======================================
, chain attack, vietnam, digital signature, government, tmanger, hyperbro, korplug rat, solarwinds orion, able desktop,
## Supply Chain Attack on Vietnamese Government Website
**What is a supply chain attack?**
A supply chain attack, also known as a value chain or third-party attack, occurs when an attacker gains access to your system through partners or external suppliers who have access to your systems and data. This has significantly changed the attack landscape for typical enterprises in the past few years, with many providers and service providers touching more sensitive data than ever before.
**Supply Chain Attack in Vietnam**
In Vietnam, electronic signatures are very popular, as documents signed electronically are legally considered the same as "wet" signatures. According to Decree No. 130/2018, security certificates used to sign documents must be issued by one of the authorized certification authorities, including the Government Cipher Agency (VGCA), a part of the Government Cipher Committee under the Ministry of Information and Communications.
VGCA develops and distributes digital signature toolkits that are used by the Government of Vietnam and private companies to sign documents (PDF, Word, etc.).
Two of the available setup files to download, GCA01-Client-V2-X32-8.3.MSI and GCA01-Client-V2-X64-8.3.MSI, have been modified by hackers to include a malware called Phantomnet or Smanager.
The researchers determined that those setup files were downloaded from CA.GOV.vn via HTTPS, so it was not likely to be an intermediary attack.
After downloading and executing, the GCA Program starts the GCA Program. The malware is then written to C:\Program Files\VGCA\Authentication\SAC\X32\Etoken.exe.
This malicious code will extract the 7z.cab file to create a backdoor that allows hackers to remotely control the system.
If the malicious code is run with administrator privileges, the backdoor is written to C:\Windows\Apppatch\Netapi32.dll and is registered as a service to ensure that it survives system reboots.
For users without administrator privileges, the backdoor is stored in %temp%\wmedia\<GettickCount>.tmpmpmp.
**Phantomnet**
The Phantomnet backdoor is relatively simple and can collect information about the victim (computer name, server name, username, operating system version, user privileges [admin/user], and IP address), as well as install, remove, and update malicious plugins.
It can also access the victim's proxy configuration and use it to access the command and control (C&C) server.
Phantomnet performs certificate impersonation, using the functions from the SSPI library. The certificate is downloaded during the first connection to the C&C server and is then stored in the Windows certificate store.
**Conclusion**
In this case, the hacker has compromised the website of a Vietnamese certificate authority, CA.GOV.vn, and then uploaded a malicious setup file that was downloaded by unsuspecting users.
Eset researchers say that "supply chain attacks are often difficult to detect, as malicious code is often hidden within legitimate code, making it difficult to identify."
The Department of Digital Authentication and Information Security - Government Cipher Committee said that they were aware of the attack before the announcement and have taken steps to inform users and prevent further infections.
## Tấn công chuỗi cung ứng trên trang web của chính phủ Việt Nam
** Tấn công chuỗi cung ứng là gì? **
Một cuộc tấn công chuỗi cung ứng, còn được gọi là chuỗi giá trị hoặc cuộc tấn công của bên thứ ba, xảy ra khi kẻ tấn công truy cập vào hệ thống của bạn thông qua các đối tác hoặc các nhà cung cấp bên ngoài có quyền truy cập vào hệ thống và dữ liệu của bạn.Điều này đã thay đổi đáng kể bối cảnh tấn công cho các doanh nghiệp điển hình trong vài năm qua, với nhiều nhà cung cấp và nhà cung cấp dịch vụ chạm vào dữ liệu nhạy cảm hơn bao giờ hết.
** Tấn công chuỗi cung ứng ở Việt Nam **
Ở Việt Nam, chữ ký điện tử rất phổ biến, vì các tài liệu được ký kết điện tử được coi là hợp pháp giống như chữ ký "ướt".Theo Nghị định số 130/2018, các chứng chỉ bảo mật được sử dụng để ký tài liệu phải được cấp bởi một trong các cơ quan chứng nhận được ủy quyền, bao gồm Cơ quan Mật mã Chính phủ (VGCA), một phần của Ủy ban Mật mã Chính phủ thuộc Bộ Thông tin và Truyền thông.
VGCA phát triển và phân phối các bộ công cụ chữ ký số được chính phủ Việt Nam và các công ty tư nhân sử dụng để ký các tài liệu (PDF, Word, v.v.).
Hai trong số các tệp thiết lập có sẵn để tải xuống, GCA01-client-v2-x32-8.3.msi và GCA01-client-v2-x64-8.3.msi, đã được các tin tặc sửa đổi để bao gồm phần mềm độc hại có tên là Phantomnet hoặc Smanager.
Các nhà nghiên cứu xác định rằng các tệp thiết lập đó đã được tải xuống từ Ca.gov.vn qua HTTPS, vì vậy nó không có khả năng là một cuộc tấn công trung gian.
Sau khi tải xuống và thực hiện, chương trình GCA bắt đầu chương trình GCA.Phần mềm độc hại sau đó được ghi vào C: \ Program Files \ VGCA \ Xác thực \ sac \ x32 \ etoken.exe.
Mã độc hại này sẽ trích xuất tệp 7Z.cab để tạo một cửa hậu cho phép tin tặc điều khiển từ xa hệ thống.
Nếu mã độc được chạy với các đặc quyền của quản trị viên, cửa sau được ghi vào C: \ Windows \ AppPatch \ Netapi32.dll và được đăng ký làm dịch vụ để đảm bảo rằng nó tồn tại khi khởi động lại hệ thống.
Đối với người dùng không có đặc quyền quản trị viên, cửa sau được lưu trữ trong %Temp %\ Wmedia \ <GettickCount> .TMPMPMP.
** Phantomnet **
Backdoor Phantomnet tương đối đơn giản và có thể thu thập thông tin về nạn nhân (tên máy tính, tên máy chủ, tên người dùng, phiên bản hệ điều hành, đặc quyền người dùng [quản trị/người dùng] và địa chỉ IP), cũng như cài đặt, xóa và cập nhật các plugins độc hại.
Nó cũng có thể truy cập cấu hình proxy của nạn nhân và sử dụng nó để truy cập vào máy chủ lệnh và điều khiển (C & C).
Phantomnet thực hiện mạo danh chứng chỉ, sử dụng các chức năng từ thư viện SSPI.Giấy chứng nhận được tải xuống trong kết nối đầu tiên với máy chủ C & C và sau đó được lưu trữ trong cửa hàng chứng chỉ Windows.
**Phần kết luận**
Trong trường hợp này, tin tặc đã thỏa hiệp trang web của một cơ quan chứng chỉ Việt Nam, Ca.gov.vn, và sau đó tải lên một tệp thiết lập độc hại được tải xuống bởi người dùng không nghi ngờ.
Các nhà nghiên cứu ESET nói rằng "các cuộc tấn công chuỗi cung ứng thường khó phát hiện, vì mã độc thường bị ẩn trong mã hợp pháp, gây khó khăn cho việc xác định."
Bộ xác thực kỹ thuật số và bảo mật thông tin - Ủy ban Mật mã Chính phủ cho biết họ đã biết về cuộc tấn công trước khi thông báo và đã thực hiện các bước để thông báo cho người dùng và ngăn ngừa nhiễm trùng thêm.
=======================================
, chain attack, vietnam, digital signature, government, tmanger, hyperbro, korplug rat, solarwinds orion, able desktop,
## Supply Chain Attack on Vietnamese Government Website
**What is a supply chain attack?**
A supply chain attack, also known as a value chain or third-party attack, occurs when an attacker gains access to your system through partners or external suppliers who have access to your systems and data. This has significantly changed the attack landscape for typical enterprises in the past few years, with many providers and service providers touching more sensitive data than ever before.
**Supply Chain Attack in Vietnam**
In Vietnam, electronic signatures are very popular, as documents signed electronically are legally considered the same as "wet" signatures. According to Decree No. 130/2018, security certificates used to sign documents must be issued by one of the authorized certification authorities, including the Government Cipher Agency (VGCA), a part of the Government Cipher Committee under the Ministry of Information and Communications.
VGCA develops and distributes digital signature toolkits that are used by the Government of Vietnam and private companies to sign documents (PDF, Word, etc.).
Two of the available setup files to download, GCA01-Client-V2-X32-8.3.MSI and GCA01-Client-V2-X64-8.3.MSI, have been modified by hackers to include a malware called Phantomnet or Smanager.
The researchers determined that those setup files were downloaded from CA.GOV.vn via HTTPS, so it was not likely to be an intermediary attack.
After downloading and executing, the GCA Program starts the GCA Program. The malware is then written to C:\Program Files\VGCA\Authentication\SAC\X32\Etoken.exe.
This malicious code will extract the 7z.cab file to create a backdoor that allows hackers to remotely control the system.
If the malicious code is run with administrator privileges, the backdoor is written to C:\Windows\Apppatch\Netapi32.dll and is registered as a service to ensure that it survives system reboots.
For users without administrator privileges, the backdoor is stored in %temp%\wmedia\<GettickCount>.tmpmpmp.
**Phantomnet**
The Phantomnet backdoor is relatively simple and can collect information about the victim (computer name, server name, username, operating system version, user privileges [admin/user], and IP address), as well as install, remove, and update malicious plugins.
It can also access the victim's proxy configuration and use it to access the command and control (C&C) server.
Phantomnet performs certificate impersonation, using the functions from the SSPI library. The certificate is downloaded during the first connection to the C&C server and is then stored in the Windows certificate store.
**Conclusion**
In this case, the hacker has compromised the website of a Vietnamese certificate authority, CA.GOV.vn, and then uploaded a malicious setup file that was downloaded by unsuspecting users.
Eset researchers say that "supply chain attacks are often difficult to detect, as malicious code is often hidden within legitimate code, making it difficult to identify."
The Department of Digital Authentication and Information Security - Government Cipher Committee said that they were aware of the attack before the announcement and have taken steps to inform users and prevent further infections.
