THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 08 – 2025

Management Blog
04/09/2025
2 tháng

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 08/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

   STT Tên chiến dịch Mô tả
        1              RedHook – mẫu mã độc Android banking trojan mới nhắm đến người dùng Việt Nam – Mục tiêu: người dùng tại Việt Nam

– Công cụ/ cách thức tấn công: phát tán thông qua các trang web giả mạo các cơ quan chính phủ và ngân hàng lớn, dẫn dụ người dùng tải về các tệp APK độc hại. Hỗ trợ hơn 30 lệnh điều khiển từ xa và giao tiếp với C2 sử dụng WebSocket, cho phép RedHook có khả năng đánh cắp thông tin cá nhân, thông tin tài khoản ngân hàng, và thực hiện điều khiển thiết bị từ xa
        2              Chiến dịch sử dụng PXA Stealer nhằm đánh cắp thông tin – Mục tiêu: chiến dịch sử dụng PXA Stealer nhằm đánh cắp thông tin nhạy cảm bao gồm: thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và cookie, thông tin chi tiết về ví tiền điện tử

– Phạm vi: khoảng 4000 nạn nhân từ 62 quốc gia, nổi bật là Hàn Quốc (KR), Hoa Kỳ (US), Hà Lan (NL), Hungary (HU), Áo (AT), một số mẫu nhắm mục tiêu cụ thể theo vị trí, nhiều nhất là nhắm tới Israel và Đài Loan, tiếp theo là Hàn Quốc và Hoa Kỳ. Trước đó, vào tháng 11/2024, nhắm mục tiêu vào các cơ quan chính phủ và giáo dục khu vực Châu Âu và Châu Á
        3              Nhóm tấn công RomCom khai thác lỗ hổng trên Winrar – Mục tiêu: nhắm vào các công ty tài chính, sản xuất, quốc phòng và logistics ở Châu Âu và Canada với mục tiêu gián điệp mạng

– Phạm vi: Châu Âu và Canada

– Công cụ/cách thức tấn công: Nhóm tấn công gửi email mồi nhử đính kèm file RAR giả dạng hồ sơ xin việc, các tệp RAR này chứa các tệp độc hại. Khi người nhận giải nén file dẫn đến triển khai các backdoor như SnipBot variant, RustyClaw và Mythic agent nhằm theo dõi và kiểm soát máy tính nạn nhân.
        4              Crypto24 Ransomware nhắm mục tiêu vào Châu Á, Châu Âu và Hoa Kỳ -Phạm vi: Châu Á, Châu Âu và Hoa Kỳ

-Mục tiêu: nhắm vào các lĩnh vực tài chính, sản xuất, giải trí, công nghệ

-Công cụ/cách thức tấn công: sử dụng toolkit đa dạng, ngoài ra sử dụng PSExec để di chuyển ngang, AnyDesk để truy cập từ xa, keylogger để thu thập các thông tin đăng nhập, nhiều biến thể mã độc và Google Drive để đánh cắp dữ liệu. Nhóm tấn công sử dụng các kỹ thuật nhằm trốn tránh phát hiện như sử dụng phiên bản RealBlindingEDR tùy chỉnh, lạm dụng gpscript.exe để thực thi từ xa trình gỡ cài đặt Trend Vision One.
        5              Chiến dịch tấn công sử dụng mã độc Noodlophile stealer – Phạm vi: Hoa Kỳ, Châu Âu, APAC

-Mục tiêu: nhắm vào việc đánh cắp dữ liệu từ trình duyệt: cookie Facebook, thông tin đăng nhập tài khoản, ví tiền điện tử và thông tin hệ thống

-Công cụ/ cách thức tấn công: sử dụng các email giả mạo gửi tới nhân viên hoặc hòm thu chung nhằm lừa người dùng tải xuống tệp tin độc hại. Để lây nhiễm mã độc, kẻ tấn công sử dụng các tệp tin thực thi hợp pháp có chữ ký nhưng tồn tại lỗ hổng cho phép DLL side-loading, từ đó load các DLL độc hại. Ngoài ra, còn áp dụng nhiều cách lẩn tránh phát hiện như base64 encoding, sử dụng công cụ sẵn có trong Windows (LOLBins) như certutil.exe, và thực thi in-memory để không để lại dấu vết trên ổ đĩa

Thông tin chi tiết các chiến dịch:

1.1      RedHook – mẫu mã độc Android banking trojan mới nhắm đến người dùng Việt Nam

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một phần mềm độc hại mới thuộc họ Android banking trojan có tên RedHook, mã độc này nhắm mục tiêu vào người dùng tại Việt Nam. Được phát tán thông qua các trang web giả mạo các cơ quan chính phủ và ngân hàng lớn, dẫn dụ người dùng tải về các tệp APK độc hại. Hỗ trợ hơn 30 lệnh điều khiển từ xa và giao tiếp với C2 sử dụng WebSocket, cho phép RedHook có khả năng đánh cắp thông tin cá nhân, thông tin tài khoản ngân hàng, và thực hiện điều khiển thiết bị từ xa.

Chi tiết kỹ thuật

Nhóm tấn công thực hiện xây dựng các website giả mạo, trong đó có website với domain sbvhn[.]com mạo danh Ngân hàng Nhà nước Việt Nam. Trang web này lừa người dùng tải xuống một tệp tin APK độc hại được ngụy trang thành một ứng dụng ngân hàng hợp pháp. Tệp tin được lưu trữ trên một kho lưu trữ trên môi trường cloud AWS S3 tại địa chỉ hxxps://nfe-bucketapk.s3.ap-southeast-1.amazonaws[.]com/SBV.apk

Các phát hiện bổ sung ghi nhận TA sử dụng nhiều mẫu mã độc giả mạo các tổ chức Việt Nam đáng tin cậy khác như Sacombank, Tổng công ty Điện lực miền Trung, CSGT (Cảnh sát giao thông Việt Nam) và Chính phủ Việt Nam, sử dụng các biểu tượng và thương hiệu quen thuộc để đánh lừa người dùng cung cấp thông tin cá nhân và tài chính

Kho lưu trữ trên môi trường cloud cho phép truy cập công khai, lưu trữ nhiều thông tin và được sử dụng từ năm 2024. Dữ liệu được lưu trữ bao gồm ảnh chụp màn hình, các mẫu giao dịch ngân hàng giả mạo, tài liệu PDF, v.v… và nhiều phiên bản phần mềm độc hại khác nhau.

Đáng chú ý rằng, trên kho lưu trữ AWS S3 bucket cũng lưu trữ một số hình ảnh như hoá đơn giao dịch, logo của thẩm mỹ viện Malisa. Một trong những vụ việc lừa đảo từng được cảnh báo giả mạo. Trong vụ việc nạn nhân được nhóm lừa đảo liên hệ qua Facebook và dụ dỗ mua các sản phẩm mỹ phẩm giảm giá hoặc tri ân tặng quà. Sau khi chuyển số tiền lớn mà nạn nhân không nhận được sản phẩm, kẻ lừa đảo giải thích do quá 24h nên không thể hoàn trả tiền và gửi thêm tới nạn nhân một yêu cầu lừa đảo khác hỗ trợ hoàn tiền, chuyển hướng đến domain mailisa[.]me để tiếp tục quá trình lừa đảo.

Quá trình phân tích mẫu mã độc cũng ghi nhận được tên miền mailisa[.]me, được cấu hình để mở thông qua WebView – một thành phần trong ứng dụng Android cho phép hiển thị nội dung web trực tiếp bên trong ứng dụng, thay vì sử dụng trình duyệt ngoài như Chrome.

Sau khi cài đặt trên thiết bị của nạn nhân, phần mềm độc hại RedHook có thể thực hiện các hành động sau:

    • Yêu cầu người dùng nhập thông tin đăng nhập. Sau đó, yêu cầu quyền truy cập vào các tệp và tăng cường quyền kiểm soát bằng cách yêu cầu người dùng bật các dịch vụ trợ năng (accessibility services) và cấp quyền overlay (một quyền đặc biệt trong Android cho phép một ứng dụng hiển thị nội dung ví dụ cửa sổ, biểu tượng,v.v… chồng lên các ứng dụng khác đang chạy).

Sau khi người dùng đã nhập thông tin, các dữ liệu này sẽ được gửi đến C2: api9[.]iosgaxx423.xyz/auth/V2/login. Máy chủ sẽ phản hồi lại mã access token JWT cùng ID client để sử dụng cho mục đích xác thực tới endpoint “/member/info/addDevice”, request gửi tới endpoint này sẽ đi kèm device number, kiểu khoá màn hình mà client sử dụng, thương hiệu điện thoại và hướng của màn hình cho phép C2 theo dõi các máy bị lây nhiễm. Các thông tin tiếp theo sẽ được đánh cắp bao gồm tên người dùng, ID người dùng, mã thiết bị, invite và một số dữ liệu tài chính. Dựa trên giá trị ID, cho thấy có thể có gần 600 thiết bị đã bị lây nhiễm

    • Thu thập thông tin nhạy cảm, bao gồm giấy tờ tùy thân và thông tin ngân hàng bằng cách lừa nạn nhân xác minh danh tính, yêu cầu chụp ảnh và đăng tải căn cước công dân, các thông tin này được gửi tới endpoint “/file/upload/”, sau khi xác minh danh tính, nạn nhân được yêu cầu tiếp tục cung cấp thông tin cá nhân như tên ngân hàng, số tài khoản, họ tên đầy đủ, địa chỉ, ngày sinh và các thông tin nhạy cảm khác

    • Mã độc cũng tích hợp chức năng ghi lại thao tác phím, ghi lại mọi thao tác phím mà nạn nhân nhập. Các logs được kèm theo tên gói ứng dụng liên quan và tên lớp giao diện đang hiển thị, các thông tin này được gửi tới C2

    • Thiết lập kết nối WebSocket cho tính năng truy cập từ xa (RAT) sử dụng C2 khác cùng cơ sở hạ tầng “skt9.iosgaxx423.xyz”, các kết nối được duy trì thông qua các gói tin “ping” – “pong”. Tận dụng API MediaProjection của Android để bắt đầu chụp màn hình, chuyển đổi nội dung đã chụp thành ảnh JPEG và gửi tới C2. Ngoài ra, tính năng truy cập từ xa hỗ trợ hơn 30 câu lệnh cho phép thực hiện các chức năng độc hại khác nhau như thu thập tin nhắn SMS và danh bạ, thực hiện các hành động tự động, cài đặt hoặc gỡ cài đặt ứng dụng, chụp ảnh màn hình, v.v. trên máy bị lây nhiễm.

MITRE ATT&CK

Tactic Technique ID Procedure
Initial Access (TA0027) Phishing (T1660) Malware is distributed via phishing sites
Defense Evasion (TA0030) Masquerading: Match Legitimate Name or Location (T1655.001) Malware pretending to be a genuine application
Defense Evasion (TA0030) Application Discovery (T1418) Collects the installed application package name list
Defense Evasion (TA0030) Input Injection (T1516) Malware can mimic user interaction, perform clicks and various gestures, and input data
Defense Evasion (TA0030) Indicator Removal on Host: Uninstall Malicious Application (T1630.001) RedHook can uninstall itself
Credential Access (TA0031) Input Capture: Keylogging (T1417.001) RedHook can collect credentials via keylogging
Discovery (TA0032) System Information Discovery (T1426) RedHook collects device information
Collection (TA0035) Protected User Data: SMS Messages (T1636.004) Collects SMSs
Collection (TA0035) Protected User Data: Contact List (T1636.003) Protected User Data: Contact List
Collection (TA0035) Screen Capture (T1513) Malware records the screen using Media Projection
Command and Control (TA0037) Application Layer Protocol: Web Protocols (T1437.001) Malware uses HTTP to communicate with the C&C server
Exfiltration (TA0036) Exfiltration Over C2 Channel (T1646) Sending exfiltrated data over the C&C server

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2      Chiến dịch sử dụng PXA Stealer nhằm đánh cắp thông tin

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả chiến dịch sử dụng PXA Stealer nhằm đánh cắp thông tin, theo như ghi nhận đã có hơn 4000 địa chỉ IP của nạn nhân trên ít nhất 62 quốc gia, chủ yếu đến từ Hàn Quốc, Mỹ, Hà Lan, Hungary và Áo. Các dữ liệu bị đánh cắp bao gồm hơn 200.000 mật khẩu, hàng trăm hồ sơ thẻ tín dụng và hơn 4 triệu cookie trình duyệt. Các dữ liệu này được chuyển về các kênh Telegram, sau đó được rao bán trên các nền tảng như Sherlock, cho phép các bên thứ ba mua lại để thực hiện hành vi lừa đảo, chiếm đoạt tiền điện tử hoặc có quyền xâm nhập vào các tổ chức với mục đích khác.

Phần mềm độc hại PXA Stealer được viết bằng Python, nghi ngờ có liên quan đến Threat actor Việt Nam nhằm đánh cắp thông tin nhạy cảm bao gồm: thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và cookie, thông tin chi tiết về ví tiền điện tử.

Trước đó, vào tháng 11/2024 các nhà nghiên cứu của Cisco đã phát hiện PXA Stealer khi nhắm mục tiêu vào các cơ quan chính phủ và giáo dục khu vực Châu Âu và Châu Á. Đến nay, chiến dịch phát tán mã độc này đã phát triển về mặt kỹ thuật, cập nhật cơ sở hạ tầng sử dụng Telegram làm C2. Tháng 04/2025, nhóm tấn công sử dụng kỹ thuật sideloading, lạm dụng ứng dụng hợp pháp như Haihaisoft PDF Reader cùng các tệp DLL độc hại. Khi thực thi, DLL tạo một file .CMD để thực thi các câu lệnh trong quá trình lây nhiễm tiếp theo, như

    • Trích xuất file .pdf sử dụng certutil với tên mới với phần mở rộng .rar
        • certutil -decode Documents.pdf LX8bzeZTzF5XSONpDC.rar
    • Sử dụng winrar (images.png) để giải nén file với mật khẩu cùng các tham số như bỏ qua cảnh báo, chấp nhận ghi đè, v.v…
        • png x -pS8SKXaOudHX78CnCmjawuXJAXwNAzVeK -inul -y LX8bzeZTzF5XSONpDC.rar C:\Users\Public\LX8bzeZTzF5XSONpDC
    • Quá trình giải nèn sẽ thu được trình thông dịch của Python 3.10 được đổi tên thành svchost.exe và Python script độc hại được đổi tên thành Photos, thực thi thông qua việc cấu hình Registry key khởi chạy mỗi khi máy khởi động
        • reg add “HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “Windows Update Service” /t REGSZ _/d “cmd.exe /c start \”\” /min \”C:\Users\Public\LX8bzeZTzF5XSONpDC\svchost.exe\”C:\Users\Public\LX8bzeZTzF5XSONpDC\Photos” /f

Tháng 07/2025, nhóm tấn công lạm dụng tệp thực thi hợp pháp của Microsoft Word 2013 cùng DLL độc hại. Các tệp tin, payload cho các giai đoạn sau sẽ được giải mã tương tự như cách thức ở trên, cuối cũng là triển khai PXA Stealer

    • certutil -decode Document.pdf Invoice.pdf
    • png x -ibck -y -poX3ff7b6Bfi76keXy3xmSWnX0uqsFYur Invoice.pdf C:\\Users\\Public
    • start C:\\Users\\Public\\Windows\\svchost.exe C:\\Users\\Public\\Windows\\Lib\\images.png $BOT_ID

Biến thể mới của PXA Stealer sẽ liệt kê các trình duyệt Chromium/Gecko, giải mã các mật khẩu đã lưu, cookie, thông tin nhận dạng cá nhân (PII – personally identifiable information) được lưu trữ, và các mã thông báo xác thực. Stealer này sẽ chèn DLL vào các phiên bản đang chạy của các trình duyệt như Chrome, nhắm mục tiêu vào App-Bound Encryption Key của Chrome để loại bỏ các cơ chế mã hóa. Ngoài ra, infostealer cũng lấy các tệp từ ví tiền điện tử trên máy tính để bàn, VPN clients, Cloud-CLI, các ứng dụng như Discord … Các dữ liệu này được thu thập, nén sau đó được gửi tới các Telegram bot thông qua Cloudflare Worker relays

Mỗi payload PXA Stealer tương ứng với một Telegram Bot Token và ChatID, mỗi bot liên kết tối đa với 3 kênh Telegram. Chứa các dữ liệu đã đánh cắp từ máy nạn nhân, cùng logs về các tệp tin đã đánh cắp, ngoài ra cũng cho biết thông tin về vị trí địa lý, địa chỉ IP và một số thông tin khác của nạn nhân. Các loại dữ liệu thể hiện theo format như sau:

CK:2868|PW:482|AF:606|CC:0|FB:1|Sites:4|Wallets:0|Apps:1

Trong đó các trường được định nghĩa như sau:

CK = Cookies

PW = Passwords

AF = AutoFill data

CC = Credit Card data

FB = Facebook Cookies

TK = Authentication Tokens

Sites = Domains / Site specific data

Wallets = Crypto Wallet data

Apps = Application specific data (ex: private messenger chat history and keys)

Từ Telegram bot, các phân tích cho thấy hoạt động từ tháng 10/2024 và đến nay vẫn tiếp tục ghi nhận các máy bị lây nhiễm. Có khoảng 4000 nạn nhân từ 62 quốc gia, nổi bật là Hàn Quốc (KR), Hoa Kỳ (US), Hà Lan (NL), Hungary (HU), Áo (AT), một số mẫu nhắm mục tiêu cụ thể theo vị trí, nhiều nhất là nhắm tới Israel và Đài Loan, tiếp theo là Hàn Quốc và Hoa Kỳ.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      Nhóm tấn công RomCom khai thác lỗ hổng trên Winrar

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công RomCom (hay còn gọi Storm-0978, Tropical Scorpius, UNC2596) – một nhóm có liên kết với Nga thực hiện khai thác lỗ hổng CVE-2025-8088 – lỗ hổng path traversal trên WinRAR.

Theo ghi nhận, từ 18–21/07/2025, RomCom thực hiện chiến dịch spearphishing nhắm vào các công ty tài chính, sản xuất, quốc phòng và logistics ở Châu Âu và Canada với mục tiêu gián điệp mạng. Nhóm tấn công gửi email mồi nhử đính kèm file RAR giả dạng hồ sơ xin việc, các tệp RAR này chứa các tệp độc hại: tệp LNK được giải nén vào thư mục startup của Windows, và một DLL hoặc EXE giải nén vào thư mục %TEMP% hoặc %LOCALAPPDATA%. Khi người nhận giải nén file dẫn đến triển khai các backdoor như SnipBot variant, RustyClaw và Mythic agent nhằm theo dõi và kiểm soát máy tính nạn nhân.

Mythic agent

Trong chuỗi thực thi đầu tiên, tệp LNK độc hại Updater.lnk thêm registry  HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 và trỏ đến %TEMP%\msedge.dll nhằm kích hoạt DLL thông qua COM hijacking. CLSID thuộc đối tượng PSFactoryBuffer trong npmproxy.dll, nên khi một ứng dụng như Microsoft Edge khởi chạy, DLL độc hại sẽ được thực thi và giải mã shellcode bằng AES sau đó thực thi shellcode. Trước khi hoạt động, mã độc sẽ lấy tên domain của máy nạn nhân và so sánh với một giá trị hardcode; nếu không trùng khớp, tiến trình sẽ thoát, cho thấy kẻ tấn công nhắm mục tiêu vào tổ chức cụ thể sau khi thực hiện reconnaissance trước đó. Shellcode được giải mã là một dynamichttp C2 profile của Mythic agent, kết nối đến máy chủ C2 tại https://srlaptop[.]com/s/0.7.8/clarity.js.

SnipBot variant

Trong chuỗi thực thi thứ hai, file LNK độc hại Display Settings.lnk khởi chạy %LOCALAPPDATA%\ApbxHelper.exe. Mã bổ sung dùng tên file làm key để giải mã chuỗi và shellcode tiếp theo, shellcode này là một biến thể của SnipBot – mã độc do nhóm RomCom triển khai. Quá trình thực thi chỉ tiếp tục nếu trong registry HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\ tồn tại giá trị 68 – đây là một kỹ thuật chống phân tích để ngăn chặn việc thực thi trong máy ảo hoặc sandbox. Nếu thỏa mãn điều kiện, shellcode kế tiếp sẽ được giải mã bằng tên registry key, sau đó thực thi, tải xuống một stage khác từ https://campanole[.]com/TOfrPOseJKZ.

MeltingClaw

Chuỗi thực thi thứ ba, file LNK độc hại Settings.lnk  thực thi %LOCALAPPDATA%\Complaint.exe – đây là RustyClaw,  một downloader được viết bằng Rust. RustyClaw  tải và thực thi payload khác từ https://melamorri[.]com/iEZGPctehTZ. Payload này (SHA-1: 01D32FE88ECDEA2B934A00805E138034BF85BF83, internal name install_module_x64.dll) trùng khớp một phần với MeltingClaw mà Proofpoint đã phân tích, cũng là downloader do nhóm RomCom phát triển. Mẫu MeltingClaw quan sát được kết nối C2 tới https://gohazeldale[.]com.

MITRE ATT&CK

Tactic ID Name Description
Resource Development T1583 Acquire Infrastructure RomCom sets up VPSes and buys domain names.
T1587.001 Develop Capabilities: Malware RomCom develops malware in multiple programming languages.
T1587.004 Develop Capabilities: Exploits RomCom may develop exploits used for initial compromise.
T1588.005 Obtain Capabilities: Exploits RomCom may acquire exploits used for initial compromise.
T1588.006 Obtain Capabilities: Vulnerabilities RomCom may obtain information about vulnerabilities that it uses for targeting victims.
T1608 Stage Capabilities RomCom stages malware on multiple delivery servers.
Initial Access T1566.001 Phishing: Spearphishing Attachment RomCom compromises victims with a malicious RAR attachment sent via spearphishing.
Execution T1204.002 User Execution: Malicious File RomCom lures victims into opening a weaponized RAR archive containing an exploit.
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder For persistence, RomCom stores a LNK file in the Startup folder.
T1546.015 Event Triggered Execution: Component Object Model Hijacking RomCom hijacks CLSIDs for persistence.
Defense Evasion T1497 Virtualization/Sandbox Evasion RomCom detects virtual environments by checking for enough RecentDocs.
T1480 Execution Guardrails RomCom stops execution if running in a virtual environment. It also checks for a hardcoded domain name before executing.
T1036.001 Masquerading: Invalid Code Signature RomCom tries to appear more legitimate to users and security tools that improperly handle digital signatures.
T1027.007 Obfuscated Files or Information: Dynamic API Resolution RomCom decrypts and resolves API dynamically.
T1027.013 Obfuscated Files or Information: Encrypted/Encoded File RomCom decrypts shellcode based on filename and machine artifacts.
Credential Access T1555.003 Credentials from Password Stores: Credentials from Web Browsers The RomCom backdoor collects passwords, cookies, and sessions using a browser stealer module.
T1552.001 Unsecured Credentials: Credentials In Files The RomCom backdoor collects passwords using a file reconnaissance module.
Discovery T1087 Account Discovery The RomCom backdoor collects username, computer, and domain data.
T1518 Software Discovery The RomCom backdoor collects information about installed software and versions.
Lateral Movement T1021 Remote Services The RomCom backdoor creates SSH tunnels to move laterally within compromised networks.
Collection T1560 Archive Collected Data The RomCom backdoor stores data in a ZIP archive for exfiltration.
T1185 Man in the Browser The RomCom backdoor steals browser cookies, history, and saved passwords.
T1005 Data from Local System The RomCom backdoor collects specific file types based on file extensions.
T1114.001 Email Collection: Local Email Collection The RomCom backdoor collects files with .msg, .eml, and .email extensions.
T1113 Screen Capture The RomCom backdoor takes screenshots of the victim’s computer.
Command and Control T1071.001 Application Layer Protocol: Web Protocols The RomCom backdoor uses HTTP or HTTPS as a C&C protocol.
T1573.002 Encrypted Channel: Asymmetric Cryptography The RomCom backdoor encrypts communication using SSL certificates.
Exfiltration T1041 Exfiltration Over C2 Channel The RomCom backdoor exfiltrates data using the HTTPS C&C channel.
Impact T1657 Financial Theft RomCom compromises companies for financial interest.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4      Crypto24 Ransomware nhắm mục tiêu vào Châu Á, Châu Âu và Hoa Kỳ

NCS Threat Intel theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm Crypto24 Ransomware nhắm mục tiêu vào Châu Á, Châu Âu và Hoa Kỳ, tập trung vào các lĩnh vực tài chính, sản xuất, giải trí, công nghệ. Nhóm tấn công sử dụng toolkit đa dạng, ngoài ra sử dụng PSExec để di chuyển ngang, AnyDesk để truy cập từ xa, keylogger để thu thập các thông tin đăng nhập, nhiều biến thể mã độc và Google Drive để đánh cắp dữ liệu. Nhóm tấn công sử dụng các kỹ thuật nhằm trốn tránh phát hiện như sử dụng phiên bản RealBlindingEDR tùy chỉnh (một công cụ open source dùng để vô hiệu hóa các giải pháp bảo mật), lạm dụng gpscript.exe – một Group Policy hợp pháp, để thực thi từ xa trình gỡ cài đặt Trend Vision One.

Kẻ tấn công sử dụng tài khoản admin mặc định và tạo nhiều tài khoản người dùng mới, các tài khoản này thường được đặt với tên thông dụng để tránh phát hiện, sau đó được thêm vào các group như Administrators để duy trì quyền truy cập. Bằng cách sử dụng net.exe, kẻ tấn công tạo và chỉnh sửa tài khoản, đặt lại password, kích hoạt lại các profile đã bị vô hiệu hóa trước đó. Với mỗi tài khoản được tạo, kẻ tấn công sử dụng 1.bat để thu thập thông tin hệ thống, truy xuất thông tin về các phân vùng trên disk và truy vấn thông tin về hệ điều hành thông qua VMIC command.

Thiết lập persistence, kẻ tấn công xâm nhập vào hệ thống thông qua Scheduled Tasks “%ProgramData%\Update\update.vbs”, “%ProgramData%\Update\vm.bat” và service độc hại như sc.exe (service control) – 1 tool để tạo, quản lý và kiểm soát dịch vụ Windows nhằm thiết lập những dịch vụ mới nhằm triển khai keylogger và Crypto24 ransomware, sau đó sử dụng update.bat để thêm tài khoản – tài khoản này được thêm vào Administrators và Remote Desktop Users group do đó có đặc quyền cao và có khả năng kết nối với hệ thống từ xa. Ngoài ra, kẻ tấn công còn sử dụng svchost.exe nhằm tránh phát hiện.

Kẻ tấn công sử dụng runas.exe và PSExec để thực thi tiến trình với đặc quyền cao. Một số câu lệnh được kẻ tấn công sử dụng:

net.exe localgroup administrators john /add

net.exe localgroup administrators service.lot9 /add

net.exe localgroup administrators 00025436 /add

net.exe localgroup “administrators” “NetUser” /add

net.exe localgroup “Remote Desktop Users” “NetUser” /add

net.exe localgroup administrators IT.Guest /add

runas.exe /user:administrator cmd

$mytemp$\low\psexec64.exe -u <REDACTED> -p <REDACTED> cmd

Trong quá trình tấn công, kẻ tấn công liên tục tạo các tài khoản admin, khởi tạo kết nối RDP, sử dụng các công cụ để duy trì quyền truy cập, sau đó leo thang bằng cách triển khai công cụ tương tự RealBlindingEDR để vô hiệu hóa hàng loạt giải pháp EDR.

Sau khi xâm nhập vào hệ thống thông qua tạo tài khoản mới, kẻ tấn công đã nâng cao quyền truy cập thông qua PsExec và thực thi các command nhằm duy trì chỗ đứng và cho phép truy cập từ xa. Sau khi truy cập từ xa được thiết lập, kẻ tấn công đã leo thang bằng cách triển khai keylogger (WinMainSvc.dll) thông qua batch script (run_new.bat). Keylogger được cấu hình để thu thập dữ liệu nhạy cảm, bao gồm thông tin đăng nhập, và tạo lập lịch để thiết lập persistence.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5      Chiến dịch tấn công sử dụng mã độc Noodlophile stealer

NCS Threat Intel theo dõi và ghi nhận bài đăng trên không gian mạng mô tả chiến dịch tấn công sử dụng mã độc Noodlophile stealer nhắm mục tiêu tới các doanh nghiệp khu vực Hoa Kỳ, Châu Âu, APAC. Kẻ tấn công gửi email tới nhân viên hoặc hòm thư chung (như info@, support@) với nội dung vi phạm bản quyền mạo danh các công ty truyền thông, đe dọa xử lý theo pháp lý nhằm mục đích yêu cầu nạn nhân tải xuống các tệp tin độc hại được lưu trữ trên dropbox.

Khác với chiến dịch Noodlophile trước đó sử dụng các nền tảng AI giả mạo, phiên bản này phát tán payload thông qua các ứng dụng hợp pháp có chữ ký số nhưng tồn tại lỗ hổng cho phép DLL side-loading. Kẻ tấn công khai thác những lỗ hổng này theo hai cách:

    • Recursive Stub Loading: stub được side-load, sau đó tiếp tục tải DLL độc hại thông qua Import Address Table (IAT) dependencies.
    • Chained DLL Vulnerabilities: một DLL hợp pháp tồn tại lỗ hổng side-loading cho phép mã độc thực thi trong tiến trình tin cậy.

Payload thường được phát tán qua các liên kết Dropbox (ví dụ: https://www.dropbox.com/s/[id]/Archive.zip?dl=1) được che giấu bằng các đường dẫn rút gọn TinyURL. Sau khi tải các DLL độc hại, các DLL này sẽ đổi tên các tệp ngụy trang (.pptx, .docx, .pdf) trong archive thành script BAT và Python interpreters. Các script BAT này sau đó được dùng để thiết lập persistence và remote download.

Một trong những điểm đáng chú ý của Noodlophile Stealer, thay vì tải trực tiếp payload từ email hoặc link, mã độc hại sẽ truy xuất mô tả từ một nhóm Telegram, nơi chứa thông tin đường dẫn lưu trữ mã độc, giúp kẻ tấn công thay đổi hạ tầng nhanh chóng và khó bị gỡ bỏ nếu bị phát hiện. Ngoài ra, còn áp dụng nhiều cách lẩn tránh phát hiện như base64 encoding, sử dụng công cụ sẵn có trong Windows (LOLBins) như certutil.exe, và thực thi in-memory để không để lại dấu vết trên ổ đĩa.

Hiện tại, Noodlophile Stealer chủ yếu nhắm vào các dữ liệu nhạy cảm, đặc biệt tập trung vào thông tin trên trình duyệt, thu thập các dữ liệu web và thông tin xác thực, thông tin thẻ tín dụng, liệt kê phần mềm đã cài đặt, thu thập thông tin hệ thống (bao gồm tên người dùng và máy tính, phiên bản hệ điều hành, nhà sản xuất, model và RAM), thu thập tên máy tính, nhắm mục tiêu vào dữ liệu người dùng từ nhiều trình duyệt khác nhau như Chrome, Brave, Edge, Opera và các trình duyệt khác. Sau đó, kẻ tấn công sử dụng các kỹ thuật tự xóa nhằm xóa dấu vết sau khi thực thi để tránh phát hiện. Tuy nhiên, trong mã nguồn còn xuất hiện nhiều tính năng chưa sử dụng, chẳng hạn như keylogger, chụp màn hình, giám sát tiến trình, thậm chí khả năng mã hóa file hoặc vượt qua cơ chế bảo vệ AMSI/ETW.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị:

    • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Tháng 08/2025, Đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:

STT Tiêu đề Mô tả
1 Dòng mã độc tống tiền mới sử dụng các kỹ thuật tấn công của APT Dòng mã độc tống tiền mới có tên Charon sử dụng các kỹ thuật nhằm bypass các biện pháp bảo mật bên cạnh tính năng mã hóa.

2.1      Dòng mã độc tống tiền mới sử dụng các kỹ thuật tấn công của APT

Threat Intelligence ghi nhận bài đăng trên không gian mạng về dòng mã độc tống tiền (ransomware) mới có tên Charon, sử dụng trong một chiến dịch tấn công có chủ đích (APT) nhắm tới cơ quan do nhà nước quản lý và ngành hàng không tại Trung Đông. Nhóm tấn công sử dụng kỹ thuật DLL sideloading để load các DLL độc hại, từ đó triển khai payload cuối là Charon ransomware. Ransom note của mã độc đề cập tên tổ chức cho thấy đây là hoạt động có chủ đích, được cho có liên quan đến nhóm tấn công có nguồn gốc từ Trung Quốc do trùng lặp về một số kỹ thuật tấn công

Để load DLL độc hại, kẻ tấn công sử dụng một tệp tin hợp pháp có tên Edge.exe, lợi dụng load DLL có tên msedge.dll. DLL có nhiệm vụ giải mã payload ransomware và inject vào tiến trình svchost.exe. Cho phép mã độc nguy trạng dưới tên một dịch hợp pháp của Windows, bypass các giải pháp bảo mật trên endpoint

Quá trình khởi tạo thực thi ban đầu, ransomware nhận đầu vào là các tham số, với mỗi tham số sẽ thực thi các hành vi khác nhau. Các đối số được định nghĩa trong code để kiểm tra như sau:

Tham số Ý nghĩa
–debug=<path + file name > Ghi lỗi, bao gồm cả lỗi trong quá trình mã hóa vào đường dẫn được chỉ định
–shares=<network shares> Liệt kê máy chủ/IP, cũng như liệt kê và mã hóa các network share có thể truy cập (ngoại trừ $ADMIN)
–paths=<specific path> Liệt kê các đường dẫn hoặc ổ đĩa
–sf Thay đổi thứ tự mã hóa, ưu tiên mã hóa các network shares, sau đó tới ổ đĩa

Tiếp đó, mã độc kiểm tra và tạo một mutex có tên OopsCharonHere. Trước khi mã hóa, mã độc sẽ thực hiện dừng các dịch vụ và tiến trình, bao gồm cả các tiến trình liên quan đến bảo mật, nhằm đảm bảo quá trình mã hóa thành công và giảm thiểu khả năng phục hồi hoặc can thiệp trong quá trình mã hóa đồng thời giảm khả năng bị phát hiện. Các bản sao lưu trên hệ thống sẽ bị loại bỏ, các tệp tin trong thùng rác cũng sẽ bị xóa.

Sau khi hoàn tất các công việc trên, mã độc sẽ đếm số lõi bộ vi xử lý (cores) của CPU và tại nhiều luồng (threads) cho quá trình mã hóa. Việc sử dụng đa luồng giúp tối đa hóa tốc độ, nhanh chóng thao tác với khối lượng lớn dữ liệu

Trong quá trình mã hóa, mã độc sẽ tránh mã hóa các file với phần mở rông là .exe, .dll, .Charon và tệp tin “How to Restore Your Files.txt”. Sau đó mã hóa các file và thêm phần mở rộng .Charon cùng chuỗi “hCharon is enter to the urworld!”, thể hiện dấu hiệu lây nhiễm

Quá trình mã hóa sử dụng mật mã đường con eliptic cùng ChaCha20. Bằng cách tạo khóa riêng ngẫu nhiên có kích thức 32bytes, khóa riêng được sử dụng để tạo khóa công khai theo chuẩn Curve25519. Đồng thời trong mã độc cũng được nhúng sẵn một khóa công khai, kết hợp khóa công khai này cùng với khóa được tạo trước đó tạo thành một giá trị “shared secret”. Giá trị này đi qua một hàm băm sinh ra một khóa có kích thước 256bit. Khóa này sẽ được sử dụng trong thuật toán ChaCha20 để mã hóa các file. Sau khi mã hóa, mỗi file sẽ có một footer với kích thước 72 bytes bao gồm public key của nạn nhân và thông tin metadata để kẻ tấn công có thể giải mã dữ liệu

Tùy theo kích thước, Charon sẽ lựa chọn cách thức mã hóa phù hợp như mã hóa một phần thay vì mã hóa toàn bộ, cụ thể như sau

    • Với các files có kích thước ≤ 64KB: Mã hóa toàn bộ
    • Với các files có kích thước từ 64KB đến 5MB: Mã hóa 3 đoạn với đầu file (0%), giữa file (50%) và gần đuôi file (75%)
    • Với các files có kích thước từ 5MB đến 20MB: Mã hóa 5 đoạn (chia đều theo kích thước)
    • Với các files có kích thước lớn hơn >20MB: Mã hóa 7 đoạn tại các vị trí 0%, 12.5%, 25%, 50%, 75%, 87.5%, và gần cuối

Bên cạnh tính năng mã hóa, mã độc cũng có khả năng lây lan qua mạng bằng cách dò quét và mã hóa các network share có thể truy cập. Đồng thời, mã độc cũng xây dựng các hàm cho phép vượt qua các hệ thống EDR, sử dụng opensource có tên Dark-Kill

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

    • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – August 2025

Trong tháng 08, Microsoft đã phát hành các bản vá cho 107 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, Microsoft Edge (Chromium-based), Azure, GitHub Copilot, Dynamics 365, SQL Server, và Hyper-V Server. Trong đó có 12 lỗ hổng được đánh giá mức độ Critical, 01 lỗ hổng được đánh giá mức độ Moderate, 01 lỗ hổng được đánh giá mức độ Low, 93 lỗ hổng được đánh giá là Important.

Các lỗ hổng nổi bật ghi nhận trong tháng:

STT Mã CVE Tên lỗ hổng Thông tin chung Mức độ cảnh báo
         1 CVE-2025-53766 GDI+ Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên GDI+ cho phép kẻ tấn công thực thi mã từ xa hoặc tiết lộ thông tin trên dịch vụ web. Kẻ tấn công khai thác lỗ hổng bằng cách thuyết phục nạn nhân tải xuống và mở tài liệu chứa metafile độc hại, hoặc tải tài liệu chứa metafile lên dịch vụ web mà không cần tương tác người dùng Critical
         2 CVE-2025-50165 Windows Graphics Component Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Windows Graphics Component cho phép kẻ tấn công thực thi mã từ xa mà không cần sự tương tác của người dùng Critical
         3 CVE-2025-53731/ CVE-2025-53740 Microsoft Office Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft Office cho phép kẻ tấn công thực thi mã từ xa. Preview Pane là attack vector của lỗ hổng này. Critical
         4 CVE-2025-49712 Microsoft SharePoint Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint cho phép kẻ tấn công có thể ghi mã tùy ý và thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, cần có quyền Site Owner Important
         5 CVE-2025-53760 Microsoft SharePoint Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft SharePoint cho phép kẻ tấn công giành được quyền của người dùng bị xâm phạm. Khai thác thành công, kẻ tấn công xem được các thông tin nhạy cảm và chỉnh sửa một phần dữ liệu Important
         6 CVE-2025-53786 Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server Hybrid Deployment cho phép kẻ tấn công leo thang đặc quyền trong môi trường đám mây. Khai thác lỗ hổng yêu cầu kẻ tấn công giành được quyền administrator trên Exchange server Important

Khuyến nghị:

    • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

STT Mã CVE Tên lỗ hổng Thông tin chung Sản phẩm Mức độ cảnh báo
        1 CVE-2025-54948 Management Console Command Injection RCE Vulnerability Tồn tại lỗ hổng Command Injection trong giao diện quản lý của Trend Micro Apex One (on-premise) cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh độc hại trên hệ thống bị ảnh hưởng. TrendMicro cũng ghi nhận các nhóm tấn công cố gắng khai thác lỗ hổng này trong quá trình tấn công Trend Micro Apex One Critical
        2 CVE-2025-54987 Management Console Command Injection RCE Vulnerability Tồn tại lỗ hổng Command Injection trong giao diện quản lý của Trend Micro Apex One (on-premise) cho phép kẻ tấn công không cần xác thực thực thi các câu lệnh độc hại trên hệ thống bị ảnh hưởng. Lỗ hổng này tương tự như CVE-2025-54948, khác nhau khi lỗ hổng khai thác kiến trúc CPU khác. TrendMicro cũng ghi nhận các nhóm tấn công cố gắng khai thác lỗ hổng này trong quá trình tấn công Trend Micro Apex One Critical
        3 CVE-2025-20265 Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability Lỗ hổng trong RADIUS subsystem của Cisco Secure Firewall Management Center (FMC) cho phép kẻ tấn công không cần xác thực chèn và thực thi các lệnh tùy ý trên thiết bị. Nguyên nhân do việc xử lý dữ liệu đầu vào trong quá trình xác thực. Khai thác lỗ hổng yêu cầu Cisco Secure FMC Software phải được cấu hình xác thực RADIUS cho giao diện quản lý web, SSH management hoặc cả 2. Cisco Secure Firewall Management Center (FMC) Software Critical
        4 CVE-2024-26009 An authentication bypass vulnerability in FortiOS, FortiProxy & FortiPAM Tồn tại lỗ hổng bỏ qua xác thực trên FortiOS, FortiProxy & FortiPAM cho phép kẻ tấn công không cần xác thực chiếm quyền kiểm soát thiết bị bằng cách gửi các FGFM request đến thiết bị được quản lý bởi FortiManager. Khai thác lỗ hổng yêu cầu kẻ tấn công biết số serial của FortiManager FortiOS, FortiProxy & FortiPAM High
        5 CVE-2025-8088 A path traversal vulnerability in the Windows version of WinRAR Tồn tại lỗ hổng path traversal ảnh hưởng đến WinRAR trên Windows cho phép kẻ tấn công thực thi mã tùy ý bằng cách tạo các tệp lưu trữ độc hại WinRAR High

Khuyến nghị:

    • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 08/2025.

4.1      Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       RedHook – mẫu mã độc Android banking trojan mới nhắm đến người dùng Việt Nam

Indicator of Compromises (IoCs)

Indicators Indicator Type Description
0ace439000c8c950330dd1694858f50b2800becc7154e137314ccbc5b1305f07 ebc4bed126c380cb37e7936b9557e96d41a38989616855bb95c9107ab075daa3 f33ebe44521abb954ec6b1c18efc567fe940ae8b7b495a302885ecefceba535b 41d09fb33d7696833c11c739a3b0929cd0bff70c29c1a8d00a9c2041c8d0b863 5427ce8b04fc8a09391c2f6eeed44230d256640e1e74f20a1c1f2fcdabea32df ac8b2617d487e0d7719d506333c3ad4afbd014aedf75d684f072ae6f3c544dbc ecc1ccc0f2e1b925834a63f0dc1f514c83329427f308575f417cc4799539398c 8f4d41b11338583959d3d297cdb0c01214f84dfddc5dcdf25f8463f9c2d442d9 8afbbc53e0b69e22ab444ba69718d543469efb4af2c65bcd27a47f12211a0a67 SHA256 RedHook
adsocket[.]e13falsz.xyz

api9[.]iosgaxx423.xyz

 URL C&C server
skt9[.]iosgaxx423.xyz

api5[.]jftxm.xyz

 Domain WebSocket URLs
dzcdo3hl3vrfl.cloudfront[.]net/Chinhphu.apk

nfe-bucketapk[.]s3.ap-southeast-1.amazonaws.com/SBV.apk

 URL Distribution URL
sbvhn[.]com/ URL Phishing URL

 

4.1.2       Chiến dịch sử dụng PXA Stealer nhằm đánh cắp thông tin

Indicator of Compromises (IoCs)

SHA-1 Hashes

Value Note
05a8e10251a29faf31d7da5b9adec4be90816238 First-Stage Dropper (archive)
06fcb4adf8ca6201fc9e3ec72d53ca627e6d9532 First-Stage Dropper (archive)
06fcb4adf8ca6201fc9e3ec72d53ca627e6d9532 First-Stage Dropper (archive)
0c472b96ecc1353fc9259e1b8750cdfe0b957e4f First-Stage Dropper (archive)
1594331d444d1a1562cd955aefff33a0ee838ac9 First-Stage Dropper (archive)
1783af05e7cd52bbb16f714e878bfa9ad02b6388 First-Stage Dropper (archive)
185d10800458ab855599695cd85d06e630f7323d First-Stage Dropper (archive)
23c61ad383c54b82922818edcc0728e9ef6c984d First-Stage Dropper (archive)
23c61ad383c54b82922818edcc0728e9ef6c984d First-Stage Dropper (archive)
345c59394303bb5daf1d97e0dda894ad065fedf6 First-Stage Dropper (archive)
345c59394303bb5daf1d97e0dda894ad065fedf6 First-Stage Dropper (archive)
37e4039bd2135d3253328fea0f6ff1ca60ec4050 First-Stage Dropper (archive)
3a20b574e12ffb8a55f1fb5dc91c91245a5195e8 First-Stage Dropper (archive)
3e9198e9546fa73ef93946f272093092363eb3e2 First-Stage Dropper (archive)
3f0071d64edd72d7d92571cf5e4a5e82720c5a9b First-Stage Dropper (archive)
40795ca0880ea7418a45c66925c200edcddf939e First-Stage Dropper (archive)
407df08aff048b7d05fd7636be3bc9baa699646d First-Stage Dropper (archive)
44feb2d7d7eabf78a46e6cc6abdd281f993ab301 First-Stage Dropper (archive)
4528215707a923404e3ca7667b656ae50cef54ef First-Stage Dropper (archive)
4528215707a923404e3ca7667b656ae50cef54ef First-Stage Dropper (archive)
4607f6c04f0c4dc4ee5bb68ee297f67ccdcff189 First-Stage Dropper (archive)
48325c530f838db2d7b9e5e5abfa3ba8e9af1215 First-Stage Dropper (archive)
48d6350afa5b92958fa13c86d61be30f08a3ff0c First-Stage Dropper (archive)
4dcf4b2d07a2ce59515ed3633386addff227f7bd First-Stage Dropper (archive)
5246e098dc625485b467edd036d86fd363d75aae First-Stage Dropper (archive)
540227c86887eb4460c4d59b8dea2a2dd0e575b7 First-Stage Dropper (archive)
5b60e1b7458cef383c45998204bbaac5eacbb7ee First-Stage Dropper (archive)
612f61b2084820a1fcd5516dc74a23c1b6eaa105 First-Stage Dropper (archive)
61a0cb64ca1ba349550176ef0f874dd28eb0abfa First-Stage Dropper (archive)
6393b23bc20c2aaa71cb4e1597ed26de48ff33e2 First-Stage Dropper (archive)
65c11e7a61ac10476ed4bfc501c27e2aea47e43a First-Stage Dropper (archive)
6eb1902ddf85c43de791e86f5319093c46311071 First-Stage Dropper (archive)
70b0ce86afebb02e27d9190d5a4a76bae6a32da7 First-Stage Dropper (archive)
7c9266a3e7c32daa6f513b6880457723e6f14527 First-Stage Dropper (archive)
7d53e588d83a61dd92bce2b2e479143279d80dcd First-Stage Dropper (archive)
7d53e588d83a61dd92bce2b2e479143279d80dcd First-Stage Dropper (archive)
7e505094f608cafc9f174db49fbb170fe6e8c585 First-Stage Dropper (archive)
ae8d0595724acd66387a294465b245b4780ea264 First-Stage Dropper (archive)
b53ccd0fe75b8b36459196b666b64332f8e9e213 First-Stage Dropper (archive)
b53ccd0fe75b8b36459196b666b64332f8e9e213 First-Stage Dropper (archive)
bfed04e6da375e9ce55ad107aa96539f49899b85 First-Stage Dropper (archive)
c46613f2243c63620940cc0190a18e702375f7d7 First-Stage Dropper (archive)
c5407cc07c0b4a1ce4b8272003d5eab8cdb809bc First-Stage Dropper (archive)
c9caba0381624dec31b2e99f9d7f431b17b94a32 First-Stage Dropper (archive)
ca6912da0dc4727ae03b8d8a5599267dfc43eee9 First-Stage Dropper (archive)
d0b137e48a093542996221ef40dc3d8d99398007 First-Stage Dropper (archive)
d1a5dff51e888325def8222fdd7a1bd613602bef First-Stage Dropper (archive)
deace971525c2cdba9780ec49cc5dd26ac3a1f27 First-Stage Dropper (archive)
deace971525c2cdba9780ec49cc5dd26ac3a1f27 First-Stage Dropper (archive)
e27669cdf66a061c5b06fea9e4800aafdb8d4222 First-Stage Dropper (archive)
e27669cdf66a061c5b06fea9e4800aafdb8d4222 First-Stage Dropper (archive)
e9dfde8f8a44b1562bc5e77b965b915562f81202 First-Stage Dropper (archive)
f02ae732ee4aff1a629358cdc9f19b8038e72b7b First-Stage Dropper (archive)
f02ae732ee4aff1a629358cdc9f19b8038e72b7b First-Stage Dropper (archive)
f5793ac244f0e51ba346d32435adb8eeac25250c First-Stage Dropper (archive)
f7bb34c2d79163120c8ab18bff76f48e51195d35 First-Stage Dropper (archive)
f8f328916a890c1b1589b522c895314a8939399c First-Stage Dropper (archive)
f91e1231115ffe1a01a27ea9ab3e01e8fac1a24f First-Stage Dropper (archive)
faf033dc60fed4fc4d264d9fac1d1d8d641af5e0 First-Stage Dropper (archive)
faf033dc60fed4fc4d264d9fac1d1d8d641af5e0 First-Stage Dropper (archive)
ff920aee8199733258bb2a1f8f0584ccb3be5ec6 First-Stage Dropper (archive)
3d38abc7786a1b01e06cc46a8c660f48849b2b5f Side-loaded DLL
08f517d4fb4428380d01d4dd7280b62042f9e863 Encoded PDF (Archive)
1aa5a0e7bfb995fc2f3ba0e54b59e7877b5d8fd3 Python stealer
734738e7c3b9fef0fd674ea2bb8d7f3ffc80cd91 Python stealer
80e68d99034a9155252e2ec477e91da75ad4f868 Python stealer
ba56a3c404d1b4ed4c57a8240e7b53c42970a4b2 Python stealer
bd457c0d0a5776b43969ce28a9913261a74a4813 Python stealer
da210d89a797a2d84ba82e80b7a4ab73d48a07b1 Python stealer
dc6a62f0a174b251e0b71e62e7ded700027cc70b Python stealer
533960d38e6fee7546cdea74254bccd1af8cbb65 Stage2 Python stealer
c5688fc4c282f9a0dc62cf738089b3076162e8c6 Stage2 Python stealer
c9a1ddf30c5c7e2697bc637001601dfa5435dc66 Stage2 Python stealer
4ab9c1565f740743a9d93ca4dd51c5d6b8b8a5b6 Browser Injection DLL

Domains

Value Note
paste[.]rs Code hosting site
0x0[.]st Code hosting site
lp2tpju9yrz2fklj.lone-none-1807[.]workers[.]dev Cloudflare Worker

URLs

hxxps://0x0[.]st/8nyT.py
hxxps://0x0[.]st/8dxc.py
hxxps://0x0[.]st/8GcQ.py
hxxps://0x0[.]st/8GpS.py
hxxps://0x0[.]st/8ndd.pyhxxps://0x0[.]st/8GcO.py
hxxps://0x0[.]st/8GsK[.]py
hxxps://paste[.]rs/yd2sV
hxxps://paste[.]rs/umYBi
hxxps://paste[.]rs/qDTxA
hxxps://paste[.]rs/Plk1y
hxxps://paste[.]rs/5DJ0P
hxxps://paste[.]rs/oaCzj
hxxps://www[.]dropbox[.]com/scl/fi/c1abtpif2e6calkzqsrbj/.dll?rlkey=9h1ar7wmsg407ngpl25xv2spt&st=mp7z58v2&dl=1

4.1.3       Nhóm tấn công RomCom khai thác lỗ hổng trên Winrar

Indicator of Compromises (IoCs)

Files

SHA-1 Filename Detection Description
371A5B8BA86FBCAB80D4E0087D2AA0D8FFDDC70B Adverse_Effect_Medical_Records_2025.rar LNK/Agent.AJN

Win64/Agent.GPM

 Archive exploiting CVE‑2025‑8088; found on VirusTotal.
D43F49E6A586658B5422EDC647075FFD405D6741 cv_submission.rar LNK/Agent.AJN July

Win64/Agent.GPM

 Archive exploiting CVE‑2025‑8088.
F77DBA76010A9988C9CEB8E420C96AEBC071B889 Eli_Rosenfeld_CV2 – Copy (10).rar Win64/Agent.GMQ Archive exploiting CVE‑2025‑8088.
676086860055F6591FED303B4799C725F8466CF4 Datos adjuntos sin título 00170.dat LNK/Agent.AJN

Win64/Agent.GPM

 Archive exploiting CVE‑2025‑8088.
1F25E062E8E9A4F1792C3EAC6462694410F0F1CA JobDocs_July2025.rar LNK/Agent.AJN

Win64/TrojanDownloader.Agent.BZV

 Archive exploiting CVE‑2025‑8088.
C340625C779911165E3983C77FD60855A2575275 cv_submission.rar LNK/Agent.AJN

Win64/Agent.GPM

 Archive exploiting CVE‑2025‑8088.
C94A6BD6EC88385E4E831B208FED2FA6FAED6666 Recruitment_Dossier_July_2025.rar LNK/Agent.AJN

Win64/TrojanDownloader.Agent.BZV

 Archive exploiting CVE‑2025‑8088.
01D32FE88ECDEA2B934A00805E138034BF85BF83 install_module_x64.dll Win64/Agent.GNV MeltingClaw
AE687BEF963CB30A3788E34CC18046F54C41FFBA msedge.dll Win64/Agent.GMQ Mythic agent used by RomCom
AB79081D0E26EA278D3D45DA247335A545D0512E Complaint.exe Win64/TrojanDownloader.Agent.BZV RustyClaw
1AEA26A2E2A7711F89D06165E676E11769E2FD68 ApbxHelper.exe Win64/Agent.GPM SnipBot variant

Network

IP Domain Hosting provider First seen Details
162.19.175[.]44 gohazeldale[.]com OVH SAS 2025‑06‑05 MeltingClaw C&C server.
194.36.209[.]127 srlaptop[.]com CGI GLOBAL LIMITED 2025‑07‑09 C&C server of the Mythic agent used by RomCom.
85.158.108[.]62 melamorri[.]com HZ‑HOSTING‑LTD 2025‑07‑07 RustyClaw C&C server.
185.173.235[.]134 campanole[.]com FiberXpress BV 2025‑07‑18 C&C server of the SnipBot variant.

4.1.4       Crypto24 Ransomware nhắm mục tiêu vào Châu Á, Châu Âu và Hoa Kỳ

Indicator of Compromises (IoCs)

SHA1 Detection name
c4da41d0f40152c405ba399a9879d92b05ac1f61 Trojan.VBS.STARTER.THGOABE
ba4685594714e3ffde4f52a82cc07c6f94324215 Trojan.BAT.CRYPTWOFOUR.THGOBBE
a60c6a07d3ba6c2d9bf68def208566533398fe8f HackTool.Win64.RealBlindEDR.THGOBBE
dd389b5f3bb7e946cc272bf01d412d661635f10b HackTool.Win64.RealBlindEDR.THGOEBE
9a9f52554c1a9938725b7dabd0f27002b0f8e874 Trojan.BAT.CRYPTWOFOUR.THGAOBE
e573f4c395b55664e5e49f401ce0bbf49ea6a540 TrojanSpy.Win64.CRYPTWOFOUR.THGAOBE
71a528241603b93ad7165da3219e934b00043dd6 TrojanSpy.Win64.CRYPTWOFOUR.THGAHBE
74bc31f649a73821a98bef6e868533b6214f22a4 Ransom.Win64.CRYPTWOFOUR.THGOBBE
b23d0939b17b654f2218268a896928e884a28e60 Ransom.Win64.CRYPTWOFOUR.THGOEBE
093902737a7850c6c715c153cd13e34c86d60992 HackTool.Win64.RemoteAdmin.THGOCBE
5d1f44a2b992b42253750ecaed908c61014b735a HackTool.PS1.TERMSRVPatcher.THGAOBE
8057d42ddb591dbc1a92e4dd23f931ab6892bcac Ransom.Win64.CRYPTWOFOUR.THFBCBE
eeafb2d4f6ed93ab417f190abdd9d3480e1b7b21 Ransom.Win64.CRYPTWOFOUR.THFBCBE
3922461290fa663ee2853b2b5855afab0d39d799 Ransom.Win64.CRYPTWOFOUR.THFAHBE

4.1.5       Chiến dịch tấn công sử dụng mã độc Noodlophile stealer

Indicator of Compromises (IoCs)

Email Patterns 

Sender Domain Common Subjects  Key Phrases
gmail.com Copyright Infringement Notice, Urgent Action Required “Immediate Action Required”, “Legal Representatives”, “Facebook Page ID”

URLs and Domains

https://is[.]gd/PvLoKt

https://paste[.]rs/Gc2BJ

http://196.251.84[.]144/suc/zk2.txt

https://t[.]ly/cCEsy

https://tinyurl[.]com/yy2smhn2

https://t2m[.]io/SiemensAG

https://t[.]ly/RossiDoria&Associati

https://t2m[.]io/Ob4WBcu

https://t[.]ly/vqpvk

https://goo[.]su/aSqtBmg

https://tinyurl[.]com/yrnsdpfk

https://tinyurl[.]com/2jaj3kws

https://t2m[.]io/9zPbQxa

https://t[.]ly/EidCollection1112

https://tinyurl[.]com/yz6yy4ta

https://t[.]ly/rsyAl

https://t[.]ly/TimbrGroup

https://www.dropbox[.]com/scl/fi/e21ecfnbmg49fvqp4ouyd/Prove della violazione delle clausole sul copyright a te destinate.zip?rlkey=<key>&dl=1

http://15.235.172[.]219/vmeo/link/dcaathur.txt

http://15.235.172[.]219/vmeo/getlink?id=dcaathur

http://196.251.84[.]144/suc/And_st.txt

http://160.25.232[.]62/vmeo/getlink?id=bee02h

http://160.25.232[.]62/bee/BEE02_H.txt

http://196.251.84[.]144/suc/zk2.txt

https://pastebin[.]pl/view/raw/ae4cceca

https://t[.]me/LoneNone

https://0x0[.]st/8fVG.txt

Telegram BOT

7913144042:AAGjalVuULPrUgnBqD8d4O33scWPa0GjPUE             TOKEN_BOT

7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQ      TOKEN_BOT

-4826945029            CHAT_ID_NEW

-4736515007            CHAT_ID_RESET

-1002394294746      CHAT_ID_NEW

-1002215338001      CHAT_ID_RESET

File Hashes

SHA256 File Name
CE69FA159FB53C9A7375EF66153D94480C9A284E373CE8BF22953268F21B2EB2 dcaathur
FAC94A650CD57B9E8DA397816FA8DDD3217DD568EABA1E46909640CBF2F0A29C dcaat
A05CF0002A135ADE9771A1AA48109CC8AA104E7AFA1C56AF998F9ABA2A1E3F05 dcap9
2E610C97E5BAE10966811B78FC9E700117123B6A12953BF819CED9B25EB9A507 Dcaptk – loader
0BA36C80167919A98CFFC002CF6819D3F5E117207E901AEBD13E3EA54387E51F .net stealer (from Dcaptk.txt)
693789E4B9FB280FA32541E9A548B7FEFD98775B8F075E370464DB3764BB15B9 .net stealer (from Dcaptk.txt)
69D6582D7550817F792F3287FA91788E7B9252B63D81A380A5E1CA9AA0629150 shellcode (from Dcaptk.txt)
b3aa210a51e19dd003d35721a18b7fb5c0741dce01dd7725ff610de4adf0a8f2 Zk2.txt  -loader
95D964EFC32DD04B5AE05BFC251CE470E8C418398EFC97697F41807F33E7390D .net stealer (from zk2.txt)
C213A15ADD88E8C1CBB06FC4690C02046FA74027848BCB97C7D961FFC21155C6 .net stealer  (from zk2.txt)
9F2205E06231CF53824421AA09E6A43D5A9C5513618E08E4EAACFD94B91C5E61 shellcode (from zk2.txt)
AF2DFA1FCD055AAF0C818F49C7C4F4370629AC6EECADBCD532A1149A7E01EC11 Gc2BJ
707223112E8CED786E7D1ED43224E73606B3E2EFEC615BB3A22FE8CC11D3BB54 And_st.txt
3C3CEE4579E78C9D39B96804815C71C7A2DE17951E08D703197C9C7ED20AB9F3 msi
d0b0551e8988a9f81b80933ec68efabb47cd12acaeffa79c42564863424a376e dcaathur.msi
844C2EE464EF5CDC79C2DE52EB544C55E1F9BF7DED2C2F0E44BED263F04DAA42 Jūs_esat_pārkāpis_reģistrētas_preču_zīmes_tiesības_1.zip
5AD456333451FCBD69977A62D4728B1FC8B5BDEBEE763D2B6725226078DAEAF8 Lista_de_productos_y_pruebas_de_infracción_11825.zip
320555e241025b8427e1a3ccfc62f0c5a2347cfd86d29f33709192e2e9cbbac2 Alerta_!de_!uso_!indebido_!de_!contenido_!protegido.zip
a6647dd104487deb71674c64d8a2b03843cd3d32ee2c9a63cc3ea506d8b00552 tm.docx

 

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Dòng mã độc tống tiền mới sử dụng các kỹ thuật tấn công của APT

Indicator of Compromises (IoCs)

File name

SHA1

92750eb5990cdcda768c7cb7b654ab54651c058a

a1c6090674f3778ea207b14b1b55be487ce1a2ab

21b233c0100948d3829740bd2d2d05dc35159ccb