Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs 

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 02/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

STT	Tên chiến dịch	Mô tả
1	Chiến dịch triển khai mã độc BadIIS nhắm vào các quốc gia Châu Á trong đó có Việt Nam	– Phạm vi/ khu vực: các quốc gia Châu Á bao gồm Ấn Độ, Thái Lan, Việt Nam… – Công cụ/cách thức tấn công: lợi dụng lỗ hổng trong Microsoft Internet Information Services (IIS) để triển khai mã độc BadIIS.
2	Stately Taurus triển khai mã độc Bookworm tấn công khu vực Đông Nam Á	– Phạm vi/ khu vực: Đông Nam Á – Công cụ/ cách thức tấn công: triển khai mã độc Bookworm. Nhóm tấn công sử dụng 1 tệp thực thi hợp pháp nhằm tải payload độc hại.
3	Các hoạt động tấn công mở rộng tấn công gián điệp sang ransomware liên quan đến mã độc PlugX	– Mục tiêu: mở rộng ra các cuộc tấn công ransomware nhằm thu lợi bên cạnh mục đích gián điệp – Phạm vi/khu vực: Trung Á – Công cụ/ cách thức tấn công: khai thác lỗ hổng CVE-2024-0012 trong PAN-OS. Trên máy chủ bị thỏa hiệp, sử dụng bộ 3 tệp tin toshdpdb.exe, loader dLL độc hại toshdpapi.dll và encrypted payload PlugX toshdp.dat
4	Salt Typhoon – Chiến dịch tấn công vào các thiết bị Cisco	– Phạm vi/ khu vực: tổ chức cung cấp dịch vụ viễn thông khu vực Châu Mỹ và Nam Phi. Ngoài ra, nhắm đến một số thiết bị được liên kết với các trường đại học tại Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Hoa Kỳ và Việt Nam – Công cụ/ cách thức tấn công: nhắm tới các thiết bị Cisco thiếu các bản vá bảo mật được facing ra môi trường Internet
5	Chiến dịch tấn công thông qua ViewState Code Injection	– Công cụ/ cách thức tấn công: lạm dụng các ASP.NET machine key, nhằm inject đoạn mã độc hại và triển khai Godzilla post-exploitation framework trên các máy chủ
6	Các hoạt động tấn công nhắm tới tổ chức viễn thông tại Nam Á	– Phạm vi/khu vực: tổ chức viễn thông tại Nam Á – Công cụ/ cách thức tấn công: nhắm tới các dịch vụ facing ra môi trường Internet thiếu các bản vá bảo mật. Sử dụng Powershell để tải xuống các bat script. Triển khai thêm các công cụ hỗ trợ tấn công như SspiUacBypass, công cụ hỗ trợ tạo kênh truy cập trái phép

Thông tin chi tiết các chiến dịch:

1.1 Chiến dịch triển khai mã độc BadIIS nhắm vào các quốc gia Châu Á trong đó có Việt Nam

Gần đây, Threat Intel NCS theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến chiến dịch tấn công lợi dụng lỗ hổng trong Microsoft Internet Information Services (IIS) để triển khai mã độc BadIIS, một công cụ được sử dụng để SEO (Search Engine Optimization) fraud và chèn nội dung độc hại. Chiến dịch này nhắm vào các quốc gia Châu Á bao gồm Ấn Độ, Thái Lan, Việt Nam…

Phần mềm độc hại BadIIS hoạt động bằng cách khai thác các máy chủ IIS, sau khi cài đặt, phần mềm độc hại cho phép thay đổi HTTP responses và chuyển hướng người dùng đến các trang web độc hại hoặc nền tảng cờ bạc bất hợp pháp.

BadIIS hoạt động theo 2 modes chính:

• SEO Fraud Mode: BadIIS được cài đặt có thể thay đổi thông tin HTTP response header được yêu cầu từ máy chủ web, phân tích các trường như “User-Agent” và “Referer” cho các từ khóa cụ thể liên quan đến công cụ tìm kiếm. Nếu các điều kiện này được đáp ứng, người dùng sẽ được chuyển hướng đến các trang web cờ bạc trực tuyến bất hợp pháp thay vì các trang web hợp pháp
  
• Injector Mode: BadIIS chèn JavaScript được mã hóa vào các HTTP responses hợp lệ, chuyển hướng người dùng đến các domain do kẻ tấn công kiểm soát lưu trữ các phishing schemes hoặc phần mềm độc hại bổ sung.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2 Stately Taurus triển khai mã độc Bookworm tấn công khu vực Đông Nam Á

Threat Intel NCS theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến nhóm tấn công Stately Taurus triển khai mã độc Bookworm nhắm mục tiêu khu vực Đông Nam Á. Trong năm 2024, Threat Intel NCS đã phát hiện, tổng hợp thông tin về nhóm tấn công này lạm dụng Visual Studio Code nhằm thực thi các đoạn mã độc hại và persistence trên hệ thống bị ảnh hưởng.

Chiến dịch tấn công ghi nhận và mô tả gần đây của Unit42 cho thấy nhóm tấn công sử dụng 1 tệp thực thi hợp pháp nhằm tải payload độc hại BrMod104.dll (2a00d95b658e11ca71a8de532999dd33ddee7f80432653427eaa885b611ddd87) trong chiến dịch nhắm vào Myanmar. Payload này là biến thể của PubLoad, một loại stager malware có nhiệm vụ kết nối với C2 để tải và thực thi một payload thứ hai dưới dạng shellcode. Sau khi thực thi, payload PubLoad kết nối trực tiếp đến IP C2 123.253.32[.]15 và gửi một HTTP POST request trong đó trường host sử dụng www.asia.microsoft.com với mục đích ngụy trang thành yêu cầu hợp pháp.

Ngoài ra, một số payload được phát hiện (anhlab.exe, ltdis13n.dll) đều giao tiếp với C2 (www.fjke5oe[.]com, update.fjke5oe[.]com ) thông qua cùng một mẫu URL. Các payload này là các loader chứa các shellcode. Shellcode được giải mã sẽ tải và thực thi các dynamic-link libraries liên quan đến malware Bookworm. Mô-đun của Bookworm liên lạc với C2 sẽ thực hiện gửi các HTTP POST request tới www.fjke5oe[.]com, update.fjke5oe[.]com, sử dụng URL path cấu trúc tương tự như trong mẫu PubLoad (v6-winsp1-wuredir)

Biến thể Bookworm

Các biến thể Bookworm mới không sử dụng các tệp Loader.dll và readme.txt thay vào đó kết hợp shellcode dưới dạng tham số UUID cho thấy sự chuyển đổi sang các phương pháp mã hóa tính vi hơn. Ngoài ra, phiên bản mới nhất đã cách gọi hàm khởi tạo đã thay đổi nhưng vẫn giữ nguyên chức năng chính cho phép lẩn tránh phát hiện và thiết lập duy trì. Trước đây, các mô-đun của Bookworm sử dụng hàm xuất ProgramStartup, cho phép mô-đun chính Leader.dll truy xuất danh sách các chức năng trong mô-đun. Tuy nhiên, trong phiên bản mới, các mô-đun không còn chứa ProgramStartup thay vào đó DllEntryPoint của mỗi mô-đun sẽ trả về một con trỏ hàm, có chức năng tương tự như ProgramStartup, cho phép Leader.dll lấy danh sách các chức năng cần sử dụng.

Ngoài ra, phát hiện sự chồng chéo giữa Bookworm và ToneShell dựa trên debug path (C:\Users\hack\Documents\WhiteFile\LTDIS13n\Release\LTDIS13n.pdb ) được dùng trong cả hai biến thể. Ngoài ra, sự chồng chéo giữa cơ sở hạ tầng cũng được phát hiện do có liên hệ thông qua IP 103.27.202[.]68.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3  Các hoạt động tấn công mở rộng tấn công gián điệp sang ransomware liên quan đến mã độc PlugX

Từ tháng 12 năm 2024, NCS tiếp tục theo dõi và ghi nhận thêm một số tên miền mới có liên quan đến nhóm tấn công MustangPanda sử dụng với mục đích làm C&C cho PlugX backdoor. Kể từ giữa năm 2023, MustangPanda đã sử dụng Cloudflare content delivery network (CDN) làm proxy giúp chuyển tiếp lưu lượng từ C2 đến các máy chủ riêng ảo hóa (VPS) do nhóm tấn công kiểm soát ở phía sau.

Do tính tương đồng với các hoạt động trước đây, một số tên miền theo dõi được có thể là tên miền hợp pháp trước đây, sau đó được được nhóm tấn công đăng ký lại sau khi hết hạn, nhằm tăng độ tin cậy như tuổi đời của domain (domain age) hoặc các thuật toán đánh giá độ tin cậy. Một số domain khác được ghi nhận từng giao tiếp với cơ sở hạ tầng bị chiếm quyền ở một số quốc gia thuộc khu vực Đông Nam Á, các domain cùng IP tương ứng như sau:

mdconverter[.]com (3.21.244[.]228)

eppautomoveis[.]pt (161.97.107[.]93)

scc[.]cx (207.246.106[.]38)

relivonline[.]com (103.107.104[.]61)

ymem[.]site (167.179.100[.]144)

Cũng liên quan đến dòng mã độc PlugX được sử dụng bởi MustangPanda, các phân tích mới đây của Symantec ghi nhận các nhóm tấn công có thể mở rộng ra các cuộc tấn công ransomware nhằm thu lợi bên cạnh mục đích gián điệp trước đó. Nạn nhân là công ty phần mềm và dịch vụ tại Trung Á. Để khởi tạo truy cập ban đầu, kẻ tấn công khai thác lỗ hổng CVE-2024-0012 trong PAN-OS, lỗ hổng tồn tại trong giao diện quản lý web Management Web Interface cho phép kẻ tấn công vượt qua xác thực truy cập với đặc quyền administrator. Các hoạt động tấn công sau đó bao gồm thu thập thông tin tài khoản xác thực từ máy chủ Veeam và đánh cắp dữ liệu từ S3 bucket trước khi thực hiện mã hóa dữ liệu. Trên máy chủ bị thỏa hiệp, kẻ tấn công cũng sử dụng bộ 3 tệp tin toshdpdb.exe (tệp tin hợp pháp của Toshiba), loader dLL độc hại toshdpapi.dll và encrypted payload PlugX toshdp.dat. Các mẫu mã độc này đã từng được ghi nhận vào tháng 7/2024, thực hiện tấn công vào đơn vị chính phủ tại Châu Âu. Nhóm tấn công thực hiện mã hóa dữ liệu bằng RA World ransomware, số tiền chuộc được yêu cầu là 2 triệu đô la.

NCS khuyến nghị thực hiện cập nhật IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống. Ngoài ra, NCS khuyến nghị quý khách hàng thực hiện cập nhật các phiên bản PAN-OS mới nhất theo khuyến nghị từ hãng.

Indicators of Compromise

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4  Salt Typhoon – Chiến dịch tấn công vào các thiết bị Cisco

Threat Intel NCS theo dõi và ghi nhận chiến dịch tấn công nhắm tới các thiết bị Cisco thiếu các bản vá bảo mật được facing ra môi trường Internet. Các nạn nhân mà nhóm tấn công nhắm tới bao gồm các tổ chức cung cấp dịch vụ viễn thông khu vực Châu Mỹ và Nam Phi. Các hoạt động tấn công có một số tương đồng với Salt Typhoon, nhóm tấn công có chủ đích hoạt động gần đây cũng được ghi nhận bởi TrendMicro.

Nhóm tấn công khai thác sử dụng các CVE-2023-20198, lỗ hổng leo thang đặc quyền trên tính năng web user interface (UI) của Cisco IOS XE software cho phép kẻ tấn công tạo người dùng cục bộ (local user). Sau khi truy cập với tài khoản vừa tạo, kết hợp với lỗ hổng CVE-2023-20273, kẻ tấn công nâng cao đặc quyền lên root. Nhóm tấn công thay đổi cấu hình của thiết bị, cấu hình tunnel trong giao thức GRE cho mục đích duy trì truy cập và đánh cắp dữ liệu.

Bên cạnh đó, nhóm tấn công cũng nhắm đến một số thiết bị được liên kết với các trường đại học tại Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Hoa Kỳ và Việt Nam nhằm tiếp cận nghiên cứu trong các lĩnh vực liên quan đến viễn thông, kỹ thuật và công nghệ, đặc biệt là tại các tổ chức như UCLA và TU Delft.

• Đại học California, Los Angeles (UCLA) — Hoa Kỳ
• Đại học California State, Văn phòng Hiệu trưởng (CENIC) — Hoa Kỳ
• Đại học Loyola Marymount — Hoa Kỳ
• Đại học Công nghệ Utah — Hoa Kỳ
• Đại học de La Punta – Argentina
• Islamic University of Technology (IUT) — Bangladesh
• Đại học Sebelas Maret – Indonesia
• Đại học Negeri Malang – Indonesia
• Đại học Malaya – Malaysia
• Universidad Nacional Autonoma- Mexico
• Đại học Technische Delft – Hà Lan
• Đại học Sripatum – Thái Lan
• Và một trường đại học tại Việt Nam

Indicators of Compromise

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5  Chiến dịch tấn công thông qua ViewState Code Injection

Gần đây, Threat Intel NCS theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến các cuộc tấn công lạm dụng các ASP.NET machine key, nhằm inject đoạn mã độc hại và triển khai Godzilla post-exploitation framework trên các máy chủ. Microsoft cũng xác định được hơn 3.000 keys công khai có thể được sử dụng cho loại tấn công này.

ViewState là một cơ chế quản lý trạng thái trong ASP.NET, khi không cấu hình, dữ liệu được encoded theo định dạng base64-encoding. Để tránh giả mạo hoặc lộ lọt dữ thông tin, ViewState sử dụng machine keys bao gồm ValidationKey và DecryptionKey để mã hóa và xác thực. Tuy nhiên trong trường hợp các key này bị lộ, kẻ tấn công có thể tùy chỉnh tạo các ViewState chứa payload độc hại thông qua các công cụ như YSoSerial.

Vào tháng 12/2024, Microsoft ghi nhận TA thực hiện 1 cuộc tấn công sử dụng ViewState với machine key được public. ViewState payload tải Godzilla framework cho phép kẻ tấn công thực thi câu lệnh, chèn shellcode và thực hiện các hoạt động độc hại khác trên máy chủ web IIS.

NCS khuyến nghị quý khách hàng kiểm tra các machine key trong môi trường bằng cách sử dụng tập lệnh Powershell được Microsoft cung cấp. Trong trường hợp phát hiện máy chủ đang sử dụng các key đã public, quý khách hàng thực hiện thay đổi và thiết lập cấu hình sinh khóa tự động theo các khuyến nghị bảo mật được hãng cung cấp (chi tiết các khuyến nghị bảo mật của Microsoft tham khảo tại đầu mục Recommendations)

Thông tin đường dẫn tập lệnh kiểm tra khóa (machine key) tham khảo tại:

https://github.com/microsoft/mstic/blob/master/RapidReleaseTI/MachineKeyScan.ps1.

Thông tin chi tiết về tấn công mà khuyến nghị bảo mật được cung cấp bởi Microsoft  tham khảo tại:

Code injection attacks using publicly disclosed ASP.NET machine keys

Indicators of Compromise

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.6      Các hoạt động tấn công nhắm tới tổ chức viễn thông tại Nam Á

Threat Intel NCS theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến nhóm tấn công tạm đặt tên CL-STA-0048, có các hoạt động tấn công nhắm tới tổ chức viễn thông tại Nam Á. Những đặc điểm chính của cuộc tấn công như sau:

– Để khởi tạo truy cập ban đầu, nhóm tấn công nhắm tới các dịch vụ facing ra môi trường Internet thiếu các bản vá bảo mật như IIS, Apache Tomcat và MSSQL nhằm triển khai webshell, tuy nhiên chỉ thành công ở máy chủ MSSQL

– Sau khi có quyền truy cập ban đầu vào máy chủ MSSQL, kẻ tấn công sử dụng Powershell để tải xuống các bat script nhằm thu thập thông tin hệ thống và đánh cắp thông tin thông qua trigger DNS request. Ngoài ra kẻ tấn công cũng sử dụng powershell để upload file lên máy chủ được kẻ tấn công kiểm soát

– Nhóm tấn công triển khai các mã độc xuống máy chủ theo nhiều cách thức:

• Tải xuống PlugX thông qua certutil từ h5.nasa6.com/, bao gồm 3 tệp tin Acrobat.exe, Acrobat.dxe, Acrobat.dll được lưu tại đường dẫn C:\ProgramData\DSSM\, thông qua kỹ thuật DLL SideLoading để load PlugX, tìm kiếm và giải mã payload Acrobat.dxe và load trong tiến trình hợp pháp của hệ thống svchost.exe. PlugX tạo kết nối tới địa chỉ C2 mail.tttseo.com
• Tải xuống thêm các mã độc bổ sung như CobaltStrike bằng cách chia nhỏ các payload theo từng phần nhỏ (chunk), ghi vào file theo định dạng hex và sử dụng certutil để giải mã từ định dạng hex sang ASCII, mã độc tạo kết nối tới địa chỉ sentinelones.com

–  Nhóm tấn công triển khai thêm các công cụ hỗ trợ tấn công như SspiUacBypass cho phép chạy các tiến trình có đặc quyền cao mà không cần chấp thuận từ người dùng, bộ công cụ leo thang đặc quyền Potato Suite (BadPotato, RasmanPotato)

– Triển khai các công cụ hỗ trợ tạo kênh truy cập trái phép vào hệ thống bị chiếm quyền như open-source SoftEther VPN thông qua certutil

– Thực hiện các hành vi đánh cắp dữ liệu thông qua các câu lệnh SQL cho phép tìm kiếm các cột chứa dữ liệu liên quan đến từ khóa “phone”, “Moblie”, “TEL”, lưu kết quả ra file và upload lên địa chỉ C2 server

Indicators of Compromise

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị: 

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Trong tháng 02/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về các mẫu mã độc sau:

STT	Tiêu đề	Mô tả
1	Các cách thức mới nhằm triển khai mã độc	Mã độc lạm dụng tệp tin thực thi hợp pháp MAVInject và Setup Factory nhằm triển khai, thực thi payload độc hại, vượt qua các cơ chế bảo vệ của ESET antivirus.

 

2.1      Các cách thức mới nhằm triển khai mã độc

Threat Intel NCS theo dõi và ghi nhận mẫu độc được chia sẻ trên VirusTotal (https://www.virustotal.com/gui/file/dc673d59a6a9df3d02e83fd03af80e117bea20954602ae416540870b1b3d13c4) tạm gọi tên PoohLoader. Phân tích cho thấy mẫu mã độc sử dụng kỹ thuật mới, lạm dụng tệp tin thực thi hợp pháp, là một phần tính năng trong Windows bao gồm Microsoft Application Virtualization Injector (MAVInject.exe) và Setup Factory nhằm thực thi các đoạn mã độc hại, lẩn tránh sự phát hiện và duy trì khả năng kiểm soát trên các hệ thống bị chiếm quyền điều khiển.

Các phân tích cho thấy trùng khớp với mẫu độc được đăng tải trên không gian mạng gần đây của TrendMicro. TrendMicro gán hoạt động tấn công sử dụng mẫu mã độc tới nhóm Earth Preta (hay còn biết đến là Mustang Panda), nhóm tấn công có chủ đích tập trung vào khu vực Asia-Pacific, các báo cáo gần đây trong năm 2024 mà Threat Intel NCS phát hiện, ghi nhận và tổng hợp trước đó cũng mô tả nhóm tấn công sử dụng các biến thể của mã độc PlugX nhắm đến các quốc gia tiêu biểu như Việt Nam, Đài Loan, Malaysia và một số quốc gia khác trong khu vực. Dựa theo tài liệu decoy trong mẫu mã độc, chiến dịch tấn công có thể nhắm tới quốc gia Thái Lan.

Phân tích

Tệp tin thu thập được có tên suf_launch.exe, bên trong bao gồm nhiều tệp tin được nén thông qua SetupFactory, một trình Installer Builder. Khi thực thi có nhiệm vụ drop (nhả) xuống nhiều tệp tin trong thư mục “ProgramData/session”, đáng chú ý như sau:

• Tệp tin decoy định dạng PDF nhắm đến người dùng tại quốc gia Thái Lan với nội dung liên quan đến dự án chống tội phạm.
• Tệp tin thực thi hợp pháp của Electronic Arts có tên OriginLegacyCLI.exe, được sử dụng nhằm thực thi DLL độc hại.
• Loader DLL độc hại EACore.DLL, phiên bản custom từ backdoor TONESHELL.

Bên trong DLL, các hàm export function đều được trỏ chung về một hàm độc hại sub_100034B8(). Bên trong hàm thực hiện kiểm tra việc thực thi của tiến trìnhekrn.exe và egui.exe, đây là 2 tiến trình của ứng dụng anti virus ESET

Nếu phát hiện máy nạn nhân có sử dụng ứng dụng của ESET, mã độc sẽ lấy địa chỉ của hàm export function DLLRegisterServer và thực thi thông qua regsvr32.exe.

Hàm export function DLLRegisterServer sẽ khởi chạy waitfor.exe và inject code độc hại vào tiến trình này thông qua MAVInject.exe với cú pháp

Mavinject.exe <Target PID> /INJECTRUNNING <Malicious DLL>

Trong trường hợp không tìm thấy các tiến trình của ứng dụng AV ESET, mã độc vẫn sẽ được triển khai thông qua Exception handler, inject trực tiếp code độc hại vào waitfor.exe thông qua 2 hàm API được triển khai trong code WriteProcessMemory và CreateRemoteThreadEx

Để giao tiếp với máy chủ C&C server, mã độc giải mã shellcode trong section .data thu được cấu hình www[.]militarytc[.]com port 443.

Bên cạnh các tính năng chính, mã độc cũng thực hiện truy xuất thông tin về ngôn ngữ của hệ thống và vị trí địa lý trên máy nạn nhân thông qua Windows registry và phát hiện môi trường ảo hóa (VM) thông qua các từ khóa liên quan.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – February 2025

Trong tháng 02, Microsoft đã phát hành các bản vá cho 57 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, Azure, Visual Studio, và Remote Desktop Services. Trong đó có 04 lỗ hổng được đánh giá mức độ Critical, 52 lỗ hổng được đánh giá là Important và 01 lỗ hổng được đánh giá là Moderate.

Các lỗ hổng nổi bật ghi nhận trong tháng:

STT	Mã CVE	Tên lỗ hổng	Thông tin chung	Mức độ cảnh báo
1	CVE-2025-21391	Windows Storage Elevation of Privilege Vulnerability	Tồn tại lỗ hổng leo thang đặc quyền trên Windows Storage. Khai thác thành công cho phép kẻ tấn công xóa các file mục tiêu trên hệ thống, có thể dẫn đến tình trạng service unavailable.	Important
2	CVE-2025-21418	Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability	Tồn tại lỗ hổng leo thang đặc quyền trên Windows Ancillary Function Driver for WinSock cho phép kẻ tấn công giành được đặc quyền SYSTEM.	Important
3	CVE-2025-21376	Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Windows Lightweight Directory Access Protocol (LDAP). Khai thác lỗ hổng yêu cầu kẻ tấn công giành được race condition. Kẻ tấn công khai thác lỗ hổng bằng cách gửi request độc hại đến LDAP server, khai thác lỗ hổng thành công có thể dẫn đến buffer overflow từ đó dẫn đến thực thi mã từ xa.	Critical
4	CVE-2025-21387	Microsoft Excel Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft Excel.	Important
5	CVE-2025-21400	Microsoft SharePoint Server Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server. Khai thác lỗ hổng yêu cầu client kết nối với máy chủ độc hại. Khai thác lỗ hổng thành công cho phép kẻ tấn công thực thi mã tùy ý.	Important

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

STT	Mã CVE	Tên lỗ hổng	Thông tin chung	Sản phẩm	Mức độ cảnh báo
1	CVE-2025-23114	Critical Veeam Vulnerability Exposes Backup Servers to Remote Code Execution	Tồn tại lỗ hổng trong thành phần Veeam Updater cho phép kẻ tấn công thực hiện các cuộc tấn công Man-in-the-Middle (MitM) để thực thi mã từ xa với đặc quyền root trên thiết bị bị ảnh hưởng.	Veeam Backup	Critical
2	CVE-2025-20125	Cisco ISE Authorization Bypass Vulnerability	Tồn tại lỗ hổng Authentication Bypass trong API của Cisco ISE cho phép kẻ tấn công thu thập các thông tin nhạy cảm, thay đổi cấu hình và khởi động lại node. Lỗ hổng này xảy ra do thiếu cơ chế authorization trong API và xác thực không đúng dữ liệu từ người dùng. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi crafted HTTP request đến API trên thiết bị. Khai thác lỗ hổng thành công cho phép kẻ tấn công thu thập thông tin, sửa đổi cấu hình hệ thống và reload lại thiết bị. Lưu ý: Để khai thác thành công lỗ hổng này, kẻ tấn công phải có thông tin xác thực read-only admin hợp lệ.	Cisco Identity Services Engine Software Cisco ISE Passive Identity Connector	Critical
3	CVE-2024-38657	Ivanti Connect Secure Vulnerability Allows Remote Code Execution	Tồn tại lỗ hổng trên Ivanti Connect Secure trước phiên bản 22.7R2.4 và Ivanti Policy Secure trước phiên bản 22.7R1.3 cho phép kẻ tấn công với đặc quyền admin ghi các tệp tùy ý. Khai thác lỗ hổng yêu cầu xác thực	Connect Secure & Policy Secure	Critical
4	CVE-2025-22467	A stack-based buffer overflow in Ivanti Connect Secure	Tồn tại lỗ hổng stack-based buffer overflow trên Ivanti Connect Secure trước phiên bản 22.7R2.6 cho phép kẻ tấn công thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực.	Connect Secure	Critical
5	CVE-2024-10644	Code injection in Ivanti Connect Secure and Ivanti Policy Secure	Tồn tại lỗ hổng code injection trên Ivanti Connect Secure trước phiên bản 22.7R2.4 và Ivanti Policy Secure trước phiên bản 22.7R1.3 cho phép kẻ tấn công với đặc quyền admin thực thi mã từ xa. Khai thác lỗ hổng yêu cầu xác thực.	Connect Secure & Policy Secure	Critical
6	CVE-2024-12058	Arbitrary file read vulnerabilities in Ivanti Connect Secure and Ivanti Policy Secure	Tồn tại lỗ hổng code injection trên Ivanti Connect Secure trước phiên bản 22.7R2.6 và Ivanti Policy Secure trước phiên bản 22.7R1.3 cho phép kẻ tấn công với đặc quyền admin đọc file tùy ý. Khai thác lỗ hổng yêu cầu xác thực.	Connect Secure & Policy Secure	Medium
7	CVE-2025-0108	PAN-OS: Authentication Bypass in the Management Web Interface	Tồn tại lỗ hổng bỏ qua xác thực trong Palo Alto Networks PAN-OS cho phép kẻ tấn công không cần xác thực có quyền truy cập vào Management Web Interface, bỏ qua cơ chế xác thực của PAN-OS Management Web Interface và gọi một số PHP script nhất định, ảnh hưởng tiêu cực đến tính toàn vẹn và tính bảo mật của PAN-OS	Palo Alto Networks PAN-OS	High

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 02/2025.

4.1      Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Chiến dịch triển khai mã độc BadIIS nhắm vào các quốc gia Châu Á trong đó có Việt Nam

Indicators of Compromise

SHA256

Backdoor.Win32.BADIIS.B325

8a49966eb90acc5c05a6bba523f1dd0d58127ab731d44c7304204fa02bf61186

bbf9d7dafba979ef9c1e8531a20d3bea1adcdbb628816ce8781d7eeb6292f265

33e5e5e773d1909004d4b38a0e4e3e97e46cbdb7b17f94b28fce2c9ad0a375d3

c732067b3d8763c248051366ab7beeae0d7fbe105884d4d3f8647e3427f36daf

59b416efff07208dc8b1c98a6f754e3abc14e55d71971ddc5581f6bc7ca45837

fe14c579308d356c64bd3be9365014de805a17abab8cb741e2817b8451a92f64

5d838c0dbf164b26c4c5dc20f96d3bf48a5f9fde88bbc1dd02c08007bb184d86

13f094d3eebe9d700360868006ac022a622ec606628adcc3782123d5092224d1

61913e0a38282a42b26aff578da17dab60ac0fbee819fa42db5497cc5cf55760

03bc0ddfa59cfa290c426396f1c5fff45bd2c3ef90152cafc7c662c075dfc7d8

f9017361349421728fc1ac1bc1549b3d23b35bd795f0a83be2e9e517bccaccdc

42906ac10d053eec10c05e2eeebcb06a7d6b307dc0d18083151dff3e0ac70022

a2a9dcdfc6f0aab577bc0f2750ff44050034c0f1c2f8b325a246f4dfe5f33219

bb9b0b20d239b2f5fe6da31fc2d13ec4ba6083238df68befd33d7521570d334e

08f965f640a3ec1c3aa9c31033455fad02550485d0d5b6fe33553d374775f18a

65967f471440449d2f1b615ff1338b8082b0481b617eda4d9f21a9f102b98859

c75a9a104e340473b72140127f3039a08f99a334887afc100d09cffa3c4c8e24

7b190719c3fb9c0bde074981adaf5b04356c9c48fa2fccdb334c4ae218f66fc0

2496bfe15e283affdfcd7f1de9134227671e2cddfb726b46829fa966abb9ac96

2ec893440e04de55bc6bbe4b1db76df532aa42d3140a15dc5365ef520a1d4247

9fbae4ed1de2b09af9a246a021f2a7fc8667492d459ac346eba6719509c41c5a

f1dcd2809a001a0d0ea3221939f7afd2ef9e5bf468709bd91abd70c902c42d45

7ccdd8966adf04ddd9b24dac0d1b8642968598a88ec3f5048b279843bffefb84

facfea68fe95fc81e3b6e04f79fbcba738c79b4de2d0238e4e5a8ba095a2516d

01577f5b0869154fb678bcf86eef50afceb5fc189c87b2085fe5fcdf74cd6ff0

a01ae86a356373f0d3e1b843f50243394308a96bd01978b33e4a91c0f0b19cce

a0bb95eafc9913633c7e27f0f1e6c81eb4c138a809c109ad3abae5fcc47c2cbd

a4906b40232726948f6a5357ad0ee9445512b422ae510d2ef08bd9cf516852bd

6edb1fd609c7e011cd42656af67baf5271d8212933a8c964604d138306b9565f

5b497b4205427198fc922c74cad8275b4256579f8bb5a1f1dbad7151630288a0

7321d599e777088356d7549e638b6b67fc43fc5c9f0c8846ee5aa7f47e35c2eb

ed3882a77cdc372f647e647b66979525a50054a580b43499ce5a97864d772730

24aafe0a2033e2e5ca231ebca0e3c56740754a97ca1f5062305e6b30222fc0ee

e09067e3e134e620b69117caf5bee54c1066b7259b74ddf2399afc64116690c9

e3197285c98965ca0522d3683c0d656e4ab1f8335ca322e1ae8c06b79dfd9b9c

1bb1187daff9610a0c142b48bc04d3e883344ca0eca8fe915d6a02fb3e7571ff

e927d6ea1fdc27c0ae9eb55254bbbd4f501f14ae02e499d7d20cdd83af479b20

df75b0b8ea1f75f0039c158c89e413ed6c4352309cc2cfa282afd1857676a88c

a35f810ed9ffd884d0599aa391d0043ad955e821f8144089116b15f01b8a932b

4091ddc3560fb60bd3ef071367fd833d67c3c6e3e81165aa3d93519b93959658

1cb60c7a121187978661b4bda84279f2324a5779b3f58bac11470a73fe544f6a

8fee015ae0e978e39af2cd1ca74b29202e702d296c110f3a7a90dfadce28d4a6

2e20ce7bc1e653737f05c910759fd2e420fe28f77f80a6d8e7c9346809e4dce7

12e4817abc69918b8556a4f18371c803db3d5191031cb56f835ec33cdb12f0d9

22cebb4f0fe6f4377e91b1e19204eff0f744d316b8c900377d8db4aa4f457801

cc67b50d746b23b9bc6fc12dde8c64d72c7f856521787b964598672d83525915

79b7fe6db452edd3077fb55906beea64c19087a19e5fb35211dd80975db74f9e

a68d83fd210b8ca21370a0f38da8fc0dd20b081e69beef911060924aa708a280

18939c40dd601550da9f07d8115f4b19bec422df4ada9358bac9bd9e9ac94e94

8ae43e6bd2cf0f8ced8f888226a4d6d06a7b03552e9af3d3cde35bb1d9724867

ffceed66dd9935c92ff7922bd5fdfde08e9a2ff78dd3a76dc65a200305779b9c

fec618c4f832d8a182fc1d3b9e58a0bff1a62241a1d17108e84ed1f0c4bb7845

6503770b34c53025793f1674af87d80a8f6ed44b5780490796012a2b771b8f84

e3c73f76f7b08ab6e223918a5b961201f60934ec95e5362529a42c1655395443

21a61777b0f725dd0dbdb2ecd0dd66e952012e94894e71c306059990c2afe377

3b8adf88b10e0c66d97b4909a17d4436a043ded5cf29c85ead22b58917e9ac7b

e8201b4a0f2619224e0720034dfc19a75f77582531bd98a2465a58bbf4a9f8c6

bf45c48b209e5004520b5d541e406c183bccb2fe81f3974c2c53be48017f74ca

02e98650e89146f0bddf29dd73165b9993d52f966d6194d375b6f0fcf737c38a

381dc36504e1b319fde9bbae0a580da9f239b8af8066638f9a4203e58dc16087

fbd3d1828592a2c1f154ebe2283643e24dee1db9f8989ce32e54b00d470a0096

521869f9ee6066c33fb1615cbcad66de157876bd08cec05597e4d3a0405efac8

eda7a7edc01392706a872a5a275940b4a4b9471dc562eb70128ee672872d1407

02dba6f34480eac1d27c83a4ff06e3ba03fc63fcf3067e0957375bfd182ed39b

8eb51f51eea27de8b976bdbcc84f4cf386256dfd9dc3702df8f839490699e173

89169f480810198a2cbb28fab15e0dfc8d1ee53981a9834cb84a84d077db3d17

6606d6e6424f7c25b922905095ba8cbff83357430bf1ef0ce0553a411fed1748

5d0b2015998a8a5a2a60ebdd2f3d6a398e533d198b9157c1558e6913330c24ba

e645ee394546db818350adfb2c55bffea78f405ac0ebb3fb1486e7d2f042c46f

0f7df7ac22957da6a793f641cda611c2c2a294355d4d19b29b6920853a012d98

b6844533bb887e870eb88fba88ed4d616ea8a9573b673faf927846c802f7817c

92e8076a59831156af5dc7058356cc0ad3dbd3c32cd84b08c3c8541ccc32d1c0

a383c13bbe949d0b6dff23e3243c7bbac1813d2ce9d99149cd5b984f051005d0

44bfb9f0e13dd72ed111b5b5600b80b305ab153a0ee2224957e76391b28ac037

3d331e6c5c1b22377b3b4aba9f71d65a10a77df6d8ee64c3a0d7d7de3d1f1565

Domain

chem-db[.]com

vnfll22[.]keeploong[.]com

se2[.]ggseocdn[.]com

se2[.]ggseocdn2[.]com

www[.]xxxx[.]vip

js[.]targetedtrafficcrew[.]com

all[.]targetedtrafficcrew[.]com

ll[.]olacityviet[.]com

798[.]toptopkm88[.]com

site[.]toptopkm88[.]com

link[.]toptoplm88[.]com

www[.]m2313[.]com

br[.]zmdesf[.]cn

br[.]ruicaisiwang[.]com

tz123[.]app

www[.]xiagao886[.]com

js[.]cloudflare[.]cyou

newth[.]googlecache[.]cc

newthmap[.]googlecache[.]cc

phpmap[.]googlecache[.]cc

vn6789sky[.]com

wailian[.]vn6789sky[.]com

sitemap[.]bet277[.]vip

sitemap1[.]bet277[.]vip

brcknkblue[.]com

wailian[.]brcknkblue[.]com

eglotanygfa[.]vip

wailian[.]eglotanygfa[.]vip

yyds[.]tmpdrsh[.]com

proxy[.]xxxx[.]com

tdk[.]798love[.]com

spider[.]xxxx[.]com

jumpsexxx[.]com

www[.]jumpiis8[.]com

six2fc[.]com

yitongmingde[.]com

qiqiguaiguai2[.]xyz

jsc[.]olacityviet[.]com

jsc[.]bet277[.]vip

lucky[.]668823[.]com

bb[.]vdfskis888[.]com

link[.]vdfskis888[.]com

ldy[.]vdfskis888[.]com

th[.]ntxx[.]cn

topck008[.]com

link[.]topck008[.]com

googleseo[.]life

bryyds[.]com

dk8[.]zone

dk8[.]land

668th[.]com

js[.]officefonts-clo[.]com

aafd[.]tv

vg9920[.]store

vn[.]coronavg99[.]com

coronavg99[.]xyz

s995[.]vip

zavinac[.]net

wailian[.]zavinac[.]net

89vq[.]me

tdkgpt[.]yyds6686[.]com

html[.]aafd[.]tv

IP

185[.]106[.]178[.]76

38[.]207[.]248[.]230

154[.]7[.]64[.]81

154[.]7[.]64[.]81

156[.]229[.]134[.]13

45[.]120[.]81[.]62

4.1.2       Stately Taurus triển khai mã độc Bookworm tấn công khu vực Đông Nam Á

Indicators of Compromise

Bookworm Samples

SHA256

cf61b7a9bdde2a39156d88f309f230a7d44e9feaf0359947e1f96e069eca4e86

fbc67446daaa0a0264ed7a252ab42413d6a43c2e5ab43437c2b3272daec85e81

5064b2a8fcfc58c18f53773411f41824b7f6c2675c1d531ffa109dc4f842119b

243b92959cd9aa03482f3398fbe81b4874c50a5945fe6b0c0abb432a33db853f

a0887fa90f88dd002b025a97b3a57e4fdb7f5fdd725490d96776f8626f528ef2

a2452456eb3a1a51116d9c2991aae3b0982acc1a9b30efee92a4f102dc4d2927

3e137da41cb509412ee230c6d7aac3d69361358b28c3a09ec851d3c0f3853326

fdad627a21a95ea2a6136c264c6a6cc2f0910a24881118b6eabc2d6509dc8dd7

ab54af1dbe6a82488db161a7f57cd74f2dd282a9522587f18313b4e9835dc558

3cef0b5f069cc1d15d36aa83d54d2a7be79b29b02081b6592dd4714639ad0a66

43de1831368e6420b90210e15f72cea9171478391e15efdd608ad22fe916cea8

2bae8b07f5098e1ca8fb5a5776eb874072ace4e19734cba4af4450eeccde7f89

a229a2943cf8d1b073574f0c050ca06392d0525b2028f4b4b04d1e4b40110c66

9192a1c1ab42186a46e08b914d66253440af2d2be6b497c34fe4b1770c3b5e01

4a92fa725adc57d7b501f33e87230a8291cf8ad22d4d3a830293abcc0ac10d12

da8ef50fe5e571d0143a758c7c66bb55653f1f2d04f16464fc857226441d79b2

f0df09513dcf292264b3336269952c7e9ff685df8180a2035bee9f3143b36609

Bookworm Modules

SHA256	Module
fa739724a4b6f7a766a2d7695d7da7b33a6ac834672c1b544dd555c93600a637	KBLogger.dll
fb25a69ffc18b79ee664462e0717cf5e70820948d5d2ca4c192fac8b1ede91c2	Network.dll
bbf12ee2cd71dbcf2948adf64f354ad7c69d6b6ff0b78ea76b3df2d02b08ed0f	Resolver.dll
dcc349a1b624f6b949f181a7dd859a82715b4d3b6c37c7e5be1b729cd8e6f01f	HTTP.dll
51bf329ba04a042789bad3b395092488a3d89130dc72818985cde11fb85f8389	WinINetwork.dll
d7dbfb2b755418842fea4fca5628f0b36bbd128a71ddcd858b4b3c67ba78f516	Digest.dll
6804b10aefe8fdb2b33ecf3bc5a93f49413ef66001b561e6fc121990d703d780	Digest.dll
72aa72a4a4bdb09146c587304c6639eae65900cb2ea26911540a77d1f9b7acf6	AES.dll
f7b024196ac50bd0f7ed362a532e83edf154bb60fcf24d0ab5297d0c6beaca0f	Leader.dll

Bookworm Infrastructure

www.fjke5oe[.]com

update.fjke5oe[.]com

www.i5y3dl[.]com

www.hbsanews[.]com

www.b8pjmgd6[.]com

www.zimbra[.]page

www.ggrdl4[.]com

www.gm4rys[.]com

Archives Related to PubLoad Using V6-winsp1-wuredir

SHA256	Filename	C2
b7e042d2accdf4a488c3cd46ccd95d6ad5b5a8be71b5d6d76b8046f17debaa18	analysis of the third meeting of ndsc.zip	123.253.32[.]15
41276827827b95c9b5a9fbd198b7cff2aef6f90f2b2b3ea84fadb69c55efa171	april 27 updated party list.zip	123.253.35[.]231
167a842b97d0434f20e0cd6cf73d07079255a743d26606b94fc785a0f3c6736e	notice re uec, (04-25-2023 day).zip	123.253.35[.]231
4fbfbf1cd2efaef1906f0bd2195281b77619b9948e829b4d53bf1f198ba81dc5	biography of senator the hon don farrell.zip	123.253.35[.]231
4e8717c9812318f8775a94fc2bffcf050eacfbc30ea25d0d3dcfe61b37fe34bb	analysisofthethirdmeetingofndsc.zip	123.253.32[.]15
98d6db9b86d713485eb376e156d9da585f7ac369816c4c6adb866d845ac9edc7	0228-2023.zip	123.253.35[.]231
a02766b3950dbb86a129384cf9060c11be551025a7f469e3811ea257a47907d5	national security priority programs.zip	123.253.35[.]231
4b6f0ae4abc6b73a68d9ee5ad9c0293baa4e7e94539ea43c0973677c0ee7f8cb	nsd.zip	123.253.32[.]15
eb176117650d6a2d38ff435238c5e2a6d0f0bb2a9e24efed438a33d8a2e7a1ea	SAC has some instructional requirements for the general election(2).zip	123.253.35[.]231

 

4.1.3       Các hoạt động tấn công mở rộng tấn công gián điệp sang ransomware liên quan đến mã độc PlugX

Indicators of Compromise

Tệp tin

SHA-1

240cae531097f0456238136a938e437310a046be

4cb160f06b49188a095c244f015a92bb73b6147e

5c7d9e1341e35e654919eef5d889021005b99f0b

91fae1d8afaa19794c6dd3055272a76dfac0e378

SHA256

18127cfd08cc49be08714d29e09ec130dcc0b19b7fcddc22c71d28fd245eb1b1

e177eb358f93ccc1ac4694feb0139e82c62d767388872d359d7c2ed0a05c2726

2707612939677e8ea4709ecb4f45953d4a136a9934b6d0c256917383cdaef813

38a26fffbab5297e4229897654d2f67c6ee52b316c7ac4d4a1493d187b49ec25

Domain

plugins.jetbrians[.]net

police.tracksyscloud[.]com

caco.blueskyanalytics[.]net

mdconverter[.]com

eppautomoveis[.]pt

scc[.]cx

relivonline[.]com

ymem[.]site

IP

158.247.213[.]167

154.223.18[.]123

3.21.244[.]228

161.97.107[.]93

207.246.106[.]38

103.107.104[.]61

167.179.100[.]144

4.1.4       Salt Typhoon – Chiến dịch tấn công vào các thiết bị Cisco

Indicator of Compromise

Cơ sở hạ tầng của nhóm tấn công

74.48.78[.]66

74.48.84[.]119

Compromised Cisco Devices

49.231.3[.]204

58.137.234[.]134

41.24.62[.]170

83.149.176[.]82

41.24.45[.]41

66.212.133[.]62

64.71.160[.]201

4.1.5       Chiến dịch tấn công thông qua ViewState Code Injection

Indicators of Compromises

Indicator	Type	Description	First seen	Last seen
19d87910d1a7ad9632161fd9dd6a54c8a059a64fc5f5a41cf5055cd37ec0499d	SHA-256	Godzilla post-exploitation framework	2024-12-11	2024-12-19

4.1.6       Các hoạt động tấn công nhắm tới tổ chức viễn thông tại Nam Á

Indicator of Compromise (IoC)

Tệp tin độc hại

SHA256

525540eac2d90c94dd3352c7dd624720ff2119082807e2670785aed77746301d

af0baf0a9142973a3b2a6c8813a3b4096e516188a48f7fd26ecc8299bce508e1

3503d6ccb9f49e1b1cb83844d1b05ae3cf7621dfec8dc115a40abb9ec61b00bb

0f85b67f0c4ca0e7a80df8567265b3fa9f44f2ad6ae09a7c9b7fac2ca24e62a8

c5af6fd69b75507c1ea339940705eaf61deadd9c3573d2dec5324c61e77e6098

8dfc107662f22cff20d19e0aba76fcd181657255078a78fb1be3d3a54d0c3d46

336892ff8f07e34d18344f4245406e001f1faa779b3f10fd143108d6f30ebb8a

35da93d03485b07a8387e46d1ce683a81ae040e6de5bb1a411feb6492a0f8435

a09179dec5788a7eee0571f2409e23df57a63c1c62e4b33f2af068351e5d9e2d

edc9222aece9098ad636af351dd896ffee3360e487fda658062a9722edf02185

Domain

sentinelones[.]com

mail.tttseo[.]com

h5.nasa6[.]com
test.nulq5r.ceye[.]io
web.nginxui[.]cc

IP

154.201.68[.]57

43.247.135[.]106
38.54.30[.]117
38.54.56[.]88
65.20.69[.]103
52.77.234[.]115
192.227.180[.]124
107.174.39[.]125
18.183.94[.]114
206.237.0[.]49

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Các cách thức mới nhằm triển khai mã độc

Indicator of Compromise (IoC)

Domains

www[.]militarytc[.]com

Tệp tin độc hại

SHA-1

F13B194D259E75E3622BE6158FE35E26A34A8D8D

6803BD649947EBA052A1FB56AB9EE5BF29F6B421

463818F753A51EFA4C20666F70DED1F71277D734