Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs
1 CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS
Trong tháng 04/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:
| STT | Tên chiến dịch | Mô tả |
| 1 | Các hoạt động tấn công liên quan đến nhóm Storm-2077 | – Mục tiêu tới các tổ chức chính phủ và tư nhân có uy tín trên toàn cầu
– Công cụ/ cách thức tấn công: mã độc CobaltStrike và opensource Pantegana |
| 2 | Các hoạt động tấn công của nhóm Billbug nhắm tới các quốc gia tại Đông Nam Á | – Phạm vi/khu vực: Đông Nam Á
– Công cụ/ cách thức tấn công: sử dụng biến thể mới của mã độc Sagerunex Backdoor, sử dụng các DLL SideLoading, lạm dụng các phần mềm hợp pháp từ Trend Micro và Bitdefender để tải các loader độc hại nhằm triển khai các payload đã được mã hóa |
| 3 | Nhóm tấn công sử dụng các webshell trong quá trình tấn công vào đơn vị thuộc lĩnh vực viễn thông ở Châu Á | – Phạm vi/ khu vực: châu Á
– Công cụ/cách thức tấn công: triển khai các webshell, triển khai memshell có tên INMemory, sử dụng kỹ thuật patching Event Tracing for Windows (ETW), sử dụng Invoke-SharpView |
| 4 | UNC5221 thực hiện khai thác lỗ hổng trên sản phẩm Ivanti | – Công cụ/ cách thức tấn công: khai thác lỗ hổng stack-based buffer overflow trên Ivanti Connect Secure CVE-2025-22457. Ngoài ra, triển khai 2 mã độc TRAILBLAZE, BRUSHFIRE thông qua drop shell, triển khai SPAWN malware |
| 5 | Earth Alux nhắm mục tiêu vào khu vực Châu Á – Thái Bình Dương và Mỹ Latinh | – Mục tiêu: lĩnh vực chính phủ, công nghệ, hậu cần, sản xuất, viễn thông, dịch vụ CNTT và bán lẻ.
– Phạm vi/ khu vực: Châu Á – Thái Bình Dương và Mỹ Latinh – Công cụ/ cách thức tấn công: web shell GODZILLA, backdoor COBEACON và VARGEIT |
Thông tin chi tiết các chiến dịch:
1.1 Các hoạt động tấn công liên quan đến nhóm Storm-2077
Threat Intel NCS tiếp tục theo dõi và ghi nhận các hoạt động tấn công mới của nhóm tấn công Storm-2077 (hay TAG-100 theo Recorded Future), nhóm tấn công được cho liên quan tới Trung Quốc. Nhắm mục tiêu tới các tổ chức chính phủ và tư nhân có uy tín trên toàn cầu sử dụng mã độc CobaltStrike và opensource Pantegana. Một số tổ chức tại Việt Nam từng ghi nhận là nạn nhân của nhóm tấn công.
Các hoạt động tấn công trước đó đã từng Threat Intel NCS tổng hợp cũng như chia sẻ, các nội dung chính ở các báo cáo trước đó như sau:
- Tháng 7/2024: Threat Intel NCS ghi nhận các hoạt động tấn công của nhóm Storm-2077 nhắm mục tiêu vào ít nhất 10 quốc gia trong đó có Việt Nam, các vùng lãnh thổ khác bao gồm Châu Phi, Châu Á, Bắc Mỹ, Nam Mỹ và Châu Đại Dương. Với vector khởi tạo truy cập thông qua việc khai thác các lỗ hổng bảo mật trên các ứng dụng, dịch vụ facing ra môi trường internet bao gồm Citrix NetScaler ADC và Gateway appliances, F5 BIG-IP, Zimbra Collaboration Suite, Microsoft Exchange, SonicWall, Cisco Adaptive Security Appliances (ASA), Palo Alto Networks GlobalProtect và Fortinet FortiGate từ đó triển khai các mã độc Pantegana và SparkRAT. Các ghi nhận này cũng được tổng hợp trong báo được công bố bởi Recorded Future, theo dõi nhóm tấn công dưới tên TAG-100.
- Tháng 8/2024: dựa trên TLS certificate đặc trưng, Threat Intel NCS tiếp tục ghi nhận các cơ sở hạ tầng mới có thể liên quan đến nhóm tấn công. Đồng thời xác định thêm các nạn nhân nghi ngờ bị tấn công bao gồm Mông Cổ, Philippines, Nam Phi và công ty tại Đài Loan sử dụng mã độc Pategana.
- Tháng 2/2025: Threat Intel NCS ghi nhận 2 mẫu mã độc (loader) được viết bằng ngôn ngữ Golang có nhiệm vụ triển khai SparkRAT, được tải xuống dưới định dạng zip từ đường dẫn hxxps[:]//download[.]offiec[.]us[.]kg/VMware-PatchTools.zip.
Phân tích
Dựa theo đường dẫn lưu trữ file mã độc hxxps[:]//download[.]offiec[.]us[.]kg/VMware-PatchTools.zip. Kiểm tra thêm về sub domain offiec[.]us[.]kg, ghi nhận thấy có nhiều subdomain nghi ngờ khác đều có cùng TLS, cho thấy các subdomain này đều có thể được đăng ký bởi cùng 1 người. Ngoài ra, các subdomain này đều trỏ về cùng 2 địa chỉ cloudflare 104.21.43[.]175 và 172.67.182[.]163
citrix[.]offiec[.]us[.]kg
cna[.]offiec[.]us[.]kg
download[.]offiec[.]us[.]kg
login[.]offiec[.]us[.]kg
test[.]offiec[.]us[.]kg
vpn[.]offiec[.]us[.]kg
vpn1[.]offiec[.]us[.]kg
Mã độc
Trong số các subdomain mô tả ở trên, Threat Intel NCS phát hiện tài liệu Word độc hại có tên muban_20240814005545.docx được tải xuống tại đường dẫn hxxps://login[.]office[.]us[.]kg/ms-help.html. Mã độc khai thác lỗ hổng thực thi mã từ xa đã biết CVE-2022-3019 (Follina) trong Microsoft Windows Support Diagnostic Tool (MSDT).
Indicators of Compromise
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.2 Các hoạt động tấn công của nhóm Billbug nhắm tới các quốc gia tại Đông Nam Á
Threat Intel NCS ghi nhận các hoạt động của nhóm tấn công được chia sẻ trên không gian mạng liên quan đến nhóm tấn công Billbug, hay (Lotus Blossom, Lotus Panda, Bronze Elgin) được cho liên quan đến từ Trung Quốc hậu thuẫn (một nhóm có hoạt động trùng lặp với Lotus Panda), có chiến dịch gián điệp rộng khắp từ tháng 8 năm 2024 đến tháng 2 năm 2025, nhắm vào các tổ chức ở Đông Nam Á.
Theo báo cáo ngày 22 tháng 4 năm 2025 của Broadcom, Billbug đã nhắm vào một bộ của chính phủ, một tổ chức kiểm soát không lưu, một nhà điều hành viễn thông, một công ty xây dựng trong một quốc gia, một hãng thông tấn và một công ty vận tải hàng không ở các quốc gia lân cận.
Billbug sử dụng biến thể mới của mã độc Sagerunex Backdoor trong quá trình tấn công cùng với một số công cụ tự phát triển trong quá trình tấn công như:
- ChromeKatz: Đánh cắp thông tin xác thực và cookie lưu trữ trên trình duyệt Chrome
- CredentialKatz: Đánh cắp thông tin xác thực trong trình duyệt Chrome
- Reverse SSH Tool: Lắng nghe các kết nối SSH trên port 22
Ngoài ra nhóm tấn công cũng sử dụng các DLL SideLoading, lạm dụng các phần mềm hợp pháp từ Bitdefender và môt số hãng khác để tải các loader độc hại nhằm triển khai các payload đã được mã hóa. Công cụ nguồn mở như Zrok để truy cập từ xa và công cụ datechanger.exe để thay đổi thời gian của tệp tin.
Indicators of Compromise
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.3 Nhóm tấn công sử dụng các webshell trong quá trình tấn công vào đơn vị thuộc lĩnh vực viễn thông ở Châu Á
Threat Intel NCS ghi nhận các hoạt động tấn công của nhóm Weaver Ant trên không gian mạng, tiến hành các chiến dịch tấn công vào các hệ thống máy chủ của một đơn vị cung cấp dịch vụ viễn thông tại châu Á, các máy chủ chạy ứng dụng facing ra môi trường Internet. Theo báo cáo được công bố bởi Sygnia, nhóm tấn công đã duy trì quyền truy cập vào hệ thống mạng viễn thông trong hơn 4 năm.
Nhóm tấn công triển khai các webshell, là các biến thể của China Chopper webshell mã hóa theo thuật toán AES, cho phép thực thi mã trong bộ nhớ bằng các phương pháp như Assembly.Load() và JScriptEvaluate nhằm thực thi các payload trong bộ nhớ thay vì ghi ra đĩa (disk). Để lẩn tránh phát hiện, nhóm tấn công cũng triển khai memshell có tên INMemory, thực hiện giải mã Base64 payload thu được PE file có tên eval.dll và thực thi trong bộ nhớ.
Cho mục đích duy trì tính bền bỉ (persistence) thông qua HTTP tunnel, webshell tunnel và proxy chaining. Ngoài ra nhóm tấn công cũng sử dụng kỹ thuật patching Event Tracing for Windows (ETW) nhằm bypass tính năng AMSI nhằm thực thi các PowerShell độc hại thông qua mô-đun System.Management.Automation.dll.
Để thu thập thông tin tấn công sang các hệ thống khác, nhóm tấn công sử dụng Invoke-SharpView, thu thập thông tin từ môi trường Active Directory và xác định các đối tượng có giá trị. Sử dụng Invoke-SMBClient với các tài khoản xác thực đã chiếm đoạt được trước đó, bao gồm cả các tài khoản trong file cấu hình của ứng dụng web để tấn công sang các hệ thống khác
Indicators of Compromise
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.4 UNC5221 thực hiện khai thác lỗ hổng trên sản phẩm Ivanti
NCS Threat Intel theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến chiến dịch do UNC5221 thực hiện nhằm khai thác lỗ hổng stack-based buffer overflow trên Ivanti Connect Secure CVE-2025-22457. Trước đây, UNC5221 đã từng được phát hiện tiến hành khai thác lỗ hổng zero-day trên các thiết bị của Netscaler từ năm 2023.
Sau khi khai thác lỗ hổng thành công kẻ tấn công triển khai 2 mã độc TRAILBLAZE, BRUSHFIRE thông qua drop shell. Ngoài ra, các nhà nghiên cứu Mandiant ghi nhận kẻ tấn công triển khai SPAWN malware. Nhằm trốn tránh phát hiện kẻ tấn công tiến hành sửa đổi Integrity Checker Tool (ICT). Khai thác thành công lỗ hổng CVE-2025-22457, kẻ tấn công sử dụng shell để thực thi TRAILBLAZE dropper – một dropper chỉ hoạt động trong bộ nhớ và được viết bằng C. Mục đích chính của TRAILBLAZE là tiêm BRUSHFIRE backdoor vào một tiến trình đang chạy trên hệ thống /home/bin/web. TRAILBLAZE sẽ tìm một tiến trình /home/bin/web, đồng thời tiến trình này là tiến trình con của một tiến trình /home/bin/web khác. Sau đó thực hiện tạo các file:
/tmp/.p: PID (Process ID) của tiến trình /home/bin/web
/tmp/.m: Chứa memory map của tiến trình
/tmp/.w: Chứa base address của web binary trong bộ nhớ.
/tmp/.s: Chứa base address của libssl.so
/tmp/.r: Chứa BRUSHFIRE backdoor
/tmp/.i: Chứa TRAILBLAZE dropper
Tiếp theo, shell script thực thi /tmp/.i, sau khi thực thi xong sẽ xóa tất cả các tệp tạm (trừ /tmp/.p), xóa toàn bộ nội dung thư mục /data/var/cores, kill toàn bộ tiến trình con của tiến trình /home/bin/web và xóa file /tmp/.p
Indicators of Compromise
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.5 Earth Alux nhắm mục tiêu vào khu vực Châu Á – Thái Bình Dương và Mỹ Latinh
NCS Threat Intel theo dõi và ghi nhận bài đăng trên không gian mạng liên quan đến nhóm tấn công Earth Alux nhắm mục tiêu vào lĩnh vực chính phủ, công nghệ, hậu cần, sản xuất, viễn thông, dịch vụ CNTT và bán lẻ khu vực Châu Á – Thái Bình Dương và Mỹ Latinh.
Để truy cập ban đầu vào hệ thống, kẻ tấn công khai thác các dịch vụ chứa lỗ hổng trên các máy chủ. Sau khi chiếm quyền kiểm soát, thực hiện cài web shell GODZILLA nhằm duy trì và triển khai các backdoor. Các backdoor được sử dụng là COBEACON và VARGEIT để duy trì quyền kiểm soát.
Ở giai đoạn đầu, VARGEIT được triển khai thông qua một script debugger sử dụng công cụ cdb.exe, một công cụ hợp pháp dùng để gỡ lỗi ứng dụng. Sau đó trong các giai đoạn tiếp theo, VARGEIT được triển khai thông qua kỹ thuật DLL sideloading, kết hợp với công cụ RAILLOAD (loader component) và RAILSETTER (installation and timestomping tool) nhằm thay đổi thời gian sửa đổi tập tin tránh bị phát hiện. Ngoài ra, Earth Alux còn sử dụng các cơ chế execution guardrails nhằm đảm bảo backdoor chỉ hoạt động trong môi trường cụ thể.
Indicators of Compromise
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
2 MALWARE
Tháng 04/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về các mẫu mã độc sau:
| STT | Tiêu đề | Mô tả |
|
1 |
Mustang Panda sử dụng các mẫu mã độc nhắm vào tổ chức khu vực Đông Nam Á | Threat Intel NCS ghi nhận các mẫu mã độc được chia sẻ trên không gian mạng được sử dụng để tấn công vào tổ chức ở khu vực Đông Nam Á. |
2.1 Mustang Panda sử dụng các mẫu mã độc nhắm vào tổ chức khu vực Đông Nam Á
Gần đây, Threat Intel NCS cũng ghi nhận các phân tích về các mẫu mã độc được chia sẻ trên không gian mạng được cho liên quan đến nhóm tấn công MustangPanda, phát hiện trên các nạn nhân ở Myanmar. Các điểm chính được mô tả trước khi đi vào chi tiết phân tích từng mẫu như sau:
– Kết quả phân tích phát hiện biến thể mới của ToneShell, backdoor thường được nhóm tấn công MustangPanda sử dụng và công cụ có tên StartProxy, được sử dụng để chuyển tiếp các lưu lượng truy cập.
– Các mẫu mã độc PAKLOG và CorKLOG là những mã độc keylogger, có nhiệm vụ theo dõi các thao tác trên bàn phím và clipboard, mã hóa và lưu vào các tệp tin nằm ở cục bộ, mã độc không có tính năng tự đánh cắp dữ liệu ra bên ngoài
– Phát hiện mẫu mã độc là driver có nhiệm lẩn tránh sự phát hiện liên quan đến Windows Defender và Kaspersky.
Chi tiết phân tích
ToneShell
ToneShell hoạt động với các tính năng chính như là một backdoor, với 3 mẫu thu thập được trong đó 2 mẫu được nén trong định dạng rar và lưu trữ trên máy chủ của MustangPanda quản lý, mẫu còn lại được nén trong định dạng ZIP được lưu trữ trên máy chủ của một bên thứ 3. Thông tin các tính năng với mỗi biến thể như sau:
| ToneShell variant | Archive | Executable | DLL |
| 1 | cf.rar | mrender.exe | libcef.dll |
| 2 | ru.zip | FastVD.exe | LogMeIn.dll |
| 3 | zz.rar | gpgconf.exe | libgcrypt-20.dll |
Thuật toán sinh số ngẫu nhiên thông qua giá trị seed (Seed generation) với mỗi biến thể sẽ có cách thức khác nhau. Việc sinh số ngẫu nhiên được sử dụng để tạo GUID hoặc tạo khó XOR trong quá trình trao đổi giữa máy nạn nhân và C2
| Biến thể 1 | Sử dụng GetTickCount và cùng với một giá trị hằng số |
| Biến thể 2 | Sử dụng GetTickCount 2 lần và tính toán các giá trị trả về với nhau |
| Biến thể 3 | Chuyển đổi thời gian từ FileTime sang định dạng Unix theo công thức seed = (*(_QWORD *)&SystemTimeAsFileTime – 116444736000000000i64) / 10000000; |
Để xác định máy nạn nhân bị lây nhiễm, mã độc sẽ tạo ra một giá trị GUID, mỗi biến thể cũng sẽ tạo theo các cách khác nhau
| Biến thể 1 | Sử dụng CoCreateGuid để tạo 16bytes GUID, nếu không thành công các byte ngẫu nhiên sẽ được tạo thông qua thuật toán sinh số giả ngẫu nhiên LCG (linear congruential generator).
16 bytes GUID sẽ được ghi vào tệp tin tại đường dẫn C:\Users\public\description.ini. |
| Biến thể 2 | Tương tự như bước 1 ở biến thể 1, giá trị sau khi tạo sẽ được hashes thông qua thuật toán custom để sinh ra chuỗi 32bit.
Giá trị hash 32bit này sẽ được ghi vào tệp tin tại đường dẫn C:\ProgramData\bcryptprimitive.appcore.tbi. |
| Biến thể 3 | Sử dụng CoCreateGuid để tạo 16bytes GUID, nếu không thành công các byte ngẫu nhiên sẽ được tạo thông qua hàm rand().
Tạo ngẫu nhiên một giá trị lên tới 64KB thông qua custom LCG. Thêm các giá trị ngẫu nhiên vào mảng sử dụng hàm rand(). Ghi thông tin độ dài mảng, GUID và mảng nguẫ nhiên vào tệp tin tại đường dẫn %temp%\cryption_event.ini |
Trong quá trình giao tiếp với C2, mã độc sử dụng thuật toán XOR để mã hóa cũng như giải mã các lưu lượng. Khóa XOR được tạo thông qua thuật toán LCG cùng với seed như mô tả ở các đầu mục trước đó. Kích thước sẽ khác nhau tùy thuộc vào từng biến thể
| Biến thể 1 | Kích thước khóa 0x100 byte |
| Biến thể 2 | Kích thước khóa 0x100 byte |
| Biến thể 3 | Kích thước khóa 0x200 byte |
Function chính trong ToneShell là Fake TLS header, bắt chước lại quá trình trao đổi của giao thức TLS với các byte được định nghĩa như 0x17 0x03 0x03, tương ứng với TLSv1.2 hay 0x17 0x03 0x04, để giả mạo TLSv1.3. Như ở biến thể 2, việc gửi các beacon sử dụng TLSv1.3 trong khi các phản hồi từ máy chủ C2 lại là TLSv.1.2
Với gửi nhận lệnh, mã độc tiếp tục sử dụng lại các giao thức tùy chỉnh dựa trên giao thức TCP với nhiều lệnh cho phép tạo tệp tin, ghi các byte, tạo reverse shell, inject DLL vào tiến trình được chỉ định (mặc định là svchost.exe)
StarProxy
Công cụ sử dụng để truy cập vào hệ thống bên trong nội bộ, không thể truy cập ra ngoài Internet. Cho phép tạo máy bị lây nhiễm hoạt động như một proxy đứng giữa, chuyển tiếp các lưu lượng dữ liệu, sử dụng TCP sockets để giao tiếp đồng thời vẫn sử dụng FakeTLS, nhằm lẩn tránh sự phát hiện
PAKLOG
Paklog là một keylogger sử dụng các Windows APIs nhằm theo dõi các theo tác với bàn phím và clipboard, dữ liệu sẽ được mã hóa và ghi vào tệp tin trên máy nạn nhân. Không có các tính năng đánh cắp dữ liệu ra bên ngoài
Mã độc được phân phối thông qua tệp tin nén định dạng rar có tên key.rar bên trong tồn tại 2 tệp tin bao gồm tệp tin hợp pháp có chữ ký – PACLOUD.exe và DLL độc hại pa_lang2.dll. DLL thực hiện các chức năng độc hại trong hàm export function ASH_LANG2_add:
– Thiết lập các tính năng liên quan đến Keylog sử dụng hàm Windows API SetWindowsHookExW với biến idHook thiết lập WH_KEYBOARD_L và hàm hook tự phát triển
– Lưu lại các dữ liệu: Lưu lại thông tin theo định dạng <timestamp> <window_text> <process_full_path>
– Key Mapping: Ánh xạ tới các chuỗi ký tự mà người dùng bấm
Ngoài tính năng keylog, Paklog có thể sử dụng để theo dõi các hoạt động của clipboard và truy xuất các nội dung trong clipboard. Khi người dùng sử theo tác với tổ hợp phím Ctrl + V, mã độc sẽ chặn yêu cầu, truy xuất dữ liệu clipboard và sao chép. Dữ liệu từ các lần nhấn phím và clipboard đều được mã hóa và lưu vào tệp: C:\\Users\\Public\\Libraries\\record.txt.
Để mã hóa dữ liệu, mã độc sử dụng cơ chế khá đơn giản theo 2 công thức sau lần lượt với các ký tự hoa và thường
new_char_code = (orig_char_code – 0x3e % 0x1a) + 0x41
new_char_code = (orig_char_code – 0x5e % 0x1a) + 0x61
CorKLOG
CorkLOG là một keylogger khác được thiết kế để ghi lại các lần nhấn phím, lưu trữ dữ liệu đã ghi lại trong một tệp được mã hóa bằng khóa RC4. Mã độc cũng được phân phối tương tự PAKLOG thông qua tệp tin nén định dạng rar, bên trong cũng chứa 1 tệp tin thực thi hợp pháp và 1 DLL độc hại.
Tùy thuộc vào đặc quyền, keylogger sẽ triển khai theo 2 hình thức nhằm thiết lập tính bền bỉ (persistence) trên hệ thống. Nếu đang được chạy với đặc quyền admin, mã độc sẽ triển khai dưới dạng service. Phương thức thứ 2 thông qua cấu hình lập lịch có tên TabletlnputServices, chạy định kỳ mỗi 10 phút theo câu lệnh sau:
schtasks /create /tn TabletlnputServices /tr <FILENAME> /sc minute /mo 10 /f
Dữ liệu thu thập sẽ được mã hóa bằng thuật toán RC4 với khóa “fkpioefpoea$@^Tf0-0-gepwf09IJGEJ0IFAPKO456SG894E” trước khi ghi vào file trên đĩa
SplatDropper
Được sử dụng để triển khai SplatCloak, cũng được phân phối thông qua tệp tin nén định dạng RAR với 2 tệp tin .exe và DLL. Dropper thực hiện các nhiệm vụ sau:
– Resolves Windows APIs
– Giải mã SplatCloak bằng thuật toán XOR 1 byte và ghi vào đĩa
– Khởi tạo Windows Service nhằm thực thi SplatCloak
– Đợi 5s sau khi SplatCloak được khởi chạy sau đó dừng dịch vụ và xóa bỏ toàn các thiết lập của service cũng như SplatCloak.
Các Windows API trong được dropper resolves thông qua các thuật toán tạo hash với phương pháp giống như trong tonepipeshell và tonepipeshell_alt đã biết, chỉ khác về giá trị seed là 131313 thay vì các giá trị đã được biết trước đó là 13131313 và 1313131313 (https://github.com/OALabs/hashdb/blob/main/algorithms/tonepipeshell_alt.py)
SplatCloak
Mã độc được triển khai thông qua SplatDropper, mã độc là kernel driver, được load thông qua việc lạm dụng việc Windows cho phép các driver với các certificate đã bị thu hồi vẫn có thể được load trong hệ thống với mục đích duy nhất là xác định và vô hiệu hóa hoặc xóa bỏ các cơ chế theo dõi và phản hồi các sự kiện (notification hook và callback) liên quan đến Windows Defender và Kaspersky.
Khác với dropper, mã độc sử dụng các API thông qua việc truy xuất cấu trúc của SYSTEM_MODULE_INFORMATION từ đó tìm được base address của ntoskrnl.exe, phân tích cấu trúc của PE file để tìm địa chỉ của hàm MmGetSystemRoutineAddress. Hàm API này giúp resolve được nhiều hàm Windows API mà kernel hay sử dụng. Phiên bản Windows sẽ được truy xuất thông tin đồng thời xác định các driver mà Windows Defender sử dụng bằng việc kiểm tra các file .sys trước khi quyết định việc hủy đăng ký hoặc vô hiệu hóa các callback. Đối với Kaspersky, mã độc sẽ theo dõi các callback hoặc notification trong hệ thống để tìm các tệp tin liên quan. Sau khi xác định chính xác tệp tin, mã độc sẽ ánh xạ các binary vào bộ nhớ và phân tích cấu trúc từ đó tìm ra các chứng chỉ hoặc các bytes liên quan đến từ khóa kaspersky. Các callback hoặc notifications liên quan đến Kaspersky hoặc các driver liên kết với Windows Defender sẽ đều bị xóa bỏ, ngoại trừ PsProcessType and PsThreadType sẽ được giữ lại
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
3 LỖ HỔNG BẢO MẬT
3.1 Microsoft Patch Tuesday – April 2025
Trong tháng 04, Microsoft đã phát hành các bản vá cho 124 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, Azure, .NET và Visual Studio, BitLocker, Kerberos, Windows Hello, OpenSSH, và Windows Lightweight Directory Access Protocol (LDAP). Trong đó có 11 lỗ hổng được đánh giá mức độ Critical, 111 lỗ hổng được đánh giá là Important, 2 lỗ hổng được đánh giá mức độ Low.
Các lỗ hổng nổi bật ghi nhận trong tháng:
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Mức độ cảnh báo |
| 1 | CVE-2025-29824 | Windows Common Log File System Driver Elevation of Privilege Vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver cho phép kẻ tấn công giành được đặc quyền SYSTEM trên hệ thống bị ảnh hưởng. | Important |
| 2 | CVE-2025-26663 /
CVE-2025-26670 |
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability | Tồn tại lỗ hổng trên Windows Lightweight Directory Access Protocol (LDAP) cho phép kẻ tấn công không cần xác thực thực thi mã từ xa bằng cách gửi các request được tạo đặc biệt đến LDAP server. Khai thác lỗ hổng yêu cầu kẻ tấn công giành được race condition | Critical |
| 3 | CVE-2025-27480/
CVE-2025-27482 |
Windows Remote Desktop Services Remote Code Execution Vulnerability | Tồn tại lỗ hổng trên Windows Remote Desktop Services cho phép kẻ tấn công thực thi mã từ xa. Kẻ tấn công khai thác lỗ hổng bằng cách kết nối đến hệ thống có role Remote Desktop Gateway, trigger race condition để tạo tình huống use-after-free. Khai thác lỗ hổng yêu cầu kẻ tấn công giành được race condition. | Critical |
| 4 | CVE-2025-29809 | Windows Kerberos Security Feature Bypass Vulnerability | Tồn tại lỗ hổng vượt qua cơ chế bảo mật trên Windows Kerberos cho phép kẻ tấn công vượt qua cơ chế Windows Defender Credential Guard dẫn đến lộ lọt thông tin xác thực Kerberos. | Important |
| 5 | CVE-2025-29794 | Microsoft SharePoint Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner. | Important |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Sản phẩm | Mức độ cảnh báo |
| 1 | CVE-2025-20236 | Cisco Webex App Client-Side Remote Code Execution Vulnerability | Tồn tại lỗ hổng trong Cisco Webex App trong quá trình xử lý các đường dẫn mời họp (meeting invite link), kẻ tấn công khai thác lỗ hổng bằng cách lừa người dùng truy cập vào đường dẫn nhằm tải xuống tệp tin độc hại. Khai thác thành công cho phép kẻ tấn công thực thi mã tùy ý. | Cisco Webex App | High |
| 2 | CVE-2025-20178 | Cisco Secure Network Analytics Privilege Escalation Vulnerability | Tồn tại lỗ hổng do việc kiểm tra tính toàn vẹn trong quá trình sao lưu thiết bị. Khai thác thành công cho phép kẻ tấn công có được quyền truy cập shell trên hệ điều hành với đặc quyền root. | Secure Network Analytics | Medium |
| 3 | CVE-2025-22231 | VMware Aria Operations updates address a local privilege escalation vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trên VMware Aria Operations cho phép kẻ tấn công leo thang lên đặc quyền lên root | VMware Aria Operations
VMware Cloud Foundation VMware Telco Cloud Platform VMware Telco Cloud Infrastructure |
High |
| 4 | CVE-2025-31334 | WinRAR vulnerable to the symbolic link based “Mark of the Web” check bypass | Tồn tại lỗ hổng trên WinRAR phiên bản trước 7.11 cho phép kẻ tấn công bỏ qua cảnh báo bảo mật Mark of the Web (MotW) khi mở symbolic link trỏ đến tệp thực thi, từ đó thực thi mã tùy ý trên hệ thống bị ảnh hưởng. | WinRAR | Medium |
| 5 | CVE-2025-22230 | VMware Tools for Windows update addresses an authentication bypass vulnerability | Tồn tại lỗ hổng bỏ qua cơ chế xác thực trong VMware Tools trên Windows do kiểm soát truy cập không đúng cách, cho phép kẻ tấn công với đặc quyền non-administrative thực hiện một số hành động yêu cầu đặc quyền cao trên máy ảo | VMware Tools for Windows | High |
| 6 | CVE-2024-56346 | AIX is vulnerable to arbitrary command execution | Tồn tại lỗ hổng trong dịch vụ nimesis NIM của IBM AIX, khai thác thành công cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng. | IBM AIX | Critical |
| 7 | CVE-2024-56347 | AIX is vulnerable to arbitrary command execution | Tồn tại lỗ hổng trong cơ chế bảo vệ SSL/TLS của dịch vụ nimsh IBM AIX cho phép kẻ tấn công từ xa thực thi lệnh tùy ý trên hệ thống bị ảnh hưởng. | IBM AIX | Critical |
| 8 | CVE-2025-1974 | ingress-nginx admission controller RCE escalation | Tồn tại lỗ hổng cho phép kẻ tấn công không xác thực có quyền truy cập vào pod network có thể thực thi mã tùy ý trong context của ingress-nginx controller, dẫn đến tiết lộ các Secrets mà controller có thể truy cập (Lưu ý: trong cài đặt mặc định, controller có thể truy cập tất cả Secret trên toàn bộ cluster) | Ingress NGINX Controller for Kubernetes | Critical |
| 9 | CVE-2025-1098 | ingress-nginx controller – configuration injection via unsanitized mirror annotations | Tồn tại lỗ hổng trong ingress-nginx trong đó các annotation Ingress mirror-target và mirror-host có thể được sử dụng để chèn cấu hình vào nginx, dẫn đến thực thi mã tùy ý trong context của ingress-nginx controller và tiết lộ các Secrets mà controller có thể truy cập (Lưu ý: trong cài đặt mặc định, controller có thể truy cập tất cả Secret trên toàn bộ cluster). | Ingress NGINX Controller for Kubernetes | High |
| 10 | CVE-2025-1097 | ingress-nginx controller – configuration injection via unsanitized auth-tls-match-cn annotation | Tồn tại lỗ hổng trong ingress-nginx trong đó annotation Ingress “auth-tls-match-cn” có thể được sử dụng để chèn cấu hình vào nginx, dẫn đến thực thi mã tùy ý trong context của ingress-nginx controller và tiết lộ các Secrets mà controller có thể truy cập (Lưu ý: trong cài đặt mặc định, controller có thể truy cập tất cả Secret trên toàn bộ cluster). | Ingress NGINX Controller for Kubernetes | High |
| 11 | CVE-2025-24514 | ingress-nginx controller – configuration injection via unsanitized auth-url annotation | Tồn tại lỗ hổng trong ingress-nginx trong đó annotation Ingress “auth-url” có thể được sử dụng để chèn cấu hình vào nginx, dẫn đến thực thi mã túy ý trong context của ingress-nginx controller và tiết lộ các Secrets mà controller có thể truy cập (Lưu ý: trong cài đặt mặc định, controller có thể truy cập tất cả Secret trên toàn bộ cluster). | Ingress NGINX Controller for Kubernetes | High |
| 12 | CVE-2025-20229 | Remote Code Execution through file upload to “$SPLUNK_HOME/var/run/splunk/apptemp“ directory in Splunk Enterprise | Tồn tại lỗ hổng thực thi mã từ xa ảnh hưởng đến Splunk Enterprise (phiên bản dưới 9.3.3, 9.2.5, 9.1.8) và Splunk Cloud Platform (phiên bản dưới 9.3.2408.104, 9.2.2406.108, 9.2.2403.114, 9.1.2312.208) cho phép người dùng đặc quyền thấp thực thi mã từ xa bằng cách upload file vào thư mục “$SPLUNK_HOME/var/run/splunk/apptemp”. | Splunk Enterprise, Splunk Cloud Platform | High |
| 13 | CVE-2025-20231 | Sensitive Information Disclosure in Splunk Secure Gateway App | Tồn tại lỗ hổng tiết lộ thông tin ảnh hưởng đến Splunk Enterprise (phiên bản dưới 9.4.1, 9.3.3, 9.2.5, 9.1.8) và Splunk Secure Gateway app (phiên bản dưới 3.8.38, 3.7.23) trên Splunk Cloud Platform cho phép người dùng đặc quyền thấp có thể thực thi truy vấn tìm kiếm bằng cách sử dụng đặc quyền cao dẫn đến tiết lộ thông tin nhạy cảm. | Splunk Enterprise, Splunk Secure Gateway | High |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
4 PHỤ LỤC
Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 04/2025.
4.1 Danh sách IoCs liên quan đến các chiến dịch tấn công
4.1.1 Các hoạt động tấn công liên quan đến nhóm Storm-2077
Indicator of Compromises
citrix[.]offiec[.]us[.]kg
cna[.]offiec[.]us[.]kg
download[.]offiec[.]us[.]kg
login[.]offiec[.]us[.]kg
test[.]offiec[.]us[.]kg
vpn[.]offiec[.]us[.]kg
vpn1[.]offiec[.]us[.]kg
198[.]98[.]50[.]218
205[.]185[.]126[.]208
205[.]185[.]124[.]24
209[.]141[.]42[.]131
209[.]141[.]46[.]83
209[.]141[.]57[.]116
198[.]98[.]54[.]209
6d6aead4bca7e998d418f64f90870b338864b2b3
aca56b775c57501285ecb8af8af60d2a2b4bbcfb
6e03149f44f04da161d893f8c1ee27328faea5fa
760db2765f210a994a908a050cf5b12cce62f3b3
4.1.2 Các hoạt động tấn công của nhóm Billbug nhắm tới các quốc gia tại Đông Nam Á
Indicators of Compromises
4b430e9e43611aa67263f03fd42207c8ad06267d9b971db876b6e62c19a0805e – Sagerunex
2e1c25bf7e2ce2d554fca51291eaeb90c1b7c374410e7656a48af1c0afa34db4 – ChromeKatz
6efb16aa4fd785f80914e110a4e78d3d430b18cbdd6ebd5e81f904dd58baae61 – ChromeKatz
ea87d504aff24f7daf026008fa1043cb38077eccec9c15bbe24919fc413ec7c7 – ChromeKatz
e3869a6b82e4cf54cc25c46f2324c4bd2411222fd19054d114e7ebd32ca32cd1 – CredentialKatz
29d31cfc4746493730cda891cf88c84f4d2e5c630f61b861acc31f4904c5b16d – CredentialKatz
461f0803b67799da8548ebfd979053fb99cf110f40ac3fc073c3183e2f6e9ced – Reverse SSH tool
b337a3b55e9f6d72e22fe55aba4105805bb0cf121087a3f6c79850705593d904 – Date changer
54f0eaf2c0a3f79c5f95ef5d0c4c9ff30a727ccd08575e97cce278577d106f6b – Loader
b75a161caab0a90ef5ce57b889534b5809af3ce2f566af79da9184eaa41135bd – Loader
becbfc26aef38e669907a5e454655dc9699085ca9a4e5f6ccd3fe12cde5e0594 – Suspected loader
4.1.3 Nhóm tấn công sử dụng các webshell trong quá trình tấn công vào đơn vị thuộc lĩnh vực viễn thông ở Châu Á
Indicators of Compromises
| SHA1 | SHA256 | MD5 | Description |
| 207b7cf5db59d70d4789cb91194c732bcd1cfb4b | 076364dd23d46c40d00fc62baa9826a4c74900cc0f31605b15d92153b184dd7a | 3f46a22398fffa3e43caff35034a6bae | OWA Backdoor DLL |
| 4fa2b2ab3e24ee9d130cfeda63c7ae1ccbc393dc | 1ba9bba238cb2818a469630e86631cc1a5f840893dcc463baff5a772e47922a6 | c90184b13b335647321e47c95e0c3995 | “ReGeorg” |
| 4aeeae023766153a91b83d02b1b24da20c0dd135 | 20156a215ae023123dfd6c5396276aa6575583bb9944bb05586d4c5f9526e2e8 | 111e98fa8de30a4006936a2867cbdb2a | ASPX Encrypted China Chopper Web shell |
| 4dd22a08a5b103e1f2238aed7f7ce66c5a542533 | 24cf92ec8c3262bd8eb9eb381229da082617c97caefe8ac9e6f931d1251f7e40 | 0519fd324a88539820cf6d88a388a718 | INMemory module Web shell |
| 4dc0ebfa52adf9b9eb4fa8f0a359c21a14e183fb | 25f0ed5fca4a823c06d9eb86dc121ba814db31110d94a77bfde775b4b286c5fb | bea63d265cceac0f08ae087fb267fa6a | ASPX China Chopper Web shell |
| d102a34b3f0efb57f1d9f04eff26b256875a3aa1 | 307c99257d6049d6a3c53fb928db80d17d99ee83b336fe1d25ea4f8ad61926ac | 2525c1abb6bc62a3b88416cbdc475ea5 | ASPX Web shell |
| ff7b2c3938306261881c42e78d0df51d9bcdd574 | 344d8621cdc4c063d8967a7ca82b68ad90477fd24f280287a0236c3dd5d3956b | e79d7af8e83d64123d1096b96f74acac | PHP Encrypted China Chopper Web shell |
| f31920d636224356e8c7a182c2b9b37e42a09181 | 3dc91bdd912f07c514ab30382c6ac2204861d44559c86f88b5afd2a9d99d7364 | 2a9e8d4f5d2dcf5697149340532d7f26 | INMemory module Web shell |
| 49cd96df4c85cdd7461701340c0bb4d05a5049d8 | 4610747272f6e968b2edcab1f00b3162ec34787630a1119f32e1ea7d82dc96ab | 4848202f7fee3487aa8998aa6fdf0a0c | OWA Backdoor DLL |
| 9dc3d272652851428f5cc44f2fd9458bff1d6a78 | 4a4d70c3fca0f3ef8643af93e87cd1b78b7d464f78c26f9130980ecd8b2d65c8 | 324da08375c223acc616cef7b6e09f12 | INMemory module Web shell |
| 151dc47b213aaec3751ffd1427737c65757ab410 | 50a045e685ff8df1ec84e2e530e1df4215438f6a0ac79f4d0a29e51fd24d22de | 8b30b20c41ac5c8fa1b9f30d74601286 | INMemory module Web shell |
| 9022f78087e1679035e09160d59d679dc3ac345d | 55c8099243bb01be64f1fb0f883e99519acb6adb3c6be8b545159d7554151ba1 | f56737c1895618ae702bcaca2febdf48 | ASPX Encrypted China Chopper Web shell |
| 0e282dc84d6cfd447fece7d3ecc622523b143aa8 | 5661e2bf6d9379b6137ea10a2e725d2a18ccf0f704743fd76b15ba48d17fa052 | 7305be8cc411feba57507009b9a0a396 | OWA Backdoor DLL |
| be52275b0c2086735dac478dc4f09fd16031669a | 6598ea73d7e437950b3e8caa21229eec7ebcdf22de413384aa2f212df23ebca3 | 7751b40edd6fe2a19c6614eed29102c0 | ASPX Encrypted China Chopper Web shell |
| 55eeaa904bc6518a2715cc77648e6c5187416a46 | 6aae79fe0cda1d7ba3c5c0abccaee8a7b759900c9748fa06d2ec1e004ba3c5ab | 69989e2249f5af2cd39ebd2f5f11f7c3 | ASPX Encrypted China Chopper Web shell |
| a5c36b8022751cfeb4a88a21153847df3870c7c0 | 70f16fb2292e5bae76b5b020a4cea21e58021fabf3d0bbd76ae3fa6e31a9fd81 | 1e62fa547120562cc20f7b5595d1c15b | VB Encrypted China Chopper Web shell |
| 2b9b740fb5fe0549810500476f567002683df71d | 8ED905A73212A18C6D10055F15C917AC9D20F672854B12FAA7483D2F4D93841B | C7ABDA7B1AD34CCF535035FE16EFAAAE | ASPX Web shell |
| 02065bbdb3209e0522db3225600b8e79f8a10293 | 9533e8585b73604fd41b7e015d31f65198784c0da2e6e8f2fe35c0f6d12398af | 797aab5327dbd2add463b2b0fded170c | INMemory module Web shell |
| 25a593b9517d6c325598eab46833003c40f9491a | b82aea5e61ecb39ffb592e80d22a6b7646c266af2cb28d0743c906ac13dafb51 | 6b58e53e14f05c6aa439c7f907deed44 | ASPX Encrypted China Chopper Web shell |
| ad3dbec2b621807fa9a2f1b2f575d7077e494626 | CA10DA18A28963EF375C3D23A49E55BC90777E267D9EBD11541033A1766F44F1v | CEE65DFA6D9EC22277A3D5C04614D764 | ASPX China Chopper Web shell |
| c879a8eb6630b0cd7537b068f4e9af2c9ca08a62 | cc6833017fd0d2b7e5df5a9644ead67cc0aa8981e1e6a231bc0416a3bb410069 | 419880afa05389eb1dc6a73d56d34216 | ASPX Encrypted China Chopper Web shell |
| 3cac6ff7cddcb8f82409c79c85d976300fc60861 | d6f3fc16862345627e61d15534044800a5fd68ebc9a539d8f63cb40a8b0238c0 | cf5164ebbc8f8419fbccceaa8618cb8f | ASPX Encrypted China Chopper Web shell |
| 23c4049121a9649682b3b901eaac0cc52c308756 | daab9b2deeea41cb1f7849fbc46a40168c542df098abb615d1aa8e34548684de | b02c71a0c7d00bc47ed0865cd294470a | ASPX Encrypted China Chopper Web shell |
| 334a88e288ae18c6e3fd7fb2d1ad9548497d52ce | dd2964927ae0f8c78175921523e630d9b36f48b57028f6d57726c4b8d9109fa8 | 57dfb312e5c6db18ccde5f9338bafd6c | ASPX Encrypted China Chopper Web shell |
| a9bbea73504139ce91a0ec20fef303c68a131cd4 | dee501523816cfac7ac4e53fb18d9e902f3ec17916491c5864f9fc4f39419897 | 538eee5aa9d7aae7bc15724c3152db2e | ASPX Encrypted China Chopper Web shell |
| 495a4b4757f3b1eec7fdaa9d0b2930071565f2b1 | df50d1016c9f6952f0efc1646f4203bb71e6d851d761698f56a802be6b357f71 | 99f486c52430c9a2156e2fb6dee11097 | ASPX Custom Web shell |
| 492cbe143f795888d8e5006ac595f65f4565ed6e | eec128dc9d1f4677fc462f6ec74a432169373926a827358a73c0f0961595adb6 | 2650c25d58b68035524416af1931a50c | INMemory module Web shell |
| 81622512757f897206a84b29ee866fb933fa3d48 | eee9dd8363492ceb7449c0c00f0d5deed9e79b745920b34f051b5dd7f1f9959d | a92c7bed95bc580e641facb9b25d5651 | INMemory module Web shell |
| 089439168d3c75b4da94ab801f1c46ad6b9e1fdc | c6c0fc301246abc0c327c0d385c1ee36 | PHP Encrypted China Chopper Web shell |
4.1.4 UNC5221 thực hiện khai thác lỗ hổng trên sản phẩm Ivanti
Indicators of Compromises
| Code Family | MD5 | Filename | Description |
| TRAILBLAZE | 4628a501088c31f53b5c9ddf6788e835 | /tmp/.i | In-memory dropper |
| BRUSHFIRE | e5192258c27e712c7acf80303e68980b | /tmp/.r | Passive backdoor |
| SPAWNSNARE | 6e01ef1367ea81994578526b3bd331d6 | /bin/dsmain | Kernel extractor & encryptor |
| SPAWNWAVE | ce2b6a554ae46b5eb7d79ca5e7f440da | /lib/libdsupgrade.so | Implant utility |
| SPAWNSLOTH | 10659b392e7f5b30b375b94cae4fdca0 | /tmp/.liblogblock.so | Log tampering utility |
4.1.5 Earth Alux nhắm mục tiêu vào khu vực Châu Á – Thái Bình Dương và Mỹ Latinh
Indicators of Compromises
| File | Detection |
| 00a41c8272d405ba85ae9d0e435e3030033e8a032f3d762367d0a57d41524f3a | Trojan.Win64.RAILLOAD.SMZALF-A |
| 0d3ec88b0bfa5530e45dec75dfbea7ae683bdea91105b5f90a787beaabd1ef27 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 0f6fe5d0ee754d581d4a8d989e83272b121d0125bd3c77e57a6b14db23f425ab | Trojan.Win64.RAILLOAD.A |
| 13e0aef0ab6d218e68c5c5b6008872eb73104f161c902511aec3df5bce89136e | Trojan.Win64.RAILLOAD.SMZALF-A |
| 16509adf92b1ac3097452affd8dda640936c8a40272592b978db3698487df5fa | Trojan.Win64.RAILLOAD.ZTLH |
| 19bcca292814942f2fe8d142a679cc6a97fa6cbf77a0c98873146e918013bb5c | Trojan.Win64.RAILLOAD.ZBLK |
| 1c8c14251710fbdef994d9ccf1d3507cf0ef5cd6c7d3495af2adfe7f97cc0dc2 | Trojan.Win64.RAILSETTER.ZALH |
| 1c93ba375016bcb41b915b78eb4ab023ecf456e240823a1d6d2b5297b3523956 | Trojan.Win64.RAILLOAD.ZTLH |
| 245fdb5e35b6f51b26d4cf3999a40dde13987240f9bf565fe03a1f6adb9da9b2 | Backdoor.ASP.GODZILLA.ZCLI |
| 281fc3aff361f202a41f4aff84a5f61e5728fd8ea0c1219a8bca540a959a4ee2 | Trojan.Win64.RAILLOAD.ZBLK |
| 28517bff286ade02b81da52f9fcddcb9764023ae7035bc593d081fdd2a8c85d9 | Backdoor.Win64.VARGEIT.ZCLF.enc |
| 2971a53769745c107a89eeb5f48e3b3e9680d371bf06b028c7769c961e6f9e55 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 3129bfad321be526f231c64aac10d7d8f416dc14cab11c1bbc57252c75823959 | Trojan.Win64.RAILLOAD.ZTLH |
| 3b7c29489c1feaafc587eac0ffcca79964259c9687d86a5cce5ea70261f7439b | Trojan.Win64.RAILLOAD.ZBLF |
| 3f0157cfb493df1cd051cc87364c7bdbe3719927335b76b7c567b369ab47b3be | Trojan.Win64.RAILLOAD.ZBLF |
| 41410a8aa4a4fcd811ef67ba023e263f4cd6667039b01547d23a3eb758d97b96 | Trojan.Win64.RAILLOAD.ZBLF |
| 43e5c3d6182ab6d9d71b5892c5087b4ef4b3093126bcdf4ebcef0b15e04e0c03 | Backdoor.Win64.VARGEIT.ZMLG.enc |
| 442446fbc012847a12448398b619837614498bb611968e64166f0e9040c311db | Trojan.Win64.RAILLOAD.ZBLK |
| 455510fe663775e09a2d0bbfdc4c8ec2e26665e10f9599b05dc59ea460f06ac8 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 47ea0392ec123e3949b9ae2638b9078cd5efd4da942e38f149ccfb74d8e70123 | Trojan.Win64.RAILLOAD.ZBLF |
| 4be6f5e76ea02ae348b26fc32a0dabe009d05b701e53270cf40ca50fa76197b0 | Backdoor.Win64.VARGEIT.ZCLF.embed |
| 529e691a9d60b8ae0c64de82402e76c112df3bc27be5f2e94ee58252a67804a1 | Trojan.Win64.RAILLOAD.ZBLF |
| 52c8eacbcc8906036894a3a11cb4181d454c3a4f685500a799263cdcf6c6d88e | Trojan.Win64.RAILLOAD.SMZALF-A |
| 5502735d81accb96c58300d1e21765b8b53a4749aad68e513b2558ed79f83cc4 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 5518b542afd9d456ee8dea4dec3e0e8a98a42982b33f8f629d3d8edeca0dbf4d | Trojan.Win64.RAILLOAD.ZALG |
| 55b4e3814a349c9de4c99237f62d42787a6fef64b809db9cf52cfe0602cac01e | Trojan.Win64.RAILLOAD.SMZALF-A |
| 5872da9dfd5ed3c0b9e0a05466a56c6ac6966012b5b3e14ac43a1225ba5e6bb2 | Trojan.Win64.RAILLOAD.ZALG |
| 5aaca0994795ba7da0f10cd393ac32cc1e78c9afd4e9d09bbbe430f168c0eebe | Trojan.Win64.RAILLOAD.SMZALF-A |
| 5c829480c4563f736c8f6a4a2987fc4cd3fc330804db82cd98217d0110531b6e | Trojan.Win64.RSBINJECT.ZBLI |
| 5d358bcd0acb999fdec332f0a2d1fe51952542f0836b9618ab18f253597d244c | Trojan.Win64.RAILLOAD.SMZALF-A |
| 5dcd5cb720a40692b7e49540a42f1d12e831aaab369d9fe31a66b0433b825264 | Trojan.Win64.RAILLOAD.ZALG |
| 62d71b61af750ad3b763d98504a174a1949a359a4cb4f6ce2795b7b3240919eb | Trojan.Win64.RAILLOAD.SMZALF-A |
| 67dddc4ce777df1baa19acb1c3535eb01a54f24516a85312bafe4cba11d74483 | Trojan.Win64.RAILLOAD.ZBLK |
| 681e9aab60b1c64dacbc7c8574d294333b9cd4494ec683b0c780866c3e1e7d40 | Trojan.Win64.RAILLOAD.ZBMB |
| 762525805afe6a0891275ebc2ae1f067e9aad8f310afc0b1ad800cc980ed8b55 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 7654e7f7076f07e76ae478c1df65f1711918ad4f36c45f520cc46cdcb1128cc2 | Trojan.Win64.RAILLOAD.ZALG |
| 7ad44f7e1f78ee83f20da498584ec7138c2514580ddfe62698be7587ae2678e1 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 83968575244ab2e44a5b94423bb1cacd10bb293ddcbbddbc2fc117f9335b6e78 | Trojan.Win64.RAILLOAD.ZCLH |
| 846be29c140850fd9524339acd67eac4b84bc59ed056544356d199226452ea88 | Trojan.Win64.RAILLOAD.A |
| 85f9bac9eefb5fbc1e51508ce12cda10a69d8bde82952891081b19d6833297ab | Trojan.Win64.RAILLOAD.ZBLF |
| 86e2d56761fb4dc16c7b0cd8da241c9899af851f5df751ffc67a2d68062e71f4 | Trojan.Win64.RAILLOAD.ZTLH |
| 86f5f088cf997766e52860b57506ba0923454a63bee39e4e3de2fb98c4fee240 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 8b0023248bc037631b26694f34d7bc8163e2d5f5919fe61f3dbc1354f87d6792 | Trojan.Win64.MASQLOADER.ZAKL |
| 8c89362d4bed8bd2f0fbffc450bca4e7666fc7a3e88ec56a5dd149593fd697ec | Trojan.Win64.RAILLOAD.SMZALF-A |
| 91034c01e800b116095eecdb073a5262852fc2c788f9fcd09259d6c09ce88ac6 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 9366ece5ff9082145184adb2e91053d5e0d68d4d9f9a9f054aad68b8e7368443 | Trojan.Win64.RAILLOAD.ZBLF |
| 9b5e6c2f287ea7931bb27f63111ef0035265bc27751f01bd6c7f3dd3395bbaf5 | Trojan.Win64.RAILLOAD.ZCLI |
| 9d9f40c6c2dc14118452f7f1b56346e60a8681fb83300e4292576e635b37f9c8 | Trojan.Win64.RAILLOAD.SMZALF-A |
| 9f94bb59bfc32958a15cd8e225f270802bd9e14929e5d0f4f488842710a361ea | Trojan.Win64.RAILLOAD.SMZALF-A |
| a042157e7460f6c28c984a1c1f3803521a556c67e26411854e497685ef436325 | Trojan.Win64.RAILLOAD.SMZALF-A |
| a14e226a50c12e637e8b280ad688e5637db752c72d0f8b2bac5f2d3d487e1c21 | Backdoor.Win64.VARGEIT.ZALF.enc |
| a79679d8f9551810504ff316465fb289d1ac64dc52bcaabd70267217d33d603c | Trojan.Win64.RAILLOAD.ZCLI |
| a845cb84ea11f0fa7a982407705e892f58d7cb407eadc5329416464cccdd6a23 | Trojan.Win64.RAILLOAD.SMZALF-A |
| a9804fa05845707f094fe91668a5c3792f2441d371816b46fbe636953fc5787d | Backdoor.Win64.VARGEIT.ZCLF.enc |
| ab6145f1ea6c8a682bea289cef06c0f27fa076b8f88a89a2631167541fc835e9 | Trojan.Win64.RAILLOAD.SMZALF-A |
| ac70d98af57d9e3da9ee485a4ab1badbb28e89d15c4ef2df521423881a147e43 | Trojan.Win64.RAILLOAD.SMZALF-A |
| afd83d598843f93f7cad02bbe8467da2f257b5344600090034bb795844f05bdc | Trojan.Win64.RAILLOAD.ZBLK |
| b0a42d1c5a07bbe317a034e204c0eb64ae5d99e3dfbfbd9b3b098caea4b19f96 | Trojan.Win64.RAILLOAD.SMZALF-A |
| b32dd5d549bcf4b674b4e7cf5481064b38ea614c666b158afedc7084b715c1fa | Trojan.Win64.RAILLOAD.SMZALF-A |
| b8accaa144c035c670fb3c2bf580d2fb64ab562c89835f7e30b044a8711cb5e5 | Trojan.Win64.RAILSETTER.ZCLH |
| b8e1a46146c09ef54b802a6989b485ef5982a86228a24ec0839ec5af7b42e648 | Backdoor.Win64.VARGEIT.ZCLF.enc |
| b92452a6c2cd13193a6df88278c31c85008acf448655c18389c84b353026d15e | Trojan.Win64.RAILLOAD.ZCLI |
| b9fefe3946d0c9e000262a10b184090da45925f24b7dfc9d25abe63bc55ca7ed | Backdoor.Win64.VARGEIT.ZALF.enc |
| ba0105c8fa99b8f3a82c32d20e94031f22e277286b738db529e763955df248dc | Trojan.Win64.RAILLOAD.ZCLI |
| bd0dbf799e98137238ae38f134c7af82d7ff673c0a418044add0220211d98a27 | Trojan.Win64.RAILLOAD.SMZALF-A |
| be01089ad2c2e7af32677ec0a7a9a541dee1cb149639d60fb7b7e9b641d2ccdb | Trojan.Win64.RAILLOAD.ZTLH |
| c0d1deb30fd3507455dae99aabf1cc23638b2bcf1908099e08081ee2691a24b0 | Trojan.Win64.RAILLOAD.SMZALF-A |
| c56c88ce8e45a9caa043f1f4831442f09bae6f1a083910f772afc1e27be3b606 | Trojan.Win64.RAILLOAD.SMZALF-A |
| c6a28c9cac9c4b5ef57998bdc7a7f430fff7c9ac819fef278f8350751b6edaab | Trojan.Win64.RAILLOAD.ZTLH |
| cd385806117ebe1504af4669671b4c0a252faec873e1402aaebeb413fdd58556 | Trojan.Win64.RAILLOAD.ZBLK |
| d31eb16688d1b36652e87d43ad5755d139eedd74b500ddcee97a5545d8d1fe7b | Trojan.Win64.RAILLOAD.ZBLK |
| d34947e11879598b85d9baa703cb96a83d7c3ccb53868ab86ff9a2f37dc91459 | Trojan.Win64.RAILLOAD.ZALF |
| d692c85da91bb5e5724f520ca392b68eee144a3719a7441c779c8ce73d3b25dc | Backdoor.Win64.VARGEIT.ZCLF.enc |
| d83a837910305567acfd49d2d416fc4b113f080e31730c9b0abefa4b01192a40 | Trojan.Win64.RAILLOAD.ZALG |
| ded42e37f05950374496824ce3f4d540a45e97be35ed6d7ddcfcf12a7b2cd46f | Trojan.Win64.RAILLOAD.ZALG |
| dfbb857e6383789545c719c99d878a678a0aeae2a6a1c8f44e87b7aa478fc354 | Trojan.Win64.RAILLOAD.ZALF |
| e03062caa13400df3d60efb1aa2b0f19dcf65fefc38d4bc9931c0918b5dc4865 | Trojan.Win64.RAILLOAD.ZALG |
| e299b865cdb0fdd9605e3c5e9d00fb473c77af4ed213775d594cc0fe91b8dd3a | Trojan.Win64.RAILLOAD.SMZALF-A |
| e3465c996e149b218d95a4b109e6e3ff268e8d63aafa73d4855750b33c66a33c | Trojan.Win64.RAILLOAD.ZBMB |
| e6141757775ce9747b12f21cc7f8411e5ab4916649f38738f4e93b2ca7cc274a | Trojan.Win64.RAILLOAD.ZBLK |
| ee8385313e03890c6862f70c94f2c5a3e9cd09764fcac4488fabc5ce9613228a | Trojan.Win64.RAILLOAD.ZBLF |
| f0cd90b42969706d1a78e75608aded6d5ac8610f36cab8f8be7160c5cbf485a5 | Trojan.Win64.RAILLOAD.ZCLI |
| f92493bf2b46873feee38ea2dac69ff830637983d569b64ee87e75f7fe08de88 | Trojan.Win64.RAILLOAD.ZBLK |
| fd1720b11ddd7ae226889deca9a6532df676a4991f0209c0a3d6d7be52276dcf | Trojan.Win64.RAILLOAD.ZALG |
| fd3637392404c3ed169a4999f6a05274715109f9fa028be9ad9ce7853d983d54 | Trojan.Win64.RAILLOAD.SMZALF-A |
Network Indicators
Domain
COBEACON C&C
www.upload-microsoft.com
store.azure-clouds.com
google.otp.us.kg
Download IP
8.218.222.216
4.2 Danh sách IoCs liên quan đến mã độc
4.2.1 Mustang Panda sử dụng các mẫu mã độc nhắm vào tổ chức khu vực Đông Nam Á
Indicator of Compromise
Tệp tin
SHA1
5747A2DD63C97F97EE439482DFD4389041043902
F435900EBBC8A46C3B0B273D48B2AC149A35B194
FCC7095F6DDBFFB7C2CA29188C45BBDF4C922C66
B2544370E041C2B3D38E5B1C0A22B4EAB2D70588
337850D965DD9860162C2084D83D4113BAC95593
20B4624781BDC1F670942DC07BF673ABD1C5E70F
03272F764BC0F6D80A830C164A5357CD9179030E
092CD5AD641CE749C100C2AD045E4AABB9BB7E90
DA01214C5DF3EE4A5A6B99414E4BB1FD88F6EB3E
F7CC59EDD9FA8FD9B0D7D2316D86C348458B8101
2696467025B0D1052D11D3F7BC68C6CB4CB635A5
3E8CB0B1F93DA475889DD065EE21261E1B6F6FFF
AE896332D3B40B627F44E6DC038F8C2396ECAF4D
361AD9F8D0B3F248A35E8D570CA58E8E152573CD
B2D865E243EA3D642C3A0A2C7D0EA52B79A18EC4
70B286728CF006AE6DA37D918D372B7CEDD40855
1AFDE3BFE7FF7A9A164C9E6A0DE12F5F1CE50B9A
Domains
www.dest-working[.]com
www[.]profile-keybord[.]com
IP Addresses
43.229[.]79.163
43.254[.]132.217
103.13.31[.]75
181.215[.]246.155
URL
http://103.13.31.75/heugojhgriuhn78867jhkbjkdgfhuie78/jhegiokj7889seghjegh786jkhegfukj
