THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 05 – 2026
Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs
1 CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS
Trong tháng 05/2026, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:
| STT | Tên chiến dịch | Mô tả |
| 1 | Chiến dịch khai thác lỗ hổng nghiêm trọng trên cPanel/WHM tại Đông Nam Á | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một hoạt động khai thác lỗ hổng bảo mật nghiêm trọng CVE-2026-41940 trên cPanel/WHM nhằm chiếm quyền truy cập trái phép vào hệ thống quản trị máy chủ. Lỗ hổng tồn tại trong cơ chế xác thực của quy trình đăng nhập, cho phép kẻ tấn công từ xa không cần xác thực có thể vượt qua cơ chế bảo vệ và truy cập vào bảng điều khiển quản trị. Hoạt động khai thác được ghi nhận nhắm vào nhiều hệ thống tại khu vực Đông Nam Á với tác nhân được cho rằng đến từ Việt Nam |
| 2 | Chiến dịch GriefLure nhắm mục tiêu vào các tổ chức trọng yếu tại Đông Nam Á | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công có chủ đích mang tên GriefLure, sử dụng các tài liệu liên quan đến sự kiện và tổ chức thực tế làm mồi nhử nhằm phát tán mã độc tới các mục tiêu tại khu vực Đông Nam Á bao gồm Việt Nam và Philippines. Chiến dịch khai thác các tệp nén lồng nhau, file LNK độc hại và kỹ thuật DLL side-loading để triển khai payload, đồng thời lợi dụng các công cụ hợp pháp của hệ điều hành nhằm né tránh cơ chế phát hiện. Hoạt động của mã độc cho phép kẻ tấn công thực hiện thu thập thông tin, đánh cắp dữ liệu đăng nhập, chụp màn hình và duy trì liên lạc với máy chủ điều khiển từ xa. |
| 3 | Chiến dịch InstallFix phát tán phần mềm độc hại nhắm vào khu vực Đông Nam Á | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công phát tán phần mềm độc hại, giả mạo trình cài đặt ClaudeAI nhắm đến các tổ chức trong lĩnh vực Chính phủ, giáo dục, điện tử tại khu vực Đông Nam Á, bao gồm các quốc gia Malaysia và Thái Lan. |
| 4 | Chiến dịch lừa đảo phát tán mã độc GoldFactory nhắm vào khu vực Đông Nam Á | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc Android do nhóm GoldFactory thực hiện, lợi dụng các trang web và ứng dụng giả mạo hệ thống khai thuế nhằm đánh cắp thông tin tài chính và thực hiện các hành vi gian lận ngân hàng. Chiến dịch chủ yếu nhắm mục tiêu vào người dùng thiết bị Android thông qua các kịch bản lừa đảo trực tuyến, phát tán ứng dụng ngoài Google Play và lạm dụng quyền Accessibility Services để chiếm quyền điều khiển thiết bị, thu thập OTP, dữ liệu SMS và thông tin ngân hàng của nạn nhân. |
| 5 | Chiến dịch tấn công nhắm mục tiêu vào các tổ chức chính phủ tại khu vực Châu Á. | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công mạng có chủ đích do nhóm tin tặc liên quan Trung Quốc thực hiện, nhắm vào các cơ quan chính phủ và tổ chức quốc phòng tại Châu Á. Chiến dịch khai thác lỗ hổng trên Microsoft Exchange Server và Microsoft IIS để xâm nhập hệ thống. Sau khi chiếm quyền truy cập, đối tượng triển khai web shell, công cụ truy cập từ xa và kỹ thuật DLL side-loading nhằm cài đặt backdoor ShadowPad, phục vụ duy trì truy cập và thu thập thông tin. |
Thông tin chi tiết các chiến dịch:
1.1 Chiến dịch khai thác lỗ hổng nghiêm trọng trên cPanel/WHM tại Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một hoạt động khai thác lỗ hổng bảo mật nghiêm trọng CVE-2026-41940 trên cPanel/WHM nhằm chiếm quyền truy cập trái phép vào hệ thống quản trị máy chủ. Lỗ hổng tồn tại trong cơ chế xác thực của quy trình đăng nhập, cho phép kẻ tấn công từ xa không cần xác thực có thể vượt qua cơ chế bảo vệ và truy cập vào bảng điều khiển quản trị. Hoạt động khai thác được ghi nhận nhắm vào nhiều hệ thống tại khu vực Đông Nam Á với tác nhân được cho rằng đến từ Việt Nam.
Chuỗi tấn công
Một tác nhân đe dọa chưa từng được xác định trước đó đã bị phát hiện nhắm mục tiêu vào các tổ chức chính phủ và quân sự tại khu vực Đông Nam Á, cùng với một nhóm nhỏ các nhà cung cấp dịch vụ quản lý (MSP) và nhà cung cấp dịch vụ lưu trữ tại Philippines, Lào, Canada, Nam Phi và Hoa Kỳ thông qua việc khai thác lỗ hổng mới được công bố trên cPanel.
Hoạt động này liên quan đến việc khai thác CVE-2026-41940 — một lỗ hổng nghiêm trọng trên cPanel và WebHost Manager (WHM). Lỗ hổng có thể cho phép vượt qua cơ chế xác thực, từ đó giúp kẻ tấn công từ xa chiếm quyền kiểm soát nâng cao đối với bảng điều khiển quản trị.
Các hoạt động tấn công được xác định chủ yếu nhắm vào các tên miền chính phủ và quân sự thuộc Philippines (*.mil.ph, *.ph) và Lào (*.gov.la), đồng thời nhắm vào các MSP và nhà cung cấp dịch vụ hosting thông qua các mã khai thác PoC được công khai trên Internet.
Chuỗi tấn công
Ngoài các hoạt động khai thác lỗ hổng trên cPanel/WHM, tác nhân đe dọa còn được ghi nhận sử dụng một chuỗi khai thác tùy chỉnh nhằm vào cổng đào tạo thuộc lĩnh vực quốc phòng của Indonesia. Chuỗi tấn công kết hợp SQL Injection có xác thực và thực thi mã từ xa (RCE), sử dụng sẵn thông tin đăng nhập hợp lệ, vượt qua cơ chế CAPTCHA bằng cách đọc giá trị từ cookie phiên và khai thác chức năng quản lý tài liệu để chèn câu lệnh SQL độc hại. Theo đánh giá về phương thức hoạt động, phạm vi mục tiêu và mã nguồn khai thác, nhiều khả năng chiến dịch bắt nguồn từ tác nhân đe dọa tại Việt Nam.
Tập lệnh thu thập tài liệu qua LFTP
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.2 Chiến dịch GriefLure nhắm mục tiêu vào các tổ chức trọng yếu tại Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công có chủ đích mang tên GriefLure, sử dụng các tài liệu liên quan đến sự kiện và tổ chức thực tế làm mồi nhử nhằm phát tán mã độc tới các mục tiêu tại khu vực Đông Nam Á bao gồm Việt Nam và Philippines. Chiến dịch khai thác các tệp nén lồng nhau, file LNK độc hại và kỹ thuật DLL side-loading để triển khai payload, đồng thời lợi dụng các công cụ hợp pháp của hệ điều hành nhằm né tránh cơ chế phát hiện. Hoạt động của mã độc cho phép kẻ tấn công thực hiện thu thập thông tin, đánh cắp dữ liệu đăng nhập, chụp màn hình và duy trì liên lạc với máy chủ điều khiển từ xa.
Chuỗi tấn công
Chuỗi tấn công
Đối với chiến dịch nhắm vào Việt Nam, chiến dịch sử dụng các tài liệu mồi nhử có mức độ tin cậy cao, nhằm lợi dụng tâm lý và trách nhiệm công việc, dụ dỗ nạn nhân mở tệp độc hại
Chiến dịch sử dụng cùng một cơ chế thực thi thông qua file LNK. Tệp LNK lợi dụng binary hợp pháp ftp.exe của Windows như một LOLBin để âm thầm thực thi script ẩn thông qua tham số -s, từ đó ghép nối và khởi chạy payload mã độc từ các tệp dữ liệu được chia nhỏ trong thư mục C:\Users\Public. Đồng thời, mã độc mở tệp 1.pdf làm tài liệu mồi nhử nhằm khiến nạn nhân không nhận thấy bất kỳ dấu hiệu bất thường nào. Toàn bộ quá trình xâm nhập diễn ra hoàn toàn ẩn dưới nền và hoàn tất chỉ trong chưa đầy 10 giây mà không hiển thị dấu hiệu trực quan trên màn hình.
Lợi dụng ftp.exe làm LOLBin để thực thi payload
Payload mã độc được truyền vào ftp.exe
Batch script sử dụng kỹ thuật ghép nối nhị phân để tái dựng một tệp PE hoàn chỉnh trong lúc thực thi. Cụ thể, mã độc dùng lệnh hợp pháp copy /b của Windows để kết hợp header.doc — chứa phần PE/MZ header — với WindowsSecurity.doc — chứa phần thân chính của payload — nhằm tạo ra file thực thi sfsvc.exe có kích thước khoảng 162 KB. Đồng thời, script tiếp tục ghép phần PE header với một chunk dữ liệu được lựa chọn dựa trên giá trị thời gian hệ thống (%TIME:~4,1%.doc) và nối thêm giá trị %RANDOM% để sinh ra file DLL 360.dll có hash thay đổi sau mỗi lần thực thi, qua đó làm tăng khả năng né tránh phát hiện dựa trên chữ ký tệp.
Các tệp được sử dụng để tái dựng file sfsvc.exe
sfsvc.exe là một framework thực thi được xây dựng riêng nhằm nạp và chạy DLL độc hại với khả năng ẩn mình cao. Mã độc sử dụng lệnh cmd.exe /C start /min để âm thầm thực thi file 360.dll thông qua tham số /calldll, đồng thời chuyển hướng toàn bộ đầu ra sang nul nhằm tránh hiển thị dấu vết trên màn hình. Quá trình phân tích mã cho thấy sfsvc.exe thực chất là phiên bản tùy biến của regsvr32.exe, được mở rộng thêm các chức năng phục vụ việc nạp và thực thi payload độc hại một cách linh hoạt hơn.
Danh sách tham số cho thấy sfsvc.exe là phiên bản regsvr32 tùy biến
Chức năng restartexplorer cho phép mã độc tắt hoàn toàn tiến trình explorer.exe và tái tạo lại Windows shell dưới một security context đã bị kiểm soát. Malware sử dụng các API như OpenProcess, TerminateProcess, ShellExecuteW và CreateProcessAsUserW để khởi động lại Explorer với integrity level thấp, qua đó hỗ trợ che giấu hoạt động, hạn chế thao tác người dùng và duy trì persistence.
Luồng khởi động lại Explorer
360.dll hoạt động như một shellcode loader đa tầng, sử dụng kỹ thuật chống phân tích và thực thi payload trực tiếp trong bộ nhớ thông qua VirtualAlloc. Payload được giải mã và chạy theo cơ chế fileless execution, giúp mã độc né tránh phát hiện do không cần thả thêm file thực thi xuống đĩa.
Luồng kiểm tra và sử dụng API injection trong 360.dll
Sau khi thực thi giai đoạn đầu, DLL tiếp tục triển khai kỹ thuật process injection bằng cách tạo tiến trình explorer.exe, mở tiến trình với quyền truy cập đầy đủ, cấp phát vùng nhớ thông qua VirtualAllocEx và ghi payload bằng WriteProcessMemory. Payload sau đó được thực thi từ xa bằng CreateRemoteThread, cho phép mã độc chuyển hoạt động sang một tiến trình hệ thống hợp pháp nhằm tăng khả năng ẩn mình. Việc kết hợp thực thi trong bộ nhớ và process injection giúp malware duy trì tính stealth, persistence và khó bị phát hiện hơn khi phối hợp cùng cơ chế loader linh hoạt của sfsvc.exe.
Phân tích sfsvc.exe và 360.dll cho thấy malware giải mã và nạp shellcode trực tiếp trong bộ nhớ, đồng thời hỗ trợ nhiều kỹ thuật như fileless execution, APC injection, CreateRemoteThread injection và persistence thông qua NTFS Alternate Data Stream. Thành phần C2 sử dụng cơ chế XOR obfuscation để nhận và thực thi động các lệnh hoặc payload từ máy chủ điều khiển mà không cần ghi thêm file xuống đĩa.
Kết nối C2 tới qua WinHTTP
Mã độc sử dụng Toolhelp API để liệt kê toàn bộ tiến trình đang chạy trên hệ thống và thu thập thông tin như PID, tài khoản sở hữu, đường dẫn executable và kiến trúc tiến trình. Dữ liệu sau đó được tổng hợp và gửi về máy chủ C2 nhằm phục vụ reconnaissance và profiling hệ thống nạn nhân.
Mã độc triển khai cơ chế chụp màn hình và exfiltration cho phép thu thập ảnh desktop của nạn nhân rồi gửi về máy chủ C2. Mã độc sử dụng các API như GetSystemMetrics, CreateCompatibleDC, BitBlt, StretchBlt và GetDIBits để chụp nội dung màn hình, hỗ trợ cả môi trường đa màn hình và tự động điều chỉnh độ phân giải nhằm tối ưu băng thông trước khi dựng ảnh BMP trực tiếp trong bộ nhớ để truyền ra ngoài.
Luồng chụp màn hình máy tính nạn nhân
Mã độc có khả năng reconnaissance thư mục bằng cách liệt kê thư mục con và thu thập metadata của file như tên, thời gian chỉnh sửa và kích thước thông qua FindFirstFileA/FindNextFileA. Dữ liệu sau đó được đóng gói theo định dạng có cấu trúc và gửi về máy chủ C2 phục vụ hoạt động thu thập thông tin.
Ngoài ra, mã độc triển khai cơ chế upload file kết hợp thực thi payload, cho phép nhận các chunk dữ liệu từ máy chủ C2, tái dựng file cục bộ và thực thi payload sau khi hoàn tất tải lên. Mã độc giải mã dữ liệu nhận được, ghi từng phần vào đúng offset của file bằng SetFilePointerEx, đồng thời gửi trạng thái upload về C2. Đáng chú ý, khi hoàn tất ghi file như C:\Users\Public\tvnserver.exe, malware sẽ ngay lập tức thực thi payload thông qua CreateProcessA cùng tham số điều khiển từ xa, cho thấy khả năng triển khai thêm công cụ remote control như TightVNC trong giai đoạn hậu khai thác.
Mã độc triển khai và khởi chạy payload remote control
Mã độc sử dụng CreateToolhelp32Snapshot để liệt kê tiến trình đang chạy và phát hiện các phần mềm bảo mật như AV/EDR dựa trên danh sách process hardcode. Các sản phẩm được nhận diện sẽ được tổng hợp và gửi về C2 nhằm phục vụ né tránh và điều chỉnh hành vi tấn công.
Kiểm tra Antivirus được sử dụng trên máy nạn nhân
Mã độc triển khai credential harvesting nhằm thu thập dữ liệu đăng nhập và cấu hình từ trình duyệt, FTP client, công cụ remote access và ứng dụng nhắn tin như Chrome, FileZilla, Xshell, Sunlogin, ToDesk và WeChat. Dữ liệu bị nhắm tới bao gồm credential store, session SSH, cookie, history và file cấu hình chứa thông tin truy cập nhạy cảm.
Danh sách trình duyệt bị malware đánh cắp dữ liệu
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.3 Chiến dịch InstallFix phát tán phần mềm độc hại nhắm vào khu vực Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công phát tán phần mềm độc hại, giả mạo trình cài đặt ClaudeAI nhắm đến các tổ chức trong lĩnh vực Chính phủ, giáo dục, điện tử tại khu vực Đông Nam Á, bao gồm các quốc gia Malaysia và Thái Lan.
Chuỗi tấn công
Các trang cài đặt giả mạo được phân phối thông qua Google Ads, khi người dùng thực hiện tìm kiếm các từ khóa như “Claude Code” và “Claude Code install”, quảng cáo giả mạo với các thông số gar_source và gad_campaign giống với Google Ads sẽ hiện lên, đánh lừa người dùng truy cập.
Trang web giả mạo bao gồm tập lệnh độc hại sử dụng PowerShell và MSHTA để thực thi và cài đặt ứng dụng Claude giả mạo trên hệ thống Windows và MacOS.
Kết quả xuất hiện khi người dùng tìm kiếm trình cài đặt Claude
Giao diện trang web lừa đảo
Dẫn dụ người dùng cài đặt phần mềm độc hại
Sau khi người dùng thực hiện lệnh ClickFix, mshta.exe sẽ trỏ đến file .msixbundle, sau đó bỏ qua phần ZIP và chạy đoạn HTA được chèn ở cuối. HTA chưa VBScript chạy ngầm, bao gồm các hàm giải mã để giải mã các payload trước khi khởi chạy giai đoạn tiếp theo.
Payload sau khi giải mã nhận được Shellcode, mã độc thực hiện tạo kết nối tới C2 của kẻ tấn công, đồng thời cũng tạo persistence thông qua Scheduled Tasks nhằm duy trì kết nối liên tục, đồng thời thực thi lại mã độc ngay cả khi hệ thống được khởi động lại.
Payload sau khi giải mã
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.4 Chiến dịch lừa đảo phát tán mã độc GoldFactory nhắm vào khu vực Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc Android do nhóm GoldFactory thực hiện, lợi dụng các trang web và ứng dụng giả mạo hệ thống khai thuế nhằm đánh cắp thông tin tài chính và thực hiện các hành vi gian lận ngân hàng. Chiến dịch chủ yếu nhắm mục tiêu vào người dùng thiết bị Android thông qua các kịch bản lừa đảo trực tuyến, phát tán ứng dụng ngoài Google Play và lạm dụng quyền Accessibility Services để chiếm quyền điều khiển thiết bị, thu thập OTP, dữ liệu SMS và thông tin ngân hàng của nạn nhân.
Chuỗi tấn công
Chuỗi tấn công
Ở giai đoạn đầu tiên, kẻ tấn công tạo các tài khoản WhatsApp giả mạo cơ quan thuế và gửi tin nhắn chứa liên kết độc hại tới nạn nhân. Nội dung thường lợi dụng mùa quyết toán thuế để yêu cầu người dùng xác minh hoặc thanh toán các khoản thuế còn thiếu. Liên kết trong tin nhắn sẽ chuyển hướng nạn nhân tới các website phishing giả mạo hệ thống “Coretax”.
Tin nhắn giả mạo và website phishing
Sau khi truy cập website giả mạo, nạn nhân được yêu cầu tải xuống và cài đặt ứng dụng ứng dụng khai thuế giả độc hại dưới dạng tệp APK ngoài Google Play. Sau khi ứng dụng được cài đặt:
- Thiết bị có thể xuất hiện hiện tượng treo hoặc màn hình đen tạm thời nhằm che giấu hoạt động độc hại diễn ra ở chế độ nền.
- Malware bắt đầu thu thập thông tin thiết bị như số điện thoại, định danh thiết bị và dữ liệu hệ thống.
- Các thành phần độc hại bổ sung có thể tiếp tục được tải xuống nhằm mở rộng khả năng kiểm soát thiết bị và che giấu dấu vết của kẻ tấn công.
Giao diện đăng nhập của ứng dụng giả mạo cơ quan thuế
Tiếp đến, sau khi mã độc được cài đặt thành công, đối tượng tấn công tiếp tục gọi điện trực tiếp cho nạn nhân, giả mạo nhân viên cơ quan thuế. Trong cuộc gọi, kẻ tấn công tạo áp lực tâm lý bằng cách yêu cầu nạn nhân nhanh chóng thanh toán khoản thuế được cho là còn tồn đọng, đồng thời lợi dụng yếu tố khẩn cấp và thẩm quyền để thúc đẩy nạn nhân thực hiện thao tác theo hướng dẫn.
Trong quá trình hướng dẫn nạn nhân thực hiện “thanh toán thuế”, mã độc trên thiết bị bắt đầu ghi lại màn hình và theo dõi thao tác người dùng nhằm đánh cắp:
- Thông tin đăng nhập ngân hàng
- Mã OTP
- Dữ liệu thẻ thanh toán
- Các thông tin tài chính nhạy cảm khác
Việc kết hợp giữa mã độc và kỹ thuật social engineering cho phép kẻ tấn công thu thập đầy đủ thông tin cần thiết để chiếm đoạt tài khoản ngân hàng của nạn nhân.
Cuối cùng, sau khi kết thúc cuộc gọi, kẻ tấn công sử dụng khả năng điều khiển từ xa do mã độc cung cấp để truy cập vào thiết bị của nạn nhân. Đối tượng tiến hành đăng nhập tài khoản ngân hàng và thực hiện các giao dịch chuyển tiền trái phép với số tiền lớn. Các khoản tiền bị đánh cắp sau đó được chuyển qua nhiều tài khoản trung gian nhằm gây khó khăn cho quá trình truy vết và thu hồi tài sản.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.5 Chiến dịch tấn công nhắm mục tiêu vào các tổ chức chính phủ tại khu vực Châu Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công mạng có chủ đích do nhóm tin tặc liên quan Trung Quốc thực hiện, nhắm vào các cơ quan chính phủ và tổ chức quốc phòng tại Châu Á. Chiến dịch khai thác lỗ hổng trên Microsoft Exchange Server và Microsoft IIS để xâm nhập hệ thống. Sau khi chiếm quyền truy cập, đối tượng triển khai web shell, công cụ truy cập từ xa và kỹ thuật DLL side-loading nhằm cài đặt backdoor ShadowPad, phục vụ duy trì truy cập và thu thập thông tin.
Chuỗi tấn công
Điểm khởi đầu của chuỗi tấn công là việc khai thác các lỗ hổng bảo mật đã được biết đến nhằm xâm nhập vào các hệ thống chưa được vá, đồng thời triển khai web shell như Godzilla để duy trì quyền truy cập từ xa. Các web shell này đóng vai trò là phương tiện thực thi lệnh, hỗ trợ hoạt động trinh sát và cuối cùng dẫn đến việc cài đặt backdoor ShadowPad thông qua công cụ AnyDesk. Mã độc được thực thi bằng kỹ thuật DLL side-loading.
Ngoài ra, nhóm tấn công còn thực hiện khai thác lỗ hổng React2Shell (CVE-2025-55182) nhằm phát tán phiên bản Linux của mã độc Noodle RAT (còn được biết đến với tên ANGRYREBEL và Nood RAT). Chuỗi tấn công này được Google Threat Intelligence Group (GTIG) với nhóm UNC6595.
Mối liên hệ giữa các cụm tấn công, công cụ sử dụng và hạ tầng C2
Chiến dịch sử dụng các công cụ tunneling mã nguồn mở như IOX, GOST và Wstunnel để thiết lập kênh liên lạc ẩn, đồng thời sử dụng RingQ đóng gói mã độc nhằm né tránh phát hiện. Nhóm tấn công cũng triển khai Mimikatz để leo thang đặc quyền, và thực hiện di chuyển ngang trong hệ thống thông qua RDP launcher tùy chỉnh cùng công cụ Sharp-SMBExec.
Hai chiến dịch phishing do các nhóm tin tặc liên quan Trung Quốc thực hiện, được định danh là GLITTER CARP và SEQUIN CARP, đã nhắm mục tiêu vào các nhà báo và tổ chức xã hội dân sự, đặc biệt là những cá nhân liên quan đến các vấn đề nhạy cảm như Uyghur, Tibetan, Đài Loan và Hong Kong. Các chiến dịch này sử dụng kỹ thuật giả mạo danh tính nhằm thu thập thông tin, phục vụ mục đích gián điệp.
Mối liên hệ giữa domain tracking và mục tiêu tấn công
Các domain thu thập thông tin đăng nhập và mục tiêu liên quan
Các chiến dịch do GLITTER CARP và SEQUIN CARP sử dụng kỹ thuật phishing có chủ đích với các kịch bản giả mạo danh tính tinh vi, bao gồm giả mạo cá nhân quen biết và cảnh báo bảo mật từ các công ty công nghệ. Hạ tầng tấn công được tái sử dụng trên nhiều chiến dịch, bao gồm các domain và danh tính giả mạo, cho thấy mức độ chuẩn hóa và tổ chức cao.
Mục tiêu chính của các chiến dịch là chiếm quyền truy cập tài khoản email thông qua các kỹ thuật thu thập thông tin đăng nhập, trang phishing hoặc lừa nạn nhân cấp quyền OAuth. Ngoài ra, các email phishing còn sử dụng tracking pixel để xác định mức độ tương tác của nạn nhân.
Hoạt động tấn công cho thấy sự chồng lấn giữa nhiều cụm nhóm khác nhau, với dấu hiệu chia sẻ hạ tầng và kỹ thuật, cho thấy khả năng các nhóm này có mối liên hệ hoặc cùng thuộc một hệ sinh thái tấn công.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
2 MALWARE
Tháng 05/2026, đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:
| STT | Tiêu đề | Mô tả |
| 1 | Chiến dịch phát tán mã độc PlugX nhắm mục tiêu vào Việt Nam | NCS Threat Intelligence đã phát hiện và ghi nhận một chiến dịch phát tán mã độc PlugX nhắm mục tiêu vào Việt Nam, trong đó các tác nhân đe dọa sử dụng nhiều kỹ thuật tinh vi để xâm nhập và duy trì quyền kiểm soát trên hệ thống mục tiêu. |
| 2 | Chiến dịch phát tán mã độc TCLBANKER thông qua WhatsApp và Outlook nhắm vào các ngân hàng | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc ngân hàng TCLBANKER, lợi dụng các bộ cài phần mềm giả mạo và kỹ thuật DLL side-loading để triển khai mã độc trên hệ thống nạn nhân. Chiến dịch sử dụng nhiều cơ chế né tránh phân tích nhằm hạn chế bị phát hiện và chỉ kích hoạt payload trong các môi trường phù hợp. Sau khi lây nhiễm thành công, mã độc thực hiện đánh cắp thông tin đăng nhập, giám sát hoạt động người dùng và có khả năng lan truyền thông qua các nền tảng nhắn tin và thư điện tử nhằm mở rộng phạm vi lây nhiễm. |
2.1 Chiến dịch phát tán mã độc PlugX nhắm mục tiêu vào Việt Nam
NCS Threat Intelligence đã phát hiện và ghi nhận một chiến dịch phát tán mã độc PlugX nhắm mục tiêu vào Việt Nam, trong đó các tác nhân đe dọa sử dụng nhiều kỹ thuật tinh vi để xâm nhập và duy trì quyền kiểm soát trên hệ thống mục tiêu.
Chuỗi tấn công
Chiến dịch PlugX bắt đầu từ email lừa đảo chứa tệp ZIP giả mạo có tên là “Tin A5 chào xã giao Chủ tịch Hun Sen.zip”. Bên trong, tệp được ngụy trang dưới dạng tài liệu Word nhưng thực chất là shortcut (.LNK), khi mở sẽ thực thi PowerShell để khởi tạo chuỗi lây nhiễm. PowerShell đưa tệp tin tài liệu mồi vào thư mục “%TEMP%” và giải nén gói mã độc vào “%AppData%\Local”, bao gồm tệp thực thi hợp lệ, DLL độc hại và payload dạng “.DAT”. Tệp thực thi hợp lệ được sử dụng để thực hiện DLL side-loading, qua đó nạp và chạy payload PlugX trong bộ nhớ. Cuối cùng, mã độc thiết lập kết nối tới máy chủ C2 để nhận lệnh và duy trì hoạt động trên hệ thống bị nhiễm.
Chuỗi tấn công
Ở giai đoạn đầu tiên, file LNK chứa lệnh PowerShell được sử dụng để thực thi chuỗi lây nhiễm. Khi chạy, script tiến hành đọc nội dung của tệp ZIP ban đầu, trích xuất một phần dữ liệu được ẩn giấu bên trong và ghi ra tệp mới trong thư mục “%LocalAppData%”. Sau đó, tệp này được giải nén để triển khai các thành phần mã độc, bao gồm tệp thực thi hợp lệ và payload liên quan. Cuối cùng, script thực thi tệp EXE đã được giải nén nhằm kích hoạt giai đoạn tiếp theo của mã độc.
Nội dung độc hại của tệp tin shortcut (.lnk)
Bộ ba thành phần của PlugX
Trong giai đoạn thứ hai, tệp thực thi hợp lệ CNMNSST.exe được sử dụng để thực hiện kỹ thuật DLL side-loading, qua đó nạp thư viện độc hại CNCLID.dll. Sau khi được load, DLL này tiếp tục gọi hàm xuất GetLangID, đóng vai trò như điểm vào (entry point) của mã độc. Tại đây, mã độc khởi tạo các thành phần cần thiết, kiểm tra môi trường thực thi và tiến hành giải mã, nạp payload PlugX (tệp .DAT) vào bộ nhớ để thực thi các bước tiếp theo.
DLL side-loading qua CNMNSST.exe (GetLangID)
Tệp Canon.dat được mã hóa và không thể đọc trực tiếp dưới dạng văn bản thông thường. Nội dung hiển thị ở dạng dữ liệu nhị phân không có ý nghĩa, cho thấy payload đã được mã hóa/obfuscate nhằm tránh bị phân tích tĩnh. DLL độc hại sau khi được nạp sẽ chịu trách nhiệm giải mã tệp này và thực thi payload PlugX trong bộ nhớ.
Tệp Canon.dat bị mã hóa
Trong quá trình phân tích động, sau khi DLL độc hại tiến hành giải mã tệp Canon.dat, vùng nhớ thực thi xuất hiện header “MZ”, cho thấy payload đã được giải mã thành một tệp PE hợp lệ trong bộ nhớ. Từ đó, tiến hành dump bộ nhớ đã thu được một tệp thực thi độc hại hoàn chỉnh. Kết quả này xác nhận rằng Canon.dat thực chất chứa payload PlugX đã được mã hóa và chỉ được giải mã, triển khai dưới dạng PE trong quá trình thực thi.
PE độc hại dump từ bộ nhớ
Ở giai đoạn thứ ba, sau khi tệp CANON.DAT được giải mã, mã độc triển khai cơ chế duy trì (persistence). Bộ ba thành phần của PlugX được lưu trữ trong thư mục %LocalAppData%, bao gồm tệp thực thi hợp lệ, DLL độc hại và payload chính. Đồng thời, mã độc tạo một tài liệu Word giả mạo nhằm đánh lừa người dùng và một tệp tạm “tmp.dat” trong thư mục %TEMP% để phục vụ quá trình thực thi.
Tạo file tmp.dat trong thư mục temp
Cuối cùng, mã độc thực hiện việc kết nối đến máy chủ C2 có domain là “dalerocks.com”
Domain C2 của mã độc
Domain mã độc này được ghi nhận trong chiến dịch tấn công của PlugX đến các chính phủ của các nước Châu Âu được phát hiện vào đầu tháng 4 năm 2026.
Ghi nhận chiến dịch PlugX nhắm mục tiêu chính phủ Châu Âu
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
2.2 Chiến dịch phát tán mã độc TCLBANKER thông qua WhatsApp và Outlook nhắm vào các ngân hàng
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc ngân hàng TCLBANKER, lợi dụng các bộ cài phần mềm giả mạo và kỹ thuật DLL side-loading để triển khai mã độc trên hệ thống nạn nhân. Chiến dịch sử dụng nhiều cơ chế né tránh phân tích nhằm hạn chế bị phát hiện và chỉ kích hoạt payload trong các môi trường phù hợp. Sau khi lây nhiễm thành công, mã độc thực hiện đánh cắp thông tin đăng nhập, giám sát hoạt động người dùng và có khả năng lan truyền thông qua các nền tảng nhắn tin và thư điện tử nhằm mở rộng phạm vi lây nhiễm.
Chuỗi tấn công
Chuỗi tấn công
TCLBANKER là một mã độc ngân hàng sử dụng chuỗi lây nhiễm động với nhiều cơ chế chống phân tích, có khả năng triển khai đồng thời payload banking trojan và worm. Chiến dịch được ghi nhận phát tán thông qua tệp ZIP chứa bộ cài MSI độc hại, lợi dụng phần mềm hợp pháp đã được ký số của Logitech nhằm tăng độ tin cậy và né tránh phát hiện.
Sau khi thực thi, mã độc sử dụng kỹ thuật DLL side-loading để nạp DLL độc hại screen_retriever_plugin.dll thông qua ứng dụng hợp pháp LogiAiPromptBuilder.exe. DLL này giả mạo plugin Flutter hợp lệ và sẽ tự động được tải khi chương trình khởi chạy, từ đó giải mã và triển khai payload TCLBANKER trên hệ thống nạn nhân.
Nội dung thư mục tệp cho thấy sự hiện diện của DLL độc hại.
TCLBANKER triển khai nhiều cơ chế anti-analysis nhằm phát hiện debugger, sandbox và môi trường ảo hóa. Malware kiểm tra trạng thái debugger, hardware breakpoint, thông tin hệ thống, dung lượng RAM, CPU, vendor hypervisor và các dấu hiệu phân tích phổ biến trước khi giải mã payload. Ngoài ra, mã độc còn vô hiệu hóa ETW, chỉnh sửa DbgUiRemoteBreakin và giám sát sự hiện diện của nhiều công cụ phân tích như x64dbg, dnSpy, Process Hacker và Frida nhằm hạn chế bị điều tra.
Sau khi cài đặt các syscall stub, mã độc tiến hành chỉnh sửa hàm EtwEventWrite trong ntdll.dll nhằm vô hiệu hóa cơ chế ghi nhận telemetry ETW ở chế độ user-mode.
Chỉnh sửa hàm EtwEventWrite để vô hiệu hóa ETW.
TCLBANKER thực hiện kiểm tra sandbox bằng cách lấy mốc thời gian thông qua GetTickCount64(), sau đó gọi Sleep trong 500 ms và đo khoảng thời gian thực tế đã trôi qua. Nếu thời gian đo được nhỏ hơn 450 ms, mã độc sẽ dừng thực thi. Kỹ thuật này được sử dụng để phát hiện sandbox hoặc môi trường giả lập có cơ chế hook hàm Sleep nhằm bỏ qua thời gian chờ thực tế.
Kiểm tra Sandbox
Một trong những tính năng đáng chú ý của TCLBANKER là hàm thu thập thông tin môi trường dựa trên các tiêu chí sau:
- Kiểm tra anti-debugging
- Thu thập thông tin ổ đĩa hệ thống và kiểm tra bộ nhớ
- Kiểm tra ngôn ngữ hệ thống
Mã độc sử dụng các hằng số đặc biệt tương ứng với các trạng thái của từng nhóm kiểm tra, sau đó thực hiện phép XOR để tạo ra giá trị environment hash. Giá trị hash này đóng vai trò quan trọng vì nó ảnh hưởng trực tiếp đến quá trình giải mã các payload ở các giai đoạn tiếp theo.
Hàm tạo giá trị băm môi trường hệ thống.
Kiểm tra anti-debugging
Sau khi hoàn tất các bước kiểm tra môi trường, TCLBANKER sẽ dừng thực thi nếu phát hiện dấu hiệu phân tích. Nếu không có mã độc tiếp tục triển khai cơ chế anti-debugging bằng cách chỉnh sửa hàm DbgUiRemoteBreakin() thành lệnh ret, khiến các nỗ lực attach debugger từ xa không thể hoạt động và tiến trình malware tiếp tục chạy mà không bị tạm dừng.
Chỉnh sửa hàm DbgUiRemoteBreakin
Sau khi hoàn tất các bước kiểm tra môi trường, TCLBANKER sử dụng environmental hash để tạo khóa giải mã payload nhúng, sau đó giải nén và nạp trực tiếp .NET runtime vào tiến trình hiện tại để thực thi malware. Trước khi khởi chạy payload, mã độc thiết lập cơ chế watchdog nhằm giám sát hoạt động của tiến trình và hỗ trợ phát hiện môi trường phân tích.
Trong lần thực thi đầu tiên, TCLBANKER sao chép toàn bộ thư mục ứng dụng vào %LocalAppData%\LogiAI và sử dụng giá trị SHA-256 của các tệp .dll và .exe để kiểm tra tính toàn vẹn cũng như tránh sao chép lặp lại ở các lần chạy tiếp theo. Sau khi hoàn tất, malware khởi chạy bản sao mới từ thư mục cài đặt rồi kết thúc tiến trình ban đầu.
Để duy trì persistence, mã độc tạo scheduled task có tên RuntimeOptimizeService thông qua COM Task Scheduler. Tác vụ này được cấu hình chạy ẩn, tự kích hoạt khi người dùng đăng nhập và duy trì hoạt động lâu dài trên hệ thống.
Registry persistence
Sau khi thiết lập persistence, TCLBANKER gửi yêu cầu POST beacon đầu tiên tới máy chủ C2 nhằm đăng ký thông tin nạn nhân, bao gồm tên máy, tên người dùng và phiên bản hệ điều hành. Yêu cầu này sử dụng token xác thực được hardcode sẵn trong mã độc. Ngoài ra, biến thể mới của TCLBANKER còn tạo tệp debug C:\temp\tcl-debug.txt.
TCLBANKER liên tục giám sát URL trên trình duyệt đang hoạt động bằng cách sử dụng UI Automation để đọc thanh địa chỉ của các trình duyệt phổ biến như Chrome, Edge, Firefox, Brave, Opera và Vivaldi. Mã độc lấy cửa sổ foreground hiện tại, xác định tiến trình trình duyệt tương ứng và trích xuất URL đang truy cập nhằm phục vụ theo dõi hoạt động người dùng và kích hoạt các hành vi đánh cắp thông tin ngân hàng.
Giám sát URL trình duyệt thông qua UI Automation.
TCLBANKER cài đặt các hook WH_KEYBOARD_LL và WH_MOUSE_LL trên màn hình chính nhằm kiểm soát thao tác của người dùng. Malware chặn nhiều phím chức năng và thao tác chuột như Alt+F4, Escape, phím Windows, cuộn chuột hoặc chuột phải, trong khi vẫn cho phép click trái và di chuyển chuột để nạn nhân tiếp tục tương tác với các giao diện giả mạo do mã độc hiển thị
Khởi tạo cơ chế chặn thao tác chuột và bàn phím.
TCLBANKER tích hợp module worm nhằm mở rộng khả năng lây nhiễm thông qua các nền tảng liên lạc phổ biến. Malware sử dụng COM automation để tương tác với Microsoft Outlook và khai thác phiên đăng nhập WhatsApp Web nhằm tự động phát tán liên kết hoặc tệp độc hại tới danh bạ của nạn nhân. Ngoài khả năng lan truyền, module này còn hỗ trợ thu thập thông tin hệ thống, giám sát hoạt động người dùng và duy trì kết nối với máy chủ C2 để nhận lệnh điều khiển từ xa.
Thu thập danh bạ Outlook để phục vụ phát tán spam/phishing.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
3 LỖ HỔNG BẢO MẬT
3.1 Microsoft Patch Tuesday – May 2026
Trong tháng 05, Microsoft đã phát hành 138 lỗ hổng CVE mới trong Windows và các thành phần của Windows, Office và các thành phần Office, Microsoft Edge (dựa trên Chromium), Azure, .NET và Visual Studio, Copilot Chat, GitHub Copilot, M365 Copilot, SQL Server, TCP/IP và Telnet Client.
Trong đó có 30 lỗ hổng được đánh giá mức độ Critical, 3 lỗ hổng được đánh giá là Moderate, 1 lỗ hổng được đánh giá là Low, 104 lỗ hổng được đánh giá là Important.
Các lỗ hổng nổi bật ghi nhận trong tháng:
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Mức độ cảnh báo |
| 1 | CVE-2026-41096 | Windows DNS Client Remote Code Execution Vulnerability | Tồn tại lỗ hổng Heap-based buffer overflow trong Microsoft Windows DNS cho phép kẻ tấn công trái phép thực thi mã từ xa thông qua mạng. | Critical |
| 2 | CVE-2026-41089 | Windows Netlogon Remote Code Execution Vulnerability | Tồn tại lỗ hổng “code injection” trong Microsoft Dynamic 365 (on-premises) cho phép kẻ tấn công, đã được xác thực, thực thi mã từ xa qua mạng. | Critical |
| 3 | CVE-2026-40415 | Windows TCP/IP Remote Code Execution Vulnerability | Tồn tại lỗ hổng Use after free trong Windows TCP/IP cho phép kẻ tấn công trái phép thực thi mã từ xa thông qua mạng. | Important |
| 4 | CVE-2026-33110 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Tồn tại lỗ hổng do việc hủy tuần tự hóa dữ liệu không đáng tin cậy trong Microsoft Office Sharepoint cho phép kẻ tấn công đã xác thực, thực thi mã tùy ý trên hệ thống bị ảnh hưởng. | Important |
| 5 | CVE-2026-40365 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Tồn tại lỗ hổng do việc kiểm soát truy cập không đầy đủ trong Microsoft Office Sharepoint cho phép kẻ tấn công đã xác thực, thực thi mã tùy ý thông qua mạng trên hệ thống bị ảnh hưởng. | Critical |
| 6 | CVE-2026-42898 | Microsoft Dynamics 365 On-Premises Remote Code Execution Vulnerability | Tồn tại lỗ hổng “code injection” trong Microsoft Dynamic 365 (on-premises) cho phép kẻ tấn công, đã được xác thực, thực thi mã từ xa qua mạng. | Microsoft Dynamics 365 |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống.
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Sản phẩm | Mức độ cảnh báo |
| 1 | CVE-2026-0265 | Authentication Bypass with Cloud Authentication Service (CAS) enabled | Một lỗ hổng bypass xác thực trong phần mềm PAN-OS của Palo Alto Networks cho phép kẻ tấn công có quyền truy cập mạng vượt qua cơ chế kiểm soát xác thực khi tính năng Cloud Authentication Service (CAS) được bật. | PAN-OS | High |
| 2 | CVE-2026-23918 | Double free and possible RCE on early reset | Tồn tại lỗ hổng Double Free trong Apache HTTP Server, kẻ tấn công có thể lợi dụng lỗ hổng để thực thi mã từ xa thông qua giao thức HTTP/2 trên hệ thống bị ảnh hưởng. | Apache HTTP Server | Important |
| 3 | CVE-2026-20182 | Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability | Tồn tại lỗ hổng trong cơ chế xác thực peering của Cisco Catalyst SD-WAN Controller và Cisco Catalyst SD-WAN Manager có thể cho phép đối tượng tấn công từ xa, không cần xác thực, vượt qua cơ chế xác thực và chiếm quyền quản trị trên hệ thống bị ảnh hưởng. | Cisco Catalyst SD-WAN Controller & Cisco Catalyst SD-WAN Manager | Critical |
| 4 | CVE-2026-26083 | FortiSandbox Missing Authorization Vulnerability | Tồn tại lỗ hổng thiếu cơ chế phân quyền (CWE-862) trong giao diện WEB UI của FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS có thể cho phép kẻ tấn công thực thi mã hoặc lệnh trái phép thông qua các yêu cầu HTTP được tạo đặc biệt. | FortiSandbox& FortiSandbox Cloud & FortiSandbox PaaS | Critical |
| 5 | CVE-2026-42897 | Microsoft Exchange Server Spoofing Vulnerability | Tồn tại lỗ hổng XSS (Cross-Site Scripting) trên Microsoft Exchange Server do việc không xử lý đúng cách dữ liệu đầu vào trong quá trình tạo trang web, cho phép kẻ tấn công không được xác thực thực hiện hành vi giả mạo qua mạng. | Microsoft Exchange Server | Critical |
| 6 | CVE-2026-0300 | Unauthenticated user initiated Buffer Overflow Vulnerability in User-ID™ Authentication Portal | Tồn tại lỗ hổng Buffer Overflow trong dịch vụ User-ID Authentication Portal (còn gọi là Captive Portal) của phần mềm PAN-OS cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý với quyền root trên các tường lửa dòng PA-Series và VM-Series bằng cách gửi các gói tin được tạo đặc biệt. | PAN-OS | Critical |
| 7 | CVE-2026-41702 | TOCTOU local privilege escalation vulnerability | Tồn tại lỗ hổng TOCTOU (Time-of-check Time-of-use) xảy ra trong quá trình thực hiện một thao tác bởi tệp nhị phân SETUID, cho phép kẻ tấn công có quyền người dùng cục bộ không thuộc nhóm quản trị khai thác để leo thang đặc quyền lên root trên hệ thống đã cài đặt Fusion. | VMware Fusion | Important |
| 8 | CVE-2026-43284 & CVE-2026-43500 | Dirty Frag: Universal Linux LPE allows obtaining root privileges | Tồn tại lỗ hổng Dirty Flag là lỗ hổng mở rộng kết hợp của 2 lỗ hổng Dirty Pipe và Copy Fail, cho phép người dùng unauthorized leo thang đặc quyền quản trị (root) của một hệ thống do hai hàm esp_input (IPsec) và rxkad_verify_packet_1 (RxRPC) thực hiện giải mã in-place trực tiếp trên frag của sk_buff mà không gọi hàm skb_cow_data() để kiểm tra. Kẻ tấn công lợi dụng splice() để đưa page cache của một file hệ thống vào bên trong frag của sk_buff trên một kết nối IPsec hoặc RxRPC, khi kernel giải mã gói tin và ghi kết quả thẳng vào frag, sẽ vô tình ghi đè lên page cache của file hệ thống. | Linux | High |
| 9 | CVE-2026-46333 | ptrace: slightly saner ‘get_dumpable()’ logic | Lỗ hổng xuất phát từ việc hàm __ptrace_may_access() bỏ qua bước kiểm tra dumpable khi task->mm == NULL. Trong quá trình tiến trình thoát do_exit(), kernel thực thi exit_mm() trước exit_files(), dẫn tới trạng thái tiến trình đã giải phóng vùng nhớ mm nhưng các file descriptor vẫn còn tồn tại. Kẻ tấn công có thể lợi dụng khoảng thời gian race condition này để gọi pidfd_getfd(2) và chiếm quyền truy cập các file descriptor nhạy cảm nếu UID của tiến trình gọi trùng với UID của tiến trình mục tiêu, từ đó đọc các tệp thuộc quyền root hoặc đánh cắp dữ liệu nhạy cảm của hệ thống. | Linux | Important |
| 10 | CVE-2026-42945 | NGINX ngx_http_rewrite_module vulnerability | Tồn tại lỗ hổng trong module ngx_http_rewrite_module trên NGINX Plus và NGINX Open Source. Lỗ hổng xảy ra khi chỉ thị rewrite được theo sau bởi một chỉ thị rewrite, if hoặc set và sử dụng unnamed Perl-Compatible Regular Expression (PCRE) capture với chuỗi thay thế có chứa ký tự dấu hỏi (?). | NGINX | Critical |
| 11 | CVE-2026-34260 | SQL injection vulnerability in SAP S/4HANA (SAP Enterprise Search for ABAP) | Tồn tại lỗ hổng SQL Injection trong SAP S/4HANA (SAP Enterprise Search for ABAP) cho phép kẻ tấn công, đã được xác thực, chèn các câu lệnh SQL độc hại thông qua dữ liệu đầu vào do người dùng kiểm soát. Khai thác thành công dẫn đến truy cập trái phép tới các thông tin nhạy cảm và có thể gây sập ứng dụng | SAP S/4HANA | Critical |
| 12 | CVE-2026-34263 | Missing authentication check in SAP Commerce cloud configuration | Tồn tại lỗ hổng do cấu hình Spring Security không đúng trong SAP Commerce Cloud cho phép người dùng chưa xác thực, tải lên cấu hình độc hại và chèn mã, dẫn tới khả năng thực thi mã tùy ý trên hệ thống bị ảnh hưởng. | SAP Commerce cloud | Critical |
| 13 | CVE-2026-34259 | OS Command Injection Vulnerability in SAP Forecasting & Replenishment | Tồn tại lỗ hổng thực thi lệnh hệ điều hành trong SAP Forecasting Replenishment, cho phép kẻ tấn công, đã được xác thực và có quyền quản trị có thể lạm dụng một hàm chức năng non-remote-enabled để thực thi các lệnh hệ điều hành tùy ý. Khai thác thành công có thể cho phép kẻ tấn công đọc hoặc sửa đổi mọi dữ liệu hệ thống hoặc tắt hệ thống. | SAP Forecasting & Replenishment | High |
| 14 | CVE-2026-20223 | Cisco Secure Workload Unauthorized API Access Vulnerability | Tồn tại lỗ hổng do việc kiểm tra và xác thực không đầy đủ khi truy cập các endpoint API REST trên Cisco Secure Workload. Kẻ tấn công có thể gửi một API request được tạo đặc biệt để khai thác lỗ hổng, khai thác thành công cho phép kẻ tấn công đọc các thông tin nhạy cảm, thay đổi cấu hình hệ thống, thực hiện các hành động vượt qua ranh giới giữa các tenant (cross-tenant) với quyền tương đương người dùng Site Admin. | Cisco Secure Workload | Critical |
| 15 | CVE-2026-43494 | Reset op_nents when zerocopy page pin fails | Tồn tại lỗ hổng giải phóng bộ nhớ hai lần (double free) trong thành phần net/rds của Linux kernel do không reset đúng giá trị op_nents khi quá trình zerocopy page pin thất bại trong hàm rds_message_zcopy_from_user(). Điều này có thể khiến rds_message_purge() giải phóng lại các page đã được giải phóng trước đó.. | Linux | Medium |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
4 PHỤ LỤC
Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 05/2026.
4.1 Danh sách IoCs liên quan đến các chiến dịch tấn công
4.1.1 Chiến dịch khai thác lỗ hổng nghiêm trọng trên cPanel/WHM tại Đông Nam Á
Indicators of Compromise
SHA256
64674342041873dbb18b1dd9bb1ca391af85b5e755deffb4c1612ef668349325
974e272ad1dc7d5aadc3c7a48ec00eb201d04ba59ec5b0b17c2f8e9cd2f9c9cd
734f0d04dc2683e19e629b8ec7f55349b5bcff4eb4f2f36f6adbbde1c023a24f
1cfeadf01d24182362887b7c5f683e8bdb0e84cddce03e3b7564b2d9ab5d15cf
Network Indicators
95[.]111[.]250[.]175
delicate-dew[.]serveftp[.]com
4.1.2 Chiến dịch GriefLure nhắm mục tiêu vào các tổ chức trọng yếu tại Đông Nam Á
Indicators of compromise
SHA256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 Indicators
www[.]whatsappcenter[.]com
4.1.3 Chiến dịch InstallFix phát tán phần mềm độc hại nhắm vào khu vực Đông Nam Á
Indicators of compromise
| SHA-256 | SHA-1 |
| 2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97 | fba90ff98a50c55fee4ef03de6dc9249c8a7a4b1 |
| ec1206989449d30746b5ceb2b297cda9f3f09636a0e122ecafb40b1dc2e86772 | ce2480178287880610cbcef7155e64279837dfb0 |
| 2f04ba77bb841111036b979fc0dab7fcbae99749718ae1dd6fd348d4495b5f74 | 811fbf0ff6b6acabe4b545e493ec0dd0178a0302 |
Network Indicators
download-version[.]1-5-8[.]com
hosted-by[.]yeezyhost[.]net
oakenfjrod[.]ru
https://download-version[.]1-5-8[.]com/claude[.]msixbundle
185[.]177[.]239[.]255
77[.]91[.]97[.]244
104[.]21[.]0[.]95
4.1.4 Chiến dịch lừa đảo phát tán mã độc GoldFactory nhắm vào khu vực Đông Nam Á
Indicators of compromise
SHA1
004d80e0efe9ea4d572350e8ce4771dfa432f0a2
00fcb2abd35049ad3cc9a8a3e1aaba156c0770cf
02462bace6937e92f3d1ef35f08c4ad270082104
036aa79692470ad8d6a3bedb5da310af111317af
03a1bcd3ba59c02ce6c37699baa73a2c075a6644
041dcd27e1c77548f7d5897b43a6e1817cb3e9d0
045144bfd86e0cf8d884ec4668d074a8d6eb4ee1
047190859b100d017c3b651f488eef8eba98ad28
07701239a7003699a02aa97bfab46e7b92800949
0852fbee4372c194f429b8ec217a5699f56448dc
3f018345d993d0d8fd778c7f6f4667cc0e974dd4
49acba8d46b57fdd324f32735e0052750f51b844
6f474c2d89850f907f538921fd25bd52f0f99af0
7b5c154e4aaa51b3652dc685c2f21b6eb70c1440
b125aea155d1d14be40644ba50f31418c3f40ebc
ea87642a88788469e7aafc4657588b39709f1509
fd09c9c916436e13da1c204f1f4c276c159f198a
2a954c7c1d764493abc285c34e47525c211fe768
4bb5c9382fe37012017c88c6ac90afa2efeb2cbc
3bb475b9de75a5f1c6a941210b88b0c0f55f7005
3106aa0c8b260e36ece48b8a681353de76d69ca9
4911144aea43d00f6c7150766e4c0ab29c93d06e
9aab26a308f86ca137e6d6c171568a442e38abb6
f6627863f81cac5bf01664232473da47146f9d4c
075d8eeb5552da8524eb14a6ed72416e6e956aa3
c74dbe25d81bbe3c5e6177049ee393f6657fb799
cf9b8f3f1f795c3bdf0c14af66904ce8e2b95fff
Network Indicators
coretax-pajak[.]online
coretax-pajakonline[.]com
coretax-peralihan[.]com
coretax-registrasi[.]com
coretax-sinkronisasi[.]com
coretax.skjgo[.]com
coretax.svzgo[.]cc
coretax.vfbgo[.]com
coretaxlayanan[.]com
coretaxonline-pajak[.]com
coretaxpelayan[.]com
coretaxpelayananonline[.]com
coretaxperalihan[.]com
djp.otuind[.]cc
newsss[.]cc
newsss[.]net
ngovsss[.]com
onlinecoretaxpelayanan[.]com
pajak.abbgo[.]cc
pajak.abfigo[.]cc
pajak.crxind[.]com
pajak.dkhid[.]cc
pajak.jvcid[.]com
pajak.ksjvgo[.]cc
pajak.mghgo[.]cc
pajak.mvzgo[.]cc
pajak.mzfgo[.]cc
pajak.nbvgo[.]com
pajak.nsbid[.]com
pajak.oeixgo[.]cc
pajak.wpiego[.]cc
pajak.yhvgo[.]com
pajakcoretax[.]com
pelayanan-coretax[.]com
pelayananonlinecoretax[.]com
pelayananonlinepajak[.]com
pembaharuan-coretax[.]com
peralihan-coretax[.]com
peralihancoretax[.]com
registrasi-coretax[.]com
sinkronisasicoretax[.]com
sss-cgov[.]com
sss-gov[.]com
sss-negov[.]com
sss.aqego[.]cc
sss.sksgo[.]cc
sss.slhgo[.]cc
sss.sligo[.]cc
sssnegov[.]com
verifikasi-coretax[.]com
verifikasicoretax[.]online
verifikasicoretaxonline[.]com
djp.dvhid[.]cc
sso-tha[.]com
taspen.xufgo[.]com
sso-tha[.]net
sss-negov[.]com
172[.]67[.]175[.]60
172[.]67[.]221[.]239
104[.]21[.]31[.]66
172[.]67[.]172[.]152
172[.]67[.]171[.]82
137[.]220[.]194[.]7
172[.]67[.]221[.]248
4.1.5 Chiến dịch tấn công nhắm mục tiêu vào các tổ chức chính phủ tại khu vực Châu Á
Indicators of Compromise
SHA-256
a65483b86847995a67de0fcb2a5487cdbc96361cb2e9dea8ab74005c8fef65ce
5bf35daaf26508fc136157818ead48cc5c7fa3a3e6273cde2c757673586a78a6
41f74c3fc32752b5c7b88e7a5723441cb827958bc21b647fffae469407f1ce99
f19a67b9c8805b335676f0fc17495839327f8135f791aa11d5d9adba2c83cc1c
0c63857269205f6505c259a56ea53b23b2bf7432aabb8647d59b321232ca7e36
97ea803792929f802388e9d0e75a3c79c28260d589bc2d87902c73c729ed6f9e
0eb72c1f1605d999488d903021d82a9ff4b937e6c1a1da50c55440f018e83ad9
884601e54fc2e6833167d33436b68e952020cdb99507b2807feec1bc086027c2
e12c2682a7949661fa99bf46723a1405c658d109411de3bf6cb04c57337cc020
23c2ebc8f9bac96b2fbbb9b00b457c48d65a9f66ec24fbfba339eeefd0539ad7
c935ded2729f0513672e261170d73d4e0e13a9b837f104d840c44a39b84c0d71
188c72b101cd8ad96ef971e8943bddb3acd9dc45fe1d8719217d171e600a29aa
9dda789b85fce6294f91a79b7271a93de36dfcef21fc680dc2bf4235141e47df
f43748a809680a23272ec684a8cce9af071ad165c3b01acdcd7fe501a0949745
0eda83335334d3c877578326a5843d3e2a3b745834de27eac00b694262e2b1ed
0fff684fa209cb79ab1104da3cfbbf4c950078e14e54c2564d130abbd4e464a9
4f77b4fcfde7abb7e6d0e36104e433abfed3a9d9938bf7fbe0e9d1a0b2ccf265
a5477ff2b3d6d475558abf03878dff0cca98c20c17aae35a8ad8e99e03293f89
83e9f99a377566cf30df0ad71ca8522613b14d45e3e2eaead4a336509d26bef3
996fb4f7d1b3150490380c4ce9c7c3d60fac33bd6a7c1e3a46487021964cf3bb
3dffbfcb825a70e477474e88b18679557ef467de37fc26e45ddbe572f520c52a
2dd93edc8cc64747a7ca94b6827dc4e5b1e385d493ed4450272dd1dfc52a6255
5eb2122c4c645543966b07b94faccb5b4697561163382f21fb3b793b0d5cc9fe
eff699456ed4c5938d53afdb8df0836d7cb953ed933ed1a2899ec43f6f9e540b
75d0d5080afd091114818d082babc418ccb43d545d9fda1fb715af6c129b6e51
b8a2a9ca58fb2b383a52f8be75cae44f08f2c3f8907bd8661ee8a4a78fd7dda3
3f6382418d0137f6ecbef23bfd981938bb86a935b27203f5b053e3710e835f97
26f4c7f37448911310adf20e6e74aac60e92b97591f4ac9e5e21cc503be8da16
8df8282da75ebe6cf1a535739991e3f298f903974a05966503d7fd2919ecea4e
03a89ea5a8604e8bc09a4249211e20404a2c7047adda65a57deeb46abb1fb116
d083b6d82765faffe738ebd0678c8eb01c1f1fac8d3c51ffdfe40e34da3ce902
0c8c562ed7343d28c76d93a88bd0534440d0e71292ebcee66314d6d5c2f34403
55e929971a7975c7f9dfa4d677d5ec357af23a4ca208ef8f920804743e9011cd
165cc3a9a40e04c469e5c818943920f38dc48db2c2365f1a71bb52c9582f0ea9
1a5da90175ff7b55ddafcdb816adf574b92a112604019b219d82adab820fb3a2
4173c218efe31a6b36df714cf4e1073696f3acbe7edd1b7fcba01e4a2d923a27
Network Indicators
akountcenter[.]com
userportl[.]wine
signinacesspoint[.]com
entryfortify[.]com
entrnow[.]com
entruhub[.]com
signinacessint[.]com
brighterora[.]com
acctune[.]com
showthetrick[.]com
coincarp[.]cash
time[.]microsofttrends[.]com
erp[.]kaspersky[.]icu
dns[.]dnsmap[.]icu
cert[.]kaspersky[.]icu
news[.]kaspersky[.]icu
ns1[.]kaspersky[.]icu
ns2[.]kaspersky[.]icu
www[.]kaspersky[.]icu
dns[.]dnserver[.]life
nslookup[.]dnserver[.]life
router[.]dnserver[.]life
ww12[.]dnserver[.]life
ns1[.]group-ib[.]icu
ns2[.]group-ib[.]icu
www[.]group-ib[.]icu
check[.]dnsmaps[.]com
update[.]kaspersky[.]icu
check[.]office365-update[.]com
zimbra-beta[.]info
zimbra[.]life
microsi0ft[.]com
141[.]164[.]46[.]77
96[.]9[.]125[.]227
194[.]38[.]11[.]3
209[.]141[.]40[.]254
45[.]61[.]62[.]172
hxxp://209[.]141[.]40[.]254:8443/update
4.2 Danh sách IoCs liên quan đến mã độc
4.2.1 Chiến dịch phát tán mã độc PlugX nhắm mục tiêu vào Việt Nam
Indicators of Compromise
SHA-256
418ad90fc83a0d5aaccff49af2b307ff048448d77ad30f374d9e3c345b76ad62
81982c5f43b46c3dcb66f849942976dab0fe850ac2b207ef011e6927646d2f53
30f2a49ddba3f7a1b76124c112b6d01da4d440754f63441e12b1e30672a7ec0c
46fe8a4218d495fe19d619184e44bb1bd21605317d75485ad5089c52e223aab2
1e05e5ec247641bfcfa51ea16d45a5330a8bcd2d4d5c8593be375c3e2acf9b82
f93923341c3e4b43015a2a1ca0b21ec115035447f2398eaea1aff1377f6d9d5d
504fbe8ad953e5ba270fe0e25fbb494c3360dde794451ae241b52aa9a62f80bb
7ba9c652b8cad91cb764a641def3dd9c559cb035e154015d0eac1cf935c89759
Network Indicators
dalerocks[.]com
4.2.2 Phân tích mã độc Quasar Linux RAT nhắm vào chuỗi cung ứng phần mềm
Indicators of Compromise
SHA256
Ea1d34b21b739a6bbf89b3f7e67978005cf7f3eda612cefc7eac1c8ead7c5545
82daa93219ba40a6e41cdf3174ba57eb5d3383d1cd805584e9954eb0200182a1
42d0c420eb5fe181388f2e4f0b7d7c0d302971e7a06fdc1bec481b68c8ccae1f
C99cf0dc1ef1057d713cb082acaf42e4df4656809c91741752bddcab39bbfaca
Ea89caab82181881d971be312412795051f6322b105c8b9d29cfb5729fab8d33
417430b2d4ae8d005224a9ff5dcb4007d452338acbcbcbb62c4e8ed1a70552dd
D55549d5655e2f202e215676f4bdb0994ea08a93d15ec4ded413f64cfa7facc8
4.2.3 Chiến dịch phát tán mã độc TCLBANKER thông qua WhatsApp và Outlook nhắm vào các ngân hàng
Indicators of Compromise
SHA256
701d51b7be8b034c860bf97847bd59a87dca8481c4625328813746964995b626
8a174aa70a4396547045aef6c69eb0259bae1706880f4375af71085eeb537059
668f932433a24bbae89d60b24eee4a24808fc741f62c5a3043bb7c9152342f40
63beb7372098c03baab77e0dfc8e5dca5e0a7420f382708a4df79bed2d900394
Network Indicators
campanha1-api[.]ef971a42[.]workers[.]dev
mxtestacionamentos[.]com
documents[.]ef971a42[.]workers[.]dev
arquivos-omie[.]com
documentos-online[.]com
afonsoferragista[.]com
doccompartilhe[.]com
recebamais[.]com
