THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 06 – 2026
Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs
Trong tháng 06/2026, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:
|
STT |
Tên chiến dịch |
Mô tả |
| 1 | Chiến dịch gián điệp của nhóm OceanLotus nhắm mục tiêu vào Việt Nam | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công có chủ đích của nhóm APT OceanLotus (APT32), triển khai backdoor SPECTRALVIPER nhắm vào các tổ chức và cá nhân thuộc lĩnh vực tài chính – hạ tầng tại Việt Nam trong giai đoạn 2024–2026. |
| 2 | Chiến dịch phát tán mã độc WeedHack nhắm mục tiêu vào Việt Nam | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc WeedHack, một nền tảng Malware-as-a-Service (MaaS) lợi dụng cộng đồng người chơi Minecraft để phân phối các tệp mod giả mạo. Mã độc được thiết kế nhằm đánh cắp thông tin nhạy cảm như tài khoản, cookie trình duyệt, ví tiền điện tử và dữ liệu hệ thống, đồng thời có khả năng mở rộng thành công cụ điều khiển từ xa (RAT) trong các phiên bản nâng cao. Chiến dịch nhắm mục tiêu vào nhiều quốc gia trong đó có Việt Nam và chủ yếu là vào người dùng trẻ tuổi thông qua các kênh như YouTube và website giả mạo, kết hợp kỹ thuật che giấu hạ tầng điều khiển (C2) dựa trên blockchain nhằm gia tăng khả năng né tránh phát hiện. |
| 3 | Chiến dịch FortiBleed và nguy cơ đối với các tổ chức sử dụng Fortinet tại Việt Nam | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công quy mô lớn nhắm vào các thiết bị tường lửa và VPN gateway Fortinet, được đặt tên “FortiBleed”. Chiến dịch được thực hiện bởi một nhóm tội phạm mạng nói tiếng Nga, sử dụng phương thức dò quét diện rộng kết hợp credential stuffing để xâm nhập các thiết bị FortiGate bị lộ trên Internet, sau đó duy trì truy cập lâu dài và đánh cắp thông tin xác thực hợp lệ phục vụ cho các đợt tấn công tiếp theo. |
Thông tin chi tiết các chiến dịch:
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công có chủ đích của nhóm APT OceanLotus (APT32), triển khai backdoor SPECTRALVIPER nhắm vào các tổ chức và cá nhân thuộc lĩnh vực tài chính – hạ tầng tại Việt Nam trong giai đoạn 2024–2026.
Trong giai đoạn 2024–2026, OceanLotus tiến hành hai chiến dịch tấn công riêng biệt, đều sử dụng SPECTRALVIPER làm backdoor chính nhưng nhắm vào hai nhóm mục tiêu khác nhau.
Chiến dịch 1: Tấn công FireAnt MetaKit

Chuỗi tấn công chiến dịch FireAnt
Do thiếu cơ chế xác thực chữ ký số, Metakit.exe thực thi downloader độc hại dưới dạng bản cập nhật hợp lệ. Sau khi khởi chạy, downloader thu thập thông tin cơ bản của hệ thống và gửi đến staging server thông qua HTTP POST request tới endpoint V1/Update/GetUpdate để tải payload giai đoạn tiếp theo. Cơ sở hạ tầng C2 có sự thay đổi trong quá trình chiến dịch, từ 139[.]162[.]11[.]152 sang 142[.]91[.]98[.]77.

Yêu cầu tải xuống của Downloader
Tại giai đoạn tiếp theo, downloader triển khai cơ chế DLL side-loading sử dụng DtlCrashCatch.dll — SPECTRALVIPER ở chế độ loader — kết hợp với IntelAudioService.exe, một bản sao đổi tên của file thực thi hợp lệ dtlupdate.exe. DtlCrashCatch.dll sau đó inject vào tiến trình OneDrive.Sync.Service.exe để chuyển sang chế độ backdoor, thiết lập kết nối C2 tới financemachinelearning[.]com bằng cách nhúng thông tin hệ thống được mã hóa vào HTTP Cookie header với prefix zd_cs_pm=, thay thế cho prefix euconsent-v2= được sử dụng trong các chiến dịch trước. Hoạt động phát tán payload độc hại qua kênh cập nhật FireAnt MetaKit chấm dứt từ ngày 09/03/2026.
Chiến dịch 2: Tấn công Tổng công ty Xây dựng Giao thông Việt Nam
OceanLotus xâm nhập mạng nội bộ của một tập đoàn xây dựng hạ tầng và giao thông tại Việt Nam từ tháng 11/2024 đến tháng 02/2026. Phương thức xâm nhập ban đầu chưa được xác định, nhưng nghi vấn khai thác lỗ hổng RCE trên Microsoft SQL Server. Sau khi có foothold, nhóm triển khai SPECTRALVIPER thông qua cơ chế DLL side-loading với ba biến thể khác nhau được phát hiện trên nhiều máy trong cùng mạng nội bộ. Backdoor kết nối C2 tại gatewayrvcenter[.]com để truyền thông tin hệ thống và nhận lệnh, đồng thời hỗ trợ lateral movement và inject payload bổ sung vào các tiến trình đích.

So sánh các mẫu SPECTRALVIPER được phát hiện trên cùng một mạng
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán mã độc WeedHack, một nền tảng Malware-as-a-Service (MaaS) lợi dụng cộng đồng người chơi Minecraft để phân phối các tệp mod giả mạo. Mã độc được thiết kế nhằm đánh cắp thông tin nhạy cảm như tài khoản, cookie trình duyệt, ví tiền điện tử và dữ liệu hệ thống, đồng thời có khả năng mở rộng thành công cụ điều khiển từ xa (RAT) trong các phiên bản nâng cao. Chiến dịch nhắm mục tiêu vào nhiều quốc gia trong đó có Việt Nam và chủ yếu là vào người dùng trẻ tuổi thông qua các kênh như YouTube và website giả mạo, kết hợp kỹ thuật che giấu hạ tầng điều khiển (C2) dựa trên blockchain nhằm gia tăng khả năng né tránh phát hiện.
Chuỗi tấn công

Chuỗi tấn công
Chiến dịch WeedHack được khởi phát thông qua các kỹ thuật SEO poisoning và video YouTube độc hại, dẫn dụ nạn nhân tải xuống các bản mod và client Minecraft giả mạo được đóng gói dưới dạng tệp JAR. Khi được thực thi, payload giai đoạn đầu, điển hình như DonutDupe.jar, sẽ tự khởi chạy lại thông qua tiến trình javaw.exe nhằm tránh hiển thị cửa sổ console. Sau đó, mã độc đọc một định danh khách hàng duy nhất từ tệp nội bộ “fabric.api.json”, cho phép liên kết nạn nhân với một khách hàng cụ thể trong mô hình Malware-as-a-Service xuyên suốt chuỗi tấn công.

Payload của giai đoạn tấn công đầu tiên
Đối với hoạt động liên lạc với máy chủ điều khiển (C2), mã độc sử dụng kỹ thuật được gọi là EtherHiding. Payload giai đoạn đầu tiến hành giải mã danh sách gồm 32 domain máy chủ Ethereum JSON-RPC, một địa chỉ smart contract và một khóa công khai RSA được nhúng sẵn. Sau đó, mã độc truy vấn blockchain Ethereum để lấy về domain C2 của giai đoạn tiếp theo. Địa chỉ C2 này được đính kèm chữ ký RSA, và mã độc sẽ xác thực chữ ký trước khi kết nối tới máy chủ nhằm tải xuống payload giai đoạn hai. Payload này được phân phối dưới dạng các byte thô và được nạp trực tiếp vào bộ nhớ thông qua một Class Loader tùy chỉnh.
Payload giai đoạn hai, Elevator.jar, được làm rối bằng JNIC – một công cụ obfuscation chuyển đổi bytecode Java thành mã C native được chứa trong một DLL. Mã độc thực hiện bypass UAC bằng cách lợi dụng CMSTP kết hợp với một tệp INF độc hại, từ đó thực thi một VBScript để khởi chạy lại payload với quyền nâng cao. Sau khi có được đặc quyền cao hơn, mã độc tiếp tục thực thi tập lệnh WinDefConfig.cmd nhằm thêm 13 đường dẫn loại trừ và 15 tiến trình loại trừ vào Windows Defender, qua đó né tránh cơ chế phát hiện trong các hoạt động tiếp theo.

dev.majanito.Main class
Sau khi nâng cao đặc quyền, mã độc tiến hành thu thập thông tin hệ thống bằng cách ghi nhận các thông số như hệ điều hành, CPU, GPU và dung lượng RAM, đồng thời quét các mạng Wi-Fi lân cận và truy vấn tài khoản Mullvad VPN của người dùng. Tiếp đó, mã độc chụp ảnh màn hình và thực hiện đánh cắp Discord token, cookie trình duyệt và mật khẩu thông qua thư viện chromedriver.dll được thả xuống hệ thống.
Toàn bộ dữ liệu thu thập được sẽ được tổng hợp vào một cơ sở dữ liệu SQLite cục bộ và gửi về máy chủ C2. Sau đó, mã độc tiếp tục tải xuống và thực thi payload giai đoạn ba, SecurityManager.jar, vào thư mục AppData.

WinDefConfig.cmd
Payload giai đoạn ba, SecurityManager.jar, đóng vai trò như một stager và thiết lập cơ chế duy trì (persistence) trên hệ thống. Mã độc tạo một khóa registry Run và một scheduled task có tên “JavaSecurityUpdater” nhằm thực thi script “Updater.vbs” khi người dùng đăng nhập với quyền cao nhất, qua đó đảm bảo mã độc luôn được kích hoạt liên tục.
Ngoài ra, mã độc thêm toàn bộ thư mục “C:\Users” vào danh sách loại trừ của Windows Defender để né tránh phát hiện, trước khi tải xuống và thực thi payload cuối là component.jar. Payload này triển khai các thành phần chính phục vụ điều khiển từ xa (RAT) và đánh cắp thông tin trên hệ thống nạn nhân.

Lệnh sửa đổi Registry key
Ở giai đoạn cuối, mã độc triển khai hai tệp thực thi. Tệp thứ nhất, RuntimeBroker.exe, hoạt động như một backdoor cho phép truy cập desktop từ xa và webcam, đồng thời kết nối tới máy chủ C2 thông qua giao thức WebSocket. Mã độc thiết lập các quy tắc tường lửa cho chính nó và xây dựng cơ chế duy trì dạng watchdog thông qua một scheduled task thứ hai có tên “JMonitoringTask”, có nhiệm vụ thực thi lại payload giai đoạn ba mỗi hai phút.
Tệp thực thi thứ hai, Telemetry.exe, là một infostealer nhắm mục tiêu vào thông tin xác thực của Telegram và các ví tiền điện tử, sau đó gửi dữ liệu đánh cắp được tới một máy chủ C2 riêng biệt.

Các tập lệnh của RuntimeBroker
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch tấn công quy mô lớn nhắm vào các thiết bị tường lửa và VPN gateway Fortinet, được đặt tên “FortiBleed”. Chiến dịch được thực hiện bởi một nhóm tội phạm mạng nói tiếng Nga, sử dụng phương thức dò quét diện rộng kết hợp credential stuffing để xâm nhập các thiết bị FortiGate bị lộ trên Internet, sau đó duy trì truy cập lâu dài và đánh cắp thông tin xác thực hợp lệ phục vụ cho các đợt tấn công tiếp theo.
Phương thức và quy mô tấn công
Nhóm tấn công thực hiện việc dò quét tự động trên diện rộng nhằm phát hiện các thiết bị FortiGate bị lộ trên Internet, sau đó kiểm thử thông tin xác thực dựa trên các tập dữ liệu mật khẩu bị lộ trước đó (credential leaks). Sau khi chiếm được quyền truy cập, kẻ tấn công có khả năng giám sát lưu lượng đi qua thiết bị nhằm tiếp tục thu thập thêm thông tin xác thực, tạo thành một vòng lặp truy cập trái phép liên tục.
Quy mô và kỹ thuật tấn công được ghi nhận như sau:
Việt Nam nằm trong nhóm 30 quốc gia bị ảnh hưởng nhiều nhất với 1.038 thiết bị bị xâm nhập, đồng thời được xác nhận đã có trường hợp xâm nhập toàn diện vào hệ thống mạng nội bộ của tổ chức.

Top 30 quốc gia bị ảnh hưởng nhiều nhất
Tổ chức bị ảnh hưởng
Trong tập dữ liệu bị rò rỉ, ghi nhận thông tin xác thực đã được xác minh hoạt động (working credentials) thuộc về nhiều tổ chức đa quốc gia quy mô lớn, bao gồm Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, cùng hàng nghìn tổ chức khác thuộc nhiều lĩnh vực, trong đó có các cơ quan chính phủ và đơn vị hạ tầng trọng yếu. Theo phân loại ngành nghề, IT Services, Viễn thông (Telecommunications) và lĩnh vực Xây dựng (Construction) là các nhóm ngành chịu ảnh hưởng nhiều nhất.
Để giảm thiểu tác động của chiến dịch đối với hệ thống, NCS khuyến nghị quý khách hàng thực hiện:
Khuyến nghị:
Trong tháng 06/2026, hệ thống Threat Intelligence của NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau.
|
STT |
Tiêu đề |
Mô tả |
|
1 |
Chiến dịch phát tán mã độc PureLogs lợi dụng phần mềm MSBuild.exe | NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán biến thể mã độc PureLogs thông qua email lừa đảo, qua đó dụ nạn nhân mở tệp nén RAR chứa mã JavaScript độc hại. Sau khi được thực thi, mã độc lần lượt giải mã PowerShell, nạp các mô-đun .NET trong bộ nhớ và lợi dụng tiến trình hợp pháp MSBuild.exe để thực hiện kỹ thuật process hollowing, giúp che giấu hoạt động và né tránh phát hiện. Chiến dịch hướng đến việc đánh cắp dữ liệu nhạy cảm trên thiết bị Windows, bao gồm thông tin trình duyệt, ví tiền điện tử và dữ liệu hệ thống, sau đó mã hóa và gửi về máy chủ điều khiển của đối tượng tấn công. |
|
2 |
Chiến dịch APT phát tán mã độc giả mạo CV nhắm mục tiêu vào Việt Nam | NCS Threat Intelligence theo dõi và ghi nhận chiến dịch phát tán mã độc thông qua tệp LNK giả mạo CV ứng tuyển nhắm vào người dùng tại Việt Nam. Trong chiến dịch này, kẻ tấn công sử dụng kỹ thuật giả mạo tệp hình ảnh — đặt tên tệp LNK với phần mở rộng .png.lnk — nhằm đánh lừa nạn nhân tin rằng đây là tệp đính kèm thông thường. Khi được thực thi, mã độc triển khai một chuỗi lệnh nhiều tầng với kỹ thuật obfuscation tinh vi, âm thầm thiết lập cơ chế tồn tại lâu dài trên hệ thống thông qua Scheduled Task, thu thập thông tin phần mềm bảo mật đang hoạt động và gửi về máy chủ điều khiển, đồng thời tải xuống payload giai đoạn cuối giả mạo phần mềm TeamViewer phục vụ mục đích kiểm soát từ xa. |
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về một chiến dịch phát tán biến thể mã độc PureLogs thông qua email lừa đảo, qua đó dụ nạn nhân mở tệp nén RAR chứa mã JavaScript độc hại. Sau khi được thực thi, mã độc lần lượt giải mã PowerShell, nạp các mô-đun .NET trong bộ nhớ và lợi dụng tiến trình hợp pháp MSBuild.exe để thực hiện kỹ thuật process hollowing, giúp che giấu hoạt động và né tránh phát hiện. Chiến dịch hướng đến việc đánh cắp dữ liệu nhạy cảm trên thiết bị Windows, bao gồm thông tin trình duyệt, ví tiền điện tử và dữ liệu hệ thống, sau đó mã hóa và gửi về máy chủ điều khiển của đối tượng tấn công.
Chuỗi tấn công

Chuỗi tấn công
Khi nạn nhân mở tệp nén, một tệp JavaScript đã được làm rối mã sẽ được thực thi. Tệp này là bước khởi đầu của chuỗi tấn công. Mã độc sau đó âm thầm giải mã tập lệnh PowerShell ẩn giấu bên trong và ghi xuống thư mục tạm thời trên hệ thống.

Email phishing liên quan đến chiến dịch
Bên trong tệp nén RAR đính kèm có chứa tệp JavaScript độc hại tên kpankocrs.js. Hình dưới đây minh họa đoạn mã JavaScript đã được làm rối.

Đoạn mã JavaScript bị làm rối
Sau khi được thực thi, tệp JavaScript sẽ giải mã một đoạn mã PowerShell và ghi nó vào một tệp .ps1 cục bộ có tên ngẫu nhiên
(Ví dụ: ps_qnSEGUkU0LIY_1777592585573.ps1) trong thư mục C:\\Temp.
Đoạn mã JavaScript sau đó thực thi tệp PowerShell theo lệnh sau:

Đoạn lệnh JavaScript sử dụng để thực thi PowerShell
Sau khi thực thi đoạn mã trên, CMD sẽ nhận giá trị
PowerShell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File “C:\Temp\ps_qnSEGUkU0LIY_1777592585573.ps1”.
Đoạn mã SHELL[V5(0x108)](CMD) được phân giải thành SHELL[“Run”](CMD), qua đó thực thi tệp PowerShell đã được ghi xuống trước đó.

File PowerShell được thực thi
File PowerShell được drop chứa một khối dữ liệu lớn được mã hóa rồi encode Base64. Dữ liệu được giải mã Base64 trước, sau đó được giải mã bằng phương pháp XOR-with-rotation. Kết quả là một PowerShell script fileless được thực thi thông qua Invoke-Expression {PowerShell code}.

Thực thi mã PowerShell sau khi giải mã
Script PowerShell fileless tải hai module .NET vào memory và thực hiện process hollowing thông qua Invoke-AssemblyMethod. Module đầu tiên (MAFF) chứa logic hollowing, được gọi qua phương thức MAFF.ProcessHollowing.Execute() với hai tham số: đường dẫn hardcode tới MsBuild.exe làm tiến trình mục tiêu, và module thứ hai (Iwnflr.exe) là payload thực sự được inject vào.
Quá trình hollowing gọi lần lượt các Windows API: CreateProcessA() tạo tiến trình MsBuild.exe ở trạng thái suspended, ZwUnmapViewOfSection() gỡ bỏ code gốc, sau đó dùng VirtualAllocEx(), WriteProcessMemory() để ghi payload vào, cuối cùng SetThreadContext() và ResumeThread() để chuyển luồng thực thi sang payload độc hại.

Process Hollowing – CreateProcessA()
Module Iwnflr.exe (chạy bên trong tiến trình MsBuild.exe sau khi hollowing) giải nén và thực thi downloader module từ resource nội bộ. Cụ thể, mã độc gọi ResourceManager.GetObject() với tên resource “Eqxcpvgf.Ybrgdoxas” để load dữ liệu — đây là kỹ thuật phổ biến nhằm ẩn payload trong resource section thay vì để lộ ra dưới dạng file riêng biệt, giúp tránh bị phát hiện bởi static analysis.

Load resource được đặt tên bằng phương thức GetObject()
Dữ liệu resource sau khi load được giải mã bằng DES, tiếp theo được gunzip để khôi phục một .NET module (Rmiyj.dll) trực tiếp trong memory — đây chính là downloader module của malware. Module này được nạp qua Reflection.Assembly.Load() và entry point được gọi trực tiếp, với tên hàm bị obfuscate nặng: iyvIXAqfXvogv46vck.opr2xfZUr15bo4oEyY.zYwtW19n4().

Gọi phương thức entry point của downloader module
Downloader module load một configuration block từ resource nội bộ, chứa địa chỉ C2 server và AES key. Trước tiên nó gửi GET request tới /ping để kiểm tra C2 còn hoạt động không, sau đó gửi POST request tới /plugin để tải plugin.
POST body gồm random IV và dữ liệu AES-encrypted (payload \x42\x00 đã được GZIP nén) — \x42\x00 là plugin ID, C2 phản hồi bằng module tương ứng. Dữ liệu nhận về được AES decrypt (dùng key từ config và IV lấy từ 16 byte đầu response), sau đó GUNZIP để khôi phục plugin module trong memory.
Module này được load và thực thi ngay trong tiến trình MsBuild.exe hiện tại, cho phép malware mở rộng chức năng động theo lệnh từ C2. Trong chiến dịch này, downloader chỉ request duy nhất plugin \x42\x00.

Get request được gửi tới máy chủ C2
Plugin module(zgSGkYYzqVe.dll) là một biến thể PureLogs fileless, tồn tại hoàn toàn trong memory. Qua phân tích sau khi dump ra file, xác định đây là .NET DLL được bảo vệ bởi công cụ obfuscation thương mại, có thể là .NET Reactor hoặc IntelliLock.
Khi được downloader load, module này được gọi tại entry point method, nhận tham số là configuration block từ downloader được encode dưới dạng Base64.
PureLogs plugin có chức năng chính là thu thập dữ liệu nhạy cảm từ hệ thống nạn nhân. Trong gói userinfo, dữ liệu thu thập gồm: screenshot JPEG, phần mềm antivirus đang cài, tên build, tên OS, thông tin CPU, đường dẫn tiến trình hiện tại, username, độ phân giải màn hình, dung lượng RAM, clipboard và thời gian hệ thống.
Toàn bộ dữ liệu được serialize, nén bằng GZip, mã hóa AES với key từ configuration block, rồi gửi về C2 qua POST request.

Post packet có chứa dữ liệu của nạn nhân bị mã hoá
PureLogs plugin thu thập dữ liệu từ nhiều nguồn: credentials/cookie/lịch sử duyệt web từ hàng chục trình duyệt phổ biến (Chrome, Edge, Firefox, CocCoc…); token xác thực Discord cho phép chiếm tài khoản không cần mật khẩu; dữ liệu ví cryptocurrency (private key, transaction history, cached credentials) từ hơn 40 loại ví; và credentials từ các ứng dụng như Outlook, FileZilla, OpenVPN, ProtonVPN. Mỗi loại dữ liệu được nén GZip, mã hóa AES rồi gửi về C2 qua các POST endpoint riêng biệt (/browser, /discord, /crypto, /application).
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
NCS Threat Intelligence theo dõi và ghi nhận chiến dịch phát tán mã độc thông qua tệp LNK giả mạo CV ứng tuyển nhắm vào người dùng tại Việt Nam. Trong chiến dịch này, kẻ tấn công sử dụng kỹ thuật giả mạo tệp hình ảnh — đặt tên tệp LNK với phần mở rộng .png.lnk — nhằm đánh lừa nạn nhân tin rằng đây là tệp đính kèm thông thường. Khi được thực thi, mã độc triển khai một chuỗi lệnh nhiều tầng với kỹ thuật obfuscation tinh vi, âm thầm thiết lập cơ chế tồn tại lâu dài trên hệ thống thông qua Scheduled Task, thu thập thông tin phần mềm bảo mật đang hoạt động và gửi về máy chủ điều khiển, đồng thời tải xuống payload giai đoạn cuối giả mạo phần mềm TeamViewer phục vụ mục đích kiểm soát từ xa.
Chuỗi tấn công

Chuỗi tấn công
Đầu tiên, chiến dịch sử dụng kỹ thuật spear-phishing có chủ đích, trong đó kẻ tấn công giả mạo tệp CV ứng tuyển để nhắm vào nạn nhân cụ thể. Tệp độc hại được đặt tên theo định dạng “masterpdf.com_cv_nguyen_van_thinh.png.lnk”, kết hợp tên miền giả mạo dịch vụ PDF hợp lệ cùng tên người thật nhằm tạo độ tin cậy. Phần mở rộng kép “.png.lnk” lợi dụng cấu hình mặc định của Windows ẩn phần mở rộng tệp, khiến nạn nhân nhìn thấy tên tệp kết thúc bằng .png và nhầm tưởng đây là ảnh đính kèm thông thường. Kỹ thuật này đặc biệt hiệu quả trong các tình huống tuyển dụng, nơi việc nhận và mở tệp CV từ người lạ là hành vi bình thường và ít gây nghi ngờ.

File shortcut giả mạo CV
Bên trong tệp LNK, phần command line được obfuscate thông qua kỹ thuật tách chuỗi ký tự bằng vòng lặp for /f kết hợp biến môi trường động, nhằm che giấu nội dung thực thi khỏi các giải pháp bảo mật phân tích tĩnh. Ngoài ra, kẻ tấn công sử dụng kỹ thuật case mixing trên các lệnh hệ thống (cUrl, eXPloReR, sCHtAsKs) để bypass các quy tắc phát hiện dựa trên so khớp chuỗi.

Đoạn mã bên trong file LNK bị mã hoá
Sau khi giải mã, payload được tiết lộ là một chuỗi lệnh batch nhiều tầng thực hiện tuần tự các hành vi độc hại.

Đoạn mã sau khi giải mã
Script thiết lập các biến môi trường để định nghĩa đường dẫn lưu trữ và địa chỉ C2, sau đó tạo Scheduled Task giả mạo tên Windows Update 2026-1-48 để duy trì persistence trên hệ thống. Mã độc thực hiện đặt lịch cho “Windows Update 2026-1-48” chạy lặp lại mỗi 30 phút, đảm bảo payload được thực thi liên tục ngay cả khi tiến trình bị ngắt. Thư mục lưu trữ payload được đặt tên “242 7” tại %APPDATA%

Lặp lịch hệ thống “Windows Update 2026-1-48”
Chức năng của task là sử dụng conhost.exe để thực thi lệnh có trong tệp tại đường dẫn:
“C:\Users\{Users}\AppData\Local\Temp\242 7 1”

Task của mã độc
Sau khi Scheduled Task được kích hoạt, script thực hiện kiểm tra sự tồn tại của tệp DLL trong thư mục “%APPDATA%\242 7\” trước khi tiến hành các bước tiếp theo – cơ chế này giúp tránh cài đặt lại payload trong trường hợp hệ thống đã bị xâm phạm thành công. Tiếp theo, script thu thập danh sách phần mềm bảo mật đang hoạt động trên hệ thống thông qua WMI namespace root\securitycenter2, mã hóa kết quả dưới dạng hex bằng certutil và gửi về máy chủ C2 qua HTTP POST đến endpoint “/europa/login[.]php” – cho phép kẻ tấn công đánh giá môi trường mục tiêu trước khi triển khai payload giai đoạn tiếp theo. Sau khi hoàn tất thu thập thông tin, script tải xuống tệp ZIP chứa payload chính từ máy chủ C2, lưu dưới dạng tệp .txt để qua mặt các giải pháp bảo mật kiểm tra theo phần mở rộng, sau đó giải nén và thực thi “TeamViewer.exe” thông qua “conhost.exe –headless” nhằm ẩn hoàn toàn cửa sổ thực thi khỏi người dùng. Cuối cùng, tệp ZIP được xóa khỏi disk để xóa dấu vết sau khi payload đã được triển khai thành công.

Script được sử dụng bởi conhost.exe

TeamViewer để thực hiện điều khiển từ xa
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
Trong tháng 06, Microsoft đã phát hành 208 lỗ hổng CVE mới trong Windows và các thành phần Windows, Office và Office Components, Microsoft Edge (dựa trên Chromium), Azure, .NET và Visual Studio, GitHub Copilot, Defender, Exchange Server, Hyper-V, Secure Boot và BitLocker.
Trong đó có 38 lỗ hổng được đánh giá mức độ Critical, 170 lỗ hổng được đánh giá là Important.
Các lỗ hổng nổi bật ghi nhận trong tháng:
|
STT |
Mã CVE | Tên lỗ hổng | Thông tin chung |
Mức độ cảnh báo |
|
1 |
CVE-2026-41091 | Microsoft Defender Elevation of Privilege Vulnerability | Tồn tại lỗ hổng do lỗi phân giải liên kết không phù hợp trước khi truy cập tệp (link following) trong Microsoft Defender cho phép kẻ tấn công, đã được xác thực, thực hiện hành vi leo thang đặc quyền trên hệ thống bị ảnh hưởng. | Important |
|
2 |
CVE-2026-47291 | HTTP.sys Remote Code Execution Vulnerability | Tồn tại lỗ hổng do lỗi “integer overflow” hoặc “wraparound” trong Windows HTTP.sys cho phép kẻ tấn công, không cần xác thực, thực thi mã từ xa thông qua mạng trên hệ thống bị ảnh hưởng. | Critical |
|
3 |
CVE-2026-45657 | Windows Kernel Remote Code Execution Vulnerability | Tồn tại lỗ hổng “use-after-free” trong Windows Kernel cho phép kẻ tấn công chưa được xác thực, thực thi mã từ xa thông qua mạng trên hệ thống bị ảnh hưởng | Critical |
|
4 |
CVE-2026-44815 | DHCP Client Service Remote Code Execution Vulnerability | Tồn tại lỗ hổng tràn bộ đệm (Stack-based buffer overflow) trong thành phần Windows DHCP Client cho phép kẻ tấn công chưa được xác thực, thực thi mã từ xa thông qua mạng trên hệ thống bị ảnh hưởng. | Critical |
|
5 |
CVE-2026-50507 & CVE-2026-45585 | Windows BitLocker Security Feature Bypass Vulnerability | Tồn tại lỗ hổng do lỗi “Failure” của cơ chế bảo vệ trong Windows BitLocker cho phép kẻ tấn công, chưa được xác thực, thực hiện bypass tính năng bảo mật thông qua “physical attack”. | Important |
|
6 |
CVE-2026-45484 | Microsoft SharePoint Elevation of Privilege Vulnerability | Tồn tại lỗ hổng do lỗi giải tuần tự dữ liệu không tin cậy trong Microsoft Office SharePoint cho phép kẻ tấn công đã được xác thực, thực hiện leo thang đặc quyền thông qua mạng trên hệ thống bị ảnh hưởng. | Important |
|
7 |
CVE-2026-47298 | Microsoft SharePoint Server Remote Code Execution Vulnerability | Tồn tại lỗ hổng “improper authorization” trong Microsoft Office SharePoint cho phép kẻ tấn công đã được xác thực, thực thi mã từ xa thông qua mạng. | Important |
Khuyến nghị:
|
STT |
Mã CVE | Tên lỗ hổng | Thông tin chung | Sản phẩm |
Mức độ cảnh báo |
| 1 | CVE-2026-20181 | Cisco Identity Services Engine Remote Code Execution Vulnerability | Tồn tại lỗ hổng trong Cisco Identity Services Engine (ISE) và Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) cho phép kẻ tấn công đã được xác thực từ xa thực thi lệnh tùy ý trên hệ điều hành của thiết bị bị ảnh hưởng. Lỗ hổng phát sinh do cơ chế kiểm tra và xác thực dữ liệu đầu vào do người dùng cung cấp không đầy đủ. | Cisco Identity Services Engine Software/ Cisco ISE Passive Identity Connector | Critical |
| 2 | CVE-2026-20190 | Cisco Identity Services Engine Information Disclosure Vulnerability | Tồn tại lỗ hổng trong Cisco Identity Services Engine (ISE) và Cisco Identity Services Engine Passive Identity Connector (ISE-PIC) cho phép kẻ tấn công chưa được xác thực từ xa truy cập và xem thông tin nhạy cảm trên thiết bị bị ảnh hưởng. Lỗ hổng phát sinh do cơ chế kiểm tra phân quyền (authorization) không đầy đủ khi truy cập tài nguyên. Kẻ tấn công có thể khai thác bằng cách gửi lưu lượng được chế tạo đặc biệt tới thiết bị mục tiêu mà không cần thông tin xác thực hợp lệ. | Services Engine Software/ Cisco ISE Passive Identity Connector | High |
| 3 | CVE-2026-10520 | Ivanti Sentry OS Command Injection | Tồn tại lỗ hổng OS Command Injection trong Ivanti Sentry trước các phiên bản R10.5.2, R10.6.2 và R10.7.1 cho phép kẻ tấn công từ xa không cần xác thực, thực thi mã dưới quyền root trên hệ thống bị ảnh hưởng. | Ivanti Sentry | Critical |
| 4 | CVE-2026-10523 | Ivanti Sentry Authentication Bypass | Tồn tại lỗ hổng Authentication Bypass trong Ivanti Sentry trước các phiên bản R10.5.2, R10.6.2, R10.7.1 cho phép kẻ tấn công từ xa không cần xác thực, tạo các tài khoản quản trị tùy ý và giành quyền truy cập quản trị đầy đủ trên hệ thống bị ảnh hưởng. | Ivanti Sentry | Critical |
| 5 | CVE-2026-6973 | Ivanti Endpoint Manager Mobile (EPMM) Improper Input Validation Vulnerability | Tồn tại lỗ hổng Configuration Control trong Ivanti Endpoint Manager Mobile các phiên bản trước 12.9.0.1, 12.8.0.3, 12.7.0.2 cho phép kẻ tấn công từ xa, đã xác thực, chèn các directive Apache tùy ý, dẫn tới thực thi mã từ xa trên hệ thống bị ảnh hưởng. | Ivanti Endpoint Manager Mobile | High |
| 6 | CVE-2026-10727 | Ivanti EPMM OS Command Injection | Tồn tại lỗ hổng OS Command Injection trong Ivanti Endpoint Manager Mobile trên các phiên bản trước 12.9.0.1, 12.8.0.3, 12.7.0.2 cho phép kẻ tấn công từ xa đã được xác thực, thực thi các lệnh tùy ý với quyền root trên hệ thống bị ảnh hưởng. | Ivanti Endpoint Manager Mobile | High |
| 7 | CVE-2026-53435 | Deserialization vulnerability in Jenkins | Tồn tại lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy trong cơ chế xử lý tệp cấu hình config.xml. Kẻ tấn công có thể gửi một tệp config.xml được kiểm soát đặc biệt để ép Jenkins giải tuần tự hóa các kiểu dữ liệu tùy ý được định nghĩa trong Jenkins core hoặc các plugin. | Jenkins/ Jenkins LTS | High |
| 8 | CVE-2026-42530 | NGINX Open-Source ngx_http_v3_module vulnerability | Tồn tại lỗ hổng trong mô-đun ngx_http_v3_module của NGINX Open Source khi hệ thống được cấu hình sử dụng HTTP/3 QUIC. Lỗ hổng cho phép kẻ tấn công chưa được xác thực từ xa gửi một phiên HTTP/3 được chế tạo đặc biệt nhằm mở lại luồng mã hóa QPACK (QPACK encoder stream), dẫn đến lỗi Use-After-Free trong tiến trình worker của NGINX. | NGINX Open Source
|
Critical |
| 9 | CVE-2026-42055 | NGINX ngx_http_proxy_v2_module and ngx_http_grpc_module vulnerability | Tồn tại lỗ hổng trong các mô-đun ngx_http_proxy_v2_module và ngx_http_grpc_module của NGINX Plus và NGINX Open Source. Lỗ hổng xảy ra khi hệ thống được cấu hình sử dụng chỉ thị proxy_http_version 2 hoặc grpc_pass để chuyển tiếp lưu lượng HTTP/2, đồng thời ignore_invalid_headers được đặt thành off và kích thước của large_client_header_buffers lớn hơn 2 MB. | NGINX Open Source/ NGINX Plus
|
Critical |
| 10 | CVE-2026-35301 | Oracle WebLogic Server 12.2.1.4.0/14.1.1.0.0 Console Remote Code Execution | Tồn tại lỗ hổng trong Oracle WebLogic Server cho phép kẻ tấn công chưa được xác thực có quyền truy cập mạng thông qua HTTP khai thác từ xa để xâm phạm máy chủ WebLogic Server. Việc khai thác thành công có thể bỏ qua cơ chế xác thực, cho phép kẻ tấn công thực thi các thao tác đọc, ghi và thực thi mã tùy ý với toàn quyền trên máy chủ. | Oracle WebLogic Server | Critical |
| 11 | CVE-2026-35292 | Oracle WebLogic Server 14.1.2.0.0/15.1.1.0.0 Console Remote Code Execution | Tồn tại lỗ hổng trong Oracle WebLogic Server cho phép kẻ tấn công chưa được xác thực có quyền truy cập mạng thông qua HTTP khai thác từ xa để xâm phạm máy chủ WebLogic Server. Việc khai thác thành công cho phép kẻ tấn công giành quyền truy cập không hạn chế vào môi trường WebLogic Server. | Oracle WebLogic Server | Critical |
| 12 | CVE-2026-35263 | Oracle WebLogic Server 14.1.2.0.0/15.1.1.0.0 Core privilege escalation | Tồn tại lỗ hổng trong Oracle WebLogic cho phép kẻ tấn công có đặc quyền thấp, có quyền truy cập mạng thông qua HTTP, khai thác từ xa để xâm phạm máy chủ WebLogic Server. Việc khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý với quyền ở mức hệ thống. | Oracle WebLogic Server | Critical |
| 13 | CVE-2026-35300 | Oracle WebLogic Server 12.2.1.4.0/14.1.1.0.0/14.1.2.0.0/15.1.1.0.0 Core Remote Code Execution | Tồn tại lỗ hổng trong Oracle WebLogic Server (thành phần Core) cho phép kẻ tấn công chưa được xác thực có quyền truy cập mạng thông qua TCP khai thác từ xa để xâm phạm máy chủ WebLogic Server. Khai thác thành công lỗ hổng này có thể dẫn đến chiếm quyền kiểm soát hoàn toàn WebLogic Server. | Oracle WebLogic Server | Critical |
| 14 | CVE-2026-35298 | Oracle WebLogic Server 12.2.1.4.0/14.1.1.0.0/14.1.2.0.0/15.1.1.0.0 Core privilege escalation | Tồn tại lỗ hổng trong Oracle WebLogic Server cho phép kẻ tấn công có đặc quyền cao, có quyền truy cập mạng thông qua HTTP, khai thác từ xa để xâm phạm máy chủ WebLogic Server. Lỗ hổng nằm trong thành phần Core và có thể bị khai thác để chiếm quyền kiểm soát hoàn toàn máy chủ. | Oracle WebLogic Server | Critical |
| 15 | CVE-2026-46243 | CIFSwitch: a non-universal Linux local root vulnerability | Tồn tại lỗ hổng leo thang đặc quyền cục bộ trên Linux do thiếu cơ chế xác thực (missing validation) đối với các yêu cầu khóa cifs.spnego. Lỗ hổng cho phép người dùng không có đặc quyền giả mạo các trường mô tả khóa (key description), khiến tiến trình cifs.upcall được thực thi với quyền root, tin tưởng và xử lý dữ liệu do kẻ tấn công kiểm soát, dẫn đến tải và thực thi mã tùy ý với quyền root thông qua cơ chế NSS trong namespace. | Linux | High |
| 16 | CVE-2026-42253 | Apache ActiveMQ, Apache ActiveMQ Web: HTTP Response Header Injection via JMS Message Properties | Tồn tại lỗ hổng Cross-Site Scripting (XSS) trên Apache ActiveMQ và Apache ActiveMQ Web do MessageServlet sao chép toàn bộ thuộc tính (property) của JMS message vào HTTP response header mà không thực hiện kiểm tra hoặc xác thực dữ liệu đầu vào. Kẻ tấn công có thể lợi dụng việc này để ghi đè hoặc chèn các HTTP security header vào phản hồi của ứng dụng, dẫn đến nguy cơ thực thi mã phía trình duyệt hoặc làm suy giảm các cơ chế bảo mật của ứng dụng web. | Apache ActiveMQ/ Apache ActiveMQ Web | Important |
| 17 | CVE-2026-7473 | Arista EOS Unexpected Tunnel Protocol Decapsulation and Forwarding Bypass | Tồn tại lỗ hổng trên Arista EOS, lỗ hổng ảnh hưởng đến các thiết bị chạy Arista EOS có cấu hình giải mã tunnel (VXLAN, decap-groups, GRE). Do switch không kiểm tra loại giao thức tunnel của gói tin đến, thiết bị sẽ giải mã và chuyển tiếp vào bảng định tuyến bất kỳ gói tin nào có IP đích trùng với IP decapsulation được cấu hình, bất kể gói tin đó thuộc loại tunnel nào. Điều này cho phép kẻ tấn công bơm lưu lượng tùy ý vào hạ tầng mạng nội bộ. | Arista EOS | Medium |
| 18 | CVE-2026-50751 | User Authentication Bypass in VPN Remote Access and Mobile Access | Tồn tại lỗ hổng trong luồng xử lý logic của quá trình xác thực chứng chỉ trong Remote Access và Mobile Access, khi sử dụng cơ chế trao đổi khóa IKEv1 đã lỗi thời, cho phép kẻ tấn công từ xa, không cần xác thực có thể vượt qua cơ chế xác thực người dùng và thiết lập kết nối VPN truy cập từ xa mà không cần mật khẩu hợp lệ. | Check Point | High |
| 19 | CVE-2026-20262 | Cisco Catalyst SD-WAN Manager Arbitrary File Write Vulnerability | Lỗ hổng thuộc loại Path Traversal, tồn tại trong Web UI của Cisco Catalyst SD-WAN Manager do ứng dụng không kiểm tra đầy đủ dữ liệu đầu vào trong quá trình tải tệp lên. Kẻ tấn công có thể lợi dụng lỗ hổng bằng cách gửi các HTTP request được chế tạo đặc biệt đến API upload để tạo mới hoặc ghi đè tệp tùy ý trên hệ thống. | Cisco Catalyst SD-WAN Manager | Medium |
| 20 | CVE-2026-20245 | Cisco Catalyst SD-WAN Manager Authenticated Privilege Escalation Vulnerability | Tồn tại lỗ hổng do việc kiểm tra không đầy đủ dữ liệu đầu vào do người dùng cung cấp trong giao diện CLI của Cisco Catalyst SD-WAN Manager (trước đây là SD-WAN vManage) có thể cho phép một kẻ tấn công, đã được xác thực và có quyền truy cập cục bộ, thực thi các lệnh tùy ý với quyền root bằng cách tải lên hệ thống một tệp được tạo thủ công. | Cisco Catalyst SD-WAN Manager | High |
| 21 | CVE-2026-20230 | Cisco Unified Communications Manager Server-Side Request Forgery Vulnerability | Tồn tại lỗ hổng trong Cisco Unified CM và Cisco Unified CM SME cho phép kẻ tấn công từ xa, không cần xác thực, thực hiện các request khai thác SSRF thông qua thiết bị bị ảnh hưởng. Lỗ hổng xuất phát từ việc kiểm tra đầu vào không đúng cách với một số yêu cầu HTTP cụ thể, kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi một yêu cầu HTTP được tạo đặc biệt đến thiết bị bị ảnh hưởng. Khai thác thành công cho phép kẻ tấn công ghi file vào hệ điều hành, từ đó có thể được sử dụng để leo thang đặc quyền lên root. | Cisco Unified Communications Manager | Critical |
| 22 | CVE-2026-25089 | Second-Order OS Command Injection via JSON Input on start vnc feature | Tồn tại lỗ hổng trên FortiSandbox thuộc loại OS Command Injection, xảy ra do Web UI của FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS không lọc đúng cách các ký tự đặc biệt trong câu lệnh hệ điều hành trước khi thực thi. Kẻ tấn công có thể khai thác thông qua các HTTP request được chế tạo đặc biệt gửi đến giao diện quản trị. | FortiSandbox | Critical |
| 23 | CVE-2026-46316 | KVM: arm64: vgic-its: Drop the translation cache reference only for the erased entry | Lỗ hổng tồn tại trong Linux Kernel, thành phần KVM/arm64 (VGIC ITS – Virtual GIC Interrupt Translation Service), cụ thể tại hàm vgic_its_invalidate_cache().
Khi duyệt qua per-ITS translation cache bằng xa_for_each(), hàm này thực hiện giải phóng tham chiếu (vgic_put_irq()) trên con trỏ đang được lặp (iterated pointer) thay vì sử dụng giá trị thực sự được trả về từ xa_erase() – tức entry đã bị xóa khỏi cache. Đây là một lỗi logic trong việc quản lý reference count. |
Linux | High |
| 24 | CVE-2026-45659 | Microsoft SharePoint Remote Code Execution Vulnerability | Tồn tại lỗ hổng do việc hủy tuần tự hóa dữ liệu không đáng tin cậy trong Microsoft Office SharePoint cho phép kẻ tấn công, đã được xác thực, thực thi mã từ xa thông qua mạng. | Microsoft Sharepoint | Important |
| 25 | CVE-2026-45447 | Heap Use-After-Free in the PKCS7_verify() Function | Tồn tại lỗ hổng Use-After-Free trong quá trình xác minh chữ ký PKCS#7 của thư viện OpenSSL. Nguyên nhân xuất phát từ việc hàm PKCS7_verify() xử lý không đúng trường SignedData digestAlgorithms khi trường này tồn tại dưới dạng một ASN.1 SET rỗng — dẫn đến việc OpenSSL giải phóng nhầm đối tượng BIO thuộc sở hữu của ứng dụng gọi (caller-owned BIO). Khi ứng dụng sau đó tiếp tục sử dụng BIO này, điều kiện use-after-free được kích hoạt. | OpenSSL | High |
| 26 | CVE-2026-35273 | Unauthenticated HTTP Access Enables Full Takeover of PeopleSoft Enterprise PeopleTools | Tồn tại lỗ hổng Missing Authentication for Critical Function trong thành phần Updates Environment Management của Oracle PeopleSoft Enterprise PeopleTools. Lỗ hổng cho phép kẻ tấn công không cần xác thực khai thác từ xa qua giao thức HTTP mà không đòi hỏi bất kỳ điều kiện đặc biệt nào. | Oracle PeopleSoft | Critical |
| 27 | CVE-2026-0257 | PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities | Tồn tại lỗ hổng Authentication bypass trong GlobalProtect portal của PAN-OS cho phép kẻ tấn công vượt qua các hạn chế bảo mật và thiết lập kết nối VPN trái phép trên hệ thống bị ảnh hưởng. | PAN-OS | High |
| 28 | CVE-2026-28318 | SolarWinds Serv-U Unauthenticated Denial of Service Vulnerability | Tồn tại lỗ hổng Denial of Service (DoS) trong SolarWinds Serv-U cho phép kẻ tấn công gửi các yêu cầu POST được tạo đặc biệt đến máy chủ, dẫn đến dịch vụ Serv-U bị crash bằng cách sử dụng Content-Encoding: deflate. Khai thác lỗ hổng không yêu cầu xác thực. | SolarWinds Serv-U | High |
| 29 | CVE-2026-34926 | Trend Micro Apex One (On-Premise) Directory Traversal Vulnerability | Tồn tại lỗ hổng Directory Traversal trong máy chủ Apex One (on-premise) cho phép kẻ tấn công, không cần xác thực, thực hiện việc chỉnh sửa một bảng quan trọng trên máy chủ, dẫn đến việc chèn mã độc để triển khai xuống các agent trên những hệ thống bị ảnh hưởng. | Trend Micro Apex One | High |
| 30 | CVE-2026-44963 | A vulnerability allowing remote code execution (RCE) on the Backup Server by an authenticated domain user. | Tồn tại lỗ hổng do ứng dụng Backup Server xử lý dữ liệu được tuần tự hóa từ người dùng (serialized data) mà không kiểm tra đầy đủ tính hợp lệ, dẫn đến khả năng thực thi mã tùy ý khi dữ liệu độc hại được giải mã. | Veeam Backup and Replication | Critical |
| 31 | CVE-2026-20253 | Unauthenticated Arbitrary File Creation and Truncation in a PostgreSQL Sidecar Service Endpoint in Splunk Enterprise | Tồn tại lỗ hổng do endpoint của dịch vụ PostgreSQL sidecar không có cơ chế kiểm soát xác thực, cho phép bất cứ người dùng nào chỉ cần có kết nối mạng, có thể truy cập và thực hiện các thao tác với tệp như tạo mới, ghi đè hoặc xóa với bất kỳ file nào mà dịch vụ có quyền truy cập. | Splunk Enterprise | Critical |
| 32 | CVE-2026-41722 & CVE-2026-41723 & CVE-2026-41724 | VMSA-2026-0004: VMware Cloud Foundation Operations updates address multiple vulnerabilities | Tồn tại các lỗ hổng Stored Cross-Site Scripting (XSS) tại các chức năng tạo policies, views và text-wdigest trong VMware Cloud Foundation Operations. Kẻ tấn công, đã được xác thực với tài khoản có quyền tạo policies, views hoặc text-wdigest có thể nhúng mã JavaScript độc hại vào các đối tượng nêu trên, khi quản trị viên hoặc người dùng khác truy cập, mã độc sẽ tự động thực thi trong trình duyệt của nạn nhân, dẫn đến việc chiếm quyền hệ điều hành, đánh cắp thông tin session, dữ liệu nhạy cảm và có khả năng leo thang đặc quyền trong môi trường VMware Cloud Foundation. | VMware Cloud Foundation Operations | High |
| 33 | CVE-2026-44748 | XML Signature Wrapping in SAML Authentication in SAP NetWeaver AS ABAP and ABAP Platform | Tồn tại lỗ hổng cho phép kẻ tấn công đã được xác thực với quyền thông thường có thể lấy được một thông điệp đã được ký hợp lệ và gửi các tài liệu XML đã ký nhưng bị chỉnh sửa tới bên xác minh. Điều này dẫn đến việc hệ thống chấp nhận thông tin định danh bị giả mạo, từ đó gây ra truy cập trái phép vào dữ liệu nhạy cảm của người dùng và có thể làm gián đoạn hoạt động bình thường của hệ thống. | SAP NetWeaver AS ABAP & ABAP Platform | Critical |
| 34 | CVE-2026-27671 | Memory Corruption vulnerability in Application Server ABAP of SAP NetWeaver and ABAP Platform | Tồn tại lỗ hổng do việc xác thực giao thức RFC không đúng cách trong SAP Kernel được sử dụng bởi Application Server ABAP của SAP NetWeaver và ABAP Platform, cho phép kẻ tấn công chưa được xác thực gửi các yêu cầu RFC được chế tạo đặc biệt nhằm khai thác các lỗi logic trong quá trình quản lý bộ nhớ, dẫn đến tình trạng hỏng bộ nhớ (memory corruption) trên hệ thống bị ảnh hưởng. | SAP NetWeaver AS ABAP & ABAP Platform | Critical |
| 35 | CVE-2026-22732 | Potential Spring Security vulnerability within SAP Commerce Cloud and SAP Data Hub | SAP Commerce Cloud và SAP Data Hub tồn tại lỗ hổng trong các ứng dụng sử dụng framework Spring Security. Lỗ hổng xảy ra khi Spring Security không đảm bảo việc ghi các HTTP response header đã được cấu hình, khiến các cơ chế bảo mật phụ thuộc vào header không được áp dụng, từ đó làm suy giảm mức độ an toàn của ứng dụng. | SAP Commerce Cloud & SAP Data Hub | Critical |
| 36 | CVE-2026-40128 | Directory Traversal vulnerability in SAP NetWeaver Application Server Java (Web Container) | Tồn tại lỗ hổng cho phép kẻ tấn công chưa được xác thực, tạo một yêu cầu đăng nhập HTTP độc hại nhằm thao túng các tham số liên quan đến việc nhúng tệp (file inclusion), từ đó dẫn đến lỗ hổng Path Traversal và xử lý các tệp được nhúng. Khai thác thành công cho phép kẻ tấn công xem hoặc chỉnh sửa thông tin nhạy cảm hoặc khiến một phần của hệ thống cục bộ trở nên không khả dụng. | SAP NetWeaver Application Server Java (Web Container) | Critical |
| 37 | CVE-2026-29145 | Multiple vulnerabilities in Apache Tomcat within SAP Commerce Cloud | SAP Commerce Cloud sử dụng Apache Tomcat tồn tại lỗ hổng liên quan đến cơ chế xác thực CLIENT_CERT không hoạt động như mong đợi trong một số trường hợp khi chế độ soft fail bị vô hiệu hóa. Cụ thể, quá trình xác thực không bị từ chối như dự kiến, dẫn đến việc bỏ qua cơ chế kiểm tra xác thực. | SAP Commerce Cloud | High |
| 38 | CVE-2026-44751 | Missing Authorization check in Application Server ABAP of SAP NetWeaver and ABAP Platform | Tồn tại lỗ hổng trong Application Server ABAP do thiếu kiểm tra phân quyền, cho phép người dùng đã xác thực thực thi chức năng tạo báo cáo và ghi đè dữ liệu của người dùng khác, dẫn đến leo thang đặc quyền trên hệ thống bị ảnh hưởng. | SAP NetWeaver AS ABAP & ABAP Platform | High |
Khuyến nghị:
Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 06/2026.
Indicators of Compromise
SHA-1
511B77459673EC42163F19E300FF1D233B6C39FB
59A8553A4F8130F576AB234E0B220BE4D4DA0E98
9CA1A5C7F79882DB913534C1E62B26BCDCB9F6DD
A8E2BBBFCB86500322D2367744FA12755AB0C165
F74F1FEB62B662CDA489FDB2453727824E55ACB9
F8F8209987CA7F139DE6A62F9E6EE21BD2AE93A9
19A69F856EFA811C376F68E4FEB0997B4724F8BD
490194E9BB5128ECA8693AD9E610891C2ED185AF
51176139B0B2220B802C1578A4994DF68DF5BCD1
91F042F59BE4BDCB6E5EA21B91DECD731C175B54
A177ED0BFFEB1EFE1D9D31D72A82EF2625AE646D
B7B2D2DB544F9EEA74453CDF2B8BEEA58CF07C48
4AD36AD6C165B5174967020CB1A3358F78D7A283
57352B3CEEE32216E5AA20BAA848483D7AB5A6FB
9BC06DF9F932746A05EE728C8B103BD3BA6BF395
865A1739337D3303B3AB02C5E694C22B79C42B7D
8CD78B8DB76563E4F972ABE817CEEE9CF9B00037
B0FEA981D02F6F76DE81EBAEFCB68B7D205D6194
48FEBB91A10D1462461A012FAFC0918BB028E947
150764A71DEEF498DE6F8C95ECCCB4455C1B601F
Network Indicators
38[.]60[.]245[.]37
139[.]99[.]33[.]239
139[.]162[.]11[.]152
139[.]180[.]128[.]42
142[.]91[.]98[.]77
166[.]88[.]77[.]186
194[.]68[.]26[.]241
leadingfilipinoteams[.]com
coachcybersecurity[.]com
gatewayrvcenter[.]com
mxprodesign[.]com
financemachinelearning[.]com
Indicators of Compromise
| SHA-256 | SHA-1 |
| f2100e1f73477bc565f8909e069942dac1f884654ed4ba213ca9a84b1e761ab8 | 624335a4efd3992f48d365c22abeb58f263b57b2 |
| d3f2464ae0e48218e1d48bdfab8301ee5236f7624adcdba1720dc27058461076 | acbcab8b9dd2d38d4aa5d3fcef1dec17a18dc9fc |
| b982fbafa954a8dcf7cfcffe31bcf75a86b052b1f01cf535ffcafd2c48a56b60 | 6731701f6ac93593edf5903c464364f604aa2bf3 |
| 29546a03e07bfeb3025313b12671c758ced1c4921a4bc859a7ab40ec52584cdb | 21b3051aeb31cd3d81e56234056ebce88eb446c1 |
| d81b98a69363d8d994ef553beeb5e15384ed32f0e343708b73c7e6b313b9aace | 695773dd01fd4e08021e57563b1b3ea4f048d7e9 |
| f790346bece8e448313f701586cc7fd18291dfda721aae8d86ebfacf14055645 | 8cb02672782620ea8aecd7fc44645f25e7a4788e |
| 5f7680feccc15814299df3c3c11e9b1c4f33069aac5a19c03b87e15f30c2312b | 75437f4def22595509b2f3052f6de641ffb38a43 |
| 256b5b5d0524c442261028767b94f7188b0b81663b50c63300fca7733a04ea7d | bdd81f641811507d54ca1c2f85ce01e4f602bc4c |
| e123d1f7cbea562237f7a5f50638d148fb58048c9ad095e0b0ad52e43bfedad0 | 39e39bb5ed7492d8e6014b7109b4de94c2ae3c37 |
| d468983f98ff100ad8fd613315af4c88d67bec76782b66b260c413c587987bf0 | ab1cab1a911668452024e8c2f13cedd047ff816b |
| ef31bb219b84744e02f90947f31a25958b2b34524ed3795799ed6eff876e4bcd | db79e7ddaa645d14080fcb7f4314bb50cf2c37c3 |
| 5d537a058ec19e6ceea593738f122b777d866042ea0bad194539757de13c46f4 | cb3c3efd2be904917058203b8f9f9780fc996ac4 |
| 697ee941abee202d8e84e5e3fed8b9f34eea8772ee56dc867fce017507a5eeaf | 7a6cdb9e62b2b0f0b0f55c18ce286837e26fbdfe |
| f9a6911e8d9130c779db2e79f901d75d90f9e3ad08c36e7fb927959b7d988bae | 0f361275833d437f04899961ebf8c3a8fde65299 |
| 86f8c0a92eb9aba3c3416667361652a9e11b6ddc1119bb5b3564bc107b950ddb | c2b8d202f2578f516a2a2dde9b1df92a48116e83 |
| 790ff5cda1668e7aa390fbb1682a4d578195aa40542f64b7b6d56a6eccde12c9 | b3c8504144af9c4aac521af3c98eb4c1e283a1bd |
| db533717da686f3b76b9de85ecd80d326a14572056a33d31f794bffbffd96c26 | 13f33da862cecafe92b13df7ed15dad4b097d69d |
| 8b53f53f72b8fef755666b6f239c06a69a9940e1b9f5d19e022150750035fa80 | c502cab5e7908df522887cdd9a9335556b736fb2 |
| 6b2218999ac27f6085cb02f693a3c99bd6abedfc20e00e22709e526015c89f4e | 998098b22f0d77c17b29a6efd93cfe2afdf708fb |
| 9682adf40a3621ffe5e1b426c5b90d0ed70e663738857bb4d18d37d93bbd4e6c | 488333d57c0bd0470c93b799f25673b278bba51d |
| 3951533d56803cd5d708014b4eed7e30349b4c4ba43f7d843133b3a5e2992ce6 | 91959dbcb00226eb68c2d74a11cd4b81dacb2d95 |
| 37bcec9ba357a2cb13a4f0f910e40f01e33973a5d637a3487c298105ae1ff22b | d2661679a76751f6d4f8677b127678b22428a044 |
| 08a64523d7a05defb6cc5c87df340d76f9ef7ccc9623a0d338981be4cd9cd6c7 | 7cd54c7589c4b98078806385daf5da0261705c47 |
| 36a89f65fe2d693a094b51495f3a84d0f4f2ae7276649952d6f78c85282e6f6d | e7734ca898ea6767fee4adee6faf6b04564d3c51 |
| d4918dbf7ada4883d89a01dcf5332413b7773b12d0e479f2cf502e3245c93720 | 79ba740dd64ab80752892953dbf05f366eb0d216 |
| cf9bc0a3e01a7b466bc35dbf88563adf61c884ad5fb2b28afd1298a5f723f370 | 41e22256b51aabb63f08054929e42ebca9fd9cb8 |
| d28bc760f0b80905ea199809ad7ebfc73ab12aeab0ad3ee2dd11990657d2d9eb | 05a0a79cf8579c0fdc8800d665f33eb1193c90e1 |
| 7f69a67316872186fd440b4126a77c419f14b459542181c5e12feb49a223fd39 | 314297cc35e031ac06443fe477a98bebe885b544 |
| 902cb8bfa3863df299ac804dc77e3e9366658b2b3c2ec5d3a1bdaf2e52520ce5 | f1ecdf5492298aa75648d72a22485372dd6cb989 |
| 2a5baf86a3e982eb557dffffabb619c9e80581d41cdc4b85b06367b588647a7d | b6fdb73a0d2918a9847f307f58921e458d3098b9 |
| ea595940815a11901bd99214b26d9528034f7182bd6c3bf2fe3179ac92e00afc | b7e392fbf628b9ec7f9fc2bc5037c86f17526615 |
| dba9908f63f5f32405f7a728f37979e743814532378cabc4f0e9f24c34197c60 | a8c81ec035d7898cd60d6b9086889430930a4909 |
| 77dd1dd9b12699c64ab31c0140b28c70339014a0969f3bb7a79068f5b8f3f34a | 6167968107defb103b3f48d4cf010c5cb31237f9 |
| 32e743d1e3957f35651a9d15a83bc128b82108c17b0fa64d63fa98b1d326fc9d | b6b13aa583129795e9506d32fd58feaea289a546 |
| a81ba29e550beae21fff69bfe0478249eb7078b173f9cf2040d74df299fc9d5b | 4491a27f5f1ee3c3b2183cbf9e8d0afbdb741587 |
| 14118a6070f89baafd5f2aeaf2df7535a8053f99944453584f0d1efeb6501ac3 | 984176e90d1358ae9bd5147de4357db2110f6e4e |
| b9f71ed4b08c93a7fc5468bee23660e3129e1cf9c84100d4d40ad70fb7c851fa | 3668e6ca6e282334535c796a3a8817c6a23b6a50 |
| 88d8ac22ea323842cd760d645daea54043739d45a0fa61fd72fe5a5c9acb5e69 | N/A |
| fdceafe4dcf9cf6d23b2033824275c08ec73d6b01adc644416e43ecca94c89c9 | N/A |
| 226889380ca1695158cd42ba4b7d89352c4fa74010583669ac89ad69fdefd566 | N/A |
| 1b5ca4d2b5eb23041da0f6effdc408d50768701d4140a21c9fbd244f9458d720 | N/A |
| c7691712d794d4ef582c591566bf5fda76a364b0bcdad315adbaaec8607ad0f3 | 8d8117ad250ba30b9de1a1e792b71a5c6da83ce9 |
Network indicators:
https://whpayment[.]ru
http://whack[.]cy/
https://weedhack[.]to/dashboard/auth/login
https://whtempdomain[.]com
https://whreceiverrrrrrrrr[.]ru/dashboard/overview
https://whtempdomain[.]com/
http://friendlydomain[.]ru/
http://whrc[.]ru/
https://whnewreceive[.]ru/
http://weedhack[.]xyz
http://92[.]119[.]164[.]235/
https://acabstealer[.]ru/
http://stealer[.]to/
http://1312services[.]ru/
https://1312stealer[.]ru/
http://dieserbenni[.]ru/
https://marsalek[.]cy/
http://stealer[.]cy/
https://newlumm[.]fun/
http://limbo100x[.]ru/
http://pentagon[.]cy/
https://aetherminecraft[.]lovable[.]app/game-mods
https://donutdupe[.]xyz/DonutDupe-1[.]21[.]1[.]jar
https://www[.]skytils[.]net/skytils-1[.]21[.]11[.]jar
https://static[.]planetminecraft[.]com/files/resource_media/mod/mousetweaks-fabric-mc1-21-9-2-29[.]jar
https://static[.]planetminecraft[.]com/files/resource_media/mod/no-delay-optimizer1-21-4[.]jar
https://night-client-Hub[.]lovable[.]app/downloads/dupeclient1[.]21[.]11-1[.]21[.]11[.]jar
http://chromium-Client[.]github[.]io/main/ChromiumClient-[.]jar
https://skyhanni[.]net/downloads/1-21-5/SkyHanni-6.0.0-mc1[.]21[.]5[.]jar
https://xenonclient[.]com/downloads/XenonClient-1[.]21[.]jar
https://odinclient[.]com/Odin-1[.]21[.]10-latest[.]jar
https://nova-client[.]com/Nova-Client-1[.]21[.]11-latest[.]jar
https://pixeldrain[.]com/api/file/o4jKp4Tx?download
https://kryptonclient[.]gg/downloads/KryptonClient[.]jar
https://simplevoicechatmod[.]com/downloads/voicechat-fabric-1[.]21[.]11-2[.]6[.]11[.]jar
https://www[.]notenoughupdates[.]net/downloads/NotEnoughUpdates-1[.]21[.]5[.]jar
https://download2281[.]mediafire[.]com/jauvm3juydxggiNLRPkzg-hBEQ9fc9IzMzMCAY_BRiGVMg_VrsDLTQVIJfsq8QfJn7hqLZFDgYigs27kOYaViC05jdawf-9rxEKKpi_lg-7FzEG1xfEph2q17W0C7reY0P-zGfI-HSAknLDhz4WJblw2GCHrXyaO2eDXMI_S2QSh-Ik/1iskin1nr2av9jx/JennyMod_Fabric_1[.]21-1[.]0[.]0+%281%29[.]jar
https://download2282[.]mediafire[.]com/ulew3ffsg8igzrwikDrX1CBNddz9Q-Q_njGGhftuIFu1GN5SiqIKOScEjVWNvkoXe9_qFO1VJ-UgvABYdfLpSWHiAtkMYs2sQ1MOuvg4taPYHfRrfMlNr2p0OauPRi-SRi-FCBOou37THLnL5ZGDG6ylmTq_kphdyf2bdUdTGxs/kzltscks354a1at/KryptonClient%2B1[.]21[.]11[.]jar
https://gitlab[.]com/shlostval52/meteorclient-1[.]21[.]11/-/raw/main/AutoHarpTSM-1[.]21[.]11[.]jar?inline=false
https://cdn[.]discordapp[.]com/atTachments/1480069398847819806/1484225086423699607/ThunderHack_NextGen-0.3[.]jar?ex=69ed9294&is=69ec4114&hm=cc730a4d8bf87f790362f6a4Cd95190f1289ebc43a5fac9cb2d41d0b435625fb&
https://limewire[.]com/decrypt/Download?downloadId=96751c7f-be08-4261-b9ee-78541782f59b
https://cdn[.]discordapp[.]com/atTachments/1471155297258049578/1471159638572666940/SPOILER_Casino_Rigger[.]jar?ex=698debae&is=698c9a2e&hm=71bc572ecaf1a384fb13de478b64799cc9aa2fdc649ff3339d67f7d8ce3f5313&
https://cdn[.]discordapp[.]com/atTachments/1471566328522473643/1472074919356530688/NEW_5050BJPAPER_1_1[.]jar?ex=6991e8da&is=6990975a&hm=d0e9b86426403d3b186f1314705e0e7f34670881be8bc87d731bb072ccfb55b4&
https://cdn[.]discordapp[.]com/atTachments/1470522425405079585/1470522505604239646/Xenon_Crack_by_Cipher_Service[.]jar?ex=698c430e&is=698af18e&hm=49f840ac3b7b32aa57865dd285412264b07b6ec0cdafdd731d3e54a7923dd0fb&
https://cdn[.]discordapp[.]com/atTachments/1470560423743983678/1470890304788889620/NEW_5050BJPAPER_1[.]jar?ex=698cf0d8&is=698b9f58&hm=4b852782cbef5bdc216964f4254c94c9288fcb650f5363bb6dcb436a3335d025&
https://t[.]me/+pw_g24ajDcQwMmYy
Indicators of Compromise
| SHA-256 | SHA-1 |
| 3D510977D60A44322F88100B515F06CB5ED83BABC64247068D1A489595FAA6C5 | cda7136e67b34757ef2688f1e168fc927f025625 |
| 670384FAFB23140D96F2F8FE04A13FC8CC8E2A6E5E8C973E39B58D103C5FEA92 | fa3894345005c2d8decfb75310d03ccbb5a6eda4 |
| B90988400CCED319D260C4937F334ECC364785ED5C593CD2139965E62CA58173 | 7c21d9304647bf23bad9d44a4cf804f60d06405e |
| E20B35A8C30E076CDD0E1DF05BA1FF2E418DBD39A674F084787CC0AF2FDA9E95 | 223eedc689230208c0763be21f2cede48907dd58 |
| 07CD03E2082BCB0B890CC59CE4C770D1A095AC6F1AE9CF999F5542555C56F841 | 4f2c2a808194d27992ef227c4b9134de01d051fc |
Network Indicators
https://77[.]83[.]39[.]211:8443/ping
https://77[.]83[.]39[.]211:8443/plugin
https://77[.]83[.]39[.]211:8443/userinfo
https://77[.]83[.]39[.]211:8443/browser
https://77[.]83[.]39[.]211:8443/discord
https://77[.]83[.]39[.]211:8443/crypto
https://77[.]83[.]39[.]211:8443/application
https://77[.]83[.]39[.]211:8443/filesearch/req
https://77[.]83[.]39[.]211:8443/finish
https://77[.]83[.]39[.]211:8443
Indicators of Compromise
| SHA-256 | SHA-1 |
| dec8dc49fc34fe5898e452a1dd98b98d6a8704d55458982b3b7af05bf52016ca | cbdb9b57d166666ef2b0e25be47f576aa3c98f70 |
Network Indicators
faq[.]pineappleviewer[.]info
http://faq[.]pineappleviewer[.]info/europa/cv_ng_va_th.png
http://faq[.]pineappleviewer[.]info/europa/team_zoommerv2-1-4.zip
https://faq[.]pineappleviewer[.]info/europa/login.php