Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 07/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

STT	Tên chiến dịch	Mô tả
1	Chiến dịch tấn công lợi dụng lỗ hổng CVE-2025-53770 trên Microsoft SharePoint	Nhóm tấn công sử dụng lỗ hổng mới chưa có bản vá bảo mật, được cho là biến thể của lỗ hổng  CVE-2025-49706. Microsoft sau đó đã ghi nhận và định danh lỗ hổng là CVE-2025-53770. Đây là lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, được cho ảnh hưởng đến nhiều tổ chức trên toàn thế giới.
2	Nhóm CL-STA-1020 nhắm mục tiêu vào cơ quan chính phủ khu vực Đông Nam Á	– Mục tiêu: nhắm mục tiêu vào cơ quan chính phủ khu vực Đông Nam Á từ cuối năm 2024, mục đích là thu thập thông tin nhạy cảm bao gồm thông tin về thuế quan và tranh chấp thương mại – Công cụ/ cách thức tấn công: sử dụng 1 Windows backdoor đặc biệt, được đặt tên là HazyBeacon. Backdoor này tận dụng URL của AWS Lambda làm C2.
3	Các hoạt động tấn công của nhóm tấn công có chủ đích NightEagle	– Mục tiêu: nhắm vào các tổ chức chính phủ, quốc phòng và công nghệ tại Trung Quốc, mục đích chính là đánh cắp thông tin tình báo. – Nhóm tấn công khai thác lỗ hổng chưa được công bố trong Exchange, bao gồm khả năng đánh cắp machineKey. Sau khi có machineKey, nhóm tấn công chiếm quyền truy cập hệ thống Exchange
4	Nhóm BERT Ransomware nhắm mục tiêu vào Châu Á và Châu Âu	– Mục tiêu: nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe, công nghệ, … ảnh hưởng đến Hoa Kỳ và một số nước khu vực Châu Á – Phát hiện tập lệnh Powershell start.ps1, hoạt động như một loader, chịu trách nhiệm tải và thực thi mã độc BERT ransomware (payload.exe)
5	GhostContainer nhắm mục tiêu vào Microsoft Exchange	– Mục tiêu: cơ sở hạ tầng Exchange trong lĩnh vực chính phủ – Nạn nhân: cơ quan chính phủ và doanh nghiệp công nghệ tại Châu Á – Công cụ/ cách thức tấn công: lợi dụng lỗ hổng tồn tại trên các máy chủ Exchange chưa được vá để cài backdoor duy trì quyền kiểm soát hệ thống trong thời gian dài. Bằng việc khai thác lỗ hổng, mã độc cấy tệp độc hại App_Web_Container_1.dll vào hệ thống và thực thi chuỗi tấn công.

Thông tin chi tiết các chiến dịch:

1.1      Chiến dịch tấn công lợi dụng lỗ hổng CVE-2025-53770 trên Microsoft SharePoint

Threat Intel NCS ghi nhận các bài đăng trên không gian mạng về việc phát hiện nhóm tấn công sử dụng lỗ hổng mới chưa có bản vá bảo mật, được cho là biến thể của lỗ hổng  CVE-2025-49706. Microsoft sau đó đã ghi nhận và định danh lỗ hổng là CVE-2025-53770. Đây là lỗ hổng cho phép kẻ tấn công thực thi mã từ xa, được cho ảnh hưởng đến nhiều tổ chức trên toàn thế giới.

Nhóm nghiên cứu trong quá trình giám sát ghi nhận tệp tin .aspx độc hại được upload lên máy chủ SharePoint, với request được ghi nhận trong IIS có những bất thường khi không cần xác thực  (không có trường cs-username trong IIS log)

2025-07-18 18:xx:04 <proxy masked> POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 – <proxy masked> Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx 302 0 0 707

2025-07-18 18:xx:05 <proxy masked> GET /_layouts/15/spinstall0.aspx – 443 – <proxy masked> Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/20100101+Firefox/120.0 /_layouts/SignOut.aspx 200 0 0 31

Webshell được upload trên máy chủ có tên spinstall0.aspx (92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514) tại đường dẫn C:\PROGRA~1\COMMON~1\MICROS~1\WEBSER~1\16\TEMPLATE\LAYOUTS\spinstall0.aspx sử dụng với mục đích đánh cắp machinekey, bao gồm cả ValidationKey và DecryptionKey. Các khóa được sử dụng để tạo __VIEWSTATE chứa các payload nhằm thiết lập persistence và thực thi mã từ xa.

Microsoft cung cấp một số biện pháp bảo mật sau đây nhằm bảo vệ khách hàng sử dụng sản phẩm của SharePoint onprem bao gồm:

• Khách hàng cấu hình tích hợp AMSI trong sharepoint và triển khai Defender AV trên toàn bộ máy chủ sharepoint để ngăn chặn các tấn công yêu cầu xác thực liên quan đến lỗ hổng.
• Sử dụng query trên Microsoft 365 Defender để kiểm tra và hunting nhằm phát hiện tấn công:

DeviceFileEvents

| where FolderPath has “MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS”

| where FileName =~ “spinstall0.aspx”

or FileName has “spinstall0”

| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256

| order by Timestamp desc

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2      Nhóm CL-STA-1020 nhắm mục tiêu vào cơ quan chính phủ khu vực Đông Nam Á

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả về nhóm CL-STA-1020 nhắm mục tiêu vào cơ quan chính phủ khu vực Đông Nam Á từ cuối năm 2024, mục đích là thu thập thông tin nhạy cảm bao gồm thông tin về thuế quan và tranh chấp thương mại. Trong chiến dịch này, nhóm tấn công sử dụng 1 Windows backdoor đặc biệt, được đặt tên là HazyBeacon. Backdoor này tận dụng URL của AWS Lambda làm C2. AWS Lambda URLs là một tính năng của AWS Lambda cho phép người dùng gọi các hàm serverless trực tiếp qua HTTPS. Kỹ thuật này tận dụng các chức năng đám mây hợp pháp nhằm trốn tránh phát hiện.

Kẻ tấn công lợi dụng  DLL sideloading để triển khai HazyBeacon backdoor, cài cắm 1 DLL độc hại vào C:\Windows\assembly\mscorsvc.dll cùng 1 tệp thực thi hợp pháp mscorsvw.exe. Khi mscorsvw.exe được trigger bởi registered Windows service, sẽ load DLL độc hại thay vì thư viện Microsoft hợp pháp. Sau đó kết nối đến địa chỉ Lambda URL do kẻ tấn công kiểm soát. Để thiết lập persistence trên máy bị xâm nhập, kẻ tấn công tạo Windows service có tên msdnetsvc để đảm bảo HazyBeacon DLL được load ngay cả khi bị khởi động lại hệ thống.

Trong chiến dịch này, các nhà nghiên cứu phát hiện DLL độc hại mscorsvc.dll thiết lập C2 thông qua AWS Lambda URL. Khi mã độc gửi tín hiệu tới điểm cuối Lambda URL tại <redacted>.lambda-url.ap-southeast-1.on[.]aws, bắt đầu nhận các lệnh để thực thi và các payload bổ sung để tải xuống.

Payload đầu tiên được thực thi là igfx.exe – file collector. Công cụ này nhận dữ liệu đầu vào là khoảng thời gian và phần mở rộng tệp, sau đó tạo file ZIP chứa các file được thu thập. Sau khi tạo file ZIP, kẻ tấn công sử dụng 7z.exe để tạo một số tệp có kích thước khoảng 200MB. Sau đó tiến hành reconnaissance, thực hiện tìm kiếm tài liệu liên quan đến các lĩnh vực.

Kẻ tấn công sử dụng nhiều tiện ích để phục vụ cho mục đích đánh cắp thông tin bao gồm sử dụng GoogleGet.exe để kết nối đến kho lưu trữ Google Drive của kẻ tấn công, bằng cách truyền ID ổ đĩa dưới dạng tham số. Sau đó, tiếp tục sử dụng các tiện ích như google.exe, GoogleDrive.exe, GoogleDriveUpload.exe và Dropbox.exe nhằm cố gắng tải các tệp tin .7z lên Google Drive và Dropbox. Cuối cùng, kẻ tấn công xóa các tệp lưu trữ đã tạo, cùng với tất cả các dữ liệu quan trọng để xóa dấu vết hoạt động.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      Các hoạt động tấn công của nhóm tấn công có chủ đích NightEagle

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công NightEagle, hay còn gọi là APT-Q-95, hoạt động từ 2023 thực hiện khai thác lỗ hổng trên Microsoft Exchange nhắm vào các tổ chức chính phủ, quốc phòng và công nghệ tại Trung Quốc, mục đích chính là đánh cắp thông tin tình báo.

Các nhà nghiên cứu ghi nhận DNS request bất thường tới tên miền giả mạo được ngụy trang giống với tên miền hợp pháp của nhà cung cấp NAS Synology synologyupdates.com. Tên miền này được cấu hình để phân giải về IP cục bộ như 127.0.0.1 hoặc 192.168.1.1 nhằm che giấu IP thực của máy chủ điều khiển.

Ngoài ra, phát hiện tiến trình SynologyUpdate.exe trên máy nạn nhân. Tiến trình này là một biến thể của malware Chisel viết bằng ngôn ngữ Go, lập lịch chạy mỗi 4 giờ để duy trì kết nối hoặc thực hiện lệnh từ xa. Kẻ tấn công đã chỉnh sửa mã nguồn của tool open-source Chisel và mã hóa cứng (hardcode) các tham số thực thi. Sau đó, thiết lập kết nối SOCKS qua cổng 443 tới máy chủ C&C bằng tài khoản/mật khẩu định sẵn, rồi ánh xạ đến cổng chỉ định trên máy chủ C&C để xâm nhập mạng nội bộ.

Qua phân tích cho thấy máy Exchange trong mạng nội bộ đã từng tương tác với máy bị nhiễm, phát hiện mã độc đã được inject vào tiến trình. Đây là loại mã độc chỉ tồn tại trong bộ nhớ (memory horse), không lưu trên disk nên tránh được phần mềm diệt virus và các công cụ bảo mật khác.

Sau khi tấn công, kẻ tấn công sẽ tự động xóa mã độc khỏi bộ nhớ, tuy không thu được mẫu mã độc trực tiếp nhưng phát hiện một DLL có tên App_Web_cn4h.dll.

Đây là file ASP.NET precompiled DLL, được tạo ra từ payload do kẻ tấn công chèn vào dịch vụ Internet Information Server (IIS) của Microsoft Exchange Server. File này chính là loader dùng để triển khai mã độc trong bộ nhớ, được viết bằng ngôn ngữ .NET, với cấu trúc code và tên hàm cố định. Khi loader được chạy, mã độc tạo virtual URL directory theo định dạng ~/auth/lang/cn*.aspx và sẽ được attacker truy cập sau đó để trigger mã độc tại main fuction AppWebInit

Khai thác lỗ hổng Exchange

Dựa trên các phân tích, nhóm nghiên cứu cho rằng nhóm tấn công khai thác lỗ hổng chưa được công bố trong Exchange, bao gồm khả năng đánh cắp machineKey. Khi phân tích lại lưu lượng tấn công, phát hiện nhóm tấn công có thể truy cập được vào máy chủ Exchange thông qua việc khai thác thành công lỗ hổng này. Sau khi có machineKey, nhóm tấn công chiếm quyền truy cập hệ thống Exchange.

Cách kiểm tra máy chủ Exchange

Trong trường hợp quý khách hàng nghi ngờ có liên kết đến tên miền độc hại, quý khách hàng có thể kiểm tra hệ thống Exchange theo một số cách thức sau:

• Rà quét và kiểm tra các đường dẫn virtual URL, ví dụ ~/auth/lang/<*.aspx>
• Kiểm tra tại đường dẫn .NET Framwork:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\<*>

Như trong mô tả, mã độc tạo các virtual URL theo định dạng ~/auth/lang/cn*.aspx và truy cập để trigger mã độc, khi truy cập các đường dẫn này, exchange sẽ sinh ra các file theo định dạng App_Web_<name_of_aspx>.<random>.dll. Các ví dụ dưới dây là các DLL độc hại mà nhóm nghiên cứu phát hiện trong chiến dịch tấn công của nhóm NightEagle

App_Web_cal728.aspx.cdb7cbf8.n5q9vicf.dll App_Web_cn.aspx.d452ffe4.a0ouixey.dll

App_Web_cn274.aspx.b760cbf5.rcirk_ic.dll App_Web_cn304.aspx.1221cc01.liudbjfz.dll App_Web_zh.aspx.b137e928.n546mfkn.dll App_Web_zh371.aspx.4ed1141f.iecxfmum.dll App_Web_zh401.aspx.b760cbf5.ek9d9hh4.dll

• Kiểm tra access log chứa các truy vấn URL cùng các User-Agent bất thường

Đường dẫn cần kiểm tra:

C:\inetpub\logs\LogFiles\W3SVC<*>\.

Lưu ý rằng: đường dẫn trên là cấu hình mặc định, đường dẫn lưu access log có thể khác nhau ở từng hệ thống

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4      Nhóm BERT Ransomware nhắm mục tiêu vào Châu Á và Châu Âu

NCS Threat Intel theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm BERT Ransomware nhắm mục tiêu vào lĩnh vực chăm sóc sức khỏe, công nghệ, … ảnh hưởng đến Hoa Kỳ và một số nước khu vực Châu Á.

Trong quá trình phân tích, các nhà nghiên cứu phát hiện tập lệnh Powershell start.ps1, hoạt động như một loader, chịu trách nhiệm tải và thực thi mã độc BERT ransomware (payload.exe). Tập lệnh này có chức năng leo thang đặc quyền, vô hiệu hóa Windows Defender, tường lửa và user account control (UAC), từ đó download và thực thi mã độc ransomware từ địa chỉ IP 185[.]100[.]157[.]74.

Powershell khởi chạy tiến trình payload.exe với đặc quyền administrator, leo thang đặc quyền bằng cách sử dụng tham số -Verb RunAs trong Start-Process.

Nội dung của open directory trên IP – nơi tải xuống ransomware bao gồm payload.exe và start.ps1, cùng với timestamp, kích thước tệp, thông tin máy chủ tương ứng. Thiết lập có thể truy cập công khai đóng vai trò là điểm trung gian để phát tán các thành phần của ransomware BERT.

Biến thể BERT ransomware

Một số điểm khác biệt giữa các biến thể BERT ransomware:

• Ở phiên bản cũ liệt kê ổ đĩa và gửi thông báo đòi tiền chuộc vào từng thư mục, sau đó thu thập các đường dẫn file hợp lệ cần mã hóa và lưu vào trong mảng (array). Sau khi thu thập, thực hiện mã hóa đa luồng (multi-threaded encryption)

• Biến thể mới sử dụng ConcurrentQueue và tạo 1 DiskWorker trong từng ổ đĩa để phát triển quy trình mã hóa đa luồng (multi-threaded encryption), cho phép ransomware bắt đầu encrypt file ngay khi phát hiện, thay vì như phiên bản cũ cần lưu đường dẫn file vào mảng (array) trước khi encrypt.

MITRE ATT&CK

Tactic	Technique	ID	Variant	Details
Execution	Command and Scripting Interpreter: PowerShell	T1059.001	Windows	Uses PowerShell to perform its activities and run the payload.
Defense Evasion	Impair Defenses: Disable or Modify Tools	T1562.001	Windows	Disabling Defender and related protections by modifying the registry using PowerShell
	Impair Defenses: Disable or Modify System Firewall	T1562.004	Windows	Disables Domain, Public and Private Firewall profiles using the PowerShell command Set-NetFirewallProfile.
	Abuse Elevation Control Mechanism: Bypass User-Account Control	T1548.002	Windows	Disabling UAC allows program to elevate its privilege without prompting the user through the UAC notification box.
Discovery	File and Directory Discovery	T1083	Windows / Linux	Enumerating files and directories
	Virtual Machine Discovery	T1673	Linux	Uses the command esxcli vm process list to enumerate VM images
	Process Discovery	T1057	Windows	Identifying and stopping key services
Impact	Data Encrypted	T1486	Windows / Linux	Encrypting victim’s files
	Data Destruction	T1485	Windows / Linux	Destroying data to prevent recovery
	Inhibit System Recovery	T1490	Windows / Linux	Encrypts snapshots of Virtual Machines (ESXi)

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5      GhostContainer nhắm mục tiêu vào Microsoft Exchange

NCS Threat Intelligence theo dõi và ghi nhận bài đăng mô tả về mã độc tấn công vào cơ sở hạ tầng Exchange trong lĩnh vực chính phủ. Nạn nhân trong chiến dịch này được xác định là cơ quan chính phủ và doanh nghiệp công nghệ tại Châu Á. Chiến dịch lợi dụng lỗ hổng tồn tại trên các máy chủ Exchange chưa được vá để cài backdoor duy trì quyền kiểm soát hệ thống trong thời gian dài. Các nhà nghiên cứu cho biết lỗ hổng CVE-2020-0688 bị khai thác trong cuộc tấn công.  Bằng việc khai thác lỗ hổng, mã độc cấy tệp độc hại App_Web_Container_1.dll vào hệ thống và thực thi chuỗi tấn công.

Tệp độc hại App_Web_Container_1.dll  đóng vai trò như container, chứa 3 key classes gồm Stub, App_Web_843e75cf5b63, App_Web_8c9b251fb5b3 và 1 utility class StrUtils.  Sau khi tệp được tải bởi Exchange service, Stub class được thực thi, hoạt động như một C2 command parser, có khả năng thực thi shellcode, download file, thực thi câu lệnh và tải mã byte bổ sung.

• Stub: Bắt đầu thực thi, class Stub cố gắng bypass AMSI (Antimalware Scan Interface) và Windows Event Log bằng cách ghi đè các địa chỉ trong dll và ntdll.dll. Sau đó, lấy validation key từ cấu hình ASP.NET và chuyển thành 1 mảng byte. Đoạn mã dùng để lấy validation key được sao chép từ một open-source project machinekeyfinder-aspx. Sau đó, validation key được hash bằng thuật toán SHA-256 để đảm bảo có độ dài 32 byte, và mảng byte thu được sẽ được sử dụng trong quá trình mã hóa và giải mã AES. Chức năng chính: nhận giá trị của trường x-owa-urlpostdata từ dữ liệu request do kẻ tấn công gửi đến, sau đó decode Base64. Sử dụng key AES đã được tạo trước đó để giải mã dữ liệu đã được decode. Sau đó giải nén và thực thi lệnh dựa trên byte đầu tiên.
• App_Web_843e75cf5b63: Class này dựa trên open-source aspx, được thiết kế để tạo “ghost page” (trang ảo) bằng các class như VirtualProvider. Ghost page được tạo ra dựa trên hai đối số: fakePageName và fakePath, nhằm thực thi một .NET reflection loader và bypass file check. Trang giả sau đó được dùng để tìm class proxy web App_Web_8c9b251fb5b3 trong domain hiện tại và thực thi phương thức tĩnh AppWebInit. Sau khi trang được tạo, kẻ tấn công sẽ bắt đầu gửi request tới class này và các request đó sẽ được class App_Web_8c9b251fb5b3 xử lý.
• App_Web_8c9b251fb5b3 là thành phần cốt lõi trong mã độc GhostContainer, thường được tải gián tiếp qua App_Web_843e75cf5b63. Class này bao gồm web proxy, socket forwarding, đóng vai trò như web proxy và tunneling module. Hành vi chính của mô-đun tập trung phân tích các request mà kẻ tấn công gửi tới trang web giả mạo. Khi nhận được request, sẽ kiểm tra phần header, và hành vi tiếp theo có thể thay đổi tùy thuộc vào giá trị của header.
• StrUtils: utility class dùng để tách và cắt chuỗi, cũng như tách, trích xuất và giải mã (unescape) các thành phần XML.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

Khuyến nghị:

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Tháng 07/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:

STT	Tiêu đề	Mô tả
1	Các phân tích về AsyncRAT cùng các biến thể	AsyncRAT là mã độc dạng Remote Access Trojan (RAT), được phát hành trên nền tảng mã nguồn mở GitHub năm 2019, cung cấp một loạt các chức năng cơ bản của RAT, bao gồm ghi lại thao tác bàn phím, chụp màn hình, đánh cắp thông tin đăng nhập, v.v

2.1      Các phân tích về AsyncRAT cùng các biến thể

AsyncRAT là mã độc dạng Remote Access Trojan (RAT), được phát hành trên nền tảng mã nguồn mở GitHub năm 2019, cung cấp một loạt các chức năng cơ bản của RAT, bao gồm ghi lại thao tác bàn phím, chụp màn hình, đánh cắp thông tin đăng nhập, v.v. Nhanh chóng trở thành nền tảng phổ biến của tội phạm mạng, được sử dụng rộng rãi trong nhiều cuộc tấn công mạng khác nhau

Tiền thân của mã độc có thể là Quasar RAT được phát hành vào 2015 do có một số tương đồng về việc AsyncRAT kế thừa một số hàm mã hóa AES/SHA, bao gồm cả các giá trị salt. Ngoài ra các tính năng khác được viết mới lại

Theo thời gian, từ phiên bản gốc, đã phát sinh rất nhiều phiên bản mới là biến thể của AsyncRAT, tạo nên nhiều nhánh mã độc, trong đó DCRAT và VenomRAT được các nhóm tấn công sử dụng nhiều chỉ sau AsyncRAT

DcRat: cung cấp cải tiến đáng kể so với phiên bản gốc và mặt tính năng, với việc thay đổi về cấu trúc dữ liệu giúp thuận tiện hơn về quá trình truyền dữ liệu

• Sử dụng thư viện mã nguồn mã MessagePack để serialize dữ liệu nhanh và nhẹ.
• Tích hợp kỹ thuật bypass AMSI, ETW và cơ chế anti-process: tự đóng các tiến trình bảo vệ như Taskmgr.exe, ProcessHacker.exe, MsMpEng.exe , Taskkill.exe  nhằm né tránh phát hiện.
• Hỗ trợ và mở rộng nhiều plugin: truy cập webcam, ghi âm micro, đánh cắp token Discord, prank (mở đĩa CD, khóa chuột…), thậm chí ransomware sử dụng thuật toán AES-256 để mã hóa tệp, với khóa giải mã chỉ được cung caaos khi plugin yêu cầu

VenomRAT: được phát triển lấy cảm hứng từ DcRAT. Tích hợp nhiều plugin, được đánh giá đủ tính năng để coi là một mã độc độc lập.

• Tích hợp keylogger, ghi lại tiêu đề cửa sổ, dùng hook cấp thấp, lưu log và gửi theo định kỳ
• Phát hiện VM bằng cách đếm mục cache memory qua WMI (Win32_CacheMemory). Phát hiện hệ điều hành server thông qua kiểm tra ProductType trong Win32_OperatingSystem.
• Sử dụng dùng WMI để thu thập CPU, RAM, GPU, danh sách ứng dụng đã cài và quá trình người dùng đang chạy và gửi các thông tin này về C2.

Việc xác định phiên bản của mã độc có thể sử dụng nhiều phương pháp khác nhau. Cách nhanh và trực tiếp nhất là kiểm tra trong hàm InitializeSettings Các giá trị cấu hình được mã hóa bằng AES-256 và được lưu trữ dưới dạng chuỗi base64 trong class Settings. Trong hầu hết các trường hợp, tên của phiên bản sẽ nằm trong nhãn Version

Nếu không có “Version”, có thể kiểm tra giá trị Salt của AES trong  class Client.Algorithm.Aes256, hoặc phân tích chứng chỉ được nhúng trong cấu hình, như CN, Organization. Các kỹ thuật trên được đề cập chủ yếu sử dụng cho các trường hợp đơn giản, có một phương pháp khác để xác định máy chủ AsyncRAT là gửi một gói tin gói tin định dạng giống gói “Ping” của client RAT đến máy chủ C2. Thông qua việc phân tích, thấy rằng máy chủ AsyncRAT/DcRAT/VenomRAT chấp nhận và xử lý gói tin không xác thực từ client qua TLS mà không kiểm tra token/certificate cụ thể, C2 sẽ phản hồi lại gói tin “Pong”.

Bên cạnh các biến thể phổ biến, có các biến thể chiếm số lượng ít các mẫu được ghi nhận, nhưng có những plugin với các tính năng đáng chú ý

Fork	Plugin	Mô tả
NonEuclid RAT	Screamer.dll, Piano.dll, Service.dll, Maps.dll, WormUsb.dll, Brute.dll, Signature Antivirus.dll, cliper.dll	Hỗ trợ các plugin với các tính năng với mục đích lần lượt như: hù dọa, chơi nhạc/wav, khởi động và tạm dừng dịch vụ, thu thập vị trí, brute SSH/FTP, xóa file theo MD5, thay thế địa chỉ ví tiền điện tử.
JasonRAT		Sử dụng loại mã hóa là biến thể của mã Morse, mẫu mã độc giới hạn theo quốc gia.
XieBroRAT	BrowserGhost.dll, Abstain.dll	RAT phiên bản tiếng Trung, hỗ trợ các plugin lần lượt với mục đích như đánh cắp thông tin trình duyệt, cung cấp tương khả năng tương tác với Cobalt Strike Ngoài ra, mẫu mã độc cũng tích hợp nhiều dự án mã nguồn mã khác như mimikatz, SharpWifiGrabber, SharpUnhooker, v.v.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

• Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – July 2025

Trong tháng 07, Microsoft đã phát hành các bản vá cho 130 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, .NET và Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (Chromium-based), và Windows Cryptographic Service. Trong đó có 10 lỗ hổng được đánh giá mức độ Critical, 120 lỗ hổng được đánh giá là Important.

Các lỗ hổng nổi bật ghi nhận trong tháng:

STT	Mã CVE	Tên lỗ hổng	Thông tin chung	Mức độ cảnh báo
1	CVE-2025-47981	SPNEGO Extended Negotiation (NEGOEX) Security Mechanism Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên trên SPNEGO Extended Negotiation (NEGOEX) cho phép kẻ tấn công không cần xác thực thực thi mã từ xa bằng cách gửi message độc hại tới hệ thống bị ảnh hưởng	Critical
2	CVE-2025-49717	Microsoft SQL Server Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SQL Server cho phép kẻ tấn công thực thi mã từ xa. Kẻ tấn công khai thác lỗ hổng bằng cách thực thi truy vấn độc hại trên hệ thống bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực	Critical
3	CVE-2025-49704	Microsoft SharePoint Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint cho phép kẻ tấn công có thể ghi mã tùy ý và thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner.	Critical
4	CVE-2025-49695	Microsoft Office Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft Office cho phép kẻ tấn công thực thi mã từ xa mà không cần tương tác từ người dùng	Critical
5	CVE-2025-49701	Microsoft SharePoint Remote Code Execution Vulnerability	Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint cho phép kẻ tấn công có thể ghi mã tùy ý và thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, kẻ tấn công cần có quyền trong Site Owner	Important
6	CVE-2025-49706	Microsoft SharePoint Server Spoofing Vulnerability	Tồn tại lỗ hổng Spoofing trên Microsoft SharePoint. Khai thác thành công lỗ hổng cho phép kẻ tấn công truy xuất thông tin nhạy cảm và có thể chỉnh sửa thông tin. Khai thác lỗ hổng yêu cầu tương tác từ người dùng	Important

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

STT	Mã CVE	Tên lỗ hổng	Thông tin chung	Sản phẩm	Mức độ cảnh báo
1	CVE-2025-5777	Memory Overread via Crafted HTTP Requests	Tồn tại lỗ hổng trên NetScaler ADC và NetScaler Gateway cho phép kẻ tấn công truy xuất nội dung bộ nhớ bao gồm session token, thông tin đăng nhập … bằng cách gửi HTTP POST requests không đúng định dạng. Khai thác lỗ hổng yêu cầu thiết bị được cấu hình ở chế độ Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc AAA virtual server	NetScaler ADC và NetScaler Gateway	Critical
2	CVE-2025-30762	Oracle WebLogic Server Core Remote Authentication Bypass	Tồn tại lỗ hổng trong Oracle WebLogic Server cho phép kẻ tấn công truy cập trái phép vào dữ liệu quan trọng hoặc toàn bộ dữ liệu có thể truy cập trên máy chủ Oracle WebLogic. Quá trình khai thác lỗ hổng thông qua 2 giao thức T3 và IIOP, lỗ hổng ảnh hưởng đến các phiên bản 12.2.1.4.0, 14.1.1.0.0 và 14.1.2.0.0	Oracle WebLogic Server	High
3	CVE-2025-53770	Critical zero-day vulnerability in SharePoint on-prem	Tồn tại lỗ hổng trên Microsoft SharePoint cho phép kẻ tấn công thực thi mã từ xa. Đây là biến thể của lỗ hổng  CVE-2025-49706.	Microsoft SharePoint	Critical

Khuyến nghị:

• Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 07/2025.

4.1      Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Chiến dịch tấn công lợi dụng lỗ hổng CVE-2025-53770 trên Microsoft SharePoint

Indicators of Compromise (IoCs)

107.191.58[.]76 deploying spinstall0.aspx

104.238.159[.]149

96.9.125[.]147

92bb4ddb98eeaf11fc15bb32e71d0a63256a0ed826a03ba293ce3a8bf057a514

4a02a72aedc3356d8cb38f01f0e0b9f26ddc5ccb7c0f04a561337cf24aa84030

b39c14becb62aeb55df7fd55c814afbb0d659687d947d917512fe67973100b70

fa3a74a6c015c801f5341c02be2cbdfb301c6ed60633d49fc0bc723617741af7

4.1.2       Nhóm CL-STA-1020 nhắm mục tiêu vào cơ quan chính phủ khu vực Đông Nam Á

Indicators of Compromise (IoCs)

SHA256 hashes for the Lambda-URL backdoor (C:\Windows\assembly\mscorsvc.dll)

4931df8650521cfd686782919bda0f376475f9fc5f1fee9d7cf3a4e0d9c73e30

SHA256 hashes for the Google Drive file uploader (C:\ProgramData\google.exe)

d20b536c88ecd326f79d7a9180f41a2e47a40fcf2cc6a2b02d68a081c89eaeaa

SHA256 hashes for the Google Drive file uploader (C:\ProgramData\GoogleDrive.exe)

304c615f4a8c2c2b36478b693db767d41be998032252c8159cc22c18a65ab498

SHA256 hashes for the Google Drive file uploader (C:\ProgramData\GoogleDriveUpload.exe)

f0c9481513156b0cdd216d6dfb53772839438a2215d9c5b895445f418b64b886

SHA256 hashes for the Dropbox file uploader (C:\ProgramData\Dropbox.exe)

3255798db8936b5b3ae9fed6292413ce20da48131b27394c844ecec186a1e92f

SHA256 hashes for the file collector (C:\ProgramData\igfx.exe)

279e60e77207444c7ec7421e811048267971b0db42f4b4d3e975c7d0af7f511e

SHA256 hashes for the Google Drive connect tool (C:\ProgramData\GoogleGet.exe)

d961aca6c2899cc1495c0e64a29b85aa226f40cf9d42dadc291c4f601d6e27c3

4.1.3       Các hoạt động tấn công của nhóm tấn công có chủ đích NightEagle

Indicators of Compromise (IoCs)

Dưới đây là domain được sử dụng bởi nhóm tấn công:

app.flowgw.com cloud.synologyupdates.com comfyupdate.org coremailtech.com dashboard.daihou360.com

e-mailrelay.com

fastapi-cdn.com

fortisys.net liveupdate.wsupdatecloud.net mirror1.mirrors-openjdk.org ms.wsupdatecloud.net

ms-nipre.com rhel.lvusdupdates.org sangsoft.net

shangjuyike.com threatbookav.com tracking.doubleclicked.com update.haprxy.org update.saperpcloud.com updates.ccproxy.org wechatutilities.com

4.1.4       Nhóm BERT Ransomware nhắm mục tiêu vào Châu Á và Châu Âu

Indicators of Compromise (IoCs)

Files	Detection name	Description
1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326	PUA.Win32.DefenderControl.B	Tool used to disable antivirus protection
70211a3f90376bbc61f49c22a63075d1d4ddd53f0aefa976216c46e6ba39a9f4	PUA.Win64.ProcHack.B	Process Hacker binary used for process manipulation
75fa5b506d095015046248cf6d2ec1c48111931b4584a040ceca57447e9b9d71	Ransom.MSIL.TREB.YPFDUT	BERT ransomware (Windows binary, new variant)
8478d5f5a33850457abc89a99718fc871b80a8fb0f5b509ac1102f441189a311	Ransom.MSIL.TREB.SMYPFDUT	BERT ransomware (Windows binary)
b2f601ca68551c0669631fd5427e6992926ce164f8b3a25ae969c7f6c6ce8e4f	Trojan.PS1.POWLOAD.THEBIBE	PowerShell script that downloads and executes BERT ransomware
bd2c2cf0631d881ed382817afcce2b093f4e412ffb170a719e2762f250abfea4	PUA.Win64.ProcHack.YACIU	Alternate Process Hacker binary variant
c7efe9b84b8f48b71248d40143e759e6fc9c6b7177224eb69e0816cc2db393db	Ransom.Linux.TREB.THDBEBE	BERT ransomware (Linux variant)

Download link

hxxp://185[.]100[.]157[.]74/payload[.]exe

4.1.5       GhostContainer nhắm mục tiêu vào Microsoft Exchange

Indicators of Compromise (IoCs)

01d98380dfb9211251c75c87ddb3c79c       App_Web_Container_1.dll

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       Các phân tích về AsyncRAT cùng các biến thể

Indicators of Compromise (IoCs)

94719304694a573b087d7efdd8ab8eed

d2411bfe0df496b26c1c3ec4420fdad5

0a82a32801a0a2c1bcf4371a4a582f5e

72673e5c55c4a574c16149d8f53fd96b

73bd7a8efb5d7150633432bde16cd980

5ee0d653dba5a4308a7bf5da642daff1

b58e96945b425532607941db2c116884

d4abb12d79d42b0f392451c49cbe6733

07f3f073391f7308ca1c7ef54d6c5656

b29edf77f9af40aaf7e5387f722d4e32

d2822abed73175b9a247682afd28f536

9b1b21fe9b8ab2fb386dd5794c272baf

c68996a7db8547fcbf2f3fd82a5e80ca

53d25a7dca52c9f5a3370f41780278cc

825a5d120ab305b5e12731307a0bee63

b4323259d83bf99fd6f029a3c0d7e272

67fefa4bc5ee224e814bea6602399df8

5b02fac6ed22c683e36715e3c7ae05fc

c2ce2c2acb3b2f2ac33f459b850ba40d

a3e36a0e8868585f376bae3b3c3f8748

55a0c7d6356dfa4c7b45ef03caf2ac75

8d01962215ddfe754b725fa9f835b2d6