THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 10 – 2025

Management Blog
05/11/2025
5 tháng

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs

1         CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS

Trong tháng 10/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:

STT Tên chiến dịch Mô tả
        1              Nhóm tấn công UAT-8099 nhắm mục tiêu vào máy chủ IIS để thực hiện SEO fraud – Khu vực Ấn Độ, Thái Lan, Việt Nam, Canada, Brazil thuộc các tổ chức như các trường đại học, công ty công nghệ và nhà cung cấp viễn thông

– Mục đích của nhóm tấn công là thao túng kết quả tìm kiếm nhằm trục lợi tài chính

-Công cụ/cách thức tấn công: lợi dụng các cài đặt yếu trong tính năng tải tệp lên máy chủ web để tải web shell, cài đặt BadIIS nhằm SEO fraud, triển khai SoftEther VPN, EasyTier và FRP (fast reverse proxy), ngoài ra cài D_Safe_Manage (một công cụ bảo mật Windows IIS) để ngăn chặn actor khác…
        2              Chiến dịch tấn công đánh cắp dữ liệu trên nền tảng Salesforce -Mục tiêu: nền tảng Salesforce của các tổ chức

-Mục đích: đánh cắp dữ liệu nhạy cảm và tống tiền

-Công cụ/cách thức tấn công: chủ yếu sử dụng kỹ nghệ xã hội, đặc biệt là vishing (giả mạo qua điện thoại)
        3              OceanLotus (APT32) nhắm mục tiêu vào nhiều quốc gia Đông Á và Đông Nam Á -Khu vực: Đông Á và Đông Nam Á

-Lĩnh vực: cơ quan chính phủ, ngành công nghiệp quốc phòng và quân sự, viện nghiên cứu khoa học và các tổ chức quan trọng khác của Trung Quốc. Hai năm qua, các cuộc tấn công đã mở rộng sang cơ sở hạ tầng thông tin quan trọng, năng lượng, y tế và hội nhập quân sự-dân sự.

-Mục đích: chủ yếu để đánh cắp thông tin
        4              Phantom Taurus – Nhóm APT Trung Quốc nhắm mục tiêu khu vực Trung Đông, Châu Phi, Châu Á -Khu vực: Châu Phi, Trung Đông và Châu Á

-Lĩnh vực: tổ chức chính phủ, viễn thông

-Mục đích: gián điệp, liên quan đến lợi ích quốc gia của Cộng hòa nhân dân Trung Hoa

-Công cụ/cách thức tấn công: sử dụng công phổ biến như China Chopper, bộ Potato và Impacket, công cụ tùy chỉnh bao gồm phần mềm độc hại Specter, Ntospy và NET-STAR malware – công cụ mới này là phần mềm độc hại .NET, nhắm mục tiêu vào máy chủ web Internet Information Services (IIS)
        5              Chiến dịch spear phishing nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Á và Châu Âu -Khu vực: Bắc Mỹ, Châu Á và Châu Âu

-Mục đích: dụ dỗ nạn nhân click vào các liên kết dẫn đến kho lưu trữ độc hại.

-Cách thức tấn công: chủ yếu gửi email có liên kết đến nội dung lừa đạo được lưu trữ trên dịch vụ đám mây dẫn đến phần mềm độc hại
        6              Mysterious Elephant — APT nhắm mục tiêu cơ quan nhà nước khu vực APAC -Khu vực: Châu Á-Thái Bình Dương

-Lĩnh vực: cơ quan chính phủ và các lĩnh vực đối ngoại

-Mục đích: xâm nhập và đánh cắp dữ liệu nhạy cảm

-Công cụ: Chiến dịch mới nhất vào đầu năm 2025, tập trung nhiều vào việc sử dụng custom-made tools, các open-source tools như BabShell và MemLoader modules
        7              Nhóm tấn công Trung Quốc cài đặt IIS backdoor TOLLBOOTH -Phạm vi: khoảng 571 máy chủ IIS đang bị nhiễm TOLLBOOTH phân bố toàn cầu, không thuộc ngành nghề cụ thể, việc lựa chọn nạn nhân không có mục tiêu cụ thể, chủ yếu dựa vào quét tự động để phát hiện các máy chủ IIS tái sử dụng machine key được liệt kê công khai.

– Cách thức tấn công: Nhóm tấn công khai thác máy chủ web IIS cấu hình sai, sử dụng  ASP.NET machine key từ các nguồn public. Các hành vi sau khi xâm phạm gồm sử dụng driver độc hại, credential dumping, triển khai webshell và phần mềm độc hại IIS.
        8              Các mối đe dọa trên nền tảng Microsoft Teams Nhắm tới nền tảng Microsoft Teams. Ứng dụng Microsoft Teams với khả năng cộng tác, nhắn tin, hội họp và chia sẻ màn hình — đã trở thành một mục tiêu giá trị cao của cả tội phạm mạng vì khả năng khai thác rộng rãi và sự tin cậy vốn có trong tổ chức.

Thông tin chi tiết các chiến dịch:

1.1      Nhóm tấn công UAT-8099 nhắm mục tiêu vào máy chủ IIS để thực hiện SEO fraud

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công UAT-8099 – một nhóm tội phạm mạng Trung Quốc nhắm mục tiêu vào máy chủ Internet Information Services (IIS) khu vực Ấn Độ, Thái Lan, Việt Nam, Canada, Brazil thuộc các tổ chức như các trường đại học, công ty công nghệ và nhà cung cấp viễn thông. Các máy chủ IIS bị xâm nhập sẽ chuyển hướng người dùng đến các quảng cáo trái phép hoặc trang web cờ bạc bất hợp pháp. Mục đích của nhóm tấn công là thao túng kết quả tìm kiếm nhằm trục lợi tài chính.

Chuỗi tấn công

Trong chiến dịch này, nhóm UAT-8099 đã lợi dụng các cài đặt yếu trong tính năng tải tệp lên máy chủ web để tải web shell “ASP.NET Web BackDoorC:/inetpub/wwwroot/[REDACTED]/Html/hw/server.ashx, từ đó thực thi lệnh như ipconfig, whoami, arp, tasklist nhằm thu thập thông tin hệ thống và mạng. Khi hoàn tất thu thập thông tin, nhóm tấn công kích hoạt tài khoản guest, đặt mật khẩu và nâng quyền thành Administrator cho phép truy cập hệ thống qua RDP. Sau đó, kẻ tấn công thực thi lệnh để xác định các cổng mạng mà tiến trình TermService (Remote Desktop Services) đang lắng nghe. Sau khi hoàn tất việc tạo tài khoản guest và bật RDP trên máy chủ IIS, kẻ tấn công tạo thêm một tài khoản ẩn admin$ và thêm tài khoản này vào nhóm Administrator để duy trì truy cập lâu dài.

Để duy trì quyền truy cập vào máy chủ IIS và cài đặt BadIIS nhằm SEO fraud, kẻ tấn công triển khai SoftEther VPN, EasyTier và FRP (fast reverse proxy) nhằm sử dụng RDP từ xa để điều khiển máy chủ, đồng thời sử dụng public tool để leo thang đặc quyền, thực thi procdump để trích xuất thông tin credential, sau đó nén bằng WinRAR và cài BadIIS phục vụ cho hoạt động SEO fraud. Ngoài ra, nhóm tấn công cũng cài D_Safe_Manage (một công cụ bảo mật Windows IIS) để ngăn chặn actor khác. Ngoài việc thực hiện hành vi SEO fraud, kẻ tấn công còn đánh cắp thông tin đăng nhập, tệp cấu hình và certificate data.

Kẻ tấn công sử dụng RDP để truy cập máy chủ IIS. Sau khi xâm nhập, nhóm sử dụng công cụ GUI “Everything” – một công cụ tìm kiếm tên tệp nhanh dành cho Windows để tìm nhanh file giá trị (logs, credentials, file cấu hình, chứng chỉ), sử dụng Notepad để kiểm tra nội dung và Windows Crypto Shell Extensions (thông qua rundll32.exe cryptext.dll) để mở và kiểm tra tệp certificate .crt. Cuối cùng, thu thập tất cả các tệp có giá trị vào thư mục ẩn Users\admin$\Desktop\loade\ sau đó nén bằng WinRAR và  trích xuất đến nhóm tấn công.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.2      Chiến dịch tấn công đánh cắp dữ liệu trên nền tảng Salesforce

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công UNC6040 và UNC6395 thực hiện nhắm mục tiêu vào nền tảng Salesforce của các tổ chức nhằm đánh cắp dữ liệu nhạy cảm và tống tiền, sử dụng các cách thức truy cập ban đầu khác nhau.

UNC6040 được ghi nhận bắt đầu hoạt động từ tháng 10/2024, chủ yếu sử dụng kỹ nghệ xã hội, đặc biệt là vishing (giả mạo qua điện thoại), giả mạo nhân viên hỗ trợ để thuyết phục nhân viên cấp quyền truy cập hoặc tiết lộ thông tin đăng nhập, mã xác thực đa yếu tố (MFA), đồng thời hướng nạn nhân phê duyệt connected app độc hại qua trang https://login.salesforce[.]com/setup/connect. Khi được phê duyệt, ứng dụng này nhận token OAuth hợp lệ do Salesforce cấp, cho phép kẻ tấn công truy vấn API và trích xuất dữ liệu trực tiếp từ môi trường Salesforce của tổ chức. Nhóm tấn công còn thiết lập các trang phishing để dẫn dụ nạn nhân truy cập từ thiết bị làm việc hoặc điện thoại di động, đồng thời tạo ứng dụng độc hại trong các tài khoản thử nghiệm Salesforce để tránh phát hiện. Sau khi trích xuất được dữ liệu, một số nạn nhân đã nhận email tống tiền được cho là từ nhóm ShinyHunters, yêu cầu thanh toán bằng tiền điện tử, với thời gian gửi yêu cầu dao động từ vài ngày đến vài tháng sau vụ xâm nhập.

Trong khi đó, vào tháng 8/2025, UNC6395 được ghi nhận sử dụng phương thức tấn công khác, lợi dụng các token OAuth bị xâm phạm của ứng dụng Salesloft Drift- một chatbot AI tích hợp với Salesforce để xâm nhập vào các môi trường Salesforce của nạn nhân. Bằng cách tận dụng cơ chế tích hợp ứng dụng bên thứ ba và các token OAuth bị lộ, UNC6395 có thể truy cập và trích xuất dữ liệu ra ngoài

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.3      OceanLotus (APT32) nhắm mục tiêu vào nhiều quốc gia Đông Á và Đông Nam Á

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả OceanLotus (còn được gọi là APT32 và APT-Q-31) nhắm mục tiêu vào nhiều quốc gia Đông Á và Đông Nam Á. Trong nhiều năm, nhóm tấn công đã nhắm mục tiêu vào các cơ quan chính phủ, ngành công nghiệp quốc phòng và quân sự, viện nghiên cứu khoa học và các tổ chức quan trọng khác của Trung Quốc. Trong hai năm qua, các cuộc tấn công đã mở rộng sang cơ sở hạ tầng thông tin quan trọng, năng lượng, y tế và hội nhập quân sự-dân sự. Đến nay, OceanLotus vẫn tiếp tục nhắm mục tiêu vào nhiều quốc gia Đông Á và Đông Nam Á, chủ yếu là các nước lân cận Trung Quốc và Việt Nam, sử dụng các cuộc tấn công spearphishing chủ yếu để đánh cắp thông tin.

Kẻ tấn công sử dụng kỹ thuật DLL hollowing để chèn và drop shellcode vào tiến trình hợp lệ, sau đó dùng cơ chế callback của VEH (Vectored Exception Handling) để kích hoạt và thực thi shellcode in-memory. Shellcode triển khai và chạy payload Havoc Demon trong bộ nhớ, thiết lập kết nối tới C2 144[.]202.46.221. Để duy trì persistence, mã độc tạo mục autostart trong registry người dùng: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicrosoftMPI

msmpi.dll

Sử dụng kỹ thuật DLL hollowing để tải shellcode vào tiến trình hợp lệ, đồng thời thiết lập hàm callback qua VEH (Vectored Exception Handling) nhằm kích hoạt và thực thi shellcode. Trong msmpi.dll có nhiều exported functions, trong đó MPI_init và MPI_Wtick là hai hàm chức năng chính

Đầu tiên gọi hàm DllEntryPoint, duyệt danh sách liên kết LDR (ldr chain) và so sánh các mã đặc trưng để tải module tương ứng, nếu rundll32.exe không tải advapi32.dll thì mẫu sẽ inject plugin để đảm bảo mẫu được thực thi; mã sử dụng biến đổi từng byte tên DLL kết hợp API hashing để resolve API; MPI_Init tạo mutex GlobalMicrosoftMPI để đảm bảo single‑instance, kiểm tra tham số dòng lệnh (so sánh với “trace” để né tránh sandbox) và có thể ghi lệnh khởi chạy vào registry autostart, sau đó đăng ký callback thực thi shellcode bằng RtlAddVectoredExceptionHandler (VEH); MPI_Wtick tải certmgr.dll và thực hiện DLL hollowing, thay thế .text của certmgr.dll bằng shellcode và ghi địa chỉ vào ptr_shellcode; cuối cùng ExecShellcode_180080B70 kiểm tra ptr_shellcode và thực thi shellcode nếu có.

shellcode.dll

Shellcode lưu PE trong bộ nhớ, ánh xạ và gọi DllMain để thực thi. DLL bao gồm ba hàm chính: DemonInit (dynamic load Ntdll.dll / Kernel32.dll bằng API‑hashing để lấy địa chỉ của chuỗi Rtl và các hàm hệ thống Nt, lấy địa chỉ của các exported function thường dùng), DemonMetaData (tạo ngẫu nhiên AES key/ vector khởi tạo IV và lưu vào metadata), và DemonRoutine (gửi dữ liệu được mã hóa qua HTTP POST tới C2 144.202.46.221).

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.4      Phantom Taurus – Nhóm APT Trung Quốc nhắm mục tiêu khu vực Trung Đông, Châu Phi, Châu Á

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công Phantom Taurus nhắm mục tiêu vào tổ chức chính phủ, viễn thông khu vực Châu Phi, Trung Đông và Châu Á. Nhóm tấn công tập trung chủ yếu vào các bộ ngoại giao, đại sứ quán, các sự kiện địa chính trị và hoạt động quân sự. Mục tiêu chính của nhóm là gián điệp, liên quan đến lợi ích quốc gia của Cộng hòa nhân dân Trung Hoa. Ngoài việc sử dụng công phổ biến như China Chopper, bộ Potato và Impacket, nhóm còn sử dụng công cụ tùy chỉnh bao gồm phần mềm độc hại Specter, Ntospy và NET-STAR malware – công cụ mới này là phần mềm độc hại .NET, nhắm mục tiêu vào máy chủ web Internet Information Services (IIS)

Kể từ 2023, Phantom Taurus tập trung vào việc đánh cắp các email nhạy cảm từ các email server. Tuy nhiên đến nay chuyển sang nhắm trực tiếp vào cơ sở dữ liệu bằng cách sử dụng mssq.bat để kết nối và thu thập dữ liệu từ cơ sở dữ liệu mục tiêu. Lợi dụng Windows Management Instrumentation (WMI) để thực thi mssq.bat trên SQL server. Nhóm tấn công đã sử dụng phương pháp này để tìm kiếm tài liệu và thông tin liên quan đến quốc gia cụ thể như Afghanistan và Pakistan.

Ngoài ra, nhóm còn sử dụng NET-STAR – một phần mềm độc hại .NET mới để nhắm mục tiêu vào Internet Information Services (IIS) web server. Bộ phần mềm gồm 3 backdoor riêng biệt:

    • IIServerCore: là một backdoor dạng mô-đun hoạt động hoàn toàn trong bộ nhớ (fileless), được nạp vào tiến trình hợp pháp w3wp.exe của IIS. Thành phần này được triển khai thông qua một web shell có tên OutlookEN.aspx, chứa backdoor được nén và mã hóa dưới dạng Base64. Khi người điều khiển thực thi web shell, backdoor sẽ được load trực tiếp vào bộ nhớ và nhận lệnh từ máy chủ C2. Backdoor này hỗ trợ nhiều chức năng khác nhau như thao tác tệp tin, truy vấn cơ sở dữ liệu SQL, tạo và quản lý thêm các web shell khác, thực thi mã tùy ý và giao tiếp mã hóa với máy chủ điều khiển bằng thuật toán AES. Đáng chú ý, nhóm tấn công còn áp dụng kỹ thuật timestomping để làm giả thời gian chỉnh sửa của file, giúp che giấu hoạt động và giảm khả năng bị phát hiện
    • AssemblyExecuter V1: thực thi các trình biên dịch .NET trực tiếp trong bộ nhớ mà không cần ghi vào đĩa. Cho phép kẻ tấn công tự động tải và thực thi các chức năng bổ sung sau khi xâm nhập.
    • AssemblyExecuter V2: phiên bản thứ hai vẫn có mục tiêu giống bản trước — thực thi các assembly .NET tùy ý trực tiếp trong bộ nhớ. Tuy nhiên phiên bản này có khả năng vượt qua cơ chế bảo mật của Windows là AMSI và ETW.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.5      Chiến dịch spear phishing nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Á và Châu Âu

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng cho thấy một loạt chiến dịch spear phishing nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Á và Châu Âu. Mục đích của chiến dịch này là dụ dỗ nạn nhân click vào các liên kết dẫn đến kho lưu trữ độc hại. Các chiến dịch này do nhóm tấn công Trung Quốc UTA0388 thực hiện. Các nhà nghiên cứu cho biết nhóm sử dụng nhiều chủ đề, danh tính hư cấu khác nhau trong hàng chục chiến dịch lừa đảo, sau đó mở rộng mục tiêu và gửi email bằng nhiều ngôn ngữ khác nhau. Hầu hết trường hợp, email ban đầu do nhóm gửi có liên kết đến nội dung lừa đạo được lưu trữ trên dịch vụ đám mây dẫn đến phần mềm độc hại. Một số khác lưu trữ trên máy chủ của nhóm tấn công. Trong các trường hợp, nhóm tấn công gửi liên kết dẫn đến tệp lưu trữ ZIP hoặc RAR, bên trong tệp này sẽ là một tệp thực thi hợp lệ liên quan đến mục tiêu/chủ đề của email lừa đảo. Khi được thực thi, tệp hợp lệ này sẽ tải một payload độc hại vào Dynamic Link Library (DLL) đi kèm, thông qua việc chiếm quyền điều khiển cho phép kẻ tấn công thực thi lệnh từ xa trên thiết bị bị ảnh hưởng.

Từ tháng 6 đến tháng 8 năm 2025, nhóm này đã gửi các email lừa đảo có tệp HTML đính kèm, chứa hình ảnh giả mạo tài liệu nhằm đánh lừa người nhận. Khi người dùng nhấp vào hình ảnh, sẽ bị chuyển hướng đến một tệp nén được lưu trữ từ xa, và nếu mở tệp này rồi thực thi file thực thi bên trong, hệ thống sẽ bị nhiễm mã độc.

Một trường hợp cho thấy nội dung email được thiết kết giống như tệp PDF đính kèm, tuy nhiên đây là hình ảnh được liên kết đến URL sau:

https://aesthetic-donut-1af43s2.netlify[.]app/file/rar

Truy cập URL sẽ chuyển hướng đến tệp RAR tại URL sau:

https://aesthetic-donut-1af43s2.netlify[.]app/index/file/A_Introduction_Docs_v00546823.rar

Từ tháng 8/2025, nhóm chuyển sang phishing xây dựng mối quan hệ, ban đầu gửi email không chứa mã độc và chỉ gửi tải trọng khi nạn nhân phản hồi, giúp tránh bị phát hiện và giảm nguy cơ lộ hạ tầng.

Tất cả các email lừa đảo do nhóm tấn công gửi đi đều được gửi từ các nhà cung cấp dịch vụ email web bao gồm ProtonMail, Outlook và Gmail. Trong suốt tháng 6 và tháng 7/2025, nhóm chuyển sang sử dụng  Netlify để lưu trữ các tệp tin RAR và ZIP độc hại, sau đó chuyển sang sử dụng  Sync , OneDrive và các tên miền riêng của nhóm tấn công.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.6      Mysterious Elephant — APT nhắm mục tiêu cơ quan nhà nước khu vực APAC

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm tấn công Mysterious Elephant nhắm mục tiêu vào cơ quan nhà nước khu vực APAC. Nhóm tấn công được phát hiện vào 2023, liên tục phát triển và điều chỉnh các chiến thuật, kỹ thuật để tránh phát hiện. Nhóm chủ yếu nhắm đến cơ quan chính phủ và các lĩnh vực đối ngoại khu vực Châu Á – Thái Bình Dương nhằm xâm nhập và đánh cắp dữ liệu nhạy cảm. Chiến dịch mới nhất vào đầu năm 2025, tập trung nhiều vào việc sử dụng custom-made tools, các open-source tools như BabShell và MemLoader modules.

Chiến dịch mới nhất có sự thay đổi đáng kể trong các chiến thuật tấn công, sử dụng kết hợp các bộ công cụ khai thác, email phishing và tài liệu độc hại để tiếp cận mục tiêu. Sau khi xâm nhập, triển khai một loạt công cụ tùy chỉnh và open source để đạt mục tiêu.

Nhóm tấn công sử dụng  spear phishing để chiếm quyền truy cập ban đầu, sử dụng email phishing giả mạo các thư từ hợp pháp, thiết kế riêng cho từng nạn nhân. Mục tiêu chính là quốc gia khu vực Nam Á, đặc biệt là Pakistan.

Một trong những công cụ được nhóm tán công sử dụng là BabShell. Đây là reverse shell tool được viết bằng C++ cho phép kẻ tấn công kết nối với hệ thống bị xâm phạm. Sau khi thực thi, thu thập thông tin hệ thống bao gồm username, tên máy tính, địa chỉ MAC để nhận dạng máy. Sau đó, phầm mềm độc hại sẽ thực hiện các bước như sau:

    • Lắng nghe và nhận lệnh từ C2 do kẻ tấn công kiểm soát
    • Với mỗi lệnh nhận được, BadShell tạo một luồng riêng để thực thi lệnh đó, cho phép thực thi đồng thời nhiều lệnh
    • Đầu ra được ghi lại và lưu vào tệp output_[timestamp].txt
    • Sau đó truyền nội dung của tệp output_[timestamp].txt trở lại máy chủ C2

Ngoài ra, modul mới nhất được nhóm tấn công sử dụng và BabShell tải là MemLoader HidenDesk – một  reflective PE loader cho phép tải và thực thi payload độc hại trong bộ nhớ, sử dụng mã hóa và nén để tránh phát hiện.

MemLoader HidenDesk hoạt động theo cách sau:

    • Kiểm tra số lượng tiến trình đang hoạt động và tự kết thúc khi ít hơn 40 tiến trình đang chạy
    • Tạo một shortcut đến tệp thực thi và lưu vào autostart folder, đảm bảo có thể tự khởi đọng lại sau khi hệ thống khởi động
    • Mã độc tạo màn hình ẩn tên “MalwareTech_Hidden”, tạo môi trường ẩn để hoạt động
    • Sử dụng thuật toán tương tự RC4 với key D12Q4GXl1SmaZv3hKEzdAhvdBkpWpwcmSpcD. Phần mềm độc hại giải mã một khối dữ liệu từ tệp nhị phân và thực thi trong bộ nhớ dưới dạng shellcode. Mục đích của shellcode là tải và thực thi một tệp PE.

Ngoài ra, kẻ tấn công sử dụng một phần mềm độc hại mới là MemLoader Edge – một loader độc hại, hoạt động như sau: trước tiên kiểm tra kết nối mạng bằng cách thử kết nối đến trang web hợp pháp bing.com:445. Nếu kết nối thành công, phần mềm độc hại sẽ drop một hình ảnh lên máy và hiển thị một cửa sổ với 3 nút giả lập nhằm đánh lừa phân tích. Nếu kết nối thất bại, phần mềm độc hại sẽ lặp lại một mảng 1016 byte để tìm XOR key nhằm giải mã tệp PE. Quá trình tiếp tục cho đến khi dữ liệu được giải mã khớp với chuỗi byte của MZ\x90. Nếu không tìm được khóa XOR chính xác, hiển thị cùng ảnh và thông báo lỗi. Sau khi giải mã thành công, tệp PE được tải vào bộ nhớ bằng reflective loading. File này là một biến thể của mã nguồn mở vxRat, được gọi là VRat.

Mysterious Elephant sử dụng các module exfiltration chuyên biệt cho WhatsApp nhằm đánh cắp dữ liệu nhạy cảm từ hệ thống bị xâm nhập, bao gồm tài liệu, hình ảnh và file nén như Uplo Exfiltrator, Stom Exfiltrator, ChromeStealer Exfiltrator

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.7      Nhóm tấn công Trung Quốc cài đặt IIS backdoor TOLLBOOTH

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả hoạt động sau khi tấn công của nhóm tấn công Trung Quốc thực hiện cài đặt backdoor  IIS độc hại có tên TOLLBOOTH. Nhóm tấn công khai thác máy chủ web IIS cấu hình sai, sử dụng  ASP.NET machine key từ các nguồn public. Các hành vi sau khi xâm phạm gồm sử dụng driver độc hại, credential dumping, triển khai webshell và phần mềm độc hại IIS.

Theo các nhà nghiên cứu có khoảng 571 máy chủ IIS đang bị nhiễm TOLLBOOTH phân bố toàn cầu, không thuộc ngành nghề cụ thể, việc lựa chọn nạn nhân không có mục tiêu cụ thể chủ yếu dựa vào quét tự động để phát hiện các máy chủ IIS tái sử dụng machine key được liệt kê công khai.

Chuỗi tấn công được bắt đầu từ việc lộ ASP.NET machineKey gồm ValidationKey và DecryptionKey. Nhóm tấn công thu thập key công khai từ các kho mã/ tài liệu cấu hình rồi lợi dụng cơ chế ViewState bằng cách gửi __VIEWSTATE chứa payload .NET. Payload .NET được mã hóa URL và Base64, có thể được ký hoặc mã hóa tùy theo cấu hình machineKey và ViewState, từ đó kích hoạt deserialization từ xa và dẫn đến thực thi mã trên máy chủ IIS chạy ứng dụng ASP.NET. Một yêu cầu khai thác thành công thường khiến máy chủ phản hồi lỗi HTTP 500 Internal Server Error. Sau khi đạt được khả năng thực thi mã, kẻ tấn công triển khai webshell, bao gồm bản fork của Godzilla, nhằm duy trì quyền truy cập. Webshell nhận dữ liệu điều khiển qua HTTP POST được mã hóa bằng AES và Base64, nạp assembly trực tiếp vào bộ nhớ và thực thi mã trong memory. Tiếp theo, công cụ quản trị từ xa GotoHTTP được triển khai để thiết lập kênh điều khiển. Sau khai thác kẻ tấn công dò quét đặc quyền, cố gắng tạo tài khoản Administrator và sử dụng công cụ đánh cắp thông tin xác thực như Mimikatz để leo thang đặc quyền. Khi không thể mở rộng phạm vi, nhóm tấn công sẽ chuyển sang monetization bằng cách cài đặt một IIS native module độc hại mang tên TOLLBOOTH. Module này được nạp vào tiến trình worker của IIS để can thiệp luồng xử lý HTTP, thực hiện SEO cloaking, chèn nội dung và chuyển hướng nhằm chiếm đoạt lưu lượng truy cập. Để ẩn sự tồn tại của thành phần userland, nhóm tấn công dùng một kernel rootkit tùy chỉnh (dựa trên project mở “Hidden”), để ẩn file/process/registry và thiết lập giao tiếp IOCTL giữa kernel và userland.

TOLLBOOTH tồn tại ở cả bản native (32/64 bit) và .NET managed với cấu hình động được tải từ hxxps://c[.]cseo99[.]com/config/<victim_HTTP_host_value>.json. Đối với các module gốc, tệp cấu hình và các bộ nhớ đệm khác lưu được nén Gzip tại C:\\Windows\\Temp\\_FAB234CD3-09434-8898D-BFFC-4E23123DF2C\\, còn bản managed mã hóa AES với khoá YourSecretKey123, IV 0123456789ABCDEF rồi Gzip và lưu tại C:\\Windows\\Temp\\AcpLogs\\. TOLLBOOTH hiển thị một webshell tại /mywebdllđường dẫn, yêu cầu mật khẩu hack123456! để tải tệp lên và thực thi lệnh với endpoint upload/exec /scjg

Mục tiêu chính của TOOLBOOTH là SEO cloaking, hiển thị nội dung được tối ưu từ khóa cho các trình thu thập của công cụ tìm kiếm trong khi ẩn nội dung đó khỏi người dùng thông thường để nâng thứ hạng tìm kiếm của trang, khi một người dùng thực sự nhấp vào kết quả tìm kiếm được tăng hạng, phần mềm độc hại sẽ chuyển hướng họ đến một trang độc hại hoặc gian lận.

TOLLBOOTH phân biệt bot và người dung truy cập bằng cách kiểm tra header User‑Agent và Referer, xây trang chứa liên kết chèn từ khóa và link farm bằng cách tạo internal links từ affLinkMainWordSeoResArr và external affiliate links tới các trang SEO trên domain khác bị nhiễm (URI dạng hxxps://f.fseo99.com/<date>/<md5>.txt), thu fingerprint khách truy cập (IP, UA, referrer, keyword) rồi POST tới hxxps://api.aseo99.com/client/landpage để lấy landpageUrl hoặc dùng fallback mã hóa thông tin vào URL, sau đó trả JavaScript window.location.href để redirect; bản native còn có page hijacker loader cho URI chứa xlb, tải JS obfuscated từ CDN kiểu mlxya.oss-accelerate.aliyuncs.com/<12‑chars> rồi dùng document.write() để ghi đè DOM.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công

1.8      Các mối đe dọa trên nền tảng Microsoft Teams

NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả các cuộc tấn công nhắm tới nền tảng Microsoft Teams. Ứng dụng Microsoft Teams với khả năng cộng tác, nhắn tin, hội họp và chia sẻ màn hình — đã trở thành một mục tiêu giá trị cao của cả tội phạm mạng vì khả năng khai thác rộng rãi và sự tin cậy vốn có trong tổ chức. Microsoft cảnh báo rằng các tác nhân đe dọa đang lạm dụng các tính năng, API và mô hình phối hợp của Teams để thực hiện tấn công ở nhiều giai đoạn khác nhau.

Ở giai đoạn trinh sát là nơi nhiều chiến dịch bắt đầu khi tài khoản và nhóm trên Azure/Entra ID bị liệt kê, các chính sách federated tenant bị quét qua API Graph, hoặc người dùng khách/guest được thêm vào kênh Teams một cách giả mạo sử dụng các công cụ mã nguồn mở như ROADtools, TeamsEnum và MSFT-Recon-RS để khám phá môi trường Teams.

Ở giai đoạn truy cập ban đầu (initial access), đối tượng đe dọa sử dụng tin nhắn lừa đảo (phishing) hoặc các liên kết giả mạo đến phần mềm/chức năng Teams để dụ người dùng, sau đó thiết lập persistence thông qua việc thêm tài khoản guest, tạo service, hoặc dùng mô-đun độc hại trong Teams client, cho phép attacker di chuyển ngang hàng và gia tăng phạm vi quyền kiểm soát trong môi trường collaboration của tổ chức. Các nhóm tấn công không chỉ hạn chế trong việc đánh cắp credential mà còn tiến tới thao túng các kênh Teams để thực thi mã, di chuyển ngang hàng hoặc đánh cắp dữ liệu. Các biện pháp bảo mật truyền thống không còn đầy đủ, tổ chức cần triển khai chính sách “Zero Trust” cho collaborative tools như Teams. Microsoft khuyến nghị các tổ chức cần thực thi nhiều lớp biện pháp: từ việc vận hành xác thực đa yếu tố (MFA) mạnh, sử dụng chính sách truy cập có điều kiện (Conditional Access) cho Teams và các dịch vụ ngoại vi, đến việc giới hạn truy cập guest và external users, kiểm soát quyền của các group và kênh trong Teams, đồng thời giám sát hành vi bất thường trên endpoint và ứng dụng Teams (qua Defender for Endpoint, Defender for Office 365, Defender for Identity và Entra ID Protection).

Khuyến nghị:

    • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

2         MALWARE

Tháng 10/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:

STT Tiêu đề Mô tả
1 StealthServer – Backdoor đa nền tảng StealthServer — một backdoor đa nền tảng (Windows và Linux) viết bằng ngôn ngữ Go, dùng .desktop/PPT làm loader để lừa nạn nhân thực thi, mã độc tích hợp nhiều kỹ thuật anti-analysis và persistence, giao tiếp với C2 qua TCP/HTTP/WebSocket để thực hiện đánh cắp tệp tin và thực thi lệnh từ xa

2.1      StealthServer – Backdoor đa nền tảng

Đội ngũ NCS ghi nhận bài đăng trên không gian mạng mô tả một họ backdoor mới mang tên StealthServer, được cho là các nhóm tấn công khu vực Nam Á phát triển và triển khai, với đặc điểm hỗ trợ cả hai nền tảng Windows và Linux, được viết bằng ngôn ngữ Go và được tinh chỉnh cập nhật liên tục nhằm tăng khả năng bị phát hiện. Qua phân tích mẫu, StealthServer thường được đóng gói trong các tệp tin mồi nhử với nội dung mang chủ đề hội nghị, mua sắm hoặc các vấn đề chính trị có liên quan tới một quốc gia Nam Á cụ thể. Trên Windows loader xuất hiện dưới dạng tài liệu PowerPoint độc hại (macro) và trên Linux loader xuất hiện dưới dạng tệp shortcut .desktop giả danh PDF, nhằm đánh lừa nạn nhân mở tệp decoy để thực thi các payload thực độc hại. Phân tích mã nguồn và phát hiện runtime cho thấy mã độc chèn lượng lớn mã rác (junk code) và các hàm vô nghĩa ở phần đầu của nhị phân nhằm làm chậm việc phân tích tĩnh và động, phần logic xử lý thật sự được đặt gần cuối file nhằm gây khó khăn cho quá trình phân tích dịch ngược. Cả hai nhánh Windows và Linux đều chia sẻ cấu trúc phát triển tương đồng, với các đường dẫn build/source lặp lại chuỗi bossmaya trong metadata, cho thấy cùng một bộ codebase hoặc cùng nhóm phát triển chịu trách nhiệm cho cả hai nền tảng.

Các phiên bản với các sự thay đổi như sau:

Windows-V1: TCP

Loader

Biến thể đầu tiên được ghi nhận vào tháng 7, với phân phối đầu tiên là tài liệu PPT chứa marco độc hại. Khi người dùng mở file, marco sẽ được khởi chạy, luồng thực thi bao gồm tải xuống tài liệu giả mạo và payload độc hại. URL đầu tiên  https://filestore[.]space/SoftsCompany/d/11/MES-Presentation chứa tài liệu giả mạo và URL thứ 2 https://filestore[.]space/SoftsCompany/d/14/nodejs lưu trữ payload độc hại StealthServer.

StealthServer

Payload sử dụng nhiều phương pháp gây khó khăn cho quá trình phân tích bao gồm:

    • Sử dụng nhiều mã rác (junkcode)
    • Sử dụng tasklist để liệt các tiến trình đang chạy, kiểm tra xem môi trường đang chạy có chứa các từ khóa liên quan đến các ứng dụng sandbox hoặc máy ảo hay không (VMware, VBOX, VirtualBox,…), sử dụng hàm IsDebuggerPresent(), kiểm tra giá trị trong PEBDebugFlag, kiểm tra các thư mục mặc định của môi trường phân tích/sandbox, kiểm tra tên người dùng

Thiết lập persistence bằng cách:

    • Sao chép vào thư mục %appdata%, đổi tên thành nodejs.exe và thiết lập các thuộc tính ẩn
    • Thêm các registry thông qua câu lệnh reg add để mã độc thực thi khi người dùng đăng nhập
    • Tạo tệp tin .ps1 vào thư mục Startup, khi thực thi, powershell script sẽ tạo shortcut update.lnk bên trong thư mục Startup trỏ đến nodejs.exe
    • Tạo lập lịch chạy định kỳ thông qua câu lệnh sc create “NodeJSUpdater” binPath= “%s” start= auto DisplayName= “Node.js Background Updater” type= own and sc start “NodeJSUpdater”

{

  “id”: “633734336633383138326436323966326463656638303966363166663933356163363239363364eae2d6e4”,

  “location”: “windows – DAJI0A22”,

  “antivirus”: “Unknown”

}

Mã độc giao tiếp với máy chủ C2 thông qua C2 và dữ liệu theo định dạng JSON trên cổng 8080. Các gói tin sẽ bao gồm ID được hardcode, location theo format windows – <hostname> và giá trị được lưu trong antivirus nếu bất kỳ AV nào được phát hiện. Payload hỗ trợ 3 lệnh: LIST, UPLOAD và DOWNLOAD

Windows-V2: TCP

Phiên bản Windows-V2 được phát hiện cuối tháng 8 với file trình cài đặt mang tên proxifiersetup.exe. Với cùng thông tin đường dẫn build/source với một số mẫu Linux (D:/bossmaya/newblkul/client/client_obfuscated.go) và trong banner/chuỗi nội dung thể hiện tên ULTRA-CLIENT. Chức năng không thay đổi nhiều với việc chỉ bổ sung thêm một số từ khóa về công cụ và trình debug như OllyDbg, x64dbg, IDA. Các C2 được mã hóa theo thuật toán xor, 2 IP khác được hardcoded trong binary làm backup, lắng nghe trên công 8080. Với các gói tin, bổ sung thêm 8 bytes các giá trị ngẫu nhiên trong trường id và os, các câu lệnh từ C2 không thay đổi

Windows-V3: WebSocket

Vào cuối tháng 8, tiếp tục ghi nhận và phát hiện một biến thể khác nhưng sử dụng WebSocket trong quá trình giao tiếp.  Máy chủ C2 của tại ws[:]//kavach[.]space:5500 với các chức năng giống hệt với biến thể Linux thứ hai sẽ được mô tả bên dưới đây

Linux-V1: HTTP

Loader

Biến thể đầu tiên được phát hiện vào đầu tháng 8, dropper có phần mở rộng là .desktop, một dạng shortcut trong môi trường Linux, tương tự như .LNK trong Windows. Khi người dùng mở file, câu lệnh sẽ được thực thi nhằm thực hiện

    • Mở một tệp tin trên Google Drive thông qua firefox để lừa nạn nhân, tài liệu có chứa các thông tin liên quan đến nghiên cứu quốc phòng được dán nhãn bí mật
    • Tải xuống payload được lưu trữ trên máy chủ xuống đường /tmp. Payload này chính là StealthServer định dạng ELF nhưng được mã hóa dưới dạng hex, và được giải mã thông qua xxd, sau khi giải mã, thực hiện cấp quyền thông qua chmod và thực thi tệp tin

Một số biến thể khác mã hóa URL bằng các giá trị hex, các chức năng khác tương tự như mô tả ở trên

StealthServer

Khác với các mẫu ở hệ điều hành Windows, các hàm được đặt tên ngẫu nhiên không mô tả đúng chức năng trong hàm, với các đặc điểm đặc trưng sau:

    • Sử dụng mã rác/hàm rác nhằm gây khó khăn cho quá trình phân tích, ví dụ như sử dụng các vòng lặp, các quá trình mã hóa giải mã với các dữ liệu vô nghĩa
    • Đọc /proc/self/status và kiểm tra trường trạng thái ở TracerPid: N, với N khác giá trị 0 cho thấy tiến trình đang trong các trình gỡ lỗi như gdb hoặc strace
    • Persistence: Cấu hình mã độc chạy như một dịch vụ trong hệ thống bằng cách sử dụng các symlink và sao chép mã độc vào đường dẫn mới tạo có liên kết trước đó. Ngoài ra mã độc cũng sử dụng ~/.bashrc và ~/.profile nhằm khởi chạy các mã độc ở chế độ backgound mỗi khi người dùng đăng nhập

    • Trước khi khởi tạo các giao tiếp, mã độc gửi request HTTP tới C2 để kiểm tra máy chủ có hoạt động hay không, reponse sẽ trả về các thông tin về trạng thái của service. Nếu C2 hoạt động (trả về status là ok), mã độc sẽ request ở path /command nhằm truy xuất lệnh từ server, reponse trả về các lệnh dưới dạng JSON, kết quả được gửi lại C2 thông qua path /command-response

    • Từ thư mục gốc / mã độc tìm kiếm một số tệp tin theo phần mở rộng sử dụng đệ quy, các tệp tin với định dạng là .pdf, .doc, .xls, .ppt, .txt, .zip, .rar. Nếu phát hiện các tệp tin này, mã độc sẽ thực hiện
      • Gửi GET request để thông báo tới máy chủ C2 với giá trị X-Username trong request chứa thông tin user
      • Gửi POST request tới /upload?last=true nhằm tải tệp lên máy chủ, với các giá trị trong request bao gồm X-File-Name chứa tên tệp tin được mã hóa Base64, tệp tin được mã hóa theo AES mode GCM với cách thức mã hóa như sau:
        • Băm chuỗi ký tự được hardcoded trong binary theo SHA256 thu được khóa của AES 32bytes
        • Sinh ngẫu nhiên một giá trị có kích thước 12bytes làm nonce cho GCM, giá trị này được gửi trong trường X-Nonce trong header của request
        • Mã hóa nội dung tệp tin theo thuật toán AES mode GCM, đính kèm 16bytes cuối là authentication tag và được gửi trong body của request.

Linux-V2: WebSocket

Loader

Môt biến thể Linux khác được ghi nhận vào giữa tháng 8, với cùng cách thức triển khai mã độc như V1, cấu trúc tệp tin thì có một chút thay đổi khi sử dụng tệp tin với hơn 3000 dòng chú thích và đặt các câu lệnh thực thi vào giữa, các câu lệnh được mã hóa theo Base64

StealthServer

Payload phiên bản này có một số điểm khác biệt với phiên bản trước như sau:

    • Khi thực thi, nếu nhận được đối số –hidden, quá trình persistence sẽ được bỏ qua. Nếu không nhận được đối số này, tệp tin ELF độc hại sẽ được sao chép vào thư mục ~/.config/system-backup/ và cấu hình thông qua crontab
    • Các giao tiếp được chuyển đổi sang WebSocket, tuy nhiên dữ liệu vẫn ở định dạng JSON. Địa chỉ C2 được mã hóa dưới dạng Base64. Nếu kết nối thành công, sẽ có thông báo “Welcome to Stealth Server” sau đó sẽ gửi thông tin của nạn nhân đến máy chủ C2 như hình ảnh dưới đây. Sau quá trình này, client và server sẽ định kỳ giữ giao tiếp sau mỗi 30s nhằm kiểm tra trạng thái kết nối. C2 hỗ trợ các tính năng nhằm duyệt file, tải và thực thi các payload mới, thu thập thông tin, ping, welcom và heartbeat

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến mã độc

Khuyến nghị:

    • Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống

3         LỖ HỔNG BẢO MẬT

3.1      Microsoft Patch Tuesday – October 2025

Trong tháng 10, Microsoft đã phát hành các bản vá cho 177 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, Microsoft Edge (Chromium-based), Azure, Hyper-V, .NET và Visual Studio, Github, Exchange Server, BitLocker, và Xbox. Trong đó có 16 lỗ hổng được đánh giá mức độ Critical, 01 lỗ hổng được đánh giá là Moderate, 160 lỗ hổng được đánh giá là Important.

Các lỗ hổng nổi bật ghi nhận trong tháng:

STT Mã CVE Tên lỗ hổng Thông tin chung Mức độ cảnh báo
         1 CVE-2025-24990 Windows Agere Modem Driver Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Windows Agere Modem Driver cho phép kẻ tấn công leo thang lên đặc quyền administrator Important
         2 CVE-2025-59230 Windows Remote Access Connection Manager Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Windows Remote Access Connection Manager cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM Important
         3 CVE-2025-47827 MITRE CVE-2025-47827: Secure Boot bypass in IGEL OS before 11 Tồn tại lỗ hổng trên IGEL OS before 11 cho phép kẻ tấn công bypass Secure Boot Important
         4 CVE-2025-59287 Windows Server Update Service (WSUS) Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Windows Server Update Service (WSUS) cho phép kẻ tấn công không cần xác thực thực thi mã từ xa Critical
         5 CVE-2025-59237 Microsoft SharePoint Remote Code Execution Vulnerability Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint cho phép kẻ tấn công ghi mã tùy ý và thực thi mã từ xa trên SharePoint Server. Khai thác lỗ hổng yêu cầu xác thực, cần có quyền Site Owner Important
         6 CVE-2025-59249 Microsoft Exchange Server Elevation of Privilege Vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên Microsoft Exchange Server cho phép kẻ tấn công chiếm quyền kiểm soát hộp thư (có thể gửi, đọc mail và tải xuống tệp đính kèm). Khai thác lỗ hổng yêu cầu kẻ tấn công chiếm quyền kiểm soát tài khoản người dùng thuộc nhóm quản trị (admin). Important

Khuyến nghị:

    • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

STT Mã CVE Tên lỗ hổng Thông tin chung Sản phẩm Mức độ cảnh báo
        1 CVE 2025 20352 Denial of Service and Remote Code Execution Vulnerability Tồn tại lỗ hổng tràn bộ đệm trong Cisco IOS Software và Cisco IOS XE Software sử dụng SNMP cho phép kẻ tấn công có thể thực hiện các hành vi sau:

–           Gây ra tình trạng từ chối dịch vụ trên thiết bị bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực, có thông tin về community string của SNMPv2c hoặc SNMPv1với quyền chỉ đọc (read-only) hoặc thông tin tài khoản của SNMPv3

–           Thực thi mã tùy ý trên thiết bị bị ảnh hưởng đang chạy phần mềm Cisco IOS XE. Khai thác lỗ hổng yêu cầu xác thực với tài khoản đặc quyền cao, ngoài ra cần có thông tin về community string của SNMPv2c hoặc SNMPv1 với quyền chỉ đọc (read-only) hoặc thông tin tài khoản của SNMPv3 có quyền truy cập ở mức quản trị (administrative/privilege 15) trên thiết bị

 Cisco IOS và IOS XE Software High
        2 CVE-2025-20333 Cisco Secure Firewall Adaptive Security Appliance Software and Secure Firewall Threat Defense Software VPN Web Server Remote Code Execution Vulnerability Tồn tại lỗ hổng trên VPN web server của Cisco Secure Firewall Adaptive Security Appliance (ASA) Software và Cisco Secure Firewall Threat Defense (FTD) Software cho phép kẻ tấn công thực thi mã tuỳ ý với đặc quyền root trên thiết bị bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực, yêu cầu có thông tin đăng nhập VPN hợp lệ Cisco Secure Firewall ASA Software, Cisco Secure FTD Software Critical
        3 CVE-2025-20363 Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, and IOS XR Software Web Services Remote Code Execution Vulnerability Tồn tại lỗ hổng trên web service của Cisco Secure Firewall Adaptive Security Appliance Software, Secure Firewall Threat Defense Software, IOS Software, IOS XE Software, và IOS XR Software cho phép kẻ tấn công thực thi mã tuỳ ý trên thiết bị bị ảnh hưởng. Khai thác lỗ hổng yêu cầu xác thực với đặc quyền thấp (đối với Cisco IOS Software, Cisco IOS XE Software, và Cisco IOS XR Software) và không yêu cầu xác thực (đối với Cisco ASA và FTD Software) Cisco Secure Firewall Adaptive Security Appliance Software

Secure Firewall Threat Defense Software

IOS Software

IOS XE Software

IOS XR Software

 Critical
        4 CVE‑2025‑32463 Sudo chroot Elevation of Privilege Tồn tại lỗ hổng trong Sudo cho phép kẻ tấn công có thể nâng quyền root thông qua tuỳ chọn -R (chroot) Sudo Critical
        5 CVE-2025-41244 Local privilege escalation vulnerability Tồn tại lỗ hổng leo thang đặc quyền trên VMware Aria Operations và VMware Tools cho phép kẻ tấn công leo thang lên đặc quyền root VMware Cloud Foundation

VMware vSphere Foundation

VMware Aria Operations

VMware Tools

VMware Telco Cloud Platform

VMware Telco Cloud Infrastructure

 Important
        6 CVE-2025-61882 Remote Code Execution (RCE) via HTTP in Oracle E-Business Suite Tồn tại lỗ hổng trong Oracle Concurrent Processing product của Oracle E-Business Suite cho phép kẻ tấn công khai thác từ xa không cần xác thực. Khai thác thành công có thể dẫn đến thực thi mã từ xa (RCE) và chiếm quyền kiểm soát toàn bộ hệ thống Oracle E-Business Suite Critical
        7 CVE-2025-61884 Information disclosure in Oracle E-Business Suite Configurator Tồn tại lỗ hổng trong Oracle Configurator product của Oracle E-Business Suite cho phép kẻ tấn công không cần xác thực có thể truy cập mạng thông qua HTTP để xâm nhập Oracle Configurator. Khai thác thành công, kẻ tấn công có thể truy cập vào dữ liệu nhạy cảm Oracle E-Business Suite High
        8 CVE-2025-49844 Lua use-after-free may lead to remote code execution Tồn tại lỗ hổng trong Redis cho phép kẻ tấn công thực thi mã độc từ xa (RCE) trên máy chủ Redis. Khai thác lỗ hổng yêu cầu xác thực. Kẻ tấn công khai thác lỗ hổng bằng cách sử dụng Lua script được thiết kế đặc biệt để thao túng garbage collector, dẫn đến use-after-free và thực thi mã từ xa Redis Critical
        9 CVE-2025-20371 Unauthenticated Blind Server Side Request Forgery (SSRF) in Splunk Tồn tại lỗ hổng blind SSRF trong Splunk cho phép kẻ tấn công không cần xác thực có thể giả mạo các yêu cầu phía máy chủ để gọi các REST API thay mặt cho một người dùng đã xác thực có đặc quyền cao Splunk Enterprise

Splunk Cloud Platform

 High
    10 CVE-2025-48983 Remote Code Execution (RCE) in Veeam Backup & Replication Tồn tại lỗ hổng trong Mount service của Veeam Backup & Replication cho phép kẻ tấn công thực thi mã độc từ xa (RCE) trên máy chủ sao lưu Veeam Backup & Replication Critical
    11 CVE-2025-49201 Weak authentication in WAD/GUI Tồn tại lỗ hổng weak authentication trong thành phần WAD/GUI của Fortinet FortiPAM và FortiSwitchManager cho phép kẻ tấn công bỏ qua cơ chế xác thực thông qua tấn công brute-force FortiPAM và FortiSwitch Manager High
    12 CVE-2025-58325 Restricted CLI command bypass Vulnerability Tồn tại lỗ hổng CLI command bypass trong FortiOS cho phép kẻ tấn công thực thi các câu lệnh hệ thống thông qua các lệnh CLI được tạo đặc biệt. Khai thác lỗ hổng yêu cầu xác thực FortiOS High
    13 CVE-2025-11622 Ivanti Endpoint Manager Local Privilege Escalation via Insecure Deserialization Tồn tại lỗ hổng Insecure deserialization trong Ivanti Endpoint Manager cho phép kẻ tấn công leo thang đặc quyền Ivanti Endpoint Manager High
    14 CVE-2025-9713 Ivanti Endpoint Manager Path Traversal Tồn tại lỗ hổng Path traversal trong Ivanti Endpoint Manager cho phép kẻ tấn công không cần xác thực thực thi mã từ xa. Khai thác lỗ hổng yêu cầu tương tác từ người dùng Ivanti Endpoint Manager High

Khuyến nghị:

    • Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống

4         PHỤ LỤC

Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 10/2025.

4.1      Danh sách IoCs liên quan đến các chiến dịch tấn công

4.1.1       Nhóm tấn công UAT-8099 nhắm mục tiêu vào máy chủ IIS để thực hiện SEO fraud

Indicator of Compromises

SHA256

762db01f0dc61a3f4aa1695cb24a92fa21d236d8c5577926337ac1799d6569a5

7276bc5fe4d29daf7a23a9a68022330290be45cc3a5a1d76e82063135b85ce5c

046417685ad2eb075f33a0f757391df84750d2395fa6f82b1f05359710b7c9b6

f7cc8cf5a8e565c1aa8b7bd524f4f9fac392387de749657cb9d1cf4d694c4ad2

b3d08508b1e8962e56da007408450e2a40fae8cac1ee7d526914be80e31f6854

8b2a61f29fdeda908d299515975a4dd3abd1a7508dbe8487bcb2a56fad2ec16f

e042f1a9b0a1d69311a5a1bd4eea37cc1a8a02cffe3f9ad5eb0c78fa79f326e2

5a6dd4bb2db005adee56732b96fa6f4ceed47fc42298daf7bb3e6db32b59eac6

f659c4cfe4517a07b9c944cb7818be4022fdc42187766808ad02987a4152a875

7ddf475abc6e01a1e703f4c54e5a2c8601fef4767b3b1859b78cfdc18b173004

0afa8830d2c664a192af94b638ab6b1c096d13e41a7f1886b71ff020e0d9bd93

088fa3063c3015978955b572d5ddcff0838a945ce25665f24cca83d33e039cb9

c85a942a0d17c7accbabbf68ce04635327b757a662687c798e998c983c2a744c

e1342bca7bc4f3ff9453c68cd16532f4e6567a1ada37b6e2635cbc1c1ba325ac

0c532a4a9f398fa2f5e12c2eac00c81ff4a70ac6746cf462c3f2206ed910693f

94d8eaef036231cd604d0c769f0918e826501644a149876c09e967811c104860

5284d5e034aa8c077469d3ef8fb2c09aa041c475703ea99c87855cf6eecf9564

fee057cee9da92d3d29078e7c30da7472ce99cc2ecaf4e13e8b3d6f266a6d35f

299aabc6b9b03d92a6aed9d12eed45a669e5795763092693ac98322107cf8217

85cf3c802a97facb5ae4c1e945c5042915017f35bdf1a570754b88710facf3f3

0c364717dea76cbff870a2dbf2099213615a4caacaa5de61f7271c7eec73759f

2eedd804c1fa4578485b55f4872145b7f891016510fe88fa760b61b8248dec82

704ce326c380e4a35594df2b7d9bd17517709378451f3d9788728d01df36d0f6

b8626f0c45c68f6176540a64e2f8c6d5ac8b942a5ec030b590870a6eaffb931f

cbb4a9172f4b0185d3aecbaa60b8e04d8910889da8905e5089df3efdec0a38dd

ee6288fa8e5f111571475211b15522bc987da8421e9687a8089d1edef1df14a2

74eb8d245d5571f3ee9a4e5417fb919034662681ff26a298a3526032307f16a4

cd86344937c7e7c9895fde8eecc682eb347c583e1ded491075aef548a8e255a4

49740a5785f0d6790ee7f82915d2a95866332fc3eaf6fb0da59645404e4aed0c

0511345f452e8c5ff2ca903553ba72f4fcb4f029f72b12e27f6a33e33977e5d2

1149c50a049dca8ada30247532d0b2f18b94c199b45fd5dc129b5a9fda0991e9

78f813c4474dcb4a1be9354d341bedcae6ef8689828a150c5936c308a0490777

hxxps://cdn[.]windowserrorapis[.]com:8443/v5/owa/rYpKZYehSa0sW1gFbbaVg4KB1m.cab

aspx2[.]ggseocdn[.]com

th1[.]ggseocdn[.]com

bxphp[.]ggseocdn[.]com

bx[.]ggseocdn[.]com

list[.]ggseocdn[.]com

ar[.]ggseocdn[.]com

bx[.]ggseocdn[.]com

x2[.]ggseocdn[.]com

x3[.]ggseocdn[.]com

alex[.]rootggseo[.]com

modll[.]win123888[.]com

mo2dll[.]win123888[.]com

cheng[.]win123888.com

th1[.]win123888[.]com

x5[.]westooo[.]com

joydphp[.]westooo[.]com

joyddll[.]westooo[.]com

bx[.]westooo[.]com

ar[.]mnnoxzmq[.]com

iis[.]ihack[.]one

mejsc1[.]com

ceshi[.]mejsc4[.]com

link[.]mejsc4[.]com

meindi11[.]com

mulu[.]ihack[.]one

tdk[.]ihack[.]one

xl[.]luodixijin[.]com

xldll[.]xijingdafa[.]com

meindi11[.]com

google[.]dfbdfwrthgef[.]top

buvmfuwecndskmkvhndfjk[.]dfbdfwrthgef[.]top

suidcbdewjskbcsdjvbwehcsdj[.]dfbdfwrthgef[.]top

4.1.2       Chiến dịch tấn công đánh cắp dữ liệu trên nền tảng Salesforce

Indicator of Compromises

UNC6040 IOCs

Addresses

23.145.40.165

23.162.8.66

23.234.69.167

23.94.126.63

31.58.169.85

31.58.169.92

34.86.51.128

35.186.181.1

37.19.200.132

37.19.200.141

37.19.200.154

37.19.200.167

37.19.221.179

38.22.104.226

45.83.220.206

51.89.240.10

64.95.84.159

66.63.167.122

67.217.228.216

68.235.43.202

68.235.46.22

68.235.46.202

68.235.46.151

68.235.46.208

68.63.167.122

69.246.124.204

72.5.42.72

79.127.217.44

83.147.52.41

87.120.112.134

94.156.167.237

96.44.189.109

96.44.191.141

96.44.191.157

104.223.118.62

104.193.135.221

141.98.252.189

146.70.165.47

146.70.168.239

146.70.173.60

146.70.185.47

146.70.189.47

146.70.189.111

146.70.198.112

146.70.211.55

146.70.211.119

146.70.211.183

147.161.173.90

149.22.81.201

151.242.41.182

151.242.58.76

185.141.119.136

185.141.119.138

185.141.119.151

185.141.119.166

185.141.119.168

185.141.119.181

185.141.119.184

185.141.119.185

185.209.199.56

191.96.207.201

198.44.129.56

198.44.129.88

195.54.130.100

196.251.83.162

198.244.224.200

198.54.130.100

198.54.130.108

198.54.133.123

205.234.181.14

206.217.206.14

206.217.206.25

206.217.206.26

206.217.206.64

206.217.206.84

206.217.206.104

206.217.206.124

208.131.130.53

208.131.130.71

208.131.130.91

31.58.169.96

64.94.84.78

64.95.11.225

163.5.149.152

192.198.82.235

URLs/Links

Login[.]salesforce[.]com/setup/connect?user_code=aKYF7V5N

Login.salesforce.com/setup/connect?user_code=8KCQGTVU

https://help[victim][.]com

https://login[.]salesforce[.]com/setup/connect

http://64.95.11[.]112/hello.php

91.199.42.164/login

UNC6395 IOCs 

IP Addresses

208.68.36.90

44.215.108.109

154.41.95.2

179.43.159.198

185.130.47.58

185.207.107.130

176.65.149.100

185.220.101.143

185.220.101.133

185.220.101.164

185.220.101.167

185.220.101.180

185.220.101.169

185.220.101.185

185.220.101.33

192.42.116.20

192.42.116.179

194.15.36.117

195.47.238.178

195.47.238.83

User-Agent Strings

Salesforce-Multi-Org-Fetcher/1.0

Salesforce-CLI/1.0

python-requests/2.32.4

Python/3.11 aiohttp/3.12.15

4.1.3       OceanLotus (APT32) nhắm mục tiêu vào nhiều quốc gia Đông Á và Đông Nam Á

Indicator of Compromises

144.202.46.221

64062595582c36d0aed322e98108ff4b (hash MD5)

4.1.4       Phantom Taurus – Nhóm APT Trung Quốc nhắm mục tiêu khu vực Trung Đông, Châu Phi, Châu Á

Indicator of Compromises

SHA256 hash for IIServerCore

(ServerCore.dll)

eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc

SHA256 hash for AssemblyExecuter V1

(ExecuteAssembly.dll)

3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4

SHA256 hash for AssemblyExecuter V2

(ExecuteAssembly.dll)

afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e

b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038

4.1.5       Chiến dịch spear phishing nhắm mục tiêu vào khu vực Bắc Mỹ, Châu Á và Châu Âu

Indicator of Compromises

value entity_type description
80.85.154.48:443 url GOVERSHELL C2 URL Address
80.85.157.117:443 url GOVERSHELL C2 URL Address
82.118.16.173:443 url GOVERSHELL C2 URL Address
wss://api.twmoc.info/ws url GOVERSHELL C2 URL Address
wss://onedrive.azure-app.store/ws url GOVERSHELL C2 URL Address
wss://outlook.windows-app.store/ws url GOVERSHELL C2 URL Address
www.twmoc.info url GOVERSHELL C2 URL Address
https://app-site-association.cdn-apple.info:443/updates.rss url GOVERSHELL C2 URL Address
104.194.152.137 ipaddress GOVERSHELL C2 IP Address
104.194.152.152 ipaddress GOVERSHELL C2 IP Address
185.144.28.68 ipaddress GOVERSHELL C2 IP Address
31.192.234.22 ipaddress GOVERSHELL C2 IP Address
45.141.139.222 ipaddress GOVERSHELL C2 IP Address
74.119.193.175 ipaddress GOVERSHELL C2 IP Address
80.85.156.234 ipaddress GOVERSHELL C2 IP Address
80.85.154.48 ipaddress GOVERSHELL C2 IP Address
80.85.157.117 ipaddress GOVERSHELL C2 IP Address
82.118.16.173 ipaddress GOVERSHELL C2 IP Address
azure-app.store hostname GOVERSHELL C2 Domain
twmoc.info hostname GOVERSHELL C2 Domain
windows-app.store hostname GOVERSHELL C2 Domain
cdn-apple.info hostname GOVERSHELL C2 Domain
sliddeshare.online hostname GOVERSHELL C2 Domain
doccloude.info hostname GOVERSHELL C2 Domain
2ffe1e4f4df34e1aca3b8a8e93eee34bfc4b7876cedd1a0b6ca5d63d89a26301 File (hash SHA256) GOVERSHELL Sample
4c041c7c0d5216422d5d22164f83762be1e70f39fb8a791d758a816cdf3779a9 File (hash SHA256) GOVERSHELL Sample
53af82811514992241e232e5c04e5258e506f9bc2361b5a5b718b4e4b5690040 File (hash SHA256) GOVERSHELL Sample
88782d26f05d82acd084861d6a4b9397d5738e951c722ec5afed8d0f6b07f95e File (hash SHA256) GOVERSHELL Sample
998e314a8babf6db11145687be18dc3b8652a3dd4b36c115778b7ca5f240aae4 File (hash SHA256) GOVERSHELL Sample
a5ee55a78d420dbba6dec0b87ffd7ad6252628fd4130ed4b1531ede960706d2d File (hash SHA256) GOVERSHELL Sample
ad5718f6810714bc6527cc86d71d34d8c556fe48706d18b5d14f0261eb27d942 File (hash SHA256) GOVERSHELL Sample
fbade9d8a040ed643b68e25e19cba9562d2bd3c51d38693fe4be72e01da39861 File (hash SHA256) GOVERSHELL Sample
7d7d75e4d524e32fc471ef2d36fd6f7972c05674a9f2bac909a07dfd3e19dd18 File (hash SHA256) GOVERSHELL Sample
0414217624404930137ec8f6a26aebd8a3605fe089dbfb9f5aaaa37a9e2bad2e File (hash SHA256) GOVERSHELL Sample
126c3d21a1dae94df2b7a7d0b2f0213eeeec3557c21717e02ffaed690c4b1dbd File (hash SHA256) GOVERSHELL Sample
https://1drv.ms/u/c/F703BC98FAB44D61/ER_XG5FDkURHtsmna8vOQrIBRODKiQBKYJVKnI-kGKwX0A url GOVERSHELL Phishing URL
https://1drv.ms/u/c/F703BC98FAB44D61/ESz4UV9JeOhOp8kiWd0Ie10ByH7eUdSRlBy2NCiNeo2LYw url GOVERSHELL Phishing URL
https://1drv.ms/u/c/f9e3b332ce488781/Eap6_fxYFP5Eh1ZKDZaf8lMBjJNcfdba4MVcr4YfKj674w?e=fgNIj4 url GOVERSHELL Phishing URL
https://1drv.ms/u/c/F703BC98FAB44D61/ERpeLpJlb7FAkbfyuffpFJYBZ-8u2MmQH6LW5xH86B4M8w url GOVERSHELL Phishing URL
https://aesthetic-donut-1af43s2.netlify.app/file/rar url GOVERSHELL Phishing URL
https://aesthetic-donut-1af43s2.netlify.app/file/zip url GOVERSHELL Phishing URL
https://animated-dango-0fa8c8.netlify.app/file/Taiwan%20Intro.zip url GOVERSHELL Phishing URL
https://aquamarine-choux-46cb43.netlify.app/file/rar url GOVERSHELL Phishing URL
https://aquamarine-choux-46cb43.netlify.app/file/zip url GOVERSHELL Phishing URL
https://aquamarine-choux-46cb43.netlify.app/index/file/[PDF]202507_Please_check_the_document.zip url GOVERSHELL Phishing URL
https://dainty-licorice-db2b1e.netlify.app/file/zip url GOVERSHELL Phishing URL
https://dulcet-mooncake-36558c.netlify.app/file/zip url GOVERSHELL Phishing URL
https://harmonious-malabi-a8ebfa.netlify.app/file/Taiwan%20Intro.rar url GOVERSHELL Phishing URL
https://hllowrodcanlhelipme.netlify.app/file/zip url GOVERSHELL Phishing URL
https://jazzy-biscotti-68241f.netlify.app/files/Intro-Doc.rar url GOVERSHELL Phishing URL
https://ln5.sync.com/4.0/dl/100016f90#3d5wrb4z-hfb4iz3m-qmjzsqnq-39rn3vjv url GOVERSHELL Phishing URL
https://loveusa.netlify.app/file/rar url GOVERSHELL Phishing URL
https://pulicwordfiledownlos.netlify.app/file/rar url GOVERSHELL Phishing URL
https://spontaneous-selkie-d3346f.netlify.app/file/zip url GOVERSHELL Phishing URL
https://statuesque-unicorn-09420f.netlify.app/r url GOVERSHELL Phishing URL
https://subtle-klepon-d73b9b.netlify.app/file/rar url GOVERSHELL Phishing URL
https://subtle-klepon-d73b9b.netlify.app/file/zip url GOVERSHELL Phishing URL
https://vocal-crostata-86ebbf.netlify.app/files/zip url GOVERSHELL Phishing URL

4.1.6       Mysterious Elephant — APT nhắm mục tiêu cơ quan nhà nước khu vực APAC

Indicators of compromise

File hashes (MD5)

Malicious documents

c12ea05baf94ef6f0ea73470d70db3b2

M6XA.rar

8650fff81d597e1a3406baf3bb87297f

2025-013-PAK-MoD-Invitation_the_UN_Peacekeeping.rar

MemLoader HidenDesk

658eed7fcb6794634bbdd7f272fcf9c6 STI.dll

4c32e12e73be9979ede3f8fce4f41a3a STI.dll

MemLoader Edge

3caaf05b2e173663f359f27802f10139    Edge.exe, debugger.exe, runtime.exe

bc0fc851268afdf0f63c97473825ff75

BabShell

85c7f209a8fa47285f08b09b3868c2a1

f947ff7fb94fa35a532f8a7d99181cf1

Uplo Exfiltrator

cf1d14e59c38695d87d85af76db9a861    SXSHARED.dll

Stom Exfiltrator

ff1417e8e208cadd55bf066f28821d94

7ee45b465dcc1ac281378c973ae4c6a0    ping.exe

b63316223e952a3a51389a623eb283b6   ping.exe

e525da087466ef77385a06d969f06c81

78b59ea529a7bddb3d63fcbe0fe7af94

ChromeStealer Exfiltrator

9e50adb6107067ff0bab73307f5499b6    WhatsAppOB.exe

Domains/IPs

hxxps://storycentral[.]net

hxxp://listofexoticplaces[.]com

hxxps://monsoonconference[.]com

hxxp://mediumblog[.]online:4443

hxxp://cloud.givensolutions[.]online:4443

hxxp://cloud.qunetcentre[.]org:443

solutions.fuzzy-network[.]tech

pdfplugins[.]com

file-share.officeweb[.]live

fileshare-avp.ddns[.]net

91.132.95[.]148

62.106.66[.]80

158.255.215[.]45

4.1.7       Nhóm tấn công Trung Quốc cài đặt IIS backdoor TOLLBOOTH

Indicator of Compromises

Observable Type Name Reference
913431f1d36ee843886bb052bfc89c0e5db903c673b5e6894c49aabc19f1e2fc SHA-256 WingtbCLI.exe HIDDENCLI
f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1 SHA-256 Winkbj.sys HIDDENDRIVER
c1ca053e3c346513bac332b5740848ed9c496895201abc734f2de131ec1b9fb2 SHA-256 caches.dll TOLLBOOTH
c348996e27fc14e3dce8a2a476d22e52c6b97bf24dd9ed165890caf88154edd2 SHA-256 scripts.dll TOLLBOOTH
82b7f077021df9dc2cf1db802ed48e0dec8f6fa39a34e3f2ade2f0b63a1b5788 SHA-256 scripts.dll TOLLBOOTH
bd2de6ca6c561cec1c1c525e7853f6f73bf6f2406198cd104ecb2ad00859f7d3 SHA-256 caches.dll TOLLBOOTH
915441b7d7ddb7d885ecfe75b11eed512079b49875fc288cd65b023ce1e05964 SHA-256 CustomIISModule.dll TOLLBOOTH
c[.]cseo99[.]com domain-name TOLLBOOTH config server
f[.]fseo99[.]com domain-name TOLLBOOTH SEO farming config server
api[.]aseo99[.]com domain-name TOLLBOOTH crawler reporting & page redirector API
mlxya[.]oss-accelerate.aliyuncs[.]com domain-name TOLLBOOTH page hijacker payload hosting server
asf-sikkeiyjga[.]cn-shenzhen[.]fcapp.run domain-name TOLLBOOTH page hijacker content-fetching server
ask-bdtj-selohjszlw[.]cn-shenzhen[.]fcapp[.]run domain-name TOLLBOOTH page hijacker content-fetching server
bae5a7722814948fbba197e9b0f8ec5a6fe8328c7078c3adcca0022a533a84fe SHA-256 1.aspx Godzilla-forked webshell (Similar sample from VirusTotal)
230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9 SHA-256 GotoHTTP.exe GotoHTTP
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101213 Opera/9.80 (Windows NT 6.1; U; zh-tw) Presto/2.7.62 Version/11.01 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36 User-Agent User-Agent observed during exploitation via IIS ViewState injection

 

4.2      Danh sách IoCs liên quan đến mã độc

4.2.1       StealthServer – Dòng mã độc backdoor mới

Indicator of Compromises

Tệp tin (hash SHA256)

dc64c34ba92375f8dc8ae8cf90a1f535a0aa5a29fcf965af5ad4982cd16e9d71

8f8da8861c368e74b9b5c1c59e64ef00690c5eff4a95e1b4fcf386973895bef1

6347f46d77a47b90789a1209b8f573b2529a6084f858a27d977bf23ee8a79113

662890bb5baba4a7a9ba718bdedd6991fbf9867c83e676172f5527617e05cafa

264d88624ec527458d4734eff6f1e534fcacb77e5616ae61abed94a941389232

56260e90bba2c50af7c6d82e8656224ece23445f1d76e87a97c938ad9883005f

499f16ed2def90b3d4c0de5ca22d8c8080c26a1a405b4078e262a0a34bcb1e31

7a946339439eb678316a124b8d700b21de919c81ee5bef33e8cb848b7183927b

10b54abba525686869c9da223250f70270a742b1a056424c943cfc438c40cc50

ece1620e218f2c8b68312c874697c183f400c72a42855d885fc00865e0ccc1a1

ab85924ba95692995ac622172ed7f2ebc1997450d86f5245b03491422be2f3d6

cf39bb998db59d3db92114d2235770a4a6c9cbf6354462cfedd1df09e60fe007

Domain

modindia[.]serveminecraft.net

modgovindia[.]space

seemysitelive[.]store

solarwindturbine[.]site

sinjita[.]store

sinjita[.]space

seeconnectionalive[.]website

windturbine[.]website

kavach[.]space

zahcomputers.pk[.]modpersonnel.support

discoverlive[.]site

cloudstore[.]cam

IP

45.155.54[.]122

45.155.54[.]62

45.155.54[.]28

45.155.53[.]179

45.155.53[.]204

45.141.58[.]199

101.99.94[.]109

164.215.103[.]55

161.97.82[.]97

5.178.0[.]29