THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 11–2025
Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs
1 CÁC MỐI ĐE DỌA NÂNG CAO – ADVANCED THREATS
Trong tháng 11/2025, đội ngũ NCS ghi nhận các chiến dịch tấn công APT đáng chú ý sau:
| STT | Tên chiến dịch | Mô tả |
| 1 | Threat Actor Việt Nam nhắm vào lĩnh vực tiếp thị và quảng cáo kỹ thuật số | -Mục tiêu: động cơ tài chính
-Lĩnh vực: quảng cáo và tiếp thị kỹ thuật số -Công cụ/cách thức tấn công: sử dụng kỹ nghệ xã hội để phát tán mã độc và phishing kits, cuối cùng xâm phạm vào các tài khoản doanh nghiệp có giá trị cao |
| 2 | Chiến dịch tấn công nhắm mục tiêu vào khu vực Đông Nam Á | -Lĩnh vực: các tổ chức chính phủ và truyền thông
-Phạm vi: khu vực Đông Nam Á bao gồm Indonesia, Singapore, Philippines, Campuchia và Lào – Mục tiêu chính của chiến dịch là thu thập thông tin tình báo nhạy cảm -Công cụ/cách thức tấn công: tận dụng chuỗi tấn công nhiều giai đoạn với kỹ thuật DLL sideloading và cơ chế C2 được che giấu qua các dịch vụ hợp pháp |
| 3 | Các chiến dịch phishing nhắm vào các tổ chức tài chính và chính phủ khu vực Đông Á và Đông Nam Á | -Lĩnh vực: tổ chức tài chính và chính phủ
-Phạm vi: Đông Á và Đông Nam Á -Các chiến dịch này sử dụng mẫu web đa ngôn ngữ, nội dung mồi nhử theo từng khu vực và cơ chế phát tán payload linh hoạt. Ngoài ra, các cụm này liên kết chặt chẽ, tái sử dụng các thành phần web giống nhau(script, tiêu đề, cách đặt tên tệp) trên nhiều ngôn ngữ như tiếng Trung, Nhật và tiếng Anh. |
| 4 | Chiến dịch tấn công mới liên quan đến nền tảng Salesforce | Salesforce đưa ra thông báo phát hiện hoạt động bất thường có thể cho phép kẻ tấn công truy cập trái phép dữ liệu Salesforce thông qua kết nối của ứng dụng Gainsight. Hiện tại không có thông tin mô tả cụ thể về khách hàng bị ảnh hưởng. |
| 5 | Cập nhật hoạt động tấn công của nhóm APT-C-60 | Vào tháng 12/2024, NCS Threat Intel có theo dõi và ghi nhận nhóm tấn công APT-C-60 thực hiện nhắm vào một tổ chức tại Nhật Bản. Cuộc tấn công gần đây đã có những cập nhật mới nhưng chủ yếu vẫn nhắm vào Nhật Bản và Đông Á. |
Thông tin chi tiết các chiến dịch:
1.1 Threat Actor Việt Nam nhắm vào lĩnh vực tiếp thị và quảng cáo kỹ thuật số
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả nhóm threat actor Việt Nam được theo dõi với mã UNC6229, lợi dụng các bài đăng tuyển giả mạo trên các nền tảng hợp pháp để nhắm vào các cá nhân thuộc lĩnh vực quảng cáo và tiếp thị kỹ thuật số. Mục tiêu chủ yếu là động cơ tài chính, sử dụng kỹ nghệ xã hội để phát tán mã độc và phishing kits, cuối cùng xâm phạm vào các tài khoản doanh nghiệp có giá trị cao.
Kẻ tấn công sử dụng kỹ nghệ xã hội, đăng các thông tin tuyển dụng hấp dẫn thu hút đối tượng mục tiêu và nạn nhân sẽ là người chủ động liên hệ. UNC6229 tạo ra các hồ sơ công ty giả mạo, thường là đóng giả các công ty truyền thông kỹ thuật số trên các nên tảng việc làm hợp pháp. Khi một cá nhân nộp đơn xin việc và cung cấp thông tin liên lạc cùng với sơ yếu lý lịch, kẻ tấn công sẽ liên lạc với ứng viên, thường qua email hoặc nhắn tin trực tiếp. Trong một số trường hợp, kẻ tấn công sử dụng các CRM tool để gửi mail hàng loạt.
Sau khi nạn nhân phản hồi, kẻ tấn công chuyển sang giai đoạn phân phối payload. Tùy thuộc vào chiến dịch, kẻ tấn công có thể gửi cho nạn nhân tệp đính kèm chứa mã độc, liên kết đến trang web lưu trữ phần mềm độc hại hoặc liên kết đến trang lừa đảo để lên lịch phỏng vấn:
- Phát tán phần mềm độc hại: kẻ tấn công gửi một tệp đính kèm, thường là file ZIP được đặt password, giả mạo là bài kiểm tra kỹ năng hoặc bài tập bắt buộc. Nạn nhân được hướng dẫn mở tệp, tệp này bao gồm remote access trojans (RAT) cho phép kẻ tấn công chiếm quyền kiểm soát thiết bị của nạn nhân, sau đó chiếm đoạt tài khoản.
- Liên kết lừa đảo: Kẻ tấn công gửi một liên kết dẫn đến một trang lừa đảo, giả mạo một cổng thông tin lên lịch phỏng vấn hoặc hoàn thành bài đánh giá.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.2 Chiến dịch tấn công nhắm mục tiêu vào khu vực Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả chiến dịch tấn công có chủ đích do nhóm Autumn Dragon – một nhóm APT được nhận định có liên quan đến Trung Quốc, thực hiện nhắm vào các tổ chức chính phủ và truyền thông tại khu vực Đông Nam Á bao gồm Indonesia, Singapore, Philippines, Campuchia và Lào. Mục tiêu chính của chiến dịch là thu thập thông tin tình báo nhạy cảm, tận dụng chuỗi tấn công nhiều giai đoạn với kỹ thuật DLL sideloading và cơ chế C2 được che giấu qua các dịch vụ hợp pháp.
Chuỗi tấn công
Tổng quan giai đoạn 1
Chiến dịch được ghi nhận bắt đầu từ đầu năm 2025, sử dụng tệp RAR độc hại “Proposal_for_Cooperation_3415.05092025.rar” đính kèm email spear-phishing. Tệp này khai thác lỗ hổng CVE-2025-8088 – path traversal in WinRAR để ghi batch script vào thư mục Startup của người dùng nhằm thiết lập cơ chế khởi động lại. Batch script tiếp tục tải xuống giai đoạn hai chứa tệp thực thi hợp pháp và DLL bị chỉnh sửa nhằm thực thi mã độc qua DLL search-order hijacking.
Tổng quan giai đoạn 2
Giai đoạn hai triển khai backdoor ban đầu bằng cách sửa đổi libcef.dll, cho phép quan sát và điều khiển máy nạn nhân qua Telegram Bot API, thực hiện các thao tác như thực thi lệnh shell, chụp màn hình và nhận tệp.
Tổng quan giai đoạn 3
Sau khi đánh giá giá trị mục tiêu, kẻ tấn công triển khai giai đoạn ba trong đó Creative Cloud Helper.exe bị lạm dụng để sideload CRClient.dll độc hại. CRClient.dll giải mã Update.lib bằng XOR và thực thi shellcode.
Tổng quan giai đoạn 4
Giai đoạn bốn cài đặt backdoor cuối sử dụng giao thức HTTPS và C2 được mã hóa bằng XOR. Backdoor hỗ trợ thực thi lệnh qua cmd.exe, load DLL, thực thi shellcode, đọc/ghi file và có cơ chế kill-switch. Hạ tầng C2 được ghi nhận sử dụng Cloudflare, geo-fencing và kiểm soát theo user-agent nhằm hạn chế thu thập và phân tích. Nhóm tấn công liên tục thay đổi chiến thuật phân phối payload và hạ tầng, nhưng duy trì mô hình nhiều giai đoạn với tệp thực thi hợp pháp để tránh phát hiện.
MITRE ATT&CK
| Tactic | Technique ID | Technique Name |
| Initial Access | T1193 | Spearphishing Attachment |
| Execution | T1059.001 | Windows Command Shell |
| Execution | T1203 | Exploitation for Client Execution |
| Persistence | T1547.001 | Registry Run Keys / Startup Folder |
| Persistence | T1053.005 | Scheduled Task |
| Defense Evasion | T1218 | Signed Binary Proxy Execution |
| Defense Evasion | T1574 | DLL Side-Loading |
| Discovery | T1057 | Process Discovery |
| Discovery | T1082 | System Information Discovery |
| Discovery | T1012 | Query Registry |
| Command and Control | T1071.001 | Web Protocols |
| Command and Control | T1573 | Encrypted Channel |
| Collection | T1113 | Screen Capture |
| Command and Control | T1102.002 | Data from Cloud Storage Object |
| Command and Control | T1102 | Web Service |
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.3 Các chiến dịch phishing nhắm vào các tổ chức tài chính và chính phủ khu vực Đông Á và Đông Nam Á
NCS Threat Intelligence theo dõi và ghi nhận bài đăng trên không gian mạng mô tả các chiến dịch phishing nhắm vào các tổ chức tài chính và chính phủ khu vực Đông Á và Đông Nam Á. Các chiến dịch này nổi bật với mẫu web đa ngôn ngữ, nội dung mồi nhử theo từng khu vực và cơ chế phát tán payload linh hoạt, cho thấy sự chuyển dịch sang hạ tầng quy mô lớn và tự động hóa. Theo các nhà nghiên cứu, các cụm này có liên kết chặt chẽ cho thấy kẻ tấn công tái sử dụng cùng các thành phần web giống nhau (script, tiêu đề, cách đặt tên tệp) trên nhiều ngôn ngữ như tiếng Trung, Nhật và tiếng Anh. Tổng cộng có 28 trang web phishing khác nhau được phát hiện, chia thành ba cụm (clusters) theo ngôn ngữ trong đó 12 trang web tiếng Trung, 12 trang web tiếng Anh và 4 trang web tiếng Nhật.
Cụ thể thông tin ghi nhận ở 3 cụm như sau:
- Cụm Trung Quốc: nhiều trang viết bằng tiếng Trung truyền thống, tên tệp ZIP/RAR mang chủ đề tài chính, thuế, giấy tờ quy định hành chính. Ví dụ: “稅務電子發票名單.rar” (“Danh sách hóa đơn thuế điện tử”), “進出口申報.zip” (“Tờ khai xuất nhập khẩu”), “財務負責人核對後回傳(電腦版)zip” (“Biểu mẫu xác nhận tài chính – máy tính”), “條例檔案.zip” (“Tài liệu quy định”), “通知函.rar” (“Thư thông báo”)…
- Cụm tiếng Anh: các trang web sử dụng các tên tệp như “Tax Filing Documents.zip”, “Tax Return Documents.tar.gz”, hoặc các tệp mang nội dung tuân thủ/quy định tài chính. Xử lý logic backend giống nhau (visitor_log + download), và tên miền chủ yếu thuộc các TLD như .vip, .sbs.
- Cụm tiếng Nhật: sử dụng các trang có tiêu đề “ファイルダウンロード” (“Tải tệp”), và tệp ZIP mang tên như “給与制度見直しのご案内.zip” (“Thông báo rà soát hệ thống lương”), “国税庁の審査により.zip” (“Theo đánh giá của cơ quan thuế quốc gia”), “給与制度改定のお知らせ.zip” (“Thông báo điều chỉnh hệ thống lương”). Trang web được thiết kế sử dụng ngôn ngữ quản trị/quy định Nhật Bản để lừa người dùng doanh nghiệp hoặc cơ quan.
Đầu năm 2025, FortiGuard Labs ghi nhận chiến dịch nhiều giai đoạn triển khai Winos 4.0 tại Đài Loan đến việc phát tán phần mềm độc hại HoldingHands trên khắp Đông Á và Đông Nam Á. Ban đầu, kẻ tấn công gửi các email mạo danh Bộ tài chính Đài Loan gửi các tệp PDF chứa các liên kết độc hại được lưu trữ trên Tencent Cloud, sử dụng ID duy nhất để liên kết nhiều payload với cùng một nhà cung cấp dịch vụ. Sau đó kẻ tấn công từ bỏ phương thức lưu trữ trên nền tảng đám mây và chuyển sang các tên miền tùy chỉnh chứa các ký tự khu vực, rồi phát tán các payload ZIP tiếng Nhật.
Một chuỗi hoạt động liên tục khác từ Trung Quốc (tháng 3/2024) đến Đài Loan và Nhật bản (tháng 1-3/2025), và gần nhất là Malaysia. Các chiến dịch sử dụng các tài liệu giả mạo chính phủ hoặc doanh nghiệp như quy định thuế, điều chỉnh lương hoặc thông báo kiểm toán để lừa người dùng thực thi các trình drop mã độc.
MITRE ATT&CK
| Tactic | Technique ID | Technique Name | Observed in Campaign Description |
| Reconnaissance | T1592 | Gather Victim Identity Information | Targeting of specific regions (Taiwan, Japan, Malaysia, Southeast Asia) and sectors (finance, government) indicates pre-campaign reconnaissance. |
| Reconnaissance | T1593 | Search Open Websites/Domains | Adversaries use web-based templates hosted on multiple domains (.vip, .sbs, .xin, etc.) likely after reconnaissance of regional trust sources. |
| Resource Development | T1583.001 | Acquire Infrastructure: Domains | Multiple domains (e.g., zxp0010w.vip, gjqygs.cn, jpjpz1.cc) registered for phishing distribution. |
| Resource Development | T1584.001 | Compromise Infrastructure: Web Services | Reused or compromised hosting platforms (.sbs, .lol, .cn) to deploy phishing kits. |
| Initial Access | T1566.002 | Phishing: Spearphishing Link | HTML pages luring victims to click “Click to view attachment” button, triggering ZIP/RAR payload download. |
| Execution | T1204.002 | User Execution: Malicious File | Victim manually executes downloaded archives containing staged malware droppers. |
| Defense Evasion | T1027 | Obfuscated Files or Information | Use of benign-sounding filenames (HR, tax, finance documents) to evade email and web filters. |
| Command and Control (C2) | T1071.001 | Application Layer Protocol: Web Traffic | Use of visitor_log.php and download.php for communication and payload control over HTTP(S). |
| Command and Control (C2) | T1102 | Web Service | Centralized infrastructure serving multilingual phishing pages with shared script logic. |
| Collection | T1113 | Screen Capture / User Data Collection | visitor_log.php likely logs user IPs, user-agents, and session details for tracking and targeting metrics. |
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.4 Chiến dịch tấn công mới liên quan đến nền tảng Salesforce
Gần đây, Salesforce đưa ra thông báo phát hiện hoạt động bất thường có thể cho phép kẻ tấn công truy cập trái phép dữ liệu Salesforce thông qua kết nối của ứng dụng Gainsight. Hiện tại không có thông tin mô tả cụ thể về khách hàng bị ảnh hưởng.
Ngay khi phát hiện sự việc, Salesforce đã thực hiện thu hồi toàn bộ access token và refresh token đang hoạt động liên quan đến các ứng dụng Gainsight kết nối với Salesforce, đồng thời tạm thời gỡ các ứng dụng này khỏi AppExchange trong khi tiếp tục điều tra. Ngoài ra, không ghi nhận bất kỳ dấu hiệu nào cho thấy vấn đề xuất phát từ lỗ hổng trong nền tảng Salesforce. Hoạt động bất thường nghi ngờ liên quan đến kết nối bên ngoài của ứng dụng với Salesforce.
Theo một số thông tin khác chưa được kiểm chứng, ShinyHunters được cho là nhóm thực hiện tấn công này, với tuyên bố gần 1000 tổ chức bị ảnh hưởng trong chiến dịch Salesloft và Gainsight, chủ yếu là các doanh nghiệp thuộc Fortune 500. Trong chiến dịch Gainsight, theo tuyên bố của nhóm, các công ty lớn bị ảnh hưởng gồm Verizon, GitLab, F5, SonicWall và một số đơn vị khác.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
1.5 Cập nhật hoạt động tấn công của nhóm APT-C-60
Trước đó, vào tháng 12/2024, NCS Threat Intel có theo dõi và ghi nhận nhóm tấn công APT-C-60 thực hiện nhắm vào một tổ chức tại Nhật Bản. Trong cuộc tấn công tháng 8/2024, kẻ tấn công giả mạo ứng viên xin việc gửi email độc hại đến mục tiêu, khi nạn nhân tải xuống một tệp từ liên kết Google Drive trong email và truy cập URL, một tệp VHDX chứa mã độc sẽ được tải xuống. VHDX là định dạng tệp được sử dụng cho virtual disks, được sử dụng trong cuộc tấn công chứa tệp LNK độc hại và tệp mồi nhử. Tuy nhiên trong các cuộc tấn công gần đây nhất, tệp VHDX độc hại được đính kèm trực tiếp vào email. Khi người nhận click vào tệp LNK có trong VHDX, một tập lệnh độc hại sẽ được thực thi thông qua Git.
Khi tập lệnh được thực thi thông qua Git – một tệp hợp pháp được lạm dụng cho mục đích né tránh phát hiện. Tệp này đồng thời hiển thị tài liệu mồi nhử để đánh lừa nạn nhân và tạo ra tệp WebClassUser.dat (Downloader1). Downloader1 sau đó được đăng ký vào Registry dưới CLSID hợp pháp và thiết lập persistence bằng kỹ thuật COM hijacking. Sau khi thiết lập persistence, Downloader1 liên hệ đến StatCounter – một dịch vụ hợp pháp để gửi ID thiết bị và nhận về cấu hình cần thiết cho giai đoạn tiếp theo.
Dựa trên cấu hình thu được, Downloader1 sẽ tải xuống và thực thi Downloader2, sau đó triển khai payload chính của chiến dịch là SpyGlace. Các phiên bản mới của SpyGlace được quan sát trong các đợt tấn công gần nhất cho thấy nhóm APT-C-60 đang liên tục cải tiến mã độc, bao gồm thay đổi cấu trúc file, sử dụng nhiều lớp mã hóa và điều chỉnh cơ chế giao tiếp để tránh bị phân tích, đồng thời tiếp tục sử dụng dịch vụ hợp pháp làm C2. Bên cạnh đó, nhóm còn chuyển đổi hạ tầng lưu trữ từ Bitbucket sang GitHub.
Chuỗi tấn công cho thấy APT-C-60 vẫn duy trì kỹ thuật lạm dụng công cụ hợp pháp, kết hợp tệp VHDX và LNK độc hại, nhắm chủ yếu vào các đơn vị có liên quan đến tuyển dụng. Các cuộc tấn công của APT-C-60 vẫn chủ yếu nhắm vào Nhật Bản và Đông Á. Mặc dù cơ sở hạ tầng đã chuyển từ Bitbucket sang GitHub và mã độc được cập nhật, nhưng nhóm vẫn lạm dụng các dịch vụ hợp pháp.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
2 MALWARE
Tháng 11/2025, đội ngũ NCS ghi nhận các phân tích đáng chú ý về mẫu mã độc sau:
| STT | Tiêu đề | Mô tả |
| 1 | Phân tích biến thể gh0st RAT | Nhóm tấn công triển khai biến thể Gh0st RAT qua chuỗi lây nhiễm nhiều giai đoạn sử dụng NSIS giả mạo, cùng các kỹ thuật như sử dụng driver hợp pháp, WDAC policy, lạm chung cơ chế PPL để loại bỏ các giải pháp bảo mật, cuối cùng triển khai RAT. |
2.1 Phân tích biến thể gh0st RAT
Threat Intelligence NCS ghi nhận bài đăng trên không gian mạng mô tả về mẫu mã độc là biến thể của mã độc gh0st RAT. Với một số đặc điểm chính như đóng gói giả mạo trình cài đặt NSIS, ngụy trang dưới các phần mềm hợp pháp như Google Chrome và Microsoft Teams. Chuỗi lây nhiễm mã độc trải qua nhiều giai đoạn, tận dụng nhiều kỹ thuật lẩn tránh khác nhau, cùng nhiều phương pháp như sử dụng các driver có chữ ký tồn tại lỗ hổng, thông qua việc triển khai các chính sách WDAC hoặc sử dụng kỹ thuật mới như can thiệp vào các binary của Microsoft Defender để lạm dụng cơ chế PPL (Protected Process Light) nhằm vô hiệu hóa các sản phẩm bảo mật.
Nhóm tấn công sử dụng Nullsoft Scriptable Install System (NSIS), công cụ mã nguồn mở hợp pháp bị lợi dụng tạo trình cài đặt trên môi trường Windows nhằm triển khai mã độc. Chiến dịch này cũng ghi nhận dưới nhiều hình thức khác, ngụy trang thành các phần mềm hợp pháp như Google Chrome, Microsoft Teams hoặc các ứng dụng hợp pháp khác nhằm tăng độ tin cậy lừa người dùng thực thi. NSIS installer hoạt động như dropper, drop xuống máy nạn nhân 2 tệp tin, trong đó tệp tin thực thi sạch (letsvpnlatest.exe), và Snieoatwtregoable.exe độc hại. Từ đó triển khai nhiều nhánh phức tạp, cuối cùng là triển khai gh0st RAT trên máy nạn nhân
Stage 1
Snieoatwtregoable.exe độc hại tạo một thư mục mới tại đường dẫn “C:\Program Files\Snieoatwtregoable\” và drop 2 tệp tin, DLL loader Snieoatwtregoable.dll và một tệp được đã bị mã hóa tp.png. DLL có nhiệm vụ đọc nội dung từ tp.png, giải mã theo thuật toán ROR và XOR thu được shellcode có nhiệm vụ tải và thực thi PE trong bộ nhớ thông qua các API NtAllocateVirtualMemory và NtCreateThreadEx.
Stage 2
Để khởi chạy với đặc quyền cao, mã độc kiểm tra xem đặc quyền hiện tại có là admin hay không, sử dụng GetTokenInformationAPI và sẽ nâng cao đặc quyền bằng cách sử dụng runas để khởi chạy một tiến trình mới. Sau đó tìm và loại bỏ các tiến trình AV theo danh sách đã được cấu hình sẵn trong binary. Với AV của Qihoo 360 Total Security, cách thức tiếp cận của mã độc sẽ khác với các thao tác bằng cách chặn giao tiếp qua mạng bằng cách sửa đổi tường lửa, sau đó chèn shellcode vào tiến trình vssvc.exe để có được đặc quyền SeDebugPrivilege. Khi injection, tạo hai section: một chứa driver (PE) và một chứa shellcode. Driver được ghi ra đĩa (ví dụ 1912763.temp), một service tạm được tạo để load driver này, sau đó malware dùng IOCTL (0x222000) gửi PID tới driver để tắt tiến trình AV. Sau khi đã xác nhận rằng các tiến trình AV không còn, các cài đặt ở tường lửa sẽ được khôi phục. Với Microsoft Defender, mã độc cố gắng tắt tiến trình MsMpEng.exe bằng cách sử dụng cùng phương pháp được mô tả ở trên.
Ngoài ra mã độc cũng triển khai nhiều đoạn mã dự phòng nhằm để vô hiệu hóa các tiến trình giải pháp bảo mật và chèn shellcode khác vào svchost.exe, tương tự như shellcode đã được chèn vào vssvc.exe, nhưng danh sách các tiến trình sẽ được cấu hình theo danh sách khác
Sau quá trình này, mã độc sẽ tiếp tục tạo thêm các thư mục khác để lưu trữ các payload khác nhau cụ thể:
C:\ProgramData\lnk
C:\ProgramData\<current_date>
C:\Users\Public\Downloads\<current_date
C:\ProgramData\Roning
Trong thư mục Downloads, mã độc tạo 3 tệp tin .txt với cấu trúc bao gồm 4 bytes đầu là 4B440100 để nhận dạng, theo sau là số lượng các file, metadata và payload được nén bằng ZLIB. 3 tệp tin .txt cụ thể sẽ có những payload được sử dụng về sau cụ thể:
– hjk.txt: chứa 1.bat và fhq.bat sử dụng để disable UAC và chặn tường lửa và vô hiệu hóa thông báo tường lửa
– kill.txt: 1.dll được sử dụng để chấm dứt các tiến trình theo danh sách đã cấu hình trước
– agg.txt: Enpug.bin, goldendays.dll, và trustinstaller.bin
Stage 3
Ở giai đoạn trước, mã độc tạo một dịch vụ mới có tên MicrosoftSoftware2ShadowCop4yProvider để thực thi mã độc tiếp theo bằng lệnh: regsvr32.exe /S “C:\ProgramData\Roning\goldendays.dll” nhằm khởi chạy trong một tiến trình hợp pháp, bằng cách xác định các tiến trình quyền cao có thể là TrustedInstaller.exe hoặc elevation_service.exe sau đó inject payload vào tiến trình này. Để duy trì persistence, malware tạo file batch (.bat) trong C:\Windows\ với tên ngẫu nhiên, script này kiểm tra PID của tiến trình mục tiêu. Nếu tiến trình không còn, mã độc khởi động lại service độc hại và đọc trustinstaller.bin từ C:\ProgramData\Roning\, tạo section với NtCreateSection, map vào tiến trình cần inject và inject payload Enpug.bin bằng CreateRemoteThread
Stage 4
Payload cuối cùng không có nhiều thay đổi, sử dụng lại opensource Gh0stRAT và tùy chỉnh lại. Domain và cổng của C2 server vẫn được cấu hình sẵn nhưng được mã hóa bằng thuật toán XOR. Kênh C2 hoạt động trên các socket TCP với các thông điệp được mã hóa theo cả hai chiều.
Implant (payload) sẽ gửi beacon về C2 với thông tin như IP cục bộ, hostname, CPU name, thời gian cài đặt, tag nạn nhân, liệu hệ thống có chạy WOW64 hay không, danh sách tiến trình AV đã phát hiện, thời gian uptime đến C2 server với thuật toán RC4 cùng các ID là các lệnh.
Bên cạnh đó, mã độc cũng có các tính năng ghi log bàn phím, log clipboard… và được lưu vào đường dẫn “%ProgramData%\microsoft.dotnet.common.log”, nếu file có kích thước quá 50MB, dữ liệu sẽ được rotate hoặc tự động xóa để tránh việc bị phát hiện do kích thước đĩa tăng lên bất thường.
Indicator of Compromises (IoCs)
Chi tiết xem tại Danh sách IoCs liên quan đến mã độc
Khuyến nghị:
- Thực hiện cập nhật các IoCs (mã hash, địa chỉ IP) vào các giải pháp bảo mật phía khách hàng nhằm nâng cao năng lực phòng thủ, giúp giám sát và phát hiện các dấu hiệu bất thường trên hệ thống
3 LỖ HỔNG BẢO MẬT
3.1 Microsoft Patch Tuesday – November 2025
Trong tháng 11, Microsoft đã phát hành các bản vá cho 63 CVE mới trong các sản phẩm của Windows và Windows Components, Office và Office Components, Microsoft Edge (Chromium-based), Azure Monitor Agent, Dynamics 365, Hyper-V, SQL Server, và Windows Subsystem for Linux GUI. Trong đó có 04 lỗ hổng được đánh giá mức độ Critical, 59 lỗ hổng được đánh giá là Important.
Các lỗ hổng nổi bật ghi nhận trong tháng:
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Mức độ cảnh báo |
| 1 | CVE-2025-62215 | Windows Kernel Elevation of Privilege Vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trên Windows Kernel cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM. | Important |
| 2 | CVE-2025-62199 | Microsoft Office Remote Code Execution Vulnerability | Tồn tại lỗ hổng Use-After-Free trên Microsoft Office cho phép kẻ tấn công ghi và thực thi mã tùy ý trên hệ thống khi người dùng mở tệp Office độc hại hoặc qua Preview Pane. Khai thác lỗ hổng yêu cầu tương tác người dùng và không cần xác thực | Critical |
| 3 | CVE-2025-60709 | Windows Common Log File System (CLFS) Driver Elevation of Privilege Vulnerability | Tồn tại lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver cho phép kẻ tấn công leo thang lên đặc quyền SYSTEM | Important |
| 4 | CVE-2025-62222 | Agentic AI and Visual Studio Code Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trong Visual Studio Code CoPilot Chat Extension cho phép kẻ tấn công chèn và thực thi mã tùy ý. Khai thác yêu cầu tương tác từ người dùng và không cần xác thực | Critical |
| 5 | CVE-2025-62204 | Microsoft SharePoint Remote Code Execution Vulnerability | Tồn tại lỗ hổng thực thi mã từ xa trên Microsoft SharePoint cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ SharePoint | Important |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống.
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
| STT | Mã CVE | Tên lỗ hổng | Thông tin chung | Sản phẩm | Mức độ cảnh báo |
| 1 | CVE-2025-55752 | Path Traversal vulnerability in Apache Tomcat | Lỗ hổng tồn tại trong quá trình Tomcat xử lý sai thứ tự giữa việc chuẩn hóa (normalize) và giải mã (decode) đường dẫn trong quá trình rewrite URL. Khi sử dụng RewriteValve với quy tắc rewrite tham chiếu đến tham số đầu vào, kẻ tấn công có thể chèn chuỗi mã hóa như %2e%2e/ hoặc %2FWEB-INF%2F để truy cập ra ngoài thư mục gốc ứng dụng.
Thông qua kỹ thuật này, kẻ tấn công có thể truy xuất được các tệp nhạy cảm như /WEB-INF/web.xml, hoặc nếu hệ thống có chức năng upload, có thể tải lên tệp JSP độc hại nhằm thực thi mã từ xa (RCE – Remote Code Execution). |
Apache Tomcat | Important |
| 2 | CVE-2025-64446 | Fortinet FortiWeb Auth Bypass Vulnerability | Tồn tại lỗ hổng Path Traversal trong FortiWeb cho phép kẻ tấn công không cần xác thực thực thi các lệnh quản trị trên hệ thống thông qua các yêu cầu HTTP hoặc HTTPS độc hại | Fortinet FortiWeb | Critical |
| 3 | CVE-2025-12762 | pgAdmin4 vulnerable to Remote Code Execution (RCE) when running in server mode | Tồn tại lỗ hổng thực thi mã từ xa (RCE) trong pgAdmin4 cho phép kẻ tấn công chèn và thực thi các lệnh tùy ý trên máy chủ cài đặt pgAdmin. Lỗ hổng này xảy ra khi pgAdmin chạy ở chế độ server và thực hiện thao tác khôi phục (restore) từ các tệp dump định dạng PLAIN. | pgAdmin4 | Critical |
| 4 | CVE-2025-42890 | Insecure key & Secret Management vulnerability in SQL Anywhere Monitor (Non-Gui) | Tồn tại lỗ hổng Insecure key & Secret Management trên SQL Anywhere Monitor (Non‑GUI) cho phép kẻ tấn công truy cập trái phép vào các tài nguyên và thực thi mã tùy ý, ảnh hưởng tới tính bảo mật, tính toàn vẹn và khả dụng của hệ thống | SQL Anywhere Monitor (Non-Gui) | Critical |
Khuyến nghị:
- Thực hiện rà soát và lên kế hoạch cập nhật các bản vá theo hướng dẫn của hãng để đảm bảo an toàn an ninh thông tin hệ thống
4 PHỤ LỤC
Danh sách các IoC liên quan đến các mã độc/ chiến dịch tấn công mới xuất hiện trong tháng 11/2025.
4.1 Danh sách IoCs liên quan đến các chiến dịch tấn công
4.1.1 Threat Actor Việt Nam nhắm vào lĩnh vực tiếp thị và quảng cáo kỹ thuật số
Indicators of Compromises
Hash SHA256
137a6e6f09cb38905ff5c4ffe4b8967a45313d93bf19e03f8abe8238d589fb42
33fc67b0daaffd81493818df4d58112def65138143cec9bd385ef164bb4ac8ab
35721350cf3810dd25e12b7ae2be3b11a4e079380bbbb8ca24689fb609929255
bc114aeaaa069e584da0a2b50c5ed6c36232a0058c9a4c2d7660e3c028359d81
e1ea0b557c3bda5c1332009628f37299766ac5886dda9aaf6bc902145c41fd10
staffvirtual[.]website
4.1.2 Chiến dịch tấn công nhắm mục tiêu vào khu vực Đông Nam Á
Indicator of Compromise
Autumn Dragon IOCs
Hashes SHA256
5b64786ed92545eeac013be9456e1ff03d95073910742e45ff6b88a86e91901b
e409736eb77a6799d88c8208eb5e58ea0dcb2c016479153f9e2c4c3c372e3ff6
50855f0e3c7b28cbeac8ae54d9a8866ed5cb21b5335078a040920d5f9e386ddb
a3805b24b66646c0cf7ca9abad502fe15b33b53e56a04489cfb64a238616a7bf
5d0d00f5d21f360b88d1622c5cafd42948eedf1119b4ce8026113ee394ad8848
843fca1cf30c74edd96e7320576db5a39ebf8d0a708bde8ccfb7c12e45a7938c
2044a0831ce940fc247efb8ada3e60d61382429167fb3a220f277037a0dde438
c691f9de944900566b5930f219a55afcfc61eaf4ff40a4f476dd98a5be24b23c
Folder Paths
C:\Users\Public\Documents\Microsoft\winupdate_v
C2 / Network
hxxps://public.megadatacloud[.]com
hxxps://104.234.37[.]45
Other Campaigns
Ngoài ra, các nhà phân tích cũng xác định một số IoC nghi ngờ có liên quan đến chiến dịch này
| Target Country | Campaign | Indicator | Type | Context |
| Laos | 1 | 66c6a84b18bb963fc9ffe21f53303fa0791817b566d65eb679e668884a5e6f1a | Hash | LaoScript11Installer.exe |
| 6526752857c307284d38654e1417b8aac5991a328226355e1b9221b34cd151d0 | Hash | LaoScript11Installer.exe | ||
| 6a44c7bc52fef3e70f7e60e01d8808cb2fe6e6565b095628554979a89a36ed28 | Hash | wsupgrade.dll | ||
| Cambodia | 1 | 23d76c49128994d83f878fd08829d003c2ffcd063d03ec7ff1fe4fe41ffb36c3 | Hash | libcurl.dll |
| badd970fab64c072e5ab0a81865de0988c1b12165a076bcdbee8a9cb8e101675 | Hash | Resources.zip | ||
| a2c128fc040ed2db7634134f0577b3267164b71f692fc9b37c08e48b168d89e6 | Hash | CNP_MFA_Meeting_Documents.zip | ||
| 98f2d9740e3ab7cadfc116f3a4d637ca27a098dc4be160ab4c33daa34fea744b | Hash | libcurl.dll | ||
| 2707ba2dc931da049f70c31b0654714121fac908475dc084cb4ab808f9dd5308 | Hash | curl.dll | ||
| easyboxsync[.]com | Domain | C2 | ||
| live.easyboxsync[.]com | Domain | C2 | ||
| drive.easyboxsync[.]com | Domain | C2 | ||
| www.phnompenhpost[.]net | Domain | C2 | ||
| Cambodia | 2 | 3f0b703f151838f056494bb698544bb2b6434a0e12e0d79c15124e38d7abd3c6 | Hash | wsupgrade.dll |
| hxxps[:]//pastebin[.]com/raw/Z7xayGZ8 | URI | Contains AES key | ||
| hxxps[:]//drive.easyboxsync[.]com/resources/channels/v7/cambodia64 | URI | Payload | ||
| www.phnompenhpost[.]net | Domain | C2 | ||
| 4a82eeedb0edb4e5883674119529cdb09e49fc6e01b8332da1bc1039814b69e4 | Hash | cambodia64 | ||
| 1ffd616a31850d982ba419940fa1743d380be06c7b744acfaadc665d15567fd9 | Hash | Payload | ||
| Philippines | 1 | hxxps[:]//daily.getfreshdata[.]com/dailynews/key.txt | URI | Contains AES key |
| hxxps[:]//daily.getfreshdata[.]com/dailynews/environment.enc | URI | Payload | ||
| 4c3bbd9e546086f1a719fe7f5819cd4e0ea4a240dc69251ce8217b7c4544915a | Hash | FSTR_HADR.zip | ||
| 97112fa244307ac813af47c77ba6651e6457619ee63843308892ddf19e8b5cf8 | Hash | resources.zip | ||
| hxxps[:]//analytics.300624[.]com:8106/sa?project= | URI | C2 | ||
| hxxps[:]//analytics.wondershare[.]cc:8106/sa?project= | URI | C2 | ||
| hxxps[:]//pc-api.wondershare[.]cc/ | URI | C2 | ||
| hxxps[:]//pc-api.300624[.]com/ | URI | C2 | ||
| analytics.300624[.]com | Domain | C2 | ||
| analytics.wondershare[.]cc | Domain | C2 | ||
| pc-api.wondershare[.]cc | Domain | C2 | ||
| pc-api.300624[.]com | Domain | C2 | ||
| Philippines | 2 | 5e7985143c2ead86a1773da2ff9e27ba94911db185f5cb3166e9a35360909381 | Hash | Attachments-Meeting on Salary and Bonus Adjustments.rar |
| 868c294d04a829c389978de82c696d97bb7f94d37d2c0200fcd2a1738f1e0d51 | Hash | Dropper | ||
| hxxps[:]//catalogs.dailydownloads[.]net/archives/microsoft/office/@MrPresident_001_bot.rar | URI | Payload | ||
| Philippines | 3 | a89c21d5e08f60eb68f6ae9a6f9b8c88eb6b77a2623290fc11cdd70b6f01cc7b | Hash | resources.zip |
| 1ec5c09da00d648e779ad02195b81768fbcdc78f2538ccb768f1a3304a4d19bd | Hash | N/A | ||
| 39301eb193b02a76e637ea18565cf7fee65c5af8f1fbe487fd3e0a94a7ecf0f6 | Hash | libwebp.dll | ||
| hxxps[:]//news.dostpagasa[.]com/llehs/jdkasdnkaf.enc | URI | Payload | ||
| news.dostpagasa[.]com | Domain | C2 | ||
| Philippines | 4 | 495cb43f3c2e3abd298a3282b1cc5da4d6c0d84b73bd3efcc44173cca950273c | Hash | Dropper |
| 98d9745f52f9c8805d05a3f2c18bfedeb342e438085840d3611d063af9b80720 | Hash | Dropper | ||
| 79cc492a51fd0be594317c79b0ac0e7967f03744888d7024381b535b19e15e0c | Hash | Dropper | ||
| 1af82aa68cfb3d33119a8a9340dc656f86681a94a62c88f29055a10a96fd125d | Hash | .vcredist.rar | ||
| c9f7605fce64721206f19ccf4002db7edb1b747383f5a48608909755699bdd09 | Hash | ZoomWorkspace.bat | ||
| ce940f04eeb4c2b92056d2a966318058c5971cb12ffe523a3c6b32f530a2c5f0 | Hash | DllSafeCheck64.dll | ||
| hxxps[:]//updates.dailydownloads[.]net/docs/microsoft/office/Office_Activation_Manual_DB2F.pdf | URI | Payload | ||
| hxxps[:]//softwares.dailydownloads[.]net/products/microsoft/office/product-key/DB2F.activation.key | URI | Contains AES key | ||
| updates.dailydownloads[.]net | Domain | C2 | ||
| softwares.dailydownloads[.]net | Domain | C2 | ||
| Indonesia | 1 | aee374aca93f8bfbb1f36d5fb794216d5e1754e296f6dd5c783efd77a8033910 | Hash | SK_GajiPNS_Kemenko_20250818.rar |
| hxxps[:]//www.dropbox[.]com/scl/fi/csggj44n9255y3vsjhh0p/wsNativePush.zip | URI | Payload |
4.1.3 Các chiến dịch phishing nhắm vào các tổ chức tài chính và chính phủ khu vực Đông Á và Đông Nam Á
Indicators of Compromise (IOCs)
Root Clusters – Domains
| Cluster | Root Domain | Role / Function |
| English Cluster | gjqygs[.]cn | Command & Control / Central Hosting Node |
| Chinese Cluster | zxp0010w[.]vip | Hosting Infrastructure for Chinese-language lures |
| Japanese Cluster | jpjpz1[.]cc | Hosting Infrastructure for Japanese-language lures |
Root Clusters – IP
| Type | Indicator | Description / Notes |
| IP Address | 38.54.88[.]44 | Hosting IP associated with Chinese cluster domain zxp0010w[.]vip |
| IP Address | 38.54.17[.]167 | Hosting IP associated with English cluster domain gjqygs[.]cn |
| IP Address | 38.54.50[.]212 | Hosting IP associated with Japanese cluster domain jpjpz1[.]cc |
Campaign Root: zxp0010w[.]vip Cluster (Traditional Chinese)
| Domain / URL | Payload File | Language / Theme |
| https://twsw[.]cc/download.html | 稅務電子發票名單.rar | Traditional Chinese – Tax Invoice List |
| https://xinwenwamg[.]net/index.html | index.html | Traditional Chinese – Generic Landing Page |
| https://z2tw[.]vip/index.html | 進出口申報.zip | Traditional Chinese – Import/Export Declaration |
| https://cq1tw[.]icu/index.html | 申請平台.zip | Traditional Chinese – Application Platform |
| http://twswzz[.]xin | 財務負責人核對後回傳(電腦版)1.zip | Traditional Chinese – Financial Confirmation Form |
| https://cq1tw[.]top/index.html | 條例檔案.zip | Traditional Chinese – Regulatory Document |
| http://twmm[.]shop | 通知函.rar | Traditional Chinese – Notification Letter |
| https://z2tw[.]xin | 添付資料一覧.zip | Japanese – Attached Documents List |
| http://twswzz[.]icu | 《商業登記條例修改通知書》Bilingual.PCVersion.zip | Traditional Chinese – Business Registration Amendment Notice |
| https://qiqi1[.]xin/index.html | 香港金融管理局企業相關條例(電腦版).zip | Traditional Chinese – HK Monetary Authority Regulations |
Campaign Root: gjqygs[.]cn Cluster (English / Indonesian)
| URL | Payload File | Language |
| http://3381536ffe13739277b0a87c08a66596.bulinouui[.]sbs | दाखिल करने के दस्तावेज़.zip | English |
| https://6358bdf15f655e7e305eacaf385cd12.bulinouui[.]sbs/?1d794ebf8cc16e0770adc215e34d26a0 | दाखिल करने के दस्तावेज़.zip | English |
| http://53d9da1f7632f687dde3b0ec4df00710.bulinouui[.]sbs | दाखिल करने के दस्तावेज़.zip | English |
| http://3381536ffe13739277b0a87c08a66596.bulinouui[.]sbs | दाखिल करने के दस्तावेज़.zip | English |
| http://199cb150cec25af3132ddd4e47b37248.bulinouui[.]sbs | Tax return documents.tar.gz | English |
| http://27160fcce1e199401dde5e01ce829006.ttcskhdl[.]lol | Tax return documents.tar.gz | English |
| https://www.bulinouui[.]sbs | Tax return documents.tar.gz | English |
| https://11c979baeb8bddc12e79ad4def0964e94.bulinouui[.]sbs | Tax-penalty-notification.zip | English |
| http://www.wojkejys[.]lat | Dokumen Pematuhan Cukai.rar | English |
| https://vip.gaelh[.]cn | Tax Filing Documents.zip | English |
| https://5289c03d6d33ac4cf474de436f6bbf47.bulinouui[.]sbs | दाखिल करने के दस्तावेज़.zip | English |
Campaign Root: jpjpz1[.]cc Cluster (Japanese)
| Domain / URL | Payload File | Language / Theme |
| https://twsww[.]xin/index.html | 給与制度見直しのご案内.zip | Japanese – Salary System Review Notice |
| https://jpjpz1[.]vip | 国税庁の審査により.zip | Japanese – National Tax Agency Review |
| https://jpjpz1[.]top/index.html | 給与制度改定のお知らせ.zip | Japanese — Salary System Revision Notice |
Domains and IPs – All Clusters
| Domain | IP Address |
| z2tw[.]vip | 38.54.16[.]25 |
| cq1tw[.]icu | 38.54.1[.]105 |
| cq1tw[.]top | 38.54.17[.]174 |
| qiqi1[.]xin | 38.54.119[.]194 |
| xinwenwamg[.]net | 38.54.16[.]25 |
| twswzz[.]xin | 38.54.107[.]195 |
| twsw[.]cc | 103.127.219[.]148 |
| zxp0010w[.]vip | 38.54.88[.]44 |
| z2tw[.]xin | 38.54.16[.]254 |
| twmm[.]shop | 38.54.1[.]23 |
| twswzz[.]icu | 38.60.199[.]26 |
| qiqi1[.]xin | 38.54.119[.]194 |
| jpjpz1[.]top | 38.54.88[.]103 |
| twsww[.]xin | 38.54.107[.]103 |
| jpjpz1[.]vip | 154.205.139[.]195 |
| jppjp[.]vip | 154.205.139[.]223 |
| zcqiyess[.]vip | 38.54.17[.]132 |
| vip.gaelh[.]cn | 38.54.17[.]132 |
4.1.4 Chiến dịch tấn công mới liên quan đến nền tảng Salesforce
Indicators of Compromises
| IOC Type | Value | First Seen | Last Seen | Observed Activity |
| IP Address | 104.3.11.1 | 2025-11-08 | 2025-11-08 | AT&T IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135.148 | 2025-11-16 | 2025-11-16 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135.197 | 2025-11-16 | 2025-11-16 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 198.54.135.205 | 2025-11-18 | 2025-11-18 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 146.70.171.216 | 2025-11-18 | 2025-11-18 | Mullvad VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 169.150.203.245 | 2025-11-18 | 2025-11-18 | Surfshark VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 172.113.237.48 | 2025-11-18 | 2025-11-18 | NSocks VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 45.149.173.227 | 2025-11-18 | 2025-11-18 | Surfshark VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 135.134.96.76 | 2025-11-19 | 2025-11-19 | IProxyShop VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.111.21 | 2025-11-19 | 2025-11-19 | IProxyShop VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.105.81 | 2025-11-19 | 2025-11-19 | Nexx VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 65.195.105.153 | 2025-11-19 | 2025-11-19 | ProxySeller VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 45.66.35.35 | 2025-11-19 | 2025-11-19 | Tor VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 146.70.174.69 | 2025-11-19 | 2025-11-19 | Proton VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 82.163.174.83 | 2025-11-19 | 2025-11-19 | ProxySeller VPN proxy IP; reconnaissance and unauthorized access. |
| IP Address | 3.239.45.43 | 2025-10-23 | 2025-10-23 | AWS IP; reconnaissance against customers with compromised Gainsight access token. |
| User Agent | python-requests/2.28.1 | 2025-11-08 | 2025-11-08 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | python-requests/2.32.3 | 2025-11-16 | 2025-11-16 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | python/3.11 aiohttp/3.13.1 | 2025-10-23 | 2025-10-23 | Not an expected user agent string used by Gainsight connected app; use in conjunction with other IOCs shared. |
| User Agent | Salesforce-Multi-Org-Fetcher/1.0 | 2025-11-18 | 2025-11-19 | Leveraged by threat actor for unauthorized access; also observed in Salesloft Drift activity |
4.1.5 Cập nhật hoạt động tấn công của nhóm APT-C-60
Indicators of Compromises
IoC Network
https[:]//c.statcounter[.]com/13139439/0/1ba1a548/1/
https[:]//raw.githubusercontent[.]com/carolab989/class2025//refs/heads/main/
https[:]//raw.githubusercontent[.]com/football2025/class2025//refs/heads/main/
https[:]//raw.githubusercontent[.]com/fenchiuwu/class2025/refs/heads/main/
http[:]//raw.githubusercontent[.]com/Ridgley22387/r834829jf/refs/heads/main/datapages.txt
http[:]//raw.githubusercontent[.]com/Ridgley22387/r834829jf/refs/heads/main/datautils.txt
https[:]//bitbucket[.]org/clouds999/glo29839/downloads/
https[:]//raw.githubusercontent[.]com/goldbars33/ozbdkak33/refs/heads/main/
https[:]//185.181.230[.]71/wkdo9/4b3ru.asp
https[:]//185.181.230[.]71/wkdo9/t1802.asp
https[:]//185.181.230[.]71/wkdo9/n3tb4.asp
https[:]//185.181.230[.]71/wkdo9/2qpmk.asp
IoC File
| Content | Filename | Hash SHA256 |
| Malicious VHDX | CV & Professional Experience.vhdx | f42d0fa77e5101f0f793e055cb963b45b36536b1835b9ea8864b4283b21bb68f |
| Malicious LNK | Resume.rtf.lnk | 25f81709d914a0981716e1afba6b8b5b3163602037d466a02bc1ec97cdc2063b |
| Part of Downloader1 | wic60.ds | ea37dfa94a63689c1195566aab3d626794adaab4d040d473d4dfbd36f1e5f237 |
| Part of Downloader1 | wic400.ds | a80848cf7d42e444b7ec1161c479b1d51167893f47d202b05f590ad24bf47942 |
| Part of Downloader1 | wic900.ds | 1e931c8aa00b7f2b3adedc5260a3b69d1ac914fe1c022db072ed45d7b2dddf6c |
| Dropper Script | glog.txt | c9c6960a5e6f44afda4cc01ff192d84d59c4b31f304d2aeba0ef01ae04ca7df3 |
| Downloader1 | WebClassUser.dat | f102d490ad02b1588b9b76664cd715c315eaab33ac22b5d0812c092676242b15 |
| DownLoader2 | WebCacheR.tmp.dat | 57a77d8d21ef6a3458763293dbe3130dae2615a5de75cbbdf17bc61785ee79da |
| DownLoader2 | WebCacheR.tmp.dat | 9e30df1844300032931e569b256f1a8a906a46c6a7efa960d95142d6bea05941 |
| git.exe(Legitimate) | gcmd.exe | 96312254d33241ce276afc7d7e0c7da648ffe33f3b91b6e4a1810f0086df3dba |
| SpyGlace version 1.3.12 | datautils.txt | 669c268e4e1ced22113e5561a7d414a76fcd247189ed87a8f89fbbd61520966a |
| SpyGlace version 1.3.13 | datautils.txt | f96557e8d714aa9bac8c3f112294bac28ebc81ea52775c4b8604352bbb8986b8 |
| SpyGlace version 1.3.14 | datautils.txt | 8b51939700c65f3cb7ccdc5ef63dba6ca5953ab5d3c255ce3ceb657e7f5bfae8 |
| SpyGlace Loader | datapages.txt | d535837fe4e5302f73b781173346fc9031d60019ea65a0e1e92e20e399a2f387 |
| SpyGlace Loader | datapages.txt | 6d8a935f11665850c45f53dc1a3fc0b4ac9629211bd4281a4ec4343f8fa02004 |
| Downloader2 | coninst3110.dat | d287dc5264fd504b016ec7e424650e2b353946cbf14d3b285ca37d78a6fda6f4 |
| Loader | constart3110.dat | 10278a46b13797269fd79a5f8f0bc14ff1cc5bc0ea87cdd1bbc8670c464a3cf1 |
| Downloader1 | ingredient.txt | 156df8c8bea005bd7dc49eb7aca230ef85ada1c092e45bb3d69913d78c4fa1f9 |
| Loader Scrpt | UsrClass.sct | 7ae86f2cb0bbe344b3102d22ecfcdda889608e103e69ec92932b437674ad5d2f |
| Loader Scrpt | UsrClass.sct | e8b3b14a998ce3640a985b4559c90c31a5d7465bc5be5c6962e487172d3c9094 |
| Loader | intersection.txt | 09fcc1dfe973a4dc91582d7a23265c0fd8fc2a011adb2528887c1e1d3a89075a |
| Downloader | opinsfile.dat | 048b69386410b8b7ddb7835721de0cba5945ee026a9134d425e0ba0662d9aee4 |
| Loader | constafile.dat | f495171e7a10fb0b45d28a5260782a8c1f7080bd1173af405476e8d3b11b21b6 |
| Downloader | coninsfile.dat | 8ea32792c1624a928e60334b715d11262ed2975fe921c5de7f4fac89f8bb2de5 |
| Malicious VHDX | CV & Professional Experience.vhdx | 94ccdaf238a42fcc3af9ed1cae1358c05c04a8fa77011331d75825c8ac16ffd8 |
| Dropper Script | volumelog.txt | 299d792c8d0d38d13af68a2467186b2f47a1834c6f2041666adafc626149edaf |
| Part of Downloader1 | vol60.dot | ea37dfa94a63689c1195566aab3d626794adaab4d040d473d4dfbd36f1e5f237 |
| Part of Downloader1 | vol400.dot | 94f6406a0f40fb8d84ceafaf831f20482700ee1a92f6bca1f769dff98896245c |
| Part of Downloader1 | vol900.dot | 45c1c79064cef01b85f0a62dac368e870e8ac3023bfbb772ec6d226993dc0f87 |
| Downloader1 | UsrClassCache.dat | 50b40556aa7461566661d6a8b9486e5829680951b5df5b7584e0ab58f8a7e92f |
| Malicious LNK | Resume.rtf.lnk | 5da82fa87b0073de56f2b20169fa4d6ea610ed9c079def6990f4878d020c9d95 |
Other IoC
| Content | Value |
| Mutex | K31610KIO9834PG79A90B |
| Mutex | K31610KIO9834PG79AD7B |
| Mutex | K31610KIO9834PG79A44A |
| CLASSID | {566296fe-e0e8-475f-ba9c-a31ad31620b1} |
| CLASSID | {64B8F404-A4AE-11D1-B7B6-00C04FB926AF} |
| File path | %userprofile%\AppData\Local\Microsoft\Windows\WebClassUser.dat |
| File path | %localappdata%\Microsoft\Windows\WebCache\WebCacheR.tmp.dat |
| File path | %userprofile%ppdata\local\Microsoft\GameDVR\data\GameList.dat |
| File path | %userprofile%ppdata\local\Microsoft\GameDVR\data\DataCache.dat |
| File path | %temp%\wcts66889.tmp |
| File path | %localappdata%\Microsoft\Windows\UsrClassCache.dat |
| File path | %localappdata%\Microsoft\Windows\UsrClassLib.dat |
| File path | %userprofile%ppdata\local\Microsoft\Edge\cache\Config.dat |
| File path | %userprofile%ppdata\Local\Microsoft\Windows\UsrClassCache.dat |
| File path | %userprofile%ppdata\local\Microsoft\Edge\cache\Cache.dat |
4.2 Danh sách IoCs liên quan đến mã độc
4.2.1 Phân tích biến thể gh0st RAT
Indicators of Compromises
Hash SHA256
da2c58308e860e57df4c46465fd1cfc68d41e8699b4871e9a9be3c434283d50b
82794015e2b40cc6e02d3c1d50241465c0cf2c2e4f0a7a2a8f880edaee203724
c65170be2bf4f0bd71b9044592c063eaa82f3d43fcbd8a81e30a959bcaad8ae5
2515b546125d20013237aeadec5873e6438ada611347035358059a77a32c54f5
1613a913d0384cbb958e9a8d6b00fffaf77c27d348ebc7886d6c563a6f22f2b7
395f835731d25803a791db984062dd5cfdcade6f95cc5d0f68d359af32f6258d
1c1528b546aa29be6614707cbe408cb4b46e8ed05bf3fe6b388b9f22a4ee37e2
4d5beb8efd4ade583c8ff730609f142550e8ed14c251bae1097c35a756ed39e6
96f401b80d3319f8285fa2bb7f0d66ca9055d349c044b78c27e339bcfb07cdf0
33b494eaaa6d7ed75eec74f8c8c866b6c42f59ca72b8517b3d4752c3313e617c
fc63f5dfc93f2358f4cba18cbdf99578fff5dac4cdd2de193a21f6041a0e01bc
fd4dd9904549c6655465331921a28330ad2b9ff1c99eb993edf2252001f1d107
3dd470e85fe77cd847ca59d1d08ec8ccebe9bd73fd2cf074c29d87ca2fd24e33
Domain
qaqkongtiao.com
