Thông tin chi tiết và phân tích

1. Các chiến dịch tấn công APT

Trong tháng 10/2025, VNPT CTIP ghi nhận các chiến dịch tấn công APT đáng chú ý nhắm vào Việt Nam nhằm khả năng đánh cắp thông tin cá nhân, thông tin tài khoản ngân hàng, và thực hiện điều khiển thiết bị từ xa.

Dưới đây là danh sách chiến dịch tấn công APT đáng chú ý theo VNPT Cyber Immunity ghi nhận: 

Thông tin chi tiết:

1.1. Chiến dịch tấn công Vampire Bot nhắm vào người tìm việc và chuyên gia Marketing số

Một nhóm tấn công mạng có tên BatShadow, được cho là có liên quan tới Việt Nam, đang thực hiện chiến dịch tấn công sử dụng kỹ thuật Social Engineering (kỹ thuật xã hội) để lừa đảo người tìm việc và các chuyên viên tiếp thị kỹ thuật số. Mục tiêu là phát tán một loại mã độc mới chưa từng được biết đến có tên Vampire Bot.

Thông tin chi tiết kĩ thuật:

Đây là 1 chiến dịch mới chưa từng được ghi nhận. Kẻ tấn công giả mạo nhà tuyển dụng, phát tán các tệp tin độc hại ngụy trang dưới dạng mô tả công việc và tài liệu công ty. Khi mở, các tệp tin này sẽ kích hoạt chuỗi lây nhiễm của mã độc Vampire Bot được viết bằng ngôn ngữ Go.

Chuỗi tấn công bao gồm các bước sau:

Bước 1. Phát tán

Kẻ tấn công sử dụng các tệp ZIP chứa các tài liệu PDF giả mạo, cùng với các tệp shortcut (LNK) hoặc tệp thực thi độc hại được ngụy trang dưới dạng PDF để đánh lừa người dùng mở chúng.

Bước 2. Lây nhiễm

Khi tệp LNK được khởi chạy, nó sẽ chạy một đoạn script PowerShell nhúng bên trong. Script này kết nối đến một máy chủ bên ngoài để tải xuống một tài liệu mồi nhử (lure document) là một tệp PDF mô tả công việc Marketing tại Marriott:

Bước 3. Truy cập từ xa

Script PowerShell cũng tải xuống từ cùng máy chủ một tệp ZIP chứa các tệp liên quan đến XtraViewer, một phần mềm kết nối Remote Desktop (kết nối máy tính từ xa). Sau đó, script thực thi phần mềm này, có thể nhằm mục đích thiết lập quyền truy cập liên tục vào các máy chủ đã bị xâm nhập.

Bước 4. Chuyển hướng và tải xuống độc hại

Các nạn nhân nhấp vào liên kết "preview" trong tệp PDF mồi nhử sẽ được chuyển hướng đến một trang đích khác hiển thị thông báo lỗi giả mạo rằng trình duyệt không được hỗ trợ và "trang chỉ hỗ trợ tải xuống trên Microsoft Edge".

Bước 5. Tải xuống Vampire Bot

Nếu nạn nhân mở trang trong Edge, URL sẽ được khởi chạy tự động trong trình duyệt web, chỉ để hiển thị một thông báo lỗi thứ hai: "The online PDF viewer is currently experiencing an issue. The file has been compressed and sent to your device." (Trình xem PDF trực tuyến hiện đang gặp sự cố. Tệp đã được nén và gửi đến thiết bị của bạn). Điều này kích hoạt việc tự động tải xuống một tệp ZIP chứa mô tả công việc giả mạo, bao gồm một tệp thực thi độc hại ("Marriott\_Marketing\_Job\_Description.pdf.exe") bắt chước một tệp PDF bằng cách thêm khoảng trắng giữa ".pdf" và ".exe".

Bước 6. Thực thi Vampire Bot

Tệp thực thi này là mã độc Vampire Bot, có khả năng thu thập thông tin về máy chủ bị nhiễm, đánh cắp nhiều loại dữ liệu, chụp ảnh màn hình theo khoảng thời gian tùy chỉnh và duy trì kết nối với một máy chủ do kẻ tấn công kiểm soát ("api3.samsungcareers[.]work") để chạy các lệnh hoặc tải xuống các payload bổ sung.

Mối liên hệ của BatShadow với Việt Nam xuất phát từ việc sử dụng một địa chỉ IP (103.124.95[.]161) đã từng bị gắn cờ là được sử dụng bởi các hacker có liên hệ với Việt Nam. Hơn nữa, các chuyên viên tiếp thị kỹ thuật số là một trong những mục tiêu chính của các cuộc tấn công do các nhóm tội phạm mạng Việt Nam thực hiện, những nhóm này có tiền sử triển khai mã độc đánh cắp thông tin để chiếm đoạt tài khoản Facebook Business.

BatShadow đã hoạt động ít nhất một năm, với các chiến dịch trước đó sử dụng các tên miền tương tự, chẳng hạn như samsung-work[.]com, để phát tán các họ mã độc bao gồm Agent Tesla, Lumma Stealer và Venom RAT.

Indicator of Compromises (IoCs)

Chi tiết xem tại Danh sách IoCs liên quan đến các chiến dịch tấn công.

1.2. Chiến dịch tấn công mạng UAT-8099 nhắm vào các máy chủ IIS tại Châu Á và các khu vực khác.

UAT-8099 là một nhóm tội phạm mạng sử dụng các kỹ thuật SEO (Search Engine Optimization) gian lận. Nhóm này sử dụng RDP (Remote Desktop Protocol) để truy cập các máy chủ IIS và tìm kiếm dữ liệu có giá trị như nhật ký, thông tin đăng nhập, tệp cấu hình và chứng chỉ nhạy cảm, sau đó đóng gói chúng để bán lại hoặc khai thác thêm.

Khi phát hiện ra lỗ hổng trên máy chủ mục tiêu, nhóm sẽ tải lên một web shell để thu thập thông tin hệ thống và trinh sát mạng máy chủ. Sau đó, chúng kích hoạt tài khoản khách, leo thang đặc quyền của tài khoản này lên cấp quản trị viên và sử dụng tài khoản này để bật RDP. Để duy trì quyền truy cập, chúng kết hợp truy cập RDP với SoftEther VPN, EasyTier (một công cụ mạng riêng ảo phi tập trung) và công cụ FRP reverse proxy. Sau đó, nhóm thực hiện leo thang đặc quyền bằng cách sử dụng các công cụ chia sẻ để có được quyền cấp hệ thống và cài đặt phần mềm độc hại BadIIS. Để bảo vệ chỗ đứng của mình, chúng triển khai các cơ chế phòng thủ để ngăn chặn các tác nhân đe dọa khác xâm phạm cùng một máy chủ hoặc phá vỡ thiết lập của chúng.

Thông tin chi tiết kĩ thuật:

Chuỗi tấn công có thể mô tả như sau:

Bước 1. Xâm nhập ban đầu

Máy chủ web mục tiêu cho phép người dùng tải tệp lên nhưng không giới hạn loại tệp, điều này đã cho phép nhóm UAT-8099 khai thác lỗ hổng web và tải lên một web shell. Việc này thiết lập được quyền truy cập ban đầu và giúp chúng chiếm quyền điều khiển máy chủ bị xâm nhập. Dưới đây là vị trí phát hiện web shell được sử dụng trong chiến dịch này web shell có tên “ASP.NET Web BackDoor”:

-> C:/inetpub/wwwroot/[REDACTED]/Html/hw/server.ashx

Bước 2. Reconnaissance

Sau khi có shell, kẻ tấn công thực hiện 1 số command nhằm thu thập thông tin hệ thống và thông tin mạng như ipconfig, whoami, arp và tasklist.

Bước 3. Leo thang đặc quyền

Ngay sau khi thu thập thành công các thông tin cần thiết, kẻ tấn công kích hoạt tài khoản khách, đặt mật khẩu và nâng đặc quyền của tài khoản khách lên cấp quản trị viên. Ngoài ra còn tạo thêm tài khoản ẩn "admin$" và thêm nó vào nhóm quản trị viên để duy trì quyền truy cập lâu dài:

Bước 4. Đánh cắp dữ liệu

Sử dụng công cụ "Everything" để tìm kiếm các tệp có giá trị như nhật ký, thông tin đăng nhập, tệp cấu hình và chứng chỉ. Sử dụng Notepad để xem nội dung các file text và Windows Crypto Shell Extensions để kiểm tra các tệp chứng chỉ .crt:

Bước 5. Persistence, Exfiltration & Protection

Để duy trì quyền truy cập vào máy chủ IIS mục tiêu và cài đặt mã độc BadIIS phục vụ hành vi gian lận SEO, kẻ tấn công thực hiện các phương thức sau nhằm duy trì quyền truy cập ,nâng đặc quyền, cài đặt mã độc và thiết lập cơ chế tự bảo vệ:

UAT-8099 triển khai SoftEther VPN, EasyTier (một công cụ mạng riêng ảo phi tập trung) và fast reverse proxy (FRP). Cấu hình này cho phép chúng dùng RDP từ xa để điều khiển máy chủ:

Kẻ tấn công lợi dụng các công cụ công khai để tăng đặc quyền và nhằm cài đặt mã độc BadIIS trên máy chủ IIS. Sau đó chúng sử dụng Procdump để trích xuất thông tin đăng nhập của nạn nhân, rồi nén các dữ liệu này bằng WinRAR. Ngoài ra các thông tin tệp, chứng chỉ đã đánh cắp cũng được thu thập vào đường dẫn Users\admin$\Desktop\loade\, nén bằng WinRAR và được exfiltrate cho kẻ tấn công.

Kẻ tấn công cài đặt D_Safe_Manage, một công cụ bảo mật cho Windows IIS khá phổ biến, nhằm ngăn chặn kẻ tấn công khác xâm nhập và can thiệp vào thiết lập BadIIS của chúng:

Bước 6. Các script tự động hóa của nhóm tấn công

Có 3 bat script được phát hiện được dùng nhằm tự động hóa các giai đoạn tấn công của nhóm này:

iis.bat: Cài đặt module BadIIS:

fuck.bat: Cấu hình cài đặt RDP và các hoạt động mạng liên quan:

1.bat: Tạo task scheduler chạy 1 file tên “inetinfo.exe". Đây là 1 công cụ WMI V2 provider code generation hợp lệ, bị kẻ tấn công lợi dụng để DLL Sideloading CobaltStrike.

Bước 7. Cobalt Strike

UAT-8099 sử dụng Cobalt Strike làm backdoor. Chúng sử dụng DLL sideloading để thực thi backdoor và thiết lập task scheduler để persistence trên các hệ thống bị xâm nhập. Dll độc hại được load lên có tên `wmicodegen.dll`.

Chuỗi thực thi của CobaltStrike như sau:

Payload đầu tiên được trong wmicodegen.dll, payload này sẽ được tìm bởi API VirtualQuery:

Payload đầu sau khi được decrypt, dễ thấy payload thứ 2 bao gồm 1 đoạn shellcode và payload thứ 3 được encode base64:

Tại payload thứ 3 ta có được các thông tin của listener:

File DLL CobaltStrike chứa udrl.x64.dll và customLoader bên trong, được dùng để reflective load mã độc trên memory:

Cuối cùng, mã độc còn sử dụng một URL giả dạng mạng phân phối nội dung (CDN) hợp pháp, kết hợp với các cổng và đường dẫn thường thấy trên Exchange server, cho phép kẻ tấn công hoà vào lưu lượng mạng bình thường và tránh bị các chuyên gia bảo mật phát hiện:

Bước 8. SEO Poisoning

Kẻ tấn công sẽ poison SEO với các keyword như sau:

news|cash|bet|gambling|betting|casino|fishing|deposit|bonus|sitemap|app|ios|video|games|xoso|dabong|nohu|yono|apks|android|hots|vna|craps|banca|online|sicbo|uono|yono|cocs|matkas

Kết quả sau khi poisoning của 1 số nạn nhân: