{
	"id": "bf3c8601-90ea-4c73-9c25-39e70f7a43ab",
	"created_at": "2026-04-06T00:08:19.858698Z",
	"updated_at": "2026-04-10T03:21:11.677917Z",
	"deleted_at": null,
	"sha1_hash": "4c0557257d8151dfe1719524c0d1eb9c6dfe620c",
	"title": "Phân tích mã độc lợi dụng dịch Covid-19 để phát tán giả mạo “Chỉ thị của thủ tướng Nguyễn Xuân Phúc” - Phần 1 - VinCSS Blog",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 84505,
	"plain_text": "Phân tích mã độc lợi dụng dịch Covid-19 để phát tán giả mạo “Chỉ\r\nthị của thủ tướng Nguyễn Xuân Phúc” - Phần 1 - VinCSS Blog\r\nBy Yến Hứa\r\nPublished: 2020-10-17 · Archived: 2026-04-05 13:58:01 UTC\r\nTable of Contents\r\n1. Thông tin về sample\r\n2. Phân tích mã độc\r\n2.1. Phân tích hành vi của mã độc\r\n2.2. Phân tích chi tiết file lnk và VBScript\r\n2.3. Phân tích chi tiết các payload\r\n2.3.1. Phân tích unsecapp.exe\r\n2.3.2. Phân tích http_dll.dll\r\nLợi dụng tình hình diễn biến của dịch COVID-19 hiện tại đang rất phức tạp, nhiều nhóm tin tặc đã và đang âm\r\nthầm thực hiện các chiến dịch APT nhắm vào các cá nhân và tổ chức nhằm trục lợi. Tại Việt Nam cũng không\r\nngoại lệ. Mới đây chúng tôi ghi nhận mẫu mã độc (nghi ngờ từ nhóm Mustang Panda) giả mạo chị thị của thủ\r\ntướng Nguyễn Xuân Phúc về phòng tránh dịch COVID-19. Trong bài viết này chúng tôi sẽ phân tích phương thức\r\nmà kẻ tấn công sử dụng để lây nhiễm vào máy người dùng.\r\n1. Thông tin về sample\r\nFile name: Chi Thi cua thu tuong nguyen xuan phuc.rar\r\nFile Hash (SHA-256): bbbeb1a937274825b0434414fa2d9ec629ba846b1e3e33a59c613b54d375e4d2\r\nFile Size: 172 KB\r\nFile type: RAR\r\nFile Timestamps: 2020:03:03 14:46:12\r\nArchived File Name: Chi Thi cua thu tuong nguyen xuan phucChi Thi cua thu tuong nguyen xuan phuc.lnk\r\nHình 1: Nội dung của tài liệu xuất hiện khi mã độc thực thi\r\n2. Phân tích mã độc\r\n2.1. Phân tích hành vi của mã độc\r\nhttps://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/\r\nPage 1 of 5\n\nTheo thông tin ở trên, mã độc gửi kèm email phishing là một file nén. Trong file nén này chứa một file Chi Thi\r\ncua thu tuong nguyen xuan phuc.lnk có kích thước 712 KB:\r\nHình 2: Nội dung trong file nén\r\nFile .lnk đơn giản là một shorcut được Windows sử dụng làm tham chiếu đến file gốc. Các file này thường sử\r\ndụng cùng một biểu tượng với file gốc, nhưng thêm một mũi tên cuộn tròn nhỏ để cho biết nó trỏ đến một vị trí\r\nkhác. Khi người dùng vô tình mở file .lnk trong file nén trên, hành vi của mã độc sẽ diễn ra theo trình tự:\r\n¨ Khởi chạy cmd.exe, mục đích để gọi mshta.exe với tham số truyền vào là file .lnk đã được giải nén tạm ở thư\r\nmục %Temp%:\r\nHình 4: Thực thi mshta.exe với tham số truyền vào là file lnk\r\n¨ mshta.exe có nhiệm vụ phân tích file, tìm kiếm và thực thi script được nhúng trong file. Từ đây, thực hiện các\r\nhành động sau:\r\nTạo các file 3.exe, http_dll.dll, http_dll.dat, Chi Thi cua thu tuong nguyen xuan phuc.doc trong thư\r\nmục %LocalAppData%Temp.\r\nKhởi chạy 3.exe, tiến trình này sẽ tạo các file unsecapp.exe, http_dll.dll, http_dll.dat trong thư\r\nmục %AllUsersProfile%Microsoft Malware Protectionydy.\r\nThiết lập run key Microsoft Malware Protectionydy trong Registry\r\n(HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun\r\n\u0026 HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoft Malware Protectionydy) trỏ\r\ntới file unsecapp.exe đã tạo ở trên.\r\nGọi WINWORD.EXE để mở tài liệu %Temp%Chi Thi cua thu tuong nguyen xuan phuc.doc với nội\r\ndung như ở Hình 1 nhằm đánh lừa người dùng.\r\nHình 5: Luồng thực thi của các tiến trình\r\n¨ Tiến trình unsecapp.exe sau khi thực thi sẽ kết nối tới C2 là vietnam[.]zing[.]photos:\r\nHình 6: Tiến trình unsecapp.exe kết nối tới C2\r\nHai file 3.exe và unsecapp.exe thực chất là cùng là một file và có Certificate nhằm qua mặt các phần mềm\r\nAntivirus:\r\nHình 7: 3.exe và unsecapp.exe trùng hash\r\nhttps://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/\r\nPage 2 of 5\n\nHình 8: Thông tin Certificate mà độc sử dụng\r\n2.2. Phân tích chi tiết file lnk và VBScript\r\nNhư mô tả ở phần trên, khi người dùng mở file Chi Thi cua thu tuong nguyen xuan phuc.lnk trong Chi Thi cua\r\nthu tuong nguyen xuan phuc.rar, mshta.exe sẽ được gọi để thực thi script. Như vậy, nội dung của script này\r\nphải được nhúng sẵn trong file .lnk. Sử dụng 010 Editor để mở file .lnk và tìm kiếm chuỗi \u003cscript, kết quả có\r\nđược thông tin về đoạn VBScript được nhúng trong file:\r\nHình 9: Nội dung của script nhúng trong file\r\nTrích xuất toàn bộ nội dung của script. Nội dung của script như sau:\r\n¨ Khai báo các biến CAwyFTsgCQ, yilJSYTMMh, TPDgWjZcyJ và gán lần lượt nội dung của 3.exe,\r\nhttp_dll.dll, http_dll.dat cho từng biến:\r\nHình 10: Tạo biến chứa nội dung của file\r\n¨ Tạo lập đường dẫn cho các files và gọi hàm vSWGUThohAGJ để tạo files:\r\nHình 11: Tạo các file 3.exe, http_dll.dll, http_dll.dat\r\n¨ Thực thi file 3.exe đã tạo, tạo tài liệu Chi Thi cua thu tuong nguyen xuan phuc.doc và mở tài liệu này để đánh\r\nlừa người dùng.\r\nHình 12: Thực thi 3.exe và mở tài liệu Chi Thi cua thu tuong nguyen xuan phuc.doc\r\n2.3. Phân tích chi tiết các payload\r\n2.3.1. Phân tích unsecapp.exe\r\nNhư đã đề cập ở trên, mã độc sau khi thực thi thành công sẽ thiết lập run key Microsoft Malware\r\nProtectionydy trong Registry (HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun) trỏ tới\r\nfile unsecapp.exe. File này bản chất là EHttpSrv.exe (ESET HTTP Server Service) thuộc sản phẩm Eset Smart\r\nSecurity của hãng ESET. Kẻ tấn công đã lợi dụng file này để thực hiện kĩ thuật DLL side-loading nhằm tải và\r\nthực thi mã độc nằm trong thư viện http_dll.dll.\r\nHình 13: unsecapp.exe gọi hàm LoadLibraryW để nạp http_dll.dll\r\n2.3.2. Phân tích http_dll.dll\r\nhttp_dll.dll sau khi được nạp sẽ thực thi code tại DllMain, tại đây mã độc gọi hàm thực hiện công việc sau:\r\nhttps://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/\r\nPage 3 of 5\n\n¨ Lấy địa chỉ thuộc unsecapp.exe tính từ base address + 0x157A.\r\n¨ Gọi hàm VirtualProtect để thay đổi 16 bytes từ địa chí tính toán ở trên\r\nthành PAGE_EXECUTE_READWRITE.\r\n¨ Patch code tại địa chỉ đó thông qua kĩ thuật push – ret để nhảy tới hàm thực hiện nhiệm vụ giải mã mà thực thi\r\nShellcode.\r\nHình 14: Sử dụng kĩ thuật push-ret để nhảy tới hàm tại địa chỉ 0x10001230\r\nTại hàm DecryptShellCodeAndExcecute (0x10001230), mã độc tiếp tục thực hiện:\r\n¨ Cấu thành đường dẫn tới http_dll.dat, file này chứa payload đã bị mã hóa:\r\nHình 15: Cấu thành đường dẫn tới http_dll.dat\r\n¨ Gọi hàm FileReadAll (0x10001030), đọc toàn bộ nội dung của http_dll.dat vào vùng nhớ đã cấp phát:\r\nHình 16: Hàm FileReadAll chịu trách nhiệm đọc nội dung http_dll.dat\r\nHình 17: Code của hàm FileReadAll\r\n¨ Trích xuất key giải mã (10 bytes đầu của http_dll.dat), cấp phát vùng nhớ và copy toàn bộ dữ liệu\r\ncủa http_dll.dat vào vùng nhớ đã được cấp phát. Gọi hàm XorDecrypt (0x100014B0) để giải mã payload mới\r\ntrên bộ nhớ:\r\nHình 18: Thực hiện giải mã payload mới trên bộ nhớ\r\n¨ Cuối cùng gọi hàm VirtualProtect để thay đổi vùng nhớ của payload mới\r\nthành PAGE_EXECUTE_READWRITE và gọi thẳng tới payload này để thực thi. Payload cuối cùng này sẽ làm\r\nnhiệm vụ giải mã cấu hình có thông tin về thư mục “Microsoft Malware Protectionydy” dùng để lưu các\r\npayload, thông tin về C2 như đã đề cập ở trên và thực hiện nhiệm vụ kết nối tới C2. \r\nHình 19: Thực thi payload mới đã giải mã trên bộ nhớ\r\n Bằng thông tin phân tích được ở trên, có thể giải mã và thu được payload mới mà không cần debug:\r\nHình 20: http_dll.dat trước và sau khi giải mã\r\nPayload có được là một dll (HT.dll):\r\nhttps://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/\r\nPage 4 of 5\n\nHình 21: Payload mới là một dll\r\nBài viết xin được tạm dừng tại đây, trong phần tiếp theo chúng tôi sẽ phân tích chi tiết về cách thức hoạt động của\r\npayload cuối cùng (HT.dll).\r\nIndicators of compromise (IOCs)\r\nDropped file:\r\n%LocalAppData%Temp\r\n1. 3.exe    [SHA256: c3159d4f85ceb84c4a0f7ea9208928e729a30ddda4fead7ec6257c7dd1984763]\r\n2. http_dll.dll      [SHA256: 79375c0c05243354f8ba2735bcd086dc8b53af709d87da02f9206685095bb035]\r\n3. http_dll.dat     [SHA256: b62d35d8edae874a994fff12ec085a0bf879c66b3c97fd13fe0a335b497342e5]\r\n4. Chi Thi cua thu tuong nguyen xuan phuc.doc       [SHA256:\r\ne3556d6ba5e705b85599b70422928165c8d4130074029a8dcd04a33f4d1aa858]\r\n%AllUsersProfile%Microsoft Malware Protectionydy\r\n1. unsecapp.exe \r\n[SHA256: c3159d4f85ceb84c4a0f7ea9208928e729a30ddda4fead7ec6257c7dd1984763]\r\n2. http_dll.dll      [SHA256: 79375c0c05243354f8ba2735bcd086dc8b53af709d87da02f9206685095bb035]\r\n3. http_dll.dat     [SHA256: b62d35d8edae874a994fff12ec085a0bf879c66b3c97fd13fe0a335b497342e5]\r\nPersistence Registry:\r\nHKLMSOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoft Malware Protectionydy  = \r\nC:ProgramDataMicrosoft Malware Protectionydyunsecapp.exe”\r\nHKCUSOFTWAREMicrosoftWindowsCurrentVersionRunMicrosoft Malware Protectionydy  = \r\nC:ProgramDataMicrosoft Malware Protectionydyunsecapp.exe”\r\nC2:\r\nDomain: vietnam[.]zing[.]photos\r\nIP: 104.160.44.85\r\nR\u0026D Center – VinCSS (a member of Vingroup)\r\nSource: https://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-p\r\nhuc-phan-1-2/\r\nhttps://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "VI",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.vincss.net/vi/re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2/"
	],
	"report_names": [
		"re012-1-phan-tich-ma-doc-loi-dung-dich-covid-19-de-phat-tan-gia-mao-chi-thi-cua-thu-tuong-nguyen-xuan-phuc-phan-1-2"
	],
	"threat_actors": [],
	"ts_created_at": 1775434099,
	"ts_updated_at": 1775791271,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4c0557257d8151dfe1719524c0d1eb9c6dfe620c.pdf",
		"text": "https://archive.orkl.eu/4c0557257d8151dfe1719524c0d1eb9c6dfe620c.txt",
		"img": "https://archive.orkl.eu/4c0557257d8151dfe1719524c0d1eb9c6dfe620c.jpg"
	}
}