FamousSparrow Tấn Công Hạ Tầng Năng Lượng Azerbaijan: Chiến Dịch Gián Điệp Đa Đợt Của APT Trung Quốc
Tóm tắt
Từ ngày 25/12/2025 đến cuối tháng 2/2026, nhóm APT FamousSparrow — được quy kết với độ tin cậy trung bình đến cao là có liên hệ với Trung Quốc — đã thực hiện 3 đợt xâm nhập liên tiếp vào một công ty dầu khí tại Azerbaijan. Điều đáng chú ý là cả ba đợt tấn công đều tái sử dụng cùng một điểm xâm nhập ban đầu: máy chủ Microsoft Exchange chưa được vá lỗi ProxyNotShell (CVE-2022-41040 / CVE-2022-41082).
Chiến dịch này không phải là tấn công cơ hội. Kẻ tấn công quay trở lại sau mỗi đợt khắc phục của nạn nhân, mỗi lần mang theo payload khác nhau — Deed RAT (wave 1), Terndoor (wave 2), và biến thể Deed RAT cải tiến (wave 3) — trong khi vẫn duy trì cùng một đường vào. Đây là dấu hiệu điển hình của hoạt động gián điệp có chủ đích dài hạn, không phải opportunistic compromise.
Tại sao Azerbaijan? Sau khi thỏa thuận trung chuyển khí đốt Ukraine–Nga hết hạn cuối 2024 và gián đoạn eo biển Hormuz đầu 2026, Azerbaijan đã trở thành nhà cung cấp khí đốt chiến lược cho 13 quốc gia châu Âu — bao gồm Đức và Áo. Việc kiểm soát thông tin từ hạ tầng năng lượng quan trọng này có giá trị tình báo chiến lược rõ ràng.
Khuyến nghị khẩn cấp: Các tổ chức tại Việt Nam đang vận hành Microsoft Exchange on-premise phải kiểm tra ngay trạng thái patch cho ProxyNotShell và rà soát web shell trên thư mục IIS.
Bối cảnh chiến lược: Nam Caucasus — Vùng Tranh Chấp Mới Của Gián Điệp Mạng
Để hiểu tại sao chiến dịch này quan trọng, cần nhìn vào bức tranh địa chính trị rộng hơn.
Vào tháng 2/2025, Bitdefender Labs đã ghi nhận nhóm UAC-0063 (còn gọi là TAG-110, được đánh giá có liên hệ với APT28 của Nga) thực hiện các chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ và phái bộ ngoại giao tại Trung Á, mở rộng sang Đông Âu (Đức, Anh, Hà Lan, Romania, Georgia). Công cụ chính bao gồm malware HATVIBE loader được phân phối qua tài liệu Word bị vũ khí hóa, kết hợp với backdoor DownEx/CHERRYSPY để exfiltration.
Chiến dịch FamousSparrow vừa được công bố mở rộng phân tích đó thêm một bước về phía tây — vào Nam Caucasus — và đến một actor khác: UAC-0063 là Russia-linked; FamousSparrow là China-linked. Cùng một khu vực địa lý. Cùng một loại mục tiêu chiến lược. Hai actors khác nhau.
Bức tranh hiện ra rõ ràng: khu vực có tầm quan trọng năng lượng và địa chính trị ngày càng tăng sẽ thu hút nhiều APT actor cùng lúc, kể cả các actor thường không cạnh tranh trực tiếp.
Timeline Xâm Nhập
| Ngày | Sự kiện |
|---|---|
| 25/12/2025 | w3wp.exe (IIS worker process Exchange) cố gắng ghi web shell vào thư mục public — khai thác ProxyNotShell |
| 26–29/12/2025 | Triển khai thêm web shell: key.aspx, log.aspx, errorFE_.aspx, signout_.aspx |
| Đầu tháng 1/2026 | Wave 1 — Triển khai Deed RAT qua chuỗi sideloading LogMeIn Hamachi |
| Giữa tháng 1/2026 | Nạn nhân thực hiện khắc phục lần 1 |
| Cuối tháng 1/2026 | Wave 2 — Kẻ tấn công quay lại cùng điểm xâm nhập, thử triển khai Terndoor |
| Đầu tháng 2/2026 | Nạn nhân thực hiện khắc phục lần 2 |
| Cuối tháng 2/2026 | Wave 3 — Triển khai biến thể Deed RAT cải tiến với magic value mới |
Phân Tích Kỹ Thuật
Initial Access: ProxyNotShell — Lỗ Hổng 2022 Vẫn Đang Bị Khai Thác
ProxyNotShell là chuỗi exploit nhắm vào Microsoft Exchange Server, gồm hai CVE:
- CVE-2022-41040 — Server-Side Request Forgery (SSRF)
- CVE-2022-41082 — Remote Code Execution qua PowerShell
Khai thác thành công cho phép kẻ tấn công thực thi code từ xa trên máy chủ Exchange mà không cần xác thực người dùng cuối. Dấu hiệu khai thác trong trường hợp này: process
w3wp.exechạy dưới contextMSExchangePowerShellAppPoolghi file.aspxvào thư mục public.
Điều đáng chú ý: đây là lỗ hổng được công bố và có patch từ năm 2022. Sau hơn 3 năm, nó vẫn là entry point thành công vì nạn nhân không hoàn tất việc vá lỗi.
Indicator:
Process: w3wp.exe
CommandLine chứa: MSExchangePowerShellAppPool
Web shell được drop vào: C:\inetpub\wwwroot\aspnet_client\ hoặc thư mục Exchange virtual directory
Tên file: key.aspx, log.aspx, errorFE_.aspx, signout_.aspx
Wave 1: Deed RAT — DLL Sideloading Tiến Hóa
Deed RAT là một RAT (Remote Access Trojan) kế thừa kiến trúc từ ShadowPad, được sử dụng bởi nhiều nhóm gián điệp Trung Quốc. Biến thể trong chiến dịch này có những cải tiến đáng kể.
Chuỗi triển khai 3 thành phần:
C:\TEMP\LMIGuardianSvc.exe ← Legitimate LogMeIn Hamachi binary (MD5: 0554f3b69d39d175dd110d765c11347a)
C:\TEMP\lmiguardiandll.dll ← Malicious loader
C:\TEMP\.hamachi.lng ← Encrypted Deed RAT payload
Sau khi thực thi, malware cài đặt vào:
C:\Program Files (x86)\LogMeIn Hamachi\
Service name: "LogMeIn Hamachi"
Startup: Automatic
Kỹ thuật DLL Sideloading tiến hóa:
DLL sideloading truyền thống: đặt DLL độc hại cạnh executable hợp lệ → DLL được load → payload thực thi ngay.
Biến thể FamousSparrow hoạt động khác hoàn toàn. Thay vì trigger ngay khi load, malware phân tán logic qua hai exported function:
Initexport: Không thực thi payload. Thay vào đó, nó patch APIStartServiceCtrlDispatcherWcủa Windows bằng cách ghi đè các byte đầu của function trong memory — kỹ thuật API hooking/patching. Sau khi patch xong,Initthoát, ứng dụng tiếp tục chạy bình thường.ComMainexport: Khi ứng dụng LogMeIn Hamachi tiếp tục flow tự nhiên và gọiStartServiceCtrlDispatcherW, lời gọi này bị điều hướng vào malicious loader. Loader restore original bytes của API (xóa hook), sau đó thực thi payload từ.hamachi.lng. Tại sao kỹ thuật này nguy hiểm: Sandbox analysis thường chỉ thực thi từng phần code trong isolation. Vì payload chỉ kích hoạt khi ứng dụng follow đúng startup sequence tự nhiên, automated analysis tools sẽ không quan sát được hành vi độc hại. Magic value mới:0xFF66ABCD(thay0xDEED4554); compression: Deflate (thay Snappy).
Ảnh: Bitdefender Labs — Cơ chế sideloading hai giai đoạn của Deed RAT
Wave 2: Terndoor
Sau khi nạn nhân thực hiện khắc phục lần đầu, kẻ tấn công quay lại qua cùng điểm Exchange. Lần này với Terndoor — một backdoor khác trong hệ sinh thái FamousSparrow, có đặc tính driver-backed behavior.
Wave 3: Deed RAT Cải Tiến
Lần thứ ba, kẻ tấn công quay lại với biến thể Deed RAT được sửa đổi — cập nhật magic value và thay đổi compression algorithm — nhằm bypass signature detection đã được cập nhật từ wave 1.
IOC & Artifacts
# File Hashes
MD5: 0554f3b69d39d175dd110d765c11347a → LMIGuardianSvc.exe (legitimate, nhưng bị lạm dụng)
# File Paths
C:\TEMP\LMIGuardianSvc.exe
C:\TEMP\lmiguardiandll.dll
C:\TEMP\.hamachi.lng
C:\Program Files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe
C:\Program Files (x86)\LogMeIn Hamachi\lmiguardiandll.dll
# Web Shells (Exchange)
key.aspx
log.aspx
errorFE_.aspx
signout_.aspx
# Windows Service
Service Name: "LogMeIn Hamachi"
Binary Path: C:\Program Files (x86)\LogMeIn Hamachi\LMIGuardianSvc.exe
Start Type: Automatic
# Deed RAT Signatures
Magic Value (old): 0xDEED4554
Magic Value (new): 0xFF66ABCD
Compression: Deflate (thay Snappy)
MITRE ATT&CK Mapping
| Phase | Technique ID | Tên kỹ thuật | Chi tiết |
|---|---|---|---|
| Initial Access | T1190 | Exploit Public-Facing Application | ProxyNotShell (CVE-2022-41040/41082) trên Exchange |
| Persistence | T1505.003 | Server Software Component: Web Shell | key.aspx, log.aspx, errorFE_.aspx |
| Persistence | T1543.003 | Create or Modify System Process: Windows Service | Service "LogMeIn Hamachi" |
| Defense Evasion | T1574.002 | Hijack Execution Flow: DLL Side-Loading | LMIGuardianDll.dll sideloaded via LMIGuardianSvc.exe |
| Defense Evasion | T1562 | Impair Defenses | API patching StartServiceCtrlDispatcherW |
| Defense Evasion | T1036 | Masquerading | Giả mạo thư mục cài đặt LogMeIn Hamachi |
| Command & Control | T1573 | Encrypted Channel | Deed RAT C2 communication qua encrypted channel |
Detection Rules
KQL (Microsoft Sentinel)
// Phát hiện web shell drop từ Exchange IIS worker process
SecurityEvent
| where EventID == 4688
| where ParentProcessName contains "w3wp.exe"
| where CommandLine contains "MSExchangePowerShellAppPool"
| where CommandLine matches regex @"\.(aspx|asp|php|jsp)\b"
| project TimeGenerated, Computer, ParentProcessName, NewProcessName, CommandLine
// Phát hiện DLL sideloading pattern trong LogMeIn Hamachi directory
DeviceImageLoadEvents
| where FolderPath contains @"LogMeIn Hamachi"
| where not(FileName in ("lmiguardiandll.dll", "LMIGuardianSvc.exe"))
or (FileName == "lmiguardiandll.dll" and SHA1 != "<known-good-hash>")
| project Timestamp, DeviceName, FileName, FolderPath, SHA1, InitiatingProcessFileName
// Phát hiện Windows Service mới với binary trong temp directory
DeviceEvents
| where ActionType == "ServiceInstalled"
| where AdditionalFields contains "C:\\TEMP\\"
or AdditionalFields contains "C:\\Windows\\Temp\\"
| project Timestamp, DeviceName, AdditionalFields
// Hunt web shell theo tên file đã biết
DeviceFileEvents
| where ActionType in ("FileCreated", "FileModified")
| where FileName in ("key.aspx", "log.aspx", "errorFE_.aspx", "signout_.aspx")
| where FolderPath contains "inetpub" or FolderPath contains "Exchange"
| project Timestamp, DeviceName, FileName, FolderPath, InitiatingProcessFileName
Sigma Rule (Web Shell Detection)
title: FamousSparrow Exchange Web Shell Drop
id: fs-001-exchange-webshell
status: experimental
description: Detects FamousSparrow web shell deployment via ProxyNotShell exploitation
author: SOC Team
date: 2026/05/26
references:
- https://businessinsights.bitdefender.com/famoussparrow-apt-targets-azerbaijani-oil-gas-industry
logsource:
category: process_creation
product: windows
detection:
selection:
ParentImage|contains: 'w3wp.exe'
CommandLine|contains: 'MSExchangePowerShellAppPool'
TargetFilename|endswith:
- '.aspx'
- '.asp'
condition: selection
falsepositives:
- Legitimate Exchange maintenance (verify with admin)
level: high
tags:
- attack.initial_access
- attack.t1190
- attack.persistence
- attack.t1505.003
Attribution: FamousSparrow & Earth Estries Ecosystem
FamousSparrow là nhóm APT được đánh giá liên hệ với hệ sinh thái APT Trung Quốc. Trong công bố trước đây, nhóm này chồng chéo đáng kể với Earth Estries và Salt Typhoon. Bitdefender đánh giá attribution với độ tin cậy trung bình đến cao dựa trên:
- Chuỗi exploit Exchange (T1190) + web shell (T1505.003)
- DLL sideloading pattern (T1574.002)
- Deed RAT — malware family đặc trưng của FamousSparrow
- Mofu-based staging
- Terndoor-style driver-backed behavior Các tổ chức từng công bố nghiên cứu về FamousSparrow / Earth Estries: Cisco Talos, Trend Micro, Microsoft, ESET.
Victimology trước đây của FamousSparrow: viễn thông, chính phủ, công nghệ tại Mỹ, Châu Á-Thái Bình Dương, Trung Đông, Nam Phi. Chiến dịch này mở rộng sang năng lượng tại Nam Caucasus — một khu vực chưa từng được ghi nhận trong public reporting về actor này.
Nhận Định Chuyên Gia
Về kỹ thuật:
Việc FamousSparrow quay lại cùng một Exchange server 3 lần trong 2 tháng, mỗi lần với payload khác nhau, cho thấy một điều quan trọng: patch một lỗ hổng không có nghĩa là incident đã được xử lý hoàn toàn. Kẻ tấn công đã có web shell. Web shell tồn tại ngay cả khi Exchange được patch — trừ khi người vận hành chủ động tìm và xóa chúng.
Kỹ thuật DLL sideloading 2 giai đoạn (gating execution through legitimate application control flow) là bước tiến đáng chú ý trong evasion capability. Nó không cần modify binary hợp lệ, không cần kernel access, và bypass sandbox analysis đang là mainstream trong nhiều EDR/sandbox platform.
Về bức tranh rộng hơn:
Từ góc độ threat intelligence, chiến dịch này khi đặt cạnh nghiên cứu UAC-0063 (tháng 2/2025) tạo ra một pattern đáng lo ngại: cả Trung Quốc và Nga đều đồng thời gia tăng hoạt động gián điệp tại khu vực có tầm quan trọng năng lượng tăng cao. Đây không phải coincidence — đây là phản ứng có chủ đích với thay đổi địa chính trị.
Liên quan đến tổ chức tại Việt Nam:
Việt Nam không phải mục tiêu trực tiếp trong chiến dịch này. Tuy nhiên, có một số điểm cần lưu ý:
- ProxyNotShell vẫn là threat thực tế. Trong môi trường enterprise Việt Nam, Microsoft Exchange on-premise còn phổ biến. Theo quan sát của chúng tôi, không ít tổ chức vẫn đang chạy Exchange version chưa được patch đầy đủ cho các lỗ hổng năm 2022–2023.
- Earth Estries / Salt Typhoon đã nhắm vào telco Đông Nam Á. FamousSparrow là một phần của hệ sinh thái rộng hơn. Các TTPs được document trong chiến dịch này có thể được reuse nhắm vào tổ chức trong khu vực.
- DLL sideloading qua ứng dụng hợp lệ là technique phổ biến trong nhiều chiến dịch APT tại khu vực, không riêng FamousSparrow. Detection capability cho pattern này cần được kiểm tra.
Khuyến Nghị
Immediate (0–24h)
- Kiểm tra patch status Exchange: Xác nhận CVE-2022-41040 và CVE-2022-41082 đã được patch trên tất cả Exchange server on-premise. Dùng lệnh:
Get-ExchangeDiagnosticInfo -Server <servername> -Process EdgeTransport -Component ResourceThrottling # Hoặc kiểm tra version: Get-ExchangeServer | fl Name, AdminDisplayVersion - Hunt web shell ngay: Rà soát các file
.aspxkhông mong muốn trong thư mục Exchange và IIS:Get-ChildItem -Path "C:\inetpub\" -Recurse -Include "*.aspx" | Where-Object {$_.CreationTime -gt (Get-Date).AddDays(-90)} | Select-Object FullName, CreationTime, LastWriteTime - Kiểm tra IOC đã biết: Tìm kiếm file
key.aspx,log.aspx,errorFE_.aspx,signout_.aspxvà hash MD50554f3b69d39d175dd110d765c11347atrong SIEM/EDR.
Short-term (1–7 ngày)
- Deploy detection rules KQL/Sigma đã cung cấp ở trên vào Sentinel/SIEM.
- Audit Windows Services: Rà soát service mới được tạo trong 90 ngày qua, đặc biệt service có binary path trong
C:\TEMP\hoặc giả mạo tên phần mềm hợp lệ. - Enable Enhanced Logging cho Exchange: Bật logging
MSExchangePowerShellAppPoolvà monitor process creation từw3wp.exe. - Hunt DLL sideloading pattern: Tìm DLL được load từ các thư mục không chuẩn bởi process hợp lệ.
Long-term
- Loại bỏ Exchange on-premise khi có thể: Migrate sang Exchange Online giảm attack surface đáng kể.
- Network segmentation cho Exchange server: Exchange không nên có kết nối outbound trực tiếp ra internet.
- Threat hunting định kỳ: Xây dựng hypothesis dựa trên TTPs của actor trong khu vực và chạy hunt cycle mỗi quý.
- Capability review: Đánh giá lại khả năng phát hiện DLL sideloading và API hooking trong EDR hiện tại — nhiều platform có false negative rate cao với technique này.
