Lại một ngày thứ Năm, lại một chồng tin tức an ninh mạng kỳ lạ xảy ra chỉ trong bảy ngày. Một số thủ đoạn tinh vi. Một số lại lười biếng. Một vài điều rơi vào phạm trù khó chịu là “ừm… điều này có thể sẽ xuất hiện trong các sự cố thực tế sớm hơn chúng ta mong muốn.”
Xu hướng tuần này quen thuộc theo một cách hơi khó chịu. Những mánh khóe cũ đang được trau chuốt. Nghiên cứu mới cho thấy những giả định nhất định mong manh đến mức nào. Một vài điều khiến bạn phải dừng lại giữa lúc lướt tin và suy nghĩ, “khoan đã… mọi người thực sự làm được điều này sao?”
Ngoài ra còn có sự pha trộn thông thường của các ngóc ngách kỳ lạ trong hệ sinh thái đang làm những điều kỳ lạ — cơ sở hạ tầng hoạt động chuyên nghiệp đến mức đáng ngờ, các công cụ xuất hiện ở những nơi không nên có, và một vài trường hợp mà mắt xích yếu nhất vẫn chỉ là… người dùng nhấp vào những thứ họ có lẽ không nên.
Dù sao. Nếu bạn có năm phút và một chút tò mò về những gì kẻ tấn công, các nhà nghiên cứu và những “yêu tinh” internet nói chung đã làm gần đây, Bản tin ThreatsDay tuần này trên The Hacker News sẽ có những điểm tin nhanh. Hãy tiếp tục cuộn xuống.
Lạm dụng sự đồng ý OAuth
Nguy hiểm từ các ứng dụng OAuth độc hại
Công ty bảo mật đám mây Wiz đã cảnh báo về những nguy hiểm do các ứng dụng OAuth độc hại gây ra, nhấn mạnh cách "mệt mỏi đồng ý" (consent fatigue) có thể mở đường cho kẻ tấn công truy cập dữ liệu nhạy cảm của nạn nhân bằng cách đặt tên ứng dụng độc hại của chúng trông giống như hợp pháp. Bằng cách chấp nhận các quyền được yêu cầu bởi một ứng dụng OAuth giả mạo, người dùng đang "thêm" ứng dụng của kẻ tấn công vào tenant của công ty họ. Wiz cho biết: "Khi 'Chấp nhận' được nhấp, quá trình đăng nhập hoàn tất. Nhưng thay vì chuyển đến một trang đích bình thường, access token sẽ được gửi đến Redirect URL của kẻ tấn công. Với token đó, kẻ tấn công giờ đây có quyền truy cập vào các tệp hoặc email của người dùng mà không cần biết mật khẩu của họ." Công ty thuộc sở hữu của Google cũng cho biết họ đã phát hiện một chiến dịch quy mô lớn hoạt động vào đầu năm 2025 liên quan đến 19 ứng dụng OAuth riêng biệt mạo danh các thương hiệu nổi tiếng như Adobe, DocuSign và OneDrive, nhắm mục tiêu vào nhiều tổ chức. Chi tiết về hoạt động này đã được ghi lại bởi Proofpoint vào tháng 8 năm 2025.
Chiếm quyền tài khoản nhắn tin
Tin tặc Nga nhắm mục tiêu vào tài khoản Signal và WhatsApp
Các tin tặc liên quan đến Nga đang cố gắng xâm nhập vào các tài khoản Signal và WhatsApp của các quan chức chính phủ, nhà báo và quân nhân trên toàn cầu nhằm giành quyền truy cập trái phép – không phải bằng cách phá vỡ mã hóa, mà bằng cách lừa người dùng giao nộp mã xác minh bảo mật hoặc PIN. Cơ quan Tình báo và An ninh Quốc phòng Hà Lan (MIVD) và Cơ quan Tình báo và An ninh Tổng hợp (AIVD) cho biết: "Phương pháp được tin tặc Nga sử dụng phổ biến nhất là mạo danh chatbot hỗ trợ Signal để lừa các mục tiêu tiết lộ mã của họ." "Sau đó, tin tặc có thể sử dụng các mã này để chiếm đoạt tài khoản của người dùng. Một phương pháp khác được các tác nhân Nga sử dụng là lợi dụng chức năng 'thiết bị đã liên kết' trong Signal và WhatsApp." Cần lưu ý rằng một cảnh báo tương tự đã được đưa ra bởi Đức vào tháng trước. Signal cho biết: "Các cuộc tấn công này được thực hiện qua các chiến dịch phishing tinh vi, được thiết kế để lừa người dùng chia sẻ thông tin – mã SMS và/hoặc PIN Signal – để giành quyền truy cập vào tài khoản của người dùng." Google đã cảnh báo vào năm ngoái rằng việc Signal được sử dụng rộng rãi trong quân đội, chính trị gia và nhà báo Ukraine đã khiến nó trở thành mục tiêu thường xuyên của các hoạt động gián điệp Nga.
Vi phạm đám mây thông qua lỗ hổng phần mềm
Các tác nhân đe dọa khai thác lỗ hổng phần mềm bên thứ ba để xâm nhập Cloud
Google đã tiết lộ rằng các tác nhân đe dọa ngày càng khai thác các lỗ hổng trong phần mềm của bên thứ ba để xâm nhập môi trường đám mây. Bộ phận đám mây của gã khổng lồ công nghệ cho biết: "Khoảng thời gian giữa việc tiết lộ lỗ hổng và khai thác hàng loạt đã giảm một bậc độ lớn, từ vài tuần xuống còn vài ngày." "Trong khi các exploit dựa trên phần mềm gia tăng, quyền truy cập ban đầu của các tác nhân đe dọa sử dụng cấu hình sai (misconfiguration), vốn chiếm 29,4% các sự cố trong nửa đầu năm 2025, đã giảm xuống 21% trong nửa cuối năm 2025. Tương tự, UI hoặc API nhạy cảm bị lộ tiếp tục xu hướng giảm, từ 11,8% trong H1 xuống 4,9% trong H2. Sự sụt giảm này cho thấy rằng các rào cản tự động đang khiến các lỗi nhận dạng và cấu hình khó khai thác hơn và các tác nhân đe dọa đang bị đẩy sang các vector tinh vi và tốn kém hơn nhằm mục tiêu cụ thể vào các lỗ hổng phần mềm để giành chỗ đứng." Trong hầu hết các cuộc tấn công được Google điều tra, mục tiêu của tác nhân là exfiltration dữ liệu khối lượng lớn một cách lặng lẽ mà không đòi tiền chuộc ngay lập tức và duy trì sự hiện diện lâu dài.
Bỏ qua gỡ lỗi Microcontroller
Phá vỡ bảo vệ mật khẩu của RH850
Nghiên cứu mới từ Quarkslab đã phát hiện ra rằng có thể bỏ qua bảo vệ mật khẩu 16 byte cần thiết để truy cập debug trên một số biến thể của họ microcontroller RH850 bằng cách sử dụng voltage fault injection trong vòng chưa đầy một phút. Công ty bảo mật cho biết: "Kỹ thuật voltage glitching được thực hiện bằng cách cấp nguồn thấp hoặc quá cao cho chip trong một khoảng thời gian được kiểm soát để thay đổi hành vi của nó." "Cuộc tấn công crowbar là một loại voltage glitch cụ thể, trong đó nguồn điện bị đoản mạch với đất thay vì tiêm một điện áp cụ thể, ví dụ, sử dụng một MOSFET."
Chiến dịch malware PlugX
Các tác nhân đe dọa Trung Quốc tận dụng xung đột Trung Đông
Check Point đã tiết lộ các chiến dịch nhắm mục tiêu vào các thực thể ở Qatar, sử dụng nội dung liên quan đến xung đột làm mồi nhử để phân phối các họ malware như PlugX và Cobalt Strike. Chuỗi tấn công sử dụng các tệp Windows shortcut (LNK) chứa trong các kho lưu trữ ZIP, khi được mở, sẽ khiến nó tải xuống payload giai đoạn tiếp theo từ một máy chủ bị xâm nhập. Payload sau đó hiển thị tài liệu mồi nhử trong khi sử dụng DLL side-loading để triển khai PlugX. Hoạt động này, được phát hiện vào ngày 1 tháng 3 năm 2026, đã được quy cho Mustang Panda (còn gọi là Camaro Dragon). Một cuộc tấn công thứ hai đã được quan sát thấy sử dụng một kho lưu trữ được bảo vệ bằng mật khẩu để thực thi một Rust loader chưa được ghi nhận trước đây, chịu trách nhiệm triển khai Cobalt Strike bằng cách sử dụng DLL side-loading. Check Point cho biết: "Loader này khai thác DLL hijacking của nvdaHelperRemote.dll, một thành phần của trình đọc màn hình nguồn mở NVDA. Việc lạm dụng thành phần này trước đây chỉ được quan sát thấy trong một số chiến dịch liên quan đến Trung Quốc hạn chế, bao gồm hoạt động do Trung Quốc tài trợ liên quan đến một chiến dịch phân phối backdoor Voldemort, cũng như một làn sóng tấn công nhắm vào Philippines và Myanmar vào năm 2025." Mặc dù cuộc tấn công này được đánh giá là do Trung Quốc tài trợ, nhưng nó chưa được quy cho một tác nhân đe dọa cụ thể nào. Công ty cho biết: "Những kẻ tấn công đã tận dụng cuộc chiến đang diễn ra ở Trung Đông để làm cho các mồi nhử của chúng đáng tin cậy và hấp dẫn hơn, thể hiện khả năng thích ứng nhanh chóng với các diễn biến lớn và tin tức nóng hổi."
Thiếu niên bán DDoS kit bị bắt
Ba Lan bắt giữ băng nhóm thanh thiếu niên bán DDoS Kit
Cảnh sát Ba Lan đã chuyển bảy nghi phạm tội phạm mạng vị thành niên ra tòa án gia đình về một âm mưu bị cáo buộc bán các DDoS kit trực tuyến. Các nghi phạm, tuổi từ 12 đến 16 tại thời điểm bị cáo buộc phạm tội, phải đối mặt với các cáo buộc liên quan đến việc bán các công cụ DDoS như một phần của kế hoạch kiếm lợi nhuận được thiết kế để nhắm mục tiêu vào các trang web phổ biến, bao gồm các cổng đấu giá và bán hàng, các domain IT, dịch vụ hosting và các trang web đặt chỗ chỗ ở. Cục Cảnh sát Chống Tội phạm Mạng Trung ương Ba Lan (CBZC) cho biết: "Sử dụng các công cụ mà họ quản lý, các trang web phổ biến như cổng đấu giá và bán hàng, các domain IT, dịch vụ hosting và dịch vụ đặt chỗ chỗ ở đã bị tấn công."
Đăng nhập Windows chống Phishing
Microsoft Entra Passkeys trên Windows để đăng nhập chống Phishing
Microsoft đang triển khai hỗ trợ passkey cho Microsoft Entra trên các thiết bị Windows, bổ sung xác thực không mật khẩu chống phishing thông qua Windows Hello. Microsoft cho biết: "Chúng tôi đang giới thiệu Microsoft Entra passkeys trên Windows để cho phép đăng nhập chống phishing vào các tài nguyên được bảo vệ bởi Entra. Bản cập nhật này cho phép người dùng tạo passkey được gắn với thiết bị được lưu trữ trong Windows Hello container và xác thực bằng các phương pháp Windows Hello (khuôn mặt, vân tay hoặc PIN)." "Nó cũng mở rộng xác thực không mật khẩu cho các thiết bị Windows không được Entra-joined hoặc đăng ký, giúp các tổ chức tăng cường bảo mật và giảm sự phụ thuộc vào mật khẩu."
Sysmon được tích hợp vào Windows
Sysmon gốc có mặt trong Windows 11
Microsoft đã tích hợp chức năng System Monitor (Sysmon) trực tiếp vào Windows 11 và Windows Server 2025 như một tính năng tích hợp tùy chọn kể từ bản cập nhật tính năng tháng 3 của Windows 11 (KB5079473). Tính năng này bị tắt theo mặc định. Công ty đã thông báo về việc tích hợp vào tháng 11 năm 2025. Nick Carroll, quản lý phản ứng sự cố mạng tại Nightwing, cho biết: "Bạn không còn cần phải đóng gói nó một cách động; bạn có thể dễ dàng bật nó theo chương trình thông qua PowerShell." "Cùng với thông báo đồng thời của Microsoft rằng Windows Intune sẽ bật 'hotpatching' theo mặc định vào tháng 5 năm 2026, điều này làm giảm đáng kể rào cản gia nhập đối với khả năng hiển thị endpoint chuyên sâu và đại diện cho một chiến thắng hoạt động lớn cho các nhà bảo vệ mạng."
Chiến dịch Phishing ở Canada
Chiến dịch Phishing mới nhắm mục tiêu Canada
Flare cho biết một chiến dịch phishing đang hoạt động nhắm mục tiêu vào cư dân Canada (và có thể có mặt ở các quốc gia khác) sử dụng các domain gian lận mạo danh các tổ chức đáng tin cậy, bao gồm Chính phủ British Columbia và Hydro-Québec, với mục tiêu thu thập thông tin cá nhân và chi tiết thẻ tín dụng. Cơ sở hạ tầng hosting đằng sau chiến dịch này được liên kết với RouterHosting LLC (còn gọi là Cloudzy), một nhà cung cấp từng bị công khai cáo buộc vào năm 2023 là cung cấp dịch vụ cho ít nhất 17 nhóm tin tặc được nhà nước bảo trợ từ các quốc gia bao gồm Iran, Trung Quốc, Nga và Triều Tiên.
An toàn liên kết riêng tư trong các cuộc trò chuyện
Meta trình bày chi tiết về bảo vệ duyệt web nâng cao trong Messenger
Meta đã trình bày chi tiết cách hoạt động của Advanced Browsing Protection (ABP) trong Messenger, tính năng này bảo vệ quyền riêng tư của các liên kết được nhấp vào trong các cuộc trò chuyện đồng thời cảnh báo người dùng về các liên kết độc hại. Công ty cho biết: "Trong cài đặt tiêu chuẩn, Safe Browsing sử dụng các mô hình trên thiết bị để phân tích các liên kết độc hại được chia sẻ trong các cuộc trò chuyện." "Nhưng chúng tôi đã mở rộng điều này hơn nữa với một cài đặt nâng cao gọi là Advanced Browsing Protection (ABP) tận dụng danh sách theo dõi được cập nhật liên tục của hàng triệu trang web tiềm ẩn độc hại hơn." ABP tận dụng một phương pháp gọi là private information retrieval (PIR) để triển khai một sơ đồ "URL-matching" bảo vệ quyền riêng tư giữa truy vấn của client và máy chủ lưu trữ cơ sở dữ liệu, cùng với Oblivious HTTP, AMD SEV-SNP và Path ORAM để tăng cường đảm bảo quyền riêng tư.
Sát thủ EDR BlackSanta
Chiến dịch nhắm mục tiêu vào các nhóm HR bằng BlackSanta EDR
Một chiến dịch tấn công tinh vi nhắm mục tiêu vào các phòng HR và nhà tuyển dụng đã kết hợp kỹ thuật xã hội với các kỹ thuật né tránh nâng cao để thỏa hiệp hệ thống một cách lén lút bằng cách tránh các môi trường phân tích và tận dụng một module chuyên biệt được thiết kế để vô hiệu hóa phần mềm antivirus và endpoint detection. Cuộc tấn công bắt đầu bằng một tệp ISO chủ đề sơ yếu lý lịch được gửi có thể qua email spam hoặc phishing, sau đó thả các payload giai đoạn tiếp theo, bao gồm một DLL được khởi chạy qua DLL side-loading để thu thập thông tin hệ thống cơ bản, khởi tạo giao tiếp với một máy chủ từ xa, chạy kiểm tra sandbox, sử dụng lọc địa lý để tránh chạy ở các khu vực bị hạn chế và thả các payload bổ sung, chẳng hạn như BlackSanta EDR sử dụng các trình điều khiển kernel hợp pháp nhưng dễ bị tổn thương để làm suy yếu các biện pháp phòng thủ hệ thống, một chiến thuật được gọi là Bring Your Own Vulnerable Driver (BYOVD). Aryaka cho biết: "Thay vì hoạt động như một payload phụ trợ đơn giản, BlackSanta hoạt động như một module vô hiệu hóa phòng thủ chuyên dụng, tự động xác định và can thiệp vào các quy trình bảo vệ và giám sát trước khi triển khai các giai đoạn tiếp theo." "Bằng cách nhắm mục tiêu vào các công cụ bảo mật endpoint cùng với các tác nhân telemetry và logging, nó trực tiếp giảm việc tạo cảnh báo, hạn chế logging hành vi và làm suy yếu khả năng hiển thị điều tra trên các host bị xâm nhập." Hiện tại không rõ các payload tiếp theo là gì hoặc chiến dịch này rộng rãi đến mức nào. Các chiến dịch phishing không chỉ nhắm mục tiêu vào các nhóm HR, mà còn mạo danh họ trong các cuộc tấn công. Cofense cho biết: "Mạo danh HR mang lại nhiều lợi ích cho các tác nhân đe dọa. Các nhiệm vụ từ HR thường là bắt buộc, vì vậy email HR mang tính quyền lực." "Các nhiệm vụ HR hợp pháp cũng có thể có thời hạn nghiêm ngặt, mà một tác nhân đe dọa có thể sử dụng để tạo ra sự khẩn cấp. Cuối cùng, các nhiệm vụ HR thường xuyên được nhân viên mong đợi."
Kỹ thuật né tránh ZIP
Kỹ thuật Zombie ZIP để vượt qua các công cụ bảo mật
Một kỹ thuật mới có tên Zombie ZIP cho phép kẻ tấn công che giấu các payload trong các tệp nén được tạo đặc biệt có thể vượt qua các công cụ bảo mật. CERT Coordination Center (CERT/CC) cho biết: "Các ZIP header bị định dạng sai có thể gây ra cho phần mềm antivirus và endpoint detection and response (EDR) sản xuất các false negative." "Mặc dù có các header bị định dạng sai, một số phần mềm giải nén vẫn có thể giải nén kho lưu trữ ZIP, cho phép các payload tiềm ẩn độc hại chạy khi giải nén tệp." Lỗ hổng này, được theo dõi là CVE-2026-0866, đã được nhà nghiên cứu Christopher Aziz đặt tên là Zombie Zip, người đã phát hiện ra nó. Kỹ thuật này đã được nhà nghiên cứu bảo mật Chris Aziz của Bombadil Systems trình diễn.
AI Agent tấn công nền tảng
Nền tảng AI Lili của McKinsey bị tấn công
Các nhà nghiên cứu tại startup bảo mật tấn công tự động CodeWall cho biết AI agent của họ đã tấn công nền tảng AI nội bộ Lili của McKinsey và giành được quyền truy cập đọc và ghi đầy đủ vào nền tảng chatbot chỉ trong hai giờ. Điều này cho phép truy cập vào toàn bộ cơ sở dữ liệu sản xuất, bao gồm 46,5 triệu tin nhắn trò chuyện về chiến lược, sáp nhập và mua lại, và các hợp đồng với khách hàng, tất cả đều ở dạng plaintext, cùng với 728.000 tệp chứa dữ liệu khách hàng bảo mật, 57.800 tài khoản người dùng và 95 system prompts kiểm soát hành vi của AI. Sự phát triển này là một chỉ số cho thấy các công cụ AI agentic đang trở nên hiệu quả hơn trong việc thực hiện các cuộc tấn công mạng. Agent này cho biết họ đã tìm thấy hơn 200 endpoint bị lộ hoàn toàn, trong đó có 22 endpoint không được bảo vệ. Một trong những endpoint này, ghi các truy vấn tìm kiếm của người dùng vào cơ sở dữ liệu, bị lỗi SQL injection có thể khiến việc truy cập dữ liệu nhạy cảm và ghi lại các system prompts một cách âm thầm trở nên khả thi. McKinsey đã khắc phục sự cố. Không có bằng chứng nào cho thấy vấn đề này đã bị khai thác trong thực tế.
Malware kỹ thuật xã hội Teams
A0Backdoor mới liên quan đến chiến dịch mạo danh Teams
Tin tặc đã liên hệ với nhân viên tại các tổ chức tài chính và chăm sóc sức khỏe qua Microsoft Teams để lừa họ cấp quyền truy cập từ xa thông qua Quick Assist và triển khai một loại malware mới có tên A0Backdoor. Phương thức hoạt động này, phù hợp với chiến thuật của Storm-1811 (còn gọi là STAC5777 hoặc Blitz Brigantine), sử dụng kỹ thuật xã hội để giành được sự tin tưởng của nhân viên bằng cách đầu tiên gửi spam vào hộp thư đến của họ và sau đó liên hệ với họ qua Teams, giả vờ là nhân viên IT của công ty và đề nghị hỗ trợ giải quyết vấn đề. Để có được quyền truy cập vào máy mục tiêu, tác nhân đe dọa hướng dẫn người dùng bắt đầu một phiên Quick Assist từ xa, được sử dụng để triển khai một bộ công cụ độc hại bao gồm các gói MSI được ký điện tử, một số trong đó được lưu trữ trên bộ nhớ đám mây của Microsoft được liên kết với các tài khoản cá nhân. Các trình cài đặt đóng vai trò là cầu nối để khởi chạy một DLL, sau đó giải mã và chạy shellcode chịu trách nhiệm chạy các kiểm tra chống phân tích và thả A0Backdoor, vốn thiết lập liên lạc với một máy chủ từ xa bằng cách sử dụng DNS tunnelling để nhận lệnh. Hoạt động này đã diễn ra từ ít nhất tháng 8 năm 2025 đến cuối tháng 2 năm 2026.
Mạng lưới thông tin sai lệch công nghiệp hóa
Phân tích cơ sở hạ tầng Doppelgänger
Hoạt động gây ảnh hưởng của Nga được gọi là Doppelgänger đã được mô tả là được công nghiệp hóa và ưu tiên khả năng phục hồi cơ sở hạ tầng, khả năng mở rộng và tính liên tục trong hoạt động hơn là khả năng hiển thị ngắn hạn. DomainTools cho biết: "Thay vì hoạt động như một tập hợp lỏng lẻo các trang web giả mạo hoặc các kênh tuyên truyền nhất thời, mạng lưới này thể hiện những đặc điểm của một bộ máy gây ảnh hưởng được điều phối, quản lý chuyên nghiệp." "Cốt lõi của hệ sinh thái này dựa vào việc mạo danh thương hiệu truyền thông một cách có hệ thống được thực hiện trên quy mô lớn." Các chiến dịch được triển khai như một phần của hoạt động này thể hiện sự vi nhắm mục tiêu địa lý có chủ ý trên các quốc gia thành viên Liên minh Châu Âu và Hoa Kỳ.
Tranh chấp AI của Lầu Năm Góc
Anthropic kiện Lầu Năm Góc về việc chỉ định rủi ro chuỗi cung ứng
Anthropic đã đệ đơn kiện để ngăn Lầu Năm Góc đưa họ vào danh sách đen an ninh quốc gia, tuyên bố rằng việc chỉ định rủi ro chuỗi cung ứng là bất hợp pháp và vi phạm quyền tự do ngôn luận và quyền được xét xử công bằng của họ. Sự việc này diễn ra sau khi Lầu Năm Góc chính thức gắn mác công ty trí tuệ nhân tạo (AI) này là rủi ro chuỗi cung ứng sau khi họ từ chối loại bỏ các rào cản chống lại việc sử dụng công nghệ của mình cho vũ khí tự động hoặc giám sát trong nước. Trong tuyên bố của mình, Anthropic cho biết: "Chúng tôi đã có những cuộc trò chuyện hiệu quả với Bộ Chiến tranh trong vài ngày qua, cả về cách chúng tôi có thể phục vụ Bộ tuân thủ hai ngoại lệ hẹp của chúng tôi, và cách để chúng tôi đảm bảo một quá trình chuyển đổi suôn sẻ nếu điều đó không thể thực hiện được." Tuy nhiên, Lầu Năm Góc cho biết không có cuộc đàm phán nào đang diễn ra với Anthropic. Họ cũng nhắc lại rằng bộ "không và sẽ không thực hiện giám sát hàng loạt trong nước." Sự việc này theo sau thỏa thuận của OpenAI với Bộ Quốc phòng Hoa Kỳ, với CEO Sam Altman tuyên bố hợp đồng quốc phòng sẽ bao gồm các biện pháp bảo vệ chống lại các ranh giới đỏ tương tự mà Anthropic đã kiên quyết. Công ty này sau đó đã sửa đổi hợp đồng của mình để đảm bảo "hệ thống AI sẽ không được cố ý sử dụng để giám sát hàng loạt công dân và người quốc gia Hoa Kỳ trong nước." CEO của Anthropic, Dario Amodei, đã gọi thông điệp của OpenAI là "nhà hát an toàn" và "những lời nói dối trắng trợn."
Malware SEO GitHub
Các trang GitHub lừa đảo phân phối BoryptGrab Stealer
Một chiến dịch information stealer mới phân phối BoryptGrab đang tận dụng một mạng lưới hơn 100 kho lưu trữ GitHub công khai tuyên bố cung cấp các công cụ phần mềm miễn phí, sử dụng các từ khóa SEO để lừa nạn nhân. Chuỗi lây nhiễm đa giai đoạn bắt đầu khi một tệp ZIP được tải xuống từ một trang tải xuống GitHub giả mạo. BoryptGrab có thể thu thập dữ liệu trình duyệt, thông tin ví tiền điện tử và thông tin hệ thống. Nó cũng có khả năng chụp màn hình, thu thập các tệp phổ biến và trích xuất thông tin Telegram, Discord tokens và mật khẩu. Cũng được phân phối như một phần của cuộc tấn công là một backdoor có tên TunnesshClient thiết lập một reverse SSH tunnel để giao tiếp với kẻ tấn công và hoạt động như một SOCKS5 proxy. Tệp ZIP sớm nhất có từ cuối năm 2025. Một số lần lặp lại của chiến dịch đã được tìm thấy để phân phối Vidar Stealer hoặc một Golang downloader có tên HeaconLoad, sau đó tải xuống và chạy các payload bổ sung.
Chiến dịch RAT chống lại Ấn Độ
Transparent Tribe nhắm mục tiêu Chính phủ Ấn Độ bằng Malware RAT
Tác nhân đe dọa liên kết với Pakistan được gọi là Transparent Tribe đã được quy cho một loạt các cuộc tấn công mới nhắm mục tiêu vào các thực thể chính phủ Ấn Độ để lây nhiễm hệ thống bằng một RAT cho phép thực thi lệnh từ xa, giám sát và chấm dứt quy trình, thực thi chương trình từ xa, tải lên/tải xuống tệp, liệt kê tệp, chụp ảnh màn hình và khả năng giám sát màn hình trực tiếp. CYFIRMA cho biết: "Chiến dịch chủ yếu dựa vào các kỹ thuật kỹ thuật xã hội, phân phối một kho lưu trữ ZIP độc hại ngụy trang thành các tài liệu liên quan đến kỳ thi để thuyết phục người nhận tương tác với các tệp." "Khi giải nén, kho lưu trữ cung cấp các tệp shortcut lừa đảo cùng với một PowerPoint add-in có bật macro, vốn cùng nhau khởi tạo chuỗi lây nhiễm. Các tác nhân đe dọa sử dụng nhiều lớp obfuscation và các cơ chế thực thi dư thừa để tăng khả năng thỏa hiệp thành công đồng thời giảm khả năng người dùng nghi ngờ."
Malware Phishing đã ký
Malware đã ký triển khai RMM Backdoor
Microsoft đang cảnh báo về nhiều chiến dịch phishing sử dụng các mồi nhử cuộc họp tại nơi làm việc, tệp đính kèm PDF và lạm dụng các tệp nhị phân hợp pháp để phân phối malware đã ký. Hoạt động này, được quan sát vào tháng 2 năm 2026, chưa được quy cho một tác nhân đe dọa hoặc nhóm cụ thể nào. Công ty cho biết: "Email phishing hướng dẫn người dùng tải xuống các tệp thực thi độc hại giả dạng phần mềm hợp pháp." "Các tệp được ký điện tử bằng chứng chỉ Extended Validation (EV) được cấp cho TrustConnect Software PTY LTD. Khi được thực thi, các ứng dụng đã cài đặt các công cụ remote monitoring and management (RMM) cho phép kẻ tấn công thiết lập quyền truy cập liên tục trên các hệ thống bị xâm nhập." Một số công cụ RMM được triển khai bao gồm ScreenConnect, Tactical RMM và MeshAgent. Việc sử dụng thương hiệu TrustConnect đã được tiết lộ bởi Proofpoint vào tuần trước. Hơn nữa, việc triển khai nhiều framework RMM trong một cuộc xâm nhập duy nhất cho thấy một chiến lược có chủ ý để đảm bảo quyền truy cập liên tục và đảm bảo khả năng phục hồi hoạt động ngay cả khi một cơ chế truy cập bị phát hiện hoặc bị loại bỏ. Microsoft nói thêm: "Các chiến dịch này cho thấy cách các thương hiệu quen thuộc và chữ ký số đáng tin cờ có thể bị lạm dụng để vượt qua sự nghi ngờ của người dùng và giành được chỗ đứng ban đầu trong môi trường doanh nghiệp."
TikTok được phép hoạt động tại Canada
Canada nói TikTok có thể tiếp tục hoạt động trong nước
Sau một cuộc đánh giá an ninh quốc gia về TikTok, Bộ trưởng Công nghiệp Canada, Mélanie Joly, cho biết công ty này có thể giữ hoạt động kinh doanh của mình. Chính phủ cho biết: "TikTok sẽ triển khai các biện pháp bảo vệ tăng cường cho thông tin cá nhân của người dân Canada, bao gồm các cổng bảo mật mới và các công nghệ tăng cường quyền riêng tư để kiểm soát quyền truy cập vào dữ liệu người dùng Canada nhằm giảm nguy cơ truy cập trái phép hoặc bị cấm." "TikTok sẽ triển khai các biện pháp bảo vệ tăng cường cho trẻ vị thành niên." Sự phát triển này đánh dấu một sự thay đổi hoàn toàn 180 độ so với quyết định năm 2024, khi nó được lệnh đóng cửa hoạt động, với lý do "rủi ro an ninh quốc gia" không xác định. Tuy nhiên, lệnh đó đã bị tạm dừng vào đầu năm 2025.
Các lỗ hổng tăng 12%
Tiết lộ lỗ hổng tăng 12% trong năm 2025
Flashpoint cho biết họ đã liệt kê 44.509 tiết lộ lỗ hổng vào năm 2025, tăng 12% so với cùng kỳ năm trước (YoY). Trong số đó, 466 lỗ hổng đã được xác nhận là bị khai thác trong thực tế. Gần 33%, hoặc 14.593 lỗ hổng, có mã exploit công khai. Các cuộc tấn công ransomware cũng tăng 53% YoY vào năm 2025, với tổng số 8.835 cuộc tấn công được ghi nhận. Các nhóm RaaS hàng đầu theo khối lượng tấn công vào năm 2025 là Qilin với 1.213 cuộc tấn công, Akira với 1.044, Cl0p với 529, Safepay với 452 và Play với 395. Sản xuất là ngành bị nhắm mục tiêu nhiều nhất với 1.564 cuộc tấn công, tiếp theo là công nghệ với 987 và chăm sóc sức khỏe với 905. Hoa Kỳ chiếm khoảng 53% các tổ chức nạn nhân được nêu tên.
Botnet khai thác 174 lỗ hổng
Botnet RondoDox mở rộng hỗ trợ 174 lỗ hổng
Botnet DDoS RondoDox đã được tìm thấy triển khai 174 exploit khác nhau từ ngày 25 tháng 5 năm 2025 đến ngày 16 tháng 2 năm 2026, đạt đỉnh 15.000 nỗ lực khai thác trong một ngày từ tháng 12 năm 2025 đến tháng 1 năm 2026. Người ta tin rằng các tác nhân đe dọa đang sử dụng các địa chỉ IP dân cư bị xâm nhập làm cơ sở hạ tầng hosting. Bitsight cho biết: "Các nhà điều hành RondoDox đã sử dụng phương pháp 'bắn súng shotgun', trong đó họ gửi nhiều exploit đến cùng một endpoint, hy vọng một trong số chúng sẽ hoạt động." Trong số 174 lỗ hổng khác nhau, 15 lỗ hổng có proof-of-concept (PoC) công khai nhưng không có CVE, và 11 lỗ hổng không có mã PoC nào cả. RondoDox đáng chú ý vì khả năng thêm nhanh các lỗ hổng mới được tiết lộ, trong một số trường hợp thậm chí còn tích hợp PoC trước khi CVE được công bố (ví dụ: CVE-2025-62593).
Tấn công Keylogger chỉ trong bộ nhớ
Phát hiện chiến dịch VIP Keylogger
Các email phishing mang mồi nhử đơn đặt hàng đang được sử dụng để phân phối một tệp thực thi trong các kho lưu trữ RAR. Sau khi khởi chạy, tệp nhị phân sẽ trích xuất và chạy VIP Keylogger trong bộ nhớ mà không chạm vào đĩa. K7 Labs cho biết: "Keylogger này thu thập cookie trình duyệt, thông tin đăng nhập, chi tiết thẻ tín dụng, tự động điền, URL đã truy cập, tải xuống hoặc các trang web hàng đầu từ các tệp thích hợp trong mỗi thư mục được chỉ định của ứng dụng." Nó cũng có khả năng nhắm mục tiêu vào nhiều loại trình duyệt web, đánh cắp tài khoản email từ Outlook, Foxmail, Thunderbird và Postbox, và thu thập Discord tokens.
Phishing được Cloudflare bảo vệ
Chiến dịch thu thập thông tin đăng nhập Microsoft 365 lạm dụng Cloudflare
Một chiến dịch thu thập thông tin đăng nhập Microsoft 365 mới đã được quan sát thấy lạm dụng các dịch vụ của Cloudflare để trì hoãn việc phát hiện và lập hồ sơ rủi ro. Việc kiểm soát truy cập này được thiết kế để đảm bảo khách truy cập là mục tiêu thực sự chứ không phải là trình quét bảo mật hoặc bot. DomainTools cho biết: "Chiến dịch đã triển khai nhiều kỹ thuật chống phát hiện, bao gồm sử dụng xác minh con người của CloudFlare, các danh sách chặn IP được mã hóa cứng, kiểm tra user agent và nhiều trang web và chuyển hướng."
Một số điều trong danh sách tuần này có vẻ quá thực tế. Không phải những cuộc tấn công lớn, phô trương — chỉ là những thủ thuật đơn giản được sử dụng đúng lúc đúng chỗ. Loại điều khiến các nhà bảo vệ phải thở dài vì… ừm, điều đó có lẽ sẽ hiệu quả.
Ngoài ra còn có một chút chủ đề quen thuộc: các công cụ và tính năng thực hiện chính xác những gì chúng được thiết kế để làm… chỉ là không phải cho những người đã tạo ra chúng. Thêm một số tư duy sáng tạo, và đột nhiên các quy trình làm việc bình thường bắt đầu trông giống như các đường dẫn tấn công.
Dù sao — những bài đọc nhanh, những ý tưởng kỳ lạ và một vài lời nhắc nhở rằng các vấn đề bảo mật hiếm khi biến mất… chúng chỉ thay đổi hình dạng. Hãy tiếp tục cuộn xuống.
