Một số tuần trong lĩnh vực an ninh mạng trôi qua có vẻ bình thường. Tuần này thì không.
Nhiều diễn biến mới đã xuất hiện trong vài ngày qua, cho thấy bức tranh mối đe dọa đang thay đổi nhanh chóng như thế nào. Các nhà nghiên cứu đã phát hiện hoạt động mới, các nhóm an ninh chia sẻ những phát hiện mới, và một số động thái bất ngờ từ các công ty công nghệ lớn cũng thu hút sự chú ý.
Tổng hợp lại, những cập nhật này mang đến một cái nhìn hữu ích về những gì đang diễn ra đằng sau hậu trường trong thế giới mạng. Từ các chiến thuật và chiến dịch mới cho đến những thay đổi về an ninh và chính sách có thể ảnh hưởng đến hàng triệu người dùng, rất nhiều sự kiện đang diễn ra cùng lúc.
Dưới đây là tổng hợp nhanh những câu chuyện đáng chú ý nhất trong tuần này.
-
Chiến dịch Phishing triển khai nhiều chủng mã độc
Ukraine bị tấn công bởi mã độc SHADOWSNIFF, SALATSTEALER, DEAFTICKK
Đội Ứng cứu Khẩn cấp Máy tính Ukraine (CERT-UA) đã cảnh báo về một chiến dịch tấn công mạng nhắm vào các tổ chức chính phủ Ukraine sử dụng email phishing chứa tệp ZIP (hoặc liên kết đến một trang web dễ bị tấn công cross-site scripting) để phát tán mã độc đánh cắp thông tin SHADOWSNIFF và SALATSTEALER cùng một backdoor Go có tên DEAFTICKK. Cơ quan này quy trách nhiệm hoạt động cho tác nhân đe dọa được theo dõi là UAC-0252. Diễn biến này diễn ra trong bối cảnh một chiến dịch gián điệp của Nga bị nghi ngờ đang nhắm mục tiêu vào Ukraine với hai chủng mã độc chưa từng được ghi nhận trước đây là BadPaw và MeowMeow, theo ClearSky. Mặc dù chiến dịch này có khả năng là tác phẩm của APT28, công ty an ninh mạng không xác định mục tiêu của chiến dịch hoặc cho biết các cuộc tấn công có thành công hay không.
-
Dịch vụ RMM giả mạo phát tán RAT qua Phishing
Tác nhân đe dọa mạo danh nhà cung cấp RMM để phân phối RAT
Một mã độc dưới dạng dịch vụ (MaaS) mới có tên TrustConnect ("trustconnectsoftware[.]com") đã mạo danh là một công cụ giám sát và quản lý từ xa (RMM) hợp pháp với giá 300 USD mỗi tháng. Đánh giá cho thấy tác nhân đe dọa đứng sau TrustConnect cũng là một người dùng nổi bật của RedLine Stealer. Theo công ty bảo mật email Proofpoint, nhiều tác nhân đe dọa đã được quan sát phát tán mã độc này qua email phishing kể từ ngày 27 tháng 1 năm 2026. Các email này tự nhận là lời mời sự kiện hoặc đề xuất đấu thầu, lừa người nhận nhấp vào các liên kết dẫn đến việc tải xuống các tệp thực thi giả mạo cài đặt TrustConnect RAT. RAT này tạo backdoor vào máy tính của người dùng và cấp cho kẻ tấn công toàn quyền kiểm soát chuột và bàn phím, cho phép chúng ghi lại và truyền phát màn hình nạn nhân. Một số chiến dịch cũng được quan sát thấy đã phân phối phần mềm truy cập từ xa hợp pháp như ScreenConnect và LogMeIn Resolve cùng với TrustConnect giữa ngày 31 tháng 1 và ngày 3 tháng 2 năm 2026. Khách hàng mua bộ công cụ này được cấp quyền truy cập vào một bảng điều khiển để điều khiển từ xa các thiết bị bị nhiễm và tạo các trình cài đặt có thương hiệu chứa mã độc. Sau khi Proofpoint thực hiện các bước để làm gián đoạn một số cơ sở hạ tầng của mã độc vào ngày 17 tháng 2 năm 2026, tác nhân đe dọa đã tái xuất hiện với một phiên bản nền tảng mã độc được đổi thương hiệu là DocConnect. Proofpoint cho biết: "Những gián đoạn đối với các hoạt động MaaS như RedLine, Lumma Stealer và Rhadamanthys đã tạo ra cơ hội mới cho những kẻ tạo mã độc lấp đầy khoảng trống trên thị trường tội phạm mạng." "Mặc dù TrustConnect chỉ mạo danh là một RMM hợp pháp, các mồi nhử, chuỗi tấn công và các payload tiếp theo (bao gồm RMM) cho thấy sự trùng lặp với các kỹ thuật và phương thức phân phối thường thấy trong các chiến dịch RMM và được sử dụng bởi nhiều tác nhân đe dọa." Diễn biến này diễn ra trong bối cảnh tình trạng lạm dụng phần mềm RMM hợp pháp trong các cuộc tấn công mạng đang gia tăng chóng mặt.
-
Chrome chuyển sang chu kỳ phát hành hai tuần
Google sửa đổi chu kỳ phát hành Chrome
Google đã thông báo rằng các phiên bản Chrome mới sẽ được phát hành hai tuần một lần, thay vì chu kỳ bốn tuần hiện tại. Kể từ năm 2021, Google đã phát hành các phiên bản Chrome chính thức bốn tuần một lần, và kể từ năm 2023, họ đã cung cấp các bản cập nhật bảo mật hàng tuần để giảm khoảng cách vá lỗi và cải thiện chất lượng. Google cho biết: "Nền tảng web không ngừng phát triển, và mục tiêu của chúng tôi là đảm bảo các nhà phát triển và người dùng có quyền truy cập ngay lập tức vào những cải tiến hiệu suất, bản sửa lỗi và khả năng mới nhất." Chu kỳ phát hành mới cũng sẽ áp dụng cho các bản beta, bắt đầu với Chrome 153, sẽ ra mắt vào ngày 8 tháng 9 năm 2026.
-
Tín hiệu TPMS cho phép theo dõi phương tiện bí mật
Cảm biến áp suất lốp xe cho phép theo dõi im lặng
Các nhà nghiên cứu tại Viện Mạng IMDEA đã phát hiện ra rằng các cảm biến TPMS (Tire Pressure Monitoring System) bên trong mỗi bánh xe ô tô phát tín hiệu không dây không mã hóa chứa các mã định danh cố định. Mặc dù tính năng này được thiết kế để đảm bảo an toàn cho xe, mỗi cảm biến truyền một ID duy nhất không thay đổi, cho phép cùng một chiếc xe được nhận dạng lại và theo dõi theo thời gian. Điều này, đến lượt nó, mở ra cánh cửa cho một mạng lưới giám sát chi phí thấp sử dụng bộ thu sóng radio được định nghĩa bằng phần mềm gần đường (ở khoảng cách lên đến 40m so với xe) và khu vực đỗ xe để thu thập các tin nhắn TPMS từ hàng nghìn phương tiện và xây dựng hồ sơ về chuyển động của chúng theo thời gian. Các nhà nghiên cứu cảnh báo: "Những người dùng độc hại có thể triển khai các bộ thu thụ động trên quy mô lớn và theo dõi công dân mà không cần họ biết. Ưu điểm của một hệ thống như vậy, so với các hệ thống dựa trên camera truyền thống hơn, là không cần tầm nhìn trực tiếp với các cảm biến TPMS, và các bộ thu phổ tần có thể được đặt ở các vị trí bí mật hoặc ẩn, khiến nạn nhân khó phát hiện hơn." "Kết quả của chúng tôi cho thấy các đường truyền TPMS có thể được sử dụng để suy ra một cách có hệ thống các thông tin nhạy cảm tiềm ẩn như sự hiện diện, loại, trọng lượng hoặc kiểu lái xe của người lái." Tiết lộ này bổ sung vào một lượng lớn nghiên cứu ngày càng tăng chứng minh cách các thành phần khác nhau được lắp đặt trong các phương tiện hiện đại có thể trở thành kênh dẫn không mong muốn cho việc giám sát và các exploit.
-
Telegram nổi lên như trung tâm điều hành tội phạm mạng
Telegram là một lớp hoạt động cho tội phạm mạng
Một phân tích mới từ CYFIRMA đã chỉ ra cách cấu trúc của Telegram mang đến cho các tác nhân đe dọa một cách để mở rộng phạm vi tiếp cận toàn cầu mà không cần công cụ chuyên biệt, cho phép quy trình tham gia dễ dàng của người mua và chi nhánh, hỗ trợ các tùy chọn thanh toán và tạo điều kiện tăng trưởng khán giả. Sự xuất hiện của nền tảng này đã thay đổi cơ bản cách các hoạt động mạng được phối hợp, kiếm tiền và công khai. Công ty cho biết: "Đối với các tác nhân có động cơ tài chính, Telegram hoạt động như một cửa hàng có khả năng mở rộng và trung tâm hỗ trợ khách hàng. Đối với các hacker hoạt động vì mục đích chính trị, nó đóng vai trò là công cụ khuếch đại sự huy động và tuyên truyền. Đối với các hoạt động được liên kết với nhà nước, nó cung cấp một kênh phân phối nhanh chóng cho các câu chuyện và rò rỉ. Trong nhiều trường hợp, Telegram bổ sung và ngày càng thay thế các hệ sinh thái dựa trên Tor truyền thống bằng cách loại bỏ ma sát kỹ thuật trong khi vẫn duy trì sự linh hoạt trong hoạt động."
-
Lộ diện hạ tầng của AuraStealer
Phân tích mã độc AuraStealer mới nổi
Một phân tích mới về AuraStealer từ Intrinsec đã phát hiện 48 tên miền máy chủ chỉ huy và kiểm soát (C2) liên quan đến hoạt động của stealer này. Tác nhân đe dọa đứng sau mã độc này được phát hiện sử dụng các tên miền cấp cao .shop và .cfd, ngoài việc định tuyến tất cả lưu lượng truy cập qua Cloudflare làm reverse proxy để che giấu máy chủ thật. AuraStealer lần đầu tiên xuất hiện trên các diễn đàn hacker ngầm vào tháng 7 năm 2025, ngay sau sự gián đoạn của Lumma Stealer như một phần của hoạt động thực thi pháp luật. Nó được quảng cáo bởi một người dùng tên AuraCorp trên diễn đàn XSS. Nó có hai gói đăng ký: 295 USD/tháng cho gói Cơ bản và 585 USD/tháng cho gói Nâng cao. Một trong những cơ chế chính để phân phối stealer này là ClickFix.
-
Malvertising phát tán biến thể Atomic Stealer mới
Chiến dịch Malvertising phát tán Atomic Stealer
Một chiến dịch malvertising đang sử dụng quảng cáo giả mạo trên các trang kết quả tìm kiếm của Google để chuyển hướng người dùng đang tìm cách giải phóng dung lượng lưu trữ macOS đến các trang web lừa đảo được lưu trữ trên Medium, Evernote và Kimi AI nhằm cung cấp các hướng dẫn kiểu ClickFix để thả một biến thể mới của Atomic Stealer có tên malext nhằm đánh cắp nhiều loại dữ liệu từ các hệ thống macOS bị xâm nhập. Nhà nghiên cứu bảo mật Gi7w0rm cho biết chiến dịch này sử dụng hơn 50 tài khoản Google Ads bị xâm nhập để đẩy "hơn 485 trang đích độc hại, cuối cùng dẫn đến một cuộc tấn công ClickFix đã triển khai một phiên bản tiềm năng mới của AMOS Stealer lên các hệ thống bị nhiễm."
-
Bot tấn công các trang DRAM để vét sạch hàng tồn kho DDR5
Hoạt động quy mô lớn gửi hàng triệu yêu cầu Web Scraping nhắm vào các trang sản phẩm DRAM
Một hoạt động thu thập dữ liệu quy mô lớn đã gửi hơn 10 triệu yêu cầu web scraping để tấn công các trang sản phẩm DRAM trên các trang thương mại điện tử nhằm tìm kiếm người bán có sẵn hàng tồn kho DRAM mong muốn. DataDome cho biết các bot này đã được phát hiện kiểm tra hàng tồn kho của các bộ RAM cụ thể cứ sau 6,5 giây bằng cách sử dụng kỹ thuật cache busting để đảm bảo chúng nhận được thông tin cập nhật nhất. Công ty cho biết: "Các bot này tấn công mạnh mẽ toàn bộ chuỗi cung ứng, từ RAM tiêu dùng đến các nhà cung cấp bộ nhớ công nghiệp B2B và các thành phần phần cứng thô như DIMM sockets. Các scraper cố gắng tránh bị phát hiện bằng cách thêm các tham số cache-busting vào mọi yêu cầu và điều chỉnh tốc độ của chúng để duy trì ngay dưới ngưỡng báo động lưu lượng. Bằng cách nhanh chóng vét sạch hàng tồn kho bộ nhớ DDR5 hạn chế để bán lại kiếm lời, các bot này tiếp tục làm cạn kiệt nguồn cung cho người tiêu dùng, thực sự loại bỏ những khách hàng hợp pháp và đẩy giá thị trường lên cao hơn nữa."
-
Reddit bị phạt vì xử lý dữ liệu trẻ em
ICO Vương quốc Anh phạt Reddit 14,47 triệu bảng Anh vì vi phạm quyền riêng tư của trẻ em
Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) đã phạt Reddit 14,47 triệu bảng Anh vì xử lý thông tin cá nhân của trẻ em dưới 13 tuổi một cách trái pháp luật và vì không kiểm tra độ tuổi người dùng một cách đúng đắn, do đó đặt chúng vào nguy cơ tiếp xúc với nội dung không phù hợp và có hại trên mạng. Vào tháng 7 năm 2025, Reddit đã giới thiệu các biện pháp xác minh độ tuổi bao gồm xác minh độ tuổi để truy cập nội dung người lớn và yêu cầu người dùng khai báo tuổi khi mở tài khoản. Reddit cho biết họ sẽ kháng cáo quyết định này, tuyên bố rằng họ không yêu cầu người dùng chia sẻ thông tin về danh tính của họ, bất kể tuổi tác, để đảm bảo quyền riêng tư và an toàn trực tuyến của người dùng.
-
Samsung hạn chế thu thập dữ liệu TV tại Texas
TV Samsung sẽ ngừng thu thập dữ liệu của người dân Texas nếu không có sự đồng ý của họ
Tổng chưởng lý Texas Ken Paxton đã thông báo rằng Samsung sẽ không còn thu thập dữ liệu Nhận dạng nội dung tự động (ACR) nếu không có sự đồng ý rõ ràng của người tiêu dùng. Diễn biến này diễn ra sau một vụ kiện chống lại gã khổng lồ điện tử Hàn Quốc về các hoạt động thu thập dữ liệu của hãng và các cáo buộc rằng thông tin ACR thu thập được có thể được sử dụng để phục vụ quảng cáo nhắm mục tiêu. Văn phòng Tổng chưởng lý cho biết thêm: "Ngoài ra, nó buộc Samsung phải nhanh chóng cập nhật Smart TV của mình và thực hiện các màn hình hiển thị thông báo và yêu cầu sự đồng ý rõ ràng và dễ thấy để đảm bảo người dân Texas có thể đưa ra quyết định sáng suốt về việc dữ liệu của họ có được thu thập và sử dụng như thế nào." Samsung đã phủ nhận việc họ theo dõi người dùng.
-
NATO chấp thuận iPhone và iPad tiêu dùng
Apple iPhone và iPad được chấp thuận xử lý thông tin mật của NATO
Apple iPhone và iPad đã được chấp thuận để xử lý thông tin mật trong mạng lưới NATO. Đây là những thiết bị dành cho người tiêu dùng đầu tiên được NATO chấp thuận sử dụng mà không cần phần mềm hoặc cài đặt đặc biệt bổ sung. iPhone và iPad trước đây đã nhận được sự chấp thuận xử lý dữ liệu chính phủ Đức được phân loại trên các thiết bị sử dụng các biện pháp bảo mật gốc của iOS và iPadOS sau một đánh giá bảo mật được thực hiện bởi Cục An ninh Thông tin Liên bang Đức.
-
TikTok từ chối mã hóa đầu cuối cho tin nhắn trực tiếp
TikTok không có kế hoạch mã hóa tin nhắn
TikTok của ByteDance cho biết họ không có kế hoạch thêm mã hóa đầu cuối (E2EE) vào tin nhắn trực tiếp vì điều này sẽ ngăn chặn các đội ngũ thực thi pháp luật và an toàn đọc tin nhắn khi cần thiết. Trong một tuyên bố chia sẻ với BBC, công ty cho biết họ muốn bảo vệ người dùng, đặc biệt là giới trẻ, khỏi bị tổn hại.
-
Tấn công Phishing đa giai đoạn phát tán Agent Tesla
Chiến dịch Phishing phân phối Agent Tesla
Một chiến dịch phishing mới sử dụng mồi nhử đơn đặt hàng đã tận dụng một chuỗi tấn công đa giai đoạn để phân phối Agent Tesla, cho phép các tác nhân đe dọa thu thập dữ liệu nhạy cảm, đồng thời thực hiện các bước để né tránh phát hiện bằng các kỹ thuật như che giấu mã và thực thi trong bộ nhớ. Fortinet FortiGuard Labs cho biết: "Từ trình tải JSE bị che giấu ban đầu đến việc tải phản ánh các assembly .NET và làm rỗng tiến trình của các tiện ích Windows hợp pháp, Agent Tesla được thiết kế để ẩn mình. Các kiểm tra chống phân tích mở rộng của nó còn đảm bảo rằng nó chỉ tiết lộ bản chất thật của mình khi chắc chắn không bị theo dõi."
-
Kẻ tấn công lợi dụng tên miền .arpa chỉ dành cho cơ sở hạ tầng
Các cuộc tấn công Phishing khai thác TLD .arpa
Trong khi các tổ chức đang thực hiện các bước để thắt chặt các bộ lọc email và web truyền thống của họ, một nghiên cứu mới từ Infoblox đã phát hiện một chiến dịch mới lạ trong đó các tác nhân đang lợi dụng tên miền cấp cao .arpa, một không gian chỉ dành riêng cho cơ sở hạ tầng mạng, để lưu trữ nội dung độc hại và vượt qua các danh sách chặn tiêu chuẩn. Diễn biến này cho thấy tội phạm mạng đang tìm thấy những "điểm ẩn nấp bất khả thi" trong cơ sở hạ tầng cốt lõi của internet để vượt qua bảo mật, công ty tình báo mối đe dọa DNS cho biết. Ở những nơi khác, các tác nhân đe dọa cũng đang lợi dụng các tệp phím tắt LNK và WebDAV để tải xuống các tệp độc hại trên hệ thống của mục tiêu. Cofense cho biết: "Bởi vì khả năng truy cập từ xa các thứ trên internet thông qua File Explorer là một chức năng tương đối ít người biết đến, WebDAV là một cách có thể bị khai thác để khiến mọi người tải xuống tệp mà không cần thông qua trình duyệt web truyền thống."
-
Chuỗi email giả mạo nhắm mục tiêu người dùng LastPass
LastPass cảnh báo về chiến dịch Phishing mới
Một chiến dịch phishing mới bắt đầu vào ngày 1 tháng 3 năm 2026, đang sử dụng các mồi nhử liên quan đến việc truy cập trái phép vào tài khoản cá nhân để lừa người nhận truy cập các trang đăng nhập LastPass giả mạo nhằm chiếm quyền kiểm soát tài khoản của họ. Cuộc tấn công tận dụng thực tế là nhiều ứng dụng email, đặc biệt là trên di động, chỉ hiển thị tên hiển thị, ẩn địa chỉ người gửi thật trừ khi người dùng mở rộng nó. LastPass cho biết: "Kẻ tấn công đang chuyển tiếp các chuỗi email giả mạo để làm cho nó có vẻ như một cá nhân khác đang cố gắng thực hiện hành động trái phép trên tài khoản LastPass của họ (ví dụ: xuất vault, khôi phục tài khoản đầy đủ, thiết bị đáng tin cậy mới được đăng ký, v.v.)." "Kẻ tấn công sử dụng giả mạo tên hiển thị để phần tên trong trường người gửi bị thao túng để mạo danh LastPass, trong khi địa chỉ email gửi thực tế không liên quan."
-
Các chuyên gia cảnh báo không nên tin tưởng mù quáng vào các tác nhân mã hóa AI
Tại sao việc hoàn toàn dựa vào một tác nhân mã hóa AI không phải là ý hay
Với sự xuất hiện của các công cụ như Claude Code Security, OX Security đang kêu gọi người dùng chống lại sự cám dỗ ủy thác phán đoán, kiến trúc và xác thực cho một mô hình trí tuệ nhân tạo (AI) duy nhất. Công ty cho biết: "AI không phát minh ra các mẫu mã mới về cơ bản. Nó tái tạo những mẫu phổ biến nhất mà nó từng thấy trước đây. Điều đó có nghĩa là nó không chỉ mở rộng năng suất mà còn mở rộng cả những điểm yếu hiện có trong thực tiễn kỹ thuật phần mềm." Công ty an ninh mạng này cũng cảnh báo rằng các hệ thống AI có thể dễ bị dương tính giả và có thể không đáng tin cậy trong việc thông báo cho người dùng nếu một vấn đề được gắn cờ trong một kho lưu trữ duy nhất thực sự có thể bị khai thác trong một môi trường phức tạp và độc đáo. Một quy trình dựa vào cùng một hệ thống AI để cả viết và xem xét mã là không lý tưởng, công ty nói thêm.
-
LLM cho phép tự động hóa quá trình gỡ bỏ ẩn danh trên Internet
LLM giỏi trong việc gỡ bỏ ẩn danh người dùng bí danh ở quy mô lớn
Một nhóm các học giả từ Anthropic, ETH Zurich và MATS Research đã phát triển các mô hình ngôn ngữ lớn (LLM) có thể gỡ bỏ ẩn danh người dùng internet dựa trên các bình luận hoặc các manh mối kỹ thuật số khác mà họ để lại. Các nhà nghiên cứu cho biết: "Với hai cơ sở dữ liệu về các cá nhân sử dụng bí danh, mỗi cơ sở chứa văn bản phi cấu trúc được viết bởi hoặc về cá nhân đó, chúng tôi triển khai một quy trình tấn công có khả năng mở rộng sử dụng LLM để: (1) trích xuất các tính năng liên quan đến danh tính, (2) tìm kiếm các ứng cử viên phù hợp thông qua nhúng ngữ nghĩa, và (3) lý giải các ứng cử viên hàng đầu để xác minh sự phù hợp và giảm dương tính giả." Phương pháp này hoạt động ngay cả khi mục tiêu sử dụng các bí danh khác nhau trên nhiều nền tảng. Các nhà nghiên cứu cho biết việc sử dụng LLM của họ vượt trội hơn các phương pháp nghiên cứu cổ điển, nơi các dấu vết số được kiểm tra thủ công bởi một nhà điều hành con người. Điều này, đến lượt nó, cho phép các cuộc tấn công gỡ bỏ ẩn danh hoàn toàn tự động có thể hoạt động trên dữ liệu phi cấu trúc ở quy mô lớn, đồng thời giảm chi phí và công sức cần thiết cho việc thu thập thông tin tình báo. Các nhà nghiên cứu cho biết: "Kết quả của chúng tôi cho thấy sự che giấu thực tế bảo vệ người dùng bí danh trực tuyến không còn hiệu lực và các mô hình mối đe dọa về quyền riêng tư trực tuyến cần được xem xét lại. Người dùng trực tuyến trung bình từ lâu đã hoạt động dưới một mô hình mối đe dọa ngầm định rằng bí danh cung cấp sự bảo vệ đầy đủ vì việc gỡ bỏ ẩn danh có mục tiêu sẽ đòi hỏi nỗ lực lớn. LLM làm mất hiệu lực giả định này."
Đó là tổng hợp nhanh những gì đã diễn ra trong bối cảnh an ninh mạng tuần này.
Mỗi cập nhật riêng lẻ có vẻ nhỏ, nhưng cùng nhau chúng cho thấy mọi thứ tiếp tục thay đổi nhanh chóng như thế nào. Các kỹ thuật mới xuất hiện, các chiến thuật cũ phát triển và các quyết định bảo mật từ các công ty lớn có thể làm thay đổi toàn bộ hệ sinh thái rộng lớn hơn.
Đối với các đội ngũ bảo mật, các nhà nghiên cứu và bất kỳ ai theo dõi bức tranh mối đe dọa, việc theo dõi những tín hiệu này giúp hiểu rõ hơn về bức tranh tổng thể.
Hãy theo dõi ấn bản tiếp theo của Bản tin ThreatsDay để biết thêm những diễn biến mới từ thế giới mạng.
