Internet không bao giờ yên ắng. Mỗi tuần, những vụ tấn công, lừa đảo và các vấn đề bảo mật mới lại xuất hiện ở đâu đó.
Những câu chuyện tuần này cho thấy tốc độ thay đổi thủ đoạn của kẻ tấn công, cách những sai lầm nhỏ biến thành rủi ro lớn và cách những công cụ cũ vẫn tìm ra những phương thức xâm nhập mới.
Hãy đọc tiếp để cập nhật thông tin trước khi làn sóng tấn công tiếp theo ập đến.
Rủi ro RCE không xác thực
Lỗ hổng bảo mật trong Redis
Một lỗ hổng bảo mật nghiêm trọng đã được công bố trong Redis (CVE-2025-62507, điểm CVSS: 8.8) có thể dẫn đến thực thi mã từ xa (RCE) thông qua lỗi tràn bộ đệm ngăn xếp. Nó đã được vá trong phiên bản 8.3.2. Phân tích của JFrog về lỗ hổng này đã tiết lộ rằng lỗ hổng được kích hoạt khi sử dụng lệnh Redis 8.2 XACKDEL mới, được giới thiệu để đơn giản hóa và tối ưu hóa việc dọn dẹp luồng. Cụ thể, nó nằm trong việc triển khai xackdelCommand(), một hàm chịu trách nhiệm phân tích cú pháp và xử lý danh sách các ID luồng do người dùng cung cấp. Công ty cho biết: "Vấn đề cốt lõi là mã không xác minh rằng số lượng ID do máy khách cung cấp nằm trong giới hạn của mảng được cấp phát trên ngăn xếp này. Kết quả là, khi có nhiều ID được cung cấp hơn khả năng chứa của mảng, hàm sẽ tiếp tục ghi vượt quá cuối bộ đệm. Điều này dẫn đến lỗi tràn bộ đệm dựa trên ngăn xếp cổ điển." Lỗ hổng có thể được kích hoạt từ xa trong cấu hình Redis mặc định chỉ bằng cách gửi một lệnh XACKDEL duy nhất chứa một số lượng ID tin nhắn đủ lớn. JFrog nói thêm: "Điều quan trọng cần lưu ý là theo mặc định, Redis không thực thi bất kỳ xác thực nào, biến đây thành một RCE không xác thực." Tính đến thời điểm hiện tại, có 2.924 máy chủ dễ bị tấn công bởi lỗ hổng này.
Né tránh phần mềm độc hại có chữ ký số
Các cuộc tấn công BaoLoader tăng vọt vào cuối năm 2025
BaoLoader, các chiến dịch ClickFix và Maverick nổi lên là ba mối đe dọa hàng đầu từ ngày 1 tháng 9 đến ngày 30 tháng 11 năm 2025, theo ReliaQuest. Không giống như phần mềm độc hại điển hình đánh cắp chứng chỉ, các nhà điều hành BaoLoader được biết là đã đăng ký các doanh nghiệp hợp pháp ở Panama và Malaysia đặc biệt để mua các chứng chỉ ký mã hợp lệ từ các cơ quan cấp chứng chỉ lớn nhằm ký tải trọng của chúng. ReliaQuest cho biết: "Với các chứng chỉ này, phần mềm độc hại của chúng xuất hiện đáng tin cậy đối với cả người dùng và công cụ bảo mật, cho phép chúng hoạt động phần lớn không bị phát hiện trong khi bị coi là các chương trình không mong muốn tiềm ẩn (PUPs)." Phần mềm độc hại này, sau khi khởi chạy, lạm dụng "node.exe" để chạy JavaScript độc hại nhằm trinh sát, thực thi lệnh trong bộ nhớ và truy cập backdoor. Nó cũng định tuyến lưu lượng truy cập command-and-control (C2) thông qua các dịch vụ đám mây hợp pháp, che giấu lưu lượng truy cập đi như hoạt động kinh doanh bình thường và làm suy yếu khả năng chặn dựa trên danh tiếng.
Gia tăng lạm dụng RMM
Thư mời tiệc giả mạo và cảnh báo PayPal phát tán công cụ RMM
Các email lừa đảo giả dạng thư mời dự tiệc, hóa đơn quá hạn, thông báo thuế, yêu cầu cuộc họp Zoom hoặc thông báo ký tài liệu đang được sử dụng để phát tán các công cụ giám sát và quản lý từ xa (RMM) như LogMeIn Resolve, Naverisk và ScreenConnect trong các chiến dịch tấn công đa giai đoạn. Trong một số trường hợp, ScreenConnect được sử dụng để phát tán các công cụ thứ cấp, bao gồm các chương trình truy cập từ xa khác, cùng với HideMouse và WebBrowserPassView. Mặc dù chiến lược chính xác đằng sau việc cài đặt các công cụ truy cập từ xa trùng lặp chưa rõ ràng, nhưng người ta tin rằng các tác nhân đe dọa có thể đang sử dụng giấy phép dùng thử, buộc chúng phải thay đổi để tránh hết hạn. Trong một sự cố khác được CyberProof phân tích, những kẻ tấn công đã chuyển từ nhắm mục tiêu vào tài khoản PayPal cá nhân của nhân viên sang thiết lập chỗ đứng trong công ty thông qua chiến lược RMM nhiều lớp liên quan đến việc sử dụng LogMeIn Rescue và AnyDesk bằng cách lừa nạn nhân cài đặt phần mềm qua điện thoại bằng cách giả vờ là nhân viên hỗ trợ. Email được thiết kế để tạo cảm giác khẩn cấp bằng cách giả mạo cảnh báo PayPal.
Kẻ điều hành dịch vụ CAV bị bắt
Chính quyền Hà Lan bắt giữ cá nhân bị cáo buộc đứng sau AVCheck
Chính quyền Hà Lan cho biết họ đã bắt giữ một người đàn ông 33 tuổi tại Schiphol vì bị cáo buộc liên quan đến hoạt động của AVCheck, một dịch vụ chống phần mềm diệt virus (CAV) đã bị phá hủy bởi một chiến dịch thực thi pháp luật đa quốc gia vào tháng 5 năm 2025. Các quan chức Hà Lan cho biết: "Dịch vụ do nghi phạm cung cấp đã giúp tội phạm mạng tinh chỉnh khả năng che giấu các tệp độc hại mỗi lần. Điều rất quan trọng đối với tội phạm mạng là càng ít chương trình diệt virus có thể phát hiện hoạt động độc hại càng tốt, để tối đa hóa cơ hội thành công trong việc tìm kiếm nạn nhân. Bằng cách này, người đàn ông đã giúp tội phạm sử dụng phần mềm độc hại mà chúng đã phát triển để gây hại cho càng nhiều nạn nhân càng tốt."
Gemini cung cấp sức mạnh cho Siri
Apple và Google hợp tác phát triển phiên bản Siri mới
Apple và Google đã xác nhận rằng phiên bản Siri tiếp theo sẽ sử dụng Gemini và công nghệ đám mây của Google trong một hợp tác kéo dài nhiều năm giữa hai gã khổng lồ công nghệ này. Google cho biết: "Apple và Google đã ký kết hợp tác nhiều năm theo đó thế hệ Apple Foundation Models tiếp theo sẽ dựa trên các mô hình Gemini và công nghệ đám mây của Google. Các mô hình này sẽ giúp cung cấp năng lượng cho các tính năng Apple Intelligence trong tương lai, bao gồm một Siri cá nhân hóa hơn sẽ ra mắt trong năm nay." Google nhấn mạnh rằng Apple Intelligence sẽ tiếp tục chạy trên các thiết bị Apple và Private Cloud Compute, đồng thời duy trì các tiêu chuẩn bảo mật hàng đầu trong ngành của Apple. CEO Tesla và X Elon Musk cho biết: "Điều này dường như là sự tập trung quyền lực không hợp lý cho Google, vì họ cũng sở hữu Android và Chrome."
Trung Quốc cấm các công cụ nước ngoài
Trung Quốc yêu cầu các công ty trong nước ngừng sử dụng công cụ bảo mật từ Mỹ và Israel
Trung Quốc đã yêu cầu các công ty trong nước ngừng sử dụng phần mềm an ninh mạng do khoảng một chục công ty từ Mỹ và Israel sản xuất do lo ngại về an ninh quốc gia, Reuters đưa tin, dẫn lời "hai người được thông báo về vấn đề này." Điều này bao gồm VMware, Palo Alto Networks, Fortinet và Check Point. Các nhà chức trách được cho là đã bày tỏ lo ngại rằng phần mềm này có thể thu thập và truyền thông tin mật ra nước ngoài.
RCE qua các thư viện AI
Lỗ hổng trong các thư viện Python AI/ML
Các lỗ hổng bảo mật đã được công bố trong các thư viện Python mã nguồn mở về trí tuệ nhân tạo/học máy (AI/ML) được xuất bản bởi Apple (FlexTok), NVIDIA (NeMo) và Salesforce (Uni2TS) cho phép thực thi mã từ xa (RCE) khi một tệp mô hình có siêu dữ liệu độc hại được tải. Palo Alto Networks Unit 42 cho biết: "Các lỗ hổng xuất phát từ việc các thư viện sử dụng siêu dữ liệu để cấu hình các mô hình và quy trình phức tạp, trong đó một thư viện bên thứ ba dùng chung khởi tạo các lớp bằng cách sử dụng siêu dữ liệu này. Các phiên bản dễ bị tổn thương của các thư viện này chỉ đơn giản là thực thi dữ liệu được cung cấp dưới dạng mã. Điều này cho phép kẻ tấn công nhúng mã tùy ý vào siêu dữ liệu mô hình, mã này sẽ tự động thực thi khi các thư viện dễ bị tổn thương tải các mô hình đã sửa đổi này." Thư viện bên thứ ba được đề cập là Hydra của Meta, cụ thể là một hàm có tên "hydra.utils.instantiate()" cho phép chạy mã bằng các hàm Python như os.system(), builtins.eval() và builtins.exec(). Các lỗ hổng, được theo dõi là CVE-2025-23304 (NVIDIA) và CVE-2026-22584 (Salesforce), đã được các công ty tương ứng khắc phục. Hydra cũng đã cập nhật tài liệu của mình để nêu rõ rằng RCE có thể xảy ra khi sử dụng instantiate() và rằng họ đã triển khai danh sách mặc định các mô-đun bị chặn để giảm thiểu rủi ro. Họ cho biết: "Để bỏ qua, hãy đặt biến môi trường HYDRA_INSTANTIATE_ALLOWLIST_OVERRIDE với một danh sách các mô-đun được phép được phân tách bằng dấu hai chấm."
Né tránh AI giọng nói
Tấn công VocalBridge để thực hiện các cuộc tấn công sao chép giọng nói
Một nhóm các học giả đã phát triển một kỹ thuật gọi là VocalBridge có thể được sử dụng để vượt qua các biện pháp phòng thủ bảo mật hiện có và thực hiện các cuộc tấn công sao chép giọng nói. Nhóm từ Đại học Texas tại San Antonio cho biết: "Hầu hết các phương pháp làm sạch hiện có được thiết kế để chống lại nhiễu đối kháng trong hệ thống nhận dạng giọng nói tự động (ASR) thay vì xác minh người nói hoặc các quy trình sao chép giọng nói. Do đó, chúng không thể triệt tiêu các tín hiệu âm thanh chi tiết xác định danh tính người nói và thường không hiệu quả chống lại các cuộc tấn công xác minh người nói (SVA). Để giải quyết những hạn chế này, chúng tôi đề xuất Diffusion-Bridge (VocalBridge), một khung làm sạch học ánh xạ tiềm ẩn từ giọng nói bị nhiễu sang giọng nói sạch trong không gian tiềm ẩn EnCodec. Sử dụng 1D U-Net có điều kiện thời gian với lịch trình nhiễu cosine, mô hình cho phép làm sạch hiệu quả, không cần bảng điểm trong khi vẫn giữ cấu trúc phân biệt người nói."
Các nhà mạng viễn thông bị giám sát
Nga lên kế hoạch phạt 33 nhà mạng viễn thông
Cơ quan giám sát viễn thông Nga Roskomnadzor đã chỉ trích 33 nhà mạng viễn thông vì không cài đặt thiết bị kiểm tra lưu lượng truy cập và lọc nội dung. Tổng cộng 35 trường hợp vi phạm đã được phát hiện trên mạng lưới của các nhà mạng. Roskomnadzor cho biết: "Các tòa án đã diễn ra trong bốn trường hợp, và tiền phạt đã được áp dụng cho những người vi phạm. Hồ sơ về sáu vụ việc đã được gửi đến tòa án. Các nhà mạng còn lại đã được triệu tập để lập biên bản." Sau cuộc xâm lược Ukraine của Nga vào năm 2022, cơ quan này đã yêu cầu tất cả các nhà mạng viễn thông phải cài đặt thiết bị kiểm tra lưu lượng người dùng và chặn quyền truy cập vào các trang web "không mong muốn".
Các chiến thuật né tránh của Turla
Phân tích Kazuar V3 của Turla
Một phân tích mới về phần mềm độc hại Turla được gọi là Kazuar đã tiết lộ các kỹ thuật khác nhau mà backdoor này sử dụng để né tránh các giải pháp bảo mật và tăng thời gian phân tích. Điều này bao gồm việc sử dụng Component Object Model (COM), Event Tracing for Windows (ETW) không cần vá lỗi, bypass Antimalware Scan Interface (AMSI) và một thủ thuật chuyển hướng luồng điều khiển để thực hiện các thói quen độc hại chính trong lần chạy thứ hai của một hàm có tên "Qtupnngh", sau đó khởi chạy ba payload .NET của Kazuar (KERNEL, WORKER và BRIDGE) bằng cách sử dụng chuỗi lây nhiễm đa giai đoạn. Nhà nghiên cứu Dominik Reichel cho biết: "Logic cốt lõi nằm trong kernel, hoạt động như bộ điều phối chính. Nó xử lý việc xử lý tác vụ, ghi nhật ký phím, xử lý dữ liệu cấu hình, v.v. Worker quản lý giám sát hoạt động bằng cách theo dõi môi trường và tình hình bảo mật của máy chủ bị nhiễm, cùng với các trách nhiệm khác. Cuối cùng, bridge hoạt động như một lớp giao tiếp, tạo điều kiện thuận lợi cho việc truyền dữ liệu và rò rỉ từ thư mục dữ liệu cục bộ thông qua một loạt các đường dẫn plugin WordPress bị xâm nhập."
Lỗ hổng PLC bị phơi bày
Nhiều lỗ hổng bảo mật trong PLC Delta Electronics DVP-12SE11T
Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về nhiều lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến bộ điều khiển logic khả trình (PLC) Delta Electronics DVP-12SE11T, gây ra các rủi ro nghiêm trọng từ truy cập trái phép đến gián đoạn hoạt động trong môi trường công nghệ vận hành (OT). Các lỗ hổng bao gồm: CVE-2025-15102 (điểm CVSS: 9.8), bỏ qua bảo vệ mật khẩu; CVE-2025-15103 (điểm CVSS: 9.8), bỏ qua xác thực thông qua tiết lộ mật khẩu một phần; CVE-2025-15358 (điểm CVSS: 7.5): từ chối dịch vụ; và CVE-2025-15359 (điểm CVSS: 9.8), ghi ngoài giới hạn bộ nhớ. Các vấn đề này đã được khắc phục thông qua các bản cập nhật firmware vào cuối tháng 12 năm 2025. OPSWAT Unit 515, đơn vị đã phát hiện các lỗ hổng này trong quá trình đánh giá bảo mật vào tháng 8 năm 2025, cho biết: "Những điểm yếu trong xác thực PLC và xử lý bộ nhớ có thể làm tăng đáng kể rủi ro vận hành trong môi trường OT, đặc biệt là khi có các hệ thống cũ hoặc phân đoạn mạng hạn chế."
Công cụ kiểm toán Salesforce
Mandiant phát hành AuraInspector
Mandiant đã phát hành một công cụ mã nguồn mở để giúp quản trị viên Salesforce kiểm tra các cấu hình sai có thể làm lộ dữ liệu nhạy cảm. Được gọi là AuraInspector, nó được mô tả là một "con dao quân đội Thụy Sĩ" để kiểm tra Salesforce Experience Cloud. Google cho biết: "Nó hỗ trợ khám phá các ứng dụng Salesforce Experience Cloud bị cấu hình sai cũng như tự động hóa phần lớn quá trình kiểm tra." Điều này bao gồm khám phá các bản ghi có thể truy cập từ cả ngữ cảnh Khách (Guest) và Đã xác thực (Authenticated), khả năng lấy tổng số bản ghi của các đối tượng bằng phương pháp GraphQL Aura không được ghi lại, kiểm tra khả năng tự đăng ký và khám phá "Home URLs", có thể cho phép truy cập trái phép vào chức năng quản trị nhạy cảm.
Khai thác DoS Wi-Fi
Lỗ hổng bảo mật trong Chipset Wi-Fi Broadcom
Một lỗ hổng nghiêm trọng (điểm CVSS: 8.4) trong phần mềm chipset Wi-Fi Broadcom có thể cho phép kẻ tấn công không xác thực trong phạm vi sóng vô tuyến làm ngừng hoạt động hoàn toàn mạng không dây bằng cách gửi một khung dữ liệu độc hại duy nhất, bất kể mức độ bảo mật mạng được cấu hình, buộc bộ định tuyến phải được khởi động lại thủ công trước khi kết nối có thể được khôi phục. Lỗ hổng này ảnh hưởng đến mạng không dây 5GHz và khiến tất cả các máy khách được kết nối, bao gồm cả mạng khách, bị ngắt kết nối đồng thời. Kết nối Ethernet và mạng 2.4 GHz không bị ảnh hưởng. Black Duck cho biết: "Lỗ hổng này cho phép kẻ tấn công làm cho điểm truy cập không phản hồi tất cả các máy khách và chấm dứt bất kỳ kết nối máy khách đang diễn ra nào. Nếu việc truyền dữ liệu đến các hệ thống tiếp theo đang diễn ra, dữ liệu có thể bị hỏng hoặc ít nhất, việc truyền sẽ bị gián đoạn." Cuộc tấn công này bỏ qua các biện pháp bảo vệ WPA2 và WPA3, và nó có thể được lặp lại vô thời hạn để gây ra gián đoạn mạng kéo dài. Broadcom đã phát hành một bản vá để giải quyết vấn đề được báo cáo. Thông tin chi tiết bổ sung đã được giữ lại do rủi ro tiềm ẩn mà nó gây ra cho nhiều hệ thống sử dụng chipset này.
Khai thác hợp đồng thông minh
Kẻ tấn công đánh cắp 26 triệu USD từ Truebit
Các tác nhân đe dọa không xác định đã đánh cắp 26 triệu USD Ether từ nền tảng tiền điện tử Truebit bằng cách khai thác một lỗ hổng trong smart contract năm tuổi của công ty. Halborn cho biết: "Kẻ tấn công đã khai thác một lỗ hổng toán học trong việc định giá token TRU của smart contract, điều này khiến giá trị của nó rất gần bằng 0. Với quyền truy cập vào nguồn token TRU chi phí thấp, kẻ tấn công đã có thể rút giá trị từ smart contract bằng cách bán chúng lại cho smart contract với giá đầy đủ. Kẻ tấn công đã thực hiện một loạt các yêu cầu đúc tiền có giá trị cao, giúp chúng thu được một lượng lớn token TRU với chi phí không đáng kể."
Chiến dịch mồi nhử hóa đơn
Công cụ RMM được phát tán dưới dạng hóa đơn giả
Một làn sóng tấn công mới đã được phát hiện sử dụng các mồi nhử theo chủ đề hóa đơn trong các email lừa đảo để lừa người nhận mở một tệp đính kèm PDF hiển thị thông báo lỗi, hướng dẫn họ tải tệp bằng cách nhấp vào một nút. Một số liên kết chuyển hướng đến một trang giả mạo Google Drive bắt chước các tệp video MP4, nhưng trên thực tế, lại phát tán các công cụ RMM như Syncro, SuperOps, NinjaOne và ScreenConnect để truy cập từ xa liên tục. AhnLab cho biết: "Vì chúng không phải là phần mềm độc hại như backdoor hoặc Remote Access Trojans (RATs), các tác nhân đe dọa ngày càng tận dụng chúng. Điều này là do các công cụ này đã được thiết kế để né tránh sự phát hiện của các sản phẩm bảo mật như firewall và các giải pháp chống phần mềm độc hại, vốn chỉ giới hạn trong việc phát hiện và chặn các chủng phần mềm độc hại đã biết."
Các bệnh viện Đài Loan bị tấn công
Ransomware CrazyHunter nhắm mục tiêu vào Đài Loan
Một chủng ransomware có tên CrazyHunter đã xâm nhập ít nhất sáu công ty ở Đài Loan, hầu hết trong số đó là các bệnh viện. Đây là một ransomware dựa trên Go và là một nhánh của ransomware Prince, nó sử dụng các phương pháp mã hóa và phân phối tiên tiến nhắm mục tiêu vào các máy chạy Windows, theo Trellix. Nó cũng duy trì một trang rò rỉ dữ liệu để công khai thông tin nạn nhân. Công ty cho biết: "Sự xâm nhập ban đầu thường liên quan đến việc khai thác các điểm yếu trong hạ tầng Active Directory (AD) của một tổ chức, thường là bằng cách tận dụng mật khẩu yếu trên các tài khoản miền." Các tác nhân đe dọa đã được tìm thấy sử dụng SharpGPOAbuse để phân phối payload ransomware thông qua Group Policy Objects (GPOs) và lây lan nó qua mạng. Một driver chống phần mềm độc hại Zemana đã được sửa đổi được sử dụng để nâng cao đặc quyền của chúng và tiêu diệt các quy trình bảo mật như một phần của cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD). CrazyHunter được đánh giá là hoạt động từ ít nhất đầu năm 2025, với các nhà chức trách Đài Loan mô tả nó là một nhóm hacker Trung Quốc bao gồm hai cá nhân, Luo và Xu, những người đã bán dữ liệu bị đánh cắp cho các nhóm buôn người ở cả Trung Quốc và Đài Loan. Hai nghi phạm người Đài Loan bị cáo buộc liên quan đến buôn bán dữ liệu đã bị bắt giữ và sau đó được tại ngoại vào tháng 8 năm ngoái.
Đó là tổng kết cho tuần này. Những câu chuyện này cho thấy mọi thứ có thể thay đổi nhanh chóng như thế nào và những rủi ro nhỏ có thể trở nên lớn nếu bị bỏ qua.
Hãy giữ cho hệ thống của bạn được cập nhật, cảnh giác với những điều thầm lặng và đừng quá tin tưởng vào những gì trông có vẻ bình thường quá nhanh.
Thứ Năm tới, ThreatsDay sẽ trở lại với nhiều bài viết ngắn hơn về những diễn biến lớn nhất trong lĩnh vực tấn công mạng và bảo mật của tuần.
