Đằng sau mỗi cú nhấp chuột là một rủi ro tiềm ẩn. Một quảng cáo, email hoặc liên kết đơn giản giờ đây có thể ẩn chứa điều nguy hiểm. Tin tặc ngày càng tinh vi hơn, sử dụng các công cụ mới để vượt qua các bộ lọc và biến các hệ thống đáng tin cậy chống lại chúng ta.
Nhưng các đội an ninh mạng đang phản công. Họ đang xây dựng các biện pháp phòng thủ nhanh hơn, cách phát hiện tấn công tốt hơn và hệ thống mạnh mẽ hơn để giữ an toàn cho mọi người. Đó là một cuộc đua không ngừng – mỗi động thái của kẻ tấn công đều kích hoạt một phản ứng mới từ những người bảo vệ.
Trong Bản tin ThreatsDay tuần này, chúng ta sẽ xem xét những động thái mới nhất trong cuộc đua đó — từ các malware và rò rỉ dữ liệu mới đến các công cụ AI, hành động của chính phủ và các bản cập nhật bảo mật lớn đang định hình thế giới kỹ thuật số hiện nay.
Tin tức nổi bật
Anh Quốc siết chặt các quy định về an ninh mạng cho các lĩnh vực trọng yếu
Tiêu đề: Anh Quốc ra mắt Dự luật An ninh mạng và Khả năng phục hồi
Chính phủ Anh đã đề xuất một Dự luật An ninh mạng và Khả năng phục hồi mới nhằm tăng cường an ninh quốc gia và bảo vệ các dịch vụ công như chăm sóc sức khỏe, nhà cung cấp nước uống, giao thông vận tải và năng lượng khỏi cybercriminals và các tác nhân được nhà nước hậu thuẫn. Theo đề xuất, các công ty vừa và lớn cung cấp các dịch vụ như quản lý IT, hỗ trợ IT help desk và cybersecurity cho các tổ chức khu vực tư nhân và công cộng như National Health Service (NHS) sẽ được điều chỉnh. Các tổ chức thuộc luật mới sẽ phải báo cáo các sự cố mạng gây hại hơn cho cả cơ quan quản lý và National Cyber Security Centre (NCSC) trong vòng 24 giờ, sau đó là một báo cáo đầy đủ được gửi trong vòng 72 giờ. Các hình phạt cho các vi phạm nghiêm trọng theo quy định mới sẽ lên tới mức phạt hàng ngày tương đương 100.000 bảng Anh (131.000 USD), hoặc 10% doanh thu hàng ngày của tổ chức – tùy theo mức nào cao hơn. "Vì họ có quyền truy cập đáng tin cậy trên các mạng lưới chính phủ, cơ sở hạ tầng quốc gia quan trọng và mạng lưới doanh nghiệp, họ sẽ cần đáp ứng các nghĩa vụ bảo mật rõ ràng," chính phủ cho biết. "Điều này bao gồm việc báo cáo các sự cố mạng đáng kể hoặc có khả năng đáng kể một cách kịp thời cho chính phủ và khách hàng của họ cũng như có các kế hoạch vững chắc để xử lý hậu quả."
Drama rò rỉ dữ liệu của Intel
Tiêu đề: Intel cáo buộc kỹ sư đã lấy cắp tài liệu tối mật
Một cựu nhân viên Intel đã bị cáo buộc tải xuống hàng nghìn tài liệu ngay sau khi công ty sa thải anh ta vào tháng 7, nhiều trong số đó được phân loại là "Top Secret". The Oregonian, tờ báo đã đưa tin về vụ kiện, cho biết Jinfeng Luo đã tải xuống 18.000 file vào một thiết bị lưu trữ. Sau khi không liên lạc được với Luo tại nhà ở Seattle và hai địa chỉ khác liên quan đến anh ta, nhà sản xuất chip đã đệ đơn kiện yêu cầu bồi thường ít nhất 250.000 USD.
Danh sách OWASP mới phơi bày các mối đe dọa web đang phát triển
Tiêu đề: OWASP phát hành phiên bản Top 10 2025
Open Web Application Security Project (OWASP) đã phát hành phiên bản sửa đổi của danh sách Top 10 các rủi ro nghiêm trọng đối với ứng dụng web, bổ sung hai danh mục mới, bao gồm lỗi chuỗi cung ứng phần mềm và xử lý sai các điều kiện ngoại lệ. Trong khi danh mục trước liên quan đến các thỏa hiệp xảy ra trong hoặc trên toàn bộ hệ sinh thái phụ thuộc phần mềm, hệ thống xây dựng và cơ sở hạ tầng phân phối, danh mục sau tập trung vào "xử lý lỗi không đúng cách, lỗi logic, mở thất bại và các kịch bản liên quan khác bắt nguồn từ các điều kiện bất thường mà hệ thống có thể gặp phải." Broken Access Control, Security Misconfiguration, Cryptographic Failures, Injection, Insecure Design, Authentication Failures, Software and Data Integrity Failures, và Logging & Alerting Failures chiếm tám vị trí còn lại.
Dữ liệu nhạy cảm bị rò rỉ từ các công ty AI hàng đầu
Tiêu đề: Các công ty AI làm rò rỉ bí mật trên GitHub
Một nghiên cứu về 50 công ty AI hàng đầu đã phát hiện ra rằng 65% đã làm rò rỉ các secrets được xác minh trên GitHub, bao gồm API keys, tokens và sensitive credentials. "Một số rò rỉ này có thể đã phơi bày cấu trúc tổ chức, dữ liệu đào tạo hoặc thậm chí các mô hình riêng tư," các nhà nghiên cứu Wiz Shay Berkovich và Rami McCarthy cho biết. "Nếu bạn sử dụng Version Control System (VCS) công khai, triển khai secret scanning ngay bây giờ. Đây là biện pháp phòng thủ tức thì, không thể bỏ qua của bạn chống lại việc dễ dàng bị lộ. Ngay cả các công ty có quy mô nhỏ nhất cũng có thể bị lộ các rò rỉ secret như chúng tôi vừa chứng minh."
Thư mời Meta giả mạo lừa đảo các doanh nghiệp trên toàn thế giới
Tiêu đề: Chiến dịch Phishing nhắm mục tiêu vào Facebook Business Suite
Một chiến dịch phishing quy mô lớn mới đang lạm dụng các tính năng Facebook Business Suite và facebookmail.com để gửi các thông báo giả mạo rất thuyết phục ("Meta Agency Partner Invitation" hoặc "Account Verification Required") có vẻ như đến trực tiếp từ Meta. "Phương pháp này khiến các chiến dịch của họ cực kỳ thuyết phục, vượt qua nhiều bộ lọc bảo mật truyền thống và chứng minh cách kẻ tấn công đang khai thác lòng tin vào các nền tảng nổi tiếng," Check Point cho biết. "Mặc dù số lượng email có thể cho thấy một cách tiếp cận 'rải thảm', nhưng độ tin cậy của domain người gửi làm cho những nỗ lực phishing này nguy hiểm hơn nhiều so với spam thông thường." Hơn 40.000 email phishing đã được ghi nhận cho đến nay, chủ yếu nhắm mục tiêu vào các tổ chức ở Hoa Kỳ, Châu Âu, Canada và Úc, những nơi phụ thuộc nhiều vào Facebook để quảng cáo. Để thực hiện kế hoạch này, những kẻ tấn công tạo các trang Facebook Business giả mạo và sử dụng tính năng mời của Business để gửi email phishing bắt chước các cảnh báo chính thức của Facebook. Việc những tin nhắn này được gửi từ domain "facebookmail[.]com" có nghĩa là chúng được các bộ lọc bảo mật email coi là đáng tin cậy. Trong các email có các liên kết mà khi nhấp vào, sẽ hướng người dùng đến các trang web giả mạo được thiết kế để đánh cắp credentials và các thông tin nhạy cảm khác.
Firefox tăng cường lá chắn chống theo dõi trực tuyến
Tiêu đề: Mozilla Firefox có các biện pháp phòng thủ Anti-Fingerprinting mới
Mozilla đã bổ sung thêm các biện pháp bảo vệ fingerprint cho trình duyệt Firefox của mình để ngăn các trang web nhận dạng người dùng mà không có sự đồng ý của họ, ngay cả khi cookies bị chặn hoặc private browsing được bật. Các biện pháp bảo vệ, bắt đầu với Firefox 145, nhằm chặn quyền truy cập vào một số thông tin nhất định được sử dụng bởi các fingerprinters trực tuyến. "Điều này bao gồm từ việc tăng cường bảo vệ font chữ đến ngăn các trang web tìm hiểu chi tiết phần cứng của bạn như số lõi bộ xử lý của bạn có, số ngón tay chạm đồng thời mà màn hình cảm ứng của bạn hỗ trợ và kích thước của dock hoặc taskbar của bạn," Mozilla cho biết. Cụ thể, các biện pháp bảo vệ mới bao gồm giới thiệu dữ liệu ngẫu nhiên vào hình ảnh được tạo trong các phần tử canvas, ngăn không cho các font chữ được cài đặt cục bộ được sử dụng để hiển thị văn bản trên một trang, báo cáo số lần chạm đồng thời được hỗ trợ bởi phần cứng thiết bị là 0, 1 hoặc 5, báo cáo Available Screen Resolution là chiều cao màn hình trừ đi 48 pixel và báo cáo số lõi bộ xử lý là 4 hoặc 8.
Phishing kit đơn giản hóa việc đánh cắp Microsoft 365 trên toàn cầu
Tiêu đề: Đánh cắp Microsoft 365 Credential thông qua Quantum Route Redirect
Một phishing kit mới có tên Quantum Route Redirect đang được các threat actors sử dụng để đánh cắp credentials của Microsoft 365. "Quantum Route Redirect đi kèm với thiết lập và các phishing domains được cấu hình sẵn giúp đơn giản hóa đáng kể một luồng chiến dịch từng phức tạp về mặt kỹ thuật, tiếp tục 'dân chủ hóa' phishing cho các cybercriminals ít kỹ năng hơn," KnowBe4 Threat Labs cho biết. Các chiến dịch phishing mạo danh các dịch vụ hợp pháp như DocuSign, hoặc giả mạo thông báo thanh toán hoặc tin nhắn thoại bị bỏ lỡ để lừa người dùng nhấp vào các URL luôn theo mẫu "/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/" và được lưu trữ trên các parked hoặc compromised domains. Gần 1.000 domain như vậy đã được phát hiện. Phishing kit này cũng cho phép browser fingerprinting và VPN/proxy detection để chuyển hướng các công cụ bảo mật đến các trang web hợp pháp. Các chiến dịch tận dụng kit này đã thành công trong việc đánh lừa nạn nhân ở 90 quốc gia, trong đó Hoa Kỳ chiếm 76% số người dùng bị ảnh hưởng.
Nền tảng AI tăng cường phòng thủ bằng công nghệ Guardio
Tiêu đề: Lovable tích hợp với Guardio để cải thiện bảo mật
Nền tảng mã hóa AI Lovable đã hợp tác với Guardio để nhúng công cụ phát hiện Safe Browsing của mình vào các quy trình làm việc AI tạo sinh của nền tảng, với mục tiêu quét mọi trang web được tạo trên nền tảng để phát hiện phishing, scam, mạo danh và các hình thức lạm dụng khác. Sự phát triển này diễn ra trong bối cảnh các báo cáo cho thấy các trợ lý mã hóa được hỗ trợ bởi AI như Lovable dễ bị các kỹ thuật như VibeScamming, cho phép các bad actors thiết lập các trang thu thập credentials giả mạo và thực hiện các scam.
Windows tăng cường tự do cho người dùng với passkey
Tiêu đề: Windows 11 mở rộng hỗ trợ Passkey Manager
Microsoft đã chính thức ra mắt hỗ trợ gốc cho các passkey manager của bên thứ ba trong Windows 11. Tính năng này có sẵn với bản cập nhật bảo mật Windows tháng 11 năm 2025. "Khả năng mới này trao quyền cho người dùng lựa chọn passkey manager yêu thích của họ – cho dù đó là Microsoft Password Manager hay các nhà cung cấp bên thứ ba đáng tin cậy," Microsoft cho biết. Công ty cũng lưu ý rằng họ đã tích hợp Microsoft Password Manager từ Microsoft Edge vào Windows dưới dạng một plugin, do đó có thể sử dụng nó trong Microsoft Edge, các trình duyệt khác hoặc bất kỳ ứng dụng nào hỗ trợ passkeys.
Tin tặc bao vây ngành xây dựng
Tiêu đề: Các cuộc tấn công chống lại ngành xây dựng
Các threat actors từ các ransomware operators và mạng lưới cybercriminal có tổ chức đến các nhóm APT được nhà nước tài trợ đang ngày càng nhắm mục tiêu vào ngành xây dựng bằng cách khai thác sự phụ thuộc ngày càng tăng của lĩnh vực này vào các máy móc hạng nặng hỗ trợ IoT dễ bị tấn công, hệ thống Building Information Modeling (BIM) và các nền tảng quản lý dự án dựa trên cloud. "Các cybercriminals ngày càng nhắm mục tiêu vào các công ty xây dựng để truy cập ban đầu và rò rỉ dữ liệu, khai thác các thực tiễn bảo mật yếu kém, hệ thống cũ kỹ lỗi thời và việc sử dụng rộng rãi các công cụ quản lý dự án dựa trên cloud," Rapid7 cho biết. "Những kẻ tấn công thường sử dụng các tin nhắn email phishing, compromised credentials và supply chain attacks, lợi dụng việc đào tạo nhân viên không đầy đủ và quản lý rủi ro nhà cung cấp lỏng lẻo." Những kẻ tấn công cũng đang chuyển sang mua quyền truy cập ban đầu vào mạng lưới công ty xây dựng thông qua các underground forums thay vì tự mình thực hiện các hoạt động compromised ban đầu tốn nhiều tài nguyên. Các danh sách này tạo điều kiện hỗ trợ các escrow services để cung cấp cho người mua sự đảm bảo về tính hợp lệ của dữ liệu đã mua. Một khi bị breached, các threat actors nhanh chóng di chuyển qua mạng để exfiltrate dữ liệu có giá trị và thậm chí extortion thông qua ransomware.
Google nhượng bộ, giữ lại tính năng sideloading
Tiêu đề: Google sẽ cho phép người dùng có kinh nghiệm sideloading các ứng dụng chưa được xác minh
Trở lại tháng 8, Google đã công bố kế hoạch xác minh danh tính của tất cả các nhà phát triển phân phối ứng dụng trên Android, ngay cả đối với những người phân phối phần mềm của họ bên ngoài Play Store. Động thái này đã gặp phải phản ứng dữ dội, dấy lên lo ngại rằng nó có thể là dấu chấm hết cho sideloading trong Android. Trong khi Google tuyên bố ý định đằng sau sự thay đổi này là để giải quyết các scam trực tuyến và các chiến dịch malware, đặc biệt là những trường hợp xảy ra khi người dùng tải xuống các file APK được phân phối qua các chợ ứng dụng bên thứ ba, F-Droid đã mô tả cách trình bày này là không thành thật, vì Google Play Protect đã tồn tại như một cơ chế khắc phục. "Bất kỳ rủi ro nào được nhận thấy liên quan đến việc cài đặt ứng dụng trực tiếp đều có thể được giảm thiểu thông qua giáo dục người dùng, tính minh bạch của open-source và các biện pháp bảo mật hiện có mà không áp đặt các yêu cầu đăng ký mang tính loại trừ," F-Droid cho biết. Để phản hồi lại ý kiến phản hồi từ "các nhà phát triển và người dùng cao cấp," Google cho biết họ đang "xây dựng một quy trình nâng cao mới cho phép người dùng có kinh nghiệm chấp nhận rủi ro khi cài đặt phần mềm chưa được xác minh." Nhiều chi tiết hơn dự kiến sẽ được chia sẻ trong những tháng tới.
CISA cảnh báo về bảo mật bản vá Cisco giả
Tiêu đề: CISA ban hành chỉ thị khẩn cấp Cisco
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã ban hành một cảnh báo mới, nói rằng họ đã xác định các thiết bị được đánh dấu là "patched" như một phần của Emergency Directive 25-03, nhưng lại được "cập nhật lên một phiên bản phần mềm vẫn dễ bị tổn thương trước hoạt động threat" liên quan đến việc khai thác CVE-2025-20333 và CVE-2025-20362. "CISA nhận thức được nhiều tổ chức tin rằng họ đã áp dụng các bản cập nhật cần thiết nhưng trên thực tế đã không cập nhật lên phiên bản phần mềm tối thiểu," cơ quan này cho biết. "CISA khuyến nghị tất cả các tổ chức xác minh rằng các bản cập nhật chính xác đã được áp dụng." Cả hai vulnerabilities này đã bị khai thác tích cực bởi một nhóm hacking bị nghi ngờ có liên quan đến Trung Quốc được gọi là UAT4356 (còn gọi là Storm-1849).
Nga thử nghiệm hệ thống phòng thủ drone mới dựa trên SIM
Tiêu đề: Nga áp dụng lệnh cắt internet di động 24 giờ cho công dân trở về nhà
Bộ Phát triển Kỹ thuật số Nga đã tiết lộ rằng các nhà mạng viễn thông trong nước đã triển khai một cơ chế mới để chống lại drones theo yêu cầu của các cơ quan quản lý. "Nếu một SIM card được đưa vào Nga từ nước ngoài, nó phải được xác nhận là do một người sử dụng chứ không phải được nhúng vào một drone," bộ này cho biết trong một bài đăng trên Telegram. "Cho đến lúc đó, dịch vụ internet di động và SMS trên SIM card này sẽ tạm thời bị chặn." Cơ chế này đang được thử nghiệm kể từ ngày 10 tháng 11 năm 2025. Bộ cũng lưu ý rằng các thuê bao có SIM card của Nga đủ điều kiện được hưởng thời gian chờ 24 giờ nếu SIM đã không hoạt động trong 72 giờ hoặc khi trở về từ chuyến đi quốc tế. Các thuê bao có thể khôi phục quyền truy cập bằng cách giải CAPTCHA do nhà mạng cung cấp hoặc gọi cho nhà cung cấp dịch vụ của họ và xác minh danh tính qua điện thoại. Sự phát triển này diễn ra một tháng sau khi Moscow áp đặt lệnh cắt internet 24 giờ tương tự đối với những người nhập cảnh vào Nga bằng SIM card nước ngoài, với lý do tương tự.
Citrix vá lỗi XSS có thể khai thác trong NetScaler
Tiêu đề: Chi tiết lỗ hổng Citrix mới
Công ty cybersecurity watchTowr Labs đã công bố chi tiết về một lỗ hổng reflected cross-site scripting (XSS) mới được vá (CVE-2025-12101, CVSS score: 6.1) trong NetScaler ADC và NetScaler Gateway khi thiết bị được cấu hình làm Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) hoặc Authentication, Authorization, and Auditing (AAA) virtual server. Lỗ hổng này đã được Citrix vá đầu tuần này. Sina Kheirkhah của watchTowr cho biết lỗ hổng này bắt nguồn từ việc ứng dụng xử lý tham số RelayState, cho phép kẻ tấn công thực thi một XSS payload tùy ý bằng một HTTPS request được tạo đặc biệt chứa tham số RelayState với giá trị được mã hóa Base64. "Mặc dù điều này có thể không trông thực tế như một vulnerability có thể sử dụng được (và chúng tôi đồng ý với điều này do có những lỗ hổng dễ khai thác khác), nhưng nó vẫn có thể sử dụng được rộng rãi thông qua CSRF – vì endpoint /cgi/logout của NetScaler chấp nhận một HTTP POST request chứa SAMLResponse hợp lệ và RelayState đã sửa đổi," Kheirkhah cho biết.
Các ứng dụng đám mây trở thành vật chủ malware hàng đầu
Tiêu đề: Các dịch vụ Cloud là vector phân phối Malware
Một báo cáo mới từ Netskope đã phát hiện ra rằng khoảng 22 trên mỗi 10.000 người dùng trong lĩnh vực sản xuất gặp phải nội dung độc hại mỗi tháng. "Microsoft OneDrive hiện là nền tảng bị khai thác phổ biến nhất, với 18% các tổ chức báo cáo tải xuống malware từ dịch vụ này mỗi tháng," công ty cybersecurity cho biết. GitHub đứng thứ hai với 14%, tiếp theo là Google Drive (11%) và SharePoint (5,3%). Để chống lại rủi ro, các tổ chức được khuyên nên kiểm tra tất cả các lượt tải xuống HTTP và HTTPS, bao gồm tất cả lưu lượng truy cập web và cloud, để ngăn malware xâm nhập vào mạng lưới doanh nghiệp.
Nhóm malvertising chuyển hướng tiền lương trên toàn quốc
Tiêu đề: Payroll Pirates chiếm đoạt hệ thống lương và Credit Unions
Một threat actor có động cơ tài chính được gọi là Payroll Pirates (còn gọi là Storm-2657) đã được quan sát thấy chiếm đoạt các hệ thống lương, credit unions và các nền tảng giao dịch trên khắp Hoa Kỳ bằng cách dàn dựng các chiến dịch malvertising. Hoạt động độc hại này, được mô tả là dai dẳng và thích ứng, đã bắt đầu từ tháng 5 năm 2023, khi các threat actors thiết lập các trang phishing mạo danh các nền tảng lương. Các trang này được quảng bá qua Google Ads, lừa nhân viên đăng nhập vào các cổng HR giả mạo với mục đích đánh cắp credentials của họ. Sau khi thông tin đăng nhập bị chiếm đoạt, những kẻ tấn công đã chuyển hướng tiền lương sang tài khoản của chúng. Các phiên bản tiếp theo được trang bị khả năng bỏ qua two-factor authentication (2FA). Check Point, công ty đã theo dõi sự gia tăng gần đây của các chiến dịch này, cho biết họ đã tìm thấy một Telegram bot duy nhất được sử dụng để chiếm đoạt các mã 2FA theo thời gian thực trên credit unions, payroll, health care benefits và các nền tảng giao dịch, cho thấy một "mạng lưới thống nhất." Trong khi một nhóm tấn công đã được phát hiện dựa vào các kỹ thuật cloaking để đảm bảo rằng chỉ những nạn nhân mục tiêu mới được chuyển hướng đến các trang phishing, thì một nhóm khác nhắm mục tiêu vào các tổ chức tài chính bằng Microsoft Ads. "Các domain đã tồn tại trong nhiều tháng và lưu trữ hàng tá trang phishing với các URL được random," Check Point cho biết. "Một dịch vụ cloaking từ adspect.ai xác định trang nào sẽ hiển thị dựa trên browser fingerprinting. Cả hai nhóm đều sử dụng cùng một phishing kits. Các trang web thích ứng động dựa trên phản hồi của operator, giúp dễ dàng vượt qua hầu hết các phương pháp xác thực."
Trojan ngân hàng khét tiếng tái xuất mạnh mẽ hơn
Tiêu đề: DanaBot tái xuất sau 6 tháng gián đoạn
Malware DanaBot đã trở lại với phiên bản 669 mới, gần sáu tháng sau khi Operation Endgame của cơ quan thực thi pháp luật làm gián đoạn hoạt động của nó vào tháng 5. Biến thể mới này có một cơ sở hạ tầng command-and-control (C2) bao gồm các Tor domains và BackConnect nodes, theo Zscaler. Nó cũng đang sử dụng bốn địa chỉ ví khác nhau để đánh cắp cryptocurrency: 12eTGpL8EqYowAfw7DdqmeiZ87R922wt5L (BTC), 0xb49a8bad358c0adb639f43c035b8c06777487dd7 (ETH), LedxKBWF4MiM3x9F7zmCdaxnnu8A8SUohZ (LTC) và TY4iNhGut31cMbE3M3TU5CoCXvFJ5nP59i (TRX).
RAT Android mới thâm nhập thị trường chợ đen với giá 500 USD
Tiêu đề: KomeX Android RAT mới được quảng cáo trên các Hacking Forums
Một Android remote access trojan (RAT) mới có tên KomeX RAT đang được rao bán trên các cybercrime forums với giá 500 USD mỗi tháng hoặc 1.200 USD cho giấy phép trọn đời. Những người mua tiềm năng cũng có thể có quyền truy cập vào toàn bộ codebase với giá 3.000 USD. Theo tuyên bố của người bán, Trojan này dựa trên BTMOB, một công cụ điều khiển từ xa Android khác đã xuất hiện vào đầu năm nay như một sự phát triển của SpySolr. Các tính năng khác bao gồm khả năng có được tất cả các quyền cần thiết, bỏ qua Google Play Protect, log keystrokes, thu thập tin nhắn SMS và hơn thế nữa. Threat actor cũng tuyên bố RAT này hoạt động trên toàn thế giới mà không có bất kỳ hạn chế địa lý nào. Điều thú vị là, một trang Facebook cho SpySolr nói rằng malware này được phát triển bởi EVLF, kẻ đã bị vạch mặt vào năm 2023 là một threat actor người Syria đứng sau CypherRAT và CraxsRAT.
Amazon mở các mô hình AI của mình cho các ethical hackers
Tiêu đề: Amazon ra mắt chương trình Bug Bounty AI
Amazon đã trở thành công ty mới nhất mở các large language models của mình cho các nhà nghiên cứu bảo mật bên ngoài bằng cách thiết lập một chương trình bug bounty để xác định các vấn đề bảo mật trong NOVA, bộ mô hình AI nền tảng của công ty. "Thông qua chương trình này, các nhà nghiên cứu sẽ kiểm tra các mô hình Nova trên các lĩnh vực quan trọng, bao gồm các vấn đề cybersecurity và phát hiện mối đe dọa Chemical, Biological, Radiological, and Nuclear (CBRN)," gã khổng lồ công nghệ cho biết. "Những người tham gia đủ điều kiện có thể kiếm được phần thưởng tiền mặt, từ 200 USD đến 25.000 USD."
Các nhóm bảo vệ quyền riêng tư chỉ trích đề xuất sửa đổi GDPR của EU
Tiêu đề: Các cải cách GDPR bị rò rỉ của E.U. gây ra chỉ trích
Tổ chức phi lợi nhuận về quyền riêng tư của Áo None of Your Business (noyb) đã lên án kế hoạch bị rò rỉ của Ủy ban Châu Âu nhằm đại tu quy định về quyền riêng tư mang tính bước ngoặt của khối, được gọi là General Data Protection Regulation (GDPR), bao gồm khả năng cho phép các công ty AI sử dụng dữ liệu cá nhân của công dân trong khu vực để đào tạo mô hình. "Ngoài ra, việc bảo vệ đặc biệt dữ liệu nhạy cảm như dữ liệu sức khỏe, quan điểm chính trị hoặc khuynh hướng tình dục sẽ bị giảm đáng kể," noyb cho biết. "Ngoài ra, quyền truy cập từ xa vào dữ liệu cá nhân trên PC hoặc điện thoại thông minh mà không có sự đồng ý của người dùng cũng sẽ được kích hoạt." Max Schrems, người sáng lập noyb, cho biết dự thảo này đại diện cho một sự suy giảm lớn về quyền riêng tư của người dùng, trong khi chủ yếu mang lại lợi ích cho Big Tech. Ủy ban đang lên kế hoạch giới thiệu các sửa đổi vào ngày 19 tháng 11.
Nữ hoàng Bitcoin bị tống giam trong vụ lừa đảo kỷ lục 5,6 tỷ USD
Tiêu đề: Người phụ nữ Trung Quốc bị kết án 11 năm tù vì lừa đảo Bitcoin
Tòa án Vương quốc Anh đã tuyên án một phụ nữ Trung Quốc 47 tuổi, Zhimin Qian (còn gọi là Yadi Zhang), 11 năm 8 tháng tù giam vì rửa tiền bitcoin liên quan đến một kế hoạch đầu tư lừa đảo trị giá 5,6 tỷ USD. Cho đến khi bị bắt vào tháng 4 năm 2024, bị cáo đã lẩn trốn kể từ năm 2017 sau khi thực hiện một vụ scam quy mô lớn ở Trung Quốc từ năm 2014 đến năm 2017, lừa đảo hơn 128.000 người. Qian, được mệnh danh là Nữ hoàng Bitcoin, đã vào châu Âu bằng hộ chiếu giả và định cư ở Anh dưới một cái tên giả – Yadi Zhang. Cô ta đã nhận tội với các hành vi liên quan đến việc chiếm đoạt và sở hữu tài sản tội phạm (tức là cryptocurrency) vào tháng 9. Cuộc điều tra cũng dẫn đến việc thu giữ 61.000 bitcoin, hiện có giá trị hơn 6 tỷ USD, biến nó thành vụ thu giữ cryptocurrency lớn nhất trong lịch sử.
Bộ đôi malware mới rút tiền điện tử và theo dõi trình duyệt
Tiêu đề: LeakyInjector và LeakyStealer nhắm mục tiêu vào ví Crypto và Lịch sử trình duyệt
Các nhà nghiên cứu cybersecurity đã phát hiện hai họ malware giai đoạn hai mới có tên LeakyInjector và LeakyStealer được thiết kế để nhắm mục tiêu vào các cryptocurrency wallets và lịch sử trình duyệt. "LeakyInjector sử dụng các low-level APIs để injection nhằm tránh bị phát hiện và inject LeakyStealer vào 'explorer.exe'," Hybrid Analysis cho biết. "Bộ đôi này thực hiện reconnaissance trên một máy bị nhiễm và nhắm mục tiêu vào nhiều crypto wallets, bao gồm các browser extensions tương ứng với crypto wallets. Malware cũng tìm kiếm các file lịch sử trình duyệt từ Google Chrome, Microsoft Edge, Brave, Opera và Vivaldi." LeakyStealer triển khai một polymorphic engine sửa đổi các memory bytes bằng cách sử dụng các giá trị hard-coded cụ thể trong thời gian chạy. Nó cũng beacons đến một external server định kỳ để thực thi các Windows commands và tải xuống, chạy thêm các payloads.
Các chuyên gia cảnh báo về các công cụ an toàn AI tự giám sát
Tiêu đề: Sử dụng LLM làm Judge để gắn cờ Prompt Injections
Tháng trước, OpenAI đã phát hành một bộ công cụ an toàn có tên Guardrails safety framework để phát hiện và chặn các hành vi mô hình có khả năng gây hại, chẳng hạn như jailbreaks và prompt injections. Điều này bao gồm các detectors dựa vào large language models (LLMs) để xác định xem một input hoặc output có gây rủi ro bảo mật hay không. Công ty bảo mật AI HiddenLayer cho biết cách tiếp cận này về cơ bản là sai lầm, vì nó có thể bị kẻ tấn công khai thác framework Guardrails. "Nếu cùng loại mô hình được sử dụng để tạo phản hồi cũng được sử dụng để đánh giá an toàn, cả hai đều có thể bị compromised theo cùng một cách," họ cho biết. "Thí nghiệm này làm nổi bật một thách thức quan trọng trong AI security: việc tự điều chỉnh bởi LLMs không thể bảo vệ hoàn toàn chống lại adversarial manipulation. Các biện pháp bảo vệ hiệu quả đòi hỏi các independent validation layers, red teaming và adversarial testing để xác định vulnerabilities trước khi chúng có thể bị khai thác."
Rò rỉ lớn phơi bày kho vũ khí mạng của Trung Quốc
Tiêu đề: Công ty bảo mật Trung Quốc Knownsec bị cáo buộc rò rỉ dữ liệu
Một data breach tại một nhà cung cấp bảo mật Trung Quốc có tên Knownsec đã dẫn đến việc rò rỉ hơn 12.000 tài liệu mật, theo blog bảo mật Trung Quốc MXRN, "bao gồm thông tin về các cyber weapons thuộc sở hữu nhà nước Trung Quốc, các công cụ nội bộ và danh sách mục tiêu toàn cầu." Kho dữ liệu này cũng được cho là đã bao gồm bằng chứng về các RAT có thể xâm nhập vào các thiết bị Linux, Windows, macOS, iOS và Android, cũng như chi tiết về các hợp đồng của công ty với chính phủ Trung Quốc. Mã Android được cho là có thể trích xuất thông tin từ các ứng dụng nhắn tin phổ biến của Trung Quốc và từ Telegram. Cũng có trong dữ liệu rò rỉ là một bảng tính liệt kê 80 mục tiêu ở nước ngoài mà Knownsec đã tấn công thành công, cộng với 95GB dữ liệu nhập cư thu được từ Ấn Độ, 3TB bản ghi cuộc gọi bị đánh cắp từ nhà mạng viễn thông Hàn Quốc LG U-Plus, 459GB dữ liệu quy hoạch đường bộ thu được từ Đài Loan, mật khẩu cho các tài khoản Yahoo của Đài Loan và dữ liệu về các tài khoản LinkedIn của Brazil. Hiện vẫn chưa rõ ai đứng sau các vụ rò rỉ này. Có dấu hiệu cho thấy vụ rò rỉ này là từ một data breach cũ của Knownsec từ năm 2023, theo NetAskari.
Thế giới mạng không bao giờ ngừng lại. Mỗi bản vá lỗi, mỗi bản cập nhật, mỗi ý tưởng mới đều mang đến một rủi ro mới đang chờ được phát hiện. Cảnh giác không còn là một lựa chọn nữa — đó là một thói quen mà tất cả chúng ta cần xây dựng.
Tin tốt là những người bảo vệ đang học hỏi nhanh hơn bao giờ hết. Các nhà nghiên cứu, công ty và chính phủ đang chia sẻ nhiều kiến thức hơn, thu hẹp khoảng cách và giúp đỡ lẫn nhau đối mặt với các mối đe dọa. Tiến độ có thể chậm, nhưng ổn định.
Khi chúng ta kết thúc Bản tin ThreatsDay tuần này, hãy nhớ rằng — nhận thức là tuyến phòng thủ đầu tiên. Hãy luôn tò mò, cập nhật thông tin và giữ an toàn cho đến lần tới.
