Tuần này, giới hacker lại bận rộn. Từ các cuộc gọi giả mạo bằng giọng nói, mã độc được hỗ trợ bởi AI, đến những vụ bắt giữ rửa tiền lớn và các chiêu trò lừa đảo mới, thế giới mạng đang chứng kiến nhiều diễn biến phức tạp.
Tội phạm mạng ngày càng tinh vi — sử dụng các mánh khóe thông minh để đánh cắp dữ liệu, tạo ra âm thanh chân thật và ẩn mình một cách khéo léo. Nhưng chúng không phải là những kẻ duy nhất hành động nhanh chóng. Các chính phủ và đội ngũ an ninh cũng đang phản công, triệt phá các mạng lưới giả mạo, cấm các dự án rủi ro và thắt chặt phòng thủ kỹ thuật số.
Dưới đây là tổng hợp nhanh những thông tin nổi bật trong tuần này — những vụ tấn công lớn nhất, các mối đe dọa mới và những thành công đáng chú ý.
Mã độc dựa trên Mirai trở lại với chiến dịch IoT mới
Botnet ShadowV2 tiếp tục nhắm mục tiêu vào các thiết bị IoT
Các tác nhân đe dọa đằng sau botnet ShadowV2 dựa trên Mirai đã được quan sát thấy đang lây nhiễm các thiết bị IoT trên nhiều ngành và châu lục. Chiến dịch này được cho là chỉ hoạt động trong thời gian ngừng dịch vụ Amazon Web Services (AWS) vào cuối tháng 10 năm 2025. Hoạt động này được đánh giá là "khả năng cao là một đợt chạy thử nghiệm nhằm chuẩn bị cho các cuộc tấn công trong tương lai," theo Fortinet. Botnet đã khai thác một số lỗ hổng, bao gồm CVE-2009-2765 (DDWRT), CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915 (D-Link), CVE-2023-52163 (DigiEver), CVE-2024-3721 (TBK), và CVE-2024-53375 (TP-Link), để chiêu mộ các thiết bị dễ bị tổn thương vào một đội quân zombie gồm các thiết bị IoT. Một cuộc khai thác thành công sẽ dẫn đến việc thực thi một shell script tải xuống, cung cấp mã độc ShadowV2 cho các cuộc tấn công DDoS tiếp theo. "Các thiết bị IoT vẫn là một mắt xích yếu trong bức tranh an ninh mạng rộng lớn hơn," công ty cho biết. "Sự phát triển của ShadowV2 cho thấy một sự thay đổi chiến lược trong hành vi nhắm mục tiêu của các tác nhân đe dọa đối với môi trường IoT." Không chỉ ShadowV2. Một botnet DDoS khác tên là RondoDox, cũng dựa trên Mirai, đã vũ khí hóa hơn một tá exploit để nhắm mục tiêu vào các thiết bị IoT. "Những kẻ tấn công không chỉ có động lực nhắm mục tiêu vào các thiết bị IoT dễ bị tổn thương, mà còn cách chúng, nếu thành công, sẽ chiếm quyền điều khiển các thiết bị đã bị lây nhiễm trước đó để thêm chúng vào botnet của riêng chúng," F5 cho biết.
Singapore thắt chặt các quy định nhắn tin để chống lừa đảo mạo danh
Singapore yêu cầu Apple và Google chặn tin nhắn mạo danh các tổ chức chính phủ
Singapore đã yêu cầu Apple và Google chặn hoặc lọc các tin nhắn trên iMessage và ứng dụng Tin nhắn hỗ trợ RCS dành cho Android mạo danh các cơ quan chính phủ, yêu cầu công ty triển khai các biện pháp bảo vệ chống mạo danh mới bắt đầu từ tháng 12 năm 2025 như một phần nỗ lực nhằm ngăn chặn các vụ lừa đảo trực tuyến đang gia tăng. Theo Straits Times, Apple đã nhận được chỉ thị theo Đạo luật Gây hại Hình sự Trực tuyến, yêu cầu gã khổng lồ công nghệ này ngăn chặn các tài khoản iMessage và cuộc trò chuyện nhóm sử dụng tên bắt chước các cơ quan chính phủ Singapore hoặc ID người gửi "gov.sg".
Tor tăng cường quyền riêng tư với bản nâng cấp mã hóa mới
Tor chuyển sang thuật toán mã hóa Relay Onion Counter Galois mới
Các nhà phát triển dự án Tor đang chuẩn bị một bản nâng cấp lớn có tên Counter Galois Onion (CGO), thay thế phương pháp mã hóa relay đã tồn tại lâu đời được sử dụng trên mạng lưới ẩn danh. "Nó dựa trên một loại cấu trúc được gọi là Rugged Pseudorandom Permutation (RPRP): về cơ bản, đó là một thiết kế cho một thuật toán mã hóa khối rộng có khả năng chống lại sự biến đổi theo một hướng (đối với hoạt động mã hóa, nhưng không phải hoạt động giải mã)," Tor Project cho biết. "Nếu chúng ta triển khai nó để các máy khách luôn giải mã và các relay luôn mã hóa, thì chúng ta sẽ có một thuật toán mã hóa chống gắn thẻ với chi phí thấp hơn so với một SPRP [strong pseudorandom permutation] hoàn chỉnh!" Các bản cập nhật nhằm mục đích tăng chi phí của các cuộc tấn công chủ động dọc theo một mạch, chẳng hạn như các cuộc tấn công gắn thẻ và chặn lưu lượng truy cập, cũng như ngăn chặn những kẻ xấu can thiệp vào lưu lượng truy cập được mã hóa, thêm tính năng forward secrecy và làm cho mạng lưới kiên cường hơn.
Báo cáo cho thấy sự gia tăng các cuộc tấn công phishing trong mùa mua sắm năm 2025
Kaspersky ghi nhận 6,4 triệu cuộc tấn công phishing vào năm 2025
Kaspersky cho biết họ đã xác định gần 6,4 triệu cuộc tấn công phishing, nhắm mục tiêu vào người dùng các cửa hàng trực tuyến, hệ thống thanh toán và ngân hàng trong mười tháng đầu năm 2025. "Có tới 48,2% các cuộc tấn công này nhắm vào người mua sắm trực tuyến," công ty cho biết thêm, họ "đã phát hiện hơn 2 triệu cuộc tấn công phishing liên quan đến trò chơi trực tuyến" và "đã chặn hơn 146.000 tin nhắn spam liên quan đến Black Friday trong hai tuần đầu tháng 11."
Mã độc ẩn danh nhắm mục tiêu máy chủ thư OpenFind
ESET phát hiện mã độc QuietEnvelope mới
ESET đã tiết lộ chi tiết về một bộ công cụ mới có tên QuietEnvelope được phát triển đặc biệt để nhắm mục tiêu hệ thống bảo vệ email MailGates của các máy chủ email OpenFind. Bộ công cụ này bao gồm các Perl script và ba backdoor ẩn, cùng với các tệp linh tinh khác. "Các Perl script chủ yếu chịu trách nhiệm triển khai ba backdoor bị động dưới dạng loadable kernel module (LKM), một Apache module, và một shellcode được inject," ESET cho biết. "Cùng với nhau, chúng cho phép kẻ tấn công có quyền truy cập từ xa vào một máy chủ bị xâm nhập." Thành phần LKM ("smtp_backdoor") giám sát lưu lượng TCP đến trên cổng 6400 và kích hoạt khi các gói chứa chuỗi ma thuật EXEC_OPENFIND để thực thi lệnh. "Apache module mong đợi lệnh, được thực thi thông qua popen, trong HTTP header tùy chỉnh OpenfindMaster," công ty cho biết thêm. "Backdoor thứ ba được inject vào một tiến trình mgsmtpd đang chạy. Nó có khả năng truy xuất nội dung tệp và thực thi lệnh. Theo mặc định, nó phản hồi với 250 OK, cho thấy backdoor được móc nối vào mã có thể chịu trách nhiệm tạo phản hồi SMTP." Công cụ này được cho là sản phẩm của một tác nhân đe dọa được nhà nước bảo trợ không xác định, với sự tinh vi và khả năng hòa trộn. ESET cho biết họ đã tìm thấy các chuỗi debug được viết bằng tiếng Trung giản thể, chủ yếu được sử dụng ở Trung Quốc Đại lục.
Hacker liên kết với Nga lạm dụng lỗ hổng MSC để lây nhiễm âm thầm
Water Gamayun khai thác lỗ hổng MSC EvilTwin
Một tìm kiếm Bing cho "belay" dẫn đến trang web "belaysolutions[.]com," được cho là đã bị xâm phạm với JavaScript độc hại thực hiện chuyển hướng âm thầm đến "belaysolutions[.]link" chứa một payload RAR hai phần mở rộng được ngụy trang thành PDF. Mở payload ban đầu khai thác MSC EvilTwin (CVE-2025-26633) để inject mã vào mmc.exe, cuối cùng dẫn đến việc triển khai một tệp thực thi loader có khả năng cài đặt backdoor hoặc stealer. "Khi chạy, mmc.exe giải quyết các đường dẫn MUI tải snap-in độc hại thay vì snap-in hợp pháp, kích hoạt các lệnh TaskPad nhúng với payload PowerShell được mã hóa," Zscaler cho biết. "Được giải mã qua -EncodedCommand, script này tải xuống UnRAR[.]exe và một RAR được bảo vệ bằng mật khẩu, trích xuất giai đoạn tiếp theo, chờ một thời gian ngắn, sau đó Invoke-Expression trên script được trích xuất." Script thứ hai hiển thị một PDF mồi nhử và tải xuống và thực thi binary loader. Bản chất chính xác của payload không rõ ràng do cơ sở hạ tầng command-and-control (C2) không phản hồi. Chuỗi tấn công đã được quy cho một nhóm APT liên kết với Nga được gọi là Water Gamayun (hay EncryptHub).
NCA phát hiện vụ rửa tiền điện tử liên quan đến việc trốn tránh lệnh trừng phạt của Nga
Vương quốc Anh phanh phui mạng lưới rửa tiền tỷ đô la
Vương quốc Anh đã phanh phui hai công ty, Smart và TGR, đã rửa tiền từ tội phạm mạng, buôn bán ma túy, buôn lậu vũ khí và tội phạm nhập cư để thu phí, nhằm tạo ra tiền điện tử "sạch" mà nhà nước Nga sau đó có thể sử dụng để trốn tránh các lệnh trừng phạt quốc tế. Cơ quan Phòng chống Tội phạm Quốc gia (NCA) cho biết hai thực thể này đã mua một ngân hàng ở Kyrgyzstan để hoạt động như các hoạt động hợp pháp. Mạng lưới này được biết là hoạt động ở ít nhất 28 thành phố và thị trấn ở Vương quốc Anh. "Smart và TGR đã hợp tác để rửa tiền cho các nhóm tội phạm xuyên quốc gia liên quan đến tội phạm mạng, ma túy và buôn lậu vũ khí," NCA cho biết. "Họ cũng giúp các khách hàng Nga của mình lách các hạn chế tài chính một cách bất hợp pháp để đầu tư tiền vào Vương quốc Anh, đe dọa sự toàn vẹn của nền kinh tế của chúng tôi."
Cập nhật Defender loại bỏ các lời mời độc hại còn sót lại
Microsoft hành động chống lại các lời mời lịch độc hại
Microsoft cho biết họ đã cập nhật Defender for Office 365 để giúp các đội ngũ bảo mật tự động xóa các mục lịch được tạo bởi Outlook trong quá trình gửi email. Trong khi các hành động khắc phục như Chuyển vào Thư rác, Xóa, Xóa mềm và Xóa cứng có thể được sử dụng để loại bỏ các mối đe dọa email khỏi hộp thư đến của người dùng, các hành động này không chạm đến mục lịch được tạo bởi lời mời gốc. "Với bản cập nhật này, chúng tôi đang thực hiện bước đầu tiên để lấp đầy khoảng trống đó," công ty cho biết. "Xóa cứng giờ đây cũng sẽ xóa mục lịch liên quan cho bất kỳ email mời họp nào. Điều này đảm bảo các mối đe dọa được loại bỏ hoàn toàn — không chỉ khỏi hộp thư đến mà còn khỏi lịch — giảm nguy cơ người dùng tương tác với nội dung độc hại."
Thái Lan trấn áp việc thu thập dữ liệu sinh trắc học kiểu Worldcoin
Thái Lan cấm quét mống mắt World
Các cơ quan quản lý dữ liệu ở Thái Lan đã ra lệnh cho TIDC Worldverse, đại diện cho startup Tools for Humanity do Sam Altman sáng lập tại quốc gia này, phải ngừng thu thập dữ liệu sinh trắc học mống mắt để đổi lấy thanh toán bằng tiền điện tử World (trước đây là Worldcoin). Cơ quan này cũng yêu cầu xóa dữ liệu sinh trắc học đã thu thập từ 1,2 triệu công dân Thái Lan. Dự án này đã chứng kiến các lệnh cấm tương tự ở Brazil, Philippines, Indonesia và Kenya.
Chuyên gia an ninh mạng 21 tuổi bị giam giữ vì chỉ trích nhà nước
Nga bắt giữ doanh nhân công nghệ vì tội phản quốc
Timur Kilin, một doanh nhân công nghệ và chuyên gia an ninh mạng 21 tuổi, đã bị bắt giữ tại Moscow với tội danh phản quốc vào cuối tuần trước. Mặc dù chi tiết vụ án chưa được công bố, người ta nghi ngờ rằng Kilin có thể đã thu hút sự chú ý của chính quyền sau khi chỉ trích ứng dụng nhắn tin Max do nhà nước hậu thuẫn và luật chống tội phạm mạng của chính phủ.
Nhóm nói tiếng Trung mở rộng phạm vi tấn công smishing toàn cầu sang Ai Cập
Smishing Triad nhắm mục tiêu vào lĩnh vực tài chính và dịch vụ bưu chính của Ai Cập
Các tác nhân đe dọa liên quan đến Smishing Triad đã mở rộng trọng tâm nhắm mục tiêu vào Ai Cập bằng cách thiết lập các tên miền độc hại mạo danh các nhà cung cấp dịch vụ lớn của Ai Cập, bao gồm Fawry, Egypt Post và Careem. Smishing Triad là một nhóm tội phạm mạng nói tiếng Trung chuyên về các chiến dịch smishing quy mô lớn trên toàn thế giới bằng cách sử dụng một phishing kit có tên Panda. "Ngoài việc mạo danh dịch vụ của Hoa Kỳ, phishing kit này còn cung cấp nhiều loại template quốc tế, bao gồm cả những template bắt chước các ISP nổi bật như Du (U.A.E.)," Dark Atlas cho biết. "Những template này được thiết kế để thu thập PII từ các nạn nhân ở các khu vực khác nhau, mở rộng đáng kể phạm vi toàn cầu của chiến dịch." Gần đây, Google đã đệ đơn kiện dân sự tại Tòa án Quận Hoa Kỳ cho Quận phía Nam New York (SDNY) chống lại một nền tảng Phishing-as-a-Service (PhaaS) khổng lồ có tên Lighthouse đã lừa đảo hơn 1 triệu người dùng trên 120 quốc gia. Lighthouse là một trong những dịch vụ PhaaS được Smishing Triad sử dụng. Các PhaaS kit chủ yếu được phân phối qua Telegram bởi một tác nhân đe dọa có tên Wang Duo Yu (@wangduoyu8).
Dịch vụ bảo mật ngừng hoạt động sau tranh cãi liên quan đến nhà môi giới dữ liệu
Mozilla sẽ đóng cửa Monitor Plus
Mozilla đã thông báo kế hoạch đóng cửa Monitor Plus, một dịch vụ cho phép dữ liệu người dùng được xóa khỏi các cổng thông tin của nhà môi giới dữ liệu. Dịch vụ này sẽ ngừng hoạt động vào ngày 17 tháng 12 năm 2025. Nó được cung cấp thông qua quan hệ đối tác với Onerep, một công ty gây tranh cãi mà CEO người Belarus của họ, Dimitiri Shelest, đã bị phát hiện đang điều hành hàng chục dịch vụ công cụ tìm kiếm người từ năm 2010. "Dịch vụ giám sát miễn phí của Mozilla Monitor sẽ tiếp tục cung cấp các cảnh báo theo thời gian thực và hướng dẫn từng bước để giảm thiểu rủi ro vi phạm dữ liệu," Mozilla cho biết.
Các chiến dịch phishing thả RATs vào các mục tiêu doanh nghiệp Nga
NetMedved nhắm mục tiêu vào các công ty Nga bằng RATs
Một tác nhân đe dọa mới có tên NetMedved đang nhắm mục tiêu vào các công ty Nga bằng email phishing chứa các file ZIP bao gồm một file LNK ngụy trang thành yêu cầu mua hàng, cùng với các tài liệu mồi nhử khác. Mở file LNK kích hoạt một chuỗi lây nhiễm nhiều giai đoạn thả NetSupport RAT. Hoạt động này, theo Positive Technologies, đã được quan sát vào giữa tháng 10 năm 2025. Diễn biến này diễn ra khi F6 chi tiết các cuộc tấn công mới do VasyGrek (hay Fluffy Wolf) thực hiện, một tác nhân e-crime nói tiếng Nga nổi tiếng với việc tấn công các công ty Nga từ năm 2016 để phân phối remote access trojans (RATs) và stealer malware. Bộ tấn công mới nhất được ghi nhận từ tháng 8 đến tháng 11 năm 2025 liên quan đến việc sử dụng ransomware Pay2Key, cũng như mã độc được phát triển bởi PureCoder, bao gồm PureCrypter, PureHVNC và PureLogs Stealer.
Các payload được lưu trữ trên Blockchain phân phối AMOS, Vidar, Lumma stealers
Các cuộc tấn công khai thác EtherHiding và ClickFix để thả Infostealers
Các tác nhân đe dọa đang sử dụng các trang web hợp pháp bị xâm phạm với các JavaScript inject độc hại để phục vụ khách truy cập trang web các kiểm tra CAPTCHA giả mạo chứa một payload được mã hóa Base64 để hiển thị một mồi nhử ClickFix phù hợp với hệ điều hành bằng cách sử dụng kỹ thuật EtherHiding. Điều này liên quan đến việc ẩn các payload JavaScript trung gian trên blockchain và sử dụng bốn smart contracts được triển khai trên Binance Smart Chain (BSC) để đảm bảo nạn nhân không phải là bot và hướng họ đến một contract cụ thể theo hệ điều hành (OS). Tuy nhiên, JavaScript cụ thể theo OS chỉ được phân phối sau một cuộc gọi đến một gate contract phản hồi "yes" hoặc một giá trị khác. "Gate này cung cấp cho kẻ tấn công một cờ tính năng được điều khiển từ xa," Censys cho biết. "Bằng cách thay đổi trạng thái trên chuỗi, người điều hành có thể chọn bật hoặc tắt phân phối cho các nạn nhân cụ thể, điều tiết việc thực thi hoặc tạm thời vô hiệu hóa toàn bộ chiến dịch." Các payload được phân phối qua các chuỗi bao gồm các stealer phổ biến như AMOS và Vidar. Các cuộc tấn công thỏa hiệp drive-by tương tự cũng được tìm thấy để hiển thị các xác minh CAPTCHA giả mạo tận dụng chiến thuật ClickFix để thả Lumma Stealer, theo NCC Group.
Microsoft liên kết 13 triệu email phishing với hoạt động PhaaS hàng đầu
Tycoon 2FA trở thành nền tảng PhaaS hoạt động mạnh nhất
Microsoft cho biết bộ công cụ PhaaS được gọi là Tycoon 2FA (hay Storm-1747) đã nổi lên là nền tảng hoạt động mạnh nhất được công ty quan sát trong năm nay. Chỉ riêng trong tháng 10 năm 2025, Microsoft Defender for Office 365 đã chặn hơn 13 triệu email độc hại liên quan đến Tycoon 2FA. "Hơn 44% tổng số cuộc tấn công phishing được bảo vệ bằng CAPTCHA bị Microsoft chặn được quy cho Tycoon 2FA," công ty cho biết. "Tycoon2FA cũng liên quan trực tiếp đến gần 25% tổng số cuộc tấn công phishing bằng mã QR được phát hiện vào tháng 10." Lần đầu tiên được phát hiện vào năm 2023, Tycoon 2FA đã phát triển thành một công cụ mạnh mẽ tận dụng các kỹ thuật Adversary-in-the-Middle (AitM) theo thời gian thực để thu thập thông tin đăng nhập, đánh cắp session tokens và one-time codes. "Nền tảng này cung cấp các trang phishing có độ trung thực cao cho Microsoft 365, Gmail và Outlook, và đã trở thành một công cụ được ưa thích trong số các tác nhân đe dọa do mô hình hoạt động dựa trên đăng ký, rào cản thấp," CYFIRMA cho biết.
Mã độc sử dụng công nghệ AI để vượt qua các biện pháp phòng thủ hành vi
Xillen Stealer được cập nhật để né tránh phát hiện AI
Một phiên bản mới của Xillen Stealer đã giới thiệu các tính năng tiên tiến để trốn tránh các hệ thống phát hiện dựa trên AI bằng cách bắt chước người dùng hợp pháp và điều chỉnh mức sử dụng CPU và bộ nhớ để mô phỏng các ứng dụng bình thường. Mục tiêu chính của nó là đánh cắp thông tin đăng nhập, tiền điện tử và dữ liệu nhạy cảm trên các trình duyệt, trình quản lý mật khẩu và môi trường đám mây. Nó được quảng cáo trên Telegram với giá từ 99 đến 599 đô la mỗi tháng. Phiên bản mới nhất cũng bao gồm mã sử dụng AI để phát hiện các mục tiêu có giá trị cao dựa trên các chỉ số có trọng số và các từ khóa liên quan được định nghĩa trong từ điển. Chúng bao gồm ví tiền điện tử, dữ liệu ngân hàng, tài khoản premium, tài khoản nhà phát triển và email doanh nghiệp, cùng với các chỉ số vị trí bao gồm các quốc gia có giá trị cao như Hoa Kỳ, Vương quốc Anh, Đức và Nhật Bản, và các quốc gia thân thiện với tiền điện tử khác và các trung tâm tài chính. Mặc dù tính năng này chưa được các tác giả, Xillen Killers, triển khai hoàn chỉnh, sự phát triển này cho thấy các tác nhân đe dọa có thể tận dụng AI trong các chiến dịch tương lai, Darktrace cho biết.
FCC thay đổi chính sách an ninh mạng viễn thông
FCC loại bỏ các quy định an ninh mạng viễn thông
Ủy ban Truyền thông Liên bang (FCC) đã loại bỏ một bộ quy tắc an ninh mạng viễn thông được đưa ra sau chiến dịch gián điệp Salt Typhoon năm ngoái để ngăn chặn các hacker được nhà nước bảo trợ xâm nhập các nhà mạng Mỹ. Phán quyết này có hiệu lực vào tháng 1 năm 2025. Sự thay đổi này diễn ra sau những gì FCC cho là "những nỗ lực rộng rãi, khẩn cấp và phối hợp" từ các nhà mạng để giảm thiểu rủi ro hoạt động và bảo vệ người tiêu dùng tốt hơn. Hành động này diễn ra sau "cam kết kéo dài nhiều tháng với các nhà cung cấp dịch vụ truyền thông, nơi họ đã chứng minh một tư thế an ninh mạng được tăng cường sau Salt Typhoon," cơ quan này cho biết thêm, rằng họ "đã thực hiện một loạt các hành động để củng cố các mạng truyền thông và cải thiện tư thế an ninh của chúng để nâng cao quy trình điều tra của cơ quan về các sự cố ngừng mạng truyền thông do các sự cố mạng." Điều này bao gồm việc thành lập một Hội đồng An ninh Quốc gia và thông qua các quy tắc để giải quyết các rủi ro an ninh mạng đối với cơ sở hạ tầng truyền thông quan trọng mà không "áp đặt các yêu cầu không linh hoạt và mơ hồ." Tuy nhiên, thông báo của FCC không đưa ra chi tiết về cách thức những cải tiến đó sẽ được giám sát hoặc thực thi.
Các nghi phạm tuổi teen phủ nhận cáo buộc trong vụ hack Transport for London
Thiếu niên Anh phủ nhận tội danh tấn công TfL
Hai thiếu niên người Anh bị buộc tội theo Đạo luật Lạm dụng Máy tính trong một cuộc tấn công mạng vào Transport for London (TfL) năm ngoái đã phủ nhận tội danh trong một phiên tòa tuần trước. Thalha Jubair, 19 tuổi và Owen Flowers, 18 tuổi, đã bị bắt giữ tại nhà riêng của họ ở East London và Walsall, bởi các sĩ quan từ Cơ quan Phòng chống Tội phạm Quốc gia (NCA) vào tháng 9 năm 2025.
Lỗ hổng chưa được vá cho phép các tác nhân giọng nói AI thực hiện các vụ lừa đảo quy mô lớn
Lỗ hổng bảo mật trong Retell AI API
Một lỗ hổng bảo mật đã được tiết lộ trong Retell AI API, tạo ra các tác nhân giọng nói AI có quyền hạn và chức năng quá mức. Điều này xuất phát từ việc thiếu các biện pháp bảo vệ đầy đủ khiến large language model (LLM) của nó đưa ra các kết quả không mong muốn. Kẻ tấn công có thể khai thác hành vi này để dàn dựng các chiến dịch social engineering, phishing và phát tán thông tin sai lệch quy mô lớn. "Lỗ hổng nhắm mục tiêu vào sự dễ dàng triển khai và khả năng tùy chỉnh của Retell AI để thực hiện các cuộc tấn công phishing/social engineering có thể mở rộng," CERT Coordination Center (CERT/CC) cho biết. "Kẻ tấn công có thể cung cấp các tài nguyên có sẵn công khai cũng như một số hướng dẫn cho API của Retell AI để tạo ra các cuộc gọi giả mạo khối lượng lớn và tự động. Những cuộc gọi giả mạo này có thể dẫn đến các hành động trái phép, vi phạm bảo mật, rò rỉ dữ liệu và các hình thức thao túng khác." Vấn đề này vẫn chưa được vá.
Nghiên cứu cho thấy thị trường việc làm tội phạm mạng phản ánh nền kinh tế thế giới thực
Thị trường việc làm Dark Web trông như thế nào?
Một phân tích mới từ Kaspersky đã tiết lộ rằng dark web tiếp tục đóng vai trò là một thị trường lao động song song với các quy tắc, thực hành tuyển dụng và kỳ vọng lương riêng, đồng thời cũng bị ảnh hưởng bởi các lực lượng kinh tế hiện tại. "Đa số người tìm việc không chỉ định một lĩnh vực chuyên môn, với 69% bày tỏ sẵn sàng nhận bất kỳ công việc nào có sẵn," công ty cho biết. "Đồng thời, một loạt các vai trò được đại diện, đặc biệt là trong IT. Các nhà phát triển, penetration testers và money launderers vẫn là những chuyên gia được yêu cầu nhiều nhất, với reverse engineers có mức lương trung bình cao nhất. Chúng tôi cũng quan sát thấy sự hiện diện đáng kể của thanh thiếu niên trên thị trường, nhiều người tìm kiếm thu nhập nhỏ, nhanh chóng và thường đã quen thuộc với các kế hoạch gian lận."
Mã độc Android ẩn lưu lượng truy cập phía sau các trang web hợp pháp bị hack
Ứng dụng độc hại sử dụng các trang web hợp pháp bị xâm phạm làm C2
AhnLab cho biết họ đã phát hiện một mã độc Android APK ("com.golfpang.golfpanggolfpang") mạo danh một dịch vụ giao hàng nổi tiếng của Hàn Quốc, đồng thời thực hiện các bước để né tránh các biện pháp kiểm soát bảo mật bằng cách sử dụng các kỹ thuật obfuscation và packing. Dữ liệu bị đánh cắp bởi mã độc được exfiltrate đến một trang web hợp pháp bị tấn công được sử dụng cho C2. "Khi ứng dụng được khởi chạy, nó yêu cầu các quyền cần thiết để thực hiện các hành vi độc hại từ người dùng," AhnLab cho biết. Trong một diễn biến tương tự, một chương trình độc hại ngụy trang thành SteamCleaner đang được lan truyền qua các trang web quảng cáo phần mềm crack để phân phối một Node.js script có khả năng giao tiếp với một C2 server định kỳ và thực thi các lệnh do kẻ tấn công ban hành. Mặc dù không rõ các lệnh nào được gửi qua kênh C2, AhnLab cho biết hoạt động này có thể dẫn đến việc cài đặt proxyware và các payload khác. Các trình cài đặt giả mạo được lưu trữ trên các kho lưu trữ GitHub do tác nhân đe dọa quản lý.
Giám đốc ASIO cảnh báo về các mối đe dọa mạng do nhà nước hậu thuẫn đối với các hệ thống trọng yếu
Giám đốc tình báo Úc cảnh báo về phá hoại mạng
Tổng giám đốc An ninh Mike Burgess, người đứng đầu Tổ chức Tình báo An ninh Úc (ASIO), tiết lộ rằng các tác nhân đe dọa hoạt động thay mặt chính phủ và quân đội Trung Quốc đã thăm dò mạng lưới viễn thông và cơ sở hạ tầng trọng yếu của nước này. Burgess cảnh báo rằng các chế độ độc tài "ngày càng sẵn sàng phá vỡ hoặc phá hủy cơ sở hạ tầng quan trọng" bằng cách sử dụng phá hoại mạng. Gián điệp ước tính đã gây thiệt hại cho đất nước 12,5 tỷ đô la Úc (8,1 tỷ đô la Mỹ) vào năm 2024. Tuy nhiên, Trung Quốc đã bác bỏ những nhận xét này, cho rằng chúng "lan truyền những câu chuyện sai sự thật và cố ý gây đối đầu."
Thị trưởng giả bị kết án tù chung thân vì điều hành đường dây lừa đảo mạng khổng lồ
Philippines kết án tù một phụ nữ Trung Quốc vì điều hành khu phức hợp lừa đảo
Alice Guo, một phụ nữ Trung Quốc 35 tuổi đã giả làm người địa phương và được bầu làm thị trưởng thành phố Bamban vào năm 2022, đã bị kết án tù chung thân sau khi bị kết tội buôn người vì vai trò của cô trong việc điều hành một khu phức hợp lừa đảo mạng khổng lồ hoạt động dưới vỏ bọc các sòng bạc trực tuyến, được biết đến tại địa phương là Philippine Offshore Gaming Operations (Pogo). Guo, cùng với ba người khác, đã bị kết án tù chung thân và phạt 2 triệu peso (33.832 USD).
Giao thức Windows cũ vẫn là mục tiêu chính cho việc đánh cắp thông tin đăng nhập
Các tác nhân đe dọa tiếp tục lạm dụng NTLM
Nhiều lỗ hổng trong Microsoft Windows đã bị các tác nhân đe dọa khai thác để làm rò rỉ NTLM hashes và tăng cường nỗ lực hậu khai thác của chúng. Chúng bao gồm CVE-2024-43451, đã bị BlindEagle và Head Mare lạm dụng, CVE-2025-24054, đã bị lạm dụng trong các cuộc tấn công phishing nhắm mục tiêu vào Nga để phân phối Warzone RAT, và CVE-2025-33073, đã bị lạm dụng trong "hoạt động đáng ngờ" chống lại một mục tiêu không xác định thuộc lĩnh vực tài chính ở Uzbekistan. Trong cuộc tấn công này, tác nhân đe dọa đã khai thác lỗ hổng để kiểm tra xem họ có đủ đặc quyền để thực thi mã bằng cách sử dụng các batch files chạy các lệnh reconnaissance, thiết lập persistence, dump LSASS memory và cố gắng di chuyển laterally không thành công đến administrative share của một máy chủ khác. Không có hoạt động nào khác được phát hiện. "Mặc dù Microsoft đã công bố kế hoạch loại bỏ nó, sự hiện diện phổ biến của giao thức trên các hệ thống cũ và mạng doanh nghiệp vẫn giữ cho nó liên quan và dễ bị tổn thương," Kaspersky cho biết. "Các tác nhân đe dọa đang tích cực tận dụng các lỗ hổng mới được tiết lộ để tinh chỉnh các cuộc tấn công credential relay, leo thang đặc quyền và di chuyển laterally trong mạng lưới, nhấn mạnh rằng NTLM vẫn là một lỗ hổng bảo mật lớn."
Trên đây là tổng kết ThreatsDay tuần này. Bức tranh lớn? Tội phạm mạng ngày càng nhanh hơn, thông minh hơn và khó phát hiện hơn – nhưng nhận thức vẫn đánh bại sự hoảng loạn. Hãy giữ phần mềm của bạn được cập nhật, luôn cảnh giác với bất kỳ điều gì bất thường và đừng vội vàng nhấp chuột. Càng nhiều người chúng ta cảnh giác, kẻ tấn công càng khó giành chiến thắng.
