Bản tin ThreatsDay: Plugin bảo mật Claude, Leo thang đặc quyền Azure, Vượt qua MFA Kali365, Lừa đảo FIFA và 15 tin khác

Mỗi khi bạn nghĩ rằng ngành công nghiệp này cuối cùng đã ngừng làm những thứ liều lĩnh và kém cỏi, thì ai đó lại tung ra một loạt các trình tải mờ ám, trình cài đặt giả mạo, mồi nhử kỹ thuật xã hội cũ rích và đủ cơ sở hạ tầng bị lộ để khiến bạn tự hỏi liệu môi trường production có phải chỉ là một bản beta công khai hay không - trong khi đó, một nhà nghiên cứu tình cờ công bố một kỹ thuật biến một 'chỗ đứng nhỏ' thành sự thỏa hiệp tài khoản hoàn toàn vì dường như sáu chữ số và sự tin tưởng mù quáng là tất cả những gì ngăn cách giữa kho lưu trữ của bạn và việc bị chiếm đoạt hoàn toàn.
\n
\n \"ThreatsDay\n
\n\n

Mỗi khi bạn nghĩ rằng ngành công nghiệp này cuối cùng đã ngừng làm những thứ liều lĩnh và kém cỏi, thì ai đó lại tung ra một loạt các trình tải (loaders) mờ ám, trình cài đặt giả mạo, mồi nhử kỹ thuật xã hội cũ rích và đủ cơ sở hạ tầng bị lộ để khiến bạn tự hỏi liệu môi trường production có phải chỉ là một bản beta công khai hay không. Trong khi đó, một nhà nghiên cứu tình cờ công bố một kỹ thuật biến một \"chỗ đứng nhỏ\" thành sự thỏa hiệp tài khoản hoàn toàn, bởi vì dường như sáu chữ số và sự tin tưởng mù quáng là tất cả những gì ngăn cách giữa kho lưu trữ của bạn và việc bị chiếm đoạt hoàn toàn. Thật tuyệt vời.

\n\n

Lại còn cả mớ hỗn độn chuỗi cung ứng nữa... các tệp nhị phân có chữ ký, các bản cập nhật bị đầu độc, các công cụ hợp pháp bị chiếm quyền điều khiển như thể chúng ta vẫn đang ở năm 2017. Thêm vào đó là một vài báo cáo trong tuần này mang lại cảm giác không giống như các kỹ thuật tấn công nâng cao mà giống như việc chứng kiến các hacker mới vào nghề (skiddies) phát hiện ra các mục tiêu dễ dàng nhưng lại được gắn nhãn hiệu doanh nghiệp lên trên. Điều kỳ lạ không phải là tại sao nó hiệu quả, mà là tại sao nó vẫn còn dễ dàng đến thế.

\n\n

Dù sao thì, hãy lấy một cốc caffeine và bắt đầu thôi.

\n\n

Tiêu điểm tin tức an ninh mạng

\n\n

Dấu ấn C2 khổng lồ tại khu vực Trung Đông

\n

Hunt.io cho biết họ đã xác định được hơn 1.350 máy chủ điều khiển (C2) trên 98 nhà cung cấp cơ sở hạ tầng ở Trung Đông trong ba tháng qua, từ ngày 1 tháng 2 đến ngày 1 tháng 5 năm 2026.

Cơ sở hạ tầng C2 chiếm ưu thế trong các hoạt động độc hại (~96,8%), vượt xa cơ sở hạ tầng lừa đảo (~0,5%) và các IOC được báo cáo công khai (~0,5%), trong khi các thư mục mở độc hại chiếm ~2,2% số dấu hiệu quan sát được.
Saudi Arabia STC lưu trữ 981 máy chủ C2, chiếm 72,4% tổng số cơ sở hạ tầng C2 được phát hiện trong khu vực. Các botnet tập trung vào IoT (Hajime, Mozi và Mirai) kết hợp với các framework tấn công (Tactical RMM, Cobalt Strike, Sliver) là những họ mã độc chiếm ưu thế.

\n\n

Lỗi leo thang đặc quyền AKS

\n

Microsoft được cho là đã âm thầm sửa lỗi leo thang đặc quyền trong Azure Backup cho AKS, cho phép một người dùng chỉ có vai trò \"Backup Contributor\" (không có quyền Kubernetes) có thể chiếm quyền cluster-admin trên bất kỳ cụm AKS nào. Lỗ hổng này không có mã CVE nhưng có điểm CVSS là 9.9. Mặc dù Microsoft ban đầu bác bỏ báo cáo này là \"nội dung do AI tạo ra\", nhưng dường như nó đã được vá và các kiểm tra xác thực bổ sung đã được thực thi.

\n\n

Bắt giữ đối tượng vận hành tội phạm mạng

\n

Một công dân Romania 46 tuổi bị buộc tội đột nhập vào văn phòng chính phủ bang Oregon vào năm 2021 và thực hiện các cuộc tấn công mạng khác trên khắp Hoa Kỳ đã bị kết án 56 tháng tù. Catalin Dragomir đã thừa nhận hành vi đánh cắp danh tính nghiêm trọng và truy cập trái phép vào máy tính được bảo vệ. Đối tượng này đã bán quyền truy cập vào mạng lưới của nhiều nạn nhân tại Mỹ, gây thiệt hại ít nhất 250.000 USD.

\n\n

DAEMON Tools được đưa vào danh mục KEV

\n

CISA đã thêm vụ tấn công chuỗi cung ứng nhắm vào phần mềm DAEMON Tools vào danh mục Lỗ hổng bị khai thác phổ biến (KEV). Sự cố được theo dõi dưới mã CVE-2026-8398 (điểm CVSS v4: 9.3). Những kẻ tấn công đã chiếm quyền truy cập trái phép vào hạ tầng phân phối của nhà cung cấp và cài mã độc vào ba tệp nhị phân: DTHelper.exe, DiscSoftBusServiceLite.exe và DTShellHlp.exe, tất cả đều được ký bằng chứng chỉ số hợp lệ để vượt qua các biện pháp phát hiện.

\n\n

Apple công bố mã nguồn PQC

\n

Apple đã xuất bản các triển khai mật mã hậu lượng tử (PQC) trong thư viện corecrypto, bao gồm các thuật toán ML-KEM và ML-DSA an toàn trước máy tính lượng tử. Apple cho biết họ nỗ lực đảm bảo tính tuân thủ các thông số kỹ thuật FIPS 203 và FIPS 204 để các chuyên gia độc lập có thể đánh giá.

\n\n

Các công ty luật bị Silent Ransom Group nhắm mục tiêu

\n

FBI cảnh báo nhóm tin tặc Silent Ransom Group (SRG), còn được gọi là Luna Moth hoặc Chatty Spider, đang nhắm mục tiêu vào các công ty luật bằng kỹ thuật xã hội. Nhóm này giả danh hỗ trợ IT để truy cập máy tính nạn nhân, thậm chí cử người trực tiếp đến văn phòng nạn nhân để sao lưu dữ liệu trái phép vào ổ cứng di động.

\n\n

Trình cài đặt giả mạo phát tán Deno RAT

\n

Kẻ tấn công đang lưu trữ các trình cài đặt và plugin giả mạo các phần mềm phổ biến như ChatGPT, Claude, Ableton Live trên GitHub và SourceForge để phân tán backdoor DinDoor (còn gọi là Tsundere), sử dụng môi trường thực thi Deno JavaScript.

\n\n

Làn sóng phishing PureLogs

\n

Một chiến dịch phishing sử dụng email giả danh đơn đặt hàng để lừa người dùng mở các tệp JavaScript độc hại nằm trong kho lưu trữ RAR, dẫn đến việc triển khai mã độc PureLogs để đánh cắp thông tin nhạy cảm, dữ liệu ví tiền điện tử và thông tin đăng nhập.

\n\n

Vương quốc Anh thắt chặt trừng phạt mạng lưới tiền điện tử

\n

Chính phủ Anh đã công bố các biện pháp trừng phạt mới đối với các sàn giao dịch tiền điện tử như HTX (Huobi Global) và mạng lưới A7 được Nga sử dụng để lách các hạn chế hiện có. HTX bị nghi ngờ cung cấp dịch vụ cho các mạng lưới thanh toán của Nga đã bị trừng phạt.

\n\n

Claude có tính năng đánh giá mã nguồn tích hợp

\n

Anthropic đã công bố hai tính năng bảo mật mới cho Claude AI: sandbox tự lưu trữ cho Claude Managed Agents và plugin hướng dẫn bảo mật. Plugin này giúp Claude tự kiểm tra các thay đổi mã nguồn để tìm lỗ hổng phổ biến như injection hoặc các API DOM không an toàn trước khi mã được đưa vào pull request.

\n\n

Tấn công mạng khu vực DACH tăng 124%

\n

Dữ liệu từ Check Point tiết lộ rằng hoạt động hacktivism và ransomware nhắm vào các tổ chức ở Đức, Áo và Thụy Sĩ (DACH) đã tăng mạnh trong năm 2025. Đức chiếm hơn 80% các sự cố trong khu vực, trong đó các nhóm như NoName057(16) và Akira là những cái tên nổi bật.

\n\n

Lừa đảo World Cup bùng nổ trực tuyến

\n

Các tác nhân đe dọa đang lợi dụng sức hút của FIFA World Cup 2026 để thực hiện các chiến dịch lừa đảo. Group-IB đã phát hiện hơn 4.300 tên miền giả mạo trang web chính thức của FIFA, bao gồm một chiến dịch tinh vi mang tên GHOST STADIUM sử dụng bộ công cụ phishing để chiếm đoạt thông tin đăng nhập và thực hiện lừa đảo bán vé.

\n\n

Tiện ích Chrome thu thập dữ liệu WhatsApp

\n

Các nhà nghiên cứu đã phát hiện mạng lưới 126 tiện ích Chrome có tên WaSteal giả danh công cụ CRM cho WhatsApp nhưng thực tế là để lấy cắp dữ liệu cá nhân, cookie quảng cáo và tin nhắn thoại của gần 148.000 người dùng.

\n\n

GhostTree vượt qua các giải pháp quét điểm cuối

\n

Kỹ thuật mới mang tên GhostTree lợi dụng các NTFS junctions để tạo ra các đường dẫn tệp vô hạn, khiến các sản phẩm bảo mật điểm cuối bị treo và không thể quét được các tệp độc hại.

\n\n

Kali365 nhắm vào Microsoft 365

\n

Nền tảng Phishing-as-a-Service (PhaaS) Kali365 đang được tội phạm mạng sử dụng để chiếm đoạt OAuth tokens và vượt qua giao thức xác thực đa yếu tố (MFA) mà không cần đánh cắp mật khẩu của người dùng.

\n\n

Vaultjacking nhắm vào mật khẩu Google

\n

Kỹ thuật Vaultjacking cho phép kẻ tấn công sử dụng mã PIN Google Password Manager (GPM) gồm 6 chữ số lấy được từ trang phishing để giải mã toàn bộ kho mật khẩu đã đồng bộ của nạn nhân.

\n\n

Trình cài đặt RVTools độc hại phát tán RAT

\n

Một trình cài đặt MSI giả mạo cho công cụ RVTools được ký bằng chứng chỉ số hợp lệ nhưng đã bị chiếm dụng để cài đặt một Python RAT dạng module, có khả năng trinh sát mạng Active Directory và mã hóa dữ liệu bị đánh cắp.

\n\n

Lời kết

\n

Không có cuộc tấn công nào ở trên là quá phức tạp. Đó là bài học mà không ai muốn nghe. Hầu hết các vụ vi phạm vẫn bắt đầu từ việc lạm dụng lòng tin, cấu hình lỗi thời, kiểm soát truy cập lỏng lẻo hoặc người dùng bị lừa qua điện thoại bởi những kẻ nghe có vẻ chuyên nghiệp.

\n

Hãy vá lỗi nhanh hơn. Kiểm tra kỹ lưỡng hơn. Đừng mặc định phần mềm có chữ ký, yêu cầu MFA hoặc các công cụ nội bộ là an toàn. Những kẻ tấn công đã tìm ra các đường tắt, và đã đến lúc những người phòng thủ nên ngừng giả vờ như những con đường tắt đó không tồn tại.

\n