Tuần này không có một tiêu đề lớn nào, mà là nhiều tín hiệu nhỏ — những loại tín hiệu lặng lẽ định hình các cuộc tấn công sắp tới sẽ trông như thế nào.
Các nhà nghiên cứu đã theo dõi các vụ xâm nhập bắt đầu từ những nơi bình thường: quy trình làm việc của nhà phát triển, công cụ từ xa, quyền truy cập đám mây, đường dẫn danh tính và thậm chí cả các hành động người dùng thường ngày. Bề ngoài không có gì kịch tính. Đó chính là điểm mấu chốt. Việc xâm nhập ngày càng ít bị nhìn thấy trong khi tác động mở rộng về sau.
Một số phát hiện cũng cho thấy cách những kẻ tấn công đang công nghiệp hóa công việc của chúng — cơ sở hạ tầng chung, các kế hoạch tấn công có thể lặp lại, quyền truy cập được thuê và hệ sinh thái kiểu liên kết. Các hoạt động không còn là những chiến dịch biệt lập. Chúng hoạt động giống như các dịch vụ hơn.
Ấn phẩm này tổng hợp những mảnh ghép đó — các bản cập nhật ngắn gọn, chính xác cho thấy các kỹ thuật đang trưởng thành ở đâu, mức độ phơi nhiễm đang mở rộng ở đâu và những mô hình nào đang hình thành đằng sau tiếng ồn.
-
Mở rộng hoạt động gián điệp startup
Chiến dịch Nomad Leopard nhắm mục tiêu Afghanistan
Trong một dấu hiệu cho thấy tác nhân đe dọa đã vượt ra ngoài các mục tiêu chính phủ, tác nhân đe dọa APT36 liên kết với Pakistan đã được quan sát thấy đang nhắm mục tiêu vào hệ sinh thái startup của Ấn Độ, sử dụng các tệp ISO và các phím tắt LNK độc hại với các mồi nhử nhạy cảm, theo chủ đề startup để phân phối Crimson RAT, cho phép giám sát toàn diện, đánh cắp dữ liệu và trinh sát hệ thống. Vector truy cập ban đầu là một email spear-phishing mang theo một hình ảnh ISO. Sau khi được thực thi, ISO chứa một tệp lối tắt độc hại và một thư mục chứa ba tệp: một tài liệu mồi nhử, một tập lệnh batch hoạt động như cơ chế duy trì và payload Crimson RAT cuối cùng, được ngụy trang thành một tệp thực thi tên Excel. "Mặc dù có sự mở rộng này, chiến dịch vẫn gắn chặt với trọng tâm lịch sử của Transparent Tribe vào việc thu thập thông tin tình báo liên quan đến chính phủ và quốc phòng Ấn Độ, với sự trùng lặp cho thấy các cá nhân liên quan đến startup có thể bị nhắm mục tiêu vì sự gần gũi của họ với chính phủ, cơ quan thực thi pháp luật hoặc các hoạt động an ninh," Acronis cho biết.
-
Cơ sở hạ tầng tội phạm mạng chung
ShadowSyndicate nâng cấp với các chiến thuật mới
Cụm hoạt động đe dọa được gọi là ShadowSyndicate đã được liên kết với hai dấu hiệu SSH bổ sung kết nối hàng chục máy chủ với cùng một nhà điều hành tội phạm mạng. Các máy chủ này sau đó được sử dụng cho một loạt các hoạt động độc hại bởi các cụm đe dọa khác nhau liên quan đến Cl0p, BlackCat, Ryuk, Malsmoke và Black Basta. Một phát hiện đáng chú ý là tác nhân đe dọa có xu hướng chuyển các máy chủ giữa các cụm SSH của chúng. ShadowSyndicate tiếp tục được liên kết với các bộ công cụ bao gồm Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent và Brute Ratel. "Tác nhân đe dọa có xu hướng tái sử dụng cơ sở hạ tầng đã được sử dụng trước đó, đôi khi xoay vòng các khóa SSH khác nhau trên các máy chủ của chúng," Group-IB cho biết. "Nếu kỹ thuật này được thực hiện chính xác, cơ sở hạ tầng sẽ được chuyển giao sau đó, giống như trong một kịch bản hợp pháp, khi một máy chủ chuyển sang người dùng mới."
-
Mở rộng KEV ransomware
CISA đánh dấu 59 CVE là các lỗ hổng bị khai thác trong các cuộc tấn công ransomware
Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã điều chỉnh 59 thông báo lỗ hổng bị khai thác tích cực vào năm 2025 để phản ánh việc chúng được các nhóm ransomware sử dụng. Danh sách đó bao gồm 16 mục cho Microsoft, sáu cho Ivanti, năm cho Fortinet, ba cho Palo Alto Networks và ba cho Zimbra. "Khi nó chuyển từ 'Unknown' sang 'Known,' hãy đánh giá lại, đặc biệt nếu bạn đã ưu tiên thấp bản vá đó vì 'nó chưa liên quan đến ransomware'," Glenn Thorpe của GreyNoise cho biết.
Cập nhật KEV của CISA cho các lỗ hổng bị khai thác trong các cuộc tấn công ransomware. -
Bắt giữ gián điệp và DDoS
Chính quyền Ba Lan bắt giữ hai người
Chính quyền Ba Lan đã bắt giữ một nhân viên 60 tuổi của Bộ Quốc phòng nước này vì nghi ngờ làm gián điệp cho một cơ quan tình báo nước ngoài. Các quan chức cho biết nghi phạm làm việc trong bộ phận chiến lược và kế hoạch của Bộ Quốc phòng, bao gồm cả các dự án hiện đại hóa quân sự. Mặc dù tên quốc gia không được tiết lộ, các quan chức nhà nước Ba Lan nói với truyền thông địa phương rằng nghi phạm đã làm việc với các cơ quan tình báo Nga và Belarus. Trong một diễn biến liên quan, Cục Chống Tội phạm Mạng Trung ương Ba Lan (CBZC) cho biết một người đàn ông 20 tuổi đã bị bắt vì bị cáo buộc thực hiện các cuộc tấn công DDoS vào các trang web quan trọng, bao gồm cả những trang có tầm quan trọng chiến lược. Cá nhân này đối mặt với sáu tội danh và có thể phải chịu án tù năm năm.
-
Các vector RCE Codespaces
Các vector tấn công chuỗi cung ứng trong GitHub Codespaces
Nhiều vector tấn công đã được tiết lộ trong GitHub Codespaces cho phép thực thi mã từ xa chỉ bằng cách mở một kho lưu trữ độc hại hoặc yêu cầu kéo. Các vector được xác định bao gồm: (1) .vscode/settings.json với PROMPT_COMMAND injection, (2) .devcontainer/devcontainer.json với postCreateCommand injection, và (3) .vscode/tasks.json với folderOpen auto-run tasks. "Bằng cách lạm dụng các tệp cấu hình tích hợp VSCode mà Codespaces tự động tôn trọng, kẻ tấn công có thể thực thi các lệnh tùy ý, đánh cắp token và secret của GitHub, và thậm chí lạm dụng các API ẩn để truy cập các mô hình Copilot cao cấp," nhà nghiên cứu Roi Nisimi của Orca Security cho biết. Microsoft đã coi hành vi này là theo thiết kế.
-
Nhắm mục tiêu tài chính Bắc Âu
Lazarus Group liên kết với chiến dịch mới nhắm mục tiêu vào các nước Bắc Âu
Ngành tài chính ở các nước Bắc Âu đã bị Lazarus Group liên kết với Triều Tiên nhắm mục tiêu như một phần của chiến dịch kéo dài mang tên Contagious Interview, triển khai một stealer và tải xuống một phần mềm tên BeaverTail. "BeaverTail chứa chức năng sẽ tự động tìm kiếm dữ liệu liên quan đến tiền điện tử trên máy nạn nhân, nhưng cũng có thể được sử dụng làm công cụ truy cập từ xa cho các cuộc tấn công tiếp theo," TRUESEC cho biết.
-
Lực lượng DDoS tình nguyện
NoName057(16) và DDoSia Project được trình bày chi tiết
Trong một phân tích mới, SOCRadar cho biết nhóm tin tặc chủ yếu người Nga được gọi là NoName057(16) đang sử dụng một công cụ DDoS phân tán tình nguyện có tên DDoSia Project để làm gián đoạn các trang web của chính phủ, truyền thông và các tổ chức liên quan đến Ukraine và các lợi ích chính trị phương Tây. Thông qua các kênh Telegram hoạt động với hơn 20.000 người theo dõi, nhóm này coi các cuộc tấn công gây gián đoạn (nhưng không phá hủy) là "tự vệ" chống lại sự xâm lược của phương Tây và cung cấp bằng chứng thời gian thực về các vụ gián đoạn thành công. Các chiến dịch dựa trên tư tưởng của họ thường trùng khớp với các sự kiện địa chính trị lớn, chống lại các lệnh trừng phạt và thông báo viện trợ quân sự bằng các cuộc tấn công mạng trả đũa. "Không giống như các botnet truyền thống xâm nhập hệ thống mà người dùng không biết, DDoSia hoạt động dựa trên một tiền đề đáng lo ngại: hàng nghìn người tham gia sẵn sàng cài đặt công cụ và phối hợp các cuộc tấn công chống lại các mục tiêu được chỉ định bởi các nhà điều hành của nhóm," SOCRadar cho biết. "Thông qua tuyên truyền, trò chơi hóa và phần thưởng tiền điện tử, NoName057(16) đã xây dựng một lực lượng tấn công phân tán không yêu cầu kỹ năng kỹ thuật tối thiểu để tham gia, nhưng lại thể hiện sự tinh vi trong hoạt động đáng kể." Theo Censys, việc nhắm mục tiêu của công cụ chuyên dụng này tập trung mạnh vào Ukraine, các đồng minh châu Âu và các quốc gia NATO trong các lĩnh vực chính phủ, quân sự, giao thông vận tải, tiện ích công cộng, tài chính và du lịch.
-
Các công cụ rút tiền điện tử liên kết
Rublevka Team, một chiến dịch rút tiền điện tử của Nga
Một hoạt động tội phạm mạng lớn mang tên Rublevka Team chuyên về trộm cắp tiền điện tử quy mô lớn kể từ khi thành lập vào năm 2023, tạo ra hơn 10 triệu USD thông qua các chiến dịch rút ví do các chi nhánh điều khiển. "Rublevka Team là một ví dụ về 'traffer team,' bao gồm một mạng lưới hàng nghìn chuyên gia kỹ thuật xã hội được giao nhiệm vụ hướng lưu lượng truy cập của nạn nhân đến các trang độc hại," Recorded Future cho biết. "Không giống như các phương pháp dựa trên phần mềm độc hại truyền thống như những gì được sử dụng bởi các nhóm trafficker Markopolo và Crazy Evil, Rublevka Team triển khai các tập lệnh JavaScript tùy chỉnh thông qua các trang đích giả mạo các dịch vụ tiền điện tử hợp pháp, lừa nạn nhân kết nối ví của họ và ủy quyền các giao dịch gian lận." Rublevka Team cung cấp cho các chi nhánh quyền truy cập vào các bot Telegram hoàn toàn tự động, trình tạo trang đích, các tính năng né tránh và hỗ trợ hơn 90 loại ví. Điều này tiếp tục làm giảm rào cản kỹ thuật gia nhập, cho phép các tác nhân đe dọa xây dựng một hệ sinh thái rộng lớn gồm các chi nhánh toàn cầu có khả năng khởi động các vụ lừa đảo khối lượng lớn với sự giám sát tối thiểu. Kênh Telegram chính của Rublevka Team có khoảng 7.000 thành viên tính đến thời điểm hiện tại.
-
Thời hạn loại bỏ TLS
Microsoft thúc giục di chuyển sang TLS 1.2 cho Azure Blob Storage
Microsoft đang thúc giục khách hàng bảo mật cơ sở hạ tầng của họ bằng Transport Layer Security (TLS) phiên bản 1.2 cho Azure Blob Storage và loại bỏ sự phụ thuộc vào TLS phiên bản 1.0 và 1.1. "Vào ngày 3 tháng 2 năm 2026, Azure Blob Storage sẽ ngừng hỗ trợ các phiên bản 1.0 và 1.1 của Transport Layer Security (TLS)," Microsoft cho biết. "TLS 1.2 sẽ trở thành phiên bản TLS tối thiểu mới. Thay đổi này ảnh hưởng đến tất cả các tài khoản lưu trữ blob hiện có và mới, sử dụng TLS 1.0 và 1.1 trên tất cả các đám mây. Các tài khoản lưu trữ đã sử dụng TLS 1.2 không bị ảnh hưởng bởi thay đổi này."
-
Kỹ thuật xã hội qua thư thoại
Mồi nhử thư thoại tiếng Đức dẫn đến truy cập từ xa
Trong một chiến dịch mới, các tin nhắn thư thoại giả mạo với các tên miền phụ theo chủ đề ngân hàng đã được tìm thấy để hướng mục tiêu đến một trải nghiệm "nghe tin nhắn của bạn" thuyết phục được thiết kế trông bình thường và đáng tin cậy. Trên thực tế, cuộc tấn công dẫn đến việc triển khai Remotely RMM, một phần mềm truy cập từ xa hợp pháp, ghi danh hệ thống nạn nhân vào một môi trường do kẻ tấn công kiểm soát để cho phép truy cập và quản lý từ xa liên tục. "Luồng này dựa vào social engineering hơn là các exploit, sử dụng mồi nhử để thuyết phục người dùng phê duyệt các bước cài đặt," Censys cho biết. "Mục tiêu cuối cùng là cài đặt một công cụ RMM (remote monitoring and management), ghi danh thiết bị vào một môi trường do kẻ tấn công kiểm soát."
-
Botnet proxy toàn cầu
Botnet SystemBC có hơn 10.000 IP bị nhiễm
Một hoạt động phần mềm độc hại lâu đời được gọi là SystemBC (còn gọi là Coroxy hoặc DroxiDat) đã được liên kết với hơn 10.000 địa chỉ IP bị nhiễm trên toàn cầu, bao gồm các hệ thống liên quan đến cơ sở hạ tầng chính phủ nhạy cảm ở Burkina Faso và Việt Nam. Nồng độ cao nhất của các địa chỉ IP bị nhiễm đã được quan sát thấy ở Hoa Kỳ, tiếp theo là Đức, Pháp, Singapore và Ấn Độ, theo Silent Push. Được biết đến là hoạt động từ ít nhất năm 2019, phần mềm độc hại này thường được sử dụng để proxy lưu lượng truy cập qua các hệ thống bị xâm nhập, để duy trì quyền truy cập liên tục vào các mạng nội bộ hoặc triển khai phần mềm độc hại bổ sung. "Cơ sở hạ tầng liên quan đến SystemBC đặt ra một rủi ro dai dẳng do vai trò của nó sớm trong chuỗi xâm nhập và việc sử dụng nó trên nhiều tác nhân đe dọa," Silent Push cho biết. "Giám sát chủ động là rất quan trọng, vì hoạt động liên quan đến SystemBC thường là tiền thân của việc triển khai ransomware và các hành vi lạm dụng tiếp theo khác."
-
Truy cập ban đầu qua screensaver
Windows Screensaver dẫn đến triển khai RMM
Một chiến dịch spear-phishing mới sử dụng mồi nhử theo chủ đề kinh doanh đã được quan sát thấy đang lừa người dùng chạy một tệp screensaver (.SCR) của Windows, tệp này sẽ âm thầm cài đặt một công cụ RMM hợp pháp như SimpleHelp, cấp cho kẻ tấn công quyền kiểm soát từ xa tương tác. "Chuỗi phân phối được xây dựng để trốn tránh các biện pháp phòng thủ dựa trên danh tiếng bằng cách ẩn mình sau các dịch vụ đáng tin cậy," ReliaQuest cho biết. "Điều này làm giảm cơ sở hạ tầng do kẻ tấn công sở hữu và khiến việc gỡ bỏ và ngăn chặn chậm hơn và ít đơn giản hơn. Các tệp SCR là một vector truy cập ban đầu đáng tin cậy vì chúng là các tệp thực thi không phải lúc nào cũng nhận được các kiểm soát cấp thực thi. Khi người dùng tải xuống và chạy chúng từ email hoặc liên kết đám mây, kẻ tấn công có thể kích hoạt thực thi mã trong khi bỏ qua các chính sách được điều chỉnh chủ yếu cho các tệp EXE và MSI."
-
Leo thang lạm dụng driver
Các cuộc tấn công BYOVD trở thành tiêu chuẩn trong kế hoạch tấn công ransomware
Các tác nhân đe dọa đang lạm dụng một driver kernel hợp pháp nhưng đã bị thu hồi của Guidance Software (EnCase) như một phần của cuộc tấn công bring your own vulnerable driver (BYOVD) để leo thang đặc quyền và cố gắng vô hiệu hóa 59 công cụ bảo mật. Trong một cuộc tấn công được quan sát thấy vào đầu tháng này, những kẻ tấn công đã lợi dụng thông tin đăng nhập SonicWall SSL-VPN bị xâm phạm để truy cập ban đầu vào mạng nạn nhân và triển khai một EDR lạm dụng driver ("EnPortv.sys") để chấm dứt các quy trình bảo mật từ chế độ kernel. "Cuộc tấn công đã bị gián đoạn trước khi triển khai ransomware, nhưng trường hợp này làm nổi bật một xu hướng ngày càng tăng: các tác nhân đe dọa vũ khí hóa các driver hợp pháp, đã ký để làm mù bảo mật điểm cuối," các nhà nghiên cứu Anna Pham và Dray Agha của Huntress cho biết. "Chứng chỉ của driver EnCase đã hết hạn vào năm 2010 và sau đó bị thu hồi, nhưng Windows vẫn tải nó, một lỗ hổng trong Driver Signature Enforcement mà những kẻ tấn công tiếp tục khai thác."
-
Lỗi mã hóa ransomware
Lỗ hổng trong biến thể VMware ESXi của Nitrogen ransomware
Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗi mã hóa trong Nitrogen ransomware mà khiến nó mã hóa tất cả các tệp bằng khóa công khai sai, làm hỏng chúng không thể phục hồi được. "Điều này có nghĩa là ngay cả tác nhân đe dọa cũng không thể giải mã chúng, và các nạn nhân không có bản sao lưu khả thi không có khả năng phục hồi các máy chủ ESXi bị mã hóa của họ," Coveware cho biết. "Việc trả tiền chuộc sẽ không giúp được những nạn nhân này, vì khóa/công cụ giải mã sẽ không hoạt động."
-
Leo thang AI Cloud
Xâm nhập AI-Assisted Cloud đạt quyền quản trị trong vòng chưa đầy 10 phút
Một hoạt động tấn công đám mây nhắm vào môi trường Amazon Web Services (AWS) đã chuyển từ truy cập ban đầu sang đặc quyền quản trị trong tám phút. Bất chấp tốc độ của cuộc tấn công, Sysdig cho biết hoạt động này mang dấu hiệu của việc sử dụng LLM để tự động hóa trinh sát, tạo mã độc hại và đưa ra quyết định theo thời gian thực. "Tác nhân đe dọa đã giành được quyền truy cập ban đầu vào tài khoản AWS của nạn nhân thông qua thông tin đăng nhập được phát hiện trong các S3 buckets công khai," Sysdig cho biết. "Sau đó, chúng nhanh chóng leo thang đặc quyền thông qua Lambda function code injection, di chuyển ngang qua 19 AWS principals độc nhất, lạm dụng Amazon Bedrock để LLMjacking, và khởi chạy các GPU instances để đào tạo mô hình."
Dòng thời gian của cuộc tấn công xâm nhập đám mây được hỗ trợ bởi AI. -
Chuỗi phishing đám mây
Chiến dịch lừa đảo Dropbox giả mạo đánh cắp thông tin đăng nhập
Một kế hoạch phishing đã sử dụng email lừa đảo theo chủ đề mua sắm và đấu thầu để phân phối các tệp đính kèm PDF khởi tạo một chuỗi tấn công đa giai đoạn nhằm đánh cắp thông tin đăng nhập Dropbox của người dùng và gửi chúng đến một bot Telegram. Sau khi dữ liệu được truyền đi, nó mô phỏng quá trình đăng nhập bằng cách sử dụng độ trễ 5 giây và được cấu hình để hiển thị thông báo lỗi "Invalid email or password". "Chuỗi độc hại dựa vào cơ sở hạ tầng đám mây có vẻ hợp pháp, chẳng hạn như Vercel Blob storage, để lưu trữ một tệp PDF cuối cùng chuyển hướng nạn nhân đến một trang giả mạo Dropbox được thiết kế để thu thập thông tin đăng nhập," Forcepoint cho biết. "Vì Dropbox là một thương hiệu quen thuộc và đáng tin cậy, yêu cầu thông tin đăng nhập dường như hợp lý đối với những người dùng không nghi ngờ. Chính tại đây, chiến dịch chuyển từ lừa dối sang tác động."
-
Lỗ hổng thoát khỏi sandbox
Lỗ hổng nghiêm trọng trong Sandboxie
Một lỗ hổng bảo mật được đánh giá nghiêm trọng trong Sandboxie (CVE-2025-64721, điểm CVSS: 9.9) đã được tiết lộ, nếu bị khai thác thành công, có thể cho phép các tiến trình trong sandbox thực thi mã tùy ý dưới quyền SYSTEM, làm tổn hại hoàn toàn máy chủ. Vấn đề nằm ở một dịch vụ có tên "SboxSvc.exe," chạy với quyền SYSTEM và hoạt động như "Responsible Adult" giữa các tiến trình trong sandbox và các tài nguyên máy tính thực. Vấn đề này đã được khắc phục trong phiên bản 1.16.7. "Trong trường hợp này, sự phụ thuộc vào số học con trỏ kiểu C thủ công trên một định nghĩa giao diện an toàn (như IDL) đã để lại một lỗ hổng," nhà nghiên cứu Mav Levin của depthfirst, người đã phát hiện ra lỗ hổng, cho biết. "Một lần kiểm tra tràn số nguyên bị thiếu, cùng với sự tin tưởng ngầm vào độ dài thông báo do máy khách cung cấp, đã biến Responsible Adult thành nạn nhân."
-
Cơ sở hạ tầng AsyncRAT bị lộ
Hoạt động C2 AsyncRAT được lập bản đồ
Nền tảng quản lý bề mặt tấn công Censys cho biết họ đang theo dõi 57 máy chủ liên quan đến AsyncRAT đang hoạt động bị phơi bày trên internet công cộng tính đến tháng 1 năm 2026. Được phát hành lần đầu vào năm 2019, AsyncRAT cho phép truy cập trái phép dài hạn và kiểm soát sau xâm nhập, biến nó thành một công cụ đáng tin cậy để đánh cắp thông tin đăng nhập, dàn dựng di chuyển ngang và phân phối payload tiếp theo. Trong số 57 tài sản tổng thể, phần lớn được lưu trữ trên APIVERSA (13% máy chủ), mạng Contabo (11% kết hợp) và AS-COLOCROSSING (5.5%), cho thấy các nhà điều hành ưu tiên lưu trữ chi phí thấp, dung thứ lạm dụng hơn là các nhà cung cấp đám mây lớn. "Các máy chủ này chủ yếu tập trung trong một số lượng nhỏ các hệ thống tự trị tập trung vào VPS và thường xuyên tái sử dụng một chứng chỉ TLS tự ký đặc biệt xác định dịch vụ là 'AsyncRAT Server,' cho phép khám phá cơ sở hạ tầng liên quan có thể mở rộng vượt ra ngoài phát hiện dựa trên mẫu," Censys cho biết.
-
Sự trùng lặp kỹ thuật tấn công của Typhoon
Sự trùng lặp chiến thuật giữa Violet Typhoon và Volt Typhoon
Một phân tích về các chiến dịch khác nhau được thực hiện bởi các nhóm hack Trung Quốc Violet Typhoon và Volt Typhoon đã tiết lộ việc sử dụng một số chiến thuật chung: khai thác các lỗ hổng zero-day trong các thiết bị biên, các kỹ thuật living-off-the-land (LotL) để di chuyển qua mạng và ẩn mình trong hoạt động mạng bình thường, và mạng Operational Relay Box (ORB) để che giấu các hoạt động gián điệp. "Các tác nhân đe dọa quốc gia Trung Quốc gần như chắc chắn sẽ tiếp tục theo đuổi các mục tiêu có giá trị cao, và có khả năng họ sẽ mở rộng hoạt động để tiến hành các chiến dịch toàn cầu và nhắm mục tiêu vào càng nhiều thực thể trong mỗi khu vực hoặc ngành càng tốt để tối đa hóa lợi ích của họ trong mọi cuộc khai thác," Intel471 cho biết. "Sự gia tăng cải thiện tư thế an ninh mạng của nhiều quốc gia mục tiêu chính đã buộc các lực lượng tình báo do nhà nước Trung Quốc tài trợ phải sáng tạo hơn với các chiến lược tấn công của họ."
-
Sự gia tăng phân phối ClickFix
Từ ErrTraffic đến IClickFix
Các tác nhân đe dọa đang sử dụng một framework tên IClickFix có thể được dùng để xây dựng các trang ClickFix trên các trang WordPress bị hack. Theo công ty bảo mật Sekoia, framework này đã hoạt động trên hơn 3.800 trang web kể từ tháng 12 năm 2024. "Cụm này sử dụng một framework JavaScript độc hại được tiêm vào các trang WordPress bị xâm nhập để hiển thị mồi nhử ClickFix và phân phối NetSupport RAT," công ty an ninh mạng Pháp cho biết. Chiến dịch phân phối phần mềm độc hại tận dụng chiến thuật social engineering ClickFix thông qua một Traffic Distribution System (TDS). Nghi ngờ rằng kẻ tấn công lạm dụng trình rút gọn URL mã nguồn mở YOURLS làm TDS. Trong những tháng gần đây, các tác nhân đe dọa cũng đã được tìm thấy sử dụng một TDS khác có tên ErrTraffic để tiêm JavaScript độc hại vào các trang web bị xâm nhập nhằm khiến chúng bị trục trặc và sau đó đề xuất một bản sửa lỗi để giải quyết vấn đề không tồn tại.
Trong tất cả các bản cập nhật này, điểm chung là hiệu quả hoạt động. Những kẻ tấn công đang cắt giảm thời gian giữa truy cập và tác động, loại bỏ ma sát từ công cụ và dựa nhiều hơn vào tự động hóa, các framework được xây dựng sẵn và cơ sở hạ tầng có thể tái sử dụng. Tốc độ không còn là một sản phẩm phụ — đó là một mục tiêu thiết kế.
Một sự thay đổi khác nằm ở phía phòng thủ. Một số trường hợp cho thấy các lỗ hổng bảo mật đang hình thành không phải từ các mối đe dọa chưa biết, mà từ các hành vi đã biết — cấu hình cũ, tích hợp đáng tin cậy, phơi nhiễm bị bỏ qua và các giả định về cách các công cụ nên hoạt động.
Tổng hợp lại, các tín hiệu chỉ ra một môi trường đe dọa đang mở rộng âm thầm hơn là ồn ào — phạm vi tiếp cận rộng hơn, khả năng hiển thị thấp hơn và chu kỳ thực thi nhanh hơn. Các mảnh ghép trong bản tin này phác thảo hướng đi đó.
