Bản tin ThreatsDay: Sự cố AI Agent, Công cụ C2 mờ ám, Chiêu trò ClickFix, JavaScript Backdoor & hơn 20 tin tức mới

Mọi thứ lại trở nên rắc rối. Internet vẫn có cảm giác như được dán lại bằng băng dính. Các plugin tệ hại, lỗi cũ, công cụ giả mạo và các ứng dụng đáng tin cậy thực hiện những hành vi mờ ám. Vẫn là đống hỗn độn đó nhưng trong một lớp vỏ mới. Những điều kỳ lạ giờ đã trở nên bình thường. Các diễn đàn sập rồi quay lại tệ hơn. Hacker trình độ thấp có đồ chơi tốt hơn. AI bắt đầu phá vỡ các hệ thống thực tế. Tuyệt vời. Hãy đọc toàn bộ trước khi nó làm hỏng tuần của bạn.
ThreatsDay Bulletin

Mọi thứ lại trở nên rắc rối.

Internet vẫn có cảm giác như được dán lại bằng băng dính. Các plugin tệ hại, lỗi cũ, công cụ giả mạo, và các ứng dụng đáng tin cậy thực hiện những hành vi mờ ám. Vẫn là đống hỗn độn đó, nhưng trong một lớp vỏ mới. Giờ đây, những điều kỳ lạ đã trở thành bình thường. Các diễn đàn sập rồi quay lại tệ hơn. Hacker trình độ thấp có đồ chơi tốt hơn. AI bắt đầu phá vỡ các hệ thống thực tế. Tuyệt vời.

Hãy đọc toàn bộ nội dung trước khi nó làm hỏng tuần của bạn.

1. Nguy cơ SSRF không cần xác thực: Cisco vá lỗi Unified Communications Manager

Cisco đã phát hành các bản vá để giải quyết một lỗi bảo mật nghiêm trọng trong Unified Communications Manager (CVE-2026-20230, điểm CVSS: 8.6) có thể cho phép kẻ tấn công từ xa, không cần xác thực, thực hiện các cuộc tấn công Server-Side Request Forgery (SSRF) thông qua thiết bị bị ảnh hưởng. "Lỗ hổng này là do việc xác thực đầu vào không đúng cho các yêu cầu HTTP cụ thể," Cisco cho biết. Vấn đề đã được khắc phục trong các phiên bản Cisco Unified CM và Unified CM SME Release 14SU6 và 15SU5. Cisco lưu ý rằng họ đã biết về sự tồn tại của mã khai thác proof-of-concept nhưng chưa có bằng chứng về việc bị khai thác trong thực tế.

2. Chiến dịch spyware di động: Nga tuyên bố phát hiện chiến dịch quy mô lớn nhắm vào các quan chức cấp cao

Cơ quan An ninh Liên bang Nga (FSB) đã tiết lộ chi tiết về một "hành động quy mô lớn" do các dịch vụ tình báo nước ngoài thực hiện nhằm lén lút cài đặt spyware lên thiết bị di động của các quan chức cấp cao. "Phần mềm này được sử dụng để đánh cắp dữ liệu hiện có, chặn các cuộc hội thoại và thực hiện giám sát âm thanh, hình ảnh bí mật xung quanh thiết bị," FSB cho biết. Nga không tiết lộ ai đứng sau các vụ tấn công nhưng lưu ý rằng các cơ quan tình báo nước ngoài đã tận dụng khả năng kỹ thuật của các tập đoàn IT quốc tế lớn để đánh cắp dữ liệu.

3. Các chiêu trò Keylogger đa lớp: Phân tích các chiến dịch VIP Keylogger

Các tác nhân đe dọa đã dựa vào social engineering trong vài tháng qua để phát tán VIP Keylogger thông qua các loader viết bằng JavaScript, batch scripts và Visual Basic Script (VBS). "Kẻ tấn công giả mạo các thông báo giao dịch kinh doanh hợp pháp như thông báo thanh toán ngân hàng, đơn đặt hàng và cập nhật hậu cần để lừa người dùng mở các tệp độc hại," Splunk cho biết.

VIP Keylogger Campaign

4. Leo thang trừng phạt Crypto: Mỹ trừng phạt sàn giao dịch Nobitex

Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) thuộc Bộ Tài chính Mỹ đã công bố lệnh trừng phạt đối với Nobitex, sàn giao dịch tiền điện tử lớn nhất Iran, vì tạo điều kiện cho các khoản thanh toán liên quan đến hoạt động khủng bố. Theo Bộ Tài chính, Nobitex đã xử lý hơn 50% tổng lượng tài sản kỹ thuật số đổ vào Iran trong năm 2025 và hỗ trợ các hoạt động né tránh trừng phạt cũng như các nhóm ransomware liên quan đến IRGC.

5. Hệ lụy từ việc sập diễn đàn tội phạm mạng: XSS tan rã và phân mảnh

Việc lực lượng thực thi pháp luật triệt phá XSS, một diễn đàn tội phạm mạng tiếng Nga nổi tiếng vào tháng 7 năm 2025, không làm tiêu tan hệ sinh thái này mà khiến nó phân mảnh thành các phe phái cạnh tranh và khó theo dõi hơn. Một số diễn đàn mới đã xuất hiện để lấp đầy khoảng trống như DamageLib, Rehub, và XSS.pro (được nghi ngờ là một honeypot của cảnh sát).

6. Sự gia tăng lạm dụng RMM: Tiflux bị sử dụng trong các cuộc tấn công

Một công cụ remote desktop ít được biết đến có tên là Tiflux đang bị sử dụng trong số lượng lớn các cuộc tấn công để duy trì sự hiện diện, truyền ảnh chụp màn hình và thu thập thông tin hệ thống. Kẻ tấn công cũng cài đặt thêm các RMM thương mại khác như Splashtop và ScreenConnect để tăng cường khả năng kiểm soát.

7. Mạng lưới phân phối Malware: DriveSurge liên kết với ClickFix và FakeUpdates

Cụm đe dọa DriveSurge đã vận hành các chiến dịch phân phối malware quy mô lớn sử dụng kỹ thuật ClickFix và FakeUpdates (SocGholish) trên các trang web bị xâm nhập. DriveSurge hoạt động như một nhà môi giới truy cập ban đầu (IAB) theo mô hình pay-per-install (PPI), sử dụng hệ thống phân phối lưu lượng zTDS để điều hướng nạn nhân đến các trang web độc hại.

8. Rò rỉ dữ liệu nhạy cảm: Tây Ban Nha bắt giữ nghi phạm

Cảnh sát Quốc gia Tây Ban Nha đã bắt giữ một cá nhân vì rò rỉ thông tin nhạy cảm liên quan đến các thành viên của nhiều tổ chức nhà nước quan trọng, bao gồm Viện An ninh mạng Quốc gia (INCIBE), Văn phòng Tổng công tố và Hội đồng An ninh Quốc gia.

9. JavaScript Backdoor Malspam: Các chiến dịch nhắm vào lĩnh vực năng lượng và tài chính

Intrinsec tiết lộ nhiều chiến dịch malspam đã được sử dụng để phát tán backdoor viết bằng JavaScript. Mục tiêu của các chiến dịch này là các bộ năng lượng và tài chính, đặc biệt là ở khu vực CIS, với động cơ tài chính thông qua việc chiếm đoạt tài khoản email (EAC) hoặc email doanh nghiệp (BEC).

10. Phân phối Malware trên chuỗi khối: ClearFake tận dụng EtherHiding

Các nhà nghiên cứu đã phát hiện kẻ tấn công sử dụng kỹ thuật EtherHiding để định tuyến việc phân phối payload ClearFake thông qua các hợp đồng thông minh (smart contracts) trên BNB Smart Chain testnet. Cuộc tấn công kết thúc bằng việc triển khai đồng thời hai phần mềm đánh cắp dữ liệu là SectopRAT và ACRStealer.

EtherHiding Malware Delivery

11. Kỹ nghệ tấn công Cloud: Các nhóm APT khai thác ROADtools

Các nhóm hacker nhà nước như APT29, APT33 và UTA0355 đang khai thác ROADtools, một khung công cụ mã nguồn mở dựa trên Python, để trà trộn vào lưu lượng truy cập bình thường và né tránh phát hiện trong các cuộc xâm nhập cloud gần đây.

12. Tống tiền thuần túy bằng dữ liệu: Xu hướng không cần Ransomware

Các chiến dịch chỉ đánh cắp dữ liệu mà không triển khai ransomware để gây áp lực đang gia tăng. Năm 2025, các cuộc tấn công này chủ yếu nhắm vào các dịch vụ chuyên nghiệp, y tế và tiêu dùng. Đặc biệt, ngành xây dựng đã chứng kiến mức tăng 44% so với cùng kỳ năm ngoái.

13. Thử nghiệm né tránh EDR hỗ trợ bởi AI

Một tác nhân đe dọa không xác định đã sử dụng AI để tự động hóa việc khám phá Active Directory và tinh chỉnh các chiến thuật né tránh EDR. Kẻ tấn công được cho là đã sử dụng Cursor và Anthropic Claude Opus để phát triển các công cụ vượt qua các đại lý EDR, xây dựng gần 80 module bao gồm hơn 70 kỹ thuật khác nhau.

14. Malware trên Steam: Sử dụng hồ sơ cộng đồng làm Dead Drop Resolver

Một loại malware mới đang sử dụng các bình luận trên hồ sơ Steam để lưu trữ payload độc hại cho WordPress. Malware này sử dụng các ký tự Unicode vô hình để ẩn dữ liệu bên trong các bình luận, giúp né tránh các phương pháp phát hiện dựa trên văn bản truyền thống.

15. Công cụ tin tặc lén lút: FalkonC2 lạm dụng phần mềm đáng tin cậy

FalkonC2, một công cụ hacking thương mại, được thiết kế để ẩn mình trong môi trường doanh nghiệp bằng cách lạm dụng các phần mềm truy cập từ xa đáng tin cậy như ScreenConnect, Datto và SimpleHelp. Công cụ này cũng kiểm tra dữ liệu QuickBooks và Sage50 để tìm kiếm các hệ thống kế toán nhằm đánh cắp dữ liệu.

16. Bùng nổ lỗ hổng AI: Anthropic mở rộng Project Glasswing

Anthropic đang mở rộng quyền truy cập vào chương trình Project Glasswing để giúp xác minh, tiết lộ và vá số lượng lớn các lỗ hổng mà các mô hình AI như Claude Mythos có thể tìm thấy. Các tổ chức được cảnh báo có thể bị "choáng ngợp" bởi tốc độ kẻ tấn công sử dụng AI để tìm và khai thác lỗ hổng.

17. Lỗi Linux bị tấn công: CISA thêm lỗ hổng Kernel vào danh mục KEV

CISA đã thêm lỗ hổng Linux Kernel (CVE-2022-0492, điểm CVSS: 7.8) vào danh mục Known Exploited Vulnerabilities (KEV). Lỗ hổng này cho phép leo thang đặc quyền thông qua tính năng release_agent của cgroups v1 và đã được quan sát thấy trong các cuộc tấn công nhắm vào môi trường container.

18. Công cụ chỉnh sửa ảnh giả mạo phát tán Malware: BackgroundFix

Một chiêu dụ theo phong cách ClickFix mới dưới dạng các công cụ chỉnh sửa ảnh miễn phí đang được sử dụng để phát tán CastleLoader, từ đó cài đặt NetSupport RAT và CastleStealer. Hoạt động này được đặt tên mã là BackgroundFix.

19. Phòng chống đánh cắp Session: Google triển khai DBSC cho Workspace

Google đã công bố Device Bound Session Credentials (DBSC) trên trình duyệt Chrome hiện đã khả dụng rộng rãi và được bật mặc định cho người dùng Google Workspace. DBSC giúp liên kết session cookie với thiết bị, làm giảm đáng kể rủi ro bị đánh cắp session ngay cả khi có malware trên thiết bị.

20. Lạm dụng Adobe trong Phishing: Email LinkedIn giả mạo

Tội phạm mạng đang vũ khí hóa hạ tầng của Adobe trong một chiến dịch phishing LinkedIn để đánh cắp mật khẩu. Kẻ tấn công lạm dụng nền tảng thử nghiệm Adobe Target làm điểm điều hướng/lạm dụng trong luồng tấn công phishing.

21. Phòng thủ chuỗi cung ứng: RubyGems ra mắt bộ lọc "cooldown"

RubyGems đã đưa vào tính năng cooldown trong Bundler phiên bản 4.0.13, từ chối giải quyết một phiên bản gem cho đến khi nó được công khai ít nhất một số ngày nhất định. Điều này giúp ngăn chặn các bản phát hành quá mới, chưa được kiểm tra kỹ lưỡng bị khai thác trong các cuộc tấn công chuỗi cung ứng.

22. Tấn công nhắm vào Israel liên quan đến Iran

ESET ghi nhận sự gia tăng bất thường trong các hoạt động liên quan đến Iran nhắm vào các mục tiêu Israel từ tháng 10 năm 2025 đến tháng 3 năm 2026. Các cụm hoạt động như Rusty Boots và MoKhargosh đã thể hiện cả khả năng gián điệp và phá hoại hệ thống thông qua các loại wiper.

23. Hệ thống bình nhiên liệu bị lộ: CISA cảnh báo tấn công ATG

Chính phủ Mỹ đã ban hành cảnh báo thúc giục các tổ chức bảo vệ hệ thống Automatic Tank Gauge (ATG) bằng cách sử dụng mật khẩu mạnh và ngắt kết nối khỏi internet. Kẻ tấn công có thể xâm nhập các hệ thống này để can thiệp trực tiếp vào việc quản lý bình nhiên liệu.

24. Phòng thủ cuộc gọi giả mạo: Google thêm tính năng Scam Detection cho Android

Google đã công bố tính năng phát hiện cuộc gọi giả mạo dựa trên công nghệ RCS cho các thiết bị Android 12 trở lên. Tính năng này sử dụng một "cú bắt tay kỹ thuật số" được mã hóa đầu cuối để xác minh xem cuộc gọi có thực sự đến từ thiết bị của liên hệ đó hay không.

25. Thất bại của Agentic AI: Phân tích các sự cố bảo mật và vận hành

Phân tích 7.200 sự cố AI cho thấy có 344 trường hợp thiệt hại do các agent tự hành gây ra cho doanh nghiệp mà không cần sự can thiệp của kẻ tấn công bên ngoài. Các kết quả bao gồm xóa cơ sở dữ liệu, hành động phá hoại cloud, và các hoạt động tài chính không được phép.

Bài học ở đây thật nhàm chán vì nó luôn luôn như vậy. Hãy vá lỗi nhanh hơn, xóa bỏ các bảng điều khiển admin bị lộ, ngừng tin tưởng các công cụ "an toàn" chỉ vì cái tên, và theo dõi những góc khuất kỳ lạ nơi những kẻ tấn công thích ẩn nấp. Những thứ rẻ tiền vẫn hiệu quả vì có quá nhiều đội ngũ để mặc nó như vậy.

An ninh mạng không phải là phép màu. Đó là việc quản lý tài sản, log, đặc quyền tối thiểu, sao lưu, kiểm tra khôi phục, và những con người nhận ra khi một thứ gì đó bình thường bắt đầu hoạt động sai cách. Làm tốt điều đó, và một nửa đống hỗn độn này sẽ bớt kịch tính hơn nhiều. Đó chính là mục tiêu.