Một ngày thứ Hai đầy sóng gió.
Lại có ai đó đầu độc bản tải xuống đáng tin cậy, ai đó khác biến máy chủ đám mây thành "nhà ở công cộng", và một vài nhóm hacker vẫn đang đột nhập vào các hệ thống bằng những lỗ hổng lẽ ra đã phải bị loại bỏ từ nhiều năm trước — vẫn là những lỗ hổng cũ, những con đường truy cập lười biếng, cùng một cảm giác "tại sao cái này vẫn còn hở". Một báo cáo tuần này cơ bản giống như kể về một anh chàng tình cờ vấp phải quyền root và quyết định ở lại đó luôn.
Điều kỳ lạ là giờ đây tất cả những chuyện này nghe thật bình thường. Cập nhật giả mạo. Backdoor âm thầm. Các công cụ điều khiển từ xa được sử dụng như chìa khóa vạn năng. Những kẻ trên diễn đàn trao đổi quyền truy cập bị đánh cắp trong khi những người phòng thủ lại đốt thêm một ngày cuối tuần để truy vết log và cầu nguyện rằng lưu lượng truy cập kỳ lạ đó chỉ là nhiễu giám sát. Internet đang được giữ với nhau bằng băng dính và những đêm thiếu ngủ.
Dù sao thì, đã đến lúc tóm tắt tin tức thứ Hai. Vẫn là ngọn lửa đó, nhưng làn khói thì mới.
⚡ Mối đe dọa của tuần
Lỗ hổng Ivanti EPMM và Palo Alto Networks PAN-OS đang bị tấn công—Ivanti đã cảnh báo khách hàng rằng những kẻ tấn công đã vũ khí hóa thành công CVE-2026-6973, một lỗi xác thực đầu vào không đúng trong Endpoint Manager Mobile (EPMM) cho phép người dùng đã xác thực với quyền quản trị có thể thực thi mã từ xa. Công ty không cho biết thời điểm lần đầu tiên xảy ra vụ khai thác hoặc chính xác bao nhiêu khách hàng đã bị ảnh hưởng. Trong một diễn biến liên quan, những kẻ tấn công đang tích cực khai thác một lỗ hổng Zero-Day ảnh hưởng đến tường lửa của một số khách hàng Palo Alto Networks. Giống như trường hợp của Ivanti, Palo Alto Networks không cho biết họ đã phát hiện ra việc khai thác tích cực từ khi nào hoặc như thế nào, nhưng cho biết các tác nhân đe dọa có thể đã cố gắng khai thác lỗ hổng bảo mật nghiêm trọng mới được công bố từ ngày 9 tháng 4 năm 2026. Lỗ hổng tham nhũng bộ nhớ, được theo dõi là CVE-2026-0300, ảnh hưởng đến cổng xác thực của PAN-OS và cho phép những kẻ tấn công chưa xác thực thực thi mã với quyền root trên tường lửa PA-Series và VM-Series. Nền tảng quản lý bề mặt tấn công Censys cho biết họ đã phát hiện khoảng 263.000 máy chủ lộ diện trên Internet đang chạy PAN-OS. Các bản vá dự kiến sẽ được phát hành bắt đầu từ ngày 13 tháng 5 năm 2026.
🔔 Tin tức hàng đầu
- Phát hiện Quasar Linux RAT mới—Những kẻ tấn công đã tìm ra cách mới để biến hệ thống Linux thành điểm xâm nhập cho các vụ vi phạm chuỗi cung ứng hoặc cơ sở hạ tầng đám mây với khả năng chống chịu cao. Khung mã độc mới, được đặt tên là Quasar Linux hoặc QLNX, là một Trojan truy cập từ xa (RAT) dạng mô-đun trên Linux có thể thu thập dữ liệu từ các hệ thống bị xâm nhập. Điểm khác biệt là nó sử dụng khả năng mạng ngang hàng (P2P) biến các máy bị nhiễm đơn lẻ thành một mạng lưới lây nhiễm liên kết với nhau, khiến chiến dịch này rất khó bị tiêu diệt và cho phép các vật chủ bị nhiễm liên lạc với nhau thay vì phụ thuộc hoàn toàn vào các máy chủ tập trung.
- PCPJack thay thế mã độc TeamPCP để đánh cắp bí mật đám mây—Một tác nhân đe dọa ẩn danh đã phát động chiến dịch dọn dẹp các môi trường bị nhiễm bởi nhóm hacker TeamPCP khét tiếng và thả các công cụ độc hại của riêng mình để đánh cắp thông tin xác thực từ đám mây, container và các dịch vụ tài chính. Chiến dịch này có khả năng tự nhân bản bằng cách di chuyển ngang hàng bên trong mạng và sang các mục tiêu khác bằng cách đột nhập vào cơ sở hạ tầng đám mây sơ hở.
- MuddyWater sử dụng Chaos Ransomware làm mồi nhử—Nhóm gián điệp được nhà nước Iran bảo trợ đã giả dạng một băng đảng Ransomware thông thường trong một cuộc tấn công mới đầu năm 2026. Nhóm MuddyWater đã ngụy trang các hoạt động của mình thành một vụ tấn công Chaos Ransomware, dựa trên kỹ thuật xã hội qua Microsoft Teams để giành quyền truy cập và thiết lập sự hiện diện lâu dài trong môi trường nạn nhân. Tuy nhiên, không có Ransomware mã hóa tệp nào được triển khai, cho thấy đây có thể là vỏ bọc cho mục đích gián điệp.
- Tấn công chuỗi cung ứng DAEMON Tools dẫn đến QUIC RAT—Tin tặc đã xâm nhập trình cài đặt của DAEMON Tools trong một cuộc tấn công chuỗi cung ứng ảnh hưởng đến người dùng tại hơn 100 quốc gia. Các phiên bản độc hại, được quan sát thấy lần đầu vào đầu tháng 4, đã tác động đến hàng nghìn máy tính. Sau khi thu thập dữ liệu hệ thống, kẻ tấn công triển khai một implant có tên mã QUIC RAT nhắm vào các mục tiêu chọn lọc trong lĩnh vực giáo dục, chính phủ và sản xuất.
- Các nhóm tội phạm mạng sử dụng Vishing để đánh cắp dữ liệu—Một chiến dịch phishing tích cực đã sử dụng phần mềm quản lý và giám sát từ xa (RMM) hợp pháp như SimpleHelp và ScreenConnect để thiết lập quyền truy cập từ xa bền bỉ. Việc lạm dụng các công cụ IT hợp pháp giúp kẻ tấn công vượt qua các biện pháp kiểm soát an ninh và ẩn mình trong các hoạt động bình thường của doanh nghiệp.
🔥 Các CVE nổi bật
Các lỗ hổng xuất hiện hàng tuần và khoảng cách giữa bản vá và việc khai thác đang thu hẹp nhanh chóng. Đây là những cái tên đáng chú ý nhất: mức độ nghiêm trọng cao, được sử dụng rộng rãi hoặc đã bị thăm dò trong thực tế.
Hãy kiểm tra danh sách và ưu tiên xử lý các mục được đánh dấu khẩn cấp trước: CVE-2026-6973 (Ivanti EPMM), CVE-2026-0300 (Palo Alto Networks PAN-OS), CVE-2026-29014 (MetInfo), CVE-2026-22679 (Weaver E-cology), CVE-2026-4670 (Progress MOVEit Automation), CVE-2026-43284 (Linux Kernel), CVE-2026-7482 (Ollama), cùng các lỗi bảo mật trên cPanel, Apache HTTP Server, và PostgreSQL.
📰 Thế giới an ninh mạng
- Website JDownloader bị xâm nhập trong tấn công chuỗi cung ứng: Website của công cụ quản lý tải xuống mã nguồn mở JDownloader đã bị chiếm quyền điều khiển để phân phối trình cài đặt Windows và Linux độc hại chứa Python-based RAT.
- Chiến dịch Operation HookedWing nhắm mục tiêu hơn 500 tổ chức: Một chiến dịch phishing kéo dài từ năm 2022 đã đánh cắp 2.000 thông tin xác thực, chủ yếu ảnh hưởng đến các ngành hàng không, năng lượng và hạ tầng trọng yếu.
- OpenAI triển khai GPT-5.5-Cyber: Một biến thể tập trung vào bảo mật của mô hình ngôn ngữ lớn đã được tung ra thử nghiệm giới hạn cho các nhóm an ninh mạng, được thiết kế để hỗ trợ tốt hơn cho các tác vụ liên quan đến an ninh.
- Backdoor FIRESTARTER nhắm vào thiết bị Cisco: CISA tiết lộ một thiết bị Cisco Firepower chạy phần mềm ASA đã bị xâm nhập bởi mã độc FIRESTARTER, có khả năng tồn tại bền bỉ sau khi khởi động lại hoặc cập nhật firmware.
- 60% mã băm mật khẩu MD5 có thể bị bẻ khóa trong chưa đầy một giờ: Phân tích 231 triệu mật khẩu từ các vụ rò rỉ web tối cho thấy sức mạnh của các GPU mới như RTX 5090 đang giúp kẻ tấn công brute-force mật khẩu với tốc độ kinh hoàng.
- Tấn công tống tiền ShinyHunters nhắm vào Instructure: Nhóm ShinyHunters đã tấn công nhà cung cấp hệ thống Canvas, tuyên bố đánh cắp 3,65TB dữ liệu từ hàng nghìn tổ chức, bao gồm nhiều trường đại học lớn.
🔧 Công cụ an ninh mạng
- AiSOC: Trung tâm điều hành an ninh (SOC) mã nguồn mở, tự lưu trữ và được hỗ trợ bởi AI, giúp điều tra cảnh báo và phân loại sự cố.
- Watcher: Nền tảng giúp các nhóm bảo mật giám sát và phát hiện các mối đe dọa mới nổi, theo dõi các tên miền khả nghi và rò rỉ thông tin.
Kết luận
Đó là tất cả thông tin của tuần này: các bản tải xuống bị đầu độc, rắc rối với đám mây, những lỗ hổng cũ dai dẳng và những kẻ tấn công không cần nỗ lực quá nhiều. Mọi người đều mệt mỏi, không ai còn tin tưởng vào các trình cài đặt nữa, và Internet bằng cách nào đó vẫn tiếp tục trở nên tồi tệ hơn theo những cách rất dễ đoán.
Hẹn gặp lại vào thứ Hai tới, giả sử không có gì bị "cháy" từ giờ đến lúc đó.
