⚡ Tóm tắt Tuần: Mã độc WhatsApp Worm, các CVE quan trọng, Oracle 0-Day, Liên minh Ransomware & Hơn thế nữa

Mỗi tuần, thế giới mạng lại nhắc nhở chúng ta rằng im lặng không có nghĩa là an toàn. Các cuộc tấn công thường bắt đầu lặng lẽ — một lỗ hổng chưa được vá, một thông tin đăng nhập bị bỏ qua, một bản sao lưu không được mã hóa. Đến khi chuông báo động vang lên, thiệt hại đã xảy ra.

Ấn phẩm tuần này sẽ xem xét cách tin tặc đang thay đổi cuộc chơi — liên kết các lỗ hổng khác nhau, hợp tác xuyên biên giới và thậm chí biến các công cụ đáng tin cậy thành vũ khí. Từ các lỗi phần mềm lớn đến lạm dụng AI và các thủ thuật phishing mới, mỗi câu chuyện đều cho thấy tốc độ thay đổi của bối cảnh mối đe dọa và tại sao bảo mật cần phải di chuyển nhanh chóng như vậy.

⚡ Mối đe dọa của Tuần

Hàng chục tổ chức bị ảnh hưởng bởi khai thác lỗ hổng Oracle EBS — Hàng chục tổ chức có thể đã bị ảnh hưởng sau khi khai thác zero-day một lỗ hổng bảo mật trong phần mềm Oracle's E-Business Suite (EBS) từ ngày 9 tháng 8 năm 2025, theo Google Threat Intelligence Group (GTIG) và Mandiant. Hoạt động này, mang một số dấu hiệu liên quan đến nhóm ransomware Cl0p, được đánh giá là đã kết hợp nhiều lỗ hổng riêng biệt, bao gồm một lỗ hổng zero-day được theo dõi là CVE-2025-61882 (điểm CVSS: 9.8), để xâm nhập mạng mục tiêu và trích xuất dữ liệu nhạy cảm. Các chuỗi tấn công được phát hiện đã kích hoạt hai chuỗi payload khác nhau, thả các họ mã độc như GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF và SAGEWAVE. Oracle cũng đã phát hành các bản cập nhật cho EBS để khắc phục một lỗ hổng khác trong cùng sản phẩm (CVE-2025-61884) có thể dẫn đến truy cập trái phép vào dữ liệu nhạy cảm. Công ty không đề cập liệu nó có đang bị khai thác trong thực tế hay không.

Kết thúc phiên & Tóm tắt hoạt động tự động: Tạm biệt việc xem xét nhật ký thủ công

Các mối đe dọa di chuyển nhanh. KeeperAI di chuyển nhanh hơn. Với khả năng phát hiện và phản ứng mối đe dọa AI tự động, theo thời gian thực, các phiên có rủi ro cao sẽ bị chấm dứt ngay lập tức và mọi hành động được phân loại theo mức độ rủi ro và tóm tắt. Tự động hóa việc phát hiện mối đe dọa nội bộ và loại bỏ việc xem xét nhật ký thủ công mãi mãi.

Bắt đầu dùng thử miễn phí ➝

🔔 Tin tức hàng đầu

• Storm-1175 liên quan đến việc khai thác lỗ hổng GoAnywhere MFT — Một nhóm tội phạm mạng mà Microsoft theo dõi là Storm-1175 đã khai thác một lỗ hổng nghiêm trọng tối đa trong GoAnywhere MFT (CVE-2025-10035) để khởi động các cuộc tấn công đa giai đoạn, bao gồm ransomware Medusa. Các cuộc tấn công của Storm-1175 mang tính cơ hội và đã ảnh hưởng đến các tổ chức trong các lĩnh vực vận tải, giáo dục, bán lẻ, bảo hiểm và sản xuất. Hoạt động này kết hợp các công cụ hợp pháp với các kỹ thuật lén lút để hoạt động dưới tầm kiểm soát và kiếm tiền thông qua tống tiền và đánh cắp dữ liệu, sử dụng quyền truy cập để cài đặt các công cụ giám sát từ xa như SimpleHelp và MeshAgent, thả web shells và di chuyển ngang qua các mạng bằng cách sử dụng các tiện ích tích hợp sẵn của Windows. Fortra đã tiết lộ rằng họ đã bắt đầu điều tra vào ngày 11 tháng 9 sau khi một khách hàng báo cáo một "lỗ hổng tiềm ẩn", phát hiện "hoạt động đáng ngờ tiềm tàng" liên quan đến lỗ hổng.
• OpenAI đã ngăn chặn ba nhóm đến từ Trung Quốc, Triều Tiên và Nga — OpenAI cho biết họ đã ngăn chặn ba nhóm hoạt động vì lạm dụng công cụ trí tuệ nhân tạo (AI) ChatGPT của mình để tạo điều kiện phát triển mã độc. Điều này bao gồm một tác nhân đe dọa nói tiếng Nga, người được cho là đã sử dụng chatbot để giúp phát triển và tinh chỉnh một remote access trojan (RAT), một credential stealer với mục đích né tránh phát hiện. Nhóm hoạt động thứ hai có nguồn gốc từ Triều Tiên, sử dụng ChatGPT để phát triển mã độc và command-and-control (C2), tập trung vào việc phát triển tiện ích mở rộng macOS Finder, cấu hình Windows Server VPNs hoặc chuyển đổi tiện ích mở rộng Chrome sang phiên bản Safari tương đương. Nhóm tài khoản bị cấm thứ ba có sự trùng lặp với một nhóm được theo dõi là UNK_DropPitch (còn gọi là UTA0388), một nhóm tin tặc Trung Quốc đã sử dụng chatbot AI để tạo nội dung cho các chiến dịch phishing bằng tiếng Anh, tiếng Trung và tiếng Nhật; hỗ trợ công cụ để tăng tốc các tác vụ thường xuyên như remote execution và traffic protection bằng HTTPS; và tìm kiếm thông tin liên quan đến việc cài đặt các công cụ mã nguồn mở như nuclei và fscan.
• Hơn 175 gói npm được sử dụng cho chiến dịch Phishing — Theo một diễn biến bất thường, các tác nhân đe dọa đã được quan sát thấy đẩy các gói npm dùng một lần mà, một khi được cài đặt, được thiết kế để tạo và xuất bản một gói npm của riêng nó với mẫu "redirect-xxxxxx" hoặc "mad-xxxxxx", sau đó tự động chuyển hướng nạn nhân đến các trang web thu thập thông tin đăng nhập khi được mở từ các tài liệu kinh doanh HTML được tạo sẵn. "Không giống như chiến thuật quen thuộc hơn là chỉ đơn giản tải lên các gói độc hại để xâm phạm các nhà phát triển trong quá trình cài đặt gói, chiến dịch này đi theo một con đường khác," Snyk cho biết. "Thay vì lây nhiễm cho người dùng qua npm install, những kẻ tấn công tận dụng đường dẫn phân phối trình duyệt thông qua UNPKG, biến cơ sở hạ tầng lưu trữ mã nguồn mở hợp pháp thành một cơ chế phishing." Người ta tin rằng các tệp HTML được tạo thông qua các gói npm được phân phối cho nạn nhân, những người sau đó được chuyển hướng đến các trang web phishing thông tin đăng nhập khi họ cố gắng mở chúng. Trong các gói được Snyk phân tích, các trang này giả mạo các kiểm tra bảo mật Cloudflare trước khi dẫn nạn nhân đến một URL do kẻ tấn công kiểm soát được lấy từ một tệp lưu trữ trên GitHub từ xa.
• LockBit, Qilin và DragonForce hợp lực — Ba trong số các hoạt động ransomware-as-a-service khét tiếng nhất, LockBit, Qilin và DragonForce, đã thành lập một liên minh tội phạm nhằm phối hợp các cuộc tấn công và chia sẻ tài nguyên. Quan hệ đối tác này đã được công bố vào đầu tháng trước, ngay sau khi LockBit 5.0 xuất hiện. DragonForce đã viết trong một bài đăng trên một diễn đàn dark web: "Tạo điều kiện cạnh tranh bình đẳng, không xung đột và không lăng mạ công khai. Bằng cách này, tất cả chúng ta có thể tăng thu nhập và định đoạt điều kiện thị trường. Hãy gọi nó là gì tùy thích – coalition, cartel, v.v. Điều quan trọng là giữ liên lạc, thân thiện với nhau và trở thành những đồng minh mạnh mẽ, không phải kẻ thù." Sự hợp tác của ba nhóm diễn ra trong bối cảnh áp lực ngày càng tăng từ các cuộc trấn áp của cơ quan thực thi pháp luật, thúc đẩy chúng tấn công các lĩnh vực trước đây được coi là ngoài giới hạn, như các nhà máy điện hạt nhân, nhà máy nhiệt điện và nhà máy thủy điện. Nó cũng theo một mô hình hợp nhất tương tự giữa các tập đoàn tội phạm mạng chủ yếu nói tiếng Anh như Scattered Spider, ShinyHunters và LAPSUS$, bắt đầu hợp tác dưới tên Scattered LAPSUS$ Hunters. Mặc dù vậy, sự cartel hóa của ransomware cũng diễn ra vào thời điểm hệ sinh thái rộng lớn hơn đang phân mảnh kỷ lục, với số lượng các trang web rò rỉ dữ liệu đang hoạt động đạt mức cao nhất mọi thời đại là 81 trong quý 3 năm 2025.
• Tin tặc Trung Quốc vũ khí hóa công cụ mã nguồn mở Nezha trong các cuộc tấn công — Các tác nhân đe dọa với nghi ngờ có liên hệ với Trung Quốc đã biến một công cụ giám sát mã nguồn mở hợp pháp có tên Nezha thành một vũ khí tấn công, sử dụng nó để phát tán một mã độc nổi tiếng có tên Gh0st RAT đến các mục tiêu. Chiến dịch này được cho là đã làm tổn hại hơn 100 máy nạn nhân kể từ tháng 8 năm 2025, với phần lớn các trường hợp lây nhiễm được báo cáo ở Đài Loan, Nhật Bản, Hàn Quốc và Hồng Kông. Hoạt động này là một dấu hiệu khác cho thấy các tác nhân đe dọa tiếp tục biến các công cụ hợp pháp thành mục đích độc hại và hòa nhập vào lưu lượng mạng bình thường. Trong một trường hợp được Huntress quan sát, những kẻ tấn công đã nhắm mục tiêu vào một bảng điều khiển phpMyAdmin bị lộ để triển khai một web shell bằng cách tấn công log poisoning. Quyền truy cập có được thông qua web shell sau đó được sử dụng để thả Nezha và cuối cùng thả Gh0st RAT, nhưng không trước khi đặt nền tảng cần thiết để tránh bị phát hiện.

‎️‍🔥 Các CVE nổi bật

Tin tặc di chuyển nhanh. Họ thường khai thác các lỗ hổng mới trong vòng vài giờ, biến một bản vá bị bỏ lỡ thành một vụ vi phạm lớn. Một CVE chưa được vá có thể là tất cả những gì cần thiết cho một sự xâm nhập hoàn toàn. Dưới đây là các lỗ hổng quan trọng nhất của tuần này đang thu hút sự chú ý trong ngành. Hãy xem xét chúng, ưu tiên các bản sửa lỗi của bạn và đóng khoảng cách trước khi kẻ tấn công lợi dụng.

Danh sách tuần này bao gồm — CVE-2025-61884 (Oracle E-Business Suite), CVE-2025-11371 (Gladinet CentreStack và TrioFox), CVE-2025-5947 (Service Finder theme), CVE-2025-53967 (Framelink Figma MCP server), CVE-2025-49844 (Redis), CVE-2025-27237 (Zabbix Agent), CVE-2025-59489 (Unity cho Android và Windows), CVE-2025-36604 (Dell UnityVSA), CVE-2025-37728 (Elastic Kibana Connector), CVE-2025-56383 (Notepad++), CVE-2025-11462 (AWS Client VPN cho macOS), CVE-2025-42701, CVE-2025-42706 (CrowdStrike Falcon), CVE-2025-11001, CVE-2025-11002 (7-Zip), CVE-2025-59978 (Juniper Networks Junos Space), CVE-2025-11188, CVE-2025-11189, CVE-2025-11190 (SynchroWeb Kiwire Captive Portal), CVE-2025-3600 (Progress Telerik UI cho ASP.NET AJAX), một lỗ hổng cross-site scripting (XSS) trong REDCap, và các lỗ hổng bảo mật chưa được vá trong Ivanti Endpoint Manager (từ ZDI-25-935 đến ZDI-25-947).

📰 Khắp Thế giới An ninh mạng

• TwoNet nhắm mục tiêu vào Honeypot của Forescout — Một honeypot ICS/OT do Forescout điều hành, được thiết kế để mô phỏng một cơ sở xử lý nước, đã bị nhắm mục tiêu vào tháng trước bởi một nhóm có liên kết với Nga tên là TwoNet. Nhóm hacktivist có động cơ tài chính này sau đó đã cố gắng phá hoại giao diện người máy (HMI), phá vỡ các quy trình và thao tác các ICS khác. Các honeypot của Forescout cũng ghi nhận các nỗ lực tấn công có liên quan đến Nga và Iran. TwoNet lần đầu tiên xuất hiện vào tháng 1, chủ yếu tập trung vào các cuộc tấn công DDoS sử dụng mã độc MegaMedusa Machine, theo Intel471. Thông qua một nhóm liên kết, CyberTroops, TwoNet đã thông báo ngừng hoạt động vào ngày 30 tháng 9 năm 2025. Forescout cho biết: "Điều này nhấn mạnh tính chất phù du của hệ sinh thái nơi các kênh và nhóm tồn tại trong thời gian ngắn, trong khi các nhà điều hành thường tồn tại bằng cách đổi thương hiệu, chuyển đổi liên minh, tham gia các nhóm khác, học các kỹ thuật mới hoặc nhắm mục tiêu vào các tổ chức khác. Các nhóm chuyển từ DDoS/defacement sang OT/ICS thường đọc sai mục tiêu, vấp phải honeypot hoặc tuyên bố quá mức. Điều đó không làm cho chúng vô hại; nó cho thấy chúng đang đi đến đâu."
• Sophos điều tra liên kết của WhatsApp Worm với Coyote — Một chiến dịch gần đây được tiết lộ có tên Water Saci liên quan đến việc các tác nhân đe dọa sử dụng mã độc tự lan truyền có tên SORVEPOTEL lây lan qua ứng dụng nhắn tin phổ biến WhatsApp. Sophos cho biết họ đang điều tra để xác định liệu chiến dịch có thể liên quan đến các chiến dịch đã được báo cáo trước đó đã phân phối một banking trojan có tên Coyote nhắm mục tiêu người dùng ở Brazil hay không, và liệu mã độc được sử dụng trong các cuộc tấn công, Maverick, có phải là sự phát triển của Coyote hay không. Các tin nhắn WhatsApp chứa một tệp LNK đã được nén mà, khi khởi chạy, sẽ khởi tạo một loạt các lệnh PowerShell độc hại để thả PowerShell giai đoạn tiếp theo, sau đó cố gắng sửa đổi các điều khiển bảo mật cục bộ. Trong một số trường hợp, Sophos cho biết họ đã quan sát thấy một payload bổ sung, công cụ tự động hóa trình duyệt Selenium hợp pháp, cho phép kiểm soát các phiên trình duyệt đang chạy trên máy chủ bị nhiễm. Người ta nghi ngờ rằng Selenium được phân phối cùng với Maverick thông qua cùng một cơ sở hạ tầng command-and-control (C2).
• Công nhân IT Triều Tiên tìm kiếm việc làm trong các lĩnh vực mới — Các công nhân IT Triều Tiên khét tiếng hiện đang tìm kiếm việc làm từ xa trong các lĩnh vực thiết kế công nghiệp và kiến trúc, theo công ty bảo mật KELA. KELA cho biết: "Sự tham gia của họ có thể gây ra rủi ro liên quan đến gián điệp, trốn tránh lệnh trừng phạt, lo ngại về an toàn và truy cập vào các thiết kế cơ sở hạ tầng nhạy cảm," mô tả mối đe dọa là một "mạng lưới được nhà nước hậu thuẫn, có tổ chức cao, mở rộng ra ngoài các vai trò IT." Một trong những công nhân IT, Hailong Jin, đã được xác định là có liên quan đến việc phát triển một trò chơi độc hại có tên DeTankZone, đồng thời có mối liên hệ với một công nhân IT khác tên Lian Hung, người đã tuyên bố là một nhà phát triển ứng dụng di động ở Tanzania. Chollima Group cho biết, người ta tin rằng Hailong Jin và Lian Hung có thể là cùng một người, đồng thời Bells Inter Trading Limited là một công ty bình phong do Triều Tiên điều hành tuyển dụng các công nhân IT ở Tanzania. Về phần mình, công ty đã được liên kết với một số ứng dụng VPN được xuất bản trên cả cửa hàng ứng dụng iOS và Android của Apple và Google. Chollima Group lưu ý: "Thay vì coi họ là một thực thể nguyên khối, các công nhân IT Triều Tiên giống như những doanh nhân cá nhân hoạt động dưới sự bảo trợ của một ông chủ cấp cao hơn. Khi một công nhân IT có được nhiều địa vị và sự tôn trọng hơn, họ có thể leo lên hàng ngũ của tổ chức và cuối cùng trở thành ông chủ. Từ đó, họ có thể thành lập các công ty bình phong của riêng mình và có được địa vị cần thiết để thực hiện các hoạt động độc hại hơn (nếu họ chọn). Chúng tôi tin rằng Lian Hung và Hailong Jin, cả hai đều khoảng 30-40 tuổi, có thể đang hoạt động với tư cách quản lý cấp trung hoặc giữ các địa vị cao hơn trong cấu trúc này, điều này có thể giải thích các chức danh mà họ lựa chọn là 'Project Manager.'"
• FBI phong tỏa trang web được sử dụng bởi những kẻ tống tiền Salesforce — Cục Điều tra Liên bang Hoa Kỳ (FBI) đã phong tỏa một trang web ("breachforums[.]hn") đang được Scattered LAPSUS$ Hunters sử dụng để tống tiền Salesforce và khách hàng của nó. Hành động này đánh dấu một chương khác trong trò chơi "mèo vờn chuột" đang diễn ra nhằm phá hủy trang web rò rỉ dữ liệu dai dẳng. Mặc dù vậy, phiên bản dark web của trang web rò rỉ vẫn hoạt động. Nhóm Scattered Lapsus$ Hunters cho biết trong một tuyên bố được mã hóa PGP trên Telegram: "BreachForums đã bị FBI và các đối tác quốc tế phong tỏa hôm nay. Tất cả các miền của chúng tôi đã bị Chính phủ Hoa Kỳ tước đoạt. Kỷ nguyên của các diễn đàn đã kết thúc." Mặc dù các nhóm ban đầu tuyên bố họ sẽ ngừng hoạt động, trang web đã xuất hiện trở lại chỉ vài ngày sau đó, chuyển từ một diễn đàn hacking thành một trang web tống tiền chuyên dụng. Nhóm cũng thừa nhận rằng các máy chủ và bản sao lưu của BreachForums đã bị phá hủy, và các kho lưu trữ cơ sở dữ liệu và dữ liệu escrow từ năm 2023 đã bị xâm phạm. Scattered LAPSUS$ Hunters (còn gọi là Trinity of Chaos) là một liên minh mới thành lập bao gồm Scattered Spider (còn gọi là Muddled Libra), LAPSUS$ và ShinyHunters (còn gọi là Bling Libra). Trong những tuần gần đây, các tác nhân đe dọa đã xâm phạm hệ thống của Salesloft và sử dụng quyền truy cập để lấy dữ liệu Salesforce của khách hàng. Tháng trước, Salesloft tiết lộ rằng vụ rò rỉ dữ liệu liên quan đến ứng dụng Drift của họ bắt đầu bằng việc xâm phạm tài khoản GitHub của họ. BreachForums có một lịch sử dài và đầy biến động, được đánh dấu bằng nhiều lần bị đánh sập và hồi sinh kể từ khi người quản trị ban đầu của nó bị bắt vào tháng 3 năm 2023.
• NSO Group được mua lại bởi nhóm đầu tư Hoa Kỳ — Nhà sản xuất phần mềm gián điệp của Israel NSO Group đã tiết lộ rằng một nhóm đầu tư của Hoa Kỳ đã mua lại công ty gây tranh cãi này. Một phát ngôn viên của công ty nói với TechCrunch rằng "một nhóm đầu tư của Mỹ đã đầu tư hàng chục triệu đô la vào công ty và đã giành quyền sở hữu kiểm soát."
• Apple sửa đổi Chương trình Bug Bounty của mình — Apple đã công bố các cập nhật quan trọng cho chương trình bug bounty của mình, với việc công ty hiện đang cung cấp lên đến 2 triệu đô la cho các chuỗi exploit có thể đạt được các mục tiêu tương tự như các cuộc tấn công phần mềm gián điệp đánh thuê tinh vi. Nó cũng thưởng lên đến 300.000 đô la cho các WebKit sandbox escapes chỉ bằng một cú nhấp chuột, và lên đến 1 triệu đô la cho các wireless proximity exploits qua bất kỳ sóng vô tuyến nào, truy cập iCloud trái phép rộng rãi và các chuỗi exploit WebKit dẫn đến unsigned arbitrary code execution. Công ty cho biết: "Kể từ khi chúng tôi ra mắt chương trình Apple Security Bounty công khai vào năm 2020, chúng tôi tự hào đã trao hơn 35 triệu đô la cho hơn 800 nhà nghiên cứu bảo mật, với nhiều báo cáo cá nhân kiếm được phần thưởng 500.000 đô la." Các khoản thanh toán mới sẽ có hiệu lực vào tháng 11 năm 2025.
• Cảnh sát Guardia Civil Tây Ban Nha trấn áp nhóm GXC Team — Chính quyền Tây Ban Nha đã trấn áp GXC Team và bắt giữ kẻ cầm đầu bị cáo buộc, một công dân Brazil 25 tuổi hoạt động trực tuyến dưới tên GoogleXcoder. Theo Group-IB, GXC Team điều hành một nền tảng crime-as-a-service (CaaS) cung cấp các bộ công cụ phishing được hỗ trợ bởi AI, mã độc Android và các công cụ lừa đảo bằng giọng nói qua Telegram và một diễn đàn hacker nói tiếng Nga cho các tội phạm mạng nhắm mục tiêu vào các ngân hàng, vận tải và thương mại điện tử, ở Tây Ban Nha, Slovakia, Anh, Mỹ và Brazil. Group-IB cho biết: "Để tránh bị bắt, nghi phạm đã áp dụng lối sống 'digital nomad', thường xuyên di chuyển giữa các tỉnh của Tây Ban Nha và sử dụng danh tính bị đánh cắp để đảm bảo nhà ở, đường dây điện thoại và thẻ thanh toán."
• Bên trong Russian Market — Rapid7 cho biết Russian Market đã phát triển các hoạt động của mình theo thời gian, chuyển từ việc bán quyền truy cập RDP sang dữ liệu thẻ tín dụng bị đánh cắp và gần đây hơn là các infostealer logs. Công ty cho biết: "Các thông tin đăng nhập bị đánh cắp có nguồn gốc từ các tổ chức trên toàn thế giới, với 26% có nguồn gốc từ Mỹ và 23% từ Argentina. Hầu hết những người bán đã áp dụng phương pháp đa stealer trong những năm qua, tận dụng nhiều biến thể mã độc khác nhau trong hoạt động của họ, với Lumma nổi lên như một công cụ được sử dụng rộng rãi. Các loại infostealer phổ biến nhất được những người bán trong Russian Market sử dụng trong những năm qua là Raccoon, Vidar, Lumma, RedLine và Stealc, với Rhadamanthys và Acreed ngày càng phổ biến trong nửa đầu năm 2025." Những phát hiện này xuất hiện khi Red Canary tiết lộ rằng Atomic, Poseidon và Odyssey đã nổi lên như ba họ stealer nổi bật nhắm mục tiêu vào các hệ thống Apple macOS, đồng thời cũng chia sẻ nhiều điểm tương đồng về mặt chiến thuật. Odyssey Stealer là phiên bản kế nhiệm của Poseidon lần đầu tiên được phát hiện vào tháng 3 năm 2025.
• Áo cho biết Microsoft đã vi phạm luật E.U. — Cơ quan quản lý quyền riêng tư của Áo đã phát hiện rằng Microsoft đã vi phạm luật E.U. bằng cách theo dõi học sinh một cách bất hợp pháp thông qua Microsoft 365 Education bằng cách sử dụng tracking cookies mà không có sự đồng ý của họ. Quyết định này được đưa ra sau khi noyb khiếu nại vào năm 2024. Cơ quan bảo vệ dữ liệu Áo (DSB) đã ra lệnh xóa dữ liệu cá nhân liên quan. noyb cho biết: "Quyết định của DSB Áo thực sự làm nổi bật sự thiếu minh bạch với Microsoft 365 Education. Hầu như không thể để các trường học thông báo cho học sinh, phụ huynh và giáo viên về những gì đang xảy ra với dữ liệu của họ."
• Các mô hình AI có thể có được backdoors từ khoảng 250 tài liệu độc hại — Một nghiên cứu học thuật mới từ Anthropic, nhóm Safeguards của U.K. AISI và The Alan Turing Institute đã phát hiện ra rằng cần khoảng 250 tài liệu độc hại để thiết lập một "backdoor" đơn giản trong các large language models. Nghiên cứu này thách thức ý tưởng rằng những kẻ tấn công cần kiểm soát hoặc đầu độc một phần lớn dữ liệu đào tạo để ảnh hưởng đến đầu ra của LLM. Nghiên cứu cho biết: "Các cuộc tấn công poisoning yêu cầu một số lượng tài liệu gần như không đổi bất kể kích thước mô hình và dữ liệu đào tạo. Nếu những kẻ tấn công chỉ cần chèn một số lượng tài liệu cố định, nhỏ thay vì một tỷ lệ phần trăm dữ liệu đào tạo, các cuộc tấn công poisoning có thể khả thi hơn những gì đã tin trước đây." Một nghiên cứu năm 2024 của các nhà nghiên cứu tại Đại học Carnegie Mellon, ETH Zürich, Meta và Google DeepMind cho thấy rằng những kẻ tấn công kiểm soát 0,1% dữ liệu tiền đào tạo có thể đưa backdoors vào cho nhiều mục tiêu độc hại khác nhau. Các nhà nghiên cứu cho biết: "Kết quả của chúng tôi cho thấy việc chèn backdoors thông qua data poisoning có thể dễ dàng hơn đối với các mô hình lớn hơn so với những gì đã tin trước đây vì số lượng poisons cần thiết không tăng theo kích thước mô hình, làm nổi bật sự cần thiết phải nghiên cứu thêm về các biện pháp phòng thủ để giảm thiểu rủi ro này trong các mô hình tương lai." Tiết lộ này trùng hợp với việc OpenAI tuyên bố rằng mô hình GPT-5 của họ thể hiện mức độ thiên vị chính trị thấp hơn bất kỳ mô hình nào trước đây.

🎥 Hội thảo trực tuyến về An ninh mạng

• Bạn đang ngập trong các cảnh báo lỗ hổng? Đây là cách để cuối cùng giành lại quyền kiểm soát - Hầu hết các nhóm bảo mật đều đối mặt với cùng một vấn đề — quá nhiều vulnerabilities và không đủ thời gian. Dynamic Attack Surface Reduction (DASR) giúp khắc phục điều này bằng cách tự động tìm và đóng các risks, trước khi kẻ tấn công có thể sử dụng chúng. Thay vì theo đuổi các cảnh báo không ngừng, các nhóm có thể tập trung vào những gì thực sự quan trọng: giữ cho hệ thống an toàn và hoạt động trơn tru. Đó là một cách thông minh hơn, nhanh hơn để đi trước một bước.
• Cách các đội hàng đầu sử dụng AI để đơn giản hóa Compliance và giảm thiểu Risk - AI đang thay đổi cách các tổ chức xử lý Governance, Risk, và Compliance (GRC). Nó có thể giúp compliance nhanh hơn và thông minh hơn—nhưng nó cũng mang lại những risks và rules mới cần tuân thủ. Phiên này sẽ chỉ cho bạn cách sử dụng AI một cách an toàn và hiệu quả, với các ví dụ thực tế, bài học từ những người tiên phong và các mẹo thực tế để chuẩn bị cho nhóm của bạn cho tương lai của compliance.
• Từ Firefighting đến Secure-by-Design: Một cuốn sổ tay thực tế - AI đang thay đổi nhanh chóng, nhưng security không thể bị bỏ lại phía sau. Các đội thông minh nhất hiện nay coi các security controls là bệ phóng, chứ không phải rào cản — cho phép các AI agents di chuyển nhanh chóng và an toàn. Bằng cách chuyển từ reactive firefighting sang tư duy secure-by-design, các tổ chức đạt được cả tốc độ và sự tự tin. Với khung làm việc phù hợp, bạn có thể kiểm soát các AI risks trong khi tăng tốc đổi mới thay vì làm chậm nó.

🔧 Công cụ An ninh mạng

• P0LR Espresso - Một công cụ mã nguồn mở mới từ Permiso giúp các security teams nhanh chóng phân tích multi-cloud logs trong quá trình live response. Nó chuẩn hóa dữ liệu từ các nền tảng như AWS, Azure, và GCP để cung cấp các timeline rõ ràng, behavioral insights, và IOC analysis—giúp dễ dàng phát hiện các compromised identities và hiểu những gì thực sự đã xảy ra.
• Ouroboros - Một open-source decompiler mới được xây dựng bằng Rust sử dụng symbolic execution để phục hồi high-level code structure từ các compiled binaries. Không giống như các traditional decompilers dựa vào các static assignment models, Ouroboros theo dõi các constraints và data flow để hiểu cách các registers và memory thay đổi trong quá trình execution. Cách tiếp cận này giúp nó tái tạo các logical code patterns như loops, conditions, và control flow regions, biến nó thành một practical tool cho reverse engineering, program analysis, và security research.

Disclaimer: Các công cụ này chỉ dành cho mục đích giáo dục và nghiên cứu. Chúng chưa được kiểm tra bảo mật đầy đủ và có thể tiềm ẩn rủi ro nếu sử dụng không đúng cách. Hãy xem xét mã trước khi thử, chỉ kiểm tra trong môi trường an toàn và tuân thủ tất cả các quy tắc đạo đức, pháp lý và tổ chức.

🔒 Mẹo trong tuần

Đừng để bản sao lưu của bạn không được khóa — Bản sao lưu là mạng lưới an toàn của bạn — nhưng nếu chúng không được mã hóa, chúng có thể trở thành rủi ro lớn nhất của bạn. Bất kỳ ai có quyền truy cập vào một bản sao lưu không được mã hóa đều có thể đọc mọi thứ bên trong: mật khẩu, email, dữ liệu tài chính, thông tin khách hàng — tất cả đều có thể bị lộ.

Giải pháp đơn giản: Luôn mã hóa các bản sao lưu của bạn trước khi lưu hoặc gửi chúng đi bất cứ đâu (USB, cloud hoặc server). Mã hóa khóa dữ liệu của bạn để chỉ bạn mới có thể mở nó.

🔐 Các công cụ mã nguồn mở dễ dùng, đáng tin cậy:

• Restic: Nhanh chóng, đơn giản và tự động mã hóa mọi thứ. Hoạt động với nhiều dịch vụ cloud.
• BorgBackup: Nén, deduplicate và mã hóa các bản sao lưu của bạn — hoàn hảo cho lưu trữ dài hạn.
• Duplicity: Sử dụng mã hóa GPG và hỗ trợ các bản sao lưu được mã hóa vào bộ nhớ cục bộ hoặc từ xa.
• rclone: Đồng bộ hóa các tệp một cách an toàn với cloud storage với các tùy chọn mã hóa tích hợp.

Mẹo chuyên nghiệp: Thường xuyên kiểm tra bản sao lưu của bạn — đảm bảo bạn có thể giải mã và khôi phục nó. Một bản sao lưu bị khóa hoặc hỏng cũng tệ như không có bản sao lưu nào cả.

Kết luận

Các câu chuyện trong tuần cho thấy cả hai mặt của cybersecurity — sự sáng tạo của những kẻ tấn công và khả năng phục hồi của những người bảo vệ. Sức mạnh của chúng ta nằm ở nhận thức, sự hợp tác và hành động. Hãy sử dụng mọi bài học kinh nghiệm để làm cho tin tức tuần tới bớt đáng báo động hơn một chút.