⚡ Tổng hợp tuần: Backdoor CI/CD, FBI mua dữ liệu vị trí, WhatsApp bỏ số điện thoại & Hơn thế nữa

Một tuần nữa trôi qua, một lời nhắc nhở rằng internet vẫn còn hỗn loạn. Các hệ thống mà nhiều người nghĩ là an toàn đang bị phá vỡ một cách đơn giản, cho thấy nhiều người vẫn bỏ qua các khuyến nghị cơ bản. Ấn phẩm này đề cập đến nhiều vấn đề: các cuộc tấn công supply chain nhắm vào hệ thống CI/CD, các thiết bị IoT bị lạm dụng lâu ngày bị vô hiệu hóa, và các exploit nhanh chóng chuyển từ tiết lộ sang các cuộc tấn công thực tế. Ngoài ra còn có các thủ thuật malware mới.
Tổng hợp tuần về an ninh mạng
Tổng hợp tin tức an ninh mạng tuần

Một tuần nữa trôi qua, một lời nhắc nhở rằng internet vẫn còn hỗn loạn. Các hệ thống mà nhiều người nghĩ là an toàn đang bị phá vỡ một cách đơn giản, cho thấy nhiều người vẫn bỏ qua các khuyến nghị cơ bản.

Ấn phẩm này đề cập đến nhiều vấn đề: các cuộc tấn công supply chain nhắm vào hệ thống CI/CD, các thiết bị IoT bị lạm dụng lâu ngày bị vô hiệu hóa, và các exploit nhanh chóng chuyển từ tiết lộ sang các cuộc tấn công thực tế. Ngoài ra còn có các thủ thuật malware mới cho thấy những kẻ tấn công đang trở nên kiên nhẫn và sáng tạo hơn.

Đó là sự kết hợp giữa các vấn đề cũ không bao giờ biến mất và các phương pháp mới khó phát hiện hơn. Có những hoạt động âm thầm được nhà nước hậu thuẫn, dữ liệu bị lộ từ các open directory, các mối đe dọa di động ngày càng tăng, và một dòng chảy liên tục của các zero-day và các bản vá lỗi vội vàng.

Hãy pha một tách cà phê, và ít nhất hãy lướt qua danh sách CVE. Một số trong số này là loại mà bạn không muốn phát hiện ra sau khi thiệt hại đã xảy ra.

⚡ Điểm nóng của tuần

Máy quét lỗ hổng Trivy bị tấn công trong một cuộc tấn công Supply Chain — Những kẻ tấn công đã đặt backdoor vào máy quét lỗ hổng nguồn mở Trivy được sử dụng rộng rãi, tiêm malware đánh cắp thông tin đăng nhập vào các bản phát hành chính thức và GitHub Actions được sử dụng bởi hàng nghìn workflow CI/CD. Vụ vi phạm đã gây ra một loạt các thỏa hiệp supply-chain bổ sung bắt nguồn từ các dự án và tổ chức bị ảnh hưởng không xoay vòng bí mật của họ, dẫn đến việc phân phối một worm tự lây lan được gọi là CanisterWorm. Trivy, được phát triển bởi Aqua Security, là một trong những máy quét lỗ hổng nguồn mở được sử dụng rộng rãi nhất, với hơn 32.000 GitHub stars và hơn 100 triệu lượt tải xuống Docker Hub. Vụ xâm nhập Trivy là vụ mới nhất trong một mô hình tấn công ngày càng tăng nhắm vào GitHub Actions và các nhà phát triển nói chung. GitHub đã thay đổi hành vi mặc định của các workflow `pull_request_target` vào tháng 12 năm 2025 để giảm rủi ro khai thác.

BAS vs Automated Pentesting

BAS vs Automated Pentesting: Thực sự bao gồm những gì (và không bao gồm những gì)

Hầu hết các nhóm chọn một trong hai mà không biết cái còn lại thiếu gì. Hướng dẫn này phân tích cả hai theo trường hợp sử dụng trên các nhóm blue, red và purple để bạn có thể thấy mỗi cái phù hợp ở đâu và những khoảng trống nào tồn tại.

 Tải xuống ngay ➝

🔔 Tin tức nổi bật

  • DoJ vô hiệu hóa các botnet DDoS — Một nhóm các botnet IoT đứng sau một số cuộc tấn công DDoS lớn nhất từng được ghi nhận -- AISURU, Kimwolf, JackSkid và Mossad -- đã bị xóa sổ như một phần của hoạt động thực thi pháp luật rộng lớn. Các botnet này chủ yếu lây lan qua router, camera IP và đầu ghi hình kỹ thuật số, những thiết bị thường được xuất xưởng với thông tin đăng nhập yếu và hiếm khi được vá lỗi. Các nhà chức trách đã gỡ bỏ các máy chủ command-and-control được sử dụng để chiếm quyền điều khiển các node bị nhiễm. Cùng với nhau, những kẻ điều hành bốn botnet đã tập hợp được hơn 3 triệu thiết bị, sau đó chúng bán quyền truy cập cho các hacker tội phạm khác, những người này sau đó sử dụng chúng để nhắm mục tiêu các nạn nhân bằng các cuộc tấn công DDoS nhằm đánh sập các trang web và dịch vụ internet hoặc che giấu các hoạt động bất hợp pháp khác. Một số cuộc tấn công DDoS này đã nhắm vào các hệ thống của Bộ Quốc phòng Hoa Kỳ và các mục tiêu có giá trị cao khác. Không có vụ bắt giữ nào được công bố, nhưng hai nghi phạm liên quan đến AISURU/Kimwolf được cho là đang ở Canada và Đức. Cả bốn botnet bị vô hiệu hóa bởi hoạt động này đều là biến thể của Mirai, mã nguồn của nó đã bị rò rỉ vào năm 2016 và đã trở thành điểm khởi đầu cho các botnet khác. Bộ Tư pháp Hoa Kỳ cho biết một số nạn nhân của các cuộc tấn công DDoS đã mất hàng trăm nghìn đô la thông qua chi phí khắc phục hoặc yêu cầu tiền chuộc từ các hacker, những người sẽ chỉ ngừng làm quá tải các trang web nếu được trả tiền.
  • Google ra mắt luồng nâng cao mới cho Sideloading trên Android — Luồng nâng cao của Google dành cho Android thay đổi cách cài đặt ứng dụng từ các nhà phát triển chưa được xác minh, tăng thêm độ phức tạp để chống lại các vụ lừa đảo và malware. Tính năng này nhằm vào những người dùng có kinh nghiệm và cho phép sideloading thông qua thiết lập một lần. Luồng nâng cao thêm độ trễ 24 giờ và các bước xác minh nhằm làm gián đoạn áp lực cưỡng bức và cho người dùng thời gian để đưa ra quyết định. Nó được thiết kế để giải quyết các kịch bản mà những kẻ tấn công gây áp lực buộc các cá nhân cài đặt phần mềm không an toàn và lợi dụng sự khẩn cấp của hoạt động để buộc họ bỏ qua các cảnh báo bảo mật và vô hiệu hóa các biện pháp bảo vệ trước khi họ có thể tạm dừng hoặc tìm kiếm sự giúp đỡ.
  • Lỗ hổng Langflow nghiêm trọng bị tấn công — Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Langflow đã bị khai thác tích cực trong vòng 20 giờ sau khi công bố công khai, làm nổi bật tốc độ mà các tác nhân đe dọa vũ khí hóa các lỗ hổng mới được công bố. Lỗi bảo mật này, được theo dõi là CVE-2026-33017 (điểm CVSS: 9.3), là trường hợp thiếu xác thực kết hợp với code injection có thể dẫn đến remote code execution. Công ty bảo mật đám mây Sysdig cho biết các cuộc tấn công vũ khí hóa lỗ hổng để đánh cắp dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Aviral Srivastava, người đã phát hiện ra lỗ hổng, nói với The Hacker News: "Bằng chứng thực tế là dứt khoát: các tác nhân đe dọa đã khai thác nó trong thực tế trong vòng 20 giờ sau khi khuyến nghị được công khai, mà không có mã PoC công khai nào. Chúng đã xây dựng các exploit hoạt động chỉ bằng cách đọc mô tả khuyến nghị. Đó là dấu hiệu của việc khai thác đơn giản khi nhiều kẻ tấn công độc lập có thể vũ khí hóa một lỗ hổng từ mô tả mà thôi, trong vòng vài giờ."
  • Ransomware Interlock khai thác lỗ hổng 0-Day của Cisco FMC — Một chiến dịch ransomware Interlock đã khai thác lỗ hổng bảo mật nghiêm trọng trong Cisco Secure Firewall Management Center (FMC) Software dưới dạng zero-day hơn một tháng trước khi nó được công bố công khai. Lỗ hổng được đề cập là CVE-2026-20131 (điểm CVSS: 10.0), một trường hợp insecure deserialization của Java byte stream do người dùng cung cấp, có thể cho phép kẻ tấn công từ xa, không xác thực vượt qua xác thực và thực thi Java code tùy ý với quyền root trên thiết bị bị ảnh hưởng. Amazon, đơn vị đã phát hiện ra hoạt động này, cho biết: "Đây không chỉ là một lỗ hổng khai thác khác; Interlock đã có một zero-day trong tay, mang lại cho chúng một tuần lợi thế để xâm nhập các tổ chức trước khi những người phòng thủ kịp biết để tìm kiếm."
  • Một iOS Exploit Kit khác được phát hiện — Một cuộc tấn công watering hole mới chống lại người dùng iPhone đã được phát hiện nhằm phân phối một iOS exploit kit chưa từng được ghi nhận trước đây có tên mã DarkSword. Mặc dù một số cuộc tấn công nhắm vào người dùng ở Ukraine, bộ kit này cũng đã được sử dụng bởi hai nhóm khác nhắm mục tiêu vào người dùng Ả Rập Xê Út vào tháng 11 năm 2025, cũng như người dùng ở Thổ Nhĩ Kỳ và Malaysia. Điều đáng chú ý là các exploit này sẽ không hiệu quả trên các thiết bị có Lockdown Mode đang hoạt động hoặc trên iPhone 17 với Memory Integrity Enforcement (MIE) được bật. Bộ kit đã sử dụng tổng cộng sáu exploit trong iOS để phân phối các họ malware khác nhau được thiết kế để giám sát và thu thập thông tin tình báo. Apple đã khắc phục tất cả chúng. iVerify cho biết: "Được viết hoàn toàn bằng JavaScript, DarkSword bao gồm sáu lỗ hổng trên hai chuỗi exploit đã được vá theo từng giai đoạn kết thúc với iOS 26.3. Bắt đầu từ WebKit và di chuyển xuống kernel, nó đạt được sự xâm nhập iPhone hoàn toàn với các kỹ thuật tinh vi chưa từng được công khai trước đây." Việc phát hiện DarkSword biến nó thành cuộc tấn công hàng loạt thứ hai nhắm vào các thiết bị iOS. Hơn nữa, tác nhân đe dọa người Nga đã triển khai DarkSword đã thể hiện bảo mật hoạt động kém. Chúng để lại toàn bộ JavaScript code không bị che giấu, không được bảo vệ và dễ dàng truy cập. Các phát hiện cũng chỉ ra một thị trường thứ cấp nơi các exploit như vậy đang được các tác nhân đe dọa với nhiều động cơ khác nhau mua lại để tích cực lây nhiễm người dùng iOS chưa được vá lỗi trên quy mô lớn.
  • Malware ngân hàng Perseus nhắm mục tiêu Android — Một malware Android mới được phát hiện đang ẩn mình trong các ứng dụng phát trực tuyến truyền hình để đánh cắp mật khẩu và dữ liệu ngân hàng của người dùng, đồng thời theo dõi các ghi chú cá nhân của họ, các nhà nghiên cứu đã phát hiện ra. Malware này, được các nhà nghiên cứu tại ThreatFabric đặt tên là Perseus, đang được phân phối tích cực trong thực tế và chủ yếu nhắm mục tiêu vào người dùng ở Thổ Nhĩ Kỳ và Ý. Để lây nhiễm thiết bị, những kẻ tấn công ngụy trang malware bên trong các ứng dụng dường như cung cấp dịch vụ IPTV — các nền tảng phát trực tuyến nội dung truyền hình qua internet. Các ứng dụng này cũng được sử dụng rộng rãi để phát trực tuyến nội dung vi phạm bản quyền và thường được tải xuống bên ngoài các chợ ứng dụng chính thức như Google Play, khiến người dùng quen với việc cài đặt chúng theo cách thủ công và ít có khả năng xem quá trình này là đáng ngờ. Sau khi được cài đặt, Perseus có thể giám sát gần như mọi thứ người dùng làm trong thời gian thực. Nó sử dụng overlay attacks — đặt màn hình đăng nhập giả mạo lên trên các ứng dụng hợp pháp — và khả năng keylogging để chụp thông tin đăng nhập khi chúng được nhập. Tính năng bất thường nhất của malware là tập trung vào các ứng dụng ghi chú cá nhân. ThreatFabric cho biết: "Các ghi chú thường chứa thông tin nhạy cảm như mật khẩu, cụm từ khôi phục, chi tiết tài chính hoặc suy nghĩ riêng tư, khiến chúng trở thành mục tiêu có giá trị đối với những kẻ tấn công."

‎️‍🔥 Các CVE thịnh hành

Các lỗ hổng mới xuất hiện mỗi tuần, và khoảng thời gian giữa công bố và khai thác ngày càng ngắn lại. Các lỗ hổng dưới đây là những lỗ hổng quan trọng nhất trong tuần này — mức độ nghiêm trọng cao, phần mềm được sử dụng rộng rãi, hoặc đã thu hút sự chú ý từ cộng đồng bảo mật.

Hãy kiểm tra những CVE này trước, vá lỗi những gì áp dụng, và đừng chờ đợi những cái được đánh dấu khẩn cấp — CVE-2026-21992 (Oracle), CVE-2026-33017 (Langflow), CVE-2026-32746 (GNU InetUtils telnetd), CVE-2026-32297, CVE-2026-32298 (Angeet ES3 KVM), CVE-2026-3888 (Ubuntu), CVE-2026-20643 (Apple WebKit), CVE-2026-4276 (LibreChat RAG API), CVE-2026-24291 hay còn gọi là RegPwn (Microsoft Windows), CVE-2026-21643 (Fortinet FortiClient), CVE-2026-3864 (Kubernetes), CVE-2026-32635 (Angular), CVE-2026-25769 (Wazuh), CVE-2026-3564 (ConnectWise ScreenConnect), CVE-2026-22557, CVE-2026-22558 (Ubiquiti), CVE-2025-14986 (Temporal), CVE-2026-31381, CVE-2026-31382 (Gainsight Assist), CVE-2026-26189 (Trivy), CVE-2026-4439, CVE-2026-4440, CVE-2026-4441 (Google Chrome), CVE-2026-33001, CVE-2026-33002 (Jenkins), CVE-2026-21570 (Atlassian Bamboo Center), và CVE-2026-21884 (Atlassian Crowd Data Center).

🎥 Hội thảo trực tuyến về An ninh mạng

  • Tìm hiểu cách tự động hóa quản lý rủi ro với OpenCTI & OpenAEV → Khám phá cách tự động hóa kiểm tra liên tục, dựa trên mối đe dọa bằng cách sử dụng các công cụ nguồn mở như OpenCTI và OpenAEV để xác thực các biện pháp kiểm soát bảo mật của bạn chống lại hành vi tấn công thực tế mà không tăng ngân sách. Xem bản demo trực tiếp về cách xác minh bảo mật của bạn hoạt động, xác định các lỗ hổng thực tế và tích hợp nó vào workflow của SOC mà không tốn thêm chi phí.
  • Cải thiện mức độ trưởng thành của danh tính vào năm 2026: Xem dữ liệu mới + Cách bắt kịp nhanh chóng → Các chương trình danh tính đang chịu áp lực rất lớn vào năm 2026 - các ứng dụng bị ngắt kết nối, AI agents và sự phân tán thông tin đăng nhập đang tạo ra rủi ro thực sự và thách thức kiểm toán. Tham gia hội thảo trực tuyến này để xem nghiên cứu mới của Ponemon Institute năm 2026 từ hơn 600 nhà lãnh đạo, cho thấy quy mô vấn đề và các bước thực tế để khắc phục lỗ hổng, giảm ma sát và bắt kịp nhanh chóng.

📰 Khắp thế giới mạng

  • WhatsApp thử nghiệm Username thay vì số điện thoại — WhatsApp đang có kế hoạch giới thiệu username và ID duy nhất thay vì số điện thoại, cho phép người dùng gửi tin nhắn và thực hiện cuộc gọi thoại hoặc video mà không cần chia sẻ số. Tính năng quyền riêng tư tùy chọn này dự kiến sẽ triển khai trên toàn cầu vào tháng 6 năm 2026, với người dùng và doanh nghiệp có thể đặt trước các username duy nhất. Công ty cho biết trong một tuyên bố được chia sẻ với The Economic Times: "Chúng tôi rất vui mừng được mang username đến WhatsApp trong tương lai để giúp mọi người kết nối với bạn bè, nhóm và doanh nghiệp mới mà không cần chia sẻ số điện thoại của họ." Tính năng này đã được thử nghiệm từ đầu tháng 1 năm 2026. Signal đã giới thiệu một tính năng tương tự vào đầu năm 2024.
  • FBI tiết lộ chi tiết về các trung tâm lừa đảo ở Đông Nam Á — Cục Điều tra Liên bang Hoa Kỳ (FBI) đã trình bày chi tiết về công việc của họ với chính quyền Thái Lan để đóng cửa các trung tâm lừa đảo đang phát triển ở Đông Nam Á. Các âm mưu này, chủ yếu nhắm vào những người nghỉ hưu, chủ doanh nghiệp nhỏ và những người tìm kiếm bạn bè, đã được mô tả là sự kết hợp giữa gian lận không gian mạng, rửa tiền và buôn người, gây thiệt hại hàng tỷ đô la hàng năm. Các trung tâm lừa đảo này hoạt động theo cách tương tự như các tập đoàn hợp pháp. FBI cho biết: "Những người tuyển dụng quảng cáo các công việc lương cao ở nước ngoài. Công nhân được bay đến các nước ngoài chỉ để phát hiện ra rằng các vị trí đó không tồn tại. Hộ chiếu bị tịch thu. Lính canh có vũ trang tuần tra khắp khuôn viên. Dưới sự đe dọa bạo lực, công nhân bị buộc phải đóng giả làm bạn tình tiềm năng hoặc các nhà tư vấn đầu tư sành sỏi, xây dựng lòng tin với nạn nhân trong nhiều tuần hoặc nhiều tháng." Các cuộc trấn áp gần đây ở các nước như Campuchia đã giải thoát hàng nghìn công nhân khỏi các khu phức hợp lừa đảo, nhưng FBI cảnh báo rằng những đột phá này có thể chỉ là tạm thời, vì các mạng lưới tội phạm luôn có xu hướng di chuyển, thay đổi thương hiệu hoặc thay đổi chiến thuật để đối phó với các hành động thực thi pháp luật.
  • Server APT28 bị lộ rò rỉ SquirrelMail XSS Payload — Một open directory thứ hai bị lộ được phát hiện trên một máy chủ ("203.161.50[.]145") liên quan đến APT28 (còn gọi là Fancy Bear) đã cung cấp thông tin chi tiết về các chiến dịch gián điệp của tác nhân đe dọa nhắm vào các tổ chức chính phủ và quân sự trên khắp Ukraine, Romania, Bulgaria, Hy Lạp, Serbia và Bắc Macedonia. Theo Ctrl-Alt-Intel, directory này chứa mã nguồn command-and-control (C2), các script để đánh cắp email, thông tin đăng nhập, sổ địa chỉ và 2FA tokens từ các hộp thư Roundcube, nhật ký từ xa và dữ liệu bị rò rỉ. Dữ liệu bị đánh cắp bao gồm 2.870 email từ các hộp thư chính phủ và quân sự, 244 bộ thông tin đăng nhập bị đánh cắp, 143 quy tắc chuyển tiếp Sieve (để âm thầm chuyển tiếp mọi email đến hộp thư do kẻ tấn công kiểm soát) và 11.527 địa chỉ email liên hệ. Một trong những công cụ mới được xác định là XSS payload nhắm mục tiêu vào phần mềm webmail SquirrelMail, làm nổi bật sự tập trung liên tục của tác nhân đe dọa vào việc tận dụng các lỗ hổng XSS để đánh cắp dữ liệu từ hộp thư đến. Điều đáng chú ý là máy chủ này đã được gán cho APT28 bởi Computer Emergency Response Team của Ukraine (CERT-UA) từ tháng 9 năm 2024. Ctrl-Alt-Intel cho biết: "Fancy Bear đã phát triển một bộ công cụ khai thác đa nền tảng, mô-đun hóa, nơi nạn nhân chỉ cần mở một email độc hại – không cần thêm bất kỳ cú nhấp chuột nào – có thể dẫn đến việc thông tin đăng nhập của họ bị đánh cắp, 2FA của họ bị bỏ qua, email trong hộp thư của họ bị rò rỉ và một quy tắc chuyển tiếp âm thầm được thiết lập tồn tại vô thời hạn."
  • Phân tích máy chủ Ransomware Beast — Một phân tích một open directory trên máy chủ ("5.78.84[.]144") liên quan đến Beast, một ransomware-as-a-service (RaaS) được cho là kế nhiệm ransomware Monster, đã khám phá ra nhiều công cụ khác nhau được các tác nhân đe dọa sử dụng và các giai đoạn khác nhau trong vòng đời tấn công của chúng. Chúng bao gồm Advanced IP Scanner và Advanced Port Scanner để lập bản đồ mạng nội bộ và tìm các cổng remote desktop protocol (RDP) hoặc server message block (SMB) đang mở. Cũng được xác định là các chương trình để định vị các tệp nhạy cảm để exfiltration và gắn cờ các máy chủ chứa nhiều dữ liệu nhất, cũng như Mimikatz, LaZagne và Automim (để thu thập thông tin đăng nhập), AnyDesk (để duy trì), PsExec (để di chuyển ngang) và MEGASync (để exfiltration dữ liệu). Các hoạt động ransomware Beast đã tạm dừng vào tháng 11 năm 2025 và tiếp tục vào tháng 1 năm 2026.
  • GrapheneOS phản đối sáng kiến Unified Attestation — GrapheneOS đã mạnh mẽ phản đối Unified Attestation, tuyên bố rằng nó "không phục vụ mục đích thực sự hữu ích nào ngoài việc mang lại cho chính nó một lợi thế không công bằng trong khi giả vờ rằng nó có liên quan đến bảo mật." Sáng kiến Unified Attestation là một giải pháp thay thế nguồn mở, phi tập trung cho Google Play Integrity API để cung cấp kiểm tra tính toàn vẹn của thiết bị và ứng dụng cho các ROM tùy chỉnh mà không yêu cầu Google Play Services. GrapheneOS cho biết: "Chúng tôi mạnh mẽ phản đối sáng kiến Unified Attestation và kêu gọi các nhà phát triển ứng dụng hỗ trợ quyền riêng tư, bảo mật và tự do trên thiết bị di động tránh xa nó. Các công ty bán điện thoại không nên quyết định hệ điều hành nào mọi người được phép sử dụng cho ứng dụng."
  • VoidStealer sử dụng Chrome Debugger để đánh cắp bí mật — Một information stealer được gọi là VoidStealer đã được quan sát thấy sử dụng một kỹ thuật bypass Application-Bound Encryption (ABE) dựa trên debugger mới lạ, tận dụng hardware breakpoints để trích xuất "v20_master_key" trực tiếp từ bộ nhớ trình duyệt và sử dụng nó để giải mã dữ liệu nhạy cảm được lưu trữ trong trình duyệt. VoidStealer là một malware-as-a-service (MaaS) infostealer bắt đầu được quảng cáo trên một số dark web forums vào giữa tháng 12 năm 2025. Kỹ thuật bypass ABE đã được giới thiệu trong phiên bản 2.0 của stealer được công bố vào ngày 13 tháng 3 năm 2026. Gen Digital cho biết: "Việc bypass không yêu cầu nâng cao đặc quyền cũng không yêu cầu code injection, khiến nó trở thành một phương pháp lén lút hơn so với các phương pháp bypass ABE thay thế." VoidStealer được đánh giá là đã áp dụng kỹ thuật này từ dự án nguồn mở ElevationKatz.
  • FBI cho biết họ đang mua dữ liệu vị trí của người Mỹ — Giám đốc FBI Kash Patel thừa nhận rằng cơ quan này đang mua dữ liệu vị trí có thể được sử dụng để theo dõi chuyển động của mọi người mà không cần lệnh khám xét. Patel cho biết tại một phiên điều trần trước Ủy ban Tình báo Thượng viện: "Chúng tôi mua thông tin có sẵn trên thị trường phù hợp với Hiến pháp và luật theo Electronic Communications Privacy Act, và điều đó đã mang lại một số thông tin tình báo có giá trị cho chúng tôi."
  • Botnet Iran bị lộ qua Open Directory — Một Open Directory trên "185.221.239[.]162:8080" đã được tìm thấy chứa một số payload, bao gồm một script botnet dựa trên Python, một binary DDoS được biên dịch, nhiều tệp denial-of-service bằng ngôn ngữ C, và các địa chỉ IP liên quan đến thông tin đăng nhập SSH. Hunt.io cho biết: "Một script Python có tên ohhhh.py đọc thông tin đăng nhập theo định dạng host:port|username|password và mở 500 phiên SSH đồng thời, tự động biên dịch và khởi chạy bot client trên mỗi host. .bash_history bị lộ đã ghi lại ba giai đoạn hoạt động riêng biệt: thiết lập mạng tunnel, xây dựng và thử nghiệm công cụ DDoS chống lại các mục tiêu thực tế, và phát triển botnet lặp đi lặp lại trên nhiều phiên bản script." Hoạt động này chưa được liên kết với bất kỳ chiến dịch do nhà nước chỉ đạo nào.
  • Nhà phát triển OpenClaw bị tấn công Phishing — Sự kết hợp giữa tính linh hoạt, kiểm soát cục bộ và hệ sinh thái phát triển nhanh chóng của OpenClaw đã khiến nó trở nên phổ biến đối với các nhà phát triển trong một thời gian rất ngắn. Mặc dù tốc độ chấp nhận chưa từng có đó đã khiến các tổ chức phải đối mặt với các rủi ro bảo mật mới của riêng nó (nghĩa là các lỗ hổng và sự hiện diện của các skill độc hại trên ClawHub và SkillsMP), các tác nhân đe dọa cũng đang tận dụng tên thương hiệu và danh tiếng để thiết lập các tài khoản GitHub giả mạo cho một chiến dịch phishing lừa các nhà phát triển không nghi ngờ bằng lời hứa về các token $CLAW miễn phí và lừa họ kết nối ví tiền điện tử của mình. Các nhà nghiên cứu Moshe Siman Tov Bustan và Nir Zadok của OX Security cho biết: "Tác nhân đe dọa tạo các tài khoản GitHub giả mạo, mở các luồng issue trong các kho lưu trữ do kẻ tấn công kiểm soát và gắn thẻ hàng chục nhà phát triển GitHub. Các bài đăng tuyên bố rằng những người nhận đã giành được 5.000 đô la token CLAW và có thể thu thập chúng bằng cách truy cập một trang web được liên kết và kết nối ví tiền điện tử của họ." Trang web được liên kết ("token-claw[.]xyz") là một bản sao gần như giống hệt của openclaw.ai được trang bị một nút "Connect your wallet" làm cạn ví được thiết kế để thực hiện hành vi trộm cắp tiền điện tử.
  • Chiến dịch mới nhắm mục tiêu nhân sự vận hành năng lượng ở Pakistan — Một chiến dịch có mục tiêu chống lại nhân sự vận hành tại các công ty năng lượng liên quan đến các dự án ở Pakistan đã tận dụng các email phishing bắt chước lời mời tham dự Hội chợ & Hội nghị Năng lượng Pakistan (PEEC). Các tin nhắn, được gửi từ các tài khoản bị xâm nhập từ một trường đại học Pakistan và một tổ chức chính phủ, nhằm đánh lừa nạn nhân mở các tệp đính kèm PDF với lời nhắc cập nhật Adobe Acrobat Reader giả. Nhấp vào bản cập nhật dẫn đến việc tải xuống một tài nguyên ứng dụng ClickOnce làm rơi framework Havoc Demon C2. Proofpoint cho biết: "Chuỗi chuyển hướng cũng được bọc trong geofencing và browser fingerprinting, giới hạn quyền truy cập vào các mục tiêu dự định. Điều đó có khả năng làm giảm khả năng tiếp xúc với phân tích tự động trong khi vẫn giữ đường dẫn phân phối được giới hạn chặt chẽ." Hoạt động này đã được đặt tên mã là UNK_VaporVibes. Nó được đánh giá là có sự trùng lặp với hoạt động được liên kết công khai với SloppyLemming.
  • Hơn 373K trang web Dark Web bị sập — Các cơ quan thực thi pháp luật quốc tế đã công bố việc triệt phá một trong những mạng lưới lớn nhất được biết đến của các nền tảng lừa đảo trên dark web, khám phá hàng trăm nghìn trang web giả mạo được sử dụng để lừa đảo người dùng tìm kiếm nội dung lạm dụng tình dục trẻ em. Một chiến dịch quốc tế kéo dài 10 ngày do chính quyền Đức dẫn đầu và được Europol hỗ trợ đã đóng cửa hơn 373.000 dark web domains do một người đàn ông 35 tuổi sống ở Trung Quốc điều hành, người đã vận hành một mạng lưới rộng lớn các nền tảng lừa đảo từ ít nhất năm 2021. Mặc dù các trang web quảng cáo tài liệu lạm dụng trẻ em và các dịch vụ cybercrime-as-a-service, nhưng không có gì thực sự được giao sau khi nạn nhân thanh toán bằng Bitcoin. Kế hoạch lừa đảo đã mang lại cho kẻ điều hành ước tính 345.000 euro từ khoảng 10.000 người. Các nhà chức trách từ 23 quốc gia đã tham gia vào hoạt động này và kể từ đó đã xác định 440 khách hàng mà các giao dịch mua của họ hiện đang được điều tra tích cực.
  • Các gói npm độc hại đánh cắp bí mật — Hai gói npm độc hại, `sbx-mask` và `touch-adv`, đã được phát hiện đánh cắp bí mật từ máy tính của nạn nhân. Một gói gọi mã độc hại thông qua script `postinstall`, gói còn lại thực thi nó khi mã ứng dụng được nhà phát triển gọi sau khi import nó. Sonatype cho biết: "Bằng chứng cho thấy mạnh mẽ là việc chiếm đoạt tài khoản của một nhà phát hành hợp pháp, chứ không phải là hoạt động độc hại có chủ ý. Các tài khoản nhà phát hành bị chiếm đoạt đặc biệt đáng lo ngại vì, theo thời gian, người duy trì xây dựng lòng tin với người dùng các thành phần của họ. Những kẻ tấn công nhằm tận dụng lòng tin đó để đánh cắp thông tin có giá trị hoặc có lợi nhuận."
  • Trung Quốc sẽ có mật mã Post-Quantum của riêng mình trong 3 năm — Trung Quốc được cho là đang có kế hoạch phát triển các tiêu chuẩn mật mã post-quantum quốc gia của riêng mình trong vòng ba năm tới, theo một báo cáo từ Reuters. Hoa Kỳ đã hoàn thiện bộ tiêu chuẩn mật mã post-quantum đầu tiên vào năm 2024 và đang hướng tới việc di chuyển toàn bộ ngành công nghiệp vào năm 2035.
  • Điều gì tiếp theo cho Tycoon2FA? — Một hoạt động thực thi pháp luật gần đây đã phá hủy cơ sở hạ tầng liên quan đến nền tảng phishing-as-a-service (PhaaS) Tycoon2FA. Tuy nhiên, một phân tích mới từ Bridewell đã tiết lộ rằng một số trang CAPTCHA phishing 2FA vẫn còn hoạt động. Công ty an ninh mạng lưu ý, hoạt động còn sót lại này xuất phát từ thực tế là các trang này hoạt động trên một mạng lưới khổng lồ các trang web bên thứ ba bị xâm nhập, các nền tảng SaaS hợp pháp và hàng nghìn domain dùng một lần. Bridewell cho biết thêm: "Những kẻ điều hành và các chi nhánh rất linh hoạt và sẽ cố gắng xây dựng lại, di chuyển sang cơ sở hạ tầng mới hoặc chuyển sang các nền tảng PhaaS cạnh tranh. Các trang CAPTCHA đang hoạt động mà chúng tôi đang thấy có thể thuộc về các chi nhánh tội phạm còn sống sót đang cố gắng duy trì các chiến dịch cá nhân của họ trên các mạng proxy thứ cấp."

🔧 Công cụ An ninh mạng

  • MESH → Đây là một công cụ nguồn mở từ BARGHEST cho phép điều tra pháp y di động từ xa và giám sát mạng qua một mạng mesh mã hóa, peer-to-peer chống lại kiểm duyệt. Nó kết nối các thiết bị Android/iOS phía sau firewall hoặc CGNAT bằng cách sử dụng giao thức giống Tailscale đã sửa đổi (không cần máy chủ trung tâm), hỗ trợ ADB wireless debugging, libimobiledevice, PCAP capture và Suricata IDS — cho phép truy cập trực tiếp, an toàn để thu thập dữ liệu logic trực tiếp trong môi trường bị hạn chế hoặc thù địch.
  • enject → Đây là một công cụ Rust nhẹ bảo vệ các bí mật .env khỏi các trợ lý AI như Copilot hoặc Claude. Nó thay thế các giá trị thực trong tệp .env của bạn bằng các placeholder (ví dụ: `en://api_key`). Các bí mật được mã hóa trong một kho lưu trữ riêng cho từng dự án (AES-256-GCM, được bảo vệ bằng mật khẩu chính). Khi bạn chạy `enject run -- `, nó chỉ giải mã chúng trong bộ nhớ tại thời gian chạy, sau đó xóa chúng — không bao giờ để lại plaintext trên đĩa. Nguồn mở, macOS/Linux, hoàn hảo cho việc phát triển cục bộ an toàn.
Thẻ liên quan
#an ninh mạng #phishing #ransomware #zero-day #tấn công chuỗi cung ứng