Các cuộc tấn công mạng ngày càng trở nên tinh vi và khó ngăn chặn hơn. Tuần này, tin tặc đã sử dụng các công cụ lén lút, lừa đảo các hệ thống đáng tin cậy và nhanh chóng lợi dụng các vấn đề bảo mật mới – một số chỉ vài giờ sau khi được phát hiện. Không có hệ thống nào hoàn toàn an toàn.
Từ hoạt động gián điệp và lừa đảo việc làm giả mạo đến các cuộc tấn công ransomware mạnh mẽ và phishing tinh vi, các cuộc tấn công đến từ mọi phía. Ngay cả các bản sao lưu được mã hóa và khu vực an toàn cũng bị thử thách.
Hãy tiếp tục đọc để có danh sách đầy đủ các tin tức an ninh mạng lớn nhất tuần này – được giải thích rõ ràng và dễ hiểu.
⚡ Mối đe dọa của tuần
Lỗ hổng Motex Lanscope bị khai thác để thả Gokcpdoor — Một tác nhân gián điệp mạng bị nghi là từ Trung Quốc, được biết đến với tên Tick, đã bị gán cho một chiến dịch tấn công nhắm mục tiêu. Chiến dịch này đã lợi dụng một lỗ hổng bảo mật nghiêm trọng mới được công bố trong Motex Lanscope Endpoint Manager (CVE-2025-61932, CVSS score: 9.3) để xâm nhập mạng lưới mục tiêu và triển khai backdoor có tên Gokcpdoor. Sophos, đơn vị tiết lộ chi tiết về hoạt động này, cho biết nó "giới hạn trong các lĩnh vực phù hợp với mục tiêu tình báo của họ."
🔔 Tin tức hàng đầu
TEE.Fail Side-Channel Attack trích xuất bí mật từ các Secure Enclave DDR5 của Intel và AMD — Một cuộc tấn công side-channel vật lý chi phí thấp đã được phát hiện có thể phá vỡ tính bảo mật và đảm bảo an toàn do các Trusted Execution Environments (TEEs) hiện đại của Intel và AMD cung cấp, cho phép trích xuất hoàn toàn các khóa mã hóa và làm suy yếu các cơ chế chứng thực an toàn. Cuộc tấn công, được đặt tên mã TEE.fail, khai thác mã hóa xác định và can thiệp bus DDR5 để vượt qua thành công các biện pháp bảo vệ trong SGX và TDX của Intel, cũng như SEV-SNP của AMD, bằng cách nghe lén các giao dịch bộ nhớ sử dụng một thiết lập máy phân tích logic tự chế với chi phí dưới 1.000 USD. Tuy nhiên, cuộc tấn công này yêu cầu quyền truy cập vật lý vào mục tiêu cũng như quyền root để sửa đổi Kernel driver.
Tin tặc Nga nhắm mục tiêu Ukraine bằng các chiến thuật lén lút — Các nhà nghiên cứu đã phát hiện ra rằng các tin tặc bị nghi ngờ là người Nga đã xâm nhập mạng lưới Ukraine vào mùa hè này bằng cách sử dụng các công cụ quản trị thông thường để đánh cắp dữ liệu và không bị phát hiện. Theo báo cáo của Symantec và Carbon Black (thuộc Broadcom), những kẻ tấn công đã nhắm vào một công ty dịch vụ kinh doanh lớn của Ukraine và một cơ quan chính phủ địa phương trong hai sự cố riêng biệt vào đầu năm nay. Điều làm cho các cuộc tấn công này đáng chú ý là tin tặc triển khai rất ít mã độc tùy chỉnh mà thay vào đó chủ yếu dựa vào các chiến thuật living-off-the-land, tức là sử dụng phần mềm hợp pháp đã có sẵn trong mạng của nạn nhân để thực hiện các hành động độc hại của chúng. Các tổ chức bị nhắm mục tiêu không được nêu tên, và vẫn chưa rõ thông tin nào, nếu có, đã bị đánh cắp.
Triều Tiên nhắm mục tiêu lĩnh vực Web3 bằng GhostCall và GhostHire — Tác nhân đe dọa BlueNoroff liên quan đến Triều Tiên, còn được biết đến dưới các bí danh APT38 và TA444, đã tái xuất với hai chiến dịch mới có tên GhostCall và GhostHire, nhắm mục tiêu vào các giám đốc điều hành, nhà phát triển Web3 và chuyên gia blockchain. Các chiến dịch này dựa vào kỹ thuật xã hội thông qua các nền tảng như Telegram và LinkedIn để gửi lời mời họp giả mạo và khởi động các chuỗi mã độc nhiều giai đoạn để xâm phạm các máy chủ Windows, Linux và macOS. GhostCall đánh dấu một bước nhảy vọt lớn về tính lén lút trong hoạt động so với các hoạt động BlueNoroff trước đây, với những kẻ tấn công dựa vào nhiều lớp dàn dựng để tránh bị phát hiện. Hoạt động GhostHire áp dụng một cách tiếp cận khác, nhắm mục tiêu vào các nhà phát triển Web3 thông qua các lời mời làm việc giả mạo và bài kiểm tra tuyển dụng. BlueNoroff là một nhóm con có động cơ tài chính của Lazarus Group, đơn vị mạng do nhà nước Triều Tiên tài trợ liên kết với Reconnaissance General Bureau (RGB), và được cho là điều hành chiến dịch SnatchCrypto kéo dài. GhostCall và GhostHire được đánh giá là những phần mở rộng mới nhất của chiến dịch này. Chiến lược của tác nhân đe dọa được cho là đã phát triển vượt ra ngoài việc đánh cắp tiền điện tử và thông tin đăng nhập trình duyệt sang việc thu thập dữ liệu toàn diện trên một loạt tài sản. Kaspersky cho biết: "Dữ liệu thu thập được này không chỉ bị khai thác để chống lại mục tiêu ban đầu mà còn để tạo điều kiện cho các cuộc tấn công tiếp theo, cho phép tác nhân thực hiện các cuộc tấn công chuỗi cung ứng và lợi dụng các mối quan hệ tin cậy đã được thiết lập để ảnh hưởng đến nhiều người dùng hơn."
Mã độc Android Banking mới Herodotus bắt chước hành vi của con người — Các nhà nghiên cứu đã phát hiện ra một mã độc Android banking mới có tên Herodotus, có khả năng né tránh việc phát hiện bằng cách bắt chước hành vi của con người khi điều khiển từ xa các thiết bị bị nhiễm. Mã độc này được quảng cáo bởi một hacker ít được biết đến với tên K1R0. Herodotus hoạt động giống như nhiều trojan Android banking hiện đại. Những kẻ điều hành phân phối nó thông qua tin nhắn SMS lừa người dùng tải xuống một ứng dụng độc hại. Sau khi cài đặt, mã độc chờ một ứng dụng mục tiêu được mở và sau đó phủ lên một màn hình giả mạo bắt chước giao diện ngân hàng hoặc thanh toán thật để đánh cắp thông tin đăng nhập. Nó cũng chặn các tin nhắn SMS đến để thu thập mã xác minh một lần (one-time passcodes) và khai thác các tính năng trợ năng của Android để đọc những gì hiển thị trên màn hình thiết bị. Điều làm cho Herodotus trở nên bất thường, ThreatFabric cho biết, là nó cố gắng "humanize" (nhân hóa) các hành động mà kẻ tấn công thực hiện trong quá trình điều khiển từ xa. Thay vì dán các chi tiết bị đánh cắp vào các trường biểu mẫu cùng một lúc — một hành vi có thể dễ dàng bị gắn cờ là tự động hóa — mã độc gõ từng ký tự riêng biệt với các khoảng dừng ngẫu nhiên khoảng 0,3 đến 3 giây giữa các lần gõ phím, bắt chước cách một người thật sẽ gõ.
Ransomware Qilin sử dụng công cụ mã hóa Linux trong các cuộc tấn công Windows — Các tác nhân ransomware Qilin đã được quan sát sử dụng Windows Subsystem for Linux (WSL) để khởi chạy các công cụ mã hóa Linux trong Windows nhằm cố gắng né tránh phát hiện. Qilin, xuất hiện vào giữa năm 2022, đã tấn công hơn 700 nạn nhân trên 62 quốc gia trong năm nay. Tỷ lệ nạn nhân được công bố trên trang rò rỉ dữ liệu của nó nhấn mạnh vị trí của Qilin là một trong những hoạt động ransomware tích cực và nguy hiểm nhất trên toàn thế giới. Trong các cuộc tấn công mới được Trend Micro phát hiện, các chi nhánh của Qilin đã được nhìn thấy sử dụng WinSCP để chuyển công cụ mã hóa Linux ELF sang các thiết bị bị xâm nhập, sau đó được khởi chạy thông qua phần mềm quản lý từ xa Splashtop. Điều này được thực hiện bằng cách kích hoạt hoặc cài đặt WSL trên máy chủ, cho phép chúng chạy các tệp nhị phân Linux một cách tự nhiên trên Windows mà không cần máy ảo.
️🔥 Các CVE nổi bật của tuần
Tin tặc hành động nhanh chóng. Chúng thường khai thác các lỗ hổng mới chỉ trong vài giờ, biến một bản vá bị bỏ lỡ thành một vụ vi phạm nghiêm trọng. Một CVE chưa được vá có thể là tất cả những gì cần thiết để xâm nhập hoàn toàn. Dưới đây là danh sách các lỗ hổng nghiêm trọng nhất tuần này đang thu hút sự chú ý trong ngành. Hãy xem xét chúng, ưu tiên các bản sửa lỗi của bạn và đóng lại khoảng trống trước khi những kẻ tấn công lợi dụng.
Danh sách tuần này bao gồm — CVE-2025-55315 (QNAP NetBak PC Agent), CVE-2025-10680 (OpenVPN), CVE-2025-55752, CVE-2025-55754 (Apache Tomcat), CVE-2025-52665 (Ubiquiti UniFi Access), CVE-2025-12044, CVE-2025-11621 (HashiCorp Vault), CVE-2025-43995 (Dell Storage Manager), CVE-2025-5842 (Veeder-Root TLS4B Automatic Tank Gauge System), CVE-2025-24893 (XWiki), CVE-2025-62725 (Docker Compose), CVE-2025-12080 (Google Messages for Wear OS), CVE-2025-12450 (LiteSpeed Cache plugin), CVE-2025-11705 (Anti-Malware Security and Brute-Force Firewall plugin), CVE-2025-55680 (Microsoft Cloud Files Minifilter driver), CVE-2025-6325, CVE-2025-6327 (King Addons for Elementor plugin), CVE-2025-49401 (Quiz and Survey Master plugin), CVE-2025-54603 (Claroty Secure Remote Access), và CVE-2025-10932 (Progress MOVEit Transfer).
📰 Tin tức khắp thế giới mạng
Canada cảnh báo về các cuộc tấn công của Hacktivist nhắm vào hạ tầng trọng yếu — Trung tâm An ninh Mạng Canada đã đưa ra cảnh báo về các cuộc tấn công do hacktivist thực hiện nhắm vào các hệ thống điều khiển công nghiệp (ICS) tiếp xúc với internet. Cyber Centre cho biết: "Một sự cố đã ảnh hưởng đến một cơ sở nước, làm giả mạo các giá trị áp lực nước và dẫn đến dịch vụ bị suy giảm cho cộng đồng của nó. Một sự cố khác liên quan đến một công ty dầu khí Canada, nơi một Automated Tank Gauge (ATG) bị thao túng, gây ra báo động giả. Sự cố thứ ba liên quan đến một kho chứa hạt sấy khô trên một trang trại Canada, nơi nhiệt độ và độ ẩm bị thao túng, dẫn đến các điều kiện có khả năng không an toàn nếu không được phát hiện kịp thời." Các tổ chức được khuyến nghị đảm bảo tất cả các dịch vụ được kiểm kê, ghi lại và bảo vệ đúng cách.
Kinsing khai thác lỗ hổng Apache ActiveMQ — Tác nhân đe dọa được gọi là Kinsing đang khai thác CVE-2023-46604, một lỗ hổng đã biết trong Apache ActiveMQ, để thực hiện các cuộc tấn công cryptojacking trên cả hệ thống Linux và Windows. Loạt tấn công mới nhất, được AhnLab quan sát, đáng chú ý vì việc triển khai một backdoor .NET có tên Sharpire, cùng với XMRig và Stager. Công ty an ninh mạng Hàn Quốc cho biết: "Sharpire là một backdoor .NET hỗ trợ PowerShell Empire. Trong quá trình giành quyền kiểm soát hệ thống bị nhiễm, tác nhân đe dọa sử dụng CobaltStrike, Meterpreter và PowerShell Empire cùng nhau." Đáng chú ý là Kinsing đã được phát hiện khai thác lỗ hổng tương tự sau khi nó được công bố rộng rãi vào năm 2023.
2 lỗ hổng trong 8 hệ thống Confidential Computing — Hai lỗ hổng bảo mật (CVE-2025-59054 và CVE-2025-58356) đã được tiết lộ trong tám hệ thống confidential computing khác nhau (Oasis Protocol, Phala Network, Flashbots TDX, Fortanix Salmiac, Edgeless Constellation, Edgeless Contrast, và Cosmian VM) sử dụng Linux Unified Key Setup version 2 (LUKS2) để mã hóa đĩa. Một biện pháp giảm thiểu một phần đã được giới thiệu trong cryptsetup phiên bản 2.8.1. Nhà nghiên cứu Tjaden Hess của Trail of Bits cho biết: "Sử dụng các lỗ hổng này, một tác nhân độc hại có quyền truy cập vào các đĩa lưu trữ có thể trích xuất tất cả dữ liệu mật được lưu trữ trên đĩa đó và có thể sửa đổi nội dung của đĩa một cách tùy tiện." Tuy nhiên, việc khai thác vấn đề này yêu cầu quyền ghi vào các đĩa được mã hóa. Không có bằng chứng nào cho thấy các lỗ hổng đã bị khai thác trong thực tế.
Tin tặc lạm dụng LinkedIn nhắm mục tiêu vào các giám đốc tài chính — Tin tặc đang lạm dụng LinkedIn để nhắm mục tiêu vào các giám đốc tài chính bằng các cuộc tấn công phishing qua tin nhắn trực tiếp, giả mạo lời mời tham gia hội đồng quản trị với mục đích đánh cắp thông tin đăng nhập Microsoft của họ. Các tin nhắn chứa một URL độc hại, khi nhấp vào sẽ kích hoạt một chuỗi chuyển hướng dẫn nạn nhân đến một trang đích giả mạo yêu cầu họ đăng nhập bằng thông tin đăng nhập tài khoản Microsoft để xem tài liệu. Trang phishing cũng triển khai bảo vệ bot như Cloudflare Turnstile để chặn các máy quét tự động. Push Security cho biết: "Gửi các mồi nhử phishing qua các ứng dụng mạng xã hội như LinkedIn là một cách tuyệt vời để tiếp cận nhân viên ở một nơi mà họ mong đợi được liên hệ bởi những người bên ngoài tổ chức của họ. Bằng cách né tránh hoàn toàn điểm kiểm soát phishing truyền thống (email), những kẻ tấn công giảm đáng kể rủi ro bị chặn."
WhatsApp thêm hỗ trợ Passkey cho sao lưu được mã hóa — WhatsApp đã công bố một cách mới để truy cập các bản sao lưu được mã hóa với hỗ trợ passkey. WhatsApp cho biết: "Passkeys sẽ cho phép bạn sử dụng dấu vân tay, khuôn mặt hoặc mã khóa màn hình để mã hóa các bản sao lưu cuộc trò chuyện của mình thay vì phải nhớ mật khẩu hoặc khóa mã hóa 64 ký tự cồng kềnh. Giờ đây, chỉ với một lần chạm hoặc liếc mắt, cùng một bảo mật bảo vệ các cuộc trò chuyện và cuộc gọi cá nhân của bạn trên WhatsApp sẽ được áp dụng cho các bản sao lưu cuộc trò chuyện của bạn để chúng luôn an toàn, dễ truy cập và riêng tư." Thay đổi này dự kiến sẽ được triển khai dần dần trong những tuần và tháng tới. Passkeys là một phương pháp xác thực không cần mật khẩu dựa trên tiêu chuẩn ngành FIDO. Chúng được thiết kế để thay thế mật khẩu bằng các khóa mật mã được lưu trữ trên thiết bị của người dùng và được bảo mật bằng các phương pháp sinh trắc học hoặc khóa thiết bị. WhatsApp đã ra mắt hỗ trợ passkeys trên Android vào tháng 10 năm 2023 và cho iOS vào tháng 4 năm 2024.
12 tiện ích mở rộng VS Code độc hại bị gắn cờ — Các nhà nghiên cứu an ninh mạng đã gắn cờ một bộ 12 thành phần độc hại trong thị trường tiện ích mở rộng Visual Studio Code (VS Code) có khả năng đánh cắp thông tin nhạy cảm hoặc cài đặt backdoor thiết lập kết nối liên tục với máy chủ do kẻ tấn công kiểm soát và thực thi mã tùy ý trên máy chủ của người dùng. HelixGuard cho biết: "Mã độc trong các plugin IDE là một kênh tấn công chuỗi cung ứng mà các nhóm bảo mật doanh nghiệp cần phải xem xét nghiêm túc." Sự phát triển này diễn ra khi Aikido báo cáo rằng các tác nhân đe dọa đứng sau chiến dịch GlassWorm nhắm mục tiêu vào thị trường tiện ích mở rộng VS Code và Open VSX đã chuyển sang GitHub, sử dụng cùng một thủ thuật che giấu Unicode để ẩn các payload độc hại của chúng trong các dự án JavaScript. Công ty an ninh chuỗi cung ứng cho biết việc sử dụng mã độc ẩn được chèn bằng các ký tự Unicode Private Use Area (PUA) vô hình lần đầu tiên được quan sát trong một bộ các gói npm độc hại vào tháng 3 năm 2025. Nhà nghiên cứu bảo mật Ilyas Makari cho biết: "Những sự cố này nhấn mạnh sự cần thiết phải nâng cao nhận thức về việc lạm dụng Unicode, đặc biệt là mối nguy hiểm của các ký tự Private Use Area vô hình. Các nhà phát triển chỉ có thể tự bảo vệ khỏi những gì họ có thể nhìn thấy, và hiện tại, hầu hết các công cụ không cho họ thấy đủ. Cả giao diện web của GitHub và VS Code đều không hiển thị bất kỳ dấu hiệu nào cho thấy có điều gì đó không ổn."
Proton ra mắt Data Breach Observatory — Công ty Proton của Thụy Sĩ, tập trung vào quyền riêng tư, đã ra mắt Data Breach Observatory như một cách để quét dark web tìm kiếm các vụ rò rỉ dữ liệu nhạy cảm từ các doanh nghiệp. Họ cho biết hơn 306,1 triệu bản ghi đã bị rò rỉ từ 794 vụ vi phạm, với bán lẻ, công nghệ và truyền thông nổi lên là các lĩnh vực bị nhắm mục tiêu nhiều nhất. Công ty cho biết: "Các doanh nghiệp nhỏ và vừa (các công ty có 1–249 nhân viên) chiếm 70,5% các vụ vi phạm được báo cáo. Các công ty lớn hơn (250–999 nhân viên) chiếm 13,5% các vụ rò rỉ dữ liệu, và các tổ chức doanh nghiệp có hơn 1.000+ nhân viên chiếm 15,9% còn lại. Các SMB là mục tiêu hoàn hảo cho tin tặc, bởi vì mặc dù họ có thể mang lại khoản tiền chuộc nhỏ hơn so với một tổ chức doanh nghiệp, nhưng họ dễ bị xâm nhập hơn nhiều vì họ có ít biện pháp bảo mật hơn."
Nga bắt giữ 3 người liên quan đến Meduza infostealer — Chính quyền Nga đã bắt giữ ba cá nhân được cho là đã tạo ra và bán Meduza infostealer. Các nghi phạm bị bắt vào tuần trước tại khu vực đô thị Moscow, theo Bộ Nội vụ Nga. Chính quyền cho biết họ đã thu giữ thiết bị máy tính, điện thoại và thẻ ngân hàng trong các cuộc đột kích vào nhà các nghi phạm. Người phát ngôn của Bộ, Irina Volk, cho biết mã độc đã được sử dụng trong các cuộc tấn công chống lại ít nhất một mạng lưới chính phủ ở vùng Astrakhan. Trong một báo cáo được công bố vào tháng 9 năm ngoái, công ty an ninh Nga BI.ZONE cho biết Meduza đã được sử dụng trong nhiều cuộc tấn công nhắm vào các tổ chức Nga vào năm ngoái.
Công dân Ukraine bị dẫn độ sang Mỹ vì các cuộc tấn công Conti — Một công dân Ukraine được cho là thành viên của hoạt động ransomware Conti đã bị dẫn độ sang Mỹ. Bộ Tư pháp Hoa Kỳ cho biết: "Từ khoảng năm 2020 và tiếp tục cho đến khoảng tháng 6 năm 2022, Oleksii Oleksiyovych Lytvynenko, 43 tuổi, đến từ Cork, Ireland, đã âm mưu với những người khác để triển khai ransomware Conti nhằm tống tiền nạn nhân và đánh cắp dữ liệu của họ. Lytvynenko đã kiểm soát dữ liệu bị đánh cắp từ nhiều nạn nhân Conti và tham gia vào các ghi chú tống tiền được triển khai trên hệ thống của nạn nhân." Lytvynenko bị chính quyền Ireland bắt giữ vào tháng 7 năm 2023. Anh ta bị buộc tội âm mưu lừa đảo máy tính và âm mưu lừa đảo qua mạng. Nếu bị kết tội, anh ta phải đối mặt với mức án tối đa 5 năm tù cho âm mưu lừa đảo máy tính và 20 năm tù cho âm mưu lừa đảo qua mạng. Theo ước tính, Conti đã được sử dụng để tấn công hơn 1.000 nạn nhân trên toàn thế giới, dẫn đến ít nhất 150 triệu USD tiền chuộc tính đến tháng 1 năm 2022. Mặc dù nhóm đã đóng cửa thương hiệu "Conti" vào năm 2022, các thành viên của nó đã tách ra thành các nhóm nhỏ hơn và chuyển sang các hoạt động ransomware hoặc tống tiền khác. Bốn đồng phạm bị cáo buộc của Lytvynenko, Maksim Galochkin, Maksim Rudenskiy, Mikhail Mikhailovich Tsarev và Andrey Yuryevich Zhuykov, đã bị truy tố vào năm 2023.
FCC sẽ loại bỏ các yêu cầu an ninh mạng đối với các nhà cung cấp dịch vụ viễn thông Hoa Kỳ — Ủy ban Truyền thông Liên bang Hoa Kỳ (FCC) cho biết họ sẽ bỏ phiếu vào tháng tới để loại bỏ các yêu cầu an ninh mạng mới đối với các nhà cung cấp dịch vụ viễn thông. Brendan Carr, chủ tịch FCC, cho biết: "Sau sự tham gia sâu rộng của FCC với các nhà mạng, văn bản này công bố các bước đáng kể mà các nhà cung cấp đã thực hiện để tăng cường khả năng phòng thủ an ninh mạng của họ."
Đan Mạch rút lui khỏi Chat Control của E.U. — Chính phủ Đan Mạch đã chính thức rút lại luật Chat Control sau khi đề xuất gây tranh cãi này không nhận được sự ủng hộ đa số trong các thành viên khối E.U. Chính phủ Đức, vào ngày 8 tháng 10, đã tuyên bố sẽ không ủng hộ kế hoạch này. Trong khi Chat Control được trình bày như một cách để chống lại mối đe dọa phát sinh từ Child Sexual Abuse Material (CSAM), những người chỉ trích đề xuất này cho rằng nó sẽ bắt buộc quét tất cả các giao tiếp kỹ thuật số riêng tư, bao gồm tin nhắn và ảnh được mã hóa, đe dọa quyền riêng tư và bảo mật cho tất cả công dân trong khu vực.
Ba Lan bắt giữ 11 người điều hành vụ lừa đảo đầu tư — Chính quyền Ba Lan đã bắt giữ 11 nghi phạm điều hành một kế hoạch lừa đảo đầu tư dựa vào các trung tâm cuộc gọi đặt ở nước ngoài để lừa công dân Ba Lan đầu tư tiền của họ vào các trang web đầu tư giả mạo. Băng đảng này bị cáo buộc đã kiếm được hơn 20 triệu USD từ ít nhất 1.500 nạn nhân.
4 RAT mới sử dụng Discord cho C2 — Các nhà nghiên cứu an ninh mạng đã làm sáng tỏ bốn RAT (remote access trojans) mới sử dụng nền tảng Discord cho command-and-control (C2). Điều này bao gồm UwUdisRAT, STD RAT, Minecraft RAT và Propionanilide RAT. ReversingLabs cho biết: "Minecraft RAT [...] được điều hành bởi một nhóm tác nhân đe dọa tự gọi mình là 'STD Group.' Họ cũng điều hành một loạt các RAT có liên quan rất chặt chẽ sử dụng Discord làm cơ chế C2 của chúng. Các RAT này có mối liên hệ chặt chẽ đến mức chúng có thể là cùng một cơ sở mã, chỉ được đổi tên thương hiệu." Propionanilide RAT, mặt khác, có một packer gọi là Proplock hoặc STD Crypter để giải mã và khởi chạy chức năng Discord RAT.
Các điểm yếu bảo mật trên các trang web của Tata Motors — Một số vấn đề bảo mật đã được phát hiện trên các trang web của Tata Motors như E-Dukaan, FleetEdge và cvtestdrive.tatamotors[.]com, bao gồm các khóa Azuga API bị lộ, hai khóa AWS và một tài khoản "backdoor" nhúng cấp quyền truy cập trái phép vào hơn 70 TB thông tin nhạy cảm và cơ sở hạ tầng trên hàng trăm bucket, xâm phạm hệ thống quản lý đội xe thử nghiệm, giành quyền admin vào tài khoản Tableau do tập đoàn quản lý. Sau khi nhà nghiên cứu bảo mật Eaton Zveare tiết lộ có trách nhiệm vào tháng 8 năm 2023 phối hợp với Đội ứng cứu khẩn cấp máy tính của Ấn Độ (CERT-In), các vấn đề cuối cùng đã được giải quyết vào đầu tháng 1 năm 2024. Trong những tháng gần đây, Zveare cũng đã chứng minh các phương pháp đột nhập vào các trang web nội bộ của Intel và xác định các lỗ hổng trong nền tảng đại lý tập trung của một nhà sản xuất ô tô không tên có thể bị lạm dụng để giành quyền kiểm soát hoàn toàn các hệ thống của hơn 1.000 đại lý ô tô ở Hoa Kỳ bằng cách tạo tài khoản admin quốc gia. Nhà nghiên cứu cũng xác định một lỗi bảo mật cấp API trong một nền tảng không xác định cấp khả năng truy cập các lệnh để khởi động và dừng máy phát điện. Mặc dù vấn đề đã được khắc phục vào tháng 10 năm 2023, nền tảng này không còn hoạt động.
Tangerine Turkey sử dụng Batch và Visual Basic Scripts để thả Crypto Miners — Một chiến dịch đào tiền điện tử có tên Tangerine Turkey đã được phát hiện sử dụng các tệp batch và Visual Basic Scripts để giành quyền duy trì, né tránh các biện pháp phòng thủ và triển khai các miner XMRig trên các môi trường nạn nhân. Kể từ khi xuất hiện vào cuối năm 2024, chiến dịch này được đánh giá là đã mở rộng phạm vi, nhắm mục tiêu vào các tổ chức một cách bừa bãi trên nhiều ngành công nghiệp và khu vực địa lý. Cybereason cho biết: "Quyền truy cập ban đầu trong chiến dịch mã độc Tangerine Turkey đạt được thông qua một thiết bị USB bị nhiễm. Cuộc tấn công bắt đầu khi wscript.exe thực thi một VB Script độc hại nằm trên ổ đĩa di động. Bằng cách tận dụng các tệp nhị phân living‑off-the‑land như wscript.exe và printui.exe, cũng như các sửa đổi registry và các thư mục mồi nhử, mã độc có thể né tránh các biện pháp phòng thủ truyền thống và duy trì quyền duy trì."
Hezi Rash nhắm mục tiêu các trang web toàn cầu trong chiến dịch Hacktivist — Một tác nhân đe dọa mới có động cơ tư tưởng được gọi là Hezi Rash (nghĩa là Lực lượng Đen) đã được liên kết với khoảng 350 cuộc tấn công distributed denial-of-service (DDoS) nhắm vào các quốc gia bị coi là thù địch với cộng đồng người Kurd hoặc Hồi giáo từ tháng 8 đến tháng 10 năm 2025. Được thành lập vào năm 2023, nhóm hacktivist theo chủ nghĩa dân tộc người Kurd đã tự mô tả mình là một tập thể kỹ thuật số bảo vệ xã hội người Kurd chống lại các mối đe dọa mạng, theo Check Point, đồng thời thúc đẩy sự pha trộn giữa chủ nghĩa dân tộc, tôn giáo và hoạt động tích cực trong thông điệp của mình. Người ta tin rằng tác nhân đe dọa này đang sử dụng các công cụ và dịch vụ từ các tác nhân đe dọa đã có tên tuổi hơn như EliteStress, một nền tảng DDoS-as-a-service (DaaS) liên quan đến Keymous+, KillNet, và Project DDoSia và Abyssal DDoS v3. Check Point cho biết: "Trong khi tác động kỹ thuật của các cuộc tấn công này, chẳng hạn như tạm thời ngừng hoạt động trang web, là rõ ràng, những hậu quả kinh doanh rộng lớn hơn vẫn chưa rõ ràng. Các cuộc tấn công dường như là 'loại thông thường', tập trung vào việc gây gián đoạn hơn là khai thác tinh vi." Tiết lộ này theo sau một báo cáo từ Radware, làm nổi bật sự gia tăng hoạt động DDoS được tuyên bố từ ngày 6 đến ngày 8 tháng 10 năm 2025, của các nhóm hacktivist nhắm vào Israel. Một số nhóm tham gia chính bao gồm Sylhet Gang, Keymous+, Arabian Ghosts và NoName057(16). Radware cho biết: "Chỉ riêng ngày 7 tháng 10, hơn 50 tuyên bố tấn công mạng chống lại các mục tiêu của Israel đã được ghi nhận. Số lượng các cuộc tấn công trung bình hàng tuần được tuyên bố đã tăng gần gấp ba lần so với mức trung bình của các tuần trước ngày 7 tháng 10. Sự leo thang mạnh mẽ này nhấn mạnh cách các chiến dịch hacktivist tiếp tục sử dụng các ngày kỷ niệm mang tính biểu tượng để khuếch đại khả năng hiển thị và phối hợp hành động toàn cầu của họ."
Các chiến dịch Phishing phân phối Lampion Stealer — Một nhóm đe dọa của Brazil đã được phát hiện sử dụng các mồi nhử biên lai chuyển khoản ngân hàng chứa các tệp ZIP để thả Lampion stealer thông qua các trang ClickFix-style có trong các trang HTML có trong kho lưu trữ. Trojan banking này đã hoạt động từ ít nhất năm 2019. Bitsight cho biết: "Thay đổi đầu tiên là vào khoảng giữa tháng 9 năm 2024, khi các TA bắt đầu sử dụng tệp đính kèm ZIP thay vì liên kết đến tệp ZIP; thay đổi thứ hai là vào khoảng giữa tháng 12 năm 2024 với việc giới thiệu mồi nhử ClickFix như một kỹ thuật kỹ thuật xã hội mới; thay đổi cuối cùng là vào cuối tháng 6 năm 2025, khi các khả năng duy trì được thêm vào giai đoạn đầu tiên." Lệnh được thực thi sau ClickFix mở đường cho ba VB Scripts khác nhau cuối cùng triển khai thành phần DLL stealer của mã độc.
MITRE phát hành ATT&CK v18 — Tập đoàn MITRE đã phát hành phiên bản cập nhật của framework ATT&CK (v18), cập nhật các phát hiện với hai đối tượng mới: Detection Strategies để phát hiện các kỹ thuật tấn công cụ thể và Analytics cung cấp logic phát hiện mối đe dọa dành riêng cho nền tảng. MITRE cho biết: "Trên mặt trận Di động, có sự bao phủ về việc lạm dụng thiết bị liên kết Signal/WhatsApp do nhà nước tài trợ và các kỹ thuật thu thập tài khoản nâng cao. Và trong ICS, các đối tượng Asset mới và được cập nhật mở rộng phạm vi thiết bị công nghiệp và các kịch bản tấn công mà ATT&CK có thể đại diện, bao gồm các kết nối được cải thiện trên các thuật ngữ cụ thể của ngành thông qua Related Assets."
🎥 Hội thảo trực tuyến về An ninh mạng
Ngừng chìm đắm trong danh sách lỗ hổng: Khám phá Giảm thiểu bề mặt tấn công động — Mệt mỏi vì quá nhiều vấn đề bảo mật và không đủ thời gian để khắc phục chúng? Hãy tham gia The Hacker News và Bitdefender để tìm hiểu về Dynamic Attack Surface Reduction (DASR) – một cách mới để nhanh chóng đóng các lỗ hổng bảo mật bằng các công cụ thông minh và tự động hóa. Xem cách Bitdefender PHASR giúp các nhóm giữ an toàn, giảm rủi ro và chặn các mối đe dọa trước khi chúng gây hại.
Bảo mật hạ tầng đám mây: Chiến lược cân bằng sự linh hoạt, tuân thủ và bảo mật — Khi ngày càng nhiều công ty chuyển sang đám mây, việc giữ an toàn dữ liệu và quyền truy cập trở nên khó khăn hơn. Trong hội thảo trực tuyến này, các chuyên gia sẽ chia sẻ các mẹo dễ làm theo để bảo vệ hệ thống đám mây, quản lý quyền truy cập người dùng và luôn tuân thủ các quy tắc toàn cầu – tất cả mà không làm chậm hoạt động kinh doanh của bạn. Bạn sẽ học được các bước thực tế có thể thực hiện ngay lập tức để giữ an toàn đám mây của bạn và giúp nhóm của bạn di chuyển nhanh chóng.
🔧 Công cụ An ninh mạng
runZeroHound — Một bộ công cụ mã nguồn mở tiện lợi mới từ runZero biến dữ liệu tài sản của bạn thành các "biểu đồ tấn công" trực quan để bạn có thể thấy chính xác cách các mối đe dọa có thể di chuyển qua mạng của mình. Với điều này trong tay, bạn sẽ phát hiện ra các đường dẫn nguy hiểm, đóng các lỗ hổng nhanh hơn và đi trước những gì kẻ tấn công có thể thử tiếp theo.
DroidRun — Đây là một công cụ kiểm thử bảo mật giúp các nhà nghiên cứu và phân tích an toàn chạy và giám sát mã độc Android trong môi trường sandbox. Nó được thiết kế để giúp việc quan sát cách các ứng dụng độc hại hoạt động dễ dàng hơn mà không gây rủi ro cho hệ thống của bạn. Hoàn hảo cho phân tích động, nó hỗ trợ tự động hóa và cung cấp thông tin chi tiết về hoạt động của mã độc.
Tuyên bố miễn trừ trách nhiệm: Các công cụ này chỉ dành cho mục đích giáo dục và nghiên cứu. Chúng chưa được kiểm tra bảo mật hoàn toàn và có thể gây rủi ro nếu sử dụng không đúng cách. Hãy xem xét kỹ mã nguồn trước khi thử, chỉ kiểm tra trong môi trường an toàn và tuân thủ tất cả các quy tắc đạo đức, pháp lý và tổ chức.
🔒 Mẹo bảo mật của tuần
Tại sao Giảm thiểu bề mặt tấn công (Attack Surface Reduction) quan trọng hơn bao giờ hết — Điều gì sẽ xảy ra nếu rủi ro lớn nhất của bạn không phải là một zero-day mới mà là thứ gì đó đã nằm yên lặng bên trong hệ thống của bạn?
Tuần này, trọng tâm chuyển sang Attack Surface Reduction (ASR) – một chiến lược đang nhanh chóng trở thành yếu tố bắt buộc, không phải là thứ nên có. Khi các công ty tạo ra nhiều ứng dụng đám mây, API và tài khoản hơn, tin tặc đang tìm thấy những cách dễ dàng để xâm nhập thông qua những gì đã bị lộ. Hãy nghĩ đến các subdomains bị lãng quên, các cổng không sử dụng, các tài khoản người dùng cũ. Bạn càng có nhiều, chúng càng có nhiều thứ để khai thác.
Tin tốt? Các công cụ mã nguồn mở đang phát triển. EasyEASM giúp lập bản đồ những gì đang hoạt động trên web. Microsoft's Attack Surface Analyzer cho thấy những thay đổi sau các bản cập nhật hoặc cài đặt. ASRGEN cho phép bạn kiểm tra các quy tắc thông minh trong Windows Defender để ngăn chặn các hành vi rủi ro trước khi chúng bị khai thác.
Đây là sự thật: bạn không cần phải ngừng xây dựng nhanh chóng – bạn chỉ cần xây dựng thông minh. Thu hẹp bề mặt tấn công không làm chậm sự đổi mới. Nó bảo vệ sự đổi mới.
Đừng chờ đợi một cảnh báo. Hãy kiểm soát trước khi kẻ tấn công làm điều đó. Lập bản đồ. Cắt giảm. Khóa chặt.
Kết luận
Bài học lớn tuần này? Các mối đe dọa mạng không phải lúc nào cũng giống như mối đe dọa. Chúng có thể ẩn mình trong các ứng dụng thông thường, các trang web đáng tin cậy hoặc thậm chí là các lời mời làm việc. Vấn đề không còn chỉ là ngăn chặn virus – mà là phát hiện các thủ đoạn, hành động nhanh chóng và suy nghĩ trước. Mỗi cú nhấp chuột, mỗi bản cập nhật và mỗi lần đăng nhập đều quan trọng.
An ninh mạng không phải là một giải pháp một lần. Đó là một thói quen hàng ngày.
