Tôi luôn hào hứng khi đảm nhận những dự án mới và hợp tác với những người có tư duy đổi mới.

Điện thoại

0865788749

Email

loideveloper.37@gmail.com

Website

http://loideveloper.io.vn/

Địa chỉ

Thanh Xuân - Hà Nội - Việt Nam

Liên kết mạng xã hội

⚡ Tóm tắt hàng tuần: Sâu WhatsApp, CVE nghiêm trọng, Oracle 0-Day, Nhóm Ransomware và nhiều hơn nữa

Mỗi tuần, thế giới mạng lại nhắc nhở chúng ta rằng im lặng không có nghĩa là an toàn. Các cuộc tấn công thường bắt đầu một cách lặng lẽ — một lỗ hổng chưa được vá, một thông tin đăng nhập bị bỏ sót, một bản sao lưu không được mã hóa. Đến khi báo động vang lên, thiệt hại đã xảy ra.

⚡ Tóm tắt hàng tuần: Sâu WhatsApp, CVE nghiêm trọng, Oracle 0-Day, Nhóm Ransomware và nhiều hơn nữa

Mỗi tuần, thế giới mạng lại nhắc nhở chúng ta rằng im lặng không có nghĩa là an toàn. Các cuộc tấn công thường bắt đầu một cách lặng lẽ — một lỗ hổng chưa được vá, một thông tin đăng nhập bị bỏ sót, một bản sao lưu không được mã hóa. Đến khi báo động vang lên, thiệt hại đã xảy ra.

Ấn bản tuần này xem xét cách những kẻ tấn công đang thay đổi cuộc chơi — liên kết các lỗ hổng khác nhau, hợp tác xuyên biên giới, và thậm chí biến các công cụ đáng tin cậy thành vũ khí. Từ các lỗi phần mềm nghiêm trọng đến việc lạm dụng AI và các thủ thuật lừa đảo mới, mỗi câu chuyện cho thấy bối cảnh mối đe dọa đang thay đổi nhanh chóng như thế nào và tại sao an ninh mạng cũng cần phải thay đổi nhanh chóng không kém.

⚡ Mối đe dọa của tuần#

Hàng chục tổ chức bị ảnh hưởng bởi việc khai thác lỗ hổng Oracle EBS— Hàng chục tổ chức có thể đã bị ảnh hưởng sau khi khai thác lỗ hổng bảo mật zero-day trong phần mềm E-Business Suite (EBS) của Oracle kể từ ngày 9 tháng 8 năm 2025, theo Google Threat Intelligence Group (GTIG) và Mandiant. Hoạt động này, mang một số dấu hiệu liên quan đến nhóm ransomware Cl0p, được đánh giá là đã tạo ra nhiều lỗ hổng riêng biệt, bao gồm lỗ hổng zero-day được theo dõi là CVE-2025-61882 (điểm CVSS: 9,8), để xâm phạm mạng mục tiêu và đánh cắp dữ liệu nhạy cảm. Các chuỗi tấn công đã được phát hiện kích hoạt hai chuỗi tải trọng khác nhau, thả các họ phần mềm độc hại như GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF và SAGEWAVE. Oracle cũng đã phát hành các bản cập nhật cho EBS để giải quyết một lỗ hổng khác trong cùng sản phẩm ( CVE-2025-61884 ) có thể dẫn đến truy cập trái phép vào dữ liệu nhạy cảm. Công ty không đề cập đến việc liệu loài này có bị khai thác ngoài tự nhiên hay không.

KeeperAI

Kết thúc phiên tự động & Tóm tắt hoạt động: Tạm biệt việc xem lại nhật ký thủ công#

Các mối đe dọa di chuyển nhanh chóng. KeeperAI cũng di chuyển nhanh hơn. Với khả năng phát hiện và phản hồi mối đe dọa AI theo thời gian thực, các phiên làm việc có rủi ro cao sẽ bị chấm dứt ngay lập tức, và mọi hành động đều được phân loại theo mức độ rủi ro và tóm tắt. Tự động phát hiện mối đe dọa nội bộ và loại bỏ hoàn toàn việc xem xét nhật ký thủ công.

Bắt đầu dùng thử miễn phí ➝

🔔 Tin tức hàng đầu#

  • Storm-1175 có liên quan đến việc khai thác lỗ hổng GoAnywhere MFT — Một nhóm tội phạm mạng mà Microsoft theo dõi khi Storm-1175 khai thác lỗ hổng nghiêm trọng tối đa trong GoAnywhere MFT (CVE-2025-10035) để khởi tạo các cuộc tấn công nhiều giai đoạn, bao gồm cả ransomware Medusa. Các cuộc tấn công của Storm-1175 mang tính cơ hội và đã ảnh hưởng đến các tổ chức trong lĩnh vực vận tải, giáo dục, bán lẻ, bảo hiểm và sản xuất. Hoạt động này kết hợp các công cụ hợp pháp với các kỹ thuật lén lút để ẩn náu và kiếm tiền từ quyền truy cập thông qua tống tiền và đánh cắp dữ liệu, sử dụng quyền truy cập để cài đặt các công cụ giám sát từ xa như SimpleHelp và MeshAgent, thả các shell web và di chuyển ngang qua các mạng bằng các tiện ích tích hợp sẵn của Windows. Fortra sau đó đã tiết lộ rằng họ đã bắt đầu điều tra vào ngày 11 tháng 9 sau khi một khách hàng báo cáo về "lỗ hổng tiềm ẩn", phát hiện ra "hoạt động có khả năng đáng ngờ" liên quan đến lỗ hổng.
  • OpenAI đã phá vỡ ba cụm hoạt động từ Trung Quốc, Triều Tiên và Nga — OpenAI cho biết họ đã phá vỡ ba cụm hoạt động vì lạm dụng công cụ trí tuệ nhân tạo (AI) ChatGPT của mình để tạo điều kiện cho việc phát triển phần mềm độc hại. Trong số này có một tác nhân đe dọa nói tiếng Nga, được cho là đã sử dụng chatbot để giúp phát triển và tinh chỉnh trojan truy cập từ xa (RAT), một công cụ đánh cắp thông tin đăng nhập nhằm mục đích trốn tránh bị phát hiện. Cụm hoạt động thứ hai bắt nguồn từ Triều Tiên, nơi đã sử dụng ChatGPT để phát triển phần mềm độc hại và phát triển lệnh và kiểm soát (C2), tập trung vào việc phát triển các tiện ích mở rộng macOS Finder, cấu hình VPN Windows Server hoặc chuyển đổi tiện ích mở rộng Chrome sang các tiện ích tương đương trên Safari. Nhóm tài khoản bị cấm thứ ba có chung sự trùng lặp với một cụm được theo dõi là UNK_DropPitch (hay còn gọi là UTA0388), một nhóm tin tặc Trung Quốc đã sử dụng chatbot AI để tạo nội dung cho các chiến dịch lừa đảo bằng tiếng Anh, tiếng Trung và tiếng Nhật; hỗ trợ các công cụ để tăng tốc các tác vụ thông thường như thực thi từ xa và bảo vệ lưu lượng truy cập bằng HTTPS; và tìm kiếm thông tin liên quan đến việc cài đặt các công cụ nguồn mở như nuclei và fscan.
  • Hơn 175 gói npm được sử dụng cho chiến dịch lừa đảo — Trong một diễn biến bất thường, các tác nhân đe dọa đã được phát hiện đẩy các gói npm dùng một lần. Sau khi được cài đặt, các gói này được thiết kế để tạo và phát hành một gói npm riêng với mẫu "redirect-xxxxxx" hoặc "mad-xxxxxx", từ đó tự động chuyển hướng nạn nhân đến các trang web thu thập thông tin đăng nhập khi mở từ các tài liệu kinh doanh HTML được tạo sẵn. "Khác với chiến thuật quen thuộc hơn là chỉ tải lên các gói độc hại để xâm phạm các nhà phát triển trong quá trình cài đặt gói, chiến dịch này lại đi theo một hướng khác", Snyk cho biết . "Thay vì lây nhiễm cho người dùng thông qua npm install, kẻ tấn công lợi dụng đường dẫn phân phối trình duyệt thông qua UNPKG, biến cơ sở hạ tầng lưu trữ nguồn mở hợp pháp thành một cơ chế lừa đảo." Người ta tin rằng các tệp HTML được tạo ra thông qua các gói npm được phân phối cho nạn nhân, sau đó họ bị chuyển hướng đến các trang web lừa đảo thông tin đăng nhập khi họ cố gắng mở chúng. Trong các gói được Snyk phân tích, các trang ngụy trang thành các bước kiểm tra bảo mật của Cloudflare trước khi dẫn nạn nhân đến một URL do kẻ tấn công kiểm soát được lấy từ một tệp lưu trữ từ xa trên GitHub.
  • LockBit, Qilin và DragonForce hợp tác — Ba trong số những nhóm ransomware khét tiếng nhất, LockBit, Qilin và DragonForce, đã thành lập một liên minh tội phạm nhằm phối hợp các cuộc tấn công và chia sẻ tài nguyên. Quan hệ đối tác này được công bố vào đầu tháng trước, ngay sau khi LockBit 5.0 ra mắt. "Tạo điều kiện cạnh tranh bình đẳng, không xung đột và không xúc phạm công khai", DragonForce viết trong một bài đăng trên diễn đàn dark web. "Bằng cách này, tất cả chúng ta đều có thể tăng thu nhập và quyết định các điều kiện thị trường. Bạn muốn gọi nó là gì cũng được - liên minh, liên minh, v.v. Điều quan trọng nhất là giữ liên lạc, thân thiện với nhau và là đồng minh mạnh mẽ, chứ không phải kẻ thù." Việc hợp tác của ba nhóm diễn ra trong bối cảnh áp lực ngày càng gia tăng từ sự gián đoạn của lực lượng thực thi pháp luật, thúc đẩy chúng tấn công các lĩnh vực trước đây bị coi là ngoài tầm kiểm soát, chẳng hạn như nhà máy điện hạt nhân, nhà máy nhiệt điện và nhà máy thủy điện. Nó cũng tuân theo một mô hình hợp nhất tương tự giữa các nhóm tội phạm mạng chủ yếu nói tiếng Anh như Scattered Spider, ShinyHunters và LAPSUS$, những nhóm bắt đầu hợp tác dưới tên Scattered LAPSUS$ Hunters. Tuy nhiên, việc hình thành các nhóm ransomware cũng diễn ra vào thời điểm hệ sinh thái rộng lớn hơn đang phân mảnh ở mức kỷ lục, với số lượng trang web rò rỉ dữ liệu đang hoạt động đạt mức cao nhất mọi thời đại là 81 trong quý 3 năm 2025.
  • Tin tặc Trung Quốc-Nexus biến công cụ Nezha nguồn mở thành vũ khí tấn công — Các tác nhân đe dọa bị nghi ngờ có liên hệ với Trung Quốc đã biến một công cụ giám sát nguồn mở hợp pháp có tên Nezha thành vũ khí tấn công, sử dụng nó để phát tán phần mềm độc hại đã biết có tên Gh0st RAT tới các mục tiêu. Chiến dịch này được cho là có khả năng đã xâm phạm hơn 100 máy nạn nhân kể từ tháng 8 năm 2025, với phần lớn các trường hợp nhiễm trùng được báo cáo ở Đài Loan, Nhật Bản, Hàn Quốc và Hồng Kông. Hoạt động này là một dấu hiệu khác cho thấy các tác nhân đe dọa tiếp tục biến các công cụ hợp pháp thành công cụ độc hại và trà trộn vào lưu lượng mạng thông thường. Trong một trường hợp được Huntress quan sát, những kẻ tấn công đã nhắm mục tiêu vào bảng điều khiển phpMyAdmin bị lộ để triển khai một web shell bằng cách tấn công đầu độc nhật ký. Quyền truy cập có được thông qua web shell sau đó được sử dụng để loại bỏ Nezha và cuối cùng là loại bỏ Gh0st RAT, nhưng trước đó đã đặt nền tảng cần thiết để tránh bị phát hiện.

‎️‍🔥 Các CVE đang thịnh hành#

Tin tặc hoạt động rất nhanh. Chúng thường khai thác các lỗ hổng mới chỉ trong vài giờ, biến một bản vá lỗi bị bỏ sót thành một lỗ hổng nghiêm trọng. Chỉ cần một bản vá CVE chưa được vá là đủ để xâm nhập hoàn toàn. Dưới đây là những lỗ hổng nghiêm trọng nhất đang thu hút sự chú ý trong toàn ngành trong tuần này. Hãy xem xét chúng, ưu tiên các bản vá và thu hẹp khoảng cách trước khi kẻ tấn công lợi dụng.

Danh sách tuần này bao gồm — CVE-2025-61884 (Oracle E-Business Suite), CVE-2025-11371 (Gladinet CentreStack và TrioFox), CVE-2025-5947 (chủ đề Service Finder), CVE-2025-53967 (máy chủ Framelink Figma MCP), CVE-2025-49844 (Redis), CVE-2025-27237 (Zabbix Agent), CVE-2025-59489 ( Unity cho AndroidWindows ), CVE-2025-36604 (Dell UnityVSA), CVE-2025-37728 (Elastic Kibana Connector), CVE-2025-56383 (Notepad++), CVE-2025-11462 (AWS Client VPN cho macOS), CVE-2025-42701, CVE-2025-42706 (CrowdStrike Falcon), CVE-2025-11001 , CVE-2025-11002 (7-Zip), CVE-2025-59978 (Juniper Networks Junos Space), CVE-2025-11188, CVE-2025-11189, CVE-2025-11190 (SynchroWeb Kiwire Captive Portal), CVE-2025-3600 (Progress Telerik UI cho ASP.NET AJAX), lỗ hổng thực thi mã lệnh chéo trang (XSS) trong REDCap và các lỗ hổng bảo mật chưa được vá trong Ivanti Endpoint Manager (từ ZDI-25-935 đến ZDI-25-947).

📰 Xung quanh thế giới mạng#

  • TwoNet nhắm mục tiêu vào Honeypot Forescout — Một honeypot ICS/OT do Forescout điều hành, được thiết kế để mô phỏng một cơ sở xử lý nước, đã bị một nhóm có liên hệ với Nga có tên TwoNet nhắm mục tiêu vào tháng trước. Nhóm hacker này sau đó đã cố gắng làm hỏng giao diện người máy (HMI) liên quan, phá hoại các quy trình và thao túng các ICS khác. Honeypot của Forescout cũng chứng kiến ​​các nỗ lực tấn công có liên quan đến Nga và Iran. TwoNet lần đầu tiên xuất hiện vào tháng 1, chủ yếu tập trung vào các cuộc tấn công DDoS sử dụng phần mềm độc hại MegaMedusa Machine, theo Intel471 . Thông qua một nhóm liên kết, CyberTroops, TwoNet đã thông báo rằng họ sẽ ngừng hoạt động vào ngày 30 tháng 9 năm 2025. "Điều này nhấn mạnh bản chất phù du của hệ sinh thái, nơi các kênh và nhóm tồn tại trong thời gian ngắn, trong khi các nhà điều hành thường tồn tại bằng cách đổi thương hiệu, thay đổi liên minh, tham gia các nhóm khác, học các kỹ thuật mới hoặc nhắm mục tiêu vào các tổ chức khác", Forescout cho biết . "Các nhóm chuyển từ DDoS/phá hoại sang OT/ICS thường hiểu sai mục tiêu, vấp phải bẫy mật hoặc khai thác quá mức. Điều đó không làm cho chúng vô hại; nó cho thấy chúng đang hướng đến đâu."
  • Sophos điều tra mối liên hệ giữa sâu WhatsApp và Coyote — Một chiến dịch mới được tiết lộ có tên Water Saci liên quan đến các tác nhân đe dọa sử dụng phần mềm độc hại tự lan truyền có tên SORVEPOTEL lây lan qua ứng dụng nhắn tin phổ biến WhatsApp. Sophos cho biết họ đang điều tra để xác định xem chiến dịch này có liên quan đến các chiến dịch được báo cáo trước đó phân phối trojan ngân hàng có tên Coyote nhắm mục tiêu vào người dùng ở Brazil hay không và liệu phần mềm độc hại được sử dụng trong các cuộc tấn công, Maverick, có phải là một phiên bản tiến hóa của Coyote hay không . Các tin nhắn WhatsApp chứa tệp LNK đã nén, khi được khởi chạy, sẽ khởi tạo một loạt lệnh PowerShell độc hại để thả PowerShell giai đoạn tiếp theo, sau đó cố gắng sửa đổi các biện pháp kiểm soát bảo mật cục bộ. Trong một số trường hợp, Sophos cho biết họ đã quan sát thấy một tải trọng bổ sung, công cụ tự động hóa trình duyệt Selenium hợp pháp, cho phép kiểm soát các phiên trình duyệt đang chạy trên máy chủ bị nhiễm. Người ta nghi ngờ rằng Selenium được phân phối cùng với Maverick thông qua cùng một cơ sở hạ tầng chỉ huy và kiểm soát (C2).
  • Nhân viên CNTT Triều Tiên tìm kiếm việc làm trong các lĩnh vực mới — Theo công ty bảo mật KELA, các nhân viên CNTT khét tiếng của Triều Tiên hiện đang tìm kiếm việc làm từ xa trong lĩnh vực thiết kế công nghiệp và kiến ​​trúc . "Sự tham gia của họ có thể gây ra những rủi ro liên quan đến gián điệp, trốn tránh lệnh trừng phạt, lo ngại về an toàn và tiếp cận các thiết kế cơ sở hạ tầng nhạy cảm", công ty cho biết , đồng thời mô tả mối đe dọa này là "một mạng lưới được tổ chức chặt chẽ, do nhà nước hậu thuẫn, vượt xa các vai trò trong lĩnh vực CNTT". Một trong những nhân viên CNTT, Hailong Jin, đã được xác định là có liên quan đến việc phát triển một trò chơi độc hại có tên DeTankZone , đồng thời cũng có mối quan hệ với một nhân viên CNTT khác tên là Lian Hung, người tự nhận là một nhà phát triển ứng dụng di động tại Tanzania. Tập đoàn Chollima cho biết, người ta tin rằng Hailong Jin và Lian Hung có thể là cùng một người, đồng thời cho biết thêm rằng Bells Inter Trading Limited là một công ty bình phong do Triều Tiên điều hành, tuyển dụng Nhân viên CNTT tại Tanzania. Về phần mình, công ty này đã bị liên kết với một số ứng dụng VPN được phát hành trên cả cửa hàng ứng dụng iOS và Android của Apple và Google. "Thay vì xem họ như một thực thể thống nhất, nhân viên CNTT Triều Tiên giống như những doanh nhân cá nhân hoạt động dưới sự bảo trợ của một ông chủ có địa vị cao hơn", Tập đoàn Chollima nhận định . "Khi một nhân viên CNTT đạt được nhiều địa vị và sự tôn trọng hơn, họ có thể leo lên các vị trí cao hơn trong tổ chức và cuối cùng trở thành những ông chủ. Từ đó, họ có thể thành lập các công ty bình phong của riêng mình và đạt được địa vị cần thiết để thực hiện các hoạt động độc hại hơn (nếu họ muốn). Chúng tôi tin rằng Lian Hung và Hailong Jin, cả hai đều ở độ tuổi 30-40, có thể đang hoạt động ở vị trí quản lý cấp trung hoặc nắm giữ các chức vụ cao hơn trong cơ cấu này, điều này có thể giải thích chức danh mà họ chọn là 'Quản lý Dự án'."
  • FBI tịch thu trang web được những kẻ tống tiền Salesforce sử dụng — Cục Điều tra Liên bang Hoa Kỳ (FBI) đã tịch thu một trang web ("breachforums[.]hn") đang được các Thợ săn Scattered LAPSUS$ sử dụng để tống tiền Salesforce và khách hàng của công ty này. Hành động này đánh dấu một chương mới trong trò chơi mèo vờn chuột đang diễn ra nhằm triệt phá trang web rò rỉ dữ liệu dai dẳng này . Tuy nhiên, phiên bản dark web của trang web rò rỉ này vẫn đang hoạt động. "BreachForums đã bị FBI và các đối tác quốc tế tịch thu hôm nay. Tất cả tên miền của chúng tôi đã bị Chính phủ Hoa Kỳ lấy đi. Kỷ nguyên của diễn đàn đã kết thúc", nhóm Thợ săn Scattered Lapsus$ cho biết trong một tuyên bố được mã hóa PGP trên Telegram. Mặc dù ban đầu các nhóm này tuyên bố sẽ đóng cửa hoạt động, nhưng trang web đã xuất hiện trở lại chỉ vài ngày sau đó, chuyển từ một diễn đàn hack thành một trang web tống tiền chuyên dụng. Nhóm này cũng thừa nhận rằng máy chủ và bản sao lưu của BreachForums đã bị phá hủy, và các kho lưu trữ cơ sở dữ liệu và dữ liệu ký quỹ từ năm 2023 đã bị xâm phạm. Scattered LAPSUS$ Hunters (hay còn gọi là Trinity of Chaos) là một liên minh mới thành lập bao gồm Scattered Spider (hay còn gọi là Muddled Libra), LAPSUS$ và ShinyHunters (hay còn gọi là Bling Libra ). Trong những tuần gần đây, các tác nhân đe dọa đã xâm nhập hệ thống của Salesloft và sử dụng quyền truy cập để đánh cắp dữ liệu Salesforce của khách hàng. Tháng trước, Salesloft tiết lộ rằng vụ xâm nhập dữ liệu liên quan đến ứng dụng Drift của họ bắt đầu từ việc tài khoản GitHub bị xâm phạm. BreachForums có một lịch sử lâu dài và đầy biến động, với nhiều lần bị gỡ bỏ và khôi phục kể từ khi quản trị viên ban đầu bị bắt vào tháng 3 năm 2023.
  • Tập đoàn NSO được Tập đoàn Đầu tư Hoa Kỳ mua lại — Nhà sản xuất phần mềm gián điệp Israel NSO Group đã tiết lộ rằng một tập đoàn đầu tư Hoa Kỳ đã mua lại công ty gây tranh cãi này. Người phát ngôn của công ty nói với TechCrunch rằng "một tập đoàn đầu tư Hoa Kỳ đã đầu tư hàng chục triệu đô la vào công ty và đã nắm quyền kiểm soát."
  • Apple Sửa Đổi Chương Trình Bug Bounty — Apple đã công bố những cập nhật quan trọng cho chương trình bug bounty, với việc công ty hiện đang treo giải thưởng lên đến 2 triệu đô la cho các chuỗi khai thác có thể đạt được các mục tiêu tương tự như các cuộc tấn công phần mềm gián điệp tinh vi. Công ty cũng thưởng lên đến 300.000 đô la cho việc thoát khỏi hộp cát WebKit chỉ bằng một cú nhấp chuột, và lên đến 1 triệu đô la cho các cuộc khai thác lỗ hổng không dây qua bất kỳ sóng vô tuyến nào, truy cập iCloud trái phép trên diện rộng và các chuỗi khai thác WebKit dẫn đến thực thi mã tùy ý không có chữ ký. "Kể từ khi chúng tôi ra mắt chương trình Apple Security Bounty công khai vào năm 2020, chúng tôi tự hào đã trao hơn 35 triệu đô la cho hơn 800 nhà nghiên cứu bảo mật, với nhiều báo cáo cá nhân nhận được phần thưởng 500.000 đô la", công ty cho biết. Các khoản thanh toán mới sẽ có hiệu lực vào tháng 11 năm 2025.
  • Cảnh sát Tây Ban Nha triệt phá nhóm GXC — Chính quyền Tây Ban Nha đã giải tán nhóm GXC và bắt giữ kẻ chủ mưu bị cáo buộc, một công dân Brazil 25 tuổi, hoạt động trực tuyến với tên GoogleXcoder. Theo Group-IB, nhóm GXC vận hành một nền tảng dịch vụ tội phạm (CaaS) cung cấp các bộ công cụ lừa đảo dựa trên AI, phần mềm độc hại Android và các công cụ lừa đảo bằng giọng nói qua Telegram, cùng một diễn đàn hacker nói tiếng Nga cho tội phạm mạng nhắm vào các ngân hàng, giao thông vận tải và thương mại điện tử tại Tây Ban Nha, Slovakia, Anh, Mỹ và Brazil. "Để tránh bị bắt, nghi phạm đã áp dụng lối sống 'du mục kỹ thuật số', thường xuyên di chuyển giữa các tỉnh của Tây Ban Nha và sử dụng danh tính bị đánh cắp để bảo vệ nhà ở, đường dây điện thoại và thẻ thanh toán", Group-IB cho biết .
  • Bên trong Thị trường Nga — Rapid7 cho biết Thị trường Nga đã phát triển hoạt động theo thời gian, chuyển hướng từ việc bán quyền truy cập RDP sang dữ liệu thẻ tín dụng bị đánh cắp và gần đây hơn là nhật ký đánh cắp thông tin. "Thông tin đăng nhập bị đánh cắp có nguồn gốc từ các tổ chức trên toàn thế giới, với 26% có nguồn gốc từ Hoa Kỳ và 23% từ Argentina", công ty cho biết . "Hầu hết người bán đã áp dụng phương pháp đánh cắp đa dạng trong những năm qua, tận dụng nhiều biến thể phần mềm độc hại khác nhau trong hoạt động của họ, với Lumma nổi lên như một công cụ được sử dụng rộng rãi. Các loại phần mềm đánh cắp thông tin phổ biến nhất được người bán trên Thị trường Nga sử dụng trong những năm qua là Raccoon, Vidar , Lumma, RedLine và Stealc, với Rhadamanthys và Acreed trở nên phổ biến trong nửa đầu năm 2025." Những phát hiện này được đưa ra khi Red Canary tiết lộ rằng Atomic, Poseidon và Odyssey đã nổi lên như ba họ phần mềm đánh cắp nổi bật nhắm vào các hệ thống macOS của Apple, đồng thời cũng có nhiều điểm tương đồng về mặt chiến thuật. Odyssey Stealer là phiên bản kế nhiệm của Poseidon được phát hiện lần đầu tiên vào tháng 3 năm 2025.
  • Áo cho rằng Microsoft đã vi phạm luật EU — Cơ quan quản lý quyền riêng tư của Áo phát hiện Microsoft đã vi phạm luật EU bằng cách theo dõi học sinh bất hợp pháp thông qua Microsoft 365 Education bằng cookie theo dõi mà không có sự đồng ý của họ. Quyết định này được đưa ra sau khiếu nại của noyb vào năm 2024. Cơ quan Bảo vệ Dữ liệu Áo (DSB) đã ra lệnh xóa dữ liệu cá nhân liên quan. "Quyết định của DPA Áo thực sự làm nổi bật sự thiếu minh bạch của Microsoft 365 Education", noyb nói . "Các trường học gần như không thể thông báo cho học sinh, phụ huynh và giáo viên về những gì đang xảy ra với dữ liệu của họ."
  • Mô hình AI có thể thu thập cửa hậu từ khoảng 250 tài liệu độc hại — Một nghiên cứu học thuật mới từ Anthropic, nhóm Safeguards của AISI Vương quốc Anh và Viện Alan Turing đã phát hiện ra rằng cần khoảng 250 tài liệu độc hại để thiết lập một "cửa hậu" đơn giản trong các mô hình ngôn ngữ lớn. Nghiên cứu này thách thức quan điểm cho rằng kẻ tấn công cần kiểm soát hoặc đầu độc một phần lớn dữ liệu đào tạo để tác động đến kết quả đầu ra của LLM. "Các cuộc tấn công đầu độc yêu cầu một số lượng tài liệu gần như không đổi bất kể mô hình và kích thước dữ liệu đào tạo", nghiên cứu cho biết . "Nếu kẻ tấn công chỉ cần đưa vào một số lượng nhỏ tài liệu cố định thay vì một tỷ lệ phần trăm dữ liệu đào tạo, thì các cuộc tấn công đầu độc có thể khả thi hơn so với suy nghĩ trước đây." Một nghiên cứu năm 2024 của các nhà nghiên cứu tại Đại học Carnegie Mellon, ETH Zürich, Meta và Google DeepMind cho thấy kẻ tấn công kiểm soát 0,1% dữ liệu tiền đào tạo có thể đưa vào các cửa hậu cho nhiều mục đích độc hại khác nhau. Các nhà nghiên cứu cho biết: "Kết quả của chúng tôi cho thấy việc chèn backdoor thông qua đầu độc dữ liệu có thể dễ dàng hơn đối với các mô hình lớn so với suy nghĩ trước đây vì số lượng đầu độc cần thiết không tăng theo quy mô mô hình", "điều này nhấn mạnh nhu cầu nghiên cứu thêm về các biện pháp phòng thủ để giảm thiểu rủi ro này trong các mô hình tương lai". Thông tin này trùng khớp với tuyên bố của OpenAI rằng mô hình GPT-5 của họ thể hiện mức độ thiên vị chính trị thấp hơn bất kỳ mô hình nào trước đây.

🎥 Hội thảo trực tuyến về an ninh mạng#

  • Bạn đang chìm ngập trong cảnh báo lỗ hổng bảo mật? Đây là cách để cuối cùng giành lại quyền kiểm soát - Hầu hết các nhóm bảo mật đều gặp phải cùng một vấn đề — quá nhiều lỗ hổng bảo mật và không đủ thời gian. Giảm thiểu Bề mặt Tấn công Động (DASR) giúp khắc phục điều này bằng cách tự động tìm và đóng các rủi ro trước khi kẻ tấn công có thể lợi dụng chúng. Thay vì theo đuổi vô số cảnh báo, các nhóm có thể tập trung vào điều thực sự quan trọng: giữ cho hệ thống an toàn và vận hành trơn tru. Đây là một cách thông minh hơn, nhanh hơn để luôn đi trước một bước.
  • Cách các nhóm lãnh đạo đang sử dụng AI để đơn giản hóa việc tuân thủ và giảm thiểu rủi ro - AI đang thay đổi cách các tổ chức xử lý Quản trị, Rủi ro và Tuân thủ (GRC). Nó có thể giúp việc tuân thủ nhanh hơn và thông minh hơn—nhưng cũng mang đến những rủi ro và quy tắc mới cần tuân thủ. Buổi học này sẽ hướng dẫn bạn cách sử dụng AI một cách an toàn và hiệu quả, với các ví dụ thực tế, bài học từ những người áp dụng sớm và các mẹo thiết thực để chuẩn bị cho nhóm của bạn trong tương lai của việc tuân thủ.
  • Từ Chữa Cháy đến Bảo Mật Theo Thiết Kế: Cẩm Nang Thực Hành - AI đang thay đổi nhanh chóng, nhưng bảo mật cũng không thể tụt hậu. Các đội ngũ thông minh nhất hiện nay coi các biện pháp kiểm soát bảo mật như bệ phóng, chứ không phải rào cản — cho phép các tác nhân AI hành động nhanh chóng và an toàn. Bằng cách chuyển đổi từ tư duy chữa cháy phản ứng sang tư duy bảo mật theo thiết kế, các tổ chức sẽ đạt được cả tốc độ và sự tự tin. Với khuôn khổ phù hợp, bạn có thể kiểm soát rủi ro AI đồng thời thúc đẩy đổi mới thay vì làm chậm quá trình này.

🔧 Công cụ an ninh mạng#

  • P0LR Espresso - Một công cụ mã nguồn mở mới từ Permiso giúp các nhóm bảo mật nhanh chóng phân tích nhật ký đa đám mây trong quá trình phản hồi trực tiếp. Công cụ này chuẩn hóa dữ liệu từ các nền tảng như AWS, Azure và GCP để cung cấp các mốc thời gian rõ ràng, thông tin chi tiết về hành vi và phân tích IOC - giúp dễ dàng phát hiện danh tính bị xâm phạm và hiểu rõ điều gì thực sự đã xảy ra.
  • Ouroboros - Một trình dịch ngược mã nguồn mở mới được xây dựng trên Rust, sử dụng phương pháp thực thi tượng trưng để khôi phục cấu trúc mã cấp cao từ các tệp nhị phân đã biên dịch. Không giống như các trình dịch ngược truyền thống dựa trên mô hình gán tĩnh, Ouroboros theo dõi các ràng buộc và luồng dữ liệu để hiểu cách các thanh ghi và bộ nhớ thay đổi trong quá trình thực thi. Phương pháp này giúp tái tạo các mẫu mã logic như vòng lặp, điều kiện và vùng luồng điều khiển, biến nó thành một công cụ thiết thực cho kỹ thuật đảo ngược, phân tích chương trình và nghiên cứu bảo mật.

Lưu ý: Các công cụ này chỉ dành cho mục đích giáo dục và nghiên cứu. Chúng chưa được kiểm tra bảo mật đầy đủ và có thể gây ra rủi ro nếu sử dụng không đúng cách. Vui lòng xem lại mã trước khi dùng thử, chỉ kiểm tra trong môi trường an toàn và tuân thủ tất cả các quy tắc về đạo đức, pháp lý và tổ chức.

🔒 Mẹo của tuần#

Đừng để bản sao lưu của bạn không được mở khóa — Bản sao lưu là mạng lưới an toàn của bạn — nhưng nếu không được mã hóa, chúng có thể trở thành rủi ro lớn nhất. Bất kỳ ai có quyền truy cập vào bản sao lưu không được mã hóa đều có thể đọc được mọi thứ bên trong: mật khẩu, email, dữ liệu tài chính, thông tin khách hàng — tất cả mọi thứ.

Cách khắc phục đơn giản: Luôn mã hóa bản sao lưu trước khi lưu hoặc gửi chúng đi bất kỳ đâu (USB, đám mây hoặc máy chủ). Mã hóa sẽ khóa dữ liệu của bạn để chỉ bạn mới có thể mở.

🔐 Công cụ nguồn mở dễ sử dụng và đáng tin cậy:

  • Restic : Nhanh chóng, đơn giản và tự động mã hóa mọi thứ. Tương thích với nhiều dịch vụ đám mây.
  • BorgBackup : Nén, loại bỏ trùng lặp và mã hóa bản sao lưu của bạn — hoàn hảo cho việc lưu trữ lâu dài.
  • Duplicity : Sử dụng mã hóa GPG và hỗ trợ sao lưu được mã hóa vào bộ nhớ cục bộ hoặc từ xa.
  • rclone : ​​Đồng bộ hóa các tệp một cách an toàn với bộ nhớ đám mây bằng các tùy chọn mã hóa tích hợp.

Mẹo chuyên nghiệp: Kiểm tra bản sao lưu thường xuyên — đảm bảo bạn có thể giải mã và khôi phục nó. Một bản sao lưu bị khóa hoặc bị hỏng cũng tệ như không có bản sao lưu nào cả.

Phần kết luận#

Những câu chuyện trong tuần cho thấy cả hai mặt của an ninh mạng — sự sáng tạo của kẻ tấn công và khả năng phục hồi của người phòng thủ. Sức mạnh của chúng ta nằm ở nhận thức, sự hợp tác và hành động. Hãy cùng vận dụng mọi bài học kinh nghiệm để làm cho tin tức tuần tới bớt đáng lo ngại hơn một chút.

41 min read
14-10-2025
Bởi Hà Xuân Lợi
Chia sẻ

Để lại bình luận

Địa chỉ email của bạn sẽ không được công khai. Các trường bắt buộc được đánh dấu *

Trải nghiệm của bạn trên trang web này sẽ được cải thiện bằng cách cho phép cookie. Cookie Policy

Những cookie này là cần thiết để trang web hoạt động đúng cách.

Những cookie này giúp chúng tôi hiểu cách khách truy cập tương tác với trang web.

Những cookie này được sử dụng để cung cấp quảng cáo cá nhân hóa.