Bản tin An toàn thông tin tuần số 03

Toàn cảnh về những sự kiện, tin tức nổi bật về bảo mật và an toàn thông tin trong Tuần 22 (26/5 - 01/6), Bản tin gồm các sự kiện nổi bật: Cảnh giác khi đăng ký tham gia Trại hè Quân đội nhân dân trên mạng xã hội, Hơn 93 tỷ cookie của người dùng bị đánh cắp và rao bán trên Dark Web, Cộng hòa Séc cáo buộc tin tặc Trung Quốc thực hiện tấn công mạng vào cơ sở hạ tầng quan trọng, ConnectWise tiết lộ vụ tấn công mạng được nhà nước tài trợ,… Đặc biệt, công trình “Hệ thống thiết bị bảo mật đường truyền thế hệ mới cho mạng thông tin vệ tinh” của Ban Cơ yếu Chính phủ, đã vinh dự đạt giải Nhất lĩnh vực công nghệ thông tin, điện tử - viễn thông tại Giải thưởng Sáng tạo khoa học – công nghệ Việt Nam năm 2024.

ĐIỂM TIN TRONG NƯỚC

Ban Cơ yếu Chính phủ đạt giải Nhất sáng tạo khoa học - công nghệ Việt Nam năm 2024

Tối ngày 28/5, tại Hà Nội, Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam phối hợp với Bộ Khoa học và Công nghệ, Tổng Liên đoàn Lao động Việt Nam và Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh đã tổ chức Lễ tổng kết và trao Giải thưởng Sáng tạo khoa học - công nghệ Việt Nam năm 2024. Ban Cơ yếu Chính phủ vinh dự đạt giải Nhất lĩnh vực công nghệ thông tin, điện tử - viễn thông.

Nhóm tác giả của Ban Cơ yếu Chính phủ nhận giải Nhất từ Ban tổ chức.

Theo đó, công trình “Hệ thống thiết bị bảo mật đường truyền thế hệ mới cho mạng thông tin vệ tinh” của nhóm tác giả đến từ Ban Cơ yếu Chính phủ do ThS. Ngô Thị Kim Liên, Nguyên cán bộ M2 (Chủ nhiệm); TS. Phạm Mạnh Tuấn, Chánh Văn phòng (đồng chủ nhiệm); ThS. Nguyễn Văn Tú, Trưởng phòng Kỹ thuật - Vật tư, M2 (đồng chủ nhiệm); ThS. Nguyễn Văn Giang, Giám đốc Trung tâm Lắp ráp - Sửa chữa (Cộng sự) đã vinh dự đạt giải Nhất lĩnh vực Công nghệ thông tin, Điện tử - Viễn thông.

Hiện nay, hai dòng sản phẩm bảo bảo mật của công trình đã được đưa vào ứng dụng rộng rãi để bảo mật thông tin thuộc phạm vi bí mật nhà nước thuộc thẩm quyền triển khai và quản lý của Ban Cơ yếu Chính phủ. Cụ thể, đã và đang triển khai tại Bộ Quốc phòng, Bộ Công an và triển khai ở một số mạng truyền số liệu tại cơ quan trung ương (Văn phòng Trung ương Đảng, Văn phòng Chính phủ) với hạ tầng do Cục Bưu điện Trung ương - Bộ Khoa học và Công nghệ đảm nhiệm.

Tập đoàn công nghệ Rapidus của Nhật cam kết đào tạo nguồn nhân lực bán dẫn cho Việt Nam

Sáng ngày 28/5, tại Hokkaido, Nhật Bản, Phó Thủ tướng Chính phủ Nguyễn Chí Dũng đã tiếp Chủ tịch Hội đồng quản trị Tập đoàn Rapidus, Higashi Tetsuro. Tại đây, tập đoàn công nghệ bán dẫn Rapidus của Nhật cam kết sẽ đào tạo nguồn nhân lực bán dẫn cho Việt Nam.

Tại buổi làm việc, đáp lại gợi mở của Phó Thủ tướng Nguyễn Chí Dũng về việc Rapidus có thể tính đến khả năng thành lập trung tâm đào tạo nguồn nhân lực ở Việt Nam, Chủ tịch Higashi Tetsuro cho biết, Rapidus sẵn sàng tham gia đào tạo nguồn nhân lực và sẽ thông qua Trường Đại học Việt - Nhật để nghiên cứu, đưa ra cơ chế cụ thể nhằm triển khai ý kiến của Phó Thủ tướng. Đây được coi là một cam kết quan trọng của Rapidus dành cho Việt Nam hướng tới một sự hợp tác lâu dài, bền vững theo phương châm đôi bên cùng có lợi. Tại nhiều cuộc làm việc trước đó, Chủ tịch Higashi Tetsuro luôn nhấn mạnh Việt Nam là đối tác chiến lược về phát triển nguồn nhân lực trong lĩnh vực bán dẫn cho Rapidus và Nhật Bản.

Tăng cường bảo mật, chuyển đổi số trong toàn ngành Ngân hàng

Ngày 26/5, tại Hà Nội, Ngân hàng Nhà nước Việt Nam tổ chức họp báo công bố sự kiện "Chuyển đổi số ngành Ngân hàng năm 2025". Tại đây, ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán - Ngân hàng Nhà nước, chia sẻ thời gian tới, khi chuyển tiền qua tài khoản, ứng dụng ngân hàng sẽ cảnh báo nếu tài khoản người nhận có dấu hiệu lừa đảo, đồng thời, nhiều quy định về bảo mật dự kiến có hiệu lực trong năm 2025.

Trong bối cảnh hoạt động lừa đảo tài chính ngày càng gia tăng về quy mô và mức độ tinh vi, ngành ngân hàng đã đẩy mạnh các biện pháp tăng cường an toàn cho người sử dụng dịch vụ ngân hàng. Một trong những giải pháp đang được thí điểm và sẽ mở rộng thời gian tới là xây dựng kho dữ liệu về tài khoản nghi ngờ gian lận. Ông Phạm Anh Tuấn cho biết, trong thời gian tới, bên cạnh các biện pháp kỹ thuật, Ngân hàng Nhà nước cũng đang xây dựng dự thảo sửa đổi Thông tư 17/2024 quy định về việc mở và sử dụng tài khoản thanh toán của tổ chức, cá nhân tại tổ chức cung ứng dịch vụ thanh toán.

Tăng cường tính minh bạch, bảo vệ người dùng trong Fintech và tài sản mã hoá

Ngày 27/5/2025 tại TP. Hồ Chí Minh, French Tech Summit Vietnam 2025 - một trong những sự kiện công nghệ lớn nhất năm giữa Pháp và Việt Nam đã được diễn ra. Tại sự kiện này, ông Nguyễn Trần Minh Quân, Giám đốc Pháp lý Hiệp hội Blockchain Việt Nam (VBA) cho biết, Việt Nam đang từng bước khẳng định vai trò trong lĩnh vực công nghệ tài chính với ba trụ cột chính gồm thể chế, hạ tầng và ứng dụng thực tiễn. Để tăng cường tính minh bạch và bảo vệ người dùng trong hệ sinh thái tài chính số, ông Quân đã giới thiệu ChainTracer, một chương trình phát hiện, truy vết các dự án có dấu hiệu gian lận và lừa đảo về tài sản mã hoá do VBA hợp tác với Công ty TNHH Xã hội Chống lừa đảo triển khai từ năm 2023. Tính từ khi ra mắt đến hết năm 2024, ChainTracer đã tiếp nhận và xử lý gần 60 vụ việc có dấu hiệu lừa đảo trên Blockchain, với tổng thiệt hại ước tính gần 8 triệu USD.

Cảnh báo thủ đoạn mạo danh Bưu điện Việt Nam để lừa đảo

Tình trạng giả danh Bưu điện Việt Nam gửi tin nhắn thông báo kích hoạt thẻ hội viên để chiếm đoạt tài sản gần đây đang bùng phát trở lại với kịch bản dẫn dụ ngày càng tinh vi hơn trước. Mới đây, một trường hợp đã bị mất 200 triệu đồng do hành vi lừa đảo này. Bưu điện Việt Nam cho biết, không phát hành bất kỳ loại thẻ hội viên/thành viên nào. Đặc biệt không yêu cầu khách hàng truy cập vào các đường link, quét mã QR để hủy thẻ. Bưu tá Bưu điện luôn mặc đồng phục, mang thẻ nhân viên, chủ động liên hệ trước khi giao hàng và tuyệt đối không yêu cầu chuyển khoản trước.

Bưu điện Việt Nam khuyến cáo khách hàng luôn nêu cao cảnh giác trước mọi tin nhắn, cuộc gọi tự xưng là “nhân viên Bưu điện” yêu cầu bất thường; tuyệt đối không chuyển tiền/thanh toán bất cứ khoản tiền, cước phí nào khi chưa nhận hàng.

Cảnh giác khi đăng ký tham gia Trại hè Quân đội nhân dân trên mạng xã hội

Lợi dụng nhu cầu tìm kiếm các khóa học, chương trình ngoại khóa của các bậc phụ huynh cho con trong dịp nghỉ hè, gần đây, trên mạng xã hội xuất hiện nhiều tài khoản facebook với danh nghĩa “Trại hè Quân đội”, “Trải nghiệm mùa hè Quân đội”,... có dấu hiệu lừa đảo chiếm đoạt tài sản của những người đăng ký tham gia.

Theo đó, các trang mạng xã hội này thường giới thiệu có kết nối với các đơn vị Quân đội trên toàn quốc. Học viên tham gia sẽ được trải nghiệm môi trường đào tạo của lực lượng Quân đội; được hỗ trợ ăn uống, đồng phục và chứng nhận của các đơn vị Quân đội. Các đối tượng còn thông báo sẽ miễn phí tham gia chương trình nếu phụ huynh đăng ký sớm cho các con. Khi phụ huynh đăng ký cho con sẽ các đối tượng bị dẫn dắt tham gia thực hiện nhiệm vụ thanh toán tiền hàng cho các công ty tài trợ chương trình và hưởng hoa hồng. Do tin tưởng, nhiều người đã chuyển tiền và bị chiếm đoạt tài sản.

Để phòng tránh lừa đảo, Công an thành phố Hà Nội khuyến cáo người dân khi muốn đăng ký cho con học những khóa trải nghiệm, kỹ năng, phụ huynh nên liên hệ hoặc gọi điện thoại đến các trường, đơn vị để hỏi, kiểm tra thông tin. Việc đăng ký nên thực hiện trực tiếp thay vì trực tuyến, chuyển khoản. Tuyệt đối không làm theo hướng dẫn chuyển tiền cho bất cứ ai và bất cứ lý do gì nếu chưa xác định chính xác danh tính người nhận tiền. Trong trường hợp bị lừa đảo chiếm đoạt tài sản cần báo ngay cho cơ quan Công an gần nhất để được tiếp nhận và hướng dẫn giải quyết.

ĐIỂM TIN QUỐC TẾ

Hơn 93 tỷ cookie của người dùng bị đánh cắp và rao bán trên Dark Web

Ngày 27/5, các nhà nghiên cứu từ NordStellar, một nền tảng quản lý rủi ro, cho biết đã phát hiện hơn 93 tỷ cooki trình duyệt bị đánh cắp và rao bán trên Dark Web (tăng 74% so với năm trước). Đáng lo ngại là hơn 15 tỷ cookie vẫn còn hiệu lực, gây rủi ro nghiêm trọng cho hàng triệu người dùng trên toàn thế giới.

Một số loại phần mềm độc hại phổ biến như Redline Stealer đánh cắp hơn 42 tỷ cookie; Vidar và Lumma đánh cắp hơn 10 và 8,8 tỷ cookie; CryptBot đánh cắp 1,4 tỷ cookie nhưng có tới 83,4% vẫn hoạt động. Google là mục tiêu hàng đầu với 4,5 tỷ cookie bị xâm phạm, tiếp theo là YouTube và Microsoft. Windows là hệ điều hành bị ảnh hưởng nặng nhất, chiếm gần 86% số cookie bị đánh cắp. Các quốc gia chịu thiệt hại nhiều gồm Brazil, Ấn Độ, Indonesia, Mỹ và các nước châu Âu.

Nhật Bản xây dựng chiến lược an ninh mạng mới trước cuối năm 2025

Ngày 29/5, Chính phủ Nhật Bản cho biết nước này sẽ xây dựng một chiến lược an ninh mạng mới trước cuối năm 2025. Động thái này diễn ra trong bối cảnh Tokyo đang đẩy nhanh kế hoạch triển khai hệ thống phòng thủ chủ động vào năm 2027 nhằm ứng phó nguy cơ tấn công mạng ngày càng gia tăng.

Trước những mối đe dọa ngày càng tinh vi và khó lường, chiến lược mới dự kiến sẽ tập trung vào các biện pháp như tăng cường hợp tác công - tư, phát triển nguồn nhân lực an ninh mạng và thúc đẩy hợp tác quốc tế. Trong khuôn khổ cuộc họp do Chánh văn phòng Nội các Yoshimasa Hayashi chủ trì tại Trụ sở Chiến lược an ninh mạng của Chính phủ, các đại biểu nhất trí cần tăng cường năng lực phòng vệ thông qua việc giám sát các dấu hiệu tấn công khó phát hiện nhằm vào cơ quan hành chính và cơ sở hạ tầng trọng yếu.

Hơn 9.000 bộ định tuyến Asus bị khai thác lỗ hổng

Mạng botnet có tên AyySSHush được phát hiện nhắm vào hàng nghìn bộ định tuyến của Asus, cho phép kẻ tấn công truy cập và kiểm soát thiết bị. AyySSHush được các nhà nghiên cứu đến từ công ty an ninh mạng GreyNoise (Mỹ) phát hiện giữa tháng 3 và công bố ngày 28/5. Kẻ tấn công kết hợp thông tin đăng nhập bằng Brute Force, vượt xác thực và khai thác các lỗ hổng cũ, cuối cùng xâm nhập vào bộ định tuyến Asus, với các phiên bản bị ảnh hưởng gồm RT-AC3100, RT-AC3200 và RT-AX55.

Cụ thể, kẻ tấn công khai thác lỗ hổng CVE-2023-39780 để thêm khóa công khai SSH của riêng chúng và cho phép daemon SSH lắng nghe trên cổng TCP 53282. Những sửa đổi này cho phép kẻ tấn công duy trì quyền truy cập backdoor vào bộ định tuyến, cả khi khởi động lại và cập nhật firmware.

Phần mềm độc hại NodeSnake mới nhắm mục tiêu vào các trường đại học

Nhóm tin tặc Interlock đang triển khai một trojan truy cập từ xa (RAT) chưa từng được ghi nhận trước đây có tên là NodeSnake, để xâm nhập vào mạng lưới các tổ chức giáo dục, trong đó có các trường đại học. Các nhà nghiên cứu đến từ công ty bảo mật QuorumCyber (Vương quốc Anh) cho biết, họ đã phát hiện các cuộc tấn công phát tán phần mềm độc hại NodeSnake mới được các tin tặc Interlock phát động nhắm vào các trường đại học ở Anh vào tháng 1 và tháng 3/2025.

Các cuộc tấn công mới nhất của Interlock bắt đầu bằng các email lừa đảo có chứa liên kết, hoặc tệp đính kèm độc hại dẫn đến lây nhiễm NodeSnake RAT. Phần mềm độc hại dựa trên JavaScript, thực thi bằng NodeJS, sẽ tồn tại và duy trì tính bền bỉ sau khi lây nhiễm bằng cách sử dụng các tập lệnh PowerShell hoặc CMD, để tạo Registry lừa đảo có tên ChromeUpdater nhằm mạo danh trình cập nhật của Google Chrome.

Để tránh bị phát hiện, phần mềm độc hại chạy như một tiến trình nền tách biệt, tên tệp và dữ liệu được gán tên bất kỳ, đồng thời địa chỉ IP của máy chủ điều khiển và ra lệnh (C2) liên tục được thay đổi với độ trễ ngẫu nhiên. Hơn nữa, phần mềm độc hại này còn có tính năng code obfuscation, mã hóa XOR bằng rolling key và random seeds.

Tin tặc APT41 khai thác Google Calendar để nhắm mục tiêu vào các chính phủ

Trong tuần qua, Google đưa ra cảnh báo rằng APT41, nhóm tin tặc APT41 được Chính phủ Trung Quốc hậu thuẫn, đã nhắm mục tiêu vào các cơ quan chính phủ bằng phần mềm độc hại sử dụng Google Calendar. APT41 dựa vào các email lừa đảo có chứa liên kết đến kho lưu trữ ZIP được lưu trữ trên trang web bị xâm nhập, trong đó có tệp LNK được ngụy trang dưới dạng tài liệu PDF. Khi mở, tệp LNK sẽ khởi chạy một DLL (được gọi là PlusDrop) thực hiện giai đoạn tiếp theo (PlusInject) được thiết kế để nhúng payload cuối cùng (ToughProgress) vào tiến trình svchost hợp pháp, bằng cách sử dụng kỹ thuật process hollowing.

Phát tán phần mềm độc hại thông qua các trang web giả mạo về công cụ AI

Theo báo cáo mới đây từ công ty an ninh mạng Mandiant (Mỹ), trong năm qua, một tác nhân đe dọa đã lợi dụng sự phổ biến của các công cụ trí tuệ nhân tạo (AI) để đánh lừa người dùng truy cập vào các trang web tạo nội dung giả mạo, từ đó lây nhiễm phần mềm độc hại vào hệ thống của họ.

UNC6032 là nhóm tin tặc đến từ Việt Nam đã thực hiện các tấn công mạng đánh cắp thông tin, nhắm vào các nạn nhân trên khắp các khu vực địa lý và ngành công nghiệp khác nhau. Chiến dịch lan rộng này đã diễn ra ít nhất từ giữa năm 2024, dụ dỗ những nạn nhân nhẹ dạ cả tin truy cập vào các trang web giả mạo, thông qua hàng nghìn quảng cáo trên các nền tảng mạng xã hội như Facebook, LinkedIn và có khả năng là trên các nền tảng khác nữa. Hầu hết các quảng cáo chạy trên Facebook, được xuất bản bằng các trang do kẻ tấn công tạo ra hoặc các tài khoản Facebook bị xâm phạm. Meta bắt đầu xóa một số quảng cáo, tên miền và tài khoản độc hại vào năm 2024, trước khi Mandiant thông báo về những phát hiện của mình.

Khai thác lỗ hổng SimpleHelp bằng mã độc tống tiền DragonForce

Ngày 27/5, theo cảnh báo từ công ty bảo mật Sophos (Vương quốc Anh), một nhà cung cấp dịch vụ quản lý (MSP) không xác định và khách hàng của họ đã bị lây nhiễm mã độc tống tiền DragonForce, sau khi các tác nhân đe dọa khai thác một phiên bản SimpleHelp dễ bị tấn công.

Đối với quyền truy cập ban đầu, Sophos nhận định rằng kẻ điều hành mã độc tống tiền DragonForce đã liên kết với ba lỗ hổng trong phần mềm giám sát và quản lý từ xa (RMM). Các lỗ hổng được theo dõi là CVE-2024-57727, CVE-2024-57728 và CVE-2024-57726, cho phép tin tặc truy xuất tệp nhật ký, tệp cấu hình và thông tin xác thực. Ngoài ra, các tác nhân đe dọa có thể đăng nhập hệ thống để tải tệp lên và thực thi mã, đặc biệt leo thang đặc quyền của chúng lên quản trị viên, dẫn đến xâm phạm hoàn toàn hệ thống mục tiêu.

Cộng hòa Séc cáo buộc tin tặc Trung Quốc thực hiện tấn công mạng vào cơ sở hạ tầng quan trọng

Trong tuần, Chính phủ Cộng hòa Séc đã lên án và cáo buộc nhóm tin tặc APT31 đến từ Trung Quốc đứng sau các cuộc tấn công mạng nhắm vào Bộ Ngoại giao, cùng các tổ chức cơ sở hạ tầng quan trọng của nước này. Chính phủ Cộng hòa Séc cho biết, hoạt động độc hại kéo dài từ năm 2022 và ảnh hưởng đến một tổ chức cơ sở hạ tầng quan trọng của quốc gia này, được thực hiện bởi nhóm gián điệp mạng APT31, có liên kết công khai với Bộ An ninh Quốc gia Trung Quốc (MSS).

Các quốc gia thành viên Liên minh châu Âu (EU) và Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) đã lên án vụ tấn công mới đây, yêu cầu Trung Quốc tuân thủ các chuẩn mực của Liên Hợp Quốc và tôn trọng luật pháp quốc tế.

Tin tặc Earth Lamia nhắm mục tiêu vào nhiều ngành công nghiệp

Theo hãng bảo mật Trend Micro (Mỹ) cho biết, các tin tặc Earth Lamia đến từ Trung Quốc đã nhắm mục tiêu vào các lỗ hổng đã biết trong các ứng dụng web, để xâm phạm các tổ chức ở nhiều lĩnh vực khác nhau trên toàn thế giới, trong đó tập trung vào các ngành công nghiệp. Các tin tặc hiện đang khai thác các lỗ hổng bảo mật đã biết trong nhiều sản phẩm và mã nguồn công khai, nhưng chủ yếu nhắm vào các lỗ hổng SQL injection trong các ứng dụng web.

Các lỗ hổng bị khai thác bao gồm CVE-2017-9805 (Apache Struts), CVE-2021-22205 (GitLab), CVE-2024-9047 (WordPress), CVE-2024-27198 và CVE-2024-27199 (TeamCity), CVE-2024-51378 và CVE-2024-51567 (CyberPanel), CVE-2024-56145 (Craft CMS) và gần đây hơn là CVE-2025-31324 (SAP NetWeaver).

ConnectWise tiết lộ vụ tấn công mạng được nhà nước tài trợ

Nhà cung cấp phần mềm quản lý công nghệ thông tin ConnectWise (Mỹ) tuần qua đã đưa ra cảnh báo khách hàng rằng, một tác nhân đe dọa được nhà nước tài trợ đã xâm nhập vào mạng lưới của họ. Lỗ hổng bảo mật bị khai thác được gãn mã định danh CVE-2025-3935, lỗ hổng này ảnh hưởng đến ScreenConnect phiên bản 25.2.3 trở về trước, cho phép kẻ tấn công từ xa thực thi mã tùy ý trên máy chủ.

ConnectWise ScreenConnect là một ứng dụng máy tính từ xa tự lưu trữ phổ biến cung cấp khả năng quản lý tài sản, làm việc từ xa và hỗ trợ kỹ thuật, được biết đến là đã từng bị nhắm mục tiêu trước đây để xâm nhập mạng doanh nghiệp, nhằm đánh cắp dữ liệu và triển khai mã độc tống tiền.

Microsoft giới thiệu công cụ sao lưu Windows mới cho doanh nghiệp

Microsoft đã giới thiệu Windows Backup for Organizations, công cụ sao lưu mới dành cho doanh nghiệp giúp đơn giản hóa việc sao lưu và giúp quá trình chuyển đổi sang Windows 11 dễ dàng hơn. Công cụ này có sẵn trên các hệ thống Windows 10 hoặc Windows 11 có tích hợp Microsoft Entra.

Đối với các doanh nghiệp không thể nâng cấp lên Windows 11 trước khi Windows 10 ngừng nhận bản cập nhật vào ngày 14/10/2025, có tùy chọn đăng ký Extended Security Updates (ESU), chương trình này sẽ cung cấp các bản cập nhật bảo mật bổ sung sau ngày kết thúc vòng đời.

Apple đã chặn hơn 9 tỷ USD giao dịch lừa đảo trên App Store trong 5 năm

Tuần qua, trong báo cáo thường niên về chống lừa đảo trên App Store, Apple thông báo rằng trong vòng 5 năm trở lại đây, hãng đã ngăn chặn thành công hơn 9 tỷ USD giao dịch lừa đảo trên kho ứng dụng App Store, trong đó riêng năm 2024 là hơn 2 tỷ USD. Riêng năm ngoái, Apple đã khóa hơn 146.000 tài khoản nhà phát triển ứng dụng có dấu hiệu gian lận và từ chối thêm 139.000 đơn đăng ký mới của các nhà phát triển. Đồng thời, công ty cũng đã từ chối hơn 711 triệu yêu cầu tạo tài khoản người dùng và vô hiệu hóa gần 129 triệu tài khoản khách hàng, nhằm ngăn chặn các hoạt động độc hại và tiềm ẩn rủi ro cao.

Trong tháng qua, Apple đã ngăn chặn gần 4,6 triệu lượt cài đặt hoặc khởi chạy các ứng dụng phân phối trái phép ngoài App Store hoặc các nền tảng bên thứ 3 được cấp phép.

Tin tặc Trung Quốc khai thác lỗ hổng SQL Server trong các chiến dịch tấn công mạng

Các tin tặc Earth Lamia đến từ Trung Quốc đứng sau vụ khai thác lỗ hổng bảo mật nghiêm trọng gần đây trong SAP NetWeaver, đã được xác định là thủ phạm của nhiều vụ tấn công mạng khác nhắm vào các tổ chức ở Brazil, Ấn Độ và Đông Nam Á kể từ năm 2023. “Kẻ tấn công chủ yếu nhắm vào các lỗ hổng SQL injection được phát hiện trên các ứng dụng web để truy cập vào máy chủ SQL trên các tổ chức mục tiêu. Bên cạnh đó, các tin tặc cũng lợi dụng nhiều lỗ hổng đã biết để khai thác các máy chủ công khai”, nhà nghiên cứu Joseph C Chen của hãng bảo mật Trend Micro cho biết trong một phân tích được công bố trong tuần này.

Một số mục tiêu nổi bật khác trong chiến dịch bao gồm Indonesia, Malaysia, Philippines, Thái Lan và Việt Nam. Các nhà nghiên cứu của hãng bảo mật Trend Micro cho biết, hoạt động của Earth Lamia có một số điểm trùng lặp với các nhóm mối đe dọa được các công ty an ninh mạng khác công bố, ví dụ như Elastic Labs ghi nhận là REF0657, Sophos là STAC6451 và Palo Alto Networks là CL-STA-0048. Mỗi cuộc tấn công này đều nhắm vào các tổ chức trải dài trên nhiều lĩnh vực ở Nam Á, thường tận dụng Microsoft SQL Server và các phiên bản khác có kết nối Internet để tiến hành do thám, triển khai các công cụ post-exploitationnhư Cobalt Strike và Supershell, cũng như thiết lập tunnel proxy đến hệ thống mạng của nạn nhân bằng mã độc Rakshasa và Stowaway.

Firebase và Google Apps Script bị lạm dụng trong các chiến dịch lừa đảo mới

Các nhà nghiên cứu đến từ công ty an ninh mạng của Mỹ là Trellix và Cofense đang cảnh báo về hai chiến dịch lừa đảo mới được phát hiện gần đây, lợi dụng các dịch vụ hợp pháp Firebase và Google Apps Script để dụ người dùng truy cập vào nội dung độc hại.

Theo đó, Trellix cho biết họ đã phát hiện một hoạt động lừa đảo mạo danh một nhân viên của Rothschild & Co để nhắm mục tiêu vào các giám đốc tài chính tại các ngân hàng và tổ chức năng lượng, bảo hiểm và đầu tư ở châu Phi, Canada, châu Âu, Trung Đông và Nam Á. Email độc hại chứa một thông báo giả, được xác định là một trang web lưu trữ trên Firebase và ẩn sau một CAPTCHA tùy chỉnh cho một thử thách về toán học. Sau khi giải quyết được thử thách này, nạn nhân sẽ được cung cấp một tệp ZIP có chứa tập lệnh VBS. Tập lệnh này có chức năng cài đặt NetBird và OpenSSH bí mật trên hệ thống của nạn nhân, tạo một tài khoản quản trị ẩn và kích hoạt RDP, cung cấp cho kẻ tấn công quyền truy cập từ xa vào máy tính của nạn nhân.

Cùng với báo cáo của Trellix, hãng bảo mật Cofense cũng đã công bố phát hiện một chiến dịch lừa đảo khác thông qua việc lạm dụng Google Apps Script, một nền tảng phát triển hợp pháp được tích hợp trên nhiều sản phẩm khác nhau của Google. Bằng cách giả mạo tên miền hợp pháp của một nhà cung cấp thiết bị y tế, chiến dịch này dựa vào các email lừa đảo để tạo cảm giác cấp bách và đánh lừa người nhận nhấp vào một liên kết, dẫn họ đến trang độc hại được lưu trữ trên Google Apps Script.

Mỹ trừng phạt công ty Philippines vì hỗ trợ lừa đảo tiền điện tử

Ngày 29/5, Bộ Tài chính Hoa Kỳ (DoJ) đã công bố lệnh trừng phạt đối với một công ty có trụ sở tại Philippines, vì cung cấp cơ sở hạ tầng cho hàng trăm nghìn trang web liên quan đến các vụ lừa đảo đầu tư tiền điện tử. DoJ cho biết các lệnh trừng phạt được công bố đối với Funnull Technology Inc. và người quản lý của công ty, Liu Lizhi, vì đã tạo điều kiện cho các vụ lừa đảo đầu tư tiền ảo, gây thiệt hại hơn 200 triệu USD cho các nạn nhân ở Hoa Kỳ.

Còn được gọi là “pig butchering”, những hành vi lừa đảo này thường mạo danh các CEO, nhà quản lý đến từ các tập đoàn công nghệ lớn, nhằm chiếm được lòng tin của nạn nhân, thuyết phục họ đầu tư vào tài sản ảo trên nền tảng giả mạo và đánh cắp tiền của họ. Funnull bị cáo buộc mua địa chỉ IP với số lượng lớn từ các nhà cung cấp dịch vụ đám mây lớn, sau đó rao bán cho tội phạm mạng để lưu trữ các trang web lừa đảo và nội dung độc hại khác.