ĐIỂM TIN TRONG NƯỚC
Ban Cơ yếu Chính phủ đảm bảo hệ thống bảo mật vận chuyển đề thi tốt nghiệp THPT 2025
Tại cuộc họp Chính phủ ngày 04/6, Bộ trưởng Bộ Giáo dục và Đào tạo Nguyễn Kim Sơn đã báo cáo Thủ tướng Chính phủ về các nội dung trọng tâm của Ngành trong tháng 6, đặc biệt là công tác chuẩn bị cho kỳ thi tốt nghiệp THPT sắp tới và tiến độ triển khai các đề án quan trọng. Theo đó, năm nay là năm đầu tiên đề thi sẽ không vận chuyển theo phương thức truyền thống mà sẽ được chuyển qua hệ thống thông tin cơ yếu của ngành Cơ yếu Việt Nam. “Đây là một thay đổi rất lớn, khắc phục những khó khăn trước đây, ví dụ như việc phải dùng máy bay trực thăng để chở đề ra Côn Đảo”, Bộ trưởng Bộ Giáo dục và Đào tạo cho biết.
Phương thức vận chuyển đề thi qua hệ thống thông tin cơ yếu của ngành Cơ yếu Việt Nam giúp chuyển đề thi gốc nhanh, kịp thời, giảm bớt được thời gian và nhân sự vận chuyển đề thi như phương pháp truyền thống đang áp dụng. Đồng thời, phương thức mới này cũng giúp tiết kiệm hàng chục tỉ đồng so với trước đây.
Hội thảo quốc gia NSA 2025: Thúc đẩy nghiên cứu khoa học tự nhiên trong thời đại số
Ngày 6/6/2025, tại Học viện Công nghệ Bưu chính Viễn thông đã diễn ra Hội thảo Khoa học Quốc gia “Khoa học Tự nhiên và Ứng dụng trong thời đại số” – NSA 2025, quy tụ hơn 150 nhà khoa học, giảng viên, chuyên gia, nghiên cứu sinh đến từ hơn 30 cơ sở đào tạo và nghiên cứu trong cả nước.
Phát biểu khai mạc Hội thảo, PGS.TS. Trần Quang Anh, Phó Giám đốc Học viện Công nghệ Bưu chính Viễn thông nhấn mạnh: “Chúng ta đang sống trong một kỷ nguyên mà công nghệ số thay đổi sâu sắc đời sống xã hội. Các lĩnh vực như trí tuệ nhân tạo (AI), công nghệ bán dẫn, dữ liệu lớn, điện toán đám mây hay internet vạn vật đều được phát triển trên nền tảng vững chắc của khoa học tự nhiên. Trong bối cảnh đó, việc đẩy mạnh nghiên cứu cơ bản, ứng dụng khoa học tự nhiên vào thực tiễn trở nên cấp thiết hơn bao giờ hết. Với chủ đề “Khoa học tự nhiên và ứng dụng trong thời đại số”, hội thảo năm nay hướng tới việc thúc đẩy trao đổi học thuật, công bố các kết quả nghiên cứu mới, tạo điều kiện kết nối, hợp tác nghiên cứu giữa các nhà khoa học, đồng thời truyền cảm hứng cho thế hệ trẻ tiếp tục theo đuổi đam mê học thuật”.
NSA 2025 bao gồm 01 phiên toàn thể và 03 tiểu ban chuyên môn diễn ra song song. Điểm đáng chú ý của hội thảo là sự đa dạng và tính ứng dụng cao của các báo cáo khoa học. Nhiều chủ đề không chỉ dừng lại ở khía cạnh lý thuyết mà còn gắn chặt với thực tiễn sản xuất, đào tạo và phát triển công nghệ. Trong đó, có thể kể đến các nghiên cứu về giải pháp tự động hóa trong điều khiển thiết bị IoT sử dụng nền tảng Streamlit dành cho sinh viên không chuyên lập trình frontend, ứng dụng AI trong cá nhân hóa học tập môn Xác suất – Thống kê, hay mô hình giáo dục STEM ứng dụng thiết kế nhà thông minh sử dụng Arduino và nhận dạng hình ảnh với YOLO. Các nghiên cứu giáo dục tập trung phân tích quá trình dạy học Toán cao cấp, xây dựng năng lực giải quyết vấn đề, và tích hợp AI vào giảng dạy Đại số tuyến tính trong thời đại số.
Tội phạm mạng tại Việt Nam ngày càng nguy hiểm với AI
Chiều ngày 3/6, tại Hà Nội, bên lề sự kiện Fortinet Accelerate 2025, Fortinet đã công bố kết quả khảo sát mới hé lộ bức tranh an ninh mạng tại Việt Nam đang trở nên ngày càng phức tạp và đáng lo ngại, khi trí tuệ nhân tạo (AI) được tội phạm mạng khai thác để thực hiện các cuộc tấn công với tốc độ cao, tính ẩn danh sâu và quy mô chưa từng có.
Theo khảo sát này, gần 52% tổ chức tại Việt Nam thừa nhận đã từng đối mặt với các cuộc tấn công mạng có sử dụng AI trong năm qua. Trong đó, hơn một nửa ghi nhận số lượng các mối đe dọa gia tăng gấp đôi, 36% cho biết số lượng mối đe dọa đã tăng gấp ba lần so với trước đó. Các hình thức tấn công do AI hỗ trợ không chỉ đa dạng mà còn ngày càng khó phát hiện, từ các cuộc tấn công dò mật khẩu và khai thác mật khẩu bị thất thoát, cho đến các chiêu trò lừa đảo tinh vi qua email doanh nghiệp sử dụng công nghệ deepfake, tấn công mạng xã hội có yếu tố kỹ thuật số, thu thập tự động thông tin bề mặt tấn công, cho đến cả AI đối nghịch và đầu độc dữ liệu.
Tuy nhiên, dù nhận diện được mối nguy hiểm nhưng phần lớn tổ chức vẫn đang trong trạng thái bị động. Chỉ 8% trong số họ cảm thấy đủ tự tin với khả năng phòng thủ hiện tại. Trong khi đó, 30% thừa nhận rằng các mối đe dọa có yếu tố AI đã vượt ngoài tầm kiểm soát của hệ thống giám sát và 33% hoàn toàn không có khả năng phát hiện được những cuộc tấn công như vậy. Đây là hồi chuông cảnh báo về sự thiếu hụt trong chiến lược phòng thủ và khả năng thích ứng trước làn sóng tấn công công nghệ cao đang gia tăng.
Đại diện Việt Nam xuất sắc đứng thứ 3 tại giải Vô địch an ninh mạng thế giới
Năm nay, cuộc thi đã quy tụ 116 đội tuyển đến từ gần 30 quốc gia tranh tài tại vòng loại. Việt Nam có nhiều đại diện tham gia như đến từ VCS, NCS, VNPT,... Trong đó, các thành viên VNPT Cyber Immunity đã xuất sắc vượt qua vòng loại với điểm số Top 1 toàn bảng để chính thức ghi danh vào vòng chung kết, trở thành đội Việt Nam duy nhất có mặt tại vòng đấu khốc liệt nhất của giải.
Tại vòng chung kết giải đấu an ninh mạng lớn nhất thế giới về phòng thủ và bảo vệ các hệ thống mạng (The International Cybersecurity Championship) vừa diễn ra tại Liên bang Nga, đội VNPT Cyber Immunity của Việt Nam đã xuất sắc cán đích ở ví trị thứ 3 bảng vàng chung cuộc. Đại diện của Việt Nam đã chứng minh được năng lực toàn diện với các kỹ năng chuyên sâu System Hardening (Gia cố hệ thống), Blue Team Operations (Phòng thủ chủ động Giám sát, phát hiện, điều tra và ứng phó với tấn công), Reverse Engineering (Dịch ngược mã độc), King of the Hill (KoTH - Đánh chiếm máy chủ).
8 người Việt bị kiện bởi công ty của tỷ phú Elon Musk
Tờ Independent đưa tin một “trang trại click ảo” cực lớn tại Việt Nam bị cáo buộc đã thu lợi bất chính từ nền tảng X của tỷ phú Elon Musk. Công ty X, thuộc sở hữu của tỷ phú Elon Musk, vừa đệ đơn kiện 8 công dân Việt Nam với cáo buộc khai thác lỗ hổng nghiêm trọng trong chương trình chia sẻ doanh thu dành cho người sáng tạo.
Theo đơn kiện, 8 công dân Việt Nam bị cáo buộc đã tạo ra hàng loạt tài khoản giả mạo, sử dụng phần mềm để phát tán nội dung do máy tính tạo ra và thiết lập các tài khoản bằng danh tính bị đánh cắp. Mục đích của hành vi này là tạo ra "hiệu ứng giả về mức độ phổ biến" thông qua các tương tác qua lại giữa các tài khoản, nhằm qua mặt hệ thống kiểm duyệt của nền tảng X và trục lợi từ chương trình chia sẻ doanh thu.
Ngoài việc trục lợi từ tương tác ảo, đơn khiếu nại còn cho biết nhóm người này còn kiếm tiền bằng cách bán các công cụ và kỹ thuật tự động hóa phục vụ cho mục đích gian lận trên X.
.jpg)
ĐIỂM TIN QUỐC TẾ
Lỗ hổng Wireshark cho phép tấn công DoS thông qua chèn mã độc
Một lỗ hổng nghiêm trọng đã được phát hiện trong công cụ phân tích giao thức mạng Wireshark, cho phép kẻ tấn công kích hoạt các cuộc tấn công từ chối dịch vụ (DoS) thông qua chèn gói dữ liệu độc hại hoặc sử dụng các tệp bắt gói bị lỗi.
Lỗ hổng này có mã định danh CVE-2025-5601 (điểm CVSS: 7.8). Lỗ hổng này bắt nguồn từ một lỗ hổng trong module tiện ích của Wireshark, gây ra sự cố cho một số dissector khi xử lý lưu lượng mạng bị lỗi. Các phiên bản bị ảnh hưởng bao gồm Wireshark 4.4.0 đến 4.4.6 và 4.2.0 đến 4.2.12. Lỗ hổng CVE-2025-5601 có thể bị khai thác thông qua 2 hướng tấn công chính: Thứ nhất, kẻ tấn công có thể chèn các gói dữ liệu bị lỗi trực tiếp vào cơ sở hạ tầng mạng mà Wireshark đang giám sát. Thứ hai, các tin tặc có thể tạo ra các tệp bắt gói bị hỏng và thuyết phục người dùng mở chúng, dẫn đến sự cố ứng dụng.
Phần mềm độc hại BADBOX 2.0 Android lây nhiễm hàng triệu thiết bị
Ngày 5/6, Cục Điều tra Liên bang Mỹ (FBI) cảnh báo rằng chiến dịch phần mềm độc hại BADBOX 2.0 đã lây nhiễm hơn 1 triệu thiết bị gia đình được kết nối trên Internet, từ đó lạm dụng các thiết bị điện tử thành Proxy dân cư (Residential Proxy được sử dụng cho hoạt động độc hại. Botnet BADBOX thường được tìm thấy trên các TV thông minh chạy Android, đầu phát trực tuyến, máy chiếu, máy tính bảng và các thiết bị IoT khác của Trung Quốc.
“Mạng botnet BADBOX 2.0 bao gồm hàng triệu thiết bị bị lây nhiễm và duy trì nhiều backdoor cho các dịch vụ proxy, nơi mà tội phạm mạng khai thác bằng cách bán hoặc cung cấp quyền truy cập miễn phí vào các mạng gia đình bị xâm phạm để sử dụng cho nhiều hoạt động tội phạm khác nhau”, FBI cảnh báo. Các thiết bị này được cài sẵn phần mềm độc hại BADBOX 2.0 hoặc bị lây nhiễm sau khi cài đặt bản cập nhật firmware và thông qua các ứng dụng Android độc hại xâm nhập vào Google Play, cũng như các cửa hàng ứng dụng của bên thứ ba. Sau khi bị nhiễm, các thiết bị sẽ kết nối với máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công, tại đó chúng nhận được các lệnh để thực thi trên các thiết bị bị xâm phạm.
Mã độc tống tiền Play đã xâm nhập vào 900 nạn nhân, bao gồm các tổ chức quan trọng
Trong bản cập nhật cho khuyến cáo chung với Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Trung tâm An ninh mạng Úc, FBI cho biết tính đến tháng 5/2025, tin tặc mã độc tống tiền Play đã xâm phạm khoảng 900 tổ chức, gấp ba lần số nạn nhân được báo cáo vào tháng 10/2023.
“Kể từ tháng 6/2022, nhóm tin tặc Play (còn được gọi là Playcrypt) đã tác động đến nhiều doanh nghiệp và cơ sở hạ tầng quan trọng ở Bắc Mỹ, Nam Mỹ và châu Âu. Play là một trong những nhóm tin tặc mã độc tống tiền hoạt động tích cực nhất vào năm 2024”, FBI cảnh báo.
FBI cũng lưu ý rằng băng nhóm này sử dụng phần mềm độc hại được biên dịch lại trong mọi cuộc tấn công, khiến các giải pháp bảo mật khó phát hiện và chặn hơn. Ngoài ra, một số nạn nhân đã được liên hệ qua điện thoại và đe dọa sẽ trả tiền chuộc để ngăn dữ liệu bị đánh cắp của họ bị rò rỉ trực tuyến. Kể từ đầu năm, các nhà môi giới truy cập ban đầu có liên hệ với các nhà phát triển của mã độc Play cũng đã khai thác một số lỗ hổng như CVE-2024-57726, CVE-2024-57727 và CVE-2024-57728, trong các cuộc tấn công thực thi mã từ xa nhắm vào các tổ chức tại Mỹ.
Tin tặc bị bắt vì xâm nhập 5.000 tài khoản lưu trữ để khai thác tiền điện tử
Cảnh sát Ukraine thông báo vừa bắt giữ một tin tặc 35 tuổi đã xâm nhập 5.000 tài khoản tại một công ty lưu trữ quốc tế, sử dụng chúng để khai thác tiền điện tử, gây thiệt hại 4,5 triệu USD.
Theo Cảnh sát Ukraine, sau khi truy cập vào các tài khoản này, kẻ tấn công bắt đầu triển khai trái phép các máy ảo bằng cách sử dụng tài nguyên máy chủ của của nhà cung cấp dịch vụ lưu trữ. Cuộc điều tra của cảnh sát xác định rằng tin tặc đã hoạt động từ năm 2018, sử dụng thông tin tình báo nguồn mở để tìm và xâm nhập cơ sở hạ tầng dễ bị tấn công của các tổ chức quốc tế. Trong cuộc đột kích của cảnh sát vào nơi ở của tin tặc này, các thiết bị máy tính, điện thoại di động, thẻ ngân hàng và nhiều tài liệu khác đã bị thu giữ.
Các bằng chứng thu giữ được cho thấy tin tặc có liên hệ với thông tin đăng nhập email bị đánh cắp, ví tiền điện tử lưu giữ các đồng tiền khai thác trái phép, các tập lệnh phần mềm được sử dụng để khởi chạy và quản lý hoạt động khai thác, cũng như các công cụ để thực hiện hành vi đánh cắp dữ liệu và truy cập từ xa. Tin tặc này hiện phải đối mặt với các cáo buộc theo Mục 5, Điều 361 của Bộ luật Hình sự Ukraine, có thể bị phạt tù tối đa 15 năm.
Phát hiện lỗ hổng nghiêm trọng tồn tại 10 năm trong phần mềm webmail Roundcube
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong phần mềm quản lý email Roundcube, ảnh hưởng đến hàng triệu người dùng trên toàn thế giới, trong đó có cả tổ chức chính phủ, doanh nghiệp và cá nhân. Lỗ hổng được gán mã định danh CVE-2025-49113 (CVSS: 9.9). Điểm đáng chú ý là lỗ hổng nghiêm trọng này đã tồn tại âm thầm suốt 10 năm mà không bị phát hiện, ảnh hưởng đến các phiên bản webmail Roundcube từ 1.1.0 đến 1.6.10.
Theo các chuyên gia an ninh mạng, lỗ hổng này cho phép người dùng đã đăng nhập vào Roundcube thực thi mã độc từ xa, qua cơ chế PHP Object Deserialization (tin tặc có thể điều khiển hệ thống và thực hiện các hành vi như cài mã độc, đánh cắp dữ liệu). Lỗi bắt nguồn từ việc tham số “_from” trong đường dẫn URL không được kiểm tra hợp lệ, dẫn đến kẻ tấn công có thể chèn dữ liệu độc hại.
Google vá lỗ hổng zero-day mới của Chrome bị khai thác trong các cuộc tấn công
Google đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng bảo mật zero-day thứ ba của hãng, trước đó bị khai thác trong các cuộc tấn công kể từ đầu năm. Theo đó, lỗ hổng CVE-2025-5419 (điểm CVSS: 8.8) đã tồn tại ngoài thực tế, xuất phát từ điểm yếu đọc và ghi ngoài giới hạn (out-of-bounds) trong công cụ JavaScript V8 và WebAssembly, được hai nhà nghiên cứu Clement Lecigne và Benoît Sevens thuộc Nhóm phân tích mối đe dọa của Google báo cáo.
Quyền đọc và ghi ngoài giới hạn trong V8 của Google Chrome trước phiên bản 137.0.7151.68 cho phép kẻ tấn công từ xa có khả năng khai thác lỗi heap, thông qua trang HTML được tạo thủ công. Gã khổng lồ công nghệ đã vá lỗ hổng zero-day bằng cách phát hành phiên bản 137.0.7151.68/.69 cho Windows/Mac và 137.0.7151.68 cho Linux, các phiên bản sẽ được triển khai tới người dùng trên kênh Stable Desktop trong những tuần tới. Người dùng được khuyến nghị nâng cấp và cập nhật các bản vá càng sớm càng tốt để bảo vệ khỏi các mối đe dọa tiềm ẩn.
Tin tặc Interlock đứng sau cuộc tấn công mạng nhắm vào Kettering Health
Gã khổng lồ chăm sóc sức khỏe Kettering Health, đơn vị quản lý 14 trung tâm y tế tại Ohio (Mỹ), đã xác nhận rằng nhóm tin tặc mã độc tống tiền Interlock đã xâm nhập mạng lưới của họ và đánh cắp dữ liệu trong một cuộc tấn công mạng vào tháng 5.
Tuần này, các tin tặc Interlock đã nhận trách nhiệm về vụ tấn công và công bố các mẫu dữ liệu bị đánh cắp, cho biết chúng đã đánh cắp 941 GB tệp, bao gồm hơn 20.000 thư mục với 732.489 tài liệu chứa thông tin nhạy cảm. Thông tin bị đánh cắp được cho là bao gồm dữ liệu bệnh nhân, tài liệu về nhà thuốc và ngân hàng máu, báo cáo ngân hàng, thông tin bảng lương, hồ sơ nhân viên Kettering Health và bản quét giấy tờ tùy thân, trong đó có cả hộ chiếu.
Mã độc PathWiper nhắm vào cơ sở hạ tầng quan trọng của Ukraine
Một phần mềm độc hại xóa dữ liệu mới có tên là PathWiper đang được sử dụng trong các cuộc tấn công có chủ đích nhắm vào cơ sở hạ tầng quan trọng ở Ukraine. Payload được triển khai thông qua một công cụ quản trị điểm cuối hợp pháp, cho thấy kẻ tấn công đã đạt được quyền truy cập quản trị vào hệ thống thông qua một cuộc xâm nhập trước đó. Các nhà nghiên cứu của hãng bảo mật Cisco Talos đã phát hiện ra vụ tấn công và cho rằng các tác nhân đe dọa phía sau có liên quan đến Nga.
PathWiper thực thi trên các hệ thống mục tiêu thông qua tệp lệnh Windows khởi chạy VBScript độc hại (uacinstall[.]vbs), sau đó sẽ nhúng và thực thi payload chính (sha256sum[.]exe). Các nhà nghiên cứu đã có sự so sánh PathWiper với mã độc HermeticWiper, trước đây được các tin tặc Sandworm tấn công vào Ukraine với các chức năng tương tự. Do đó, PathWiper có thể là phiên bản phát triển của HermeticWiper, được sử dụng trong các cuộc tấn công của cùng một nhóm hoặc nhiều nhóm tin tặc khác nhau.
Cảnh báo lừa đảo trực tuyến nhằm vào người dùng TikTok
Mới đây, các nhà nghiên cứu đến từ hãng bảo mật Trend Micro (Mỹ) đã cảnh báo về chiêu trò lừa đảo trực tuyến nhằm vào người dùng TikTok. Trong đó, tin tặc lợi dụng video do AI tạo ra trên nền tảng TikTok để lừa người dùng tự tay cài đặt phần mềm độc hại, nhằm đánh cắp thông tin trên máy tính chạy Windows 11.
Cụ thể, tin tặc tận dụng AI để sản xuất các video hướng dẫn với giọng đọc tự nhiên. Những video này được ngụy trang dưới dạng mẹo vặt, hướng dẫn sửa lỗi hoặc kích hoạt các phần mềm phổ biến như Windows, Microsoft Office hay Spotify, nhắm vào người dùng tìm cách sử dụng phần mềm lậu. Điểm tinh vi của phương thức tấn công này nằm ở việc AI chỉ đơn thuần đọc lại các hướng dẫn do tin tặc soạn sẵn. Các video này không chứa liên kết tải xuống trực tiếp hay bất kỳ đoạn văn bản nào có thể bị công cụ kiểm duyệt tự động của TikTok phát hiện và xử lý. Thay vào đó, giọng nói AI từng bước dẫn dắt người xem thực hiện quy trình, khiến họ tin rằng mình đang kích hoạt phần mềm hợp pháp, trong khi thực tế là tự tay tải về và cài đặt mã độc.
Các lỗ hổng nghiêm trọng của Fortinet hiện đang bị khai thác trong các cuộc tấn công mạng
Các tin tặc Qilin gần đây đã tiến hành các cuộc tấn công khai thác hai lỗ hổng của Fortinet, cho phép vượt qua xác thực trên các thiết bị dễ bị tấn công và thực thi mã độc từ xa. Qilin (còn được gọi là Phantom Mantis) xuất hiện đầu tiên vào tháng 8/2022 dưới dạng hoạt động Ransomware-as-a-Service (RaaS), với tên gọi là Agenda.
Công ty tình báo về mối đe dọa PRODAFT (Hà Lan) đã phát hiện ra các cuộc tấn công của Qilin, với mục tiêu bao gồm một số lỗ hổng của Fortinet, cũng tiết lộ rằng những kẻ tấn công hiện đang tập trung vào các tổ chức từ các quốc gia nói tiếng Tây Ban Nha, nhưng dự kiến chiến dịch này sẽ mở rộng trên toàn thế giới. “Qilin gần đây đã phát động một chiến dịch xâm nhập có phối hợp nhắm vào nhiều tổ chức trong khoảng thời gian từ tháng 5 -6/2025. Chúng tôi nhận định rằng quyền truy cập ban đầu đang được thực hiện bằng cách khai thác một số lỗ hổng của FortiGate, bao gồm CVE-2024-21762, CVE-2024-55591 và các lỗ hổng khác”, PRODAFT cho biết trong một cảnh báo.
Google cảnh báo về tấn công Vishing nhắm mục tiêu vào Salesforce
Google cảnh báo rằng một tác nhân đe dọa chuyên tấn công lừa đảo qua giọng nói (vishing) đang nhắm vào khách hàng của Salesforce, trong một chiến dịch tấn công đánh cắp dữ liệu và tống tiền quy mô lớn. Được theo dõi với tên gọi UNC6040, những kẻ tấn công đã mạo danh nhân viên hỗ trợ công nghệ thông tin trong các cuộc gọi điện thoại với nhân viên tại các tổ chức mục tiêu, thuyết phục họ cho phép ứng dụng độc hại truy cập vào cổng thông tin Salesforce của doanh nghiệp.
Các tin tặc UNC6040 hướng dẫn nạn nhân truy cập vào trang thiết lập ứng dụng được kết nối của Salesforce, sau đó chấp thuận phiên bản đã sửa đổi và không được ủy quyền của ứng dụng Data Loader của Salesforce. Sau khi quyền truy cập được cấp, ứng dụng cho phép kẻ tấn công đánh cắp thông tin nhạy cảm từ nền tảng Salesforce bị xâm phạm. Dữ liệu sau đó được sử dụng để tống tiền tổ chức nạn nhân.
Google lưu ý, trong tất cả các sự cố được quan sát, UNC6040 chỉ dựa vào kỹ nghệ xã hội để truy cập ban đầu chứ không phải khai thác lỗ hổng của Salesforce. Về phần mình, Salesforce đã cảnh báo về các cuộc tấn công như vậy từ nhiều tháng trước. Google cảnh báo chiến dịch vẫn đang tiếp diễn, với mục tiêu tấn công nhắm vào khoảng 20 tổ chức, trong đó tập trung các lĩnh vực giáo dục, khách sạn, bán lẻ ở châu Mỹ và châu Âu.
Cisco cảnh báo về lỗ hổng ISE và CCP bằng mã PoC
Cisco đã phát hành bản vá để giải quyết ba lỗ hổng bảo mật có mã PoC trong các giải pháp Identity Services Engine (ISE) và Customer Collaboration Platform (CCP). Nghiêm trọng nhất là lỗ hổng thông tin xác thực với mã theo dõi là CVE-2025-20286, được nhà nghiên cứu Kentaro Kawane đến từ hãng bảo mật GMO Cybersecurity (Nhật Bản) phát hiện trong Cisco ISE. Phần mềm này cung cấp quyền kiểm soát truy cập điểm cuối và quản trị thiết bị mạng trong môi trường doanh nghiệp.
Những kẻ tấn công không được xác thực có thể khai thác lỗ hổng này bằng cách trích xuất thông tin đăng nhập của người dùng từ các triển khai đám mây Cisco ISE, đồng thời sử dụng chúng để truy cập vào các cài đặt trong các môi trường đám mây khác. Tuy nhiên, như Cisco đã giải thích, các tác nhân đe dọa chỉ có thể khai thác lỗ hổng CVE-2025-20286 thành công nếu node Primary Administration được triển khai trên môi trường đám mây.
Tin tặc nhắm vào các game thủ bằng mã GitHub có backdoor
Một tin tặc nhắm mục tiêu vào các game thủ và nhà nghiên cứu khác bằng các lỗ hổng, bot và gian lận trong mã nguồn được lưu trữ trên GitHub, các mã nguồn này có chứa các backdoor ẩn để cung cấp cho kẻ tấn công quyền truy cập từ xa vào các thiết bị bị lây nhiễm. Chiến dịch này được phát hiện bởi các nhà nghiên cứu của hãng bảo mật Sophos (Vương quốc Anh), sau khi một khách hàng liên hệ với họ để đánh giá mức độ nguy hiểm của một loại Trojan truy cập từ xa có tên là Sakura RAT, có sẵn miễn phí trên GitHub.
Các nhà nghiên cứu phát hiện ra rằng mã Sakura RAT có sự kiện PreBuildEvent trong project Visual Studio, cho phép tải xuống và cài đặt phần mềm độc hại trên thiết bị của những người cố gắng biên dịch nó.
Chiến dịch đánh cắp macOS Atomic mới khai thác ClickFix để nhắm vào người dùng Apple
Các nhà nghiên cứu đến từ công ty an ninh mạng CloudSEK (Ấn Độ) đang cảnh báo về một chiến dịch phần mềm độc hại mới sử dụng phương thức kỹ nghệ xã hội ClickFix, để đánh lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Atomic macOS Stealer (AMOS) trên hệ thống macOS của Apple.
Theo CloudSEK, chiến dịch này được phát hiện lợi dụng các tên miền typosquat bắt chước nhà cung cấp dịch vụ viễn thông Spectrum có trụ sở tại Mỹ. “Người dùng macOS được cung cấp một tập lệnh shell độc hại được thiết kế để đánh cắp mật khẩu hệ thống và tải xuống biến thể AMOS để khai thác thêm. Tập lệnh này sử dụng các lệnh macOS gốc để thu thập thông tin xác thực, vượt qua các cơ chế bảo mật và thực thi các tệp nhị phân độc hại”, nhà nghiên cứu bảo mật Koushik Pal cho biết trong một báo cáo được công bố tuần này.
Các nhà nghiên cứu nhận rằng hoạt động này là do các tin tặc Nga thực hiện, do có các bình luận bằng tiếng Nga trong mã nguồn của phần mềm độc hại.
HPE vá lỗ hổng nghiêm trọng trong StoreOnce
Tuần này, Hewlett Packard Enterprise (HPE) đã công bố bản vá cho nhiều lỗ hổng trong phần mềm StoreOnce, bao gồm một lỗ hổng nghiêm trọng dẫn đến việc vượt qua xác thực. Lỗ hổng này được gán mã định danh CVE-2025-37093 (điểm CVSS: 9.8), đã được phát hiện trong quá trình triển khai phương thức machineAccountCheck của phần mềm.
Lỗ hổng này xuất phát từ việc triển khai không đúng thuật toán xác thực. Kẻ tấn công có thể lợi dụng lỗ hổng này để vượt qua xác thực trên hệ thống. HPE đã giải quyết lỗ hổng này bằng cách phát hành StoreOnce phiên bản 4.3.11. Bản cập nhật này cũng giải quyết bảy lỗ hổng bảo mật khác, bao gồm bốn lỗ hổng được đánh giá là nghiêm trọng có thể dẫn đến thực thi mã từ xa. Các lỗ hổng còn lại có thể bị khai thác để thực hiện các cuộc tấn công giả mạo yêu cầu phía máy chủ (SSRF) và xóa các tệp tùy ý, hoặc rò rỉ dữ liệu bằng cách thực hiện các cuộc tấn công Path Traversal.
Phần mềm độc hại Chaos RAT nhắm mục tiêu vào Windows và Linux
Theo phát hiện từ công ty an ninh mạng Acronis (Thụy Sỹ), phần mềm độc hại Chaos có thể được phát tán bằng cách đánh lừa nạn nhân tải xuống tiện ích khắc phục sự cố mạng dành cho Linux. “Chaos RAT là một RAT mã nguồn mở được viết bằng Golang, hỗ trợ đa nền tảng cho cả hệ thống Windows và Linux”, các nhà nghiên cứu bảo mật Santiago Pontiroli, Gabor Molnar và Kirill Antonenko cho biết.
Sau khi cài đặt, phần mềm độc hại sẽ kết nối với máy chủ bên ngoài và chờ lệnh cho phép nó khởi chạy reverse shell, upload/tải xuống/xóa tệp, liệt kê tệp và thư mục, chụp ảnh màn hình, thu thập thông tin hệ thống, khóa/khởi động lại/tắt máy và mở URL tùy ý. Phiên bản mới nhất của Chaos RAT là 5.0.3, được phát hành vào ngày 31/5/2024.
Các nhà nghiên cứu Acronis cho biết các biến thể Linux của Chaos đã được phát hiện trong thực tế, thường liên quan đến các chiến dịch khai thác tiền điện tử. Các chuỗi tấn công mà công ty quan sát cho thấy Chaos RAT được phân phối đến nạn nhân thông qua email lừa đảo có chứa liên kết hoặc tệp đính kèm độc hại.
Lỗ hổng XSS trong VMware NSX cho phép kẻ tấn công chèn mã độc
Một số lỗ hổng XSS trong nền tảng ảo hóa mạng VMware NSX có thể cho phép kẻ tấn công chèn mã độc và thực thi mã độc hại. Thông báo bảo mật này đã được công bố vào ngày 4/6, ghi nhận 3 lỗ hổng khác nhau ảnh hưởng đến giao diện người dùng của VMware NSX Manager, tường lửa và các thành phần cổng router với điểm CVSS cơ bản từ 5,9 đến 7,5.
Theo đó, lỗ hổng thứ nhất có mã định danh CVE-2025-22243 (điểm CVSS: 7.5), là một lỗ hổng XSS lưu trữ nghiêm trọng trong giao diện người dùng của VMware NSX Manager. Lỗ hổng này xuất phát từ việc xác thực đầu vào không đầy đủ trong các trường cấu hình mạng, cho phép chèn các payload JavaScript độc hại.
Thứ hai là lỗ hổng CVE-2025-22244 (điểm CVSS: 6.9), ảnh hưởng đến thành phần lọc URL của gateway firewall NSX với điểm CVSS là 6,9. Lỗ hổng này cho phép kẻ tấn công chèn mã vào các trang phản hồi tùy chỉnh được hiển thị khi người dùng cố gắng truy cập vào các trang web bị chặn.
Lỗ hổng thứ ba có mã định danh CVE-2025-22245 (điểm CVSS: 5.9) xuất hiện trong giao diện quản lý cổng router của NSX. Lỗ hổng này xuất phát từ việc không kiểm tra hoặc làm sạch đầu vào đúng cách trong các trường mô tả cổng, tạo điều kiện cho kẻ tấn công chèn mã JavaScript độc hại vào các mô tả cổng, ảnh hưởng đến cấu hình mạng và tiềm ẩn nguy cơ bảo mật.
Chiến dịch Cryptojacking khai thác API DevOps bằng các công cụ có sẵn từ GitHub
Tuần qua, công ty bảo mật đám mây Wiz đã phát hiện ra một chiến dịch khai thác tiền điện tử mới nhắm vào các máy chủ web DevOps, có thể truy cập công khai như các máy chủ liên quan đến Docker, Gitea, HashiCorp Consul và Nomad để khai thác tiền điện tử bất hợp pháp.
Các nhà nghiên cứu cho biết, những kẻ tấn công đang khai thác nhiều lỗ hổng và lỗi cấu hình để phát tán phần mềm độc hại. Điều khiến các cuộc tấn công này nổi bật là những kẻ tấn công đã tải xuống các công cụ cần thiết trực tiếp từ kho lưu trữ GitHub, thay vì sử dụng cơ sở hạ tầng của riêng chúng cho mục đích tấn công. Việc sử dụng các công cụ có sẵn được coi là một nỗ lực cố ý nhằm làm giảm các nỗ lực phân tích và điều tra số.
Trojan Android Crocodilus hiện đang hoạt động ở 8 quốc gia, nhắm mục tiêu vào các ngân hàng và ví tiền điện tử
Ngày càng có nhiều chiến dịch độc hại lợi dụng một loại Trojan ngân hàng Android mới được phát hiện có tên là Crocodilus, với mục đích nhắm vào người dùng ở châu Âu và Nam Mỹ. Theo báo cáo mới được hãng bảo mật ThreatFabric (Hà Lan) công bố, phần mềm độc hại này cũng đã áp dụng các kỹ thuật che giấu cải tiến để cản trở việc phân tích và phát hiện, đồng thời có khả năng tạo liên hệ mới trong danh sách liên hệ của nạn nhân.
Các nhà nghiên cứu cho biết: “Hoạt động gần đây cho thấy nhiều chiến dịch hiện đang nhắm vào các quốc gia châu Âu, trong khi vẫn tiếp tục các cuộc tấn công ở Thổ Nhĩ Kỳ và mở rộng ra toàn cầu đến Nam Mỹ". Crocodilus lần đầu tiên được ghi nhận công khai vào tháng 3/2025 khi nhắm mục tiêu vào người dùng thiết bị Android ở Tây Ban Nha và Thổ Nhĩ Kỳ bằng cách ngụy trang thành các ứng dụng hợp pháp như Google Chrome. Phần mềm độc hại này được trang bị khả năng khởi chạy các cuộc tấn công lớp phủ lên danh sách các ứng dụng tài chính được lấy từ máy chủ bên ngoài để thu thập thông tin đăng nhập.
