Mối đe dọa của tuần#Lỗ hổng nghiêm trọng của SAP NetWeaver bị khai thác như 0-Day — Một lỗ hổng bảo mật nghiêm trọng trong SAP NetWeaver (CVE-2025-31324, điểm CVSS: 10.0) đã bị các tác nhân đe dọa chưa xác định khai thác để tải lên các shell web JSP với mục đích tạo điều kiện cho việc tải lên tệp và thực thi mã trái phép. Các cuộc tấn công cũng đã được quan sát thấy bằng cách sử dụng khuôn khổ hậu khai thác Brute Ratel C4, cũng như một kỹ thuật nổi tiếng có tên là Heaven's Gate để vượt qua các biện pháp bảo vệ điểm cuối.
Tin tức hàng đầu#
Bộ công cụ lừa đảo Darcula được nâng cấp GenAI — Những kẻ đe dọa đứng sau nền tảng lừa đảo theo dịch vụ (PhaaS) Darcula đã phát hành các bản cập nhật mới cho bộ công cụ tội phạm mạng của họ với các khả năng trí tuệ nhân tạo tạo sinh (GenAI) để tạo biểu mẫu lừa đảo bằng nhiều ngôn ngữ khác nhau, tùy chỉnh trường biểu mẫu và dịch biểu mẫu lừa đảo sang ngôn ngữ địa phương. Các bản cập nhật tiếp tục hạ thấp rào cản kỹ thuật để tạo các trang lừa đảo, giúp ngay cả tội phạm mới vào nghề cũng có thể nhanh chóng và dễ dàng thiết lập các trò lừa đảo smishing phức tạp. Bộ Darcula PhaaS thân thiện với người dùng. Tất cả những gì kẻ lừa đảo đầy tham vọng cần làm là đăng ký dịch vụ Darcula, nhập một trang web thương hiệu hợp pháp và nền tảng sẽ tạo ra một phiên bản lừa đảo giả mạo theo yêu cầu. "Darcula không chỉ là một nền tảng lừa đảo; đó là một mô hình dịch vụ được thiết kế để mở rộng quy mô", Netcraft cho biết . "Người dùng trả tiền để truy cập vào bộ công cụ cho phép mạo danh các tổ chức ở hầu hết mọi quốc gia. Được xây dựng bằng các công nghệ hiện đại như khung JavaScript, Docker và Harbor, cơ sở hạ tầng phản ánh cơ sở hạ tầng của các công ty SaaS hợp pháp".
Cuộc phỏng vấn Contagious thiết lập các công ty giả mạo — Các tác nhân đe dọa có liên hệ với Triều Tiên đứng sau Cuộc phỏng vấn Contagious đã thiết lập các công ty bình phong có tên là BlockNovas LLC, Angeloper Agency và SoftGlide LLC như một cách để phân phối phần mềm độc hại trong quá trình tuyển dụng giả mạo. Hoạt động này minh họa cho các chiến thuật kỹ thuật xã hội tinh vi mà các tác nhân đe dọa Triều Tiên sử dụng để dụ dỗ các nhà phát triển. Việc tiết lộ này diễn ra khi tin tặc Bình Nhưỡng ngày càng tận dụng trí tuệ nhân tạo như một phần của kế hoạch lừa đảo nhân viên CNTT. Cốt lõi của các hoạt động này là một bộ công cụ toàn diện được tăng cường bằng AI hoạt động phối hợp và được sử dụng để tạo ra các nhân vật tổng hợp nhằm duy trì sự lừa dối. Những người tạo điều kiện sử dụng các dịch vụ nhắn tin hợp nhất cung cấp một cách để quản lý nhiều nhân vật trên nhiều kênh truyền thông khác nhau cùng một lúc. Các dịch vụ này cũng kết hợp các khả năng dịch thuật, phiên âm và tóm tắt do AI hỗ trợ để giúp nhân viên CNTT giao tiếp với các nhà tuyển dụng tiềm năng của họ.
Tin tặc Nga bị tình nghi sử dụng chiến thuật mới để truy cập vào tài khoản Microsoft 365 — Nhiều tác nhân đe dọa bị tình nghi có liên quan đến Nga như UTA0352 và UTA0355 đang "hung hăng" nhắm vào các cá nhân và tổ chức có quan hệ với Ukraine và nhân quyền với mục đích truy cập trái phép vào tài khoản Microsoft 365 kể từ đầu tháng 3 năm 2025. Volexity cho biết : "Những cuộc tấn công được quan sát gần đây này chủ yếu dựa vào tương tác một-một với mục tiêu, vì tác nhân đe dọa phải thuyết phục họ nhấp vào liên kết và gửi lại mã do Microsoft tạo ". "Những chiến dịch gần đây này được hưởng lợi từ tất cả các tương tác của người dùng diễn ra trên cơ sở hạ tầng chính thức của Microsoft; không có cơ sở hạ tầng nào do kẻ tấn công lưu trữ được sử dụng trong các cuộc tấn công này".
Các tác nhân đe dọa khai thác cơ sở hạ tầng của Google để tấn công lừa đảo — Các tác nhân đe dọa chưa xác định đã tận dụng một phương pháp mới cho phép gửi email giả mạo qua cơ sở hạ tầng của Google và chuyển hướng người nhận tin nhắn đến các trang web lừa đảo thu thập thông tin đăng nhập của họ. Cuộc tấn công lừa đảo tinh vi này đã bỏ qua các bước kiểm tra xác thực email và tìm cách lừa người nhận email nhấp vào các liên kết giả mạo được thiết kế để thu thập thông tin đăng nhập Tài khoản Google của họ. Kể từ đó, Google đã chặn đường dẫn tấn công.
Lotus Panda nhắm mục tiêu vào Đông Nam Á bằng Sagerunex — Nhóm gián điệp mạng có liên quan đến Trung Quốc được theo dõi là Lotus Panda đã được cho là có liên quan đến một chiến dịch xâm phạm nhiều tổ chức tại một quốc gia Đông Nam Á không được nêu tên trong khoảng thời gian từ tháng 8 năm 2024 đến tháng 2 năm 2025. Hoạt động này đã được phát hiện sử dụng các kỹ thuật tải phụ DLL để thả một cửa hậu có tên là Sagerunex, cũng như hai kẻ đánh cắp thông tin xác thực ChromeKatz và CredentialKatz được trang bị để lấy cắp mật khẩu và cookie được lưu trữ trong trình duyệt web Google Chrome. Trong những tháng gần đây, một chiến dịch gián điệp mạng được gọi là Chiến dịch Cobalt Whisper đã nhắm mục tiêu vào nhiều ngành công nghiệp ở Hồng Kông và Pakistan, bao gồm quốc phòng, giáo dục, kỹ thuật môi trường, kỹ thuật điện, năng lượng, an ninh mạng, hàng không và chăm sóc sức khỏe, với các email theo giai đoạn đóng vai trò là phương tiện để triển khai Cobalt Strike. Hải quân Pakistan cũng đã bị một đối thủ có khả năng là quốc gia nhắm mục tiêu để phân phối một kẻ đánh cắp thông tin bí mật có tên là Sync-Scheduler cho các nạn nhân bị nhắm mục tiêu. Mặc dù các chiến thuật được thể hiện trong chiến dịch này trùng lặp với SideWinder và Bitter APT, nhưng không có đủ bằng chứng để liên kết nó với một tác nhân đe dọa cụ thể. Và đó không phải là tất cả. Các nhà nghiên cứu an ninh mạng Trung Quốc đã bị một nhóm đe dọa Việt Nam có tên là APT32 nhắm mục tiêu từ giữa tháng 9 đến đầu tháng 10 năm 2024 để triển khai Cobalt Strike thông qua các dự án GitHub bị trojan hóa.
️
CVE đang thịnh hành#Những kẻ tấn công thích các lỗ hổng phần mềm—chúng là cánh cửa dễ dàng vào hệ thống của bạn. Mỗi tuần lại có những lỗi mới và việc chờ quá lâu để vá có thể biến một sự giám sát nhỏ thành một vi phạm lớn. Dưới đây là các lỗ hổng quan trọng trong tuần này mà bạn cần biết. Hãy xem xét, cập nhật phần mềm của bạn kịp thời và giữ cho kẻ tấn công không thể vào được.
Xung quanh thế giới mạng#Kẻ đánh cắp Lumma sử dụng các thủ thuật mới để tránh bị phát hiện — Kẻ đánh cắp thông tin có tên là Lumma, được quảng cáo là Malware-as-a-Service (MaaS) với giá khởi điểm là 250 đô la một tháng, đang được phân phối rộng rãi bằng nhiều phương pháp khác nhau như phương tiện truyền thông vi phạm bản quyền, nội dung dành cho người lớn và các trang web phần mềm bị bẻ khóa, cũng như các kênh Telegram giả mạo để chuyển hướng người dùng đến các xác minh CAPTCHA gian lận tận dụng chiến thuật ClickFix để lừa người dùng tải xuống và chạy phần mềm độc hại thông qua các lệnh PowerShell và MSHTA. Về phần mình, kẻ đánh cắp sử dụng các kỹ thuật như tải DLL và đưa phần mềm độc hại vào phần lớp phủ của phần mềm miễn phí để kích hoạt quy trình lây nhiễm phức tạp. "Phần lớp phủ thường được sử dụng cho chức năng phần mềm hợp pháp, chẳng hạn như hiển thị giao diện đồ họa hoặc xử lý một số sự kiện đầu vào nhất định", Kaspersky cho biết. "Bằng cách sửa đổi phần này của phần mềm, kẻ tấn công có thể đưa phần mềm độc hại vào mà không làm gián đoạn hoạt động bình thường của ứng dụng. Phương pháp này đặc biệt nguy hiểm vì phần mềm vẫn tiếp tục xuất hiện hợp pháp trong khi mã độc hại âm thầm thực thi ở chế độ nền". Lumma Stealer vẫn là mối đe dọa tích cực kể từ khi ra mắt vào năm 2022, liên tục nhận được các bản cập nhật để tránh bị phát hiện thông qua các tính năng như làm tối dòng mã, giải quyết động các hàm API trong thời gian chạy, Heaven's gate và vô hiệu hóa các lệnh gọi lại ETWTi. Nó cũng được thiết kế để phát hiện các môi trường ảo và hộp cát. Tính đến tháng 8 năm 2023, nhóm Lumma Stealer đã bắt đầu thử nghiệm một tính năng dựa trên AI để xác định xem nhật ký người dùng bị nhiễm có phải là bot hay không. Việc áp dụng rộng rãi Lumma Stealer cũng được chứng minh bằng việc sử dụng các vectơ lây nhiễm khác nhau, đã tận dụng kẻ đánh cắp để phân phối các tải trọng bổ sung như Amadey . "Những người điều hành LummaStealer điều hành một thị trường nội bộ trên Telegram [...] nơi hàng nghìn nhật ký được mua và bán hàng ngày", Cybereason cho biết . "Chúng cũng bao gồm các tính năng như hệ thống xếp hạng để khuyến khích người bán chất lượng, tùy chọn tìm kiếm nâng cao cho cả mật khẩu và cookie và phạm vi giá rộng. Cùng với hỗ trợ 24/7, thị trường này hướng đến mục tiêu cung cấp trải nghiệm liền mạch cho bất kỳ ai giao dịch dữ liệu bị đánh cắp, phản ánh xu hướng được thấy trên nhiều cộng đồng đánh cắp dữ liệu trên Telegram và darknet." Theo dữ liệu từ IBM X-Force, năm ngoái, số vụ đánh cắp thông tin trung bình hàng tuần tăng 84% thông qua email lừa đảo, so với năm 2023.
Power Parasites nhắm vào Bangladesh, Nepal, Ấn Độ — Một chiến dịch đang hoạt động đang nhắm vào các cá nhân trên khắp các quốc gia châu Á, bao gồm Bangladesh, Nepal và Ấn Độ, với các vụ lừa đảo việc làm và đầu tư thông qua sự kết hợp của các trang web lừa đảo trá hình là các công ty năng lượng và các công ty lớn khác, các nhóm truyền thông xã hội, video Youtube và các kênh Telegram kể từ tháng 9 năm 2024. Nhóm hoạt động này được thiết kế để lừa nạn nhân cung cấp thông tin chi tiết về ngân hàng hoặc thông tin tài chính cá nhân của họ, có tên mã là Power Parasites. "Những chiến dịch này thường được chia sẻ với các nạn nhân tiềm năng trên các mạng xã hội, qua email hoặc qua các kênh nhắn tin trực tiếp", Silent Push cho biết .
Một số tiện ích mở rộng được tìm thấy có tính năng nguy hiểm — Theo nhà nghiên cứu John Tuckner của Secure Annex, năm mươi tám tiện ích mở rộng đáng ngờ của Google Chrome đã được phát hiện có chứa các tính năng nguy hiểm, chẳng hạn như theo dõi hành vi duyệt web, truy cập cookie cho tên miền, thay đổi nhà cung cấp tìm kiếm và có khả năng thực thi các tập lệnh từ xa . Khía cạnh thú vị nhất của các tiện ích mở rộng này là chúng bị ẩn, nghĩa là chúng không hiển thị trên các tìm kiếm của Chrome Web Store, nhưng chúng có thể được truy cập nếu người dùng có URL trực tiếp. Điều này cho thấy rằng các tác nhân đe dọa đang sử dụng các cách không thông thường để trốn tránh phát hiện trong khi tích cực đẩy chúng qua quảng cáo và các trang web độc hại. Các tiện ích mở rộng đã được cài đặt tích lũy trên khoảng 5,98 triệu thiết bị. Một phát ngôn viên của Google đã nói với The Hacker News rằng "chúng tôi đã biết về báo cáo và đang điều tra".
CISA ngừng sử dụng Censys và VirusTotal — Hàng trăm nhân viên tại Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã được thông báo rằng cơ quan này đã ngừng sử dụng Censys vào cuối tháng trước và VirusTotal thuộc sở hữu của Google vào ngày 20 tháng 4 năm 2025. "Chúng tôi hiểu tầm quan trọng của những công cụ này trong hoạt động của mình và đang tích cực tìm hiểu các công cụ thay thế để đảm bảo giảm thiểu gián đoạn", Nextgov trích dẫn một email gửi cho các nhân viên của CISA. "Chúng tôi tin tưởng rằng chúng tôi sẽ sớm tìm thấy các giải pháp thay thế phù hợp". Sự phát triển diễn ra sau khi ngành an ninh mạng rơi vào tình trạng hỗn loạn sau khi một bản ghi nhớ nội bộ từ MITRE tiết lộ rằng Hoa Kỳ sẽ không còn hỗ trợ Chương trình CVE hàng đầu của mình nữa. Tuy nhiên, vào giờ chót, CISA đã đảo ngược quyết định và gia hạn hợp đồng thêm khoảng 11 tháng. "Để làm rõ sự việc, không có vấn đề gì về tài trợ, mà là vấn đề về quản lý hợp đồng đã được giải quyết trước khi hợp đồng hết hạn", Matt Hartman, Quyền Trợ lý Giám đốc điều hành phụ trách An ninh mạng của CISA, cho biết . "Chương trình CVE không hề bị gián đoạn và CISA cam kết duy trì và cải thiện cơ sở hạ tầng mạng quan trọng này.
Các chiến dịch Magecart mới được phát hiện ngoài đời thực — Một chiến dịch skimming thẻ tín dụng mới (hay còn gọi là Magecart) đã được phát hiện khi tiêm mã độc vào các trang thương mại điện tử bị xâm phạm với mục tiêu chặn dữ liệu thanh toán do người dùng nhập vào biểu mẫu thanh toán. Các cuộc tấn công liên quan đến việc truy cập vào hệ thống phụ trợ của trang web bằng thông tin đăng nhập bị đánh cắp thông qua một trình đánh cắp thông tin, tận dụng thông tin đó để tải trực tiếp trang PHP độc hại lên máy chủ. Tập lệnh PHP hoạt động như một web shell để kiểm soát trang web từ xa và làm ô nhiễm cơ sở dữ liệu bằng cách chèn mã JavaScript độc hại. JavaScript được thiết kế để thu thập thông tin thanh toán, kiểm tra tính hợp lệ của các số đã nhập và trích xuất thông tin qua kết nối WebSocket và dưới dạng hình ảnh. Dữ liệu thẻ tín dụng bị đánh cắp thông qua trình skimmer web thường được bán trên các diễn đàn thẻ như Savastan0, nơi chúng được các tác nhân đe dọa khác mua để tiếp tục hoạt động tội phạm nhằm đổi lấy khoản thanh toán bằng tiền điện tử. "Các quy tắc của Savastan0 quy định rằng người mua chỉ có 10 phút để sử dụng trình kiểm tra, nếu không, thẻ sẽ không được hoàn lại tiền", Yarix cho biết . "Mỗi tấm séc có giá 0,30 đô la. Nếu không thực hiện bất kỳ giao dịch nào, các dịch vụ kiểm tra thẻ có thể được sử dụng để 'kiểm tra mềm' tính xác thực của thẻ. Điều này làm giảm khả năng cảnh báo chủ sở hữu hợp pháp về hoạt động hoặc cảnh báo hệ thống chống gian lận. Nó cũng có thể được sử dụng để suy ra ngày hết hạn và mã ***, cùng với các thông tin bị thiếu khác." Tiết lộ này được đưa ra khi Jscrambler trình bày chi tiết về một chiến dịch skimming web lén lút đã xâm nhập vào 17 trang web của Caritas Tây Ban Nha chạy WooCommerce bằng một bộ mô-đun được thiết kế để không bị phát hiện trong khi chặn dữ liệu thanh toán nhạy cảm. "Chiến dịch skimming, giống như nhiều chiến dịch khác, được thực hiện theo hai giai đoạn", Jscrambler cho biết . "Giai đoạn một đóng vai trò là trình tải, đặt nền tảng cho cuộc tấn công. Giai đoạn hai giữ nguyên logic skimmer, chèn một biểu mẫu thanh toán giả và đánh cắp dữ liệu nhạy cảm." Vectơ lây nhiễm ban đầu chính xác vẫn chưa được biết, mặc dù có bằng chứng chỉ ra rằng các tác nhân đe dọa có quyền truy cập liên tục vào cài đặt WooCommerce. Jscrambler cho biết thông tin chi tiết về thẻ bị đánh cắp được xác thực trong vòng 10 phút sau khi đánh cắp, cho thấy một số mức độ tự động hóa.
SK Telecom tiết lộ vi phạm — SK Telecom, nhà mạng di động lớn nhất Hàn Quốc, đã cảnh báo khách hàng rằng một phần mềm độc hại đã cho phép các tác nhân đe dọa truy cập vào thông tin nhạy cảm liên quan đến USIM của họ. Công ty cho biết họ đã biết về sự cố này vào ngày 19 tháng 4 năm 2025, khoảng 11 giờ tối giờ địa phương. Tuy nhiên, SK Telecom nhấn mạnh rằng không có bằng chứng nào cho thấy thông tin đã bị sử dụng sai mục đích theo bất kỳ cách nào. Cuộc tấn công chưa được bất kỳ tác nhân hoặc nhóm đe dọa nào được biết đến nhận trách nhiệm.
Các lỗ hổng mới trong Kentico Xperience CMS — Các nhà nghiên cứu an ninh mạng đã nêu chi tiết về một lỗ hổng hiện đã được vá trong ứng dụng hệ thống quản lý nội dung (CMS) Kentico Xperience ( CVE-2025-2748 , điểm CVSS: 6,5) dẫn đến một cuộc tấn công mã lệnh chéo trang web (XSS) được lưu trữ bằng cách lợi dụng thực tế là nó không xác thực hoặc lọc đầy đủ các tệp được tải lên thông qua chức năng tải lên nhiều tệp. Về cơ bản, lỗi này cho phép kẻ tấn công phân phối một tải trọng độc hại dưới dạng người dùng chưa xác thực khi tải nhiều tệp lên ứng dụng. Sự cố này ảnh hưởng đến Kentico Xperience đến phiên bản 13.0.178. Kentico cũng giải quyết ba lỗ hổng khác là WT-2025-0006 (bỏ qua xác thực), WT-2025-0007 (Thực thi mã từ xa sau khi xác thực) và WT-2025-0011 (Bỏ qua xác thực), có thể thực hiện Thực thi mã từ xa đối với các triển khai đã vá đầy đủ.
Các ngân hàng Ấn Độ được lệnh di chuyển sang tên miền ".bank[.]in" trước ngày 31 tháng 10 — Vào tháng 2 năm 2025, ngân hàng trung ương Ấn Độ, Ngân hàng Dự trữ Ấn Độ (RBI), đã giới thiệu tên miền internet ".bank[.]in" độc quyền cho các ngân hàng trong nước để chống gian lận tài chính kỹ thuật số. Trong một chỉ thị mới được ban hành vào tuần trước, RBI đã thúc giục các ngân hàng bắt đầu di chuyển sang tên miền mới và hoàn tất quy trình trước ngày 31 tháng 10 năm 2025. Để đạt được mục đích đó, các ngân hàng được yêu cầu liên hệ với Viện Phát triển và Nghiên cứu Công nghệ Ngân hàng (IDRBT) để bắt đầu quy trình đăng ký.
Mạng bot DDoS mới được hỗ trợ bởi 1,33 triệu thiết bị — Mạng bot DDoS lớn nhất từ trước đến nay bao gồm 1,33 triệu thiết bị đã được phát hiện nhắm mục tiêu vào phân khúc nhỏ "Cửa hàng cá cược" và kéo dài khoảng 2,5 giờ vào cuối tháng 3 năm 2025. Hơn 50% thiết bị bị xâm phạm nằm ở Brazil, tiếp theo là Argentina, Nga, Iraq và Mexico, theo Qrator Labs . Việc tiết lộ này trùng với một chiến dịch đe dọa mới nổi nhắm vào các máy chủ MS-SQL được quản lý kém để triển khai phần mềm độc hại Ammyy Admin và PetitPotato để truy cập từ xa và leo thang đặc quyền. "Những kẻ tấn công khai thác các máy chủ dễ bị tấn công, thực thi các lệnh để thu thập thông tin hệ thống và sử dụng WGet để cài đặt phần mềm độc hại", Broadcom cho biết . "Chúng cũng kích hoạt các dịch vụ RDP và thêm tài khoản người dùng mới để duy trì quyền truy cập liên tục".
Scallywag sử dụng tiện ích mở rộng WordPress giả mạo để lừa đảo quảng cáo — Một bộ bốn plugin WordPress – Soralink, Yu Idea, WPSafeLink và Droplink – được gọi chung là Scallywag đang được quảng cáo là một hoạt động lừa đảo dưới dạng dịch vụ để giúp kiếm tiền từ các dịch vụ vi phạm bản quyền kỹ thuật số và rút ngắn URL. "Các mô-đun này chuyển hướng người dùng qua một hoặc nhiều trang trung gian để yêu cầu và hiển thị quảng cáo trước khi phân phối nội dung đã hứa hoặc URL đã rút gọn", Nhóm nghiên cứu và tình báo về mối đe dọa của HUMAN Satori cho biết. Vào thời kỳ đỉnh cao, Scallywag chiếm 1,4 tỷ yêu cầu đấu thầu gian lận mỗi ngày trên 407 tên miền rút tiền. Quá trình tấn công bắt đầu bằng việc người dùng truy cập vào một trang web danh mục phim vi phạm bản quyền. Sau khi chọn nội dung cần xem, họ sẽ được chuyển hướng đến một blog rút tiền liên quan đến Scallywag chứa đầy quảng cáo trước khi dẫn đến đích cuối cùng của họ, nơi lưu trữ nội dung. HUMAN cho biết các trang web rút tiền mới đã xuất hiện trong bối cảnh tiếp tục trấn áp chương trình này, nhấn mạnh những gì có vẻ giống như một trò chơi đập chuột chũi với những kẻ lừa đảo.
Microsoft chính thức bắt đầu triển khai Recall — Microsoft đã cung cấp tính năng Recall hỗ trợ trí tuệ nhân tạo (AI) trên PC Copilot+, gần một năm sau khi công bố tính năng này, gây ra phản ứng dữ dội về quyền riêng tư và bảo mật. Những lo ngại này khiến công ty phải đưa tính năng này thành tính năng tùy chọn và thiết kế lại hệ thống bằng các biện pháp kiểm soát được cải thiện để ngăn chặn truy cập trái phép. Microsoft cho biết : "Chúng tôi đã triển khai các cân nhắc bảo mật mở rộng, chẳng hạn như đăng nhập Windows Hello, mã hóa dữ liệu và cô lập trong Recall để giúp dữ liệu của bạn an toàn và bảo mật" . "Dữ liệu Recall được xử lý cục bộ trên thiết bị của bạn, nghĩa là dữ liệu không được gửi lên đám mây và không được chia sẻ với Microsoft và Microsoft sẽ không chia sẻ dữ liệu của bạn với bên thứ ba". Nhà nghiên cứu bảo mật Kevin Beaumont cho biết Microsoft đã "nỗ lực nghiêm túc" để giải quyết một số khiếu nại về bảo mật đáng kể, nhưng lưu ý rằng việc lọc dữ liệu nhạy cảm khỏi ảnh chụp nhanh có thể thành công hoặc thất bại.
Tội phạm mạng gây thiệt hại cho nạn nhân 16 tỷ đô la vào năm 2024 — Trung tâm khiếu nại tội phạm Internet của Cục Điều tra Liên bang USA (FBI), hay IC3, đã ghi nhận 859.532 khiếu nại vào năm 2024, trong đó 256.256 khiếu nại dẫn đến khoản lỗ khổng lồ là 16,6 tỷ đô la, tăng 33% so với năm 2023. IC3 cho biết "Gian lận chiếm phần lớn các khoản lỗ được báo cáo vào năm 2024 và phần mềm tống tiền một lần nữa là mối đe dọa phổ biến nhất đối với cơ sở hạ tầng quan trọng, với các khiếu nại tăng 9% so với năm 2023" . "Nhìn chung, những người trên 60 tuổi chịu nhiều tổn thất nhất và nộp nhiều khiếu nại nhất". Gian lận đầu tư, xâm phạm email doanh nghiệp (BEC) và lừa đảo hỗ trợ kỹ thuật chiếm ba vị trí hàng đầu về mức tổn thất lớn nhất. Hồng Kông, Việt Nam, Mexico, Philippines, Ấn Độ và Trung Quốc là những điểm đến quốc tế chính cho các giao dịch chuyển tiền gian lận. Tổng số báo cáo về tấn công bằng phần mềm tống tiền gửi đến FBI là 3.156 vào năm 2024, tăng so với 2.825 vào năm 2023 và 2.385 vào năm 2022. Có tới 67 biến thể phần mềm tống tiền mới được phát hiện vào năm 2024.
Nhật Bản cảnh báo về giao dịch chứng khoán trái phép thông qua thông tin đăng nhập bị đánh cắp — Cơ quan dịch vụ tài chính Nhật Bản (FSA) đang cảnh báo người dùng về các giao dịch trái phép trên các dịch vụ giao dịch chứng khoán trực tuyến sử dụng thông tin đăng nhập bị đánh cắp thu thập được từ các trang web lừa đảo mạo danh các trang web hợp pháp. Đã có 1.454 giao dịch gian lận cho đến nay. Các giao dịch giao dịch trái phép này có giá trị gần 100 tỷ yên (700 triệu đô la) kể từ tháng 2 năm 2025.
FBI tìm kiếm thông tin về Salt Typhoon — FBI cho biết họ đang tìm kiếm thông tin về một nhóm tin tặc China có tên là Salt Typhoon và vụ xâm nhập của nhóm này vào các công ty viễn thông United States of America. "Cuộc điều tra về những kẻ này và hoạt động của chúng đã tiết lộ một chiến dịch mạng rộng lớn và đáng kể nhằm tận dụng quyền truy cập vào các mạng này để nhắm mục tiêu vào các nạn nhân trên phạm vi toàn cầu", cơ quan này cho biết . "Hoạt động này dẫn đến việc đánh cắp nhật ký dữ liệu cuộc gọi, một số lượng hạn chế các cuộc liên lạc riêng tư liên quan đến các nạn nhân đã xác định và sao chép thông tin được chọn theo yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án".
Privacy Watchdog nộp đơn khiếu nại GDPR chống lại Ubisoft — Tổ chức phi lợi nhuận về quyền riêng tư của Áo noyb đã cáo buộc nhà phát triển và phát hành trò chơi điện tử của Pháp Ubisoft vi phạm luật Quy định bảo vệ dữ liệu chung (GDPR) trong khu vực bằng cách buộc khách hàng của mình phải kết nối internet mỗi khi họ khởi chạy trò chơi một người chơi ngay cả trong những tình huống không có bất kỳ tính năng trực tuyến nào. "Điều này cho phép Ubisoft thu thập hành vi chơi game của mọi người. Trong số những thứ khác, công ty thu thập dữ liệu về thời điểm bạn bắt đầu trò chơi, thời gian bạn chơi và thời điểm bạn đóng trò chơi", noyb cho biết . "Ngay cả sau khi người khiếu nại hỏi rõ ràng tại sao anh ta bị buộc phải trực tuyến, Ubisoft vẫn không tiết lộ lý do tại sao điều này lại xảy ra". Khiếu nại này xuất hiện ngay sau khi noyb chỉ ra "cơ chế hợp tác" phức tạp để xử lý các khiếu nại giữa Cơ quan bảo vệ dữ liệu (DPA) tại Quốc gia thành viên của người dùng và DPA tại Quốc gia thành viên của công ty. "Quy định này có thể là một bước ngoặt trong việc thực hiện các quyền cơ bản của người dân. Thay vào đó, có vẻ như nó sẽ lãng phí hàng nghìn giờ trong các cơ quan vốn đã quá tải bằng cách quy định nhiều bước thủ tục vô ích và quá phức tạp, tương đương với hàng triệu đô la tiền thuế của người dân", Max Schrems cho biết . "Đồng thời, các thủ tục sẽ chậm hơn và cũng phức tạp hơn đối với cả doanh nghiệp và công dân. Việc thực thi các quyền GDPR của người dân bình thường sẽ còn khó khăn hơn nữa".
Lỗi trong quy trình DCV của SSL.com — Một lỗi trong quy trình xác thực kiểm soát miền (DCV) của SSL.com có thể cho phép kẻ tấn công bỏ qua xác minh và cấp chứng chỉ SSL gian lận cho bất kỳ tên miền nào được liên kết với một số nhà cung cấp email như aliyun[.]com. Tổng cộng có 11 chứng chỉ được cho là đã được cấp theo cách này.
Hội thảo trực tuyến về an ninh mạng#Mạo danh do AI hỗ trợ đang đánh bại MFA—Đây là cách đóng cửa trước các cuộc tấn công dựa trên danh tính — Mạo danh do AI hỗ trợ đang khiến MFA truyền thống trở nên vô dụng—và những kẻ tấn công có thể xâm nhập mà không cần đánh cắp mật khẩu. Trong phiên này, bạn sẽ học cách ngăn chặn các cuộc tấn công dựa trên danh tính trước khi chúng bắt đầu, bằng cách sử dụng xác minh thời gian thực, kiểm tra quyền truy cập và phát hiện deepfake nâng cao. Từ việc ngăn chặn chiếm đoạt tài khoản đến xác minh danh tính do AI hỗ trợ, hãy xem cách các biện pháp phòng thủ hiện đại có thể đóng cửa trước những kẻ mạo danh. Tham gia hội thảo trên web để xem cách thức hoạt động.
Các tác nhân AI thông minh cần bảo mật thông minh hơn—Đây là cách bắt đầu — Các tác nhân AI đang giúp các nhóm di chuyển nhanh hơn—nhưng nếu không có bảo mật phù hợp, chúng có thể làm lộ dữ liệu nhạy cảm hoặc bị kẻ tấn công thao túng. Phiên này sẽ hướng dẫn bạn cách xây dựng các tác nhân AI một cách an toàn, với các bước thực tế, các biện pháp kiểm soát chính và các rủi ro bị bỏ qua mà bạn cần biết. Tìm hiểu cách giảm thiểu rủi ro mà không làm mất năng suất và giữ cho các công cụ AI của bạn an toàn, đáng tin cậy và trong tầm kiểm soát. Đăng ký ngay để bắt đầu bảo mật AI của bạn theo đúng cách.
Công cụ an ninh mạng#Varalyze — Đây là bộ công cụ tình báo mối đe dọa hợp nhất kết nối dữ liệu từ các nguồn như AbuseIPDB, VirusTotal và URLScan để hợp lý hóa phân tích mối đe dọa. Nó tự động thu thập thông tin tình báo, tăng tốc phân loại và tạo báo cáo rõ ràng, có thể hành động — tất cả trong một nền tảng đơn giản, chạy bằng Python.
Cookiecrumbler — Bạn đã chán ngán với các cửa sổ bật lên cookie làm gián đoạn quá trình duyệt web hoặc làm hỏng chức năng của trang web? Cookiecrumbler là một công cụ thông minh được thiết kế để tự động phát hiện và phân tích các thông báo chấp thuận cookie trên các trang web. Cho dù bạn đang gỡ lỗi các sự cố tương thích web hay xác định các biểu ngữ cookie vượt qua các trình chặn hiện có, Cookiecrumbler giúp bạn phát hiện chúng nhanh chóng. Nó hoạt động như một ứng dụng web, có thể chạy các lần thu thập dữ liệu cục bộ và thậm chí tích hợp với các hệ thống khác — không cần kỹ năng kỹ thuật chuyên sâu.
Eyeballer — Đây là một công cụ thông minh dành cho người kiểm tra thâm nhập, phân tích các đợt ảnh chụp màn hình trang web lớn để nhanh chóng xác định các mục tiêu có giá trị cao như trang đăng nhập, trang web lỗi thời và ứng dụng web đang hoạt động. Thay vì lãng phí thời gian vào các tên miền đã đỗ hoặc lỗi 404 vô hại, Eyeballer giúp bạn tập trung vào những gì có khả năng dễ bị tấn công, tăng tốc quá trình phân loại trong các bài kiểm tra mạng diện rộng. Chỉ cần nhập ảnh chụp màn hình của bạn và để Eyeballer làm nổi bật những gì quan trọng.
Mẹo của tuần#Đừng để cuộc gọi video trở thành cửa sau — Kẻ tấn công hiện đang sử dụng lời mời họp giả để lừa mọi người cấp cho chúng quyền truy cập từ xa trong các cuộc gọi video. Chúng thiết lập các cuộc phỏng vấn hoặc cuộc họp kinh doanh giả, sau đó yêu cầu kiểm soát màn hình — đôi khi thậm chí đổi tên thành "Zoom" để trông giống như một thông báo hệ thống. Nếu bạn nhấp vào "Cho phép" mà không suy nghĩ, chúng có thể chiếm quyền điều khiển máy tính của bạn, đánh cắp dữ liệu hoặc cài đặt phần mềm độc hại.
Để đảm bảo an toàn, hãy tắt tính năng điều khiển từ xa nếu bạn không cần chúng. Trên Zoom, hãy tắt tính năng này trong Cài đặt ở mục "Trong cuộc họp (Cơ bản)". Luôn kiểm tra kỹ xem ai đang yêu cầu quyền truy cập và không bao giờ chấp thuận quyền kiểm soát chỉ vì nó có vẻ chính thức. Sử dụng các công cụ dựa trên trình duyệt như Google Meet khi có thể — chúng an toàn hơn vì chúng không thể dễ dàng kiểm soát hệ thống của bạn.
Để bảo vệ thêm, người dùng Mac có thể chặn Zoom (hoặc bất kỳ ứng dụng nào) khỏi việc nhận các quyền đặc biệt như "Trợ năng", cần thiết để điều khiển từ xa. Các nhóm CNTT cũng có thể thiết lập điều này trên tất cả các thiết bị của công ty. Và hãy cẩn thận với các lời mời từ email hoặc liên kết lạ — các công ty thực sự sẽ không sử dụng tài khoản cá nhân hoặc trang đặt chỗ giả mạo. Hãy luôn cảnh giác và đừng để một cú nhấp chuột đơn giản trở thành vấn đề lớn.
Phần kết luận#
Các biện pháp phòng thủ hiệu quả nhất thường bắt đầu bằng việc đặt ra những câu hỏi hay hơn. Hệ thống của bạn có hoạt động theo cách mà bạn thực sự hiểu không? Kẻ tấn công có thể sử dụng các công cụ đáng tin cậy của bạn để chống lại bạn như thế nào?
Bây giờ là lúc khám phá bảo mật ngoài công nghệ — hãy xem nhóm của bạn xử lý lòng tin, giao tiếp và hành vi bất thường như thế nào. Vạch ra nơi phán đoán của con người gặp tự động hóa và nơi kẻ tấn công có thể tìm thấy điểm mù.
Sự tò mò không chỉ dành cho nghiên cứu — nó còn là lá chắn mạnh mẽ khi được sử dụng để thách thức các giả định và khám phá những rủi ro tiềm ẩn.
Source: https://thehackernews.com/2025/04/weekly-recap-critical-sap-exploit-ai.html
