Duy Linh
Writer
Các cuộc tấn công mạng đang thay đổi nhanh chóng. Thay vì tìm cách xâm nhập hệ thống, nhiều tin tặc hiện chỉ cần đăng nhập bằng thông tin xác thực bị đánh cắp. Sự thay đổi này được thúc đẩy bởi trí tuệ nhân tạo (AI) và tự động hóa, giúp các chiến dịch tấn công diễn ra với tốc độ và quy mô vượt xa khả năng phản ứng của con người.
Báo cáo về mối đe dọa mới: Trí tuệ nhân tạo (AI) đẩy nhanh các cuộc tấn công mạng tốc độ cao.
Nhóm nghiên cứu mối đe dọa Cloudforce One của Cloudflare cho biết một chỉ số quan trọng đang định hình cách tin tặc hoạt động: MOE (Moment of Effect – Hiệu quả hoạt động). Chỉ số này đo lường tỷ lệ giữa nỗ lực bỏ ra và mức độ thiệt hại đạt được. Các tác nhân đe dọa hiện đại đang tối ưu hóa toàn bộ chiến dịch tấn công dựa trên nguyên tắc này.
Thay vì sử dụng các lỗ hổng zero-day đắt đỏ, tin tặc ngày càng ưa chuộng các kỹ thuật rẻ hơn nhưng dễ mở rộng, như đánh cắp mã thông báo phiên, tận dụng cơ sở hạ tầng đáng tin cậy, hoặc sử dụng công cụ do AI tạo ra có thể áp dụng cho nhiều nạn nhân cùng lúc.
AI cũng làm giảm đáng kể rào cản kỹ thuật. Những người có kỹ năng thấp giờ đây có thể thực hiện các hoạt động trước đây chỉ dành cho các chuyên gia an ninh mạng.
Cloudforce One đã ghi nhận một chiến dịch tấn công trong đó một kẻ vận hành sử dụng AI để xác định dữ liệu có giá trị cao, sau đó xâm nhập hàng trăm khách hàng SaaS của doanh nghiệp trong một cuộc tấn công chuỗi cung ứng duy nhất.
Quá trình này được thúc đẩy bởi bot tự động và thông tin đăng nhập bị rò rỉ. Dữ liệu của Cloudflare cho thấy:
Những dữ liệu này cho thấy một thực tế mới: AI và tự động hóa liên tục thử nghiệm mật khẩu bị đánh cắp trên quy mô lớn, khiến danh tính số trở thành chiến trường chính của an ninh mạng.
Thay vì xây dựng hạ tầng độc hại dễ bị phát hiện, tin tặc chuyển các hoạt động điều khiển và kiểm soát (C2) cũng như chiến dịch lừa đảo sang các nền tảng quen thuộc như:
Nhóm FrumpyToad có liên hệ với Trung Quốc sử dụng Google Calendar làm kênh C2. Các lệnh được mã hóa trong mô tả sự kiện, tạo vòng điều khiển từ đám mây sang đám mây và hòa lẫn với lưu lượng truy cập lịch thông thường.
Nhóm PunyToad cũng từ Trung Quốc sử dụng đường hầm mã hóa và hạ tầng điện toán đám mây để xây dựng kiến trúc ẩn danh, che giấu địa chỉ IP nguồn và duy trì sự hiện diện lâu dài trong hệ thống nạn nhân.
Tin tặc Nga NastyShrew vận hành hạ tầng C2 xoay vòng bằng các trang chia sẻ nội dung như Teletype.in và Rentry.co, nơi các máy chủ bị nhiễm liên tục truy vấn để nhận điểm điều khiển mới.
Trong khi đó, nhóm PatheticSlug có liên hệ với Triều Tiên sử dụng Google Drive và Dropbox để lưu trữ phần mềm độc hại XenoRAT, đồng thời tận dụng GitHub để thực hiện điều khiển C2, khiến lưu lượng độc hại gần như giống hệt hoạt động phát triển phần mềm thông thường.
Nhóm Iran CrustyKrill lưu trữ nội dung lừa đảo và hệ thống C2 trên Azure Web Apps và nền tảng tài liệu ONLYOFFICE, tạo ra các trang đăng nhập giả mạo giống hệt dịch vụ doanh nghiệp hợp pháp.
Song song với đó, các cuộc tấn công danh tính cũng đang được tối ưu hóa để đạt hiệu quả MOE cao nhất. Báo cáo nhấn mạnh các họ phần mềm đánh cắp thông tin như LummaC2, có khả năng thu thập mã thông báo phiên đang hoạt động từ thiết bị bị nhiễm. Điều này cho phép tin tặc bỏ qua xác thực đa yếu tố (MFA) và truy cập trực tiếp vào hệ thống sau khi đăng nhập.
Cloudforce One từng tham gia chiến dịch toàn cầu nhằm phá vỡ cơ sở hạ tầng LummaC2 vào năm 2025. Tuy nhiên, các biến thể mới đã nhanh chóng xuất hiện, rút ngắn thời gian từ khi lây nhiễm đến khi triển khai mã độc tống tiền.
Dữ liệu đo từ xa cho thấy mức cơ bản của các chiến dịch tấn công đạt 31,4 Tbps, được thúc đẩy bởi các botnet khổng lồ như Aisuru, sử dụng proxy dân cư và thiết bị bị xâm nhập trên toàn cầu.
Cùng lúc đó, Cloudflare ghi nhận các cuộc tấn công DDoS siêu quy mô liên tục lập kỷ lục mới, khiến thời gian phản ứng của con người ngày càng bị thu hẹp.
Những cuộc tấn công này thường được thiết kế để làm cạn kiệt hạ tầng, trong khi các hoạt động lạm dụng danh tính và điện toán đám mây âm thầm tiến hành đánh cắp dữ liệu hoặc gây gián đoạn hệ thống.
Lỗ hổng này cho phép thực thi mã từ xa không cần xác thực thông qua việc chèn HTML chưa được xử lý vào giao diện web, với điểm CVSS 9.4.
Trường hợp này cho thấy các tác nhân AI và công cụ điều phối đang trở thành cả mục tiêu tấn công lẫn yếu tố khuếch đại rủi ro, đặc biệt khi chúng được tích hợp vào quy trình CI/CD hoặc hệ thống truy cập shell.
Trong bối cảnh các cuộc tấn công diễn ra với tốc độ cao nhờ AI, Cloudflare cho rằng các biện pháp bảo mật phụ thuộc vào con người và cảnh báo thủ công không còn đủ.
Thay vào đó, tổ chức cần triển khai mô hình phòng thủ tự động, kết hợp dữ liệu đo từ xa, phân tích thời gian thực và phản ứng tự động để giảm tối đa cơ hội thành công của kẻ tấn công.
Điều này bao gồm tăng cường bảo mật cho tích hợp SaaS, khắc phục các lỗ hổng chuyển tiếp email và DMARC, phát hiện hành vi đánh cắp mã thông báo phiên, đồng thời giám sát các công cụ đám mây để nhận diện sớm các hành vi tận dụng hạ tầng hợp pháp trước khi chúng trở thành nền tảng cho các cuộc tấn công quy mô lớn. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-accelerates-high-velocity/
Báo cáo về mối đe dọa mới: Trí tuệ nhân tạo (AI) đẩy nhanh các cuộc tấn công mạng tốc độ cao.
Nhóm nghiên cứu mối đe dọa Cloudforce One của Cloudflare cho biết một chỉ số quan trọng đang định hình cách tin tặc hoạt động: MOE (Moment of Effect – Hiệu quả hoạt động). Chỉ số này đo lường tỷ lệ giữa nỗ lực bỏ ra và mức độ thiệt hại đạt được. Các tác nhân đe dọa hiện đại đang tối ưu hóa toàn bộ chiến dịch tấn công dựa trên nguyên tắc này.
Thay vì sử dụng các lỗ hổng zero-day đắt đỏ, tin tặc ngày càng ưa chuộng các kỹ thuật rẻ hơn nhưng dễ mở rộng, như đánh cắp mã thông báo phiên, tận dụng cơ sở hạ tầng đáng tin cậy, hoặc sử dụng công cụ do AI tạo ra có thể áp dụng cho nhiều nạn nhân cùng lúc.
AI cũng làm giảm đáng kể rào cản kỹ thuật. Những người có kỹ năng thấp giờ đây có thể thực hiện các hoạt động trước đây chỉ dành cho các chuyên gia an ninh mạng.
Cloudforce One đã ghi nhận một chiến dịch tấn công trong đó một kẻ vận hành sử dụng AI để xác định dữ liệu có giá trị cao, sau đó xâm nhập hàng trăm khách hàng SaaS của doanh nghiệp trong một cuộc tấn công chuỗi cung ứng duy nhất.
Quá trình này được thúc đẩy bởi bot tự động và thông tin đăng nhập bị rò rỉ. Dữ liệu của Cloudflare cho thấy:
- 94% lượt đăng nhập vào mạng lưới của họ hiện đến từ bot
- 63% lượt đăng nhập liên quan đến thông tin xác thực đã bị lộ trước đó
Những dữ liệu này cho thấy một thực tế mới: AI và tự động hóa liên tục thử nghiệm mật khẩu bị đánh cắp trên quy mô lớn, khiến danh tính số trở thành chiến trường chính của an ninh mạng.
SaaS và dịch vụ đám mây đang bị vũ khí hóa
Báo cáo cho thấy các nhóm tấn công đang ngày càng “sống dựa vào XaaS”, tận dụng các dịch vụ đám mây hợp pháp để che giấu hoạt động.Thay vì xây dựng hạ tầng độc hại dễ bị phát hiện, tin tặc chuyển các hoạt động điều khiển và kiểm soát (C2) cũng như chiến dịch lừa đảo sang các nền tảng quen thuộc như:
- Google Drive
- Microsoft Teams
- Amazon S3
- Amazon SES
- SendGrid
Nhóm FrumpyToad có liên hệ với Trung Quốc sử dụng Google Calendar làm kênh C2. Các lệnh được mã hóa trong mô tả sự kiện, tạo vòng điều khiển từ đám mây sang đám mây và hòa lẫn với lưu lượng truy cập lịch thông thường.
Nhóm PunyToad cũng từ Trung Quốc sử dụng đường hầm mã hóa và hạ tầng điện toán đám mây để xây dựng kiến trúc ẩn danh, che giấu địa chỉ IP nguồn và duy trì sự hiện diện lâu dài trong hệ thống nạn nhân.
Tin tặc Nga NastyShrew vận hành hạ tầng C2 xoay vòng bằng các trang chia sẻ nội dung như Teletype.in và Rentry.co, nơi các máy chủ bị nhiễm liên tục truy vấn để nhận điểm điều khiển mới.
Trong khi đó, nhóm PatheticSlug có liên hệ với Triều Tiên sử dụng Google Drive và Dropbox để lưu trữ phần mềm độc hại XenoRAT, đồng thời tận dụng GitHub để thực hiện điều khiển C2, khiến lưu lượng độc hại gần như giống hệt hoạt động phát triển phần mềm thông thường.
Nhóm Iran CrustyKrill lưu trữ nội dung lừa đảo và hệ thống C2 trên Azure Web Apps và nền tảng tài liệu ONLYOFFICE, tạo ra các trang đăng nhập giả mạo giống hệt dịch vụ doanh nghiệp hợp pháp.
Song song với đó, các cuộc tấn công danh tính cũng đang được tối ưu hóa để đạt hiệu quả MOE cao nhất. Báo cáo nhấn mạnh các họ phần mềm đánh cắp thông tin như LummaC2, có khả năng thu thập mã thông báo phiên đang hoạt động từ thiết bị bị nhiễm. Điều này cho phép tin tặc bỏ qua xác thực đa yếu tố (MFA) và truy cập trực tiếp vào hệ thống sau khi đăng nhập.
Cloudforce One từng tham gia chiến dịch toàn cầu nhằm phá vỡ cơ sở hạ tầng LummaC2 vào năm 2025. Tuy nhiên, các biến thể mới đã nhanh chóng xuất hiện, rút ngắn thời gian từ khi lây nhiễm đến khi triển khai mã độc tống tiền.
Dữ liệu đo từ xa cho thấy mức cơ bản của các chiến dịch tấn công đạt 31,4 Tbps, được thúc đẩy bởi các botnet khổng lồ như Aisuru, sử dụng proxy dân cư và thiết bị bị xâm nhập trên toàn cầu.
Cùng lúc đó, Cloudflare ghi nhận các cuộc tấn công DDoS siêu quy mô liên tục lập kỷ lục mới, khiến thời gian phản ứng của con người ngày càng bị thu hẹp.
Những cuộc tấn công này thường được thiết kế để làm cạn kiệt hạ tầng, trong khi các hoạt động lạm dụng danh tính và điện toán đám mây âm thầm tiến hành đánh cắp dữ liệu hoặc gây gián đoạn hệ thống.
AI trở thành cả vũ khí tấn công và công cụ phòng thủ
Cloudforce One cũng thử nghiệm sử dụng AI để tự phân tích hệ thống của mình. Trong quá trình nghiên cứu nội bộ, một tác nhân lập trình AI đã phát hiện CVE-2026-22813, lỗ hổng nghiêm trọng trong hệ thống hiển thị markdown của tác nhân OpenCode AI.Lỗ hổng này cho phép thực thi mã từ xa không cần xác thực thông qua việc chèn HTML chưa được xử lý vào giao diện web, với điểm CVSS 9.4.
Trường hợp này cho thấy các tác nhân AI và công cụ điều phối đang trở thành cả mục tiêu tấn công lẫn yếu tố khuếch đại rủi ro, đặc biệt khi chúng được tích hợp vào quy trình CI/CD hoặc hệ thống truy cập shell.
Trong bối cảnh các cuộc tấn công diễn ra với tốc độ cao nhờ AI, Cloudflare cho rằng các biện pháp bảo mật phụ thuộc vào con người và cảnh báo thủ công không còn đủ.
Thay vào đó, tổ chức cần triển khai mô hình phòng thủ tự động, kết hợp dữ liệu đo từ xa, phân tích thời gian thực và phản ứng tự động để giảm tối đa cơ hội thành công của kẻ tấn công.
Điều này bao gồm tăng cường bảo mật cho tích hợp SaaS, khắc phục các lỗ hổng chuyển tiếp email và DMARC, phát hiện hành vi đánh cắp mã thông báo phiên, đồng thời giám sát các công cụ đám mây để nhận diện sớm các hành vi tận dụng hạ tầng hợp pháp trước khi chúng trở thành nền tảng cho các cuộc tấn công quy mô lớn. (gbhackers)
Đọc chi tiết tại đây: https://gbhackers.com/ai-accelerates-high-velocity/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
