Khi trình duyệt trông hợp pháp trở thành lỗ hổng: học gì từ tuần này?

[CyberThao]

Tuần này, những mối đe dọa thực sự nguy hiểm thường là những thứ trông hợp pháp nhất: phần mềm đã ký, sơ yếu lý lịch “sạch”, hoặc nhà cung cấp được phê duyệt… Trong môi trường nơi danh tính, niềm tin và công cụ liên kết chặt chẽ, cuộc tấn công hiệu quả nhất thường là con đường trông như phù hợp. Các nhóm bảo mật không chỉ phải phòng ngừa xâm nhập mà còn phải bảo vệ niềm tin khỏi bị lợi dụng làm vũ khí.

Những chiến dịch đáng chú ý​

• Tấn công SharePoint bởi nhóm Trung Quốc: Hơn 400 tổ chức bị tấn công do khai thác zero‑day CVE‑2025‑49706 và CVE‑2025‑49704 (ToolShell). Các nhóm như Linen Typhoon (APT27), Violet Typhoon (APT31) và Storm‑2603 triển khai ransomware Warlock. Có nghi vấn rò rỉ từ chương trình MAPP của Microsoft .
• Chương trình CNTT gian lận của Triều Tiên: Bộ Tài chính Mỹ trừng phạt công ty bình phong và ba cá nhân, bao gồm Christina Chapman đã gây quỹ phi pháp 17 triệu USD (~₫?) để tuyển nhân viên CNTT Triều Tiên giả mạo danh tính bằng deepfake để làm việc tại Mỹ, nhằm phục vụ chương trình hạt nhân và gián điệp .
• Malware khai thác đám mây: Soco404 (Linux và Windows) và Koske (chỉ Linux) nhắm vào cấu hình sai để cài máy đào tiền điện tử. Koske tích hợp mô hình ngôn ngữ lớn và mã hóa hình ảnh panda để che dấu payload .
• Diễn đàn tội phạm mạng bị triệt phá: XSS bị đánh sập, quản trị viên bị bắt; LeakZone rò rỉ IP người dùng đăng nhập, diễn đàn chuyển sang Telegram và nền tảng kín khác .
• Trojan Coyote khai thác UIA của Windows: Malware ngân hàng nhắm mục tiêu người dùng Brazil. Coyote sử dụng API GetForegroundWindow() và UIA để xác định tab trình duyệt và hiển thị lớp phủ giả nhằm thu thập thông tin đăng nhập .
• Lỗ hổng Cisco ISE bị khai thác: CVE‑2025‑20281, CVE‑2025‑20337, CVE‑2025‑20282 cho phép thực thi mã root từ xa trên Identity Services Engine và Passive Identity Connector .
• Các CVE nguy hiểm tuần này: Các lỗ hổng từ Laravel Livewire, Lighthouse Studio, Sophos Firewall, SonicWall SMA, Apache Jena, VMware Tools, AWS Client VPN, TP‑Link NVR, Salesforce Tableau Server… Danh sách rất dài và cần vá ngay lập tức.
• Cuộc tấn công lừa đảo Telegram và tiền ảo: Hơn 12.500 trang web giả mạo Telegram và Fragment nhằm chiếm OTP và đăng nhập. Tấn công lan rộng tại nhiều quốc gia, bao gồm Việt Nam .
• Bán lậu Bitcoin trong nội bộ NCA Anh: Paul Chowles bị kết án 5,5 năm tù sau khi đánh cắp Bitcoin từ Silk Road trong nội bộ cơ quan. Anh này che dấu dấu vết bằng chuyển tiền vào dịch vụ trộn Bitcoin .
• Anh trừng phạt GRU Nga: Trừng phạt ba đơn vị tình báo công khai hoạt động mạng độc hại (APT28, Cadet Blizzard, Sandworm) và sáng kiến mạng xã hội ở Tây Phi .
• Luật cấm trả tiền chuộc ransomware ở Anh: Dự luật cấm cơ quan công và hạ tầng quan trọng trả tiền chuộc; phạt đến £100k/ngày hoặc 10% doanh thu nếu không báo cáo tấn công .
• Lumma Stealer phục hồi sau triệt phá: Nhóm lấy lại hoạt động chỉ vài tuần sau khi bị triệt phá, chuyển sang tên miền tại Nga và giảm dùng Cloudflare để tránh phát hiện .
• Ransomware Interlock nhắm vào Bắc Mỹ, châu Âu: Từ tháng 9/2024, sử dụng tải xuống tự động và clickbait để phát tán Cobalt Strike, NodeSnake RAT, Stealer để tống tiền kép .
• Apple cảnh báo người Iran bị spyware: Apple thông báo cho hơn chục người Iran bị mục tiêu phần mềm gián điệp chính phủ; bao gồm bất đồng chính kiến và nhân viên công nghệ .
• Botnet SVF nhắm server Linux: SVF Bot dùng Python xâm nhập server thiếu quản lý để thực hiện DDoS qua Discord Bot Token, hỗ trợ L7 HTTP Flood và L4 UDP Flood .
• Snake Keylogger tấn công công ty Thổ Nhĩ Kỳ: Gửi email giả mạo Turkish Aerospace, nhúng PowerShell để tránh Windows Defender, đánh cắp cookie, tài chính .
• Kỹ sư Mỹ-Trung Quốc ăn cắp bí mật tên lửa: Gong chuyển 3.600 tệp mật vụ mà doanh nghiệp phát triển cho Mỹ phục vụ phát hiện tên lửa; bị bắt, dự kiến tuyên án 29/9/2025 .
• FBI cảnh báo nhóm IRL Com cung cấp “dịch vụ bạo lực thuê”: Bao gồm bắt cóc, đâm dao, swatting; nhóm liên quan hacker Com và Extortion Com .
• Triệt phá nhóm lừa đảo ATM ở Tây Âu: Gian lận đảo ngược giao dịch qua ATM, lấy €580.000 (~681.000 đô la) từ máy ATM; đồng thời Ollie Holman bị kết án vì bán công cụ lừa đảo 100 triệu £ khoảng 134 triệu USD .
• Chuỗi cung ứng bị hack tại Endgame Gear: Phần mềm OP1w 4k v2 bị chèn malware Xred trong khoảng 26/6 đến 9/7/2025; không ảnh hưởng dữ liệu khách hàng theo hãng công bố .
• Chiến dịch WEEVILPROXY lừa người dùng tiền ảo: Qua quảng cáo giả Binance, Kraken… nhắm Việt Nam và Đông Nam Á từ tháng 3/2024 để đánh cắp và rút tiền điện tử .
• VMDetector Loader phát tán Formbook qua ảnh JPG: Hình ảnh được gửi qua email, chứa payload Formbook ẩn trong dữ liệu điểm ảnh .
• Mount Binary tấn công camera Hikvision: Khai thác CVE‑2021‑36260 để mount chia sẻ NFS từ xa và thực thi mã từ đó .
• Kỹ thuật BYOVD lợi dụng driver dễ tổn thương: Trình điều khiển Windows đã ký nhưng dễ bị lỗi bị dùng để leo đặc quyền kernel, vô hiệu hóa EDR .
• Bề mặt tấn công gia tăng: Nửa đầu 2025, cổng bị lộ tăng 27%, OT tăng 35%, lỗi bảo mật công khai tăng từ 3 lên 7 lỗ hổng mỗi tổ chức .
• Ngân hàng Pasargad từng bị tấn công năm 6/2025: Chiến dịch Predatory Sparrow liên quan xung đột Iran‑Israel khiến Pasargad và Sepah, Nobitex bị ảnh hưởng .

Đọc chi tiết tại đây: https://thehackernews.com/2025/07/weekly-recap-sharepoint-breach-spyware.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview