Bội thực an ninh mạng tháng 7: Người dùng kiệt sức khi phải đối phó

[WhiteHat Team]

Tháng 7/2025 chứng kiến một chuỗi sự kiện an ninh mạng đáng báo động: từ những lỗ hổng cực kỳ nghiêm trọng trong các nền tảng, sản phẩm lớn đến các chiến dịch mã độc tinh vi và ransomware tiến hóa không ngừng. Đặc biệt, người dùng ở Đông Nam Á và Việt Nam đã bị nhắm tới bằng nhiều phương thức tấn công mang tính cá nhân hóa khiến cả người dùng và tổ chức đều kiệt sức.

​

Các lỗ hổng với điểm CVSS từ 9 - 10​

Các lỗ hổng này bị khai thác tập trung vào hai hướng chính: tấn công thẳng vào hạ tầng doanh nghiệp lớn (SharePoint, Cisco, Fortinet, SAP, Apache…) và nhắm vào người dùng cuối (Chrome V8, WordPress, Android). Gần như toàn bộ các lỗ hổng đều cho phép thực thi mã từ xa (RCE) hoặc bypass xác thực, dễ dàng kết hợp với mã độc để triển khai ransomware, RAT hoặc backdoor. Đáng lo ngại, nhiều lỗ hổng đã bị khai thác thực tế, cho thấy mức độ khẩn cấp trong việc cập nhật bản vá và tăng cường phòng thủ.

• Chuỗi lỗ hổng ToolShell CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771 trong Microsoft SharePoint Server với điểm CVSS cao nhất 9,8. Đây là lỗ hổng deserialization dữ liệu không tin cậy kết hợp bypass xác thực, cho phép thực thi mã từ xa (RCE). Kẻ tấn công không cần tài khoản vẫn có thể chèn webshell, đánh cắp MachineKey, leo thang đặc quyền và kiểm soát toàn bộ hệ thống SharePoint.
• Lỗ hổng CVE-2025-20309 trong Cisco Unified Communications Manager (Unified CM/SME) với điểm CVSS 10,0. Đây là lỗ hổng tài khoản tĩnh với quyền root cho phép đăng nhập trực tiếp, thực thi lệnh tuỳ ý, nghe lén cuộc gọi và thay đổi cơ chế xác thực.
• Lỗ hổng CVE-2025-20337, CVE-2025-20281, CVE-2025-20282 trong Cisco Identity Services Engine (ISE/ISE-PIC) với điểm CVSS 10,0. Đây là lỗ hổng RCE không xác thực kèm khả năng ghi đè tệp, cho phép tin tặc cài mã độc hoặc chiếm quyền toàn bộ hệ thống quản lý truy cập mạng.
• Lỗ hổng CVE-2025-34067 trong Hikvision applyCT (HikCentral) với điểm CVSS 10,0. Đây là lỗ hổng deserialization không an toàn, cho phép RCE không xác thực, từ đó chiếm quyền điều khiển hệ thống giám sát và an ninh vật lý.
• Lỗ hổng CVE-2025-24813, CVE-2025-27636, CVE-2025-29891 trong Apache Tomcat & Apache Camel với điểm CVSS 9,8. Đây là lỗ hổng RCE khai thác qua partial PUT (Tomcat) và header injection (Camel), cho phép tin tặc kiểm soát máy chủ web và backend.
• Lỗ hổng CVE-2025-25227 trong FortiWeb. Đây là lỗ hổng SQL Injection qua HTTP Authorization header, cho phép thực thi mã từ xa không xác thực và kiểm soát máy chủ WAF.
• Lỗ hổng CVE-2025-5419 trong Chrome/Chromium (V8). Đây là lỗ hổng out-of-bounds read/write trong V8, cho phép thực thi mã từ xa khi người dùng truy cập trang web độc hại đang bị khai thác như một 0-day.
• Lỗ hổng CVE-2025-31324 trong SAP NetWeaver với điểm CVSS 9,8. Đây là lỗ hổng upload tệp không xác thực, cho phép RCE và cài backdoor vào hệ thống ERP.

Mã độc và biến thể tinh vi​

Ransomware và RAT thế hệ mới

• DragonForce RaaS & biến thể DEVMAN: Cung cấp bộ công cụ tùy biến cho đối tác, tấn công nhiều ngành. DEVMAN mã hóa ghi chú, đổi tên tệp, hoạt động ngoại tuyến, nhắm tệp cục bộ/mạng, có trang rò rỉ riêng (40+ nạn nhân châu Á, châu Phi).
• Remcos RAT: Phát tán qua phishing dùng tệp .pif, bypass UAC, obfuscation script, thêm ngoại lệ Windows Defender.
• XWorm: RAT đa tính năng, tránh phát hiện AMSI/ETW, tiêm shellcode, duy trì qua registry/task scheduler.
• AsyncRAT/DcRat/VenomRAT: Nâng cấp module, mã hóa mạnh, plugin mới như Screamers & USB Spreaders.
• Interlock RAT (NodeSnake): Phát tán qua web CAPTCHA giả, dùng Cloudflare Tunnel che giấu C2.

Stealer và Malware đặc thù

• Lumma, Raven Stealer, DeerStealer, Fickle Stealer, ACRStealer/AmateraStealer: Đánh cắp dữ liệu trình duyệt, ví điện tử, tài liệu nhạy cảm; phát tán qua phishing, game Steam (Chemia), shortcut .lnk.
• RedHook (Android): Giả mạo tổ chức chính phủ Việt Nam, yêu cầu quyền Accessibility & Overlay, điều khiển thiết bị từ xa với 34 lệnh.
• HazyBeacon: DLL side-loading, lợi dụng AWS Lambda/Google Drive để exfil dữ liệu.

Các cuộc tấn công mạng nguy hiểm​

Lạm dụng nền tảng và chuỗi cung ứng

• RedDirection: 18 extension Chrome/Edge bị biến thành trojan, 2,3 triệu người ảnh hưởng.
• GitHub payload hosting: Dùng repo giả mạo chứa Amadey, SmokeLoader, tránh lọc web.
• Trojan ZuRu: Cài vào ứng dụng hợp pháp (Termius) trên macOS qua SEO poisoning.
• Oyster backdoor: Giả mạo PuTTY, KeePass, cài DLL độc, duy trì qua scheduled task.

Chiến dịch kỹ thuật đặc biệt

• TapTrap (Android): Khai thác hoạt ảnh hệ thống để vượt phòng thủ.
• ClickFix: Lợi dụng lỗ hổng Windows 11 để triển khai Rhadamanthys.
• GhostContainer: Nhắm Microsoft Exchange, khai thác CVE-2020-0688, duy trì backdoor không cần kết nối trực tiếp C2.
• Scanception: PDF chứa QR code dẫn tới phishing Adversary-in-the-Middle.
• ClickFake Interview (Lazarus): Lừa tải “driver webcam” chứa GolangGhost RAT, đa nền tảng.

Tháng 7/2025 tạm khép lại với bức tranh an ninh mạng u ám và đầy lo ngại, liệu tháng 8 có khả quan hơn? Những lỗ hổng nghiêm trọng liên tiếp bị khai thác, mã độc và ransomware ngày càng tinh vi, cùng các chiến dịch tấn công nhắm chủ đích vào người dùng Việt Nam và khu vực Đông Nam Á. Để chống lại làn sóng này, người dùng ngay lập tức cập nhật bản vá, tăng cường phòng thủ và chia sẻ thông tin là điều cần thiết, nếu không, bạn sẽ còn phải “mệt mỏi” dài dài.

WhiteHat​