-
09/04/2020
-
109
-
998 bài viết
Tháng 6 không bình yên: "Sinh tồn" giữa rừng mã độc và zero-day
Chúng ta đã đi qua nửa chặng đường của năm 2025 và thật tiếc, tin vui không đến từ mặt trận an ninh mạng. Thay vào đó, các lỗ hổng zero-day vẫn nở rộ như hoa, các chiến dịch tấn công mọc lên như nấm và mã độc thì ngày một sáng tạo nhưng là theo hướng… nguy hiểm hơn.
Thế nên, trong bối cảnh "tấn công thì nhiều mà thời gian thì ít", việc tổng hợp nhanh các tiêu điểm an ninh mạng sẽ giúp bạn chủ động nhận diện rủi ro, phân loại đe dọa và ra quyết định xử lý kịp thời thay vì chạy theo khủng hoảng sau khi thiệt hại đã xảy ra.
Và để bạn không bị "ngợp" giữa rừng sự kiện, dưới đây là bản tin tổng hợp tháng 6 do WhiteHat thực hiện chia theo ba nhóm dễ hiểu, dễ nhớ nhưng không hề dễ xem nhẹ:
Nổi bật là phần mềm gián điệp Graphite, khai thác lỗ hổng trên iOS để cài mã độc không cần tương tác và chiến dịch ForumTroll dùng zero-day trong Chrome để cấy backdoor Trinper được mã hóa nhiều lớp.
Trên mặt trận chuỗi cung ứng, gói độc hại “chimera-sandbox-extensions” trên kho PyPI đã bị phát hiện với khả năng đánh cắp token AWS và dữ liệu CI/CD từ hệ thống phát triển. Song song đó, một chiến dịch riêng biệt nhắm vào Amazon EKS đã khai thác quyền container cao, sử dụng sniffing và API spoofing để chiếm đoạt thông tin đăng nhập và mở rộng quyền truy cập trong môi trường cloud.
Về phía người dùng, chiến dịch giả mạo chatbot DeepSeek-R1 thông qua quảng cáo Google Ads đã lừa nạn nhân tải về phần mềm chứa mã độc BrowserVenom. Implant này âm thầm chỉnh sửa cấu hình trình duyệt và theo dõi hoạt động người dùng. Song song đó, hơn 20 ứng dụng giả mạo ví tiền điện tử trên Google Play cũng bị phát hiện, sử dụng WebView kết hợp với giao diện phishing để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm.
Cuối cùng, chiến dịch OneClik nhắm vào ngành năng lượng và dầu khí, lợi dụng công nghệ ClickOnce và backdoor viết bằng Golang. Kẻ tấn công gửi email lừa đảo dẫn đến website giả, từ đó tải phần mềm độc hại qua loader OneClikNet và kích hoạt RunnerBeacon qua kỹ thuật tiêm mã. Chiến dịch được cho là liên quan các nhóm APT Trung Quốc, Triều Tiên, sử dụng kỹ thuật tàng hình, khai thác lỗ hổng zero-day và BYOVD để tránh bị phát hiện và tấn công hiệu quả.
Một chiến dịch đáng chú ý sử dụng kỹ thuật steganography, ẩn payload mã hóa Base64 bên trong ảnh JPEG, kèm kỹ thuật obfuscation để vượt qua cơ chế phát hiện, trong đó mã độc .NET được giấu sau marker EOI.
Trên thiết bị di động, SpyNote tiếp tục lẩn tránh bằng cách ngụy trang thành ứng dụng hợp pháp, đánh cắp dữ liệu và điều khiển thiết bị từ xa. Đồng thời, SparkKitty, mã độc mới được Kaspersky phát hiện, có khả năng đánh cắp seed phrase từ ảnh chụp màn hình ví tiền điện tử thông qua OCR (Google ML Kit).
Trong hệ sinh thái Linux, Prometei botnet vẫn tiếp tục lan rộng nhờ khả năng tự cập nhật, ẩn mình bằng UPX và khai thác tài nguyên đào tiền mã hóa.
Cuối cùng, chiến dịch tinh vi nhắm vào cộng đồng Minecraft đã lợi dụng các mod giả mạo trên GitHub để phát tán mã độc đa giai đoạn. Khi người chơi cài đặt và chạy mod, một file JAR độc hại sẽ âm thầm tải về stealer viết bằng .NET nhằm đánh cắp thông tin cá nhân, tài khoản Discord, ví tiền điện tử và nhiều dữ liệu nhạy cảm khác. Dữ liệu sau đó được gửi về kẻ tấn công qua Discord webhook - một kỹ thuật phổ biến nhưng khó phát hiện nếu không giám sát lưu lượng mạng.
Không có hệ thống nào tuyệt đối an toàn nhưng bạn hoàn toàn có thể giảm thiểu rủi ro bằng cách: cập nhật phần mềm thường xuyên, cảnh giác trước các file lạ và suy nghĩ kỹ trước khi click chuột.
An ninh mạng không phải chuyện xa vời hay chỉ dành cho bộ phận IT. Đó là thói quen sống còn trong thế giới số hiện đại, nơi chỉ một file .url giả, một plugin cài sai cách… cũng có thể khiến bạn trả giá đắt.
Thế nên, trong bối cảnh "tấn công thì nhiều mà thời gian thì ít", việc tổng hợp nhanh các tiêu điểm an ninh mạng sẽ giúp bạn chủ động nhận diện rủi ro, phân loại đe dọa và ra quyết định xử lý kịp thời thay vì chạy theo khủng hoảng sau khi thiệt hại đã xảy ra.
Và để bạn không bị "ngợp" giữa rừng sự kiện, dưới đây là bản tin tổng hợp tháng 6 do WhiteHat thực hiện chia theo ba nhóm dễ hiểu, dễ nhớ nhưng không hề dễ xem nhẹ:
- Các lỗ hổng nghiêm trọng
- Các chiến dịch tấn công nổi bật
- Mã độc và kỹ thuật lây nhiễm mới
1. Các lỗ hổng nghiêm trọng
1.1. Lỗ hổng thực thi mã từ xa (RCE)
- CVE-2025-33053, điểm CVSS 8,8 là lỗ hổng nghiêm trọng trong cách Windows xử lý file shortcut .url, cho phép kẻ tấn công kiểm soát đường dẫn đến tài nguyên từ xa. Khi người dùng mở file .url độc hại, hệ thống có thể thực thi mã từ máy chủ do attacker kiểm soát, dẫn đến Remote Code Execution (RCE). Lỗ hổng ảnh hưởng đến nhiều phiên bản Windows và thường bị khai thác qua phishing.
- CVE-2025-2783 là lỗ hổng nghiêm trọng trong thành phần Mojo IPC của Google Chrome trên Windows (trước bản 134.0.6998.177), bắt nguồn từ việc xử lý sai "handle" trong một số tình huống nhất định. Kẻ tấn công có thể gửi tệp độc hại để thoát khỏi sandbox, mở đường cho việc thực thi mã bên ngoài vùng cách ly. Dù không phải RCE độc lập, lỗ hổng này đóng vai trò quan trọng trong chuỗi khai thác nhằm chiếm quyền điều khiển hệ thống.
- CVE-2025-49709 xuất phát từ lỗi trong quá trình xử lý canvas, có thể dẫn đến hỏng bộ nhớ khi vẽ đồ họa phức tạp. Trong khi đó, CVE-2025-49710 là lỗi tràn số nguyên trong cấu trúc OrderedHashTable của JavaScript engine, cho phép thao túng bộ nhớ trong quá trình thực thi mã JavaScript. Cả hai đều có thể bị lợi dụng thông qua nội dung web độc hại, ảnh hưởng trực tiếp đến người dùng.
- Hàng loạt lỗ hổng ảnh hưởng đến Apex Central và Endpoint Encryption (PolicyServer) cho phép thực thi mã từ xa (RCE) và bỏ qua xác thực trước khi đăng nhập. Trong PolicyServer, các lỗ hổng từ CVE-2025-49212 đến 49217 liên quan đến deserialization không an toàn và xử lý token sai, cho phép thực thi mã với quyền SYSTEM hoặc truy cập như admin mà không cần xác thực. Tương tự, CVE-2025-49219 và 49220 trong Apex Central cũng cho phép RCE với quyền NETWORK SERVICE thông qua dữ liệu đầu vào độc hại. Tất cả đều là lỗ hổng tiền xác thực, dễ bị khai thác qua mạng và có thể gây ảnh hưởng nghiêm trọng nếu không được cập nhật kịp thời.
- CVE-2023-28771, điểm CVSS 9,8 là lỗ hổng do xử lý thông báo lỗi không đúng cách trong firmware của các thiết bị Zyxel (ZyWALL/USG, VPN, USG FLEX, ATP) từ phiên bản 4.60 đến 5.35. Kẻ tấn công không cần xác thực có thể gửi các gói tin được tạo đặc biệt đến thiết bị bị ảnh hưởng, từ đó thực thi một số lệnh hệ điều hành từ xa. Lỗ hổng khai thác qua giao thức IKEv2 (UDP port 500), đặc biệt nguy hiểm nếu thiết bị công khai cổng VPN ra internet.
1.2. Leo thang đặc quyền
- CVE-2025-33073, điểm CVSS 8,8 là lỗ hổng leo thang đặc quyền (Elevation of Privilege - EoP) trong Windows SMB Client, bắt nguồn từ kiểm soát truy cập không đúng cách. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách dụ máy nạn nhân kết nối đến một máy chủ SMB độc hại, từ đó nâng quyền truy cập lên SYSTEM - cấp cao nhất trong hệ thống. Lỗ hổng ảnh hưởng đến nhiều phiên bản Windows (10, 11, Server) và có thể bị khai thác từ xa trong mạng nội bộ hoặc qua các tấn công gián tiếp như phishing.
- Hai lỗ hổng nghiêm trọng CVE-2025-6018 và CVE-2025-6019 có thể kết hợp để leo thang đặc quyền lên root trên hầu hết hệ điều hành Linux phổ biến. Lỗi cấu hình PAM trên SUSE cho phép gán quyền “allow_active” cho người dùng SSH, từ đó khai thác dịch vụ udisks để thực thi mã với quyền root. Kẻ tấn công có thể kiểm soát hoàn toàn hệ thống chỉ trong vài giây.
1.3. Lỗi xác thực và kiểm soát truy cập
- CVE-2025-3102, điểm CVSS 8,1 là lỗ hổng xác thực nghiêm trọng trong plugin SureTriggers cho WordPress (tới bản 1.0.78), cho phép tạo tài khoản quản trị mà không cần đăng nhập. Nguyên nhân do thiếu kiểm tra giá trị rỗng của secret_key trong hàm autheticate_user. Nếu plugin được cài đặt nhưng chưa cấu hình API key, kẻ tấn công có thể khai thác để chiếm quyền điều khiển website.
- CVE-2025-6709, điểm CVSS 7,5 là lỗ hổng từ chối dịch vụ (DoS) trong MongoDB Server, liên quan đến xử lý sai các giá trị ngày tháng trong JSON khi sử dụng OIDC authentication. Kẻ tấn công có thể gửi payload JSON độc hại qua mongo shell, gây lỗi bất biến và làm sập server.
- Một loạt lỗ hổng Bluetooth nghiêm trọng, gồm CVE-2025-20700, 20701, và 20702, ảnh hưởng đến 29 thiết bị âm thanh từ các hãng như Sony, Bose, JBL, Marshall... có thể bị khai thác để nghe lén hoặc đánh cắp dữ liệu nhạy cảm. Nguyên nhân chủ yếu do thiếu xác thực trong các dịch vụ GATT và Bluetooth BR/EDR, cùng với chức năng không cần thiết trong các giao thức tùy chỉnh. Dù việc khai thác đòi hỏi kỹ thuật cao, các nhà nghiên cứu đã chứng minh khả năng nghe trộm nội dung đang phát từ tai nghe của nạn nhân, đặt ra mối đe dọa nghiêm trọng với quyền riêng tư.
2. Các chiến dịch tấn công nổi bật
Tháng 6/2025 chứng kiến loạt chiến dịch tấn công mạng với quy mô và độ tinh vi ngày càng tăng, nhắm đến cả người dùng cá nhân lẫn hệ thống doanh nghiệp. Nhiều chiến dịch lợi dụng lỗ hổng zero-day, tấn công zero-click, chuỗi cung ứng và hạ tầng cloud vượt qua các lớp bảo vệ truyền thống.Nổi bật là phần mềm gián điệp Graphite, khai thác lỗ hổng trên iOS để cài mã độc không cần tương tác và chiến dịch ForumTroll dùng zero-day trong Chrome để cấy backdoor Trinper được mã hóa nhiều lớp.
Trên mặt trận chuỗi cung ứng, gói độc hại “chimera-sandbox-extensions” trên kho PyPI đã bị phát hiện với khả năng đánh cắp token AWS và dữ liệu CI/CD từ hệ thống phát triển. Song song đó, một chiến dịch riêng biệt nhắm vào Amazon EKS đã khai thác quyền container cao, sử dụng sniffing và API spoofing để chiếm đoạt thông tin đăng nhập và mở rộng quyền truy cập trong môi trường cloud.
Về phía người dùng, chiến dịch giả mạo chatbot DeepSeek-R1 thông qua quảng cáo Google Ads đã lừa nạn nhân tải về phần mềm chứa mã độc BrowserVenom. Implant này âm thầm chỉnh sửa cấu hình trình duyệt và theo dõi hoạt động người dùng. Song song đó, hơn 20 ứng dụng giả mạo ví tiền điện tử trên Google Play cũng bị phát hiện, sử dụng WebView kết hợp với giao diện phishing để đánh cắp thông tin đăng nhập và dữ liệu nhạy cảm.
Cuối cùng, chiến dịch OneClik nhắm vào ngành năng lượng và dầu khí, lợi dụng công nghệ ClickOnce và backdoor viết bằng Golang. Kẻ tấn công gửi email lừa đảo dẫn đến website giả, từ đó tải phần mềm độc hại qua loader OneClikNet và kích hoạt RunnerBeacon qua kỹ thuật tiêm mã. Chiến dịch được cho là liên quan các nhóm APT Trung Quốc, Triều Tiên, sử dụng kỹ thuật tàng hình, khai thác lỗ hổng zero-day và BYOVD để tránh bị phát hiện và tấn công hiệu quả.
3. Mã độc và kỹ thuật lây nhiễm mới
Những kỹ thuật này cho thấy xu hướng malware hiện đại: ẩn mình sâu, lây nhiễm tinh vi và khó phát hiện đòi hỏi hệ thống giám sát phải nhạy bén hơn bao giờ hết.Một chiến dịch đáng chú ý sử dụng kỹ thuật steganography, ẩn payload mã hóa Base64 bên trong ảnh JPEG, kèm kỹ thuật obfuscation để vượt qua cơ chế phát hiện, trong đó mã độc .NET được giấu sau marker EOI.
Trên thiết bị di động, SpyNote tiếp tục lẩn tránh bằng cách ngụy trang thành ứng dụng hợp pháp, đánh cắp dữ liệu và điều khiển thiết bị từ xa. Đồng thời, SparkKitty, mã độc mới được Kaspersky phát hiện, có khả năng đánh cắp seed phrase từ ảnh chụp màn hình ví tiền điện tử thông qua OCR (Google ML Kit).
Trong hệ sinh thái Linux, Prometei botnet vẫn tiếp tục lan rộng nhờ khả năng tự cập nhật, ẩn mình bằng UPX và khai thác tài nguyên đào tiền mã hóa.
Cuối cùng, chiến dịch tinh vi nhắm vào cộng đồng Minecraft đã lợi dụng các mod giả mạo trên GitHub để phát tán mã độc đa giai đoạn. Khi người chơi cài đặt và chạy mod, một file JAR độc hại sẽ âm thầm tải về stealer viết bằng .NET nhằm đánh cắp thông tin cá nhân, tài khoản Discord, ví tiền điện tử và nhiều dữ liệu nhạy cảm khác. Dữ liệu sau đó được gửi về kẻ tấn công qua Discord webhook - một kỹ thuật phổ biến nhưng khó phát hiện nếu không giám sát lưu lượng mạng.
Tạm kết
Khi mã độc ngày càng tinh vi và các lỗ hổng xuất hiện dày đặc, tấn công mạng không còn là vấn đề riêng của doanh nghiệp lớn. Từ ví điện tử cá nhân, trình duyệt bạn đang dùng, đến Minecraft bạn tải về - mọi người đều có thể trở thành mục tiêu.Không có hệ thống nào tuyệt đối an toàn nhưng bạn hoàn toàn có thể giảm thiểu rủi ro bằng cách: cập nhật phần mềm thường xuyên, cảnh giác trước các file lạ và suy nghĩ kỹ trước khi click chuột.
An ninh mạng không phải chuyện xa vời hay chỉ dành cho bộ phận IT. Đó là thói quen sống còn trong thế giới số hiện đại, nơi chỉ một file .url giả, một plugin cài sai cách… cũng có thể khiến bạn trả giá đắt.
WhiteHat
Chỉnh sửa lần cuối: