-
16/07/2025
-
1
-
13 bài viết
Tin tặc lợi dụng tệp lịch để tấn công, nguy cơ vượt qua mọi lớp bảo mật email
Một xu hướng tấn công mạng mới đang lan nhanh trên toàn cầu khi tin tặc lợi dụng tệp lịch iCalendar (.ics) để phát tán mã độc, đánh cắp dữ liệu và khai thác lỗ hổng zero-day với khả năng có thể vượt qua hầu hết hệ thống bảo mật email hiện nay. Từ đầu năm 2024 đến 2025, nhiều hãng bảo mật quốc tế ghi nhận sự gia tăng đột biến của loại hình tấn công này vốn từng bị xem là “vô hại”.
(Ảnh: Cyber Security News)
Theo nhiều báo cáo quốc tế (Sublime Security, Cymulate, NCC Group…), tấn công qua tệp .ics đã trở thành hình thức phishing qua email phổ biến thứ ba. Thống kê cho thấy có tới 59% tệp .ics độc hại vượt qua thành công các cổng bảo mật email (SEG).
Các chiến dịch thường gửi lời mời lịch giả, trong đó liên kết độc hại được chèn vào phần mô tả hoặc địa điểm sự kiện. Khi người dùng bấm vào, họ sẽ bị điều hướng tới website giả mạo đăng nhập hoặc tải về tệp mã độc. Nhiều hệ thống lịch còn tự động thêm sự kiện vào lịch cá nhân ngay cả khi email nằm trong thư rác khiến nguy cơ càng khó kiểm soát.
Nghiêm trọng hơn, nhiều ứng dụng như Outlook hay Google Calendar tự động xử lý lời mời, tạo sự kiện nháp trước khi người dùng mở email. Chỉ cần lịch được thêm vào, liên kết độc hại đã có mặt trong thiết bị của nạn nhân mà họ không hay biết.
Một số công cụ bảo mật cho rằng ngay cả khi email độc hại bị chuyển vào thư rác, sự kiện vẫn tồn tại trong lịch tạo ra hai điểm xâm nhập song song, khiến nguy cơ bị lừa đảo tăng mạnh.
(Ảnh: Microsoft)
1. Khai thác lỗ hổng Zimbra (CVE-2025-27915)
Tháng 6/2025, một lỗ hổng zero-day trong Zimbra Collaboration Suite cho phép tin tặc chạy mã JavaScript khi người dùng mở tệp .ics. Chiến dịch tấn công nhắm vào các tổ chức quân sự Brazil với email giả danh cơ quan ngoại giao nước ngoài. Mã độc được mã hóa base64 có khả năng đánh cắp thông tin đăng nhập, theo dõi email và vượt qua xác thực hai lớp.
2. Tin tặc nghi liên quan APT41 lợi dụng Google Calendar
Nhiều hãng bảo mật báo cáo nhóm APT41 đã sử dụng Google Calendar như “máy chủ điều khiển từ xa”, giấu lệnh điều khiển trong phần mô tả sự kiện. Mã độc được cài vào máy nạn nhân thông qua tệp .LNK ngụy trang dưới dạng PDF.
3. Chiến dịch 4.000 lời mời Google Calendar giả
Check Point ghi nhận hơn 300 tổ chức bị tấn công bằng lời mời lịch giả mạo người quen thật. Liên kết trong tệp dẫn đến trang giả của ngân hàng và sàn tiền điện tử để đánh cắp thẻ và mật khẩu.
4. Outlook bị lợi dụng qua lỗ hổng DDE và lỗi mới CVE-2025-32705
Một số lỗ hổng trong Outlook cho phép mã độc chạy chỉ bằng thao tác bấm “Yes” khi xem lời mời. Nạn nhân có thể bị đánh cắp mật khẩu NTLM hoặc bị thực thi mã từ xa.
Nhiều chuyên gia cho rằng đã đến lúc coi tệp .ics như một loại tệp có rủi ro cao. Doanh nghiệp cần:
Tấn công qua tệp .ics đang bùng nổ vì nó đánh vào hai điểm yếu: niềm tin của người dùng vào các nền tảng quen thuộc và sự chủ quan của các hệ thống bảo mật. Với tỷ lệ lọt qua hàng rào bảo vệ gần 60% và ngày càng nhiều chiến dịch nhắm đến tổ chức tài chính, quân sự, chính phủ, tệp .ics đang trở thành công cụ tấn công mới đáng lo ngại.
(Ảnh: Cyber Security News)
Tệp .ics tưởng an toàn nhưng lại trở thành công cụ tấn công
Tệp lịch .ics vốn được xem là tài liệu đơn giản chỉ chứa nội dung văn bản và thường xuyên được dùng để chia sẻ lịch họp trên Outlook, Google Calendar hay Apple iCal. Tuy nhiên, chính sự “đơn giản” này lại khiến nhiều hệ thống bỏ qua việc kiểm tra sâu, tạo cơ hội cho tin tặc chèn liên kết độc hại hoặc mã nhị phân ẩn bên trong.Theo nhiều báo cáo quốc tế (Sublime Security, Cymulate, NCC Group…), tấn công qua tệp .ics đã trở thành hình thức phishing qua email phổ biến thứ ba. Thống kê cho thấy có tới 59% tệp .ics độc hại vượt qua thành công các cổng bảo mật email (SEG).
Các chiến dịch thường gửi lời mời lịch giả, trong đó liên kết độc hại được chèn vào phần mô tả hoặc địa điểm sự kiện. Khi người dùng bấm vào, họ sẽ bị điều hướng tới website giả mạo đăng nhập hoặc tải về tệp mã độc. Nhiều hệ thống lịch còn tự động thêm sự kiện vào lịch cá nhân ngay cả khi email nằm trong thư rác khiến nguy cơ càng khó kiểm soát.
Vì sao tệp lịch dễ dàng vượt qua bảo mật email?
Hầu hết công cụ bảo mật tập trung vào tệp .exe, tài liệu có macro hay tệp nén. Tệp .ics vốn chỉ được phân loại là “text/calendar” lại không bị quét sâu. Tin tặc lợi dụng điều này để nhúng mã độc base64 hoặc tệp đính kèm ẩn mà không bị phát hiện.Nghiêm trọng hơn, nhiều ứng dụng như Outlook hay Google Calendar tự động xử lý lời mời, tạo sự kiện nháp trước khi người dùng mở email. Chỉ cần lịch được thêm vào, liên kết độc hại đã có mặt trong thiết bị của nạn nhân mà họ không hay biết.
Một số công cụ bảo mật cho rằng ngay cả khi email độc hại bị chuyển vào thư rác, sự kiện vẫn tồn tại trong lịch tạo ra hai điểm xâm nhập song song, khiến nguy cơ bị lừa đảo tăng mạnh.
(Ảnh: Microsoft)
Hàng loạt vụ tấn công thực tế từ 2024 - 2025
Các cơ quan an ninh và công ty bảo mật đã ghi nhận nhiều chiến dịch tấn công tinh vi:1. Khai thác lỗ hổng Zimbra (CVE-2025-27915)
Tháng 6/2025, một lỗ hổng zero-day trong Zimbra Collaboration Suite cho phép tin tặc chạy mã JavaScript khi người dùng mở tệp .ics. Chiến dịch tấn công nhắm vào các tổ chức quân sự Brazil với email giả danh cơ quan ngoại giao nước ngoài. Mã độc được mã hóa base64 có khả năng đánh cắp thông tin đăng nhập, theo dõi email và vượt qua xác thực hai lớp.
2. Tin tặc nghi liên quan APT41 lợi dụng Google Calendar
Nhiều hãng bảo mật báo cáo nhóm APT41 đã sử dụng Google Calendar như “máy chủ điều khiển từ xa”, giấu lệnh điều khiển trong phần mô tả sự kiện. Mã độc được cài vào máy nạn nhân thông qua tệp .LNK ngụy trang dưới dạng PDF.
3. Chiến dịch 4.000 lời mời Google Calendar giả
Check Point ghi nhận hơn 300 tổ chức bị tấn công bằng lời mời lịch giả mạo người quen thật. Liên kết trong tệp dẫn đến trang giả của ngân hàng và sàn tiền điện tử để đánh cắp thẻ và mật khẩu.
4. Outlook bị lợi dụng qua lỗ hổng DDE và lỗi mới CVE-2025-32705
Một số lỗ hổng trong Outlook cho phép mã độc chạy chỉ bằng thao tác bấm “Yes” khi xem lời mời. Nạn nhân có thể bị đánh cắp mật khẩu NTLM hoặc bị thực thi mã từ xa.
Nhiều chuyên gia cho rằng đã đến lúc coi tệp .ics như một loại tệp có rủi ro cao. Doanh nghiệp cần:
- Tắt tính năng tự động thêm sự kiện từ người gửi lạ
- Buộc hệ thống email quét sâu tệp .ics kể cả phần ATTACH
- Giám sát bất thường trong hệ thống lịch
- Đào tạo nhân viên về phishing qua lời mời họp
Tấn công qua tệp .ics đang bùng nổ vì nó đánh vào hai điểm yếu: niềm tin của người dùng vào các nền tảng quen thuộc và sự chủ quan của các hệ thống bảo mật. Với tỷ lệ lọt qua hàng rào bảo vệ gần 60% và ngày càng nhiều chiến dịch nhắm đến tổ chức tài chính, quân sự, chính phủ, tệp .ics đang trở thành công cụ tấn công mới đáng lo ngại.
Theo Rapid7, Forbes