Điểm tin an ninh mạng: AI bị lạm dụng, mã độc tinh vi và làn sóng tấn công mới

Bức tranh an ninh mạng toàn cầu đang trở nên phức tạp hơn bao giờ hết khi các tác nhân đe dọa liên tục cập nhật phương thức tấn công. Từ việc lạm dụng các công cụ quản trị từ xa (RMM) đến việc tích hợp AI vào quy trình phát triển mã độc, dưới đây là những điểm tin quan trọng mà các chuyên gia bảo mật cần lưu ý.

Table Of Content

1. Lỗ hổng nghiêm trọng trên Cisco Unified Communications Manager
2. Sự trỗi dậy của AI trong phát triển mã độc
3. Malware “ẩn mình” trên Steam
4. Lạm dụng công cụ RMM và các chiến dịch DriveSurge
5. Tình hình các diễn đàn tội phạm mạng
6. Xu hướng tống tiền bằng dữ liệu (Data-only Extortion)
7. Cảnh báo từ CISA về lỗ hổng Linux

1. Lỗ hổng nghiêm trọng trên Cisco Unified Communications Manager

Cisco đã phát hành bản vá cho lỗ hổng CVE-2026-20230 (điểm CVSS 8.6), cho phép kẻ tấn công thực hiện SSRF (Server-Side Request Forgery) mà không cần xác thực. Lỗ hổng này xuất phát từ việc kiểm tra đầu vào không đúng cách, cho phép kẻ tấn công ghi file vào hệ điều hành và leo thang đặc quyền lên root. Người dùng được khuyến cáo cập nhật lên phiên bản 14SU6 hoặc 15SU5.

2. Sự trỗi dậy của AI trong phát triển mã độc

Các nhóm tấn công đang sử dụng AI để tự động hóa việc dò quét Active Directory và tinh chỉnh các kỹ thuật bypass EDR. Một khung làm việc (framework) mới đã được phát hiện, sử dụng các công cụ như Cursor và Anthropic Claude Opus để tạo payload bằng Go và Rust, giúp vượt qua các cơ chế kiểm tra sandbox và antivirus.

3. Malware “ẩn mình” trên Steam

Một chiến dịch mã độc mới đang lợi dụng phần bình luận trên hồ sơ cộng đồng Steam để lưu trữ payload cho các trang web WordPress. Bằng cách sử dụng các ký tự Unicode ẩn, mã độc này thực hiện steganography để tránh bị phát hiện, sau đó thiết lập một backdoor cho phép thực thi mã từ xa (RCE) thông qua các yêu cầu POST chứa mã PHP đã được base64-encode.

4. Lạm dụng công cụ RMM và các chiến dịch DriveSurge

Các công cụ quản trị từ xa như Tiflux, UltraVNC, và Splashtop đang bị lạm dụng để duy trì sự hiện diện (persistence) trong hệ thống nạn nhân. Song song đó, chiến dịch DriveSurge đang sử dụng kỹ thuật ClickFix và FakeUpdates thông qua hệ thống phân phối lưu lượng (TDS) để lây nhiễm mã độc trên quy mô lớn.

5. Tình hình các diễn đàn tội phạm mạng

Sau khi diễn đàn XSS bị triệt phá vào năm 2025, hệ sinh thái tội phạm mạng đã phân mảnh thành nhiều nhóm nhỏ hơn và khó theo dõi hơn. Các diễn đàn mới như DamageLib hay Rehub đang nhanh chóng lấp đầy khoảng trống, tạo ra những thách thức mới cho các cơ quan thực thi pháp luật.

6. Xu hướng tống tiền bằng dữ liệu (Data-only Extortion)

Các chiến dịch tống tiền không cần dùng đến ransomware đang gia tăng. Thay vào đó, kẻ tấn công tập trung vào việc đánh cắp dữ liệu nhạy cảm để gây áp lực lên nạn nhân. Các lĩnh vực như xây dựng, y tế và dịch vụ chuyên nghiệp đang trở thành mục tiêu hàng đầu do sở hữu nhiều tài liệu đấu thầu và dữ liệu tài chính giá trị.

7. Cảnh báo từ CISA về lỗ hổng Linux

CISA đã đưa lỗ hổng CVE-2022-0492 (liên quan đến Linux Kernel) vào danh mục các lỗ hổng bị khai thác thực tế (KEV). Lỗ hổng này cho phép leo thang đặc quyền thông qua tính năng release_agent của cgroups v1, yêu cầu các cơ quan chính phủ phải ưu tiên xử lý ngay lập tức.

Nguồn tham khảo: The Hacker News