Điểm tin an ninh mạng: Cảnh báo ShareFile, mã độc tống tiền DragonForce và các mối đe dọa từ AI
Tuần qua chứng kiến nhiều diễn biến phức tạp trong an ninh mạng: từ lỗ hổng nghiêm trọng trên ShareFile, mã độc tống tiền DragonForce khai thác Citrix Bleed 2, cho đến các kỹ thuật tấn công mới nhắm...
Trong tuần qua, cộng đồng an ninh mạng tiếp tục đối mặt với những thách thức từ các lỗ hổng cũ chưa được vá kịp thời và những kỹ thuật tấn công mới đầy tinh vi. Khoảng cách giữa việc phát hành bản vá (patch) và thời điểm bị khai thác (exploit) đang ngày càng thu hẹp, tạo áp lực lớn lên các đội ngũ vận hành hệ thống.
Table Of Content
Cảnh báo từ Progress về ShareFile
Hãng Progress đã phát đi cảnh báo khẩn cấp, yêu cầu khách hàng tạm dừng hoạt động các máy chủ Windows chạy Storage Zone Controllers do phát hiện mối đe dọa bảo mật từ bên ngoài. Hiện tại, công ty đã tạm thời vô hiệu hóa quyền truy cập vào các tài khoản bị ảnh hưởng để điều tra. Mặc dù chưa có bằng chứng về việc dữ liệu bị rò rỉ, đây được xem là biện pháp phòng ngừa cần thiết.
Các điểm tin đáng chú ý
- Lỗ hổng nghiêm trọng trên Zimbra: Zimbra đã phát hành bản cập nhật cho Classic Web Client nhằm khắc phục lỗ hổng XSS (Cross-Site Scripting). Kẻ tấn công có thể lợi dụng các email được thiết kế đặc biệt để thực thi mã độc, chiếm quyền truy cập vào thông tin hộp thư hoặc dữ liệu phiên làm việc.
- Mã độc Jscrambler trên npm: Gói npm Jscrambler đã bị xâm nhập, phát tán các phiên bản chứa mã độc đánh cắp thông tin (info-stealer) viết bằng Rust, nhắm vào cả Windows, macOS và Linux.
- Chiến dịch SHELLSTORM: Một chiến dịch quy mô lớn đã tấn công hơn 1,4 triệu tên miền thông qua việc khai thác 27 CVE trong các plugin WordPress để cài đặt web shell, từ đó triển khai mã độc VShell.
- Kỹ thuật HalluSquatting: Các nhà nghiên cứu cảnh báo về kỹ thuật HalluSquatting, nơi kẻ tấn công lợi dụng các “ảo giác” của AI để đánh lừa trợ lý lập trình, khiến chúng tự động cài đặt các đoạn mã độc hại vào dự án của người dùng.
- Mã độc GigaWiper: Microsoft vừa công bố chi tiết về GigaWiper, một backdoor có khả năng hủy diệt dữ liệu trên ổ cứng hoặc giả mạo mã độc tống tiền (ransomware) để mã hóa tập tin mà không lưu lại khóa giải mã.
Tấn công khai thác Citrix Bleed 2
Các nhóm tội phạm mạng đang tích cực khai thác lỗ hổng Citrix Bleed 2 (CVE-2025-5777) để triển khai mã độc tống tiền DragonForce. Quy trình tấn công thường bao gồm việc leo thang đặc quyền lên SYSTEM, tạo tài khoản quản trị cục bộ và duy trì sự hiện diện thông qua các công cụ điều khiển từ xa hợp pháp như ScreenConnect. Các chuyên gia khuyến cáo người dùng cần lập tức cập nhật thiết bị NetScaler và kiểm tra nhật ký hệ thống để phát hiện các dấu hiệu bất thường.
Xu hướng tấn công mới
Ngoài các phương thức truyền thống, tội phạm mạng đang mở rộng phạm vi sang hạ tầng AI. Đáng chú ý là việc kẻ tấn công xâm nhập vào các gateway AI (như LiteLLM Proxy) để khai thác tài nguyên tính toán cho mục đích đào tiền ảo. Đồng thời, các chiến dịch phishing nhắm vào lĩnh vực hàng không vũ trụ và các nhóm tống tiền dữ liệu mới như Helix cũng đang cho thấy sự thay đổi trong chiến thuật, tập trung vào việc lạm dụng MFA và kỹ thuật vishing (phishing qua giọng nói).
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.