Điểm tin an ninh mạng: Lỗ hổng Azure, chiến dịch lừa đảo FIFA và các mối đe dọa mới

Tuần qua, cộng đồng an ninh mạng tiếp tục đối mặt với hàng loạt chiến dịch tấn công tinh vi, từ các lỗ hổng zero-day trong hạ tầng cloud cho đến các chiến dịch phishing quy mô lớn lợi dụng sự kiện thể thao toàn cầu.

Table Of Content

1. Lỗ hổng leo thang đặc quyền trên Azure Kubernetes Service (AKS)
2. Chiến dịch lừa đảo xoay quanh FIFA World Cup 2026
3. Cảnh báo về nhóm Silent Ransom Group (SRG)
4. Mối đe dọa từ Kali365 và các phần mềm độc hại mới
5. Cập nhật bảo mật từ Anthropic và Apple
6. Các thông tin đáng chú ý khác

1. Lỗ hổng leo thang đặc quyền trên Azure Kubernetes Service (AKS)

Nhà nghiên cứu bảo mật Justin O’Leary đã phát hiện một lỗ hổng nghiêm trọng trong Azure Backup cho AKS. Lỗ hổng này cho phép người dùng chỉ có quyền ‘Backup Contributor’ có thể chiếm quyền cluster-admin trên bất kỳ cụm AKS nào. Dù Microsoft từng bác bỏ báo cáo này, nhưng các bản vá và cơ chế kiểm tra bổ sung đã được âm thầm triển khai sau đó.

2. Chiến dịch lừa đảo xoay quanh FIFA World Cup 2026

Sự kiện World Cup 2026 đang trở thành miếng mồi ngon cho tội phạm mạng. Các chiến dịch malvertising, cửa hàng trực tuyến giả mạo và các trang web phishing đang bùng nổ. Đáng chú ý là chiến dịch ‘GHOST STADIUM’ sử dụng hơn 300 tên miền giả mạo trang web chính thức của FIFA, lợi dụng luồng xác thực SSO để đánh cắp thông tin đăng nhập của người dùng.

3. Cảnh báo về nhóm Silent Ransom Group (SRG)

FBI cảnh báo các công ty luật tại Mỹ đang là mục tiêu hàng đầu của nhóm Silent Ransom Group (còn gọi là Luna Moth). Nhóm này sử dụng kỹ thuật social engineering, giả danh nhân viên hỗ trợ IT để tiếp cận máy tính nạn nhân, sau đó trích xuất dữ liệu trực tiếp thông qua các công cụ điều khiển từ xa hoặc thậm chí là truy cập vật lý.

4. Mối đe dọa từ Kali365 và các phần mềm độc hại mới

Nền tảng Phishing-as-a-Service (PhaaS) mới mang tên Kali365 đang nhắm vào môi trường Microsoft 365, cho phép kẻ tấn công chiếm đoạt OAuth token để bypass MFA. Bên cạnh đó, các nhà nghiên cứu cũng phát hiện mạng lưới tiện ích mở rộng Chrome ‘WaSteal’ đánh cắp dữ liệu WhatsApp và kỹ thuật ‘GhostTree’ lợi dụng NTFS junctions để vô hiệu hóa các công cụ quét endpoint.

5. Cập nhật bảo mật từ Anthropic và Apple

Anthropic đã tích hợp tính năng tự động rà soát mã nguồn (security-guidance plugin) vào Claude AI, giúp phát hiện các lỗ hổng như injection hoặc unsafe deserialization ngay trong quá trình lập trình. Trong khi đó, Apple đã công bố các triển khai mật mã hậu lượng tử (PQC) trong corecrypto, chuẩn bị cho các tiêu chuẩn bảo mật tương lai.

6. Các thông tin đáng chú ý khác

C2 Infrastructure: Hơn 1.350 máy chủ C2 đã được xác định tại khu vực Trung Đông, chủ yếu tập trung vào các botnet IoT.
DAEMON Tools: CISA đã đưa lỗ hổng trong chuỗi cung ứng của DAEMON Tools (CVE-2026-8398) vào danh mục KEV sau khi các tệp tin thực thi bị trojan hóa.
Tội phạm mạng: Một đối tượng người Romania đã bị kết án 56 tháng tù tại Mỹ vì các hoạt động tấn công mạng và bán quyền truy cập trái phép vào hệ thống chính phủ.

Nguồn tham khảo: The Hacker News