Vào nửa cuối năm 2024, một số tổ chức hoạt động trong lĩnh vực công nghệ thông tin tại Nga cũng như các quốc gia khác đã trải qua một cuộc tấn công mạng đáng chú ý. Những kẻ tấn công đã sử dụng các kỹ thuật độc hại để đánh lừa hệ thống bảo mật và vẫn không bị phát hiện. Để ngụy trang, chúng cung cấp thông tin về payload trên nền tảng mạng xã hội và các trang web phổ biến. Các nhà nghiên cứu của Kaspersky tiến hành phân tích và phát hiện các tin tặc thiết lập một chuỗi thực thi phức tạp cho Cobalt Strike Beacon để giao tiếp với GitHub, Microsoft Learn Challenge, Quora và các mạng xã hội tiếng Nga. Bài viết này sẽ làm rõ chiến dịch tấn công tinh vi này dựa trên báo cáo của Kaspersky.

DeepSeek-R1 là một trong những mô hình ngôn ngữ lớn (LLM) phổ biến nhất hiện nay, tuy nhiên cũng chính vì điều này mà các tác nhân đe dọa đã lợi dụng DeepSeek để thực hiện cài cắm mã độc. Thời gian qua, các tin tặc bắt đầu sử dụng quảng cáo độc hại để khai thác nhu cầu về chatbot. Các nhà nghiên cứu của hãng bảo mật Kaspersky vừa phát hiện một chiến dịch độc hại mới phân phối mã độc thông qua trình cài đặt môi trường LLM DeepSeek-R1 giả mạo. Phần mềm độc hại được phân phối thông qua một trang web lừa đảo ngụy trang thành trang chủ chính thức của DeepSeek. Các cuộc tấn công cuối cùng nhằm mục đích cài đặt BrowserVenom, một phần mềm độc hại có khả năng cấu hình lại tất cả các phiên bản duyệt web, chuyển hướng lưu lượng truy cập thông qua một proxy do các tác nhân đe dọa kiểm soát. Điều này cho phép chúng thao túng lưu lượng truy cập mạng của nạn nhân và thu thập dữ liệu. Dựa trên báo cáo của Kaspersky, bài viết này sẽ cùng phân tích và khám phá DeepSeek-R1.