ĐIỂM TIN TRONG NƯỚC

Thủ tướng Chính phủ ban hành danh mục 11 nhóm công nghệ chiến lược

Thủ tướng Phạm Minh Chính vừa ký Quyết định số 1131/QĐ-TTg ngày 12/6/2025 ban hành danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược.

Theo quyết định của Thủ tướng, danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược có 11 nhóm công nghệ chiến lược với 32 nhóm sản phẩm công nghệ chiến lược. Thủ tướng yêu cầu căn cứ nhu cầu phát triền kinh tế - xã hội, Bộ Khoa học và Công nghệ chủ trì, phối hợp với các bộ, cơ quan ngang bộ có liên quan trình Thủ tướng Chính phủ xem xét, quyết định điều chỉnh, bổ sung Danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược và Nhóm công nghệ chiến lược theo lĩnh vực.

Thủ tướng yêu cầu căn cứ nhu cầu phát triền kinh tế - xã hội, Bộ Khoa học và Công nghệ chủ trì, phối hợp với các bộ, cơ quan ngang bộ có liên quan trình Thủ tướng Chính phủ xem xét, quyết định điều chỉnh, bổ sung Danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược và Nhóm công nghệ chiến lược theo lĩnh vực. Bộ Khoa học và Công nghệ chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an trình Thủ tướng Chính phủ phê duyệt Danh mục công nghệ chiến lược và sản phẩm công nghệ chiến lược phục vụ lĩnh vực quốc phòng, an ninh.

Interpol cùng Việt Nam triệt phá hơn 20.000 địa chỉ IP độc hại

Ngày 11/6, Tổ chức Cảnh sát Hình sự Quốc tế (Interpol) đã công bố việc xóa bỏ hơn 20.000 địa chỉ IP, hoặc tên miền độc hại có liên quan đến 69 biến thể phần mềm độc hại đánh cắp thông tin. Hành động này có tên gọi là Chiến dịch Operation Secure, diễn ra từ tháng 1 - 4/2025, với sự tham gia của các cơ quan thực thi pháp luật từ 26 quốc gia, trong đó có Việt Nam.

Interpol cho biết đã tịch thu 41 máy chủ và hơn 100 GB dữ liệu, hơn 117 máy chủ điều khiển và ra lệnh (C2) được phát hiện tại 89 nhà cung cấp dịch vụ Internet khác nhau, cũng như bắt giữ 32 nghi phạm trên toàn cầu có liên quan đến các hoạt động mạng bất hợp pháp. Việt Nam là quốc gia đóng vai trò quan trọng trong chiến dịch, các cơ quan chức năng đã bắt giữ 18 nghi phạm, tịch thu các thiết bị công nghệ, thẻ SIM, giấy tờ đăng ký kinh doanh và số tiền trị giá 11.500 USD.

Đưa Trung tâm dữ liệu quốc gia đi vào hoạt động từ tháng 8/2025

Thông báo 292/TB-VPCP do Văn phòng Chính phủ ban hành ngày 9/6/2025 đã tổng kết những định hướng quan trọng từ phiên họp thứ hai của Ban Chỉ đạo của Chính phủ, tập trung vào các lĩnh vực then chốt: khoa học, công nghệ, đổi mới sáng tạo, chuyển đổi số và Đề án 06. Đáng chú ý, tại phiên họp Ban Chỉ đạo đã yêu cầu các bộ, ngành, địa phương tập trung xây dựng, hoàn thành và đưa vào khai thác sử dụng Trung tâm dữ liệu quốc gia từ tháng 8 tới đây.

Về phát triển hạ tầng số, kinh tế số, Ban Chỉ đạo yêu cầu các bộ, ngành, địa phương tập trung xây dựng, hoàn thành và đưa vào khai thác sử dụng các cơ sở dữ liệu quốc gia, cơ sở dữ liệu chuyên ngành theo thời hạn quy định tại Nghị quyết số 71/NQ-CP ngày 01/4/2025 của Chính phủ và đồng bộ về Trung tâm dữ liệu quốc gia theo quy định pháp luật. Các bộ, ngành đăng ký sử dụng tài nguyên do Trung tâm dữ liệu quốc gia xây dựng và gửi lộ trình sử dụng hạ tầng về Bộ Công an trước ngày 10/6/2025.

Bộ Công an chủ trì phối hợp với các bộ, ngành địa phương nghiên cứu, đề xuất xây dựng sàn đấu giá tài sản công báo cáo Thủ tướng Chính phủ trước 30/6/2025. Bộ Công an chủ trì, phối hợp Bộ Tài chính và các đơn vị liên quan tổng hợp và công bố bảng mã danh mục dùng chung tại Trung tâm dữ liệu quốc gia để cơ quan, tổ chức, cá nhân tra cứu, khai thác, hoàn thành trước tháng 6/2025.

Phát triển hạ tầng số đồng bộ, hiện đại nhất là phát triển vệ tinh viễn thông, trục viễn thông quốc gia, mở rộng vùng phủ sóng 5G, phát triển hạ tầng IoT, nhất là đưa Trung tâm dữ liệu quốc gia đi vào hoạt động từ tháng 8/2025, đồng thời triển khai đồng bộ, có hiệu quả các cơ sở dữ liệu, hệ thống thông tin tại Trung tâm dữ liệu quốc gia.

Phê duyệt danh sách thành viên Hội đồng Tư vấn quốc gia về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số

Ban Chỉ đạo Trung ương về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số đã ban hành Quyết định số 04-QĐ/HĐTVQG ngày 27/5/2025 của Hội đồng tư vấn quốc gia, phê duyệt danh sách lần thứ nhất thành viên Hội đồng Tư vấn quốc gia về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số.

Theo đó, Hội đồng Tư vấn quốc gia về phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia gồm 18 thành viên, trong đó có 8 nhà khoa học, 3 chuyên gia và 7 doanh nhân. 

Phiên họp thứ 46, Ủy ban Thường vụ Quốc hội: Mỗi người dân, doanh nghiệp cần có một trợ lý ảo

Sáng 9/6, Ủy ban Thường vụ Quốc hội cho ý kiến về việc tiếp thu, giải trình, chỉnh lý dự thảo Luật Công nghiệp công nghệ số. Báo cáo một số vấn đề lớn về việc giải trình, tiếp thu, chỉnh lý dự thảo Luật Công nghiệp công nghệ số, Chủ nhiệm Ủy ban Khoa học, Công nghệ và Môi trường Lê Quang Huy cho biết: Tiếp thu ý kiến đại biểu Quốc hội, dự thảo Luật đã được rà soát, chuyển nội dung quy định liên quan đến ưu đãi thuế thu nhập doanh nghiệp, ưu đãi đầu tư trong dự thảo Luật Công nghiệp công nghệ số về quy định tại dự thảo Luật Thuế thu nhập doanh nghiệp, dự thảo Luật sửa đổi, bổ sung 7 luật.

Đánh giá cao dự thảo Luật đã chỉnh lý theo hướng khuyến khích phát triển trí tuệ nhân tạo, lấy con người làm trung tâm; bổ sung các tiêu chí quản lý rủi ro và dấu hiệu nhận dạng rõ ràng cho sản phẩm trí tuệ nhân tạo, Chủ tịch Quốc hội Trần Thanh Mẫn nhấn mạnh, việc xây dựng luật là hết sức kịp thời, với mong muốn đẩy mạnh chuyển đổi số quốc gia, phát triển trí tuệ nhân tạo, mỗi người dân, doanh nghiệp có một trợ lý ảo.

“Để công nghiệp công nghệ số phát triển mạnh mẽ phải được sự ủng hộ từ người dân; người dân cung cấp dữ liệu, các tổ chức, đơn vị liên quan cung cấp dữ liệu mới có công nghiệp công nghệ số ở mỗi địa phương, mỗi ngành, mỗi lĩnh vực”, Chủ tịch Quốc hội nhấn mạnh.

ĐIỂM TIN QUỐC TẾ

Phần mềm gián điệp Graphite được sử dụng trong các cuộc tấn công Zero-Click nhắm vào các nhà báo

Mới đây, các nhà nghiên cứu tại nhóm bảo mật Citizen Lab thuộc Trường Đại học Toronto (Mỹ) đã phát hiện sự xuất hiện của Graphite, phần mềm gián điệp này đã được các tác nhân đe dọa sử dụng trong các cuộc tấn công Zero-Click nhắm vào các thiết bị Apple iOS, với đối tượng nhắm đến là hai nhà báo ở châu Âu.

Kẻ tấn công đã sử dụng nền tảng phần mềm gián điệp Graphite để nhắm vào các thiết bị iPhone của nạn nhân đang chạy iOS 18.2.1, đồng thời khai thác CVE-2025-43200, đây là lỗ hổng bảo mật zero-day vào thời điểm đó. Theo phân tích của Citizen Lab, vector phân phối của Graphite là iMessage. Kẻ tấn công đã sử dụng một tài khoản, được gắn nhãn chung là ATTACKER1 (trong nghiên cứu), để gửi các tin nhắn được thiết kế đặc biệt nhằm khai thác lỗ hổng CVE-2025-43200, từ đó thực thi mã tùy ý. Điều này giúp phát tán phần mềm gián điệp mà không cần bất kỳ tương tác nào từ mục tiêu, được gọi là cuộc tấn công Zero-Click và không tạo ra bất kỳ dấu hiệu rõ ràng nào để cảnh báo nạn nhân.

Khi hoạt động, phần mềm gián điệp sẽ liên hệ với máy chủ điều khiển và ra lệnh (C2) để nhận thêm hướng dẫn. Trong trường hợp được Citizen Lab xác nhận, điện thoại bị lây nhiễm đã kết nối với địa chỉ: https://46[.]183[.]184[.]91, một VPS được liên kết với cơ sở hạ tầng của Paragon (công ty phát triển phần mềm Graphite của Israel). Địa chỉ IP này được lưu trữ trên EDIS Global và hoạt động ít nhất cho đến ngày 12/4.

Sập hệ thống Google Cloud khiến hàng loạt dịch vụ ngừng hoạt động

Rạng sáng ngày 13/6, Google Cloud Platform (GCP) gặp sự cố, kéo theo đó là sự gián đoạn của nhiều nền tảng dịch vụ phở biến như OpenAI, Discord, Snapchat và Shopify. Theo đó, sự cố xảy ra lúc 10h51 ngày 12/6 giờ Thái Bình Dương, tức 0h51 ngày 13/6 (giờ Việt Nam), làm gián đoạn ít nhất 13 dịch vụ đám mây khác ở Mỹ, châu Âu và châu Á. Nhiều dịch vụ web có lượng người dùng lớn sử dụng nền tảng đám mây của Google bị ảnh hưởng như Twitch của Amazon, Weights và Biases của CoreWeave, ứng dụng chat Discord, Snapchat, nền tảng cho nhà phát triển GitHub của Microsoft, nhà cung cấp phần mềm thương mại điện tử Shopify hay nhà cung cấp mạng lưới phân phối nội dung và bảo mật web Cloudflare. Một số sản phẩm OpenAI dùng Google Cloud cũng bị tác động.

Trên Downdetector, website chuyên ghi nhận sự cố hoạt động của các dịch vụ trực tuyến phổ biến, gần 15.000 báo cáo liên quan đến Google Cloud, nhưng đang giảm dần. Google Trends cũng cho thấy sự gia tăng đột biến về số lượng người tìm kiếm “Firebase” - một trong những nền tảng dành cho nhà phát triển của Google phục vụ xây dựng và quản lý ứng dụng web và di động.

CISA thêm Erlang SSH và Roundcube Flaws vào danh mục KEV

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã thêm hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Erlang/Open Telecom Platform (OTP) SSH và Roundcube vào danh mục Lỗ hổng khai thác đã biết (KEV). Theo đó, lỗ hổng CVE-2025-32433 (điểm CVSS: 10.0) xảy ra do thiếu xác thực cho lỗ hổng chức năng quan trọng trong máy chủ SSH Erlang/OTP, có thể cho phép kẻ tấn công thực thi các lệnh tùy ý mà không cần thông tin xác thực hợp lệ. Thứ hai là lỗ hổng XSS CVE-2024-42009 (điểm CVSS: 9.3), lỗ hổng này xảy ra trong RoundCube Webmail.

Hiện tại không có thông tin chi tiết về cách hai lỗ hổng này bị khai thác trong thực tế và do ai thực hiện. Tháng 5/2025, công ty an ninh mạng ESET (Slovakia) tiết lộ rằng tác nhân đe dọa có liên quan đến Nga được gọi là APT28, đã khai thác một số lỗ hổng XSS trong Roundcube, Horde, MDaemon và Zimbra để nhắm mục tiêu vào các thực thể chính phủ và công ty quốc phòng ở Đông Âu. Không rõ liệu việc lạm dụng CVE-2024-42009 có liên quan đến hoạt động này hay điều gì khác không.

Hai Botnet riêng biệt khai thác lỗ hổng máy chủ Wazuh để khởi chạy các cuộc tấn công dựa trên Mirai

Một lỗ hổng bảo mật nghiêm trọng hiện đã được vá trong máy chủ Wazur hiện đang bị kẻ tấn công khai thác, nhằm phát tán hai biến thể botnet Mirai khác nhau và sử dụng chúng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Nhà cung cấp dịch vụ bảo mật Akamai (Mỹ), đơn vị đầu tiên phát hiện ra các nỗ lực khai thác vào cuối tháng 3/2025, cho biết chiến dịch độc hại này nhắm vào lỗ hổng CVE-2025-24016 (điểm CVSS: 9.9), một lỗ hổng deserialization cho phép thực thi mã từ xa trên máy chủ Wazuh.

Trong trường hợp đầu tiên, một khai thác thành công mở đường cho việc thực thi một tập lệnh shell, đóng vai trò là trình tải xuống cho payload Botnet Mirai từ một máy chủ bên ngoài (176[.]65[.]134[.]62) cho các kiến ​​trúc khác nhau. Các nhà nghiên cứu đánh giá rằng các mẫu phần mềm độc hại là các biến thể của LZRD Mirai, đã tồn tại từ năm 2023.

Trong khi đó, Botnet thứ hai lợi dụng lỗ hổng CVE-2025-24016, với kỹ thuật là sử dụng tập lệnh shell độc hại để phát tán một biến thể Botnet Mirai khác được gọi là Resbot (hay còn gọi là Resentual).

Tin tặc lợi dụng lời mời Discord Invite để phân phối mã độc

Một chiến dịch phần mềm độc hại mới đang khai thác điểm yếu trong hệ thống mời (invite link) của Discord, để phát tán phần mềm đánh cắp thông tin có tên là Skuld và Trojan truy cập từ xa AsyncRAT.

“Những kẻ tấn công đã chiếm đoạt các liên kết, cho phép chúng âm thầm chuyển hướng người dùng từ các nguồn đáng tin cậy đến các máy chủ độc hại. Những kẻ tấn công đã kết hợp kỹ thuật phishing ClickFix, trình tải nhiều giai đoạn và các biện pháp né tránh theo thời gian để lén lút phân phối AsyncRAT và Skuld Stealer tùy chỉnh nhắm vào các ví tiền điện tử”, hãng bảo mật Check Point cho biết trong một báo cáo kỹ thuật.

Vấn đề với cơ chế mời của Discord là nó cho phép kẻ tấn công chiếm đoạt các liên kết mời đã hết hạn hoặc đã xóa và bí mật chuyển hướng người dùng không nghi ngờ đến các máy chủ độc hại do chúng kiểm soát. Điều này cũng có nghĩa là một liên kết mời Discord từng được tin cậy và chia sẻ trên các diễn đàn, hoặc nền tảng truyền thông xã hội có thể vô tình dẫn người dùng đến các trang web độc hại.

Microsoft phát hành bản vá Patch Tuesday tháng 6 khắc phục 66 lỗ hổng bảo mật

Microsoft vừa phát hành bản Patch Tuesday tháng 6/2025 để giải quyết 66 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này đã khắc phục 01 lỗ hổng zero-day đang bị khai thác tích cực và 01 lỗ hổng tiết lộ công khai.

Theo đó, bản vá Patch Tuesday tháng 6 đã khắc phục 13 lỗ hổng leo thang đặc quyền; 25 lỗ hổng thực thi mã từ xa (RCE); 03 lỗ hổng vượt qua tính năng bảo mật (Bypass); 17 lỗ hổng tiết lộ thông tin; 6 lỗ hổng từ chối dịch vụ (DoS) và 02 lỗ hổng giả mạo (Spoofing). Số lượng này không bao gồm các lỗ hổng Mariner, Microsoft Edge và Power Automate đã được khắc phục vào đầu tháng này.

Trong số 66 lỗ hổng được khắc phục, bao gồm 9 lỗ hổng được đánh giá là nghiêm trọng, trong đó 8 lỗ hổng RCE và 01 lỗ hổng leo thang đặc quyền.

GitLab phát hành bản vá khắc phục lỗ hổng chiếm đoạt tài khoản và chèn mã độc vào pipeline

GitLab đã phát hành bản cập nhật bảo mật để giải quyết nhiều lỗ hổng trong nền tảng DevSecOps của công ty, trong đó bao gồm các lỗ hổng cho phép kẻ tấn công chiếm đoạt tài khoản và chèn mã độc vào pipeline của project. Theo đó, GitLab Community và Enterprise phiên bản 18.0.2, 17.11.4 và 17.10.8 đã được phát hành để giải quyết các lỗ hổng bảo mật này và kêu gọi tất cả quản trị viên nâng cấp ngay lập tức.

“Các phiên bản được GitLab công bố bao gồm các bản vá quan trọng và chúng tôi đặc biệt khuyến nghị tất cả các cài đặt GitLab tự quản lý nên được nâng cấp lên một trong các phiên bản này ngay lập tức. GitLab.com hiện đang chạy phiên bản đã được khắc phục. Khách hàng GitLab Dedicated không cần phải thực hiện hành động nào”, công ty đưa ra cảnh báo.

Cụ thể, GitLab đã vá một lỗ hổng HTML injection được theo dõi là CVE-2025-4278 (CVSS: 8.7), có thể cho phép kẻ tấn công từ xa chiếm quyền tài khoản bằng cách chèn mã độc vào trang tìm kiếm. Công ty cũng đã phát hành bản vá cho lỗ hổng CVE-2025-5121 (CVSS: 8.5) ảnh hưởng đến GitLab Ultimate EE. Theo thông báo của GitLab, lỗ hổng này cho phép kẻ tấn công từ xa (với quyền truy cập đã được xác thực vào các phiên bản GitLab có giấy phép GitLab Ultimate) đưa các tác vụ CI/CD độc hại vào bất kỳ pipeline CI/CD nào của project.

Tin tặc khai thác lỗ hổng zero-day của Windows WebDav để phát tán phần mềm độc hại

Một nhóm tin tặc APT có tên là Stealth Falcon đã khai thác lỗ hổng RCE của Windows WebDav trong các cuộc tấn công zero-day từ tháng 3/2025, với mục tiêu vào các tổ chức quốc phòng và chính phủ ở Thổ Nhĩ Kỳ, Qatar, Ai Cập và Yemen. Được biết, Stealth Falcon (hay còn gọi là FruityArmor) là một nhóm tin tặc APT tinh vi với các cuộc tấn công gián điệp mạng nhằm vào các tổ chức ở Trung Đông.

Lỗ hổng RCE được gán mã định danh CVE-2025-33053 (điểm CVSS: 8.8), ảnh hưởng đến tất cả các phiên bản Windows (Windows 10, Windows 11, Windows Server) và đang bị tin tặc khai thác ngoài thực tế (chưa có PoC công khai). Các tin tặc sử dụng tệp tin URL lừa đảo ngụy trang dưới dạng PDF, gửi đến mục tiêu qua các email độc hại. Chúng khai thác cơ chế Process.Start() để thực thi file route[.]exe độc hại từ máy chủ WebDAV do tin tặc kiểm soát. Lỗ hổng này cho phép tin tặc từ xa thực thi mã độc trên hệ thống của nạn nhân chỉ bằng cách dụ họ bấm vào một đường link WebDAV được tạo đặc biệt. Nếu thành công, kẻ tấn công có thể kiểm soát toàn bộ thiết bị.

Dù khai thác cần có sự tương tác của người dùng, nhưng rủi ro là rất lớn vì lỗ hổng có thể bị khai thác từ xa qua mạng, người dùng dễ bị lừa click vào link WebDAV độc hại qua email, tin nhắn hoặc website giả mạo. Ngoài ra, WebDAV được tích hợp vào hệ thống Windows, đặc biệt trong các ứng dụng có chế độ Internet Explorer (IE Mode) như Microsoft Edge. Thành phần nền tảng MSHTML (vốn thuộc Internet Explorer) vẫn còn tồn tại trên nhiều hệ thống, dù IE đã ngừng hoạt động. Đặc biệt nguy hiểm với các hệ thống sử dụng chế độ tương thích Internet Explorer hoặc chưa cập nhật bản vá định kỳ.

Microsoft vá lỗi Domain Controller không thể truy cập

Microsoft đã giải quyết sự cố khiến Domain Controller trên các nền tảng Windows Server 2016, Windows Server 2019, Windows Server 2022 và phiên bản mới nhất là Windows Server 2025 không thể truy cập sau khi khởi động lại, hoặc gây ra lỗi ứng dụng, dịch vụ. Trước đó, Microsoft cho biết: “Sau khi cài đặt bản cập nhật bảo mật hàng tháng của Windows vào tháng 4/2025, Domain Controller Active Directory (DC) có thể gặp sự cố khi xử lý thông tin đăng nhập hoặc ủy quyền Kerberos”.

Để giải quyết lỗi, gã khổng lồ công nghệ đã xử lý vấn đề này trong bản cập nhật bảo mật KB5060842 (Windows Server 2025), KB5060526 (Windows Server 2022), KB5060531 (Windows Server 2019), KB5061010 (Windows Server 2016).

Lỗ hổng Secure Boot mới cho phép kẻ tấn công cài đặt phần mềm độc hại bootkit

Nhà nghiên cứu bảo mật Binarly Alex Matrosov đã tiết lộ một lỗ hổng Secure Boot mới, được theo dõi là CVE-2025-3052, lỗ hổng này có thể bị khai thác để tắt bảo mật trên PC và máy chủ cũng như cài đặt phần mềm độc hại bootkit. Lỗ hổng này ảnh hưởng đến hầu hết mọi hệ thống tin cậy chứng thư số “UEFI CA 2011” của Microsoft.

Lỗ hổng này xuất phát từ một tiện ích cập nhật BIOS hợp lệ được ký bằng chứng thư số UEFI CA 2011 của Microsoft. Tiện ích này đọc biến NVRAM có thể ghi của người dùng (IhisiParamBuffer) mà không cần xác thực. Nếu kẻ tấn công có quyền quản trị đối với hệ điều hành, chúng có thể sửa đổi biến này để ghi dữ liệu tùy ý vào các vị trí bộ nhớ trong quá trình khởi động UEFI. Điều này được thực hiện trước khi hệ điều hành hoặc thậm chí là kernel được tải.

ChatGPT của OpenAI bất ngờ gặp sự cố diện rộng

Chiều 10/6, nhiều người dùng bắt đầu phản ánh trên các nền tảng mạng xã hội về tình trạng nhận thông báo lỗi “Network error occurred” khi truy cập ChatGPT, khiến hệ thống không thể phản hồi yêu cầu. Theo dữ liệu từ Downdetector, số lượng báo cáo sự cố tăng vọt, cho thấy tình trạng gián đoạn xảy ra trên diện rộng, ảnh hưởng đến cả người dùng phiên bản miễn phí lẫn trả phí.

Nhiều người dùng phản ánh rằng khi truy cập ChatGPT, cửa sổ trò chuyện thường xuyên bị trống hoặc chỉ hiển thị một phần nội dung trước khi xuất hiện lỗi. Một số trường hợp gặp phải sự cố liên quan đến máy chủ hoặc tình trạng tải trang thất bại. Không chỉ riêng ChatGPT, các dịch vụ API của OpenAI, trong đó có công cụ tạo video từ văn bản Sora, cũng đồng loạt gặp gián đoạn.

Đây không phải lần đầu ChatGPT gặp sự cố nghiêm trọng. Trong tháng 4, nền tảng này từng bị gián đoạn do lượng truy cập tăng đột biến khi tính năng tạo hình ảnh theo phong cách Ghibli gây sốt.

Phát hiện 20 ứng dụng độc hại liên quan đến tiền mã hóa đang hoạt động trên Google Play Store

Phòng Nghiên cứu bảo mật của Cyble, (Cyble Research and Intelligence Labs – CRIL) có trụ sở tại Mỹ vừa phát hiện 20 ứng dụng lừa đảo liên quan đến tiền mã hóa đang hoạt động trên nền tảng Google Play Store. Các ứng dụng độc hại này giả mạo ví điện tử hợp pháp như SushiSwap, PancakeSwap, Hyperliquid cùng nhiều ví phổ biến khác, nhằm đánh cắp cụm từ ghi nhớ (mnemonic phrase) chìa khóa để truy cập vào ví thật và rút toàn bộ tài sản kỹ thuật số của người dùng.

Theo CRIL, các ứng dụng này không phải là hiện tượng đơn lẻ mà nằm trong một chiến dịch lừa đảo có tổ chức, được triển khai bài bản và vẫn đang tiếp diễn. Trong quá trình điều tra, nhóm nghiên cứu đã xác định ít nhất hơn 50 tên miền có liên kết với chiến dịch, cho thấy sự tồn tại của một hạ tầng kỹ thuật được thiết lập nhằm qua mặt các cơ chế kiểm duyệt của Google Play.

Khi người dùng mở ứng dụng, một trang web lừa đảo hoặc giao diện ví giả lập sẽ hiện ra. Ứng dụng yêu cầu người dùng nhập cụm từ khôi phục (seed phrase) thông tin bảo mật cực kỳ nhạy cảm. Chỉ cần vài dòng ký tự, tin tặc có thể giành quyền kiểm soát toàn bộ ví điện tử và rút sạch tài sản bên trong. Nghiêm trọng hơn, người dùng sẽ không có cách nào lấy lại số tiền đã mất.

Tài khoản X của Tổng thống Paraguay bị tin tặc tấn công

Ngày 10/6, Chính phủ Paraguay cho biết tin tặc đã tấn công tài khoản X chính thức của Tổng thống Santiago Pena để đăng tuyên bố giả mạo cho phép bitcoin là tiền tệ hợp pháp tại nước này.

Theo Bộ trưởng Công nghệ Thông tin và Truyền thông Gustavo Villate, tin tặc đã sử dụng các kỹ thuật tương đối tiên tiến để tấn công vào tài khoản của Tổng thống Pena với động cơ kiếm tiền bằng bitcoin.

Hiện cơ quan chức năng đã xóa tin nhắn giả mạo đồng thời xác định rõ danh tính kẻ phạm tội. Sự cố xảy ra vài tuần sau khi nhóm CyberTeam nhận trách nhiệm về các cuộc tấn công vào hệ thống thông tin của nhiều cơ quan nhà nước Paraguay.

SentinelOne chia sẻ thông tin chi tiết mới về nỗ lực vi phạm có liên quan đến Trung Quốc

Mới đây, hãng bảo mật SentinelOne (Mỹ) đã chia sẻ thêm thông tin chi tiết về nỗ lực tấn công chuỗi cung ứng của tin tặc Trung Quốc. SentinelOne lần đầu tiên đưa tin về các tấn công này vào tháng 4/2025, tuần này hãng đã công bố một báo cáo mới, mô tả cuộc tấn công là một phần của chiến dịch rộng lớn hơn nhắm vào hơn 70 tổ chức trên toàn thế giới từ tháng 6/2024 đến tháng 3/2025. Các mục tiêu bao gồm các tổ chức trong lĩnh vực chính phủ, viễn thông, truyền thông, tài chính, sản xuất, nghiên cứu và công nghệ thông tin (CNTT).

Các cuộc tấn công được chia thành hai chiến dịch là PurpleHaze và ShadowPad. SentinelOne chính là mục tiêu tấn công của cả hai chiến dịch này, một lần để do thám và một lần để xâm nhập chuỗi cung ứng. Các nhà nghiên cứu nhận định rằng những kẻ tấn công trong cả hai chiến dịch đều khai thác lỗ hổng trong các thiết bị mạng bị rò rỉ, bao gồm thiết bị Ivanti Cloud Service Appliances và Check Point gateway.

Làn sóng tấn công PurpleHaze đã cố gắng xâm nhập SentinelOne vào tháng 10/2024, nơi các tác nhân đe dọa đã tiến hành quét các máy chủ của công ty có kết nối Internet qua cổng 443, nhằm mục đích lập bản đồ các dịch vụ có thể truy cập được. Các tin tặc đã đăng ký các tên miền ngụy trang thành cơ sở hạ tầng SentinelOne, chẳng hạn như sentinelxdr[.]us và secmailbox[.]us. Dựa trên bằng chứng từ các mục tiêu khác, bao gồm cả chính phủ tại khu vực Nam Á, kẻ tấn công đã sử dụng backdoor GOREshell, được nhúng vào các điểm cuối dễ bị tấn công mạng bằng các lỗ hổng zero-day.

Chiến dịch thứ hai là ShadowPad, được các tin tặc APT41 thực hiện từ tháng 6/2024 đến tháng 3/2025. Các tác nhân đe dọa đã thực hiện một cuộc tấn công chuỗi cung ứng vào SentinelOne vào đầu năm 2025, trong đó các tin tặc APT41 đã sử dụng phần mềm độc hại ShadowPad, được che giấu thông qua ScatterBrain, nhằm vào một công ty dịch vụ CNTT có mối quan hệ hợp tác với SentinelOne.

Những kẻ tấn công đã phân phối phần mềm độc hại đến mục tiêu thông qua PowerShell, sử dụng độ trễ 60 giây để tránh môi trường sandbox. Sau đó, phần mềm độc hại lên lịch khởi động lại hệ thống sau 30 phút để xóa dấu vết trong bộ nhớ. Tiếp theo, tin tặc triển khai nền tảng truy cập từ xa nguồn mở Nimbo-C2 để cung cấp nhiều khả năng từ xa, bao gồm chụp ảnh màn hình, thực thi lệnh PowerShell, Bypass UAC,… Bên cạnh đó, những kẻ tấn công cũng sử dụng một tập lệnh trích xuất dữ liệu dựa trên PowerShell để thực hiện tìm kiếm đệ quy các tài liệu nhạy cảm của người dùng, lưu trữ chúng trong tệp nén 7-Zip có khóa bằng mật khẩu và trích xuất chúng.

Microsoft Outlook sẽ mở rộng danh sách các tệp đính kèm bị chặn

Mới đây, Microsoft thông báo sẽ mở rộng danh sách các tệp đính kèm bị chặn trong Outlook Web và Outlook for Windows mới bắt đầu từ tháng tới. “Là một phần trong những nỗ lực nhằm tăng cường bảo mật trong Outlook Web và Outlook for Windows mới, chúng tôi đang cập nhật danh sách mặc định các loại tệp bị chặn trong OwaMailboxPolicy. Bắt đầu từ đầu tháng 7/2025, các loại tệp library-ms và search-ms sẽ được thêm vào danh sách BlockedFileTypes”, Microsoft cho biết.

Các tệp thư viện Windows (library-ms), định nghĩa các bộ sưu tập thư mục và tệp ảo trong hệ thống tệp Windows, đã được sử dụng vào đầu năm nay trong các cuộc tấn công lừa đảo, nhắm vào các tổ chức chính phủ và công ty tư nhân để khai thác lỗ hổng Windows (CVE-2025-24054) cho phép rò rỉ các hàm băm NTLM.

Trong khi đó, trình xử lý giao thức URI search-ms cũng đã bị khai thác trong các cuộc tấn công lừa đảo và phần mềm độc hại ít nhất từ tháng 6/2022, khi nhà nghiên cứu bảo mật Matthew Hickey phát hiện ra rằng nó có thể được sử dụng để tự động khởi chạy cửa sổ Windows Search trên thiết bị của người dùng, từ đó đánh lừa họ thực thi mã độc. Theo Microsoft, các loại tệp mới bị chặn hiếm khi được sử dụng, vì vậy hầu hết các tổ chức sẽ không bị ảnh hưởng bởi thay đổi này. Động thái này là một phần trong những hành động trong nhiều năm qua nhằm xóa bỏ, hoặc tắt các tính năng của Office và Windows đã bị lạm dụng và khai thác để lây nhiễm phần mềm độc hại cho khách hàng của Microsoft.

Tấn công Brute Force và các nỗ lực đăng nhập trái phép nhắm vào Apache Tomcat Manager

Công ty tình báo về mối đe dọa GreyNoise (Mỹ) mới đây đã cảnh báo về “hoạt động tấn công có phối hợp” nhắm vào Apache Tomcat Manager. Các nhà nghiên cứu cho biết họ đã quan sát thấy sự gia tăng các nỗ lực tấn công Brute Force và đăng nhập vào ngày 5/6/2025, một dấu hiệu cho thấy đây có thể là những nỗ lực có chủ đích nhằm xác định và truy cập vào các dịch vụ Tomcat bị rò rỉ ở quy mô lớn.

Để đạt được mục đích đó, 295 địa chỉ IP đã được phát hiện tham gia vào các nỗ lực tấn công Brute Force vào Tomcat Manager vào ngày đó, tất cả đều được phân loại là độc hại. Từ đó đến nay, 188 IP được ghi nhận phần lớn nằm ở Mỹ, Vương quốc Anh, Đức, Hà Lan và Singapore.

Tương tự như vậy, 298 IP cũng đã được phát hiện thực hiện các nỗ lực đăng nhập vào các phiên bản Tomcat Manager. Trong số 246 địa chỉ IP được đánh dấu theo dõi, tất cả đều được phân loại là độc hại và có nguồn gốc từ cùng một vị trí. Mục tiêu của những nỗ lực này bao gồm Mỹ, Vương quốc Anh, Tây Ban Nha, Đức, Ấn Độ và Brazil trong cùng khoảng thời gian. GreyNoise lưu ý rằng một phần đáng kể của hoạt động này đến từ cơ sở hạ tầng do DigitalOcean lưu trữ.

Trend Micro vá các lỗ hổng bảo mật nghiêm trọng có thể khai thác từ xa

Hãng bảo mật Trend Micro đã phát hành bản cập nhật để khắc phục các lỗ hổng RCE và Bypass nghiêm trọng, ảnh hưởng trực tiếp đến các sản phẩm Apex Central và Endpoint Encryption PolicyServer (TMEE), hai công cụ quản trị bảo mật phổ biến trong doanh nghiệp. Nhà cung cấp bảo mật nhấn mạnh các tổ chức nên áp dụng ngay các bản cập nhật bảo mật để giải quyết các rủi ro. Theo công bố từ Trend Micro, các lỗ hổng này cho phép tin tặc thực thi mã từ xa với đặc quyền cao nhất, Bypass các bước xác thực và thực hiện các hành vi quản trị hệ thống. Các lỗ hổng bao gồm:​

Trên Endpoint Encryption PolicyServer: CVE-2025-49212: Lỗ hổng RCE trong đối tượng PolicyValueTableSerializationBinder, cho phép kẻ tấn công từ xa thực thi mã tùy ý với quyền SYSTEM mà không cần đăng nhập; CVE-2025-49213: Lỗ hổng RCE trong dịch vụ PolicyServerWindowsService; CVE-2025-49216: Tin tặc có thể Bypass đăng nhập và truy cập với quyền admin; CVE-2025-49217: Dù khai thác phức tạp hơn, vẫn cho phép tấn công không cần xác thực.

Trên Apex Central: CVE-2025-49219 và CVE-2025-49220 (điểm CVSS: 9.8): Đều là lỗ hổng RCE nghiêm trọng, cho phép thực thi mã từ xa qua các lỗi deserialization trong các phương thức của hệ thống.

Palo Alto cảnh báo hai lỗ hổng cho phép chạy lệnh Root trên PAN-OS

Palo Alto Networks vừa đưa ra cảnh báo hai lỗ hổng bảo mật ảnh hưởng đến hệ điều hành tường lửa PAN-OS, cho phép kẻ tấn công thực thi lệnh với đặc quyền root, gây rủi ro lớn nếu hệ thống không được cấu hình bảo mật đúng cách. Hai lỗ hổng Command Injection được gán mã định danh lần lượt là CVE-2025-4230 và CVE-2025-4231, tồn tại từ việc xử lý không an toàn các ký tự đặc biệt trong lệnh hệ điều hành.

Lỗ hổng CVE-2025-4230 ảnh hưởng đến giao diện dòng lệnh (CLI) của PAN-OS, cho phép người dùng có tài khoản quản trị đã xác thực vượt qua giới hạn hệ thống và thực thi các lệnh với quyền root. Lỗ hổng tồn tại do xử lý không an toàn các ký tự đặc biệt trong lệnh nhưng có thể nghiêm trọng hơn trong môi trường thiếu kiểm soát chặt chẽ quyền truy cập CLI.

Ngược lại, CVE-2025-4231 tác động lên giao diện quản trị web. Lỗ hổng này cũng yêu cầu đăng nhập tài khoản quản trị, tuy nhiên việc khai thác được thực hiện qua trình duyệt web thay vì CLI.

Firefox phát hành bản vá khắc phục hai lỗ hổng bảo mật nghiêm trọng

Mozilla đã phát hành bản vá khẩn cấp nhằm khắc phục hai lỗ hổng bảo mật nghiêm trọng có thể khiến trình duyệt bị treo, rò rỉ dữ liệu hoặc bị tấn công từ xa. Các lỗ hổng này liên quan đến lỗi xử lý đồ họa (canvas) và JavaScript Engine, ảnh hưởng trực tiếp đến sự ổn định và an toàn của trình duyệt.

Theo đó, CVE-2025-49709 là lỗ hổng sai lệch bộ nhớ trong quá trình xử lý đồ họa canvas, dẫn đến trình duyệt bị treo hoặc bị khai thác để thực thi mã độc. Thứ hai là CVE-lỗ hổng tràn số nguyên trong thành phần OrderedHashTable của JavaScript Engine, được gán mã định danh CVE-2025-49710.

Cả hai lỗ hổng đều được đánh giá ở mức độ nghiêm trọng cao. Dù hiện tại chưa ghi nhận việc bị khai thác trong thực tế, hãng cũng nhanh chóng phát hiện, vá lỗi và kiểm thử trước khi phát hành rộng rãi bản cập nhật.

Victoria's Secret khôi phục các hệ thống quan trọng sau cuộc tấn công mạng

Victoria's Secret đã khôi phục toàn bộ hệ thống quan trọng bị ảnh hưởng bởi vụ tấn công mạng nhắm vào công ty này vào ngày 24/5, khiến họ phải đóng cửa các hệ thống và trang web thương mại điện tử. Trong hồ sơ nộp lên Ủy ban Chứng khoán và Sàn giao dịch Mỹ (SEC) vào ngày 12/6, Victoria's Secret tiết lộ rằng tất cả các hệ thống quan trọng đã được khôi phục hiện đã hoạt động ổn định, đồng thời cho biết đang làm việc với các chuyên gia bảo mật để đánh giá tác động của cuộc tấn công mạng.