ĐIỂM TIN TRONG NƯỚC
Hà Nội bảo đảm an toàn thông tin trong quá trình tổ chức lại đơn vị hành chính
Theo Công văn số 3518/UBND-CAHN ngày 15/6/2025 về việc bảo đảm an ninh mạng, an toàn thông tin trong quá trình sáp nhập, tổ chức lại trên địa bàn Thành phố, Ủy ban nhân dân (UBND) Thành phố Hà Nội yêu cầu các sở, ban, ngành, cơ quan ngang sở đã thực hiện sáp nhập; UBND các quận, huyện, thị xã là chủ quản hệ thống thông tin, đơn vị được giao quản lý, vận hành hệ thống phối hợp Công an Thành phố triển khai thực hiện: Xây dựng phương án vận hành, đồng bộ dữ liệu đối với hệ thống thông tin giải quyết thủ tục hành chính; bảo đảm tính sẵn sàng, không để dừng/gián đoạn hệ thống, dịch vụ mà không có kế hoạch trước.
Đồng thời, có giải pháp sao lưu, dự phòng hệ thống, dữ liệu; rà soát toàn bộ các tài khoản hệ thống, cán bộ, phân quyền phù hợp với vị trí nhiệm vụ, vị trí công tác; thu hồi các tài khoản của các cán bộ, công chức, viên chức đã nghỉ hưu, chuyển vị trí công tác...; áp dụng xác thực đa nhân tố, lưu nhật ký đăng nhập và không chia sẻ, dùng chung tài khoản; đề xuất nguồn kinh phí đầu tư trang thiết bị; đào tạo nhân lực chất lượng cao và tự tổ chức kiểm tra, đánh giá định kỳ về an ninh mạng, an toàn thông tin,… Công an Thành phố sẽ phối hợp với các đơn vị nêu trên rà soát, thống kê hệ thống thông tin, đánh giá điểm yếu bảo mật, quét mã độc trên các máy chủ, máy trạm và kiểm tra định kỳ các nguy cơ gây mất an ninh mạng.
Tăng cường quản lý chữ ký số chuyên dùng công vụ trong quá trình sắp xếp tổ chức bộ máy của hệ thống chính trị
Ngày 16/5/2025, Ban Cơ yếu Chính phủ đã ban hành Công văn 275/BCY-CTSBMTT, trong đó yêu cầu tăng cường công tác quản lý, sử dụng dịch vụ chữ ký số chuyên dùng công vụ (CKSCDCV) trong quá trình sắp xếp tổ chức bộ máy của hệ thống chính trị.
Để đảm bảo sự thông suốt, chặt chẽ và hiệu quả trong việc quản lý, sử dụng CKSCDCV trong quá trình sắp xếp tổ chức bộ máy của hệ thống chính trị theo Kết luận của Bộ Chính trị, Ban Bí thư, Ban Cơ yếu Chính phủ đã đề nghị các bộ, ban, ngành, địa phương phối hợp triển khai một số nội dung quan trọng nhằm quản lý hiệu quả CKSCDCV trước, trong và sau khi hoàn thành quá trình sắp xếp.
Các nội dung này bao gồm về quản lý, sử dụng chứng thư chữ ký số chuyên dùng công vụ; quản lý thiết bị lưu khóa bí mật; quản lý tài liệu, hồ sơ yêu cầu chứng thực; sử dụng Hệ thống thông tin đăng ký, quản lý yêu cầu chứng thực; đẩy mạnh phân cấp, chuyển giao công cụ gia hạn, thay đổi nội dung thông tin chứng thư chữ ký số, khôi phục thiết bị lưu khóa bí mật.
Ban Cơ yếu Chính phủ khẩn trương triển khai giải pháp ký số, gửi, nhận văn bản mật từ trung ương đến cấp cơ sở
Để đảm bảo cho các đơn vị hành chính trên cả nước thực hiện thống nhất mô hình chính quyền địa phương 2 cấp và các đơn vị hành chính hình thành sau sắp xếp chính thức hoạt động từ 01/7/2025, Ban Cơ yếu Chính phủ đã ban hành Kế hoạch số 368/KH-BCY ngày 03/6/2025 về Triển khai giải pháp và sản phẩm bảo đảm bảo mật, an toàn thông tin, bảo vệ bí mật nhà nước phục vụ ký số, gửi, nhận văn bản mật giữa các cơ quan đảng trên Hệ thống thông tin điều hành tác nghiệp trong các cơ quan đảng. Để triển khai kế hoạch này, Lãnh đạo Ban đã giao cho Cục Cơ yếu Đảng - Chính quyền chủ trì tổ chức triển khai. Trên cơ sở đó, Cục Cơ yếu Đảng - Chính quyền đã triệu tập các cán bộ kỹ thuật từ các cơ quan, đơn vị trong Ban tham gia triển khai, thời gian từ ngày 10/6/2025 đến ngày 18/6/2025 tại các tỉnh ủy, thành ủy, các cơ quan đảng ở Trung ương đến toàn bộ cấp xã trên toàn quốc.
Đặc biệt, theo ghi nhận của Phóng viên Tạp chí An toàn thông tin tại Văn phòng Tỉnh ủy Thái Nguyên vào ngày 17/6/2025, đoàn công tác của Ban Cơ yếu do đồng chí Đặng Quốc Cường, cán bộ Viện Khoa học - Công nghệ mật mã đảm nhận đã hoàn thành nhiệm vụ, về đích trước thời gian so với kế hoạch. Theo đó, cả 55/55 xã, phường của Thái Nguyên đã kết nối thành công vào hệ thống thống thông tin điều hành tác nghiệp của cơ quan Đảng, các dịch vụ của Tỉnh và kết nối thành công lên máy chủ giám sát của Ban Cơ yếu Chính phủ. Đường truyền có bảo mật đã được thông suốt từ xã lên Tỉnh và Trung ương theo đúng yêu cầu đặt ra.
Từ ngày 18/6/2025: Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự có hiệu lực lên tới 36 tháng
Theo thông tin từ Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (Ban Cơ yếu Chính phủ), thời hạn hiệu lực của Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự được tăng lên 36 tháng thay vì 12 tháng như quy định trước đây.
Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã cũng nêu rõ, trường hợp Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự của doanh nghiệp còn hiệu lực dưới 36 tháng thì thời hạn hiệu lực của Giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự được cấp bằng thời hạn hiệu lực còn lại của Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự.
Bước đi này của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã nhằm thực hiện chủ trương của Đảng, Nhà nước về việc đầy mạnh cắt giảm, đơn giản hóa thủ tục hành chính liên quan đến hoạt động kinh doanh; Tăng cường cải thiện môi trường đầu tư, tạo điều kiện thuận lợi cho doanh nghiệp kinh doanh.
Viện ABAII cùng Ngân hàng MSB chung tay đào tạo nguồn lực tài sản mã hóa
Chỉ 3 ngày sau khi Luật Công nghiệp Công nghệ số được Quốc hội thông qua, ngày 17/6/2025, Viện Công nghệ Blockchain và Trí tuệ Nhân tạo ABAII phối hợp cùng Ngân hàng TMCP Hàng Hải Việt Nam (MSB) và Công ty Cổ phần Quản trị Nguồn nhân lực TNTalent tổ chức khóa học chuyên sâu với chủ đề “Khung pháp lý tài sản mã hóa và nhận biết tài sản mã hóa giả”, dành riêng cho đội ngũ cán bộ ngân hàng.
Việc tổ chức khóa học ngay sau khi hành lang pháp lý được ban hành là một bước đi chiến lược, thể hiện tư duy quản trị hiện đại của MSB, đồng thời khẳng định vai trò tiên phong trong hệ thống ngân hàng trong việc chuyển đổi số và thích ứng với khuôn khổ pháp lý mới về tài sản số. Phát biểu khai mạc khoá học, bà Nguyễn Hương Loan, Phó Tổng giám đốc MSB, Tổng Giám đốc Ngân hàng Định chế Tài chính MSB kỳ vọng, khoá học sẽ giúp cán bộ nhân viên MSB hiểu rõ bản chất tài sản mã hoá, nắm vững quy định pháp lý mới, cũng như ứng dụng trong thực tiễn.
Gia hạn thời gian nộp bài cho cuộc thi VietChain Talents 2025
Ban Tổ chức VietChain Talents 2025 vừa phát đi thông báo chính thức về việc gia hạn thời gian nộp bài dự thi đến hết ngày 30/6/2025, nhằm đáp ứng nguyện vọng của đông đảo thí sinh và các đơn vị tham gia.
Đây là quyết định kịp thời, thể hiện sự đồng hành và hỗ trợ tối đa từ Ban Tổ chức, tạo điều kiện cho các nhóm thí sinh có thêm thời gian hoàn thiện ý tưởng, chỉnh sửa và nâng cao chất lượng sản phẩm dự thi. Các nhóm đã gửi bài trước đó hoàn toàn có thể bổ sung, cập nhật thêm nội dung mới để tăng tính thuyết phục và tính ứng dụng cho dự án của mình.
VietChain Talents 2025 là sân chơi uy tín, quy tụ những ý tưởng sáng tạo và giải pháp công nghệ đột phá trong lĩnh vực Blockchain tại Việt Nam. Cuộc thi không chỉ là cơ hội để thể hiện năng lực nghiên cứu, phát triển công nghệ mà còn góp phần xây dựng cộng đồng Blockchain năng động, đổi mới và hội nhập quốc tế.
ĐIỂM TIN QUỐC TẾ
Hơn 16 tỉ mật khẩu bị rò rỉ trong các vụ vi phạm dữ liệu
Theo báo cáo mới nhất từ trang tin Cybernews, hơn 16 tỉ thông tin đăng nhập đã bị rò rỉ trong các vụ vi phạm dữ liệu, trong đó có nhiều mật khẩu Facebook, Google, Apple… và các nền tảng khác. Cụ thể, Cybernews cho biết họ đã tìm thấy 30 tập dữ liệu bị phát tán công khai hoặc rao bán, mỗi tập chứa từ hàng chục triệu đến hơn 3,5 tỉ bản ghi. Tổng cộng, 16 tỉ thông tin đăng nhập, bao gồm tên tài khoản, địa chỉ email và mật khẩu đã bị rò rỉ.
Chỉ có một trong số các tập dữ liệu từng được đề cập trước đây là một kho dữ liệu với 184 triệu thông tin đăng nhập hoàn toàn không được mã hóa hay bảo vệ bằng mật khẩu. Các tập còn lại có quy mô lớn hơn nhiều và đến nay vẫn chưa được kiểm chứng đầy đủ về số lượng nạn nhân bị ảnh hưởng. Một số tập dữ liệu được đặt tên theo các nền tảng nổi tiếng như Telegram, GitHub, Facebook hoặc địa danh như Liên bang Nga, cho thấy phạm vi nguồn dữ liệu rất rộng, không giới hạn bởi quốc gia hay nền tảng cụ thể.
Sàn giao dịch tiền mã hóa lớn nhất Iran bị tấn công
Sàn giao dịch tiền mã hóa lớn nhất Iran Nobitex cho biết đã bị tấn công, toàn bộ tài sản bị rút khỏi ví nóng. Theo thông tin được nền tảng cung cấp, xuất hiện truy cập trái phép vào cơ sở hạ tầng vào ví nóng. Công ty lưu trữ một phần tài sản của khách hàng ở đây.
Dữ liệu chuỗi khối cho thấy các tin tặc đã đánh cắp ít nhất 90 triệu USD và tẩu tán qua nhiều giao dịch. Công ty phân tích blockchain Elliptic điều tra ra việc tin tặc "đốt" toàn bộ số tiền đã cướp được. Chúng gửi tài sản để những ví không thể truy cập. Như vậy, số tiền bị lấy hoàn toàn khỏi lưu thông. Nhóm tin tặc của Israel Predatory Sparrow đã nhận trách nhiệm về cuộc tấn công. Trong một bài đăng trên X, tổ chức cho biết họ nhắm vào Nobitex vì nghi ngờ cáo buộc tài trợ khủng bố và giúp nhà chức trách Iran vượt rào lệnh trừng phạt quốc tế.
Tenable phát hành bản vá cho các lỗ hổng nghiêm trọng trên Windows Agent
Tenable đã phát hành bản cập nhật Agent 10.8.5 nhằm khắc phục ba lỗ hổng nghiêm trọng ảnh hưởng đến các hệ thống Windows, có thể bị khai thác bởi người dùng không có quyền quản trị để chiếm quyền SYSTEM mức đặc quyền cao nhất trong hệ thống.
Lỗ hổng thứ nhất có mã định danh CVE-2025-36631, cho phép người dùng không đặc quyền ghi đè tệp hệ thống bằng dữ liệu log, gây nguy cơ làm hỏng tệp, thay đổi cấu hình hoặc chèn mã độc. Lỗ hổng thứ 2 là CVE-2025-36632, đây là lỗ hổng nghiêm trọng nhất, cho phép thực thi mã độc và kiểm soát hoàn toàn hệ thống. Lỗ hổng cuối cùng là CVE-2025-36633, cho phép xóa các tệp hệ thống quan trọng, dẫn đến mất dữ liệu, vô hiệu hóa bảo mật hoặc gây bất ổn hệ thống
Các lỗ hổng ảnh hưởng đến tất cả phiên bản Tenable Agent trước 10.8.5 chạy trên Windows. Bản cập nhật 10.8.5 đã khắc phục hoàn toàn các lỗ hổng trên. Tenable khuyến cáo người dùng cập nhật càng sớm càng tốt để giảm thiểu rủi ro bị khai thác.
Bản cập nhật Chrome 137 vá các lỗ hổng nghiêm trọng
Ngày 17/6, Google đã công bố bản vá khắc phục các lỗ hổng bảo mật trong Chrome 137, bao gồm hai lỗ hổng nghiêm trọng liên quan đến bộ nhớ trong các thành phần V8 và Profiler của trình duyệt. Đầu tiên là lỗ hổng tràn số nguyên (integer overflow) trong công cụ JavaScript V8, với mã định danh CVE-2025-6191. Trong khi đó, lỗ hổng thứ hai được khắc phục là lỗ hổng use-after-free trong thành phần Profiler của Chrome, với mã định danh CVE-2025-6192.
Các lỗ hổng bảo mật đã được vá trong Chrome phiên bản 137.0.7151.119/.120 dành cho Windows và macOS, cũng như trong phiên bản 137.0.7151.119 dành cho Linux. Lỗi bộ nhớ trong Chrome trước nay vẫn là mục tiêu hấp dẫn đối với kẻ tấn công vì chúng có khả năng dẫn đến việc thực thi mã từ xa. Các nhà nghiên cứu đã phát hiện ra rằng các tác nhân đe dọa đang nhắm vào các lỗ hổng bảo mật gần đây của Chrome, một số trong đó đã bị khai thác dưới dạng lỗ hổng zero-day trước khi bị các nhà nghiên cứu bảo mật phát hiện.
Cloudflare Tunnel bị lạm dụng trong chiến dịch phần mềm độc hại mới
Công ty an ninh mạng Securonix (Mỹ) đã phát hiện ra một chiến dịch phát tán phần mềm độc hại lợi dụng Cloudflare Tunnel, nhằm lưu trữ dữ liệu trên các tên miền phụ do kẻ tấn công kiểm soát. Được gọi là Serpentine#Cloud, chiến dịch này dựa vào chuỗi lây nhiễm phức tạp liên quan đến các tệp shortcut (LNK) và các tập lệnh được tối giản hóa, để cung cấp trình tải (loader) dựa trên Python có thể thực thi payload Donut-PE trong bộ nhớ.
Trong các cuộc tấn công thời gian gần đây, Securonix phát hiện các tệp LNK được ngụy trang dưới dạng tài liệu PDF đã được sử dụng để phân phối payload độc hại. Các payload này sau đó được sử dụng để truy xuất các giai đoạn bổ sung qua WebDAV thông qua các tên miền phụ Cloudflare Tunnel. Theo các nhà nghiên cứu, nạn nhân nhận được các tệp LNK qua email lừa đảo có chủ đề về thanh toán và hóa đơn, với các liên kết đến tệp ZIP chứa tệp LNK.
Veeam phát hành bản vá khắc phục lỗ hổng thực thi mã từ xa mới
Mới đây, Veeam đã phát hành bản cập nhật bảo mật để khắc phục một số lỗ hổng trong Veeam Backup & Replication (VBR), bao gồm lỗ hổng thực thi mã từ xa nghiêm trọng.
Được theo dõi với mã định danh CVE-2025-23121, lỗ hổng bảo mật này ảnh hưởng đến các cài đặt đã tham gia môi trường domain. Theo Veeam chia sẻ, lỗ hổng CVE-2025-23121 có thể bị khai thác bởi những tài khoản người dùng trong domain đã xác thực để thực thi mã từ xa trên Backup Server. Lỗ hổng này ảnh hưởng đến Veeam Backup & Replication 12 trở lên và đã được khắc phục trong phiên bản 12.3.2.3617, được phát hành vào ngày 17/6.
Mặc dù CVE-2025-23121 chỉ ảnh hưởng đến các cài đặt VBR được tham gia vào domain, nhưng bất kỳ tài khoản domain nào cũng có thể khai thác nó, khiến lỗ hổng dễ bị lạm dụng trong các cấu hình đó.
Phần mềm độc hại Godfather Android sử dụng ảo hóa để chiếm quyền điều khiển các ứng dụng ngân hàng
Mới đây, các nhà nghiên cứu của hãng bảo mật Zimperium (Mỹ) đã phát hiện phiên bản mới của Trojan ngân hàng Android “Godfather”, với khả năng tạo ra các môi trường ảo (virtual environments) cô lập trên thiết bị di động nhằm đánh cắp tài khoản và giao dịch từ các ứng dụng ngân hàng hợp pháp.
Theo đó, các tác nhân đe dọa đã phát triển phiên bản mới của Godfather để tạo ra môi trường ảo hoạt động song song trên các thiết bị Android, nơi các ứng dụng ngân hàng và tiền điện tử bị sao chép và thực thi dưới sự kiểm soát hoàn toàn của kẻ tấn công. Việc điều khiển ứng dụng thực từ xa thông qua môi trường ảo cho phép kẻ tấn công đánh cắp thông tin nhạy cảm, bao gồm thông tin đăng nhập, giao dịch tài chính và thông tin màn hình khóa.
Phần mềm độc hại thực thi bằng cách cài đặt một ứng dụng “host” tận dụng các framework ảo hóa, bao gồm VirtualApp hoặc Xposed. Các framework này tạo ra một môi trường sandbox ẩn trên thiết bị của nạn nhân, lúc này các ứng dụng ngân hàng hoặc tiền điện tử thực sẽ bị sao chép và thực thi. Thay vì giả mạo hoặc bắt chước giao diện người dùng, phần mềm độc hại chạy ứng dụng bên trong vùng chứa (container) ảo này.
Nga thiệt hại hơn 1 tỷ USD do tội phạm liên quan đến công nghệ thông tin trong 5 tháng đầu năm
Ngày 18/6, Phó Cục trưởng Cục điều tra thuộc Bộ Nội vụ Nga Danil Filippov cho biết, tội phạm liên quan đến công nghệ thông tin tại nước này đã gây thiệt hại hơn 81 tỷ ruble (khoảng 1,03 tỷ USD) chỉ trong 5 tháng đầu năm nay.
Phát biểu tại Diễn đàn Kinh tế Quốc tế St. Petersburg, ông Filippov nhấn mạnh có hơn 308.000 vụ tội phạm liên quan đến lĩnh vực công nghệ thông tin trong giai đoạn này, trong đó có trên 189.000 vụ liên quan đến hành vi đánh cắp và lừa đảo từ xa. Ông cũng cho biết Nga đang triển khai nhiều biện pháp chủ động nhằm đối phó với lừa đảo trên không gian mạng, đồng thời nhấn mạnh hàng loạt sáng kiến, bao gồm các giải pháp công nghệ bảo vệ hệ thống nội bộ tại doanh nghiệp, cơ chế bảo mật dữ liệu cá nhân, đặc biệt là tăng cường công tác truyền thông, giáo dục phòng ngừa trong cộng đồng đã được áp dụng. Đây là những nền tảng căn bản được kỳ vọng sẽ mang lại hiệu quả rõ rệt trong thời gian tới.
Lỗ hổng nghiêm trọng trong Zyxel bị khai thác
Các chuyên gia an ninh mạng đã phát hiện một làn sóng tấn công mạng quy mô lớn đang khai thác lỗ hổng cực kỳ nghiêm trọng (CVE-2023-28771) trong các thiết bị tường lửa (firewall) do hãng Zyxel sản xuất. Đây là một cuộc tấn công có tổ chức, được thực hiện thông qua cổng mạng UDP/500 và có liên quan đến mã độc điều khiển botnet Mirai, vốn từng gây ra nhiều vụ tấn công mạng lớn trong quá khứ.
CVE‑2023‑28771 là một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng (điểm CVSS: 9,8), xuất phát từ quá trình xử lý sai gói dữ liệu VPN (IKEv2) của thiết bị Zyxel, cho phép tin tặc gửi gói tin độc hại qua cổng UDP/500, từ đó thực thi lệnh hệ thống với quyền quản trị cao nhất (root) mà không cần tài khoản đăng nhập hay quyền truy cập đặc biệt.
Phát hiện lỗ hổng bảo mật nghiêm trọng trong phần mềm Armoury Crate của ASUS
Các nhà nghiên cứu đến từ công ty an ninh mạng Cisco Talos (Mỹ) đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong phần mềm Armoury Crate của ASUS. Lỗ hổng này cho phép tin tặc leo thang đặc quyền lên mức SYSTEM cấp cao nhất trong hệ điều hành Windows. Lỗ hổng được xác định là CVE-2025-3464 (điểm CVSS: 8,8) nằm trong driver AsIO3.sys. Nguyên nhân xuất phát từ việc driver này xác minh không đúng đối tượng gọi, chỉ dựa trên mã băm SHA-256 hardcoded của tiến trình AsusCertService[.]exe và một danh sách PID được phép, thay vì dùng cơ chế kiểm soát truy cập cấp hệ điều hành.
Kẻ tấn công có thể lợi dụng lỗ hổng này bằng cách tạo hard link từ một ứng dụng giả mạo sang tệp AsusCertService[.]exe, khiến driver bị đánh lừa và cấp quyền truy cập trái phép cho ứng dụng. Nếu khai thác thành công, tin tặc có thể chiếm quyền SYSTEM cho phép truy cập trực tiếp vào bộ nhớ vật lý, điều khiển các cổng I/O và tác động đến các thanh ghi đặc biệt (MSR). Điều này đồng nghĩa với việc kẻ tấn công có thể chiếm toàn quyền kiểm soát hệ thống, vượt qua mọi cơ chế bảo mật thông thường của hệ điều hành.
Cảnh báo khai thác lỗ hổng leo thang đặc quyền trên Linux
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã cảnh báo về lỗ hổng nghiêm trọng trong hệ thống subsystem OverlayFS của kernel Linux, cho phép kẻ tấn công chiếm được quyền root.
Lỗ hổng bảo mật leo thang đặc quyền này có mã định danh CVE-2023-0386, nguyên nhân do điểm yếu quản lý quyền sở hữu (owner) không phù hợp của kernel Linux. Nhiều bằng chứng khái niệm (PoC) cũng đã được chia sẻ trên GitHub bắt đầu từ tháng 5/2023, điều này tạo điều kiện cho các tin tặc khai thác thành công hơn. Theo phân tích của công ty an ninh mạng Datadog Security (Mỹ), lỗ hổng CVE-2023-0386 rất dễ khai thác và ảnh hưởng đến nhiều bản phân phối Linux, bao gồm Debian, Red Hat, Ubuntu và Amazon Linux, nếu chúng sử dụng phiên bản kernel thấp hơn 6.2.
Tin tặc lợi dụng tên miền Google để phát tán mã độc
Theo trang tin TechRadar, một chiến dịch tấn công mạng tinh vi vừa bị phát hiện, trong đó tin tặc lợi dụng chính tên miền của Google để phát tán phần mềm độc hại, vô hiệu hóa các biện pháp bảo vệ truyền thống. Cuộc tấn công này được cho là rất khó phát hiện đối với người dùng thông thường.
Theo đó, tin tặc đã sử dụng đường dẫn xác thực (OAuth) của Google để thực hiện các cuộc tấn công linh hoạt, có khả năng vượt qua hầu hết các phần mềm diệt virus phổ biến hiện nay. Chiến thuật tấn công bắt đầu khi người dùng truy cập vào một trang web thương mại điện tử (dựa trên nền tảng Magento) đã bị xâm nhập. Tại đây, một đoạn mã độc sẽ ngấm ngầm thực thi bằng cách tham chiếu đến một URL đăng xuất của Google có vẻ hoàn toàn vô hại.
Tuy nhiên, bên trong URL này chứa một tham số đã bị thao túng. Chính tham số này sẽ giải mã và kích hoạt một đoạn mã JavaScript độc hại. Điểm mấu chốt của cuộc tấn công nằm ở việc các tin tặc lạm dụng tên miền Google[.]com để giảm sự nghi ngờ từ người dùng. Do đó, hầu hết các bộ lọc bảo mật và tường lửa đều cho phép mã độc đi qua mà không hề nghi ngờ.
Cảnh báo lỗ hổng nghiêm trọng trên các thiết bị Router TP-Link
CISA đã đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trên một số mẫu Router TP-Link. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý, đe dọa bảo mật hàng triệu thiết bị trên toàn cầu. Lỗ hổng này có mã định danh CVE-2023-33538 (điểm CVSS: 8,8), thuộc dạng lỗ hổng chèn lệnh (command injection). Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi các lệnh hệ thống tùy ý bằng cách gửi yêu cầu HTTP GET đặc biệt chứa tham số ssid1 được thiết kế để khai thác. Theo CISA, nguyên nhân là do thành phần /userRpm/WlanNetworkRpm trên các thiết bị Router TP-Link chứa điểm yếu cho phép khai thác lỗ hổng. Đáng chú ý, một số thiết bị bị ảnh hưởng có thể đã hết vòng đời (EoL) hoặc ngừng được hỗ trợ cập nhật (EoS).
Lỗ hổng ảnh hưởng đến các mẫu Router phổ biến của TP-Link như TL-WR940N V2/V4, TL-WR841N V8/V10 và TL-WR740N V1/V2. CISA khuyến cáo người dùng nên nhanh chóng ngừng sử dụng hoặc cập nhật thiết bị nếu có bản vá phù hợp để tránh nguy cơ bị tấn công.
Tin tặc đánh cắp 1 triệu hồ sơ người dùng Cock.li trong vụ vi phạm dữ liệu webmail
Nhà cung cấp dịch vụ lưu trữ email Cock.li (Đức) đã xác nhận bị rò rỉ hơn 1 triệu hồ sơ người dùng, sau khi kẻ tấn công khai thác lỗ hổng trong nền tảng webmail Roundcube hiện đã ngừng hoạt động. Sự cố này đã làm lộ thông tin của tất cả người dùng đã đăng nhập vào dịch vụ email này kể từ năm 2016, ước tính khoảng 1.023.800 người, cùng với thông tin liên lạc của 93.000 người dùng khác.
Trước đó, dịch vụ Cock.li đã bị gián đoạn không rõ nguyên nhân. Ngay sau đó, một tác nhân đe dọa đã tuyên bố bán hai cơ sở dữ liệu chứa thông tin nhạy cảm của người dùng được lấy từ Cock.li, với giá bán tối thiểu là một Bitcoin.
Iran làm gián đoạn mạng Internet để ngăn chặn các cuộc tấn công mạng
Iran đã chặn quyền truy cập Internet trong nước với mục đích cản trở khả năng tiến hành các hoạt động mạng bí mật của Israel, vài ngày sau Israel tiến hành một cuộc tấn công chưa từng có vào Iran, làm leo thang căng thẳng địa chính trị trong khu vực.
Fatemeh Mohajerani, người phát ngôn của Chính phủ Iran cho biết, quốc gia này đã hạn chế quyền truy cập Internet nhằm phản ứng trước các cuộc tấn công mạng của Israel. Dữ liệu do NetBlocks (tổ chức giám sát an ninh mạng và quản trị Internet) chia sẻ cho thấy lưu lượng truy cập Internet tại Iran vào ngày 17/6 đã giảm đáng kể (khoảng 17h30 giờ địa phương), điều này hạn chế khả năng truy cập và chia sẻ thông tin với thế giới bên ngoài của người dân Iran.
Mạng thông tin quốc gia của Iran, bao gồm các website được chính phủ phê duyệt, không kết nối với bên ngoài hầu hết vẫn truy cập được. Dữ liệu của nhà cung cấp dịch vụ Internet Cloudflare vào ngày 16/6 cho thấy hai nhà mạng di động lớn của Iran về cơ bản đã mất kết nối.
Tin tặc Nga khai thác mật khẩu ứng dụng Gmail để vượt qua xác thực MFA
Những kẻ tấn công có liên hệ với Nga đã lợi dụng một tính năng của tài khoản Google có tên là Sign in with app passwords (đăng nhập bằng mật khẩu ứng dụng) như một phần của chiến dịch tấn công kỹ nghệ xã hội mới nhằm truy cập vào email của nạn nhân.
Nhóm Google Threat Intelligence Group (GTIG) và Citizen Lab đã tiết lộ thông tin chi tiết về chiến dịch có mục tiêu này, nêu rõ mục tiêu nhằm mạo danh Bộ Ngoại giao Mỹ. Google đã quy kết hoạt động này cho UNC6293, một nhóm tin tặc của Nga. Ít nhất là từ tháng 4 đến đầu tháng 6/2025, các tin tặc đã mạo danh quan chức Bộ Ngoại giao Mỹ, từ đó gửi các email lừa đảo ngụy trang dưới dạng lời mời tham dự cuộc họp với địa chỉ email “@state[.]gov” trong dòng CC để tạo vỏ bọc đáng tin cậy.
Một nạn nhân, nhà văn người Anh Keir Giles của Chatham House, đã trao đổi hơn 10 email với người gửi tự xưng là “Claudie S. Weber”. Sau khi tạo dựng được lòng tin qua email, Google cho biết kẻ tấn công tiếp tục gửi một tệp PDF dài sáu trang có tiêu đề thư giả của Bộ Ngoại giao Mỹ hướng dẫn mục tiêu truy cập trang cài đặt tài khoản của Google, tạo mật khẩu dành riêng cho ứng dụng gồm 16 ký tự có nhãn “ms[.]state[.]gov” và gửi lại mã qua email để hoàn tất quá trình đăng nhập an toàn. Với mã này, tin tặc có thể truy cập liên tục, không cần xác thực MFA vào tài khoản Gmail của mục tiêu.
Meta bổ sung hỗ trợ đăng nhập Passkey vào Facebook cho người dùng Android và iOS
Ngày 18/6, Meta thông báo rằng họ sẽ bổ sung hỗ trợ cho Passkey, tiêu chuẩn mật khẩu thế hệ tiếp theo trên Facebook. “Passkey là một phương thức mới để xác minh danh tính và đăng nhập vào tài khoản của bạn, dễ dàng và an toàn hơn so với mật khẩu truyền thống”, gã khổng lồ công nghệ cho biết.
Hỗ trợ cho Passkey dự kiến sẽ sớm xuất hiện trên các thiết bị di động Android và iOS. Tính năng này cũng sẽ có trên nền tảng Messenger trong những tháng tới. Gã khổng lồ công nghệ cho biết mã khóa cũng có thể được sử dụng để tự động điền thông tin thanh toán khi mua hàng bằng Meta Pay.
Được biết, Passkey là giải pháp xác thực không cần mật khẩu cho phép người dùng đăng nhập an toàn vào các dịch vụ trực tuyến bằng cách sử dụng sinh trắc học hoặc mã PIN khóa thiết bị.
Tin tặc Kimsuky nhắm mục tiêu vào người dùng Facebook, email và Telegram tại Hàn Quốc
Nhóm tin tặc Kimsuky có liên hệ với Triều Tiên đã nhắm mục tiêu vào người dùng Facebook, email và Telegram tại Hàn Quốc, trong khoảng thời gian từ tháng 3 đến tháng 4/2025 như một phần của chiến dịch có tên là Triple Combo. Kẻ tấn công đã sử dụng một tài khoản có tên là Transitional Justice Mission để gửi yêu cầu kết bạn và tin nhắn trực tiếp tới nhiều cá nhân tham gia vào các hoạt động liên quan đến Triều Tiên.
Bên cạnh đó, tin tặc cũng đã chiếm đoạt một tài khoản Facebook khác để thực hiện hoạt động của mình. Sau đó, chúng cố gắng tiếp cận các mục tiêu qua email bằng cách sử dụng địa chỉ email thu được thông qua các cuộc trò chuyện trên Facebook Messenger. Ngoài ra, các tin tặc đã lợi dụng số điện thoại của nạn nhân để liên hệ lại với họ qua Telegram. Bất kể kênh nào được sử dụng, các hành động nhằm xây dựng lòng tin này đã kích hoạt một chuỗi lây nhiễm nhiều giai đoạn để phân phối phần mềm độc hại đã biết có tên là AppleSeed.
Chính quyền Kazakhstan và Singapore phá vỡ các mạng lưới tội phạm
Chính quyền Kazakhstan cho biết họ đã phá vỡ một mạng lưới sử dụng Telegram để bán trái phép dữ liệu cá nhân của công dân được trích xuất từ cơ sở dữ liệu của chính phủ. Theo các quan chức, hơn 140 nghi phạm đã bị bắt giữ liên quan đến âm mưu này, bao gồm cả chủ doanh nghiệp và những người được cho là quản trị viên của các kênh Telegram được sử dụng để rao bán thông tin bị đánh cắp. Nếu bị kết án, những nghi phạm này có thể phải đối mặt với mức án lên tới năm năm tù và tiền phạt.
Diễn biến này xảy ra khi Lực lượng Cảnh sát Singapore (SPF), hợp tác với các nhà chức trách từ Hồng Kông, Macao, Malaysia, Maldives, Hàn Quốc và Thái Lan, tuyên bố bắt giữ 1.800 đối tượng từ ngày 28/4 đến ngày 28/5 vì liên quan đến nhiều vụ lừa đảo trực tuyến khác nhau. Sáng kiến chống lừa đảo xuyên biên giới này có mật danh là Chiến dịch FRONTIER+. “Những đối tượng này, trong độ tuổi từ 14 đến 81, được cho là có liên quan đến hơn 9.200 vụ lừa đảo, chủ yếu bao gồm mạo danh quan chức chính phủ, lừa đảo đầu tư, mạo danh bạn bè, lừa đảo việc làm và thương mại điện tử, trong đó nạn nhân được báo cáo đã mất hơn 289 triệu đô la Singapore (khoảng 225 triệu đô la Mỹ)”, SPF cho biết.