Bản tin An toàn thông tin tuần số 07

Toàn cảnh về những sự kiện, tin tức nổi bật về bảo mật và an toàn thông tin trong Tuần 26 (23/6 - 29/6), Bản tin gồm các sự kiện an toàn thông tin nổi bật trong nước và quốc tế. Điểm nhấn tuần qua, Bộ Công an phối hợp cùng Google triển khai chiến dịch phòng, chống lừa đảo trực tuyến trên không gian mạng. Đặc biệt, Ban Cơ yếu Chính phủ đóng vai trò then chốt trong việc đảm bảo an ninh, an toàn cho Kỳ thi tốt nghiệp THPT 2025, góp phần tạo nên một kỳ thi công bằng, minh bạch và thành công.

ĐIỂM TIN TRONG NƯỚC

Đột phá công nghệ trong kỳ thi tốt nghiệp THPT 2025: Vai trò then chốt của Ban Cơ yếu Chính phủ

Chiều ngày 27/6, Bộ Giáo dục và Đào tạo (GD&ĐT) đã tổ chức họp báo về Kỳ thi tốt nghiệp THPT năm 2025, kỳ thi đầu tiên dành cho học sinh học theo Chương trình giáo dục phổ thông 2018 với nhiều điểm đổi mới quan trọng. Một trong những điểm nhấn đáng chú ý là sự hợp tác chặt chẽ với Ban Cơ yếu Chính phủ trong việc đảm bảo an ninh, an toàn tuyệt đối cho đề thi.

Phát biểu tại buổi Họp báo, Thứ trưởng Thường trực Bộ GD&ĐT Phạm Ngọc Thưởng, Trưởng Ban Chỉ đạo cấp quốc gia kỳ thi tốt nghiệp THPT năm 2025 nhấn mạnh, lần đầu tiên toàn bộ các tệp tin đề thi đã được mã hóa và truyền tải qua hệ thống thông tin của ngành Cơ yếu Việt Nam. Chỉ trong vòng vài phút, đề thi đã được gửi từ Hội đồng ra đề đến 63 tỉnh, thành phố trên cả nước. Để đảm bảo sự thành công này, Ban Cơ yếu Chính phủ đã xây dựng các giải pháp bảo mật toàn diện và lập kế hoạch triển khai chi tiết, phối hợp chặt chẽ với Bộ GD&ĐT. Kế hoạch này đã đặt ra những yêu cầu cụ thể để đảm bảo an toàn tuyệt đối cho đề thi.

Quốc hội thông qua Luật Bảo vệ dữ liệu cá nhân và Luật Khoa học, công nghệ và đổi mới sáng tạo

Sáng 26/6, Quốc hội thông qua dự án Luật Bảo vệ dữ liệu cá nhân với 433/435 đại biểu tham gia biểu quyết tán thành. Luật có hiệu lực thi hành từ ngày 01/01/2026. Trong đó, dữ liệu cá nhân là bí mật nhà nước phải được mã hóa, giải mã theo quy định của pháp luật về bảo vệ bí mật nhà nước và pháp luật về cơ yếu.

Tiếp tục kỳ họp thứ 9 Quốc hội khóa XV, với 435/438 đại biểu có mặt tán thành, Quốc hội đã thông qua Luật Khoa học, công nghệ và đổi mới sáng tạo gồm 73 điều, có hiệu lực từ ngày 01/10/2025. Luật xác lập các chính sách lớn nhằm thúc đẩy nghiên cứu, phát triển công nghệ và đổi mới sáng tạo trong cả nước, trong đó tập trung vào phát triển hạ tầng, khuyến khích mạo hiểm, khoán chi linh hoạt và miễn trừ trách nhiệm khi chấp nhận rủi ro.

Bộ Công an cùng Google triển khai chiến dịch phòng, chống lừa đảo trực tuyến trên không gian mạng

Sáng ngày 26/6, Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Cục A05 - Bộ Công an) đã phối hợp cùng Google chính thức triển khai Chiến dịch “An toàn hơn cùng Bộ Công an và Google”. Chiến dịch tuyên truyền nhằm trang bị cho cộng đồng kiến thức hữu ích giúp nhận diện và tránh xa các hình thức lừa đảo trực tuyến tinh vi, củng cố nền tảng an toàn cần thiết cho một xã hội số lành mạnh.

Tại sự kiện, Đại tá Nguyễn Huy Lục, Trưởng phòng 5 Cục A05 cho biết, tại Việt Nam hiện nay diễn ra 7 hình thức lừa đảo phổ biến nhất bao gồm: Lừa đảo mạo danh cơ sở giáo dục; Lừa đảo thu hồi vốn treo; Lừa đảo thanh toán dịch vụ; Lừa đảo mua bán và du lịch trực tuyến; Lừa đảo mạo danh cán bộ Công an, Viện Kiểm sát, Tòa án; Lừa đảo tình cảm trục lợi tài chính; Lừa đảo đầu tư trên nền tảng giả mạo.

Hội nghị Tập huấn triển khai phần mềm Hệ thống thông tin điều hành tác nghiệp tại Đảng bộ Chính phủ

Chiều ngày 26/6, Cục Cơ yếu Đảng – Chính quyền phối hợp với Văn phòng Trung ương Đảng, Văn phòng Chính phủ, Tập đoàn Công nghiệp - Viễn thông Quân đội (Viettel) tổ chức Hội nghị Tập huấn triển khai phần mềm Hệ thống thông tin điều hành tác nghiệp tại Đảng bộ Chính phủ.

Hội nghị tập huấn nhằm hướng dẫn, chuyển giao cho cán bộ công nghệ thông tin chuyên trách cách đấu nối thiết bị bảo mật kênh truyền, cài đặt phần mềm bảo mật ổ cứng VMMCrypt, cài đặt để sử dụng thiết bị USB Token ký số, mã hóa của ngành Cơ yếu để có thể chủ động triển khai tại đơn vị mình; Phối hợp với các đơn vị liên quan hướng dẫn cán bộ chuyên viên được giao sử dụng, xử lý văn bản mật trên phần mềm điều hành tác nghiệp các cơ quan Đảng sử dụng thiết bị USB Token để thực hiện ký số, mã hóa trên hệ thống điều hành tác nghiệp có tích hợp mật mã; Bàn giao các sản phẩm mật mã, hướng dẫn quản lý, sử dụng, triển khai theo đúng quy định của pháp luật, Luật Bảo vệ bí mật nhà nước, Luật Cơ yếu.

ĐIỂM TIN QUỐC TẾ

Mã độc SparkKitty nhắm đến người dùng iPhone và Android

Một mã độc mới có tên SparkKitty đang nhắm đến người dùng iPhone và Android, sử dụng công nghệ nhận diện ký tự quang học để quét ảnh, tìm kiếm mã khôi phục ví tiền mã hóa. Theo đó, mã độc này được các chuyên gia bảo mật Kaspersky phát hiện tháng 01/2025. Tuy nhiên, thời điểm hiện tại SparkKitty đã xuất hiện trên cửa hàng ứng dụng App Store và Google Play.

Tin tặc lạm dụng ConnectWise ScreenConnect để cài đặt mã độc bằng kỹ thuật Authenticode Stuffing

Các nhà nghiên cứu công ty bảo mật phần mềm G Data (Đức) đã lên tiếng cảnh báo về một chiến dịch tấn công mạng tinh vi, trong đó các tin tặc lợi dụng phần mềm truy cập từ xa ConnectWise ScreenConnect để cài đặt phần mềm độc hại đã được ký số hợp lệ, qua mặt hầu hết các giải pháp bảo mật truyền thống.

Các tin tặc đã khai thác kẽ hở trong cơ chế xác thực chữ ký số Authenticode trên Windows, kỹ thuật này được gọi là Authenticode Stuffing. Đây là một phương pháp tinh vi cho phép chèn nội dung độc hại vào phần mềm hợp pháp (bảng cấu hình), trong khi vẫn giữ nguyên tính xác thực của chữ ký số.

Cảnh báo chiến dịch độc hại OneClik

Một chiến dịch độc hại tinh vi với tên gọi “OneClik” đã lợi dụng công cụ triển khai phần mềm ClickOnce của Microsoft và backdoor Golang tùy chỉnh, nhằm xâm phạm các tổ chức trong lĩnh vực năng lượng, dầu mỏ và khí đốt. Tin tặc dựa vào các dịch vụ đám mây AWS hợp pháp (AWS, Cloudfront, API Gateway, Lambda) để giữ bí mật cơ sở hạ tầng điều khiển và ra lệnh (C2).

Các nhà nghiên cứu bảo mật tại công ty an ninh mạng Trellix (Mỹ) đã phân tích ba biến thể của chiến dịch (v1a, BPI-MDM và v1d), tất cả đều triển khai một backdoor Golang tinh vi có tên là RunnerBeacon, thông qua trình tải .NET OneClik. Mỗi phiên bản của chiến dịch OneClik đều có những kỹ thuật tấn công tiên tiến, che giấu máy chủ C2, chống phân tích mạnh mẽ và né tránh sandbox.

WinRAR khắc phục lỗ hổng Directory Traversal cho phép mã độc thực thi từ các tệp lưu trữ đã giải nén

WinRar mới đây đã phát hành bản vá nhằm khắc phục lỗ hổng Directory Traversal nghiêm trọng, cho phép tin tặc âm thầm cài đặt phần mềm độc hại vào hệ thống ngay khi người dùng giải nén tệp. Khi đó, WinRAR có thể bị đánh lừa để trích xuất các tệp tới các vị trí nhạy cảm, chẳng hạn như thư mục Startup hay thư mục hệ thống, thay vì đường dẫn cho người dùng chỉ định.

Lỗ hổng này có mã định danh CVE-2025-6218 (điểm CVSS: 7.8), ảnh hưởng đến các phiên bản WinRAR 7.11 trở về trước trên hệ điều hành Windows. Bản vá đã được phát hành với phiên bản WinRAR 7.12 beta 1.

Lỗ hổng WordPress Motors bị khai thác trên diện rộng để chiếm đoạt tài khoản quản trị

Tin tặc đang khai thác lỗ hổng leo thang đặc quyền nghiêm trọng trong WordPress Motors để chiếm đoạt tài khoản quản trị viên và giành quyền kiểm soát hoàn toàn một trang web mục tiêu.

Lỗ hổng được gán mã định danh CVE-2025-4322 và ảnh hưởng đến tất cả các phiên bản 5.6.67 trở về trước. Theo các nhà nghiên cứu, lỗ hổng leo thang đặc quyền này tồn tại do xác thực danh tính người dùng không phù hợp trong quá trình cập nhật mật khẩu, cho phép kẻ tấn công chưa xác thực thay đổi mật khẩu quản trị viên tùy ý.

Lỗ hổng Zimbra Classic Web Client cho phép thực thi mã JavaScript

Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Zimbra Classic Web Client, cho phép kẻ tấn công thực thi mã JavaScript tùy ý thông qua kỹ thuật Stored XSS. Được gán mã định danh CVE-2025-27915, việc khai thác thành công lỗ hổng này cho phép tin tặc có thể đánh cắp phiên cookie phiên, chiếm quyền truy cập email, giả mạo hành vi người dùng.

Lỗ hổng ảnh hưởng đến các phiên bản Zimbra Classic Web Client trước 9.0.0 Patch 46, 10.0.15 và 10.1.9. Đây là những phiên bản chưa được trang bị đầy đủ các cơ chế bảo vệ như mã hóa đầu ra (output encoding) hay chính sách bảo mật nội dung (CSP) đủ mạnh để chống lại việc chèn mã độc.

Citrix phát hành bản vá khắc phục lỗ hổng zero-day của NetScaler

Citrix đã phát hành bản vá bảo mật cho lỗ hổng nghiêm trọng mới được phát hiện, (CVE-2025-6543, điểm CVSS: 9.2) ảnh hưởng đến NetScaler ADC và NetScaler Gateway. Đây là lỗ hổng tràn bộ nhớ có thể dẫn đến luồng điều khiển (control flow) không mong muốn và từ chối dịch vụ.

Gã khổng lồ công nghệ cho biết chỉ những cài đặt NetScaler với cấu hình là Gateway (máy chủ ảo VPN, ICA Proxy, CVPN, RDP Proxy) hoặc máy chủ ảo xác thực, ủy quyền và kiểm toán (AAA) mới bị ảnh hưởng. Các bản vá cho lỗ hổng zero-day này đã được phát hành trên NetScaler ADC và NetScaler Gateway, với các phiên bản 14.1-47.46 và 13.1-59.19, cũng như NetScaler ADC 13.1-FIPS và 13.1-NDcPP 13.1-37.236.

Cisco cảnh báo về lỗ hổng RCE nghiêm trọng trong Identity Services Engine

Vừa qua, Cisco đã cảnh báo về hai lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng, chưa được xác thực ảnh hưởng đến Cisco Identity Services Engine (ISE) và Passive Identity Connector (ISE-PIC) của hãng.

Các lỗ hổng được theo dõi với mã định danh CVE-2025-20281 và CVE-2025-20282 với điểm CVSS: 10.0. Lỗ hổng đầu tiên ảnh hưởng đến ISE và ISE-PIC phiên bản 3.4 và 3.3, trong khi lỗ hổng thứ hai chỉ ảnh hưởng đến phiên bản 3.4. Nếu khai thác thành công hai lỗ hổng này, kẻ tấn công có thể xâm nhập và chiếm quyền điều khiển từ xa thiết bị mục tiêu mà không cần bất kỳ xác thực hoặc tương tác nào của người dùng.

Tin tặc nhắm vào người dùng Trung Quốc bằng RAT và Rootkit

Công ty bảo mật phần mềm Netskope (Mỹ) cảnh báo, tin tặc Silver Fox đã phân phối các trình cài đặt giả mạo qua các trang web để lây nhiễm người dùng tại Trung Quốc bằng Trojan truy cập từ xa (RAT) và Rootkit. Ngụy trang thành phần mềm hợp pháp, chẳng hạn như WPS Office, Sogou và DeepSeek, trình cài đặt độc hại triển khai biến thể Gh0stRAT có tên là Sainbox RAT và Rootkit Hidden, có khả năng xâm nhập bí mật vào hệ thống của nạn nhân.

Sainbox RAT cho phép kẻ tấn công đánh cắp thông tin và thực hiện các hành động độc hại khác. Trong khi Rootkit Hidden cung cấp khả năng ẩn payload, ngăn chặn việc chấm dứt tiến trình và ngăn chặn phát hiện.

SonicWall cảnh báo về NetExtender bị Trojan hóa đánh cắp thông tin đăng nhập VPN

SonicWall đang cảnh báo khách hàng rằng các tác nhân đe dọa đang phát tán phiên bản trojan của VPN SSL NetExtender client, được sử dụng để đánh cắp thông tin đăng nhập VPN. Phần mềm giả mạo này được các nhà nghiên cứu của SonicWall và Microsoft Threat Intelligence (MSTIC) phát hiện, mô phỏng phần mềm NetExtender v10.3.2.27 hợp pháp (phiên bản mới nhất).

Tệp cài đặt độc hại được lưu trữ trên một trang web giả mạo được tạo ra giống như trang web chính thức, đánh lừa người truy cập nghĩ rằng họ đang tải xuống phần mềm từ SonicWall. Mục tiêu của ứng dụng Trojan là đánh cắp cấu hình VPN và thông tin tài khoản, sau đó gửi những thông tin này cho kẻ tấn công chưa xác thực từ xa.

Lỗ hổng ứng dụng kết nối Xiaomi cho phép truy cập trái phép thiết bị

Một lỗ hổng nghiêm trọng vừa được phát hiện trong ứng dụng Xiaomi Interconnectivity, cho phép tin tặc truy cập thiết bị người dùng mà không cần xác thực. Lỗ hổng có mã định danh CVE-2024-45347 (điểm CVSS: 9.6), bắt nguồn từ lỗi cơ chế xác thực truy cập của ứng dụng. Tin tặc có thể lợi dụng điểm yếu này để vượt qua các bước kiểm tra bảo mật, gửi yêu cầu độc hại và chiếm quyền điều khiển thiết bị chạy phần mềm bị ảnh hưởng.

Giả mạo ứng dụng Zoom để đánh cắp dữ liệu

Các chuyên gia an ninh mạng vừa cảnh báo về một chiến dịch tấn công mạng mới sử dụng ứng dụng Zoom giả mạo để đánh cắp dữ liệu người dùng, đặc biệt là ví tiền điện tử tại nhiều tổ chức ở Bắc Mỹ, châu Âu và khu vực châu Á - Thái Bình Dương.

Chiến dịch này được cho là do nhóm tin tặc BlueNoroff của Triều Tiên thực hiện, những kẻ tấn công đã tạo ra các ứng dụng Zoom giả mạo nhằm mục tiêu chiếm quyền truy cập vào ví tiền điện tử, tài khoản tài chính và các dữ liệu nhạy cảm khác. Hoạt động tấn công thường bắt đầu bằng một AppleScript lừa đảo, thiết kế trông giống như đang thực hiện bảo trì SDK của Zoom thông thường. Các nhà phân tích đã phát hiện ra đoạn script này với khoảng 10.000 dòng trống để che giấu các lệnh độc hại nằm sâu bên trong. Những lệnh này sử dụng một yêu cầu curl để âm thầm tải xuống phần mềm độc hại từ một miền giả mạo là zoom-tech[.]us.

Microsoft 365 Direct Send bị lạm dụng để lừa đảo

Một chiến dịch lừa đảo đang diễn ra lợi dụng một tính năng ít được biết đến trong Microsoft 365 có tên là “Direct Send” để đánh cắp thông tin đăng nhập. Theo báo cáo của công ty bảo mật Varonis (Mỹ), kẻ tấn công đã lợi dụng tính năng không yêu cầu xác thực của Direct Send để gửi email giả mạo, vượt qua các biện pháp kiểm soát bảo mật mà không cần phải xâm phạm tài khoản nào trong tổ chức mục tiêu.

Hạ viện Mỹ cấm sử dụng WhatsApp trong nội bộ

Do lo ngại về vấn đề an ninh và bảo mật, Giám đốc hành chính (CAO) Hạ viện Mỹ ngày 23/6 đã ra thông báo cấm toàn bộ nhân viên sử dụng ứng dụng WhatsApp trên các thiết bị của chính phủ.

Theo email nội bộ, CAO trích dẫn sự thiếu minh bạch về các hoạt động bảo mật và quyền riêng tư dữ liệu của WhatsApp là lý do cho lệnh cấm. Vì vậy, nhân viên Hạ viện không được phép tải xuống WhatsApp trên thiết bị của chính phủ hoặc truy cập ứng dụng trên điện thoại thông minh hoặc máy tính để bàn của họ. Các nhân viên cũng được yêu cầu xóa WhatsApp khỏi thiết bị nếu họ đã cài đặt từ trước.