ĐIỂM TIN TRONG NƯỚC
Hơn 200 quốc gia và tổ chức quốc tế đăng ký tham dự Lễ mở ký Công ước Hà Nội
Chiều ngày 8/10, tại Hà Nội, Bộ Ngoại giao phối hợp với Bộ Công an tổ chức Họp báo quốc tế Lễ mở ký Công ước của Liên Hợp Quốc về chống tội phạm mạng (Công ước Hà Nội). Việt Nam sẽ đăng cai tổ chức Lễ mở ký và Hội nghị cấp cao về Công ước Liên Hợp Quốc về chống tội phạm mạng, với chủ đề “Chống tội phạm mạng - Chia sẻ trách nhiệm - Hướng tới tương lai” tại Thủ đô Hà Nội vào các ngày 25 và 26/10/2025.
Chương trình dự kiến ngoài phiên khai mạc và bế mạc, Lễ mở ký và Hội nghị cấp cao sẽ có 1 phiên thảo luận toàn thể, 1 phiên ký, 4 phiên thảo luận cấp cao và 4 phiên trao đổi bàn tròn, 1 Gala dinner, Triển lãm về công nghệ do Chính phủ Việt Nam và Ban Thư ký Liên Hợp Quốc phối hợp tổ chức. Dự kiến Chủ tịch nước Lương Cường và Tổng Thư ký Liên Hợp Quốc António Guterres sẽ phát biểu tại phiên khai mạc.
Thành lập Ban Chỉ đạo Lễ mở ký Công ước của Liên hợp quốc về chống tội phạm mạng
Ngày 08/10, Thủ tướng Chính phủ Phạm Minh Chính ký Quyết định số 2222/QĐ-TTg thành lập Ban Chỉ đạo Lễ mở ký Công ước của Liên hợp quốc về chống tội phạm mạng và các sự kiện liên quan tại Việt Nam. Ban Chỉ đạo có nhiệm vụ, quyền hạn: Tham mưu, đề xuất các phương án, giải pháp, cách làm cụ thể, hiệu quả để thực hiện các hoạt động cho Lễ mở ký Công ước Liên hợp quốc về chống tội phạm mạng và các sự kiện liên quan tại Việt Nam; giúp Thủ tướng Chính phủ chỉ đạo, điều hòa phối hợp và đôn đốc các Bộ, ngành, địa phương liên quan trong quá trình tổ chức Lễ mở ký Công ước Liên hợp quốc về chống tội phạm mạng và các sự kiện liên quan tại Việt Nam và thực hiện các nhiệm vụ khác theo yêu cầu của Thủ tướng Chính phủ.
Diễn đàn “Đối thoại chính sách tài sản mã hóa: Từ Quản lý rủi ro đến Kiến tạo thị trường”.
Ngày 08/10, UBND Thành phố Đà Nẵng phối hợp cùng Ủy ban Chứng khoán Nhà nước (UBCKNN), Hiệp hội Blockchain và Tài sản số Việt Nam (VBA) tổ chức Diễn đàn “Đối thoại chính sách tài sản mã hóa: Từ Quản lý rủi ro đến Kiến tạo thị trường”. Theo ông Phan Đức Trung, Chủ tịch VBA, cùng với cơ hội mở rộng, các thách thức về an toàn tài chính cũng ngày càng rõ nét. Năm 2024, Trung tâm Khiếu nại Tội phạm Mạng (IC3) thuộc FBI IC3 ghi nhận thiệt hại toàn cầu từ lừa đảo tài sản số hơn 9,3 tỷ USD, tăng gần 70% so với năm trước; Việt Nam được xếp trong nhóm sáu điểm nóng toàn cầu về dòng tiền gian lận.
Trong bối cảnh đó, công nghệ tuân thủ (regtech) chính là cầu nối để dung hòa giữa sáng tạo và tuân thủ. Việc ứng dụng các giải pháp regtech như e-KYC, AI chống giả mạo, phân tích dữ liệu lớn hay các nền tảng truy vết on-chain đã chứng minh khả năng nhận diện sớm giao dịch bất thường, hỗ trợ điều tra và bảo vệ nhà đầu tư.
Bế mạc diễn tập thực chiến bảo đảm an toàn thông tin Ban Cơ yếu Chính phủ năm 2025
Sau 5 ngày triển khai thực hiện diễn tập với tinh thần hết sức tập trung và nghiêm túc (từ ngày 03/10 - 07/10), vào sáng ngày 10/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (CNTT&GSANM), Ban Cơ yếu Chính phủ đã tổ chức bế mạc diễn thực chiến bảo đảm an toàn thông tin cho hệ thống Cổng thông tin điện tử Ban Cơ yếu Chính phủ.
Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ phát biểu chỉ đạo
Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ biểu dương và gửi lời cảm ơn đến các đội tham gia, ghi nhận sự phối hợp chặt chẽ của các cơ quan, đơn vị, nhấn mạnh các đội đã phát huy tinh thần gắn kết, góp phần tạo nên sức mạnh phòng vệ - sức mạnh bảo vệ chủ quyền không gian mạng quốc gia. Đồng chí Phó Trưởng ban yêu cầu Trung tâm CNTT&GSANM báo cáo kết quả chi tiết về kết quả hoạt động diễn tập, đề xuất những giải pháp bảo mật cụ thể nhằm bảo đảm an toàn thông tin cho các hệ thống thông tin Cơ yếu, các sản phẩm và dịch vụ mật mã của ngành Cơ yếu Việt Nam. Cùng với đó, tăng cường phối hợp với các đơn vị chuyên trách về giám sát an ninh mạng để trao đổi, học tập và chia sẻ kinh nghiệm, từ đó nâng cao năng lực trong công tác phát hiện, theo dõi và cảnh báo an ninh mạng.
Phát động cuộc thi sinh viên an ninh mạng 2025
Ngày 08/10, cuộc thi sinh viên an ninh mạng 2025 với chủ đề “An ninh dữ liệu và bảo vệ dữ liệu cá nhân” đã chính thức được phát động. Sự kiện do Hiệp hội An ninh mạng Quốc gia (NCA) chủ trì, dưới sự bảo trợ của Bộ Công an và Bộ Giáo dục và Đào tạo, hứa hẹn một sân chơi trí tuệ đỉnh cao và quy mô lớn dành cho sinh viên toàn quốc.
Cuộc thi được thiết kế với hai vòng: Vòng sơ khảo sẽ diễn ra trực tuyến vào ngày 18/10 theo hình thức Jeopardy CTF, kiểm tra kiến thức chuyên sâu của thí sinh qua các lĩnh vực như khai thác lỗi phần mềm (Pwnable), dịch ngược (Reverse Engineering), bảo mật web và giải mã thuật toán. Vòng chung khảo, dự kiến tổ chức vào ngày 15/11 tại trụ sở Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05).
Chiến dịch “Không Một Mình”: Chung tay bảo vệ trẻ em trước nguy cơ lừa đảo trực tuyến
Sáng ngày 10/10, tại Hà Nội, Liên minh Niềm Tin Số chính thức phát động Chiến dịch truyền thông “Không Một Mình” với thông điệp “Cùng nhau an toàn trực tuyến”, nhằm bảo vệ thanh thiếu niên trước các hành vi dụ dỗ, thao túng, lừa đảo và “bắt cóc trực tuyến”, vấn nạn đang gia tăng trong kỷ nguyên số. Với quy mô cấp quốc gia, chiến dịch dự kiến truyền thông trực tiếp đến hơn 12 triệu thanh thiếu niên từ 12-24 tuổi, mở rộng tới 22 triệu học sinh, sinh viên trên toàn quốc, những chủ nhân tương lai của đất nước nhưng cũng là nhóm dễ tổn thương nhất trước các chiêu trò dụ dỗ, thao túng và tội phạm mạng. Cùng với đó, chiến dịch hướng tới hàng triệu giáo viên và phụ huynh - “lá chắn” đầu tiên bảo vệ trẻ em trong môi trường trực tuyến.
Nhóm tin tặc BatShadow đến từ Việt Nam dùng chiêu trò tuyển dụng ảo để phát tán mã độc Vampire Bot
Một chiến dịch tấn công mới từ các tác nhân đe dọa BatShadow đến từ Việt Nam, vừa được các công ty an ninh mạng Aryaka phát hiện, được cho là nhắm mục tiêu vào những người đang tìm việc, các chuyên viên digital marketing tại Việt Nam nhằm phát tán mã độc dựa trên Go có tên là Vampire Bot, thông qua kỹ nghệ xã hội rất tinh vi. Phần mềm độc hại này có khả năng lập hồ sơ máy chủ bị xâm nhập, thu thập dữ liệu quan trọng như thông tin hệ thống, mã định danh phần cứng và thông tin chi tiết về các sản phẩm bảo mật đã cài đặt. Một chức năng cốt lõi của Vampire Bot là giám sát máy tính liên tục, trong đó bao gồm chụp ảnh màn hình để đánh cắp dữ liệu.
Những kẻ tấn công giả danh các nhà tuyển dụng hoặc công ty lớn như Marriott, gửi tới nạn nhân tệp ZIP chứa các tài liệu có vẻ hợp pháp. Bên trong tệp tin này lại ẩn chứa tệp shortcut LNK hoặc exe, ngụy trang bằng biểu tượng PDF. Khi người dùng mở ra, PowerShell độc hại sẽ được kích hoạt, tải xuống một tài liệu PDF mồi nhử từ máy chủ bên ngoài nhằm đánh lừa nạn nhân rằng họ đang xem mô tả công việc thật.
Ban hành Khung kiến trúc tổng thể quốc gia số
Bộ Khoa học và Công nghệ vừa ban hành Khung kiến trúc tổng thể quốc gia số nhằm tạo nền tảng thống nhất cho tiến trình xây dựng và vận hành quốc gia số, trong đó xác định những thành phần dùng chung, cơ bản nhất cho các cơ quan trong hệ thống chính trị các cấp; bảo đảm an ninh mạng, an toàn thông tin; bảo đảm kết nối, chia sẻ, dùng chung tài nguyên, dữ liệu; tránh trùng lặp trên quy mô quốc gia; đồng thời hỗ trợ phát triển kinh tế - xã hội, phục vụ người dân, doanh nghiệp.
ĐIỂM TIN QUỐC TẾ
FBI phá hủy cổng thông tin BreachForums được sử dụng để tống tiền Salesforce
Cục Điều tra Liên bang Mỹ (FBI) đã tịch thu một tên miền BreachForums, được nhóm tin tặc ShinyHunters sử dụng làm trang web tống tiền rò rỉ dữ liệu cho các cuộc tấn công Salesforce trên diện rộng. Ngày 07/10, cả trang web clearnet breachforums[.]hn và Tor đều ngừng hoạt động. Mặc dù trang Tor đã nhanh chóng được khôi phục trở lại, nhưng tên miền BreachForums vẫn không thể truy cập được, do các tên miền của trang này đã được chuyển sang máy chủ Cloudflare. Theo thông báo, các cơ quan thực thi pháp luật ở Mỹ và Pháp đã hợp tác để kiểm soát cơ sở hạ tầng web BreachForums trước khi tin tặc Scattered Lapsus$ Hunters bắt đầu làm rò rỉ dữ liệu từ các vụ vi phạm của Salesforce.
Salesforce từ chối trả tiền chuộc cho các cuộc tấn công đánh cắp dữ liệu trên diện rộng
Ngày 07/10, Salesforce xác nhận họ sẽ không đàm phán hoặc trả tiền chuộc cho những kẻ đe dọa đứng sau làn sóng tấn công đánh cắp dữ liệu lớn, ảnh hưởng đến khách hàng của công ty trong năm nay. Theo đó, Salesforce đã gửi email cho khách hàng để thông báo rằng, họ sẽ không trả tiền chuộc và cảnh báo “thông tin tình báo đáng tin cậy” cho thấy những kẻ tấn công đang có kế hoạch làm rò rỉ dữ liệu bị đánh cắp. Tuyên bố này được đưa ra sau khi một trang web rò rỉ dữ liệu được các tác nhân đe dọa gọi là “Scattered Lapsus$ Hunters” ra mắt, nhằm mục đích tống tiền 39 công ty có dữ liệu bị đánh cắp từ Salesforce. này.
Nhóm tin tặc Crimson Collective nhắm mục tiêu vào các phiên bản đám mây AWS để đánh cắp dữ liệu
Nhóm tin tặc Crimson Collective đã nhắm mục tiêu vào nền tảng đám mây AWS (Amazon Web Services) trong nhiều tuần qua để đánh cắp dữ liệu và tống tiền các công ty. Một phân tích từ các nhà nghiên cứu tại Rapid7 cung cấp thêm thông tin về hoạt động của Crimson Collective, bao gồm việc xâm phạm các khóa truy cập AWS dài hạn và tài khoản quản lý danh tính truy cập (IAM) để leo thang đặc quyền. Kẻ tấn công sử dụng công cụ mã nguồn mở TruffleHog để phát hiện thông tin đăng nhập AWS bị lộ. Sau khi chiếm được quyền truy cập, chúng tạo người dùng IAM và hồ sơ đăng nhập mới thông qua các lệnh gọi API, đồng thời tạo khóa truy cập mới.
Tin tặc khai thác lỗ hổng xác thực trong giao diện WordPress Service Finder
Ngày 07/10, công ty bảo mật plugin WordPress Wordfence cảnh báo, kẻ tấn công đang tích cực khai thác lỗ hổng nghiêm trọng trong giao diện WordPress Service Finder, cho phép chúng bypass xác thực và đăng nhập với tư cách quản trị viên. Lỗ hổng bị khai thác trong các cuộc tấn công gần đây nhất được theo dõi với mã định danh CVE-2025-5947 (điểm CVSS: 9.8), ảnh hưởng đến Service Finder phiên bản 6.0 trở về trước, xuất phát từ việc xác thực không đúng cookie original_user_id trong hàm service_finder_switch_back().
Dữ liệu Honeypot cho thấy các cuộc tấn công ICS/OT từ Nga và Iran
Một honeypot ICS/OT do Forescout thiết kế, được sử dụng để mô phỏng một quy trình xử lý nước, đã bị một nhóm tin tặc đến từ Nga là TwoNet nhắm mục tiêu, cố gắng làm hỏng HMI, phá hoại các quy trình và thao túng các hệ thống ICS khác. Các tin tặc TwoNet được biết đến hoạt động theo chủ nghĩa hacktivist, nhưng nhiều hoạt động của nhóm này dường như được thúc đẩy bởi lợi nhuận. Bên cạnh đó, Honeypot của Forescout cũng phát hiện các nỗ lực tấn công có liên quan đến các tin tặc khác của Iran.
Tin tặc Triều Tiên đánh cắp hơn 2 tỷ USD tiền điện tử trong năm nay
Ngày 07/10, các chuyên gia blockchain tại Elliptic cho biết, tin tặc Triều Tiên đã đánh cắp số tài sản tiền điện tử ước tính trị giá 2 tỷ USD trong năm 2025, đánh dấu tổng số tiền đánh cắp hằng năm lớn nhất từng được ghi nhận. Con số này gần gấp ba lần so với năm 2024 và vượt xa kỷ lục trước đó là 1,35 tỷ USD vào năm 2022, phần lớn là do các cuộc tấn công Ronin Network và Harmony Bridge.
Gã khổng lồ điện tử Avnet xác nhận bị vi phạm dữ liệu
Nhà phân phối linh kiện điện tử Avnet vừa qua xác nhận bị vi phạm dữ liệu, tuy nhiên lưu ý rằng thông tin bị đánh cắp không thể đọc được nếu không có các công cụ độc quyền. Người phát ngôn của Avnet cho biết sự cố xảy ra sau khi những kẻ tấn công trái phép truy cập vào cơ sở dữ liệu được lưu trữ trên một dịch vụ bên ngoài, nơi lưu trữ thông tin được sử dụng trong khu vực EMEA (châu Âu, Trung Đông, châu Phi).
Tin tặc đánh cắp dữ liệu từ công ty BK Technologies
Ngày 06/10, nhà cung cấp giải pháp thiết bị thông tin liên lạc - BK Technologies Corp tiết lộ rằng, hệ thống công nghệ thông tin của họ đã bị tấn công thời gian gần đây. Theo hồ sơ gửi Ủy ban Chứng khoán và Giao dịch Mỹ (SEC), công ty cho biết phát hiện ra vụ xâm nhập vào ngày 20/9/2025. Ngay sau đó, một cuộc điều tra đã được tiến hành với các biện pháp ứng phó khẩn cấp. Tin tặc có thể đã truy cập và và lấy được thông tin nội bộ được lưu trữ trong hệ thống của công ty. Theo tiết lộ, các tệp tin bị rò rỉ có thể chứa hồ sơ liên quan đến những cá nhân hiện đang hoặc đã từng làm việc cho BK Technologies Corp.
Lỗ hổng Kibana Crowdstrike Connector làm rò rỉ khóa API nhạy cảm
Một lỗ hổng bảo mật nghiêm trọng (CVE-2025-37728) vừa được phát hiện trong Kibana CrowdStrike Connector, có khả năng cho phép kẻ tấn công truy cập các thông tin xác thực CrowdStrike được lưu trữ trên nhiều workspace khác nhau. Nguyên nhân của sự cố xuất phát từ việc bảo vệ không đầy đủ các thông tin xác thực được lưu trong bộ nhớ đệm khi connector được tạo ở một workspace. Elastic đã phát hành bản vá và khuyến nghị tất cả người dùng nâng cấp ngay để tránh rò rỉ các khóa API nhạy cảm do CVE-2025-37728 gây ra.
Tin tặc tuyên bố Discord bị xâm phạm và làm rò rỉ dữ liệu của 5,5 triệu người dùng
Discord cho biết họ sẽ không trả tiền chuộc cho những kẻ đe dọa tuyên bố đã đánh cắp dữ liệu của 5,5 triệu người dùng từ hệ thống hỗ trợ Zendesk của công ty, bao gồm cả ID chính phủ và thông tin thanh toán của một số người dùng. Trong khi những kẻ tấn công tuyên bố vụ vi phạm xảy ra thông qua dịch vụ hỗ trợ Zendesk của Discord, công ty vẫn chưa xác nhận điều này và chỉ mô tả vụ việc liên quan đến dịch vụ của bên thứ ba được sử dụng để hỗ trợ khách hàng.
Theo tác nhân đe dọa, chúng truy cập vào phiên bản Zendesk của Discord trong 58 giờ kể từ ngày 20/9/2025. Tuy nhiên, những kẻ tấn công nhấn mạnh vụ vi phạm không bắt nguồn từ lỗ hổng bảo mật hoặc vi phạm của Zendesk, mà xuất phát từ tài khoản bị xâm phạm thuộc về một nhân viên hỗ trợ được Discord thuê từ tổ chức thứ 3.
Vi phạm dữ liệu của Red Hat leo thang khi ShinyHunters tham gia hoạt động tống tiền
Gã khổng lồ phần mềm Red Hat hiện đang bị nhóm tin tặc ShinyHunters tống tiền bằng cách rò rỉ các mẫu báo cáo về mức độ tương tác của khách hàng (CER) bị đánh cắp trên trang web rò rỉ dữ liệu của nhóm này. Tin tức về vụ vi phạm dữ liệu của Red Hat nổ ra vào tuần trước, khi một nhóm tin tặc có tên Crimson Collective tuyên bố đã đánh cắp gần 570 GB dữ liệu nén trên 28.000 kho lưu trữ phát triển nội bộ. Ngay sau khi vụ vi phạm được tiết lộ, những kẻ tấn công có tên Scattered Lapsus$ Hunters đã tìm cách liên lạc với Crimson Collective. Trong một diễn biến mới nhất, Crimson Collective thông báo họ đã hợp tác với Scattered Lapsus$ Hunters để sử dụng trang web rò rỉ dữ liệu ShinyHunters mới ra mắt nhằm tiếp tục nỗ lực tống tiền Red Hat.
ZDI phát hiện 13 lỗ hổng chưa được vá trong Ivanti Endpoint Manager
Tuần này, Sáng kiến ZDI của Trend Micro công bố 13 khuyến cáo mô tả các lỗ hổng chưa được vá trong Ivanti Endpoint Manager. Một trong những lỗ hổng này cho phép kẻ tấn công cục bộ leo thang đặc quyền của chúng và đã được báo cáo cho Ivanti vào tháng 11/2024. 12 lỗ hổng còn lại dẫn đến thực thi mã từ xa và được báo cáo vào tháng 6/2025. Mặc dù về mặt kỹ thuật, các lỗ hổng này không phải là zero-day, ZDI vẫn đánh dấu tất cả các lỗ hổng chưa được vá. Các khuyến cáo của ZDI nêu tên thành phần dễ bị tấn công và cung cấp mô tả chung về nguyên nhân sự cố, nhưng không cho biết bất kỳ chi tiết kỹ thuật nào khác.
Lỗ hổng SQL injection của FreePBX bị khai thác
Theo Whitehat, lỗ hổng SQL injection với mã định danh CVE-2025-57819 vừa bị phát hiện trên FreePBX (giao diện quản trị web phổ biến cho tổng đài Asterisk), cho phép kẻ tấn công chèn lệnh vào cơ sở dữ liệu và biến thao tác đó thành thực thi mã từ xa trên máy chủ tổng đài. Vấn đề đã được ghi nhận là đang bị khai thác tích cực trên Internet. Kẻ tấn công đã lợi dụng endpoint “ajax.php” bằng cách gửi tham số brand có chuỗi SQL độc hại. Thay vì chỉ ghi dữ liệu bình thường, payload có thể chèn một bản ghi mới vào bảng cron_jobs, trong đó chứa lệnh giải mã base64 để tạo một file PHP web-accessible. Khi cron chạy, tệp này thực thi lệnh hệ thống (và tự xóa để che dấu dấu vết.
Phần mềm độc hại tinh vi được triển khai trong các cuộc tấn công Oracle EBS Zero-Day
Google Threat Intelligence Group (GTIG) và Mandiant tiếp tục phân tích chiến dịch tống tiền Oracle E-Business Suite (EBS) gần đây, các nhà nghiên cứu đã xác định được một số phần mềm độc hại được triển khai trong các cuộc tấn công. Những kẻ tấn công tạo ra một mẫu độc hại trong cơ sở dữ liệu Oracle EBS dễ bị tấn công, lưu trữ payload được kích hoạt ở giai đoạn cuối cùng của chuỗi khai thác. Một trong số đó là trình tải xuống được Google theo dõi với tên gọi GoldVein.Java, cố gắng tải payload giai đoạn hai từ máy chủ điều khiển và ra lệnh (C2) của kẻ tấn công.
Thiết bị của Cisco, Fortinet, Palo Alto Networks bị nhắm mục tiêu
GreyNoise phát hiện ra ba chiến dịch khai thác nhắm vào tường lửa Cisco, Palo Alto Networks cũng như VPN Fortinet bắt nguồn từ các IP trên cùng một mạng con. Công ty tình báo mối đe dọa ban đầu từng cảnh báo về các nỗ lực rà quét nhắm vào các thiết bị Cisco ASA vào đầu tháng 9/2025, khoảng ba tuần trước khi Cisco tiết lộ 02 lỗ hổng zero-day ảnh hưởng đến phần mềm Secure Firewall Adaptive Security Appliance (ASA) và Secure Firewall Threat Defense (FTD). Các lỗ hổng được theo dõi là CVE-2025-20333 (điểm CVSS: 9.9) và CVE-2025-20362 (điểm CVSS: 6.5), đã bị khai thác trong các cuộc tấn công liên quan đến chiến dịch gián điệp ArcaneDoor, được cho là do tin tặc Trung Quốc thực hiện.
Tin tặc xâm nhập vào Công ty luật Williams & Connolly thông qua lỗ hổng Zero-Day
Công ty luật Williams & Connolly cho biết, tin tặc được nhà nước bảo trợ đã xâm phạm một số hệ thống của họ và truy cập vào tài khoản email của luật sư. Theo tuyên bố mới đây, một cuộc điều tra được tiến hành với sự hỗ trợ của CrowdStrike cho thấy kẻ tấn công đã khai thác lỗ hổng zero-day chưa xác định để truy cập vào một số tài khoản email của các luật sư. Williams & Connolly chia sẻ không có bằng chứng nào cho thấy dữ liệu secret của khách hàng bị đánh cắp hoặc các bộ phận khác của hệ thống công nghệ thông tin của công ty bị xâm phạm. Mặc dù tuyên bố không đề cập đến quốc gia nào, tuy nhiên tờ New York Times cho rằng, tin tặc Trung Quốc đã nhắm mục tiêu vào Williams & Connolly cùng với các công ty luật khác.
Lỗ hổng trò chuyện GitHub Copilot làm rò rỉ dữ liệu từ các kho lưu trữ riêng tư
Ngày 08/10, Legit Security báo cáo chi tiết về lỗ hổng bảo mật trong trợ lý AI GitHub Copilot Chat, dẫn đến rò rỉ dữ liệu nhạy cảm và kiểm soát hoàn toàn các phản hồi của Copilot. Kết hợp bypass Chính sách bảo mật nội dung (CSP) thông qua prompt injection từ xa, nhà nghiên cứu Omer Mayraz của Legit Security có thể làm rò rỉ khóa AWS và lỗi zero-day từ các kho lưu trữ riêng tư, đồng thời tác động đến phản hồi mà Copilot cung cấp cho những người dùng khác.
Bình luận ẩn vẫn sẽ kích hoạt thông báo yêu cầu pull thông thường đến chủ sở hữu kho lưu trữ, nhưng không hiển thị nội dung bình luận. Tuy nhiên, lời nhắc cũng được đưa vào ngữ cảnh của những người dùng khác. Mayraz giải thích rằng tính năng bình luận ẩn cho phép người dùng tác động đến Copilot để hiển thị các đề xuất code cho người dùng khác, bao gồm cả các gói độc hại.
Redis cảnh báo về lỗ hổng nghiêm trọng ảnh hưởng đến hàng nghìn trường hợp
Tuần qua, nhóm bảo mật Redis đã phát hành bản vá cho lỗ hổng nghiêm trọng có thể cho phép kẻ tấn công thực thi mã từ xa trên hàng nghìn phiên bản dễ bị tấn công. Lỗ hổng được theo dõi với mã định danh CVE-2025-49844, xuất phát từ điểm yếu use-after-free đã tồn tại 13 năm trong mã nguồn Redis.
Việc khai thác thành công cho phép tin tặc thoát khỏi sandbox Lua, thiết lập reverse shell để truy cập liên tục và thực thi mã tùy ý trên các máy chủ Redis được nhắm mục tiêu. Sau khi xâm nhập, kẻ tấn công có thể đánh cắp thông tin đăng nhập, triển khai phần mềm độc hại hoặc công cụ khai thác tiền điện tử, trích xuất dữ liệu nhạy cảm từ Redis, di chuyển ngang hàng sang các hệ thống khác trong mạng của nạn nhân hoặc sử dụng thông tin bị đánh cắp để truy cập vào các dịch vụ đám mây.
Biến thể mới của backdoor XWorm với hơn 35 plugin độc hại
Các phiên bản mới của backdoor Xworm, bao gồm 6.0, 6.4 và 6.5, hiện đang được phát tán trong các chiến dịch lừa đảo. Đáng chú ý, chúng hỗ trợ hơn 35 plugin cho phép thực hiện nhiều hoạt động độc hại khác nhau. Các tin tặc có thể sử dụng các mô-đun này để đánh cắp dữ liệu từ trình duyệt và ứng dụng, kiểm soát máy chủ thông qua máy tính từ xa và quyền truy cập shell, cũng như mã hóa hoặc giải mã tệp.
Trong báo cáo từ tháng 9/2025, các nhà nghiên cứu Trellix cho biết, chuỗi lây nhiễm XWorm đã phát triển với các kỹ thuật bổ sung, bên cạnh các cuộc tấn công qua email truyền thống. Email và các tệp LNK vẫn là phương thức truy cập ban đầu phổ biến, nhưng phần mềm độc hại cũng sử dụng tên tệp .exe trông có vẻ hợp pháp để ngụy trang thành các ứng dụng vô hại như Discord.
Vi phạm dữ liệu tại Doctors Imaging Group ảnh hưởng đến 171.000 cá nhân
Doctors Imaging Group, một cơ sở chăm sóc sức khỏe tại Mỹ hiện đang thông báo cho khách hàng về vụ vi phạm dữ liệu xảy ra gần một năm trước. Theo đó, các tin tặc đã truy cập vào mạng lưới của Doctors Imaging Group từ ngày 5/11 đến ngày 11/11/2024. Tổ chức này cho biết, các tin tặc đã đánh cắp được một số thông tin như họ tên, địa chỉ, ngày sinh, số an sinh xã hội, số tài khoản tài chính, số tài khoản bệnh nhân, số hồ sơ bệnh án, thông tin bảo hiểm y tế, thông tin điều trị y tế và thông tin yêu cầu bồi thường y tế.
Oracle vá lỗ hổng zero-day EBS bị khai thác trong các cuộc tấn công đánh cắp dữ liệu Clop
Oracle đang cảnh báo về lỗ hổng bảo mật nghiêm trọng của E-Business Suite (CVE-2025-6188, điểm CVSS: 9.8), cho phép kẻ tấn công thực thi mã từ xa không cần xác thực, hiện đang bị khai thác tích cực trong các cuộc tấn công đánh cắp dữ liệu Clop. Oracle đã phát hành bản cập nhật khẩn cấp để giải quyết lỗ hổng này, đồng thời lưu ý rằng, khách hàng cần phải triển khai bản vá Critical Patch Update tháng 10/2023, trước khi có thể cài đặt các bản cập nhật bảo mật mới. Charles Carmakal, Giám đốc công nghệ của Mandiant - Google Cloud, xác nhận rằng CVE-2025-61882 và các lỗ hổng khác được vá vào tháng 7/2025, đã bị nhóm tin tặc Clop khai thác trong các cuộc tấn công đánh cắp dữ liệu vào tháng 8/2025 trên máy chủ Oracle E-Business Suite.
.png)
Cảnh báo lỗ hổng nghiêm trọng của GoAnywhere bị khai thác trong các cuộc tấn công mã độc tống tiền
Một nhóm tội phạm mạng đã tích cực khai thác lỗ hổng GoAnywhere MFT nghiêm trọng trong các cuộc tấn công mã độc tống tiền Medusa trong gần một tháng. Được theo dõi với mã định danh CVE-2025-10035, lỗ hổng ảnh hưởng đến công cụ chuyển dữ liệu an toàn GoAnywhere MFT của Fortra. Ngày 06/10, Microsoft xác nhận báo cáo của WatchTowr về lỗ hổng bị khai thác trên thực tế, nhấn mạnh rằng một chi nhánh của nhóm tin tặc Medusa, được theo dõi là Storm-1175 đã khai thác CVE-2025-10035 trong các cuộc tấn công kể từ ít nhất ngày 11/9/2025.
LinkedIn kiện ProAPIs vì sử dụng 1 triệu tài khoản giả mạo để thu thập dữ liệu người dùng
LinkedIn đã đệ đơn kiện công ty ProAPIs và người sáng lập kiêm giám đốc công nghệ Rehmat Alam, vì cáo buộc thu thập dữ liệu hợp pháp thông qua hơn một triệu tài khoản giả mạo. Hoạt động của ProAPI cấu thành hành vi vi phạm các điều khoản dịch vụ (ToS) của LinkedIn. Theo Sarah Wight, Phó Chủ tịch phụ trách pháp lý tại LinkedIn, ProAPI liên tục tạo ra hơn một triệu tài khoản giả mạo để thực hiện hành vi thu thập dữ liệu, nhưng LinkedIn đã nhanh chóng phát hiện và hạn chế. Tiến xa hơn nữa, LinkedIn hiện sẽ buộc ProAPI, Alam và một đơn vị hỗ trợ kỹ thuật có trụ sở tại Pakistan có tên là Netswift, phải chịu trách nhiệm về hành động của họ.
Steam và Microsoft cảnh báo về lỗ hổng Unity khiến game thủ dễ bị tấn công
Một lỗ hổng thực thi mã (CVE-2025-59489) trong công cụ trò chơi Unity có thể bị khai thác để thực thi mã trên Android, từ đó leo thang đặc quyền trên Windows. Để ứng phó với rủi ro này, Steam đã hành động bằng cách phát hành bản cập nhật Client mới, hạn chế việc khởi chạy các lược đồ URI tùy chỉnh để ngăn chặn việc khai thác thông qua nền tảng phân phối của mình. Microsoft cũng đã phát hành bản tin cảnh báo về vấn đề này, khuyến cáo người dùng gỡ cài đặt các trò chơi dễ bị tấn công cho đến khi có phiên bản mới giải quyết được lỗ hổng CVE-2025-59489.
Phần mềm gián điệp ClayRat mới mạo danh WhatsApp, TikTok, YouTube
Công ty bảo mật di động Zimperium cho biết, phần mềm gián điệp trên Android mới có tên ClayRat đang giả mạo các ứng dụng và dịch vụ phổ biến như WhatsApp, Google Photos, TikTok và YouTube. Phần mềm độc hại này nhắm mục tiêu vào người dùng tại Nga thông qua các kênh Telegram và các trang web độc hại có vẻ hợp pháp, với các tính năng đánh cắp tin nhắn SMS, nhật ký cuộc gọi, thông báo, chụp ảnh và thậm chí thực hiện cuộc gọi điện thoại.
Tin tặc sử dụng công cụ Velociraptor trong các cuộc tấn công mã độc tống tiền
Ngày 9/10, công ty an ninh mạng Cisco Talos cho biết, những kẻ tấn công đang lạm dụng công cụ điều tra và ứng phó sự cố (DFIR) Velociraptor trong các cuộc tấn công triển khai mã độc tống tiền tống tiền LockBit và Babuk. Các nhà nghiên cứu nhận định rằng tin tặc đứng sau chiến dịch này là nhóm Storm-2603 đến từ Trung Quốc. Tác nhân đe dọa đã sử dụng phiên bản Velociraptor lỗi thời, dễ bị tấn công bởi lỗ hổng bảo mật leo thang đặc quyền được xác định là CVE-2025-6264, có thể cho phép thực thi lệnh tùy ý và kiểm soát máy chủ.
Botnet RondoDox nhắm vào 56 lỗ hổng n-day trong các cuộc tấn công trên toàn cầu
Ngày 9/10, Trend Micro cảnh báo về mạng botnet mới RondoDox đang nhắm mục tiêu vào 56 lỗ hổng bảo mật trên hơn 30 thiết bị khác nhau, bao gồm cả những lỗ hổng được tiết lộ lần đầu trong cuộc thi hack Pwn2Own. Kẻ tấn công tập trung vào nhiều thiết bị dễ bị tấn công, bao gồm DVR, NVR, hệ thống CCTV và máy chủ web. Các nhà nghiên cứu cho biết RondoDox khai thác CVE-2023-1389, một lỗ hổng trong bộ định tuyến Wi-Fi TP-Link Archer AX21 ban đầu được phát hiện tại Pwn2Own Toronto 2022.
Nhóm tin tặc Qilin tuyên bố tấn công nhà máy bia Asahi và làm rò rỉ dữ liệu
Nhóm tin tặc mã độc tống tiền Qilin đã nhận trách nhiệm thực hiện tấn công hãng bia khổng lồ Asahi của Nhật Bản, sau khi chúng thêm công ty này vào danh sách nạn nhân trên trang web rò rỉ dữ liệu của nhóm. Các tin tặc tuyên bố đánh cắp hơn 9.300 tệp tin trong tổng dung lượng 27 GB. Để chứng minh hành vi này, tin tặc đã công bố 29 hình ảnh cho thấy các dữ liệu tài chính nội bộ, ID nhân viên, cũng như các hợp đồng mật và báo cáo nội bộ.
Lỗ hổng Zimbra bị khai thác trong cuộc tấn công vào Quân đội Brazil
Công ty an ninh mạng StrikeReady (Mỹ) cảnh báo lỗ hổng Zimbra được theo dõi là CVE-2025-27915 đã bị khai thác vào đầu năm nay để nhắm mục tiêu vào Quân đội Brazil. Cuộc tấn công liên quan đến một tệp lịch ICS độc hại, CVE-2025-27915 là một lỗ hổng XSS cho phép kẻ tấn công thực thi JavaScript tùy ý và thực hiện các hành động trái phép trên tài khoản Zimbra của nạn nhân, bao gồm chuyển hướng email và đánh cắp dữ liệu.
Lỗ hổng Gladinet bị khai thác trong thực tế
Ngày 09/10, công ty an ninh mạng Huntress (Mỹ) đưa ra cảnh báo về lỗ hổng ảnh hưởng đến các sản phẩm CentreStack và Triofox của Gladinet đã bị khai thác trên thực tế. Được biết, CentreStack là một giải pháp truy cập di động và chia sẻ an toàn, trong khi Triofox là một giải pháp truy cập tệp an toàn. Lỗ hổng này được gán mã định danh CVE-2025-11371, cho phép tin tặc truy cập tệp cục bộ không cần xác thực. Gladinet đã nhận thức được sự cố này và đang trong quá trình cung cấp giải pháp khắc phục cho khách hàng cho đến khi bản vá được phát triển.
Juniper Networks vá các lỗ hổng bảo mật nghiêm trọng của Junos Space
Juniper Networks vừa công bố bản vá cho gần 220 lỗ hổng bảo mật trong Junos OS, Junos Space và Security Director, bao gồm 9 lỗ hổng nghiêm trọng ảnh hưởng đến Junos Space. Hơn 200 lỗi bảo mật đã được khắc phục trong Junos Space và Junos Space Security Director. Trong khi đó, Junos Space phiên bản 24.1R4 đã được triển khai với các bản vá cho 24 sự cố tấn công XSS, bao gồm một lỗ hổng nghiêm trọng (CVE-2025-59978, điểm CVSS: 9.0), có thể cho phép kẻ tấn công lưu trữ script tag trong các trang văn bản và thực thi lệnh trên hệ thống của khách truy cập với quyền quản trị.
Lỗ hổng 7-Zip cho phép kẻ tấn công thực thi mã tùy ý từ xa
Hai lỗ hổng nghiêm trọng đã được phát hiện trong 7-Zip (CVE-2025-11001 và CVE-2025-11002), liên quan đến cơ chế xử lý liên kết tượng trưng trong tệp ZIP và có thể bị khai thác để thực thi mã tùy ý. Cả hai lỗ hổng đều được đánh giá mức độ cao với điểm CVSS là 7.0. Kẻ tấn công có thể tạo một tệp ZIP độc hại với các đường dẫn và metadata tinh vi, khiến quá trình giải nén vượt ra ngoài thư mục đích dự kiến. Điều này cho phép các tệp thực thi hoặc payload độc hại được đặt vào những vị trí nhạy cảm của hệ thống. Khi đó, kẻ tấn công có thể thực thi mã với quyền của người dùng hoặc dịch vụ đang chạy 7-Zip, tạo ra nguy cơ chiếm quyền kiểm soát hệ thống hoàn toàn.
Chiến dịch Quishing phát tán mã độc qua mã QR
Theo Whitehat, một chiến dịch lừa đảo mới đang ẩn mình sau những mã QR “trông có vẻ hợp pháp” được gửi từ Microsoft. Bắt đầu bùng phát từ đầu tháng 10/2025, chiến dịch này lợi dụng email giả mạo Teams, Office 365 và Authenticator để dụ người dùng quét mã “kích hoạt bảo mật” hoặc “sửa lỗi tài khoản”. Chỉ một quét đơn giản, người dùng đã vô tình mở cửa cho phần mềm gián điệp xâm nhập thiết bị của mình. Các nhà nghiên cứu tại Gen Threat Labs phát hiện chiến dịch này sau khi thấy nhiều email giả mạo Microsoft xuất hiện trong môi trường doanh nghiệp. Mục tiêu chính là người dùng Office 365/Teams và những tổ chức khuyến khích dùng QR để xác thực đa yếu tố.
Công cụ AI mới của Google DeepMind tìm và sửa các lỗ hổng
Tuần này, phòng nghiên cứu trí tuệ nhân tạo (AI) DeepMind của Google đã công bố một tác nhân AI được thiết kế để tự động tìm và khắc phục các lỗ hổng. Sản phẩm mới nhất là CodeMender, công cụ này có thể suy luận về code, hiểu và dự đoán hành vi của chương trình mà không cần thực sự chạy chương trình đó, đồng thời xác thực hiệu quả các thay đổi thông qua việc sử dụng phân tích chương trình nâng cao và hệ thống đa tác nhân.
