Tin tức An ninh mạng: Anthropic bản đồ hóa mối đe dọa AI, Lỗ hổng Comodo chưa vá

SecurityWeek xin gửi đến bạn đọc tổng hợp tin tức an ninh mạng tuần qua. Những diễn biến nổi bật bao gồm các báo cáo về việc khai thác AI cho mục đích tấn công, các lỗ hổng mới được phát hiện trong phần mềm bảo mật, và những thay đổi nhân sự cấp cao trong các cơ quan chính phủ Mỹ.

Tin tức an ninh mạng

Kẻ tấn công lợi dụng AI và Chatbot để phát tán mã độc

Microsoft đã cảnh báo về việc các nhóm tội phạm mạng đang kết hợp giữa tối ưu hóa công cụ tìm kiếm (SEO) và các đề xuất từ chatbot AI để lừa người dùng tải xuống các công cụ giả mạo. Các tệp tin này thường mạo danh các tiện ích hợp pháp như CrystalDiskInfo hoặc PDFgear.

Sau khi xâm nhập thành công, kẻ tấn công sẽ lạm dụng ConnectWise ScreenConnect để duy trì quyền truy cập từ xa và triển khai mã độc chuyên dụng. Mục tiêu cuối cùng là chiếm đoạt sức mạnh xử lý của máy chủ để chạy trình đào tiền ảo (crypto miner) nhắm vào các GPU hiệu suất cao.

Bên cạnh đó, Anthropic đã công bố bản đồ chi tiết về các hoạt động tấn công mạng có sự hỗ trợ của AI dựa trên khung MITRE ATT&CK. Phân tích này cho thấy sự gia tăng mạnh mẽ trong việc kẻ tấn công sử dụng các mô hình ngôn ngữ lớn (LLM) cho các hoạt động rủi ro cao như di chuyển ngang (lateral movement) và trích xuất thông tin xác thực. Anthropic nhận định rằng mức độ nguy hiểm của kẻ tấn công sẽ sớm phụ thuộc vào "hạ tầng tác nhân tự chủ" (agentic scaffolding) mà chúng xây dựng để điều phối các chuỗi tấn công tự động.

Ransomware và Trojan ngân hàng tiếp diễn

Các nhà nghiên cứu tại WatchGuard đã quan sát thấy một chiến dịch malware mới của Grandoreiro nhắm vào các tổ chức tài chính tại Bồ Đào Nha và Mỹ Latinh. Mã độc này sử dụng kỹ thuật side-loading DLL để lạm dụng bốn ứng dụng phần mềm hợp pháp. Dù đã tồn tại một thập kỷ và bị cơ quan thực thi pháp luật truy bắt, Grandoreiro vẫn hoạt động tích cực.

Bảo mật mạng

Đồng thời, Microsoft Threat Intelligence đang theo dõi nhóm Storm-2697, vận hành dịch vụ mã độc tống tiền (RaaS) mang tên "The Gentlemen". Mã độc này sử dụng trình mã hóa dựa trên ngôn ngữ Go, được làm rối mã bằng Garble và có khả năng tự lan truyền trên mạng mục tiêu bằng cách tạo các tác vụ lập lịch với quyền SYSTEM.

Lỗ hổng bảo mật và Cơ sở hạ tầng

Nhà nghiên cứu bảo mật Marcus Hutchins đã công bố chi tiết về lỗ hổng "ComoDoS" nằm trong Comodo Internet Security. Lỗ hổng chưa được vá này cho phép kẻ tấn công từ xa làm sập các điểm cuối Windows bằng cách gửi một gói tin TCP/IP bị định dạng sai, hiệu quả vượt qua mọi quy tắc tường lửa đã cấu hình. Hutchins cho biết ông đã cố gắng tiết lộ có trách nhiệm nhưng không nhận được phản hồi từ nhà cung cấp.

Trong khi đó, Let's Encrypt đang áp dụng Chứng chỉ Merkle Tree để chuẩn bị cho tương lai hậu lượng tử. Cách tiếp cận này giúp giảm đáng kể kích thước bắt tay TLS bằng cách đóng gói nhiều chứng chỉ dưới một chữ ký duy nhất. Cơ quan chứng chỉ này dự kiến triển khai môi trường thử nghiệm vào cuối năm 2026 và ra mắt chính thức vào năm 2027.

CISA, FBI và NSA cũng đã đưa ra cảnh báo về việc các hệ thống đo mức tự động (ATG) tiếp xúc với internet đang bị khai thác tích cực. Các hệ thống này được dùng để giám sát nhiên liệu từ xa và kẻ tấn công có thể sửa đổi cấu hình của chúng. Chính phủ Mỹ đã kêu gọi các cơ sở ngắt kết nối ATG khỏi internet công cộng ngay lập tức.

Rò rỉ dữ liệu và Chuỗi cung ứng

Nhà cung cấp công nghệ sức khỏe Ultrahuman của Ấn Độ đã thừa nhận một vụ rò rỉ dữ liệu làm lộ thông tin liên hệ, lịch sử giao dịch và chỉ số sức khỏe của người dùng. Vụ việc xảy ra khi kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp từ một máy tính xách tay của nhân viên bị nhiễm phần mềm độc hại để truy cập vào hệ thống phân tích nội bộ.

Sophos cũng phát hiện một trình đào tiền ảo XMRig được gói gọn trong trình cài đặt Hola Browser cho Windows. Hola cho biết sự bất thường này là do một sự cố chuỗi cung ứng cục bộ ảnh hưởng đến một phần nhỏ quy trình phân phối của họ.

Cập nhật Chính sách và Nhân sự

Chính quyền Trump được cho là đang cân nhắc Shyam Sankar, Giám đốc công nghệ (CTO) của Palantir Technologies, cho vị trí Giám đốc tiếp theo của CISA. Nếu được đề cử, ông sẽ bước vào vị trí lãnh đạo đang trống khi CISA đối mặt với việc cắt giảm ngân sách đáng kể.

Đây là những tin tức nổi bật nhất trong tuần qua, giúp người dùng cập nhật bối cảnh an ninh mạng đang thay đổi nhanh chóng.