Tin tức An ninh mạng: Hacker Scattered Spider bị bắt, lỗ hổng công cụ NSA và hướng dẫn Zero Trust mới

Tin tức An ninh mạng: Hacker Scattered Spider bị bắt, lỗ hổng công cụ NSA và hướng dẫn Zero Trust mới

Tin tức an ninh mạng

Bản tin tổng hợp an ninh mạng tuần này của SecurityWeek cung cấp cái nhìn tổng quan về các sự kiện quan trọng có thể chưa được đưa tin chi tiết nhưng vẫn có tác động đáng kể đến bối cảnh đe dọa an ninh mạng hiện nay. Dưới đây là những điểm nhấn nổi bật nhất.

Bắt giữ hacker và các biện pháp trừng phạt tài chính

Hoa Kỳ đang tìm cách dẫn độ thành viên nhóm hacker Scattered Spider sau khi anh này bị bắt tại Phần Lan. Các nhà chức trách Phần Lan đã bắt giữ Peter Stokes (19 tuổi, công dân Mỹ - Estonia) khi anh này cố gắng lên chuyến bay đến Nhật Bản. Công tố viên Chicago cáo buộc Stokes là thành viên chủ chốt của nhóm Scattered Spider, liên quan đến nhiều vụ xâm nhập vào các tập đoàn lớn. Stokes đối mặt với các cáo buộc về gian lận dây chuyền, âm mưu và xâm nhập máy tính. Hoa Kỳ đang theo đuổi việc dẫn độ trong khi nhấn mạnh lối sống phô trương và việc khiêu khích công khai lực lượng thực thi pháp luật của Stokes.

Trong một diễn biến khác, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) đã chỉ định hai ví tiền điện tử liên kết trực tiếp với Ngân hàng Trung ương Iran. Đây là hành động đầu tiên như vậy nhắm vào tổ chức này, gắn kết chúng với Lực lượng Qods của IRGC và Hezbollah. Phối hợp với cơ quan thực thi pháp luật Hoa Kỳ, Tether đã đóng băng khoảng 344 triệu USD USDT trên các địa chỉ này. Các ví này đã tích lũy khoảng 370 triệu USD qua gần 1.000 giao dịch kể từ tháng 3 năm 2021 và phần lớn nằm im lặng sau cuối năm 2023 dưới dạng dự trữ chủ quyền.

Lỗ hổng và sự cố dữ liệu nghiêm trọng

Nhà cung cấp dịch vụ giám sát nhà ở ADT đã xác nhận rằng các tác nhân trái phép đã truy cập được vào hệ thống dựa trên đám mây của họ, dẫn đến việc lộ thông tin khách hàng. Nhóm tống tiền ShinyHunters đã nhận trách nhiệm cho vụ tấn công, khẳng định họ đã rút ruột hơn 10 triệu bản ghi từ cơ sở dữ liệu Salesforce sau khi các cuộc đàm phán tiền chuộc thất bại. Dữ liệu được xác minh bởi Have I Been Pwned cho thấy khoảng 5,5 triệu địa chỉ email duy nhất đã bị rò rỉ, cùng với tên, địa chỉ vật lý và trong một số trường hợp là số An sinh xã hội (SSN) một phần.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã đưa ra cảnh báo về một lỗ hổng nghiêm trọng trong GRASSMARLIN, một công cụ mã nguồn mở ban đầu được Cơ quan An ninh Quốc gia (NSA) phát triển để ánh xạ mạng lưới hệ thống điều khiển công nghiệp (ICS). Lỗi này cho phép kẻ tấn công kích hoạt việc rút ruột dữ liệu ngoài băng tần (out-of-band) đối với các tệp nhạy cảm, mà các chuyên gia cho rằng có thể tạo điều kiện cho chuyển động ngang trong mạng lưới công nghiệp. Do công cụ này đã đạt trạng thái kết thúc vòng đời (EOL) vào năm 2017, sẽ không có bản vá chính thức nào được phát hành.

Ngoài ra, Snyk báo cáo rằng các tác nhân đe dọa đang khai thác các lỗ hổng bỏ qua xác thực trong trình lập lịch nhiệm vụ mã nguồn mở Qinglong để triển khai trình đào tiền ảo (cryptominer) liên tục. Các lỗi này, được theo dõi là CVE-2026-3965 và CVE-2026-4047, cho phép thực thi mã từ xa mà không cần xác thực bằng cách khai thác sự khác biệt trong cách hệ thống xử lý việc viết lại URL và khớp đường phân biệt chữ hoa chữ thường.

Cập nhật bảo mật phần mềm và đám mây

Microsoft đã thông báo rằng Exchange Online sẽ bắt đầu chặn TLS 1.0 và 1.1 cho tất cả lưu lượng POP và IMAP bắt đầu từ tháng 7 năm 2026. Việc ngừng hỗ trợ hoàn toàn này sẽ loại bỏ các tùy chọn giải pháp thay thế trước đó, buộc phải chuyển đổi bắt buộc sang TLS 1.2 hoặc mới hơn cho bất kỳ sản phẩm nào vẫn dựa vào các tiêu chuẩn mã hóa lỗi thời.

Novee Security đã xác định một lỗ hổng mức độ nghiêm trọng cao trong IDE Cursor cho phép kẻ tấn công thực thi mã tùy ý thông qua các Git hook độc hại. Lỗi này, được theo dõi là CVE-2026-26268, được kích hoạt khi tác nhân AI của công cụ tự động thực hiện các thao tác Git, thực thi các tập lệnh ẩn trong các kho lưu trữ lồng nhau mà không có sự biết trước hoặc phê duyệt của nhà phát triển.

Hướng dẫn chiến lược và xu hướng đe dọa mới

CISA đã xuất bản hai tài liệu hướng dẫn được phát triển phối hợp với các cơ quan khác. Tài liệu đầu tiên tập trung vào việc áp dụng các nguyên tắc Zero Trust cho công nghệ vận hành (OT), giải quyết sự hội tụ IT-OT ngày càng gia tăng làm mở rộng bề mặt tấn công. Trong hướng dẫn thứ hai, CISA và các đối tác kêu gọi triển khai có đo lường các hệ thống AI tác nhân (agentic AI). Tài liệu làm nổi bật các rủi ro và thách thức bảo mật chính đồng thời cung cấp các bước thực tế để thiết kế, triển khai và vận hành phù hợp với các khuôn khổ an ninh mạng hiện có.

Bảo mật mạng

Trung tâm An ninh mạng Quốc gia Anh (NCSC) cảnh báo rằng việc đo lường Trung tâm vận hành an ninh (SOC) thông qua số lượng vé và số lượng bản ghi sẽ tạo ra các kết quả ngược chiều làm giảm độ an toàn của mạng. Cơ quan này đề xuất rằng các nhà lãnh đạo nên ưu tiên các chỉ số "thời gian phát hiện" và "thời gian phản hồi", tốt nhất là được xác thực thông qua các bài tập đội đỏ hoặc đội tím. NCSC khuyến khích các nhà phân tích tập trung vào việc săn lùng mối đe dọa có giá trị cao và chuyên môn thay vì chỉ đơn thuần đua nhau đóng các cảnh báo càng nhanh càng tốt.

Cuối cùng, BlueNoroff, cánh tay có động cơ tài chính của nhóm Lazarus (Triều Tiên), đang tiến hành một chiến dịch kỹ thuật xã hội nhắm vào các tổ chức Web3. Kẻ tấn công lôi kéo các giám đốc điều hành tham gia các cuộc họp Zoom giả, trong đó các vấn đề kỹ thuật được dựng lên khiến nạn nhân thực thi các tập lệnh PowerShell độc hại được ngụy trang dưới dạng bản sửa lỗi phần mềm. Phần mềm độc hại này thu thập thông tin đăng nhập từ các tiện ích mở rộng ví tiền điện tử và quay video webcam trực tiếp để tinh chỉnh các nhân vật deepfake cho các cuộc tấn công tiếp theo.