Sau đây là những sự kiện an ninh mạng quan trọng mà các bạn cần chú ý trong tuần này:
Mối đe dọa của tuần#
Lemon Sandstorm nhắm vào cơ sở hạ tầng quan trọng ở Trung Đông — Nhóm đe dọa do nhà nước Iran tài trợ đã theo dõi khi Lemon Sandstorm nhắm vào một cơ sở hạ tầng quốc gia quan trọng (CNI) chưa được nêu tên ở Trung Đông và duy trì quyền truy cập dài hạn kéo dài gần hai năm bằng cách sử dụng các cửa hậu tùy chỉnh như HanifNet, HXLibrary và NeoExpressRAT. Hoạt động này kéo dài từ ít nhất tháng 5 năm 2023 đến tháng 2 năm 2025, bao gồm "các hoạt động gián điệp mở rộng và nghi ngờ định vị mạng - một chiến thuật thường được sử dụng để duy trì quyền truy cập liên tục nhằm giành lợi thế chiến lược trong tương lai", theo Fortinet.
Tin tức hàng đầu#
Claude bị lạm dụng trong Chiến dịch "Ảnh hưởng dưới dạng dịch vụ" — Công ty trí tuệ nhân tạo (AI) Anthropic đã tiết lộ rằng những tác nhân đe dọa vô danh đã lợi dụng chatbot Claude của mình cho một chiến dịch "ảnh hưởng dưới dạng dịch vụ" để tương tác với các tài khoản xác thực trên Facebook và X bằng cách sử dụng hơn 100 nhân vật giả. Điểm mới lạ của chiến dịch này là nó sử dụng Claude để đưa ra các quyết định tương tác chiến thuật như xác định xem các tài khoản bot truyền thông xã hội có nên thích, chia sẻ, bình luận hay bỏ qua các bài đăng cụ thể do các tài khoản khác tạo ra dựa trên các mục tiêu chính trị phù hợp với sở thích của khách hàng của họ hay không. Các tài khoản bot được sử dụng để khuếch đại các câu chuyện chính trị của khách hàng của họ.
SentinelOne phát hiện ra hoạt động của PurpleHaze — Công ty an ninh mạng SentinelOne đã tiết lộ rằng một nhóm đe dọa liên kết với Trung Quốc có tên là PurpleHaze đã tiến hành các nỗ lực do thám nhằm vào cơ sở hạ tầng của công ty và một số khách hàng có giá trị cao của công ty. PurpleHaze được đánh giá là một nhóm tin tặc có mối liên hệ lỏng lẻo với một nhóm khác do nhà nước tài trợ có tên là APT15 và cũng đã được phát hiện nhắm mục tiêu vào một thực thể hỗ trợ chính phủ Nam Á không được nêu tên vào tháng 10 năm 2024, sử dụng mạng hộp chuyển tiếp hoạt động (ORB) và một cửa hậu Windows có tên là GoReShell.
Hoạt động Ransomware RansomHub Tắt — Trong một diễn biến thú vị, RansomHub, một hoạt động ransomware-as-a-service (RaaS) hung hăng đã trở nên nổi tiếng trong năm qua bằng cách tán tỉnh các chi nhánh sau các hành động thực thi pháp luật chống lại LockBit và BlackCat, dường như đã đột ngột ngừng hoạt động vào đầu tháng 4. Việc ngừng hoạt động đột ngột này đã làm dấy lên suy đoán rằng tội phạm mạng liên quan đến chương trình ransomware có thể đã di chuyển sang Qilin, nơi đã tái xuất trong những tháng gần đây. Người ta cũng tuyên bố rằng RansomHub đã chuyển hoạt động của mình sang DragonForce, một nhóm ransomware đối thủ đã tuyên bố thành lập một "nhóm" mới. Bên cạnh việc cung cấp phần mềm độc hại mã hóa đa nền tảng, RansomHub đã thu hút sự chú ý vì trao cho các chi nhánh nhiều quyền tự chủ hơn để giao tiếp trực tiếp với nạn nhân và thu tiền chuộc từ họ. Nó cũng cung cấp hướng dẫn chi tiết về cách tống tiền nạn nhân.
Meta công bố tính năng xử lý riêng tư mới cho WhatsApp — Trong nỗ lực cân bằng các tính năng về quyền riêng tư và trí tuệ nhân tạo, Meta đã công bố một cài đặt WhatsApp mới mà họ cho biết là một cách hướng đến quyền riêng tư để tương tác với Meta AI. Được gọi là Xử lý riêng tư, tính năng này là tùy chọn và sẽ ra mắt trong những tuần tới, và cả Meta, WhatsApp hay các công ty bên thứ ba đều không thể thấy các tương tác sử dụng tính năng này. Hệ thống mà Meta mô tả rất giống với Private Cloud Compute (PCC) của Apple. Giống như Apple, Meta cho biết họ sẽ chuyển tiếp các yêu cầu Xử lý riêng tư thông qua nhà cung cấp OHTTP của bên thứ ba để che giấu địa chỉ IP của người dùng. Nhưng một điểm khác biệt quan trọng là tất cả các yêu cầu AI của WhatsApp đều được xử lý trên máy chủ của Meta và kiến trúc hiện tại của nó được xây dựng có mục đích dành riêng cho WhatsApp. Trong một tuyên bố được chia sẻ với WIRED, nhà nghiên cứu bảo mật và chuyên gia mật mã Matt Green cho biết "bất kỳ hệ thống được mã hóa đầu cuối nào sử dụng suy luận AI ngoài thiết bị đều sẽ rủi ro hơn hệ thống đầu cuối thuần túy" và "nhiều dữ liệu riêng tư hơn sẽ được đưa ra khỏi thiết bị và các máy xử lý dữ liệu này sẽ là mục tiêu của tin tặc và các đối thủ là quốc gia".
Source: https://thehackernews.com/2025/05/weekly-recap-nation-state-hacks-spyware.html#-top-news
Mối đe dọa của tuần#Lemon Sandstorm nhắm vào cơ sở hạ tầng quan trọng ở Trung Đông — Nhóm đe dọa do nhà nước Iran tài trợ đã theo dõi khi Lemon Sandstorm nhắm vào một cơ sở hạ tầng quốc gia quan trọng (CNI) chưa được nêu tên ở Trung Đông và duy trì quyền truy cập dài hạn kéo dài gần hai năm bằng cách sử dụng các cửa hậu tùy chỉnh như HanifNet, HXLibrary và NeoExpressRAT. Hoạt động này kéo dài từ ít nhất tháng 5 năm 2023 đến tháng 2 năm 2025, bao gồm "các hoạt động gián điệp mở rộng và nghi ngờ định vị mạng - một chiến thuật thường được sử dụng để duy trì quyền truy cập liên tục nhằm giành lợi thế chiến lược trong tương lai", theo Fortinet.
Tin tức hàng đầu#
Claude bị lạm dụng trong Chiến dịch "Ảnh hưởng dưới dạng dịch vụ" — Công ty trí tuệ nhân tạo (AI) Anthropic đã tiết lộ rằng những tác nhân đe dọa vô danh đã lợi dụng chatbot Claude của mình cho một chiến dịch "ảnh hưởng dưới dạng dịch vụ" để tương tác với các tài khoản xác thực trên Facebook và X bằng cách sử dụng hơn 100 nhân vật giả. Điểm mới lạ của chiến dịch này là nó sử dụng Claude để đưa ra các quyết định tương tác chiến thuật như xác định xem các tài khoản bot truyền thông xã hội có nên thích, chia sẻ, bình luận hay bỏ qua các bài đăng cụ thể do các tài khoản khác tạo ra dựa trên các mục tiêu chính trị phù hợp với sở thích của khách hàng của họ hay không. Các tài khoản bot được sử dụng để khuếch đại các câu chuyện chính trị của khách hàng của họ.
SentinelOne phát hiện ra hoạt động của PurpleHaze — Công ty an ninh mạng SentinelOne đã tiết lộ rằng một nhóm đe dọa liên kết với Trung Quốc có tên là PurpleHaze đã tiến hành các nỗ lực do thám nhằm vào cơ sở hạ tầng của công ty và một số khách hàng có giá trị cao của công ty. PurpleHaze được đánh giá là một nhóm tin tặc có mối liên hệ lỏng lẻo với một nhóm khác do nhà nước tài trợ có tên là APT15 và cũng đã được phát hiện nhắm mục tiêu vào một thực thể hỗ trợ chính phủ Nam Á không được nêu tên vào tháng 10 năm 2024, sử dụng mạng hộp chuyển tiếp hoạt động (ORB) và một cửa hậu Windows có tên là GoReShell.
Hoạt động Ransomware RansomHub Tắt — Trong một diễn biến thú vị, RansomHub, một hoạt động ransomware-as-a-service (RaaS) hung hăng đã trở nên nổi tiếng trong năm qua bằng cách tán tỉnh các chi nhánh sau các hành động thực thi pháp luật chống lại LockBit và BlackCat, dường như đã đột ngột ngừng hoạt động vào đầu tháng 4. Việc ngừng hoạt động đột ngột này đã làm dấy lên suy đoán rằng tội phạm mạng liên quan đến chương trình ransomware có thể đã di chuyển sang Qilin, nơi đã tái xuất trong những tháng gần đây. Người ta cũng tuyên bố rằng RansomHub đã chuyển hoạt động của mình sang DragonForce, một nhóm ransomware đối thủ đã tuyên bố thành lập một "nhóm" mới. Bên cạnh việc cung cấp phần mềm độc hại mã hóa đa nền tảng, RansomHub đã thu hút sự chú ý vì trao cho các chi nhánh nhiều quyền tự chủ hơn để giao tiếp trực tiếp với nạn nhân và thu tiền chuộc từ họ. Nó cũng cung cấp hướng dẫn chi tiết về cách tống tiền nạn nhân.
Meta công bố tính năng xử lý riêng tư mới cho WhatsApp — Trong nỗ lực cân bằng các tính năng về quyền riêng tư và trí tuệ nhân tạo, Meta đã công bố một cài đặt WhatsApp mới mà họ cho biết là một cách hướng đến quyền riêng tư để tương tác với Meta AI. Được gọi là Xử lý riêng tư, tính năng này là tùy chọn và sẽ ra mắt trong những tuần tới, và cả Meta, WhatsApp hay các công ty bên thứ ba đều không thể thấy các tương tác sử dụng tính năng này. Hệ thống mà Meta mô tả rất giống với Private Cloud Compute (PCC) của Apple. Giống như Apple, Meta cho biết họ sẽ chuyển tiếp các yêu cầu Xử lý riêng tư thông qua nhà cung cấp OHTTP của bên thứ ba để che giấu địa chỉ IP của người dùng. Nhưng một điểm khác biệt quan trọng là tất cả các yêu cầu AI của WhatsApp đều được xử lý trên máy chủ của Meta và kiến trúc hiện tại của nó được xây dựng có mục đích dành riêng cho WhatsApp. Trong một tuyên bố được chia sẻ với WIRED, nhà nghiên cứu bảo mật và chuyên gia mật mã Matt Green cho biết "bất kỳ hệ thống được mã hóa đầu cuối nào sử dụng suy luận AI ngoài thiết bị đều sẽ rủi ro hơn hệ thống đầu cuối thuần túy" và "nhiều dữ liệu riêng tư hơn sẽ được đưa ra khỏi thiết bị và các máy xử lý dữ liệu này sẽ là mục tiêu của tin tặc và các đối thủ là quốc gia".
Source: https://thehackernews.com/2025/05/weekly-recap-nation-state-hacks-spyware.html#-top-news
