Microsoft vừa phát cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công mạng có tổ chức và mục tiêu nhắm vào các hệ thống SharePoint Server on-premises, bắt đầu từ ngày 7 tháng 7 năm 2025. Ba nhóm tin tặc có nguồn gốc Trung Quốc, gồm Linen Typhoon, Violet Typhoon và Storm-2603, được xác định là các tác nhân chính đứng sau các cuộc tấn công này.

Các cuộc tấn công đã khai thác một chuỗi các lỗ hổng bảo mật nghiêm trọng trong SharePoint Server, cho phép kẻ tấn công vượt qua cơ chế xác thực, thực thi mã từ xa và cuối cùng là kiểm soát hệ thống bị xâm nhập. Sự kiện đáng chú ý nhất là vào ngày 18 tháng 7 năm 2025, khi Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), một bộ phận thuộc Bộ Năng lượng Hoa Kỳ, trở thành nạn nhân của vụ tấn công.

May mắn là chỉ một số hệ thống bị ảnh hưởng và hiện tại chưa phát hiện bất kỳ dấu hiệu nào về việc rò rỉ dữ liệu mật. Tuy nhiên, sự cố này đã phơi bày quy mô và mức độ tinh vi của làn sóng tấn công mạng đang nhắm vào các tổ chức quan trọng.

Microsoft đã nhanh chóng xác định bốn lỗ hổng bảo mật chính được sử dụng trong chiến dịch tấn công này, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến nhiều phiên bản SharePoint Server, cụ thể là SharePoint Server 2016, 2019 và Subscription Edition khi được cài đặt tại chỗ.

Nhận thức được mức độ nghiêm trọng của vấn đề, Microsoft đã phát hành các bản vá bảo mật tương ứng nhằm đối phó với các lỗ hổng được khai thác. đồng thời, công ty này cũng đưa ra khuyến nghị cho các tổ chức về việc triển khai ngay các biện pháp phòng thủ cần thiết.

Các biện pháp này bao gồm kích hoạt AMSI (Anti-Malware Scan Interface) ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS (Internet Information Services). Mục tiêu là tăng cường bảo vệ hệ thống trước các mối đe dọa tiềm ẩn.

CISA (Cơ quan Quản lý An ninh Sáng kiến và An ninh Mạng của Mỹ) cũng đã đưa CVE-2025-53771 vào danh sách các lỗ hổng cần được khắc phục khẩn cấp vào ngày 22 tháng 7 năm 2025, với thời hạn thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng nhấn mạnh rằng sự kết hợp giữa việc bypass xác thực và thực thi mã từ xa tạo ra công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu.

Do đó, việc cập nhật các bản vá bảo mật không còn là một lựa chọn mà đã trở thành một hành động thiết yếu và cấp bách. Điều này đặc biệt quan trọng khi kẻ tấn công đã sẵn sàng các phương thức tấn công và chỉ chờ thời cơ để tiếp cận hệ thống.

Bằng cách thực hiện các biện pháp bảo mật chủ động và cập nhật phần mềm thường xuyên, các tổ chức có thể giảm thiểu rủi ro và đảm bảo an toàn thông tin trong bối cảnh ngày càng nhiều mối đe dọa tấn công mạng.

Lumma Stealer, một trong những phần mềm đánh cắp thông tin phổ biến nhất trên thế giới, đã thể hiện khả năng phục hồi đáng kể sau cuộc triệt phá của FBI vào tháng 5 vừa qua. Theo các nhà nghiên cứu an ninh mạng của Trend Micro, nhóm điều hành Lumma Stealer đã nhanh chóng triển khai lại hệ thống phân phối của họ và áp dụng các kỹ thuật ẩn mình tinh vi hơn để tránh bị phát hiện.

Sự gia tăng trở lại của Lumma Stealer được ghi nhận trong giai đoạn từ tháng 6 đến tháng 7, khi số lượng tài khoản bị tấn công bằng malware này đã tăng lên đáng kể. Lumma Stealer hoạt động theo mô hình malware-as-a-service, cung cấp dịch vụ cho các tội phạm mạng khác thuê hoặc mua sử dụng mà không cần có kiến thức kỹ thuật sâu rộng. Điều này đã khiến cho phần mềm độc hại này trở thành một công cụ phổ biến cho các tội phạm mạng.

Lumma Stealer có khả năng thu thập hàng loạt dữ liệu nhạy cảm từ các hệ thống bị lây nhiễm, bao gồm thông tin đăng nhập, dữ liệu tài chính, dữ liệu trình duyệt và dữ liệu cá nhân. Phần mềm độc hại này được phát tán thông qua nhiều kênh và chiến thuật lén lút, bao gồm phần mềm bẻ khóa, trang web lừa đảo, quảng cáo độc hại và chiến dịch trên mạng xã hội.

Để phòng ngừa và giảm thiểu rủi ro từ Lumma Stealer, các tổ chức cần chủ động trong công tác tình báo mối đe dọa, tăng cường hợp tác giữa ngành an ninh mạng và cơ quan thực thi pháp luật để theo dõi các biến thể của Lumma Stealer. Ngoài ra, đào tạo nhân viên cách phát hiện mối đe dọa từ các chiến dịch Lumma Stealer đang hoạt động và đã biết đến cũng là một bước quan trọng.

Các chuyên gia an ninh mạng khuyến cáo rằng, việc nâng cao nhận thức và kỹ năng của nhân viên trong việc phát hiện và ngăn chặn các cuộc tấn công mạng là rất cần thiết. Bên cạnh đó, các tổ chức cũng nên đầu tư vào các giải pháp an ninh mạng để bảo vệ hệ thống và dữ liệu của mình.

Trend Micro, một công ty an ninh mạng hàng đầu, đã và đang tích cực theo dõi và phân tích các hoạt động của Lumma Stealer. Thông qua việc chia sẻ thông tin và hợp tác với các cơ quan thực thi pháp luật, Trend Micro hy vọng có thể giúp giảm thiểu rủi ro và ngăn chặn các cuộc tấn công mạng của Lumma Stealer trong tương lai.

Để biết thêm thông tin về Lumma Stealer và các biện pháp phòng ngừa, vui lòng truy cập vào trang web của Trend Micro tại https://www.trendmicro.com để cập nhật thông tin mới nhất về các mối đe dọa an ninh mạng.

Trí tuệ nhân tạo (AI) đã trở thành một phần không thể thiếu trong hoạt động của nhiều doanh nghiệp ngày nay. Việc tích hợp AI vào hệ thống chatbot giúp cải thiện hiệu năng công việc và tăng trải nghiệm người dùng. Tuy nhiên, điều này cũng mở ra một “khe cửa hẹp” giúp hacker tấn công và lấy cắp thông tin trên hệ thống lưu trữ dữ liệu.

Ông Đào Việt Hùng, giám đốc quốc gia Akamai Technologies Việt Nam, cảnh báo rằng có nhiều phương thức tấn công các mô hình AI, trong đó phổ biến là dạng “đầu độc nội dung”, một loại hình dường như “vô hình” trước những hệ thống bảo vệ thông tin truyền thống. Hacker có thể sử dụng cách liên tục hỏi và dạy lại mô hình AI những thông tin sai lệch, gây “nhiễm độc” thông tin.

Nếu thông tin trên hệ thống cloud đã bị “nhiễm độc” mà không được phát hiện và tiếp tục được sử dụng, nó có thể đưa ra những thông tin không chính xác hoặc sử dụng lỗ hổng này để lách vào cơ sở dữ liệu với mục đích lấy thông tin. Ông Đào Việt Hùng dẫn chứng về những trường hợp hy hữu, như khi hệ thống chatbot bán hàng trực tuyến của một hãng ô tô bị thuyết phục để bán một chiếc xe mới với giá chỉ 1 đô la.

Nguyên nhân là do trong quá trình trao đổi và thỏa thuận với chatbot, khách hàng này đã tìm cách “lách” vào cơ sở dữ liệu và thuyết phục chatbot đồng ý với yêu cầu trên. Một ví dụ khác là khi hacker đã thành công lấy được tất cả tài liệu mật và sơ đồ tổ chức của công ty chỉ bằng cách soạn những câu hỏi phù hợp gửi đến chatbot AI nội bộ.

Trước những rủi ro này, ông Đào Việt Hùng chia sẻ về giải pháp AI security để chính AI bảo vệ AI, một hình thức đã được nhiều doanh nghiệp lớn trên thế giới sử dụng. Với phương thức bảo mật này, những dữ liệu được lưu trữ tích hợp nhiều lớp bảo vệ, giúp khó bị “nhiễm độc”.

Hệ thống AI security có thể phát hiện được đâu là những thông tin sạch và đâu là những thông tin tiềm ẩn nguy cơ tấn công, từ đó sẽ có phương án xử lý nhanh chóng và thích hợp. Sự kiện OpenInfra & Cloud Native Day Vietnam 2025 sẽ diễn ra vào ngày 26-7 tại Hà Nội, do Hiệp hội Internet Việt Nam (VIA) phối hợp với Vietnam Open Infrastructure Community (VietOpenInfra), Câu lạc bộ Điện toán đám mây và Trung tâm Dữ liệu Việt Nam (VNCDC) tổ chức, với sự ủng hộ của Bộ Khoa học và Công nghệ.

Sự kiện này hứa hẹn sẽ là một cơ hội để các chuyên gia và doanh nghiệp trong lĩnh vực công nghệ thông tin và điện toán đám mây tụ họp, chia sẻ kinh nghiệm và giải pháp để đối phó với những thách thức bảo mật trong thời đại AI và điện toán đám mây.

Một loạt vụ tấn công mạng nhắm vào phần mềm quản lý tài liệu SharePoint của Microsoft đã được phát hiện gần đây, với mục tiêu chính là Cơ quan An ninh hạt nhân quốc gia Mỹ (NSA). Mặc dù hệ thống của NSA bị xâm nhập, nhưng may mắn là không có dữ liệu mật hay thông tin nhạy cảm nào bị đánh cắp.

Các cuộc tấn công này là một phần của chiến dịch có tên ‘ToolShell’, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống và cài đặt cửa hậu (backdoor) để truy cập lâu dài. Không chỉ Mỹ, Đức và một số nước châu Âu khác cũng là mục tiêu của các cuộc tấn công này. Các tổ chức sử dụng SharePoint trong các lĩnh vực như chính phủ, công nghiệp quốc phòng, ngân hàng và y tế là những mục tiêu chính.

Sự phát triển của trí tuệ nhân tạo (AI) đã giúp tin tặc tạo ra các cuộc tấn công mạng tinh vi hơn. Việc sử dụng email lừa đảo với nội dung tự nhiên giống như thật đã trở thành một phương thức phổ biến để tin tặc xâm nhập vào hệ thống. Các chuyên gia bảo mật khuyến cáo người dùng cần nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết để phòng tránh các cuộc tấn công mạng.

Trong bối cảnh số lượng các cuộc tấn công mạng ngày càng tăng, các tổ chức và doanh nghiệp cần phải chú trọng hơn đến việc bảo vệ hệ thống và dữ liệu của mình. Việc cập nhật phần mềm và hệ thống thường xuyên, sử dụng các công cụ bảo mật hiện đại và đào tạo nhân viên về các kỹ năng bảo mật cơ bản là những bước quan trọng để giảm thiểu rủi ro bị tấn công mạng.

Như đã được biết, Microsoft đã cung cấp các giải pháp bảo mật và phòng chống tấn công mạng cho người dùng của mình. Người dùng SharePoint nên thường xuyên kiểm tra và cập nhật hệ thống của mình để đảm bảo an toàn.

Một mối quan ngại khác là việc sử dụng AI trong các cuộc tấn công mạng đang ngày càng gia tăng. Điều này đòi hỏi các chuyên gia bảo mật phải liên tục cập nhật kiến thức và kỹ năng của mình để có thể đối phó với các cuộc tấn công ngày càng tinh vi.

Tóm lại, các cuộc tấn công mạng nhắm vào phần mềm SharePoint của Microsoft đã cho thấy sự cần thiết của việc nâng cao cảnh giác và áp dụng các biện pháp bảo mật cần thiết. Người dùng cần phải chú trọng hơn đến việc bảo vệ hệ thống và dữ liệu của mình trong bối cảnh số lượng các cuộc tấn công mạng ngày càng tăng.

Cảnh báo về mối đe dọa bảo mật mới từ trí tuệ nhân tạo (AI)

Một nhà nghiên cứu bảo mật nổi tiếng vừa đưa ra lời cảnh báo rằng thế hệ phần mềm độc hại tiếp theo có thể đang ẩn mình trong chính các mô hình trí tuệ nhân tạo (AI), đặc biệt là trong các ứng dụng được người dùng tin tưởng. Thay vì tập trung vào các cuộc tấn công tức thời bằng AI, chuyên gia bảo mật Hariharan Shanmugam cho rằng mã độc có thể lặng lẽ ẩn náu trong các mô hình AI như công cụ Core ML của Apple. Tại hội nghị bảo mật Black Hat USA 2025 vào ngày 7 tháng 8, ông sẽ trình bày nghiên cứu về cách các mô hình AI có thể bị ‘vũ khí hóa’ mà không cần đến lỗ hổng phần mềm.

Vấn đề bảo mật trong các mô hình AI

Vấn đề nằm ở chỗ phần lớn các công cụ bảo mật hiện nay không được thiết kế để quét sâu vào bên trong mô hình học máy hoặc thư viện AI, nơi mà mã độc có thể bị giấu kín trong hình ảnh hoặc tệp âm thanh. Shanmugam đã phát triển một framework tấn công có tên MLArc, sử dụng chính các thành phần học máy của Apple để thực hiện kiểm soát và ra lệnh (Command & Control – C2). Bằng cách tận dụng Core ML, Vision (xử lý ảnh) và AVFoundation (xử lý âm thanh), mã độc có thể ẩn mình dưới dạng dữ liệu hợp pháp, lọt qua mọi hệ thống kiểm tra và thậm chí được kích hoạt mà không để lại dấu vết nào rõ ràng.

Nguy cơ từ các ứng dụng AI bị nhiễm độc

Điều đáng lo ngại là những cuộc tấn công như vậy không cần bất kỳ lỗi nào trong hệ thống Apple hay ứng dụng AI. Thay vào đó, kẻ tấn công có thể phát hành một ứng dụng AI ‘trông có vẻ hợp pháp’, được lưu hành công khai trên các kho phần mềm, nhưng bên trong lại chứa mã độc giấu kín. Khi ứng dụng chạy, payload độc hại sẽ được thực thi hoàn toàn trong bộ nhớ, tránh xa mọi bộ quét truyền thống.

Rủi ro trong chuỗi cung ứng phần mềm

Shanmugam cảnh báo rằng bất kỳ tổ chức nào cũng có thể trở thành nạn nhân nếu vô tình tích hợp một mô hình AI bị ‘nhiễm độc’. Đây là rủi ro nghiêm trọng trong chuỗi cung ứng phần mềm hiện đại, nơi AI ngày càng được dùng phổ biến trong ảnh, âm thanh, chatbot, và nhiều ứng dụng khác.

Kết luận và khuyến cáo

Ông gọi đây là một chiến thuật ‘nhóm đỏ’ nhằm giúp cộng đồng bảo mật nhận ra rằng mô hình AI không chỉ là dữ liệu thụ động, mà có thể trở thành kênh truyền tải dữ liệu nguy hiểm. Ông sẽ công bố các chỉ số xâm nhập (IoC) liên quan trong blog nghiên cứu của mình cùng thời điểm với buổi thuyết trình. ‘Thế hệ cấy ghép độc hại tiếp theo đang tìm nơi ẩn náu trong AI, và hiện tại chúng ta chưa đủ sẵn sàng để phát hiện,’ ông kết luận.

Lỗ hổng bảo mật nghiêm trọng trong phần mềm SharePoint của Microsoft đang gây ra mối lo ngại lớn cho các chuyên gia an ninh mạng trên toàn thế giới. Lỗ hổng zero-day, được đặt tên là ‘ToolShell’, có khả năng cho phép các tin tặc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng phần mềm này để chia sẻ tài liệu nội bộ một cách bảo mật.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, nhận định rằng bất kỳ tổ chức nào sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều có thể bị ảnh hưởng bởi lỗ hổng này. Đây được coi là một lỗ hổng nghiêm trọng và có thể gây ra rủi ro lớn cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ. Lỗ hổng này cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.

Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng đưa ra cảnh báo rằng lỗ hổng này có thể cho phép tin tặc vượt qua các bản vá trong tương lai. Điều này đồng nghĩa với việc các tổ chức cần phải có biện pháp phòng ngừa và cập nhật bảo mật kịp thời để giảm thiểu rủi ro.

Microsoft đã xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng lỗ hổng vẫn đang đặt nhiều tổ chức, cá nhân vào tầm ngắm của tin tặc.

Các tổ chức an ninh mạng quốc tế đã phát hiện ra một cuộc tấn công quy mô lớn đã xâm nhập hệ thống của khoảng 100 tổ chức khác nhau, bao gồm nhiều doanh nghiệp và cơ quan chính phủ. Hầu hết các tổ chức bị ảnh hưởng đều ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ. Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này.

CISA khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật. Điều này nhằm đảm bảo rằng các tổ chức có thể giảm thiểu rủi ro và bảo vệ hệ thống của mình khỏi các cuộc tấn công của tin tặc. Để cập nhật thông tin mới nhất về lỗ hổng này và cách phòng ngừa, người dùng có thể truy cập vào trang web của Microsoft hoặc trang web của CISA để có được thông tin chính xác và đáng tin cậy.