Cảnh báo An ninh mạng: Lỗ hổng Khẩn cấp, Tấn công AI Đột Biến

Trong tuần từ ngày 16 đến 22 tháng 2 năm 2026, lĩnh vực an ninh mạng đã chứng kiến nhiều sự kiện quan trọng. Các nhóm ransomware tiếp tục nhắm mục tiêu vào các doanh nghiệp, trong đó nhóm Hellcat đã xâm nhập hạ tầng bán vé của Ascom và đánh cắp 44GB dữ liệu nhạy cảm. Một tác nhân đe dọa có động cơ tài chính đã sử dụng nhiều dịch vụ AI để xâm nhập hơn 600 thiết bị FortiGate, đánh dấu một trường hợp đáng chú ý về tấn công sử dụng AI. Về phía lỗ hổng, các bản vá khẩn cấp đã được phát hành cho các lỗ hổng CVE nghiêm trọng trong BeyondTrust, Ivanti EPMM, Splunk Enterprise, Windows Admin Center và Google Chrome, một số trong đó đang bị khai thác tích cực.

Ngoài ra, các vụ rò rỉ dữ liệu từ PayPal, SpyX và California Cryobank đã khiến hàng triệu người dùng đối mặt với nguy cơ đánh cắp danh tính. Sự cố mất dịch vụ toàn cầu kéo dài sáu giờ của Cloudflare do lỗi xoay vòng mật khẩu cũng nhấn mạnh tầm quan trọng của tính khả dụng trong bảo mật.

Phân tích các Mã độc và Mối đe dọa mới

Noodlophile: Kẻ đánh cắp thông tin với chiến lược phát triển

Tuần này, mã độc đánh cắp thông tin Noodlophile tiếp tục gây lo ngại với sự tiến hóa đáng kể trong chiến lược tấn công. Các đối tượng liên quan đến nhóm UNC6229 đã sử dụng các tin tuyển dụng giả mạo để nhắm mục tiêu vào người tìm việc, sinh viên và các nhà tiếp thị kỹ thuật số.

Chúng triển khai các stealers và RAT đa giai đoạn thông qua kỹ thuật DLL sideloading. Các biến thể mới nhất còn tích hợp thuật toán băm djb2 và mã hóa XOR, khiến việc phân tích ngược trở nên phức tạp hơn.

VoidLink: Khung mã độc Linux do AI hỗ trợ

Một khung mã độc Linux tinh vi có tên VoidLink đã xuất hiện, là ví dụ đáng ngại về sự phát triển các mối đe dọa được hỗ trợ bởi AI. Mã độc này được xây dựng bằng một công cụ mã hóa dựa trên LLM (Large Language Model), bằng chứng là các nhãn cấu trúc “Phase X:” và nhật ký gỡ lỗi dài dòng còn sót lại trong binary sản phẩm.

VoidLink kết hợp khả năng nhắm mục tiêu đa đám mây trên AWS, GCP, Azure, Alibaba Cloud và Tencent Cloud với các chức năng rootkit cấp kernel.

Sử dụng AI làm kênh C2 cho mã độc

Các nhà nghiên cứu cũng xác nhận rằng các tác nhân đe dọa đang lợi dụng Grok và Microsoft Copilot làm các kênh bí mật cho giao tiếp mã độc. Điều này giúp chúng vượt qua các phương pháp phát hiện C2 truyền thống bằng cách ngụy trang các lệnh thành các cuộc gọi API AI hợp pháp.

Chiến dịch Raspberry Robin và hạ tầng độc hại

Các nhà nghiên cứu bảo mật đã tiết lộ rằng 200 tên miền duy nhất có liên quan đến chiến dịch Raspberry Robin kéo dài từ năm 2019. Mã độc này lây lan qua các ổ USB bị nhiễm và các tên miền đặc trưng bởi các mẫu ba ký tự với các TLD hai chữ cái không phổ biến (như .wf, .pm, .re), cùng với hành vi Fast Flux. Điều này gây khó khăn trong việc gỡ bỏ và theo dõi.

Các Cuộc Tấn Công Mạng Quan Trọng và Sự cố Dịch vụ

Khai thác CVE RCE nghiêm trọng trong BeyondTrust

Câu chuyện tấn công đáng chú ý nhất trong tuần là việc khai thác tích cực một lỗ hổng RCE (Remote Code Execution) nghiêm trọng trong các thiết bị BeyondTrust. Các tác nhân đe dọa đã mở các kết nối WebSocket và gửi các giá trị remoteVersion bị định dạng sai để thực thi mã.

Dữ liệu đo từ xa của GreyNoise cho thấy một địa chỉ IP duy nhất, 193[.]24[.]123[.]42, chịu trách nhiệm cho 83% tổng số nỗ lực khai thác. Chi tiết về các lỗ hổng CVE liên quan được các nhà nghiên cứu theo dõi sát sao.

Xâm nhập FortiGate quy mô lớn do AI hỗ trợ

Vào ngày 21 tháng 2, một tác nhân đe dọa có động cơ tài chính đã xác nhận việc sử dụng nhiều dịch vụ AI tạo sinh thương mại để xâm nhập hơn 600 thiết bị FortiGate. Đây là một trường hợp mang tính bước ngoặt của các hoạt động tấn công được hỗ trợ bởi AI nhằm vào cơ sở hạ tầng mạng doanh nghiệp trên quy mô lớn.

Sự kiện này cảnh báo về mức độ tinh vi của các cuộc tấn công mạng hiện nay.

Sự cố ngừng dịch vụ toàn cầu của Cloudflare

Cloudflare đã trải qua sự cố ngừng dịch vụ toàn cầu kéo dài sáu giờ vào ngày 21 tháng 2 năm 2026, ảnh hưởng đến khách hàng trên toàn thế giới. Nguyên nhân gốc rễ được xác định là lỗi xoay vòng mật khẩu đã gây ra các sự cố dịch vụ lan rộng trên nhiều dòng sản phẩm của Cloudflare.

Sự cố này nhắc nhở rằng tính khả dụng vẫn là một mối quan tâm bảo mật cốt lõi, ngay cả đối với các nhà cung cấp dịch vụ lớn.

Nhóm ransomware Hellcat tấn công Ascom

Nhóm ransomware Hellcat tiếp tục chiến dịch tấn công mạnh mẽ bằng cách xâm nhập hệ thống bán vé kỹ thuật của Ascom. Chúng đã đánh cắp khoảng 44GB dữ liệu, bao gồm mã nguồn, chi tiết dự án, hóa đơn và các tài liệu bảo mật.

Nhóm này đã khai thác thông tin đăng nhập Jira thu thập được từ mã độc Infostealer làm vector truy cập ban đầu. Vụ việc này là một minh chứng khác cho các cuộc tấn công mạng nhắm vào chuỗi cung ứng.

Các Vụ Rò rỉ Dữ liệu và Nguy cơ Đánh cắp Danh tính

Rò rỉ dữ liệu khách hàng PayPal

Tuần này, PayPal đã tiết lộ một vụ xâm nhập làm lộ số An sinh xã hội (SSN), ngày sinh và PII (thông tin nhận dạng cá nhân) kinh doanh của khách hàng. Sự kết hợp giữa SSN và chi tiết liên hệ kinh doanh tạo ra một hồ sơ rủi ro cao cho việc đánh cắp danh tính và gian lận tài chính, nhắm vào cả người tiêu dùng và doanh nghiệp.

Nguy cơ rò rỉ dữ liệu này đòi hỏi người dùng cần nâng cao cảnh giác.

SpyX: Đánh cắp gần 2 triệu thông tin người dùng

Hoạt động phần mềm gián điệp cấp độ người tiêu dùng SpyX đã xác nhận một vụ xâm nhập lớn ảnh hưởng đến gần 2 triệu người dùng. Khoảng 17.000 thông tin đăng nhập tài khoản Apple dạng văn bản thuần đã bị lộ. Troy Hunt từ Have I Been Pwned đã xác minh tính hợp lệ của các bản ghi bị rò rỉ, và Google sau đó đã gỡ bỏ tiện ích mở rộng Chrome liên quan.

California Cryobank bị tấn công SQL Injection

California Cryobank, một trong những kho lưu trữ tinh trùng lớn nhất nước Mỹ, đã xác nhận một vụ rò rỉ dữ liệu đáng kể làm lộ PII nhạy cảm của khách hàng. Cuộc xâm nhập được thực hiện thông qua tấn công SQL injection để trích xuất hồ sơ khách hàng, đồng thời xâm nhập hệ thống ghi nhật ký để che giấu dấu vết.

Đây là một ví dụ điển hình về việc khai thác các lỗ hổng CVE trong ứng dụng web.

Phân tích các Lỗ hổng CVE và Bản vá Khẩn cấp

Tuần này chứng kiến nhiều tiết lộ về các lỗ hổng CVE nghiêm trọng trên các nền tảng doanh nghiệp và tiêu dùng. Dưới đây là bảng tổng hợp các phát hiện chính trong tuần:

Bản cập nhật khẩn cấp cho Google Chrome

Google đã phát hành một bản cập nhật bảo mật khẩn cấp cho Chrome để khắc phục lỗ hổng tràn bộ đệm heap có mức độ nghiêm trọng cao. Lỗ hổng này có thể cho phép kẻ tấn công làm sập trình duyệt hoặc thực thi mã. Người dùng được khuyến nghị cập nhật ngay lập tức.

Bản vá quan trọng cho GitLab

GitLab đã phát hành các bản vá cho phiên bản Community và Enterprise, giải quyết nhiều lỗ hổng CVE nghiêm trọng. Bao gồm CVE-2025-7659 (CVSS 8.0) trong Web IDE và CVE-2026-0958 (High 7.5), cho phép tấn công DoS thông qua cạn kiệt tài nguyên. Việc cập nhật bản vá là cực kỳ cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công mạng tiềm tàng. Để biết thêm thông tin chi tiết, vui lòng truy cập trang Release Blog của GitLab.

Tổng hợp các bản vá khác

Ngoài ra, các bản vá khẩn cấp đã được công bố cho các lỗ hổng quan trọng trong Ivanti EPMM, Splunk Enterprise và Windows Admin Center. Các lỗ hổng CVE này đòi hỏi quản trị viên hệ thống cần thực hiện các biện pháp cập nhật và cấu hình bảo mật kịp thời để giảm thiểu rủi ro.

Việc theo dõi và áp dụng các bản vá bảo mật định kỳ là rất quan trọng để duy trì một môi trường an toàn trước các mối đe dọa mạng liên tục.