top of page

Điểm tin an ninh mạng (22/6 - 28/6): Báo động lừa đảo EVN, AI bị thao túng và Lỗ hổng Linux cướp quyền Root

Bản điểm tin an ninh mạng tuần từ 22/6 - 28/6/2026 ghi nhận các làn sóng lừa đảo đánh mạnh vào người dùng cuối tại Việt Nam, điển hình là vụ mạo danh EVN và hơn 336 website giả mạo World Cup.

Trên trường quốc tế, giới bảo mật chấn động khi các đặc vụ AI bị "dắt mũi" để tự cài mã độc, đi kèm với sự xuất hiện của mã độc TonRAT nhắm vào khách sạn và lỗ hổng "DirtyClone" cấp quyền Root trên Linux.

Điểm tin an ninh mạng trong nước: Người dùng Việt đang đối mặt với những cạm bẫy nào?

Các chiến dịch lừa đảo (phishing) trong tuần qua tại Việt Nam tập trung khai thác lòng tin vào các thương hiệu lớn và sức nóng của các sự kiện thể thao toàn cầu. Các đối tượng không ngừng đổi mới thủ đoạn để chiếm đoạt tài khoản ngân hàng và dữ liệu danh tính.

1. Mạo danh EVN gửi tin nhắn OTP chứa mã độc chiếm đoạt tài khoản

Tóm tắt nhanh: Tập đoàn Điện lực Việt Nam (EVN) phát đi cảnh báo khẩn về việc tin tặc giả danh "EVN CSKH" gửi mã OTP giả mạo kèm đường link độc hại nhằm trộm tài sản của người dân.

  • Diễn biến chính:

    • Lợi dụng việc EVN vừa thử nghiệm ứng dụng mới, kẻ xấu gửi tin nhắn chứa mã 6 chữ số và một đường link có chứa chữ "evn" nhưng sai khác phần đuôi tên miền.

    • Mục tiêu là dụ dỗ nạn nhân bấm vào link, từ đó đánh cắp thông tin cá nhân và chiếm đoạt tiền trong tài khoản ngân hàng.

  • Giải pháp & Hành động:

    • Tuyệt đối không nhấn vào link đính kèm. EVN khẳng định tin nhắn OTP chính thức không bao giờ chứa bất kỳ đường link nào.

    • EVN chỉ gửi OTP khi bạn chủ động đăng nhập hoặc giao dịch trên ứng dụng. Chỉ tải app "EVN CSKH" từ Google Play hoặc App Store chính thức.

2. World Cup 2026: Hàng trăm website lừa đảo "ăn theo" bùng phát dữ dội

Tóm tắt nhanh: Hàng chục triệu người hâm mộ đang trở thành mồi ngon cho hơn 336 tên miền giả mạo liên quan đến World Cup 2026 do Kaspersky ghi nhận.

  • Diễn biến chính:

    • Kẻ gian dựng lên các trang web phát sóng trực tiếp miễn phí, nhưng sau đó yêu cầu nạn nhân thanh toán bằng tiền điện tử để lấy "quyền truy cập trọn đời", qua đó thu thập luôn email và mật khẩu.

    • Hàng loạt trang web cá độ, dự đoán tỷ số giả mạo yêu cầu điền thông tin cá nhân. Thậm chí có kịch bản email lừa đảo bắt nạn nhân nộp 200 đô la Úc để nhận các "báo cáo phân tích chuyên sâu".

  • Giải pháp & Hành động:

    • Chỉ xem bóng đá trên các nền tảng phát sóng có bản quyền chính thức.

    • Thiết lập xác thực hai yếu tố (2FA) cho toàn bộ tài khoản quan trọng và không dùng chung mật khẩu. Sử dụng phần mềm diệt virus có tính năng nhận diện liên kết phishing.

trang web giả mạo cá độ mùa World Cup
Trang web giả mạo cá độ mùa World Cup. Nguồn: Kaspersky

Điểm tin an ninh mạng quốc tế: Trí tuệ nhân tạo và lỗ hổng Zero-day tàn phá hệ thống ra sao?

Tại mặt trận quốc tế, tội phạm mạng đang sử dụng các kỹ thuật "ẩn mình" cực kỳ phức tạp. Từ việc rửa thông tin xác thực qua các dịch vụ hợp pháp, đến việc nhúng các thông báo lỗi giả để đánh lừa chính những công cụ bảo mật dùng AI.

3. "Rửa danh tính" qua Calendly: Mã độc TonRAT nhắm thẳng vào hệ thống Khách sạn

Tóm tắt nhanh: Một chiến dịch Phishing tinh vi đang rải thảm vào các khách sạn ở Châu Âu và Châu Á, sử dụng dịch vụ của Calendly và Google để qua mặt bộ lọc email, thả mã độc Node.js (TonRAT).

  • Diễn biến chính:

    • Tin tặc gửi email giả mạo phàn nàn về rệp giường, thanh tra y tế. Nhờ gửi qua cơ sở hạ tầng thực của Calendly, email dễ dàng vượt qua các chuẩn bảo mật SPF, DKIM và DMARC.

    • Nạn nhân bị điều hướng tải về một file ZIP chứa shortcut (LNK) giả làm hình ảnh. Khi click, nó sẽ dùng PowerShell tải về Node.js hợp pháp và chạy mã độc TonRAT ẩn danh qua hàm API của blockchain TON.

  • Giải pháp & Hành động:

    • Gỡ bỏ cả 2 đường dẫn duy trì sự sống của mã độc: Khóa Run trong Registry và file thực thi tại AppData\Local\Nodejs. Rà soát kỹ các máy tính ở quầy lễ tân.

4. Lỗ hổng "DirtyClone" trên Linux Kernel cho phép người dùng chiếm quyền Root

Tóm tắt nhanh: Lỗ hổng CVE-2026-43503 (CVSS 8.8) thuộc họ DirtyFrag vừa bị công bố mã khai thác, cho phép người dùng mạng cục bộ lạm dụng cơ chế nhân bản gói tin để làm chủ toàn bộ hệ thống Linux.

  • Diễn biến chính:

    • Lỗi xảy ra do Kernel đánh rơi "cờ an toàn" khi nhân bản một gói tin mạng.

    • Kẻ tấn công lừa hệ thống ghi đè các byte lệnh độc hại vào một tiến trình hợp lệ (như lệnh su) thông qua kết nối IPsec. Toàn bộ thao tác diễn ra trên RAM (bộ nhớ trong) nên không để lại bất kỳ dấu vết nào trên ổ cứng.

  • Giải pháp & Hành động:

    • Cập nhật Kernel ngay lập tức (bản vá có từ v7.1-rc5).

    • Biện pháp tạm thời: Tắt tính năng tạo không gian người dùng không đặc quyền (kernel.unprivileged_userns_clone=0) hoặc vô hiệu hóa các module mạng esp4, esp6.

5. Mã độc macOS "Gaslight" dùng lỗi giả để "hack" lại hệ thống phân tích AI

Tóm tắt nhanh: Lần đầu tiên giới bảo mật ghi nhận một mã độc trên macOS (tên Gaslight) chủ động nhúng các thông báo lỗi giả mạo để làm lóa mắt các công cụ AI chuyên phân tích mã độc.

  • Diễn biến chính:

    • Được phát triển bằng ngôn ngữ Rust bởi nhóm hacker Triều Tiên, Gaslight nhúng một tệp 3.5 KB chứa 38 kịch bản lỗi giả mạo (như lỗi SQL injection, token hết hạn).

    • Đây là hình thức Prompt Injection, mục đích khiến các hệ thống AI (LLM) hỗ trợ SOC tự nghi ngờ kết quả phân tích của mình, cắt xén báo cáo hoặc dừng việc rà quét.

  • Giải pháp & Hành động:

    • Tuyệt đối không coi các chuỗi (strings) trích xuất từ mã độc là đầu vào an toàn cho các công cụ AI. Luôn phải xác thực chéo bằng dịch ngược thủ công, sandbox và log hành vi.

6. AI Coding Agents bị lừa chạy Reverse Shell từ mã nguồn GitHub sạch (0DIN)

Tóm tắt nhanh: Các nghiên cứu viên phát hiện một kỹ thuật không cần Zero-day nhưng vẫn ép được các đặc vụ AI (như Claude Code) tự mở cửa hậu (Reverse Shell) cho hacker.

  • Diễn biến chính:

    • Kẻ gian tạo một repo GitHub trông rất an toàn. Tuy nhiên, khi AI gõ lệnh cài đặt, mã nguồn cố tình ném ra một thông báo lỗi khuyên AI chạy một lệnh gỡ lỗi khác.

    • Bản năng tự sửa lỗi khiến AI tự động chạy lệnh này. Lệnh sẽ gọi đến một bản ghi DNS TXT của hacker, kéo về chuỗi mã hóa Base64 và thực thi nó để chiếm quyền máy tính của lập trình viên.

  • Giải pháp & Hành động:

    • Quản trị viên cần giới hạn quyền của AI Agent: Buộc AI phải công khai toàn bộ chuỗi thực thi và hỏi ý kiến con người trước khi chạy bất kỳ script tải về từ xa nào.

7. CISA cảnh báo khai thác thực tế lỗ hổng RCE trên PTC Windchill

Tóm tắt nhanh: Cơ quan CISA của Mỹ vừa đưa lỗ hổng CVE-2026-12569 (Điểm CVSS 9.3) trên phần mềm quản lý dữ liệu sản phẩm PTC Windchill vào danh sách KEV vì đang bị tin tặc khai thác dữ dội.

  • Diễn biến chính:

    • Lỗ hổng Deserialization cho phép kẻ tấn công gửi request không xác thực để thực thi mã tùy ý từ xa.

    • Hacker đang ráo riết thả các Web Shell định dạng JSP vào hệ thống. IP máy chủ điều khiển (C2) được xác định là 5.180.41.35.

  • Giải pháp & Hành động:

    • Chặn ngay IP 5.180.41.35 trên tường lửa.

    • Tìm kiếm trong log HTTP các truy vấn POST đến /Windchill/login/*.jsp và rà quét thư mục tìm file flst.txt hoặc các file .jsp có định dạng 16 ký tự mã hex.

8. Vụ tấn công KDDI: Hơn 14,22 triệu thông tin email và mật khẩu có nguy cơ bị lộ

Tóm tắt nhanh: Tập đoàn viễn thông KDDI (Nhật Bản) xác nhận hệ thống email dành cho các nhà cung cấp dịch vụ Internet (ISP) đã bị tấn công, ảnh hưởng đến 14,22 triệu tài khoản.

  • Diễn biến chính:

    • Cuộc tấn công mạng đã khai thác triệt để các lỗ hổng bảo mật nằm trong phần mềm của bên thứ ba (third-party software) được tích hợp vào hệ thống email của KDDI.

    • Hàng loạt ISP lớn chịu ảnh hưởng trực tiếp, bao gồm STNet Inc., JCOM Co., Chubu Telecommunications, Nifty Corp., và Biglobe Inc.

  • Giải pháp & Hành động:

    • KDDI đang khẩn trương phối hợp cùng các ISP để yêu cầu toàn bộ người dùng đổi mật khẩu ngay lập tức.

    • Doanh nghiệp cần áp dụng ngay việc rà soát bảo mật chặt chẽ đối với các giải pháp phần mềm của bên thứ ba (Supply Chain Security) trước khi tích hợp vào hệ thống lõi.

Vụ rò rỉ dữ liệu làm lộ tới 14,2 triệu thông tin đăng nhập email tại sáu nhà cung cấp dịch vụ Internet (ISP).
Vụ rò rỉ dữ liệu làm lộ tới 14,2 triệu thông tin đăng nhập email tại sáu nhà cung cấp dịch vụ Internet (ISP)

9. Rủi ro uy tín chuỗi cung ứng trong kỷ nguyên AI

Tóm tắt nhanh: Các nhà lãnh đạo chuỗi cung ứng đang đối mặt với "lỗ hổng hiển thị" trên các công cụ AI (ChatGPT, Perplexity), nơi AI có xu hướng ghi nhớ vĩnh viễn các sự cố rò rỉ, thu hồi sản phẩm của doanh nghiệp nếu không có thông tin đính chính.

  • Diễn biến chính:

    • Khi đội ngũ mua hàng (procurement) yêu cầu AI đánh giá độ tin cậy của một nhà cung cấp, AI sẽ tổng hợp dữ liệu từ báo chí và báo cáo sự cố trong quá khứ.

    • Nếu một doanh nghiệp gặp sự cố chuỗi cung ứng hoặc rò rỉ dữ liệu vào năm 2024 mà không xuất bản các nội dung xác nhận đã khắc phục, đến năm 2026, AI vẫn sẽ trích xuất lại thông tin tiêu cực đó làm câu trả lời chính.

  • Giải pháp & Hành động:

    • Triển khai chiến lược: Liên tục giám sát danh tiếng trên các phương tiện truyền thông.

    • Xuất bản các tài liệu, báo cáo khắc phục sự cố (whitepapers, case studies) trên các nguồn uy tín để "dạy" lại AI, đảm bảo hồ sơ an ninh mạng của doanh nghiệp luôn được cập nhật tích cực.

Bản điểm tin an ninh mạng tuần này cho thấy ranh giới giữa an toàn và thảm họa chỉ cách nhau một cú click chuột hay một thao tác phó mặc cho AI. Cho dù là doanh nghiệp hay người dùng cá nhân, việc duy trì sự hoài nghi trước mọi đường link (như giả mạo EVN, World Cup) và áp dụng các cơ chế xác thực đa lớp, vá lỗi hệ điều hành khẩn cấp (như Linux DirtyClone) chính là chìa khóa duy nhất để sinh tồn trên không gian số.

-----------------------

Nguồn tham khảo

Bình luận


theo dõi ipsip việt nam trên google news.png
conact-ipsip-vietnam
zalo
đặt lịch hẹn
bottom of page