Lỗ Hổng 24h

Lỗ Hổng 24h Contact information, map and directions, contact form, opening hours, services, ratings, photos, videos and announcements from Lỗ Hổng 24h, Community Center, An Nhơn, Bình Định, An Nhon.

Lỗ Hổng 24h cung cấp cảnh báo sớm, tổng hợp từ nhiều nguồn uy tín trên thế giới, giúp bạn phát hiện – đánh giá – ứng phó với các lỗ hổng bảo mật quan trọng một cách hiệu quả.

WhatsApp Worm lan truyền trojan ngân hàng Astaroth từ máy Windows sang danh bạ📌 Tổng quanChiến dịch: Boto Cor-de-Rosa — ...
10/01/2026

WhatsApp Worm lan truyền trojan ngân hàng Astaroth từ máy Windows sang danh bạ

📌 Tổng quan
Chiến dịch: Boto Cor-de-Rosa — dùng WhatsApp như “worm” để lan malware.
Malware chính: Astaroth (còn gọi là Guildma) — trojan ngân hàng lâu đời nhắm vào người dùng Windows để đánh cắp thông tin tài chính/credentials.
Khu vực ảnh hưởng: chủ yếu Brazil, phần nhỏ tại Mỹ và Áo.
Active từ: ít nhất từ ngày 24/9/2025.
Astaroth thường được phân phối qua email phishing; tuy nhiên chiến dịch hiện tại đã tiến hóa thành worm Facebook/WhatsApp-based auto-messaging, cho phép malware tự nhắn tin tới tất cả contact list của nạn nhân để nhanh chóng lan rộng.
Chiến dịch này đánh dấu một xu hướng mới: messaging apps như WhatsApp không chỉ dùng để phishing, mà còn để tự động lan malware. Widespread use của WhatsApp tại Brazil làm rủi ro càng lớn.

📌 Tổng kết
Chiến dịch bệnh truyền mới: Boto Cor-de-Rosa sử dụng WhatsApp để tự động gửi malware tới contacts list, làm tăng tốc độ lây nhiễm.
Malware: Astaroth (Windows banking trojan) có thêm module worm Python để lan rộng qua messaging.
Đe dọa: đánh cắp credentials tài chính, sử dụng Social Engineering & tự động hóa spread.

Nguồn tin: The Hacker News (TheHackerNews) — báo cáo chiến dịch Boto Cor-de-Rosa sử dụng WhatsApp làm vector lây lan malware ngân hàng tại Brazil.

18/11/2025

Cloudflare sập diện rộng, toàn bộ các Website có cài Cloudflare đều không thể truy cập.

Phần mềm độc hại mới dựa trên Rust "ChaosBot" sử dụng kênh Discord để kiểm soát máy tính của nạn nhânTÓM TẮT NGẮN (mức k...
14/10/2025

Phần mềm độc hại mới dựa trên Rust "ChaosBot" sử dụng kênh Discord để kiểm soát máy tính của nạn nhân

TÓM TẮT NGẮN (mức khẩn cấp)

- Tên/phiên bản: ChaosBot (Rust-based backdoor) và biến thể downloader / ransomware Chaos-C++.
- Vektor phân phối: phishing, giả mạo phần mềm (fake “System Optimizer v2.1”), trang tải lừa đảo, file đính kèm/installer.
- Khả năng: backdoor/C2 (Discord-based C2 observed), clipboard hijacking để ăn cắp private keys/crypto, tải module mã hoá/ransomware, khả năng destructive (xoá file >1.3 GB), skip hoặc mã hoá file theo kích thước để tối ưu hoá hiệu quả.

Cần chú ý:
1. C2 qua Discord / WebSocket — kẻ tấn công dùng hạ tầng hợp pháp (Discord channels / WebSocket) để điều khiển, khiến việc phát hiện qua network truyền thống khó khăn.
2. Clipboard hijacking — malware giám sát clipboard để thay thế/đánh cắp địa chỉ ví tiền mã hóa, dẫn tới mất tiền ngay khi nạn nhân paste.
3. Kết hợp ransomware + destructive behavior — Chaos-C++ vừa mã hoá (nhỏ hơn 50 MB) vừa có cơ chế xoá file lớn (>1.3 GB) để phá hoại/khủng bố; downloader có khả năng tắt recovery nếu chạy với quyền admin.

CÁCH THỨC HOẠT ĐỘNG

1. Lure / delivery: nạn nhân được lừa tải một installer/công cụ giả (ví dụ “System Optimizer v2.1”) từ trang lừa đảo hoặc mở tệp đính kèm/phishing.
2. Dropper / loader: chương trình cài đặt thả một binary (Rust/C++), khởi chạy process hợp pháp hoặc tự tạo service để ẩn mình.
3. Beaconing & C2: client tạo kết nối outbound tới kênh C2 — quan sát có thể thấy Discord API/WebSocket traffic hoặc kết nối TLS dài tới host do attacker điều khiển.
4. Mục tiêu tiền mã hoá: module clipboard hijacker theo dõi clipboard, khi phát hiện chuỗi giống địa chỉ ví sẽ thay thế bằng địa chỉ của attacker trước khi nạn nhân paste.
5. Tải module thứ cấp: C2 có thể gửi lệnh tải Chaos-C++ (downloader) — nếu chạy với quyền quản trị, malware sẽ: vô hiệu hóa recovery (shadow copies), mã hoá file nhỏ (1.3 GB (destructive behavior).

Vi phạm SaaS bắt đầu từ mã thông báo - Những điều nhóm bảo mật phải chú ý🔍 Tóm tắt nội dung chínhTokens (OAuth access to...
10/10/2025

Vi phạm SaaS bắt đầu từ mã thông báo - Những điều nhóm bảo mật phải chú ý

🔍 Tóm tắt nội dung chính

Tokens (OAuth access tokens, API keys, session tokens) đang trở thành điểm vào chính cho các vụ SaaS breach — kẻ tấn công chỉ cần có token hợp lệ là có thể vượt qua nhiều lớp bảo vệ như MFA.

Các vụ nổi bật được liệt kê:

1. Slack (2023): kẻ tấn công lấy token của nhân viên để truy cập repo GitHub nội bộ.

2. CircleCI (2023): phần mềm độc hại lấy session token từ máy của kỹ sư → truy cập platform CI và lấy secrets.

3. Cloudflare/Okta (2023): mặc dù thay credentials nhiều nơi, chỉ một API token không bị xoay vòng vẫn đủ cho kẻ tấn công truy cập môi trường Atlassian.

4. Salesloft/Drift (2025): supply-chain breach cho phép lấy OAuth tokens từ integrations (Salesforce, Google Workspace …), tiếp cận dữ liệu nhiều tenant.

Các nguyên nhân chính gây nên rủi ro lớn nhất với token:
- SaaS sprawl: nhiều ứng dụng bên ngoài, nhiều integration mà IT/security không biết hết.
- Token có scope quá rộng / quyền không cần thiết.
- Tokens có tuổi dài, không expire nhanh, không bị rotate định kỳ.
- Thiếu giám sát về hoạt động token (logging, alerting) và thiếu visibility về các app kết nối.

🚨 IOCs & điểm phát hiện sớm (Indicators & hunting)
Dưới đây là các chỉ dấu có thể dùng trong SIEM / EDR / IAM để hunt token compromise:

- Token usage từ IP hoặc địa điểm bất thường so với lịch sử hoạt động.
- Token được sử dụng để truy cập nhiều dịch vụ SaaS khác nhau (lateral movement qua integrations).
- Các API calls / OAuth grants mới hoặc ứng dụng mới được thêm vào mà không qua kiểm duyệt.
- Token với scope rất rộng (ví dụ truy cập toàn bộ mailboxes, toàn bộ drive, read/write khi chỉ cần read).
- Tồn tại token/app không được dùng trong nhiều ngày/weeks — dormant tokens.
- Logs từ IdP / SS0: grant events cho apps mới, refresh token usage, non-interactive logins bằng token.

⚠️Lỗ hổng nghiêm trọng cho phép tin tặc bỏ qua xác thực trong WordPress Service Finder Theme TỔNG QUAN NGẮN⚪️Vấn đề: Aut...
10/10/2025

⚠️Lỗ hổng nghiêm trọng cho phép tin tặc bỏ qua xác thực trong WordPress Service Finder Theme

TỔNG QUAN NGẮN
⚪️Vấn đề: Authentication-bypass (bỏ qua xác thực) do plugin không kiểm tra giá trị cookie trước khi thực hiện hành vi “account switching” (hàm service_finder_switch_back()), cho phép kẻ tấn công đăng nhập như bất kỳ tài khoản nào — kể cả administrator mà không cần mật khẩu.
⚪️CVE: CVE-2025-5947 (CVSS 9.8).
⚪️Phiên bản bị ảnh hưởng: mọi phiên bản trước và bao gồm 6.0; bản sửa là 6.1 (phát hành 17-Jul-2025). Theme/Plugin được bán cho >6.100 khách hàng (ThemeForest/Envato).
⚪️Khai thác thực tế: đã có hoạt động khai thác từ 01-Aug-2025; >13.800 nỗ lực tấn công đã được phát hiện (tỷ lệ thành công chưa rõ).
⚪️IP đã ghi nhận khai thác/scan: 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71, 178.125.204.198.

CÁCH THỨC KHAI THÁC (kỹ thuật — cho SOC/IR)

- Cơ chế lỗi: chức năng chuyển đổi tài khoản (account switching) trong plugin chấp nhận cookie/switch token mà không validate nguồn/gá trị; attacker craft cookie đặc biệt hoặc replay cookie để được đăng nhập thành cụ thể một user.
- Điểm vào: endpoint/account-switch endpoint của plugin (thông thường là URL trong theme Service Finder). Nếu site dùng plugin bị ảnh hưởng và endpoint có mặt, attacker từ bên ngoài có thể gửi request craft để “switch back” thành admin.
- Hậu quả trực tiếp: takeover site (full admin), cài web-shell, tạo backdoor, chèn redirect/malvertising, host malware, thay đổi nội dung, ăn cắp dữ liệu người dùng, pivot tới hệ thống nội bộ nếu site có kết nối CI/CD hay credential lưu trữ.

IOCs (những thứ quan sát được)

- CVE: CVE-2025-5947.
- Các IP tấn công đã biết: 5.189.221.98, 185.109.21.157, 192.121.16.196, 194.68.32.71, 178.125.204.198.
- Phiên bản vá: plugin Service Finder Bookings 6.1 (released 17-Jul-2025).

⚠️ CẢNH BÁO BẢO MẬT: Microsoft công bố nhóm Storm-1175 / LongHorn hoạt động trong ít nhất 7 năm — nhắm vào tổ chức chính...
08/10/2025

⚠️ CẢNH BÁO BẢO MẬT: Microsoft công bố nhóm Storm-1175 / LongHorn hoạt động trong ít nhất 7 năm — nhắm vào tổ chức chính phủ, năng lượng, tài chính

Tóm tắt nhanh

- Microsoft Threat Intelligence xác định một nhóm tấn công có tên Storm-1175 (hay còn gọi LongHorn), với hoạt động được ghi nhận từ năm 2018, nhắm vào các chính phủ, ngành điện lực, tài chính tại Nam Á, châu Phi, Trung Đông, và Đông Nam Á.
- Nhóm này sử dụng chuỗi tấn công tinh vi, gồm backdoor, các kỹ thuật rootkit, Linux, Windows, và cả IoT. Họ đã tiến hóa toolset liên tục trong năm qua. Microsoft cho biết Storm-1175 đã “quadruple” số mục tiêu trong vài năm.
- Microsoft chia sẻ HỌ đã phát hiện các chiến dịch mới nhắm vào chính phủ điện lực, hệ thống trọng yếu, và liên kết các tool như KillNet, khớp các chỉ số với framework LongHorn/Storm-1175.
- Họ cũng cho biết: nhóm này có khả năng lạm dụng thiết bị IoT (router, camera, industrial devices) để tạo backdoor hoặc pivot vào mạng nội bộ.

🔍 Cách thức tấn công & kỹ thuật sử dụng (theo Microsoft / phân tích công bố)
1. Chuỗi truy cập ban đầu (Initial access)

- Các vector được sử dụng gồm:
+ Exploit lỗ hổng phần mềm (máy chủ web, ứng dụng CMS, VPN appliances)
+ Credential stuffing / phishing
+ Lạm dụng thiết bị IoT, cá nhân hóa để pivot (router, camera, ICS)
- Đặc trưng: attacker dùng modules nhỏ, stealth, trong môi trường Linux & Windows hybrid.

2. Persistence & rootkit
- Nhóm sử dụng kỹ thuật rootkit kernel hoặc drivers trên Windows để ẩn các tiến trình, modules và phân vùng.
- Trên Linux, dùng kỹ thuật kernel module hoặc patching ELF để ẩn filesystem hoặc process names.
- Các backdoor có khả năng tự bảo vệ (self-repair) nếu file bị xóa.

3. Dual stack command & control
- C2 hỗ trợ cả Windows HTTP/S, TLS, và WebSocket; trên Linux deploy reverse shell hoặc Đông-Tây protocol.
- Có module IoT C2 để gửi/nhận lệnh từ thiết bị nhỏ, dạng nhẹ để duy trì stealth.

4. Lateral movement & cuối cùng exfiltration
- Attacker pivot từ IoT → thiết bị nội bộ → các máy chủ trọng yếu.
- Khi đã có vị trí trong mạng lõi, họ exfil dữ liệu bằng cách:
+ Tunnel qua các host bị kiểm soát qua SSH reverse tunnels
+ Sử dụng kết nối DNS tunneling, HTTP POST (TLS) tới máy chủ C2
- Còn có module destruction/backdoor cleanup để xóa dấu vết

🚨⚠️BẢN TIN CẢNH BÁO BẢO MẬT (nghiêm túc, cấp hành động) cho đội SOC / IT / CISO về lỗ hổng Zimbra CVE-2025-27915 và chiế...
06/10/2025

🚨⚠️BẢN TIN CẢNH BÁO BẢO MẬT (nghiêm túc, cấp hành động) cho đội SOC / IT / CISO về lỗ hổng Zimbra CVE-2025-27915 và chiến dịch khai thác thực tế dùng file ICS độc hại nhắm vào quân đội Brazil — kèm phần CÁCH THỨC KHAI THÁC chi tiết, chỉ dẫn dò tìm (hunting), và hành động khẩn cấp phải làm ngay.

📍Tóm tắt cấp cao (một câu): Lỗ hổng stored XSS trong Zimbra Classic Web Client (CVE-2025-27915) đã được kẻ tấn công khai thác qua file ICS gửi kèm email để chạy JavaScript trong phiên nạn nhân, thực thi stealer/redirect filter nhằm đánh cắp email, contacts và exfil dữ liệu; Zimbra đã vá trong các bản vá phát hành 27-Jan-2025.

1) Thông tin quan trọng bạn cần biết — nhanh

Lỗ hổng: CVE-2025-27915 — stored XSS trong Zimbra Classic Web Client do không lọc HTML trong file ICS; khi user xem email chứa entry ICS độc hại thì JavaScript bên trong (ontoggle) được thực thi.
The Hacker News

Mục tiêu đã biết: Chiến dịch nhắm cụ thể vào Quân đội Brazil (Brazilian military), kẻ tấn công mạo danh Libyan Navy Office of Protocol để gửi ICS độc hại.
The Hacker News

Hành vi malware: ICS chứa JavaScript stealer — hút credentials, email, contacts, shared folders; tạo rule lọc email có tên "Correo" để forward mail đến [email protected]; exfil về miền ffrk[.]net. Script được viết để ẩn UI và chỉ kích nổ sau >3 ngày để né phân tích.
The Hacker News

Patch: Zimbra đã vá lỗ hổng trong 9.0.0 Patch 44, 10.0.13 và 10.1.5 (bản vá phát hành 27-Jan-2025). Nếu chưa cập nhật, hệ thống vẫn dễ bị khai thác.
The Hacker News

2) CÁCH THỨC KHAI THÁC — bước-bước (dành cho SOC/IR)

Mục đích: mô tả chuỗi kỹ thuật để bạn có thể hunt & chặn. Không phải hướng dẫn tấn công.

▪️Gửi file ICS độc hại
- Kẻ tấn công gửi email có tệp đính kèm .ics (lịch/meeting invite). File ICS chứa payload HTML/JS mà Zimbra Classic Web Client không lọc.
▪️ Stored XSS bật khi xem mail
- Khi nạn nhân xem email trong Classic Web Client, thẻ bên trong ICS có ontoggle chứa JavaScript — trình duyệt thực thi mã với ngữ cảnh (session) của người dùng Zimbra.

▪️Khởi chạy stealer + persistence trong mailbox
Mã JS:
- Thu thập cookies/session, danh mục email, danh bạ, shared folders.
- Tạo email filter tên "Correo" để forward/redirect email (rule forward tới [email protected]).
- Gửi dữ liệu đến server C2 — ví dụ domain ffrk[.]net — hoặc dùng other covert channels.
- Kích hoạt điều kiện thời gian (delay > 3 ngày) và ẩn UI để né detection.

▪️Hậu quả
- Toàn bộ email nhạy cảm có thể bị chuyển tiếp ra ngoài.
- Credentials & nội dung mailbox bị exfil.
- Attacker có thể dựng persistence bằng mail rules, tiếp tục thu thập mà nạn nhân/IT không chú ý.
3) Mức độ rủi ro

- Cao cho tenant Zimbra chưa được vá, đặc biệt các môi trường sử dụng Classic Web Client và có người dùng có quyền quản trị email hoặc xử lý thông tin nhạy cảm.
- Rủi ro đặc thù: exfil, email redirect (data loss), account takeover thông qua forwarded links / token theft, mất uy tín/chiến lược nếu mailbox chính thức (ví dụ military) bị sử dụng để phóng tin sai.

🧑‍💻 Bạn là IT, sysadmin hay đam mê bảo mật, hacking? Nhấn follow fanpage để không bỏ lỡ những tin bảo mật cực nóng! 🚨🔥

Nguyễn Văn Chiến

⚠️ Lỗ Hổng: Oracle vá khẩn lỗ hổng RCE CVE-2025-61882 trong Fusion Middleware / WebLogicTóm tắt:- Oracle đã phát hành bả...
06/10/2025

⚠️ Lỗ Hổng: Oracle vá khẩn lỗ hổng RCE CVE-2025-61882 trong Fusion Middleware / WebLogic

Tóm tắt:

- Oracle đã phát hành bản vá khẩn cấp cho lỗ hổng Remote Code Ex*****on (RCE) cao cấp, mã CVE-2025-61882(CVSS score: 9.8), ảnh hưởng Oracle Fusion Middleware / Oracle WebLogic.
- Lỗ hổng này cho phép attacker gửi payload tùy ý đến máy chủ WebLogic / Fusion Middleware và thực thi mã — điều rất nguy hiểm nếu hệ thống này đang phục vụ ứng dụng quan trọng hoặc chạy các module backend.
- Oracle xếp mức rủi ro cao và khuyến khích người dùng áp dụng bản vá ngay lập tức.

⚓ Cách thức khai thác (mô tả kỹ thuật)

Mô tả đảm bảo giúp bạn hiểu rủi ro để cơ quan bảo mật hay SOC/IR có thể hunt hoặc đánh giá — không cung cấp hướng dẫn tấn công chi tiết.

1. Point of entry

- Attacker gửi yêu cầu HTTP(s) chứa payload đặc biệt vào endpoint quản lý hoặc ứng dụng được triển khai trên WebLogic / Middleware — dựa vào lỗ hổng trong component xử lý dữ liệu nhận vào (có thể là servlet, XML deserialization, hoặc web service).
- Yêu cầu này không cần quyền đặc biệt nếu endpoint được công khai hoặc nằm trong mạng DMZ.

2. Payload ex*****on

- Payload được thiết kế để khai thác lỗ hổng, gây overflow, hoặc bypass kiểm tra input, và sau đó thực thi mã tùy ý trong môi trường WebLogic context — thường với quyền user/process của máy chủ ứng dụng.
- Từ đây, attacker có thể tải module bổ sung, tạo web shell, upload file, hoặc pivot sang hệ thống backend.

3. Tấn công hậu
- Thực thi mã tùy ý cho phép lấy file cấu hình sensitive, credentials, kết nối nội bộ tới database, hoặc mở rộng quyền cao hơn nếu có privilege escalation tiếp theo.
- Vì WebLogic/Middleware thường có đường kết nối tới các layer quan trọng (DB, services, nội bộ), lỗ hổng RCE có thể dẫn tới xâm nhập sâu, mất dữ liệu hoặc ransomware.

🧑‍💻 Bạn là IT, sysadmin hay đam mê bảo mật, hacking? Nhấn follow fanpage để không bỏ lỡ những tin bảo mật cực nóng! 🚨🔥

Nguyễn Văn Chiến

⚠️BẢN TIN CẢNH BÁO BẢO MẬT⚠️: Bản vá CVE-2025-43300 — Zero-Day xử lý ảnh trên Apple đang bị lợi dụng tấn công thực tế📌 T...
22/08/2025

⚠️BẢN TIN CẢNH BÁO BẢO MẬT⚠️: Bản vá CVE-2025-43300 — Zero-Day xử lý ảnh trên Apple đang bị lợi dụng tấn công thực tế

📌 Tóm tắt sự cố

Apple đã cấp bản vá khẩn cấp cho lỗ hổng zero-day CVE-2025-43300, đã bị khai thác trong môi trường thực tế.

Lỗ hổng nằm trong ImageIO framework, khi xử lý file ảnh được thiết kế độc hại có thể gây lỗi ghi ngoài vùng nhớ (out-of-bounds write), dẫn đến corruption bộ nhớ và mở đường cho thực thi mã tùy ý.

Apple xác nhận lỗ hổng này có thể đã bị sử dụng trong “các cuộc tấn công cực kỳ tinh vi nhắm vào những cá nhân có giá trị cao”.

Bản vá được áp dụng cho các hệ điều hành sau:
- iOS 18.6.2 / iPadOS 18.6.2
- iPadOS 17.7.10 (dành cho thiết bị cũ)
- macOS Ventura 13.7.8, Sonoma 14.7.8, Sequoia 15.6.1

⚓Cách thức khai thác vụ việc

1. Hacker xây dựng file hình ảnh độc hại chứa dữ liệu vượt vùng kiểm soát bộ nhớ xử lý.
2. Khi file ảnh này được mở hoặc xem—qua tin nhắn, email, mạng xã hội—ImageIO xử lý và lỗi out-of-bounds bị kích hoạt, gây corruption bộ nhớ.
3. Kẻ tấn công có thể chèn mã độc và chiếm quyền điều khiển thiết bị mà người dùng không hề hay biết—đây là mô hình zero-click.
4. Tấn công này đặc biệt hiệu quả đối với các cá nhân có mức độ rủi ro cao như nhà báo, luật sư, chính trị gia, nhà hoạt động — vì rất khó bị phát hiện và có khả năng gây hậu quả nghiêm trọng.

❌ Mức độ đe dọa

- Nguy hiểm cao: zero-click, không cần người dùng tương tác rõ rệt.
- Tác động lớn: chỉ cần xem ảnh cũng có thể bị xâm nhập.
- Mục tiêu nhắm chủ đích: chiến dịch khá tinh vi, nhắm vào người dùng đặc biệt.

🛡Cảnh báo & Cách phòng tránh

Người dùng cuối (iPhone, iPad, Mac):
- Cập nhật ngay lập tức lên phiên bản mới nhất (iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10 cho thiết bị cũ, hoặc macOS bản tương ứng).
- Không mở ảnh từ nguồn không rõ, kể cả khi file đến từ nguồn quen thuộc, nếu bạn không chắc.
- Bật Automatic Updates để luôn cập nhật kịp thời.

Đối với IT quản trị:
- Bật chính sách cập nhật bắt buộc (forced updates) trên iOS/macOS thông qua MDM.
- Giám sát bất thường trên mạng: cảnh báo xử lý file ảnh ngoài luồng hoặc app không thường dùng.
- Sử dụng EDR/MDM để theo dõi hành vi bất thường, như tiến trình không rõ làm thao tác chuyển đổi hoặc xử lý ảnh.
- Đào tạo nâng cao nhận thức: đặc biệt trong các ngành báo chí, NGO, chính phủ, nơi đối tượng có nguy cơ cao.

Cre: TheHackerNews Nguyễn Văn Chiến

🔒 CẢNH BÁO BẢO MẬT:Scattered Spider tấn công VMware ESXi qua kỹ thuật social‑engineering tinh viScattered Spider (còn gọ...
30/07/2025

🔒 CẢNH BÁO BẢO MẬT:
Scattered Spider tấn công VMware ESXi qua kỹ thuật social‑engineering tinh vi
Scattered Spider (còn gọi là UNC3944, 0ktapus, Octo Tempest) vừa bị phát hiện triển khai chiến dịch tấn công nhằm vào máy chủ VMware (ESXi, vCenter), gây mất dữ liệu và mã hóa toàn bộ hệ thống chỉ trong vài giờ.
🎯 Cách chúng tấn công:
Giả mạo nhân viên gọi vào bộ phận IT yêu cầu đổi mật khẩu.
Chiếm quyền truy cập hệ thống quản lý (vCenter).
Lấy cắp dữ liệu nội bộ, xóa bản sao lưu.
Triển khai ransomware ngay trên máy chủ ESXi.
⚠️Hệ thống ảnh hưởng:
Các doanh nghiệp dùng VMware ESXi/vCenter.
Đặc biệt nguy hiểm với hệ thống chưa bật xác thực đa yếu tố (MFA) hoặc cho phép SSH vào ESXi.
Cre: The Hacker News
Phòng An Ninh Mạng Xã Hội SMSU ✓

⚠️ Cảnh báo Lừa Đảo Phishing qua File PDF – “Callback Phishing”Trong thời gian gần đây (từ giữa tháng 5 đến tháng 6/2025...
04/07/2025

⚠️ Cảnh báo Lừa Đảo Phishing qua File PDF – “Callback Phishing”
Trong thời gian gần đây (từ giữa tháng 5 đến tháng 6/2025), nhiều chiến dịch lừa đảo tinh vi đã được ghi nhận, sử dụng file PDF giả mạo gửi qua email. Các hacker mạo danh những thương hiệu uy tín như Microsoft, DocuSign, PayPal, Norton... để đánh lừa người dùng.

🚨 Hình thức tấn công:
Email chứa file PDF có mã QR hoặc đường link ẩn, dẫn đến trang web giả mạo nhằm:
▪ Đánh cắp mật khẩu.
▪ Lừa cài phần mềm độc hại (malware).
PDF thường yêu cầu người dùng gọi đến số điện thoại giả mạo, do hacker kiểm soát.
Khi gọi, hacker sẽ:
▪ Giả mạo nhân viên hỗ trợ kỹ thuật.
▪ Tạo cảm giác khẩn cấp để xin thông tin nhạy cảm (mã OTP, tài khoản ngân hàng, v.v.).
▪ Hướng dẫn người dùng tự cài phần mềm độc hại.

🛑 Điểm nguy hiểm:
▫️Hacker sử dụng số điện thoại VoIP giống tổng đài thật, có nhạc chờ chuyên nghiệp và kịch bản đối thoại rõ ràng.
▫️Một số chiến dịch còn lợi dụng tính năng “Direct Send” của Microsoft 365 để gửi email từ địa chỉ nội bộ trong tổ chức, khiến nạn nhân dễ tin tưởng hơn.

(Theo The Hack News)

Address

An Nhơn, Bình Định
An Nhon
55000

Website

Alerts

Be the first to know and let us send you an email when Lỗ Hổng 24h posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Share