🔒 Bản tin về các mối đe dọa: Codespaces RCE, AsyncRAT C2, Lạm dụng BYOVD, Xâm nhập đám mây AI và hơn 15 câu chuyện

Tuần này không tạo ra một tiêu đề lớn nào. Nó tạo ra nhiều tín hiệu nhỏ - loại tín hiệu âm thầm định hình các cuộc tấn công tiếp theo sẽ như thế nào.

📋 Nội dung chi tiết

Các nhà nghiên cứu đã theo dõi các hành vi xâm nhập bắt đầu ở những nơi thông thường: quy trình làm việc của nhà phát triển, công cụ từ xa, quyền truy cập vào đám mây, đường dẫn nhận dạng và thậm chí cả các hành động thông thường của người dùng. Nhìn bề ngoài không có gì ấn tượng cả. Đó là vấn đề. Sự gia nhập đang trở nên ít được nhìn thấy hơn trong khi tác động sẽ mở rộng sau đó.

Một số phát hiện cũng cho thấy những kẻ tấn công đang công nghiệp hóa công việc của chúng như thế nào - cơ sở hạ tầng dùng chung, sách chơi lặp lại, quyền truy cập thuê và hệ sinh thái kiểu liên kết. Hoạt động không còn là những chiến dịch biệt lập. Họ chạy giống như dịch vụ hơn.

Ấn bản này tập hợp các mảnh đó lại với nhau — các bản cập nhật ngắn gọn, chính xác cho thấy kỹ thuật đang trưởng thành ở đâu, mức độ phơi sáng ngày càng mở rộng và mô hình nào đang hình thành đằng sau tiếng ồn.

Mở rộng hoạt động gián điệp khởi nghiệpTrong một dấu hiệu cho thấy tác nhân đe dọa đã vượt ra ngoài các mục tiêu của chính phủ, người ta đã quan sát thấy tác nhân đe dọa APT36 liên kết với Pakistan nhắm mục tiêu vào hệ sinh thái khởi nghiệp của Ấn Độ, sử dụng các tệp ISO và phím tắt LNK độc hại bằng cách sử dụng các mồi nhử nhạy cảm, có chủ đề khởi động để phát tán Crimson RAT, cho phép giám sát toàn diện, lọc dữ liệu và trinh sát hệ thống. Vectơ truy cập ban đầu là một email lừa đảo mang hình ảnh ISO. Sau khi được thực thi, ISO chứa một tệp lối tắt độc hại và một thư mục chứa ba tệp: tài liệu giải mã, tập lệnh bó hoạt động như cơ chế lưu giữ và tải trọng Crimson RAT cuối cùng, được ngụy trang dưới dạng tệp thực thi có tên Excel. “Bất chấp sự mở rộng này, chiến dịch vẫn liên kết chặt chẽ với trọng tâm lịch sử của Bộ lạc trong suốt về việc thu thập thông tin tình báo liền kề với chính phủ Ấn Độ và quốc phòng, với sự chồng chéo cho thấy rằng các cá nhân có liên quan đến khởi nghiệp có thể bị nhắm mục tiêu vì sự gần gũi của họ với chính phủ, cơ quan thực thi pháp luật hoặc các hoạt động an ninh,” Acronissaid.

🔍 Thông tin bổ sung

Trong một dấu hiệu cho thấy tác nhân đe dọa đã vượt ra ngoài các mục tiêu của chính phủ, người ta đã quan sát thấy tác nhân đe dọa APT36 liên kết với Pakistan nhắm mục tiêu vào hệ sinh thái khởi nghiệp của Ấn Độ, sử dụng các tệp ISO và các phím tắt LNK độc hại bằng cách sử dụng các mồi nhử nhạy cảm, có chủ đề khởi động để phát tán Crimson RAT, cho phép giám sát toàn diện, lọc dữ liệu và trinh sát hệ thống. Vectơ truy cập ban đầu là một email lừa đảo mang hình ảnh ISO. Sau khi được thực thi, ISO chứa một tệp lối tắt độc hại và một thư mục chứa ba tệp: tài liệu giải mã, tập lệnh bó hoạt động như cơ chế lưu giữ và tải trọng Crimson RAT cuối cùng, được ngụy trang dưới dạng tệp thực thi có tên Excel. “Bất chấp sự mở rộng này, chiến dịch vẫn liên kết chặt chẽ với trọng tâm lịch sử của Bộ lạc trong suốt về việc thu thập thông tin tình báo liền kề với chính phủ Ấn Độ và quốc phòng, với sự chồng chéo cho thấy rằng các cá nhân có liên quan đến khởi nghiệp có thể bị nhắm mục tiêu vì sự gần gũi của họ với chính phủ, cơ quan thực thi pháp luật hoặc các hoạt động an ninh,” Acronissaid.

Cơ sở hạ tầng tội phạm mạng được chia sẻCụm hoạt động đe dọa được gọi là ShadowSyndicate đã được liên kết với hai điểm đánh dấu SSH bổ sung kết nối hàng chục máy chủ với cùng một kẻ điều hành tội phạm mạng. Sau đó, những máy chủ này được sử dụng cho nhiều hoạt động độc hại bởi nhiều cụm mối đe dọa khác nhau được liên kết với Cl0p, BlackCat, Ryuk, Malsmoke và Black Basta. Một phát hiện đáng chú ý là kẻ đe dọa có xu hướng chuyển máy chủ giữa các cụm SSH của chúng. ShadowSyndicate tiếp tục được liên kết với các bộ công cụ bao gồm Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent và Brute Ratel. Group-IB cho biết: “Tác nhân đe dọa có xu hướng sử dụng lại cơ sở hạ tầng đã sử dụng trước đó, đôi khi luân chuyển nhiều khóa SSH khác nhau trên các máy chủ của chúng”. “Nếu kỹ thuật như vậy được thực hiện chính xác, cơ sở hạ tầng sẽ được chuyển giao sau đó, giống như trong trường hợp hợp pháp, khi máy chủ chuyển sang người dùng mới.”

Cụm hoạt động đe dọa được gọi là ShadowSyndicate đã được liên kết với hai điểm đánh dấu SSH bổ sung kết nối hàng chục máy chủ với cùng một kẻ điều hành tội phạm mạng. Sau đó, những máy chủ này được sử dụng cho nhiều hoạt động độc hại bởi nhiều cụm mối đe dọa khác nhau được liên kết với Cl0p, BlackCat, Ryuk, Malsmoke và Black Basta. Một phát hiện đáng chú ý là kẻ đe dọa có xu hướng chuyển máy chủ giữa các cụm SSH của chúng. ShadowSyndicate tiếp tục được liên kết với các bộ công cụ bao gồm Cobalt Strike, Metasploit, Havoc, Mythic, Sliver, AsyncRAT, MeshAgent và Brute Ratel. Group-IB cho biết: “Tác nhân đe dọa có xu hướng sử dụng lại cơ sở hạ tầng đã sử dụng trước đó, đôi khi luân chuyển nhiều khóa SSH khác nhau trên các máy chủ của chúng”. “Nếu kỹ thuật như vậy được thực hiện chính xác, cơ sở hạ tầng sẽ được chuyển giao sau đó, giống như trong trường hợp hợp pháp, khi máy chủ chuyển sang người dùng mới.”

Bản mở rộng KEV của ransomwareCơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã điều chỉnh 59 thông báo lỗ hổng bị khai thác tích cực vào năm 2025 để phản ánh việc các nhóm ransomware sử dụng chúng. Danh sách đó bao gồm 16 mục dành cho Microsoft, sáu mục dành cho Ivanti, năm mục dành cho Fortinet, ba mục dành cho Palo Alto Networks và ba mục dành cho Zimbra. "Khi nó chuyển từ 'Không xác định' sang 'Đã biết'

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.