🔒 ⚡ Tóm tắt hàng tuần: Skimmer nhấn đúp, AI nhắc nhở, DDoS 30Tbps, Phần mềm độc hại Docker và hơn thế nữa

Tin tức bảo mật hiếm khi di chuyển theo một đường thẳng. Tuần này, nó giống như một loạt các bước ngoặt đột ngột, một số diễn ra lặng lẽ ở phía sau, một số khác diễn ra trước mắt công chúng. Các chi tiết khác nhau, nhưng các điểm áp lực đều quen thuộc.

📋 Nội dung chi tiết

Trên các thiết bị, dịch vụ đám mây, phòng thí nghiệm nghiên cứu và thậm chí cả các ứng dụng hàng ngày, ranh giới giữa hành vi bình thường và rủi ro tiềm ẩn ngày càng mỏng hơn. Các công cụ dùng để bảo vệ, cập nhật hoặc cải thiện hệ thống cũng đang trở thành con đường khi có sự cố xảy ra.

Bản tóm tắt này tập hợp các tín hiệu ở một nơi. Đọc nhanh, tác động thực sự và những phát triển đáng được xem xét kỹ hơn trước khi chúng trở thành vấn đề lớn hơn của tuần tới.

⚡ Mối đe dọa trong tuần

Dell RecoverPoint dành cho máy ảo bị khai thác Zero-Day— Lỗ hổng bảo mật có mức độ nghiêm trọng tối đa trong Dell RecoverPoint dành cho máy ảo đã bị khai thác dưới dạng zero-day bởi một cụm mối đe dọa bị nghi ngờ ở Trung Quốc có tên là UNC6201 kể từ giữa năm 2024. Hoạt động này liên quan đến việc khai thác CVE-2026-22769 (điểm CVSS: 10.0), một trường hợp thông tin xác thực được mã hóa cứng ảnh hưởng đến các phiên bản trước 6.0.3.1 HF1. Theo Google, thông tin xác thực được mã hóa cứng liên quan đến người dùng "quản trị viên" cho phiên bản Apache Tomcat Manager có thể được sử dụng để xác thực với Dell RecoverPoint Tomcat Manager, tải lên một web shell có tên SLAYSTYLE thông qua điểm cuối "/manager/text/deploy" và thực thi các lệnh với quyền root trên thiết bị để loại bỏ cửa sau BRICKSTORM và phiên bản mới hơn của nó có tên là GRIMBOLT.

🔍 Thông tin bổ sung

🔔 Tin tức hàng đầu

Cựu kỹ sư Google bị truy tố vì cáo buộc trộm cắp bí mật thương mại- Hai cựu kỹ sư của Google và một trong những người chồng của họ đã bị truy tố ở Hoa Kỳ vì cáo buộc thực hiện hành vi trộm cắp bí mật thương mại từ gã khổng lồ tìm kiếm và các công ty công nghệ khác, đồng thời chuyển thông tin đến các địa điểm trái phép, bao gồm cả Iran. Samaneh Ghandali, 41 tuổi và chồng là Mohammadjavad Khosravi (còn gọi là Mohammad Khosravi), 40 tuổi, cùng với chị gái Soroor Ghandali, 32 tuổi, bị cáo buộc âm mưu thực hiện hành vi trộm cắp bí mật thương mại từ Google và các công ty công nghệ hàng đầu khác, trộm cắp và cố ý đánh cắp bí mật thương mại cũng như cản trở công lý. Các bị cáo được cho là đã chuyển hàng trăm tệp nhạy cảm sang nền tảng liên lạc của bên thứ ba và sau đó truy cập chúng từ Iran sau khi Samaneh Ghandali và Khosravi tới Iran vào tháng 12 năm 2023.

Phần mềm độc hại Android nhắc nhở lạm dụng Gemini để duy trì— Các nhà nghiên cứu tại ESET đã phân tích những gì họ mô tả là phần mềm độc hại Android đầu tiên tận dụng trí tuệ nhân tạo tổng hợp (AI) trong quá trình thực thi để thiết lập tính bền bỉ. Được gọi là NhắcSpy, phần mềm độc hại sử dụng Google Gemini để phân tích màn hình hiện tại và cung cấp hướng dẫn từng bước về cách đảm bảo ứng dụng độc hại vẫn được ghim trong danh sách ứng dụng gần đây bằng cách tận dụng các dịch vụ trợ năng của hệ điều hành. Có dấu hiệu cho thấy chiến dịch có thể nhắm mục tiêu đến người dùng ở Argentina. Google nói với The Hacker News rằng họ không tìm thấy bất kỳ ứng dụng nào chứa phần mềm độc hại đang được phân phối qua Google Play.

Điện thoại của nhà bất đồng chính kiến ​​Kenya bị bẻ khóa bằng công cụ của Cellebrite— Có bằng chứng cho thấy chính quyền Kenya đã sử dụng một công cụ khai thác pháp y thương mại do công ty Cellebrite của Israel sản xuất để đột nhập vào điện thoại của một nhà bất đồng chính kiến ​​nổi tiếng. Citizen Lab cho biết họ đã tìm thấy các dấu hiệu trên điện thoại cá nhân của Boniface Mwangi, một nhà hoạt động ủng hộ dân chủ người Kenya, người đã công bố kế hoạch tranh cử tổng thống vào năm 2027. Trong một diễn biến liên quan, Tổ chức Ân xá Quốc tế phát hiện ra rằng chiếc iPhone của Teixeira Cândido, một nhà báo người Angola và người ủng hộ tự do báo chí, đã bị phần mềm gián điệp Predator của Intellexa nhắm mục tiêu thành công vào tháng 5 năm 2024 sau khi anh ta mở một liên kết bị nhiễm virus nhận được qua WhatsApp.

Kaspersky cho biết phần mềm độc hại Android được cài đặt sẵn mới được phát hiện ngoài tự nhiên— Một cửa hậu Android mới được nhúng sâu vào chương trình cơ sở của thiết bị có thể âm thầm thu thập dữ liệu và điều khiển hành vi của nó từ xa. Phần mềm độc hại có tên mã Keenadu được cho là đã được phát tán bằng phần sụn bị xâm nhập thông qua bản cập nhật qua mạng (OTA). Phương pháp này cho phép nó chạy với các đặc quyền cao kể từ thời điểm thiết bị được kích hoạt, cung cấp cho kẻ tấn công quyền kiểm soát rộng rãi đối với thiết bị. Nó cũng có thể lây nhiễm các ứng dụng đã cài đặt khác, triển khai phần mềm bổ sung từ tệp APK và cấp cho các ứng dụng đó bất kỳ quyền nào có sẵn trên hệ thống. Sau khi hoạt động, Keenadu kế thừa các quyền nâng cao và hoạt động với mức độ hiển thị tối thiểu. Phần mềm độc hại chỉ kích hoạt trong các điều kiện cụ thể, không hoạt động trên các thiết bị được đặt sang ngôn ngữ hoặc múi giờ Trung Quốc và trên những thiết bị thiếu Cửa hàng Google Play và Dịch vụ Google Play. Tuy nhiên, việc phân phối Keenadu không chỉ giới hạn ở các thành phần hệ thống được cài đặt sẵn. Trong một số trường hợp, phần mềm độc hại cũng được phát hiện được nhúng trong các ứng dụng được phân phối thông qua các cửa hàng ứng dụng Android. Điều đó nói lên rằng, người dùng có thể làm được rất ít điều khi một phần mềm độc hại được cài đặt sẵn trên máy tính bảng Android hoàn toàn mới của họ. Bởi vì các thành phần độc hại có trong phần sụn thay vì được cài đặt sau dưới dạng ứng dụng

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.