Trong thế giới an ninh mạng, sự chính xác là yếu tố then chốt, và sai sót dù nhỏ nhất cũng có thể dẫn đến hậu quả nghiêm trọng. Những dấu hiệu trong tuần này cho thấy những vấn đề sâu sắc hơn ẩn sau vẻ ngoài của các sự cố thông thường: công cụ lỗi thời, phản ứng chậm chạp trước rủi ro và khoảng cách dai dẳng giữa tuân thủ và bảo mật thực tế.

Đối với bất kỳ ai chịu trách nhiệm bảo vệ hệ thống, điều quan trọng không chỉ là phản ứng với các cảnh báo mà còn là nhận ra các mô hình lớn hơn và những điểm yếu tiềm ẩn mà chúng tiết lộ.

Dưới đây là tổng hợp những diễn biến nổi bật trong thế giới an ninh mạng tuần qua.

Tin tức nổi bật

• Nhóm Tin tặc Scattered Spider bị bắt giữ: Cơ quan Phòng chống Tội phạm Quốc gia (NCA) của Vương quốc Anh thông báo đã bắt giữ bốn người liên quan đến các cuộc tấn công mạng nhắm vào các nhà bán lẻ lớn như Marks & Spencer, Co-op và Harrods. Các đối tượng bị bắt giữ bao gồm hai người đàn ông 19 tuổi, một người 17 tuổi và một phụ nữ 20 tuổi. Họ bị bắt ở West Midlands và London vì nghi ngờ vi phạm Đạo luật Lạm dụng Máy tính, tống tiền, rửa tiền và tham gia vào các hoạt động của một nhóm tội phạm có tổ chức. Họ được cho là có liên quan đến nhóm tội phạm mạng khét tiếng Scattered Spider, một nhánh của tập thể lỏng lẻo The Com, chịu trách nhiệm cho một loạt các tội ác, bao gồm kỹ thuật xã hội, lừa đảo, hoán đổi SIM, tống tiền, cưỡng dâm, swatting, bắt cóc và giết người.
• Lỗ hổng Bluetooth PerfektBlue ảnh hưởng đến hàng triệu xe: Các nhà nghiên cứu an ninh mạng đã phát hiện ra bốn lỗ hổng bảo mật trong ngăn xếp Bluetooth BlueSDK của OpenSynergy. Nếu bị khai thác thành công, chúng có thể cho phép thực thi mã từ xa trên hàng triệu xe từ Mercedes-Benz, Volkswagen và Skoda. PCA Cyber Security cho biết cuộc tấn công khai thác “PerfektBlue là một tập hợp các lỗi logic và hỏng bộ nhớ nghiêm trọng được tìm thấy trong ngăn xếp OpenSynergy BlueSDK Bluetooth, có thể được xâu chuỗi với nhau để đạt được Thực thi Mã từ xa (RCE).” Volkswagen cho biết các vấn đề được xác định chỉ liên quan đến Bluetooth và không ảnh hưởng đến sự an toàn hoặc tính toàn vẹn của xe. Hãng cũng lưu ý rằng việc khai thác các lỗ hổng chỉ có thể thực hiện được khi đáp ứng đồng thời một số điều kiện.
• Tin tặc Triều Tiên đứng sau kế hoạch công nhân CNTT gian lận bị trừng phạt: Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xử phạt một thành viên của nhóm tin tặc Bắc Triều Tiên có tên Andariel vì vai trò của họ trong kế hoạch công nhân công nghệ thông tin (CNTT) từ xa печально nổi tiếng. Song Kum Hyok, 38 tuổi, bị cáo buộc đã tạo điều kiện cho hoạt động gian lận bằng cách sử dụng lao động CNTT thuê từ nước ngoài để tìm kiếm việc làm từ xa với các công ty Hoa Kỳ và lên kế hoạch chia thu nhập với họ. Các lệnh trừng phạt đánh dấu lần đầu tiên một tác nhân đe dọa liên kết với Andariel, một cụm con trong Nhóm Lazarus, có liên hệ với kế hoạch công nhân CNTT.
• Tin tặc người Trung Quốc bị bắt vì các cuộc tấn công Silk Typhoon: Một công dân Trung Quốc đã bị bắt ở Milan, Ý, vì cáo buộc liên kết với một nhóm tin tặc do nhà nước tài trợ có tên là Silk Typhoon và thực hiện các cuộc tấn công mạng chống lại các tổ chức và cơ quan chính phủ Hoa Kỳ. Xu Zewei, 33 tuổi, bị cáo buộc có liên quan đến các vụ xâm nhập máy tính của Hoa Kỳ từ tháng 2 năm 2020 đến tháng 6 năm 2021, bao gồm một loạt các cuộc tấn công hàng loạt khai thác các lỗ hổng zero-day trong Microsoft Exchange Server, một cụm hoạt động mà nhà sản xuất Windows gọi là Hafnium. Xu, cùng với bị cáo Zhang Yu, được cho là đã thực hiện các cuộc tấn công dựa trên chỉ đạo của Cục An ninh Nhà nước Thượng Hải (SSSB) thuộc Bộ An ninh Nhà nước (MSS).
• Mối đe dọa vũ khí hóa phiên bản Shellter bị rò rỉ để phân phối Stealer: Tin tặc đang khai thác một công cụ red team phổ biến có tên Shellter để phân phối phần mềm độc hại stealer và trojan truy cập từ xa. Các chiến dịch được cho là đã bắt đầu vào khoảng tháng 4 năm 2025, cùng thời điểm một công ty mua phiên bản phần mềm có bản quyền đã làm rò rỉ một bản sao trên các diễn đàn tội phạm mạng.
• Fortinet vá lỗ hổng SQL Injection nghiêm trọng: Fortinet đã phát hành các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến FortiWeb, có thể cho phép kẻ tấn công chưa được xác thực chạy các lệnh cơ sở dữ liệu tùy ý trên các phiên bản dễ bị tấn công. Được theo dõi là CVE-2025-25257, lỗ hổng này có điểm CVSS là 9,6 trên thang điểm tối đa 10,0. Theo watchTowr Labs, vấn đề bắt nguồn từ thực tế là tiêu đề Ủy quyền mã thông báo Bearer trong một yêu cầu HTTP được tạo đặc biệt được chuyển trực tiếp đến truy vấn cơ sở dữ liệu SQL mà không có biện pháp vệ sinh đầy đủ để đảm bảo rằng nó không gây hại và không bao gồm bất kỳ mã độc hại nào.

Các CVE đang thịnh hành

Tin tặc nhanh chóng khai thác các lỗ hổng phần mềm mới được phát hiện – đôi khi chỉ trong vài giờ. Cho dù đó là một bản cập nhật bị bỏ lỡ hay một lỗi ẩn, thậm chí một CVE chưa được vá cũng có thể mở ra cánh cửa cho những thiệt hại nghiêm trọng. Dưới đây là danh sách các lỗ hổng rủi ro cao đang gây xôn xao trong tuần này. Xem lại danh sách, vá nhanh và luôn đi trước một bước.

Danh sách tuần này bao gồm — CVE-2025-47227, CVE-2025-47228 (ScriptCase), CVE-2025-24269, CVE-2025-24235 (SMBClient), CVE-2025-30012, CVE-2025-42963, CVE-2025-42964, CVE-2025-42966 và CVE-2025-42980 (SAP), CVE-2025-52488 (DNN), CVE-2025-44954, CVE-2025-44955, CVE-2025-44957, CVE-2025-44958, CVE-2025-44960, CVE-2025-44961, CVE-2025-44962, CVE-2025-44963, CVE-2025-6243 (Ruckus Wireless), CVE-2025-52434, CVE-2025-52520, CVE-2025-53506 (Apache Tomcat), CVE-2025-6948 (GitLab CE/EE), CVE-2025-0141 (Ứng dụng Palo Alto Networks GlobalProtect), CVE-2025-6691 (Plugin SureForms), CVE-2025-7206 (D-Link DIR-825), CVE-2025-32353, CVE-2025-32874 (Kaseya RapidFire Tools Network Detective), CVE-2025-7026, CVE-2025-7027, CVE-2025-7028, CVE-2025-7029 (Gigabyte UEFI), CVE-2025-1727 (Thiết bị Cuối tàu và Đầu tàu) và lỗ hổng double free nghiêm trọng trong mô-đun pipapo set của nhân Linux.

Vòng quanh thế giới mạng

• Atomic Stealer có tính năng Backdoor — Phần mềm đánh cắp thông tin macOS có tên Atomic Stealer (hay AMOS) đã được cập nhật với một backdoor nhúng để có được quyền truy cập liên tục vào các hệ thống bị xâm nhập. Thành phần mới cho phép thực thi các lệnh từ xa tùy ý, giành được quyền truy cập đầy đủ cấp người dùng và thậm chí sống sót sau khi khởi động lại, cho phép kẻ tấn công duy trì quyền kiểm soát đối với các máy chủ bị nhiễm vô thời hạn.
• Nhà sản xuất Call of Duty tắt trò chơi sau khi có báo cáo về khai thác RCE — Các nhà sản xuất Call of Duty: World War 2 đã thông báo rằng phiên bản PC của trò chơi đã bị tắt sau “báo cáo về một sự cố.” Sự cố này dường như là một vấn đề bảo mật, cụ thể là một lỗ hổng thực thi mã từ xa (RCE) trong trò chơi điện tử phổ biến, có thể cho phép kẻ tấn công chiếm quyền điều khiển PC của người khác trong các trận đấu nhiều người chơi trực tiếp.
• BaitTrap sử dụng hơn 17 nghìn trang web để đẩy các vụ lừa đảo — Một mạng lưới hơn 17.000 trang web đang bắt chước các thương hiệu đáng tin cậy, bao gồm CNN, BBC và CNBC, để chuyển hướng khách truy cập đến các vụ lừa đảo trực tuyến. Mạng BaitTrap sử dụng quảng cáo của Google và Meta, các bài đăng trên mạng xã hội và video trên YouTube để thu hút nạn nhân. Các trang web giả mạo thường thu thập thông tin cá nhân và cố gắng chiếm đoạt tài khoản tiền điện tử trực tuyến.
• Cảnh sát Hà Lan bắt giữ 5 thành viên băng đảng lừa đảo — Cảnh sát Hà Lan đã bắt giữ năm thành viên của một băng đảng lừa đảo hoạt động bên ngoài thành phố Lelystad. Bốn thành viên của nhóm là thanh thiếu niên từ 14 đến 17 tuổi. Các nhà chức trách cho biết những kẻ tình nghi đã sử dụng mã QR được gửi qua email để thu thập thông tin đăng nhập cho các ngân hàng địa phương.
• Tòa án Đức yêu cầu Meta trả €5K vì vi phạm GDPR — Một tòa án Đức đã phán quyết rằng Meta phải trả €5.000 ($5.900) cho một người dùng Facebook người Đức đã kiện nền tảng này vì đã nhúng công nghệ theo dõi Pixel của mình vào các trang web của bên thứ ba. Phán quyết này có thể mở đường cho các khoản tiền phạt lớn trong tương lai về các vi phạm quyền riêng tư dữ liệu liên quan đến các công cụ theo dõi tương tự.
• Lỗ hổng LFI trong tính năng Xuất sang PDF của Microsoft — Một lỗ hổng Local File Inclusion (LFI) đã được tiết lộ trong chức năng Xuất sang PDF của Microsoft 365, có khả năng cho phép kẻ tấn công truy cập dữ liệu nội bộ nhạy cảm khi chuyển đổi tài liệu HTML sang PDF.
• Các lỗ hổng chưa được vá trong Ruckus Wireless — Nhiều lỗ hổng bảo mật chưa được vá (CVE-2025-44954, CVE-2025-44955, CVE-2025-44957, CVE-2025-44958, CVE-2025-44960, CVE-2025-44961, CVE-2025-44962, CVE-2025-44963 và CVE-2025-6243) trong các sản phẩm quản lý Ruckus Wireless Virtual SmartZone (vSZ) và Network Director (RND) có thể bị kẻ tấn công khai thác để làm rò rỉ thông tin nhạy cảm và xâm phạm môi trường không dây.
• Các lỗ hổng bảo mật trong Gigabyte UEFI — Nhiều lỗ hổng bảo mật đã được tiết lộ trong các mô-đun UEFI có trong firmware của Gigabyte (CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 và CVE-2025-7029) mà kẻ tấn công có thể khai thác để leo thang đặc quyền và thực thi mã tùy ý trong môi trường Chế độ Quản lý Hệ thống (SMM) của bộ xử lý được UEFI hỗ trợ.
• Android không có bản vá lần đầu tiên vào tháng 7 năm 2025 sau một thập kỷ — Google thông báo rằng không có bản vá bảo mật nào được phát hành cho các thiết bị Android và Pixel trong tháng 7 năm 2025, kết thúc chuỗi cập nhật bảo mật kéo dài một thập kỷ. Đây là tháng đầu tiên không có bản cập nhật bảo mật nào được phát hành kể từ khi Google bắt đầu tung ra các bản sửa lỗi Android hàng tháng vào tháng 8 năm 2015.
• Indonesia dẫn độ công dân Nga vì bán dữ liệu cá nhân trên Telegram — Indonesia đã dẫn độ một công dân Nga tên là Alexander Zverev vì cáo buộc điều hành một kênh Telegram bán dữ liệu cá nhân lấy từ cơ sở dữ liệu của cơ quan thực thi pháp luật.
• Cơ quan thực thi pháp luật bắt kịp các tác nhân Ransomware — Tòa án hình sự Brussels đã kết án nhà phát triển ransomware Crylock người Nga bảy năm tù vì chủ mưu triển khai phần mềm độc hại trên hàng nghìn máy tính. Đồng phạm cũ của anh ta, một phụ nữ tham gia quảng cáo Crylock và thương lượng với các nạn nhân, đã bị kết án năm năm. Hơn €60 triệu (~$70 triệu) tiền điện tử đại diện cho số tiền thu được bất hợp pháp từ hoạt động ransomware đã bị cơ quan thực thi pháp luật thu giữ.
• RansomedVC trở lại sau thời gian gián đoạn; Tiết lộ dữ liệu Medusa — Nhóm ransomware RansomedVC đã trở lại sau hai năm vắng bóng và làm rò rỉ các bản ghi trò chuyện nội bộ của nhóm ransomware Medusa từ ngày 11 tháng 12 năm 2022 đến tháng 3 năm 2023.
• Nhân viên CNTT bất mãn bị bỏ tù vì tấn công mạng — Mohammed Umar Taj, 31 tuổi, ở Hyrst Garth, Batley, Vương quốc Anh, đã bị kết án bảy tháng và 14 ngày tù vì truy cập trái phép vào cơ sở của chủ cũ, thay đổi thông tin đăng nhập và thay đổi thông tin đăng nhập truy cập và cấu hình xác thực đa yếu tố để phá vỡ hoạt động của công ty. Anh ta đã bị đình chỉ công việc vào tháng 7 năm 2022.
• Tin tặc đứng sau GMX Exchange trả lại tài sản — Một tin tặc không xác định đứng sau vụ trộm 42 triệu đô la từ sàn giao dịch phi tập trung GMX đã trả lại tài sản bị đánh cắp để đổi lấy khoản tiền thưởng lỗi 5 triệu đô la. Sự phát triển xảy ra sau khi GMX hứa sẽ không theo đuổi các cáo buộc nếu tin tặc trả lại tiền.
• Lỗ hổng trong Thiết bị Thermomix TM5 — Một phân tích bảo mật của Thermomix TM5 đã phát hiện ra một số điểm yếu có thể khiến thiết bị nhà bếp dễ bị tấn công hạ cấp firmware (giới hạn ở các phiên bản trước 2.14. Phiên bản 2.14) và bỏ qua khởi động an toàn, cho phép kẻ tấn công giành được quyền duy trì.
• Chi tiết rủi ro bảo mật của API Client — Một phân tích về các API client như Postman, Insomnia, Bruno và Hoppscotch đã phát hiện ra các lỗ hổng tiềm ẩn trong việc triển khai hộp cát JavaScript của chúng, có thể bị khai thác để đạt được việc thực thi mã.
• Ubuntu tắt các biện pháp giảm thiểu bảo mật GPU của Intel — Ubuntu đã tắt một tính năng bảo mật bảo vệ GPU của Intel chống lại các cuộc tấn công kênh bên Spectre. Canonical cho biết hiện họ sử dụng các biện pháp bảo vệ cấp kernel, khiến việc có những biện pháp bảo vệ đó trở nên không cần thiết. Các nhà phát triển Ubuntu có thể kỳ vọng hệ điều hành sẽ thấy hiệu suất được cải thiện 20% sau bản cập nhật.
• Botnet tham gia vào Web Scraping — Một botnet mới bao gồm hơn 3.600 địa chỉ IP duy nhất đã được quan sát thấy tham gia vào hoạt động web scraping ít nhất là từ ngày 19 tháng 4 năm 2025. Phần lớn các máy chủ bị nhiễm botnet nằm ở Đài Loan, Nhật Bản, Bulgaria và Pháp, GreyNoise cho biết, với các hệ thống được nhắm mục tiêu chủ yếu nằm ở Hoa Kỳ và Vương quốc Anh.
• Czechia trở thành quốc gia mới nhất đưa ra cảnh báo về DeepSeek — Cơ quan an ninh mạng của Czechia, Cơ quan An ninh Thông tin và Mạng Quốc gia (NÚKIB), đã đưa ra một cảnh báo chính thức nêu chi tiết các rủi ro an ninh quốc gia do việc sử dụng phần mềm do công ty trí tuệ nhân tạo Trung Quốc DeepSeek cung cấp.
• TikTok lại nằm dưới sự giám sát của E.U. — Ủy ban Bảo vệ Dữ liệu (DPC) của Ireland cho biết họ đang mở một cuộc điều tra về TikTok về việc chuyển dữ liệu người dùng ở Liên minh Châu Âu sang các máy chủ đặt tại Trung Quốc.
• Google chi tiết Bảo vệ Nâng cao trong Android — Vào tháng 5 năm 2025, Google đã ra mắt Bảo vệ Nâng cao, một tính năng bảo mật “đảm bảo tất cả các tính năng bảo mật cao nhất của Android được bật và hoạt động liền mạch cùng nhau để bảo vệ bạn khỏi các cuộc tấn công trực tuyến, các ứng dụng có hại và các rủi ro về dữ liệu.” Tương tự như Chế độ Khóa trong các thiết bị Apple iOS, iPadOS và macOS, Bảo vệ Nâng cao nhằm mục đích cung cấp các biện pháp bảo vệ được cải thiện cho các nhà báo và các mục tiêu có rủi ro cao khác.
• SatanLock thông báo đóng cửa đột ngột — SatanLock, một nhóm ransomware mới hơn trên bối cảnh đe dọa, đã thông báo rằng họ sẽ ngừng hoạt động. Lý do chính xác đằng sau động thái đột ngột này không rõ ràng.
• Nga bác bỏ luật hợp pháp hóa Hacking White-Hat — Duma Quốc gia Nga đã bác bỏ luật pháp hợp pháp hóa hành vi hack đạo đức, viện dẫn các lo ngại về an ninh quốc gia. Các chính trị gia bày tỏ lo ngại rằng việc tìm kiếm các lỗ hổng được tìm thấy trong phần mềm do các công ty có trụ sở tại các quốc gia thù địch sản xuất sẽ yêu cầu chia sẻ chúng, điều này có thể dẫn đến việc các quốc gia đó lạm dụng các khuyết điểm để đạt được lợi ích chiến lược.
• Kho lưu trữ GitHub được sử dụng để phân phối phần mềm độc hại dưới dạng VPN miễn phí — Các tác nhân đe dọa đã được quan sát thấy sử dụng GitHub làm cơ chế dàn dựng phần mềm độc hại như Lumma bằng cách ngụy trang nó dưới dạng ‘VPN miễn phí cho PC và Trình thay đổi giao diện Minecraft.
• Gian lận hỗ trợ NFC nhắm mục tiêu vào Khu vực Tài chính của Philippines — Các tập đoàn phần mềm độc hại di động Trung Quốc dựa vào các cuộc tấn công chuyển tiếp NFC hiện đã lan sang Philippines, Resecurity tiết lộ.
• Công cụ GitPhish để tự động hóa Phishing mã thiết bị GitHub — Các nhà nghiên cứu an ninh mạng đã chứng minh một vectơ truy cập ban đầu mới lạ, tận dụng luồng Cấp ủy quyền thiết bị OAuth 2.0 để xâm phạm kho lưu trữ GitHub và chuỗi cung ứng phần mềm của một tổ chức.
• Tiện ích mở rộng trình duyệt độc hại tràn lan — Một bộ 18 tiện ích mở rộng độc hại với 2,3 triệu lượt tải xuống trong Cửa hàng Chrome trực tuyến của Google và Microsoft Edge Addons đã được tìm thấy kết hợp các tính năng để theo dõi lượt truy cập trang web của người dùng, đánh cắp hoạt động trình duyệt và chuyển hướng đến các trang web có khả năng không an toàn.

Tóm lại, tuần này cho thấy rằng các công cụ, nền tảng và thậm chí cả các tiện ích mở rộng trình duyệt quen thuộc đang bị lợi dụng để chống lại chúng ta. Ranh giới giữa sử dụng hợp pháp và khai thác ngày càng trở nên khó phân biệt. Khi các môi trường đáng tin cậy trở thành một phần của chuỗi tấn công, các đội bảo mật cần phải xem xét lại những gì được coi là an toàn theo mặc định.

Để luôn dẫn đầu, cần chú ý đến những gì đã có bên trong cũng như những gì đang cố gắng xâm nhập.