Cụ thể, trong tháng 3/2025 và đầu tháng 4/2025, phát hiện các đợt tấn công đáng chú ý gồm có:

Đợt tấn công từ nhóm Lotus Blossom nhằm đánh cắp dữ liệu trình duyệt người dùng

Lotus Blossom sử dụng các mã độc có tên Chrome Cookie Stealer nhắm vào các đơn vị chính phủ, viễn thông, sản xuất và truyền thông tại Philippines, Việt Nam, Hong Kong và Đài Loan nhằm trích xuất thông tin xác thực của trình duyệt trên máy nạn nhân. Nhóm tấn công cũng sử dụng thêm các công cụ leo thang đặc quyền, công cụ nén và mã hóa các tệp hoặc toàn bộ thư mục bị đánh cắp, bao gồm cookie của trình duyệt Chrome và Firefox. Để duy trì quyền truy cập lâu dài và tránh bị phát hiện, Lotus Blossom cấu hình mã độc Sagerunex và cấu hình chạy dưới dạng dịch vụ trên các máy bị chiếm quyền điều khiển.

Đợt tấn công từ nhóm SideWinder qua thư điện tử giả mạo

Chiến dịch này nhắm vào lĩnh vực hàng hải, năng lượng hạt nhân và công nghệ thông tin khu vực Châu Á, Trung Đông và Châu Phi. Thông qua thư điện tử giả mạo có đính kèm tài liệu độc hại (tệp tin .docx) cho phép tải xuống tệp tin độc hại, khai thác lỗ hổng có mã định danh CVE-2017-11882 nhằm thực thi các câu lệnh theo nhiều giai đoạn cho phép triển khai các công cụ thu thập thông tin trên máy nạn nhân.

Nhóm tấn công khai khác thác lỗ hổng mới trên các sản phẩm của Fortinet

Chiến dịch thực hiện bới nhóm tấn công mã hóa dữ liệu có tên Mora_001 khai thác các lỗ hổng mới CVE-2024-55591 và CVE-2025-24472 trong FortiOS và FortiProxy nhằm triển khai mã độc mã hóa dữ liệu SuperBlack.

Thông qua khai thác lỗ hổng, nhóm tấn công chiếm được đặc quyền (super_admin), từ đó tạo thêm các tài khoản quản trị mới và sửa đổi các task nhằm giữ quyền xâm nhập trên hệ thống. Sau đó, thu thập thông tin về hệ thống mạng, thực hiện tấn công sang các hệ thống khác thông qua các tài khoản đánh cắp được. Nếu xác thực không hợp lệ, nhóm tấn công khai thác tận dụng các cấu hình trên thiết bị để phát tán backdoor hoặc leo thang đặc quyền.

Thay vì mã hóa tất cả các hệ thống có thể truy cập, nhóm tấn công ưu tiên tập trung vào các hệ thống có giá trị cao như máy chủ lưu trữ tệp tin (file server), máy chủ xác thực, bộ điều khiển miền và cơ sở dữ liệu. Việc triển khai SuperBlack thường diễn ra trong vòng 48 giờ trong môi trường có biện pháp kiểm soát bảo mật yếu. Thông thường, nhóm tấn công sẽ đánh cắp dữ liệu thông qua một công cụ được phát triển riêng. Ngoài ra, sau khi mã hóa, nhóm tấn công cũng sử dụng WipeBlack, công cụ cho phép xóa các dấu vết liên quan đến tấn công cũng như làm cản trở cho quá trình điều tra truy vết sự cố.

Ngay khi phát hiện, tiếp nhận được cảnh báo, Trung tâm Công nghệ thông tin và Chuyển đổi số (BHXH Việt Nam) kiểm tra, rà soát, xác định các thiết bị, máy chủ, máy trạm có khả năng bị ảnh hưởng bởi các đợt tấn công trên để tăng cường theo dõi; thực hiện thu thập các dấu hiệu tấn công, xác định các máy chủ điều khiển mã độc để ngăn chặn các kết nối, hành vi độc hại. Ngoài ra, tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về an toàn thông tin nhằm phát hiện kịp thời các nguy cơ tấn công mạng./.