ĐIỂM TIN TRONG NƯỚC
Bảo đảm an ninh mạng trong thời gian nghỉ lễ 30/4 và 1/5
NHNN Việt Nam vừa ban hành Công văn số 3393/NHNN-CNTT về việc bảo đảm an ninh mạng trong thời gian nghỉ lễ Giỗ Tổ Hùng Vương, 30/4 và 1/5. Trong đó, NHNN yêu cầu các đơn vị quán triệt và thực hiện nghiêm các quy định của Nhà nước và ngành Ngân hàng về bảo đảm an ninh mạng hệ thống thông tin ngành Ngân hàng; rà soát, đánh giá, tối ưu toàn bộ hệ thống công nghệ thông tin quan trọng (Core Banking, Internet Banking, Mobile Banking, hệ thống thẻ, ATM, POS,…), đồng thời tăng cường giám sát hoạt động hệ thống, tắt các dịch vụ không cần thiết và chủ động các phương án phòng, chống tấn công mạng.
FPT phối hợp với Intel thúc đẩy mô hình nhà máy tự vận hành bằng AI
FPT vừa thiết lập quan hệ hợp tác chiến lược với Intel nhằm ứng dụng AI phát triển các giải pháp tối ưu hóa toàn diện vận hành nhà máy. Hợp tác này sẽ phát huy thế mạnh về công nghệ mô phỏng tốc độ cao và bản sao số của Intel, kết hợp với kinh nghiệm phát triển các nền tảng dữ liệu và triển khai dự án tích hợp hệ thống của FPT.
TP.HCM triển khai cao điểm 60 ngày bổ sung dữ liệu đất đai
Phó Chủ tịch UBND TP.HCM Hoàng Nguyên Dinh vừa ký kế hoạch triển khai cao điểm thực hiện nhiệm vụ đo đạc, lập bản đồ địa chính, lập hồ sơ địa chính và xây dựng cơ sở dữ liệu quốc gia về đất đai năm 2026 trên địa bàn TP.HCM. Theo đó, trong 9 tháng (từ 01/4/2026 đến 31/12/2026), thường xuyên duy trì, cập nhật và quản lý, khai thác 1.340.362 thửa đất đã “đúng - đủ - sạch - sống”, quản lý trên môi trường số, cập nhật biến động theo thời gian thực và tái sử dụng dữ liệu trong thủ tục hành chính liên quan.
Gần 900.000 số điện thoại bị xác nhận không chính chủ
Tại họp báo thường kỳ tháng 4 của Bộ Khoa học và Công nghệ vào chiều 29/4, ông Nguyễn Anh Cương, Phó Cục trưởng Viễn thông, dẫn số liệu sơ bộ từ Cục Cảnh sát Quản lý hành chính về trật tự xã hội (C06, Bộ Công an) cho thấy hơn 95 triệu thuê bao di động đã được đồng bộ lên hệ thống, trong đó 60 triệu “được xác nhận chính chủ”. Trong khi đó, gần 900.000 thuê bao được người dùng chủ động xác nhận “không chính chủ” thông qua VNeID. “Quá trình này sẽ tiếp tục được triển khai đến ngày 15/6”, ông Cương chia sẻ.
Phát hiện và xử lý hơn 500 bộ thiết bị kích sóng di động
Chia sẻ tại họp báo Bộ Khoa học và Công nghệ hôm 29/4, ông Lê Văn Tuấn, Cục trưởng Cục Tần số vô tuyến điện cho biết, từ năm 2025, việc xử lý các thiết bị kích sóng được chuyển sang cách tiếp cận chủ động. Cục Tần số vô tuyến điện phối hợp nhà mạng xây dựng nền tảng giám sát iSpectra, kết nối với toàn bộ trạm BTS. Hệ thống tự động phát hiện dấu hiệu bất thường, phân tích dữ liệu và xác định nguyên nhân. Ông Tuấn chia sẻ, việc ứng dụng nền tảng này giúp rút ngắn khoảng 30% thời gian xử lý, đồng thời nâng độ chính xác và số vụ phát hiện. Trong năm 2025, sau khi hệ thống vận hành từ quý II, cơ quan chức năng đã phát hiện và xử lý 800 trạm (cells) bị gây nhiễu. Tổng cộng từ năm 2023 đến nay, hơn 500 bộ kích sóng đã bị xử lý.
Cẩn trọng với cuộc gọi “chuẩn hóa thuê bao” trong 2 giờ
Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) vừa cảnh báo về phương thức lừa đảo mạo danh các nhà mạng viễn thông để chiếm đoạt thông tin và tài sản. Trong đó, kẻ lừa đảo gọi điện hoặc nhắn tin tự xưng là nhân viên nhà mạng, thông báo số điện thoại của khách hàng chưa chuẩn hóa thông tin thuê bao, bị sai lệch dữ liệu hoặc sẽ bị khóa chiều gọi đi trong vòng 2 giờ nếu không cập nhật ngay. Cơ quan chức năng khuyến cáo người dân tuyệt đối không thực hiện theo các yêu cầu từ cuộc gọi lạ. Không bấm vào các đường link lạ gửi kèm qua tin nhắn SMS hoặc mạng xã hội. Khi có nghi ngờ, hãy gọi ngay đến tổng đài chăm sóc khách hàng chính thức của nhà mạng để kiểm tra trạng thái thuê bao.
ĐIỂM TIN QUỐC TẾ
Lỗ hổng khi tạo tài khoản Robinhood bị lợi dụng để gửi email lừa đảo
Quá trình tạo tài khoản trên nền tảng giao dịch trực tuyến Robinhood đã bị tin tặc lợi dụng để chèn các tin nhắn lừa đảo vào email hợp pháp, khiến người dùng tin rằng tài khoản của họ có hoạt động đáng ngờ. Mới đây, khách hàng của Robinhood nhận được email “Thông báo đăng nhập gần đây của bạn vào Robinhood” cho biết đã phát hiện “Thiết bị không xác định được liên kết với tài khoản của bạn”, chứa các địa chỉ IP bất thường và một phần số điện thoại. Trong email có một nút mang tên “Xem lại hoạt động ngay”, dẫn đến một trang web lừa đảo tại robinhood[.]casevaultreview[.]com, hiện đã bị gỡ bỏ.
Medtronic xác nhận vụ xâm nhập sau khi tin tặc tuyên bố đánh cắp 9 triệu hồ sơ bệnh án
Tuần trước, tập đoàn thiết bị y tế khổng lồ Medtronic tiết lộ rằng tin tặc đã xâm nhập mạng lưới của họ và truy cập dữ liệu trong một số hệ thống của công ty. Thông tin xác nhận này được đưa ra sau khi nhóm tin tặc ShinyHunters tuyên bố đã xâm nhập và đánh cắp hơn 9 triệu hồ sơ từ Medtronic. Mới đây, công ty đã công bố sự cố trên trang web của mình, cho biết vụ xâm phạm không ảnh hưởng đến khách hàng hoặc sản phẩm và hoạt động kinh doanh vẫn không bị ảnh hưởng. Kẻ tấn công khẳng định đã xâm nhập “hàng TB dữ liệu nội bộ của công ty” và gây áp lực buộc Medtronic phải trả tiền bằng cách đe dọa sẽ tiết lộ thông tin.
Các cuộc tấn công GlassWorm quay trở lại thông qua 73 tiện ích mở rộng “ngầm” của OpenVSX
Một đợt tấn công mới của chiến dịch Glassworm đang nhắm vào hệ sinh thái OpenVSX với 73 tiện ích mở rộng “ngầm” có thể trở nên độc hại sau khi cập nhật. Sáu trong số các tiện ích mở rộng đã được kích hoạt và phát tán mã độc, trong khi Socket đánh giá phần còn lại đang ở trạng thái sleeper hoặc ít nhất là đáng ngờ. Khi mới được tải lên, các phần mở rộng này vô hại nhưng sẽ truyền mã độc ở giai đoạn sau, tiết lộ ý định thực sự của kẻ tấn công.
Google khởi công siêu trung tâm AI bên ngoài nước Mỹ
Ngày 28/4, Google đã tổ chức lễ khởi công trung tâm AI lớn nhất của công ty bên ngoài nước Mỹ, đánh dấu bước tiến quan trọng trong chiến lược mở rộng hạ tầng số tại Ấn Độ. Trước đó, vào tháng 10/2025, Google cam kết đầu tư 15 tỷ USD trong vòng 5 năm để xây dựng tổ hợp quy mô lớn tại Visakhapatnam - thành phố cảng ở bang Andhra Pradesh (Ấn Độ). Phát biểu tại buổi lễ, Phó Chủ tịch phụ trách hạ tầng toàn cầu của Google, ông Bikash Koley cho biết đây là “cột mốc cụ thể đầu tiên trong cam kết lớn nhất của Google đối với tương lai số của Ấn Độ”.
Microsoft cho biết thay đổi ở máy chủ gây ra lỗi tính năng trò chuyện và gọi điện của Teams Free
Microsoft đang nỗ lực khắc phục sự cố khiến một số người dùng Microsoft Teams Free không thể trò chuyện và gọi điện cho người khác. Công ty giải thích nguyên nhân của vấn đề này là do một thay đổi ở hệ thống backend được triển khai gần đây khiến một số người dùng bỏ qua màn hình đăng ký và xác nhận quyền riêng tư, dẫn đến việc hồ sơ của họ không thể truy cập được đối với người khác.
CISA yêu cầu vá lỗi bảo mật Windows bị khai thác như một lỗ hổng zero-day
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã yêu cầu các cơ quan liên bang bảo vệ hệ thống Windows của họ trước lỗ hổng CVE-2026-32202, hiện đang bị khai thác trong các cuộc tấn công zero-day. Microsoft cho biết, tin tặc từ xa khai thác thành công lỗ hổng này trong các cuộc tấn công zero-click, bằng cách gửi cho nạn nhân một tệp tin độc hại mà họ phải thực thi, từ đó có thể xem được một số thông tin nhạy cảm trên các hệ thống chưa được vá lỗi.
Tin tặc Trung Quốc bị cáo buộc gián điệp mạng
Một công dân Trung Quốc có tên Xu Zewei bị cáo buộc thực hiện các hoạt động gián điệp mạng cho cơ quan tình báo nước này trong tuần qua đã bị dẫn độ từ Ý sang Mỹ để đối mặt với các cáo buộc hình sự. Theo thông báo của Bộ Tư pháp Mỹ, Xu Zewei bị cáo buộc là tin tặc làm việc cho Bộ An ninh Quốc gia Trung Quốc (MSS), người đã thực hiện các vụ xâm nhập hệ thống từ tháng 02/2020 đến tháng 6/2021 như một phần của chiến dịch thu thập thông tin tình báo phối hợp.
Google đầu tư 40 tỷ USD vào Anthropic
Theo hãng tin Bloomberg, Google sẽ đầu tư ít nhất 10 tỷ USD vào Anthropic, con số này có thể tăng lên tới 40 tỷ USD nếu công ty đạt các mục tiêu hiệu suất đề ra. Động thái này diễn ra chỉ vài ngày sau khi Amazon công bố khoản đầu tư ban đầu 5 tỷ USD vào Anthropic, với điều khoản cho phép tiếp tục rót vốn dựa trên kết quả hoạt động. Cả hai thỏa thuận đều định giá Anthropic ở mức 350 tỷ USD.
Checkmarx xác nhận tin tặc LAPSUS$ làm rò rỉ dữ liệu GitHub
Công ty bảo mật ứng dụng Checkmarx xác nhận rằng, nhóm tội phạm mạng LAPSUS$ đã làm rò rỉ dữ liệu bị đánh cắp từ kho lưu trữ GitHub riêng tư của họ. Mặc dù cuộc điều tra vẫn đang tiếp diễn, Checkmarx nhận định phương thức truy cập xuất phát từ vụ tấn công chuỗi cung ứng Trivy do các tin tặc TeamPCP thực hiện, nhóm này đã cung cấp quyền truy cập vào thông tin đăng nhập của người dùng ở các giai đoạn tiếp theo. Vào ngày 23/3, kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp từ sự cố Trivy để truy cập vào kho lưu trữ GitHub của Checkmarx và phát tán mã độc.
Tin tặc bị bắt vì chiếm đoạt và bán 610.000 tài khoản Roblox
Cảnh sát Ukraine vừa bắt giữ ba cá nhân hack hơn 610.000 tài khoản game Roblox và rao bán chúng để thu lợi nhuận 225.000 USD. Theo đó, Cảnh sát ở Lviv đã tiến hành bắt giữ các đối tượng này sau khi khám xét 10 địa điểm mục tiêu, thu giữ 35.000 USD tiền mặt, 37 điện thoại di động, 11 máy tính để bàn, 7 máy tính xách tay, 5 máy tính bảng và 4 ổ USB.
Dịch vụ video Vimeo xác nhận vụ xâm nhập của Anodot đã làm lộ dữ liệu người dùng
Vimeo tuần qua tiết lộ rằng dữ liệu thuộc về một số khách hàng và người dùng của họ đã bị truy cập trái phép, sau vụ xâm phạm dữ liệu gần đây tại công ty Anodot. Nền tảng video cho biết kẻ tấn công đã truy cập vào địa chỉ email của một số khách hàng, nhưng phần lớn thông tin bị lộ bao gồm dữ liệu kỹ thuật, tiêu đề video và metadata.
Bản cập nhật khẩn cấp cPanel, WHM khắc phục lỗi vượt qua xác thực nghiêm trọng
Một lỗ hổng nghiêm trọng ảnh hưởng đến tất cả các phiên bản cPanel và bảng điều khiển WebHost Manager (WHM), ngoại trừ các phiên bản mới nhất có thể bị khai thác để truy cập vào bảng điều khiển mà không cần xác thực. Với mã định danh CVE-2026-41940 (điểm CVSS: 9.8), lỗ hổng này hiện đã được khắc phục trong bản cập nhật khẩn cấp, yêu cầu chạy lệnh thủ công để tải xuống phiên bản phần mềm đã được vá lỗi.
EU yêu cầu Google mở cửa Android cho các đối thủ AI
Liên minh châu Âu (EU) ngày 27/4 đã yêu cầu Google mở cửa hệ điều hành Android cho các dịch vụ AI từ đối thủ cạnh tranh. Theo thông báo của Ủy ban châu Âu (EC), các biện pháp đề xuất được thiết kế nhằm đảm bảo những dịch vụ AI từ đối thủ cạnh tranh với Google có thể tương tác hiệu quả với hệ ứng dụng trên thiết bị Android. Cơ quan này nhấn mạnh rằng các đề xuất sẽ mang lại nhiều lựa chọn về dịch vụ AI hơn cho người dùng Android trên toàn EU.
Lỗ hổng thực thi mã nghiêm trọng trong LeRobot ảnh hưởng hệ thống AI và robot
Công ty an ninh mạng Resecurity vừa công bố một lỗ hổng nghiêm trọng trong LeRobot, nền tảng robot mã nguồn mở do Hugging Face phát triển. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực, ảnh hưởng trực tiếp đến máy chủ AI và các thiết bị robot kết nối. Với mã định danh CVE-2026-25874 (điểm CVSS: 9.3), lỗ hổng xuất phát từ cách LeRobot xử lý dữ liệu trong pipeline suy luận bất đồng bộ. Hệ thống sử dụng pickle.loads() để giải tuần tự hóa dữ liệu nhận qua các kênh gRPC không xác thực và không được mã hóa TLS. Điều này khiến dữ liệu từ bên ngoài mạng được đưa trực tiếp vào quá trình xử lý, tạo điều kiện cho việc chèn và thực thi mã độc.
Mỹ được cho là đã truy tố tin tặc Scattered Spider bị bắt giữ tại Phần Lan
Một công dân 19 tuổi mang hai quốc tịch Mỹ và Estonia vừa bị bắt giữ tại Phần Lan hồi đầu tháng này, đang phải đối mặt với các cáo buộc liên bang tại Mỹ, cho rằng anh ta là một thành viên tích cực của nhóm tin tặc khét tiếng Scattered Spider. Theo các hồ sơ tòa án được công bố tạm thời mà tờ Chicago Tribune thu được, nghi phạm (người sử dụng biệt danh trực tuyến “Bouquet”) đã tham gia các hoạt động tống tiền hàng triệu USD từ nhiều tập đoàn lớn trên toàn thế giới.
Microsoft yêu cầu người dùng iPhone xác thực lại sau sự cố Outlook
Sau khi khắc phục sự cố mất kết nối diện rộng ảnh hưởng đến người dùng Outlook.com trên toàn thế giới vào ngày 27/4, Microsoft đã yêu cầu người dùng iPhone nhập lại thông tin đăng nhập để truy cập lại tài khoản Outlook và Hotmail của họ thông qua ứng dụng Mail mặc định.
DeepSeek ra mắt mô hình AI V4
Ngày 27/4, DeepSeek công bố bản xem trước mô hình AI mới V4, đồng thời triển khai chương trình giảm giá tới 75% cho phiên bản Pro đến ngày 5/5, theo Reuters. Mô hình V4 gồm hai phiên bản “Pro” và “Flash”, trong đó bản Pro có hiệu năng cao hơn, còn bản Flash nhẹ hơn và chi phí thấp hơn. DeepSeek cho biết các mô hình này được cải thiện đáng kể về kiến thức, khả năng suy luận và đặc biệt là năng lực “agentic” - khả năng tự động thực hiện các tác vụ phức tạp thay vì chỉ phản hồi như chatbot.
Các gói NPM của SAP bị xâm nhập
Nhiều gói NPM chính thức của SAP đã bị xâm phạm trong một vụ tấn công được cho là do TeamPCP thực hiện, nhằm đánh cắp thông tin đăng nhập và mã xác thực từ hệ thống của các nhà phát triển. Các nhà nghiên cứu bảo mật báo cáo rằng, sự cố ảnh hưởng đến bốn gói phần mềm - hiện các phiên bản của chúng đã bị loại bỏ trên NPM, bao gồm: @cap-js/sqlite – v2.2.2, @cap-js/postgres – v2.2.2, @cap-js/db-service – v2.10.1, mbt – v1.2.48. Theo các báo cáo mới từ Aikido và Socket, các gói phần mềm bị xâm phạm đã được sửa đổi để bao gồm một script độc hại, tự động thực thi khi gói NPM được cài đặt.
Bản cập nhật KB5083769 tháng 4 trên Windows 11 gây ra lỗi phần mềm sao lưu
Bản cập nhật bảo mật KB5083769 tháng 4 gây lỗi cho các ứng dụng sao lưu của bên thứ ba từ nhiều nhà cung cấp khác nhau trên các máy tính Windows 11 24H2 và 25H2. Theo báo cáo của người dùng, được phát hiện đầu tiên bởi chuyên gia Microsoft MVP Susan Bradley, sự cố này ảnh hưởng đến phần mềm sử dụng ảnh VSS snapshot (Volume Shadow Copy Service) và gây ra lỗi do hết thời gian chờ của dịch vụ VSS.
Cảnh báo mã độc phá hủy dữ liệu trên Windows, Linux và ESXi
Một chiến dịch tấn công mới có tên VECT 2.0, ngụy trang dưới dạng mã độc tống tiền, nhưng thực chất là data wiper - loại mã độc phá hủy dữ liệu không thể phục hồi, đặc biệt với các tệp tin có dung lượng trên 131KB. Theo phân tích từ các chuyên gia an ninh mạng, VECT 2.0 là một chiến dịch tấn công đa nền tảng, có thể hoạt động trên Windows, Linux và ESXi. Đáng lo ngại hơn, VECT 2.0 còn được triển khai theo mô hình Ransomware-as-a-Service (RaaS), cho phép nhiều đối tượng khác dễ dàng tham gia tấn công với chi phí thấp, từ đó làm gia tăng nguy cơ lây lan trên diện rộng.
Châu Âu triệt phá đường dây lừa đảo đầu tư tiền điện tử trị giá 50 triệu Euro
Các nhà chức trách Áo và Albania đã triệt phá một đường dây tội phạm mạng điều hành một hoạt động lừa đảo đầu tư tiền điện tử quy mô lớn, gây thiệt hại ước tính hơn 50 triệu Euro (58,5 triệu USD) cho các nạn nhân trên toàn thế giới. Chiến dịch phối hợp này bắt đầu từ tháng 6/2023, được sự hỗ trợ bởi Tổ chức Cảnh sát hình sự quốc tế (Europol) và Cơ quan Hợp tác Tư pháp hình sự Liên minh châu Âu (Eurojust) hỗ trợ, đã dẫn đến việc bắt giữ 10 nghi phạm và khám xét 3 trung tâm liên lạc và 9 nhà riêng vào ngày 17/4.
Tin tặc khai thác lỗ hổng SQLi nghiêm trọng trong quá trình xác thực của LiteLLM
Các tin tặc đang nhắm mục tiêu vào thông tin nhạy cảm được lưu trữ trên gateway mã nguồn mở LiteLLM, bằng cách khai thác một lỗ hổng nghiêm trọng được theo dõi với mã định danh CVE-2026-42208. Theo báo cáo kỹ thuật, lỗ hổng này là một hình thức tấn công SQL injection xảy ra trong bước xác minh khóa API proxy của LiteLLM. Các tin tặc có thể khai thác nó mà không cần xác thực thông qua tạo một tiêu đề Authorization độc hại và gửi đến bất kỳ thành phần API nào của LLM.
LofyStealer quay trở lại, lợi dụng game Minecraft làm mồi nhử tấn công game thủ
Một chiến dịch mới được cho là do nhóm tội phạm LofyGang thực hiện với biến thể mã độc LofyStealer, tấn công vào các game thủ trên toàn cầu. Theo phân tích từ các nền tảng sandbox, tệp độc hại ban đầu được ngụy trang bằng biểu tượng Minecraft nhằm đánh lừa người dùng. Khi được kích hoạt, tệp không thực thi ngay hành vi đánh cắp dữ liệu mà khởi chạy một chuỗi xử lý nhiều tầng.
Microsoft ngừng hỗ trợ TLS cũ trong Exchange Online bắt đầu từ tháng 7/2026
Microsoft cho biết họ sẽ bắt đầu chặn các kết nối TLS 1.0 và 1.1 trên các ứng dụng email POP và IMAP trong Exchange Online bắt đầu từ tháng 7/2026. Như Microsoft đã giải thích vào ngày 27/4, hầu hết người dùng sẽ không bị ảnh hưởng bởi sự thay đổi này vì phần lớn lưu lượng POP và IMAP đến Exchange Online hiện nay sử dụng TLS 1.2 trở lên, đồng thời các ứng dụng email hiện nay đã hỗ trợ các giao thức mới hơn này.
Microsoft: Các cảnh báo mới về Remote Desktop có thể hiển thị không chính xác
Microsoft mới đây xác nhận một sự cố mới khiến các cảnh báo bảo mật mới của Windows hiển thị không chính xác khi mở các tệp Remote Desktop (.rdp). Sự cố này ảnh hưởng đến tất cả các phiên bản Windows được hỗ trợ, bao gồm Windows 11 (KB5083768 & KB5083769), Windows 10 (KB5082200) và Windows Server (KB5082063).
Canada bắt giữ ba người vì vận hành thiết bị SMS blaster
Giới chức Canada vừa qua tiến hành bắt giữ ba người đàn ông bởi cáo buộc vận hành một thiết bị “SMS blaster” giả danh trạm phát sóng di động để gửi tin nhắn lừa đảo đến các điện thoại gần đó. Những công cụ này đánh lừa các thiết bị kết nối với chúng bằng cách phát ra tín hiệu giả mạo một trạm phát sóng hợp pháp. Điện thoại di động trong phạm vi phủ sóng sẽ tự động kết nối với chúng vì tín hiệu mạnh hơn. Sau khi thiết lập, những kẻ điều hành các trạm phát sóng di động bất hợp pháp này có thể gửi tin nhắn SMS trực tiếp đến các thiết bị được kết nối, với nội dung giả mạo là tin nhắn đến từ các tổ chức đáng tin cậy như ngân hàng hoặc chính phủ.
Lỗ hổng Nessus Agent cho phép chiếm quyền SYSTEM
Một lỗ hổng nghiêm trọng tồn tại ngay trong Nessus Agent (CVE-2026-33694, điểm CVSS: 8.2), công cụ được triển khai để dò tìm và phát hiện lỗ hổng. Đáng chú ý, kẻ tấn công chỉ cần quyền người dùng thông thường cũng có thể leo thang lên quyền SYSTEM, mức đặc quyền cao nhất trên Windows. Kẻ tấn công có thể “đánh lừa” tiến trình Nessus Agent vốn chạy với quyền SYSTEM, thao tác trên một thư mục tưởng là hợp lệ nhưng thực chất đã bị chuyển hướng sang vị trí nhạy cảm trong hệ thống.
Người Mỹ mất hơn 2,1 tỷ USD vì các vụ lừa đảo trên mạng xã hội trong năm 2025
Ủy ban Thương mại Liên bang Mỹ (FTC) hiện đang cảnh báo về sự gia tăng mạnh mẽ các thiệt hại do lừa đảo trên mạng xã hội kể từ năm 2020, dự kiến vượt quá 2,1 tỷ USD vào năm 2025. Theo các báo cáo gửi đến Mạng lưới Giám sát người tiêu dùng của FTC, tất cả các nhóm tuổi (ngoại trừ những người từ 80 tuổi trở lên, chủ yếu bị nhắm mục tiêu qua các cuộc gọi điện thoại) đều mất nhiều tiền hơn do các vụ lừa đảo bắt nguồn từ Facebook so với bất kỳ nền tảng mạng xã hội nào khác.
Cảnh sát triệt phá 9 trung tâm lừa đảo tiền điện tử, bắt giữ 276 nghi phạm
Một chiến dịch phối hợp quốc tế trong tuần qua đã bắt giữ ít nhất 276 nghi phạm và triệt phá 9 trung tâm lừa đảo đầu tư tiền điện tử. Chiến dịch trấn áp này do Cảnh sát Dubai thuộc Bộ Nội vụ UAE dẫn đầu, nhắm vào các mạng lưới tội phạm điều hành các kế hoạch lừa đảo kiểu “mồi nhử tình cảm”, một hình thức mà những kẻ lừa đảo xây dựng lòng tin với nạn nhân thông qua các mối quan hệ bạn bè hoặc tình cảm giả tạo, trước khi dụ dỗ họ tham gia các nền tảng đầu tư tiền điện tử giả mạo để rút hết tiền của họ.
WhatsApp bổ sung tính năng bảo mật mới để bảo vệ người dùng khỏi các chiêu trò lừa đảo
WhatsApp đang giới thiệu một tính năng bảo mật mới giúp người dùng phát hiện các vụ lừa đảo tiềm ẩn khi họ được thêm vào nhóm trò chuyện bởi người lạ không có trong danh bạ. Tính năng này hiển thị thẻ ngữ cảnh “Tổng quan về an toàn”, với một số thông tin như ngày tạo nhóm, số lượng thành viên, các nỗ lực lừa đảo tiềm ẩn và hướng dẫn cách kiểm soát ai có thể thêm bạn vào nhóm WhatsApp.
Lỗ hổng Copy Fail mới trên Linux cho phép tin tặc chiếm quyền root
Một lỗ hổng bảo mật leo thang đặc quyền có tên gọi “Copy Fail” vừa được công bố, ảnh hưởng đến các kernel Linux phát hành từ năm 2017 trở đi, cho phép kẻ tấn công cục bộ giành được đặc quyền root. Với mã định danh CVE-2026-31431, công ty an ninh mạng Theori cho biết lỗ hổng này là một lỗi logic trong mẫu mã hóa xác thực của kernel Linux, cho phép người dùng đã được xác thực có thể thực hiện một thao tác ghi 4 byte vào bộ nhớ cache trang của bất kỳ tệp nào có thể đọc được trên hệ thống. Nếu 4 byte đó tác động đến một tệp nhị phân setuid-root, chúng có thể thay đổi hành vi của tệp đó khi được thực thi, giúp kẻ tấn công có được quyền root.
Lỗ hổng OpenSSH cho phép truy cập toàn quyền root đã tồn tại suốt 15 năm
Theo công ty bảo mật dữ liệu Cyera, các phiên bản OpenSSH được phát hành trong 15 năm qua đều bị ảnh hưởng bởi một lỗ hổng cho phép truy cập root. Lỗ hổng này được theo dõi với mã CVE-2026-35414 (điểm CVSS: 8.1), nguyên nhân do quá trình xử lý sai tùy chọn principals authorized_keys trong một số trường hợp nhất định liên quan đến các tổ chức cấp chứng thư số (CA) sử dụng ký tự dấu phẩy, dẫn đến việc bỏ qua cơ chế kiểm soát truy cập OpenSSH, cho phép người dùng xác thực với quyền root trên máy chủ dễ bị tổn thương, miễn là họ có chứng chỉ hợp lệ từ một CA đáng tin cậy.
SonicWall kêu gọi vá ngay lập tức các lỗ hổng bảo mật trên tường lửa của hãng
Ngày 29/4, SonicWall đã phát hành các bản vá lỗi cho ba lỗ hổng bảo mật SonicOS, đồng thời kêu gọi khách hàng vá lỗi ngay lập tức đối với các tường lửa Gen 6, Gen 7 và Gen 8 của họ. Đáng chú ý nhất là lỗ hổng nghiêm trọng với mã CVE-2026-0204, cho phép kẻ tấn công vượt qua các biện pháp kiểm soát truy cập và truy cập vào một số chức năng giao diện quản lý nhất định. Tin tặc có quyền truy cập vào giao diện quản trị có thể thay đổi cấu hình tường lửa và vô hiệu hóa các biện pháp bảo vệ an ninh.
Lỗ hổng bảo mật nghiêm trọng trên GitHub làm rò rỉ thông tin của hàng triệu kho lưu trữ
Các nhà nghiên cứu tại công ty bảo mật đám mây Wiz đã phát hiện một lỗ hổng thực thi mã từ xa nghiêm trọng trên GitHub, dẫn đến làm lộ thông tin của hàng triệu kho lưu trữ. Với mã định danh CVE-2026-3854, lỗ hổng này ảnh hưởng đến cơ sở hạ tầng Git nội bộ và GitHub Enterprise Server và GitHub.com. “Bằng cách khai thác lỗ hổng tấn công chèn mã trong giao thức nội bộ của GitHub, bất kỳ người dùng nào đã xác thực đều có thể thực thi các lệnh tùy ý trên máy chủ backend của GitHub chỉ bằng một lệnh git push duy nhất - với một git client tiêu chuẩn”, Wiz giải thích.
Lỗ hổng trong EnOcean SmartServer khiến các tòa nhà dễ bị tấn công từ xa
Các lỗ hổng được các nhà nghiên cứu của Claroty phát hiện trong nền tảng IoT SmartServer của EnOcean có thể bị khai thác để tấn công từ xa các hệ thống quản lý tòa nhà. Claroty phát hiện rằng SmartServer bị ảnh hưởng bởi một lỗ hổng vượt qua bảo mật được theo dõi với mã CVE-2026-22885 và lỗ hổng thực thi mã từ xa CVE-2026-20761. Các lỗ hổng này có thể bị kẻ tấn công từ xa khai thác nhắm vào các thiết bị EnOcean kết nối Internet để vượt qua các biện pháp bảo vệ bộ nhớ, rò rỉ bộ nhớ và thực thi các lệnh tùy ý.
Nhóm tin tặc Handala của Iran đe dọa binh lính Mỹ tại Bahrain
Xoay quanh căng thẳng leo thang tại Trung Đông, mới đây, nhóm tin tặc Handala có liên hệ với Iran đã nhắm mục tiêu vào binh lính Mỹ tại Bahrain, trong một chiến dịch đe dọa tâm lý được thực hiện trên WhatsApp. Các tin nhắn được ký tên Handala và chứa liên kết đến trang web của nhóm, tuyên bố rằng các quân nhân Mỹ đang bị theo dõi và sắp trở thành mục tiêu của máy bay không người lái và tên lửa. Ngày 28/4, nhóm này công bố thông tin cá nhân của 2.379 thành viên Thủy quân Lục chiến Mỹ đóng quân tại vùng Vịnh Ba Tư trên kênh Telegram của chúng.
Sandhills Medical xác nhận vụ tấn công bằng mã độc tống tiền ảnh hưởng đến 170.000 người
Tổ chức chăm sóc sức khỏe Sandhills Medical Foundation của Mỹ mới đây đã tiết lộ về vụ rò rỉ dữ liệu ảnh hưởng đến gần 170.000 cá nhân. Sandhills Medical cho biết, họ phát hiện một cuộc tấn công bằng mã độc tống tiền vào ngày 8/5/2025. Kể từ đó, công ty đã hợp tác với các cơ quan thực thi pháp luật, các chuyên gia an ninh mạng và một công ty điều tra số để phân tích vụ xâm nhập và xác định tác động của nó. Giờ đây, gần một năm sau, tổ chức chăm sóc sức khỏe đã công khai vụ việc và thông báo cho những người bị ảnh hưởng.
Australia buộc Meta, Google và TikTok trả tiền cho báo chí
Chính phủ Australia hôm 28/4 đã công bố dự thảo luật mới nhằm buộc các tập đoàn công nghệ lớn phải chia sẻ doanh thu với các cơ quan báo chí trong nước. Quyết định này được xem là một nỗ lực bảo vệ ngành truyền thông trước sự thay đổi nhanh chóng của môi trường số. Theo dự luật, các nền tảng kỹ thuật số như Meta, Google và TikTok sẽ phải ký kết các thỏa thuận thương mại với các hãng tin tức Australia nếu muốn tiếp tục hiển thị nội dung báo chí trên nền tảng của mình.
Plugin chuyển hướng WordPress phổ biến tồn tại một lỗ hổng bảo mật trong suốt nhiều năm
Plugin Quick Page/Post Redirect, được cài đặt trên hơn 70.000 trang web WordPress, tồn tại một lỗ hổng bảo mật cách đây 5 năm cho phép chèn mã tùy ý vào các trang web của người dùng. WordPress.org đã tạm thời gỡ bỏ plugin này khỏi thư mục để chờ xem xét. Hiện chưa rõ liệu tác giả của plugin đã cài đặt backdoor hay họ bị bên thứ ba xâm nhập. Nhà nghiên cứu bảo mật Ginder giải thích, các phiên bản plugin chính thức 5.2.1 và 5.2.2, phát hành từ năm 2020 đến năm 2021, bao gồm một cơ chế tự cập nhật ẩn trỏ đến một tên miền của bên thứ ba là anadnet[.]com , cho phép đẩy mã tùy ý ra ngoài tầm kiểm soát của WordPress.org.
Tin tặc khai thác lỗ hổng thực thi mã từ xa trong trình lập lịch tác vụ Qinglong để khai thác tiền điện tử
Các tin tặc đang khai thác hai lỗ hổng vượt qua xác thực trong công cụ lập lịch tác vụ mã nguồn mở Qinglong, nhằm triển khai phần mềm khai thác tiền điện tử trên máy chủ của các nhà phát triển. Theo các nhà nghiên cứu tại công ty bảo mật ứng dụng đám mây Snyk, việc khai thác lỗ hổng bắt đầu từ đầu tháng 02/2026, trước khi các vấn đề bảo mật được công khai vào cuối tháng đó. Hai lỗ hổng bảo mật này ảnh hưởng đến các phiên bản Qinglong 2.20.1 trở xuống và có thể được kết hợp để thực thi mã độc từ xa.
Cảnh báo chuỗi lỗ hổng cho phép chiếm quyền PLC trên CODESYS
Một nghiên cứu mới đây đã chỉ ra chuỗi lỗ hổng nghiêm trọng trong nền tảng CODESYS - hệ thống được sử dụng phổ biến để vận hành các bộ điều khiển công nghiệp (PLC) trong nhà máy, năng lượng và hạ tầng. Điểm nguy hiểm là khi kết hợp ba lỗ hổng riêng lẻ, kẻ tấn công có thể chiếm toàn bộ thiết bị và cài mã độc. Đầu tiên, CVE-2025-41658 cho phép người dùng có quyền thấp truy cập tệp nhạy cảm và trích xuất mật khẩu. Tiếp theo, CVE-2025-41659 làm lộ các khóa mã hóa quan trọng vốn được dùng để ký và bảo vệ ứng dụng PLC. Cuối cùng, CVE-2025-41660 cho phép tải lại một project PLC đã bị can thiệp. Đây chính là bước đưa mã độc vào thiết bị, hoàn tất chuỗi xâm nhập.
Bản cập nhật Windows 11 KB5083631 được phát hành với 34 thay đổi và sửa lỗi
Microsoft vừa phát hành bản cập nhật tích lũy KB5083631 cho Windows 11, bao gồm 34 thay đổi, chẳng hạn như chế độ Xbox mới, tăng cường bảo mật và hiệu suất cho các tệp tin xử lý hàng loạt, cũng như cải thiện hiệu suất khi khởi chạy các ứng dụng khởi động. KB5083631 là bản cập nhật xem trước cho phép quản trị viên kiểm tra các bản vá lỗi, cải tiến và tính năng mới của Windows trước khi chúng được phát hành rộng rãi trong bản cập nhật Patch Tuesday tháng tới.
Pháp điều tra tin tặc 15 tuổi bị tình nghi đánh cắp, rao bán dữ liệu cá nhân hàng triệu công dân
Theo Hãng tin Reuters ngày 30/4, Văn phòng công tố Paris đã mở cuộc điều tra vào một thiếu niên 15 tuổi, với cáo buộc tấn công cơ quan quản lý dữ liệu nhận dạng của Pháp và rao bán dữ liệu cá nhân của hàng triệu công dân trên các diễn đàn tin tặc. Thiếu niên này bị bắt giữ và thẩm vấn ngày 25/4 sau khi bị nghi ngờ là tin tặc sử dụng biệt danh “breach3d” để rao bán 12 đến 18 triệu dòng dữ liệu đã bị đánh cắp.
Cisco phát hành công cụ mã nguồn mở để theo dõi nguồn gốc mô hình AI
Ngày 30/4, Cisco đã công bố một công cụ mã nguồn mở mới có tên Model Provenance Kit, được thiết kế để giúp các tổ chức giải quyết các vấn đề tiềm ẩn liên quan đến việc sử dụng các mô hình AI của bên thứ ba. Công cụ này có hai chế độ: “compare”, cho phép người dùng so sánh hai mẫu để xác định nguồn gốc chung; thứ hai là “scan”, cố gắng tìm nguồn gốc gần nhất cho một mẫu nhất định bằng cách so sánh dấu vân tay của nó với cơ sở dữ liệu của Cisco.
Ứng dụng Hugging Face và ClawHub bị lạm dụng để phát tán mã độc
Theo báo cáo của Acronis, các tác nhân đe dọa đang sử dụng các tệp tin chia sẻ bị nhiễm mã độc để phát tán các thành phần độc hại khác thông qua các nền tảng phân phối dựa trên AI như Hugging Face và ClawHub. Các cuộc tấn công này không làm tổn hại đến các tác nhân AI, mà dựa vào kỹ nghệ xã hội để đánh lừa người dùng tải xuống các tệp chứa mã độc có khả năng thực thi lệnh, tải xuống dữ liệu và cài đặt các thành phần phụ thuộc ẩn.
FBI cảnh báo về sự gia tăng các vụ trộm hàng hóa do tin tặc gây ra
Cảnh báo mới nhất từ Cục Điều tra Liên bang Mỹ (FBI) cho biết, tình trạng trộm cắp hàng hóa sử dụng công nghệ mạng đang gia tăng. Cơ quan này đã mô tả một kịch bản tấn công điển hình: Bắt đầu bằng một email được gửi đến một nhà môi giới vận chuyển. Những email này thường trông giống như các yêu cầu thông thường, nhưng chúng chứa các liên kết trỏ đến các trang web độc hại được thiết lập để phát tán mã độc và các công cụ truy cập từ xa, cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống nội bộ của công ty mục tiêu.
1.800 người bị ảnh hưởng trong vụ tấn công Mini Shai-Hulud nhằm vào SAP, Lightning và Intercom
Hơn 1.800 nhà phát triển đã bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng Mini Shai-Hulud nhắm vào hệ sinh thái PyPi, NPM và PHP trong hai ngày qua. Chiến dịch này được cho là do nhóm TeamPCP thực hiện, lần đầu tiên được phát hiện vào ngày 29/4, sau khi các phiên bản độc hại của 4 gói SAP NPM bị phát hiện phân phối mã độc đánh cắp thông tin và cố gắng lây lan sang các gói khác.
Phát hiện Deep#Door: Mã độc mới có khả năng kiểm soát và giám sát hệ thống Windows
Theo báo cáo của Securonix, một framework backdoor dựa trên Python mới có tên Deep#Door, có thể cho phép kẻ tấn công thực thi lệnh từ xa và giám sát liên tục trên máy tính Windows. Được thực thi khi người dùng đăng nhập, Deep#Door thực hiện các kiểm tra xác thực môi trường để đảm bảo nó không được chạy trong máy ảo, sandbox hoặc môi trường phân tích. Để làm được điều đó, nó kiểm tra trình gỡ lỗi, các thành phần ảo hóa cụ thể, cũng như các đặc điểm về hành vi và môi trường.
Lỗ hổng CLI nghiêm trọng của Gemini cho phép thực thi mã trên máy chủ và tấn công chuỗi cung ứng
Các nhà nghiên cứu trong Gemini CLI, một tác nhân AI mã nguồn mở gần đây đã phát hiện một lỗ hổng thực thi mã từ xa nghiêm trọng. Lỗ hổng này đã được Google vá lỗi trong cả Gemini CLI và GitHub Action “run-gemini-cli”. Các nhà nghiên cứu nhận thấy “Gemini CLI tự động tin tưởng thư mục workspace hiện tại, tải bất kỳ cấu hình tác nhân nào mà nó tìm thấy ở đó mà không cần xem xét, thử nghiệm trong môi trường biệt lập hoặc phê duyệt từ con người”. Kẻ tấn công có thể cài đặt cấu hình độc hại vào thư mục đó và khiến tác nhân AI thực thi các lệnh tùy ý trên máy chủ trước khi khởi tạo môi trường sandbox.
Vụ rò rỉ dữ liệu của ADT ảnh hưởng đến 5,5 triệu người
Theo trang thông báo vi phạm dữ liệu Have I Been Pwned, nhóm tin tặc ShinyHunters đã đánh cắp thông tin cá nhân của 5,5 triệu cá nhân sau khi xâm nhập hệ thống của công ty ADT hồi đầu tháng này. Trước đó, ADT từng tiết lộ hai vụ rò rỉ dữ liệu vào tháng 8/2024 và tháng 10/2024, dẫn đến làm lộ thông tin của nhân viên và khách hàng.
Mỹ kết án 4 năm tù các cựu nhân viên an ninh mạng vì liên quan đến vụ tấn công BlackCat
Hai cựu nhân viên của các công ty xử lý sự cố an ninh mạng Sygnia và DigitalMint đã bị kết án bốn năm tù giam mỗi người vì nhắm mục tiêu vào các công ty của Mỹ bằng mã độc tống tiền BlackCat (ALPHV). Ryan Clifford Goldberg, 40 tuổi (cựu quản lý phản ứng sự cố của Sygnia) và Kevin Tyler Martin, 36 tuổi (chuyên viên đàm phán về mã độc tống tiền của DigitalMint) đã bị buộc tội vào tháng 11/2025 và nhận tội vào tháng 12 cùng năm về hành vi âm mưu cản trở thương mại bằng cách tống tiền.
Microsoft cho phép quản trị viên chọn các ứng dụng được cài đặt sẵn trên Store để gỡ cài đặt
Microsoft đã cập nhật chính sách gỡ bỏ ứng dụng cài sẵn trên Windows 11, để bao gồm một danh sách động cho phép quản trị viên lựa chọn ứng dụng nào được cài đặt trên Store mà họ muốn gỡ bỏ. Theo đó, chính sách RemoveDefaultMicrosoftStorePackages được cập nhật để quản trị viên có thể gỡ bỏ bất kỳ ứng dụng MSIX/APPX nào được cài đặt bằng cách tham chiếu đến Package Family Name (PFN) của ứng dụng đó thông qua Group Policy Object hoặc OMA-URI tùy chỉnh dành cho quản lý thiết bị di động (MDM).
CISA ban hành hướng dẫn về mô hình Zero Trust trong việc áp dụng công nghệ vận hành (OT) và tác nhân AI
Tuần qua, CISA đã công bố hai tài liệu hướng dẫn, một tập trung vào việc áp dụng các nguyên tắc bảo mật Zero Trust cho OT, giải quyết sự hội tụ ngày càng tăng giữa công nghệ thông tin và OT, dẫn đến việc mở rộng bề mặt tấn công. Trong tài liệu hướng dẫn thứ hai, CISA và các đối tác khuyến khích triển khai có kế hoạch các hệ thống tác nhân AI. Tài liệu này nêu bật các rủi ro và thách thức bảo mật chính, đồng thời đưa ra các bước thực tiễn để thiết kế, triển khai và vận hành phù hợp với các khuôn khổ an ninh mạng hiện có và tăng cường giám sát.
Công cụ lập bản đồ mạng lỗi thời của NSA tiềm ẩn rủi ro cho mạng lưới công nghiệp.
CISA đã đưa ra cảnh báo về một lỗ hổng nghiêm trọng trong GRASSMARLIN, một công cụ mã nguồn mở ban đầu được Cơ quan An ninh Quốc gia Mỹ (NSA) phát triển để lập bản đồ mạng hệ thống điều khiển công nghiệp (ICS). Lỗ hổng này cho phép kẻ tấn công thực thi việc đánh cắp trái phép các tệp tin nhạy cảm, điều mà các chuyên gia cho rằng có thể tạo điều kiện cho việc di chuyển ngang trong mạng công nghiệp. Vì công cụ này đã hết hạn vòng đời sử dụng vào năm 2017, nên sẽ không có bản vá chính thức nào được phát hành.
Tin tặc Triều Tiên sử dụng các cuộc họp Zoom giả mạo nhằm đánh cắp ví tiền điện tử
BlueNoroff, một nhánh của nhóm tin tặc Triều Tiên Lazarus, đang tiến hành một chiến dịch tấn công kỹ nghệ xã hội nhằm vào các tổ chức Web3. Kẻ tấn công dụ dỗ các giám đốc điều hành tham gia các cuộc họp Zoom giả mạo, nơi các vấn đề kỹ thuật được dàn dựng khiến nạn nhân thực thi các tập lệnh PowerShell độc hại được ngụy trang dưới dạng các bản vá lỗi phần mềm. Mã độc có thu thập thông tin đăng nhập từ các tiện ích mở rộng ví tiền điện tử và ghi lại hình ảnh webcam trực tiếp để tinh chỉnh các danh tính giả mạo cho các cuộc tấn công tiếp theo.
Lỗ hổng bảo mật trong Cursor IDE mở ra cơ hội thực thi mã ngầm
Novee Security đã phát hiện một lỗ hổng bảo mật nghiêm trọng trong Cursor IDE cho phép kẻ tấn công thực thi mã tùy ý thông qua các Git hook độc hại. Lỗ hổng này được theo dõi với mã CVE-2026-26268, được kích hoạt khi tác nhân AI của công cụ tự động thực hiện các thao tác Git, thực thi các tập lệnh ẩn trong các kho lưu trữ lồng nhau mà không có sự cho phép hoặc chấp thuận của nhà phát triển.
Theo antoanthongtin.vn