Hiệp hội An ninh Mạng Trung Quốc vừa tiết lộ thông tin về hai vụ tấn công mạng và gián điệp nghiêm trọng nhằm vào các cơ quan của nước này, được cho là do các cơ quan tình báo Mỹ thực hiện. Các vụ việc này liên quan đến việc khai thác lỗ hổng zero-day trong hệ thống email Microsoft Exchange và các sai sót trong hệ thống tài liệu điện tử.

Người phát ngôn Bộ Ngoại giao Trung Quốc, Quách Gia Côn, đã lên án mạnh mẽ hành động này và cho rằng đây là bằng chứng mới nhất về các cuộc tấn công mạng độc hại của chính phủ Mỹ nhắm vào Trung Quốc. Ông cũng cho rằng Mỹ đang thể hiện sự đạo đức giả về vấn đề an ninh mạng khi chỉ trích các quốc gia khác về vấn đề này trong khi chính họ lại thực hiện các hành động như vậy.

Theo báo cáo, trong những năm gần đây, các cơ quan tình báo Mỹ đã tập trung vào việc nhắm mục tiêu vào các trường đại học, viện nghiên cứu và doanh nghiệp công nghệ cao liên quan đến quân sự của Trung Quốc. Một trong những vụ việc nghiêm trọng nhất diễn ra từ tháng 7 năm 2022 đến tháng 7 năm 2023, khi các cơ quan tình báo Mỹ đã khai thác các lỗ hổng zero-day trong hệ thống email Microsoft Exchange để tấn công và kiểm soát các máy chủ email của một doanh nghiệp công nghiệp quân sự lớn của Trung Quốc trong gần một năm.

Cuộc điều tra cho thấy những kẻ tấn công đã kiểm soát máy chủ điều khiển tên miền của doanh nghiệp, sử dụng nó làm ‘bàn đạp’ để truy cập vào hơn 50 thiết bị chủ chốt trong mạng nội bộ. Đồng thời, chúng đã tạo ra nhiều kênh bí mật để rút ruột dữ liệu. Những kẻ tấn công đã sử dụng các địa chỉ IP ủy quyền (proxy IP) từ nhiều quốc gia để thực hiện hơn 40 cuộc tấn công mạng.

Trong một vụ việc khác, từ tháng 7 đến tháng 11 năm 2024, các cơ quan tình báo Mỹ đã thực hiện các cuộc tấn công mạng vào một doanh nghiệp công nghiệp quân sự liên quan đến truyền thông và internet vệ tinh. Những kẻ tấn công đã sử dụng các proxy IP đặt tại Romania và Hà Lan để khai thác các lỗ hổng truy cập trái phép và lỗ hổng SQL injection để tấn công hệ thống tệp điện tử của doanh nghiệp.

Báo cáo kết luận rằng trong cả hai trường hợp, những kẻ tấn công đã sử dụng các kỹ thuật che giấu chiến thuật và khả năng tấn công mạng ở mức độ cao. Chuyên gia an ninh mạng nhận định rằng Trung Quốc là nạn nhân lớn nhất của các cuộc tấn công mạng và những tiết lộ của phía Trung Quốc chỉ là phần nổi của tảng băng trôi.

Trong năm 2024, đã có hơn 600 sự cố tấn công mạng của các nhóm APT cấp nhà nước ở nước ngoài nhắm vào các cơ quan quan trọng của Trung Quốc, với ngành công nghiệp quốc phòng và quân sự là mục tiêu chính. Điều này cho thấy mức độ nghiêm trọng của vấn đề an ninh mạng và nhu cầu cấp thiết phải có các biện pháp bảo vệ mạnh mẽ để ngăn chặn các cuộc tấn công như vậy.

Tham khảo thêm thông tin tại: https://www.china.org.cn/2024-07/22/c_122996356.htm

Microsoft vừa phát cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công mạng tinh vi và có chủ đích nhắm vào hệ thống SharePoint Server on-premises. Chiến dịch này bắt đầu từ ngày 7/7/2025 và được thực hiện bởi ba nhóm tin tặc nổi tiếng đến từ Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các cuộc tấn công này đã khai thác một chuỗi các lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công vượt qua cơ chế xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ của nạn nhân.

Chi tiết đáng chú ý trong chiến dịch tấn công này là việc một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Sự cố này đã được ghi nhận vào ngày 18/7/2025. Mặc dù chỉ một số hệ thống bị ảnh hưởng và chưa phát hiện bất kỳ dấu hiệu nào của việc rò rỉ dữ liệu mật, vụ việc này vẫn cho thấy rõ quy mô và mức độ tinh vi của làn sóng tấn công mạng.

Về mặt kỹ thuật, Microsoft đã xác định được bốn lỗ hổng bảo mật được khai thác trong đợt tấn công này, bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ. Điều này có nghĩa là các tổ chức đang sử dụng những phiên bản SharePoint Server này cần phải thực hiện các biện pháp cấp bách để bảo vệ hệ thống của mình.

Trước tình hình này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng để xử lý các lỗ hổng được xác định. Ngoài ra, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ cần thiết. Các biện pháp này bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, thực hiện việc xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS. Việc áp dụng kịp thời các bản vá và tăng cường các biện pháp bảo mật sẽ giúp giảm thiểu đáng kể rủi ro của các cuộc tấn công mạng.

Cục An ninh Sáng suốt và An ninh Cơ sở hạ tầng (CISA) đã thêm CVE-2025-53771 vào danh sách các lỗ hổng cần khắc phục khẩn cấp vào ngày 22/7/2025, với thời hạn thực hiện chỉ sau đó một ngày. Các chuyên gia an ninh mạng cũng cảnh báo rằng sự kết hợp giữa việc bypass xác thực và thực thi mã từ xa tạo ra công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu. Trong bối cảnh kẻ tấn công đã có sẵn đường đi và chỉ chờ thời cơ để bước vào, việc cập nhật bản vá không còn là lựa chọn mà đã trở thành hành động sống còn đối với các tổ chức.

Tóm lại, chiến dịch tấn công mạng nhắm vào hệ thống SharePoint Server on-premises đã và đang gây ra những lo ngại lớn về bảo mật. Các tổ chức cần phải lấy hành động cấp bách bằng cách áp dụng các bản vá bảo mật và tăng cường các biện pháp phòng thủ để ngăn ngừa và giảm thiểu rủi ro từ các cuộc tấn công mạng tương tự. Theo dõi các thông tin và cập nhật liên tục từ Microsoft và các nguồn tin cậy khác sẽ giúp các tổ chức và doanh nghiệp chủ động bảo vệ hệ thống của mình.

Ngày 21/7, Microsoft đã phát hành một bản cập nhật bảo mật khẩn cấp quan trọng để giải quyết hai lỗ hổng bảo mật zero-day nghiêm trọng, được xác định là CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng bảo mật này có khả năng cho phép kẻ tấn công thực hiện các cuộc tấn công thực thi mã từ xa (Remote Code Execution – RCE) trên các máy chủ SharePoint, một nền tảng cộng tác doanh nghiệp phổ biến của Microsoft.

Sự việc bắt nguồn từ cuộc thi tấn công mạng Pwn2Own tại Berlin vào tháng 5, nơi các đội đã khai thác thành công một chuỗi lỗ hổng được gọi là ToolShell để chiếm quyền kiểm soát máy chủ SharePoint. Mặc dù Microsoft đã phát hành bản vá ban đầu vào Patch Tuesday tháng 7, các hacker đã nhanh chóng phát hiện ra hai lỗ hổng mới có thể vượt qua lớp bảo vệ cũ, khiến hệ thống tiếp tục đối mặt với nguy hiểm.

Các chuyên gia bảo mật cho biết hơn 54 tổ chức đã bị ảnh hưởng trực tiếp và con số này dự kiến sẽ tăng mạnh. Công ty an ninh mạng Censys ước tính có hơn 10.000 máy chủ SharePoint trên toàn cầu đang tiềm ẩn nguy cơ bị xâm nhập, đặc biệt là tại Mỹ, Hà Lan, Anh và Canada – những quốc gia có số lượng máy chủ lớn nhất.

Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cũng xác nhận lỗ hổng này cho phép kẻ tấn công truy cập hệ thống tệp, cấu hình nội bộ và thực thi mã độc từ xa mà không cần xác thực. Đội ngũ Google Threat Intelligence cảnh báo lỗ hổng này cho phép “truy cập không cần xác thực một cách liên tục”, đe dọa nghiêm trọng đến các tổ chức bị ảnh hưởng.

Công ty Palo Alto Networks gọi đây là “mối đe dọa thực sự và hiện hữu” đang diễn ra ngoài đời thực, không còn ở lý thuyết. Để giảm thiểu thiệt hại, Microsoft khuyến cáo các quản trị viên SharePoint ngay lập tức cập nhật các bản vá tương ứng với phiên bản hệ thống đang sử dụng. Thông tin chi tiết về các bản vá có thể được tìm thấy tại trang hỗ trợ của Microsoft.

Microsoft cũng cung cấp hướng dẫn cập nhật khóa máy (machine key) cho ứng dụng web bằng PowerShell hoặc Central Admin, sau đó khởi động lại IIS trên tất cả các máy chủ SharePoint. Đồng thời, các tổ chức nên tiến hành kiểm tra log hệ thống, tìm kiếm dấu vết truy cập trái phép và thực hiện phân tích mã độc để xác định và ngăn chặn các cuộc tấn công tiềm ẩn.

Lỗ hổng bảo mật nghiêm trọng trong phần mềm SharePoint của Microsoft đang gây ra những lo ngại đáng kể trong cộng đồng an ninh mạng. Được biết đến với tên gọi ‘ToolShell’, lỗ hổng zero-day này có thể cho phép các tin tặc thực hiện cuộc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng phần mềm này để chia sẻ tài liệu nội bộ.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, cho biết: “Bất kỳ ai sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều gặp phải vấn đề và đây là một lỗ hổng nghiêm trọng.” Lỗ hổng này không chỉ gây rủi ro cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ mà còn cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.

Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng đưa ra cảnh báo rằng lỗ hổng này có thể cho phép tin tặc vượt qua các bản vá trong tương lai. Trong khi đó, Microsoft xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này.

Ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng lỗ hổng vẫn đang đặt nhiều tổ chức, cá nhân vào tầm ngắm của tin tặc. Các tổ chức an ninh mạng quốc tế đã phát hiện ra cuộc tấn công quy mô lớn này đã xâm nhập hệ thống của khoảng 100 tổ chức khác nhau, bao gồm nhiều doanh nghiệp và cơ quan chính phủ.

Hầu hết các tổ chức bị ảnh hưởng đều ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ. Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này. CISA khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật.

Để đảm bảo an toàn cho hệ thống, các chuyên gia an ninh mạng khuyến nghị người dùng nên thường xuyên cập nhật các bản vá bảo mật và thực hiện các biện pháp phòng ngừa cần thiết. Đồng thời, việc tăng cường giám sát và phát hiện sớm các cuộc tấn công cũng là chìa khóa để giảm thiểu rủi ro và bảo vệ hệ thống khỏi các lỗ hổng bảo mật.

Thông tin về lỗ hổng bảo mật và các khuyến nghị từ các chuyên gia an ninh mạng sẽ giúp người dùng hiểu rõ hơn về rủi ro và cách thức phòng ngừa.

Lido thông báo về việc phát hiện một lỗ hổng bảo mật trong cơ chế RageQuit của hệ thống Quản trị Kép (DG), may mắn là không có người dùng nào bị ảnh hưởng bởi sự cố này.

Công ty đã nhanh chóng triển khai các biện pháp giảm thiểu cần thiết sau khi nhận được thông tin về lỗ hổng bảo mật thông qua nền tảng Immunefi. Lido khẳng định rằng không có quỹ người dùng nào bị tổn thất trong sự việc này. Để đảm bảo an toàn cho hệ thống, công ty đã thực hiện các bước cần thiết nhằm khắc phục và giảm thiểu rủi ro tiềm ẩn.

Quá trình thử nghiệm ban đầu của hệ thống Quản trị Kép và sự sẵn sàng can thiệp kịp thời của ủy ban khẩn cấp đã giúp ngăn chặn những rủi ro có thể xảy ra. Trong thời gian tới, ủy ban này sẽ tiếp tục đề xuất, thử nghiệm và xem xét các biện pháp khắc phục. Ngoài ra, Lido sẽ tiến hành một chương trình thử nghiệm trên mạng thử nghiệm Quản trị Kép để đảm bảo rằng hệ thống hoạt động ổn định và an toàn.

Lido cũng có kế hoạch tổ chức các cuộc bỏ phiếu trên chuỗi để triển khai các giải pháp sửa chữa cần thiết. Hiện tại, công ty đang thực hiện một cách toàn diện các biện pháp cần thiết để đảm bảo rằng hệ thống của họ hoạt động an toàn và đáng tin cậy.

Lido cam kết đảm bảo an toàn và bảo mật cho người dùng của mình. Với sự hỗ trợ từ ủy ban khẩn cấp và các chuyên gia an ninh mạng, công ty sẽ tiếp tục tăng cường các biện pháp bảo vệ để ngăn chặn những sự cố tương tự xảy ra trong tương lai.