Tin tức bảo mật năm 2025 cho thấy các nhóm đe dọa liên quan đến chiến dịch xâm nhập có tổ chức đã tăng mạnh cả về số lượng lẫn độ phức tạp. Các kỹ thuật ban đầu tập trung vào RDP, VPN, chuỗi cung ứng phần mềm và social engineering để tạo điểm bám trong hệ thống mục tiêu.
Chiến dịch xâm nhập và phạm vi mục tiêu
Các chiến dịch này không mang tính ngẫu nhiên mà được triển khai có chủ đích, lặp lại và kéo dài. Mục tiêu thường là cơ quan chính phủ, tổ chức quốc phòng, hạ tầng năng lượng và các lĩnh vực trọng yếu khác, đặc biệt tại Ukraine và trên khắp châu Âu.
Theo báo cáo được chia sẻ cùng Cyber Security News, CERT-UA ghi nhận khoảng 5.927 sự cố an ninh mạng trong năm 2025, tăng 37,4% so với năm 2024. Báo cáo gốc có thể tham khảo tại NVD hoặc tài liệu báo cáo được dẫn trong nguồn.
Các nhóm hoạt động nổi bật
- UAC-0002 (Sandworm)
- UAC-0001 (APT28)
- UAC-0010 (Gamaredon)
- UAC-0190 (Void Blizzard)
Kỹ thuật ban đầu: RDP, VPN và tài khoản bị đánh cắp
RDP tiếp tục là một trong những vector xâm nhập bị lạm dụng nhiều nhất trong năm 2025. Một số trường hợp cho thấy kẻ tấn công tận dụng dịch vụ RDP phơi lộ để đẩy các biến thể ransomware như X2anylock, Warlock và LockBit 3.0 vào môi trường bị xâm nhập.
Ở một số chiến dịch, attacker sử dụng credentials bị đánh cắp mua từ các access broker trên diễn đàn darknet để đi thẳng vào môi trường mục tiêu. Cách này rút ngắn đáng kể thời gian từ initial access đến khai thác, đồng thời bỏ qua một phần cơ chế phishing truyền thống.
Đối với VPN, các thiết bị biên bị nhắm tới thông qua các lỗ hổng, bao gồm CVE-2025-20333 và CVE-2025-20362, cho phép đối tượng tạo đường hầm trực tiếp vào mạng nội bộ. Đây là một ví dụ điển hình cho lỗ hổng CVE bị khai thác trong chuỗi tấn công ban đầu.
Hướng khai thác qua hạ tầng truy cập từ xa
- Exposed RDP services.
- Thiết bị VPN chưa vá hoặc cấu hình yếu.
- Tài khoản hợp lệ bị lộ từ broker.
- Truy cập nội bộ qua thông tin đăng nhập bị mua lại.
Cảnh báo CVE trên nền tảng phổ biến
Phần đáng chú ý trong cảnh báo CVE là việc khai thác các nền tảng dùng rộng rãi. Các lỗ hổng được nêu gồm Roundcube với CVE-2024-42009 và CVE-2025-49113, Fortinet appliances với CVE-2024-55591 và CVE-2024-21762, cùng các công cụ nén như WinRAR và 7-Zip.
Các lỗ hổng cũ của Microsoft Office như CVE-2017-11882 và CVE-2017-0199 vẫn tiếp tục bị tận dụng ở những môi trường chưa cập nhật bản vá. Điều này cho thấy lỗ hổng CVE tồn đọng nhiều năm vẫn có thể tạo ra rủi ro bảo mật thực tế.
Ảnh hưởng hệ thống khi khai thác thành công
- Chiếm quyền truy cập ban đầu vào hệ thống.
- Cài đặt backdoor và duy trì hiện diện dài hạn.
- Triển khai ransomware hoặc wiper malware.
- Thu thập và trích xuất dữ liệu nhạy cảm.
Chuỗi cung ứng phần mềm và backdoor
Chuỗi cung ứng phần mềm là một lớp rủi ro an toàn thông tin quan trọng trong chiến dịch này. Đối tượng nhắm vào cơ chế cập nhật phần mềm, công cụ của bên thứ ba và nhà cung cấp dịch vụ CNTT để cài backdoor ở những điểm ít bị giám sát hơn.
Sau khi xâm nhập, các gia đình mã độc như Remcos RAT, DarkCrystal RAT, XWorm và Lumma Stealer được triển khai nhằm duy trì persistent access và phục vụ đánh cắp dữ liệu. Đây là một dạng mối đe dọa mạng có khả năng kéo dài vòng đời xâm nhập.
Payload và kỹ thuật phân phối
Payload xuất hiện dưới nhiều định dạng tệp, gồm SVG, PNG, LNK, JS và HTA. Chúng thường được lưu trữ trên các dịch vụ hợp pháp như Dropbox, Google Drive và Cloudflare Tunnels để vượt qua lớp phòng thủ mạng.
Trong nhiều trường hợp, đối tượng lạm dụng kỹ thuật Living off the Land với các công cụ sẵn có của hệ điều hành như PowerShell, certutil, mshta.exe và rundll32. Cách này giúp hoạt động trông giống thao tác hệ thống bình thường hơn và làm khó quá trình phát hiện tấn công.
PowerShell
certutil
mshta.exe
rundll32
Social engineering và các mồi nhử phishing
Social engineering tiếp tục là một trong những phương thức xâm nhập đáng tin cậy nhất trong năm 2025. Phishing lures được gửi qua các nền tảng email như Microsoft O365, Roundcube và Zimbra, đồng thời được phát tán qua các ứng dụng nhắn tin như Signal, WhatsApp và Telegram.
Các kỹ thuật như ClickFix, lời nhắc fake CAPTCHA và thủ thuật thực thi dựa trên PowerShell được dùng để phân phối mã độc mà không kích hoạt cảnh báo tức thời. Đây là một phần quan trọng của tin bảo mật mới nhất liên quan đến giai đoạn chiếm chỗ đứng ban đầu.
Biến thể phishing được ghi nhận
- OAuth phishing
- Device Code phishing nhắm vào Microsoft Teams
- App-Specific Password phishing trên tài khoản Google
- QR-code session hijacking qua kỹ thuật GhostPairing
Fake Android APK ngoài Google Play cũng được phát tán để lây nhiễm thiết bị, trong đó có công cụ CamelSpy. Tệp lừa đảo thường được ngụy trang dưới dạng nội dung hợp lệ nhằm đánh lừa người dùng thực thi.
IOC và dấu hiệu liên quan
Vì nguồn gốc nội dung không cung cấp danh sách IOC chi tiết như IP, domain, hash hay path cụ thể, phần IOC dưới đây chỉ trích xuất các chỉ dấu kỹ thuật đã xuất hiện trong mô tả chiến dịch.
- RDP dịch vụ phơi lộ.
- VPN appliance chứa lỗ hổng CVE-2025-20333 và CVE-2025-20362.
- Họ mã độc: Remcos RAT, DarkCrystal RAT, XWorm, Lumma Stealer.
- Biến thể ransomware: X2anylock, Warlock, LockBit 3.0.
- Định dạng payload: SVG, PNG, LNK, JS, HTA.
Biện pháp phòng vệ và giảm thiểu rủi ro
Để giảm rủi ro bảo mật, tổ chức cần thực thi multi-factor authentication, áp dụng Zero Trust architecture và sử dụng Protective DNS để chặn domain độc hại. Đồng thời, cần duy trì cập nhật bản vá cho cả lỗ hổng mới lẫn các hệ thống cũ còn tồn tại trong môi trường.
Nhân sự vận hành cần được đào tạo định kỳ để nhận biết mồi nhử social engineering, đặc biệt là các mồi liên quan đến email, ứng dụng nhắn tin và CAPTCHA giả. Việc giới hạn RDP access và theo dõi hành vi bất thường từ các công cụ tích hợp sẵn của hệ điều hành là yêu cầu tối thiểu trong phát hiện xâm nhập.
# Ví dụ định hướng kiểm soát truy cập RDP và giám sát công cụ hệ thống
# Chỉ cho phép kết nối từ dải IP quản trị tin cậy
# Theo dõi PowerShell, certutil, mshta.exe, rundll32
Trong bối cảnh lỗ hổng CVE vẫn bị khai thác song song với phishing và chuỗi cung ứng, việc ưu tiên vá lỗi, siết truy cập từ xa và giám sát hành vi LOLBins là ba lớp kiểm soát cần được duy trì liên tục.
