Trong những diễn biến gần đây, các hoạt động mạng phức tạp đã gia tăng đáng kể, cho thấy sự thay đổi chiến thuật của các nhóm tấn công. Các tổ chức tại Hoa Kỳ và Canada đã phải đối mặt với các cuộc xâm nhập mạng kéo dài, trong khi các hệ thống camera giám sát kết nối Internet ở khu vực Trung Đông cũng trở thành mục tiêu thu thập thông tin tình báo chiến trường. Đây là một mối đe dọa mạng đa chiều đòi hỏi sự cảnh giác cao độ từ các chuyên gia bảo mật.
Xâm Nhập Mạng Lưới Tại Bắc Mỹ Bằng Mã Độc Tinh Vi
Một nhóm APT đã duy trì quyền truy cập trái phép vào nhiều tổ chức của Hoa Kỳ và Canada kể từ tháng 2 năm 2026. Các mục tiêu bao gồm những ngành quan trọng như ngân hàng, hàng không, chuỗi cung ứng quốc phòng và các tổ chức phi lợi nhuận. Những cuộc tấn công này được phát hiện thông qua các báo cáo từ Symantec và Carbon Black.
Chiến Thuật Gián Điệp Bền Bỉ của Nhóm APT MuddyWater
Các nhà điều tra đã phát hiện ra rằng nhóm tấn công MuddyWater đã triển khai các mã độc chưa được ghi nhận để thiết lập các điểm truy cập bền bỉ trong môi trường nạn nhân. Chiến dịch này dường như tập trung vào việc thu thập thông tin tình báo dài hạn, thay vì gây gián đoạn ngay lập tức. Đây là một dấu hiệu đặc trưng của các chiến dịch gián điệp mạng tinh vi.
Các nhà phân tích đã xác định nhiều họ mã độc liên quan đến các hoạt động của MuddyWater nhắm vào các thực thể Hoa Kỳ, bao gồm Dindoor, Fakeset, Stagecomp và Darkcomp.
- Backdoor Dindoor: Được triển khai trong mạng lưới của một công ty phần mềm Hoa Kỳ phục vụ khách hàng quốc phòng và hàng không vũ trụ. Nó sử dụng môi trường thực thi Deno cho JavaScript và TypeScript để thực thi lệnh và duy trì quyền truy cập.
- Backdoor Fakeset: Một backdoor dựa trên Python, được tìm thấy trên mạng lưới của một sân bay Hoa Kỳ và một tổ chức phi lợi nhuận. Cả hai công cụ đều được thiết kế để ẩn mình và duy trì các điểm truy cập lâu dài. Bạn có thể tìm hiểu thêm về các loại backdoor tương tự tại nguồn tham khảo.
Khai Thác Camera Giám Sát Kết Nối Internet
Ngoài việc xâm nhập mạng lưới, một hạ tầng mạng liên quan đến nhóm tấn công đã phát động một làn sóng quét các camera giám sát kết nối Internet bắt đầu từ ngày 28 tháng 2 năm 2026. Các nhà nghiên cứu của Check Point đã quan sát thấy sự gia tăng này trong các nỗ lực khai thác, nhắm mục tiêu vào các camera Hikvision và Dahua được triển khai trong các môi trường thương mại, chính phủ và thành phố trong khu vực.
Mục Tiêu và Phương Pháp Khai Thác
Hoạt động quét đã tấn công nhiều địa điểm trong khu vực Trung Đông. Thời điểm này trùng khớp với sự khởi đầu của các xung đột khu vực lớn, biến những cuộc xâm nhập camera này thành một phần quan trọng trong chiến lược thu thập thông tin tình báo chiến trường của các tác nhân tấn công. Bằng cách thỏa hiệp các thiết bị Hikvision và Dahua thông qua các lỗ hổng CVE đã biết, các tác nhân tấn công có thể giám sát các địa điểm, theo dõi các chuyển động của lực lượng phản ứng khẩn cấp và đánh giá thiệt hại sau các cuộc tấn công.
Các lỗ hổng CVE chính được khai thác trong chiến dịch này bao gồm:
- CVE-2017-7921: Một lỗi xác thực không đúng cách trong firmware của Hikvision. Chi tiết về lỗ hổng này có thể được tìm thấy tại NVD NIST.
- CVE-2021-33044: Một lỗ hổng bỏ qua xác thực trong các thiết bị Dahua.
Việc lặp lại chiến thuật này vào đầu năm 2026 cho thấy các tác nhân tấn công coi việc khai thác camera IP là một công cụ tình báo đáng tin cậy, chi phí thấp. Những thiết bị này thường chạy firmware lỗi thời và nằm ngoài tầm giám sát an ninh doanh nghiệp tiêu chuẩn, khiến chúng trở thành mục tiêu dễ dàng với giá trị hoạt động cao.
Tấn Công Phá Hoại và Rò Rỉ Dữ Liệu
Một nhóm tin tặc khác, Handala, cũng đã tuyên bố thực hiện một cuộc tấn công mạng phá hoại chống lại Stryker, một công ty công nghệ y tế thuộc Fortune 500. Kẻ tấn công được cho là đã đánh cắp khoảng 50 terabyte dữ liệu trước khi triển khai mã độc wiper trên mạng lưới toàn cầu của công ty.
Hệ Quả Nghiêm Trọng Của Mã Độc Wiper
Các máy tính xách tay và thiết bị di động của công ty được đăng ký trong hệ thống quản lý doanh nghiệp đã bị xóa dữ liệu từ xa, buộc một số địa điểm phải quay lại quy trình thủ công. Cuộc tấn công này nhấn mạnh vai trò mở rộng của các nhóm được ủy quyền trong các hoạt động mạng lớn hơn, tạo ra một mối đe dọa mạng đáng kể cho nhiều ngành nghề.
Các Chỉ Số Thỏa Hiệp (IOCs) và Biện Pháp Giảm Thiểu
Để đối phó với những mối đe dọa mạng đang phát triển, việc nhận diện các chỉ số thỏa hiệp và triển khai các biện pháp phòng ngừa là cực kỳ quan trọng.
Chỉ Số Thỏa Hiệp (IOCs)
Các chỉ số thỏa hiệp liên quan đến các chiến dịch đã nêu bao gồm:
- Mã độc backdoor: Dindoor, Fakeset, Stagecomp, Darkcomp.
- Lỗ hổng CVE được khai thác: CVE-2017-7921, CVE-2021-33044, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067.
- Hoạt động đáng ngờ: Hoạt động bất thường của môi trường thực thi Deno, các tiến trình Python không mong muốn, và lưu lượng Rclone đi ra có thể chỉ ra việc rò rỉ dữ liệu.
- Chữ ký số: Các mẫu mã độc được ký bằng chứng chỉ số đã từng liên kết với nhóm MuddyWater.
Chiến Lược Bảo Vệ và Vá Lỗi
Để tăng cường an ninh mạng và bảo vệ hệ thống khỏi những mối đe dọa mạng này, các tổ chức cần thực hiện các bước sau:
- Cập nhật bản vá bảo mật: Các tổ chức sử dụng camera Hikvision hoặc Dahua cần áp dụng tất cả các bản vá bảo mật firmware có sẵn ngay lập tức. Đặc biệt là các bản vá giải quyết CVE-2017-7921, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067, và CVE-2021-33044.
- Phân đoạn mạng: Hệ thống camera nên được cô lập khỏi mạng doanh nghiệp cốt lõi thông qua phân đoạn mạng phù hợp để chặn di chuyển ngang trong trường hợp bị thỏa hiệp.
- Tắt tính năng không cần thiết: Các tính năng truy cập từ xa không cần thiết nên được vô hiệu hóa.
- Xác thực mạnh mẽ: Thực thi xác thực mạnh mẽ trên tất cả các thiết bị được kết nối để giảm thiểu nguy cơ xâm nhập trái phép.
- Giám sát lưu lượng mạng: Các đội ngũ an ninh mạng nên giám sát lưu lượng đi ra bất thường từ hệ thống camera, vì đây có thể là dấu hiệu của việc khai thác đang diễn ra.
- Phát hiện mã độc: Đối với các tổ chức trong các lĩnh vực bị MuddyWater nhắm mục tiêu (ngân hàng, hàng không, quốc phòng và y tế), việc phát hiện các công cụ như Dindoor và Fakeset đòi hỏi phải theo dõi hoạt động Deno runtime bất thường, các tiến trình Python không mong muốn và lưu lượng Rclone đi ra.
- Kiểm tra chứng chỉ và lưu lượng: Phát hiện dựa trên chứng chỉ và kiểm tra lưu lượng nên là một phần của bất kỳ chiến lược phòng thủ nào, đặc biệt khi các mẫu mã độc có chữ ký số liên quan đến nhóm tấn công.
- Phản ứng sự cố: Các đội phản ứng sự cố nên coi các điểm truy cập này là rủi ro ưu tiên cao trong bối cảnh địa chính trị hiện tại.
