Nhóm tấn công APT: Salt Typhoon và mối nguy hiểm đáng lo ngại
Trong năm 2025, các nhóm APT tiếp tục gia tăng mức độ tấn công của mình, với nhóm Salt Typhoon từ Trung Quốc nổi bật là một trong những mối đe dọa chính. Nhóm này chủ yếu nhắm vào các tổ chức viễn thông và chính phủ, sử dụng các kỹ thuật tấn công tinh vi để xâm nhập và duy trì quyền truy cập lâu dài vào các hệ thống mục tiêu. Điều này không chỉ đặt ra mối nguy cho các tổ chức cụ thể mà còn đe dọa tới an ninh quốc gia. Bằng cách khai thác các lỗ hổng chưa được vá, Salt Typhoon đã có thể xâm nhập vào các hệ thống quan trọng và thu thập dữ liệu tình báo trong thời gian dài mà không bị phát hiện.
Điều này cho thấy mối đe dọa từ các nhóm APT không chỉ giới hạn ở việc xâm nhập ban đầu mà còn bao gồm các chiến lược duy trì quyền kiểm soát liên tục, khiến các tổ chức khó có thể nhận diện và loại bỏ hoàn toàn kẻ tấn công. Việc thiếu các biện pháp bảo vệ chủ động, chẳng hạn như hệ thống phát hiện hành vi bất thường, đã tạo điều kiện thuận lợi cho những chiến dịch dài hạn này.
Lỗ hổng phần mềm: React2Shell
Một trong những mối đe dọa nổi bật trong năm 2025 là lỗ hổng React2Shell, với mức điểm CVSS (Common Vulnerability Scoring System) đạt mức tối đa 10. Lỗ hổng này ảnh hưởng đến nhiều ứng dụng và dịch vụ sử dụng React, một framework phát triển web phổ biến. Khi lỗ hổng được phát hiện, các cuộc tấn công đã được thực hiện chỉ trong vài giờ đồng hồ, khi kẻ tấn công khai thác lỗ hổng để chiếm quyền điều khiển các ứng dụng web và thu thập dữ liệu từ các tổ chức sử dụng React trong môi trường sản xuất.
Điều đáng lo ngại là React và các framework tương tự được sử dụng rộng rãi trong hầu hết các ứng dụng hiện đại, khiến lỗ hổng này trở thành một mục tiêu hấp dẫn cho các cuộc tấn công mạng. Các tổ chức không nhanh chóng cập nhật và vá lỗi đã tạo ra một cơ hội lớn cho kẻ tấn công, đặc biệt là khi các lỗ hổng phần mềm liên quan đến các framework phổ biến có thể dẫn đến những cuộc tấn công toàn diện.
Tấn công malware tự nhân bản: Shai‑Hulud
Shai‑Hulud là một loại malware tự nhân bản, có khả năng lây lan qua các thành phần phần mềm mã nguồn mở mà lập trình viên thường tin tưởng. Một khi người dùng tải về gói mã bị nhiễm, malware này sẽ tự động phát tán sang các phần mềm phụ thuộc, gây ra sự lây lan không chỉ trong hệ thống của nạn nhân mà còn trong toàn bộ hệ sinh thái phần mềm của tổ chức đó. Mức độ lan tỏa này đặc biệt nguy hiểm vì nó có thể ảnh hưởng đến nhiều hệ thống khác nhau, tạo ra một cuộc tấn công không thể kiểm soát.
Với sự gia tăng sử dụng phần mềm mã nguồn mở trong các tổ chức, rủi ro này càng trở nên đáng lo ngại. Shai‑Hulud cho thấy tầm quan trọng của việc kiểm tra và xác thực các gói mã nguồn mở, cũng như cần thiết phải duy trì các chiến lược bảo mật chặt chẽ khi triển khai và duy trì phần mềm từ nguồn bên ngoài.
Tấn công vào hệ thống SaaS: Lợi dụng GitHub và OAuth Token
Các cuộc tấn công vào các hệ thống SaaS (Software-as-a-Service) cũng đã trở thành một mối đe dọa lớn trong năm 2025. Một trong những kỹ thuật phổ biến là khai thác sự thiếu an toàn trong việc sử dụng OAuth token. Kẻ tấn công lợi dụng sự lỏng lẻo trong quản lý quyền truy cập của GitHub và lấy cắp các token OAuth để xâm nhập vào tài khoản doanh nghiệp trên các hệ thống SaaS như Salesforce. Việc khai thác token OAuth khiến kẻ tấn công có thể truy cập vào các tài khoản của tổ chức mà không cần phải vượt qua các biện pháp bảo vệ ban đầu.
Sự phổ biến của các hệ thống SaaS và việc sử dụng GitHub làm công cụ chia sẻ mã nguồn đã tạo ra một bề mặt tấn công lớn, dễ dàng bị lợi dụng nếu không có các biện pháp bảo vệ mạnh mẽ như xác thực đa yếu tố (MFA) hoặc mã hóa các token quan trọng. Các tổ chức cần phải chú trọng bảo mật toàn diện trong các nền tảng SaaS, bao gồm việc bảo vệ truy cập API và giám sát chặt chẽ các hành vi bất thường.
Tấn công vào chuỗi cung ứng phần mềm: Mối nguy cơ từ các công cụ kết nối
Một mối đe dọa khác xuất hiện trong năm 2025 là các cuộc tấn công nhắm vào chuỗi cung ứng phần mềm, đặc biệt là những cuộc tấn công vào các công cụ kết nối giữa các thành phần trong hệ thống phát triển phần mềm. Kẻ tấn công khai thác các công cụ quản lý mã nguồn và liên kết giữa chúng với các hệ thống để chèn mã độc vào quá trình phát triển và triển khai phần mềm. Điều này làm gia tăng nguy cơ xâm nhập và tấn công các hệ thống quan trọng mà không bị phát hiện.
Bối cảnh này cho thấy việc bảo mật không chỉ cần thiết cho các ứng dụng cuối mà còn cho cả các công cụ và quy trình giúp phát triển và triển khai phần mềm. Để phòng tránh nguy cơ này, các tổ chức cần duy trì quy trình kiểm tra bảo mật nghiêm ngặt đối với toàn bộ chuỗi cung ứng phần mềm, bao gồm cả các công cụ và môi trường phát triển.
Năm 2025 chứng kiến một loạt mối đe dọa mới và các kỹ thuật tấn công ngày càng tinh vi hơn trong không gian an ninh mạng. Các nhóm APT như Salt Typhoon, các lỗ hổng phần mềm như React2Shell và các cuộc tấn công malware tự nhân bản đã làm rõ sự phức tạp trong bảo mật mạng hiện nay. Các tổ chức cần xây dựng các chiến lược phòng thủ chủ động, bao gồm việc kiểm soát chuỗi cung ứng phần mềm, bảo vệ hệ thống SaaS, và duy trì các biện pháp bảo mật mạnh mẽ như xác thực đa yếu tố (MFA) và giám sát hành vi bất thường. Chỉ bằng cách kết hợp các biện pháp bảo mật toàn diện, các tổ chức mới có thể đối phó với các mối đe dọa đa dạng và không ngừng gia tăng trong thế giới an ninh mạng.
https://antoanthongtin.vn/tin/5-moi-de-doa-bao-mat-noi-bat-nam-2025-tu-salt-typhoon-den-shai-hulud-va-he-qua-an-ninh-toan-cau |