Một kỹ thuật tấn công mới mang tên Policy Puppetry vừa được công bố, cho phép khai thác lỗ hổng trong cơ chế kiểm soát an toàn của hầu hết các mô hình AI tạo sinh (gen-AI) lớn hiện nay. Policy Puppetry tận dụng kỹ thuật prompt injection tạo các prompt sao cho mô hình…

Lỗ hổng zero-day nghiêm trọng CVE-2025-31324 (CVSS 10.0)đang bị tin tặc tích cực khai thác ngoài thực tế để tấn công các hệ thống sử dụng SAP NetWeaver Visual Composer MetadataUploader. Đây là một lỗ hổng đặc biệt nguy hiểm khi cho phép kẻ tấn công không cần xác thực vẫn có thể tải lên…

Compromise Assessment – Lớp phòng vệ tiên phong cho doanh nghiệp trước sự gia tăng của các mối đe dọa mạng tinh vi và khó truy vết, khả năng phát hiện sớm dấu hiệu xâm nhập đã trở thành yêu cầu thiết yếu trong bảo vệ hạ tầng CNTT doanh nghiệp. Những giải pháp truyền…

Các nhà nghiên cứu an ninh mạng vừa công bố một rootkit proof-of-concept (PoC) có tên Curing, khai thác cơ chế I/O bất đồng bộ của Linux – được gọi là io_uring – nhằm vượt qua các phương pháp giám sát truyền thống dựa trên system call – vốn là nền tảng của nhiều giải…

Vishing – hay còn gọi là voice phishing – đang nổi lên như một trong những chiến thuật xâm nhập hiệu quả nhất mà các nhóm tội phạm mạng (eCrime) sử dụng trong năm 2024. Không còn là chiêu trò đơn lẻ, vishing đã phát triển thành các chiến dịch có tổ chức, với kịch…

Một chiến dịch phishing được đánh giá là “cực kỳ tinh vi” vừa bị phát hiện khi kẻ tấn công sử dụng hạ tầng hợp pháp của Google để gửi email giả mạo, dẫn dụ người dùng đến các trang web lừa đảo nhằm chiếm đoạt thông tin đăng nhập.  Trong chiến dịch này, các…

Hàng trăm nhân viên của Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã nhận được thông báo một số công cụ quan trọng phục vụ cho hoạt động truy vết mối đe dọa mạng sẽ bị ngừng sử dụng. Thông báo được đưa ra trong bối cảnh CISA đang…

Phishing – hình thức lừa đảo từ lâu đã không còn là chiêu trò sơ sài với email giả mạo gửi tràn lan. Mặc dù các doanh nghiệp đã đầu tư mạnh tay vào hệ thống phòng thủ, thực tế cho thấy các chiến dịch phishing ngày nay vẫn dễ dàng vượt qua những lớp…

Chuyên gia bảo mật đã lên tiếng về tin giả gần đây, khẳng định nếu người dùng chỉ bấm vào đường dẫn xem clip thì không thể dẫn đến mất quyền kiểm soát điện thoại. Tuy nhiên, thao tác này có thể mở đầu chuỗi dẫn dụ của kẻ xấu để lừa chiếm đoạt tài…

Nhóm FortiGuard Labs mới đây đã phát hiện RustoBot, một loại botnet mới được viết bằng ngôn ngữ Rust – vốn được biết đến với khả năng an toàn bộ nhớ và hiệu năng cao. RustoBot khai thác các lỗ hổng trong thiết bị router TOTOLINK và DrayTek, nhắm đến hạ tầng công nghệ tại…

Một chiến dịch tấn công mới vừa được Unit 42 của Palo Alto Networks phát hiện đã sử dụng chuỗi lây nhiễm đa tầng để phát tán các dòng mã độc nguy hiểm như Agent Tesla, Remcos RAT và XLoader. Điểm đặc biệt của chiến dịch này không nằm ở kỹ thuật mã hóa tinh…

Một lỗ hổng bảo mật nghiêm trọng CVE-2025-32433 (CVSS 10) vừa được phát hiện trong thư viện SSH của Erlang/Open Telecom Platform (OTP) – nền tảng thường được sử dụng trong các hệ thống có độ sẵn sàng cao. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý mà không cần…