Hotline: 0917111899 - 0914140366 hoặc kinhdoanh@itw.vn

Icon heart
0
Icon cart 0

Các điệp viên tấn công các máy chủ email có giá trị cao bằng một lỗ hổng bảo mật từ thời xưa.

Tác giả tanthanh 10/02/2026 8 phút đọc

Các tác nhân đe dọa, có khả năng được chính phủ Nga hỗ trợ, đã tấn công nhiều máy chủ thư có giá trị cao trên khắp thế giới bằng cách khai thác các lỗ hổng XSS, một loại lỗi nằm trong số những lỗi được khai thác phổ biến nhất trong nhiều thập kỷ qua.

XSS là viết tắt của cross-site scripting. Các lỗ hổng xuất phát từ các lỗi lập trình được tìm thấy trong phần mềm máy chủ web, khi bị khai thác, cho phép kẻ tấn công thực thi mã độc trong trình duyệt của những người truy cập trang web bị ảnh hưởng. XSS lần đầu tiên được chú ý vào năm 2005, với việc tạo ra Giun Samy, điều này đã khiến MySpace không còn hoạt động khi bổ sung hơn một triệu bạn bè MySpace cho một người dùng tên Samy. Khai thác XSS rất nhiều trong thập kỷ tiếp theo và đã dần dần thất bại gần đây, mặc dù lớp tấn công này tiếp tục ngay bây giờ.

Chỉ cần thêm JavaScript

Vào thứ Năm, công ty bảo mật ESET báo cáo sednit đó, một nhóm hack được Điện Kremlin hậu thuẫn cũng theo dõi là APT28, Fancy Bear, Forest Blizzard và Sofacy— đã giành được quyền truy cập vào các tài khoản email có giá trị cao bằng cách khai thác lỗ hổng XSS trong phần mềm máy chủ thư từ bốn nhà sản xuất khác nhau. Những gói đó là: Roundcube, MDaemon, Horde và Zimbra.

Các vụ hack gần đây nhất nhắm vào các máy chủ thư được sử dụng bởi các nhà thầu quốc phòng ở Bulgaria và Romania, một số trong đó đang sản xuất vũ khí thời Liên Xô để sử dụng ở Ukraine khi nước này chống lại cuộc xâm lược từ Nga. Các tổ chức chính phủ ở những quốc gia này cũng là mục tiêu. Các mục tiêu khác bao gồm các chính phủ ở Châu Phi, Liên minh Châu Âu và Nam Mỹ.

RoundPress, như ESET đã đặt tên cho hoạt động này, đã cung cấp các hoạt động khai thác XSS thông qua các email lừa đảo trực tuyến. Ẩn bên trong một số HTML trong email là một khai thác XSS. Năm 2023, ESET quan sát Sednit khai thác CVE-2023-43770, một lỗ hổng đã được vá trong Roundcube. Một năm sau, ESET theo dõi Sednit khai thác các lỗ hổng XSS khác nhau trong Horde, MDaemon và Zimbra. Một trong những lỗ hổng hiện đã được vá, từ MDaemon, là zero-day vào thời điểm Sednit khai thác nó.

JavaScript có trong các phần HTML của email đã khai thác các lỗ hổng được tích hợp trong các máy chủ thư khác nhau. Việc khai thác XSS cho phép kẻ tấn công kiểm soát mã chạy trong trình duyệt khi nó truy cập một trang web bị ảnh hưởng. Mã Sednit khiến các ứng dụng thư khách gửi danh bạ và email trước đó đến các máy chủ do kẻ tấn công kiểm soát. Trong một số trường hợp, nó cũng tạo ra một quy tắc sàng điều đó sẽ chuyển tiếp tất cả các email nhận được trong tương lai đến địa chỉ Sednit.

Giống như hầu hết các khai thác XSS, Sednit JavaScript chỉ chạy khi ai đó xem email độc hại từ một phiên bản webmail dễ bị tấn công. Về mặt này, sự lây nhiễm không tồn tại dai dẳng, mặc dù JavaScript có thể chạy đi chạy lại miễn là email được mở lại.

roundpress-exploit-chain-640x541
Chuỗi khai thác Operation RoundPress. Credit: ESET
ESET đã viết:

Nói chung, thông điệp email trông lành tính và chứa văn bản về các sự kiện tin tức. Ví dụ: vào ngày 11 tháng 9 năm 2024, một mục tiêu người Ukraine đã nhận được email lừa đảo từ kyivinfo24@ukr[.]net với chủ đề СБУ
схопила банкіра, який працював на ворожу воСнну розвідку в Харкові (máy dịch: SBU bắt giữ một nhân viên ngân hàng làm việc cho tình báo quân sự đối phương ở Kharkiv). Nội dung tin nhắn – xem Hình 3 – chứa các đoạn trích (bằng tiếng Ukraina) và liên kết đến các bài báo từ Kyiv Post, một tờ báo nổi tiếng ở Ukraine. Mã độc gây ra lỗ hổng XSS nằm bên trong mã HTML của nội dung thư email và không hiển thị trực tiếp với người dùng.

Một số lỗ hổng được khai thác trong Operation RoundPress đã được vá từ nhiều năm trước nhưng bị một số tổ chức mục tiêu bỏ qua. Như đã lưu ý trước đó, một trong những lỗ hổng đã bị khai thác như một zeroday. Một lỗ hổng bị khai thác chống lại Zimbra chỉ mới được vá gần đây.

Sự phụ thuộc của Sednit vào các khai thác XSS để ăn cắp bí mật email nghe giống như một cái gì đó từ một hoặc hai thập kỷ trước. Những kiểu khai thác này trong tự nhiên không phải là chuyện thường xuyên xảy ra trong những năm gần đây, mặc dù chúng vẫn tồn tại, đặc biệt là trong các cơ sở phần mềm cũ kỹ.

Tác giả tanthanh Admin
Bài viết trước Tính năng mới quan trọng nhất của Windows 11 là mật mã hậu lượng tử. Sau đây là lý do.

Tính năng mới quan trọng nhất của Windows 11 là mật mã hậu lượng tử. Sau đây là lý do.
Bài viết tiếp theo

Microsoft ngừng cung cấp driver cho các máy in cũ thông qua Windows Update

Microsoft ngừng cung cấp driver cho các máy in cũ thông qua Windows Update
Viết bình luận
Thêm bình luận

Bài viết liên quan

Tính năng mới quan trọng nhất của Windows 11 là mật mã hậu lượng tử. Sau đây là lý do. Phần mềm & Bảo mật
10/02/2026

Tính năng mới quan trọng nhất của Windows 11 là mật mã hậu lượng tử. Sau đây là lý do.

Microsoft đang cập nhật Windows 11 với một bộ thuật toán mã hóa mới có thể chịu được các cuộc tấn ...

“Microsoft chỉ đơn giản là không cung cấp cho chúng tôi tùy chọn nào khác,” Signal nói khi chặn Windows Recall Phần mềm & Bảo mật
10/02/2026

“Microsoft chỉ đơn giản là không cung cấp cho chúng tôi tùy chọn nào khác,” Signal nói khi chặn Windows Recall

Signal Messenger đang cảnh báo người dùng phiên bản Windows Desktop rằng quyền riêng tư trong tin ...

Các nhà chức trách thực hiện chiến dịch triệt phá quy mô toàn cầu nhắm vào loại mã độc đánh cắp thông tin đang bị tội phạm mạng sử dụng. Phần mềm & Bảo mật
10/02/2026

Các nhà chức trách thực hiện chiến dịch triệt phá quy mô toàn cầu nhắm vào loại mã độc đánh cắp thông tin đang bị tội phạm mạng sử dụng.

Một tập đoàn của các cơ quan thực thi pháp luật toàn cầu và các công ty công nghệ đã thông báo vào ...

Google giới thiệu chế độ Bảo vệ nâng cao dành cho những người dùng Android có nguy cơ cao nhất. Phần mềm & Bảo mật
10/02/2026

Google giới thiệu chế độ Bảo vệ nâng cao dành cho những người dùng Android có nguy cơ cao nhất.

Google đang thêm một thiết lập bảo mật mới cho Android để cung cấp thêm một lớp kháng chiến chống ...

Phương thức tấn công mới có thể đánh cắp tiền điện tử bằng cách cài đặt ký ức giả vào chatbot AI Phần mềm & Bảo mật
10/02/2026

Phương thức tấn công mới có thể đánh cắp tiền điện tử bằng cách cài đặt ký ức giả vào chatbot AI

Hãy tưởng tượng một thế giới nơi các bot được hỗ trợ bởi AI có thể mua hoặc bán tiền điện tử, thực ...

Máy tính của kỹ sư phần mềm DOGE bị nhiễm phần mềm độc hại đánh cắp thông tin. Phần mềm & Bảo mật
10/02/2026

Máy tính của kỹ sư phần mềm DOGE bị nhiễm phần mềm độc hại đánh cắp thông tin.

Thông tin đăng nhập của một nhân viên tại cả Cơ quan An ninh mạng và Cơ sở hạ tầng cũng như Bộ Hiệu ...

Thông báo

0917111899

Menu

Ngành hàng

Hotline

0917111899 - 0914140366

Email

kinhdoanh@itw.vn

Copyright 2025 © THẾ GIỚI TIN HỌC