Cơ quan chức năng Hà Tĩnh cảnh báo lỗ hổng bảo mật nghiêm trọng

Tháng 11/2025 trên không gian mạng xuất hiện nhiều chiến dịch tấn công mạng tinh vi và các lỗ hổng nghiêm trọng trên các phần mềm ứng dụng phổ biến. Đặc biệt, hệ thống quản trị mã độc tập trung ghi nhận một số loại mã độc nguy hiểm đang lây nhiễm, ảnh hưởng trực tiếp đến các cơ quan, đơn vị trên địa bàn tỉnh. Các loại virus, mã độc này có thể bị đối tượng tấn công lợi dụng để chiếm quyền điều khiển hệ thống, đánh cắp và mã hóa dữ liệu đòi tiền chuộc (ransomware). Trước tình hình đó, Công an tỉnh thông báo thông tin và hướng dẫn giải pháp khắc phục.

Các nguy cơ tấn công mạng và lỗ hổng bảo mật nghiêm trọng

Cảnh báo mã độc gián điệp tinh vi duy trì hoạt động bằng Task Scheduler (AMDHealthCheckerV12)

- Mức độ: rất nghiêm trọng.

- Mô tả: mã độc lây nhiễm thông qua các phần mềm giả mạo được người dùng tải về. Sau khi lây nhiễm, mã độc tạo một tác vụ (Scheduled Task) tên “AMDHealthCheckerV 12” để tự kích hoạt lại mỗi khi máy tính khởi động. Mã độc có khả năng vô hiệu hóa phần mềm diệt virus Windows Defender sau đó tiến hành đánh cắp thông tin tài khoản ngân hàng, ví điện tử, ghi thao tác bàn phím (keylogger), thu thập các tập tin tài liệu trên máy tính.

- Giải pháp khắc phục: Đối với quản trị viên cần khẩn trương cấu hình tường lửa (Firewall) chặn kết nối đến các tên miền độc hại sau: “sl336z.grpc- test.me”, “ltwyq.experimental-tech.com”, “gaylorr.icu”, “baumbahh.run”, “bnrgnaum.live”. Kiểm tra sự tồn tại của tác vụ Scheduled Task “AMDHealthCheckerV 12” trên các máy tính để xử lý. Đối với người dùng không tải và cài đặt các phần mềm từ các nguồn không chính thống.

Cảnh báo chiến dịch phát tán mã độc BankBot trên thiết bị di động Android

- Mức độ: nghiêm trọng.

- Mô tả: tin tặc phát tán mã độc BankBot bằng cách giả mạo các ứng dụng của chính phủ, ngân hàng, ví điện tử (như MoMo, SCB Mobile Banking, MyVIB,...) và lừa người dùng cài đặt các tệp tin “.apk” từ các trang website giả mạo. Sau khi được cài đặt và cấp quyền, mã độc có thể điều khiển hoàn toàn thiết bị di động của nạn nhân để trích xuất dữ liệu danh bạ, tin nhắn SMS, đánh cắp mật khẩu, mã OTP, chuyển tiếp cuộc gọi, chiếm quyền quản trị thiết bị để ngăn người dùng gỡ bỏ.

- Giải pháp khắc phục: tuyệt đối không cài đặt ứng dụng từ các nguồn không tin cậy bên ngoài kho ứng dụng Google Play Store. Hết sức cảnh giác với các tin nhắn, đường link lạ yêu cầu cài đặt ứng dụng. Không thực hiện các giao dịch tài chính quan trọng trên các thiết bị có dấu hiệu bất thường.

Cảnh báo các lỗ hổng bảo mật trên các phần mềm phổ biến và yêu cầu cập nhật khẩn cấp

- Mức độ: nghiêm trọng.

- Mô tả:Lỗ hổng Zero-day trên Google Chrome (CVE-2025-13223) cho phép thực thi mã từ xa đang bị tin tặc khai thác tích cực trong thực tế; lỗ hổng thực thi mã từ xa trên 7-Zip (CVE-2025-11001) đã có mã khai thác công khai (PoC) cho phép tin tặc chiếm quyền điều khiển máy tính khi người dùng giải nén một tệp tin độc hại.

- Giải pháp khắc phục: yêu cầu người dùng cập nhật ngay lập tức các phần mềm sau lên phiên bản mới nhất (Google Chrome: cập nhật lên phiên bản 142.0.7444.176 trở lên; 7-Zip: cập nhật lên phiên bản 25.00 trở lên; Winrar cũng cần nâng lên phiên bản mới nhất).

Cảnh báo chiến dịch tấn công quy mô lớn vào thiết bị định tuyến (Router) ASUS

- Mức độ: nghiêm trọng.

- Mô tả: một chiến dịch tấn công có chủ đích đang nhắm vào hơn 50.000 thiết bị Router ASUS trên toàn cầu để phục vụ cho các hoạt động gián điệp.

- Giải pháp khắc phục: quản trị viên hệ thống cần rà soát, cập nhật Firmware, thay đổi mật khẩu quản trị mặc định của các thiết bị Router ASUS, xem xét phương án thay thế các thiết bị có nguy cơ bị ảnh hưởng.

Cảnh báo nghiêm trọng thông qua hệ thống quản trị mã độc tập trung EDR trên địa bàn tỉnh

Cảnh báo mã độc Worm.Win32.FakeDoc (lây lan qua USB và các tệp tin giả mạo)

- Mức độ: nghiêm trọng.

- Mô tả: đây là loại sâu máy tính (worm) chủ yếu lây lan tự động qua các thiết bị lưu trữ USB, bên cạnh đó còn có thể lây lan qua các kênh khác như Zalo, Email. Nó tạo ra các tệp tin thực thi (.exe) giả mạo dưới dạng các tài liệu quen thuộc (Word, Excel, PDF,...) và ẩn đi các tệp tin thật. Khi người dùng mở tệp giả mạo mã độc sẽ được kích hoạt, gây ra nguy cơ lây lan trên diện rộng trong mạng nội bộ và tạo backdoor cho tin tặc xâm nhập sâu hơn vào hệ thống, từ đó có thể thực hiện các kịch bản tấn công nguy hiểm hơn như tấn công mã hóa dữ liệu (ransomware).

- Giải pháp khắc phục: Đối với quản trị viên hệ thống, cần rà soát, cách ly các máy tính có dấu hiệu nhiễm, sử dụng Group Policy để vô hiệu hóa tính năng Auto Run đối với các thiết bị USB.Đối với người dùng, cần quét virus tất cả các thiết bị USB trước khi sử dụng, bật chế độ hiển thị file ẩn để phát hiện các tệp tin đáng ngờ. Đặc biệt, phải cẩn trọng với các tệp tin gửi qua Zalo, Email có biểu tượng tài liệu nhưng có đuôi là “.exe” hoặc là dạng “Shortcut” và luôn bật phần mềm diệt virus Smart IR.

Cảnh báo mã độc lây nhiễm qua file AutoCAD (Virus.Acad.Bursted.a, Trojan.Acad.Agent.a)

- Mức độ: nghiêm trọng.

- Mô tả: đây là loại virus lây nhiễm vào môi trường làm việc của phần mềm AutoCAD. Khi người dùng mở một tệp bản vẽ bất kỳ, mã độc sẽ được kích hoạt và có khả năng đánh cắp, phá hoại các bản vẽ thiết kế, dữ liệu quy hoạch, dự án quan trọng.

- Giải pháp khắc phục: Đối với quản trị viên hệ thống cần rà soát các máy tính có cài đặt AutoCAD. Sử dụng phần mềm diệt virus để làm sạch. Kiểm tra và xóa các tệp tin độc hại (như acad.lsp, acaddoc.lsp) trong thư mục cài đặt và thư mục người dùng của AutoCAD.Đối với người dùng không mở các file bản vẽ không rõ nguồn gốc, báo cáo ngay cho bộ phận công nghệ thông tin khi phần mềm AutoCAD có các biểu hiện bất thường và luôn bật phần mềm diệt virus Smart IR.

Cảnh báo mã độc lây nhiễm qua file Excel (Virus.MSExcel.Laroux-based)

- Mức độ: nghiêm trọng.

- Mô tả: đây là loại macro-virus lây lan qua các file Microsoft Excel, đặc biệt phát tán mạnh qua ứng dụng Zalo. Khi người dùng mở file và bật tính năng “cho phép Macros” (Enable Macros) virus sẽ lây nhiễm vào hệ thống, có khả năng đánh cắp thông tin nhạy cảm và là tiền đề cho các cuộc tấn công mã hóa tống tiền (ransomware).

- Giải pháp khắc phục: Đối với quản trị viên hệ thống, cần cấu hình Group Policy để vô hiệu hóa hoặc cảnh báo nghiêm ngặt việc thực thi macro trong các văn bản Office.Đối với người dùng tuyệt đối không bấm “cho phép nội dung hoạt động” (Enable Content) hoặc “cho phép Macros” (Enable Macros) đối với các tệp tin nhận được từ nguồn không tin cậy và luôn bật phần mềm diệt virus Smart IR.