MinhSec
Writer
Quý 3 năm 2025 ghi nhận sự bùng nổ đáng ngại của phần mềm độc hại khi các nhóm tấn công đẩy mạnh hoạt động kiếm tiền nhanh và truy cập ban đầu vào hệ thống doanh nghiệp. Báo cáo Xu hướng Phần mềm độc hại của ANY.RUN cho thấy số lượng các mối đe dọa bị điều tra trong Sandbox tăng tới 21,6% so với quý 2 cao gấp đôi tốc độ tăng trưởng giai đoạn trước.
Không chỉ số lượng tăng, mức độ nguy hiểm cũng leo thang: phán quyết độc hại tăng 18% và số lượng IOC được trích xuất tăng 32,8%, giúp làm giàu dữ liệu tình báo mối đe dọa trên nền tảng Threat Intelligence của ANY.RUN.
1. Lumma Stealer – 9.664 phát hiện
2. AgentTesla – 5.337 phát hiện
3. Xworm RAT – 5.085 phát hiện
Cả ba đều được thiết kế cho mục tiêu chính: thu thập dữ liệu đăng nhập, chiếm quyền truy cập và mở đường cho các cuộc tấn công tiếp theo.
Nguy hiểm hơn, chỉ một thiết bị nhiễm Lumma cũng có thể kéo theo xâm nhập tài khoản doanh nghiệp, truy cập trái phép hệ thống SaaS và đánh cắp tài sản mà không hề kích hoạt các tín hiệu ransomware quen thuộc.
Lumma thay đổi cơ sở hạ tầng liên tục, xoay vòng tên miền và máy chủ C2 khiến việc truy vết gặp nhiều khó khăn. TI Lookup giúp các nhà phân tích nhận diện IOC mới theo thời gian thực nhờ dữ liệu được tạo ra từ hàng nghìn phiên sandbox.
Phần mềm độc hại này xuất hiện dày đặc trong các ngành vận tải, giáo dục và các lĩnh vực có giao tiếp email lớn. Nhờ dễ sử dụng và rào cản thấp, nó trở thành lựa chọn yêu thích của các nhóm tội phạm mạng nhỏ lẻ.
TI Lookup cho phép phát hiện nhanh dấu hiệu AgentTesla trong mạng, thông qua việc truy vấn tên miền và xem trực tiếp chuỗi tấn công được ghi lại trong Sandbox.
Nhiễm Xworm thường là tín hiệu cho thấy môi trường đã bị đột nhập nghiêm trọng và rất dễ dẫn tới ransomware. Các ngành du lịch, sản xuất và y tế đang là mục tiêu hàng đầu.
TI Lookup cho phép theo dõi hoạt động Xworm theo từng khu vực, giúp SOC nắm bắt xu hướng tấn công theo địa lý.
Thông qua dữ liệu thời gian thực và sandbox tương tác, TI Lookup giúp SOC rút ngắn thời gian phân tích, nâng cao độ chính xác và chuyển từ thế đối phó sang phòng thủ chủ động.
Trong bối cảnh mối đe dọa ngày càng phức tạp, việc có được một hệ thống tình báo mạnh mẽ là yếu tố sống còn để doanh nghiệp luôn đi trước kẻ tấn công một bước.(hackread.com)
hackread.com
Không chỉ số lượng tăng, mức độ nguy hiểm cũng leo thang: phán quyết độc hại tăng 18% và số lượng IOC được trích xuất tăng 32,8%, giúp làm giàu dữ liệu tình báo mối đe dọa trên nền tảng Threat Intelligence của ANY.RUN.
Ba mối đe dọa chiếm ưu thế: đánh cắp dữ liệu và kiểm soát từ xa
Báo cáo ghi nhận ba họ phần mềm độc hại đang gây áp lực lớn nhất lên các nhóm SOC nhờ khả năng đánh cắp thông tin nhạy cảm và thiết lập quyền kiểm soát hệ thống:1. Lumma Stealer – 9.664 phát hiện
2. AgentTesla – 5.337 phát hiện
3. Xworm RAT – 5.085 phát hiện
Cả ba đều được thiết kế cho mục tiêu chính: thu thập dữ liệu đăng nhập, chiếm quyền truy cập và mở đường cho các cuộc tấn công tiếp theo.
Lumma Stealer “cỗ máy” hút thông tin xác thực
Lumma tiếp tục là mối đe dọa nổi bật nhất. Nó nhắm vào dữ liệu cực kỳ nhạy cảm như mật khẩu lưu trong trình duyệt, ví tiền điện tử, thông tin thẻ tín dụng và cookie phiên. Các ngành tài chính và thương mại ở châu Âu – Bắc Mỹ đang là mục tiêu chính do giá trị dữ liệu cao.Nguy hiểm hơn, chỉ một thiết bị nhiễm Lumma cũng có thể kéo theo xâm nhập tài khoản doanh nghiệp, truy cập trái phép hệ thống SaaS và đánh cắp tài sản mà không hề kích hoạt các tín hiệu ransomware quen thuộc.
Lumma thay đổi cơ sở hạ tầng liên tục, xoay vòng tên miền và máy chủ C2 khiến việc truy vết gặp nhiều khó khăn. TI Lookup giúp các nhà phân tích nhận diện IOC mới theo thời gian thực nhờ dữ liệu được tạo ra từ hàng nghìn phiên sandbox.
AgentTesla hoạt động tăng gấp đôi chỉ trong một quý
AgentTesla là công cụ đánh cắp thông tin cực kỳ phổ biến, từ keylogging, giám sát clipboard tới lấy thông tin đăng nhập email và trình duyệt. Trong quý 3, hoạt động của AgentTesla tăng gấp đôi mức tăng mạnh nhất trong năm 2025.Phần mềm độc hại này xuất hiện dày đặc trong các ngành vận tải, giáo dục và các lĩnh vực có giao tiếp email lớn. Nhờ dễ sử dụng và rào cản thấp, nó trở thành lựa chọn yêu thích của các nhóm tội phạm mạng nhỏ lẻ.
TI Lookup cho phép phát hiện nhanh dấu hiệu AgentTesla trong mạng, thông qua việc truy vấn tên miền và xem trực tiếp chuỗi tấn công được ghi lại trong Sandbox.
Xworm RAT linh hoạt, bí mật và cực kỳ nguy hiểm
Xworm là một RAT dạng mô-đun, thường xuất hiện trong giai đoạn xâm nhập ban đầu. Nó cho phép kẻ tấn công thao tác tệp, thực thi lệnh từ xa, ghi bàn phím và trích xuất dữ liệu. Đặc biệt, Xworm có thể dùng đường hầm C2 thông qua dịch vụ đám mây hợp pháp, khiến việc phát hiện càng khó khăn.Nhiễm Xworm thường là tín hiệu cho thấy môi trường đã bị đột nhập nghiêm trọng và rất dễ dẫn tới ransomware. Các ngành du lịch, sản xuất và y tế đang là mục tiêu hàng đầu.
TI Lookup cho phép theo dõi hoạt động Xworm theo từng khu vực, giúp SOC nắm bắt xu hướng tấn công theo địa lý.
Kết luận: SOC cần chuyển từ phản ứng sang chủ động
Cả ba phần mềm độc hại Lumma, AgentTesla và Xworm đều đang phát triển nhanh và liên tục áp dụng kỹ thuật trốn tránh mới. Với tốc độ tiến hóa đó, SOC không chỉ cần phát hiện đúng mà còn phải phản ứng đủ nhanh để giảm thiểu thiệt hại.Thông qua dữ liệu thời gian thực và sandbox tương tác, TI Lookup giúp SOC rút ngắn thời gian phân tích, nâng cao độ chính xác và chuyển từ thế đối phó sang phòng thủ chủ động.
Trong bối cảnh mối đe dọa ngày càng phức tạp, việc có được một hệ thống tình báo mạnh mẽ là yếu tố sống còn để doanh nghiệp luôn đi trước kẻ tấn công một bước.(hackread.com)
Top 3 Malware Families in Q4: How to Keep Your SOC Ready
Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread
hackread.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview