Tấn công APT tiếp tục nhắm vào cơ quan chính phủ và tổ chức công

Tấn công APT và tập trung rõ rệt vào khu vực Đông Nam Á, trong đó có Việt Nam. Ảnh: VNPT Cyber Immunity

Thông tin từ Trung tâm An toàn thông tin VNPT (thuộc Tập đoàn VNPT), xu hướng tấn công mạng gián điệp có chủ đích (APT) và tập trung rõ rệt vào khu vực Đông Nam Á, trong đó có Việt Nam.

Đích nhắm của các hoạt động APT tiếp tục vào cơ quan chính phủ, tổ chức công và các mục tiêu trọng yếu, với các kỹ thuật phổ biến như khai thác máy chủ public-facing, email lừa đảo (phishing email), sideloading DLL, thực thi trong bộ nhớ và sử dụng mã độc tùy biến để duy trì truy cập lâu dài.

Hoạt động tấn công có đặc điểm chung là sử dụng chuỗi xâm nhập nhiều giai đoạn, bắt đầu từ khai thác máy chủ public-facing hoặc phishing email (email giả mạo), sau đó cài công cụ hậu khai thác và mã độc chuyên biệt để duy trì truy cập lâu dài. Các nhóm tấn công gia tăng sử dụng mã độc tùy biến và kỹ thuật né tránh phát hiện, như Cobalt Strike, GearDoor, PlugX, DLL sideloading, thực thi trong bộ nhớ và kênh C2 ngụy trang qua dịch vụ hợp pháp.

Đối với Việt Nam, các cảnh báo cho thấy nguy cơ bị tấn công APT nhắm đích vẫn ở mức cao, trong đó đối tượng thường sử dụng email lừa đảo và file đính kèm liên quan đến nội dung công việc, cơ quan nhà nước hoặc lĩnh vực chuyên ngành để đánh lừa người dùng.

Đáng chú ý, Việt Nam tiếp tục ghi nhận các chiến dịch ngụy trang tinh vi, lợi dụng thành phần hợp pháp và hạ tầng hợp pháp để che giấu liên lạc độc hại, cho thấy nguy cơ tấn công nhắm đích vẫn ở mức cao đối với các tổ chức có dữ liệu quan trọng hoặc hạ tầng kết nối internet.

Hoạt động mã độc và đánh cắp dữ liệu trong tháng 3 cũng có chiều hướng gia tăng. Đáng chú ý là các chiến dịch sử dụng mã độc GoldFactory nhắm vào dữ liệu tài chính và StealC để đánh cắp thông tin người dùng, cho thấy xu hướng kết hợp giữa phishing, vishing (lừa đảo qua cuộc gọi), ứng dụng giả mạo, nền tảng hợp pháp và công cụ mã độc chuyên đánh cắp thông tin đang ngày càng phổ biến. Điều này làm gia tăng rủi ro đối với người dùng cá nhân, tổ chức tài chính và doanh nghiệp đang phụ thuộc mạnh vào dịch vụ số.

Ảnh: VNPT Cyber Immunity

Như vậy, trong tháng 3-2026 xu hướng tấn công kết hợp giữa APT, khai thác lỗ hổng và mã độc đánh cắp thông tin tiếp tục leo thang, trong khi rủi ro từ danh tính số và mật khẩu yếu đang trở thành điểm dễ bị khai thác nhất. Vì vậy, Trung tâm An toàn thông tin VNPT cũng đưa ra khuyến cáo, các tổ chức, doanh nghiệp cần ưu tiên quản lý bản vá, bảo vệ hệ thống public-facing, tăng cường giám sát hành vi bất thường, bảo vệ thông tin xác thực và nâng cao nhận thức người dùng nhằm giảm thiểu nguy cơ bị xâm nhập và rò rỉ dữ liệu trong các tháng tiếp theo.

Cùng với đó, các cơ quan, tổ chức cần tăng cường bảo vệ hệ thống thư điện tử và thiết bị đầu cuối, đặc biệt với tệp đính kèm .lnk, .msi, tệp nén, script và các tệp có dấu hiệu ngụy trang. Thiết lập quy tắc giám sát và phát hiện đối với các hành vi DLL sideloading, thực thi trong bộ nhớ, PowerShell bất thường, reverse shell và beaconing C2. Tăng cường EDR/XDR, log tập trung và threat hunting trên máy trạm, máy chủ và hệ thống thư điện tử để phát hiện sớm dấu hiệu xâm nhập.

Cùng với đó, cần tổ chức tuyên truyền, cảnh báo người dùng về rủi ro từ email phishing, tệp ngụy trang, giấy mời, công văn giả mạo và yêu cầu xác minh trước khi mở tệp đính kèm. Chủ động xây dựng và diễn tập các kịch bản ứng cứu liên quan đến APT, mất quyền kiểm soát thiết bị, rò rỉ dữ liệu và kết nối C2 để nâng cao khả năng phát hiện và xử lý sớm.