Hack 3CX Cung Cấp Chuỗi Làm Ảnh Hưởng Lớn Đến Các Doanh Nghiệp Tiền Điện Tử | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/3/2026

Nội dung bài viết

Vụ Hack Chuỗi Cung 3CX Làm Mục Tiêu Các Công Ty Tiền Điện Tử

Xem thêm

Đọc tóm tắt

- Cuộc tấn công vào chuỗi cung phần mềm 3CX đã nhắm vào các công ty tiền điện tử, được hacker Triều Tiên thực hiện thông qua ứng dụng VoIP này.<br>- Kaspersky xác định rằng một số công ty tiền điện tử đã bị nhiễm mã độc trong cuộc tấn công này.<br>- Hacker sử dụng phần mềm độc hại Gopuram để xâm nhập và có thể có mục tiêu lấy đồng tiền từ các công ty này.<br>- Mặc dù cuộc tấn công có quy mô tiềm ẩn lớn, nhóm hacker tập trung vào một số ít máy tính chiến lược.

Vụ Hack Chuỗi Cung 3CX Làm Mục Tiêu Các Công Ty Tiền Điện Tử

Các cuộc tấn công vào chuỗi cung phần mềm, trong đó hacker làm nhiễm bẩn các ứng dụng phổ biến để đẩy mã của họ đến hàng nghìn hoặc thậm chí hàng triệu máy tính, đã trở thành một tai họa, vừa âm thầm vừa có thể rộng lớn trong ảnh hưởng. Nhưng cuộc tấn công chuỗi cung phần mềm lớn nhất gần đây, trong đó những hacker có vẻ như đang làm việc thay mặt cho chính phủ Triều Tiên đã giấu mã của họ trong trình cài đặt cho một ứng dụng VoIP phổ biến được biết đến là 3CX, có vẻ cho đến nay đã có một mục tiêu hết sức bình thường: đột nhập vào một số công ty tiền điện tử.

Nhóm nghiên cứu của công ty an ninh mạng Kaspersky của Nga đã tiết lộ hôm nay rằng họ xác định một số lượng nhỏ các công ty tập trung vào tiền điện tử là ít nhất là một số nạn nhân của cuộc tấn công chuỗi cung phần mềm 3CX diễn ra trong tuần qua. Kaspersky từ chối tiết lộ tên của bất kỳ công ty nạn nhân nào, nhưng lưu ý rằng chúng có trụ sở ở “Tây Á.”

Các công ty an ninh mạng CrowdStrike và SentinelOne tuần trước đã đặt tên cho cuộc tấn công vào hacker Triều Tiên, người đã xâm nhập vào phần mềm cài đặt 3CX được sử dụng bởi 600.000 tổ chức trên toàn thế giới, theo nhà cung cấp. Mặc dù cuộc tấn công có thể có sự rộng lớn tiềm ẩn, mà SentinelOne gọi là “Smooth Operator,” nhưng Kaspersky đã phát hiện ra rằng hacker đã lục soát qua những máy tính nạn nhân bị nhiễm mã của họ để cuối cùng chỉ tập trung vào ít hơn 10 máy tính—ít nhất là theo những gì Kaspersky có thể quan sát được cho đến nay—và họ dường như đang tập trung vào các công ty tiền điện tử với “điều phẫu thuật chính xác.”

“Tất cả chỉ là để đánh cắp một nhóm nhỏ công ty, có lẽ không chỉ trong lĩnh vực tiền điện tử, nhưng điều chúng tôi thấy là một trong những mục tiêu của những kẻ tấn công là các công ty tiền điện tử,” nói Georgy Kucherin, một nghiên cứu viên thuộc đội ngũ chuyên gia an ninh GReAT của Kaspersky. “Các công ty tiền điện tử nên đặc biệt quan ngại về cuộc tấn công này vì chúng là những mục tiêu có thể, và họ nên quét hệ thống của mình để phát hiện thêm sự tấn công.”

Kaspersky đưa ra kết luận đó dựa trên việc phát hiện ra rằng, trong một số trường hợp, những hacker chuỗi cung 3CX đã sử dụng cuộc tấn công của họ để cuối cùng cài đặt một chương trình cửa sau đa năng được biết đến là Gopuram trên các máy nạn nhân, mà các nhà nghiên cứu mô tả là “phần thưởng cuối cùng trong chuỗi tấn công.” Kaspersky cho biết sự xuất hiện của phần mềm độc hại này cũng đại diện cho dấu vết Triều Tiên: Họ đã thấy Gopuram được sử dụng trước đó trên cùng mạng với một phần mềm độc hại khác, được biết đến với tên là AppleJeus, liên quan đến nhóm hacker Triều Tiên. Họ cũng đã từng thấy Gopuram kết nối với cùng một cơ sở hạ tầng kiểm soát và điều khiển như AppleJeus, và đã thấy Gopuram được sử dụng trước đây để tấn công vào các công ty tiền điện tử. Tất cả điều đó không chỉ cho thấy cuộc tấn công 3CX được thực hiện bởi nhóm hacker Triều Tiên, mà còn có thể đã được thiết kế để xâm nhập vào các công ty tiền điện tử để lấy đồng tiền từ những công ty đó, một chiến thuật phổ biến của nhóm hacker Triều Tiên được chỉ đạo để tăng nguồn lực cho chế độ của Kim Jong-Un.

Việc sử dụng các chuỗi cung phần mềm của các hacker tài năng được tài trợ bởi nhà nước để truy cập vào các mạng lưới của hàng nghìn tổ chức, chỉ để giảm tập trung vào một số ít nạn nhân, đã trở thành một đề tài lặp đi lặp lại. Ví dụ, trong chiến dịch gián điệp SolarWinds nổi tiếng năm 2020, các hacker Nga đã xâm nhập vào phần mềm giám sát IT Orion để đẩy các bản cập nhật độc hại đến khoảng 18.000 nạn nhân, nhưng dường như họ đã đánh cắp dữ liệu từ chỉ vài chục nạn nhân. Trong cuộc tấn công chuỗi cung phần mềm trước đó của phần mềm CCleaner, nhóm hacker Trung Quốc được biết đến với tên Barium hoặc WickedPanda đã tấn công tới 700.000 PC, nhưng tương tự như vậy họ chọn mục tiêu là một danh sách tương đối ngắn các công ty công nghệ.

“Điều này trở nên rất phổ biến,” nói Kucherin, người cũng đã làm việc trên phân tích SolarWinds và đã tìm thấy dấu vết liên kết cuộc tấn công chuỗi cung đó với một nhóm Nga đã biết đến. “Trong các cuộc tấn công chuỗi cung, nhóm đe dọa thực hiện cuộc tìm kiếm trước khi tìm thông tin về nạn nhân, sau đó họ lọc thông tin này, chọn ra những nạn nhân để triển khai malware giai đoạn hai.” Quá trình lọc này được thiết kế để giúp những hacker tránh phát hiện, Kucherin chỉ ra, vì triển khai malware giai đoạn hai cho quá nhiều nạn nhân sẽ khiến cuộc tấn công dễ dàng bị phát hiện hơn.

Tuy nhiên, Kucherin chú ý rằng cuộc tấn công chuỗi cung 3CX vẫn được phát hiện khá nhanh chóng so với các cuộc tấn công khác. Việc cài đặt phần mềm độc hại ban đầu mà những hacker có vẻ đã sử dụng để thực hiện cuộc tìm kiếm thông tin đã được các công ty như CrowdStrike và SentinelOne phát hiện vào tuần trước, ít hơn một tháng sau khi nó được triển khai. “Họ đã cố gắng ẩn mình, nhưng họ đã thất bại,” Kucherin nói. “Các công cụ cài đặt giai đoạn đầu tiên của họ đã bị phát hiện.”

Với việc phát hiện đó, chưa rõ chiến dịch đã thành công đến đâu. Kucherin nói rằng Kaspersky chưa thấy bằng chứng nào về việc đánh cắp tiền điện tử thực sự từ các công ty mà nó thấy bị nhắm mục tiêu bằng phần mềm độc hại Gopuram.

Nhưng với hàng trăm nghìn nạn nhân có thể của cuộc tấn công chuỗi cung 3CX, không ai nên kết luận rằng chỉ có các công ty tiền điện tử là mục tiêu, Tom Hegel, một nhà nghiên cứu an ninh của SentinelOne nói. “Lý thuyết hiện tại ở điểm này là những kẻ tấn công ban đầu đã nhắm vào các công ty tiền điện tử để xâm nhập vào những tổ chức có giá trị cao,” Hegel nói. “Tôi đoán rằng sau khi họ nhìn thấy sự thành công của cuộc tấn công này và các mạng mà họ đang tham gia, có lẽ mục tiêu khác đã xuất hiện.”

Hiện tại, Hegel nói, không một công ty an ninh nào có thể nhìn thấy hình dạng tổng thể của chiến dịch hack 3CX hoặc xác định rõ mục tiêu của nó. Nhưng nếu những hacker Triều Tiên thực sự đã xâm nhập vào một phần mềm được sử dụng bởi 600.000 tổ chức trên khắp thế giới và chỉ sử dụng nó để cố gắng đánh cắp tiền điện tử từ một số ít trong số chúng, họ có thể đã đánh mất chìa khóa của một vương quốc lớn hơn nhiều.

“Mọi thứ đều diễn ra rất nhanh. Tôi nghĩ chúng ta sẽ tiếp tục có cái nhìn tốt hơn về những nạn nhân,” Hegel nói. “Nhưng từ góc độ của kẻ tấn công, nếu tất cả những gì họ làm chỉ nhắm vào các công ty tiền điện tử, đây là một cơ hội lãng phí đậm đà.”

Các câu hỏi thường gặp

Cuộc tấn công chuỗi cung phần mềm 3CX có ảnh hưởng đến những công ty nào?

Cuộc tấn công chuỗi cung phần mềm 3CX chủ yếu nhắm đến các công ty tiền điện tử, với ít nhất một số công ty ở Tây Á đã trở thành nạn nhân. Hacker đã sử dụng mã độc giấu trong ứng dụng 3CX để xâm nhập vào hệ thống.

Tại sao các công ty tiền điện tử nên lo ngại về cuộc tấn công này?

Có lý do chính đáng để các công ty tiền điện tử lo ngại vì cuộc tấn công 3CX đã được thực hiện với mục tiêu cụ thể để đánh cắp tài sản. Hacker tập trung vào một nhóm nhỏ công ty có giá trị cao trong lĩnh vực này.

Những phương pháp nào được sử dụng trong cuộc tấn công chuỗi cung phần mềm 3CX?

Hacker đã sử dụng phương pháp cài đặt mã độc trong phần mềm 3CX để lén lút xâm nhập vào máy tính của nạn nhân. Sau đó, họ cài đặt một chương trình cửa sau gọi là Gopuram để tiếp tục theo dõi và đánh cắp thông tin.

Cuộc tấn công chuỗi cung 3CX có giống với các cuộc tấn công trước đó không?

Có, cuộc tấn công 3CX tương tự như các cuộc tấn công chuỗi cung khác, như SolarWinds, trong việc xâm nhập vào phần mềm phổ biến để nhắm mục tiêu cụ thể. Các hacker thường đánh cắp dữ liệu từ một nhóm nhỏ nạn nhân trong số hàng nghìn.

Đã có những thiệt hại nào do cuộc tấn công chuỗi cung 3CX gây ra?

Mặc dù chưa có thông tin rõ ràng về việc tiền điện tử đã bị đánh cắp, nhưng cuộc tấn công đã xâm nhập vào hệ thống của hàng nghìn tổ chức, cho thấy khả năng gây thiệt hại rất lớn trong tương lai.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]