Một chuỗi tấn công mạng chưa từng có đang diễn ra ở Nga khi nhóm hacker PhantomCore ủng hộ Ukraine tấn công hàng loạt server chạy phần mềm họp trực tuyến TrueConf. Positive Technologies phát hiện cuộc tấn công này bắt đầu từ tháng 9/2025, sử dụng chuỗi 3 lỗ hổng bảo mật để thực thi lệnh từ xa trên các hệ thống mục tiêu. Đây là minh chứng rõ nét cho xu hướng hacktivist (tin tặc hoạt động vì lý tưởng chính trị) ngày càng gia tăng trong bối cảnh căng thẳng địa chính trị hiện tại. Chúng tôi cho rằng vụ việc này đánh dấu một bước ngoặt nguy hiểm trong việc vũ khí hóa công nghệ thông tin.

Khi phần mềm họp online trở thành vũ khí mạng

TrueConf, một trong những nền tảng họp trực tuyến phổ biến tại Nga, đang trở thành mục tiêu tấn công hàng đầu của PhantomCore. Nhóm hacker pro-Ukraine này đã phát triển một exploit chain (chuỗi khai thác lỗ hổng) tinh vi, kết hợp ba lỗ hổng bảo mật khác nhau để có thể thực thi lệnh từ xa trên các server TrueConf. Điều đáng lo ngại là các cuộc tấn công này không chỉ nhắm vào một vài mục tiêu cụ thể mà được thực hiện một cách có hệ thống trên quy mô rộng.

Theo phân tích của Positive Technologies, PhantomCore đã chứng minh khả năng kỹ thuật đáng gờm khi có thể liên kết nhiều lỗ hổng thành một chuỗi tấn công hoàn chỉnh. Remote Code Execution (RCE) - khả năng thực thi mã từ xa - là mục tiêu cuối cùng của chuỗi tấn công này, cho phép tin tặc có thể kiểm soát hoàn toàn server mục tiêu. Chúng tôi đánh giá đây là một trong những chiến dịch hacktivist có tổ chức và quy mô lớn nhất từ trước đến nay.

Ba mắt xích yếu trong chuỗi bảo mật TrueConf

Chuỗi exploit mà PhantomCore sử dụng bao gồm ba lỗ hổng CVE (Common Vulnerabilities and Exposures - hệ thống định danh lỗ hổng bảo mật toàn cầu) được kết hợp một cách khéo léo. Mỗi lỗ hổng đơn lẻ có thể không quá nguy hiểm, nhưng khi được liên kết với nhau, chúng tạo thành một vũ khí mạng cực kỳ hiệu quả. Authentication bypass (bỏ qua xác thực) thường là bước đầu tiên, theo sau là privilege escalation (leo thang đặc quyền) và cuối cùng là remote code execution.

Điều khiến chúng tôi lo ngại nhất là việc các lỗ hổng này có thể đã tồn tại trong thời gian dài mà không được phát hiện. Zero-day exploits (khai thác lỗ hổng chưa được vá) luôn là vũ khí ưa thích của các nhóm hacker có tổ chức cao. TrueConf, với vai trò là nền tảng liên lạc quan trọng trong nhiều tổ chức Nga, trở thành mục tiêu lý tưởng cho các hoạt động gián điệp mạng và phá hoại thông tin. Tần suất tấn công gia tăng từ tháng 9/2025 cho thấy PhantomCore đang đẩy mạnh chiến dịch của mình.

Tác động lan rộng từ Đông Âu đến toàn cầu

Vụ tấn công này không chỉ ảnh hưởng đến Nga mà còn gióng lên hồi chuông cảnh báo cho các tổ chức trên toàn thế giới đang sử dụng TrueConf. Với khả năng remote code execution, tin tặc có thể đánh cắp dữ liệu nhạy cảm, cài đặt malware (phần mềm độc hại), hoặc sử dụng server bị xâm nhập làm bàn đạp để tấn công các mục tiêu khác. Lateral movement (di chuyển ngang trong mạng) từ server TrueConf bị xâm phạm có thể dẫn đến việc toàn bộ hạ tầng IT của tổ chức bị kiểm soát.

Tại Việt Nam, mặc dù TrueConf không phổ biến như Zoom hay Microsoft Teams, vẫn có một số doanh nghiệp và tổ chức sử dụng giải pháp này. Chúng tôi khuyến cáo các CISO (Chief Information Security Officer - Giám đốc An ninh Thông tin) cần kiểm tra ngay hệ thống của mình. Theo thống kê từ VNCERT, Việt Nam ghi nhận trung bình 3000-4000 sự cố an ninh mạng mỗi tháng, trong đó khoảng 30% liên quan đến các lỗ hổng trong phần mềm ứng dụng.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Các tổ chức đang sử dụng TrueConf cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản hiện tại và cập nhật lên phiên bản mới nhất từ nhà phát triển. Thứ hai, triển khai Web Application Firewall (WAF - tường lửa ứng dụng web) để chặn các cuộc tấn công exploit chain. Thứ ba, thực hiện network segmentation (phân đoạn mạng) để cô lập server TrueConf khỏi các hệ thống quan trọng khác. Cuối cùng, tăng cường monitor (giám sát) log để phát hiện sớm các hoạt động bất thường.

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên cân nhắc chuyển đổi sang các nền tảng họp trực tuyến khác đã được kiểm chứng bảo mật tốt hơn trong giai đoạn hiện tại. Incident Response Plan (kế hoạch ứng phó sự cố) cần được kích hoạt ngay lập tức nếu phát hiện dấu hiệu xâm nhập. VNCERT cũng khuyến cáo các tổ chức nên báo cáo sự cố qua hotline 18006766 để được hỗ trợ kịp thời và góp phần cảnh báo cộng đồng.