Một chiến dịch đánh cắp danh tính quy mô lớn đang nhắm mục tiêu vào hơn 100 tổ chức giá trị cao trên nhiều ngành công nghiệp. Chiến dịch này đại diện cho một mối đe dọa mạng nghiêm trọng, sử dụng các chiến thuật phức tạp để vượt qua các biện pháp bảo mật truyền thống.
Phân tích Mối Đe Dọa Mạng SLSH và Chiến Dịch Đánh Cắp Danh Tính
SLSH là một liên minh nguy hiểm, kết hợp các chiến thuật của Scattered Spider, LAPSUS$ và ShinyHunters. Không giống như các cuộc tấn công tự động điển hình, chiến dịch này được điều khiển bởi con người. Các tác nhân đe dọa thực hiện các cuộc gọi điện thoại trực tiếp đến nhân viên trong khi đồng thời triển khai các trang đăng nhập giả mạo, sao chép chính xác hệ thống của công ty mục tiêu.
Mục tiêu chính của các tác nhân là đánh cắp thông tin xác thực và mã thông báo bảo mật từ Okta và các dịch vụ Single Sign-On (SSO) khác. Các dịch vụ SSO này đóng vai trò như “chìa khóa tổng” để truy cập mọi ứng dụng trong một tổ chức, khiến việc chiếm đoạt chúng trở nên cực kỳ giá trị đối với kẻ tấn công.
Cơ Chế Tấn Công: Vishing và Phishing Panel Trực Tiếp
Chiến dịch chủ yếu sử dụng một công cụ gọi là “live phishing panel”. Hạ tầng này cho phép kẻ tấn công chặn thông tin đăng nhập và mã bảo mật theo thời gian thực, thậm chí qua mặt các cơ chế bảo vệ xác thực đa yếu tố (MFA).
Các tác nhân đe dọa sử dụng voice phishing, hay còn gọi là “vishing”, nơi chúng gọi đến bộ phận hỗ trợ kỹ thuật và nhân viên công ty, giả mạo là nhân viên IT để yêu cầu đặt lại mật khẩu hoặc cấp quyền truy cập hệ thống. Đồng thời với các cuộc gọi này, chúng thao túng một trang đăng nhập giả mạo khớp chính xác với những gì xuất hiện trên màn hình nạn nhân, tạo ra một kịch bản kỹ thuật xã hội cực kỳ thuyết phục. Cơ chế lây nhiễm này dựa vào sự điều phối của con người chứ không phải triển khai mã độc tự động.
Mục Tiêu Chính và Phạm Vi Ảnh Hưởng
Các mục tiêu chính được xác định bao gồm các công ty lớn như Canva, Atlassian, Epic Games, HubSpot, cùng với hàng chục tổ chức tài chính, nhà cung cấp dịch vụ chăm sóc sức khỏe và các công ty bất động sản. Sự đa dạng trong các ngành công nghiệp bị nhắm mục tiêu cho thấy chiến dịch này có phạm vi rộng và được chuẩn bị kỹ lưỡng.
Các nhà phân tích của Silentpush đã xác định sự gia tăng triển khai hạ tầng độc hại và nhận ra các mẫu tấn công mạng khớp với hoạt động đã biết của SLSH từ hệ sinh thái “The Com”. Các nhà phân tích lưu ý rằng đây không phải là một cuộc tấn công quét ngẫu nhiên mà là một chiến dịch nhắm mục tiêu cẩn thận vào các doanh nghiệp sở hữu tài sản kỹ thuật số đáng kể. Để biết thêm chi tiết, bạn có thể tham khảo phân tích từ Silentpush Blog.
Chiếm Quyền Điều Khiển và Hậu Quả Xâm Nhập
Một khi kẻ tấn công có được quyền truy cập ban đầu thông qua vishing và đánh cắp thông tin xác thực, chúng sử dụng phiên SSO bị đánh cắp làm nền tảng cho việc xâm nhập sâu hơn. Phiên bị xâm phạm này trở thành thứ mà kẻ tấn công gọi là “skeleton key”, cấp cho chúng quyền truy cập tiềm năng vào mọi ứng dụng được kết nối trong tổ chức mục tiêu, từ đó có thể thực hiện chiếm quyền điều khiển trên nhiều hệ thống.
Sau khi thiết lập quyền truy cập, các tác nhân đe dọa di chuyển ngang vào các hệ thống liên lạc nội bộ như Slack hoặc Teams. Tại đây, chúng giả mạo nhân viên hợp pháp để lừa các quản trị viên cấp quyền đặc quyền cao hơn. Quá trình leo thang đặc quyền này cho phép chúng mở rộng tầm kiểm soát và truy cập vào các tài nguyên nhạy cảm hơn.
Rò Rỉ Dữ Liệu và Tống Tiền
Theo kịch bản của LAPSUS$, chiến dịch tiếp tục với việc đánh cắp dữ liệu và tống tiền. Kẻ tấn công nhanh chóng tải xuống thông tin nhạy cảm và sau đó yêu cầu tiền chuộc, đe dọa sẽ công bố dữ liệu bị đánh cắp công khai. Trong một số trường hợp, chúng mã hóa các hệ thống doanh nghiệp để tăng áp lực đòi thanh toán, dẫn đến nguy cơ rò rỉ dữ liệu nghiêm trọng và ảnh hưởng hoạt động.
Đây là một mối đe dọa mạng phức tạp đòi hỏi các biện pháp phòng vệ chủ động. Nguy cơ rò rỉ dữ liệu nhạy cảm và gián đoạn hoạt động là rất cao nếu không có phản ứng kịp thời.
Biện Pháp Phòng Ngừa và Ứng Phó Với Mối Đe Dọa Mạng SLSH
Các tổ chức nằm trong danh sách mục tiêu quan trọng được Silentpush phát hiện cần coi đây là một mối đe dọa mạng khẩn cấp. Việc ứng phó nhanh chóng và hiệu quả là tối quan trọng để giảm thiểu rủi ro.
- Cảnh báo nhân viên: Thông báo ngay lập tức cho tất cả nhân viên về các nỗ lực vishing đang diễn ra. Huấn luyện nhân viên về cách nhận biết các cuộc gọi giả mạo yêu cầu thông tin nhạy cảm hoặc truy cập hệ thống.
- Kiểm tra nhật ký SSO: Kiểm tra nhật ký Single Sign-On ngay lập tức để tìm kiếm các đăng ký thiết bị đáng ngờ hoặc vị trí đăng nhập không quen thuộc. Điều này giúp phát hiện sớm các dấu hiệu tấn công mạng và chiếm đoạt tài khoản.
- Triển khai MFA mạnh mẽ: Đảm bảo triển khai và thực thi các biện pháp xác thực đa yếu tố (MFA) mạnh mẽ, đặc biệt là các phương thức không dễ bị lừa đảo như khóa bảo mật phần cứng (hardware security keys) thay vì OTP qua SMS.
- Giám sát hạ tầng: Tăng cường giám sát mạng lưới và hệ thống để phát hiện hoạt động bất thường hoặc triển khai hạ tầng độc hại liên quan đến mối đe dọa mạng SLSH.
- Kế hoạch ứng phó sự cố: Đảm bảo có một kế hoạch ứng phó sự cố được cập nhật và kiểm thử định kỳ để xử lý các cuộc tấn công mạng liên quan đến đánh cắp danh tính và rò rỉ dữ liệu.
Phản ứng chủ động và cảnh giác liên tục là chìa khóa để bảo vệ hệ thống và dữ liệu của bạn trước mối đe dọa mạng tinh vi như SLSH.
