Một chiến dịch tấn công tinh vi đang âm thầm nhắm mục tiêu vào các công ty luật và tổ chức dịch vụ chuyên nghiệp tại Hoa Kỳ kể từ đầu năm 2026. Chiến dịch này tập trung vào các mối đe dọa mạng tài chính, chủ yếu dựa vào sự đánh lừa thay vì khai thác lỗ hổng kỹ thuật. Kẻ tấn công thao túng nạn nhân để cung cấp quyền truy cập vào hệ thống của chính họ, và trước khi nạn nhân nhận ra, dữ liệu nhạy cảm nhất đã bị đánh cắp.
Chiến Thuật Tấn Công Dựa Trên Lừa Đảo
Nhóm tin tặc đứng sau các cuộc tấn công này, được gọi là UNC3753, cũng được biết đến với các tên gọi khác như “Luna Moth,” “Chatty Spider,” và “Silent Ransom Group.” Nhóm này hoạt động từ ít nhất tháng 3 năm 2022 và có lịch sử thay đổi chiến thuật liên tục để duy trì hiệu quả.
Giai Đoạn Tấn Công Cao Điểm
Từ tháng 1 đến tháng 5 năm 2026, hàng chục tổ chức trong các lĩnh vực pháp lý, tài chính và dịch vụ chuyên nghiệp đã trở thành mục tiêu. Đây được xem là một trong những giai đoạn hoạt động tích cực và gây thiệt hại nhất của nhóm. Các nhà phân tích từ Google Cloud đã xác định và ghi nhận chi tiết chiến dịch này.
Tốc Độ Xâm Nhập Đáng Kinh Ngạc
Theo báo cáo của Google Cloud, Nhóm Tình báo Mối đe dọa của Google cho biết toàn bộ chuỗi tấn công, từ cuộc gọi đầu tiên đến việc hoàn tất đánh cắp dữ liệu, thường diễn ra trong vòng một ngày làm việc. Trong một số trường hợp, dữ liệu đã được chuẩn bị và đánh cắp chỉ trong vòng chưa đầy một giờ. Điều này cho thấy sự hiệu quả và tốc độ của phương thức xâm nhập mạng này.
Kỹ Thuật Lừa Đảo Ban Đầu
Nhóm bắt đầu mỗi cuộc tấn công bằng cách gửi một email giả mạo hóa đơn trông có vẻ hợp pháp từ một tài khoản email cá nhân. Email này không chứa liên kết hoặc tệp đính kèm độc hại. Mục đích duy nhất là tạo ra sự lo lắng cho mục tiêu, khiến họ dễ dàng tương tác hơn khi kẻ tấn công gọi điện thoại ngay sau đó, giả mạo nhân viên hỗ trợ IT nội bộ.
Thao Túng Qua Điện Thoại
Khi đã kết nối qua điện thoại, kẻ tấn công thuyết phục mục tiêu tham gia vào một phiên chia sẻ màn hình và tải xuống các công cụ giám sát và quản lý từ xa. Sau khi giành được quyền kiểm soát, kẻ tấn công tiến hành tìm kiếm các tài liệu có giá trị cao trong hệ thống tệp của công ty, bao gồm các thỏa thuận pháp lý, biểu mẫu thuế, số An sinh Xã hội và hồ sơ tài chính.
Đe Dọa Tống Tiền
Tiếp theo, chúng tải các tệp bị đánh cắp lên các tài khoản đám mây mà chúng kiểm soát. Ngay sau khi rời khỏi môi trường, nhóm gửi các email tống tiền hung hăng, yêu cầu phản hồi trong vòng ba ngày, nếu không sẽ đe dọa thông báo cho nhân viên, khách hàng và các nhà báo về vụ vi phạm dữ liệu.
Cài Đặt Công Cụ Truy Cập Từ Xa
Một khi nạn nhân đã tham gia cuộc gọi với kẻ tấn công, họ sẽ được hướng dẫn khởi chạy một phiên chia sẻ màn hình thông qua các công cụ như Zoom, Microsoft Teams hoặc Quick Assist. Trong một trường hợp đã được ghi nhận, kẻ tấn công đã thực hiện năm cuộc gọi riêng biệt với cùng một người trong vòng ba ngày.
Phần Mềm Quản Lý Từ Xa
Từ đó, nhóm yêu cầu nạn nhân cài đặt phần mềm quản lý từ xa thương mại như AnyDesk, Bomgar hoặc Zoho Assist, cung cấp cho kẻ tấn công quyền truy cập liên tục vào máy. Để tránh để lại dấu vết, nhóm sử dụng privnote.com, một dịch vụ tin nhắn tự hủy, để gửi các liên kết tải xuống và lệnh.
Chuẩn Bị Dữ Liệu và Thu Thập
Khi đã ở trong môi trường máy tính ảo, kẻ tấn công duyệt qua các ổ đĩa mạng, tìm kiếm các nền tảng quản lý tài liệu như iManage bằng các từ khóa cụ thể và chuẩn bị kết quả trong thư mục Tải xuống của người dùng. Các tệp sau đó được tải lên thông qua WinSCP, Rclone hoặc trực tiếp qua trình duyệt web của nạn nhân vào các tài khoản lưu trữ đám mây do kẻ tấn công kiểm soát.
Khối Lượng Dữ Liệu Bị Đánh Cắp
Trong một sự cố đặc biệt nghiêm trọng, nhóm đã trích xuất 1.7 gigabyte dữ liệu từ thư mục OneDrive của mục tiêu vào một tài khoản bên ngoài, sau đó chuyển sang phiên máy tính ảo và kéo thêm 14.4 gigabyte dữ liệu bằng WinSCP. Dữ liệu bị đánh cắp sau đó bị đe dọa sẽ được công bố trên một trang web rò rỉ dữ liệu có tên LEAKEDDATA nếu nạn nhân từ chối thanh toán.
Các Phương Thức Tấn Công Phi Kỹ Thuật
Ngoài các cuộc tấn công kỹ thuật số, còn có các trường hợp các cá nhân giả danh kỹ thuật viên IT đã đột nhập vào văn phòng công ty để đánh cắp dữ liệu bằng USB. Theo cảnh báo FBI Cyber FLASH được trích dẫn trong báo cáo, nếu kỹ thuật xã hội từ xa thất bại, nhóm sẽ cử người đến tận nơi để giải quyết một vấn đề bảo mật.
Tấn Công Vật Lý
Việc leo thang sang tấn công vật lý này đặc biệt đáng báo động vì hầu hết các môi trường văn phòng chỉ dựa vào các kiểm tra hành chính cơ bản để kiểm soát việc ra vào.
Khuyến Nghị Bảo Mật
Nhóm Tình báo Mối đe dọa của Google khuyến nghị các tổ chức thực hiện đào tạo nhận thức có mục tiêu về các chiến thuật cụ thể này. Các công ty cũng nên thực thi các chính sách kiểm soát truy cập vật lý nghiêm ngặt, yêu cầu giấy tờ tùy thân có ảnh và có người đi kèm cho tất cả các khách truy cập kỹ thuật bên ngoài. Đây là biện pháp quan trọng để ngăn chặn các cuộc tấn công mạng tương tự.
Biện Pháp An Toàn Thông Tin Số
Về phía kỹ thuật số, chỉ các thiết bị thuộc sở hữu của công ty mới nên được phép truy cập vào máy tính ảo hoặc VPN. Các công cụ quản lý từ xa trái phép nên bị chặn hoàn toàn. Cần cấu hình cảnh báo theo thời gian thực trong các nền tảng quản lý tài liệu để gắn cờ các tìm kiếm tệp hàng loạt và tải xuống hàng loạt, giúp phát hiện tấn công sớm.
Chỉ Số Dấu Hiệu Lây Nhiễm (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm giảm độ nghiêm trọng (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo siêu liên kết ngoài ý muốn. Chỉ khôi phục lại dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- IP Addresses: [.]185[.]219[.]227, [.]104[.]254[.]121, [.]198[.]45[.]173, [.]45[.]155[.]203, [.]184[.]154[.]174, [.]104[.]131[.]185, [.]67[.]205[.]143, [.]91[.]107[.]200, [.]45[.]239[.]107, [.]109[.]68[.]114, [.]217[.]18[.]136, [.]67[.]205[.]139, [.]137[.]184[.]79, [.]107[.]23[.]79, [.]104[.]155[.]180, [.]212[.]169[.]203, [.]185[.]155[.]144, [.]217[.]18[.]129, [.]45[.]239[.]108, [.]209[.]9[.]100, [.]185[.]219[.]226, [.]198[.]178[.]177, [.]185[.]155[.]150, [.]45[.]155[.]200, [.]45[.]155[.]204, [.]198[.]178[.]178, [.]198[.]178[.]176, [.]185[.]155[.]145, [.]185[.]155[.]147, [.]185[.]155[.]148, [.]185[.]155[.]149, [.]45[.]155[.]201, [.]45[.]155[.]202, [.]217[.]18[.]135, [.]45[.]239[.]106, [.]184[.]154[.]182, [.]198[.]178[.]179, [.]198[.]178[.]180, [.]185[.]155[.]146, [.]137[.]184[.]78, [.]137[.]184[.]80, [.]45[.]155[.]199
- Domains: privnote[.]com, zoom[.]us, teams[.]microsoft[.]com, quickassist[.]net, anydesk[.]com, bomgar[.]com, zoho[.]com, winscp[.]net, rclone[.]org
Để cập nhật các thông tin mới nhất về an ninh mạng, hãy theo dõi chúng tôi trên Google News, LinkedIn và X. Đặt CSN làm nguồn ưu tiên trên Google.
Cyber Security News là một nền tảng tin tức chuyên biệt về tin tức an ninh mạng, tin tức tấn công mạng và phân tích lỗ hổng.
© Copyright 2026 – Cyber Security News
