Trong bối cảnh công nghệ lừa đảo mạng ngày càng phát triển, Resecurity đã tiên phong triển khai các honeypot dữ liệu tổng hợp để vượt qua các tác nhân đe dọa. Mục tiêu là chuyển đổi hoạt động trinh sát của chúng thành thông tin tình báo có giá trị, góp phần củng cố khả năng phát hiện xâm nhập.
Một chiến dịch gần đây không chỉ bắt giữ một tác nhân đe dọa liên quan đến khu vực Trung Đông mà còn đánh lừa nhóm ShinyHunters vào những tuyên bố vi phạm sai lệch. Điều này minh chứng cho hiệu quả vượt trội của phương pháp tiếp cận này.
Resecurity đã tinh chỉnh các công nghệ lừa đảo nhằm mục đích phản gián. Các công nghệ này mô phỏng môi trường doanh nghiệp phức tạp, từ đó thu hút các tác nhân đe dọa vào các bẫy được kiểm soát chặt chẽ, tạo ra nguồn threat intelligence dồi dào.
Tối Ưu Hóa Công Nghệ Lừa Đảo Mạng với Honeypot Dữ Liệu Tổng Hợp
Từ Honeypot Truyền Thống Đến Dữ Liệu Tổng Hợp AI
Các hệ thống lừa đảo này được xây dựng dựa trên khái niệm honeypot truyền thống. Honeypot bao gồm các dịch vụ cấu hình sai hoặc tài nguyên giả mạo, vốn chỉ thụ động ghi lại những kẻ xâm nhập.
Tuy nhiên, điểm khác biệt then chốt là việc tích hợp dữ liệu tổng hợp được tạo bởi Trí tuệ Nhân tạo (AI). Dữ liệu này mô phỏng các mẫu hình thực tế một cách tinh vi mà không làm lộ bất kỳ thông tin độc quyền hay nhạy cảm nào của tổ chức.
Tính chân thực của các honeypot được tăng cường đáng kể thông qua việc sử dụng dữ liệu đã bị rò rỉ trước đó từ các nguồn dark web. Điều này giúp đánh lừa ngay cả những tác nhân tiên tiến nhất, những kẻ thường thực hiện các bước xác thực mục tiêu kỹ lưỡng.
Việc sử dụng honeypot dữ liệu tổng hợp không chỉ bảo vệ tài sản thực của doanh nghiệp mà còn cung cấp một môi trường an toàn để quan sát và phân tích hành vi của kẻ tấn công.
Phát Hiện Ban Đầu và Triển Khai Bẫy
Vào ngày 21 tháng 11 năm 2025, đội ngũ DFIR (Digital Forensics and Incident Response) của Resecurity đã phát hiện một tác nhân đe dọa đang tích cực quét các dịch vụ công khai. Hoạt động này diễn ra sau khi đối tượng này nhắm mục tiêu vào một nhân viên có đặc quyền thấp, cho thấy một chiến thuật tiếp cận ban đầu.
Các chỉ số về tác nhân này bao gồm một loạt địa chỉ IP đáng ngờ và việc sử dụng mạng riêng ảo (VPN). Cụ thể, các IP được ghi nhận là 156.193.212.244 và 102.41.112.148, được xác định là có liên quan đến khu vực Trung Đông. Ngoài ra, việc sử dụng các dịch vụ VPN như Mullvad thông qua IP 45.129.56.148 và một VPN khác qua IP 185.253.118.70 cũng được phát hiện.
Để đối phó, Resecurity đã nhanh chóng triển khai một honeytrap trong một ứng dụng được mô phỏng hoàn chỉnh. Ứng dụng này được thiết kế để chứa các bộ dữ liệu tổng hợp chi tiết và có sức thuyết phục cao.
Dữ liệu giả mạo được cấy vào honeytrap bao gồm:
- 28.000 hồ sơ người tiêu dùng, bao gồm tên người dùng, địa chỉ email và thông tin nhận dạng cá nhân (PII) giả mạo, được tổng hợp từ các danh sách combo bị rò rỉ công khai.
- 190.000 giao dịch thanh toán được tạo ra để giống với định dạng của Stripe, sử dụng các công cụ tạo dữ liệu tổng hợp hàng đầu như SDV, MOSTLY AI và Faker.
Một tài khoản mồi nhử mang tên “Mark Kelly” đã được khéo léo gieo vào một Marketplace của Nga, nhằm mục đích thu hút sự chú ý và lôi kéo kẻ tấn công vào môi trường kiểm soát.
Phân Tích Dữ Liệu Lạm Dụng và Khai Thác Thông Tin Tình Báo
Tác nhân đã đăng nhập thành công vào honeytrap và thực hiện hơn 188.000 yêu cầu từ ngày 12 đến 24 tháng 12. Mục tiêu chính của chúng là thu thập dữ liệu thông qua các script tự động hóa tùy chỉnh và việc sử dụng liên tục các proxy dân cư để che giấu danh tính.
Hoạt động này đã mang lại “dữ liệu lạm dụng” (abuse data) quý giá, cung cấp cái nhìn sâu sắc về các chiến thuật, cơ sở hạ tầng và những sơ hở trong quy trình vận hành bảo mật (OPSEC) của kẻ tấn công. Đặc biệt, các địa chỉ IP thực của kẻ tấn công đã bị rò rỉ trong quá trình lỗi proxy, một sai sót nghiêm trọng về OPSEC.
Resecurity đã nhanh chóng chặn các proxy này, buộc tác nhân phải tái sử dụng các máy chủ đã biết. Những phát hiện chi tiết này sau đó đã được chia sẻ với cơ quan thực thi pháp luật, dẫn đến việc ban hành trát đòi hầu tòa từ nước ngoài, thể hiện sự hợp tác hiệu quả trong cuộc chiến chống tội phạm mạng.
Việc phân tích dữ liệu lạm dụng giúp các tổ chức củng cố khả năng phát hiện xâm nhập và xây dựng các biện pháp phòng ngừa hiệu quả hơn.
# Ví dụ về việc theo dõi các kết nối đáng ngờ từ các IOC đã biết
# Sử dụng lệnh netstat để liệt kê các kết nối đang hoạt động và kiểm tra các địa chỉ IP được xác định.
sudo netstat -anp | grep -E "156.193.212.244|102.41.112.148|45.129.56.148|185.253.118.70"
# Ví dụ về việc phân tích nhật ký yêu cầu HTTP trong honeytrap để đếm số lượng yêu cầu
# Giả định nhật ký được lưu tại /var/log/honeytrap_access.log
cat /var/log/honeytrap_access.log | grep "POST /api/v1/data/scrape" | wc -l
# Lọc các địa chỉ IP nguồn từ nhật ký truy cập (giả định)
awk '{print $1}' /var/log/honeytrap_access.log | sort | uniq -c | sort -nr
Bẫy Sập Nhóm ShinyHunters và Nâng Cao Threat Intelligence
Chiến Lược Đánh Lừa Các Nhóm Tấn Công Tiên Tiến
Các thiết bị giả mạo bị cô lập cũng được sử dụng một cách hiệu quả để mô phỏng các mục tiêu có giá trị cao mà không gây rủi ro cho hệ thống sản xuất. Chúng bao gồm các phiên bản mô phỏng của Office 365, VPNs và một phiên bản Mattermost đã ngừng hoạt động.
Phiên bản Mattermost giả mạo này được tích hợp các cuộc trò chuyện giả mạo từ năm 2023, được tạo ra bởi AI (thông qua OpenAI), bao gồm sáu nhóm và nội dung hội thoại mô phỏng chân thực các hoạt động nội bộ. Điều này tạo ra một môi trường cực kỳ thuyết phục cho kẻ tấn công.
Một bản cập nhật vào ngày 03 tháng 01 năm 2026 đã tiết lộ rằng nhóm ShinyHunters, một nhóm đã được Resecurity lập hồ sơ trước đó về các hoạt động rò rỉ dữ liệu, đã rơi vào cùng một cái bẫy tinh vi này. Nhóm này đã khoe khoang trên Telegram về việc có “quyền truy cập đầy đủ” vào một hệ thống giả mạo có địa chỉ “[honeytrap].b.idp.resecurity.com”, cho thấy sự tự tin thái quá của chúng.
Minh Chứng Về Dữ Liệu Giả Mạo và Hiệu Quả của Công Nghệ Lừa Đảo Mạng
Các ảnh chụp màn hình do ShinyHunters công bố sau đó đã trở thành bằng chứng trực tiếp về việc chúng bị lừa bởi công nghệ lừa đảo mạng của Resecurity. Các bằng chứng này bao gồm giao diện Mattermost giả mạo cho tài khoản “Mark Kelly”, các tên miền không tồn tại như “resecure.com” được sử dụng trong các cuộc trò chuyện giả định.
Ngoài ra, các API token được mã hóa bcrypt từ các tài khoản kiểm thử trùng lặp và các nhật ký cũ vô giá trị cũng được ShinyHunters tin là thật. Điều này chứng tỏ mức độ tinh vi của dữ liệu tổng hợp.
Nhóm ShinyHunters sau đó đã thừa nhận những gián đoạn đáng kể do chiến thuật của Resecurity gây ra. Quá trình kỹ thuật xã hội đã xác định các liên kết đến địa chỉ email jwh*****[email protected], một số điện thoại ở Hoa Kỳ và một tài khoản Yahoo được đăng ký trong thời gian diễn ra hoạt động của chúng. Những thông tin này cực kỳ giá trị cho việc xây dựng threat intelligence.
Sự việc này một lần nữa khẳng định sức mạnh và tiềm năng của công nghệ lừa đảo mạng trong việc săn lùng mối đe dọa và tiến hành điều tra. Nó cho phép tạo ra các chỉ số xâm nhập (IOC) và chỉ số tấn công (IOA) đáng tin cậy từ các tương tác được kiểm soát, nâng cao khả năng phát hiện xâm nhập của tổ chức.
Ứng Dụng Thực Tiễn và Khuyến Nghị Phòng Thủ Chủ Động
Giá Trị của Lừa Đảo Mạng trong Điều Tra và Săn Lùng Mối Đe Dọa
Các nhật ký chi tiết của Resecurity và các báo cáo trước đây về ShinyHunters cho thấy rằng nỗ lực trả đũa của nhóm này đã phản tác dụng, dẫn đến việc chúng tự buộc tội. Đây là một minh chứng rõ ràng về hiệu quả vượt trội của các honeypot dữ liệu tổng hợp trong việc thu thập thông tin tình báo đối kháng.
Việc thu thập threat intelligence thông qua các chiến dịch lừa đảo mạng cần được thực hiện một cách có trách nhiệm. Việc tuân thủ nghiêm ngặt các luật về quyền riêng tư và quy định bảo vệ dữ liệu vẫn là yếu tố then chốt khi triển khai các hệ thống này, đảm bảo rằng mọi hoạt động đều hợp pháp và có đạo đức.
Triển Khai Phòng Thủ Chủ Động Cho Doanh Nghiệp
Các doanh nghiệp có thể nhân rộng mô hình phòng thủ này bằng cách triển khai các honeypot được giám sát chặt chẽ trong môi trường phi sản xuất của riêng mình. Điều này không chỉ giúp nâng cao khả năng phòng thủ chủ động mà còn chống lại các tác nhân đe dọa có động cơ tài chính.
Bằng cách tạo ra môi trường giả lập chân thực và được kiểm soát, các tổ chức có thể thu thập thông tin giá trị về các chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công. Từ đó, họ có thể củng cố hệ thống an ninh mạng của mình, phát triển các biện pháp đối phó cụ thể và cập nhật các chiến lược phòng thủ.
Dữ liệu tổng hợp và công nghệ lừa đảo mạng cung cấp một lớp phòng thủ bổ sung mạnh mẽ, cho phép các đội ngũ an ninh mạng phản ứng linh hoạt và hiệu quả hơn trước các mối đe dọa ngày càng phức tạp. Đây là một bước tiến quan trọng trong việc chủ động bảo vệ tài sản kỹ thuật số.
