Bản tư vấn an ninh mạng liên ngành AA23-320A, do các cơ quan như FBI, CISA, RCMP, ACSC của ASD, AFP, CCCS, và NCSC-UK phối hợp ban hành, cung cấp thông tin cập nhật quan trọng về nhóm tội phạm mạng Scattered Spider. Ban đầu được công bố vào tháng 11 năm 2023 và đã sửa đổi nhiều lần, gần đây nhất vào ngày 29 tháng 7 năm 2025, bản tư vấn này nhấn mạnh các hoạt động liên tục và thích ứng của nhóm nhằm vào các tổ chức lớn trong lĩnh vực cơ sở hạ tầng trọng yếu, cơ sở thương mại và các ngành liên quan, gây ra một mối đe dọa mạng đáng kể.
Tổng Quan về Nhóm Tấn Công Scattered Spider và Phương Thức Hoạt Động
Scattered Spider, còn được biết đến với các biệt danh như UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm-0875, và Muddled Libra, chuyên về tống tiền dữ liệu, triển khai mã độc tống tiền (ransomware) và các chiến thuật tấn công phi kỹ thuật (social engineering) tinh vi. Sự xuất hiện và thích nghi liên tục của Scattered Spider đặt ra một mối đe dọa mạng nghiêm trọng cho các doanh nghiệp.
Các bản cập nhật năm 2025 làm nổi bật những kỹ thuật mới mà nhóm sử dụng, chẳng hạn như giả mạo cấp cao để thao túng bộ phận hỗ trợ IT nhằm đặt lại mật khẩu và chuyển hướng xác thực đa yếu tố (MFA). Nhóm này cũng sử dụng các mã độc như RattyRAT để thực hiện trinh sát một cách bí mật và DragonForce ransomware để mã hóa các hệ thống như máy chủ VMware ESXi.
Những diễn biến này cho phép nhóm nhanh chóng trích xuất dữ liệu lên các nền tảng như MEGA[.]NZ hoặc Amazon S3, thường sau khi chạy hàng ngàn truy vấn trong các môi trường như Snowflake. Sau đó, chúng yêu cầu tiền chuộc thông qua các kênh bảo mật như TOR, Tox hoặc các ứng dụng mã hóa.
Bản tư vấn cũng nhấn mạnh sự dịch chuyển của nhóm từ các chiến dịch lừa đảo diện rộng sang các hoạt động tấn công lừa đảo có mục tiêu (spearphishing) và tấn công qua điện thoại (vishing) đa lớp. Những cuộc tấn công mạng này được tăng cường bởi dữ liệu cá nhân thu thập từ mạng xã hội, các nguồn công khai và chợ đen bất hợp pháp.
Chiến Thuật, Kỹ Thuật và Quy Trình (TTPs) của Scattered Spider
Bằng cách ánh xạ các hoạt động vào khuôn khổ MITRE ATT&CK (phiên bản 17), bản tư vấn mô tả chi tiết cách Scattered Spider né tránh phát hiện thông qua các kỹ thuật “sống trên đất” (living-off-the-land – LOTL). Nhóm sử dụng các công cụ hợp pháp để hòa mình vào hoạt động mạng bình thường, đồng thời thường xuyên sửa đổi TTPs để chống lại các biện pháp phòng thủ.
Thu thập Thông tin và Truy cập Ban đầu
Các cuộc tấn công mạng của Scattered Spider tuân theo một chu trình có cấu trúc, bắt đầu bằng giai đoạn trinh sát. Trong giai đoạn này, các tác nhân đe dọa lùng sục các trang web doanh nghiệp, mạng xã hội và cơ sở dữ liệu để tìm kiếm thông tin nhận dạng cá nhân (PII) của nhân viên, vai trò và thông tin đăng nhập. Thường thì chúng mua các thông tin này từ các chợ đen trên dark web.
Truy cập ban đầu được thực hiện thông qua nhiều phương pháp khác nhau, bao gồm lừa đảo qua email (phishing), lừa đảo qua tin nhắn (smishing), gây mệt mỏi MFA (bombarding người dùng với các yêu cầu xác thực cho đến khi họ chấp nhận), hoán đổi SIM (SIM swaps) hoặc khai thác mối quan hệ với bên thứ ba đáng tin cậy.
Khai thác, Duy trì Quyền truy cập và Di chuyển ngang
Giả mạo đóng vai trò trung tâm trong các cuộc tấn công này. Các tác nhân đóng giả nhân viên IT thông qua các cuộc gọi điện thoại hoặc SMS để lừa nhân viên chia sẻ mã OTP, chạy các công cụ truy cập từ xa như TeamViewer, AnyDesk, Ngrok, hoặc Teleport.sh, hoặc chỉ đạo bộ phận hỗ trợ đặt lại thông tin xác thực.
Một khi đã xâm nhập vào hệ thống, chúng thiết lập quyền truy cập bền vững bằng cách đăng ký các mã thông báo MFA giả mạo, triển khai phần mềm giám sát và quản lý từ xa (RMM) như Fleetdeck.io, Pulseway, hoặc Tactical.RMM. Đồng thời, nhóm này cũng tạo ra các danh tính người dùng mới được hỗ trợ bởi các hồ sơ mạng xã hội giả mạo.
Nâng cao đặc quyền liên quan đến việc sửa đổi quy trình xác thực hoặc tận dụng các công cụ giao tiếp nội bộ để thực hiện các cuộc tấn công phi kỹ thuật tiếp theo. Phát hiện và di chuyển ngang mục tiêu hướng đến các trang SharePoint, Active Directory, kho mã nguồn và các tài nguyên đám mây như AWS EC2, cho phép thu thập dữ liệu từ email, bản sao lưu và cơ sở dữ liệu.
Trích xuất Dữ liệu và Sử dụng Mã độc
Quá trình trích xuất tập trung vào các tài sản có giá trị cao, được dàn dựng trong các công cụ ETL tập trung trước khi chuyển giao. Sau đó, dữ liệu thường bị mã hóa để tống tiền, dẫn đến rò rỉ dữ liệu nghiêm trọng nếu nạn nhân không hợp tác. Khả năng này cho thấy mức độ nguy hiểm của mối đe dọa mạng mà nhóm gây ra.
Các mã độc như Raccoon Stealer và VIDAR hỗ trợ việc đánh cắp dữ liệu trình duyệt, cookie và thông tin đăng nhập. Nhóm cũng giám sát phản ứng của nạn nhân trong các công cụ như Slack hoặc Microsoft Teams để điều chỉnh chiến thuật và duy trì quyền truy cập, sử dụng proxy để che giấu nguồn gốc của chúng.
Biện Pháp Phòng Chống và Tăng Cường An Ninh Mạng
Để chống lại những mối đe dọa mạng này, bản tư vấn đưa ra các khuyến nghị phù hợp với Mục tiêu Hiệu suất An ninh mạng Liên ngành (CPGs) của CISA và NIST. Các khuyến nghị này tập trung vào các biện pháp phòng ngừa và giảm thiểu rủi ro toàn diện.
Triển khai Xác thực Đa yếu tố (MFA) chống Lừa đảo
Ưu tiên triển khai MFA có khả năng chống lừa đảo (ví dụ: FIDO/WebAuthn hoặc dựa trên PKI) để ngăn chặn các cuộc tấn công đẩy MFA (push bombing) và hoán đổi SIM. Đây là hàng rào phòng thủ quan trọng nhất để bảo vệ tài khoản người dùng khỏi các mối đe dọa mạng.
Kiểm soát Ứng dụng và Quản lý Truy cập Từ xa
- Thực hiện allowlisting ứng dụng để chặn các công cụ truy cập từ xa không được ủy quyền.
- Kiểm tra nhật ký thường xuyên để phát hiện các hoạt động truy cập từ xa bất thường.
- Hạn chế RDP bằng cách đóng các cổng không sử dụng, thực thi khóa tài khoản sau nhiều lần đăng nhập sai và yêu cầu MFA cho tất cả các kết nối RDP.
Tăng cường Bảo mật Mạng và Quản lý Bản vá
Phân đoạn mạng (network segmentation) giúp giới hạn sự di chuyển ngang của kẻ tấn công trong trường hợp bị xâm nhập. Đồng thời, việc cập nhật bản vá bảo mật kịp thời cho các lỗ hổng đã biết, duy trì các bản sao lưu ngoại tuyến được mã hóa và kiểm tra khôi phục định kỳ sẽ giảm thiểu đáng kể tác động của các cuộc tấn công.
Theo báo cáo từ CISA, các chính sách mật khẩu nên tuân thủ tiêu chuẩn NIST: mật khẩu phải là duy nhất, mạnh (tối thiểu 15 ký tự), không được sử dụng lại và không có gợi ý. Quyền quản trị viên cần thiết cho việc cài đặt phần mềm phải được kiểm soát chặt chẽ. (Nguồn: CISA)
Giám sát Nâng cao và Đào tạo Nhân viên
Giám sát nâng cao thông qua các công cụ phát hiện và phản ứng điểm cuối (EDR) giúp phát hiện các hoạt động bất thường, chẳng hạn như đăng nhập rủi ro hoặc các nỗ lực trích xuất dữ liệu. Việc đào tạo nhân viên về các mối đe dọa như vishing và spearphishing là rất quan trọng để xây dựng một tuyến phòng thủ vững chắc từ cấp độ người dùng và đối phó hiệu quả với các mối đe dọa mạng.
Bản tư vấn khuyên nên xác thực các kiểm soát bảo mật so với các kỹ thuật ATT&CK bằng cách sử dụng các công cụ như Decider của CISA. Đối với các tổ chức ở Vương quốc Anh, cần tham khảo blog của NCSC tháng 5 năm 2025 về các sự cố tương tự.
Bằng cách áp dụng các biện pháp này, bao gồm tắt các cổng không sử dụng, thêm biểu ngữ email bên ngoài và duy trì các bản sao lưu bất biến (immutable backups), các tổ chức có thể giảm đáng kể khả năng bị xâm nhập và giảm thiểu thiệt hại tài chính cũng như hoạt động từ các chiến dịch tống tiền của Scattered Spider, qua đó nâng cao tổng thể khả năng an ninh mạng của mình và đối phó tốt hơn với các mối đe dọa mạng.
