Một nhóm tội phạm mạng tinh vi, được theo dõi là UNC3753, đã tiến hành một chiến dịch tấn công quyết liệt nhằm vào các công ty luật tại Hoa Kỳ kể từ đầu năm 2026. Nhóm này sử dụng các cuộc gọi điện thoại, kỹ thuật chia sẻ màn hình và phần mềm giám sát từ xa để xâm nhập vào hệ thống của doanh nghiệp và đánh cắp các tệp nhạy cảm. Chiến dịch này cho thấy một mối đe dọa mạng ngày càng gia tăng nhắm vào các ngành nghề có khối lượng dữ liệu quan trọng.
Chiến dịch Tấn công và Phương thức Hoạt động
Nhóm UNC3753, còn được biết đến với các tên Luna Moth, Chatty Spider và Silent Ransom Group, đã hoạt động từ ít nhất tháng 3 năm 2022. Làn sóng tấn công gần đây nhất của chúng diễn ra từ tháng 1 đến tháng 5 năm 2026, nhắm vào hàng chục tổ chức trong các lĩnh vực pháp lý, chuyên môn và dịch vụ tài chính.
Điều đáng báo động về chiến dịch này là tốc độ triển khai. Trong nhiều trường hợp, kẻ tấn công đã chuyển từ cuộc gọi điện thoại đầu tiên đến hành vi đánh cắp dữ liệu thực tế trong vòng một ngày làm việc. Trong một số sự cố, quá trình tìm kiếm, chuẩn bị và làm rò rỉ tệp đã hoàn thành trong vòng chưa đầy một giờ.
Tấn công bằng Vishing và Công cụ RMM
Nhóm này không dựa vào mã độc truyền thống mà nhắm trực tiếp vào con người thông qua các cuộc gọi thoại thuyết phục. Các cuộc tấn công thường bắt đầu bằng các email đơn giản, theo chủ đề hóa đơn, được gửi từ các tài khoản cá nhân. Những thông điệp này không chứa liên kết hay tệp đính kèm.
Mục đích duy nhất của chúng là gieo rắc lo ngại trong tâm trí người nhận, khiến họ dễ dàng trả lời các cuộc gọi theo dõi từ những kẻ giả danh nhân viên hỗ trợ CNTT. Nhóm tội phạm này cho thấy sự tinh vi trong việc khai thác tâm lý người dùng, dẫn đến các cuộc tấn công mạng có tỷ lệ thành công cao.
Các công ty luật nắm giữ thông tin cực kỳ nhạy cảm, bao gồm kế hoạch sáp nhập, hồ sơ khách hàng, bí mật thương mại và báo cáo quy định. Kẻ tấn công biết rằng các công ty đối mặt với áp lực danh tiếng có thể chọn cách trả tiền một cách lặng lẽ thay vì đối mặt với nguy cơ bị công khai. Sự tính toán đó thúc đẩy toàn bộ mô hình tống tiền của chúng.
Kỹ thuật Xâm nhập và Làm Rò rỉ Dữ liệu
Phương thức xâm nhập của nhóm dựa trên việc mạo danh nhân viên hỗ trợ CNTT của doanh nghiệp. Kẻ tấn công tra cứu thông tin chi tiết về nhân viên được liệt kê công khai trên các trang web của công ty, sau đó gọi trực tiếp cho những cá nhân đó. Trong cuộc gọi, chúng tuyên bố giải quyết một vấn đề bảo mật hoặc hỗ trợ một dự án di chuyển dữ liệu, xây dựng lòng tin trước khi hướng nạn nhân vào một phiên chia sẻ màn hình.
Khi chia sẻ màn hình hoạt động, kẻ tấn công hướng dẫn nạn nhân tải xuống các công cụ truy cập từ xa. UNC3753 đã sử dụng AnyDesk, Bomgar, Zoho Assist và một tác nhân SuperOps RMM trong các vụ việc riêng biệt. Để tránh để lại dấu vết, chúng cung cấp các liên kết cài đặt thông qua Privnote, một công cụ nhắn tin tự hủy, xóa tin nhắn sau khi đã đọc.
Trong nhiều trường hợp, kẻ tấn công đã truy cập môi trường máy tính để bàn ảo (VDI) của doanh nghiệp thông qua các máy tính xách tay BYOD sử dụng Windows 365 hoặc các ứng dụng Citrix. Từ đó, chúng tìm kiếm trong các hệ thống như iManage để lấy hồ sơ thuế, số An sinh Xã hội và các thỏa thuận pháp lý, sau đó chuẩn bị các tệp trong thư mục Downloads trước khi làm rò rỉ.
Sau khi các tệp được chuẩn bị, UNC3753 di chuyển chúng thông qua nhiều phương pháp. Chúng đã sử dụng WinSCP và Rclone di động để truyền tải hàng loạt, hoặc đăng nhập trực tiếp vào bộ nhớ đám mây trong trình duyệt của nạn nhân. Trong một vụ việc, nhóm đã di chuyển 1,7 gigabyte vào tài khoản Google Drive trước khi chuyển sang một phiên VDI và làm rò rỉ thêm 14,4 gigabyte bằng WinSCP.
Chiến lược này cho thấy sự đa dạng trong kỹ thuật xâm nhập mạng, kết hợp cả yếu tố xã hội và kỹ thuật để đạt được mục tiêu. Việc nhóm này liên tục cập nhật và sử dụng các công cụ mới nhất là một minh chứng cho thấy sự thích ứng nhanh chóng với bối cảnh an ninh mạng.
Tấn công Vật lý và Chỉ báo Khai thác
Ngoài các cuộc tấn công kỹ thuật số, các cá nhân có liên hệ với UNC3753 còn từng đột nhập vào văn phòng công ty, đóng giả làm kỹ thuật viên CNTT, một chiến thuật được xác nhận bởi Cảnh báo FLASH của FBI.
Những kẻ này tuyên bố sẽ sao chụp dữ liệu từ các thiết bị và sao chép dữ liệu vào ổ USB trước khi rời đi. Việc vô hiệu hóa lưu trữ USB trên tất cả các điểm cuối và hệ thống BYOD là một biện pháp kiểm soát quan trọng để ngăn chặn mối đe dọa vật lý này. Hành vi này nhấn mạnh tầm quan trọng của việc kết hợp các biện pháp bảo mật thông tin cả về kỹ thuật và quy trình.
Chỉ báo Khai thác (IoCs)
Các chỉ báo về sự cố (IoCs) sau đây được cung cấp để hỗ trợ phát hiện và phòng ngừa. Lưu ý rằng địa chỉ IP và tên miền được làm mờ (ví dụ: [.] để ngăn chặn việc phân giải hoặc tạo siêu liên kết vô tình. Chỉ hiển thị rõ ràng trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Các tên miền lừa đảo thường tuân theo các mẫu như
[tổ chức]-itdesk.comvà[tổ chức]-helpdesk.com. - Việc sử dụng các công cụ truy cập từ xa phổ biến như AnyDesk, Bomgar, Zoho Assist, và SuperOps RMM.
- Sử dụng các dịch vụ nhắn tin tự hủy như Privnote để chia sẻ liên kết tải xuống.
- Truy cập các môi trường máy tính để bàn ảo thông qua Windows 365 hoặc Citrix clients.
- Tìm kiếm các loại dữ liệu nhạy cảm như hồ sơ thuế, số An sinh Xã hội và các thỏa thuận pháp lý trong các hệ thống quản lý tài liệu.
- Sử dụng các công cụ truyền tải tệp như WinSCP và Rclone, hoặc truy cập trực tiếp vào các dịch vụ lưu trữ đám mây như Google Drive.
- Các báo cáo về việc các đối tượng đóng giả làm kỹ thuật viên CNTT đột nhập văn phòng và sao chép dữ liệu vào ổ USB.
Các tổ chức nên giám sát lưu lượng SSH và các hoạt động truyền tải dữ liệu ra ngoài để phát hiện các dấu hiệu bất thường, đồng thời cấu hình cảnh báo theo thời gian thực trong các nền tảng tài liệu cho các hoạt động tải xuống hàng loạt. Tên miền lừa đảo được nhóm này sử dụng có thể bị chặn ở cấp độ DNS. Việc xác minh khách truy cập vật lý, bao gồm ghi nhật ký ID và yêu cầu hộ tống bắt buộc đối với nhân viên kỹ thuật, phải được thực thi mà không có ngoại lệ.
Việc triển khai các biện pháp cập nhật bản vá và tăng cường nhận thức cho người dùng về các kỹ thuật lừa đảo là cực kỳ quan trọng để chống lại các chiến dịch tấn công tương tự trong tương lai. Tin tức bảo mật từ các nguồn uy tín như báo cáo của Google Cloud là nguồn thông tin quý giá để hiểu rõ hơn về các mối đe dọa mới nổi.
