Scattered Spider, còn được theo dõi dưới các bí danh như UNC3944, Scatter Swine, và Muddled Libra, đã nổi lên như một nhóm tội phạm mạng có động cơ tài chính đáng gờm kể từ ít nhất tháng 5 năm 2022. Ban đầu, nhóm này được biết đến với việc nhắm mục tiêu vào các công ty viễn thông và công nghệ bằng các chiến dịch lừa đảo (phishing) và hoán đổi SIM (SIM-swapping). Tuy nhiên, Scattered Spider đã phát triển đáng kể, dàn dựng các cuộc xâm nhập đa giai đoạn, toàn diện trên cả môi trường đám mây và tại chỗ.
Các vụ tấn công gần đây của chúng nhắm vào các nhà bán lẻ và hãng hàng không ở Vương quốc Anh, cùng các lĩnh vực như tài chính và bán lẻ, đã làm nổi bật phạm vi hoạt động mở rộng và các chiến thuật tinh vi của nhóm.
Chiến thuật, Kỹ thuật và Quy trình (TTPs) của Scattered Spider
Scattered Spider nổi tiếng với khả năng tận dụng sự kết hợp giữa kỹ thuật xã hội tiên tiến và các kỹ thuật kỹ thuật phức tạp để đạt được mục tiêu của mình. Phương pháp tiếp cận này giúp chúng vượt qua các biện pháp kiểm soát an ninh truyền thống và duy trì sự hiện diện dai dẳng trong mạng lưới mục tiêu.
Kỹ thuật Xã hội và Truy cập Ban đầu
Một trong những đặc điểm nổi bật của Scattered Spider là sự chuyên môn hóa trong kỹ thuật xã hội. Nhóm này thường xuyên mạo danh nhân viên bộ phận hỗ trợ IT (IT help desk) để lừa nhân viên tiết lộ thông tin xác thực hoặc cài đặt phần mềm truy cập từ xa. Các kỹ thuật phổ biến bao gồm:
- MFA fatigue push bombing: Gửi một lượng lớn thông báo xác thực đa yếu tố (MFA) đến thiết bị của nạn nhân cho đến khi họ chấp nhận, thường là do mệt mỏi hoặc nhầm lẫn.
- Help desk scams: Gọi điện hoặc gửi email mạo danh bộ phận hỗ trợ IT để yêu cầu người dùng thực hiện các hành động cụ thể, chẳng hạn như cung cấp thông tin đăng nhập hoặc cấp quyền truy cập vào máy tính của họ.
Những chiến thuật này cho phép Scattered Spider đạt được quyền truy cập ban đầu vào mạng lưới mục tiêu một cách hiệu quả.
Leo thang Đặc quyền và Lạm dụng Cơ sở hạ tầng Định danh
Một khi đã xâm nhập thành công, nhóm này tập trung vào việc nhắm mục tiêu vào các tài khoản có đặc quyền cao để bỏ qua các phương pháp leo thang đặc quyền truyền thống. Điều này thể hiện sự hiểu biết sâu sắc của chúng về việc lạm dụng cơ sở hạ tầng định danh, cho phép chúng chiếm quyền kiểm soát các tài khoản quan trọng và mở rộng quyền truy cập của mình mà không bị phát hiện.
Duy trì Quyền truy cập và Né tránh Phát hiện
Điều làm nên sự khác biệt của Scattered Spider là khả năng sử dụng khéo léo các công cụ hợp pháp cho mục đích duy trì quyền truy cập và né tránh phát hiện. Bằng cách pha trộn các hoạt động độc hại với các hoạt động IT thông thường, chúng giảm thiểu khả năng bị phát hiện. Các công cụ như TeamViewer, AnyDesk, Splashtop, và ConnectWise Control thường được tái sử dụng làm backdoor cho truy cập từ xa. Hơn nữa, các cơ chế mới như nền tảng truy cập hạ tầng Teleport gần đây đã được quan sát trong một sự cố. Trong trường hợp này, những kẻ tấn công đã cài đặt một tác nhân Teleport trên các máy chủ Amazon EC2 bị xâm nhập để duy trì một kênh chỉ huy và kiểm soát (C2) liên tục, đảm bảo quyền truy cập ngay cả khi thông tin xác thực ban đầu bị thu hồi.
Di chuyển Ngang và Trích xuất Dữ liệu
Các chiến thuật di chuyển ngang của chúng bao gồm cả việc liệt kê tài nguyên đám mây thông qua các cuộc gọi AWS API để giả mạo vai trò (role assumption) và di chuyển ngang trong môi trường tại chỗ bằng cách sử dụng giao thức Windows RDP (Remote Desktop Protocol) và SMB (Server Message Block) thông qua các công cụ như PsExec.
Bộ công cụ của chúng cũng bao gồm các tiện ích đánh cắp thông tin xác thực như Mimikatz và các phương pháp né tránh tiên tiến như tấn công Bring-Your-Own-Vulnerable-Driver (BYOVD) với các driver như STONESTOP và POORTRY để vô hiệu hóa các giải pháp bảo mật điểm cuối. Phương pháp tiếp cận “sống trên đất” (living-off-the-land) này, kết hợp với việc khai thác các lỗ hổng như CVE-2021-35464 trong ForgeRock AM, giảm thiểu sự phụ thuộc vào phần mềm độc hại tùy chỉnh, khiến việc phát hiện trở nên khó khăn hơn.
Tác động và Mục tiêu Cuối cùng
Mục tiêu cuối cùng của Scattered Spider thường liên quan đến việc đánh cắp dữ liệu để tống tiền. Nhóm này thường xuyên hợp tác với các nhóm ransomware như ALPHV/BlackCat và DragonForce, như đã thấy trong các cuộc tấn công bán lẻ ở Vương quốc Anh năm 2025. Khả năng trích xuất các bộ dữ liệu khổng lồ của chúng, được minh chứng bằng vụ vi phạm MGM Resorts năm 2023 gây thiệt hại hơn 100 triệu đô la, làm gia tăng tác động của các kế hoạch tống tiền kép của chúng.
Biện pháp Phòng thủ và Khuyến nghị
Để phòng thủ trước những mối đe dọa như Scattered Spider, cần có một chiến lược phòng thủ theo chiều sâu mạnh mẽ, tập trung vào việc củng cố bảo mật định danh và giám sát cảnh giác.
Củng cố Bảo mật Định danh và Truy cập
- Tăng cường quy trình xác minh bộ phận hỗ trợ: Các doanh nghiệp phải tăng cường các quy trình xác minh cho bộ phận hỗ trợ để ngăn chặn các vụ lừa đảo kỹ thuật xã hội. Điều này bao gồm việc yêu cầu xác minh danh tính nhiều lớp hoặc quy trình xác thực độc lập.
- Triển khai MFA chống lừa đảo: Áp dụng các giải pháp xác thực đa yếu tố (MFA) có khả năng chống lừa đảo, đặc biệt là với các biện pháp bảo vệ chống lại tấn công đẩy thông báo MFA (push notification protections). Các phương thức MFA dựa trên mã thông báo phần cứng (hardware tokens) hoặc FIDO2/WebAuthn cung cấp khả năng bảo vệ cao hơn.
- Hạn chế các công cụ đám mây: Khóa chặt các đường dẫn đám mây bằng cách hạn chế các công cụ như AWS Systems Manager chỉ cho những người dùng được ủy quyền và theo dõi chặt chẽ nhật ký kiểm toán (audit logs) để tìm các dấu hiệu bất thường.
Giám sát và Phát hiện Chủ động
- Phát hiện điểm cuối: Triển khai các giải pháp phát hiện và phản hồi điểm cuối (EDR) mạnh mẽ để theo dõi và phát hiện các hoạt động bất thường trên thiết bị đầu cuối.
- Giám sát mạng: Theo dõi mạng lưới để tìm kiếm các kết nối đi ra (outbound connections) bất thường hoặc lưu lượng truy cập đáng ngờ, đặc biệt là từ các công cụ quản trị từ xa hợp pháp.
- Kiểm soát nghiêm ngặt công cụ quản trị từ xa: Thiết lập kiểm soát chặt chẽ đối với việc sử dụng và cấu hình các công cụ quản trị từ xa như TeamViewer, AnyDesk, Splashtop và ConnectWise Control. Chỉ cho phép sử dụng chúng khi cần thiết và giám sát chặt chẽ.
- Theo dõi nhật ký kiểm toán: Thường xuyên kiểm tra và phân tích nhật ký kiểm toán từ các hệ thống định danh, dịch vụ đám mây, và điểm cuối để phát hiện các hành vi truy cập hoặc cấu hình bất thường.
Nguyên tắc Bảo mật Tổng thể
- Vệ sinh định danh: Ưu tiên vệ sinh định danh bằng cách đảm bảo các tài khoản được quản lý đúng cách, loại bỏ tài khoản không sử dụng và thường xuyên xem xét quyền truy cập.
- Nguyên tắc đặc quyền tối thiểu: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege), chỉ cấp cho người dùng và hệ thống các quyền cần thiết để thực hiện công việc của họ.
- Kế hoạch ứng phó sự cố toàn diện: Phát triển và thường xuyên kiểm tra các kế hoạch ứng phó sự cố toàn diện, bao gồm các quy trình sao lưu ngoại tuyến (offline backups) để đảm bảo khả năng phục hồi sau các cuộc tấn công dữ liệu và ransomware.
Bằng cách ưu tiên vệ sinh định danh, nguyên tắc đặc quyền tối thiểu và các kế hoạch ứng phó sự cố toàn diện với sao lưu ngoại tuyến, các tổ chức có thể giảm thiểu rủi ro do sự pha trộn tinh vi giữa lừa đảo con người và khai thác kỹ thuật của Scattered Spider, đảm bảo khả năng phục hồi trước mối đe dọa mạng linh hoạt này.
