Scattered Spider: Hé Lộ Kỹ Thuật Phishing Tinh Vi và Chiến Lược Tấn Công Mạng

09/07/2025
4 mins read

Check Point Research đã tiết lộ các chi tiết quan trọng về mô hình tên miền lừa đảo (phishing domain patterns) và kỹ thuật tấn công nâng cao của tổ chức khét tiếng Scattered Spider. Những phát hiện này làm sáng tỏ một làn sóng đe dọa mạng mới đang được điều tra kỹ lưỡng.

Nội dung
Tổng quan về Scattered Spider
Mô hình tấn công Phishing và cơ sở hạ tầng tên miền
Các kỹ thuật tấn công nâng cao
Kỹ thuật xã hội và thao túng người dùng
Công cụ truy cập từ xa và phần mềm độc hại
Ảnh hưởng và các ngành mục tiêu
Các biện pháp phòng thủ khuyến nghị
Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)
Tên miền lừa đảo (Phishing Domains):
Phần mềm độc hại (Malware):
Công cụ truy cập từ xa (Remote Access Tools – RATs):
Mã độc tống tiền (Ransomware):

Tổng quan về Scattered Spider

Scattered Spider, còn được biết đến với tên gọi UNC3944, là một nhóm tấn công mạng có động cơ tài chính, hoạt động từ ít nhất năm 2022. Nhóm này bao gồm các cá nhân trẻ tuổi, độ tuổi từ 19–22, có nguồn gốc từ Hoa KỳVương quốc Anh. Chúng nổi tiếng với các chiến thuật kỹ thuật xã hội (social engineering) hung hãn. Ban đầu tập trung vào các mục tiêu doanh nghiệp truyền thống, Scattered Spider gần đây đã mở rộng phạm vi tấn công sang lĩnh vực hàng không.

Các sự cố đáng chú ý liên quan đến nhóm này bao gồm vụ vi phạm dữ liệu vào tháng 7 năm 2025 ảnh hưởng đến sáu triệu khách hàng của hãng hàng không Qantas. Ngoài ra, các cuộc tấn công nhằm vào Hawaiian AirlinesWestJet cũng đã được ghi nhận, làm nổi bật nhu cầu cấp thiết về các biện pháp phòng thủ mạnh mẽ và kiên cố.

Những phát hiện của Check Point cho thấy một cơ sở hạ tầng lừa đảo rộng lớn được thiết kế để đánh lừa nhân viên trên nhiều ngành công nghiệp, từ công nghệ và bán lẻ đến dịch vụ y tế và tài chính. Điều này nhấn mạnh cách tiếp cận cơ hội và không phân biệt ngành của nhóm Scattered Spider.

Mô hình tấn công Phishing và cơ sở hạ tầng tên miền

Check Point Research đã xác định khoảng 500 tên miền đáng ngờ được tạo ra để mô phỏng các cổng đăng nhập hợp pháp của công ty. Các tên miền này tuân theo các quy ước đặt tên nhất quán nhằm tăng tính hợp pháp và đánh lừa người dùng. Các mẫu tên miền phổ biến bao gồm “victimname-sso.com” hoặc “victimname-okta.com”. Ví dụ, các tên miền như “chipotle-sso[.]com”“hubspot-okta[.]com” minh họa cách chúng giả mạo chặt chẽ các nền tảng đáng tin cậy để lừa người dùng tiết lộ thông tin đăng nhập.

Mặc dù không phải tất cả các tên miền này đều được xác nhận là độc hại, sự phù hợp của chúng với các chiến thuật, kỹ thuật và quy trình (TTPs) đã biết của Scattered Spider cho thấy ý định tiềm tàng cho các chiến dịch hiện tại hoặc trong tương lai.

Các kỹ thuật tấn công nâng cao

Ngoài các chiến dịch lừa đảo tinh vi, nhóm Scattered Spider còn sử dụng một bộ công cụ mạnh mẽ bao gồm nhiều phương pháp kỹ thuật xã hội và khai thác kỹ thuật.

Kỹ thuật xã hội và thao túng người dùng

  • MFA fatigue attacks (hay còn gọi là “push bombing”): Kỹ thuật này liên tục gửi yêu cầu xác thực đa yếu tố (MFA) đến nạn nhân, với hy vọng nạn nhân sẽ chấp nhận do nhầm lẫn hoặc khó chịu.
  • SIM swapping: Kỹ thuật chiếm đoạt số điện thoại của nạn nhân bằng cách chuyển số đó sang SIM của kẻ tấn công, cho phép chúng chặn tin nhắn SMS và cuộc gọi, bao gồm cả mã OTP.
  • Voice phishing (vishing): Sử dụng các cuộc gọi điện thoại để lừa đảo, thường giả mạo nhân viên hỗ trợ kỹ thuật hoặc ngân hàng để lấy thông tin nhạy cảm.

Bằng cách thao túng nhân viên, nhóm này thuyết phục nạn nhân cài đặt các công cụ truy cập từ xa và lừa nạn nhân cung cấp mã xác thực một lần (OTP) thông qua các phương pháp cưỡng ép hoặc lừa đảo.

Công cụ truy cập từ xa và phần mềm độc hại

Scattered Spider sử dụng một loạt các công cụ truy cập từ xa hợp pháp nhưng bị lạm dụng, cũng như các loại phần mềm độc hại và ransomware để xâm nhập và duy trì sự hiện diện trong các mạng bị xâm nhập:

  • Công cụ truy cập từ xa (Remote Access Tools – RATs):
    • TeamViewer
    • Splashtop
    • Ngrok
    • Fleetdeck.io
    • Tactical RMM
  • Phần mềm độc hại (Malware):
    • WarZone RAT (Remote Access Trojan)
    • Raccoon Stealer (Info-stealer)
    • Vidar Stealer (Info-stealer)
  • Công cụ đánh cắp thông tin xác thực:
    • Mimikatz: Cho phép truy cập sâu hơn vào hệ thống bằng cách trích xuất thông tin đăng nhập từ bộ nhớ.
  • Mã độc tống tiền (Ransomware):
    • BlackCat/ALPHV: Một trong những biến thể ransomware-as-a-service (RaaS) khét tiếng nhất, được nhóm này sử dụng để mã hóa dữ liệu và tống tiền nạn nhân.

Những công cụ này, kết hợp với các chiến thuật mạo danh qua điện thoại và SMS, khai thác điểm yếu của con người với độ chính xác cao.

Ảnh hưởng và các ngành mục tiêu

Các tiết lộ này phác họa một bức tranh về một đối thủ thích ứng cao, phát triển mạnh nhờ khai thác cả điểm yếu kỹ thuật và tâm lý. Đối với các doanh nghiệp và tổ chức hàng không, những hậu quả là sâu sắc, khi các nhà cung cấp bên thứ ba, đặc biệt là các trung tâm cuộc gọi hàng không, nổi lên như những mắt xích yếu phổ biến.

Khả năng của Scattered Spider trong việc chuyển đổi mục tiêu giữa các lĩnh vực, nhắm vào mọi thứ từ nền tảng khách hàng thân thiết đến cơ sở hạ tầng đám mây, là một lời nhắc nhở rõ ràng rằng không có tổ chức nào miễn nhiễm với những hiểm họa của kỹ thuật xã hội tinh vi và các chiến thuật xâm nhập dai dẳng.

Các biện pháp phòng thủ khuyến nghị

Check Point kêu gọi các tổ chức thực hiện các biện pháp chủ động để củng cố phòng thủ chống lại các mối đe dọa từ Scattered Spider. Những biện pháp này bao gồm:

  • Giám sát tên miền liên tục: Phát hiện và chặn các đăng ký tên miền đáng ngờ mô phỏng các cổng thông tin hợp pháp.
  • Đào tạo nhân viên toàn diện: Nâng cao nhận thức về các cuộc tấn công lạm dụng MFA (MFA abuse) và các nỗ lực lừa đảo qua điện thoại (vishing attempts).
  • Xác thực thích ứng với phát hiện hành vi bất thường: Triển khai các hệ thống xác thực có khả năng phân tích hành vi người dùng để phát hiện các hoạt động bất thường.
  • Bảo mật endpoint mạnh mẽ: Đảm bảo các giải pháp bảo mật endpoint được cập nhật và cấu hình đúng cách để phát hiện và ngăn chặn phần mềm độc hại.
  • Kiểm toán rủi ro nhà cung cấp nghiêm ngặt: Đánh giá định kỳ và chặt chẽ các nhà cung cấp bên thứ ba để đảm bảo họ tuân thủ các tiêu chuẩn bảo mật cao.

Đối với ngành hàng không, các biện pháp phòng thủ đặc thù được khuyến nghị để giải quyết các rủi ro riêng của ngành:

  • Xác minh danh tính nhiều lớp: Đặc biệt quan trọng đối với các quy trình đặt lại mật khẩu của nhân viên và khách hàng.
  • Kịch bản ứng phó sự cố được tùy chỉnh: Phát triển các playbook ứng phó sự cố dành riêng cho các trường hợp vi phạm dữ liệu hành khách.

Chỉ số thỏa hiệp (Indicators of Compromise – IOCs)

Dựa trên các phân tích của Check Point Research, dưới đây là các chỉ số thỏa hiệp liên quan đến các chiến dịch của Scattered Spider:

Tên miền lừa đảo (Phishing Domains):

  • Mẫu: victimname-sso.com
  • Mẫu: victimname-okta.com
  • Ví dụ: chipotle-sso[.]com
  • Ví dụ: hubspot-okta[.]com

Phần mềm độc hại (Malware):

  • WarZone RAT
  • Raccoon Stealer
  • Vidar Stealer
  • Mimikatz (công cụ đánh cắp thông tin xác thực)

Công cụ truy cập từ xa (Remote Access Tools – RATs):

  • TeamViewer
  • Splashtop
  • Ngrok
  • Fleetdeck.io
  • Tactical RMM

Mã độc tống tiền (Ransomware):

  • BlackCat/ALPHV