Nhóm tấn công mạng khét tiếng Scattered Spider, còn được biết đến với các tên gọi UNC3944 hoặc Octo Tempest, đã nổi lên như một mối đe dọa đáng gờm đối với các ngành công nghiệp có giá trị cao, đặc biệt tập trung vào lĩnh vực công nghệ, tài chính và bán lẻ.
Chiến thuật Tấn công và Kỹ thuật Xâm nhập
Kỹ thuật Giả mạo và Phishing tinh vi
Nghiên cứu gần đây tiết lộ rằng 81% các tên miền được đăng ký bởi nhóm này giả mạo các nhà cung cấp công nghệ. Mục tiêu chính là thu thập thông tin xác thực từ các mục tiêu có giá trị cao như quản trị viên hệ thống và giám đốc điều hành.
Bằng cách tận dụng các framework phishing tiên tiến như Evilginx, Scattered Spider đã tinh chỉnh khả năng xâm nhập vào các hệ thống quan trọng. Evilginx có khả năng mô phỏng các trang đăng nhập hợp pháp để thu thập thông tin xác thực và cookie phiên trong thời gian thực, đồng thời bỏ qua cơ chế xác thực đa yếu tố (MFA).
Khai thác Tâm lý và Kỹ thuật Xã hội
Kết hợp với các chiến thuật kỹ thuật xã hội phức tạp, bao gồm cả gọi điện lừa đảo (vishing), nhóm này khai thác lòng tin của con người một cách tàn khốc. Chúng thường giả mạo nhân viên hoặc ban lãnh đạo để thao túng nhân viên bộ phận hỗ trợ (help-desk), nhằm giành quyền truy cập hoặc đặt lại thông tin xác thực.
Mục tiêu Chiến lược: Nhà cung cấp Dịch vụ Quản lý (MSPs) và Chuỗi Cung ứng
Chiến lược của Scattered Spider không chỉ dừng lại ở các cuộc tấn công trực tiếp. Nhóm này còn nhắm mục tiêu chiến lược vào các nhà cung cấp dịch vụ quản lý (MSPs) và các nhà thầu IT để khai thác mô hình truy cập “một-đến-nhiều” của họ. Điều này cho phép chúng xâm nhập vào nhiều mạng lưới khách hàng từ một điểm bị xâm nhập duy nhất.
Chiến thuật này đã được chứng minh rõ ràng trong làn sóng tấn công mạng vào tháng 5 năm 2025 nhắm vào các nhà bán lẻ ở Vương quốc Anh như Marks & Spencer, Co-op và Harrods, cũng như các sự cố tương tự ở Mỹ. Các nhà điều tra nghi ngờ Scattered Spider có liên quan do tính chất phối hợp của các vụ xâm nhập này.
Các báo cáo cho thấy nhóm đã khai thác các tài khoản bị xâm nhập từ nhà thầu IT toàn cầu Tata Consultancy Services (TCS) để giành quyền truy cập ban đầu. Điều này nhấn mạnh cách các nhà cung cấp bên thứ ba đóng vai trò là cửa ngõ dẫn đến các mạng lưới rộng lớn hơn.
Phạm vi Mục tiêu và Liên minh Ransomware
Ngoài ra, 70% mục tiêu của nhóm thuộc các lĩnh vực công nghệ, tài chính và bán lẻ, với 60% các tên miền phishing Evilginx của chúng được nhắm mục tiêu cụ thể vào các tổ chức công nghệ. Sự tập trung này nhấn mạnh ý định của Scattered Spider nhằm tối đa hóa tác động bằng cách xâm phạm các thực thể quản lý cơ sở hạ tầng quan trọng và dữ liệu nhạy cảm.
Những cuộc tấn công này thường dẫn đến việc triển khai ransomware, thường xuyên có sự hợp tác với các nhà điều hành ransomware khác như ALPHV, RansomHub và DragonForce.
Xu hướng Hạ tầng và Kỹ thuật Né tránh Phát hiện
Các xu hướng về hạ tầng của nhóm cho thấy một sự thay đổi có tính toán trong chiến thuật để né tránh phát hiện. Chúng đã chuyển từ việc sử dụng các tên miền có dấu gạch ngang sang các từ khóa dựa trên subdomain, mô phỏng các dịch vụ đáng tin cậy như SSO, VPN và các nền tảng helpdesk.
Phân tích hơn 600 tên miền liên quan đến Scattered Spider từ quý 1 năm 2022 đến quý 1 năm 2025 cho thấy những thay đổi thường xuyên về nhà cung cấp dịch vụ lưu trữ và nhà đăng ký, thường là mỗi một đến hai tháng. Điều này khiến việc giám sát chủ động trở nên thiết yếu.
Yếu tố Con người và Các Mối đe dọa Tiềm ẩn
Ngoài các khai thác kỹ thuật, sự phụ thuộc của Scattered Spider vào kỹ thuật xã hội còn được khuếch đại bởi mối quan hệ đối tác với các tác nhân có liên kết với Nga. Các tác nhân này tuyển dụng những người nói tiếng Anh trôi chảy để thực hiện các cuộc tấn công giả mạo thuyết phục trong giờ làm việc của các nước phương Tây.
Những sự hợp tác này, cùng với khả năng áp dụng công nghệ giọng nói deepfake AI, báo hiệu một sự tiến hóa đáng báo động trong các chiến thuật lừa đảo.
Biện pháp Phòng thủ và Giảm thiểu Rủi ro
Khi Scattered Spider tiếp tục nhắm mục tiêu vào các quốc gia ngoài CIS (Cộng đồng các Quốc gia Độc lập) có nguồn vốn đáng kể hoặc dữ liệu giá trị, các tổ chức phải tăng cường phòng thủ bằng các biện pháp sau:
- Xác thực dựa trên rủi ro (risk-based authentication): Thực hiện các cơ chế xác thực thích ứng với mức độ rủi ro của phiên truy cập.
- Xác thực đa yếu tố (MFA) bắt buộc trên các jumpbox được tăng cường bảo mật (hardened jumpboxes): Đảm bảo rằng mọi điểm truy cập nhảy vọt vào mạng lưới quan trọng đều yêu cầu MFA mạnh mẽ.
- Đánh giá kỹ thuật xã hội thường xuyên (regular social engineering assessments): Định kỳ kiểm tra khả năng chống chịu của nhân viên và quy trình trước các cuộc tấn công kỹ thuật xã hội.
Mối đe dọa dai dẳng do nhóm này gây ra, không hề nao núng ngay cả sau các vụ bắt giữ vào năm 2024, đòi hỏi các biện pháp bảo mật thích ứng và thông tin tình báo có thể hành động để giảm thiểu rủi ro đánh cắp thông tin xác thực và các chiến dịch ransomware khai thác cả lỗ hổng con người và công nghệ.
