Duy Linh
Writer
Scattered Spider, còn gọi là UNC3944, Scatter Swine hoặc Muddled Libra, là nhóm tội phạm mạng hoạt động vì mục đích tài chính, nổi lên từ tháng 5 năm 2022. Ban đầu, nhóm này nhắm vào các công ty viễn thông và công nghệ thông qua hình thức lừa đảo và hoán đổi SIM. Sau đó, chúng mở rộng phạm vi sang các nhà bán lẻ, hãng hàng không và tổ chức tài chính ở Anh, sử dụng các kỹ thuật ngày càng tinh vi.
Nhóm đặc biệt giỏi trong việc lừa đảo xã hội, thường mạo danh nhân viên IT để đánh lừa nhân viên thật tiết lộ thông tin đăng nhập hoặc cài phần mềm điều khiển từ xa. Các hình thức tấn công như đẩy MFA giả, lừa bộ phận trợ giúp là các phương pháp phổ biến để lấy quyền truy cập ban đầu. Sau khi đột nhập, nhóm nhanh chóng nhắm tới các tài khoản có đặc quyền cao để tránh phải leo thang quyền thông qua các cách truyền thống. Điều này cho thấy hiểu biết sâu sắc của họ về hạ tầng danh tính.
Chiến thuật di chuyển ngang bao gồm sử dụng lệnh gọi API trong môi trường AWS để nắm quyền và thao túng hệ thống tại chỗ qua Windows RDP và giao thức SMB như PsExec. Chúng cũng dùng công cụ đánh cắp thông tin như Mimikatz và kỹ thuật nâng cao như tấn công Bring-Your-Own-Vulnerable-Driver (BYOVD) thông qua STONESTOP và POORTRY để vô hiệu hóa phần mềm bảo mật.
Nhóm còn khai thác lỗ hổng như CVE-2021-35464 trong ForgeRock AM, giúp giảm phụ thuộc vào phần mềm độc hại tùy chỉnh và khiến việc phát hiện càng khó khăn hơn.
Để đối phó, các tổ chức cần chiến lược phòng thủ toàn diện, tập trung vào bảo vệ danh tính và giám sát sát sao. Điều này bao gồm xác minh kỹ lưỡng bộ phận trợ giúp, triển khai xác thực đa yếu tố (MFA) chống lừa đảo với cảnh báo bảo mật, và giới hạn quyền truy cập các công cụ như AWS Systems Manager chỉ cho người dùng được phép. Đồng thời, cần theo dõi nhật ký kiểm tra, kiểm soát chặt các công cụ điều khiển từ xa và giám sát lưu lượng mạng bất thường.
Bằng cách áp dụng nguyên tắc đặc quyền tối thiểu, vệ sinh danh tính và kế hoạch ứng phó với sao lưu ngoại tuyến, các doanh nghiệp có thể nâng cao khả năng phục hồi trước mối đe dọa thích ứng như Scattered Spider.
Đọc chi tiết tại đây: https://gbhackers.com/scattered-spider-enhances-tactics-to-exploit-legitimate-tools/
Nhóm đặc biệt giỏi trong việc lừa đảo xã hội, thường mạo danh nhân viên IT để đánh lừa nhân viên thật tiết lộ thông tin đăng nhập hoặc cài phần mềm điều khiển từ xa. Các hình thức tấn công như đẩy MFA giả, lừa bộ phận trợ giúp là các phương pháp phổ biến để lấy quyền truy cập ban đầu. Sau khi đột nhập, nhóm nhanh chóng nhắm tới các tài khoản có đặc quyền cao để tránh phải leo thang quyền thông qua các cách truyền thống. Điều này cho thấy hiểu biết sâu sắc của họ về hạ tầng danh tính.
Lạm dụng công cụ hợp pháp để ẩn mình và tấn công quy mô lớn
Scattered Spider nổi bật nhờ khả năng sử dụng linh hoạt các công cụ hợp pháp như TeamViewer, AnyDesk, Splashtop và ConnectWise Control để duy trì quyền truy cập từ xa. Chúng trộn lẫn hoạt động độc hại với hoạt động IT thông thường để tránh bị phát hiện. Một vụ việc điển hình là khi Rapid7 phát hiện nhóm sử dụng nền tảng Teleport, cài đặt tác nhân trên máy chủ Amazon EC2 bị chiếm quyền, duy trì kết nối chỉ huy ngay cả khi bị thu hồi thông tin đăng nhập.Chiến thuật di chuyển ngang bao gồm sử dụng lệnh gọi API trong môi trường AWS để nắm quyền và thao túng hệ thống tại chỗ qua Windows RDP và giao thức SMB như PsExec. Chúng cũng dùng công cụ đánh cắp thông tin như Mimikatz và kỹ thuật nâng cao như tấn công Bring-Your-Own-Vulnerable-Driver (BYOVD) thông qua STONESTOP và POORTRY để vô hiệu hóa phần mềm bảo mật.
Nhóm còn khai thác lỗ hổng như CVE-2021-35464 trong ForgeRock AM, giúp giảm phụ thuộc vào phần mềm độc hại tùy chỉnh và khiến việc phát hiện càng khó khăn hơn.
Mục tiêu tống tiền và yêu cầu bảo vệ mạnh mẽ hơn
Scattered Spider thường đánh cắp dữ liệu nhằm tống tiền và hợp tác với các nhóm ransomware như ALPHV/BlackCat và DragonForce. Trong một cuộc tấn công bán lẻ tại Anh năm 2025, nhóm đã cho thấy khả năng thực hiện tống tiền kép hiệu quả. Vụ xâm nhập MGM Resorts năm 2023 khiến tổn thất hơn 100 triệu USD (khoảng 2.54 nghìn tỷ VNĐ), là minh chứng cho mức độ thiệt hại nghiêm trọng.Để đối phó, các tổ chức cần chiến lược phòng thủ toàn diện, tập trung vào bảo vệ danh tính và giám sát sát sao. Điều này bao gồm xác minh kỹ lưỡng bộ phận trợ giúp, triển khai xác thực đa yếu tố (MFA) chống lừa đảo với cảnh báo bảo mật, và giới hạn quyền truy cập các công cụ như AWS Systems Manager chỉ cho người dùng được phép. Đồng thời, cần theo dõi nhật ký kiểm tra, kiểm soát chặt các công cụ điều khiển từ xa và giám sát lưu lượng mạng bất thường.
Bằng cách áp dụng nguyên tắc đặc quyền tối thiểu, vệ sinh danh tính và kế hoạch ứng phó với sao lưu ngoại tuyến, các doanh nghiệp có thể nâng cao khả năng phục hồi trước mối đe dọa thích ứng như Scattered Spider.
Đọc chi tiết tại đây: https://gbhackers.com/scattered-spider-enhances-tactics-to-exploit-legitimate-tools/