-
09/04/2020
-
107
-
923 bài viết
Scattered Spider - Khi kỹ nghệ xã hội trở thành vũ khí tấn công siêu cấp
Giữa tháng 9/2023, hai đế chế casino lớn nhất nước Mỹ đồng loạt rơi vào hỗn loạn. Hệ thống đặt phòng sập, dịch vụ tê liệt, thiệt hại hàng triệu USD mỗi giờ.
Không có mã độc. Không cảnh báo. Không lỗ hổng bị khai thác.
Chỉ một cuộc gọi. Một giọng nói quen thuộc và một nhân viên làm đúng quy trình… nhưng với nhầm người.
Đứng sau tất cả là một nhóm có cái tên kỳ lạ: Scattered Spider.
Không giống các nhóm APT truyền thống thường tập trung phát triển mã độc, Scattered Spider sử dụng một chiến lược rất “đời thường” nhưng cực kỳ hiệu quả: khai thác yếu tố con người thông qua các kỹ nghệ xã hội (social engineering). Họ mô phỏng hoàn hảo quy trình hỗ trợ kỹ thuật, dựng kịch bản giả danh tinh vi để chiếm quyền truy cập nội bộ. Cấu trúc của nhóm phi tập trung, dễ tái cấu trúc sau mỗi đợt truy quét, khiến việc truy vết trở nên cực kỳ khó khăn.
Phần lớn thành viên hoạt động trên các diễn đàn hacker, Telegram và Discord. Một số có liên hệ với cộng đồng ngầm The Comm, nơi quy tụ các nhóm tội phạm mạng trẻ tuổi, tinh ranh và khó kiểm soát. Có nghi vấn cho rằng một số thành viên cũ của LAPSUS$ – nhóm từng gây bão với các cuộc tấn công vào Microsoft và Nvidia, hiện đã gia nhập Scattered Spider. Thay vì phát triển mã độc, nhóm tập trung tinh chỉnh kịch bản lừa đảo và kỹ năng thao túng, thực hiện các chiến dịch nhắm đích (targeted) có độ chính xác cao.
Mỗi cuộc tấn công của Scattered Spider bắt đầu bằng quá trình thu thập thông tin từ nguồn mở (OSINT). Nhóm thường tìm kiếm tên nhân viên, chức danh, email công việc, vị trí địa lý và mối quan hệ nội bộ thông qua LinkedIn, dữ liệu rò rỉ, diễn đàn công khai hoặc thậm chí Slack và Telegram của công ty. Từ đây, nhóm xây dựng chân dung các nhân viên dễ bị nhắm tới, thường là nhân viên mới, người làm ở bộ phận hỗ trợ kỹ thuật, hoặc helpdesk.
Bước 2: Gọi điện giả danh và thao túng qua kịch bản dựng sẵn
Sau khi xác định mục tiêu, nhóm thực hiện gọi điện giả danh – thường sử dụng công nghệ spoofing để hiển thị số nội bộ hoặc địa chỉ gọi tin cậy. Giọng nói được huấn luyện kỹ, kịch bản đối thoại chuẩn hóa như trong một trung tâm hỗ trợ khách hàng thực thụ. Scattered Spider thường viện lý do có sự cố bảo mật đang xảy ra, yêu cầu người dùng xác nhận danh tính bằng cách cung cấp mã OTP, hoặc hướng dẫn reset xác thực đa yếu tố (MFA).
Bước 3: Đánh lừa MFA bằng nhiều kỹ thuật
Khi nắm trong tay thông tin đăng nhập, nhóm phải vượt qua lớp bảo vệ MFA. Họ sử dụng một số kỹ thuật:
Bước 4: Duy trì quyền truy cập không cần mã độc
Sau khi chiếm được quyền truy cập, Scattered Spider không cài mã độc mà dùng chính các công cụ hợp pháp để duy trì hiện diện một cách âm thầm. Nhóm triển khai phần mềm điều khiển từ xa như AnyDesk, Atera, Splashtop – vốn quen thuộc trong quản trị hệ thống để điều khiển thiết bị mà không gây cảnh báo.
Đồng thời, họ cài ứng dụng OAuth giả mạo, tạo tài khoản admin ngầm, hoặc can thiệp API để giữ quyền truy cập lâu dài. Một số chiến dịch còn ghi nhận nhóm gán khóa MFA mới hoặc tích hợp nhà cung cấp danh tính bên ngoài do chính họ kiểm soát.
Tất cả các hành vi này đều “hợp lệ về mặt kỹ thuật" nghĩa là không kích hoạt cảnh báo, không bị antivirus ngăn chặn, không tạo ra hành vi bất thường nếu chỉ nhìn theo mẫu hình tấn công truyền thống. Nếu tổ chức không có hệ thống theo dõi hành vi người dùng (UEBA) hoặc giám sát hoạt động dựa trên bối cảnh và luồng truy cập, thì toàn bộ chuỗi hoạt động này có thể “trôi qua radar” trong nhiều tuần, thậm chí nhiều tháng.
Nhóm cũng ưu tiên các công ty có giá trị dữ liệu cao, khả năng phục hồi thấp và chịu áp lực truyền thông lớn – những yếu tố khiến nạn nhân dễ chấp nhận trả tiền chuộc hoặc cố gắng giấu nhẹm sự cố. Dưới đây là một số chiến dịch tiêu biểu phản ánh chiến lược này:
Tấn công vào ngành khách sạn: MGM và Caesars
Vụ tấn công MGM Resorts tháng 9 năm 2023 là cú đánh mở màn chấn động ngành khách sạn. Một cuộc gọi giả danh nhân viên IT đã đủ để Scattered Spider chiếm quyền truy cập vào hệ thống xác thực nội bộ. Nhóm xâm nhập vào nền tảng Okta, leo lên đặc quyền quản trị và vô hiệu hóa quyền truy cập của toàn bộ nhân viên. Cả hệ thống đặt phòng, thanh toán và quản lý sòng bạc ngưng trệ. Máy chơi bạc dừng hoạt động. Khách phải xếp hàng check-in bằng giấy và bút.
Chưa đầy một tuần sau, Caesars Entertainment trở thành nạn nhân tiếp theo. Nhóm tấn công dùng lại cùng chiến thuật giả danh hỗ trợ kỹ thuật để thao túng quy trình xác minh danh tính. Không giống MGM, Caesars chọn cách âm thầm trả gần 15 triệu đô la để khôi phục hoạt động và giữ kín vụ việc.
Điều đáng chú ý là hai tập đoàn này bị đánh gục bởi cùng một chiến thuật trong chưa đầy một tuần, cho thấy quy trình của nhóm đã được chuẩn hóa như một chiến dịch quân sự.
Tấn công vào ngành hàng không: Qantas
Scattered Spider bị nghi đứng sau vụ rò rỉ dữ liệu của Qantas, hãng hàng không lớn nhất Australia, vào tháng 6/2025. Theo tờ The Australian, khoảng 6 triệu tài khoản khách hàng đã bị ảnh hưởng, bao gồm tên, email và thông tin hành trình bay. Nhóm sử dụng lại chiến thuật vishing quen thuộc bằng cách gọi điện giả danh nhân viên IT nội bộ để thao túng quy trình xác thực và chiếm quyền truy cập.
Qantas là một tổ chức sử dụng nhiều hệ thống xác thực phân tán, trong đó có các cơ chế xác thực từ xa dành cho nhân viên kỹ thuật và bộ phận vận hành. Việc nhóm nhắm vào mục tiêu này cho thấy Scattered Spider đang mở rộng phạm vi hoạt động sang lĩnh vực hàng không. Đây là môi trường có cơ cấu nhân sự phức tạp, sử dụng nhiều đơn vị cung cấp dịch vụ và tồn tại nhiều sơ hở trong việc xác minh danh tính người dùng nội bộ.
Hạ tầng dịch vụ số: Twilio, Mailchimp, Cloudflare
Scattered Spider không chỉ nhắm vào các ngành truyền thống như khách sạn hay hàng không. Nhóm chuyển hướng sang các công ty cung cấp dịch vụ đám mây và nền tảng nhắn tin. Đây là những nơi mà chỉ cần chiếm được một tài khoản quản trị là có thể tiếp cận dữ liệu và hệ thống của hàng loạt khách hàng khác.
Tại Twilio và Mailchimp, nhóm sử dụng chiêu thức giả mạo tin nhắn nội bộ. Họ gửi SMS giả danh bộ phận IT kèm theo đường link đến trang đăng nhập được thiết kế giống hệ thống thật. Khi nhân viên nhập tài khoản và mã xác thực OTP, Scattered Spider ghi lại thông tin ngay lập tức và dùng nó để truy cập vào hệ thống thật.
Với Cloudflare, nhóm tấn công còn tinh vi hơn. Họ mô phỏng toàn bộ giao diện đăng nhập, kể cả lớp xác thực đa yếu tố và bảo vệ trình duyệt. Dù bị phát hiện sớm và ngăn chặn, vụ việc cho thấy nhóm có khả năng tái tạo trải nghiệm đăng nhập rất giống thật, đủ để đánh lừa cả những nhân viên kỹ thuật đã được đào tạo.
Chiến thuật của nhóm không chỉ nhằm vào một tổ chức. Họ chủ đích tấn công các nhà cung cấp dịch vụ để mở rộng phạm vi ảnh hưởng đến cả hệ sinh thái khách hàng bên dưới. Đây là một dạng tấn công chuỗi cung ứng trong môi trường số, nơi một tài khoản bị chiếm có thể kéo theo hậu quả trên diện rộng.
Tấn công vào ngành bán lẻ: Marks & Spencer và Co-op
Scattered Spider không dừng lại ở các ngành đặc thù như khách sạn, hàng không hay dịch vụ số. Nhóm đã mở rộng mục tiêu sang lĩnh vực bán lẻ, nơi có hệ thống phân phối rộng khắp và phụ thuộc nặng vào các nền tảng quản lý tập trung.
Tại Anh, Marks & Spencer và Co-op trở thành nạn nhân tiếp theo. Nhóm đã xâm nhập vào mạng nội bộ thông qua kỹ nghệ xã hội quen thuộc – giả danh nhân viên IT, gọi điện thao túng người dùng để đánh cắp quyền truy cập. Sau khi chiếm quyền thành công, chúng khóa hệ thống POS (điểm bán hàng), gián đoạn chuỗi cung ứng và gây ra tình trạng tê liệt tại hàng trăm cửa hàng trên toàn quốc.
Thiệt hại ước tính lên đến 300 triệu bảng Anh, bao gồm cả doanh thu thất thoát, chi phí xử lý khủng hoảng và tổn hại danh tiếng. Ngoài ra, hàng triệu dữ liệu khách hàng cũng được cho là đã bị truy xuất trái phép, làm dấy lên lo ngại về hậu quả lâu dài trong việc phục hồi lòng tin từ thị trường và người tiêu dùng.
Bắt tay với ransomware: cuộc chơi không còn đơn độc
Các chiến dịch gần đây cho thấy Scattered Spider không chỉ chiếm quyền truy cập rồi rút lui như trước. Nhóm đã hợp tác với các nhóm ransomware nổi tiếng như ALPHV hay BlackCat. Họ hỗ trợ thiết lập quyền truy cập ban đầu để đối tác có thể triển khai mã độc mã hóa dữ liệu.
Trong mô hình này, Scattered Spider đóng vai trò "Initial Access Broker" – tức là môi giới quyền truy cập. Họ bán hoặc bàn giao quyền kiểm soát hệ thống cho các nhóm ransomware để cùng chia sẻ lợi nhuận từ việc tống tiền.
Cách thức phối hợp này khiến việc điều tra và truy vết trở nên phức tạp hơn rất nhiều. Nó cũng chứng minh rằng Scattered Spider không đơn độc mà là một mắt xích trong mạng lưới tội phạm mạng có tổ chức cao, hoạt động bài bản và chuyên nghiệp.
Nhiều tổ chức đang đầu tư hàng triệu USD vào các giải pháp công nghệ như SIEM, XDR, hay firewall thế hệ mới. Nhưng các quy trình nội bộ, đặc biệt là thủ tục hỗ trợ người dùng, reset MFA, cấp lại quyền truy cập – lại thường bị coi nhẹ. Scattered Spider đã khai thác chính những quy trình 'rất đúng' để thực hiện điều 'rất sai'.
Để tự bảo vệ, tổ chức không thể chỉ trông chờ vào công nghệ. Những hành động thiết thực cần thực hiện ngay bao gồm:
Một email trông hợp lệ. Một giọng nói có vẻ quen thuộc. Một cú nhấp chuột vì quá tin vào hệ thống. Đó là tất cả những gì nhóm cần. Trong thế giới mà các cuộc tấn công ngày càng vô hình, Scattered Spider nhắc nhở chúng ta rằng đôi khi, lỗ hổng lớn nhất không nằm trong phần mềm mà nằm ở con người.
Không có mã độc. Không cảnh báo. Không lỗ hổng bị khai thác.
Chỉ một cuộc gọi. Một giọng nói quen thuộc và một nhân viên làm đúng quy trình… nhưng với nhầm người.
Đứng sau tất cả là một nhóm có cái tên kỳ lạ: Scattered Spider.
Một nhóm tấn công không giống ai
Scattered Spider, còn được biết đến với các tên gọi UNC3944, 0ktapus, Muddled Libra, Starfraud, Scatter Swine và Octo Tempest, là một nhóm tấn công đang nổi lên như một trong những mối đe dọa đáng ngại nhất hiện nay. Nhóm hoạt động từ đầu năm 2022, chủ yếu gồm các thành viên trẻ (khoảng 16–22 tuổi), nói tiếng Anh bản địa và hoạt động rời rạc tại Mỹ và Anh.Không giống các nhóm APT truyền thống thường tập trung phát triển mã độc, Scattered Spider sử dụng một chiến lược rất “đời thường” nhưng cực kỳ hiệu quả: khai thác yếu tố con người thông qua các kỹ nghệ xã hội (social engineering). Họ mô phỏng hoàn hảo quy trình hỗ trợ kỹ thuật, dựng kịch bản giả danh tinh vi để chiếm quyền truy cập nội bộ. Cấu trúc của nhóm phi tập trung, dễ tái cấu trúc sau mỗi đợt truy quét, khiến việc truy vết trở nên cực kỳ khó khăn.
Phần lớn thành viên hoạt động trên các diễn đàn hacker, Telegram và Discord. Một số có liên hệ với cộng đồng ngầm The Comm, nơi quy tụ các nhóm tội phạm mạng trẻ tuổi, tinh ranh và khó kiểm soát. Có nghi vấn cho rằng một số thành viên cũ của LAPSUS$ – nhóm từng gây bão với các cuộc tấn công vào Microsoft và Nvidia, hiện đã gia nhập Scattered Spider. Thay vì phát triển mã độc, nhóm tập trung tinh chỉnh kịch bản lừa đảo và kỹ năng thao túng, thực hiện các chiến dịch nhắm đích (targeted) có độ chính xác cao.
Quy trình tấn công: từ OSINT đến quyền quản trị
Bước 1: Khai thác nguồn mở để xây dựng chân dung mục tiêuMỗi cuộc tấn công của Scattered Spider bắt đầu bằng quá trình thu thập thông tin từ nguồn mở (OSINT). Nhóm thường tìm kiếm tên nhân viên, chức danh, email công việc, vị trí địa lý và mối quan hệ nội bộ thông qua LinkedIn, dữ liệu rò rỉ, diễn đàn công khai hoặc thậm chí Slack và Telegram của công ty. Từ đây, nhóm xây dựng chân dung các nhân viên dễ bị nhắm tới, thường là nhân viên mới, người làm ở bộ phận hỗ trợ kỹ thuật, hoặc helpdesk.
Bước 2: Gọi điện giả danh và thao túng qua kịch bản dựng sẵn
Sau khi xác định mục tiêu, nhóm thực hiện gọi điện giả danh – thường sử dụng công nghệ spoofing để hiển thị số nội bộ hoặc địa chỉ gọi tin cậy. Giọng nói được huấn luyện kỹ, kịch bản đối thoại chuẩn hóa như trong một trung tâm hỗ trợ khách hàng thực thụ. Scattered Spider thường viện lý do có sự cố bảo mật đang xảy ra, yêu cầu người dùng xác nhận danh tính bằng cách cung cấp mã OTP, hoặc hướng dẫn reset xác thực đa yếu tố (MFA).
Bước 3: Đánh lừa MFA bằng nhiều kỹ thuật
Khi nắm trong tay thông tin đăng nhập, nhóm phải vượt qua lớp bảo vệ MFA. Họ sử dụng một số kỹ thuật:
- Push bombing: gửi liên tục yêu cầu xác thực khiến người dùng bấm chấp nhận vì phiền
- SIM swapping: chiếm quyền số điện thoại để nhận OTP
- Reverse proxy: dựng trang giả mạo để đánh cắp mã OTP và session cookie theo thời gian thực
Bước 4: Duy trì quyền truy cập không cần mã độc
Sau khi chiếm được quyền truy cập, Scattered Spider không cài mã độc mà dùng chính các công cụ hợp pháp để duy trì hiện diện một cách âm thầm. Nhóm triển khai phần mềm điều khiển từ xa như AnyDesk, Atera, Splashtop – vốn quen thuộc trong quản trị hệ thống để điều khiển thiết bị mà không gây cảnh báo.
Đồng thời, họ cài ứng dụng OAuth giả mạo, tạo tài khoản admin ngầm, hoặc can thiệp API để giữ quyền truy cập lâu dài. Một số chiến dịch còn ghi nhận nhóm gán khóa MFA mới hoặc tích hợp nhà cung cấp danh tính bên ngoài do chính họ kiểm soát.
Tất cả các hành vi này đều “hợp lệ về mặt kỹ thuật" nghĩa là không kích hoạt cảnh báo, không bị antivirus ngăn chặn, không tạo ra hành vi bất thường nếu chỉ nhìn theo mẫu hình tấn công truyền thống. Nếu tổ chức không có hệ thống theo dõi hành vi người dùng (UEBA) hoặc giám sát hoạt động dựa trên bối cảnh và luồng truy cập, thì toàn bộ chuỗi hoạt động này có thể “trôi qua radar” trong nhiều tuần, thậm chí nhiều tháng.
Các chiến dịch nổi bật
Scattered Spider không chọn mục tiêu một cách ngẫu nhiên. Nhóm đặc biệt quan tâm đến các tổ chức có quy mô lớn, cơ cấu phân tán, nhiều lớp truy cập từ xa và hệ thống hỗ trợ kỹ thuật vận hành theo quy trình chuẩn hóa. Các tổ chức như vậy thường có hàng nghìn nhân viên, sử dụng nhiều công cụ SSO hoặc VPN và phụ thuộc vào xác thực đa yếu tố – một môi trường lý tưởng để nhóm triển khai kỹ nghệ xã hội nhằm đánh lừa nhân viên tuyến đầu.Nhóm cũng ưu tiên các công ty có giá trị dữ liệu cao, khả năng phục hồi thấp và chịu áp lực truyền thông lớn – những yếu tố khiến nạn nhân dễ chấp nhận trả tiền chuộc hoặc cố gắng giấu nhẹm sự cố. Dưới đây là một số chiến dịch tiêu biểu phản ánh chiến lược này:
Tấn công vào ngành khách sạn: MGM và Caesars
Vụ tấn công MGM Resorts tháng 9 năm 2023 là cú đánh mở màn chấn động ngành khách sạn. Một cuộc gọi giả danh nhân viên IT đã đủ để Scattered Spider chiếm quyền truy cập vào hệ thống xác thực nội bộ. Nhóm xâm nhập vào nền tảng Okta, leo lên đặc quyền quản trị và vô hiệu hóa quyền truy cập của toàn bộ nhân viên. Cả hệ thống đặt phòng, thanh toán và quản lý sòng bạc ngưng trệ. Máy chơi bạc dừng hoạt động. Khách phải xếp hàng check-in bằng giấy và bút.
Chưa đầy một tuần sau, Caesars Entertainment trở thành nạn nhân tiếp theo. Nhóm tấn công dùng lại cùng chiến thuật giả danh hỗ trợ kỹ thuật để thao túng quy trình xác minh danh tính. Không giống MGM, Caesars chọn cách âm thầm trả gần 15 triệu đô la để khôi phục hoạt động và giữ kín vụ việc.
Điều đáng chú ý là hai tập đoàn này bị đánh gục bởi cùng một chiến thuật trong chưa đầy một tuần, cho thấy quy trình của nhóm đã được chuẩn hóa như một chiến dịch quân sự.
Tấn công vào ngành hàng không: Qantas
Scattered Spider bị nghi đứng sau vụ rò rỉ dữ liệu của Qantas, hãng hàng không lớn nhất Australia, vào tháng 6/2025. Theo tờ The Australian, khoảng 6 triệu tài khoản khách hàng đã bị ảnh hưởng, bao gồm tên, email và thông tin hành trình bay. Nhóm sử dụng lại chiến thuật vishing quen thuộc bằng cách gọi điện giả danh nhân viên IT nội bộ để thao túng quy trình xác thực và chiếm quyền truy cập.
Qantas là một tổ chức sử dụng nhiều hệ thống xác thực phân tán, trong đó có các cơ chế xác thực từ xa dành cho nhân viên kỹ thuật và bộ phận vận hành. Việc nhóm nhắm vào mục tiêu này cho thấy Scattered Spider đang mở rộng phạm vi hoạt động sang lĩnh vực hàng không. Đây là môi trường có cơ cấu nhân sự phức tạp, sử dụng nhiều đơn vị cung cấp dịch vụ và tồn tại nhiều sơ hở trong việc xác minh danh tính người dùng nội bộ.
Hạ tầng dịch vụ số: Twilio, Mailchimp, Cloudflare
Scattered Spider không chỉ nhắm vào các ngành truyền thống như khách sạn hay hàng không. Nhóm chuyển hướng sang các công ty cung cấp dịch vụ đám mây và nền tảng nhắn tin. Đây là những nơi mà chỉ cần chiếm được một tài khoản quản trị là có thể tiếp cận dữ liệu và hệ thống của hàng loạt khách hàng khác.
Tại Twilio và Mailchimp, nhóm sử dụng chiêu thức giả mạo tin nhắn nội bộ. Họ gửi SMS giả danh bộ phận IT kèm theo đường link đến trang đăng nhập được thiết kế giống hệ thống thật. Khi nhân viên nhập tài khoản và mã xác thực OTP, Scattered Spider ghi lại thông tin ngay lập tức và dùng nó để truy cập vào hệ thống thật.
Với Cloudflare, nhóm tấn công còn tinh vi hơn. Họ mô phỏng toàn bộ giao diện đăng nhập, kể cả lớp xác thực đa yếu tố và bảo vệ trình duyệt. Dù bị phát hiện sớm và ngăn chặn, vụ việc cho thấy nhóm có khả năng tái tạo trải nghiệm đăng nhập rất giống thật, đủ để đánh lừa cả những nhân viên kỹ thuật đã được đào tạo.
Chiến thuật của nhóm không chỉ nhằm vào một tổ chức. Họ chủ đích tấn công các nhà cung cấp dịch vụ để mở rộng phạm vi ảnh hưởng đến cả hệ sinh thái khách hàng bên dưới. Đây là một dạng tấn công chuỗi cung ứng trong môi trường số, nơi một tài khoản bị chiếm có thể kéo theo hậu quả trên diện rộng.
Tấn công vào ngành bán lẻ: Marks & Spencer và Co-op
Scattered Spider không dừng lại ở các ngành đặc thù như khách sạn, hàng không hay dịch vụ số. Nhóm đã mở rộng mục tiêu sang lĩnh vực bán lẻ, nơi có hệ thống phân phối rộng khắp và phụ thuộc nặng vào các nền tảng quản lý tập trung.
Tại Anh, Marks & Spencer và Co-op trở thành nạn nhân tiếp theo. Nhóm đã xâm nhập vào mạng nội bộ thông qua kỹ nghệ xã hội quen thuộc – giả danh nhân viên IT, gọi điện thao túng người dùng để đánh cắp quyền truy cập. Sau khi chiếm quyền thành công, chúng khóa hệ thống POS (điểm bán hàng), gián đoạn chuỗi cung ứng và gây ra tình trạng tê liệt tại hàng trăm cửa hàng trên toàn quốc.
Thiệt hại ước tính lên đến 300 triệu bảng Anh, bao gồm cả doanh thu thất thoát, chi phí xử lý khủng hoảng và tổn hại danh tiếng. Ngoài ra, hàng triệu dữ liệu khách hàng cũng được cho là đã bị truy xuất trái phép, làm dấy lên lo ngại về hậu quả lâu dài trong việc phục hồi lòng tin từ thị trường và người tiêu dùng.
Bắt tay với ransomware: cuộc chơi không còn đơn độc
Các chiến dịch gần đây cho thấy Scattered Spider không chỉ chiếm quyền truy cập rồi rút lui như trước. Nhóm đã hợp tác với các nhóm ransomware nổi tiếng như ALPHV hay BlackCat. Họ hỗ trợ thiết lập quyền truy cập ban đầu để đối tác có thể triển khai mã độc mã hóa dữ liệu.
Trong mô hình này, Scattered Spider đóng vai trò "Initial Access Broker" – tức là môi giới quyền truy cập. Họ bán hoặc bàn giao quyền kiểm soát hệ thống cho các nhóm ransomware để cùng chia sẻ lợi nhuận từ việc tống tiền.
Cách thức phối hợp này khiến việc điều tra và truy vết trở nên phức tạp hơn rất nhiều. Nó cũng chứng minh rằng Scattered Spider không đơn độc mà là một mắt xích trong mạng lưới tội phạm mạng có tổ chức cao, hoạt động bài bản và chuyên nghiệp.
Bài học từ nhóm Scattered Spider
Scattered Spider chứng minh rằng để đánh sập cả một tập đoàn, đôi khi không cần đến công cụ tinh vi, chỉ cần hiểu quy trình vận hành và khai thác đúng điểm yếu con người. Trong hầu hết các vụ việc, hệ thống bảo mật vẫn hoạt động bình thường. Nhưng chính sự tin tưởng mù quáng vào giọng nói quen thuộc, email hợp pháp hay một cuộc gọi nội bộ đã mở đường cho kẻ tấn công.Nhiều tổ chức đang đầu tư hàng triệu USD vào các giải pháp công nghệ như SIEM, XDR, hay firewall thế hệ mới. Nhưng các quy trình nội bộ, đặc biệt là thủ tục hỗ trợ người dùng, reset MFA, cấp lại quyền truy cập – lại thường bị coi nhẹ. Scattered Spider đã khai thác chính những quy trình 'rất đúng' để thực hiện điều 'rất sai'.
Để tự bảo vệ, tổ chức không thể chỉ trông chờ vào công nghệ. Những hành động thiết thực cần thực hiện ngay bao gồm:
- Rà soát toàn bộ quy trình xác thực nội bộ, đặc biệt là các điểm "yếu mềm" như quy trình reset MFA, cấp lại quyền truy cập từ xa, hoặc các tình huống hỗ trợ khẩn cấp – vốn thường bị bỏ qua trong kiểm thử bảo mật
- Triển khai hệ thống giám sát hành vi (UEBA) để phát hiện bất thường từ chính người dùng hợp pháp, thay vì chỉ dựa vào IOC, mã độc hay lưu lượng mạng
- Tập huấn kỹ nghệ xã hội định kỳ cho các bộ phận tuyến đầu như IT, helpdesk, nhân sự… với các kịch bản mô phỏng sát thực tế, bao gồm cả kiểm thử (red teaming) và phản ứng (blue teaming)
- Áp dụng mô hình Zero Trust: không cấp quyền hay thực hiện thao tác nào chỉ dựa vào email nội bộ, số máy quen thuộc hay giọng nói thân thiện. Mọi yêu cầu cần được xác thực lại từ nguồn độc lập, theo nguyên tắc “never trust, always verify”
Một email trông hợp lệ. Một giọng nói có vẻ quen thuộc. Một cú nhấp chuột vì quá tin vào hệ thống. Đó là tất cả những gì nhóm cần. Trong thế giới mà các cuộc tấn công ngày càng vô hình, Scattered Spider nhắc nhở chúng ta rằng đôi khi, lỗ hổng lớn nhất không nằm trong phần mềm mà nằm ở con người.
Theo WhiteHat