VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã liên kết một loạt cuộc tấn công mạng mới nhắm vào các dịch vụ tài chính với nhóm tội phạm mạng khét tiếng có tên Scattered Spider, làm dấy lên nghi ngờ về tuyên bố "ẩn mình" của nhóm này.

Công ty tình báo về mối đe dọa ReliaQuest cho biết họ đã quan sát thấy các dấu hiệu cho thấy nhóm tin tặc này đã chuyển hướng tập trung sang lĩnh vực tài chính. Điều này được chứng minh bằng sự gia tăng các tên miền tương tự có khả năng liên quan đến nhóm này, hướng đến ngành dọc, cũng như một vụ xâm nhập có chủ đích gần đây được xác định nhắm vào một tổ chức ngân hàng Hoa Kỳ chưa được nêu tên.


Công ty cho biết : "Scattered Spider đã giành được quyền truy cập ban đầu bằng cách tấn công xã hội vào tài khoản của một giám đốc điều hành và đặt lại mật khẩu của họ thông qua Azure Active Directory Self-Service Password Management".

"Từ đó, chúng truy cập vào các tài liệu bảo mật và CNTT nhạy cảm, di chuyển ngang qua môi trường Citrix và VPN, và xâm phạm cơ sở hạ tầng VMware ESXi để đánh cắp thông tin đăng nhập và xâm nhập sâu hơn vào mạng."

Để đạt được mục đích leo thang đặc quyền, kẻ tấn công đã đặt lại mật khẩu tài khoản dịch vụ Veeam, gán quyền Quản trị viên Toàn cầu Azure và di dời các máy ảo để tránh bị phát hiện. Cũng có dấu hiệu cho thấy Scattered Spider đã cố gắng đánh cắp dữ liệu từ Snowflake, Amazon Web Services (AWS) và các kho lưu trữ khác.

Hoạt động gần đây đã làm suy yếu tuyên bố của nhóm rằng chúng đã ngừng hoạt động cùng với 14 nhóm tội phạm khác, chẳng hạn như LAPSUS$. Scattered Spider là biệt danh được đặt cho một nhóm hacker hoạt động lỏng lẻo, thuộc một thực thể trực tuyến lớn hơn có tên là The Com.

Nhóm này cũng có mức độ chồng chéo cao với các nhóm tội phạm mạng khác như ShinyHunters và LAPSUS$, đến mức ba nhóm này hình thành nên một thực thể bao trùm có tên là "những thợ săn LAPSUS$ rải rác".

Một trong những nhóm này, đáng chú ý là ShinyHunters, cũng đã tham gia vào các nỗ lực tống tiền sau khi đánh cắp dữ liệu nhạy cảm từ các máy chủ Salesforce của nạn nhân. Trong những trường hợp này, hoạt động diễn ra nhiều tháng sau khi các mục tiêu bị tấn công bởi một nhóm tin tặc khác có động cơ tài chính, được Mandiant thuộc sở hữu của Google theo dõi với tên gọi UNC6040.

ReliaQuest cho biết thêm, vụ việc này là lời nhắc nhở chúng ta không nên bị ru ngủ bởi cảm giác an toàn giả tạo, đồng thời kêu gọi các tổ chức luôn cảnh giác trước mối đe dọa này. Giống như trường hợp của các nhóm ransomware, không có khái niệm "nghỉ hưu" vì chúng rất có thể sẽ tập hợp lại hoặc đổi tên dưới một bí danh khác trong tương lai.

"Thông tin gần đây cho rằng Scattered Spider sẽ giải nghệ cần được xem xét với mức độ hoài nghi đáng kể", Karl Sigler, giám đốc nghiên cứu bảo mật của SpiderLabs Threat Intelligence tại Trustwave, một công ty thuộc LevelBlue, cho biết. "Thay vì thực sự tan rã, thông báo này có thể báo hiệu một động thái chiến lược nhằm tránh xa áp lực ngày càng tăng từ phía cơ quan thực thi pháp luật."

Sigler cũng chỉ ra rằng lá thư chia tay nên được xem như một cuộc rút lui chiến lược, cho phép nhóm này đánh giá lại các hoạt động của mình, tinh chỉnh các thủ đoạn và tránh những nỗ lực đang diễn ra nhằm ngăn chặn các hoạt động của nhóm, chưa kể đến việc làm phức tạp thêm các nỗ lực xác định thủ phạm bằng cách khiến việc liên kết các sự cố trong tương lai với cùng những nhân vật cốt lõi trở nên khó khăn hơn.

"Rất có thể một điều gì đó trong cơ sở hạ tầng hoạt động của nhóm đã bị xâm phạm. Cho dù là do hệ thống bị xâm nhập, kênh liên lạc bị lộ, hay việc bắt giữ các chi nhánh cấp thấp hơn, thì có khả năng điều gì đó đã khiến nhóm này phải ngừng hoạt động, ít nhất là tạm thời. Theo truyền thống, khi các nhóm tội phạm mạng phải đối mặt với sự giám sát chặt chẽ hơn hoặc bị gián đoạn nội bộ, chúng thường "nghỉ hưu" trên danh nghĩa, thay vào đó chọn cách tạm dừng, tập hợp lại và cuối cùng tái xuất dưới một danh tính mới."