Từ cuộc gọi giả danh đến chiếm quyền root: Cách Scattered Spider tấn công hệ thống ảo hóa

[CyberThao]

Kỹ thuật xã hội tinh vi, mục tiêu là hệ thống ảo hóa trọng yếu​

Nhóm hacker khét tiếng Scattered Spider, còn được biết đến với các tên khác như 0ktapus, Muddled Libra, Octo Tempest và UNC3944, đang mở rộng phạm vi tấn công sang các máy chủ ảo VMware ESXi – hệ thống then chốt của nhiều doanh nghiệp trong ngành bán lẻ, hàng không và vận tải tại Bắc Mỹ.
Khác với các nhóm ransomware thông thường, Scattered Spider không khai thác lỗ hổng phần mềm, mà tập trung vào kỹ thuật xã hội qua các cuộc gọi giả mạo đến bộ phận hỗ trợ CNTT, nhằm chiếm quyền kiểm soát tài khoản quản trị.
Theo Google Mandiant, nhóm này "rất hung hăng, sáng tạo và cực kỳ thành thạo trong việc vượt qua các lớp bảo mật thông qua kỹ năng giả danh và thao túng con người". Chúng nhắm đến những hệ thống quan trọng nhất và sử dụng chiến thuật "sống ngoài thực địa" (Living off the Land) để ẩn mình trong môi trường nội bộ.

Một khi chiếm quyền truy cập ban đầu, nhóm hacker nhanh chóng di chuyển sang môi trường ảo hóa VMware vSphere, tận dụng quyền kiểm soát Active Directory để tiếp cận sâu hơn.
Google nhận định: “Chiến lược này rất hiệu quả, vì nó bỏ qua các phần mềm bảo mật truyền thống và để lại rất ít dấu vết bị xâm nhập”.

Các bước tấn công bài bản, tốc độ và gần như vô hình​

Quy trình tấn công của Scattered Spider diễn ra theo 5 giai đoạn chính:

1. Xâm nhập và do thám: Lấy cắp tài liệu IT, sơ đồ tổ chức, hướng dẫn hỗ trợ và danh sách tài khoản quản trị. Nhóm này còn gọi điện đến IT Helpdesk, mạo danh quản trị viên để yêu cầu đặt lại mật khẩu.
2. Di chuyển sang môi trường ảo hóa: Sử dụng tài khoản Active Directory đã chiếm quyền để truy cập vào vCenter Server Appliance (vCSA), tạo shell mã hóa nhằm duy trì quyền truy cập và vượt qua firewall.
3. Chiếm quyền máy chủ ESXi: Kích hoạt kết nối SSH, đặt lại mật khẩu root, và dùng kỹ thuật "đổi đĩa" để lấy tệp NTDS.dit từ máy chủ Domain Controller, chứa toàn bộ dữ liệu Active Directory.
4. Xoá dữ liệu sao lưu: Phá hủy ảnh chụp nhanh (snapshot), kho lưu trữ và nhiệm vụ sao lưu để ngăn chặn việc phục hồi sau tấn công.
5. Triển khai mã độc tống tiền: Sử dụng SSH để đưa mã độc tùy chỉnh lên máy chủ ESXi qua SCP/SFTP và mã hóa toàn bộ dữ liệu.

Google cảnh báo rằng toàn bộ quá trình từ xâm nhập đến mã hóa có thể chỉ diễn ra trong vài giờ, khiến nạn nhân gần như không kịp phản ứng. Đây là điểm khác biệt lớn so với các mã độc Windows truyền thống: rất nhanh và rất khó phát hiện.
Theo Palo Alto Networks Unit 42, Scattered Spider còn hợp tác với nhóm DragonForce (hay Slippery Scorpius) trong ít nhất một chiến dịch, và đã đánh cắp hơn 100 GB dữ liệu chỉ trong 48 giờ.

Ba lớp bảo vệ cần triển khai ngay lập tức​

Để giảm thiểu rủi ro trước những cuộc tấn công nhắm vào nền tảng ảo hóa, các chuyên gia khuyến nghị:

1. Tăng cường bảo mật hệ thống ảo hóa:
   • Bật chế độ khóa vSphere
   • Thực thi execInstalledOnly
   • Sử dụng mã hóa máy ảo
   • Vô hiệu hóa các máy ảo cũ không còn dùng
   • Bảo mật chặt chẽ bộ phận trợ giúp kỹ thuật
2. Gia cố bảo vệ danh tính và truy cập:
   • Áp dụng MFA chống giả mạo
   • Cô lập hệ thống nhận dạng và tránh vòng lặp xác thực
   • Ngăn quản trị viên bị xâm phạm truy cập hệ thống
3. Giám sát và sao lưu thông minh:
   • Tập trung nhật ký quan trọng để phân tích
   • Cách ly bản sao lưu khỏi Active Directory đang hoạt động

Ngoài ra, Google cũng cảnh báo rằng VMware vSphere 7 sẽ hết vòng đời (EoL) vào tháng 10/2025, và các tổ chức cần sớm thiết kế lại hạ tầng bảo mật trước thời điểm này.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/scattered-spider-hijacks-vmware-esxi-to.html

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview