Scattered Lapsus$ Hunters: Mối đe dọa mới của không gian mạng 2025

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
116
1.179 bài viết
Scattered Lapsus$ Hunters: Mối đe dọa mới của không gian mạng 2025
WhiteHat Team
Scattered Lapsus$ Hunters (hay đôi khi viết tắt là SLSH hoặc dùng biệt hiệu liên quan như “SP1D3R Hunters”) là một “liên minh tội phạm mạng” tương đối mới. Chúng là liên minh từ ba nhóm hacker nổi tiếng: Scattered Spider, LAPSUS và ShinyHunters.

1760436308119.png

Trước khi “hợp nhất”, mỗi nhóm kể trên đã từng hoạt động riêng biệt với các chiến dịch đánh cắp dữ liệu hoặc tống tiền.
  • Scattered Spider: Nổi lên khoảng năm 2022 với cách tấn công chủ yếu bằng social engineering (như giả danh nhân viên IT, SIM swap, “mệt mỏi MFA”)
  • LAPSUS$: Vốn đã nổi tiếng với các vụ đánh cắp mã nguồn, rò rỉ source code, bình luận nội dung nhạy cảm, và tấn công trực tiếp vào các công ty lớn.
  • ShinyHunters: Là nhóm chuyên theo đuổi rò rỉ dữ liệu/ bán dữ liệu, thực hiện nhiều vụ tấn công vào các hệ thống doanh nghiệp, đặc biệt là dữ liệu người dùng, SaaS và nền tảng đám mây.
Các chuyên gia an ninh mạng cho rằng ba nhóm trên vốn đã có mối quan hệ lỏng lẻo qua một cộng đồng ngầm gọi là The Com hoặc The Community. Trong mạng lưới này, chủ yếu là các hacker trẻ tuổi, nói tiếng Anh, chuyên chia sẻ công cụ, kinh nghiệm và hợp tác tùy theo chiến dịch. Không giống kiểu cấu trúc quân đội cứng nhắc, liên minh này vận hành rất linh hoạt, theo kiểu các cá nhân hoặc đội nhỏ làm nhiệm vụ khác nhau, hợp tác tùy theo mục tiêu.

Khoảng giữa 2025, các sự kiện trên Telegram cho thấy nhóm Scattered Lapsus$ Hunters được công bố như một liên minh công khai, các kênh Telegram mang thương hiệu kết hợp, các thông điệp tống tiền hoặc tiết lộ dữ liệu được đăng dưới tên chung.

Hoạt động & phương thức tấn công

Để hiểu mức độ nguy hiểm, cần xem cách nhóm này thực hiện các chiến dịch:

1. Khởi đầu bằng social engineering​

Nhóm không “bẻ khóa” Salesforce hay hệ thống đám mây theo cách kỹ thuật cao, họ bắt đầu bằng cách lừa nhân viên thông qua vishing (gọi điện giả danh IT), SIM swap hoặc ép buộc người dùng cài ứng dụng độc hại, chấp nhận quyền API.

2. Chiếm quyền thông qua OAuth/ tích hợp bên thứ ba​

Một vụ điển hình là nhóm này đã tấn công vào Salesloft’s GitHub repository, lấy các token OAuth đã được ủy quyền để kết nối với Salesforce của khách hàng. Nhờ token này, hacker duy trì truy cập hợp pháp “như người dùng tích hợp” mà không phát hiện dễ dàng.

Sau đó, chúng có thể tạo tài khoản mới, workflow tùy chỉnh và tiếp tục di chuyển ngang giữa các tổ chức mà không cần truy cập gốc vào nền tảng chính của Salesforce.

3. Tiếp quản & thu thập dữ liệu​

Sau khi đã có quyền truy cập qua OAuth hoặc API, chúng tiếp tục thu thập dữ liệu người dùng, giao dịch, hợp đồng, thông tin nhạy cảm từ Salesforce và các hệ thống bên liên quan.

Nhóm sau đó đưa dữ liệu vào trang “leak site” (trang công bố thông tin bị rò rỉ) trên TOR, kèm lời đe dọa sẽ công khai trừ khi được trả tiền chuộc.

4. Tống tiền theo mô hình dữ liệu làm đòn bẩy (Data extortion/ EaaS)​

Khác với mã hóa toàn bộ hệ thống (ransomware truyền thống), chiến thuật của nhóm là đánh cắp dữ liệu rồi dùng nó để tống tiền. Trong lúc tống tiền, chúng còn công bố giới hạn thời hạn (deadline) để ép nạn nhân quyết định nhanh. Và nếu doanh nghiệp không trả tiền, dữ liệu sẽ bị tung công khai.

5. Khả năng tái xuất & thay đổi hình thức​

Từng có dấu hiệu nhóm tuyên bố nghỉ hoạt động (go dark), nhưng các chuyên gia hoài nghi đây chỉ là chiêu giữ kín, tái cấu trúc để tiếp tục hoạt động.
Liên minh “Scattered Lapsus$ Hunters” được công bố công khai vào khoảng giữa 2025. Sau đó, ngày 03/10/2025, nhóm này đã ra mắt “data leak site” chuyên cho chiến dịch Salesforce. Trước đó, đã có nhiều hoạt động phối hợp hoặc trùng lặp tactics giữa các nhóm (ShinyHunters & Scattered Spider) trong các vụ xâm nhập dữ liệu doanh nghiệp lớn.

Mức độ nguy hiểm & mối đe dọa tiềm ẩn

Scattered Lapsus$ Hunters không phải là nhóm hacker bình thường, đây là liên minh có khả năng:
  • Ẩn mình dưới vỏ bọc hợp lệ: Vì sử dụng OAuth token chính thức, nhiều truy cập của họ không bị cảnh báo là bất thường.
  • Lan truyền qua chuỗi cung ứng & tích hợp: Chỉ cần một dịch vụ bên thứ ba bị xâm nhập (như Salesloft) để từ đó tấn công nhiều khách hàng cùng lúc.
  • Tấn công dữ liệu nhạy cảm quy mô lớn: Các tổ chức lớn trong lĩnh vực thời trang cao cấp, hàng xa xỉ, hàng không, ngân hàng, công nghệ đều bị nhắm.
  • Ép buộc doanh nghiệp chịu áp lực trả tiền: Với mối đe dọa công khai dữ liệu, mức độ tín nhiệm của công ty có thể bị phá hủy, khả năng kiện tụng, mất khách hàng…
  • Tái xuất dạng mới, khó truy vết: Nếu “go dark” tạm thời, nhóm có thể đổi tên hoặc thành phần mới tiếp tục hoạt động, khó định danh lâu dài.
Mối đe dọa quanh tên này không chỉ dừng ở Salesforce, khi liên minh này trở nên mạnh hơn, họ có thể mở rộng tấn công vào các nền tảng SaaS quan trọng khác (AWS, hệ thống CRM khác, dữ liệu tài chính, chuỗi cung ứng).
Theo WhiteHat.vn
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hơn 1 tỷ bản ghi Salesforce bị đánh cắp: Dấu ấn của nhóm Scattered Lapsus$ Hunters
  • Khi PoC được công bố, ksmbd trở thành điểm yếu mới trên hệ thống Linux
  • Mã độc Android thế hệ mới khó phát hiện, chuyên gia cảnh báo rủi ro quy mô lớn
  • PlugX và Bookworm tái xuất trong chiến dịch APT mới nhắm vào hạ tầng viễn thông ASEAN
  • Microsoft xác nhận nhóm hacker Lapsus$ đã đánh cắp gần 37GB mã nguồn
    • Bên trên