An ninh mạng

Nhóm tội phạm mạng UNC3753 sử dụng vishing và xâm nhập vật lý để tống tiền doanh nghiệp

Nhóm tin tặc UNC3753 đang thực hiện các chiến dịch tống tiền tinh vi bằng cách kết hợp lừa đảo qua điện thoại (vishing) và xâm nhập trực tiếp vào văn phòng để đánh cắp dữ liệu nhạy...

Nguyen Hung
8 Tháng 6, 2026 3 Min Read
3 0

Các nhà nghiên cứu an ninh mạng từ Google Mandiant và Google Threat Intelligence Group (GTIG) vừa công bố báo cáo về một chiến dịch tống tiền có động cơ tài chính, nhắm vào hàng chục tổ chức trong lĩnh vực dịch vụ pháp lý, tài chính và chuyên nghiệp tại Mỹ từ đầu năm 2026.

Table Of Content

Nhóm đứng sau chiến dịch này được định danh là UNC3753 (còn được biết đến với các tên gọi khác như Chatty Spider, Luna Moth hoặc Silent Ransom Group – SRG). Điểm đáng chú ý là nhóm này không chỉ sử dụng các kỹ thuật tấn công mạng truyền thống mà còn kết hợp cả phương thức xâm nhập vật lý.

Chiến thuật Vishing và Social Engineering

Theo các chuyên gia, UNC3753 sử dụng kỹ thuật vishing (lừa đảo qua điện thoại) để tiếp cận môi trường doanh nghiệp. Kẻ tấn công thường giả danh nhân viên hỗ trợ IT, gửi các email liên quan đến hóa đơn hoặc thông báo di chuyển dữ liệu để tạo lòng tin. Sau đó, chúng gọi điện thuyết phục nạn nhân chia sẻ màn hình và cài đặt các công cụ quản lý từ xa (RMM).

Khi đã có quyền truy cập, kẻ tấn công sẽ tìm kiếm và trích xuất các tài liệu quan trọng như hợp đồng pháp lý, thông tin định danh cá nhân (PII) và hồ sơ tài chính. Để duy trì sự hiện diện, chúng hướng dẫn nạn nhân cài đặt các phần mềm điều khiển từ xa hợp pháp như AnyDesk, Bomgar, SuperOps RMM hoặc Zoho Assist thông qua các liên kết từ dịch vụ Privnote.

Leo thang với xâm nhập vật lý

Một diễn biến đáng lo ngại là việc UNC3753 bắt đầu thực hiện các vụ xâm nhập vật lý. Kẻ tấn công đóng giả làm kỹ thuật viên IT để vào trực tiếp văn phòng công ty, sau đó sử dụng USB hoặc ổ cứng di động để sao chép dữ liệu từ máy tính của nạn nhân. Phương thức này giúp chúng vượt qua các rào cản kỹ thuật và hệ thống xác thực đa yếu tố (MFA) vốn được thiết lập rất chặt chẽ.

Mô hình tống tiền

Sau khi đánh cắp dữ liệu, nhóm này sử dụng các công cụ như WinSCP hoặc Rclone để chuyển dữ liệu về máy chủ của chúng. Chỉ trong vòng 30 phút sau khi rời khỏi hệ thống, nạn nhân sẽ nhận được email tống tiền với thời hạn 3 ngày để đàm phán. Nếu không tuân thủ, nhóm này đe dọa sẽ công khai toàn bộ dữ liệu lên trang web rò rỉ thông tin của chúng, đồng thời liên hệ trực tiếp với khách hàng và nhân viên của nạn nhân để gây áp lực.

Các chuyên gia nhấn mạnh rằng, các công ty luật và dịch vụ tài chính là mục tiêu hàng đầu do nắm giữ nhiều thông tin nhạy cảm về các thương vụ M&A, bí mật thương mại và báo cáo quy định. Việc nhắm vào yếu tố con người thông qua kỹ thuật social engineering cho phép UNC3753 dễ dàng vượt qua các lớp bảo mật kỹ thuật hiện đại.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept