Cảnh báo khẩn cấp: Xâm nhập mạng bùng nổ qua thị trường ngầm

10/01/2026
5 mins read
Cảnh báo khẩn cấp: Xâm nhập mạng bùng nổ qua thị trường ngầm

Môi trường mối đe dọa mạng tại khu vực Australia và New Zealand đã bước vào giai đoạn then chốt trong năm 2025. Các tác nhân đe dọa đang triển khai những cuộc tấn công ngày càng phức tạp, tập trung vào việc rao bán quyền truy cập mạng bị xâm nhập. Hoạt động này làm gia tăng đáng kể nguy cơ

xâm nhập mạng

đối với các tổ chức.

Nội dung
Thị Trường Truy Cập Ban Đầu Bị Xâm Nhập: Một Nguy Cơ Mạng Lưới Rộng Lớn

Mục Tiêu Chiến Lược của Các Cuộc Tấn Công Xâm Nhập Mạng
Cấu Trúc Thị Trường Xâm Nhập Ban Đầu và Các Tác Nhân Đe Dọa

Các Tác Nhân Bán Quyền Truy Cập Nổi Bật
Minh Họa Thực Tế Về Các Cuộc Xâm Nhập Mạng

Vụ Tấn Công của Scattered Spider vào Hãng Hàng Không Lớn
Rao Bán Dữ Liệu Lớn từ Stari4ok
Các Chỉ Số Thỏa Hiệp (IOCs)
Phòng Ngừa và Ứng Phó Với Các Rủi Ro Xâm Nhập Mạng

Tăng Cường Xác Thực và Quản Lý Quyền Truy Cập
Giám Sát Mạng và Phát Hiện Bất Thường
Quản Lý Lỗ Hổng và Cập Nhật Bản Vá
Huấn Luyện Nhận Thức Về An Ninh Mạng

Thị Trường Truy Cập Ban Đầu Bị Xâm Nhập: Một Nguy Cơ Mạng Lưới Rộng Lớn

Phòng Nghiên cứu và Tình báo Cyble đã ghi nhận 92 trường hợp rao bán quyền truy cập bị xâm phạm nhắm vào các tổ chức trong cả hai khu vực trong năm qua. Điều này cho thấy một thị trường ngầm trưởng thành và được thương mại hóa, nơi thông tin xác thực bị đánh cắp và các điểm truy cập mạng được giao dịch công khai trên các diễn đàn tội phạm mạng. Sự phát triển này khẳng định xu hướng các nhóm tội phạm tập trung vào việc kiếm lợi từ các lỗ hổng hệ thống và quy trình bảo mật.

Mục Tiêu Chiến Lược của Các Cuộc Tấn Công Xâm Nhập Mạng

Các cuộc tấn công này đã ảnh hưởng không cân xứng đến các ngành công nghiệp giàu dữ liệu. Các tác nhân đe dọa duy trì trọng tâm chiến lược vào các lĩnh vực như bán lẻ, ngân hàng, dịch vụ tài chính, bảo hiểm, dịch vụ chuyên nghiệp và chăm sóc sức khỏe. Sự lựa chọn mục tiêu phản ánh sự hiểu biết của kẻ tấn công về giá trị cao của dữ liệu trong các ngành này.

  • Bán lẻ: Chiếm 31 sự cố, tương đương khoảng 34% tổng số quyền truy cập ban đầu được rao bán, cao hơn gấp ba lần so với các ngành cạnh tranh.
  • BFSI (Ngân hàng, Dịch vụ Tài chính & Bảo hiểm): Tiếp theo với 9 danh sách truy cập bị xâm phạm.
  • Dịch vụ chuyên nghiệp: Ghi nhận 7 sự cố.

Việc nhắm mục tiêu này có thể do khối lượng dữ liệu khách hàng khổng lồ, thông tin tài chính nhạy cảm hoặc cơ hội tiếp cận sâu hơn vào các mạng bổ sung thông qua các đối tác và chuỗi cung ứng.

Cấu Trúc Thị Trường Xâm Nhập Ban Đầu và Các Tác Nhân Đe Dọa

Thị trường truy cập ban đầu bị xâm nhập hoạt động như một hệ sinh thái phân mảnh cao, thay vì một hoạt động tập trung được kiểm soát bởi một số ít tác nhân. Điều này làm cho việc theo dõi và giảm thiểu các mối đe dọa trở nên phức tạp hơn.

Các Tác Nhân Bán Quyền Truy Cập Nổi Bật

Trong giai đoạn báo cáo, tác nhân đe dọa có tên cosmodrome đã nổi lên là người bán quyền truy cập bị xâm phạm nhiều nhất, theo sát là một tác nhân hoạt động dưới bí danh shopify.

Tuy nhiên, ngay cả những người bán nổi bật này cũng chỉ kiểm soát khoảng 26% tổng số danh sách được quan sát. Phần còn lại của hoạt động đến từ hàng chục người tham gia cơ hội, rao bán quyền truy cập trên các diễn đàn tiếng Nga như Exploit và các nền tảng tiếng Anh như Darkforums. Sự phân tán này cho thấy tính bền vững của mô hình kinh doanh tội phạm này.

Minh Họa Thực Tế Về Các Cuộc Xâm Nhập Mạng

Các sự cố thực tế minh họa những hậu quả hữu hình của hoạt động thị trường ngầm này, nhấn mạnh rủi ro nghiêm trọng từ việc mua bán quyền truy cập ban đầu.

Vụ Tấn Công của Scattered Spider vào Hãng Hàng Không Lớn

Vào tháng 6 năm 2025, nhóm đe dọa Scattered Spider đã thực hiện một cuộc tấn công tinh vi nhắm vào một hãng hàng không lớn của Australia. Nhóm này đã xâm nhập vào cổng dịch vụ khách hàng, làm lộ hồ sơ của gần sáu triệu khách hàng. Các dữ liệu bị lộ bao gồm tên, địa chỉ email, số điện thoại, ngày sinh và số thành viên khách hàng thân thiết.

Rao Bán Dữ Liệu Lớn từ Stari4ok

Trước đó vào tháng 3, tác nhân Stari4ok đã rao bán quyền truy cập vào một chuỗi bán lẻ lớn của Australia. Dữ liệu rao bán chứa khoảng 250 gigabyte thông tin, bao gồm một cơ sở dữ liệu SQL 30 gigabyte với 71.000 hồ sơ người dùng. Mức giá khởi điểm được niêm yết là 1.500 USD. Điều này cho thấy giá trị mà các tác nhân đe dọa gán cho thông tin truy cập mạng và dữ liệu nhạy cảm.

Thị trường truy cập phân tán này chứng tỏ rằng việc rao bán quyền truy cập ban đầu đã trở thành một nguồn doanh thu dễ tiếp cận cho nhiều tác nhân đe dọa trên toàn cầu. Điều này củng cố khả năng mở rộng và phục hồi của nền kinh tế ngầm, đồng thời khiến các tổ chức phải đối mặt với

mối đe dọa mạng

ngày càng tăng trong năm 2026.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên phân tích, các chỉ số thỏa hiệp chính liên quan đến các tác nhân đe dọa và phương thức hoạt động của chúng bao gồm:

  • Tên tác nhân đe dọa (Aliases):
    • cosmodrome
    • shopify
    • Scattered Spider
    • Stari4ok
  • Các diễn đàn tội phạm mạng:
    • Exploit (tiếng Nga)
    • Darkforums (tiếng Anh)
  • Phương thức hoạt động chính: Rao bán quyền truy cập mạng ban đầu, thông tin xác thực bị đánh cắp, cơ sở dữ liệu người dùng.

Phòng Ngừa và Ứng Phó Với Các Rủi Ro Xâm Nhập Mạng

Để chống lại nguy cơ từ thị trường truy cập ban đầu, các tổ chức cần triển khai một chiến lược bảo mật đa lớp. Việc bảo vệ các điểm truy cập ban đầu là tối quan trọng để ngăn chặn các cuộc

xâm nhập mạng

tiềm tàng.

Tăng Cường Xác Thực và Quản Lý Quyền Truy Cập

Triển khai xác thực đa yếu tố (MFA) cho tất cả các dịch vụ quan trọng, đặc biệt là các cổng truy cập từ xa (VPN, RDP, SSH) và các ứng dụng web. Thường xuyên rà soát và giới hạn quyền truy cập theo nguyên tắc ít đặc quyền nhất (Least Privilege Principle).

Giám Sát Mạng và Phát Hiện Bất Thường

Thiết lập hệ thống giám sát liên tục để phát hiện các hành vi bất thường hoặc hoạt động truy cập không mong muốn. Sử dụng Hệ thống Phát hiện Xâm nhập (IDS) và Hệ thống Ngăn chặn Xâm nhập (IPS) cùng với các giải pháp Quản lý Thông tin và Sự kiện Bảo mật (SIEM) để phân tích log và cảnh báo tức thì.

Quản Lý Lỗ Hổng và Cập Nhật Bản Vá

Thường xuyên quét lỗ hổng và áp dụng các bản vá bảo mật cho tất cả các hệ thống và ứng dụng. Ưu tiên vá các lỗ hổng nghiêm trọng, đặc biệt là những lỗ hổng có mã khai thác công khai hoặc được biết là đang bị lợi dụng trong các cuộc tấn công ban đầu.

Để cập nhật thêm thông tin về các mối đe dọa mới nhất, bạn có thể tham khảo Phân tích mối đe dọa truy cập ban đầu của Cyble.

Huấn Luyện Nhận Thức Về An Ninh Mạng

Đào tạo nhân viên về các mối đe dọa tấn công lừa đảo (phishing), kỹ thuật xã hội và tầm quan trọng của việc bảo vệ thông tin xác thực. Nhân viên thường là mắt xích yếu nhất trong chuỗi bảo mật, và việc nâng cao nhận thức có thể giảm thiểu đáng kể rủi ro. Các quy trình ứng phó sự cố cần được xây dựng và diễn tập định kỳ.

Sự gia tăng của thị trường truy cập ban đầu bị xâm nhập là một tín hiệu rõ ràng về sự thay đổi trong chiến lược của tội phạm mạng. Các tổ chức cần chủ động hơn trong việc bảo vệ các điểm truy cập ban đầu để giảm thiểu

rủi ro bảo mật

và bảo vệ dữ liệu nhạy cảm. Đây là yếu tố then chốt để duy trì

an ninh mạng

hiệu quả trong bối cảnh mối đe dọa không ngừng phát triển.