Nhóm ShinyHunters, một mối đe dọa mạng có động cơ tài chính, đã tái xuất với một loạt các cuộc tấn công mạng tinh vi. Các chiến dịch này nhắm vào các phiên bản Salesforce thuộc các doanh nghiệp lớn trong nhiều ngành, bao gồm bán lẻ, hàng không và bảo hiểm. Sự trở lại này diễn ra sau khoảng một năm tương đối yên tĩnh, đặc biệt là sau khi một số thành viên của nhóm bị bắt giữ vào tháng 6 năm 2024.

Phân tích từ ReliaQuest cho thấy một cơ sở hạ tầng được điều phối chặt chẽ. Cơ sở hạ tầng này bao gồm các tên miền lừa đảo (phishing) chủ đề vé và các trang thu thập thông tin xác thực. Ví dụ điển hình là các tên miền như ticket-lvmh[.]com và dashboard-salesforce[.]com.

Các tên miền này được đăng ký thông qua GMO Internet. Chúng sử dụng các máy chủ tên (nameserver) được che giấu bởi Cloudflare và email đăng ký tạm thời.

Chiến Dịch Tấn Công Salesforce Của ShinyHunters

Các tên miền lừa đảo trên lưu trữ các mồi nhử (lures) mang nhãn hiệu Okta. Chúng bắt chước các công cụ hợp pháp như Salesforce Data Loader, được đổi tên thành “My Ticket Portal”. Mục đích là để tạo điều kiện cho các chiến dịch vishing.

Trong các chiến dịch vishing, kẻ tấn công mạo danh bộ phận hỗ trợ IT. Chúng lừa người dùng cấp quyền cho các ứng dụng kết nối độc hại.

Kỹ thuật này cho phép đánh cắp dữ liệu thông tin xác thực. Tiếp đó, dữ liệu được trích xuất thông qua API, thường được che giấu bằng Mullvad VPN. Sau đó, dữ liệu bị đánh cắp sẽ được sử dụng để tống tiền.

Các chiến thuật mới của nhóm ShinyHunters khác biệt đáng kể so với trọng tâm truyền thống của nhóm. Trước đây, ShinyHunters tập trung vào việc khai thác cơ sở dữ liệu và đánh cắp thông tin xác thực một cách lén lút.

Các phương pháp này hiện phù hợp chặt chẽ với phương pháp kỹ thuật xã hội đặc trưng của Scattered Spider. Các phương pháp đó bao gồm vishing có mục tiêu, khai thác sự mệt mỏi của MFA, và các mô hình mạo danh tên miền như SSO-company[.]com.

Mối Liên Kết Giữa ShinyHunters và Scattered Spider

Bằng chứng gián tiếp chỉ ra một liên minh tiềm năng giữa ShinyHunters và Scattered Spider. Mối liên kết này có thể đã hình thành từ tháng 7 năm 2024. Điều này được thể hiện qua các chiến dịch chồng chéo và cơ sở hạ tầng chung.

Một người dùng trên BreachForums với bí danh “Sp1d3rhunters” đã xuất hiện vào tháng 5 năm 2024. Bí danh này là một từ ghép tên của hai nhóm. Người dùng này đã rò rỉ dữ liệu Ticketmaster, vốn trước đây được cho là do ShinyHunters thực hiện. Trong khi đó, các tuyên bố trên Telegram từ cùng bí danh này khẳng định rằng hai nhóm “là một”.

Các mẫu đăng ký tên miền cũng xác nhận điều này. Hơn 700 tên miền mạo danh đã được phát hiện trong năm 2025. Các tên miền này bắt chước định dạng của Scattered Spider.

Mục tiêu tấn công đã chuyển từ các dịch vụ chuyên nghiệp, khoa học và kỹ thuật (PSTS). Hiện tại, đã có sự gia tăng 12% trong các dịch vụ tài chính kể từ tháng 7, cùng với các cuộc tấn công liên tục vào các nhà cung cấp công nghệ.

Hoa Kỳ vẫn là mục tiêu chính, chiếm phần lớn các tên miền độc hại này. Điều này là do sự tập trung của các công ty công nghệ giá trị cao tại đây. Xu hướng này phản ánh các xu hướng tội phạm mạng rộng lớn hơn, như ransomware, nơi 67% nạn nhân quý 2 năm 2025 có trụ sở tại Hoa Kỳ.

Các tên miền này thường có thời gian tồn tại ngắn. Chúng liên kết với các bộ công cụ lừa đảo để giả mạo SSO. Điều này cho thấy các chiến dịch tấn công Salesforce đang diễn ra liên tục.

Các từ khóa như “ticket”, “okta”, hoặc “helpdesk” kết hợp với tên công ty hoặc SaaS (ví dụ: company-salesforce[.]com) có thể là các chỉ số sớm của một mối đe dọa mạng.

Sự hợp tác đáng ngờ này, có thể thuộc tập đoàn “The Com” lớn hơn (nổi tiếng với SIM-swapping, chiếm quyền tài khoản và trộm cắp tiền điện tử), làm tăng cường mối đe dọa. Các TTPs (chiến thuật, kỹ thuật và quy trình) lai tạo của chúng giúp né tránh các biện pháp phòng thủ truyền thống.

Chỉ Số Đe Dọa (IOCs)

Các tên miền lừa đảo được xác định trong các chiến dịch tấn công ShinyHunters bao gồm:

• ticket-lvmh[.]com
• dashboard-salesforce[.]com
• Các tên miền mạo danh sử dụng mẫu như SSO-company[.]com
• Các tên miền sử dụng từ khóa “ticket”, “okta”, “helpdesk” kết hợp với tên công ty hoặc SaaS (ví dụ: company-salesforce[.]com)

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Các tổ chức nên ưu tiên phát hiện hành vi thay vì chỉ tập trung vào việc quy kết. Cần theo dõi các hoạt động API bất thường, thực thi danh sách IP được phép (IP allowlists), và hạn chế các quyền như “Manage Connected Apps”.

Nền tảng GreyMatter DRP của ReliaQuest cho phép phát hiện nhanh chóng các tên miền mạo danh. Các playbook tự động hóa cho việc chấm dứt phiên, đặt lại mật khẩu, quét máy chủ và vô hiệu hóa người dùng giúp giảm thời gian trung bình để ngăn chặn (MTTC) từ hàng giờ xuống còn vài phút. Để biết thêm chi tiết về phân tích của ReliaQuest, truy cập: ReliaQuest Blog.

Để giảm thiểu rủi ro, cần tăng cường khả năng chống lại kỹ thuật xã hội. Điều này có thể thực hiện thông qua các cuộc mô phỏng vishing. Đồng thời, bắt buộc sử dụng MFA (Multi-Factor Authentication) và đào tạo nâng cao nhận thức về sự mệt mỏi của MFA.

Thực hiện các truy vấn tình báo tên miền đối với các nhà đăng ký như GMO Internet hoặc các dịch vụ bảo mật quyền riêng tư như PrivacyGuardian. Khi ShinyHunters có thể sớm công khai các vụ rò rỉ dữ liệu trên các diễn đàn, các lĩnh vực tài chính và công nghệ đối mặt với rủi ro gia tăng.

Điều này nhấn mạnh sự cần thiết của các biện pháp phòng thủ chủ động tập trung vào TTPs. Các biện pháp này sẽ chống lại các đối thủ thích nghi, nói tiếng Anh, những kẻ khai thác lỗ hổng con người và SaaS để kiếm tiền từ dữ liệu và gây gián đoạn.