利用人性层漏洞:Scattered Spider以身份为中心的2022-2025攻击链分析
攻击者概述
Scattered Spider(亦被追踪为UNC3944)是一个以经济利益为动机的对手组织。该组织特别活跃地针对北美和欧洲的零售、金融服务、保险和科技行业的知名公司。其行动特点是对身份和访问管理系统以及企业流程的精确和深入理解。
从2022年中后期作为初始访问经纪人(IAB)开始,该组织扩展了其业务范围,包括数据外泄/勒索和全面的勒索软件操作。这一演变标志着其影响力和复杂性的显著升级。虽然最初作为其他勒索软件组织的入口,Scattered Spider现已成熟为一个能够执行端到端攻击的威胁行为者。
在整个演变过程中,该组织严重依赖同一弱点渗透企业网络:通过复杂的社会工程技术利用人类漏洞。这些技术包括网络钓鱼、语音钓鱼和SIM交换方法,旨在绕过多因素认证并获取高权限账户的访问权限。
下表提供了2022年至2025年Scattered Spider目标行业的全面概述,包括其主要恶意活动、受影响地区和著名受害组织。
| 年份 | 主要活动 | 目标行业 | 受影响地区 | 著名受害者 |
|---|---|---|---|---|
| 2022 | 初始访问经纪人、网络钓鱼、凭据盗窃 | 电信、BPO、CRM、技术 | 北美、欧洲 | Verizon、Telstra、Salesforce |
| 2023 | 初始访问经纪人、网络钓鱼、凭据盗窃 | 游戏、酒店、零售、技术、金融 | 北美、欧洲 | MGM Resorts、Caesars、Twilio、LastPass |
| 2024 | 初始访问经纪人、勒索软件、数据勒索 | 医疗保健、金融服务、保险、零售、技术 | 北美、欧洲、亚太 | UnitedHealth、Advance Auto Parts、Ticketmaster |
| 2025 | 勒索软件、网络钓鱼、凭据盗窃 | 技术、金融服务、保险、零售、医疗保健 | 北美、英国、欧洲 | Marks & Spencer、Philadelphia Insurance Companies、Erie Insurance |
2025年第二季度,该对手的操作显著激增,特别针对美国保险行业,最近观察到的活动与先前看到的TTP保持一致:
- 帮助台欺骗:利用其母语为英语的技能,该组织欺骗帮助台和IT人员重置凭据并禁用或绕过安全措施(例如MFA)。
- 侦察SaaS平台以寻找有价值数据:SaaS平台通常托管敏感数据(财务详情、客户记录等),但运行在传统本地安全边界之外。凭借有效访问权限,Scattered Spider针对这些环境寻找容易得手的目标。
- AD侦察:Scattered Spider使用一系列已知工具和脚本来发现受害者的环境。诸如ADRecon、SharpHound或ADExplorer等工具对AV/EDR供应商来说众所周知,但仍被对手使用。
- 勒索软件部署:Scattered Spider使用DragonForce勒索软件加密VMware ESXi主机作为入侵的最后一步。
战术与技术(MITRE ID)
| 战术 | 技术(MITRE ID) | 描述 |
|---|---|---|
| 初始访问 | 网络钓鱼(T1566) | 使用AiTM工具包针对SSO/MFA(例如Okta、Entra)进行SMS/电子邮件网络钓鱼。 |
| 初始访问 | 语音钓鱼(T1566.002) | 通过电话欺骗帮助台以获取有效凭据。 |
| 执行 | 用户执行(T1204) | 用户操纵导致安装RMM工具或恶意文件。 |
| 持久性 | 修改认证过程(T1556.006) | 入侵后注册攻击者控制的MFA方法。 |
| 防御规避 | 电子邮件隐藏规则(T1564.008) | 创建新的传输规则以阻止可疑活动通知。 |
| 防御规避 | 签名二进制代理执行(T1218) | 滥用PowerShell和LOLBins。 |
| 发现 | 云服务仪表板(T1538) | 发现云和SaaS平台进行侦察。 |
| 发现 | 账户发现(T1087) | 使用工具进行AD发现:ADRecon、ADExplorer、SharpHound。 |
| 收集 | 来自SaaS应用程序的数据(T1537) | 从Snowflake等平台提取客户/企业数据。 |
| 外泄 | 通过Web服务外泄(T1567) | 将窃取的数据外泄到远程S3存储桶。 |
| 影响 | 数据加密以造成影响(T1486) | 部署勒索软件有效载荷。 |
| 影响 | 系统/资源锁定(T1496) | 系统/资源锁定,加密活动期间的勒索威胁。 |
身份威胁的激增
Scattered Spider等对手利用缺乏强大的安全机制和身份监控来实现其目标。这些攻击者正在改变其方法以保持领先,而传统安全团队仍专注于在终端层面保护其组织。
谈论身份威胁时的主要挑战包括:
- 绕过传统安全控制:身份攻击利用认证流程中的缺陷或弱点(包括人性层)。由于这些攻击通常超出经典安全机制的范围(专注于网络和终端层面),攻击者可以绕过这些防御层与企业资源交互。
- 在云和混合环境中影响的扩展:现代企业依赖联合身份提供商管理对其云服务和SaaS平台的访问。受损的身份使攻击者能够广泛访问企业平台,使其对对手具有高价值,并倍增攻击的影响。
- 隐蔽攻击:当获取有效凭据(使用网络钓鱼或通过IAB)时,攻击者只需像普通用户一样“登录”并混入通常的用户活动中。因此,许多组织未能有效记录和监控其身份提供商和云环境中的登录事件和活动。
防御建议
从利用受损身份进行初始访问到滥用虚拟机监控程序部署大规模勒索软件,Scattered Spider的技术可能会被更早捕获和中断。以下是我们