剖析Scattered Spider如何利用英国零售业安全薄弱环节

本文深入分析了Scattered Spider黑客组织如何通过社会工程学攻击、MFA绕过技术和供应链漏洞,成功入侵英国多家知名零售和汽车企业的完整攻击链,并提供了具体防护建议。

如何防范Scattered Spider对英国零售业的安全威胁

攻击事件概述

近期,英国零售和汽车行业遭受了一系列备受关注的网络攻击,目标包括玛莎百货(M&S)、合作社(Co-op)、哈罗德百货(Harrods)和捷豹路虎(JLR)等知名企业。虽然这些组织处于不同行业,但事件分析显示出一致的模式。攻击者似乎与被称为Scattered Spider(也称Octo Tempest或Muddled Libra)的组织有关。他们不依赖复杂的恶意软件或新颖的技术漏洞,而是通过针对受害者的员工和身份基础设施的高效社会工程学攻击获得成功。

威胁行为者:适应性网络犯罪联盟

Scattered Spider并非孤立行动者。他们在更广泛的适应性网络犯罪生态系统"The Com"集体内运作,积极与LAPSUS$和ShinyHunters等其他(据信为)英国组织合作或合并战术。这种联盟结合了他们的专业知识,创造了优先危害用户身份的统一威胁,这种策略恰当地描述为"登录,而非入侵"。

观察到的工具、技术和程序(TTPs)

通过社会工程学和身份窃取实现初始访问

从我们的研究来看,主要入口点不是网络漏洞,而是身份泄露,通过用于收集关键信息的社会工程学策略实现:

  • 语音钓鱼(vishing):冒充合法员工,通常针对内部IT服务台或外包的第三方服务提供商。在这些通话中,该组织会提供在侦察阶段收集的高度具体信息,说服支持人员执行危害性操作,如重置密码或注册新的多因素认证(MFA)设备。

  • SIM卡交换:欺骗移动运营商将受害者的电话号码转移到攻击者控制的SIM卡或设备上,从而拦截基于短信的一次性密码和账户恢复链接。

  • 供应链利用:如M&S攻击中确认的,初始入侵通过第三方IT服务台提供商开始,他们的策略有效利用了供应链来绕过受害者的内部边界控制。

权限提升和高级MFA绕过

一旦获得凭据,该组织就会采用持久化和横向移动技术:

  • MFA推送轰炸:用重复的MFA推送通知淹没目标的移动设备,利用人类的挫败感,直到受害者点击"批准"以停止警报,从而授予威胁行为者访问受害者账户的权限。

  • 中间人(AiTM)钓鱼页面或信息窃取恶意软件:这些工具不仅捕获凭据,还直接从受害者的浏览器或内存中提取SSO会话cookie和OAuth令牌。通过将这些工件注入自己的浏览器,威胁行为者可以劫持合法的认证会话,有效绕过所有MFA并获得对目标平台上受害者账户的访问权限。

  • 横向移动:威胁行为者成功获得访问后,使用被盗凭据横向移动,查找和危害特权账户,通常专注于身份提供商(IdP)(如Okta或Azure Active Directory)或虚拟化环境(如VMware ESXi),以定位自己实现最大影响。

影响、数据泄露和勒索软件部署

攻击的最后阶段是部署勒索软件和泄露数据,目的是确保受害组织支付赎金。这也被称为双重勒索:

  • 数据泄露:窃取信息,这为他们提供了勒索工具,威胁如果赎金未支付将公开数据。

  • 勒索软件部署:最近我们看到该组织偏爱DragonForce变种,特别针对虚拟化环境。这会加密关键系统,导致严重的运营中断:零售商的销售点系统故障和支付中断,以及汽车行业(JLR)的生产线关闭。

关键经验教训和可行建议

教训1:可钓鱼的MFA是虚假的安全感

依赖简单的MFA推送通知或短信代码对特权账户构成风险。攻击者的目标是操纵人类完全绕过控制。

行动:加强基础MFA

  • 对仍在使用认证器应用的标准用户强制执行数字匹配。这迫使用户在应用中输入登录屏幕上显示的代码,防止在MFA疲劳攻击期间意外或沮丧的批准。

行动:监控推送垃圾邮件

  • 配置身份提供商(IdP),在短时间内收到过多MFA请求的账户上自动阻止或发出警报(速率限制)。

教训2:服务台是您最关键资产和最薄弱环节

针对IT服务台进行密码和MFA重置的社会工程学(语音钓鱼)是主要的成功向量。攻击者通过听起来合法进行社会工程学的能力是核心漏洞。

行动:使用零信任强化账户恢复

  • 对所有特权账户恢复请求实施严格的多步骤验证流程。这必须包括带外验证,如通过预先注册、HR验证的电话号码(而非呼叫者提供的号码)回拨员工。

行动:进行专门培训

  • 超越电子邮件钓鱼测试。进行专门针对服务台员工的定制语音钓鱼模拟演练。训练他们识别Scattered Spider使用的紧迫感、名人效应和外部压力策略。还要考虑可能使用AI冒充受信任用户的攻击。组织需要有能力在执行重置密码等特权操作之前验证用户。

行动:限制重置权限

  • 确保服务台员工仅拥有执行工作所需的最低权限。重置高特权账户(如域管理员)密码或为高级管理人员和关键员工添加新MFA设备的能力应需要二次批准或临时访问提升。

教训3:“始终在线"的管理员访问权限助长横向移动风险

当被盗凭据提供"常驻访问"时,造成的损害最大,给予威胁行为者无限时间进行横向移动,查找身份提供商(IdP),并定位高价值目标(如VMware ESXi主机)以部署勒索软件。

行动:强制执行即时(JIT)访问

  • 使用您的IdP或特权访问管理(PAM)解决方案在每天结束时自动撤销特权访问(例如,域管理员组成员资格)。特权应在请求时即时授予,具有自动时间限制和审计所需的理由。

行动:隔离关键服务

  • 确保您的关键系统,如Active Directory域控制器、虚拟化主机和备份存储库,分段在标准用户或第三方供应商无法直接访问的网络上。严格限制对这些区域的所有访问,仅通过监控的即时(JIT)会话进行。

行动:控制第三方风险

  • 强制要求所有内部安全标准由第三方供应商实施。如果供应商需要访问您的网络,他们必须使用您的专用账户,这些账户强制执行您的防钓鱼MFA和JIT访问控制。

结论

最近对M&S、Co-op、Harrods和JLR的攻击并非孤立事件,而是高度适应性威胁组织协调活动的一部分。它们有力地提醒我们,在当今互联世界中,问题不是是否会发生,而是何时发生。有效的事件响应策略对每个组织都是必须的。MDSec建议定期测试任何IR计划,以确保员工在检测到可疑事件时知道自己的角色和责任。组织需要积极主动。有决心的威胁行为者总会找到进入环境的方法,我们作为防御者的工作是尽可能使其困难,以便我们能够在造成损害之前检测和响应事件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次