剖析Scattered Spider攻击：不断演变的勒索软件威胁

攻击演变与行业扩展

Scattered Spider网络犯罪组织近期频繁成为头条新闻，其技术不断演变，犯罪活动范围扩大至更多企业。该组织自2022年5月起活跃，最初通过SIM交换和勒索软件操作针对电信和娱乐公司，包括MGM Resorts和Caesars Entertainment。

随着时间的推移，该组织转向高价值行业，5月份针对Marks & Spencer、Co-op和Harrods等主要零售商，最近又针对夏威夷航空和Quantas等航空公司发起攻击，导致业务广泛中断，造成数百万美元的损失和恢复成本。

最新攻击手法分析

在一次近期攻击中，Scattered Spider使用高级社交工程入侵了组织的Entra ID、Active Directory和虚拟基础设施。攻击链展示了该组织将耐心规划与快速执行相结合的能力，以及对基于云和本地企业IT系统的深入了解。

Scattered Spider开始攻击未命名组织的面向公众的Oracle Cloud身份验证门户，针对其首席财务官（CFO）。利用从公共来源和先前漏洞获得的个人详细信息（如CFO的出生日期和社会安全号码后四位），Scattered Spider冒充CFO致电公司帮助台，欺骗帮助台工作人员重置CFO的注册设备和凭据。

获得CFO账户访问权限后，Scattered Spider映射了Entra ID（Azure AD）特权账户和组，随后定位SharePoint上的敏感文件，并了解目标组织的本地IT系统和云环境。

网络犯罪分子使用CFO凭据入侵目标的Horizon虚拟桌面基础设施（VDI），然后通过社交工程入侵另外两个账户，并转向本地环境。同时，该组织入侵了组织的VPN基础设施，以维持对受损系统的远程访问。

Scattered Spider随后重新激活了已停用的虚拟机，开始创建受其控制的并行虚拟环境，关闭虚拟化生产域控制器，并提取NTDS.dit数据库文件（Active Directory凭据）——所有这些操作都避开了传统的端点检测。

网络犯罪分子利用与目标CyberArk密码库相关的受损管理员账户（可能还有一个自动化脚本）提取了1,400多个秘密。Scattered Spider向受损用户账户授予管理员角色，然后使用包括ngrok在内的工具维持对受损虚拟机的访问。

防御与应对

尽管攻击隐蔽，受害公司的事件响应防御者检测到攻击并开始反击，展开了一场争夺组织IT资源控制权的拉锯战。作为回应，Scattered Spider放弃了隐蔽渗透的尝试，开始积极破坏业务运营，阻碍响应和恢复。

例如，该组织开始删除Azure防火墙策略规则收集组。攻击最终被挫败，至少其主要目标未达成。尽管一些敏感数据被提取，但部署勒索软件的可能计划未能实现。

这场关于特权角色的争夺战升级，直到Microsoft不得不介入以恢复对租户的控制。

防御建议

有效防御Scattered Spider涉及解决人为和技术漏洞。建议加强帮助台验证程序以防止未经授权的访问，强化虚拟化基础设施以检测可疑活动，并定期测试和培训员工应对社交工程策略。这些措施保护身份系统和工作流程，并破坏该组织操纵信任和逃避防御的能力。

网络钓鱼 resistant MFA（多因素认证）是阻止攻击的关键，同时在云和端点上进行 vigilant monitoring（ vigilant monitoring）可以在异常行为升级之前捕获它们。除了技术之外，保持 disciplined identity practices（ disciplined identity practices）至关重要，这意味着限制常驻特权并对敏感操作强制执行批准，同时定期审查访问权限。