CISA与FBI联合更新：Scattered Spider的演进威胁与缓解指南

2025年7月29日，美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）及国际合作伙伴联合发布更新公告，重点关注网络犯罪组织Scattered Spider持续演变的战术、技术与程序（TTPs）。该组织自2023年被首次识别以来，以针对大型企业及其IT服务台著称，常利用高级社交工程技术渗透系统并窃取敏感数据。

根据公告，Scattered Spider成员持续冒充企业员工或IT支持人员，通过钓鱼、推送轰炸和SIM卡交换等精密社交工程手段获取凭证、安装远程访问工具并绕过多因素认证（MFA）。尽管部分TTPs保持稳定，该组织以灵活多变著称，频繁调整攻击手法以规避检测。

近期活动显示，Scattered Spider持续以数据窃取进行勒索，最新行动包括部署DragonForce勒索软件攻击VMware ESXi服务器。其最新TTPs还涉及利用组织对Snowflake环境的访问权限，在短时间内快速执行数千次查询以窃取大量数据，并常将数据转移至MEGA[.]NZ和Amazon S3等多平台。

为隐藏行踪，该组织在受侵环境中创建新身份，并辅以虚假社交媒体资料。他们监控Slack和Microsoft Teams等内部通信，依赖代理网络和轮换机器名以避免被发现。

鉴于威胁活动可能持续，各组织——尤其是关键基础设施和商业设施部门——应立即采取以下防御措施：

• 实施抗钓鱼MFA，如FIDO/WebAuthn或基于公钥基础设施（PKI）的认证。
• 维护离线加密备份数据，与源系统分离存储并每年至少测试一次。
• 应用应用程序控制以管理软件执行。
• 加强监控防止未授权账户滥用，包括标记可疑登录行为。
• 审计并限制远程访问工具以减少暴露风险。
• 实施网络分段以限制横向移动。
• 及时修补已知漏洞以减少可利用入口点。

随着Scattered Spider不断演进，各组织需保持警惕并主动防御。该公告再次强调：健全的网络安全卫生和分层防御是应对这一高级威胁集团风险的关键。