Muddled Libra：从社会工程到企业级破坏

网络犯罪格局已发生根本性转变。最初的小规模社会工程攻击已演变为复杂的团队化操作，能够使整个组织陷入瘫痪。Unit 42的最新研究揭示了Muddled Libra（也称为Scattered Spider）如何从少数专注于加密货币的攻击者转变为分布式专业团队网络，对全球组织构成前所未有的风险。

从轻微盗窃到大规模破坏

在最近的Threat Vector播客讨论中，首席威胁研究员Kristopher Russo对当今Muddled Libra的操作进行了尖锐分析：

“这是一个极其有趣的团体，因为我们看到的是从单一主要关注点[SMS攻击]转变为不到二十名攻击者…我们看到它分裂成不同的团队，这些团队的结构类似于这些角色喜欢玩的视频游戏中的设置。”

数字讲述了急剧升级的故事。最近的攻击导致航空公司关闭运营、 grocery商店食品供应中断，单个受害者的财务损失超过4亿美元。与具有可预测模式的传统勒索软件组织不同，Muddled Libra的模块化方法使他们能够以毁灭性的效率扩展操作。

Unit 42咨询与威胁情报高级副总裁Sam Rubin强调了这些攻击的前所未有性质：

“当我们收到入站[事件响应请求]并认为可能是Muddled Libra时…我们知道我们将面临一场战斗。我们知道遏制将很困难，他们会再次入侵，影响可能将是巨大的。”

人类操作系统是最难修补的

Muddled Libra完善了Russo所称的针对"最难修补的操作系统：人类"的策略。他们的社会工程方法完全绕过了传统的技术防御，专注于操纵帮助台人员和最终用户以获取合法的访问凭据。

该团体的演变反映了对现代企业环境的深刻理解。“进行攻击的这些团队正在学习他们攻击的行业，“Russo解释说。“他们形成这些攻击集群是因为他们逐个行业地针对类似组织。”

云优先攻击策略

在其他威胁团体难以适应云环境时，Muddled Libra已将其作为首选攻击向量。他们对基于云的平台的瞄准代表了一种战略转变，利用了许多组织面临的安全可见性差距。

“云不是柔软和模糊的。云是坚硬和可怕的，“Russo指出，强调了攻击者如何将云基础设施视为软目标，而许多安全团队在可见性和控制方面挣扎。

模块化团队结构实现专业化规模

Muddled Libra最重要的演变在于他们的组织结构。他们不是作为一个整体团体运作，而是分裂成至少七个不同的团队，每个团队都有专业化的能力和目标。这种模块化方法提供了前所未有的灵活性和效率。

“当团队领导者确定组织和他们想要进行的攻击类型时，他们可以从这个更大的攻击者群体中抽调人员来执行这次攻击，“Russo解释说。专业化包括：

• 对特定软件环境有深入了解的团队
• 专注于业务流程利用的团体
• 云基础设施操作专家
• 致力于破坏性勒索操作的团队

这种结构反映了成功的软件开发方法学，允许快速部署专业技能针对目标漏洞。

技术-人类交叉点是防御成功…和失败的地方

Unit 42事件响应揭示了在应对Muddled Libra时成功与失败遏制努力的关键模式。实施强大条件访问策略的组织即使在初始入侵后也能为横向移动创建重大障碍。

Rubin描述了一个说明性的例子：

“最终表现更好的公司，他们在网络上实施了非常强大的条件访问策略。虽然威胁行为者能够通过社会工程进入…但他们被阻止访问Citrix、云和其他资源。”

关键防御差距

然而，许多组织在技术和人类因素的交叉点上失败：

高管级规划不足：虽然安全运营中心可能进行定期的桌面演练，但C级危机响应规划往往滞后。“许多组织现在在SOC内进行桌面演练方面做得相当好…但当我们进入C级时，我们看到这种情况迅速崩溃，“Rubin指出。

业务流程盲点：组织缺乏对关键业务应用程序的全面冗余规划。SaaS平台中的单点故障可能级联成客户范围的干扰。

云可见性挑战：云环境的复杂性导致安全责任的危险委托。“由于云环境的复杂性，安全几乎已经回落到了DevOps和开发人员自己负责，“Russo警告说。

演变：从加密到破坏

Muddled Libra与勒索软件即服务操作（如DragonForce）的合作代表了一种战术演变，显著升级了潜在的业务影响。这些操作现在不再仅仅是简单的数据加密，而是包含了针对虚拟基础设施和基于云的资产的破坏性元素。

“我们看到这个团体以破坏性方式攻击资产，特别是虚拟资产，通过资产自己的管理工具，“Russo解释说。攻击者利用合法的管理平台如ESXi删除虚拟机，并使用云访问平台破坏关键业务系统。

这种从传统勒索软件到破坏性勒索的转变从根本上改变了响应方程。当面对针对基础设施本身的攻击时，组织不能再仅仅依赖备份恢复。

用AI对抗AI：技术军备竞赛

Muddled Libra采用人工智能能力为其操作增加了另一层复杂性。Unit 42记录了他们对深度伪造语音技术的使用，用于帮助台操纵，以及AI驱动的工具用于网络导航和横向移动。

Rubin以尖锐的术语描述了潜在影响：

“加入AI，加入LLMs，你可以开始自动化攻击链的部分环节，1000名受害者就会变成10000名或更多。”

这种自动化潜力将有限的人力资源从约束转变为力量倍增器。

防御响应需要类似的技术进步：“组织应该用AI对抗AI，“建议利用机器学习进行行为分析和异常检测，而不是依赖传统的基于规则的系统。

执法成功，尽管分布式结构

最近在英国对主要零售商的攻击相关逮捕表明，执法行动可以对这些分布式操作产生有意义的影响。虽然模块化结构提供了对取缔的弹性，但成功的起诉既创造了即时能力减少，也产生了长期威慑效应。

“我们实际上在过去一年左右看到了多次Muddled Libra成员的逮捕…这绝对会削弱他们执行攻击和造成伤害的能力，“Rubin指出。关键在于持续的国际合作和跨多个司法管辖区的持续压力。

人类解决方案框架构建全面弹性

有效防御Muddled Libra需要认识到网络安全已从根本上成为由技术推动的人类挑战。组织必须全面解决技术漏洞和人类因素。

关键实施领域

动态条件访问管理：超越静态的、基于规则的系统，转向基于风险的、上下文感知的身份验证，适应变化的威胁模式。

全面利益相关者参与：将危机响应规划扩展到安全团队之外，包括高管领导、业务运营和外部合作伙伴。

云原生安全集成：在混合环境中开发统一的可见性，具备行为分析能力，无论位置如何都能检测异常模式。

业务流程冗余：为关键SaaS应用程序和基于云的业务功能创建故障转移能力。

为下一次演变做准备

Muddled Libra操作的复杂性和影响标志着网络犯罪格局的更广泛转变。他们在社会工程和云优先攻击方面的成功创造了其他威胁行为者将不可避免地采用和适应的蓝图。

组织不能再将社会工程视为次要关注点或将云安全委托给开发团队。人类操纵、云利用和AI驱动的自动化的融合要求全面的防御策略，将技术、流程和人类因素作为组织弹性的集成组成部分来解决。

正如Rubin总结的那样：

“组织需要在防御方面研究如何将AI实施到他们的工作流程中，以提供增加的可见性和更快的威胁检测速度。如果我们以手动速度工作，我们将无法击败这些对手。”

超越技术修复的战略必要性

Muddled Libra操作的前所未有规模和复杂性，加上他们造成行业范围干扰的能力，将网络安全从IT关注点提升为战略业务必要性。成功需要领导层认识到有效防御同样依赖于人类因素、组织文化和危机响应能力，就像任何个别技术部署一样。

问题不是您的组织是否会面对这些不断演变的威胁，而是您是否准备好必要的方法来保持弹性。

准备了解更多？

要深入了解Muddled Libra的战术、技术和防御策略，请探索Unit 42威胁研究和2025年Unit 42全球事件响应报告。