联邦政府将"散乱蜘蛛"双人组与1.15亿美元勒索案联系起来

美国检察官上周对19岁英国公民Thalha Jubair提起刑事黑客指控，指控他是"散乱蜘蛛"（Scattered Spider）黑客团伙的核心成员，该团伙被指控从受害者处勒索至少1.15亿美元赎金。

早期活动（2021-2022年）

Jubair被指控是LAPSUS$网络犯罪团伙的核心成员，该团伙从2021年底开始入侵数十家科技公司，从微软、英伟达、Okta、Rockstar Games、三星、T-Mobile和优步等科技巨头窃取源代码和其他内部数据。

EARTHTOSTAR行动

从2022年开始，EarthtoStar共同运营一个名为Star Chat的繁忙Telegram频道，这是一个多产的SIM交换团伙的基地，该团伙不断使用基于语音和短信的网络钓鱼攻击，从美国和英国主要无线运营商的员工那里窃取凭证。

该团伙然后利用这种访问权限出售SIM交换服务，可以将目标的电话号码重定向到攻击者控制的设备，允许他们拦截受害者的电话呼叫和短信（包括一次性代码）。

技术攻击手段

EarthtoStar的团伙Star Chat专门通过网络钓鱼入侵业务流程外包（BPO）公司，这些公司为一系列跨国公司提供客户支持，包括许多世界最大的电信提供商。

在2022年夏季左右，至少两个与Star Chat相关的账户——“RocketAce"和"Lopiu”——向俄语网络犯罪论坛Exploit的用户介绍了该团伙的服务，包括：

• 针对Verizon和T-Mobile客户的SIM交换服务
• 针对Okta等单点登录提供商客户的动态钓鱼页面
• 恶意软件开发服务
• 扩展验证（EV）代码签名证书的销售

恶意软件开发

在整个2022年底和2023年初，EarthtoStar的别名"Brad"经常宣传Star Chat的恶意软件开发服务，包括设计用于隐藏攻击者在受害者机器上存在的定制恶意软件：

“我们可以开发内核级恶意软件，将实现长期持久性，绕过防火墙并具有反向shell访问权限。这玩意对电脑来说简直就是第四期癌症！！！内核意味着机器上的最高权限级别。这可以从简单的shell到启动工具包。绕过所有主要EDR（SentinelOne、CrowdStrike等）。修补EDR的扫描功能，使其无效！一旦植入，极难移除（基本上甚至不可能找到）。”

近期活动（2023年至今）

2023年9月，米高梅度假村和凯撒娱乐都遭受了名为ALPHV和BlackCat的俄罗斯勒索软件附属项目的勒索软件攻击。据报道，凯撒在该事件中支付了1500万美元赎金。

新泽西州的起诉书（PDF）指控Jubair和其他"散乱蜘蛛"成员在2022年5月至2025年9月期间，与至少120起涉及47个美国实体的计算机网络入侵相关的计算机欺诈、电信欺诈和洗钱活动。起诉书称，该团伙的受害者支付了至少1.15亿美元的赎金。

美国当局表示，他们追踪到向"散乱蜘蛛"支付的部分款项流向Jubair控制的互联网服务器。起诉书称，在该服务器上发现的加密货币钱包被用于购买几张礼品卡，其中一张在食品配送公司用于向他的公寓送餐。从同一服务器用加密货币购买的另一张礼品卡据称用于为Jubair名下的在线游戏账户充值。