新研究探索在真实场景中模拟Scattered Spider攻击策略

网络安全公司Lares在最近的一项深入分析中，专家们描述了模仿高级持续性威胁（APT）组织Scattered Spider策略的方法，使企业能够通过对抗合作来加强防御。

Lares专注于威胁模拟，复制在网络犯罪活动中观察到的真实战术、技术和程序（TTPs）。通过剖析Scattered Spider策划的事件，该公司设计受控模拟来评估网络、终端和云安全，识别事件响应和整体安全态势中的漏洞。

这种方法整合了道德黑客、红队演练和威胁建模，提供可操作的情报，使客户能够亲身体验涉及社会工程、凭证窃取和持久化机制的实战场景，这些场景反映了复杂对手的行为。

Scattered Spider的复杂操作

Scattered Spider是一个以经济利益为动机的APT组织，于2022年5月出现，最初针对电信和业务流程外包行业，随后扩展到酒店、零售、医疗保健和航空领域。

该组织由来自美国和英国的19至22岁年轻、以英语为母语的成员组成，擅长社会工程，采用SIM交换、网络钓鱼和利用弱验证来渗透系统。

与2023年MGM度假村和Caesars娱乐等高调泄露事件相关联，这些事件导致运营混乱和赎金支付，Scattered Spider经常作为BlackCat/ALPHV和DragonForce等勒索软件附属机构的初始访问经纪人。

他们的别名包括UNC3944（Mandiant）、Octo Tempest（Microsoft）等，反映了他们的恶名。凭借在Microsoft Azure、Google Workspace和AWS等云平台上的专业知识，他们将技术实力与欺骗性战术相结合，对各行业构成重大风险。

战术与模拟

该组织的攻击链从侦察开始，利用来自LinkedIn等平台的开源情报（OSINT）来映射员工结构并利用泄露的数据集。

他们注册欺骗性域名，模式化为targetsname-sso[.]com或类似形式，利用内容分发网络（CDNs）和域名伪装进行混淆，如最近CISA咨询报告中所述。

初始访问严重依赖社会工程，包括smishing、vishing和网络钓鱼来安装远程访问工具（RATs），以及通过推送轰炸或SIM交换绕过多因素认证（MFA）。

权限提升涉及使用AWS Console或MicroBurst等工具进行云凭证窃取，使用STONESTOP等加载器和POORTRY等驱动程序进行自带易受攻击驱动程序（BYOVD）攻击，以及利用Active Directory错误配置，包括DACL滥用和通过Mimikatz或secretsdump进行凭证转储。

防御规避战术包括通过易受攻击的驱动程序终止终端检测和响应（EDR）进程，以及使用被盗证书签署恶意二进制文件，同时创建云实例以进行隐秘的横向移动。

根据报告，凭证访问使用ProcDump进行LSASS转储、LAPS利用和用于NTDS.dit提取的DCSync。

发现阶段使用RushScan或Advanced Port Scanner等扫描工具，以及用于Azure审计的Microburst和用于低调侦察的ManageEngine等原生工具。

横向移动利用SSO会话、RDP、用于流量重定向的Proxifier，以及AWS IAM策略滥用以跨环境转移。

数据外泄方法因数据量而异：Telegram用于高价值文件，Rclone和MEGAsync用于批量传输，Storage Explorer用于云存储库。

Lares的研究强调模拟从初始访问到数据外泄的整个流程，以测试组织的韧性，突出在应对社会工程、云错误配置和权限滥用方面的经验教训。

通过主动模拟这些威胁，组织可以从被动措施转向强化防御，确保对不断演变的APT（如Scattered Spider）做好准备。