CISA与FBI联合更新：Scattered Spider团伙的演变威胁与防御指南

2025年8月11日，作者：Kim Peretti和Alysa Austin

网络安全与基础设施安全局（CISA）、联邦调查局（FBI）及国际合作伙伴于2025年7月29日发布了一份更新公告，重点强调了网络犯罪团伙Scattered Spider不断演变的战术、技术和程序（TTPs）。该团伙自2023年被首次识别以来，以针对大型企业及其外包IT帮助台而臭名昭著，经常利用高级社会工程技术渗透系统并窃取敏感数据。

根据公告，Scattered Spider成员持续冒充公司员工或IT/帮助台人员，部署复杂的社会工程方法，如网络钓鱼、推送轰炸和SIM卡交换攻击，以获取凭证、安装远程访问工具并绕过多因素认证（MFA）。尽管部分TTPs保持不变，但该团伙以敏捷性著称，频繁更改TTPs以逃避检测。

近期Scattered Spider的活动突显了该团伙持续专注于数据盗窃以进行勒索，包括最近部署DragonForce勒索软件针对VMware ESXi服务器。其最新TTPs之一还涉及利用组织对Snowflake环境的访问权限，在短时间内快速执行数千次查询以窃取大量数据，并经常将数据外泄至多个平台，如MEGA[.]NZ和Amazon S3。

为掩盖其存在，该网络犯罪团伙还在受感染环境中创建新身份，通常由虚假社交媒体资料支持。他们监控内部通信，如Slack和Microsoft Teams，并依赖代理网络和轮换机器名称以避免检测。

由于威胁活动可能持续，强烈建议组织——特别是关键基础设施和商业设施部门——立即采取措施加强防御。关键建议包括：

• 实施抗网络钓鱼的MFA，如FIDO/WebAuthn或基于公钥基础设施（PKI）的认证。
• 维护离线加密备份数据，与源系统分开存储，并每年至少测试一次。
• 应用应用程序控制以管理和控制软件执行。
• 加强对未授权账户滥用的监控，包括标记可疑行为的登录尝试。
• 审计并限制远程访问工具以最小化暴露。
• 分段网络以限制横向移动。
• 及时修补已知漏洞以减少可利用入口点。

随着Scattered Spider不断演变，组织必须保持警惕和主动。该公告是一个关键提醒，强大的网络安全卫生和分层防御对于减轻这一复杂威胁团伙带来的风险至关重要。