Scattered Spider組織近期愈發(fā)引人注目，其技術(shù)不斷進化，犯罪活動范圍也擴展至更多企業(yè)。

該組織自至少2022年5月起便開始活躍，最初以經(jīng)濟利益為目標，針對電信和娛樂公司展開攻擊，包括MGM度假村和凱撒娛樂集團，通過SIM卡交換和勒索軟件操作進行犯罪。

隨著時間的推移，該組織將目標轉(zhuǎn)向了高價值行業(yè)，尤其是5月對主要零售商如馬莎百貨、Co-op和哈羅德的攻擊，以及最近對夏威夷航空和澳洲航空的襲擊，這些攻擊造成了廣泛的運營中斷，并帶來了數(shù)百萬美元的損失和恢復(fù)成本。

盡管英國國家犯罪局本周宣布了對馬莎百貨、Co-op和哈羅德攻擊事件的四起逮捕，但執(zhí)法部門官員并未表示該組織的威脅已減弱。

Scattered Spider以其激進的社交攻擊手段而臭名昭著，據(jù)信正在以更復(fù)雜的攻擊瞄準更廣泛的行業(yè)，了解該組織的最新戰(zhàn)術(shù)有助于CISO做好應(yīng)對威脅的準備。

在最近一次由威脅檢測和響應(yīng)供應(yīng)商ReliaQuest進行的事后分析中，Scattered Spider利用高級社交攻擊手段入侵了某組織的Entra ID、Active Directory和虛擬基礎(chǔ)設(shè)施。此次攻擊鏈展示了Scattered Spider將耐心規(guī)劃與快速執(zhí)行相結(jié)合的能力，以及對云基和本地企業(yè)IT系統(tǒng)了解的加深。

Scattered Spider小心謹慎地降低了被發(fā)現(xiàn)的可能性，即使在攻擊被發(fā)現(xiàn)后，仍積極試圖維持對被入侵系統(tǒng)的控制。

Scattered Spider不斷進化的攻擊計劃

Scattered Spider首先對一家未具名組織的公共Oracle Cloud認證門戶發(fā)起攻擊，目標直指其CFO。

利用從公開來源和先前數(shù)據(jù)泄露中獲得的CFO個人詳情，如出生日期和社會安全號碼的后四位，Scattered Spider在致電公司服務(wù)臺時冒充CFO，誘騙服務(wù)臺工作人員重置了CFO的注冊設(shè)備和憑證。

這一騙局因服務(wù)臺工作人員對高管請求的優(yōu)先處理態(tài)度，以及IT組織通常對C級高管賬戶過度授權(quán)(允許他們訪問更多IT系統(tǒng))而得以加速，這也展示了Scattered Spider戰(zhàn)術(shù)的進化，ReliaQuest指出。與之前通過類似域名欺騙部署憑證收集器來獲取有效憑證不同，其最新攻擊從一開始就已裝備了有效憑證。

獲得CFO賬戶訪問權(quán)限后，Scattered Spider映射了Entra ID(Azure AD)特權(quán)賬戶和組，隨后在SharePoint上定位了敏感文件，并了解了目標組織的本地IT系統(tǒng)和云環(huán)境。

網(wǎng)絡(luò)犯罪分子使用CFO的憑證入侵了目標的Horizon虛擬桌面基礎(chǔ)設(shè)施，隨后利用社交攻擊手段進一步入侵了兩個賬戶，并轉(zhuǎn)向本地環(huán)境，同時，該組織還入侵了目標的VPN基礎(chǔ)設(shè)施，以維持對被入侵系統(tǒng)的遠程訪問。

Scattered Spider隨后重新激活了一臺已退役的虛擬機，并開始在其控制下創(chuàng)建一個并行虛擬環(huán)境，隨后關(guān)閉了一個虛擬化生產(chǎn)域控制器，并提取了NTDS.dit數(shù)據(jù)庫文件(Active Directory憑證)——同時避開了傳統(tǒng)終端檢測。

利用與目標CyberArk密碼庫相關(guān)聯(lián)的被入侵管理員賬戶，以及可能的自動化腳本，網(wǎng)絡(luò)犯罪分子提取了超過1400個秘密。Scattered Spider為被入侵的用戶賬戶授予了管理員角色，并使用包括ngrok在內(nèi)的工具維持對被入侵虛擬機的訪問。

“該組織多次為被入侵用戶分配額外角色，包括Exchange管理員角色，”ReliaQuest表示，“這一角色被用來監(jiān)控高管郵箱，使攻擊者能夠領(lǐng)先于安全團隊并維持對環(huán)境的控制?！?/p>

隨之而來的IT資源爭奪戰(zhàn)

盡管攻擊事件響應(yīng)防御者察覺到了此次攻擊并開始反擊，但雙方就組織IT資源的控制權(quán)展開了一場拉鋸戰(zhàn)。作為回應(yīng)，Scattered Spider放棄了隱蔽滲透的嘗試，開始積極試圖破壞業(yè)務(wù)運營并阻礙響應(yīng)和恢復(fù)工作。

例如，該組織開始刪除Azure防火墻策略規(guī)則集合組，盡管最終攻擊被挫敗，至少其主要目的未達成，盡管提取了一些敏感數(shù)據(jù)，但部署勒索軟件的計劃很可能并未實現(xiàn)。

這場關(guān)于特權(quán)角色的爭奪戰(zhàn)不斷升級，直至微軟不得不介入以恢復(fù)對租戶的控制。

“Scattered Spider的最新行動展示了其適應(yīng)和進化的能力，將以人為中心的利用與技術(shù)復(fù)雜性相結(jié)合，以入侵身份系統(tǒng)和虛擬環(huán)境?！盧eliaQuest總結(jié)道。

更快、更遠、更強

Rapid7的威脅分析高級總監(jiān)Christiaan Beek告訴記者，Scattered Spider的技巧在過去幾個月里得到了進化，其對云基系統(tǒng)的了解加深，并發(fā)起了更為激進、多管齊下的攻擊。

Beek指出了Scattered Spider新增的幾種手段：

• 云入侵技巧：“該組織展示了對云環(huán)境的深刻理解，利用AWS Systems Manager Session Manager、EC2 Serial Console和IAM角色枚舉在云基礎(chǔ)設(shè)施內(nèi)進行轉(zhuǎn)向和持久化——這些技巧通常見于高級威脅行為者。”Beek表示。
• 新的持久化方法：“他們開始濫用合法基礎(chǔ)設(shè)施工具如Teleport進行長期訪問，建立加密出站連接以避開傳統(tǒng)檢測機制——這與其早期僅依賴商業(yè)RMM工具的做法有所不同。”Beek說。
• 更快、多層次的攻擊：Scattered Spider的操作變得更加激進和緊湊?！霸诔跏既肭趾蟮膸仔r內(nèi)——通常通過社交攻擊手段——他們就會提升權(quán)限、橫向移動、建立持久化并開始在云和本地環(huán)境中進行偵察，”Beek解釋道，“這種速度和靈活性代表了操作成熟度的顯著提升?！?/li>

盡管Scattered Spider近期將目標擴展到了新行業(yè)——首先是零售業(yè)，然后是科技、金融，現(xiàn)在是航空業(yè)——但其基本作案手法仍然相似，ReliaQuest的研究人員發(fā)現(xiàn)。

“這一轉(zhuǎn)變表明該組織愿意調(diào)整其目標以最大化財務(wù)回報，”ReliaQuest的發(fā)言人告訴記者，“話雖如此，其戰(zhàn)術(shù)并未真正改變——Scattered Spider仍然依賴復(fù)雜的社交攻擊手段針對服務(wù)臺員工并獲取高價值賬戶的訪問權(quán)限。”

應(yīng)對措施：

安全工具供應(yīng)商Rapid7上周在一篇博客文章中詳細介紹了Scattered Spider的最新戰(zhàn)術(shù)、技巧和程序(TTP)，并提出了防御性最佳實踐建議。

“該組織的技巧雖然執(zhí)行復(fù)雜，但常常利用基本安全實踐的疏漏——如過度依賴服務(wù)臺身份驗證或未受監(jiān)控的管理工具使用，”Rapid7的研究人員寫道，“加強這些領(lǐng)域，以及用戶教育和現(xiàn)代認證控制，為抵御Scattered Spider的社會工程學和技術(shù)實力提供了強大防御?！?/p>

“防釣魚的MFA是阻止攻擊初期的關(guān)鍵，而云和終端上的警覺監(jiān)控則在異常行為升級前發(fā)揮作用。除了技術(shù)之外，保持嚴格的身份實踐也至關(guān)重要，”Rapid7的Beek告訴記者，“這意味著限制常設(shè)權(quán)限并對敏感操作實施審批，同時定期審查訪問權(quán)限?！?/p>

ReliaQuest的研究人員指出，有效防御Scattered Spider需要同時解決人為和技術(shù)漏洞。

“為了抵御這些攻擊，應(yīng)加強服務(wù)臺驗證程序以防止未經(jīng)授權(quán)的訪問，加固虛擬化基礎(chǔ)設(shè)施以檢測可疑活動，并定期測試和培訓(xùn)員工抵御社交攻擊手段，”ReliaQuest建議道，“這些措施保護身份系統(tǒng)和工作流程，并破壞該組織操縱信任和避開防御的能力。”