Scattered Spider組織近期愈發(fā)引人注目，其技術(shù)不斷進化，犯罪活動范圍也擴展至更多企業(yè)。

該組織自至少2022年5月起便開始活躍，最初以經(jīng)濟利益為目標，針對電信和娛樂公司展開攻擊，包括MGM度假村和凱撒娛樂集團，通過SIM卡交換和勒索軟件操作進行犯罪。

隨著時間的推移，該組織將目標轉(zhuǎn)向了高價值行業(yè)，尤其是5月對主要零售商如馬莎百貨、Co-op和哈羅德的攻擊，以及最近對夏威夷航空和澳洲航空的襲擊，這些攻擊造成了廣泛的運營中斷，并帶來了數(shù)百萬美元的損失和恢復成本。

盡管英國國家犯罪局本周宣布了對馬莎百貨、Co-op和哈羅德攻擊事件的四起逮捕，但執(zhí)法部門官員并未表示該組織的威脅已減弱。

Scattered Spider以其激進的社交攻擊手段而臭名昭著，據(jù)信正在以更復雜的攻擊瞄準更廣泛的行業(yè)，了解該組織的最新戰(zhàn)術(shù)有助于CISO做好應對威脅的準備。

在最近一次由威脅檢測和響應供應商ReliaQuest進行的事后分析中，Scattered Spider利用高級社交攻擊手段入侵了某組織的Entra ID、Active Directory和虛擬基礎(chǔ)設(shè)施。此次攻擊鏈展示了Scattered Spider將耐心規(guī)劃與快速執(zhí)行相結(jié)合的能力，以及對云基和本地企業(yè)IT系統(tǒng)了解的加深。

Scattered Spider小心謹慎地降低了被發(fā)現(xiàn)的可能性，即使在攻擊被發(fā)現(xiàn)后，仍積極試圖維持對被入侵系統(tǒng)的控制。

Scattered Spider不斷進化的攻擊計劃

Scattered Spider首先對一家未具名組織的公共Oracle Cloud認證門戶發(fā)起攻擊，目標直指其CFO。

利用從公開來源和先前數(shù)據(jù)泄露中獲得的CFO個人詳情，如出生日期和社會安全號碼的后四位，Scattered Spider在致電公司服務臺時冒充CFO，誘騙服務臺工作人員重置了CFO的注冊設(shè)備和憑證。

這一騙局因服務臺工作人員對高管請求的優(yōu)先處理態(tài)度，以及IT組織通常對C級高管賬戶過度授權(quán)(允許他們訪問更多IT系統(tǒng))而得以加速，這也展示了Scattered Spider戰(zhàn)術(shù)的進化，ReliaQuest指出。與之前通過類似域名欺騙部署憑證收集器來獲取有效憑證不同，其最新攻擊從一開始就已裝備了有效憑證。

獲得CFO賬戶訪問權(quán)限后，Scattered Spider映射了Entra ID(Azure AD)特權(quán)賬戶和組，隨后在SharePoint上定位了敏感文件，并了解了目標組織的本地IT系統(tǒng)和云環(huán)境。

網(wǎng)絡犯罪分子使用CFO的憑證入侵了目標的Horizon虛擬桌面基礎(chǔ)設(shè)施，隨后利用社交攻擊手段進一步入侵了兩個賬戶，并轉(zhuǎn)向本地環(huán)境，同時，該組織還入侵了目標的VPN基礎(chǔ)設(shè)施，以維持對被入侵系統(tǒng)的遠程訪問。

Scattered Spider隨后重新激活了一臺已退役的虛擬機，并開始在其控制下創(chuàng)建一個并行虛擬環(huán)境，隨后關(guān)閉了一個虛擬化生產(chǎn)域控制器，并提取了NTDS.dit數(shù)據(jù)庫文件(Active Directory憑證)——同時避開了傳統(tǒng)終端檢測。

利用與目標CyberArk密碼庫相關(guān)聯(lián)的被入侵管理員賬戶，以及可能的自動化腳本，網(wǎng)絡犯罪分子提取了超過1400個秘密。Scattered Spider為被入侵的用戶賬戶授予了管理員角色，并使用包括ngrok在內(nèi)的工具維持對被入侵虛擬機的訪問。

“該組織多次為被入侵用戶分配額外角色，包括Exchange管理員角色，”ReliaQuest表示，“這一角色被用來監(jiān)控高管郵箱，使攻擊者能夠領(lǐng)先于安全團隊并維持對環(huán)境的控制。”

隨之而來的IT資源爭奪戰(zhàn)

盡管攻擊事件響應防御者察覺到了此次攻擊并開始反擊，但雙方就組織IT資源的控制權(quán)展開了一場拉鋸戰(zhàn)。作為回應，Scattered Spider放棄了隱蔽滲透的嘗試，開始積極試圖破壞業(yè)務運營并阻礙響應和恢復工作。

例如，該組織開始刪除Azure防火墻策略規(guī)則集合組，盡管最終攻擊被挫敗，至少其主要目的未達成，盡管提取了一些敏感數(shù)據(jù)，但部署勒索軟件的計劃很可能并未實現(xiàn)。

這場關(guān)于特權(quán)角色的爭奪戰(zhàn)不斷升級，直至微軟不得不介入以恢復對租戶的控制。

“Scattered Spider的最新行動展示了其適應和進化的能力，將以人為中心的利用與技術(shù)復雜性相結(jié)合，以入侵身份系統(tǒng)和虛擬環(huán)境。”ReliaQuest總結(jié)道。

更快、更遠、更強

Rapid7的威脅分析高級總監(jiān)Christiaan Beek告訴記者，Scattered Spider的技巧在過去幾個月里得到了進化，其對云基系統(tǒng)的了解加深，并發(fā)起了更為激進、多管齊下的攻擊。

Beek指出了Scattered Spider新增的幾種手段：

• 云入侵技巧：“該組織展示了對云環(huán)境的深刻理解，利用AWS Systems Manager Session Manager、EC2 Serial Console和IAM角色枚舉在云基礎(chǔ)設(shè)施內(nèi)進行轉(zhuǎn)向和持久化——這些技巧通常見于高級威脅行為者。”Beek表示。
• 新的持久化方法：“他們開始濫用合法基礎(chǔ)設(shè)施工具如Teleport進行長期訪問，建立加密出站連接以避開傳統(tǒng)檢測機制——這與其早期僅依賴商業(yè)RMM工具的做法有所不同。”Beek說。
• 更快、多層次的攻擊：Scattered Spider的操作變得更加激進和緊湊。“在初始入侵后的幾小時內(nèi)——通常通過社交攻擊手段——他們就會提升權(quán)限、橫向移動、建立持久化并開始在云和本地環(huán)境中進行偵察，”Beek解釋道，“這種速度和靈活性代表了操作成熟度的顯著提升。”

盡管Scattered Spider近期將目標擴展到了新行業(yè)——首先是零售業(yè)，然后是科技、金融，現(xiàn)在是航空業(yè)——但其基本作案手法仍然相似，ReliaQuest的研究人員發(fā)現(xiàn)。

“這一轉(zhuǎn)變表明該組織愿意調(diào)整其目標以最大化財務回報，”ReliaQuest的發(fā)言人告訴記者，“話雖如此，其戰(zhàn)術(shù)并未真正改變——Scattered Spider仍然依賴復雜的社交攻擊手段針對服務臺員工并獲取高價值賬戶的訪問權(quán)限。”

應對措施：

安全工具供應商Rapid7上周在一篇博客文章中詳細介紹了Scattered Spider的最新戰(zhàn)術(shù)、技巧和程序(TTP)，并提出了防御性最佳實踐建議。

“該組織的技巧雖然執(zhí)行復雜，但常常利用基本安全實踐的疏漏——如過度依賴服務臺身份驗證或未受監(jiān)控的管理工具使用，”Rapid7的研究人員寫道，“加強這些領(lǐng)域，以及用戶教育和現(xiàn)代認證控制，為抵御Scattered Spider的社會工程學和技術(shù)實力提供了強大防御。”

“防釣魚的MFA是阻止攻擊初期的關(guān)鍵，而云和終端上的警覺監(jiān)控則在異常行為升級前發(fā)揮作用。除了技術(shù)之外，保持嚴格的身份實踐也至關(guān)重要，”Rapid7的Beek告訴記者，“這意味著限制常設(shè)權(quán)限并對敏感操作實施審批，同時定期審查訪問權(quán)限。”

ReliaQuest的研究人員指出，有效防御Scattered Spider需要同時解決人為和技術(shù)漏洞。

“為了抵御這些攻擊，應加強服務臺驗證程序以防止未經(jīng)授權(quán)的訪問，加固虛擬化基礎(chǔ)設(shè)施以檢測可疑活動，并定期測試和培訓員工抵御社交攻擊手段，”ReliaQuest建議道，“這些措施保護身份系統(tǒng)和工作流程，并破壞該組織操縱信任和避開防御的能力。”