Scattered Spider組織近期愈發引人注目，其技術不斷進化，犯罪活動范圍也擴展至更多企業。

該組織自至少2022年5月起便開始活躍，最初以經濟利益為目標，針對電信和娛樂公司展開攻擊，包括MGM度假村和凱撒娛樂集團，通過SIM卡交換和勒索軟件操作進行犯罪。

隨著時間的推移，該組織將目標轉向了高價值行業，尤其是5月對主要零售商如馬莎百貨、Co-op和哈羅德的攻擊，以及最近對夏威夷航空和澳洲航空的襲擊，這些攻擊造成了廣泛的運營中斷，并帶來了數百萬美元的損失和恢復成本。

盡管英國國家犯罪局本周宣布了對馬莎百貨、Co-op和哈羅德攻擊事件的四起逮捕，但執法部門官員并未表示該組織的威脅已減弱。

Scattered Spider以其激進的社交攻擊手段而臭名昭著，據信正在以更復雜的攻擊瞄準更廣泛的行業，了解該組織的最新戰術有助于CISO做好應對威脅的準備。

在最近一次由威脅檢測和響應供應商ReliaQuest進行的事后分析中，Scattered Spider利用高級社交攻擊手段入侵了某組織的Entra ID、Active Directory和虛擬基礎設施。此次攻擊鏈展示了Scattered Spider將耐心規劃與快速執行相結合的能力，以及對云基和本地企業IT系統了解的加深。

Scattered Spider小心謹慎地降低了被發現的可能性，即使在攻擊被發現后，仍積極試圖維持對被入侵系統的控制。

Scattered Spider不斷進化的攻擊計劃

Scattered Spider首先對一家未具名組織的公共Oracle Cloud認證門戶發起攻擊，目標直指其CFO。

利用從公開來源和先前數據泄露中獲得的CFO個人詳情，如出生日期和社會安全號碼的后四位，Scattered Spider在致電公司服務臺時冒充CFO，誘騙服務臺工作人員重置了CFO的注冊設備和憑證。

這一騙局因服務臺工作人員對高管請求的優先處理態度，以及IT組織通常對C級高管賬戶過度授權(允許他們訪問更多IT系統)而得以加速，這也展示了Scattered Spider戰術的進化，ReliaQuest指出。與之前通過類似域名欺騙部署憑證收集器來獲取有效憑證不同，其最新攻擊從一開始就已裝備了有效憑證。

獲得CFO賬戶訪問權限后，Scattered Spider映射了Entra ID(Azure AD)特權賬戶和組，隨后在SharePoint上定位了敏感文件，并了解了目標組織的本地IT系統和云環境。

網絡犯罪分子使用CFO的憑證入侵了目標的Horizon虛擬桌面基礎設施，隨后利用社交攻擊手段進一步入侵了兩個賬戶，并轉向本地環境，同時，該組織還入侵了目標的VPN基礎設施，以維持對被入侵系統的遠程訪問。

Scattered Spider隨后重新激活了一臺已退役的虛擬機，并開始在其控制下創建一個并行虛擬環境，隨后關閉了一個虛擬化生產域控制器，并提取了NTDS.dit數據庫文件(Active Directory憑證)——同時避開了傳統終端檢測。

利用與目標CyberArk密碼庫相關聯的被入侵管理員賬戶，以及可能的自動化腳本，網絡犯罪分子提取了超過1400個秘密。Scattered Spider為被入侵的用戶賬戶授予了管理員角色，并使用包括ngrok在內的工具維持對被入侵虛擬機的訪問。

“該組織多次為被入侵用戶分配額外角色，包括Exchange管理員角色，”ReliaQuest表示，“這一角色被用來監控高管郵箱，使攻擊者能夠領先于安全團隊并維持對環境的控制。”

隨之而來的IT資源爭奪戰

盡管攻擊事件響應防御者察覺到了此次攻擊并開始反擊，但雙方就組織IT資源的控制權展開了一場拉鋸戰。作為回應，Scattered Spider放棄了隱蔽滲透的嘗試，開始積極試圖破壞業務運營并阻礙響應和恢復工作。

例如，該組織開始刪除Azure防火墻策略規則集合組，盡管最終攻擊被挫敗，至少其主要目的未達成，盡管提取了一些敏感數據，但部署勒索軟件的計劃很可能并未實現。

這場關于特權角色的爭奪戰不斷升級，直至微軟不得不介入以恢復對租戶的控制。

“Scattered Spider的最新行動展示了其適應和進化的能力，將以人為中心的利用與技術復雜性相結合，以入侵身份系統和虛擬環境。”ReliaQuest總結道。

更快、更遠、更強

Rapid7的威脅分析高級總監Christiaan Beek告訴記者，Scattered Spider的技巧在過去幾個月里得到了進化，其對云基系統的了解加深，并發起了更為激進、多管齊下的攻擊。

Beek指出了Scattered Spider新增的幾種手段：

• 云入侵技巧：“該組織展示了對云環境的深刻理解，利用AWS Systems Manager Session Manager、EC2 Serial Console和IAM角色枚舉在云基礎設施內進行轉向和持久化——這些技巧通常見于高級威脅行為者。”Beek表示。
• 新的持久化方法：“他們開始濫用合法基礎設施工具如Teleport進行長期訪問，建立加密出站連接以避開傳統檢測機制——這與其早期僅依賴商業RMM工具的做法有所不同。”Beek說。
• 更快、多層次的攻擊：Scattered Spider的操作變得更加激進和緊湊。“在初始入侵后的幾小時內——通常通過社交攻擊手段——他們就會提升權限、橫向移動、建立持久化并開始在云和本地環境中進行偵察，”Beek解釋道，“這種速度和靈活性代表了操作成熟度的顯著提升。”

盡管Scattered Spider近期將目標擴展到了新行業——首先是零售業，然后是科技、金融，現在是航空業——但其基本作案手法仍然相似，ReliaQuest的研究人員發現。

“這一轉變表明該組織愿意調整其目標以最大化財務回報，”ReliaQuest的發言人告訴記者，“話雖如此，其戰術并未真正改變——Scattered Spider仍然依賴復雜的社交攻擊手段針對服務臺員工并獲取高價值賬戶的訪問權限。”

應對措施：

安全工具供應商Rapid7上周在一篇博客文章中詳細介紹了Scattered Spider的最新戰術、技巧和程序(TTP)，并提出了防御性最佳實踐建議。

“該組織的技巧雖然執行復雜，但常常利用基本安全實踐的疏漏——如過度依賴服務臺身份驗證或未受監控的管理工具使用，”Rapid7的研究人員寫道，“加強這些領域，以及用戶教育和現代認證控制，為抵御Scattered Spider的社會工程學和技術實力提供了強大防御。”

“防釣魚的MFA是阻止攻擊初期的關鍵，而云和終端上的警覺監控則在異常行為升級前發揮作用。除了技術之外，保持嚴格的身份實踐也至關重要，”Rapid7的Beek告訴記者，“這意味著限制常設權限并對敏感操作實施審批，同時定期審查訪問權限。”

ReliaQuest的研究人員指出，有效防御Scattered Spider需要同時解決人為和技術漏洞。

“為了抵御這些攻擊，應加強服務臺驗證程序以防止未經授權的訪問，加固虛擬化基礎設施以檢測可疑活動，并定期測試和培訓員工抵御社交攻擊手段，”ReliaQuest建議道，“這些措施保護身份系統和工作流程，并破壞該組織操縱信任和避開防御的能力。”