近年来,伴随着数字化转型的浪潮,网络安全风险也呈现出日益复杂和多样化的趋势。Scattered Spider,亦称Starfraud或UNC3944,是一个臭名昭著的网络犯罪集团,活跃于全球多个商业领域,尤其针对大型企业及其外包IT支持服务展开一系列精心策划的攻击活动。该集团通过高超的社会工程学手段、先进的恶意软件和不断演变的攻击策略,不断威胁着企业的数据安全和业务连续性,要求网络安全防护体系不断升级以应对挑战。Scattered Spider不仅仅是一个传统意义上的勒索软件黑客团伙,其行为涉及数据窃取、身份盗用、多因素认证绕过以及恶意软件部署,展示了现代网络威胁的复杂画面。分析其TTP(战术、技术和程序)让企业安全团队能够更深入地理解其攻击模式,从而构建更具针对性的防御体系。 Scattered Spider擅长使用多种社会工程手段,包括冒充公司内部的IT支持和帮助台人员,通过电话或短信与员工进行沟通,诱导目标泄露账号信息或执行远程访问工具安装。
推送轰炸(push bombing)与SIM卡交换攻击是其惯用手法之一,威胁者以此绕过多因素认证措施,获取系统访问权限。特别值得关注的是,Scattered Spider能够在攻击过程中模拟真实的企业内部通信,如参与受害方的安全应急会议,进一步隐匿其行踪并且获取安全团队的动态信息,为下一步渗透和横向移动提供便利。 这一集团广泛利用合法的远程监控和管理工具(RMM),如Fleetdeck.io、TeamViewer、AnyDesk以及Teleport.sh等,通过滥用这些正规软件实现远程控制,达到不易被发现的效果。加之他们灵活地部署各类恶意软件,包括AveMaria远控木马、Raccoon Stealer信息窃取工具、RattyRAT和新近加入的DragonForce勒索软件,形成多层次复合攻击体系。特别是DragonForce勒索软件的使用,使得Scattered Spider不仅窃取数据实现勒索,而且能够将受害组织的VMware ESXi服务器加密,造成严重的业务中断。 攻击链初期,Scattered Spider通常会利用钓鱼邮件和短信(即“钓鱼”和“短信钓鱼”),通过模仿目标机构熟悉的域名和品牌增强欺骗性,加大其成功率。
随后,攻击者会利用收购的员工或承包商的有效账号,或通过供应链破坏手段入侵第三方服务,由此取得较深层次的初始访问。通过深入的开源情报收集,如社交媒体分析和商业网站检索,攻击者精准定位关键员工,进而实施针对性的电话欺诈以及多重身份验证转移,获得域账户控制权。 在成功渗透网络后,Scattered Spider会极力保持其持久性。其手段包括注册新的MFA设备、修改身份验证流程、利用已获授权账户持续访问以及创建伪造账号来规避安全检测。同时,针对内部AD环境、SharePoint站点、云服务(如AWS EC2实例及Snowflake数据云)和代码库平台的搜索,成为其收集敏感信息和规划横向移动的关键环节。他们还常规使用数据抽取、转换、加载(ETL)工具,聚合和规整多源数据,提升偷窃效率。
值得强调的是,Scattered Spider不断变化的攻击手法体现了其适应性和隐蔽性。通过使用大量代理网络和频繁更换设备命名,令安全团队的行为分析和异常检测更加困难。同时,其通过假冒社交媒体身份支持新账号的创建和掩盖活动痕迹,为该集团的长期存在提供支持。这种“活用合法软件,巧避安全防护”的策略也让传统病毒扫描和基于特征的防御措施屡屡失效,增加了检测与响应的难度。 为了有效防御Scattered Spider的入侵,组织需全面实施强有力的安全策略。首先,组织应启用具有抗钓鱼能力的多因素认证机制,如FIDO/WebAuthn或基于公钥基础设施(PKI)的MFA,进一步杜绝SIM卡交换及推送轰炸攻击。
严格限制远程桌面协议(RDP)和其他远程访问工具的使用,采用网络段隔离措施防止横向传播。同时,建议对远程访问工具进行审计和管控,阻止未授权或便携版本软件的启动,辅以监控内存中运行的程序,提升异常活动的发现能力。 备份策略方面,保持离线且隔离存储的数据备份,保证周期性恢复测试,是对抗勒索软件造成业务中断的重要保障。在密码管理上,推行长密码方针、避免密码重复使用、采用密码管理工具,并实施账户锁定策略,能大幅降低凭证滥用风险。安全培训不可或缺,持续强化员工对语音诈骗、网络钓鱼等社交工程攻击的认识,筑牢涉密流程的第一道防线。 此外,定期更新操作系统和应用软件、及时修补已知漏洞,是基础但极其关键的防御措施。
通过部署端点检测响应(EDR)系统和网络流量监控工具,提升对横向移动和异常访问的实时识别能力。结合针对MITRE ATT&CK框架的模拟演练和红蓝对抗,组织可有效测试并调整安全防护策略,实现安全态势的持续优化。 在威胁通报与响应层面,保持与执法机构如FBI、CISA的沟通、积极上报安全事件,不仅有助于自身快速响应,也能提升整体网络安全生态的防御能力。尽管部分组织受到勒索软件攻击后可能考虑支付赎金,但各方均明确不鼓励此举,因其无法确保数据恢复且可能促使犯罪集团更加猖獗。通过规范化事件响应流程,结合法律和行业标准,可以最大程度地减少损失和运营风险。 综观全球网络安全威胁环境,Scattered Spider代表了现代网络犯罪集团的高端攻击水平,其综合利用社会工程学、先进恶意软件、合法软件滥用以及多重数据窃取技术,带来了重大挑战。
企业及安全团队需从战略和战术两方面同步发力,加强技术防护、风险意识和响应能力。唯有如此,方能在日益激烈的网络攻防博弈中站稳脚跟,保障数字资产的安全与业务的持续发展。
