近年来,随着网络攻击手段的不断升级,网络犯罪集团的技术手段愈发复杂,威胁变得更加隐蔽和持久。Scattered Spider是其中最具代表性的黑客组织之一,因其灵活的攻击策略和针对高价值企业的精准打击而闻名。2025年以来,这个网络犯罪集团在经过多次执法部门打击及部分成员被捕后,依旧活跃且持续升级攻击工具,更加注重多样化的入侵方式,尤其放弃了早先广为人知的“Rickroll”恶搞手段,转而开展新一轮远程访问木马(RAT)等深度攻击活动。 Scattered Spider的崛起有其独特背景。自2022年起,其多起针对Twilio、Okta、MGM Resorts及Caesars Entertainment等知名企业的大规模入侵峰回路转。2023年和2024年更是借助SIM卡劫持等社会工程学攻击获得入侵门槛,甚至间接参与引发了Snowflake数据泄露事故,引发业界广泛关注。
尽管在2024年底,美国及英国等国执法机构逮捕了包括核心领导者在内的多名团伙成员,非法活动一度看似按下暂停键,但事实证明Scattered Spider远未被根除,他们的攻击行动不仅迅速复苏,还表现出更强的隐蔽性和攻击性。 根据安全研究机构Silent Push发布的最新情报,Scattered Spider在2025年已更新并多次迭代其钓鱼工具包,已达到至少五个独立版本,带来了更加复杂的网页仿冒技术和社会工程学伎俩。这些钓鱼工具尤其针对云服务提供商、知名品牌及其员工,涵盖Nike、T-Mobile、Tinder、Louis Vuitton、Instacart以至Pure Storage等多样化行业巨头,显示其锁定目标具有高度针对性,尤其偏好云存储及数字服务领域,这与其与Snowflake类似目标的觊觎之情息息相关。 在技术手法层面,攻击初始阶段以SMS钓鱼为突破口,恶意短信推送伪装登录页面链接,以诱骗员工输入凭证和多因素认证(MFA)信息。曾经被广泛使用的恶搞元素——Rickroll,即诱导目标观看Rick Astley著名的《Never Gonna Give You Up》视频,如今已被遗弃。分析指出,早期钓鱼套件中常包含向该视频的重定向以迷惑受害人,但从2025年开始,Scattered Spider显然对该策略失去了兴趣,转向更隐匿的攻击逻辑。
这一转变在一定程度上预示着攻击者更注重效率和隐蔽性,避免若无其事的“闹剧”反而暴露身份导致被防御工具提前侦测。 Scattered Spider的钓鱼页面大多伪装成Okta登录界面,这是因这些企业纷纷采用Okta等身份管理服务,攻击者藉由此路径获取入口。此外,研究团队发现团队频繁使用Cloudflare等CDN服务及动态域名服务(DNS),包括用公共可租用子域名隶属于it.com等域名注册方式,这极大增加了追踪和屏蔽难度,令防护层面压力倍增。利用公共动态DNS作为攻击基础设施不仅能迅速替换被封锁的域名,也使得受害机构难以可靠拦截所有相关访问请求,展现出较强的“抗封阻”能力。 攻击后期,Scattered Spider会部署名为Spectre RAT(远程访问木马)的高级恶意软件。该木马由安全厂商在Scattered Spider误配公开目录后意外获取,有证据表明该恶意软件仍处于活跃开发阶段,特性包括高度代码混淆、多平台兼容(32位及64位Intel架构)、复杂的指令控制面,以及持续演进的抗分析机制。
Spectre RAT已经可以实现长时间的隐秘驻留,允许攻击者远程窃取敏感文件、监控目标系统、并实施数据加密与勒索,成为Scattered Spider控制网络系统中不可或缺的工具链核心。值得一提的是,安全研究人员还开发了相应字符串解码器和命令与控制(C2)服务模拟器,以辅助防御者提高检测能力和响应速度。 从犯罪组织架构与法律角度上看,Scattered Spider活跃成员大多为20至22岁的年轻人,此类成员以英国和美国籍为主,涉案的SIM卡交换及账户入侵事件使多名成员面临长达五十年的刑期。尽管部分高层被捕执法,但团伙仍展现强大的重组能力和持续作案意志,展示当今网络犯罪对法律干预的韧性。 针对Scattered Spider攻击的企业应高度警惕其多变的攻击手法,必须从员工安全意识培训、钓鱼邮件防御、身份认证机制强化、多因素认证技术完善以及流量和访问域名管理等多方面协同提升防御水平。尤其要加强对云存储和身份服务相关环境的监控与响应,及时阻断疑似钓鱼域名和可疑访问。
对现有防护工具而言,纳入针对Spectre RAT的威胁情报和恶意行为检测规则,也是遏制攻击扩散的重要保障。 综上所述,Scattered Spider从早期以恶作剧式Rickroll为代表的浅层社会工程攻击,成功转型为集精准钓鱼、动态域名利用及高级持续威胁RAT植入于一体的复杂黑客集团。其对云服务和知名品牌的持续盯梢彰显了网络威胁的纵深发展态势。企业必须不断更新防护策略,利用最新威胁情报和检测技术,方能有效抵御这类高度隐蔽且不断进化的网络攻击风险。随着2025年网络安全形势愈发严峻,Scattered Spider等组织的存在提醒安全从业者持续警惕,筑牢防线不可松懈。
