近年来,全球网络安全形势愈发严峻,各种高级持续性威胁(APT)组织层出不穷。散乱蜘蛛(Scattered Spider)黑客集团以其独特的社会工程技术和多重身份验证绕过手段,逐渐成为备受关注的威胁集团。该组织最初主要针对零售和保险行业,但近期其攻击重心正逐步转向航空与交通领域,对关键基础设施的安全构成新的风险。散乱蜘蛛黑客集团是一群以英语为主、技术多元的年轻黑客,他们活跃于多个线上黑客社区和即时通讯平台,通过实时协作实施攻击。尽管该名称听起来像一个统一的黑客团伙,但实际上它代表的是一类采用特定攻击策略的松散威胁行动体,其成员可能来自不同背景,却拥有相似的攻击惯用手法。过去几年来,散乱蜘蛛在英国和美国的零售业发动了多次高调攻击,目标包括知名零售商如Marks & Spencer和Co-op等。
随后他们将注意力转向保险业,针对包括Aflac、Erie Insurance和Philadelphia Insurance Companies在内的多家保险企业发起攻击,导致严重数据泄露和业务中断事件。2025年6月,一起备受瞩目的航空行业安全事件爆发,加拿大第二大航空公司WestJet遭遇网络攻击,导致公司内部系统和移动应用短暂中断。随后调查揭示,攻击者通过员工身份验证系统的自助密码重置漏洞成功突破防线,并注册了多因素认证设备,利用Citrix远程访问平台远程入侵网络。该事件引起安全厂商Palo Alto Networks和微软的介入,协助制定应对措施。西捷攻击事件成为散乱蜘蛛集团扩展领域的一个重要标志,紧接着夏威夷航空也披露遭受网络攻击,虽然具体细节未公开,但业内推测同一威胁源头可能介入。Palo Alto Networks安全部门的高级副总裁Sam Rubin公开确认,散乱蜘蛛及其相关运营者(如Muddled Libra)现已瞄准航空行业的高价值目标,其作案手法十分复杂,往往依赖精准的社交工程攻击和针对多因素认证系统的骚扰式攻击。
Mandiant(现为谷歌云旗下公司)高级安全专家Charles Carmakal也在多个公开渠道警示航空与交通行业针对该威胁的防范要点。他特别强调,企业需强化帮助台的身份验证机制,防止攻击者通过添加恶意电话号码来实现自助密码重置,从而获得网络初始入口。攻击者的社会工程伎俩通常围绕欺骗与伪装展开,包括SIM卡劫持、多因素认证轰炸和精心编排的钓鱼活动。散乱蜘蛛具备高度协作的特征,成员间实时交流攻击情报,快速调整作案策略,因此防御难度较大。美国航空目前也面临IT系统故障,具体是否与散乱蜘蛛相关尚未有官方确认,但事件动向值得密切关注。作为一类威胁集团,散乱蜘蛛因其灵活变通的策略和集群化行动而闻名。
他们不仅限于社交工程,还擅长利用技术漏洞及供应链弱点配合执行攻击。除航空和交通外,该组织也涉及对大型数据服务,金融机构及娱乐企业的攻击,影响范围广泛。对这些关键行业而言,散乱蜘蛛攻击带来的风险不仅仅是数据丢失或业务中断,更可能引发连锁反应,威胁到公共安全和国家安全。面对日益严峻的网络威胁,企业必须全面提升基础设施的可见性和身份管理的严密性。自助密码重置平台和技术支持帮助台要成为优先加固的防御环节,避免被攻击者利用来突破第一道防线。谷歌威胁情报团队和Palo Alto Networks均发布了针对散乱蜘蛛攻击手法的防范指南,建议企业管理员熟悉并落实这些防御措施,从多因素认证策略、员工身份验证流程到持续监控预警体系,均需全面升级。
对于航空和交通企业来说,加强员工网络安全意识培训也至关重要,减少因社会工程手法造成的内部威胁。同时,跨行业共享威胁情报和联合响应机制对于构筑坚固的防护体系同样具有重要价值。散乱蜘蛛黑客集团的活动演变充分反映出网络犯罪组织的适应能力及攻击策略的升级换代。随着数字化转型加速,关键基础设施的信息安全正面临越来越多的未知风险,提示相关从业者必须时刻保持警觉。综合来看,深刻理解散乱蜘蛛的行为模式及防范方法,将助力航空与交通企业筑牢网络安全防线,抵御未来可能的威胁,保障业务连续性和用户信息安全。
