近年来,网络犯罪集团散布蜘蛛(Scattered Spider)因其极具破坏力的攻击活动而备受关注。虽然该组织在公众面前曾声称"退出"网络犯罪舞台,但最新的安全报告显示,他们不仅并未真正退隐,反而加大了针对金融行业的攻击力度,试图从金融机构中窃取大量敏感数据并谋取非法利益。散布蜘蛛的复出引发了安全界的高度警惕,也再次提醒企业和安全团队绝不可掉以轻心。 据威胁情报公司ReliaQuest的分析,散布蜘蛛现阶段明确将攻击焦点转向金融领域。这一转变从多个迹象可见一斑,包括一系列与金融行业相关的"仿冒域名"注册激增,以及针对美国某大型银行展开的针对性入侵行动。攻击者往往通过社会工程学手段,瞄准关键人员的账户,进而利用Azure Active Directory的自助密码管理功能实施密码重置,取得初步访问权限。
稍后,攻击者借助Citrix环境和虚拟专用网络漏洞,实现横向移动,并入侵VMware ESXi基础设施,获取更高阶的系统权限和大量凭证信息。 此外,散布蜘蛛采用高明的权限升级策略,例如重置Veeam服务账户密码并赋予Azure全局管理员权限,从而实现对虚拟机的迁移以规避免疫追踪。其行为表明,该组织不仅具备成熟的网络渗透和隐匿技术,还具备攻击多种云服务平台的能力,如Snowflake和Amazon Web Services,为获取并外泄关键信息提供了技术支持。 此次复出活动无疑打破了散布蜘蛛此前与其他14个网络犯罪团伙一同宣布"退场"的声明,严肃质疑其所谓"引退"的真实性。散布蜘蛛作为The Com这个松散网络实体的一部分,与同样臭名昭著的ShinyHunters和LAPSUS$存在高度交叉与联系,以至于形成一个更大范围的攻击集群"scattered LAPSUS$ hunters"。 其中,ShinyHunters已知通过入侵企业Salesforce系统,进行数据勒索与敲诈,且这种二次攻击行为多发生在其他财务驱动型黑客组织(如由谷歌旗下Mandiant追踪的UNC6040)完成对受害目标初始渗透之后数月。
这一复合型攻击链和协作关系呈现了网络犯罪集团日益复杂的运作模式,不仅令受害者防御难度激增,也给执法与安全机构的追踪鉴定带来巨大挑战。ReliaQuest也强调,无论是勒索软件集团还是此类高级持续性威胁,所谓的"退休"只是伪装,背后更可能是暗中重组和伪装身份的策略性调整。蜘蛛实验室威胁情报负责人Karl Sigler指出,此次"退隐声明"很可能是为了规避日益严峻的执法压力,更是战略性收缩以重新评估战术和做好隐蔽准备的一环。 不排除内部基础设施遭受泄露、关键通信管道暴露,或者部分成员被捕,导致散布蜘蛛被迫暂停活动进行自我修整。这种临时的"隐退"并非真正放弃,而是为未来更隐秘、更狡猾的卷土重来铺路。 在最新的安全分析中,EclecticIQ进一步揭示,ShinyHunters成员借助散布蜘蛛和The Com的资源,利用先进的AI语音仿冒平台,如Vapi与Bland AI,开展大规模的语音钓鱼攻击。
通过这些技术,攻击者在目标回复时能实时调整语音内容和语调,极大增强了欺诈通话的可信度和欺骗效果。 针对零售、航空、电信等多个领域的单点登录平台,近乎真人的动态语音技术帮助攻击团队进行精确的社会工程学操作。ShinyHunters更是通过地下Telegram社群Sim Land(由The Com成员运营)招募实操者,实施大规模的语音钓鱼(vishing)活动,极大地提升了攻击效率和成功率。 利用获得的访问权限,攻击者大量窃取Salesforce客户数据,随后展开勒索。根据荷兰安全公司报告,ShinyHunters甚至伪造Okta单点登录页面,针对投资银行、奢侈品零售、旅游、支付处理及大型电商企业窃取账户凭据。 据称,ShinyHunters通过在线黑市出售被盗数据,单个公司的窃取价格超过百万美元,且他们还利用包括Oracle Access Manager漏洞(CVE-2021-35587)在内的多个漏洞,对国家银行和跨国车企展开深入渗透和数据外泄。
这一切都折射出散布蜘蛛相关实体不断通过融合AI驱动的攻击技术、供应链攻击以及恶意内部人员协助,提升其作案规模和复杂度。安全专家Arda Büyükkaya指出,ShinyCorp(ShinyHunters的幕后主使)甚至与勒索软件联盟合作,形成了跨界的网络犯罪生态链条。 这一系列事件带给金融业及高价值目标明确警示:网络威胁正变得更加智能化和专业化,单靠传统防御难以抵御此类高级持久威胁。企业应加强身份和访问管理策略,采用多层防护措施,强化员工安全意识,及时监测并响应异常行为,尤其要重点关注关键管理账户的安全防护。 综上,散布蜘蛛虽然曾宣布退出网络犯罪领域,但其近期针对金融机构的新一轮攻击活动表明,这种"退隐"或许只是表面现象。网络犯罪集团往往采用策略性"休整"和伪装,持续调整攻击工具与战术,再次威胁全球关键行业安全。
面对愈发复杂的威胁格局,企业与安全团队必须动态适应,不断提升防御能力并重视情报共享,才能在新的攻防博弈中保持领先地位,降低被攻击风险,确保关键数据与客户资产的安全。 。
