近年来,针对关键基础设施的网络攻击频发,特别是勒索软件逐渐成为攻击者首选的手段之一。在众多攻击集团中,Scattered Spider因其高超的社会工程学技巧和针对虚拟化环境的先进攻击方式而声名鹊起。该犯罪团伙近期针对美国零售、航空和交通等关键行业,借助VMware ESXi平台发动高效且隐蔽的勒索软件攻击,其影响之广泛和危害之深重令人警觉。Scattered Spider的攻击手法别具一格,他们并不依赖软件漏洞,而是通过电话冒充IT帮助台人员,展开精准的社会工程学攻势,从而绕过成熟的安全防护体系。他们针对目标组织的关键系统和数据发起定向攻击,细致入微,快速实施,显示出高度的计划性和专业性。该团伙又被称作0ktapus、Muddled Libra、Octo Tempest以及UNC3944,来源于他们深厚的社会工程学背景和复杂的攻击链。
首先,他们通过获取组织内部的IT文档、支持指导、组织架构和vSphere管理员信息来进行侦察,甚至破解诸如HashiCorp Vault等密码管理系统,或通过冒充高价值管理员向IT帮助台申请重置密码,从而掌控关键账户。利用Active Directory映射至vSphere的凭据,他们成功渗透至VMware vCenter Server Appliance(vCSA),并执行名为Teleport的加密反向Shell驻留,使得攻击隐蔽且绕过防火墙规则。随后,攻击者启用ESXi主机的SSH连接,重置root密码,并实施“磁盘交换”攻击,从被控的虚拟机中提取Active Directory的NTDS.dit数据库。此举通过关闭域控制器虚拟机、拆卸其虚拟磁盘并挂载至不受监控的虚拟机完成,数据拷贝后则立即将磁盘归还,极大地隐藏了侵袭痕迹。此外,攻击者有意识地删除备份作业、快照及存储库,阻止受害方进行灾难恢复,增加了清理和追踪难度。最终,利用SSH通道向ESXi主机推送定制勒索软件,通过SCP/SFTP完成部署,迅速开展加密及勒索操作。
Scattered Spider的攻击速度异常迅速,从初始获取权限到敏感数据外泄,甚至勒索软件的激活,仅需数小时即可完成。谷歌Mandiant团队强调,这种攻击方式相比传统的Windows勒索软件,拥有更高的隐匿性和爆发速度,令防御者难以察觉和阻止。NCC集团的分析指出,该团伙往往通过注册极为相似的钓鱼域名欺骗目标机构的员工,例如以“victimname-sso.com”或“servicenow-victimname.com”等伪装官方服务门户,成功诱骗员工泄露凭据。值得注意的是,Scattered Spider还与臭名昭著的DragonForce(也称Slippery Scorpius)勒索软件团队合作,在某次攻击行动中短短两天时间内成功外泄超过100GB数据。面对此类高复杂度、多阶段的攻击,企业必须调整防御策略。谷歌提出,应从以端点检测响应(EDR)为中心的被动防御,转向以基础设施安全为核心的主动防御体系。
具体建议包括启用vSphere锁定模式,严格实施execInstalledOnly策略,使用虚拟机加密技术,并淘汰过时虚拟机实例,同时强化帮助台安全机制。多因素身份认证(MFA)需升级为抗钓鱼标准,将关键身份认证基础设施隔离,避免身份验证环路,确保不会因多点登录而被攻击者利用。日志集中管理和实时监控同样必不可少,应确保备份数据与生产环境中的Active Directory隔离,防止被攻陷管理员篡改后使备份失效。此外,随着VMware vSphere 7版本即将在2025年10月退役,安全架构的重新设计亟需提上日程。新的安全措施若未能及时实施,将使关键虚拟化基础设施面临系统瘫痪的高风险,带来无法估量的运营中断和经济损失。对于所有依赖虚拟化环境的企业而言,Scattered Spider的攻击案例不仅敲响了警钟,更提醒业界,单靠传统防护工具已无法抵御越来越复杂的威胁。
唯有加强社会工程学防范意识,完善权限管理,实施严格的身份认证和访问控制策略,才能筑起安全防火墙。未来,随着攻击者技术的不断演进,网络安全从业者需保持高度警惕与创新意识,提升威胁情报共享和自动化响应能力,确保关键基础设施的稳固与持续运行。总之,Scattered Spider对VMware ESXi环境的入侵极大地展示了现代网络攻击的隐秘性和复杂性,强调了基础设施安全不可或缺的重要性。企业若能充分理解攻击流程及防御策略,结合最新的安全产品和服务,便可有效减少风险,保护核心资产免受损害。
