HackerNews 编译,转载请注明出处:
谷歌威胁情报团队首席分析师John Hultquist向BleepingComputer透露,使用“Scattered Spider”攻击手法的黑客组织在针对英国零售业后,已将矛头转向美国零售企业。该组织被追踪为UNC3944,涉嫌实施勒索软件攻击与数据勒索双重威胁。
英国零售巨头玛莎百货(Marks & Spencer)此前遭遇勒索攻击,攻击者使用DragonForce加密器对VMware ESXi主机上的虚拟机进行加密。微软将该攻击归因于Octo Tempest(即Scattered Spider)。连锁超市Co-op确认攻击者窃取了大量现会员及前会员数据,哈罗德百货(Harrods)则于5月1日因网络渗透尝试被迫限制网站访问权限,疑似主动阻断攻击。
DragonForce勒索组织宣称对上述三起事件负责。BleepingComputer获悉,攻击者使用了与Scattered Spider关联的社会工程学策略。该勒索组织于2023年12月首次出现,近期推出“白标服务”供其他犯罪团伙定制化使用。
自Scattered Spider于4月开始攻击英国零售商以来,英国国家网络安全中心(NCSC)已发布防御指南,并警告这些攻击应被视为“警钟”。NCSC表示尚未确认攻击是否由单一组织发起,目前正与受害者及执法部门联合调查。
Scattered Spider(别名0ktapus、UNC3944、Scatter Swine)指代一个流动性威胁团伙,以社会工程学攻击闻名,擅长钓鱼攻击、SIM卡劫持、MFA轰炸(定向疲劳攻击)等手法。2023年9月,该组织入侵美高梅度假村,通过冒充员工致电IT部门获取权限,利用BlackCat勒索软件加密超100台VMware ESXi虚拟机。
该组织还曾作为RansomHub、Qilin及DragonForce等勒索软件的附属团伙活动,受害者包括Twilio、Coinbase、DoorDash、凯撒娱乐、MailChimp、拳头游戏及Reddit。部分成员据信隶属于“Com”社群——该松散团体因实施网络攻击与暴力行为备受关注。
这些网络罪犯年龄最小仅16岁,多为英语使用者,活跃于Telegram频道、Discord服务器及黑客论坛,实时策划攻击行动。尽管媒体与安全研究者常将“Scattered Spider”描述为统一团伙,但其实际是由采用特定战术的松散成员构成,追踪难度较高。
Hultquist指出:“这些攻击者攻击性强、手法创新,尤其擅长突破成熟安全体系。他们在社会工程学及第三方入侵方面屡获成功。”美国零售企业需警惕近期威胁升级。
消息来源: bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
