美国联邦调查局（FBI）披露，臭名昭著的网络犯罪组织Scattered Spider已将攻击范围扩大至航空业。该组织主要通过社会工程学技术，冒充员工或承包商欺骗IT服务台以获取访问权限，并绕过多因素认证（MFA）。攻击通常涉及数据窃取、勒索和勒索软件攻击。专家建议航空业立即加强服务台身份验证流程，尤其是在添加新电话号码、重置密码或添加MFA设备之前。Scattered Spider的攻击手法复杂，结合了社会工程学、技术攻击和快速勒索能力，对企业构成重大威胁。

🕷️Scattered Spider主要利用社会工程学手段，冒充员工或承包商欺骗IT服务台，从而获取访问权限，常涉及绕过多因素认证（MFA）的方法。

🔑该组织攻击目标包括第三方IT供应商，以获取大型机构访问权限，进而进行数据窃取、勒索和勒索软件攻击，给航空业带来潜在风险。

🛡️专家建议航空业立即加强服务台身份验证流程，特别是在处理员工/承包商账户的敏感操作时，以降低被攻击的风险。

💼Scattered Spider展现了快速行动力，通过窃取凭证、收集目标情报、混合BEC技术与云基础设施破坏手段，展现了攻击的隐蔽性和破坏性。

⚠️该组织偏爱高管账户，因为这类账户权限高且IT服务台请求处理迅速，这使得其社会工程学攻击更容易成功，并能快速访问核心系统。

HackerNews 编译，转载请注明出处：

美国联邦调查局（FBI）披露，臭名昭著的网络犯罪组织Scattered Spider已将其攻击范围扩大至航空业。为此，该机构正积极联合航空业及行业合作伙伴共同打击此类活动并协助受害者。

FBI在社交媒体平台X上发布声明称：“该组织依赖社会工程学技术，通常冒充员工或承包商欺骗IT服务台以获取访问权限。这些技术常涉及绕过多因素认证（MFA）的方法，例如诱使服务台人员在受感染账户中添加未经授权的MFA设备。”

Scattered Spider的攻击还以第三方IT供应商为目标获取大型机构访问权限，使得可信供应商和承包商面临潜在攻击风险。此类攻击通常为数据窃取、勒索和勒索软件攻击铺平道路。

Palo Alto Networks旗下Unit 42的研究员Sam Rubin在LinkedIn确认该威胁组织针对航空业的攻击，敦促各机构对高级社会工程学尝试和可疑的MFA重置请求保持“高度警惕”。

谷歌旗下Mandiant公司近期曾警告Scattered Spider瞄准美国保险业，此次也呼应了该警报，表示已察觉多起手法与该黑客组织作案模式相似的航空运输业安全事件。Mandiant的Charles Carmakal建议：“行业应立即采取措施，在向员工/承包商账户添加新电话号码（可能被威胁分子用于自助密码重置）、重置密码、向MFA解决方案添加设备或提供员工信息（如员工ID）前，严格加强服务台身份验证流程。”

Scattered Spider持续得逞的关键在于其对人类工作流程的深度理解。即使存在MFA等技术防御措施，该组织仍专注于系统背后的人员——他们深知服务台员工也可能被精心编造的故事蒙蔽。这并非暴力破解，而是通过短暂建立信任实施渗透。在时间紧迫或压力较大时，伪造的员工请求极易蒙混过关。因此各机构需超越传统端点安全策略，重新评估实时身份验证机制。

该组织活动与Muddled Libra、Octo Tempest、Oktapus、Scatter Swine、Star Fraud及UNC3944等威胁集群存在重叠。该组织最初以SIM卡交换攻击闻名，其初始入侵手段涵盖社会工程学、服务台钓鱼和内部访问等技术，专门渗透混合环境。安全公司Halcyon指出：“Scattered Spider代表着勒索软件风险的重大演变，融合了深层社会工程学、多层次技术复杂性和快速双重勒索能力。该组织能在数小时内突破防御、建立持久访问、窃取敏感数据、禁用恢复机制，并在本地和云环境中引爆勒索软件。”

真正使其具备高度危险性的是其“耐心策划与突然发难”的组合策略。Scattered Spider不仅依赖窃取凭证，更投入大量时间收集目标情报，常结合社交媒体研究和公开泄露数据实施精准身份冒充。此类混合威胁融合商业邮件入侵（BEC）技术与云基础设施破坏手段，具有极强的隐蔽性。

该组织隶属于名为“The Com”（又名Comm）的无定型集体，其中亦包含LAPSUS$等组织。据评估其至少自2021年便开始活跃。Unit 42分析称：“该组织在Discord和Telegram通信平台中发展壮大，吸纳了不同背景和需求的成员。其松散的流动性结构导致破坏行动存在固有难度。”

ReliaQuest上周五发布的报告详细披露了Scattered Spider上月末针对某未具名机构的攻击：通过锁定首席财务官（CFO），冒充其致电IT服务台，诱骗工作人员重置与该账户绑定的MFA设备和凭证。攻击者还利用侦察阶段获取的CFO出生日期和社会安全号码后四位，在公司公共登录门户完成身份验证，最终确认员工ID有效性。报告强调：“Scattered Spider偏爱高管账户的两大主因在于：此类账户通常权限过高，且相关IT服务台请求常被紧急处理——这大幅提高了社会工程的成功率。获取这些账户意味着通向核心系统的捷径，使侦察成为其定制化攻击计划的基石。”

掌握CFO账户权限后，攻击者展示了其快速适应和升级攻击的能力：

执行Entra ID枚举，扫描特权账户、特权组和服务主体以提升权限搜索SharePoint敏感文件及协作资源，深度解析目标机构工作流程与IT/云架构利用窃取的CFO凭证渗透Horizon虚拟桌面设施（VDI），通过社会工程学控制两个新增账户入侵机构VPN基础设施以确保对内部资源的持续访问重新启用已停用虚拟机（VM）并创建新VM，借此关闭虚拟化生产域控制器，提取NTDS.dit数据库文件利用提升的权限破解CyberArk密码库，获取超1400项机密信息通过特权账户推进入侵（包括向受控账户分配管理员角色）使用ngrok等合法工具在控制虚拟机中建立持久访问在行踪暴露后启动”焦土策略”：蓄意删除Azure防火墙策略规则集合以破坏正常业务运营

这反映出社会工程学攻击已演变为成熟的“身份威胁战役”——攻击者凭借详尽的战术手册突破层层防御。从SIM卡交换、语音钓鱼到权限提升，Scattered Spider展示了攻击路径畅通时的极速行动力。对多数企业而言，首要措施并非采购新工具，而是收紧内部流程（特别是服务台审批和账户恢复机制）。安全研究员Alexa Feminella与James Xiang指出：“Scattered Spider的初始入侵手段暴露了众多机构的关键弱点：过度依赖以人为中心的身份验证流程。该组织通过武器化信任绕过了强大的技术防御，证明攻击者可轻易操纵既定流程达成目标。这一漏洞凸显企业亟需重新评估并强化身份验证协议，降低人为失误成为攻击入口的风险。”

 

 

 

---

消息来源： thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文