Scattered Spider组织近期愈发引人注目，其技术不断进化，犯罪活动范围也扩展至更多企业。

该组织自至少2022年5月起便开始活跃，最初以经济利益为目标，针对电信和娱乐公司展开攻击，包括MGM度假村和凯撒娱乐集团，通过SIM卡交换和勒索软件操作进行犯罪。

随着时间的推移，该组织将目标转向了高价值行业，尤其是5月对主要零售商如马莎百货、Co-op和哈罗德的攻击，以及最近对夏威夷航空和澳洲航空的袭击，这些攻击造成了广泛的运营中断，并带来了数百万美元的损失和恢复成本。

尽管英国国家犯罪局本周宣布了对马莎百货、Co-op和哈罗德攻击事件的四起逮捕，但执法部门官员并未表示该组织的威胁已减弱。

Scattered Spider 以其激进的社交攻击手段而臭名昭著，据信正以更复杂的攻击瞄准更广泛的行业。了解该组织的最新战术，有助于 CISO 做好应对威胁的准备。

在最近一次由威胁检测和响应供应商ReliaQuest进行的事后分析中，Scattered Spider利用高级社交攻击手段入侵了某组织的Entra ID、Active Directory和虚拟基础设施。此次攻击链展示了Scattered Spider将耐心规划与快速执行相结合的能力，以及对云基和本地企业IT系统了解的加深。

Scattered Spider小心谨慎地降低了被发现的可能性，即使在攻击被发现后，仍积极试图维持对被入侵系统的控制。

Scattered Spider首先对一家未具名组织的公共Oracle Cloud认证门户发起攻击，目标直指其CFO。

利用从公开来源和先前数据泄露中获得的CFO个人详情，如出生日期和社会安全号码的后四位，Scattered Spider在致电公司服务台时冒充CFO，诱骗服务台工作人员重置了CFO的注册设备和凭证。

这一骗局因服务台工作人员对高管请求的优先处理态度，以及IT组织通常对C级高管账户过度授权(允许他们访问更多IT系统)而得以加速，这也展示了Scattered Spider战术的进化，ReliaQuest指出。与之前通过类似域名欺骗部署凭证收集器来获取有效凭证不同，其最新攻击从一开始就已装备了有效凭证。

获得CFO账户访问权限后，Scattered Spider映射了Entra ID(Azure AD)特权账户和组，随后在SharePoint上定位了敏感文件，并了解了目标组织的本地IT系统和云环境。

网络犯罪分子使用 CFO 的凭证入侵了目标的 Horizon 虚拟桌面基础设施，随后利用社交攻击手段进一步入侵两个账户并转向本地环境；同时，该组织还入侵了目标的 VPN 基础设施，以维持对被入侵系统的远程访问。

Scattered Spider随后重新激活了一台已退役的虚拟机，并开始在其控制下创建一个并行虚拟环境，随后关闭了一个虚拟化生产域控制器，并提取了NTDS.dit数据库文件(Active Directory凭证)——同时避开了传统终端检测。

利用与目标CyberArk密码库相关联的被入侵管理员账户，以及可能的自动化脚本，网络犯罪分子提取了超过1400个秘密。Scattered Spider为被入侵的用户账户授予了管理员角色，并使用包括ngrok在内的工具维持对被入侵虚拟机的访问。

“该组织多次为被入侵用户分配额外角色，包括Exchange管理员角色，”ReliaQuest表示，“这一角色被用来监控高管邮箱，使攻击者能够领先于安全团队并维持对环境的控制。”

尽管攻击事件响应防御者察觉到了此次攻击并开始反击，但双方就组织IT资源的控制权展开了一场拉锯战。作为回应，Scattered Spider放弃了隐蔽渗透的尝试，开始积极试图破坏业务运营并阻碍响应和恢复工作。

例如，该组织开始删除Azure防火墙策略规则集合组，尽管最终攻击被挫败，其主要目的未达成，尽管提取了一些敏感数据，但部署勒索软件的计划很可能并未实现。

这场关于特权角色的争夺战不断升级，直至微软不得不介入以恢复对租户的控制。

“Scattered Spider的最新行动展示了其适应和进化的能力，将以人为中心的利用与技术复杂性相结合，以入侵身份系统和虚拟环境。”ReliaQuest总结道。

Rapid7的威胁分析高级总监Christiaan Beek告诉记者，Scattered Spider的技巧在过去几个月里得到了进化，其对云基系统的了解加深，并发起了更为激进、多管齐下的攻击。

Beek指出了Scattered Spider新增的几种手段：

• 云入侵技巧：“该组织展示了对云环境的深刻理解，利用AWS Systems Manager Session Manager、EC2 Serial Console和IAM角色枚举在云基础设施内进行转向和持久化——这些技巧通常见于高级威胁行为者。”Beek表示。

• 新的持久化方法：“他们开始滥用合法基础设施工具如Teleport进行长期访问，建立加密出站连接以避开传统检测机制——这与其早期仅依赖商业RMM工具的做法有所不同。”Beek说。

• 更快、多层次的攻击：Scattered Spider的操作变得更加激进和紧凑。“在初始入侵后的几小时内——通常通过社交攻击手段——他们就会提升权限、横向移动、建立持久化并开始在云和本地环境中进行侦察，”Beek解释道，“这种速度和灵活性代表了操作成熟度的显著提升。”

尽管Scattered Spider近期将目标扩展到了新行业——首先是零售业，然后是科技、金融，现在是航空业——但其基本作案手法仍然相似，ReliaQuest的研究人员发现。

“这一转变表明该组织愿意调整其目标以最大化财务回报，”ReliaQuest的发言人告诉记者，“话虽如此，其战术并未真正改变——Scattered Spider仍然依赖复杂的社交攻击手段针对服务台员工并获取高价值账户的访问权限。”

应对措施：

安全工具供应商Rapid7上周在一篇博客文章中详细介绍了Scattered Spider的最新战术、技巧和程序(TTP)，并提出了防御性最佳实践建议。

“该组织的技巧虽然执行复杂，但常常利用基本安全实践的疏漏——如过度依赖服务台身份验证或未受监控的管理工具使用，”Rapid7的研究人员写道，“加强这些领域，以及用户教育和现代认证控制，为抵御Scattered Spider的社会工程学和技术实力提供了强大防御。”

“防钓鱼的MFA是阻止攻击初期的关键，而云和终端上的警觉监控则在异常行为升级前发挥作用。除了技术之外，保持严格的身份实践也至关重要，”Rapid7的Beek告诉记者，“这意味着限制常设权限并对敏感操作实施审批，同时定期审查访问权限。”

ReliaQuest的研究人员指出，有效防御Scattered Spider需要同时解决人为和技术漏洞。

“为了抵御这些攻击，应加强服务台验证程序以防止未经授权的访问，加固虚拟化基础设施以检测可疑活动，并定期测试和培训员工抵御社交攻击手段，”ReliaQuest建议道，“这些措施保护身份系统和工作流程，并破坏该组织操纵信任和避开防御的能力。”