HackerNews 编译,转载请注明出处:
黑客组织Scattered Spider(又称0ktapus、Muddled Libra、Octo Tempest和UNC3944)正针对北美零售、航空及运输行业的VMware ESXi虚拟机管理程序发起攻击。谷歌旗下Mandiant团队指出,该组织主要采用欺骗性电话联系IT服务台的社会工程手段,而非利用软件漏洞实施入侵。
Scattered Spider采用“利用合法工具”(Living-off-the-Land)策略:通过社会工程获取访问权限后,滥用Active Directory权限渗透VMware vSphere环境,窃取数据并从虚拟机管理程序层部署勒索软件。此方式可绕过端点检测与响应(EDR)工具的防护,几乎不留入侵痕迹。
该策略高效的核心原因在于:虚拟中心设备(VCSA)与ESXi虚拟机管理程序无法运行传统EDR代理,导致虚拟化层存在严重的监控盲区。
该犯罪团伙的攻击链包含五个精密阶段:
第一阶段:社会工程突破
UNC3944利用个人信息(如社保号、出生日期)伪装成员工致电IT服务台,请求重置用户及特权管理员账户密码。此策略绕过传统技术攻击,直接获取内部访问权限。入侵后执行双路径侦查:
- A路径:扫描SharePoint等内部文档定位“vSphere Admins”等高权限AD组B路径:窃取密码管理器或特权访问管理(PAM)工具中的凭证
锁定特权用户后,二次致电冒充目标获取完全管理员权限,为攻击VMware基础设施奠定基础。防御需监控密码重置行为、异常AD组变更及文件访问,关键措施包括禁止电话渠道的特权账户密码重置,并强化敏感系统与文档保护。
第二阶段:vCenter接管
获取AD特权凭证后,攻击者登录vCenter图形界面,重启VCSA虚拟机修改GRUB获取root shell权限。随后重置root密码、启用SSH服务,并部署合法远程工具Teleport建立持久化加密C2通道。此隐蔽控制手段得以成功,源于vCenter默认信任AD认证且缺乏多因素验证(MFA)机制。
第三阶段:离线凭证窃取
攻击者启用ESXi主机SSH服务,强制关闭域控制器虚拟机,挂载其虚拟磁盘至孤立虚拟机,提取NTDS.dit文件。数据通过Teleport通道外泄。此隐蔽方法规避EDR检测及网络分段防护。关键防御包括启用虚拟机加密、清理未使用虚拟机、强化ESXi访问控制,并开启远程审计日志。
第四阶段:备份系统破坏
在部署勒索软件前,攻击者滥用域管理员权限或向AD添加”Veeam Administrators”组成员,删除备份任务及虚拟机快照,蓄意破坏恢复能力。
第五阶段:超高速勒索攻击
通过ESXi主机SSH上传勒索软件,强制关闭所有虚拟机并加密虚拟磁盘文件。此操作完全绕过虚拟机内部安全防护。
谷歌威胁情报小组(GTIG)在报告中总结:“防御UNC3944的攻击策略需根本性转变——从依赖EDR威胁狩猎转向主动式基础设施核心防护。该威胁与传统Windows勒索软件存在两大差异:速度与隐蔽性。传统攻击者可能耗费数日甚至数周进行侦查,而UNC3944以极端速度行动;从初始入侵到数据外泄再到最终勒索部署,全程可在短短数小时内完成。这种速度与极少的取证痕迹相结合,要求企业不仅要识别异常,更需实时拦截可疑行为模式,方能阻止全面入侵。”
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
