Scattered Spider攻击剖析：不断演变的勒索软件威胁

近期，扩散蜘蛛（Scattered Spider）日益成为头条新闻，其技术不断进化，犯罪活动范围扩大，针对更广泛的企业。
 

这个以经济利益为动机的网络犯罪集团，自2022年5月开始活跃，最初通过SIM卡交换（SIM-swapping）和勒索软件操作攻击电信和娱乐公司，包括2023年9月对美高梅度假村（MGM Resorts）和凯撒娱乐（Caesars Entertainment）的攻击。
 

随着时间的推移，该组织转向高价值行业，最著名的是今年5月份针对玛莎百货（Marks & Spencer）、Co-op和哈罗德百货（Harrods）等主要零售商的攻击，以及最近针对夏威夷航空（Hawaiian）和澳洲航空（Qantas）的袭击，这些攻击导致被攻击企业运营广泛中断，造成数百万美元的损失和恢复成本。
 

Scattered Spider以其对社会工程学的娴熟运用而臭名昭著，在最近一次攻击的事后分析中，威胁检测与响应供应商ReliaQuest指出，该组织利用高级社会工程技术，破坏了受害组织的Entra ID、Active Directory和虚拟基础设施，攻击链展示了Scattered Spider将周密策划与快速执行相结合的能力，以及对基于云和本地企业IT系统知识的提升。值得注意的是，Scattered Spider会竭力降低被发现的风险，即使在攻击暴露后，仍会积极尝试维持对受感染系统的控制，其正利用更复杂的攻击手段瞄准更广泛的行业领域，了解其最新策略有助于CISO们做好应对准备。
 

 

Scattered Spider 不断演变的攻击计划
 

Scattered Spider开始攻击某企业面向公众的 Oracle Cloud 身份验证门户，目标直指该企业的首席财务官（CFO）。他们利用从公共来源及过往泄露事件中获取的个人信息，如 CFO 的出生日期和社会安全号码后四位，通过致电公司服务台冒充 CFO，诱骗服务台人员重置了 CFO 的注册设备与凭据。
 

这一伎俩之所以能快速得逞，一方面是因为服务台人员通常对来自高管层的请求给予优先处理，另一方面则源于IT组织通常为高管（C-suite）账户赋予过多权限，使其能访问更广泛的IT系统。ReliaQuest 指出，这表明了 Scattered Spider 策略的演变，与以往通过仿冒域名部署凭据收集工具不同，其最新攻击显示该组织在初始阶段就已掌握了有效凭证。
 

在获得 CFO 账户权限后，攻击者首先通过 Entra ID（Azure AD）映射特权账户和组，随后在 SharePoint 上查找敏感文件，并逐步掌握目标组织的本地 IT 系统及云环境信息。
 

接着，网络犯罪分子利用 CFO 凭证入侵了目标的 Horizon 虚拟桌面基础设施，并通过社会工程手段攻陷另外两个账户，横向渗透至本地环境。同时，他们还破坏了组织的 VPN 基础设施以维持远程访问。
 

此后，Scattered Spider 重新启用了已停用的虚拟机，在其控制下创建了并行虚拟环境，并关闭了虚拟化生产域控制器，提取了包含 Active Directory 凭据的 NTDS.dit 数据库文件，且避开了传统端点检测。
 

最终，Scattered Spider利用与目标 CyberArk 密码库绑定的受感染管理员账户，提取了超过 1400 项机密。为维持对受感染虚拟机的访问，Scattered Spider 向受感染用户账户授予了管理员角色，并且使用了包括ngrok在内的工具来维持在入侵虚拟机上的访问权限。
 

ReliaQuest称：“该组织多次向被入侵的用户账户分配了额外角色，包括Exchange管理员角色。这一角色被用来监控高知名度员工的收件箱，使攻击者能够领先于安全团队，并维持其对环境的控制。”

 

 

尽管攻击行为隐蔽，但被入侵公司的应急响应团队还是发现了攻击并开始反击，围绕组织IT资源的控制权展开了一场拉锯战。作为回应，Scattered Spider 放弃了隐秘渗透策略，转而采取激进手段破坏业务运营，阻碍事件响应与恢复工作。例如，Scattered Spider开始删除 Azure 防火墙策略规则集合组。
 

此次攻击最终失败，虽然部分敏感数据被提取，但部署勒索软件的计划未能实现。双方争夺特权角色的对抗不断升级，最终迫使微软介入以恢复租户控制权。
 

ReliaQuest总结道：“Scattered Spider的最新行动展示了其适应和进化的能力，将以人为本的漏洞利用与技术复杂性相结合，成功入侵了身份系统和虚拟环境。”

 

 

Rapid7 威胁分析高级总监 Christiaan Beek 向 CSO 表示，Scattered Spider 的攻击手法在最近几个月发生了变化，因其对基于云的系统有了更深入的了解，并发动了更具侵略性、多管齐下的攻击。
 

Beek 指出了 Scattered Spider 武器库中的以下新增功能：
 

云入侵技术：Beek表示：“该组织展示了对云环境的深刻理解，利用AWS Systems Manager Session Manager、EC2 Serial Console和IAM角色枚举等技术，在云基础设施中进行横向移动和持久化——这些技术通常在高级威胁行为者中见到。”
 

新的持久性方法：Beek说：“他们开始滥用合法的基础设施工具，如Teleport，来获得长期访问权限，建立加密的出站连接以规避传统检测机制——这与他们早期仅依赖商业远程监控和管理（RMM）工具的做法有所不同。”
 

更快的多层级攻击：Scattered Spider 的操作变得更具攻击性且迅速。Beek表示：“在初步入侵（通常是通过社会工程学）后的几小时内，他们就完成了权限提升、横向移动、建立持久化，并开始在云和本地环境进行侦察。这种速度和灵活性代表了其运营成熟度的显著升级。”

 

 

ReliaQuest的研究人员发现，尽管Scattered Spider在过去几个月将其目标扩大到了新行业——首先是零售业，然后是科技、金融业，如今是航空业——但其根本的作案手法（modus operandi）仍然相似。这一转变虽然表明该组织愿意调整其攻击目标以最大化财务回报。不过，其策略并未真正改变——仍然依赖复杂的社会工程学来针对服务台员工，以获取高价值账户的访问权限。
 

Rapid7的研究人员表示，该组织的技术虽然执行复杂，但经常利用基本安全实践中的失误，例如过度依赖服务台进行身份验证，或不受监控地使用管理工具。加强这些领域，并辅以用户教育和现代身份验证控制，就可以抵御 Scattered Spider 将社会工程学与技术实力相结合的攻势。
 

同时，Rapid7 的 Beek 还表示：“防钓鱼多因素认证（Phishing-resistant MFA） 是阻挡初始攻击的关键，，而在云和端点上进行警惕性监控则有助于在异常行为升级前将其捕获。除了技术层面，保持严格的身份管理实践也至关重要，比如限制长期特权凭证、强制审批敏感操作，定期审查访问权限等。” 
 

ReliaQuest 强调：“有效防御 Scattered Spider 需要同时解决人为和技术层面的漏洞，应加强服务台验证流程以防止未授权访问，强化虚拟化基础设施以检测可疑活动，并定期测试和培训员工应对社会工程策略。这些措施不仅能保护身份系统和工作流程，还能破坏Scattered Spider操纵信任并规避防御的能力。”

 

参考链接：
https://www.csoonline.com/article/4020567/anatomy-of-a-scattered-spider-attack-a-growing-ransomware-threat-evolves.html