近日,Scattered Spider 黑客团伙正针对多个行业的 VMware ESXi 系统展开攻击。Scattered Spider 一直在积极攻击美国零售、航空、运输和保险行业公司的 VMware ESXi 虚拟机管理程序。他们不利用漏洞,而是靠社会工程学手段,冒充员工致电 IT 支持更改活动目录密码获取初始访问权,进而扫描网络设备获取高价值目标和敏感数据,搜寻特权访问管理解决方案。之后设法获取 VMware vCenter Server Appliance 访问权限,在 ESXi 主机上启用 SSH 连接、重置 root 密码,还实施 “磁盘交换” 攻击提取关键数据库。他们能控制虚拟基础设施,清除备份任务等,最后利用 SSH 访问权限部署勒索软件加密虚拟机文件。整个攻击链可能在几小时内完成,虽此类攻击并非首次出现,但越来越多勒索软件团伙采用,预计问题会加剧。
谷歌指出,组织对 VMware 基础设施了解不足、防御薄弱是原因之一。为防范攻击,谷歌发布技术文章,建议从锁定 vSphere、使用防网络钓鱼 MFA、集中日志并设置警报这三大支柱入手。Scattered Spider 擅长社会工程学,近期加大活动力度,攻击英国相关企业,虽英国国家犯罪署逮捕四名嫌疑成员,但恶意活动未平息。
京公网安备 11010802033237号
