美国卫生与公众服务部(HHS)下属的健康部门网络安全协调中心(HC3)发布了一份关于Scattered Spider的威胁行为者档案。Scattered Spider是一个自2022年以来活跃的以经济利益为动机的黑客组织。这些Scattered Spider黑客针对多个行业的组织,利用合法的公开工具和其他恶意软件进行入侵,包括多种勒索软件变种,并因其先进的社会工程学技术而闻名,包括语音网络钓鱼和利用人工智能(AI)伪造受害者的语音以获取初始访问权限。这些黑客可能会继续发展其战术、技术和程序(TTP),以逃避检测。
Scattered Spider(也被称为Octo Tempest、Roasted 0ktapus、Storm-0875、Starfraud、UNC3944、Scatter Swine和Muddled Libra)是一个以经济利益为动机的网络犯罪集团,从事数据勒索和其他多种犯罪活动。HC3上周警告称:“Scattered Spider是一个以英语为母语的网络犯罪集团,自2022年以来一直活跃。据信该集团成员主要位于美国和英国,年龄在19至22岁之间。”
HC3观察到,Scattered Spider最初针对客户关系管理(CRM)和业务流程外包(BPO)公司,以及电信和技术公司。从2023年开始,Scattered Spider扩大了其行动范围,开始攻击游戏、酒店、零售、MSP、制造和金融领域的受害者。最近,该集团将其行动扩展到了云环境。Scattered Spider黑客在活动中利用了有针对性的社会工程学技术,试图绕过流行的端点安全工具,并部署勒索软件以获取经济利益。该集团在2024年第二季度增加了RansomHub和Qilin到其网络武器库中。
HC3在其威胁行为者档案报告中指出:“尽管Scattered Spider由年轻人组成,但他们成功执行了高调的入侵,主要是由于其先进的社会工程学能力。”尽管如此,该集团似乎操作安全较差,多名关键成员已被逮捕。然而,该集团仍在继续实施成功的攻击,并不断改进其TTP以逃避受害者环境中的检测。
HC3评估认为,该集团可能会继续针对包括医疗保健在内的各个行业,以获取经济利益。HC3详细说明,这些Scattered Spider黑客通过利用鱼叉式语音网络钓鱼技术获得了对目标组织的初始访问权限,进而利用未经授权的访问修改ACH信息,将合法付款转移到攻击者控制的银行账户。虽然这一威胁活动未被归因于特定的威胁行为者,但观察到的战术、技术和程序(TTP)与Scattered Spider重叠。
Scattered Spider利用了信息窃取器(infostealers),这些工具以前被认为是勒索软件攻击的前兆。SpyCloud的研究人员表示,信息窃取器感染在2023年北美洲和欧洲勒索软件受害公司的事件中占近三分之一(30%)。Scattered Spider黑客历史上通过使用“利用现成工具”(LOTL)技术在目标网络中逃避检测,允许列出的应用程序导航受害者网络,并频繁修改其TTP。
去年11月,美国安全机构发布了一项联合网络安全咨询(CSA),针对Scattered Spider这一针对商业设施部门及其子部门的网络犯罪集团。该咨询提供了该集团使用的TTP的见解,这些信息是通过联邦调查局(FBI)最近的调查,包括本月的调查收集的。此外,Scattered Spider黑客以其参与数据盗窃用于勒索而闻名,利用了各种社会工程学技术。他们最近加入了BlackCat/ALPHV勒索软件,作为其常规TTP的一部分。
FBI和美国网络安全和基础设施安全局(CISA)呼吁组织通过实施应用程序控制;实现FIDO/WebAuth认证或基于公钥基础设施(PKI)的多因素认证(MFA);严格限制远程桌面协议(RDP)和其他远程桌面服务的使用来防范Scattered Spider。
(全文结束)
