美国联邦调查局和网络安全与基础设施安全局发布了一份关于被追踪为“分散蜘蛛”的逃避威胁行为者的公告,该组织是一个松散的黑客组织,目前与 ALPHV/BlackCat 俄罗斯勒索软件行动合作。

Scattered Spider,又名 0ktapus、Starfraud、UNC3944Scatter SwineOcto TempestMuddled Libra,擅长社会工程,依靠网络钓鱼、多工厂身份验证推送轰炸(有针对性的 MFA 疲劳)和 SIM 交换来获得初始收益。大型组织的网络访问。

该组织包括年轻的讲英语的成员(最小的 16 岁),他们拥有不同的技能,经常访问相同的黑客论坛和 Telegram 频道。

据信,其中一些成员也是“Comm”的一部分,这是一个涉及暴力行为和网络事件的松散社区, 最近引起了媒体的广泛关注

与人们普遍认为这是一个有凝聚力的团伙相反,他们是一个由个人组成的网络,每次攻击都有不同的威胁行为者参与。这种流动的结构使得追踪它们变得困难。

然而,据路透社记者报道,FBI 知道该组织至少 12 名成员的身份,但尚未有人被起诉或逮捕。

背景

自去年夏天以来,网络安全公司 Group-IB 的研究人员发布了一份报告,报告称同年 3 月开始发生旨在窃取 Okta 身份凭证和 2FA 代码的一系列攻击,此后就记录了分散式蜘蛛攻击。

2022 年 12 月,CrowdStrike 将威胁行为者描述为一个以电信公司为目标的经济动机团体,采用高级社会工程策略、防御逆转和丰富的软件工具。

2023 年 1 月,Crowdstrike 发现 Scattered Spider 使用BYOVD(自带易受攻击的驱动程序)方法来逃避 EDR(端点检测和响应)安全产品的检测。

最近,今年 9 月,针对米高梅赌场凯撒娱乐公司的两起备受瞩目的攻击均被归咎于 Scattered Spider,其中威胁行为者使用 BlackCat/ALPHV 储物柜来加密系统。

威胁行为者过去的活动包括对 MailChimp、  Twilio、  DoorDash和 Riot Games的攻击。

文章原文链接:https://www.anquanke.com/post/id/291401