Scattered Spider：活跃的网路攻击组织

主要要点

• Scattered Spider 是一个多名的网路攻击团体，专注于开发高成功率的重复性攻击策略。
• 它有效地绕过多因素身份验证 (MFA) 以及利用云端身份进行入侵。
• 其攻击手法包含传统与混合式的云端企业攻击，并以勒索为主要策略。
• 监控和防范这类攻击需要具备充分的身份和云端阶段的可见性。

Scattered Spider 是一个活跃的网路攻击团体，常被称为 Starfraud、UNC3944、Scatter Swine、OctoTempest 和 Muddled Libra。他们致力于开发有效的攻击手册，专注于身份基础的高成功率攻击。虽然许多攻击者利用身份进入组织，但 Scattered Spider 在绕过 MFA 和利用云端身份方面尤其成功。他们的攻击方式则进一步演变为全方位的攻击，涉及云端、网络及所有有关身份的元素。

Scattered Spider 的攻击方式

Scattered Spider过去的攻击手法包括传统攻击和混合式攻击，主要针对最有价值的数据。他们的勒索策略以拒绝服务和勒索盗取数据为重点。透过加密系统并阻止访问，他们使得企业内部的运作受到阻碍，最终盗取数据并要求付款或威胁将数据公开或用于其他不良目的。

云中心的 Scattered Spider 攻击


在此案例中，Scattered Spider 通过 SMS 钓鱼手法获取了 Entra ID 身份，随后转向 Azure 的平台即服务 (PaaS)，进而直接连接到 Azure 的基础设施即服务 (IaaS) 中，在那里部署攻控制系统，成功入侵 IaaS。他们的攻击面扩展至多个层面，且几乎没有防范措施能够阻挡他们。

效率高的身份访问和滥用

下图显示了该攻击组织使用的云身份技术。这里涉及 Scattered Spider 在云中的身份技术，传统 MITRE 视图显示了他们可使用的手法，如 SIM换卡、MFA 轰炸、语音钓鱼等。一旦他们绕过了 MFA，将会在设备和租户层面注册持久性，操作帐户并开始收集数据。最终，不仅仅是身份策略在运作；他们的行动涵盖了攻击者的所有范畴。


根据 Vectra AI 的观察，我们已经监控 Scattered Spider和其他涉及勒索服务活动的团体一段时间，且我们的覆盖范围在此类攻击中已经显示出有效性。我们对云身份的全面覆盖涵盖了从注册到域信任操控到访问事件的所有层面，使我们能够针对攻击者及其行为进行精准定位。

考虑到这种类型攻击者的多样性，从身份和云端阶段获得可见性是至关重要的，这样才能理解实际的网路组件。一旦获得这种覆盖，清晰度变得至关重要。

这正是 Vectra AI 的优先事项所需的：将不同的信号协调到一个明确的信号