Scattered Spider Ransomware Attack
Scattered Spider 是一個老練且攻擊性極強的網路犯罪組織,其針對 VMware ESXi 虛擬機器管理程式的攻擊力度不斷增加。該組織以北美零售、航空和交通運輸等關鍵產業為目標,其行動經過精心策劃,且極具破壞力。他們的成功並非源自於軟體漏洞,而是源自於對社會工程學和可信任系統操控的精通。
目錄
不利用漏洞的策略:以社會工程學為核心
Scattered Spider 並非利用軟體漏洞,而是採用久經考驗的策略:以電話為基礎的社會工程。該組織經常聯繫 IT 服務台,冒充合法人員,包括高權限管理員。這些電話是其更廣泛的攻擊策略的一部分,這使得他們的攻擊絕非隨機。他們精心策劃行動,以組織內最敏感的系統和資料為目標。
Scattered Spider 攻擊者以註冊欺騙性網域而聞名,這些網域與目標的基礎設施或登入入口網站高度相似。常見的命名模式包括:
- 受害者名稱-sso.com
- 受害者姓名-okta.com
- 受害者名稱-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
從服務台到虛擬機器管理程式:多階段攻擊鏈
Scattered Spider 的攻擊方法分為五個戰略階段,每個階段都旨在提升存取權並最大限度地減少偵測:
初始存取和權限提升
攻擊者首先會利用社會工程手段冒充員工,竊取憑證並收集內部文件。他們通常會從 HashiCorp Vault 等密碼管理器中提取數據,並利用 IT 支援流程重置管理員密碼。
橫向移動到 vSphere
透過利用映射到 VMware 環境的 Active Directory 憑證,攻擊者可以存取 vCenter Server Appliance (vCSA)。攻擊者部署了一個名為 teleport 的工具,用於建立加密的反向 Shell,從而繞過防火牆規則並建立持久存取。
虛擬機器管理程序操作和資料擷取
在 ESXi 主機上啟用 SSH,重設 root 密碼,並執行「磁碟交換」攻擊。此攻擊包括關閉網域控制器虛擬機、分離其虛擬磁碟、將其連接到攻擊者控制的虛擬機,以及提取 NTDS.dit 資料庫,然後再逆轉該過程。
禁用恢復機制
刪除備份作業、快照和儲存庫,以消除復原選項並放大攻擊的影響。
勒索軟體部署
自訂勒索軟體二進位檔案透過 SCP 或 SFTP 推送到受感染的 ESXi 主機,加密整個虛擬環境中的關鍵系統。
散落蜘蛛的速度與隱密
Scattered Spider(別名包括 0ktapus、Muddled Libra、Octo Tempest 和 UNC3944)與傳統勒索軟體攻擊者的區別在於其行動速度快、隱蔽性強。專家指出,從最初的訪問到勒索軟體部署,整個攻擊過程可能在短短幾個小時內完成。在某些情況下,超過 100 GB 的資料在不到 48 小時內就被竊取。該組織還與 DragonForce 勒索軟體程式有關聯,這進一步增強了其攻擊能力。
轉變防禦策略:從 EDR 到以基礎設施為中心的安全
鑑於這些攻擊的性質,標準的端點偵測和回應 (EDR) 工具可能不夠用。防禦 Scattered Spider 需要採取整體的、以基礎設施為中心的方法。強烈建議採用以下分層防禦策略:
第 1 層:vSphere 和 Hypervisor 強化
- 在 vSphere 上啟用鎖定模式
- 強制執行 execInstalledOnly
- 使用虛擬機器加密
- 淘汰未使用或過時的虛擬機器。
- 確保服務台的安全並對其進行培訓,防止其遭受冒充攻擊。
第 2 層:身分與存取保護
- 實施防網路釣魚的多因素身份驗證 (MFA)。
- 隔離關鍵身分基礎設施。
- 避免攻擊者可以利用的循環身份驗證依賴關係。
第三層:監控與備份隔離
- 集中監控關鍵基礎設施的日誌。
- 將備份與 Active Directory 存取權隔離。
- 確保即使被入侵的管理員帳戶也無法存取備份。
結論:勒索軟體風險的新時代
針對 vSphere 生態系統(尤其是 ESXi 主機和 vCenter Server)的勒索軟體因其可能造成迅速且大規模的破壞而構成嚴重威脅。 Scattered Spider 的行動經過精心策劃,凸顯了企業需要重新思考其防禦策略。忽視這些風險或延遲實施建議的應對措施可能會導致災難性後果,包括嚴重的宕機、資料遺失和財務損失。
