一、 前言：網路犯罪集團的強強聯手

在網路犯罪生態系中，不同集團之間的合作已不是新鮮事，但當兩個惡名昭彰的組織聯手，其造成的威脅規模與影響力將會達到前所未有的高度。資安研究人員近期觀察到，以資料外洩與販售聞名的 ShinyHunters，正與擅長規避防禦的 Scattered Spider 合作，共同發動一場鎖定企業的資料勒索攻擊。這場攻擊最初鎖定 Salesforce 的客戶，但預計將擴大到金融服務與科技供應商。這場新興的威脅行動，不僅展現了網路犯罪集團的高度專業化，也對全球企業的資安防護提出了新的挑戰。

二、 犯罪集團背景：分工合作，各有所長

1. ShinyHunters：自 2020 年以來，ShinyHunters 以其大規模的資料外洩與在網路犯罪論壇上販售竊取資料而聞名。他們擅長利用各種漏洞入侵企業網路，並將取得的資料變現。儘管其核心成員的身分曾一度遭到質疑，甚至有法國執法部門逮捕了幾名嫌疑人，但該組織依然活躍，並持續尋求新的合作夥伴與攻擊管道。
2. Scattered Spider：這個集團以其高度複雜的社交工程與規避技術而著稱，他們擅長利用語音釣魚（vishing）等手法，欺騙企業員工交出存取憑證。Scattered Spider 經常與其他駭客組織合作，並與臭名昭著的 LAPSUS$ 組織有密切關聯，他們共同構成了一個名為「The Com」的龐大網路犯罪聯盟。

當這兩個組織聯手，其攻擊能力將會相乘。ShinyHunters 提供了對企業網路的深厚滲透經驗與資料變現能力，而 Scattered Spider 則貢獻了其精湛的社交工程與規避偵測技術，使得這場攻擊變得更具威脅性與難以防禦。

三、 攻擊手法的演變：高度針對性的社交工程與技術混合

1. 語音釣魚與社交工程：攻擊者不再僅僅依賴電子郵件釣魚，而是利用語音釣魚（vishing）等更具欺騙性的手法。他們可能會冒充IT部門人員，以急迫的語氣要求員工提供登入資訊或執行特定操作，藉此繞過資安防護。
2. 冒充合法工具與 Okta 釣魚頁面：為了取得企業憑證，攻擊者使用了精心設計的釣魚工具。他們會創建看似合法工具的應用程式，引誘員工下載與執行。此外，他們還會建立仿冒 Okta 等單一登入（Single Sign-On, SSO）服務的釣魚頁面，一旦員工輸入帳號密碼，憑證便會被竊取。

3. VPN 混淆與資料外洩：在成功取得內部存取權限後，攻擊者會利用虛擬私人網路（VPN）進行流量混淆，將竊取的資料從企業網路中偷偷外洩。這種手法使得企業難以追蹤資料外洩的源頭與流向。

四、 企業應對與防禦建議

1. 強化員工資安意識培訓：由於攻擊主要利用社交工程，對員工進行定期的資安意識培訓至關重要。應教育員工辨識語音釣魚、電子郵件釣魚等手法，並強調不要在未經驗證的情況下，向任何人提供憑證或個人資訊。
2. 實施強力的多因子驗證（MFA）：多因子驗證是抵禦憑證竊取攻擊最有效的防線之一。企業應在所有關鍵服務上強制啟用 MFA，特別是遠端存取與特權帳戶。即使密碼被竊取，沒有第二層驗證，攻擊者也無法成功登入。
3. 部署先進的偵測與響應工具：企業應部署能夠偵測異常行為與橫向移動的資安工具，如擴展式偵測與回應（XDR）或端點偵測與回應（EDR）解決方案。這些工具可以在攻擊者成功入侵後，及時發現其活動並進行阻斷。
4. 建立強固的身分與存取管理（IAM）：定期審核所有帳戶的權限，並實施最小權限原則。確保只有需要存取的員工才能取得特定資源，並及時停用離職員工的帳戶。

五、 結論：持續演變的威脅與永續的防禦

ShinyHunters 與 Scattered Spider 的合作，為我們提供了一個警示：網路犯罪集團正變得更具組織性、專業性與協同性。他們不再是單打獨鬥，而是透過資源共享與技術互補，來發動更具破壞力的攻擊。這次的資料勒索行動，提醒所有企業，資安防護必須是一個持續演進的過程。單一的防禦技術已無法應對混合型攻擊，只有透過多層次的防禦策略，從技術、流程到人員意識全面強化，才能在日益複雜的網路威脅環境中，有效保護企業的數位資產與聲譽。

資料來源：https://thehackernews.com/2025/08/cybercrime-groups-shinyhunters.html