Google發現跨業勒索攻擊活動,利用語音釣魚與管理員權限劫持
報導摘要
Google 詳細披露了勒索軟體組織UNC3944(亦稱「0ktapus」、「Octo Tempest」及「Scattered Spider」)所發動的一系列精密攻擊行動。最初,此活動主要鎖定美國零售業,但隨後迅速擴展至北美地區的航空公司、運輸公司及保險供應商。UNC3944 的核心策略並非依賴軟體漏洞利用,而是透過高明的社交工程手法,特別是**「語音網路釣魚」**。他們冒充企業內部員工,誘騙IT服務台重設Active Directory密碼,藉此取得初步的內部存取權限。這種以人為本的攻擊模式,使其得以規避許多傳統的安全防禦機制。
資安風險
UNC3944的主要資安風險在於其對**「人」的利用,而非技術漏洞。透過冒充內部人員進行語音網路釣魚,他們能輕易繞過如多重因素驗證(MFA)等技術防線,直接竊取高權限帳號。一旦進入企業網路,該組織會進行廣泛的偵察,識別高價值目標,包括特定的管理員帳戶和特權存取管理解決方案。他們隨後會利用這些資訊進行二次語音網路釣魚,冒充特權使用者以進一步掌控高階帳戶。這種攻擊手法由於其「就地取材」(living-off-the-land)**的特性,產生的傳統入侵指標(IOC)極少,使得一般安全工具難以偵測。
安全影響
UNC3944的攻擊對受害企業造成嚴重的安全影響。他們能夠竊取高階管理權限,並利用這些權限滲透到VMware vSphere虛擬化環境。在取得虛擬化環境的控制權後,攻擊者不僅能大規模地竊取敏感資料,更能直接從底層的hypervisor部署勒索軟體,對企業的營運造成毀滅性打擊。這種直接從基礎設施層面發動的勒索攻擊,意味著傳統的端點安全防護可能失效,導致資料洩露、業務中斷以及巨大的經濟損失和聲譽損害。攻擊的速度和隱匿性,使其成為極具威脅的勒索軟體團體。
行動建議
為應對 UNC3944 類型的勒索軟體威脅,企業需採取更為全面的防禦策略:
- 強化身分驗證程序:IT服務台在處理密碼重設或帳戶解鎖請求時,必須實施更嚴格、更具韌性的身分驗證機制,例如不依賴口頭驗證的多因素驗證。
- 部署防釣魚MFA:採用硬體安全金鑰(如FIDO2)或具備反網路釣魚功能的 MFA 解決方案,以有效抵禦語音網路釣魚攻擊。
- 集中化日誌監控:實施全面的日誌管理與監控,尤其要關注異常的登入活動、權限變更及特權帳戶的使用模式,以便在攻擊早期階段偵測到異常行為。
- 定期安全意識培訓:持續對員工進行社會工程攻擊(特別是語音網路釣魚)的警覺性培訓,使其能識別並報告可疑行為。
- 隔離特權環境:嚴格隔離並保護特權帳戶、管理工作站和虛擬化基礎設施,限制其網路存取。
- 定期備份與復原計畫:實施完善的資料備份與復原策略,並定期演練,確保在遭受勒索攻擊後能迅速復原。
結論
UNC3944 勒索軟體活動的崛起,標誌著網路威脅從技術漏洞利用轉向對**「人」**的弱點進行攻擊的趨勢。其運用語音網路釣魚和管理員劫持策略,並直接從 hypervisor 部署勒索軟體的模式,對傳統資安防線構成嚴峻挑戰。這提醒所有組織必須重新評估其安全策略,從過去著重於軟體層面的防禦,轉向更全面、更強調身分驗證和行為監控的深度防禦體系。唯有透過強化人員意識、部署抗釣魚技術及建立快速應變能力,才能有效抵禦此類日益複雜且危害巨大的新型勒索軟體威脅。
資料來源:https://industrialcyber.co/threat-landscape/google-details-unc3944-ransomware-campaign-across-us-sectors-using-voice-phishing-admin-hijack-tactics/