關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.08.11
訊息與報導/資訊安全
服務檯面臨風險:Scattered Spider揭示了 Overlook 威脅向量
協助中心成資安新破口:Scattered Spider揭露被忽視的威脅向量

在當今的網路資安環境中,儘管企業已投入大量資源建構防火牆、加密、以及多因素身分驗證(MFA)等防禦措施,但傳統的資安邊界在面對敏捷且善於社交工程的威脅時,正逐漸顯得力不從心。最近,一個名為Scattered Spider的網路犯罪集團,又稱UNC3944、Scattered Swine、Octo Tempest、Storm-0875、Muddled Libra,透過其獨特的攻擊手法,成功鎖定企業的協助中心(Help Desk)作為主要突破點,再次提醒了業界一個長期被忽視的資安盲點。

Scattered Spider並非一個由國家支持的龐大組織,而是一個鬆散但高度組織化的犯罪集團,其成員多為來自網路社群的年輕人。該組織最早在2023年因對大型賭場MGM Resorts的攻擊而聲名大噪,近年來更將目標擴大至零售商、保險公司,甚至是航空業者。儘管英國當局在2025年7月逮捕了四名嫌疑人,導致該組織的活動一度趨緩,但這股威脅可能只是暫時平息。令人擔憂的是,儘管他們的戰術一再被揭露,許多企業卻未能採取果斷行動來強化防禦,這使得Scattered Spider這類威脅得以持續肆虐。
 

深入Scattered Spider的攻擊手冊

Scattered Spider的核心業務是數據勒索與其他犯罪活動。他們擅長在攻擊中部署多種勒索軟體,最近的案例包括DragonForce勒索軟體。儘管他們會不斷調整TTPs(戰術、技術與程序)以躲避偵測,但其一些核心手法始終如一:

  1. 初始存取(Initial Access):該集團大量使用社會工程手段,例如網路釣魚(phishing)、MFA疲勞攻擊(push bombing,透過發送大量多因素身分驗證提示,迫使受害者不耐煩而接受),以及SIM卡交換攻擊(SIM swap attacks),以竊取憑證、安裝遠端存取工具並繞過多因素身分驗證。
  2. 攻擊執行(Attack Execution):攻擊者善用「居地而食」(living-off-the-land)技術,利用Windows內建工具如PowerShell、Rundll32、WMIC和Task Scheduler。這讓他們能像合法用戶一樣活動,從而規避傳統的防毒軟體和端點偵測與回應(EDR)系統的偵測。
  3. 持久性(Persistence):Scattered Spider會濫用身分供應商,如Okta、Microsoft Entra和Active Directory,來建立後門管理帳號、修改身分驗證流程,或注入自定義的SAML令牌。他們也頻繁使用AnyDesk™、TeamViewer®、ScreenConnect™和Splashtop®等遠端存取工具,讓其惡意活動能與正常的IT作業混淆。
  4. 權限提升(Privilege Escalation):攻擊者會列舉內部帳號與群組,並利用雲端權限,例如AWS或GCP中的角色,來提升存取權限並擴大其在網路中的影響範圍。
  5. 內部偵察(Internal Reconnaissance):如同許多進階威脅者,該集團會繪製網路拓樸,以識別高價值系統,如網域控制器、檔案共享和備份伺服器。他們還會從Confluence、Jira、Slack和SharePoint等平台中提取敏感數據與憑證。
  6. 影響與勒索(Impact and Extortion):Scattered Spider常與ALPHV/BlackCat或RansomHub等勒索軟體集團合作,加密受害者數據並索要贖金,通常要求加密貨幣支付。他們遵循「雙重」或「三重勒索」的趨勢,威脅若不滿足要求,將洩露竊取數據、聯絡監管機構或客戶,或發動後續攻擊。

協助中心的盲點

Scattered Spider最有效且最為人知的戰術之一,是透過電話或簡訊冒充IT協助中心人員,以取得員工的憑證,或說服他們安裝遠端存取軟體。然而,最近該集團反其道而行,開始冒充員工,欺騙IT或協助中心人員,讓他們洩露敏感資訊、重設密碼,並將MFA令牌轉移至攻擊者控制的設備。

透過這種方式,攻擊者利用了一個重大的資安盲點:企業的IT協助中心通常被視為內部且理所當然值得信賴的部門,因此在多層次資安策略中常被忽略。這是一個關鍵的漏洞,企業必須立即解決。攻擊者深知協助中心人員的職責是快速解決問題,並利用這種「助人為樂」的心理,繞過傳統的資安防線。
 

如何最小化風險暴露

為了降低因Scattered Spider戰術而帶來的風險,組織應立即實施以下措施:

  • 應用程式控制:實施應用程式控制,包括將遠端存取工具列入白名單。
  • 強固身分驗證:強制使用能抵抗網路釣魚的多因素身分驗證,例如FIDO2或基於PKI的身分驗證。
  • 限制遠端存取:限制遠端桌面協定(RDP)和其他遠端存取工具的使用。
  • 強化備份與備援:制定並評估強大的業務連續性計畫,並維護離線備份。
  • 實施密碼政策:在所有帳號中實施符合NIST標準的密碼政策。
  • 持續更新修補:定期修補和更新所有作業系統、應用程式和韌體。
  • 最小權限原則:限制管理員權限,並在需要時使用即時存取(just-in-time access)。

針對協助中心這個特定的弱點,組織應導入多步驟的身份驗證流程,用於所有密碼重設和存取恢復請求。身份證明和持續驗證現在已成為任何現代資安框架的必要組成部分,它們不僅能防禦基於身分的威脅,還能提升合規性、改善使用者體驗並強化組織信任。
 

總結

Scattered Spider這類網路犯罪集團代表了持續演變的威脅。為了領先一步,企業必須實施全面的資安策略,涵蓋所有營運領域,包括通常被忽略的IT協助中心。在一個由社交工程和勒索軟體主導的威脅環境中,主動防禦、多層次保護和彌補內部資安漏洞不再是可選項,而是不可或缺的生存法則。

資料來源:https://www.securityweek.com/help-desk-at-risk-scattered-spider-shines-light-on-overlook-threat-vector/

資安犯罪集團Scattered Spider利用社交工程手法,冒充員工或協助中心人員,成功突破企業資安防線。