報導摘要

這篇報導詳細揭露了Scattered Spider駭客組織如何在2023年8月11日，透過詐騙電話和社交工程策略，成功入侵Clorox的IT服務合作夥伴Cognizant，進而對 Clorox發動攻擊。駭客冒充Clorox員工致電Cognizant的服務台，要求重置密碼和多因素驗證(MFA)，聲稱員工帳戶被鎖定。由於客服人員未能嚴格遵守身分驗證協議，導致駭客獲得新憑證。更糟的是，被冒充的員工或其主管並未收到警報郵件。駭客利用同樣手法獲得第二個IT安全員工帳戶的權限，並最終升級至網域管理員權限，無限制地存取Clorox的核心Active Directory環境。入侵後，駭客關閉安全控制，部署勒索軟體，加密數據，嚴重擾亂Clorox的生產、分銷和IT系統，導致生產停滯、訂單無法履行，並造成高達4,900萬美元的直接修復費用及3.8億美元的收入損失。

資安風險

此事件暴露了多項關鍵資安風險：

1. 社交工程的有效性：駭客透過冒充員工進行詐騙電話，成功利用了客服人員對身分驗證協議的執行不力。
2. 供應鏈資安漏洞：將IT服務外包給第三方供應商（如Cognizant），可能因供應商的資安漏洞，成為駭客入侵目標企業的跳板。
3. MFA重置流程的弱點：MFA本應提供額外保護，但其重置流程若不夠嚴謹，仍可能被駭客利用。
4. 內部通報機制失靈：未向被冒充的員工或其主管發送警報郵件，導致資安團隊錯失早期發現異常的機會。
5. 缺乏嚴格的權限管理與監控：駭客能夠迅速將權限從普通用戶升級至網域管理員，表明權限控制和高權限帳戶監控存在缺陷。

安全影響

Scattered Spider的攻擊對Clorox造成了毀滅性影響：

1. 巨大的財務損失：Clorox蒙受了4,900 萬美元的直接修復費用，以及高達3.8 億美元的收入損失，總計超過4億美元。
2. 業務營運中斷：生產線停滯、訂單無法履行，公司核心業務受到嚴重干擾。
3. 數據加密與系統癱瘓：勒索軟體導致關鍵數據被加密，IT系統全面癱瘓，影響深遠。
4. 品牌聲譽受損：如此大規模的資安事件嚴重打擊了Clorox的品牌形象和客戶信任。
5. 供應鏈信任危機：事件凸顯外包服務的潛在風險，可能影響企業未來對合作夥伴的信任和選擇。

行動建議

為防範類似社交工程和供應鏈攻擊，企業應採取以下行動：

1. 嚴格執行身分驗證協議：特別是客服人員，必須對所有密碼和MFA重置請求執行多層次、強制性的身分驗證程序。
2. 強化多因素驗證流程：審查並加強MFA重置流程的安全性，引入二次批准或生物識別等更安全的驗證方式。
3. 建立高風險活動警報機制：對於涉及密碼重置、權限變更等高風險操作，應立即向相關用戶和管理層發送即時警報郵件或通知。
4. 定期進行紅隊演練與社交工程測試：模擬真實攻擊場景，定期對內外部服務（包括外包供應商）進行紅隊演練，以發現並修復潛在的資安漏洞。
5. 加強供應商安全管理(Third-Party Risk Management)：與外包供應商簽訂明確的服務水準協議(SLA)，並定期審核其資安措施和協議遵守情況，確保其安全標準與自身要求一致。
6. 實施零信任架構：不信任任何內部或外部網路中的用戶或設備，對所有資源存取請求進行嚴格驗證。

結論

Scattered Spider對Clorox的攻擊再次印證了社交工程的巨大威脅，以及在數位化時代下，供應鏈資安管理的重要性。此事件不僅造成了Clorox巨額的財務和聲譽損失，也為所有企業敲響了警鐘。僅僅依靠技術防護是不夠的，必須同時強化人為因素的安全防線，特別是服務台等易受社交工程影響的環節。企業應從Clorox的慘痛經驗中汲取教訓，重新評估並加強其身份驗證流程、供應商安全管理、內部警報機制，並積極透過紅隊演練來提升整體資安韌性，才能有效抵禦日益複雜且狡猾的網路攻擊。