“分散蜘蛛”（Scattered Spider）黑客组织发起针对游戏和媒体公司的网络攻击

攻击目标与行业影响

• 游戏行业：涵盖从独立工作室到大型发行商的全产业链企业，攻击目标包括未上线游戏的源代码、用户付费数据、游戏内虚拟资产管理系统，以及用于开发的 3D 引擎和核心算法。2025 年 6 月上旬，某北美游戏公司的一款开放世界游戏源代码遭窃取，攻击者随后在暗网以 15 万美元的价格挂牌出售，同时泄露了约 50 万条用户邮箱与手机号信息，导致该公司股价当日下跌 4.2%；
• 媒体娱乐公司：包括流媒体平台、影视制作公司及内容分发服务商，攻击重点为未播出的影视版权内容、订阅用户数据库及广告投放数据。例如，某欧洲流媒体平台因遭遇该组织攻击，导致 3 部计划独家上线的剧集提前泄露，直接损失预估超 200 万美元广告收入。

攻击技术细节与核心手法

1. 初始访问：精准鱼叉式钓鱼与凭据窃取

• 邮件伪装：伪装成企业内部 IT 部门的 “系统更新通知”“账号安全验证提醒”，或外部合作方（如支付服务商、云服务商）的 “业务对接文件”，邮件主题与内容完全贴合目标员工的工作职责，例如向游戏开发人员发送 “引擎插件更新包”，向客服发送 “用户投诉处理工单”；
• 恶意载体：附件多为伪装成 PDF 或 Excel 文件的 “恶意快捷方式（LNK 文件）”，或包含钓鱼链接的 HTML 页面。用户点击后，不会直接触发恶意代码，而是跳转到模仿企业内网登录页面的伪造站点，诱使员工输入账号密码，或引导员工下载 “安全插件”（实际为记录键盘操作的恶意软件）。

2. 权限提升与横向移动：会话劫持与内部工具滥用

• 会话劫持：通过钓鱼邮件中植入的恶意软件记录员工的远程登录会话（如 RDP、VPN 会话），或利用企业内网中未修复的 “会话固定漏洞”，直接接管已登录的合法会话，避免触发多因素认证（MFA）的二次验证；
• 内部工具滥用：利用企业内部常用的运维工具（如微软 System Center Configuration Manager、VMware vSphere）进行横向移动，这些工具具有高权限且通常被安全策略 “信任”，攻击者可通过它们远程访问其他服务器，无需植入额外恶意代码。

3. 数据窃取与掩盖痕迹：分段传输与日志清理

• 数据处理：将窃取的大文件（如游戏源代码、影视文件）通过 7-Zip 压缩并加密，拆分为多个 100MB 以内的小文件，避免因大流量传输触发网络监控；
• 传输渠道：优先使用企业内部已授权的云存储服务（如 OneDrive、Google Drive）或合法文件传输工具（如 WeTransfer）传输数据，而非使用境外 C2 服务器，降低被检测的概率；
• 痕迹清理：在攻击结束后，删除服务器登录日志、文件访问记录及恶意软件残留，部分情况下还会篡改系统时间或伪造操作日志，干扰安全团队的溯源分析。

组织背景与攻击趋势

防御建议与应对措施

1. 提升员工社会工程学防御意识：
   • 定期开展针对性培训，模拟 “分散蜘蛛” 常用的钓鱼邮件场景（如 IT 通知、业务对接），让员工掌握 “核实发件人地址”“拒绝下载不明附件” 等基础防御技能；
   • 对 IT、开发等关键岗位人员实施 “额外安全考核”，禁止使用弱口令，强制开启多因素认证（MFA），并限制特权账户的远程登录范围（如仅允许特定 IP 段访问）。
2. 强化访问控制与会话安全：
   • 部署 “会话管理系统”，对 RDP、VPN 等远程会话设置 “超时自动退出”（建议不超过 30 分钟），并监控异常会话行为（如同一账号同时在多个地区登录）；
   • 对内部运维工具设置 “最小权限原则”，例如限制普通员工使用 System Center 等工具的 “跨服务器访问” 功能，避免权限滥用。
3. 建立针对性的异常监测机制：
   • 针对核心资产（如游戏源代码库、用户数据库）设置 “文件访问告警”，一旦出现批量下载、异常压缩等行为，立即触发实时通知；
   • 监控企业内部云存储和文件传输工具的使用情况，重点排查 “非工作时间的大量文件上传”“向外部邮箱传输敏感文件” 等异常操作；
   • 定期对服务器日志进行审计，使用 SIEM（安全信息和事件管理）系统分析 “日志删除”“时间篡改” 等可疑行为，及时发现潜在攻击。