网络安全研究人员将新一轮针对金融服务业的网络攻击与臭名昭著的网络犯罪组织分散蜘蛛联系起来,这让该组织声称“隐匿”的说法受到了质疑。
威胁情报公司ReliaQuest表示,已观察到有迹象表明,该威胁行为者已将重点转向金融领域。这一点得到了以下事实的支持:可能与该组织有关联、面向金融行业的仿冒域名有所增加,以及最近发现的一起针对某家未具名美国银行业机构的定向入侵事件。
该公司表示:“‘散蛛’通过社会工程学手段获取了一名高管的账户,并通过Azure Active Directory自助密码管理重置了其密码,从而获得了初始访问权限。”
“从那里,他们访问了敏感的IT和安全文档,通过Citrix环境和VPN横向移动,并入侵了VMware ESXi基础设施,以窃取凭证并进一步渗透网络。”
为实现权限提升,攻击者重置了Veeam服务账户密码,分配了Azure全局管理员权限,并迁移虚拟机以逃避检测。此外,有迹象表明“散蛛”(Scattered Spider)试图从Snowflake、亚马逊云服务(AWS)及其他数据仓库中窃取数据。
是撤退还是烟幕弹?
近期的活动削弱了该组织的说法,即他们将与包括LAPSUS$在内的其他14个犯罪组织一起停止运作。“分散蜘蛛”是一个组织松散的黑客团体的代号,该团体隶属于一个名为“The Com”的更广泛的网络实体。
该组织还与ShinyHunters和LAPSUS$等其他网络犯罪团伙存在高度重叠,以至于这三个团伙组成了一个名为“分散的LAPSUS$猎人”的总体实体。
其中一个团伙,特别是ShinyHunters,在从受害者的Salesforce实例中窃取敏感数据后,还进行了勒索活动。在这些案例中,这些活动发生在目标被另一个以经济利益为动机的黑客团伙入侵数月之后,谷歌旗下的Mandiant将该团伙标记为UNC6040。
ReliaQuest补充称,这一事件提醒人们不要陷入虚假的安全感,同时敦促各机构对这一威胁保持警惕。就像勒索软件团伙一样,他们根本不会“退休”,未来他们很可能重组或改用其他别名重新露面。
“最近有关‘散蛛’(Scattered Spider)要收手的说法,应持高度怀疑态度,”LevelBlue公司旗下Trustwave的SpiderLabs威胁情报部门安全研究经理卡尔·西格勒表示,“这一声明很可能并非真正解散,而是一种战略举措,目的是让该组织避开日益增大的执法压力。”
西格勒还指出,这封告别信应被视为一种战略性撤退,使该组织能够重新评估其做法、改进其操作技巧、规避针对其活动的持续遏制努力,更不用说这还会增加归因难度——让将未来事件与同一核心参与者联系起来变得更加困难。
“该组织的运营基础设施内部可能存在某些东西已被泄露。无论是系统遭到入侵、通信渠道暴露,还是底层附属成员被捕,很可能是某种情况促使该组织隐匿起来,至少是暂时隐匿。从历史情况来看,当网络犯罪组织面临更严格的审查或内部出现混乱时,他们往往只是名义上‘销声匿迹’,实际上会选择暂停活动、重整旗鼓,最终以新的身份重新出现。”
更新
在2025年9月17日发布的一项新分析中,EclecticIQ表示,ShinyHunters可能正依靠Scattered Spider和The Com的成员,利用Vapi和Bland AI等平台实施语音钓鱼攻击,这些平台能未授权访问零售、航空和电信公司使用的单点登录(SSO)平台。
具体而言,已发现ShinyHunters成员滥用Bland AI来大规模自动化社会工程学电话,这使他们能够实时根据受害者在通话中的反应调整回应,并确保即使在回应超出预设对话路径的情况下,通话仍然具有说服力。
语音通话钓鱼攻击由一些人实施,这些人是由ShinyCorp(又名sp1d3rhunters)招募的,该公司是ShinyHunters的幕后主使,他们通过Telegram群组(如Sim Land(SL))进行招募,而Sim Land是由The Com成员运营的一个地下社区。
EclecticIQ表示:“与静态的机器人语音通话不同,人工智能模型会动态生成语音,并调整语气和回应,以维持可信度并操控目标。”“这种由大型语言模型驱动的对话管理与近乎真实的合成语音相结合,使得与ShinyHunters相关联的威胁行为者能够大规模开展成功的语音钓鱼活动。”
随后,攻击者利用获取到的访问权限,从受影响的Salesforce应用程序中窃取大量客户数据,用于后续的勒索活动。据这家荷兰网络安全公司称,ShinyHunters还伪造了Okta单点登录页面,从包括投资银行、奢侈品零售、旅游业、美国支付处理以及大型电子商务平台在内的高价值行业窃取凭证。
除此之外,据Bleeping Computer的一篇报道称,该勒索组织声称利用被泄露的Salesloft Drift OAuth令牌,从760家公司窃取了超过15亿条Salesforce记录。谷歌正以“UNC6395”为代号追踪与Salesloft黑客攻击相关的活动。
此外,据说ShinyHunters获取了工程团队创建的BrowserStack API密钥,并利用这些密钥攻击企业开发环境,还利用Oracle Access Manager的一个漏洞(CVE-2021-35587)对一家国家银行和一家日本汽车制造商发起攻击,以获取数据库访问权限并窃取数据。
安全研究员阿尔达·布尤卡亚表示:“ShinyHunters正在扩大其行动范围,手段包括结合人工智能驱动的语音钓鱼、供应链攻击,以及利用恶意内部人员——例如能够直接提供企业网络访问权限的员工或承包商。”
“ShinyHunters的头目ShinyCorp正与勒索软件附属机构及其他电子犯罪参与者积极兜售被盗数据集,每家公司的售价超过100万美元。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
