Scattered Spider鎖定北美航太、交通產業而來

今年4月底至5月初，駭客組織Scattered Spider（0ktapus、Octo Tempest、UNC3944、Muddled Libra）傳出利用勒索軟體DragonForce犯案，攻擊英國瑪莎百貨（Marks & Spencer，M&S）、連鎖超市Co-op、精品百貨公司哈洛德（Harrods）等多家零售業者，後續Google提出警告，這些駭客轉移目標，針對美國零售業者而來，6月中旬再度轉換標的，攻擊美國保險公司的IT支援部門，如今有多組研究人員提出警告，Scattered Spider持續將魔掌伸向其他產業。

根據資安新聞網站Bleeping Computer的報導，6月12日加拿大第二大的航空公司西捷航空（WestJet）遭受網路攻擊，導致內部部分服務及行動裝置App中斷的事故，犯案的駭客組織就是Scattered Spider。他們取得知情人士的說法，在這起事件發生之後，微軟與資安業者Palo Alto Networks加入協助回應資安事故的行列，根據調查的結果，駭客入侵了西捷航空的資料中心，以及微軟雲端服務環境。

針對這些駭客取得初期入侵管道的手法，疑似使用員工自助密碼重設的機制得逞，然後駭客成功註冊自己的多因素驗證（MFA），而能遠端透過Citrix設備存取西捷航空的網路環境。

不僅如此，上週揭露遭遇網路攻擊事故的夏威夷航空（Hawaiian Airlines），有知情人士向Bleeping Computer透露，攻擊者的身分也是Scattered Spider。

這兩起事故究竟是純屬巧合，還是駭客專門鎖定航空公司犯案？有兩組研究團體提出看法。Mandiant技術長Charles Carmakal、Palo Alto Networks資深副總裁Sam Rubin在職場社群網站LinkedIn提出警告，不約而同指出Scattered Spider鎖定北美的航空、交通產業而來的現象，呼籲企業組織根據他們公開的研究報告嚴加防範。

Charles Carmakal表示他們已掌握多起相關事故，呼籲相關產業應在員工和供應商的帳號加入電話號碼之前，服務臺必須採取更嚴謹的驗證程序，原因是攻擊者很可能濫用這些電話號碼來使用自助密碼重設系統，進而重設密碼或新增能用來執行多因素驗證的裝置；Sam Rubin也提出類似看法，對於社交工程攻擊與多因素驗證重設的請求，他們認為企業組織提高警覺來防範。

美國聯邦調查局（FBI）也針對這些駭客的動態提出警告，他們也掌握這些駭客將攻擊範圍延伸到航空業的情報，並指出Scattered Spider仰賴社交工程手法，冒充員工或承包商，誘騙服務臺授予存取權限，其中一種便是為遭到入侵的帳號註冊未經授權的多因素驗證設備。FBI指出，一旦駭客得逞進入到網路環境，就會竊取受害組織的敏感資料並進行勒索，他們也有可能部署勒索軟體來加密檔案。