今年4月開始,被稱為Scattered Spider、0ktapus、UNC3944、Octo Tempest的駭客組織,傳出針對英國零售業者瑪莎百貨(Marks & Spencer,M&S)、連鎖超市Co-op、精品百貨公司哈洛德(Harrods)發動網路攻擊,這些駭客成為勒索軟體DragonForce的加盟主,利用這款惡意程式犯案,後續Google警告這些駭客轉移目標,針對美國零售業、航空與交通運輸業而來,最近他們公布詳細的調查結果,揭露這些駭客的攻擊手法。
Google旗下的威脅情報團隊(GTIG)指出,Scattered Spider向來不使用軟體弱點做為入侵受害組織的管道,而是針對IT服務臺(Help Desk)撥打電話,依照經過驗證的劇本進行網釣攻擊,從而繞過常見的資安防護機制,並採取寄生攻擊(LoL)的策略從事後續活動。
一旦這些駭客在成功完成社交工程攻擊並取得有效使用者帳號,就會以此操縱受信任的管理系統,並透過控制AD來轉進VMware vSphere環境,建立從虛擬機器管理工具竊取機敏資料並部署勒索軟體的管道。GTIG指出,這樣的做法完全不會產生入侵指標(IoC),並能繞過EDR等資安工具的偵測。
GTIG將Scattered Spider的攻擊流程分成5個階段,首先,是對受害組織的IT服務臺下手,利用先前外洩的員工個資撥打電話,說服服務臺重設AD密碼。若是得逞,他們就會試圖掃描內部環境的SharePoint網站、網路磁碟、並挖掘IT文件、技術支援指引、組織表單,以及專案規畫,企圖從中找出高價值目標,其中包含vSphere Admins、ESX Admins等AD群組,以便掌握虛擬化環境的管理權限。另一方面,他們也試圖從密碼管理平臺(如HashiCorp Vault)或其他特權帳號管理平臺(PAM),來找出弱密碼。
接著,駭客透過外流帳密登入vSphere的vCenter伺服器管理介面,並濫用管理權限增加vCenter Server Appliance(VCSA)的虛擬及實際存取的人數。然後他們開啟遠端主控臺,將設備重開機,竄改開機工具GRUB,以便在開機流程就執行Root Shell,從而無須密碼就能使用root權限。得逞後駭客竄改root密碼,上傳開源、合法的遠端管理工具Teleport,產生加密的反向Shell通道,從而繞過防火牆規則並建立C2連線。
駭客啟用SSH與ESXi主機並重設root密碼,將用於架設網域控制器的VM關機、移除磁碟,然後複製NTDS.dit,並使用SFTP、Teleport外傳到特定的雲端服務。
究竟在部署勒索軟體之前,駭客做了那些準備?他們藉由完全控制受害組織的AD,使用網域管理員帳號進行遠端桌面連線(RDP),存取備份基礎設施,刪除所有備份資料、快照、儲存庫。附帶一提的是,駭客也可能將他們控制的帳號加入名為Veeam Administrators的群組,使得活動變得更為隱密。
最終駭客使用SSH連線存取ESXi主機,透過SCP或SFTP協定推送勒索軟體,並使用指令碼執行ESXi命令列工具vim-cmd,將所有虛擬機器強制關機,並加密相關檔案。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
